Fachbeiträge & Kommentare zu IT-Sicherheit

Hier gelangen Sie zum Energiewirtschaftsgesetz.mehr

Rz. 262 Bei der elektronischen Akte geht es darum, unterschiedliche Informationsobjekte (wie z.B. ein- und ausgehende Post) so miteinander zu verknüpfen, dass der Benutzer durch einen Blick in die elektronische Akte eine ganzheitliche, vorgangsbezogene Sicht auf alle relevanten Informationen bekommt. Elektronische Akten gleichen dabei hinsichtlich ihrer Struktur oftmals der p...mehr

Rz. 3 Vorkehrungen nach Abs. 1 sind auch verpflichtende Maßnahmen zur Steigerung der Security-Awareness von Mitarbeitenden. Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme (BSI, www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Faktor-Mensch/Awareness/awareness_nod...mehr

Rz. 1 Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien entlang der medizinischen Versorgungsprozesse im Gesundheitswesen (BT-Drs. 20/9048 S. 149). Gleichzeitig wächst das Bedrohungspotenzial durch zielgerichtete, technologisch ausgereifte und komplexe Angriffe. Solche Cyberangriffe richten sich nicht nur gegen die unmittelbaren Leistungserbringer, s...mehr

Rz. 10 Krankenkassen (§ 4) gehören zu kritischen Anlagen (§ 10 BSI-Gesetz i. V. m. § 7 Abs. 6, 7 BSI-Kritisverordnung; Ausnahmen: kleinere Krankenkassen, die den Schwellenwert von 500.000 Versicherten nicht erreichen). Sie sind nach §§ 30, 31 und 39 BSI-Gesetz verpflichtet, Sicherheitsstandards einzuhalten. Kleinere Krankenkassen oder ausgelagerte Betriebe oder Betriebsteile...mehr

Rz. 6 Krankenhäuser (§ 108) gehören zu kritischen Anlagen (§ 10 BSI-Gesetz i. V. m. § 6 BSI-Kritisverordnung; Ausnahmen: kleinere Krankenhäuser, die den Schwellenwert von 30.000 stationären Fallzahlen jährlich nicht erreichen). Ihre Betreiber sind nach §§ 30, 31 und 39 BSI-Gesetz verpflichtet, Sicherheitsstandards einzuhalten. Kleinere Krankenhäuser oder ausgelagerte Betrieb...mehr

Rz. 11 Sollten sich Krankenkassen bei ihren Aufgaben Dritter bedienen, sind für deren informationstechnische Systeme vertragliche Vereinbarungen zu treffen, die eine verbindliche Umsetzung des B3S-GKV/PV (Rz. 6) durch diese Dienstleister sicherstellt.mehr

Rz. 12 Dittrich/Dochow/Ippach, Cybersicherheitsvorgaben im Gesundheitssektor durch das Digitalgesetz – ein kritischer Überblick, GuP 2024, 189. Effertz, Abrechnungsmanagement durch private Dritte?, KrV 2025, 7. Weichert, Cloud Computing für SGB V – Leistungserbringer und Kassen, SGb 2024, 406.mehr

2.1 IT-Sicherheit (Abs. 1) Rz. 2 Alle Krankenhäuser (§§ 197 ff.) sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit des jeweiligen Krankenh...mehr

Rz. 7 Weichert, Cloud Computing für SGB V – Leistungserbringer und Kassen, SGb 2024, 406. Bundesamt für Sicherheit in der Informationstechnik, Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung. DKG, Informationssicherheit im Krankenhaus – Branchenspezifischer Sicherheitsstandard (B3S).mehr

2.1 IT-Sicherheit (Abs. 1) Rz. 2 Alle Krankenkassen (§ 4) sind verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der jeweiligen Krankenkasse un...mehr

Rz. 6 Die Krankenkassen wirken verpflichtend in einem gemeinsamen bestehenden oder zu schaffenden Branchenarbeitskreis an der Entwicklung des branchenspezifischen Sicherheitsstandards für die informationstechnische Sicherheit der Krankenkassen (Abs. 3) mit (Satz 1). Sie werden im Arbeitskreis durch ihre Verbände und den Spitzenverband Bund der Krankenkassen (GKV-Spitzenverba...mehr

Rz. 5 Die Krankenkassen sind verpflichtet, den branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Krankenkassen in der jeweils gültigen Fassung anwenden (Rz. 6). Er liegt aktuell mit dem Stand v. 15.5.2025 vor. Die Vorschrift lässt auch andere Lösungen zu. Die Eignung des Sicherheitsstandards wird vom BSI festgestellt (§ 30 Abs. 8 BSI-Gese...mehr

Rz. 5 Die Krankenhäuser können die Verpflichtungen nach den Abs. 1 und 2 insbesondere erfüllen, indem sie einen branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus in der jeweils gültigen Fassung anwenden. Dessen Eignung muss vom BSI nach § 30 Abs. 8 BSI-Gesetz festgestellt werden. Einen entsprechenden I...mehr

Rz. 1 Die Norm stellt alle Krankenhäuser unter ein IT-Sicherheitsregime, um die Sicherheit der informationstechnischen Systeme in den Krankenhäusern dauerhaft zu gewährleisten. Sie dient letztlich der Patientensicherheit. Die Deutsche Krankenhausgesellschaft (DKG) unterstützt diesen Prozess durch einen branchenspezifischen Sicherheitsstandard (B3S) i. S. d. §§ 30, 31 und 39 ...mehr

Rz. 4 Organisatorische und technische Vorkehrungen nach Abs. 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung des Krankenhauses oder dem Schutzbedarf der verarbeiteten Patienteninformationen steht. Der Aufwand zur Implementierung und Aufrechterhaltung geforderter Maßnahmen hängt maßgeblich...mehr

Rz. 4 Organisatorische und technische Vorkehrungen nach Abs. 1 sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der Arbeitsprozesse der Krankenkasse oder der Sicherheit der verarbeiteten Versicherteninformationen steht. Der Aufwand zur Implementierung und Aufrechterhaltung geforderter Maßnah...mehr

Das Programm richtet sich an Unternehmen mit bis zu 500 Mio. EUR Jahresumsatz, die ihre digitale Infrastruktur ausbauen oder Prozesse transformieren möchten. Förderfähig sind unter anderem: Aufbau oder Erweiterung von IT-Systemen, Digitalisierung von Geschäftsprozessen, Investitionen in Software, Plattformen und Netzwerke, Maßnahmen zur IT-Sicherheit sowie Mitarbeiterschulungen z...mehr

mehr

Überblick Aufgrund des technischen Fortschritts und dem Einsatz von künstlicher Intelligenz sind die Möglichkeiten der Überwachung von Beschäftigten vielfältig und operativ oft einfach umzusetzen. Gleichzeitig stellen erhöhte Compliance Anforderungen an die IT-Sicherheit Arbeitgeber vor neue Herausforderungen, z. B. im Rahmen der NIS2-Richtlinie, die z. B. die Durchführung v...mehr

Seit dem 12.9.2023 gilt der EU Data Act (Verordnung (EU) 2023/2854) unmittelbar in allen EU-Mitgliedstaaten. Er regelt den Zugang zu und die Nutzung von Daten, insbesondere bei vernetzten Produkten, Cloud-Diensten und Datenteilungen zwischen Unternehmen (B2B) und zwischen Unternehmen und öffentlichen Stellen. Bei Verstößen gegen Kapitel II des Data Act (Datenzugang und -nutzu...mehr

Die Meldepflicht tritt ein, wenn Schutzmaßnahmen nicht effektiv waren und dadurch Vorgaben der DSGVO verletzt wurden. Aufgrund dessen, dass eine unrechtmäßige Kenntnisnahme Dritter nicht mehr erforderlich ist, erübrigt sich auch die Unterscheidung zwischen einer Softwarepanne und einem Hackerangriff. Nur eine infrastrukturelle Verletzung der IT-Sicherheit ohne Personenbezug ...mehr

Hier einige Beispiele, wenn keine Melde- oder Benachrichtigungspflicht besteht: Daten von Kunden des Unternehmens wurden gelöscht, es existiert jedoch eine aktuelle und den Ausgangszustand 1:1 widerspiegelnde Datenkopie (Back-Up). Ein Speichermedium (z. B. Laptop, USB-Stick, Smartphone) wurde verloren, jedoch ist dieses nach aktuellen Standards der IT-Sicherheit sicher verschl...mehr

Rz. 56 Der Inhalt eines Vertrags zur Auftragsverarbeitung ist nach Art. 28 Abs. 3 DSGVO vorgegeben. Durch den Vertrag muss sichergestellt werden, dass der Dienstleister die personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, die IT-Sicherheit gewährleistet und den Auftraggeber bei der Umsetzung seiner Verpflichtungen aus der DSGVO unterstützt. ...mehr

Rz. 73 Unternehmen sind verpflichtet, personenbezogene Daten vor einer unbefugten oder unrechtmäßigen Verarbeitung und vor einem unbeabsichtigten Verlust bzw. unbeabsichtigter Zerstörung durch geeignete technische und organisatorische Maßnahmen zu schützen. Dies müssen sie auf Anfrage jederzeit der Aufsichtsbehörde gegenüber nachweisen können (vgl. Art. 5 Abs. 1 lit. f), Abs...mehr

Rz. 70 Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weiterhin wissen, in welchen...mehr

Rz. 97 Das Bayerische Landesamt für Datenschutzaufsicht hat eine Checkliste mit IT-Sicherheitsmaßnahmen definiert, die eine gute Orientierung zu den erforderlichen Maßnahmen zur Gewährleistung der IT-Sicherheit bietet. Sie ist abrufbar unter https://www.lda.bayern.de/checkliste_tom Die Aufsichtsbehörde für Niedersachsen hat eine Methodik herausgegeben, wie der Prozess zur Aus...mehr

Rz. 94 Die Art und Weise, in der eine Aufsichtsbehörde auf die Meldung eines Datenverlustes reagiert, hängt von dem gemeldeten Vorfall und dessen Ursachen ab. Die Aufsichtsbehörde kann grundsätzlich ein Bußgeld bei Verletzung der Datensicherheit verhängen. Gerade wenn wiederholte und gleichartige Datenpannen auf strukturelle Defizite im Rahmen der IT-Sicherheit hindeuten, erh...mehr

mehr

Rz. 62 Mit dem Abschluss des AV-Vertrages sind die Pflichten von Auftraggeber und Auftragnehmer nicht beendet. Aus dem AV-Vertrag resultieren für beide Beteiligten weitere Pflichten. Rz. 63 Spätestens zu Beginn der Datenverarbeitung sollte sich der Auftraggeber im Rahmen seiner Rechenschaftspflichten nach Art. 24 DSGVO vom Auftragsverarbeiter bestätigen lassen, dass die vertr...mehr

Rz. 49 Die Auftragsverarbeitung durch den Dienstleister ist abzugrenzen von einer eigenverantwortlichen Datenverarbeitung. Damit stellt sich die Frage, wann ein Unternehmen noch als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO handelt und wann er weisungsgebundener Dienstleister ist. Rz. 50 Nach der DSGVO wird ein Unternehmen als Verantwortlicher für eine Datenverarbeitung ange...mehr

Soweit die Verlagerung des Tätigkeitsorts auf die Initiative des Arbeitnehmers zurückgeht, stellen die damit verbundene Änderung des Arbeitsorts sowie der Arbeitsumstände mangels Zuweisung durch den Arbeitgeber selbst bei längerer Dauer keine mitbestimmungspflichtige Versetzung [1] dar. Soll nicht nur einzelnen Arbeitnehmern, sondern einem größeren Teil der Belegschaft die mob...mehr

Soweit die Verlagerung des Tätigkeitsorts auf die Initiative des Arbeitnehmers zurückgeht, stellen die damit verbundene Änderung des Arbeitsorts sowie der Arbeitsumstände mangels Zuweisung durch den Arbeitgeber selbst bei längerer Dauer keine mitbestimmungspflichtige Versetzung [1] dar. Soll nicht nur einzelnen Mitarbeitern, sondern einem größeren Teil der Belegschaft die Mögl...mehr

a) Datenschutz nach der DSGVO Die Speicherung und Nutzung personenbezogener Daten des Erblassers nach dessen Tod muss DSGVO-konform erfolgen. Grundsätzlich gilt die DSGVO zwar nicht mehr für Verstorbene (ErwG 27 DSGVO), allerdings umfassen Daten des Erblassers, die in dem KI-Avatar gespeichert werden, regelmäßig auch lebende Dritte, welche weiterhin dem Schutz der DSGVO unter...mehr

Schließlich bedarf es bei der Implementierung eines KI-Avatars der Beachtung der der europäischen KI-Verordnung (Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates v. 13.6.2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz [Verordnung über künstliche Intelligenz – KI-VO], ABl. (EU) L 2024/1689 v. 12.7.2024). Insbesondere bei persönlich...mehr

Die Speicherung und Nutzung personenbezogener Daten des Erblassers nach dessen Tod muss DSGVO-konform erfolgen. Grundsätzlich gilt die DSGVO zwar nicht mehr für Verstorbene (ErwG 27 DSGVO), allerdings umfassen Daten des Erblassers, die in dem KI-Avatar gespeichert werden, regelmäßig auch lebende Dritte, welche weiterhin dem Schutz der DSGVO unterliegen. Zudem muss der Erblas...mehr

Die Wahrung des Steuergeheimnisses behält auch bei der vorausgefüllten Steuererklärung oberste Priorität. Die Finanzverwaltung hat sich deshalb in Bezug auf die IT-Sicherheit nach der internationalen Norm für Informationssicherheits-Management (ISMS), der ISO 27001, zertifizieren lassen. Grundlage für die Zertifizierung ist der IT-Grundschutz-Katalog des Bundesamts für Siche...mehr

In der Praxis im Rahmen der präventiven Vermeidung von Arbeitsunfällen bzw. -krankheiten sowie der Wiederherstellung der Gesundheit und Arbeitsfähigkeit von Mitarbeitern vielfach eingesetztes Mittel ist das betriebliche Eingliederungsmanagement (BEM). Die spezialgesetzliche Grundlage hierfür findet sich in § 167 Abs. 2 SGB IX. Der Arbeitgeber ist dazu verpflichtet sein, ein ...mehr

Beim BYOD erhält der Arbeitnehmer regelmäßig Zugriff auf Daten, die Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person enthalten, etwa Mitarbeiter und Kundendaten oder E-Mailadressen. Der Anwendungsbereich der DSGVO ist damit grundsätzlich auch für BYOD eröffnet. Hinweis DSGVO Die Ausnahme aus Art. 2 Abs. 2 lit. c D...mehr

Begriff "Bring Your Own Device" ("BYOD") steht für die Möglichkeit von Arbeitnehmern, ihre eigenen technischen Geräte (Smartphone, Laptop, Tablet etc.) für Arbeitszwecke zu verwenden. Die Vorteile dieses Modells sind vielfältig (Kosteneinsparung, Arbeitnehmerzufriedenheit, Unternehmensimage) und bei der Belegschaft i.d.R. sehr beliebt. BYOD begegnet jedoch gewissen rechtliche...mehr

Degen/Emmert Elektronischer Rechtsverkehr Monographie, 3. Aufl. 2025 453 Seiten, 119 EUR (Gesamtabnahme) Verlag C.H.Beck ISBN 978-3-406-80227-0 Im Kontext der Digitalisierung der Justiz nimmt der elektronische Rechtsverkehr eine zentrale Rolle ein. Die e-Akte ist auf dem Weg, in den nächsten Monaten auch das letzte Gericht zu erreichen und während die Rechtsanwälte das beA sc...mehr

Rn 4 Nach § 3 I lit a ist für die Ermittlung der berechtigten Sicherheitserwartungen zunächst die Darbietung des Produkts, also seine Vorstellung ggü der Allgemeinheit bzw dem konkreten Benutzer (BTDrs 11/2447, 18), zu berücksichtigen. Sie erfolgt insb in Produktbeschreibungen (zu Produktvideos Ruttloff/E Wagner/Schuster BB 22, 67, 70), Gebrauchsanweisungen und Produktwerbun...mehr

Schrifttum: Aue, Telekommunikationsüberwachung bei Steuerhinterziehung, PStR 2010, 81; Bär, Telekommunikationsüberwachung und andere verdeckte Ermittlungsmaßnahmen, MMR 2008, 215; Beukelmann, Die Neuregelung der Telekommunikationsüberwachung, NJW Spezial 2008, 88; Beukelmann, Sicherung von Verkehrsdaten – Quick-Freeze, NJW-Spezial 2024, 312; Blechschmidt, Quellen-TKÜ und Onli...mehr

Rn 2 Der Gesetzgeber hat wichtige normative Voraussetzungen für einen elektronischen Zivilprozess geschaffen. Neben § 128a lassen §§ 130a, 130b, 130c sowie § 130d elektronische Dokumente zu. Gleiches gilt für die elektronische Rechtsmitteleinlegung (§§ 519 IV, 520 V, 525, 549 II, 551 IV). Das Protokoll in elektronischer Form sieht § 160a mit § 130b vor. Für die Beweisaufnahm...mehr

Der Halbjahres-Check sollte sich nicht "nur" auf finanzielle Größen wie Umsätze, Kosten oder Liquidität erstrecken. Er sollte auch Themen wie Ziele, Kunden, Produktion oder die IT-Sicherheit umfassen. Zu insgesamt sechs Rubriken finden sich in der Excel-Arbeitshilfe jeweils 10 Vorschläge für Fragen, mit denen man in eine Analyse und Bewertung einsteigen kann. Je Rubrik ist Pl...mehr

Soweit die Verlagerung des Tätigkeitsorts auf die Initiative des Arbeitnehmers zurückgeht, stellen die damit verbundene Änderung des Arbeitsorts sowie der Arbeitsumstände mangels Zuweisung durch den Arbeitgeber selbst bei längerer Dauer keine nach §§ 99 Abs. 1, 95 Abs. 3 BetrVG mitbestimmungspflichtige Versetzung dar. Soll nicht nur einzelnen Mitarbeitern, sondern einem größe...mehr

Outplacement leistet nicht nur für Unternehmen und betroffene Mitarbeitende wertvolle Dienste, um Trennungsprozesse sozialverträglich zu gestalten, sondern hat auch eine bedeutende gesellschaftliche Wirkung. Es hilft, Langzeitarbeitslosigkeit zu vermeiden, den Arbeitsmarkt zu flexibilisieren und in Summe auch resilienter gegenüber Krisen zu machen, wenn wirtschaftliche Umbrü...mehr

Die Deregulierung der betrieblichen Arbeitssicherheit durch das Arbeitsschutzgesetz von 1996 und durch die Betriebssicherheitsverordnung von 2002 brachte den Arbeitgebern größere Freiheiten, eigene Lösungswege für eine nachhaltige Sicherheits- und Präventionskultur in ihren Unternehmen zu finden. Der Arbeitgeber kann seitdem allgemein vorgegebene Schutzziele eigenverantwortl...mehr

Bundesamt für Sicherheit in der Informationstechnik: "IT-Grundschutz-Kompendium". Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: "Telearbeit und Mobiles Arbeiten" (Flyer), Juli 2020. Helfrich, Marcus. Datenschutzrecht: "Datenschutz-Grundverordnung, JI-Richtlinie, Bundesdatenschutzgesetz, Informationsfreiheitsgesetz, Grundrechtecharta, Grundgesetz ...",...mehr

Folgende Liste umfasst tiefer gehende Schritte, die die IT-Sicherheit bei dezentralisiertem Arbeiten für Ihr Unternehmen sicherstellen. Sensibilisierung: Die Mitarbeitenden im Homeoffice müssen über die Risiken im Zusammenhang mit der Arbeit von zu Hause aus informiert werden, insbesondere bezüglich des Umgangs mit vertraulichen Informationen und sicherheitsrelevanten Maßnahm...mehr