Uncategorised

Details
Kategorie: Uncategorised
Zugriffe: 7055

Aktualisierte Bewertung der Rechtslage und regulatorischen Neuerungen (Stand Mai 2024)

Bundesdatenschutzgesetz (BDSG-neu)

Das BDSG entstand als Ergänzung und Konkretisierung zur DSGVO und wurde am 14. Mai 2024 erneut novelliert. Wesentliche Änderungen umfassen:

  • Stärkung der Datenschutzaufsicht: Die Datenschutzkonferenz (DSK) ist nun gesetzlich verankert, was die Koordination zwischen Behörden verbessert.
  • Auskunftsrechte: Anpassungen berücksichtigen aktuelle EuGH-Urteile, insbesondere zur Datenweitergabe wie beim Schufa-Scoring.
  • Datenschutzbeauftragter: Unternehmen sind weiterhin verpflichtet, unter bestimmten Bedingungen einen Datenschutzbeauftragten zu benennen.

Data Act (EU) – in Kraft und ab 12.09.2025 anwendbar

  • Ziel: Erleichterter Zugang zu und Nutzung von nicht-personenbezogenen Daten, insbesondere aus vernetzten Geräten (IoT, Maschinen, Fahrzeuge etc.).
  • Pflichten: Hersteller und Anbieter müssen technische Möglichkeiten für Datenzugang und Datenportabilität schaffen; Cloud-Anbieter müssen Wechselprozesse ermöglichen und Hindernisse abbauen.
  • B2G-Datenzugang: Behörden erhalten unter bestimmten Umständen Rechte auf Datennutzung. Ausnahmen gelten nur für kleine Unternehmen.
  • Geltung: Übergangsregel bis 12. September 2025 – Unternehmen sollten sich jetzt vorbereiten.

Neue Datenschutzgesetze in den USA (ab 2025)

  • Bundesstaatliche Gesetze: Ab 2025 treten neue Datenschutzgesetze u.a. in Florida, Oregon, Texas, Tennessee und Maryland in Kraft. Diese orientieren sich weitgehend am Opt-Out-Prinzip (Datenverarbeitung bis zum Widerspruch).
  • American Privacy Rights Act (APRA): Ein Entwurf für ein erstes bundesweit einheitliches Datenschutzgesetz wurde 2024 vorgestellt und wäre im Fall der Verabschiedung ein Paradigmenwechsel Richtung DSGVO-ähnlicher Rechte (Auskunft, Löschung, Widerspruch).
  • Datentransfers: Ab April 2025 gelten neue US-Vorgaben bei internationalen Datentransfers, insbesondere im Umgang mit „Countries of Concern“ wie China oder Russland. Deutsche Unternehmen mit US-Verbindungen müssen ihre Prozesse überprüfen.

Digital Operational Resilience Act (DORA) der EU

  • Ziel: Harmonisierung und Verschärfung regulatorischer Anforderungen an die digitale Resilienz im Finanzsektor.
  • Pflichten:
    • IKT-Risikomanagement, Incident Management, Reporting und Audits.
    • Überwachung und Governance von Auslagerungen an Drittanbieter und Cloud-Provider.
    • Meldepflichten für schwerwiegende IKT-Vorfälle.
  • Umsetzung: Verbindlich ab 17. Januar 2025. Bis dahin müssen alle betroffenen Finanzinstitute und kritische IKT-Dienstleister die Anforderungen vollständig implementiert haben.
  • Ersetzung bisheriger Vorschriften: BAIT, KAIT, VAIT und ZAIT werden durch DORA abgelöst. Die BaFin hat ihre Aufsichtspraxis zu Cloud-Auslagerungen Anfang 2024 angepasst.

Regulatorische Vorgaben bei Auslagerungen in Deutschland

  • 25b KWG, MaRisk, EBA-Leitlinien: Bleiben relevant, werden aber mit DORA europaweit vereinheitlicht.
    • Risikomanagement und Dokumentation: Institute müssen Auslagerungsmanagement stärken, regelmäßige Risikoanalysen und -berichte vorlegen sowie zentrale Auslagerungsbeauftragte benennen.
    • Cloud-Nutzung: BaFin konkretisierte 2024 Mindeststandards, insbesondere Cybersicherheit und Überwachung von Cloud-Dienstleistungen.

Konsequenzen bei Verstößen

  • DSGVO: Bis zu 20 Mio.€ oder 4% des Jahresumsatzes als Bußgeld.
  • BDSG: Bis zu 300.000€.
  • Strafrecht: Freiheitsstrafen möglich.
  • Schadensersatz und Reputationsschäden: Betroffene können Ansprüche geltend machen; häufig erhebliche Auswirkungen auf das Firmenimage.

Handlungsempfehlungen

  • Bestandsaufnahme: Prüfen Sie Ihre Datenschutz- und Auslagerungsprozesse auf Einhaltung der aktuellen Rechtslage und künftige Anforderungen, insbesondere zu BDSG-neu, Data Act und DORA.
  • Verträge/Cloud-Nutzung: Aktualisieren Sie Cloud-/Outsourcing-Verträge gemäß DORA und neuen BaFin-Vorgaben.
  • IT-Security/BCM: Implementieren Sie Standards wie BSI 200-4 und ISO-Normen zum BCM bzw. zur IT-Sicherheit.
  • Datentransfer in die USA: Überwachen Sie neue US-Regeln und treffen Sie Vorkehrungen, insbesondere bei Beziehungen zu „Countries of Concern“.
  • Reportingsysteme: Setzen Sie Reportingprozesse auf, um den neuen Meldepflichten (z.B. bei IKT-Incidents) nachzukommen.

Hinweis: Die vorliegende Darstellung berücksichtigt die Rechtslage und regulatorischen Neuerungen bis einschließlich Mai 2024. Bleiben Sie besonders bezüglich der US-Datenschutzgesetze und der praktischen Umsetzung des Data Act und von DORA auf dem Laufenden, da hier in den nächsten Monaten weitere Konkretisierungen und nationale Ausführungsregelungen zu erwarten sind.

Neuerungen im Datenschutz

BDSG-neu (Neues Bundesdatenschutzgesetz)

Das BDSG-neu stellt eine Konkretisierung und Ergänzung zur europäischen Datenschutzgrundverordnung (DSGVO) dar. Es enthält spezifische Regelungen für den Datenschutz im Beschäftigungsverhältnis und die Pflicht zur Benennung eines Datenschutzbeauftragten.

Data Act

Der Data Act ist eine europäische Verordnung, die seit dem 11. Januar 2024 in Kraft ist und ab dem 12. September 2025 in allen EU-Mitgliedsstaaten anwendbar sein wird. Ziel dieser Verordnung ist es, den Zugang zu nicht-personenbezogenen Daten zu erweitern und innovative Geschäftsmodelle zu fördern.

Neue Datenschutzgesetze in den USA

Im Jahr 2025 treten in acht weiteren US-Bundesstaaten, darunter Florida, Oregon und Texas, neue Datenschutzgesetze in Kraft. Diese Gesetze zielen darauf ab, den VerbraucherInnen mehr Kontrolle über ihre Daten zu geben.

Diese neuen Gesetze bringen wichtige Änderungen und Anforderungen mit sich, die Unternehmen und Einzelpersonen beachten sollten. 

Datenschutz

Auftragsdatenverarbeitung

  • 11 BDSG / Art. 28 DSGVO: Die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter erfolgt nur auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments, das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet.

Datengeheimnis

  • 5 BDSG / Art. 29 DSGVO: Personen, die Zugang zu personenbezogenen Daten haben, dürfen diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet.

Technische und organisatorische Maßnahmen

  • 9 BDSG i.V.m. Anlage zu § 1 Satz 1 / Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Security und BCM

  • Security und Business Continuity Management (BCM): Der BSI-Standard 200-4 bietet eine praxisnahe Anleitung zur Implementierung eines Business Continuity Management Systems (BCMS), das die organisatorische Resilienz stärkt.

Auskunftspflichten und Prüfungsrechte

  • Auskunftspflichten und Prüfungsrechte: Behörden haben das Recht, Betriebs- und Geschäftsräume zu betreten und Prüfungen vorzunehmen, um die Einhaltung der Datenschutzvorschriften zu überprüfen.

Transparenz und Vollständigkeit

  • Transparenz und Vollständigkeit: Transparenz bedeutet die Offenlegung relevanter Informationen und Daten über Entscheidungsprozesse und Funktionsweisen, um Klarheit und Nachvollziehbarkeit zu gewährleisten.

Aktualität und Reporting-Fähigkeit

  • Aktualität und Reporting-Fähigkeit: Moderne Technologien ermöglichen eine verbesserte Management- und Finanzberichterstattung, die auf die sich ändernden Bedürfnisse des Unternehmens abgestimmt ist.

Folgen bei Verstößen

Verstöße gegen den Datenschutz können schwerwiegende Folgen haben, die sich je nach Art und Schwere des Verstoßes unterscheiden. Hier sind einige der wichtigsten Konsequenzen:

Bußgelder

  • DSGVO: Bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden.
  • BDSG: Das Bundesdatenschutzgesetz (BDSG) sieht Bußgelder von bis zu 300.000 Euro vor.

Strafrechtliche Sanktionen

  • Freiheitsstrafen: Bei schwerwiegenden Verstößen können Freiheitsstrafen von bis zu zwei Jahren verhängt werden.

Schadensersatzansprüche

  • Betroffene Personen: Natürliche Personen, deren Daten betroffen sind, können Schadensersatzansprüche geltend machen.

Reputationsschäden

  • Imageverlust: Ein Datenschutzverstoß kann zu erheblichen Reputationsschäden führen, die das Vertrauen der Kunden und Geschäftspartner beeinträchtigen.

Arbeitsrechtliche Konsequenzen

  • Abmahnungen und Kündigungen: Mitarbeiter, die gegen Datenschutzvorschriften verstoßen, können arbeitsrechtliche Konsequenzen wie Abmahnungen oder Kündigungen erfahren.

Wettbewerbsrechtliche Folgen

  • Abmahnungen durch Wettbewerber: Unternehmen können von Wettbewerbern abgemahnt werden, wenn sie gegen Datenschutzvorschriften verstoßen.

Bekannte Fälle

Facebook-Cambridge Analytica

Im Jahr 2018 wurde bekannt, dass die Datenanalysefirma Cambridge Analytica unrechtmäßig auf die Daten von bis zu 87 Millionen Facebook-Nutzern zugegriffen hatte. Diese Daten wurden ohne Zustimmung der Nutzer für politische Werbezwecke verwendet. Facebook musste eine Strafe von 5 Milliarden US-Dollar an die US-Handelsaufsicht FTC zahlen. Zusätzlich wurden mehrere Klagen von betroffenen Nutzern eingereicht, die zu einem Vergleich führten.

Marriott International

Im Jahr 2018 gab Marriott International bekannt, dass die Daten von etwa 500 Millionen Gästen kompromittiert wurden. Die Datenpanne betraf unter anderem Namen, Adressen, Telefonnummern, E-Mail-Adressen und Passnummern. Marriott musste 52 Millionen US-Dollar zahlen und seine Sicherheitspraktiken verbessern. Die Hotelkette wurde auch von der DSGVO zur Meldung und Benachrichtigung der betroffenen Personen verpflichtet.

Equifax

Im Jahr 2017 erlitt die US-amerikanische Kreditauskunftei Equifax einen massiven Datenverstoß, bei dem die persönlichen Daten von etwa 147 Millionen Menschen, einschließlich Sozialversicherungsnummern und Kreditkartendaten, offengelegt wurden. Equifax einigte sich auf eine Zahlung von bis zu 700 Millionen US-Dollar. Diese Summe umfasst Entschädigungen für betroffene Kunden und Bußgelder an verschiedene US-Bundesstaaten und die Consumer Financial Protection Bureau.

Deutsche Telekom

Im Jahr 2008 wurde bekannt, dass die Deutsche Telekom die Verbindungsdaten von Journalisten und Aufsichtsratsmitgliedern überwacht hatte, um undichte Stellen im Unternehmen aufzudecken. Im Überwachungsskandal der Deutschen Telekom wurden mehrere Mitarbeiter beurlaubt. Der Fall führte zu rechtlichen Untersuchungen und erheblichen Reputationsschäden für das Unternehmen.

 

Regulatorische Vorgaben bei Auslagerungen durch Finanzinstitute

Finanzinstitute müssen bei der Auslagerung von Aktivitäten und Prozessen eine Reihe von regulatorischen Vorgaben beachten, um Risiken zu minimieren und die Stabilität des Finanzsystems zu gewährleisten. Hier sind einige der wichtigsten Anforderungen:

§ 25b KWG (Kreditwesengesetz)

  • Wesentliche Auslagerungen: Diese unterliegen strengen regulatorischen Vorgaben, da sie einen erheblichen Einfluss auf das Risikoprofil eines Instituts haben können. Finanzinstitute müssen sicherstellen, dass die ausgelagerten Tätigkeiten weiterhin unter ihrer Kontrolle und Aufsicht bleiben.
  • Auslagerungsverträge: Diese müssen genaue Regelungen enthalten, um Prüfungsrechte, Weisungsrechte und den Datenschutz zu gewährleisten.

MaRisk (Mindestanforderungen an das Risikomanagement)

  • Risikomanagement: Finanzinstitute müssen ein solides Risikomanagement einführen, das die Risiken von Auslagerungen angemessen berücksichtigt.
  • Interne Governance: Die Governance-Regelungen müssen sicherstellen, dass die ausgelagerten Funktionen mit dem Risikoprofil und dem Geschäftsmodell des Instituts in Einklang stehen.

EBA-Leitlinien (European Banking Authority)

  • Meldepflichten: Finanzinstitute müssen die zuständigen Behörden über wesentliche Auslagerungen informieren und sicherstellen, dass die EBA-Leitlinien eingehalten werden.
  • Überwachung und Bewertung: Die zuständigen Behörden müssen die kontinuierliche Einhaltung der Zulassungsbedingungen der Institute überwachen.

Cloud-Auslagerungen

  • Cloud-Services: Die Nutzung von Cloud-Services erfordert besondere Vorsichtsmaßnahmen, da die Integration in die vorhandene IT-Architektur eine große Herausforderung darstellen kann. Die EBA-Leitlinien zur Auslagerung von 2019 sind eine wichtige Referenz für auslagernde Institute.

 

Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) ist eine umfassende EU-Verordnung, die darauf abzielt, die digitale operative Resilienz im Finanzsektor zu stärken. Hier sind einige der wichtigsten Regelungen und Anforderungen, die DORA für IT-Auslagerungen und Finanzinstitute mit sich bringt:

Hauptziele von DORA

  • Cybersicherheit: DORA legt strenge Anforderungen an die Cybersicherheit fest, um Finanzinstitute vor Cyberangriffen und IT-Risiken zu schützen.
  • IKT-Risiken: Die Verordnung zielt darauf ab, Informations- und Kommunikationstechnologie (IKT)-Risiken zu minimieren und die Widerstandsfähigkeit gegenüber IT-Vorfällen zu erhöhen.

Anforderungen für IT-Auslagerungen

  • Überwachung kritischer IKT-Drittdienstleister: Finanzinstitute müssen sicherstellen, dass ihre IT-Dienstleister den Anforderungen von DORA entsprechen und regelmäßig überwacht werden.
  • Meldepflichten: Finanzinstitute sind verpflichtet, IKT-Vorfälle zu melden und ein Informationsregister zu führen, das alle wesentlichen Auslagerungen dokumentiert.
  • Risikomanagement: DORA fordert ein robustes Risikomanagement, das die Risiken von IT-Auslagerungen angemessen berücksichtigt und Maßnahmen zur Risikominderung implementiert.

Umsetzung und Compliance

  • Nationale Aufsichtsbehörden: In Deutschland wird die BaFin als nationaler Melde-Hub für IKT-Vorfälle fungieren und die Einhaltung der DORA-Anforderungen überwachen.
  • Leitlinien und Standards: Die BaFin und die Deutsche Bundesbank passen ihre Aufsichts- und Verwaltungspraxis an, um die Umsetzung von DORA zu unterstützen.

DORA stellt sicher, dass Finanzinstitute und ihre IT-Dienstleister gut aufgestellt sind, um Cyberrisiken zu begegnen und die digitale operative Resilienz zu stärken.

Fristen im Bezug auf DORA

  • 17. Januar 2023: DORA trat am 17. Januar 2023 in Kraft.
  • 17. Januar 2025: Finanzinstitute und kritische IKT-Dienstleister müssen die Anforderungen von DORA bis zum 17. Januar 2025 vollständig umgesetzt haben.
  • Laufende Überwachung: Finanzinstitute müssen kontinuierlich über ihre IKT-Risiken und -Vorfallmanagement berichten und sicherstellen, dass sie die Anforderungen von DORA einhalten.

Diese Fristen sind entscheidend, um die digitale operative Resilienz im Finanzsektor zu stärken und sicherzustellen, dass alle betroffenen Unternehmen rechtzeitig die notwendigen Maßnahmen ergreifen.

Erwartungen nach den Übergangsfristen

Nach den Übergangsfristen für den Digital Operational Resilience Act (DORA), die am 17. Januar 2025 enden, müssen Finanzinstitute und kritische IKT-Dienstleister die Anforderungen vollständig umgesetzt haben. Hier sind einige der wichtigsten Punkte, die danach gelten:

  • Vollständige Einhaltung: Ab dem 17. Januar 2025 müssen alle betroffenen Unternehmen die DORA-Vorgaben vollständig einhalten. Es gibt keine weiteren Übergangsfristen.
  • Regelmäßige Berichterstattung und Überwachung: Finanzinstitute müssen kontinuierlich über ihre IKT-Risiken und Vorfälle berichten. Nationale Aufsichtsbehörden wie die BaFin überwachen die Einhaltung der DORA-Anforderungen und führen regelmäßige Prüfungen durch.
  • Anpassung von Verträgen: Unternehmen müssen sicherstellen, dass ihre Verträge mit Drittanbietern den neuen verbindlichen Vertragsinhalten entsprechen. Dies kann Nach- oder Neuverhandlungen der betroffenen Verträge erfordern.
  • Sanktionen bei Nichteinhaltung: Bei Nichteinhaltung der DORA-Vorgaben können empfindliche Bußgelder und andere rechtliche Konsequenzen verhängt werden.

Überwachung

Die Überwachung des Digital Operational Resilience Act (DORA) erfolgt durch mehrere europäische und nationale Aufsichtsbehörden, die sicherstellen, dass Finanzinstitute und kritische IKT-Drittdienstleister die Anforderungen der Verordnung erfüllen. Hier sind einige wichtige Aspekte der Überwachung:

  • Europäische Aufsichtsbehörden: Die European Banking Authority (EBA), die European Securities and Markets Authority (ESMA) und die European Insurance and Occupational Pensions Authority (EIOPA) sind federführend bei der Überwachung kritischer IKT-Drittdienstleister. Diese Behörden stellen sicher, dass die Dienstleister die Anforderungen von DORA erfüllen und überwachen deren Aktivitäten.
  • Nationale Aufsichtsbehörden: In Deutschland übernimmt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine zentrale Rolle bei der Überwachung von DORA. Die BaFin fungiert als nationaler Melde-Hub für IKT-Vorfälle im Finanzsektor und nimmt Anzeigen im Rahmen des IKT-Drittparteienmanagements entgegen. Die BaFin und andere nationale Aufsichtsbehörden überwachen kontinuierlich die Einhaltung der DORA-Anforderungen durch Finanzinstitute und kritische IKT-Dienstleister.
  • Meldepflichten und Berichterstattung: Finanzinstitute müssen IKT-Vorfälle melden und ein Informationsregister führen, das alle wesentlichen Auslagerungen dokumentiert. Die Aufsichtsbehörden verlangen regelmäßige Berichte über die IKT-Risiken und das Vorfallmanagement der Finanzinstitute.

Herausforderungen

Die Umsetzung des Digital Operational Resilience Act (DORA) bringt mehrere Herausforderungen mit sich, die Finanzinstitute bewältigen müssen. Hier sind einige der wichtigsten:

  1. Entwicklung eines IKT-Risikomanagementrahmens
  2. Erstellung eines Informationsregisters
  3. Operationalisierung des Incident Managements
  4. Zusammenarbeit mit Drittanbietern
  5. Kosten und Ressourcen

Diese Herausforderungen verdeutlichen, dass die Umsetzung von DORA mehr als nur ein regulatorisches Pflichtprogramm ist. Es erfordert eine umfassende und integrierte Herangehensweise, um die digitale operative Resilienz zu stärken.

Vorschriften, die mit DORA abgelöst werden

Mit der Einführung des Digital Operational Resilience Act (DORA) werden mehrere bestehende Vorschriften und Leitlinien abgelöst oder integriert, um eine einheitliche Regulierung für die digitale operative Resilienz im Finanzsektor zu schaffen. Hier sind einige der wichtigsten Vorschriften, die durch DORA ersetzt oder ergänzt werden:

  • BAIT (Bankaufsichtliche Anforderungen an die IT): Die BAIT wird schrittweise ab dem 17. Januar 2025 aufgehoben.
  • KAIT (Kreditwesengesetzliche Anforderungen an die IT): Die KAIT wird ebenfalls zum 17. Januar 2025 aufgehoben.
  • VAIT (Versicherungsaufsichtliche Anforderungen an die IT): Die VAIT wird zum gleichen Datum aufgehoben.
  • ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT): Auch die ZAIT wird zum 17. Januar 2025 aufgehoben.
  • Rundschreiben 03/2022 (BA): Dieses Rundschreiben wird ebenfalls zum 17. Januar 2025 aufgehoben.

 

 

 

 

Corporate Compliance

■Internes Kontrollsystem:

  • 91 Abs. 2 AktG, § 25a KWG, MaRisk AT 4.3

IT Security:

■§§ 8a, b BSIG i.V.m. BSI-KRITIS-VO

(2. Korb, vorauss. 2017)

■BSI- und ISO-Standards

Arbeits- und Sozialrecht

■Arbeitnehmerüberlassung:

AÜG

■Scheinselbständigkeit:

SGB

■Betriebsübergänge:

  • 613a BGB

Intellectual Property

■Rechte an Arbeitsergebnissen:

  • § 31 ff. UrhG (u.a.)

■Arbeitnehmererfindungen

(ArbnErfG)