Fachbeiträge & Kommentare zu IT-Sicherheit

Grundlage aller IT-Sicherheitsmaßnahmen muss die genaue Feststellung des Schutzbedarfs sein. Nur wer weiß, was geschützt werden soll, kann adäquate Schutzmaßnahmen treffen. Der Aufwand des Schutzes muss sich aber immer am Wert der Daten orientieren, die geschützt werden müssen. Bei der Feststellung des Schutzbedarfs müssen immer auch die eigentlichen Schutzziele mit bedacht w...mehr

mehr

Im betriebswirtschaftlichen Jargon werden gerne Anglizismen verwendet. Ein Begriff, der mittlerweile nicht mehr wegzudenken ist, lautet Compliance. Gemeint ist damit die Rechtskonformität, also die Umsetzung und das Befolgen aller gesetzlichen und vertraglichen Regelungen und Verpflichtungen. Betroffen vom Compliance-Gebot sind alle Kapitalgesellschaften – also auch kleine G...mehr

Eine eindeutige gesetzliche Haftung für die IT-Sicherheit in Unternehmen folgt aus gesetzlichen Regelungen, die greifen, wenn Unternehmensdaten an die Öffentlichkeit gelangen, schwere wirtschaftliche Schäden durch die mutwillige oder fahrlässige Zerstörung von Unternehmensdaten entstehen oder z. B. vom E-Mail-Server des Unternehmens Massen-Mails mit Viren verschickt werden. O...mehr

Auf den ersten Blick eindeutiger ist die Haftung bei Fällen mangelnder IT-Sicherheit geregelt, die unter das Strafgesetzbuch ( StGB) fallen. Dort gibt es etwa im § 203 für Ärzte, Rechtsanwälte und andere bestimmte Berufsgruppen Sonderregelungen, die auch Freiheitsstrafen vorsehen, wenn vertrauliche Angaben von Patienten, Mandanten oder Klienten ohne deren Einwilligung in die ...mehr

Die folgenden Checklisten fassen in kurzen Fragen, die Sie nur mit Ja, Nein oder Prüfen zu beantworten brauchen, die wichtigsten Sicherheitsanforderungen und -maßnahmen zusammen. Anhand Ihrer Antworten erhalten Sie ein genaues Bild über den aktuellen Zustand sowie über die Schwachstellen der IT-Sicherheit und der IT-Compliance in Ihrem Unternehmen. Hinweis Die Checklisten ent...mehr

Anhand der folgenden Checklisten, die in die zuvor genannten Bereiche unterteilt sind, können Sie eine Bestandsaufnahme und Bedarfsanalyse vornehmen, die Sie zur Grundlage Ihres IT-Sicherheitskonzepts machen können. 9.1 Checkliste 1: Sicherheitsmanagementmehr

Die EU-Datenschutzrichtlinie für elektronische Kommunikation (E-Privacy-Richtlinie) enthält grundlegende Bestimmungen, die die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU – einschließlich des Internets und mobiler Dienste – gewährleisten sollen. Die Richtlinie enthält ein EU-weites Spam-Verbot, gestattet E-Mail-Werbung nur mit vorherig...mehr

Die Aufrechterhaltung des Sicherheitsniveaus ist genauso wichtig wie die Einführung angemessener Sicherheitsmaßnahmen. Eine ganz besonders wichtige Rolle spielt dabei das Sicherheitsbewusstsein der Mitarbeiter. Nur wenn Mitarbeiter positiv motiviert sind und einsehen, warum bestimmte Sicherheitsmaßnahmen sie in der Nutzung des lokalen Netzwerks einschränken oder von ihnen se...mehr

mehr

mehr

mehr

mehr

mehr

mehr

mehr

mehr

mehr

mehr

Rz. 40 Unter die Steuerbefreiung fallen nur sonstige Leistungen des Personenzusammenschlusses an seine Mitglieder. Die Steuerbefreiung setzt damit voraus, dass der Zusammenschluss seine sonstigen Leistungen (nicht: Lieferungen) an ein Mitglied oder mehrere seiner Mitglieder bewirkt. Sie müssen hinsichtlich Art und Umfang nicht stets allen Mitgliedern gegenüber in gleicher We...mehr

Rz. 16 Beyer, Neuregelungen zur Telematikinfrastruktur und ihrer Anwendungen, WzS 2021 S. 263. Dochow, Das Patienten-Datenschutz-Gesetz (Teil 1) – Die elektronische Gesundheitskarte und Telematikinfrastruktur, MedR 2020 S. 979. ders., Das Patienten-Datenschutz-Gesetz (Teil 2) – Die elektronische Patientenakte und erweiterte Datenverarbeitungsbefugnisse der Krankenkassen, MedR ...mehr

Kommentar Zum 1.1.2020[1] wurde über § 4 Nr. 29 UStG national die Möglichkeit geschaffen, dass für bestimmte dem Gemeinwohl dienende Leistungen die Steuerbefreiung auch für Leistungen gilt, die sog. Kostengemeinschaften an ihre Mitglieder ausführen. Die Regelung war aufgrund der Rechtsprechung des EuGH notwendig geworden. Die Finanzverwaltung hat jetzt erstmals zu dieser neu...mehr

Da die Regelungen des LkSG nicht nur für die Lieferanten anzuwenden sind, sondern auch für den ›eigenen Geschäftsbereich‹, liegt nunmehr erstmals in Deutschland eine gesetzliche Regelung vor, die Sorgfaltspflichten zur Vermeidung von Regelverstößen (Compliance) für alle Unternehmen einer bestimmten Größe vorschreibt. Bislang gibt es (mit Ausnahme der Finanzbranche) keine dire...mehr

Rz. 385 §§ 19–30 TTDSG regeln den Datenschutz für Telemedien sowie der Endeinrichtungen; sie stellen damit einen "Baustein" im Gesamtgefüge des Datenschutzes dar.[361] Die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG) sind zunächst einmal für die Frage heranzuziehen, was personenbezogene Daten sind, da nur diese vom grundrechtlich geschützten R...mehr

Nahezu alle Unternehmen setzen digitale Technologien ein: um Prozesse zu steuern, Lager zu verwalten, Informationen in Echtzeit zu teilen, Dokumente zu verwalten, Mitarbeitereinsatz zu planen oder Software-Anwendungen in der Cloud zu nutzen. Neben den vielen Möglichkeiten bieten die Technologien zugleich großes Gefahrenpotenzial – das Betriebe erkannt haben: Studien[1] zufol...mehr

Datensicherheit oder IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken für die Informationssicherheit, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch passende Maßnahmen auf ein tragbares Maß reduziert sind. Erst durch Gewährleistung des Schutzes von IT-Systemen und Daten (IT-/Cyber-Security) sowie der funkt...mehr

Im Bereich der IT-Sicherheit in Unternehmen haben sich in den letzten Jahren immer mehr sog. Awareness-Kampagnen durchgesetzt, um die Mitarbeiter für das Thema Informationssicherheit im Unternehmen zu sensibilisieren. Diese Kampagnen sollen eine nachhaltige Verhaltensänderung der Mitarbeiter erreichen und werden deshalb i. d. R. auf einen längeren Zeitraum bis hin zu mehrere...mehr

Möglicherweise hat es sich bereits in den Schilderungen der 3 Szenarien erschlossen: Die Ursachen für Mängel der Datensicherheit entstehen immer auf dem Fundament einer Gemengelage aus technischen, organisatorischen und/oder personellen Gründen (Abb. 2). Abb. 2: Ursachen für Sicherheitspannen – Beispiele Abb. 2 zeigt, dass die Datensicherheit die technische Dimension übersteig...mehr

Rz. 51 Betriebsvereinbarungen können Bestimmungen zur Verarbeitung personenbezogener Daten enthalten und so die Datenverarbeitung im Betrieb bei einzelnen Datenverarbeitungsverfahren beschreiben.[85] Art. 88 Abs. 1 DSGVO bestimmt in der weitreichenden Spezifizierungsklausel, dass der nationale Gesetzgeber entsprechende Möglichkeiten vorsehen kann. Das ist durch § 26 Abs. 1 B...mehr

Rz. 77 Muster der Standarddatenschutzklauseln abgedruckt nach Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4.6.2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates: Muster 1: Muster Standarddatenschutzklauseln Muster "Standarddatenschutzklauseln" AB...mehr

mehr

mehr

Rz. 56 Der Inhalt eines Vertrags zur Auftragsverarbeitung ist nach Art. 28 Abs. 3 DSGVO vorgegeben. Durch den Vertrag muss sichergestellt werden, dass der Dienstleister die personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, die IT-Sicherheit gewährleistet und den Auftraggeber bei der Umsetzung seiner Verpflichtungen aus der DSGVO unterstützt. ...mehr

Rz. 71 Unternehmen sind verpflichtet, personenbezogene Daten vor einer unbefugten oder unrechtmäßigen Verarbeitung und vor einem unbeabsichtigten Verlust bzw. unbeabsichtigter Zerstörung durch geeignete technische und organisatorische Maßnahmen zu schützen. Dies müssen sie auf Anfrage jederzeit der Aufsichtsbehörde gegenüber nachweisen können (vgl. Art. 5 Abs. 1 lit. f), Abs...mehr

mehr

Rz. 68 Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weiterhin wissen, in welchen...mehr

Rz. 95 Das Bayerische Landesamt hat eine Checkliste mit IT-Sicherheitsmaßnahmen definiert, die eine gute Orientierung zu den erforderlichen Maßnahmen zur Gewährleistung der IT-Sicherheit bietet. Sie ist abrufbar unter https://www.lda.bayern.de/checkliste_tom Die Aufsichtsbehörde für Niedersachsen hat eine Methodik herausgegeben, wie der Prozess zur Auswahl angemessener IT-Sic...mehr

Rz. 62 Mit dem Abschluss des AV-Vertrages sind die Pflichten von Auftraggeber und Auftragnehmer nicht beendet. Aus dem AV-Vertrag resultieren für beide Beteiligten weitere Pflichten. Rz. 63 Spätestens zu Beginn der Datenverarbeitung sollte sich der Auftraggeber im Rahmen seiner Rechenschaftspflichten nach Art. 24 DSGVO vom Auftragsverarbeiter bestätigen lassen, dass die vertr...mehr

Rz. 92 Die Art und Weise, wie eine Aufsichtsbehörde auf die Meldung eines Datenverlustes reagiert, hängt von dem gemeldeten Vorfall und dessen Ursachen ab. Die Aufsichtsbehörde kann grundsätzlich ein Bußgeld bei Verletzung der Datensicherheit verhängen. Gerade wenn wiederholte und gleichartige Datenpannen auf strukturelle Defizite im Rahmen der IT-Sicherheit hindeuten, erhöht...mehr

Rz. 49 Die Auftragsverarbeitung durch den Dienstleister ist abzugrenzen von einer eigenverantwortlichen Datenverarbeitung. Damit stellt sich die Frage, wann ein Unternehmen noch als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO handelt und wann er weisungsgebundener Dienstleister ist. Rz. 50 Nach der DSGVO wird ein Unternehmen als Verantwortlicher für eine Datenverarbeitung ange...mehr

Rz. 66 Muster 12.5: Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO Muster 12.5: Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO zwischen dem Verantwortlichen _____ [Name, Adresse, Postleitzahl und Ort] ("Verantwortlicher") und dem Auftragsverarbeiter _____ [Name, Adresse, Postleitzahl...mehr

mehr

Liebe Leserinnen und Leser, unter der Rubrik "Literaturkritik: Erbrecht" stellen wir monatlich eine Auswahl von Neuerscheinungen aus dem Bereich des Erbrechts, des Erbschaftssteuerrechts sowie der erbrechtsrelevanten Nebengebiete vor. von Ulf Schönenberg-Wessel, Rechtsanwalt, Fachanwalt für Erbrecht und Notar, Kiel Münchener Handbuch des Gesellschaftsrechts, Band 5: Verein, Sti...mehr

Rz. 4 Die Formulierung "legen fest" in Abs. 1 Satz 1 bringt die Verpflichtung beider Kassenärztlichen Bundesvereinigungen zum Ausdruck, bis zum 30.6.2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung zu bestimmen. Die KBV und die KZBV haben keine Wahl bzw. kein Dispositionsrecht, son...mehr

0 Rechtsentwicklung Rz. 1 Die Vorschrift ist mit dem Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt worden. 1 Allgemeines Rz. 2 Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien in der medizinischen Versorgung, wobei...mehr

0 Rechtsentwicklung Rz. 1 Die Vorschrift ist mit dem Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG) v. 8.12.2019 (BGBl. I S. 2562) mit Wirkung zum 19.12.2019 in Kraft getreten. Mit dem Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGB...mehr

Rz. 6 Nach Abs. 4 Satz 1 ist die Richtlinie für die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich. Dies gilt für den Vertragsarzt, Vertragspsychotherapeuten, Vertragszahnarzt ebenso wie für zugelassene medizinische Versorgungszentren (MVZ) oder ermächtigte Einrichtungen (vgl. § 95 Abs. 1). Nach Satz 2 ist die Rich...mehr

Rz. 5 Die mit Wirkung zum 20.10.2020 geltende Fassung des Abs. 2 stellt klar, dass die in der Richtlinie festzulegenden Anforderungen geeignet sein müssen, abgestuft im Verhältnis zum Gefährdungspotenzial und dem Schutzbedarf der verarbeiteten Informationen, Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztliche Leistungserbringer in B...mehr

Rz. 1 Die Vorschrift ist mit dem Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt worden.mehr

Rz. 7 Die informationstechnischen Systeme der Ärzte, Psychotherapeuten oder Zahnärzte werden zurzeit überwiegend von Dienstleistern gepflegt. Die Kassenärztlichen Bundesvereinigungen haben deshalb die Möglichkeit erhalten, die Mitarbeiterinnen und Mitarbeiter der Dienstleister zu zertifizieren, um die informationstechnischen Systeme gemäß der Richtlinie zu schützen und eine ...mehr