IT-Compliance

it-sa 2019

Die it-sa gehört mit über 700 Ausstellern und knapp 16.000 internationalen Fachbesuchern aus 25 Ländern jährlich zu den größten Fachmessen im Bereich der IT-Sicherheit.

Neben internationalen Ausstellern wird die Messer gekonnt ergänzt durch qualifizierte Forenbeiträge sowie einem umfangreichen Kongressprogramm mit hochrangiger Beteiligung.

Es war mir daher eine besondere Freude, auf der it-sa 2019, einen Vortrag zum “Stand der Technik” in der IT-Sicherheit zu halten und anschließend mit den TeleTrusT-Vorständen, Prof. Norbert Pohlmann und RA Karsten Bartels LL.M., über die besonderen Anforderungen an die IT-Sicherheit in Zeiten der Digitalisierung zu diskutieren.

Tomasz Lawicki

Tomasz Lawicki

Mehr über Tomasz Lawicki

 

Tomasz Lawickiit-sa 2019

Was bedeutet “Stand der Technik”?

Aus der DSGVO resultiert die Verpflichtung der Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu treffen, um den Schutz personenbezogener Daten sicherzustellen. Dabei soll der Stand der Technik dieser Maßnahmen berücksichtigt werden. Der Artikel zeigt einen methodischen Ansatz, um den Technologiestand der im Unternehmen eingesetzten Maßnahmen zu bestimmen und somit der aus der DSGVO geforderten Dokumentationspflicht nachzugehen.

Tomasz LawickiWas bedeutet “Stand der Technik”?

„Stand der Technik“ und DSGVO

Am 21. März 2018 sprach ich auf der Regionalveranstaltung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT). Eingeladen hat Detack GmbH als TeleTrusT-Regionalstelle Stuttgart in das sehr imposante Residenzschloss zu Ludwigsburg.

Beim strahlenden Sonnenwetter und Frühlingstemperaturen in Ludwigsburger Schlossgarten sprach ich als Keyspeaker der Veranstaltung über den gesetzlich geforderten Technologiestand von technischen und organisatorischen Maßnahmen (TOM). Unterschieden wurden die Technologiestände “allgemein anerkannten Regeln der Technik”, “Stand der Technik” und “Stand der Wissenschaft und Forschung”.

Zeitaktuell zielte die Veranstaltung auf die europäische Datenschutzgrundverordnung (DSGVO, GDPR) ab, die im Artikel 32 die Berücksichtigung des “Stands der Technik” bei Anwendung der TOMs fordert. So wurden neben dem Verständnis und Verwendung der einzelnen Technologistände auch eine Methode zu ihrer Bestimmung hergeleitet. Im Nachgang wurden einige Beispiel für die Anwendung im Zusammenhang mit DSGVO besprochen.

Gerade die Beispiele ermöglichten dem Auditorium ein besseres Verständnis der einzelnen Technologiestände sowie ihre Abgrenzung  in der Praxis.

Ich bedanke mich bei Detack für die Einladung und die Organisation der Veranstaltung.

Dank der Organisation, den interessanten und konstruktiven Gesprächen mit den Teilnehmern (während und im Nachgang der Veranstaltung) sowie zu guter Letzt der ausserordentlichen Location, bleibt mir diese Veranstaltung für eine lange Zeit in einer sehr positiven Erinnerung.

Tomasz Lawicki

TOMASZ LAWICKI
Mehr über Tomasz Lawicki

Tomasz Lawicki„Stand der Technik“ und DSGVO

Fachvortrag beim Arbeitskreis EDV und Recht (AKEUR)

Durch die Vorgaben aus dem IT-Sicherheitsgesetz (IT-SiG) und der Datenschutzgrundverordnung (DSGVO) hat “Stand der Technik” weiter an Brisanz gewonnen. Beide Gesetze verlangen die Einhaltung oder mindestens die Berücksichtigung des “Stands der Technik” beim Einsatz technischer und organisatorischer Maßnahmen.
Obwohl „Stand der Technik“ in vielen Bereichen der Gesetzgebung seit Langem fest verankert ist, wird er regelmäßig von allen Beteiligten inkonsequent verwendet. In der Veranstaltung ordneten die Referenten den „Stand der Technik“ sachlich und nachvollziehbar zu und sie lieferten methodische Ansätze, um ihn von ähnlich lautenden Begriffen abzugrenzen.
Der Fachvortrag vor einem Fachpublikum aus öffentlich bestellten und vereidigten (ö.b.u.v.) Sachverständigen und Rechtsanwälten hat enorm Spaß gemacht. Durch kritische Fragen, konstruktiven Austausch und wertvolle Inhalte bleibt die Veranstaltung den Referenten und dem Fachpublikum für eine lange Zeit positiv in Erinnerung.
Tomasz LawickiFachvortrag beim Arbeitskreis EDV und Recht (AKEUR)

Gesetzliche Anforderungen umsetzen

Am 8. Juni 2017 fand in Hamburg eine IT-Sicherheits-Veranstaltung zum Thema „IT-SiG und DSGVO – Anforderungen managen“ statt. Unter der Fahne vom Bundesverband IT-Sicherheit e.V. (TeleTrusT) haben wir die Veranstaltung gemeinsam mit der renommierten Rechtsanwaltskanzlei Taylor Wessing und der Unternehmensberatung WMC GmbH organisiert.

Auf der Agenda standen die folgenden Vorträge:

  • DatenschutzGrundverordnung (DSGVO)
    Dr. A. v.d. Bussche (Taylor Wessing)
  • Regulatorische Anforderung “Stand der Technik” nach IT-SiG und DSGVO
    Tomasz Lawicki (Schwerhoff Consultants)
  • Umsetzung von IT-Sicherheitsgesetz und DSGVO
    Werner Wüpper (WMC)

Es war eine tolle Veranstaltung mit wertvollen Beiträgen und interessanten Fachgesprächen.

Unvergesslich bleibt aber auch der fantastische Ausblick auf Hamburg und die Elphi…

Elbphilharmonie (Elphi)

Tomasz LawickiGesetzliche Anforderungen umsetzen

BvD News 2/2016

Bestimmung des “Stands der Technik”

Im Juli 2015 trat das IT-Sicherheitsgesetz (IT-SiG) in Kraft. Damit wurde ein branchenübergreifendes Fundament für die nachhaltige Verbesserung der IT-Sicherheit in Deutschland geschaffen. Obwohl sich IT-SiG augenscheinlich an die sogenannten Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) richtet, sind auch die Nicht-KRITIS-Betreiber mittelbar und unmittelbar dazu verpflichtet, den geforderten „Stand der Technik“ einzuhalten, denn die Verpflichtung zur Einhaltung der gesetzlichen Vorgaben werden die KRITIS-Betreiber bei ihren Dienstleistern vertraglich eingefordern. Eine weitere Verpflichtung beruht auf den mit dem IT-SiG eingeführten Änderungen im Telemediengesetz (TMG). Dort wird zumindest die Berücksichtigung des „Stands der Technik“ klar gefordert und zwar unabhängig von der KRITIS-Einordnung.

Doch was bedeutet „Stand der Technik“ konkret? Wie kann man ihn nachweisen und die geforderten technischen und organisatorischen Maßnahmen umsetzen? Welche Maßnahmen gilt es mindestens zu berücksichtigen? Diese Fragen werden weder im IT-SiG noch in der bisher veröffentlichten KRITIS-Verordnung zur Bestimmung der KRITIS-Betreiber beantwortet.

In der Gesetzgebung wird der Begriff „Stand der Technik“ gerne verwendet, weil er zeitlos, unverbindlich, aber dennoch zweckdienlich ist. Einerseits wird die vom Gesetzgeber gewollte Zielrichtung vorgegeben, andererseits bleibt der Gesetzestext unabhängig von der technologischen Entwicklung entkoppelt und ist somit stets aktuell. Doch wenn es darum geht, den „Stand der Technik“ einzuhalten und gar nachzuweisen, wird es für die Betroffenen schwierig, diesen praxistauglich zu bestimmen.

Der „Stand der Technik“ muss von den begrifflich ähnlich lautenden Generalklauseln wie „allgemein anerkannte Regeln der Technik“ und „Stand der Wissenschaft und Technik“ abgegrenzt werden.

Begrifflich ist der „Stand der Technik“ zwischen den beiden Generalklauseln anzusehen.[1]

Sollen bereits implementierte oder erst zu planende Maßnahmen eingeordnet werden, bedarf es einer Methodik mit eindeutigen und nachvollziehbaren Kriterien.[2] Die Methodik muss es ermöglichen, die Maßnahmen objektiv zu bewerten, mit Alternativen zu vergleichen und zu dokumentieren.

Neben den einzelnen Maßnahmen und deren Alternativen muss auch die Gesamtheit der Maßnahmen betrachtet werden, denn die Wirksamkeit der eingesetzten Maßnahmen ist nur so gut, wie ihr schwächster Bestandteil.

Für die initiale Analyse wird auf die vom TeleTrusT, Bundesverband für IT-Sicherheit im Mai dieses Jahres veröffentlichte „Handreichung zum Stand der Technik im Sinne des IT-Sicherheitsgesetzes“ verwiesen.[3] Das Dokument kann als Referenz für Vereinbarungen zu Sicherheitsmaßnahmen bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen. Da die heutigen, als „Stand der Technik“ geltenden, Maßnahmen aufgrund der evolutionsbedingten Verschiebung vielleicht schon morgen eher den „allgemein anerkannten Regeln der Technik“ zuzuordnen sind, muss ihre Aktualität fortlaufend geprüft werden.

Auch die Europäische Datenschutz-Grundverordnung (DS-GVO) fordert bei der Umsetzung von technischen und organisatorischen Maßnahmen die Berücksichtigung des „Stands der Technik“. Auch in diesem Fall wurden die geforderten Schutzmaßnahmen nicht eindeutig konkretisiert. Der Arbeitskreis „Stand der Technik“ des TeleTrust wird daher weitere Unterstützung leisten und die oben erwähnte Handreichung im Hinblick auf die datenschutzrechtlichen Bestimmungen aus technischer Sicht ergänzen. So kann die Forderung zur Einhaltung des „Stands der Technik“ als verbindendes Element eine Brücke zwischen dem geforderten Datenschutz und der IT-Sicherheit schlagen.

[1] Vgl. Bundesministerium für Justiz und Verbraucherschutz, Handbuch der Rechtsförmlichkeit, Seite 4,
http://hdr.bmj.de/page_b.4.html

[2] Vgl. dazu Michaelis, Der „Stand der Technik“ im Kontext regulatorischer Anforderungen, DuD 2016, S. 458 ff.

[3] Die „Handreichung zum Stand der Technik im Sinne des IT-Sicherheitsgesetzes“ ist frei abrufbar auf der
Internetseite von TeleTrust unter: https://www.teletrust.de/publikationen/broschueren/stand-der-technik/.

Der Artikel ist erstmals erschienen in der Ausgabe 2/2016 der BvD News: https://www.bvdnet.de/bvdnews.html

Den Artikel finden Sie unter: BvDNews16-2_Tomasz_Lawicki

 

Tomasz Lawicki

TOMASZ LAWICKI
Mehr über Tomasz Lawicki

Tomasz LawickiBvD News 2/2016