Cyber-Angriffe: Sind Unternehmen dazu verpflichtet, sich zu schützen?
22.05.2019
Medizin, Gesundheit & Wellness
Die Einführung der neuen Datenschutz-Grundverordnung (DS-GVO) Mitte letzten Jahres sowie aktuelle und spektakuläre Datendiebstähle sorgen weiterhin für viel Unsicherheit und ungeklärte Fragen in den Praxen und den Unternehmen.
So erreichen uns bei N3MO immer wieder Anfragen wie diese:
- Muss ich mich tatsächlich auf einen Cyber-Angriff auf mein Unternehmen vorbereiten?
- Wie gefährdet ist mein Unternehmen eigentlich?
- Besteht wirklich eine Handlungspflicht oder ist das Thema gerade "modern"?
Rechtsanwalt Christian Schmidt ist Fachanwalt für Urheber- und Medienrecht sowie Fachanwalt für Informationstechnologierecht (IT) in der Lübecker Kanzlei Schmidt & Schmidt. Im Rahmen unserer Zusammenarbeit haben wir ihn um ein aktuelles juristisches Statement zu den Obliegenheiten (Verpflichtungen im Sinne gesetzlicher Vorschriften) von Unternehmen gebeten.
Hier die Antwort von Christian Schmidt:
Tatsächlich geht es nicht um die reale Bedrohung durch einen Cyber-Angriff. Diese Gefahr mag in der Tat vielleicht eher gering sein. Allerdings ist sie aber auch nicht, als eine bloße Mode der heutigen Zeit zu verstehen.
Für jeden Unternehmer ist es spätestens mit der Umsetzung der DS-GVO zu einer Hauptpflicht geworden, sich über die Möglichkeiten und Auswirkungen eines Cyber-Angriffs und der eigenen Widerstandsfähigkeit des Unternehmens gegen derartige Angriffsszenarien, ernsthafte Gedanken zu machen. Und nicht nur Gedanken!
Nach Art. 24 I DS-GVO ist der Verantwortliche in einem Unternehmen gesetzlich dazu verpflichtet, sicherzustellen und nachzuweisen, dass die von ihm vollzogenen Verarbeitungen personenbezogener Daten unter Einhaltung der Bestimmungen der DS-GVO erfolgen. Hier sind also ganz konkrete Maßnahmen gefragt.
Der Verantwortliche hat unter Berücksichtigung des Stands der Technik, der damit verbundenen Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der jeweiligen Verarbeitung personenbezogener Daten, geeignete technische und organisatorische Maßnahmen zu ergreifen.
Hierbei sind ebenfalls unterschiedliche Eintrittswahrscheinlichkeiten und die Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen mit zu berücksichtigen. Wo dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, sind "geeignete Datenschutzvorkehrungen" zu etablieren.
Es geht also nicht um die Frage, ob das eigene Unternehmen interessant für einen Hackerangriff wäre und wie wahrscheinlich ein solcher Hackerangriff überhaupt für das Unternehmen ist. Die Frage ist: Verfügen das eigene Unternehmen und die eigenen Verarbeitungsprozesse personenbezogener Daten über geeignete Datenschutzvorkehrungen, die nicht nur einem Cyber-Angriff, sondern jeglichen Angriffen und des damit verbundenen Verlustes der Vertraulichkeit standhalten können.
Mit der Umsetzung der DS-GVO trifft den jeweiligen Verantwortlichen eine Rechenschaftspflicht
Die an den Verantwortlichen durch die DS-GVO gerichteten Anforderungen, setzen auf einen risikoorientieren Ansatz und nehmen ihn in die Pflicht, über "geeignete technische und organisatorische Maßnahmen" die rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen.
Hierfür sind Maßnahmen im eigenen Unternehmen zu etablieren, die unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.
Gerade bei der Verarbeitung besonderer Kategorien personenbezogener Daten, zum Beispiel die Gesundheitsdaten von Patienten, ist laut den gesetzlichen Erwägungsgründen der DS-GVO von einem grundsätzlichen Risiko für die Rechte und Freiheiten von den Betroffenen auszugehen. Den Verantwortlichen trifft in solchen Fällen die gesetzliche Verpflichtung, hier ein besonderes Augenmerk auf die technische und organisatorische Umsetzung der Maßnahmen zu legen.
Welche technischen und organisatorischen Maßnahmen im Einzelnen in Betracht kommen, legt die DS-GVO hingegen nicht fest und lässt das Unternehmen an dieser Stelle mit einem fehlenden Maßnahmenkatalog im Stich. Dem Unternehmen bleibt nur die gesetzliche Verpflichtung, den Nachweis angemessener Maßnahmen zu dokumentieren.
Fazit:
Der Gesetzgeber hat den Unternehmen und ihren Verantwortlichen die eigene Entscheidung abgenommen, ob man sich vor einem Cyber-Angriff schützen sollte. Der Gesetzgeber setzt es schlichtweg voraus, dass das Unternehmen ein entsprechendes angemessenes Schutzniveau besitzt.
Es ist daher nicht die Frage, ob das eigene Unternehmen auf einen Cyber-Angriff vorbereitet werden soll, sondern, gerade bei der Verarbeitung besonderer Kategorien von personenbezogen Daten, ob die bisher getroffenen technischen und organisatorischen Maßnahmen bereits gegen einen Cyber-Angriff schützen. Ist dies nicht der Fall - besteht akuter Handlungsbedarf.
+++++
N3MO (https://www.n3mo.de/) hat sich mit seinen Dienstleistungen auf die Bereiche Datenschutz und Cyber-Sicherheit spezialisiert.
Eine Auswahl aktueller Presseveröffentlichungen zur Cyber-Sicherheit in Arztpraxen haben wir in unserem N3MO-Blog zusammengestellt. (https://blog.n3mo.de/2019/05/aktuelle-informationen-zur-cyber-sicherheit-in-arztpraxen/)
Erfahren Sie mehr über das N3MO-Angebot und Ihre Möglichkeiten. (https://blog.n3mo.de/2019/02/cyber-risiken-minimieren-ds-gvo-erfuellen-mit-n3mo/)
N3MO Cyber-Sicherheit Cyber-Risiken Cyber-Angriffe Datenschutz DSGVO Obliegenheiten Rechtsanwalt Chistian Schmidt Statement Arzt Arztpraxis
https://www.n3mo.de
N3MO UG (haftungsbeschränkt) & Co. KG
Marienthaler Strasse 17 24340 Eckernförde
Pressekontakt
https://www.n3mo.de
N3MO UG (haftungsbeschränkt) & Co. KG
Marienthaler Strasse 17 24340 Eckernförde
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Wolfgang Koll
30.06.2020 | Wolfgang Koll
N3MO: Wichtige Kommunikation zwischen Praxis und Patient in Corona-Zeiten
N3MO: Wichtige Kommunikation zwischen Praxis und Patient in Corona-Zeiten
20.03.2020 | Wolfgang Koll
N3MO: Patienten informieren in Zeiten von Corona
N3MO: Patienten informieren in Zeiten von Corona
24.09.2019 | Wolfgang Koll
Kostenlose Webinare für niedergelassene Mediziner von N3MO
Kostenlose Webinare für niedergelassene Mediziner von N3MO
28.02.2019 | Wolfgang Koll
Besser sicher sein: Cyber-Risiken minimieren, DS-GVO erfüllen mit N3MO
Besser sicher sein: Cyber-Risiken minimieren, DS-GVO erfüllen mit N3MO
02.08.2018 | Wolfgang Koll
Datenschutz in der Website aus dem Baukasten ein Risiko?
Datenschutz in der Website aus dem Baukasten ein Risiko?
Weitere Artikel in dieser Kategorie
26.11.2024 | Klinikum Lippe GmbH
Klinikum Lippe: Zertifiziertes Vorhofflimmer-Zentrum bietet Spitzenversorgung bei Volkskrankheit
Klinikum Lippe: Zertifiziertes Vorhofflimmer-Zentrum bietet Spitzenversorgung bei Volkskrankheit
26.11.2024 | Anyala Holistic Fitness
Tai Chi oder Qi Gong - welcher Weg passt zu Dir?
Tai Chi oder Qi Gong - welcher Weg passt zu Dir?
26.11.2024 | myHOL.shop
DA BIST DU WIEDER!
DA BIST DU WIEDER!
26.11.2024 | ARAG SE
Früherkennung rettet Leben: Krebsrisiko effektiv senken
Früherkennung rettet Leben: Krebsrisiko effektiv senken
26.11.2024 | Klinikum Lippe GmbH
Klinikum Lippe: Zertifiziertes Vorhofflimmer-Zentrum bietet Spitzenversorgung bei Volkskrankheit
Klinikum Lippe: Zertifiziertes Vorhofflimmer-Zentrum bietet Spitzenversorgung bei Volkskrankheit