[datensicherheit.de, 02.05.2025] Wie sich kleine und mittlere Unternehmen (KMU) auf den „AI Act“ der Europäischen Union (EU) vorbereiten, soll Gegenstand eines kostenfreien Workshop der TH Wildau sein: In Online-Sessions und an einem Präsenztag auf dem Campus wird es Mitte Mai 2025 darum gehen, was künftig bei der Entwicklung und Anwendung Künstlicher Intelligenz (KI) zu beachten ist. „Es sind keine Vorkenntnisse notwendig.“ Die Teilnahme für Brandenburger KMU ist kostenfrei, erfordert jedoch eine vorherige Online-Anmeldung.

Neue Vorschriften und Anforderungen aus dem „AI ACT“

In der Woche vom 12. bis 16. Mai 2025 findet demnach ein „Blended-Learning-Workshop“ zum Thema „Der EU AI Act – Was kommt auf KMU zu?“ statt. Zielgruppe sind KMU-Verantwortliche, welche KI entwickeln oder anwenden – die zur Teilnahme erforderliche Anmeldung ist bis 7. Mai 2025 möglich.

„In flexiblen Online-Sessions (12. bis 15. Mai) und einem interaktiven Präsenztreffen am 16. Mai 2025 auf dem Campus der Technischen Hochschule Wildau (TH Wildau) wird auf die neuen Vorschriften und Anforderungen aus der KI-Verordnung der Europäischen Union, dem ,AI Act’, eingegangen.“

„EU AI Act“ trat zum 1. August 2024 in Kraft

In einer Arbeitswelt, in der KI zunehmend den Alltag durchdringt, trat zum 1. August 2024 der „EU AI Act“ in Kraft, um Sicherheit zu gewährleisten, Grundrechte zu schützen und gleichzeitig Innovation zu fördern. Für KMU-Verantwortliche ist es deshalb jetzt wichtig, die Auswirkungen der KI-Verordnung zu verstehen und Mitarbeiter zu sensibilisieren.

„Ziel des Workshops ist es, KMUs in Brandenburg praxisnahe Einblicke in die neue EU-Verordnung über Künstliche Intelligenz zu geben und sie bei der Umsetzung im Unternehmensalltag zu unterstützen.“ KMU, welche KI entwickeln oder anwenden, sollen einen umfassenden Überblick über die Anforderungen des „EU AI Act“ bekommen. Die Teilnehmer sollen darüber hinaus praxisnahe Informationen zur Risikoklassifizierung von KI-Systemen, zu Dokumentations- und Transparenzpflichten sowie zu Technischen und Organisatorischen Maßnahmen (TOM) zur Einhaltung der neuen Vorschriften erhalten.

Konkretisierung der „EU AI Act“-Anforderungen für KMU-Arbeitsalltag

Organisiert wird die Veranstaltung in Kooperation mit dem Zukunftszentrum Brandenburg, der Forschungsgruppe „iC3@smartproduction“ an der TH Wildau sowie dem „Think Tank iRights.Lab Berlin“.

Folgende Inhalte und Fragestellungen werden konkret bearbeitet:

• Was bedeutet der ,EU AI Act’ konkret für KMU und ihren Arbeitsalltag?
• Welche Chancen und Risiken beinhaltet der ,EU AI Act’ für Innovation und Wachstum in KMU?
• Welche Pflichten müssen Sie zukünftig bei der Nutzung von ,ChatGPT’ & Co. beachten?
• Praxistransfer – Fallstudien und Praxisbeispiele mit entsprechenden Handlungsempfehlungen.
• Erleben Sie KI hautnah in der Praxis – live in der Wildauer „smartproduction“!

Das Organisationsteam bietet dazu ein sogenanntes Blended-Learning-Programm an. Teilnehmer können sich die Online-Sessions (sieben einzelne Videokurse / ca. drei Stunden) frei einteilen. Zusätzliche Fragen oder auch offene Themen werden dann beim Präsenztreffen am 16. Mai 2025 (9.30 bis 15.30 Uhr) an der TH Wildau vertieft.

Zur Anmeldung:

TH WILDAU
Workshop: Der EU AI Act – Was kommt auf KMU zu?

Weitere Informationen zum Thema:

Zukunftszentrum Brandenburg
Arbeit zusammen gestalten

datensicherheit.de, 05.02.2025
AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz / Die neue Regelung setzt das Verbot bestimmter KI-Systeme durch und legt Anforderungen an die -Kenntnisse der Beschäftigten fest

datensicherheit.de, 04.02.2025
AI Act: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft / Eigentlich sollte der „AI Act“ für Rechtssicherheit in Europa sorgen – aktuell droht das genaue Gegenteil, so die Bitkom-Kritik

datensicherheit.de, 03.02.2025
AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen! / Ab dem 2. Februar 2025 verbietet der „AI Act“ Manipulation durch KI, „Social Scoring“ und biometrische Fernidentifikation in Echtzeit

[datensicherheit.de, 19.03.2025] Seit dem 18. Oktober 2024 ist nun NIS-2 – die verbindliche Cyber-Sicherheits-Richtlinie der EU – in Kraft. Das entsprechende nationale Umsetzungsgesetz wurde in Österreich demnach zwar als Entwurf des „NISG 2024“ (Initiativantrag zum Netz- und Informationssicherheitsgesetz 2024) im Juni 2024 im Nationalrat behandelt, scheiterte aber an der notwendigen Zweidrittelmehrheit und wurde bislang nicht weiterverfolgt. Dennoch sollten die betroffenen Unternehmen und Organisationen bereits jetzt handeln und nicht erst auf die Gesetzgebung warten, betont Amir Salkic, „Head of CyberSecurity Consulting Austria“ der SEC Consult Group, in seiner aktuellen Stellungnahme.

Foto: SEC Consult Group

Amir Salkic zu NIS-2-Folgen: Neu ist, dass die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei Aktiengesellschaften nun persönlich haftbar sind!

Verantwortliche sollten so schnell wie möglich überprüfen, ob NIS-2 auch ihre Unternehmens-IT betrifft

„Auch wenn die Gesetzestexte noch nicht rechtskräftig vorliegen, bietet die NIS-2-Richtlinie doch die grundlegenden Vorgaben für Sicherheitsmaßnahmen, die spätestens jetzt in Angriff genommen werden sollten“, erläutert Salkic. Denn die Implementierung der Maßnahmen könne – abhängig vom Reifegrad der Cyber-Sicherheit – viele Monate in Anspruch nehmen.

Da im Vergleich zu NIS-1 nun auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie unter die NIS-2-Richtlinie fielen und die Einführung einer „size-cap“-Regel zusätzlich die Palette der betroffenen Unternehmen erweitere, könnten auch KMU unter diese Regelungen fallen. „Deshalb sollten die Verantwortlichen so schnell wie möglich überprüfen, ob NIS-2 auch ihre Unternehmens-IT betrifft!“

Salkic weist auch auf die neuen, strengeren Haftungsvorschriften hin: „Neu ist, dass die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei Aktiengesellschaften nun persönlich haftbar sind!“ Dies könne – je nach Art der Einrichtung – von bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes bis hin zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gehen.

Worauf das Management achten sollte – der NIS-2-Maßnahmenkatalog

Grundsätzlich müssten betroffene Unternehmen und Organisationen geeignete Sicherheitsmaßnahmen ergreifen, um die Vertraulichkeit, Verfügbarkeit und Integrität ihrer Netzwerke und IT-Systeme zu gewährleisten.

Salkic führt hierzu aus: „Dazu gehören die Entwicklung von Konzepten für Risikoanalysen und die Sicherheit von Informationssystemen sowie Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.“

Sollte es zu einem die Cyber-Sicherheit verletzenden Vorfall kommen, so müssten betroffene Organisationen das österreichische Innenministerium unverzüglich über signifikante Störungen, Vorfälle und Bedrohungen – und, wo möglich, auch die Kunden ihrer Dienstleistungen – unterrichten. „Das bedeutet: Es muss binnen 24 Stunden eine Frühwarnung erfolgen, bis spätestens 72 Stunden später eine Detailmeldung und binnen eines Monats ein Abschlussbericht.“

Deutsches NIS-2-Gesetz kann auch für österreichische Unternehmen relevant sein

Die engen wirtschaftlichen Verbindungen Österreichs zum Nachbarn Deutschland bedingen laut Salkic auch, dass viele österreichische Unternehmen dem deutschen NIS-2-Umsetzungsgesetz unterliegen: „Sei es, weil die deutsche Muttergesellschaft interne Richtlinien vorgibt, die auch für österreichische Tochtergesellschaften gelten, oder weil heimische Unternehmen deutsche NIS-2-Einrichtungen beliefern und diese Cyber-Sicherheitsanforderungen vertraglich festlegen.“

Auch in Deutschland habe das NIS-2-Umsetzungsgesetz zwar das Bundeskabinett passiert, sei aber noch nicht dem Bundestag zu Beschlussfassung vorgelegt worden. Dennoch rät Salkic auch hierbei, sich bereits jetzt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren und sicherzustellen, dass die Mindestvorgaben in Sachen Cyber-Sicherheit umgesetzt werden.

„Dies umfasst wie auch in Österreich organisatorische Auflagen wie etwa die Einführung von Risiko-Management, ,Information Security Management’, den Einsatz von Multi-Faktor-Authentisierung und SSO oder den Einsatz sicherer Sprach-, Video- und Text-Kommunikation. Im Fall eines Sicherheitsvorfalls muss das BSI innerhalb von 24 Stunden informiert werden“, so Salkic zum Abschluss seiner Stellungnahme.

Weitere Informationen zum Thema:

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

[datensicherheit.de, 08.02.2025] In Expertenkreisen gilt das Gesetzgebungsverfahren zur NIS-2-Umsetzung in Deutschland vorerst als gescheitert: Volker Scholz, „Information Security Architect“ bei Axians, rät in seiner Stellungnahme den betroffenen Unternehmen indes, die somit gewonnene Zeit dringend zu nutzen anstatt abzuwarten. Diese EU-Richtlinie gelte nämlich bereits – und sobald das nationale Gesetz schließlich doch in Kraft tritt, seien dann die Anforderungen sofort umzusetzen, also ohne weitere Übergangsfrist. Cyber-Sicherheit sollte nicht als bürokratische Hürde, sondern als Chance verstanden werden, so auch Scholz’ Forderung. „Wer jetzt schon gezielt Maßnahmen ergreift, profitiert langfristig und kann sich einen Wettbewerbsvorteil sichern.“ Fünf Schritte seien jetzt für Unternehmen entscheidend und Entscheider sollten diese neue Verantwortung ernst nehmen.

Foto: Axians

Volker Scholz: Wer frühzeitig mit der NIS-2-Anpassung der internen Prozesse beginnt, hat später weniger Aufwand!

Insbesondere KMU sollten nicht auf das Wirksamwerden des NIS-2-Umsetzungsgesetzes warten

Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS-2-Umsetzungsgesetz in dieser Legislaturperiode sorge derzeit für Schlagzeilen und Verunsicherung. Für die meisten Unternehmen bestehe dazu jedoch kein Anlass: „Nur etwa ein Prozent der Unternehmen sind in Deutschland direkt betroffen, durch ihre Einbindung in die Lieferkette können es insgesamt bis zu sieben Prozent sein.“ Es handele sich dabei um Konzerne und KMU, „die Kritische Infrastrukturen betreiben oder in Kritischen Wirtschaftssektoren tätig sind, sowie um wichtige Zulieferer“.

Mittelständische und kleinere Unternehmen sollten jedoch nicht auf das Wirksamwerden des NIS-2-Umsetzungsgesetzes warten, denn die geforderten Risikomaßnahmen der Richtlinie seien bereits seit Jahren bekannt und nicht Gegenstand der aktuellen politischen Diskussionen. „Eine solide Sicherheitsstrategie ist auch unabhängig von regulatorischen Vorgaben sinnvoll, um wirtschaftliche Risiken zu minimieren!“

Die Gründe für das Scheitern des Gesetzgebungsverfahrens zum NIS-2-Umsetzungsgesetz seien vielfältig. Fest stehe jedoch: „Wegen der anstehenden Bundestagswahl kann ein neues nationales Gesetz erst von der neuen Regierung – also frühestens Ende 2025 – verabschiedet werden.“ Aber auch ohne ein neues Gesetz gelte die NIS-2-Richtlinie bereits in der EU. Scholz warnt: „Wer jetzt nicht handelt, verspielt wertvolle Zeit, die er für die Umsetzung der Vorgaben schon nutzen könnte. Denn mit Wirksamwerden des NIS-2-Umsetzungsgesetzes müssen die Maßnahmen bereits umgesetzt sein. Eine Übergangsfrist ist nicht vorgesehen.“

NIS-2-Anforderungen seit 2022 bekannt

Die zugrundeliegende EU-Richtlinie sei seit 2022 bekannt und ihre Risikomaßnahmen blieben bestehen. Die Verzögerung bis mindestens Ende 2025 biete nun eine gute Gelegenheit, sich angemessen vorzubereiten. Geforderte Maßnahmen wie Risikomanagement, „Incident Response“ und „Business Continuity“ entsprächen bereits seit Jahren dem sogenannten Stand der Technik und seien keine neuen Konzepte, sondern bewährte Praktiken. Die entscheidende Neuerung sei die ausdrückliche gesetzliche Verantwortung der Geschäftsleitung für die Umsetzung der Maßnahmen.

Scholz betont: „Führungskräfte sollten sich bewusst sein, dass ,Cyber Security’ nicht mehr nur eine technische Herausforderung ist, sondern eine strategische Aufgabe auf Managementebene. Unternehmen, die bereits mit Standards wie ISO 27001 oder dem BSI-Grundschutz arbeiten, werden feststellen, dass sie viele der Anforderungen schon heute erfüllen.“ Jetzt gehe es darum, diese Standards im Hinblick auf NIS-2 zu schärfen und die gesamte Organisation für Cyber-Security-Risiken zu sensibilisieren.

„Wer schon heute Prozesse etabliert, kann sich einen Wettbewerbsvorteil verschaffen – denn Cyber-Sicherheit ist nicht nur eine gesetzliche Pflicht, sondern auch ein Qualitätsmerkmal.“ Zudem falle es Betroffenen leichter, sich auf zukünftige Anforderungen einzustellen, „wenn sie sich bereits mit den Grundlagen von NIS-2 vertraut gemacht haben“.

5 Tipps zur Vorbereitung betroffener Unternehmen auf NIS-2-Umsetzung in Deutschland

Scholz empfiehlt Unternehmen, mit diesen fünf Schritten zu beginnen:

1. Durchführung einer Betroffenheitsanalyse
Falls nicht längst geschehen, sollten Unternehmen abklären, ob sie direkt oder indirekt betroffen sind, um gezielte Maßnahmen zu ergreifen.

2. Etablierung einer Sicherheitsorganisation
Verantwortlichkeiten für Cyber-Sicherheit gelte es zu definieren und sicherzustellen, dass die Geschäftsleitung involviert ist.

3. Entwicklung von Meldeprozessen
Klare Strukturen für „Incident Response“ und Meldungen an das BSI müssen festgelegt werden, um auf Vorfälle vorbereitet zu sein.

4. Identifizierung der IT-Risiken
Ein strukturiertes „Asset Management“ sei aufzubauen und Sicherheitsrisiken sollten systematisch bewertet werden.

5. Vorbereitung von Notfallplänen und der „Business Continuity“
Strategien sollten entwickelt werden, um geschäftskritische Prozesse auch bei IT-Ausfällen aufrechtzuerhalten und die Resilienz zu stärken.

„Implementation Acts“ bringen bereits exemplarisch Klarheit – so z.B. die Anforderungen zu NIS-2 für IT-Dienstleister

Aktuell lägen bereits zwei „Implementation Acts“ der EU und der Mitgliedsstaaten vor, welche die Anforderungen zu NIS-2 für IT-Dienstleister und zur Meldung von schwerwiegenden Sicherheitsvorfällen konkretisierten. Es sei davon auszugehen, dass auch weitere branchenspezifische Anforderungen in neuen „Implementation Acts“ spezifiziert würden.

Das sollte Unternehmen aber nicht davon abhalten, bereits jetzt grundlegende Maßnahmen umzusetzen. Sie seien gut beraten, die Verzögerung als Chance zu nutzen, anstatt in Unsicherheit und Stillstand zu verfallen.

Abschließend gibt Scholz zu bedenken: „Externe Dienstleister wie Axians helfen Ihnen gerne, sich NIS-2-konform aufzustellen. Wer frühzeitig mit der Anpassung der internen Prozesse beginnt, hat später weniger Aufwand.“

Weitere Informationen zum Thema:

NIS2-Navigator
Aktueller Stand: NIS2-Umsetzungsgesetz (NIS2UmsuCG)

OpenKRITIS
NIS2 Umsetzungsgesetz

Bundesamt für Sicherheit in der Informationstechnik
Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft / Erste Informationen für voraussichtlich betroffene Unternehmen

bitkom
Nationale Umsetzung der NIS-2-Richtlinie / Handlungsempfehlungen aus Sicht der Digitalwirtschaft

axians DEUTSCHLAND
NIS2 in der Praxis: Schutz vor Cyberbedrohungen / NIS2 ist seit Anfang 2023 in Kraft. Bis Oktober 2024 muss sie in nationales Recht umgesetzt werden. Sind Sie betroffen? Axians unterstützt Sie bei der Umsetzung.

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 19.11.2024
Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren / Bisher offenbar nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf NIS-2-Richtlinie vorbereitet

[datensicherheit.de, 05.06.2024] Eine nach eigenen Angaben repräsentative ESET-Umfrage – „durchgeführt von YouGov unter Unternehmensentscheidern“ – zeigt demnach, dass jedes dritte Unternehmen bereits die NIS-2-Richtlinie umsetzt, 15 Prozent sind von dieser nach eigener Aussage nicht betroffen und weitere 14 Prozent wissen gar nicht, ob sie ihr nachkommen müssen. Allerdings hätten 38 Prozent der deutschen Unternehmen noch nicht mit der Umsetzung der NIS2-Richtlinie begonnen – und dabei sei es höchste Zeit: Mit dem Gesetzentwurf („NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“) habe das Bundesministerium des Innern und für Heimat die Weichen gestellt. Bis zum 17. Oktober 2024 solle das nationale Gesetz in Kraft treten.

Abbildung: ESET

ESET-Umfrage-Ergebnis: Nur jedes dritte Unternehmen setzt die NIS-2-Richtlinie bereits um!

Umfrage zeigt auf, dass zu NIS-2 ein großer Beratungsbedarf besteht

„Es ist erfreulich, dass bereits jede dritte Firma in Deutschland die Anforderungen der NIS-2-Richtlinie erfüllt. Umso wichtiger ist es jetzt, die anderen an die Hand zu nehmen und sie bei der Umsetzung zu unterstützen. Denn auch diese Umfrage unterstreicht, dass ein großer Beratungsbedarf besteht. Für Unternehmen ist es ,fünf vor zwölf’, ihre Cyber-Sicherheit zu stärken – nicht nur aufgrund der NIS-2-Richtlinie“, kommentiert Maik Wetzel, „Strategic Business Development Director DACH“ bei ESET.

Er unterstreicht, dass für den Wirtschaftsstandort dieses Gesetz zur Stärkung der IT-Sicherheit längst überfällig sei. „Die NIS-2-Richtlinie reagiert auf eine rasant steigende Bedrohungslage im Cyber-Raum, die wir jeden Tag in den Nachrichten verfolgen können“, so Wetzel. Leider habe sich die Erarbeitung des Gesetzesentwurfs verzögert und dieser Umstand sorge für Unsicherheit bei Unternehmen. „Hier besteht akuter Aufklärungsbedarf!“

IT-Abteilungen haben NIS-2-Umsetzung im Blick

Die Umfrage zeige deutlich, dass IT-Abteilungen das Thema auf der Agenda hätten. Das Thema NIS-2 scheine dort nicht unbekannt zu sein, denn nur drei Prozent antworteten auf die Frage mit „Weiß nicht“.

Die verwendeten Daten beruhten auf einer Online-Umfrage der YouGov Deutschland GmbH, an der 521 Unternehmensentscheider zwischen dem 21. und 26. März 2024 teilgenommen hätten. Die Ergebnisse seien gewichtet worden und setzten sich repräsentativ nach Beschäftigtenanteil pro Unternehmensgröße, Nielsenregion und Geschlecht zusammen.

ESET bietet Aufklärung zur NIS-2-Richtlinie an

Unter dem Motto „Flicken reicht in der IT-Sicherheit nicht aus“ hat ESET eine umfassende Kampagne zur NIS-2-Richtlinie („Netz- und Informationssicherheitsrichtlinie 2“) der Europäischen Union (EU) gestartet.

Ziel dieser Initiative sei es, Organisationen objektiv zu informieren und Ratschläge für die technische Umsetzung zu geben. Im Zentrum der Kampagne stehe eine spezielle ESET-Webseite (s.u.). Auf dieser könnten Interessierte kostenfreie Whitepapers, Podcasts, Webinare und weitere Informationen rund um das Thema NIS-2 finden.

Weitere Informationen zum Thema:

eseT
Flicken reicht in der IT-Sicherheit nicht aus / Wir von ESET unterstützen Sie bei der technischen Umsetzung von NIS2

datensicherheit.de, 31.05.2024
it’s.BB-Seminar zur NIS-2-Richtlinie bei der IHK Berlin am 12. Juni 2024 / NIS-2 birgt neue gesetzliche Anforderungen an Unternehmen und Geschäftsleitungen

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

[datensicherheit.de, 29.01.2021] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, fordert von der Bundesregierung die vollständige Umsetzung der Richtlinie 2016/680 (JI-Richtlinie) in nationales Recht. Sie regelt den durch Behörden einzuhaltenden Datenschutz bei der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung. Gemäß Richtlinie müssen die Datenschutzaufsichtsbehörden in nationalen Gesetzen zwingend eine Anordnungskompetenz gegenüber diesen Behörden erhalten.

Kritik des BFDI

BfDI Ulrich Kelber kritisiert die Verzögerung durch den Gesetzgeber: „Die EU-Mitgliedsstaaten haben sich verpflichtet, alle notwendigen Gesetze bis zum 6. Mai 2018 zu erlassen. Deutschland überschreitet diese Frist heute um 1.000 Tage. Ich kann Datenschutzverstöße bei Bundespolizei und Zollfahndung nur beanstanden. Ohne nationale Gesetze fehlen mir wirksame Durchsetzungsbefugnisse. Das untergräbt die demokratische Legitimation der Datenschutzaufsicht und der Strafverfolgungsbehörden gleichzeitig. Hier muss der Gesetzgeber sofort handeln.“

Im Frühjahr 2020 hatte der BfDI zwar den Entwurf eines neuen Bundespolizeigesetzes erhalten. Dieser gelangte jedoch nicht in den Bundestag. Das Zollfahndungsdienstegesetz wurde umfassend überarbeitet, vom Bundespräsidenten aber noch nicht gezeichnet. Der Gesetzgeber hätte stattdessen auch eine Änderung im 3. Teil des Bundesdatenschutzgesetzes vornehmen können, um die Regelungen nicht für jede Behörde in Fachgesetzen wiederholen zu müssen. Immerhin wurde die JI-Richtlinie für den Bereich des Bundeskriminalamtes (BKA) grundsätzlich umgesetzt. Im BKA-Gesetz ist geregelt, dass der BfDI geeignete (Abhilfe-)Maßnahmen anordnen kann, wenn dies zur Beseitigung eines erheblichen Verstoßes gegen datenschutzrechtliche Vorschriften erforderlich ist. Anordnungsbefugnisse fehlen dem BfDI neben der Bundespolizei und der Zollfahndung im Übrigen auch im Bereich der Nachrichtendienste.

Weitere Informationen zum Thema:

datensicherheit.de, 15.01.2021
Überarbeitete Standarddatenschutzklauseln: BfDI nimmt Stellung

[datensicherheit.de, 07.08.2019] Die Herausforderungen seien Cloud-spezifisch und vielfältig – und aktuell ein vieldiskutiertes Thema. Die Bewertung und Auswahl des richtigen Cloud-Sicherheitsangebots für Multi-Cloud-Umgebungen, die AWS, Azure und Google Cloud Platform umfassen, überdies nicht einfach.

Die folgenden sieben Merkmale, die nach Meinung von Palo Alto Network entscheidend sein können, helfen bei der Orientierung.

1. Multi-Cloud-Unterstützung – AWS, Azure und GCP mindestens
   Viele Unternehmen verfolgen bereits eine Multi-Cloud-Strategie, andere bewegen sich zumindest in diese Richtung. Vor diesem Hintergrund ist es wichtig, eine Lösung zu wählen, die verschiedene Cloud-Angebote abdeckt und einen wirklich integrierten Multi-Cloud-Support bieten kann. Sinnvoll ist ein zentralisierter Ansatz, der die Transparenz über alle Cloud-Umgebungen heute und in Zukunft nahtlos vereinheitlicht.
2. 100 Prozent SaaS-basiert und API-gesteuert – keine Agenten oder Proxies.
   Eine 100 Prozent API-basierte SaaS-Lösung ist die einzige Möglichkeit, die dynamische, verteilte Natur von Cloud-Umgebungen effektiv zu verwalten. Die Erfahrung zeigt, dass Agenten- oder Proxy-basierte punktuelle Produkte erhebliche Reibungsverluste verursachen und blinde Flecken hinsichtlich der Sicherheit hinterlassen. Die Bereitstellung und Wartung von nicht-API-basierten Produkten sorgt für zu viel Aufwand, insbesondere manuelle Arbeit, bei erhöhtem Risiko.
3. Kontinuierliche Ressourcenermittlung
   Was nicht sichtbar ist, lässt sich nicht schützen. Es ist wichtig, eine Lösung auszuwählen, die alle Cloud-Ressourcen kontinuierlich überwacht und dynamisch erkennt. Hierzu zählen z. B. virtuelle Maschinen, Datenbankinstanzen, Speicherbereiche, Benutzer, Zugriffsschlüssel, Sicherheitsgruppen, Netzwerke, Gateways, Snapshots und mehr. Eine zentralisierte und sich automatisch aktualisierende Inventarisierung, die den Sicherheits- und Konformitätsstatus jeder eingesetzten Ressource anzeigt, ist die Grundlage für eine wirklich effektive Cloud-Sicherheitsstrategie.
4. Automatisierte Ressourcenüberwachung
   Ebenso wichtig ist die Fähigkeit der Lösung, automatisch robuste Sicherheitsrichtlinien anzuwenden und Fehlkonfigurationen schnell zu beheben, um die Einhaltung unternehmensweit definierter Sicherheitsrichtlinien zu gewährleisten. Diese Funktionen müssen alle wichtigen Risikofaktoren in den Cloud-Umgebungen abdecken, einschließlich:
   • Konfigurationsprüfungen: Jüngste Untersuchungen des Forschungsteams Unit 42 von Palo Alto Networks zeigen, dass 32 Prozent der Unternehmen bereits mindestens einen Cloud-Speicherdienst versehentlich öffentlich zugänglich gemacht haben. Konfigurationsprüfungen helfen sicherzustellen, dass jede eingesetzte Cloud-Ressource ordnungsgemäß konfiguriert ist und sich innerhalb definierter Grenzen bewegt, und keine Konfigurationsveränderungen in den Public-Cloud-Umgebungen von AWS, Azure und GCP vorliegen.
   • Netzwerkaktivitäten: Unit 42 hat auch herausgefunden, dass bei 11 Prozent der Unternehmen derzeit Cryptojacking-Aktivitäten in ihrer Umgebung durchgeführt werden. Um einen vollständigen Überblick über verdächtigen Netzwerkverkehr und -aktivitäten zu gewinnen, muss die Sicherheitslösung in der Lage sein, die Cloud-Umgebungen kontinuierlich zu überwachen. Es reicht nicht aus, nur Konfigurations- und Konformitätsprüfungen durchzuführen, denn diese zeigen nur auf, was schiefgehen kann, aber nicht, was schiefläuft.
     Hierzu ein Beispiel: Konfigurationsprüfungen können helfen, lose konfigurierte Sicherheitsgruppen zu erkennen, die eingehenden Datenverkehr auf allen Ports von allen IP-Adressen zulassen. Dies könnte ein geschäftskritisches Problem sein. Ohne Netzwerküberwachung lässt sich jedoch nicht feststellen, ob diese Schwachstelle ausgenutzt wurde oder ob bösartiger Datenverkehr eingedrungen ist.
     • Überwachung von Benutzern und Zugriffsschlüsseln: Daten von Unit 42 zeigen auch, dass 29 Prozent der Unternehmen potenzielle Kompromittierungen von Accounts aufweisen, was nicht nur zu Datenverlust, sondern auch zu Kontrollverlust und letztlich zu Vertrauensverlust hinsichtlich ihrer Cloud-Umgebungen führen kann. Die Analyse des Nutzerverhaltens (User Behavior Analytics, UBA) und andere ML-basierte Funktionen (Machine Learning) können helfen, hinterhältige Aktivitäten wie z.B. gestohlene Zugangsdaten zu erkennen. Diese Funktionen ermöglichen es, nach anomalen Aktivitäten zu suchen und diese zu erkennen. Ohne UBA ist es fast unmöglich, anspruchsvolle Angriffe rechtzeitig zu erkennen.
     • Überwachung von Schwachstellen und Bedrohungserkennung: Es ist wichtig, ein Cloud-Sicherheitsangebot auszuwählen, das Bedrohungs- und Schwachstellendaten von Drittanbietern korrelieren und kontextualisieren kann.
5. Viele Daten miteinander verknüpfen
   Die kontinuierliche Kontextualisierung mehrerer, unterschiedlicher Datensätze ist entscheidend für den Aufbau eines tiefgehenden Verständnisses der Sicherheitslage. Erst wenn Unternehmen ihr Sicherheitsprofil und ihre Risiken vollständig verstanden haben, können sie Probleme schnell beheben. Hierzu zählen beispielsweise Workloads mit übermäßig zulässigen Sicherheitsgruppenkonfigurationen, erkannten Hostschwachstellen und Traffic von verdächtigen IP-Adressen etc. Ein weiteres Beispiel ist die Identifizierung von privilegierten Benutzeraktivitäten in Cloud-Umgebungen, die an ungewöhnlichen (noch nie beobachteten) Orten durchgeführt werden.
6. Remediation ist gut, automatische Remediation ist besser.
   Remediation bedeutet in diesem Zusammenhang die Behebung von Sicherheitsvorfällen. Mehrere Remediationsoptionen (sowohl geführte als auch automatisierte) sind hierbei wichtig, um das Risikofenster zu reduzieren. Wenn die Sicherheitslösung beispielsweise eine öffentlich zugängliche Netzwerksicherheitsgruppe identifiziert, die einem sensiblen Workload zugeordnet ist, ist die Fähigkeit, den Zugriff automatisch einzuschränken, von größter Bedeutung. Die Fähigkeit, auch individuelle, auf die spezifischen Bedürfnisse zugeschnittene Remediationsregeln zu schreiben, ist entscheidend. Eine „Selbstheilungsfunktion“ ermöglicht es Unternehmen, sicherzustellen, dass ihre hohen Sicherheits- und Compliance-Richtlinien stets eingehalten werden.
7. Integration
   Schließlich ist es wichtig, eine offene Plattform zu nutzen, die es ermöglicht, Cloud-Alarme an bestehende Tools und Workflows wie SIEM, SOAR, Ticketing-Systeme, Collaboration-Tools etc. zu senden.

Unternehmen, die diese sieben Empfehlungen berücksichtigen, werden nach Meinung von Palo Alto Networks in der Lage sein, ihre Cloud-Sicherheitsstrategie sowohl effizienter als auch effektiver umzusetzen.

Weitere Informationen zum Thema:

datensicherheit.de, 01.08.2019
Datenpanne bei Capital One – Datenverantwortung darf nicht in der Cloud aufhören

datensicherheit.de, 25.07.2019
Cloud-Sicherheit: Mehr als 34 Millionen Schwachstellen in AWS, Azure und GCP

datensicherheit.de, 24.07.2019
Die Bedeutung des Cloud-Computing für die digitale Transformation

[datensicherheit.de, 31.08.2018] Die Umsetzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom hatten drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. „Auch jetzt noch sind bei weitem nicht alle Unternehmen mit der Umsetzung fertig. Die DS-GVO hat die Unternehmen viel Zeit und Geld gekostet und bedeutet weiterhin jede Menge Arbeit“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Schwierigkeiten macht vor allem, dass bei vielen Vorgaben nicht klar ist, was genau sie bedeuten. Nicht einmal die Datenschutzaufsichtsbehörden können sich bei bestimmten Regelungen auf eine einheitliche Auslegung einigen. Wie sollen Unternehmen sich da sicher sein, dass sie das Richtige tun?“, so Dehmel.

Gerade kleinere Unternehmen würden von den neuen Regelungen überproportional getroffen. Dehmel: „Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden. Das kostet gerade kleine Unternehmen ihre ohnehin schon knappen Ressourcen. Sie haben in der Regel auch keine eigene Rechtsexpertise, sondern müssen diese im Zweifel teuer einkaufen.“ So mache die Grundverordnung keine Unterschiede zwischen einem Startup, einem gemeinnützigen Verein oder einem internationalen Großkonzern. „Alle werden über einen Kamm geschoren. Hier und bei einer ganzen Reihe weiterer Punkte muss nachgebessert werden“, so Dehmel.

Folgen der DSGVO für Unternehmen

Ein Beispiel für den Mehraufwand sind die erweiterten Informationspflichten gegenüber den Kunden und Geschäftspartnern. Aus Sicht des Bitkom ist weder hinreichend sicher, dass die Bereitstellung der Informationen über einen Link auf eine Webseite ausreichend ist, noch ist klar, wie konkret und umfangreich die Informationen im Einzelnen sein müssen. Für Webseiten galt auch vorher schon die Pflicht zur Bereitstellung einer Information über die Datenverarbeitung. Diese war jedoch nicht so umfangreich. Durch die Ausweitung der Regelung steht nun auch zur Debatte, wie die Informationspflicht bei alltäglichen Vorgängen wie Visitenkartenübergaben, E-Mailverkehr, Kundenkarten in Restaurants und Shops zu erfüllen ist.

In der Praxis schwierig umzusetzen ist auch das gänzlich neue Recht auf Datenportabilität. Laut DSGVO haben Personen das Recht, die Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigem und maschinenlesbarem Format zu erhalten oder an einen anderen Dienst senden zu lassen. „Für viele Unternehmen ist immer noch nicht geklärt, welche Daten davon umfasst sind und ab wann die Rechte anderer Betroffener verletzt werden könnten“, so Dehmel.

Verantwortlichkeit für die Datenverarbeitung

Aus Bitkom-Sicht verzögern sich derzeit Vertragsabschlüsse im Dienstleistungsbereich, weil sich die Vertragsparteien oft nicht einig sind, ob es sich um eine Verarbeitung im Auftrag handelt, für die der Abschluss einer speziellen Datenverarbeitungsvereinbarung notwendig ist, oder nicht. Hier gibt es unterschiedliche Sichtweisen, auch bei den Aufsichtsbehörden. Die Frage ist deshalb wichtig, weil personenbezogene Daten im Auftrag nur dann rechtmäßig verarbeitet werden können, wenn eine solche Vereinbarung abgeschlossen wurde. Handelt es sich dagegen um eine andere Konstellation, gelten wieder andere Voraussetzungen für die rechtmäßige Verarbeitung.

Dehmel: „Die Datenschutz-Grundverordnung hat in jedem Fall zu mehr Datenschutzbewusstsein bei Organisationen in Deutschland beigetragen. Ob die vielen Umstellungen und Formalia auch zu einem deutlich besseren und vor allem zukunftsgerichteten Datenschutz geführt haben, muss dagegen bezweifelt werden.“ Rechtsunsicherheiten beim Einsatz von Big Data und KI Anwendungen seien auch mit der Verordnung nicht ausgeräumt worden. „Das Datenschutzrecht zu modernisieren und eine Balance zwischen Datenschutz und anderen berechtigten Interessen von Gesellschaft und Wirtschaft zu schaffen, bleibt weiter auf der Tagesordnung.“

Um die Auswirkungen der Datenschutz-Grundverordnung und um den datenschutzkonformen Einsatz neuer Technologien geht es unter anderem auch auf der Bitkom Privacy Conference am 27. September 2018 in Berlin. Erwartet werden 300 Datenschutzexperten aus Europa und den USA.

Weitere Informationen zum Thema:

bitkom events
Privacy Conference

datensicherheit.de,  30.08.2018
Personaldaten: Richtig agieren mit Daten- und Berufsgeheimnis

datensicherheit.de,  25.07.2018
DSGVO-Audits: Hohe Durchfallquote erwartet

datensicherheit.de, 19.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

[datensicherheit.de, 17.07.2018] Die  gesetzeskonforme Umsetzung der IT-Sicherheit in Unternehmen, öffentlichen Stellen und Behörden erfordert zahlreiche technische, organisatorische und rechtliche Maßnahmen. So stellt die Datenschutz-Grundverordnung seit dem 25.05.2018 deutlich erhöhte Anforderungen an den technischen Datenschutz. Das IT-Sicherheitsgesetz gilt sogar bereits seit 2015. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) präsentiert im Rahmen einer interdisziplinären Informationsveranstaltung am 25.10.2018 in Berlin Erfahrungen, Lösungsansätze und Praxistipps.

TeleTrusT veranstaltet den mit Fachexperten besetzten IT-Sicherheitsrechtstag bereits zum dritten Mal. Im Fokus stehen die Möglichkeiten der erfolgreichen Umsetzung gesetzlicher IT-Sicherheits- und Datenschutzanforderungen in der Unternehmens- und Behördenpraxis.

 IT-Sicherheitsgesetz und EU-DSGVO setzen wichtige regulatorische Vorgaben

Unter anderem mit dem IT-Sicherheitsgesetz und der EU-Datenschutz-Grundverordnung (DSGVO) haben die Gesetz- und Verordnungsgeber auf nationaler und europäischer Ebene wichtige regulatorische Vorgaben gesetzt. Unternehmen und Behörden sind aufgefordert, Ihre Strukturen sowie die technischen, organisatorischen und rechtlichen Maßnahmen zu überprüfen und unter Berücksichtigung des Standes der Technik anzupassen. Insbesondere sind die Maßnahmen und Verfahren umfänglich zu dokumentieren.

 „Wir möchten mit den Teilnehmern unseres IT-Sicherheitsrechtstages vor allem die Erfahrungen, die wir seit dem Geltungsbeginn der DSGVO in Sachen IT-Sicherheit gesammelt haben, weitergeben und diskutieren“, erklärt RA Karsten U. Bartels LL.M., TeleTrusT-Vorstandsmitglied.

Referenten aus der technischen, juristischen, betrieblichen, aufsichtsbehördlichen und gutachterlichen Praxis werden die praxisrelevanten Herausforderungen der datenschutzrechtlichen und IT-sicherheitsgesetzlichen Pflichten erörtern und ihre Lösungs- und Umsetzungsmöglichkeiten beleuchten. Die Veranstaltung richtet sich an Unternehmen, öffentliche Stellen und Behörden jeder Größe.

Aus dem Programm:

• RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte, TeleTrusT-Vorstand, Leiter TeleTrusT-AG „Recht“
  Begrüßung
• Tomasz Lawicki, Schwerhoff Consultants, Leiter TeleTrusT-AK „Stand der Technik“
  Moderation
•  RA Paul Voigt, LL.M., Taylor Wessing
  „Das IT-Sicherheitsgesetz in der Praxis“
• RA Karsten U. Bartels, LL.M., HK2 Rechtsanwälte
  „Die DSGVO in der Praxis“
• Dr. Ilona M. Pawlowska, LL.M., Deutsche Akkreditierungsstelle (DAkkS)
  „Akkreditierungen von Zertifizierungsstellen nach DSGVO“
• Ernst-H. Paap, Hamburger Sparkasse
  „Regulatorische Anforderungen und Auswirkungen auf das ‚Daily Business‘ “
• Frank Helle, Hermes Forwarding
  „Vorgehensweise für die Umsetzung der DSGVO im Unternehmen“
• Barbara Thiel, Die Landesbeauftragte für den Datenschutz Niedersachsen
  „Umsetzung der DSGVO aus aufsichtsbehördlicher Sicht“
• Panel-Diskussion

Weitere Infrmatione zum Thema:

TeleTrusT
Sicherheiheisrechtstag 2018: Programm und Anmeldung

datensicherheit.de, 13.06.2018
Stand der Technik: TeleTrusT veröffentlicht revidierte und erweiterte Handreichung

Von unserem Gastautorin RA Dr. Katharina Garbers-von Boehm, Büsing Müffelmann & Theye (Kanzleizugehörigkeit am 20.02.2020 geändert!)

[datensicherheit.de, 25.07.2016] Am 5. Juli 2016 ist die EU-Richtlinie über den Schutz vertraulichen Know-hows und Geschäftsgeheimnissen (Richtlinie 2016/943) in Kraft getreten.
Ziel der Richtlinie ist es, den Bereich des Geheimnisschutzes, der in den Mitgliedstaaten noch sehr unterschiedlich geregelt ist, zu harmonisieren. Dadurch sollen Hemmnisse für den freien Warenverkehr, die in unklaren Regelungen und einem unterschiedlichen Schutzniveau fußen, beseitigt werden.
Innerhalb von zwei Jahren muss die Richtlinie von den Mitgliedstaaten in nationales Recht umgesetzt werden.

Das Geschäftsgeheimnis wird neu definiert

Eine der wichtigsten Regelungspunkte der Richtlinie ist die vereinheitlichte Definition des „Geschäftsgeheimnisses“. Daraus ergibt sich der künftige Regelungsgegenstand des Geheimnisschutzes.

Neu ist, dass Informationen kumulativ drei Kriterien erfüllen müssen, um als Geschäftsgeheimnisse geschützt zu werden:

• Die Information ist geheim, das heißt sie ist weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personenkreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich,
• Die Information ist von kommerziellem Wert, weil sie geheim ist,
• Die Information ist Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt.

Durch diese Kriterien wird die Differenzierung zwischen Betriebs- und Geschäftsgeheimnissen aufgehoben. Zudem setzt die neue Definition – anders als nach bisherigem Recht – angemessene Geheimhaltungsmaßnahmen voraus. Bisher reichte nach der deutschen Definition von Betriebs- und Geschäftsgeheimnissen für den wettbewerbsrechtlichen Schutz neben der Nichtoffenkundigkeit der Informationen ein rein subjektiv gegebenes Geheimhaltungsinteresse aus.
Noch offen ist, wie die Rechtsprechung das Kriterium der „Werthaltigkeit einer Information“ auslegen wird. Denn Big Data ermöglicht, dass Informationen, die für sich betrachtet keinen wirtschaftlichen Wert besitzen, als aggregierte Daten wertvoll werden. Kommt es auf den Wert der Einzelinformation an? Oder werden auch solche Informationen als Geschäftsgeheimnisse geschützt, die das Potential haben, aggregiert zu werden?

Angemessene Geheimhaltungsmaßnahmen sind gefordert

Vor diesem Hintergrund sollte die Know-how Richtlinie für Unternehmen Anlass sein, ihren eigenen Umgang mit wichtigem Know-how zu überprüfen und gegebenenfalls angemessene Maßnahmen zu ergreifen, um diesen zu verbessern. Was genau unter „angemessenen Maßnahmen“ zu verstehen ist, wird früher oder später sicherlich den Europäischen Gerichtshof (EuGH) beschäftigen und letztlich stets vom Einzelfall abhängig sein.

Wo besteht schon jetzt Handlungsbedarf?

Verbesserung des unternehmensinternen Know-how Schutzes

Unternehmen sollten die Richtlinie zum Anlass nehmen, ihren eigenen Umfang mit Know-how und Geheimnissen zu erfassen, zu hinterfragen und zu verbessern. Auf dieser Grundlage kann dann ein Know-how Konzept für das gesamte Unternehmen oder einzelne Abteilungen implementiert werden; hilfreich kann es in diesem Zusammenhang sein, vertrauliche Informationen als solche zu klassifizieren und zu kennzeichnen. Sinnvoller denn je dürfte das Vereinbaren von wirksamen, Geheimhaltungsvereinbarungen mit Mitarbeitern und Partnern sein, wo zulässig flankiert von einer Vertragsstrafe. Aber auch Berechtigungskonzepte und IT-Sicherheitskonzepte können „angemessene Geheimhaltungsmaßnahmen“ darstellen.
Unternehmen müssen künftig nachweisen, dass sie derartige Maßnahmen ergriffen haben, wenn sie Oper von Geheimnisverrat geworden sind. Aus diesem Grund sollte ein Augenmerk auf die Umsetzung der Maßnahmen und deren Dokumentation gelegt werden.
Auch im Rahmen von Unternehmenstransaktionen oder Know-how Übertragungsverträgen sollte im Sinne der Richtlinie bereits jetzt darauf geachtet werden, dass das übertragene Know-how entsprechend gesichert ist.

Reverse Engineering keine Verletzungshandlung

Ausdrücklich ausgenommen aus der Verletzungshandlung ist gemäß Artikel 4 der Richtlinie in der Regel das Reverse Engineering, also der Nachbau von Produkten. Dies ist eine weitere Neuerung. Bisher galt, dass zumindest bei aufwendigen und komplizierten Produkten das Reverse Engineering ein Sichverschaffen eines Geheimnisses auf sonstige Weise darstellen kann. Der Rat fügte an diese Bestimmung jedoch die Möglichkeit gegenteiliger vertraglicher Vereinbarungen an: „außer der Rechtsverletzer hat sich verpflichtet, das Geschäftsgeheimnis nicht aufzudecken“.

Auch dies bedeutet Handlungsbedarf: Verträge sind gegebenenfalls um derartige Verbotsklauseln zu ergänzen.

Klar sollte sein, dass dies nicht die geltenden Regelungen zum Revere Engineering bei Software oder bei patentrechtlich geschützten Erfindungen in Frage stellt. Die Erlaubnis gilt nur dort, wo reine Unternehmensgeheimnisse, die keine gewerblichen Schutzrechte darstellen, betroffen sind.

Weitere Inhalte der Richtlinie

Nach der Richtlinie müssen die Mitgliedstaaten zudem Maßnahmen, Verfahren und Rechtsbehelfe vorsehen, die einen zivilrechtlichen Schutz vor Know-how Diebstahl und Geheimnisverrat gewährleistet. Diese werden wohl für den deutschen Gesetzgeber aufgrund des durch das geltende Gesetz gegen den unlauteren Wettbewerb (UWG) recht hohen Schutzniveaus relativ wenig Handlungsbedarf hervorrufen. Die Richtlinie sieht außerdem konkrete Möglichkeiten vor, die Vertraulichkeit der Geschäftsgeheimnisse auch während des Gerichtsverfahrens und danach zu wahren.
Der Richtlinienentwurf stellt schließlich klar, dass es Arbeitnehmern weiterhin möglich sein soll, nicht-geheime Informationen in einem neuen Arbeitsverhältnis zu verwenden. Gleiches soll für die Erfahrungen und Fähigkeiten gelten, die der Arbeitnehmer auf redliche Weise im Verlauf seiner üblichen Tätigkeit erlangt hat. Derartige Regelungen stehen im Einklang mit der bisherigen Rechtsprechung des Bundesgerichtshofes (BGH), so dass hiermit ebenfalls keine Änderung der deutschen Rechtslage einhergeht.

Whistleblowing als Ausnahme des Geheimnisschutzes

Die Regelungen zum sogenannten „Whistleblowing“, also der aufgrund öffentlichen Interesses gerechtfertigten Offenbarung von Betriebs- und Geschäftsgeheimnissen, wurden im finalen Richtlinienentwurf überarbeitet. Die Aufdeckung eines Geschäftsgeheimnisses soll danach immer dann gerechtfertigt sein, wenn ein illegales Verhalten des Geheimnisinhabers vorlag und der Whistleblower im öffentlichen Interesse gehandelt hat. Man darf gespannt sein, wie die Rechtsprechung Leitlinien für dieses politisch sensible Thema entwickeln wird.

Fazit

Zusammenfassend kann gesagt werden, dass die Richtlinie in Deutschland wenig Mehrwert für Unternehmen bewirken wird, da der Geheimnisschutz durch das Gesetz gegen den unlauteren Wettbewerb bereits gut ausgeprägt ist. Vielmehr sollten Unternehmen aktiv werden, um zu verhindern, dass ihr konkretes Schutzniveau nicht absinkt.

Dies kann dadurch gewährleistet werden, dass Unternehmen ihr Know-how aktiv schützen, was ihnen ermöglichen wird, im Ernstfall darzulegen, dass sie die von der Richtlinie geforderten „angemessenen Schutzmaßnahmen“ der Geheimhaltung getroffen haben. Hierzu gehört ein unternehmensweites Know-how Schutz Konzept quer durch alle Abteilungen (IT, Marketing, Forschung und Entwicklung etc.), das die Identifikation und den technischen, organisatorischen und rechtlichen Schutz des im Unternehmen vorhandenen Know-how voraussetzt.

Rechtlicher und faktischer Schutz (insb. IT-Sicherheit) müssen hier eng miteinander verzahnt werden.

(C) Buesing, Müffelmann & Theye

Dr. Katharina Garbers-von Boehm ist Rechtsanwältin bei Büsing Müffelmann & Theye und berät nationale und internationale Unternehmen und Institutionen im IT-Recht und den angrenzenden Bereichen des Geistigen Eigentums.

Weitere Informationen zum Thema:

datensicherheit.de, 21.06.2016
Das datenschutzrechtliche Damoklesschwert über den EU-Standardvertragsklauseln

[datensicherheit.de, 05.12.2014] Andrea Voßhoff begrüßt die einheitliche Vorgehensweise durch die „Artikel-29“-Gruppe: Der Europäische Gerichtshof (EuGH) habe in seinem Urteil unmissverständlich klargestellt, dass das Grundrecht auf Schutz personenbezogener Daten uneingeschränkt auch für das Internet gilt. Wenn die Voraussetzungen für die Löschung eines Links vorliegen, verlange ein umfassender Schutz der Betroffenenrechte eine möglichst einheitliche Vorgehensweise in der Europäischen Union – und hierfür sei der Kriterienkatalog ein wichtiger Baustein.

Nicht nur EU-Domains, sondern auch „.com“-Domains betroffen

Neben dem Kriterienkatalog hat sich die „Artikel-29“-Gruppe laut Voßhoff darauf verständigt, dass die Suchmaschinenbetreiber den im festgestellten Rechtsanspruch auf Löschung von Verlinkungen weltweit umsetzen sollten. Google hingegen will demnach die Löschung auf europäische Domains wie „google.de“ oder „google.fr“ beschränken. Konkret bedeutet dies, dass nicht nur die EU-Domains, sondern auch alle relevanten „.com“-Domains einzubeziehen sind.

Klarstellung des EuGH

Erwähnenswert sei auch die Klarstellung des EuGH, dass das Recht auf Löschung in den Ergebnislisten der Suchmaschinenbetreiber nicht zu einer Löschung des Eintrages auf der Website führt und dieser Eintrag auch weiterhin über Suchmaschinen gefunden werden kann, lediglich nicht mehr über den Namen des Betroffenen.
Hintergrund des Urteils war das Begehren eines spanischen Bürgers auf Löschung eines Internetlinks, der bei Eingabe seines Namens in der Google-Suchmaschine erschien. Der EuGH stellte fest, dass in einem solchen Fall ein Löschungsanspruch auch unmittelbar gegen den Suchmaschinenbetreiber bestehen kann. Im Regelfall, so der EuGH, würden die Interessen des Betroffenen am Schutz sensibler Informationen gegenüber dem Interesse der Öffentlichkeit am Zugang zu diesen Informationen überwiegen. Je nach Rolle der betreffenden Person im öffentlichen Leben könne diese Abwägung aber auch zu einem anderen Ergebnis kommen.

Weitere Informationen zum Thema:

datensicherheit.de, 17.10.2014
BfDI Andrea Voßhoff: „Nur eine funktionsfähige Datenschutzbehörde ist auch unabhängig“

datensicherheit.de, 07.01.2014
Andrea Voßhoff zur Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ernannt