IT Review and Prospects

Insights

Jahresrückblick 2016 und Ausblick 2017

Das waren und werden die Legal Themen in den Bereichen Daten­schutz und IT-Sicher­heit

Das Jahr 2016 brachte einige spannende juristische Entwicklungen im Bereich Datenschutz und IT-Sicherheit. Wir zeigen auf, was wichtig war und geben einen Ausblick darüber, was uns im Jahr 2017 erwartet.

Internet der Dinge, M2M, Big Data, Cloud Computing…Angesichts der rasant fortschreitenden globalisierten Digitalisierung und Vernetzung aller Lebens- und Wirtschaftsbereiche rücken die Themen Datenschutz, Datensicherheit und IT Sicherheit im mehr in den Fokus. Die Vielzahl der im Jahr 2016 bekannt gewordenen erfolgreichen Angriffe auf IT-Systeme und Datenleaks hat gezeigt, dass in diesen Bereichen erheblicher Handlungsbedarf besteht. Neue gesetzliche Regelungen greifen diesen Bedarf auf und etablieren umfangreiche Pflichten für Unternehmen. Das sind die Highlights:

I. Datenschutz

1. EU-Datenschutzgrundverordnung:

Die im Bereich Datenschutz wohl wegweisendste Entwicklung im Jahr 2016 war die EU-Datenschutz­grundverordnung (DSGVO), die im Mai 2016 in Kraft getreten ist. Sie schafft europaweit einheitliche Regeln für die Verarbeitung personenbezogener Daten und bringt im Vergleich zum bisherigen Datenschutzrecht einige Änderungen mit sich.

Die DSGVO gilt ab Mai 2018 unmittelbar in allen EU-Mitgliedsstaaten. Bis dahin müssen Unternehmen und öffentliche Hand die neuen Regelungen umgesetzt haben. Die Anpassung der Datenverarbeitungsvorgänge an die Anforderungen der DSGVO dürfte daher im Jahr 2017 für viele Unternehmen im Fokus stehen. Sind Sie bereit für Mai 2018? 

2. Neues Bundesdatenschutzgesetz

Bis Mai 2018 ist auch der deutsche Gesetzgeber gefordert: Er muss nationale Regelungen schaffen, die die DSGVO konkretisieren und ergänzen, z.B. im Bereich des Beschäftigten­datenschutzes. Zwei Entwürfe des neuen Bundesdaten­schutzgesetzes wurden bereits im Jahr 2016 vom Bundesministerium des Innern veröffentlicht. Insbesondere aufgrund der dort vorgesehenen Einschränkung der Betroffenen­rechte sind diese in Datenschutz­kreisen auf Kritik gestoßen.

Das Jahr 2017 wird mehr Klarheit darüber bringen, welche nationalen Regelungen im Datenschutzrecht zu erwarten sind und worauf sich Unternehmen mit Sitz in Deutschland einstellen müssen.

3. Internationale Datentransfers

Auch im Bereich des internationalen Transfers personenbezogener Daten hat sich im Jahr 2016 einiges getan:

Nachdem der Europäische Gerichtshof (EuGH) 2015 die Datenübermittlung in die USA auf Grundlage des „Safe-Harbor-Abkommens“ für rechtswidrig erklärt hatte, haben sich die EU und die USA im Sommer 2016 auf das EU-US Privacy Shield („Privacy Shield“) geeinigt. Derzeit bietet das Privacy Shield eine Rechtsgrundlage für die Übermittlung personen­bezogener Daten an teilnehmende US-Unternehmen. Das Jahr 2017 wird zeigen, ob das Privacy Shield Bestand hat. So haben zum einen die Aufsichts­behörden angekündigt, nach Ablauf eines Jahres zu überprüfen, ob das Privacy Shield den Anforderungen genügt. Zum anderen sind zwei Verfahren gegen das Privacy Shield vor dem Gericht der Europäischen Union (EuG) anhängig.

Die Übermittlung personenbezogener Daten an Drittstaaten außerhalb der EU/ des EWR kann auch auf Basis von Angemessenheits­beschlüssen der EU Kommission oder EU-Standard­vertragsklauseln erfolgen. Im Dezember 2016 hat die EU-Kommission die Grundlage für die Angemessenheits­beschlüssen und die Standard­vertragsklauseln überarbeitet und neue Befugnisse und Pflichten der Aufsichts­behörden und der Kommission verankert. Für die Praxis ändert sich hierdurch zunächst nichts. Der Text der EU-Standard­vertragsklauseln ist unverändert. Allerdings sollten auch hier die Entwicklungen im Jahr 2017 im Auge behalten werden. Die Standard­vertragsklauseln sind inhaltlich noch nicht an die Anforderungen der DSGVO angepasst. Bis Mai 2018 ist eine Überarbeitung zu erwarten.

4. E-Privacy Verordnung

Im Dezember 2016 wurde der erste Entwurf der neuen E-Privacy Verordnung veröffentlicht. Flankierend zur DSGVO sieht die E-Privacy Verordnung europaweit einheitliche Vorgaben für die Verarbeitung personen­bezogener Daten und den Schutz der Privatsphäre bei Diensten im Bereich der elektronischen Kommunikation vor. Die Verordnung soll für Telefonie und Internetanbieter, wie Browser-Anbieter, Website-Betreiber und Over the Top Dienste (Messenger), sowie Anbieter von Internet of Things (IoT) Lösungen gelten.

Das Jahr 2017 wird mehr Klarheit darüber bringen, welche Pflichten auf Anbieter solcher Dienste zukommen.

5. Neue Prozessrisiken im Datenschutzbereich

Datenschutzverstöße können nicht nur von Aufsichtsbehörden, sondern auch von Wettbewerbern und Interessen­verbänden verfolgt werden. Hier besteht ein zunehmend erhöhtes Prozessrisiko. In zunehmender Zahl sehen Gerichte hierin einen Wettbewerbs­verstoß, gegen den Wettbewerber vorgehen können. Zum Beispiel hat das LG Hamburg im März 2016 den Einsatz von Google Analytics ohne entsprechenden Datenschutzhinweis untersagt. Eine weitere Entscheidung des LG Düsseldorf erging im März 2016 zu Social Plugins, wie dem Facebook Like Button.

Bereits im Februar 2016 ist eine Änderung des Unterlassungs­klagengesetzes (UKlaG) in Kraft getreten. Nun kann die Verletzung bestimmter verbraucherschützender Datenschutzvorschriften Unterlassungs- und Beseitigungs­ansprüche entstehen lassen. Anspruchsberechtigt sind unter Anderem Interessenverbände, wie z.B. Verbraucher­schutzverbände. 

II. IT-Sicherheit

1. Kritische Infrastrukturen

Im Juli 2016 ist das IT-Sicherheits­gesetz in Kraft getreten. Es bringt neue Pflichten für Betreiber kritischer Infrastrukturen (KRITIS) mit sich. Diese müssen einen angemessenen und dem Stand der Technik entsprechenden Schutz ihrer IT- und Telekommunikations­systeme (ITK Systeme) gewährleisten und nachweisen. Daneben bestehen die Pflicht zur Benennung eines Ansprechpartners für IT-Sicherheit und eine Meldepflicht bei erheblichen Störungen der ITK-Systeme. Welche Infrastrukturen kritisch sind, wird durch Rechtsverordnung konkretisiert.
Die erste Rechtsverordnung zur Bestimmung der KRITIS für die Sektoren Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung ist im Mai 2016 in Kraft getreten (BSI KritisV). Betreiber von KRITIS in diesen Sektoren müssen bis Mai 2018 die entsprechenden Vorgaben umgesetzt haben. Eine weitere Verordnung für die Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen ist für 2017 angekündigt.

2. NIS Richtlinie

Dem Thema IT-Sicherheit widmet sich auch die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheits­niveaus von Netz- und Informations­systemen in der Union (NIS Richtlinie), die im Juli 2016 in Kraft getreten ist. Sie enthält zum einen Regelungen für Betreiber kritischer Infrastrukturen, die zu großen Teilen den Vorgaben des IT-Sicherheits­gesetzes entsprechen. Zum anderen enthält sie neue Pflichten für Anbieter digitaler Dienste, wie Online Marktplätze, Suchmaschinen und Cloud-Computing Dienste. In Zukunft müssen diese konkrete angemessene und dem Stand der Technik entsprechende IT-Sicherheitsmaßnahmen ergreifen und Sicherheitsvorfälle melden. Die NIS Richtlinie muss bis Mai 2018 vom deutschen Gesetzgeber in nationales Recht umgesetzt werden.

Did you find this useful?

Related topics