News

On-Premise- oder Cloud-basierte Lösungen wie Software-as-a-Service-Plattformen (SaaS) bieten selbstverständlich Vorteile, aber auch Risiken, die sich z.B. in den Bereichen Datenverwaltung, Datensicherheit, Datenschutz, Transaktionsintegrität u.a. widerspiegeln. Vor allem dann, wenn Informationen in diese neu gekoppelten IT-Landschaften und aus diesen herausfließen. Im Rahmen dieser Transformation ist es wichtig sicherzustellen, dass Risiken und Kontrollen in neue Geschäftsprozesse eingebettet sind.

In einer Pressemitteilung vom 28.08.2020 fordert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDi) Professor Ulrich Kelber in einer Entschließung die verfassungskonforme Umsetzung der Registermodernisierung. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber lehnt die geplante Nutzung der Steuer-Identifikationsnummer als übergreifendes Ordnungsmerkmal ab.

Zitat des BfDI: „Die Pläne für die Registermodernisierung sind in vielen Punkten gar nicht schlecht und durchaus im Interesse der Bürgerinnen und Bürger. Doch durch die Verwendung einer einheitlichen Identifikationsnummer besteht ein erhebliches Risiko der missbräuchlichen Zusammenführung der Daten aus unterschiedlichen Registern. Damit werden viele Sicherheitsmaßnahmen entwertet. Ich hoffe, dass uns nicht wieder erst das Bundesverfassungsgericht vor einem zu neugierigen Staat schützen muss.“

Risikokontrolle im Unternehmen

Ein neues Modell für Governance und Risikomanagement, das am 20. Juli 2020 vom Institut für Interne Prüfer (IIA) der USA herausgegeben wurde, aktualisiert das seit Jahren beliebte Modell der drei Verteidigungslinien „Three-Lines-Defense-Model“ (kurz: TLoD) erheblich.

Der neue modifizierte Ansatz, der als „Drei-Linien-Modell“ bezeichnet wird, soll Organisationen dabei helfen, Strukturen und Prozesse zu identifizieren, die die Zielerreichung am besten unterstützen und eine starke Governance und ein starkes Risikomanagement ermöglichen.

Wichtige Trends und Erkenntnisse zu Cyber-Bedrohungen auch für Ihr Unternehmen

Der renommierte amerikanische IT-Secu­rity-Spezialist CrowdStrike hat in seinem jüngst im Juli veröffentlichen jährlichen Bedrohungsreport die internationale Bedrohungslage und die aktuell erkennbaren Trends bei den Cyber-Angriffsmethoden, sowie Zielstellungen der unterschiedlich motivierten Angreifer-Gruppen für das abgelaufene Jahr 2019 analysiert. Daraus hat CrowdStrike aktuelle Schutz-Empfehlungen insbesondere auch für Wirtschaftsunternehmen abgeleitet. Wir haben den Bericht ins Deutsche übersetzt und wichtige ausgewählte Infos und Trends für Sie aufbereitet.

Das Arbeitsgericht Iserlohn entschied (Beschluss 2BV 5/19 vom 14.01.2020), dass Verstöße gegen die Datenschutzgrundverordnung (DSGVO) zur Auflösung des Betriebsrates führen können.

Quelle https://openjur.de/u/2240137.html

Verfahrensinhalt

Zwei Unternehmen, welche in der Automobilzuliefererbranche über einen Gemeinschaftsbetrieb miteinander verbunden waren, bemühten sich eine Tochtergesellschaft zu restrukturieren. Das Scheitern der verschiedenen Versuche führte zur Schließung der betreffenden Standorte der Tochtergesellschaft. Die daraus folgenden betriebsbedingten Kündigungen sämtlicher Arbeitnehmer/-innen führte zu einem Konflikt, welcher durch den Betriebsrat begleitet wurde. Der Betriebsratsvorsitzende versandte daraufhin eine E-Mail an eine Kanzlei für gewerkschaftlichen Rechtsschutz, sowie an andere Kanzleien. Der anhängige Link zu einem Ordner in einer Cloud bestand aus einer großen Datenmenge betriebsinterner Unterlagen, mit mehr als 150 MB (dies entspricht ca. 921 Seiten), [wie z.B. Abschriften von E-Mails, Schriftsätze, Kalenderauszüge, behördlichen Bescheide, Rechnungen Konzeptzeichnungen, Urlaubsanträge, Vertragstexte Präsentationen, Produktlinienkonzepte Bedarfsanforderungen, Lieferantenterminpläne, "Business Acquisation Planning", tabellarische Auflistungen von Kundenanfragen hinsichtlich zu produzierender Teile u.a.] Diese Daten wurden durch den Empfänger im Kündigungsschutzverfahren genutzt. Der Konzern als Arbeitgeber begehrte daraufhin die Auflösung des Betriebsrats seines Gemeinschaftsbetriebes/ Tochtergesellschaft und hilfsweise den Ausschluss des Betriebsratsvorsitzenden.

Ein neuer Leak im Umlauf: Die Bundesregierung plant ein neues „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“ (TTDSG). Dieses neue Gesetz des Bundeswirtschaftsministeriums (BMWi) soll zukünftig im Bereich der Telemedien und der Telekommunikation für Rechtssicherheit sorgen. Es existieren noch verschiedene Gesetze ( DSGVO, TMG und TKG) nebeneinander. Es soll eine Bündelung des Datenschutzes mit dem TTDSG erfolgen. Ein noch nicht veröffentlichter Referentenentwurf (https://www.heise.de/downloads/18/2/9/4/6/4/2/1/20200731_RefE_TTDSG_cleaned.pdf) liegt bereits vor.

In einer Pressemitteilung vom 19.08.2020 positioniert sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDi) Professor Ulrich Kelber zum PDSG und deren Anwendungsfolgen.

Zitat: ”Die Nutzerinnen und Nutzer werden in Bezug auf die von den Leistungserbringern in der ePA (elektronische Patientenakte) gespeicherten Daten zu einem „Alles oder Nichts“ gezwungen. Jede Person, der die Versicherten Einsicht in diese Daten gewähren, kann alle dort enthaltenen Informationen einsehen.” Zitat Ende.

Privacy Shield ungültig

Privacy Shield ungültig? Der Gerichtshof der EU erklärte den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig (siehe curia.europa.eu > C-311/18).

Achtung, speichern Sie personenbeziehbare Daten in den USA, oder
verarbeiten oder nutzen Sie die Dienstleistungen eines US-amerikanischen Unternehmens, oder
nutzt Ihr Dienstleister in der EU seinerseits Unterauftragnehmer in den USA?
Dann müssen Sie jetzt handeln und klären, ob diese Datenverarbeitung weiterhin zulässig ist. Sie sind für die Rechtmäßigkeit jeder Übermittlung verantwortlich, wenn Sie eine solche in Auftrag geben.

Datenschutz ist immer noch ein wichtiges Thema

Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25.Mai 2018 bereits in Kraft gesetzt. Die Benennung eines Datenschutzbeauftragten (DSB) ist in Deutschland erforderlich, wenn in der Regel mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Natürlich gibt es noch speziellere Regeln, wie z.B. für Gemeinschaftsarztpraxen oder Vertragsärzte mit angestelltem Arzt. Dort gilt der Grundsatz: „Ein Datenschutzbeauftragter muss auch dann benannt werden, wenn umfangreiche Verarbeitung besonders geschützter Daten den Kernbereich der Tätigkeit bilden.“

BSI-IT-Grundschutz, die Neuerungen 2020

Am 03.Februar 2020 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutz-Kompendium in der aktuellen Version 2020 veröffentlicht. Die Aktualisierung des IT—Grundschutz-Kompendiums erfolgt inzwischen jährlich. 

Die zahlreichen Änderungen erfordern von den IT Sicherheits Verantwortlichen im Unternehmen in großem Umfang Nacharbeiten, um die Basisanforderungen zu sichten und anzupassen – der überwiegende Teil muss nur einmal angeschaut werden. Dies kann man gut in die jährlich vorgesehene Aktualisierung der Regelungen mit einfließen lassen. Der Umfang zeigt sich deutlich bei den Anforderungen in den einzelnen thematischen Bausteinen mit ca. 1.700 Änderungen.

T-SiG, IT-SiG 2.0, EU NIS-RL, EU Cybersecurity Act

Mehr als vier Jahre ist es her, dass das „erste“ IT-Sicherheitsgesetz (IT-SiG) für Furore sorgte, nachdem es am 12. Juni 2015 vom Bundestag beschlossen wurde. Vieles war damals neu, und fast alles damit auch unklar. Klar war nur: Die Betreiber von sog. „Kritischen Infrastrukturen“ müssen aktiv Maßnahmen zur Cyberabwehr ergreifen. Dabei gab es nicht nur teils hitzige Diskussionen über den Anwendungsbereich der Regelungen – u.a. war strittig, ob auch eine kleine Arztpraxis, die aber das einzige medizinische Angebot in einem erheblichen Umkreis darstellt, kritisch ist – sondern auch im Hinblick auf die sanktionsbewehrten Maßnahmen, die von den Betreibern ebenjener Kritischen Infrastrukturen umzusetzen waren. Der Begriff „Stand der Technik“ entwickelte sich zu jener Zeit zum geflügelten Wort und war in aller Munde. Mittlerweile gibt es einen Konsens darüber, dass der Stand der Technik zumindest die Umsetzung eines betrieblichen IT-Sicherheit-Managementsystems (ISMS) erfordert (TeleTrusT).