I

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | UVW | XYZ

 

Incident-Management-Prozess

Siehe Meldung von Datenschutzverstößen.

Internationaler Datenschutz

Bei grenzüberschreitenden Übermittlungen personenbezogener Daten und der Einschaltung von Dienstleistern zur Verarbeitung personenbezogener Daten (siehe Auftragsdatenverarbeitung) stelle sich besondere datenschutzrechtliche Anforderungen. Die verantwortliche Stelle muss hierfür sicherstellen, dass die personenbezogenen Daten beim Datenempfänger bzw. Dienstleister adäquat geschützt sind.

Für EU- und EWG-Mitgliedsstaaten ist ein adäquates Schutzniveau durch die Datenschutzrichtlinie bzw. in Zukunft die EU-Datenschutzgrundverordnung gewährleistet. Für andere Staaten, wie z.B. Argentinien, Australien, Kanada oder Neuseeland hat die EU-Kommission das lokale Datenschutzrecht geprüft und festgestellt, dass ein adäquates Schutzniveau besteht. Diese Staaten sind sichere Drittstaaten. Datenübermittlungen in diese Staaten erfordern im Vergleich zu Datenübermittlungen in EU- oder EWG-Staaten keine weiteren Maßnahmen.

Für andere Staaten (unsichere Drittstaaten) muss die verantwortliche Stellen (vertraglich) ein angemessenes Schutzniveau bei dem Datenempfänger bzw. Dienstleister sicherstellen. Hierfür stehen insbesondere die EU-Standardvertragsklauseln zur Verfügung und für konzerninterne Übermittlungen Binding Corporate Rules. Die Möglichkeit Übermittlungen in die USA nach den Safe-Harbor-Prinzipien zu rechtfertigen ist mit der Safe Harbor Entscheidung des EuGH entfallen.

Internet und Intranet

Unternehmen betreiben zur externen Kommunikation Internetseiten auf denen das Unternehmen, Produkte und Leistungen beschrieben werden. Das Spiegelbild zum Zweck interner Kommunikation ist das Intranet. Soweit Informationen über Beschäftigte und insbesondere Fotos von Beschäftigten im Internet oder Intranet veröffentlicht werden, gilt es Unternehmensinteressen und das informationelle Selbstbestimmungsrecht sowie das Recht am eigenen Bild abzuwägen. Hierbei gilt, je höher die Position und die Sichtbarkeit des betroffenen Beschäftigten ist, desto eher können Unternehmensinteressen eine Veröffentlichung rechtfertigen. Idealerweise sollten Arbeitgeber, Beschäftigte und ggf. der Betriebsrat sich zur Veröffentlichung von Beschäftigtendaten in Internet und Intranet verständigen und klare Regeln formulieren.

Impressum

Anbieter von Telemediendiensten, wie Webseitenbetreiber, müssen unter den Voraussetzungen gemäß § 5 TMG gewisse Pflichtangaben auf ihrem Telemediendienst (der Webseite) leicht erreichbar zur Verfügung stellen. Zweck der Impressumpflicht ist es unter anderem, den Dienstanbieter für Nutzer identifizierbar zu machen und eine Kontaktmöglichkeit zu schaffen. Die konkret erforderlichen Angaben hängen unter anderem von der Rechtsform und dem Tätigkeitsbereich des Dienstanbieters ab und ergeben sich aus § 5 TMG.

ISO/IEC 27001

Die Norm ISO/IEC 27001 enthält Vorgaben für ein „Informationssicherheits-Managementsystem“ (ISMS). Ein ISMS besteht aus aufeinander abgestimmten Richtlinien, Verfahrensweisen und Ressourcen, die ein Unternehmen zu dem Zweck einsetzt, die Informationssicherheit zu kontrollieren und fortlaufend zu verbessern. Vorläufer des ISO-Standards 27001 gehen bis in die 1980er Jahre zurück. Der Standard ist Teil einer Normreihe (ISO/IEC 2700x), deren praktisch wichtigste Dokumente sind zum einen ISO/IEC 27001 (abstrakte Beschreibung eines ISMS) und zum anderen ISO/IEC 27002 (Empfehlungen für eine konkrete Implementierung).

Das in ISO/IEC 27001:2013 beschriebene ISMS kann prinzipiell in jeder Art von Organisation eingesetzt werden, unabhängig von Größe und Sektor. Da das ISMS somit für sehr verschiedene Einsatzszenarien passen muss, schreibt der normative Teil nicht im Einzelnen bestimmte Sicherheitsmaßnahmen vor, sondern beschränkt sich eher auf generelle Anforderungen an die Organisationsstruktur.

ISO/IEC 27002:2013 enthält demgegenüber eine (nicht verbindliche) Liste von 35 Maßnahmenzielen (control objectives) mit dem übergeordneten Zweck des Schutzes der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen im Unternehmen. Zum Erreichen der Maßnahmeziele werden dann auf einer konkreteren Ebende mehr als hundert Maßnahmen (controls) vorgeschlagen.

Die Implementierung des Standards ISO/IEC 27001 ist insbesondere solchen Unternehmen zu empfehlen, die in größerem Umfang personenbezogene Daten verarbeiten. So schafft eine Zertifizierung nach ISO 27001 gegenüber den Betroffen Vertrauen. Zum anderen können Unternehmen, die als Auftragsdatenverarbeiter tätig sind, ihren Auftraggebern die Erfüllung ihrer gesetlichen Prüfpflichten (§ 11 Abs. 2 S. 4 BDSG) durch die Vorlage eines aktuellen ISO/IEC 27001-Zertifikats sehr erleichtern und z.B. eigene Audits durch den Auftraggeber vermeiden. Bei der Prüfung solcher Zertifikate müssen die Auftraggeber allerdings insbesondere darauf zu achten, ob das zertifizierte ISMS auch die relevanten Datenverarbeitungsvorgänge umfasst („ISMS Scope“) und welche Festlegungen das zerzifizierte Unternehmen im Hinblick auf das Risikomanagement grundsätzlich getroffen hat („Statement of Applicability“).

IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt die IT-Grundschutzkataloge heraus, mit den Standard-Sicherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme empfohlen werden. Der Standard ist strukturell und inhaltlich an die Norm ISO/IEC 27001 angepasst worden, so dass eine Implementierung der in den Grundschutzkatalogen genannten Maßnahmen zugleich ein ISMS nach der ISO-Norm umsetzt. Daher können Zertifizierungen nach ISO 27001 auch „auf Basis von IT-Grundschutz“ (also durch Implementierung der IT-Grundschutz-Empfehlungen des BSI) erlangt werden.

IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz soll den Schutz sogenannter kritischer Infrastrukturen gegen Cyberangriffe verbessern. Damit reiht es sich ein in parallele internationale und europäische Bestrebungen (siehe die Cybersicherheitsstrategien von Bundesregierung und EU-Kommission und das Dekret Cybersicherheit von US-Präsident Obama vom Februar 2013). Bei dem IT-Sicherheitsgesetz handelt es sich um ein sogenanntes Artikelgesetz, d.h. ein Gesetz, durch das eine Reihe bestehender Gesetze geändert werden. Es soll ferner unter anderem die Netz- und Informationssicherheitsrichtlinie der EU, auf die sich der Rat und EU-Parlament Ende 2015 geeinigt haben, in das deutsche Recht umsetzen.

Im Zuge des IT-Sicherheitsgesetzes werden Betreiber kritischer Infrastrukturen – aus den Bereichen Energie, IT und Telekommunikation, Transparenz und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen – verpflichtet, angemessene technisch-organisatorische Maßnahmen zur IT-Sicherheit zu ergreifen. Zur Konkretisierung dieser Pflicht sollen Branchenstandards erarbeitet und dem BSI zur Anerkennung vorgelegt werden. Außerdem enthält das Gesetz für Betreiber kritischer Infrastrukturen Meldepflichten bei Sicherheitsvorfällen gegenüber dem BSI (im TK-Bereich gegenüber der Bundesnetzagentur).

Für Websitebetreiber ist relevant, dass auch die allgemeine Sicherheit im Internet gestärkt werden soll. Dazu sollen Telemedienanbieter verpflichtet werden, Maßnahmen zu ergreifen, um die technischen Einrichtungen zu schützen gegen

  1. unerlaubten Zugriff,
  2. Datenschutzverletzungen und
  3. gegen Störungen einschließlich äußerer Angriffe.

Als eine Maßnahme hierzu wird im Gesetz insbesondere der Einsatz von Verschlüsselungsverfahren genannt.