Zum Inhalt springen

Dr. Jens Bücking

Die Umsetzungspflicht zeitgemäßer IT-Sicherheit nach aktueller EU-Agenda (Teil 2)

KRITIS-Gesetz 2024 Mit dem neuen KRITIS-Dachgesetz, mit dem mehrere „Untergesetze“ geändert werden sollen, will die Bundesregierung die Resilienz der kritischen Einrichtungen stärken, indem die erfassten Unternehmen und Einrichtungen zu einer Erhöhung des Schutzniveaus durch Mindestvorgaben im Bereich der physischen Sicherheit verpflichtet werden. Diese Pflichten werden… Mehr lesen »Die Umsetzungspflicht zeitgemäßer IT-Sicherheit nach aktueller EU-Agenda (Teil 2)

Die Umsetzungspflicht zeitgemäßer IT-Sicherheit nach aktueller EU-Agenda (Teil 1)

IT-/ cybersecurity by design, by default, by resilience & by lifecycle management Die EU-Datenschutz-Grundverordnung (DSGVO) ist seit dem 25.05.2018 geltendes Recht. Ihr dient die Datensicherheit als Gewährleistungsinstrument für den Datenschutz. Die juristische Verantwortung hierfür liegt bei den Verantwortlichen, d.h. den Unternehmen und Hoheitsträgern. Mit dem… Mehr lesen »Die Umsetzungspflicht zeitgemäßer IT-Sicherheit nach aktueller EU-Agenda (Teil 1)

Whistleblowing und Compliance – wie man Meldesysteme nach Hinweisgeberschutzgesetz richtig implementiert – Teil 4

DSGVO-Löschpflicht gegen Dokumentationspflicht nach Hinweisgebergesetz Eine voreilige Löschung vor dem endgültigen Abschluss des Meldefalles, etwa nach der Empfehlung der DSK nach Ablauf von 2 Monaten ab Abschluss der Ermittlungen (im Ergebnis also wohl dem Schlussreport), erscheint nicht angebracht, da durch spätere Erkenntnisse oder Nachmeldungen Informationslücken… Mehr lesen »Whistleblowing und Compliance – wie man Meldesysteme nach Hinweisgeberschutzgesetz richtig implementiert – Teil 4

Whistleblowing und Compliance – wie man Meldesysteme nach Hinweisgeberschutzgesetz richtig implementiert – Teil 3

Betroffenenrechte Es existieren aber noch weitere Schwierigkeiten im Wechselspiel zwischen dem Datenschutz und dem Betrieb einer Meldestelle. So könnten betroffene Personen über die Informationspflicht des Art. 14 und das Auskunftsrecht aus Art. 15 DSGVO über sämtliche Umstände, die im Zusammenhang mit der Verarbeitung ihrer Daten… Mehr lesen »Whistleblowing und Compliance – wie man Meldesysteme nach Hinweisgeberschutzgesetz richtig implementiert – Teil 3

Whistleblowing und Compliance – wie man Meldesysteme nach Hinweisgeberschutzgesetz richtig implementiert – Teil 2

Plausibilitätsprüfung und Reporting In allen Hinweisfällen werden Daten mit Personenbezug (oder Personenbeziehbarkeit) genutzt, bevor der dergestalt personalisierte Sachverhalt – um weitere Informationen angereichert – einem Plausibilitätscheck unterzogen wird. Dieser Plausibilitätscheck erfordert in der Regel die Beschaffung respektive Heranziehung zur Nutzung weiterer Daten aus dem Unternehmen… Mehr lesen »Whistleblowing und Compliance – wie man Meldesysteme nach Hinweisgeberschutzgesetz richtig implementiert – Teil 2

Whistleblowing und Compliance – wie man Meldesysteme nach Hinweisgeberschutzgesetz richtig implementiert – Teil 1

Bereits heute haben weltweit agierende Unternehmen aus den unterschiedlichsten Gründen Meldesysteme implementiert. Zumeist geht es um die Früherkennung bestandsgefährdender Risiken und um Anforderungen der Compliance. Konzernweite Meldekanäle und Ressourcenteilung Nur selten werden allerdings die Anforderungen aus der EU-Whistleblower-Richtlinie und dem zugehörigen Regelungsrahmen der DSGVO durch… Mehr lesen »Whistleblowing und Compliance – wie man Meldesysteme nach Hinweisgeberschutzgesetz richtig implementiert – Teil 1

Einbau und Wartung von IT-Sicherheit bei digitalen Produkten – Haftungsfalle der Software-Security?

Einzubauende Sicherheit Wie bereits an anderer Stelle erörtert, haben mit der BGB-Reform von 2022 über den sog. „erweiterten Mangelbegriff“ insbesondere auch Eigenschaftserwartungen an digitale Produkte, wie etwa DSGVO-Compliance, Kompatibilität, Interoperabilität und Sicherheit, Einzug in das Zivilrecht gehalten. Unter den Begriff des digitalen Produkts fällt insbesondere… Mehr lesen »Einbau und Wartung von IT-Sicherheit bei digitalen Produkten – Haftungsfalle der Software-Security?

Cookies und Consent-Management: Was muss ins Cookie-Banner?

– Tipps zur praktischen Umsetzung nach EU-Recht – Cookies dürfen grundsätzlich nur nach vorheriger Einwilligung des Nutzers gesetzt und ausgelesen werden. Das Einwilligungserfordernis erfasst auch solche Cookies, die keine personenbezogenen oder personenbeziehbaren Daten verarbeiten. Eine Ausnahme von diesem Grundsatz gilt für Cookies, Zu 1: Gemeint sind… Mehr lesen »Cookies und Consent-Management: Was muss ins Cookie-Banner?

Enttarnung des Whistleblowers durch Auskunft nach Art. 15 DSGVO?

Laut Bundesgerichtshofs besteht der DSGVO-Auskunftsanspruch grundsätzlich uneingeschränkt: § 15 DSGVO sei gerichtet auf alle verfügbaren Informationen über die Herkunft der Daten. Darunter fällt schlussendlich unzweifelhaft auch die Person des Hinweisgebers. Eine Beschränkung des Anspruchs besteht allerdings bei etwaigen Beeinträchtigungen der Rechte und Freiheiten Dritter. Daher… Mehr lesen »Enttarnung des Whistleblowers durch Auskunft nach Art. 15 DSGVO?

Die BGB-Reform 2022 zu digitalen Produkten: Haftung bei fehlender IT-Sicherheit und Datenschutzkonformität

Seit dem 01.01.2022 steht das neue BGB mit dem erweiterten Mängelbegriff und – hieran anknüpfend – korrespondierenden Gewährleistungs- und Haftungsansprüchen in Kraft. Zeit für einen ersten Befund zur Praxisbewährung: Security, Compliance und digitale Produkte Das altehrwürdige BGB „goes digital“ – jedenfalls was eine zeitgemäße Definition… Mehr lesen »Die BGB-Reform 2022 zu digitalen Produkten: Haftung bei fehlender IT-Sicherheit und Datenschutzkonformität

Top