NIS 2-Richtlinie: Was Unternehmen wissen müssen

Die NIS 2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union) ist die Nachfolgeregelung der NIS-Richtlinie von 2016. Sie trat am 16. Januar 2023 in Kraft und muss von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden.

Die NIS 2-Richtlinie hat zum Ziel, die Cybersicherheit in der Europäischen Union zu erhöhen. Dazu stellt sie umfassende Anforderungen an Betreiber kritischer Infrastrukturen (KRITIS) und Betreiber bedeutender Netz- und Informationssysteme (BNIS).

Ausweitung des Anwendungsbereichs

Ein zentraler Aspekt der NIS 2-Richtlinie ist die Ausweitung des Anwendungsbereichs. So werden nun auch Betreiber von KRITIS in den Sektoren Gesundheit, Energie, Verkehr und Wasserversorgung erfasst. Außerdem werden auch Betreiber von BNIS, die nicht in den Sektoren KRITIS tätig sind, aber einen erheblichen Einfluss auf die öffentliche Sicherheit oder die Wirtschaft haben können, unter die Richtlinie fallen.

Verschärfung der Anforderungen

Die NIS 2-Richtlinie verschärft auch die Anforderungen an die Cybersicherheit von KRITIS- und BNIS-Betreibern. Dazu gehören unter anderem:

  • Die Einrichtung eines Cybersicherheitsmanagementsystems (CSMS)
  • Die regelmäßige Durchführung von Risikobewertungen
  • Die Umsetzung von Maßnahmen zur Risikominderung
  • Die Meldung von Sicherheitsvorfällen an die zuständigen Behörden

Übersicht NIS-Richtlinien

Umsetzung in Deutschland

Die Bundesregierung hat im September 2023 einen Entwurf eines NIS2-Umsetzungsgesetzes vorgelegt. Das Gesetz soll die NIS 2-Richtlinie in deutsches Recht umsetzen und die Anforderungen an die Cybersicherheit von KRITIS- und BNIS-Betreibern in Deutschland konkretisieren.

Das NIS2-Umsetzungsgesetz wird voraussichtlich im Frühjahr 2024 in Kraft treten.

Ausblick

Die NIS 2-Richtlinie ist ein wichtiger Schritt zur Verbesserung der Cybersicherheit in der Europäischen Union. Die Ausweitung des Anwendungsbereichs und die Verschärfung der Anforderungen stellen hohe Anforderungen an die betroffenen Unternehmen. Die Umsetzung der NIS 2-Richtlinie wird daher eine große Herausforderung für die nächsten Jahre sein.

Unternehmen, die als KRITIS- oder BNIS-Betreiber von der NIS 2-Richtlinie betroffen sind, sollten sich frühzeitig mit den Anforderungen der Richtlinie auseinandersetzen und entsprechende Maßnahmen zur Umsetzung ergreifen.

Wichtig: Hinweisgeberschutzgesetz in Kraft!

Ab jetzt müssen Unternehmen ab 50 Mitarbeitenden interne Meldekanäle einrichten. Frist verpasst? Es drohen Bußgelder bis zu 20.000 €. Schützen Sie Whistleblower und beachten Sie die Datenschutzvorgaben. Handeln Sie jetzt!​

Unternehmen setzen verstärkt auf innovative Lösungen wie Online-Whistleblower-Portale, um den gesetzlichen Anforderungen gerecht zu werden und Whistleblower zu schützen. Erfahrungen zeigen, dass eine frühzeitige und strategische Implementierung der internen Meldekanäle nicht nur Bußgelder vermeidet, sondern auch das Vertrauen der Mitarbeiter stärkt. Setzen Sie ein Zeichen für Integrität und Compliance in Ihrem Unternehmen!

Neue EU- Produkthaftungsrichtlinien kommen – digitale Dienste im Fokus

Die EU hat die Rechte von Verbraucherinnen und Verbrauchern erweitert und dabei ganz besonders den digitalen Markt ins Auge gefasst.

Denn die Produkthaftungsrichtlinien gelten künftig auch für Software Produkte.

Das Europaparlament und die EU-Staaten einigten sich darauf, dass die Regelungen mehr auf den digitalen Markt zugeschnitten werden. Waren zuletzt unter dem Begriff „Produkt“ nur analoge Waren gefasst, sind nun auch digitale Fertigungsdateien und Software mit darunter definiert.

Dies bedeutet, dass es in Zukunft auch einen Anspruch auf Schadensersatz geben wird, wenn durch ein solches digitales Produkt Daten von einer Festplatte gelöscht werden.

Dabei ist es wichtig zu beachten, dass diese Haftungsregeln nicht nur für materielle Schäden sondern auch für immaterielle Schäden gelten werden.

Auch soll es vereinfacht werden, eine verantwortliche Person zu finden. Es soll nämlich geregelt werden, dass ein Hersteller, Importeuer oder dessen Bevollmächtigter innerhalb der EU verantwortlich gemacht werden können auch wenn das Produkt außerhalb der EU gekauft wurde.

Auch die Beweislast wird für Verbraucherinnen und Verbraucher erleichtert werden. Für sie sollen die Anforderungen an den Nachweis, dass das Produkt den Schaden verursacht hat, heruntergeschraubt werden. Insbesondere dann, wenn der Nachweis aufgrund der technischen Komplexität für sie kaum zu erbringen ist.

EU-Gesetze für digitale Dienste

Data Act

Seit dem Februar 2022 liegt der Entwurf des Data Acts vor. Dieser wurde im Juli 2023 in einer informellen Fassung, im Trilog widerspiegelt (14.07.2023, Interinstitutioneller File Nr.2022/0047 COD). Der Data Act versucht mit einheitlichen Vorschriften einen fairen Zugang zu Daten und deren Nutzung in Form einer EU-Verordnung zu regeln. Er enthält weitreichende Regelungen für die privatwirtschaftliche Datennutzung. Der Fokus des Data Acts, wurde dabei auf Maschinendaten und Industriedaten gelegt. Deren wirtschaftliche Nutzung soll dabei durch die entstehende Rechtssicherheit erleichtert werden. Es werden aber auch personenbezogene Daten erfasst, z.B. etwa die Nutzungsdaten in einer jeden von Endverbrauchern verwendeten App.

Ein Ziel ist durch den Abbau technischer Hindernisse den Weg zu einer interoperablen und agilen Datenwirtschaft zu ermöglichen.

Damit versucht die EU erstmals direkt die Regulierung des eigentlichen Datengeschäfts. Zuvor waren Vorgaben häufig lediglich auf Spezialbereiche beschränkt oder zielten direkt auf richtungsgebende Organisationen, wie z.B. Microsoft, Meta, Amazon oder Google ab. Dazu kommen Regelungen zur Missbrauchskontrolle von Verträgen über die Datennutzung, die mit anderen Unternehmen abgeschlossen werden, Datenübermittlung in Drittstaaten, Pflichten zur Daten-Portabilität und vieles mehr. Der Data Act ist damit nicht mit dem Data Governance Act zu verwechseln (hierzu mehr im nachfolgenden Absatz). Dieser beschäftigt sich hauptsächlich mit der Weiterverarbeitung von Daten der öffentlichen Hand, dem allgemeinen Rechtsrahmen für Datenvermittlungsdienste und nicht-kommerziellen Verarbeitungsformen.

 

Data Governance Act

Der Data Governance Act ist im Juni 2022 in Kraft getreten und gilt seit September 2023.

Wichtig ist hierbei, dass er als EU-Verordnung unmittelbar in jedem Mitgliedstaat gilt, ohne dass es einer vorherigen Umsetzung in das nationale Recht bedarf. Dabei erhofft sich die EU-Kommission große Ziele. Der Data Governance Act soll die bestehenden Hemmnisse für eine gut funktionierende Datenwirtschaft abbauen und einen EU-weiten Rechtsrahmen für den Zugang zu Daten und deren Verwendung schaffen. Dies möchte der Data Governance Act dadurch bewerkstelligen, dass er eine Art rechtliche Anleitung für den Aufbau einer Infrastruktur für den Datenmarkt zur Verfügung stellt. Anbieter sog. „Datenvermittlungsdienste“ sollen als Mittler zwischen Dateninhabern und Datennutzer das Teilen und die Nutzung der Daten fördern. Diese dürfen innerhalb der EU danach aber nur tätig werden, wenn sie bestimmte formelle und materielle Voraussetzungen erfüllen und sich dementsprechend registrieren.

Befinden sich Daten im Besitz öffentlicher Stellen, sollen diese möglichst breit und diskriminierungsfrei der Öffentlichkeit zur Verfügung stehen. Darüber hinaus soll dieser mehr Vertrauen in den „Datenaltruismus“ geschaffen werden: Dafür wird die EU-Kommission auch ein Musterformular für eine Einwilligung bereitstellen.

grafische Darstellung DA und DGA

Der Data Act, der Data Governance Act und der Datenschutz

All diese Daten, die über die Vorgaben in dem Data Act und dem Data Governance Act reguliert werden, können auch personenbezogene Daten i.S.d des Art 4 Nr.1 DSGVO darstellen. Beide Vorschriften gelten für nicht-personenbezogene Daten und personenbezogene Daten gleichermaßen.

Und dennoch lassen beide Rechtsakte nach ihrem jeweiligen Art 1 III die DSGVO angeblich „unberührt“:

Art 1 III Data Act regelt, dass für personenbezogene Daten, die im Zusammenhang mit den Vorgaben des DA verarbeitet werden, die Rechtsvorschriften der Union und der Mitgliedstaaten über den Schutz personenbezogener Daten gelten. Die DSGVO bleibt unberührt, im Falle eines Widerspruches zwischen DSGVO und DA soll die DSGVO Vorrang haben.

Art 1 III DGA regelt dies ähnlich: Die DSGVO gilt für alle personenbezogenen Daten und der Data Governance Act gilt „unbeschadet“ der DSGVO. Im Fall eines Konfliktes soll die DSGVO ebenfalls Vorrang genießen. Beide Rechtsakte stellen zudem klar, dass sie keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen, der Data Governance Act und Art 1 II a.E, der Data Act in Erwägungsgrund 7.

Ob allerdings diese Vorschriften derart unbeschadet von der DSGVO gelten wird wohl lediglich die Zukunft zeigen.

Unabhängig jedoch von aller möglichen Kritik im Detail können beide Vorschriften bereits als Meilenstein angesehen werden. Denn insbesondere der Data Act wird quasi jede Person, die ein IoT-Gerät produziert oder ein Cloudservice anbietet bzw. solch einen Dienst nutzt (ob nun gewerblich oder privat) betreffen. Eine genauere Reglung ist bei Betrachtung der gesellschaftlichen Dimensionen der Datennutzung und Datenerhebung heutzutage eigentlich unabdingbar.

Das neue EU-Lieferkettengesetz ist in Kraft

Seit dem 01.01.2024 gilt das Lieferkettensorgfaltspflichtgesetz nun auch für kleine Unternehmen. Unternehmen, die ab 1.000 Beschäftigte haben, werden hier in die Verantwortung genommen.

In der EU hat man sich nun auf das CSDDD geeinigt – das Corporate Sustainability Due Diligence Directive. Dies ist insofern relevant, als dass es viel weiter geht, als die aktuelle nationale Regelung in Deutschland.

Im Inland war bisher allein die Anzahl der Beschäftigten Anknüpfungspunkt für das Lieferkettensorgfaltspflichtgesetz. Für die EU Vorschrift spielen nun aber noch weitere Faktoren mit hinein. Im Ergebnis bedeutet dies, dass sehr viel mehr Unternehmen betroffen sein werden als aktuell und die Grenze von 1.000 Beschäftigten allein nicht mehr greift.

Das CSDDD möchte auch Unternehmen ab 500 Mintarbeitern und einem Jahresumsatz von über 150 Millionen Euro Umsatz mit in die Verantwortung nehmen, aber auch solche mit 250 Beschäftigten und einem Umsatz von 40 Millionen Euro, wenn mindesten 20 Millionen Euro davon in Risikosektoren verdient worden sind.

Unter den Risikosektoren sind die folgenden Bereiche zu verstehen: Produktion und Großhandel von Textilien, Kleidung und Schuhen, Landwirtschaft, Fischerei, Lebensmittelherstellung sowie die Gewinnung und der Großhandel mit mineralischen Rohstoffen. Dies sind die größten Gebiete, die Aufzählung ist jedoch nicht abschließend.

Beachtenswert ist dabei, dass es auch keine Rolle spielt ob der Sitz des Unternehmens in der EU liegt. Allein die Generierung des maßgeblichen Umsatzes im EWR ist ausreichend.

Wie auch schon in der nationalen Vorschrift müssen die Unternehmen nach dem EU-Lieferkettengesetz ihre Lieferketten überwachen.

Hintergrund ist, dass sie verpflichtet werden sollen, Nachhaltigkeitsrisiken zu identifizieren und Maßnahmen zur Prävention zu ergreifen um etwaigen Schädigungen abzuhelfen.

Sollten sich die betroffenen Unternehmen nicht an diese Vorgaben halten, drohen ihnen Bußgelder. Auch hierbei geht die EU Vorgabe über die nationale Regelung hinaus. Wurden national als Bußgeld 2% des Jahresumsatzes vorgesehen kann nach der EU Vorgabe bis zu 5% des Jahresumsatzes als Bußgeld verhängt werden.

Ebenfalls zu beachten: Unternehmen, die gegen das Gesetz verstoßen, werden dafür öffentlich benannt! Ein Verstoß sollte auch deshalb bereits aus eigenem Interesse vermieden werden.

Neben dem bei einem Verstoß zu beachtenden Bußgeld und der Veröffentlichung des Unternehmens, drohen zudem auch zivilrechtliche Klagen, da nun auch dieser Weg eröffnet wurde. Wenn bei einem Verstoß entlang der Lieferkette Ihres Unternehmens Personen zu Schaden kommen sollten, kann nun gegen das Unternehmen am Ende dieser Lieferkette auf Schadensersatz geklagt werden.

DSGVO: Mögliche Millionenstrafe gegen Deutsche Wohnen

Im Rechtsstreit um ein DSGVO-Bußgeld in Höhe von 14,5 Millionen Euro gegen den Immobilienkonzern Deutsche Wohnen, der seit 2021 zu Vonovia gehört, gibt es Entwicklungen. Der Europäische Gerichtshof (EuGH) hat die Position der Berliner Datenschutzbehörde gestärkt. Nach dem Urteil des EuGH geht es wie folgt weiter.

Der Immobilienkonzern Deutsche Wohnen, der gegen einen Bußgeldbescheid von 14,5 Millionen Euro aufgrund eines Datenschutzverstoßes gemäß der Datenschutz-Grundverordnung (DSGVO) kämpft, den die unabhängige oberste Landesbehörde Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) im Oktober 2020 erlassen hatte, befindet sich im Rechtsstreit. Der Verstoß bezog sich auf das Speichern von Mieterdaten.

Der EuGH hat nun festgestellt, dass nur ein schuldhafter Verstoß – sei es vorsätzlich oder fahrlässig – gegen die DSGVO zu einer Geldbuße führen kann. Die Höhe der Geldbuße kann sich am Umsatz des Unternehmens oder der Muttergesellschaft orientieren.

Dieses Urteil folgte unter anderem einer Vorlage (Art. 267 AEUV) des Berliner Kammergerichts, das die Frage aufwarf, ob DSGVO-Bußgeldverfahren direkt gegen Unternehmen gerichtet werden können. In diesem Fall betraf es die Deutsche Wohnen SE. (EuGH, Urteil v. 5.12.2023, Az. C-807/21)

Das Berliner Landgericht hat vorerst das Verfahren gegen die Deutsche Wohnen eingestellt, da der Bußgeldbescheid im Februar 2021 als unwirksam erklärt wurde. Diese Entscheidung beruhte darauf, dass der Bescheid keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthielt (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az. 526 AR).

Die Staatsanwaltschaft legte dagegen Beschwerde ein, und das Kammergericht Berlin muss nun als nächsthöhere Instanz diese Entscheidung überprüfen. Das dortige Verfahren (Az. 3 Ws 250/21) wurde ausgesetzt, da rechtliche Fragen zur Klärung dem EuGH mit Beschluss vom 6.12.2021 vorgelegt wurden, wie ein Gerichtssprecher im Januar 2022 mitteilte.

Im EuGH-Verfahren ging es um die grundlegende Frage, ob eine juristische Person in Deutschland, die ein Unternehmen betreibt, nach den Grundsätzen des EU-Rechts direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Der EuGH entschied, dass Verstöße durch Vertreter ausreichen, und bestätigte somit die Rechtsauffassung der Datenschutzbehörde. Das Berliner Kammergericht wird nun auf Basis dieses EuGH-Urteils abschließend im Fall „Deutsche Wohnen“ entscheiden müssen.

Am 27. April 2023 legte Generalanwalt Manuel Campos Sánchez-Bordon seine Schlussanträge in der Rechtssache C‑807/21 (Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin) vor. Er kam zu dem Schluss, dass die Behörden bei Verstößen von Mitarbeitern direkt Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) gegen ein Unternehmen verhängen können, wenn diesen ein vorsätzliches oder fahrlässiges Handeln nachgewiesen werden kann. Der Europäische Gerichtshof (EuGH) hat sich somit der Rechtsauffassung von Sánchez-Bordon angeschlossen.

Die Berliner Datenschutzbehörde erhob konkrete Vorwürfe gegen die Deutsche Wohnen, indem sie behauptete, dass das Unternehmen es zwischen Mai 2018 und März 2019 versäumt habe, ausreichende Maßnahmen zur regelmäßigen Löschung nicht mehr benötigter Mieterdaten zu implementieren. Zu diesem Zeitpunkt soll es möglich gewesen sein, im Archiv des Konzerns auf persönliche Daten der Mieter zuzugreifen und diese zu verarbeiten. Hierzu gehörten Informationen über Sozial- und Krankenversicherung, Arbeitsverträge sowie Details zu finanziellen Verhältnissen.

Erstmals wurde die Deutsche Wohnen der Behörde im Juni 2017 auffällig. Zu diesem Zeitpunkt stellte die Behörde fest, dass personenbezogene Daten von Mietern in einem Archivsystem gespeichert wurden, in dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. Da dieser Zustand bis März 2019 unverändert blieb, griff die Behörde zu drastischen Maßnahmen. Es ist zu beachten, dass die verschärfte Regelung der Datenschutz-Grundverordnung (DSGVO) erst am 25. Mai 2018 in Kraft trat.

Neben der Sanktionierung des strukturellen Verstoßes verhängte die Behörde weitere Bußgelder gegen die Deutsche Wohnen. Die unzulässige Speicherung von personenbezogenen Daten von Mietern in 15 konkreten Fällen soll allein zwischen 6.000 und 17.000 Euro kosten.

Gemäß der EU-Verordnung können bei DSGVO-Verstößen Zwangsgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des Gesamtumsatzes verhängt werden. Der zugrunde gelegte Umsatz der Deutsche Wohnen im Jahr 2018 hätte ein Bußgeld von insgesamt bis zu 28 Millionen Euro erlaubt.

Es gibt Handlungsbedarf bei Wohnungsunternehmen in Sachen Datenschutz.
Im Juli 2019 beispielsweise wurde beim Wohnungsunternehmen LEG vorübergehend ein Mieterportal deaktiviert, nachdem ein Informatikstudent Sicherheitslücken öffentlich gemacht hatte. Ein Bericht des Westdeutschen Rundfunks (WDR) betonte, dass keinerlei besondere Computerkenntnisse erforderlich waren, um auf sämtliche Daten anderer Mieter zuzugreifen. Die damalige Berliner Datenschützerin Maja Smoltczyk erklärte in einem Interview mit dem „Tagesspiegel“ im November 2019, dass die umfangreiche Datenspeicherung häufig vorkomme und Unternehmen oft wenig darüber nachdächten, ob die Daten tatsächlich gespeichert werden müssten.

Obwohl Wohnungsunternehmen Vorhaltepflichten hätten, seien sie verpflichtet, Löschfristen für personenbezogene Mieterdaten zu beachten. Zur Unterstützung bei der Umsetzung der Datenschutz-Grundverordnung hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) Praxishilfen veröffentlicht, die auch von Branchenverbänden, insbesondere in der Immobilienbranche, genutzt werden können.

Weitere Informationen finden Sie hier:
https://www.haufe.de/immobilien/wirtschaft-politik/deutsche-wohnen-wehrt-sich-gegen-bussgeld-wegen-dsgvo-verstoss_84342_503486.html

Über 6.000 Konten sicherheitshalber blockiert nach Hacker-Angriff auf die Targobank

Derzeit haben Tausende Kund:innen der Targobank keinen Zugriff auf ihre Konten, da die Bank eine Sperre für die betroffenen Konten durchgeführt hat. Dies erfolgte aufgrund eines zuvor stattgefundenen Hackingversuchs, der jedoch von den Sicherheitssystemen der Bank erkannt wurde. Wie zuerst von Heise berichtet, soll der Angriff bereits vor einigen Tagen stattgefunden haben, als erste Berichte von Menschen eingingen, die Schwierigkeiten hatten, sich beim Onlinebanking anzumelden.

Um einen größeren Schaden zu verhindern, sperrte die Bank die gefährdeten Konten. Ein Sprecher äußerte sich gegenüber Heise zuversichtlich, dass der Versuch erfolgreich abgewehrt wurde. Die betroffenen Kund:innen erhalten in den kommenden Tagen eine schriftliche Benachrichtigung, die auch neue Zugangsdaten enthalten soll.

Es häufen sich Vorfälle, bei denen Hacker gezielt auf Banken abzielen. Im vergangenen Sommer war die Deutsche Bank mit ihren Tochtergesellschaften Opfer eines erheblichen Datendiebstahls. Dabei wurden über eine Sicherheitslücke beim Kontowechsel-Dienstleister Majorel die Daten von Tausenden Personen öffentlich zugänglich gemacht.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/139110-targobank-gehackt-konten-blockiert-insolvenzen-sparkasse-payback?utm_source=newsletter&utm_medium=email&utm_campaign=ohn