Auf Anfrage von N3MO beantwortet Rechtsanwalt Christian Schmidt in einem Statement die Frage nach den Obliegenheiten zum Schutz vor Cyber-Angriffen.
Die Einführung der neuen Datenschutz-Grundverordnung (DS-GVO) Mitte letzten Jahres sowie aktuelle und spektakuläre Datendiebstähle sorgen weiterhin für viel Unsicherheit und ungeklärte Fragen in den Praxen und den Unternehmen.
So erreichen uns bei N3MO immer wieder Anfragen wie diese:
– Muss ich mich tatsächlich auf einen Cyber-Angriff auf mein Unternehmen vorbereiten?
– Wie gefährdet ist mein Unternehmen eigentlich?
– Besteht wirklich eine Handlungspflicht oder ist das Thema gerade “modern”?
Rechtsanwalt Christian Schmidt ist Fachanwalt für Urheber- und Medienrecht sowie Fachanwalt für Informationstechnologierecht (IT) in der Lübecker Kanzlei Schmidt & Schmidt. Im Rahmen unserer Zusammenarbeit haben wir ihn um ein aktuelles juristisches Statement zu den Obliegenheiten (Verpflichtungen im Sinne gesetzlicher Vorschriften) von Unternehmen gebeten.
Hier die Antwort von Christian Schmidt:
Tatsächlich geht es nicht um die reale Bedrohung durch einen Cyber-Angriff. Diese Gefahr mag in der Tat vielleicht eher gering sein. Allerdings ist sie aber auch nicht, als eine bloße Mode der heutigen Zeit zu verstehen.
Für jeden Unternehmer ist es spätestens mit der Umsetzung der DS-GVO zu einer Hauptpflicht geworden, sich über die Möglichkeiten und Auswirkungen eines Cyber-Angriffs und der eigenen Widerstandsfähigkeit des Unternehmens gegen derartige Angriffsszenarien, ernsthafte Gedanken zu machen. Und nicht nur Gedanken!
Nach Art. 24 I DS-GVO ist der Verantwortliche in einem Unternehmen gesetzlich dazu verpflichtet, sicherzustellen und nachzuweisen, dass die von ihm vollzogenen Verarbeitungen personenbezogener Daten unter Einhaltung der Bestimmungen der DS-GVO erfolgen. Hier sind also ganz konkrete Maßnahmen gefragt.
Der Verantwortliche hat unter Berücksichtigung des Stands der Technik, der damit verbundenen Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der jeweiligen Verarbeitung personenbezogener Daten, geeignete technische und organisatorische Maßnahmen zu ergreifen.
Hierbei sind ebenfalls unterschiedliche Eintrittswahrscheinlichkeiten und die Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen mit zu berücksichtigen. Wo dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, sind “geeignete Datenschutzvorkehrungen” zu etablieren.
Es geht also nicht um die Frage, ob das eigene Unternehmen interessant für einen Hackerangriff wäre und wie wahrscheinlich ein solcher Hackerangriff überhaupt für das Unternehmen ist. Die Frage ist: Verfügen das eigene Unternehmen und die eigenen Verarbeitungsprozesse personenbezogener Daten über geeignete Datenschutzvorkehrungen, die nicht nur einem Cyber-Angriff, sondern jeglichen Angriffen und des damit verbundenen Verlustes der Vertraulichkeit standhalten können.
Mit der Umsetzung der DS-GVO trifft den jeweiligen Verantwortlichen eine Rechenschaftspflicht
Die an den Verantwortlichen durch die DS-GVO gerichteten Anforderungen, setzen auf einen risikoorientieren Ansatz und nehmen ihn in die Pflicht, über “geeignete technische und organisatorische Maßnahmen” die rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen.
Hierfür sind Maßnahmen im eigenen Unternehmen zu etablieren, die unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.
Gerade bei der Verarbeitung besonderer Kategorien personenbezogener Daten, zum Beispiel die Gesundheitsdaten von Patienten, ist laut den gesetzlichen Erwägungsgründen der DS-GVO von einem grundsätzlichen Risiko für die Rechte und Freiheiten von den Betroffenen auszugehen. Den Verantwortlichen trifft in solchen Fällen die gesetzliche Verpflichtung, hier ein besonderes Augenmerk auf die technische und organisatorische Umsetzung der Maßnahmen zu legen.
Welche technischen und organisatorischen Maßnahmen im Einzelnen in Betracht kommen, legt die DS-GVO hingegen nicht fest und lässt das Unternehmen an dieser Stelle mit einem fehlenden Maßnahmenkatalog im Stich. Dem Unternehmen bleibt nur die gesetzliche Verpflichtung, den Nachweis angemessener Maßnahmen zu dokumentieren.
Fazit:
Der Gesetzgeber hat den Unternehmen und ihren Verantwortlichen die eigene Entscheidung abgenommen, ob man sich vor einem Cyber-Angriff schützen sollte. Der Gesetzgeber setzt es schlichtweg voraus, dass das Unternehmen ein entsprechendes angemessenes Schutzniveau besitzt.
Es ist daher nicht die Frage, ob das eigene Unternehmen auf einen Cyber-Angriff vorbereitet werden soll, sondern, gerade bei der Verarbeitung besonderer Kategorien von personenbezogen Daten, ob die bisher getroffenen technischen und organisatorischen Maßnahmen bereits gegen einen Cyber-Angriff schützen. Ist dies nicht der Fall – besteht akuter Handlungsbedarf.
+++++
N3MO hat sich mit seinen Dienstleistungen auf die Bereiche Datenschutz und Cyber-Sicherheit spezialisiert.
Erfahren Sie mehr über das N3MO-Angebot und Ihre Möglichkeiten.
N3MO mit Sitz in Eckernförde hat sich auf Marketing-Kommunikation für niedergelassene Mediziner und Heilberufe spezialisiert. Spezielle Schwerpunkte sind Reputationsmanagement, Online- und Inbound-Marketing. Das Unternehmen bietet bundesweit umfassende Dienstleistungen für die kreative Online-Kommunikation, Datenschutz, Cyber-Sicherheit sowie strategische Beratung zur optimalen Positionierung im jeweiligen Markt.
N3MO arbeitet mit speziellen Konzepten, die sich von üblichen Maßnahmen deutlich abheben, z.B. mit dem elektronischen Patienten-Informations-System e|pat|in®, aber auch mit umfangreichen Leistungen im Bereich Kunden- bzw. Patienten-Beziehungs-Management (CRM).
Kontakt
N3MO UG (haftungsbeschränkt) & Co. KG
Wolfgang Koll
Marienthaler Strasse 17
24340 Eckernförde
04351/666648-0
04351/666648-9
info@n3mo.de
https://www.n3mo.de