Zusammenfassung
Menschen machen Fehler. Maschinen machen Fehler. Nolens volens kommt es in jeder Organisation irgendwann zu Sicherheits- oder Datenschutzvorfällen. In solchen Fällen ist derjenige im Vorteil, der vorbereitet ist. Eine Herausforderung liegt dabei auch in der Erfüllung der Pflichten zur behördlichen Meldung des Vorfalls. Zu den bereits bestehenden Meldepflichten über IT-Störungen, u. a. aus dem BSIG, TKG und aus Spezialgesetzen, ist jüngst die Pflicht zur Meldung der Verletzung des Schutzes personenbezogener Daten hinzugekommen. Angesichts der kurzen vorgeschriebenen Reaktionszeiten ist eine gemeinsame Berücksichtigung der verschiedenen Meldepflichten im Incident- sowie Notfallmanagement nahezu zwingend. Im vorliegenden Kapitel werden Vorgaben zu den Meldepflichten aus dem BSIG und der DSGVO zusammengestellt und Ansätze zur Prüfung der Umsetzung dieser Meldepflichten durch die Revision entwickelt.
ARTEMIJ FILIPOWITSCH. […] Ich darf von mir sagen, dass ich keine Mühe scheue und meinen Dienst mit größtem Eifer versehe. Der hiesige Postmeister tut dagegen überhaupt nichts: Alles ist völlig vernachlässigt. Sendungen werden zurückgehalten […] Sie sollten sich selbst einmal davon überzeugen. Und der Richter, der gerade vor mir bei Ihnen war, geht ständig auf Hasenjagd und hält in den Amtsräumen Hunde. Sein Verhalten, wenn ich das so offen vor Ihnen sagen darf, und im Interesse des Vaterlandes muss ich das tun, obwohl ich mit ihm verwandt und befreundet bin, sein Verhalten ist höchst verwerflich. Es gibt hier einen Gutsbesitzer, einen gewissen Dobtschinskij, den Sie bereits kennengelernt haben. Kaum hat dieser Dobtschinskij das Haus verlassen, da sitzt der Richter schon bei seiner Frau, das kann ich beschwören. […] Schauen Sie sich nur die Kinder an: keines sieht Dobtschinskij ähnlich, alle, sogar das kleine Mädchen, sind dem Richter wie aus dem Gesicht geschnitten.
CHLESTAKOW. Was Sie nicht sagen! Das hätte ich nicht gedacht.
ARTEMIJ FILIPOWITSCH. Und dann unser Schulinspektor. Ich verstehe nicht, wie ihm die Obrigkeit ein solches anvertrauen konnte. Er ist schlimmer als ein Jakobiner und impft der Jugend so aufrührerische Ideen ein, wie sie gar nicht zu beschreiben sind. Soll ich das nicht lieber alles zu Papier bringen?
CHLESTAKOW. Meinetwegen, bringen Sie es zu Papier. Es wird mir Vergnügen bereiten. Wissen Sie, wenn ich mich langweile, lese ich gern etwas Unterhaltsames. Wie war doch noch Ihr Name? Ich habe ihn schon wieder vergessen.
Nikolaj Gogol, Der Revisor (IV, 6)
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Literatur
Schuster H (2018) „Unterschätzte Konsequenzen nach Cyber-Attacken“, Vogel Business Media/DATEV Rubrik „Trends und Innovationen“. https://www.datev.de/web/de/aktuelles/trends-und-innovationen/unterschaetzte-konsequenzen-nach-cyber-attacken/. Zugegriffen: 6. Aug. 2018
Hanßen H (2017) „Umsetzung der NIS-Richtlinie: neue Pflichten für Anbieter digitaler Dienste“, 27.01.2017. http://hoganlovells-blog.de/2017/01/27/umsetzung-der-nis-richtlinie-neue-pflichten-fuer-anbieter-digitaler-dienste/. Zugegriffen: 31. Mai 2018
BMI (2014) Pressemitteilung IT-Sicherheitsgesetz. http://www.bmi.bund.de/SharedDocs/Kurzmeldungen/DE/2014/12/bundeskabinett-beschlie%C3%9Ft-it-sicherheitsgesetz.html. Zugegriffen: 31. Mai 2018
BSI-KritisV (2016) Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV). https://www.gesetze-im-internet.de/bsi-kritisv/BJNR095800016.html. Zugegriffen: 22. Apr. 2016
BSI (2016) Das IT-Sicherheitsgesetz. Kritische Infrastrukturen schützen. BSI, Bonn
BSI (2015) Die Lagebericht der IT-Sicherheit in Deutschland. BSI, Bonn (November 2016)
BSI (n. d.) Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz. https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/FAQ/FAQ_zur_Meldepflicht/faq_meldepflicht_node.html. Zugegriffen: 6. Juli 2018
Fischer-Dieskau S (2017) „Umsetzung des IT-SiG – wo stehen wir?“, CAST-Workshop „Herausforderungen bei der Umsetzung von IT-SiG und DSGVO“, 11 Mai 2017
BSI. Melde- und Informationsportal des BSI, https://mip.bis.bund.de. Zugegriffen: 11. Mai 2017
BSI (2008) BSI-Standard 100-4: Notfallmanagement. BSI, Bonn
FFIEC (2015) Business Continuity Planning (BCP). IT Examination Handbook. Federal Financial Institutions Examination Council, Februar 2016
Artikel-29-Arbeitsgruppe, WP 250 rev01 „Guidelines on personal data breach notification under Regulation 679/679“
Jandt in Kühling/Buchner (2018) DSGVO, 2. Aufl
DSK-Kurzpapier Nr. 18 (2018)
Martini in Paal/Pauly, 2. Aufl. 2018, DSGVO, Art. 33
Marschall (2015) DuD, 183, 184
Schreibauer/Spittka (2017) in Wytibul (Hrsg.), EU-Datenschutz-Grundverordnung
Hanßen H, Sowa A (2018) „Meldepflichten an Behörden nach DSGVO, ITSiG und NIS-Richtlinie“, < kes > – Zeitschrift für Informations-Sicherheit, 4/2018
BaFin (2018) Rundschreiben 10/2017 (BA) in der Fassung vom 14.09.2018. Bankaufsichtliche Anforderungen an die IT (BAIT), 14. Sept. 2018
BaFin und BSI (2018) „Bankaufsichtliche Anforderungen an die IT Kritischer Infrastrukturen“, Rundschreiben an die Geschäftsleitungen der Unternehmen, die gemäß BSI-Kritisverordnung Betreiber Kritischer Infrastrukturen im Sektor Finanzen und Versicherungswesen sind, 3. Aug. 2018
BSI (2017) Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG (Version 0.9.02), 30. Juni 2017
ENISA (2017) incident notification for DSPs in the context of the NIS Directive. A comprehensive guideline on how to implement notification for digital service providers, in the context of the NIS Directive. February 2017
BaFin (2017) Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk, (Geschäftszeichen BA 54-FR 2210-2017/0002), 27. Okt. 2017
ISO (2005) ISO/IEC 27001:2005 Information technology – security techniques – information security management systems – requirements. ISO, Geneva
ISO (2013) ISO/IEC 27002:2013 Information technology – security techniques – code of practice for information security management. ISO, Geneva
ISACA (2016) Implementierungsleitfaden ISO/IEC 27001:2013. ISACA Germany – Fachgruppe Informationssicherheit
Hanßen H (2018) Meldung von Datenpannen nach der DSGVO: Meldeformulare der Aufsichtsbehörden. http://hoganlovells-blog.de/2018/07/30/meldung-von-datenpannen-nach-der-dsgvo-meldeformulare-der-aufsichtsbehoerden/. Zugegriffen: 30. Juli 2018
Sowa A (2017) Management der Informationssicherheit. Springer, Wiesbaden
Author information
Authors and Affiliations
Corresponding author
Rights and permissions
Copyright information
© 2019 Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature
About this chapter
Cite this chapter
Sowa, A. (2019). Meldepflichten nach DSGVO, ITSiG bzw. NIS-Richtlinie: Vorgaben und Prüfung. In: IT-Revision, IT-Audit und IT-Compliance. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-23765-3_6
Download citation
DOI: https://doi.org/10.1007/978-3-658-23765-3_6
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-23764-6
Online ISBN: 978-3-658-23765-3
eBook Packages: Computer Science and Engineering (German Language)