Zum Inhalt Zum Menü

Datenschutz-Newsletter Dezember 2024

NIS-2-Umsetzungsgesetz

Im Jahr 2025 werden die deutschen Unternehmen erstmals mit umfangreichen Cybersicherheitsgesetzen konfrontiert werden. Ausgehend von der EU NIS-2-Richtlinie (NIS 2 Directive – NIS 2 EUR LEX) und der CER-Richtlinie (EU RCE Directive – KRITIS – CER EUR LEX) ist Deutschland dazu verpflichtet, umfangreiche Vorgaben im Bereich der Cybersicherheit umzusetzen. Der deutsche Gesetzgeber hat sich dazu entschlossen, die Regelungen durch eine Änderung des BSI-Gesetzes, ausgehend vom NIS-2 Umsetzungsgesetzes (Entwurf NIS2UmsuCG) und durch das KRITIS-Dachgesetz (Entwurf KRITIS-Dachgesetz) zu realisieren. Durch die angesetzten Neuwahlen des deutschen Bundestages und der damit verbundenen Vertrauensfrage infolge des Bruchs der Ampelkoalition wird sich die Umsetzung der beiden Cybersicherheitsgesetze voraussichtlich bis Oktober 2025 verzögern.

Die NIS 2-Richtlinie legt erstmals für eine große Zahl an Unternehmen umfangreiche Cybersicherheitsmaßnahmen und Dokumentationspflichten fest. Die deutsche Umsetzung durch die Änderung im BSI-Gesetz wird sich weitgehend an den Vorgaben der NIS2-Richtlinie orientieren, aber auch deutsche Besonderheiten enthalten. Da Deutschland die Umsetzung nicht rechtzeitig bis zum 17.Oktober 2024 realisieren konnte, leitete die EU-Kommission bereits ein Vertragsverletzungsverfahren ein.

Obwohl sich die Umsetzung der Cybersecurity-Gesetze noch verzögern könnte, ist sie unausweichlich. Deutschland muss die Regelungen umsetzen, nicht zuletzt wegen des enormen Drucks auf Unternehmen durch Cyberangriffe.

Unternehmen sollten sich folgendermaßen mit dem Thema auseinandersetzen:

  • Betroffenheitsprüfung durch die W+ST Data Security

    In einer Anwendungsbereichsprüfung sollte überprüft werden, welche Unternehmen konkret von den Cybersecurity-Gesetzen betroffen sind. Während sich die bisherigen Regelungen nur auf Betreiber kritischer Infrastruktur einer signifikanten Größe bezogen, wird der Anwendungsbereich mit Inkrafttreten der neuen Gesetze signifikant erweitert und betrifft nun auch kleine und mittelständische Unternehmen unterschiedlichster Branchen. Der Anwendungsbereich differenziert zwischen Mitarbeiterzahl, Jahresumsatz, Jahresbilanzsumme und einschlägigem Sektor (z.B. IT-Unternehmen, Energieunternehmen).

    Folgende Sektoren sind im Überblick betroffen: Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheit, Wasser, Digitale Infrastruktur, Weltraum, Post- und Kurierdienste, Abfallbewirtschaftung, Produktion, Handel und Herstellung von chemischen Stoffen, Produktion, Verarbeitung und Vertrieb von Lebensmitteln, Verarbeitendes Gewerbe/Herstellung von Waren, Anbieter digitaler Dienste, Forschung. Für die rechtliche Betroffenheitsprüfung eines Unternehmens bedarf es genauer Unternehmenszahlen, die unter anderem nach der maßgeblichen KMU-E (in Anlehnung an die Empfehlung (2003/361/EG) der Europäischen Kommission nach Umsatz- und Beschäftigten­größenklassen) rechtlich bewertet und eingeordnet werden müssen. Ohne diese Unternehmenszahlen ist eine professionelle rechtliche Anwendungsbereichsprüfung nicht möglich.

    Unternehmen, die keine ausreichenden Cybersecurity-Maßnahmen umsetzen, werden künftig Schwierigkeiten haben, Geschäftsbeziehungen mit gesetzlich regulierten Unternehmen aufrechtzuerhalten – selbst wenn sie nicht direkt vom Anwendungsbereich der Cybersicherheitsgesetze erfasst sind. Denn die gesetzlichen Umsetzungspflichten nach der NIS-2-Richtlinie müssen anhand der Lieferkette an Vorlieferanten und Geschäftspartner weitergegeben werden.

Mitbewerber können Datenschutzverstöße wettbewerbsrechtlich geltend machen

Seit Inkrafttreten der DSGVO 2018 ist umstritten, ob Unternehmen wettbewerbsrechtliche Maßnahmen gegen Mitbewerber wegen Datenschutzverstößen ergreifen können. Ein Unternehmen, das sich rechtskonform verhält, kann gegen einen Marktbeteiligten, der sich unlauteren Praktiken bedient, wettbewerbsrechtliche Maßnahmen ergreifen, wie etwa eine Abmahnung oder Klage auf Unterlassung, Schadensersatz oder die Herausgabe von wettbewerbswidrig erzielten Gewinnen, um fairen Wettbewerb zu gewährleisten. Der EuGH öffnete einem solchen Vorgehen aufgrund von Datenschutzverstößen von Mitbewerbern grundsätzlich die Tür und stellte klar, dass sogar nicht betroffene Personen bezüglich der konkreten Datenverarbeitung, also Dritte, die Verantwortliche oder Auftragsverarbeiter im Verhältnis zum rechtwidrig agierenden Unternehmen sind, rechtliche Maßnahmen gegen rechtswidrig agierende Markteilnehmer ergreifen können. Der rechtmäßig handelnde Konkurrent ist zur Ergreifung von wettbewerbsrechtlichen Maßnahmen aktivlegitimiert.

In dem vorliegenden Verfahren ging es um die Frage, ob ein Apotheker apothekenpflichtige Arzneimittel über Amazon verkaufen dürfte. Beim Verkauf der Arzneimittel fallen grundsätzlich sensible Gesundheitsdaten an. Da der Vertrieb über Amazon nicht darauf ausgelegt ist, die sensiblen Daten nur bei Vorliegen von entsprechenden Rechtsgrundlagen des Art. 9 DSGVO zu verarbeiten, sah der EuGH darin einen Datenschutzverstoß. Die im Rechtsstreit unterlegene Apotheke hatte nicht beachtet, dass sie ein System etabliert hat, bei der sie die angemessen sichere Verarbeitung von Gesundheitsdaten, die bei der Bestellung anfallen, auf dem Weg von der Bestellung im Rahmen der Übermittlung an die Apotheke, nicht gewährleisten konnte.

Fazit: In Zukunft wird es leichter möglich sein, wettbewerbsrechtliche Abmahnungen von Konkurrenten bei datenschutzwidriger Verarbeitung zu erhalten. Sofern Sie eine Abmahnung erhalten, unterschreiben Sie bitte keine Unterlassungserklärung und senden Sie uns die Abmahnung bitte umgehend zur Ergreifung von Gegenmaßnahmen zu.

Quantencomputer können nun für Hackerangriffe genutzt werden

Einem Forscherteam der Universität Shanghai gelang es, mehrere kryptografische Algorithmen, die Grundlage vieler moderner Verschlüsselungssysteme sind, unter Einsatz eines Quantencomputers erfolgreich zu kompromittieren. Die hier angegriffenen Algorithmen betreffen eine Verschlüsselungstechnologie, die in militärischen und finanziellen Systemen eingesetzt wird, u.a. „Present“, „Gift-64“ und „Rectangle“ (alle SPN-Struktur), und gelten weltweit als eine der sichersten Verschlüsselungen. Dass Quantencomputer diese Verschlüsselungstechnik hacken konnten, stellt für die Zukunft eine enorme Bedrohung dar, vor allem vor dem Hintergrund, dass die Technologie vielseitig gerade in kritischen und sensiblen Bereichen wie dem Militär oder der Finanzwelt eingesetzt wird. Zwar schreitet die allgemeine Entwicklung von Quantencomputern noch langsam voran, Sicherheitsbarrieren klassischer Computer zu überwinden, dazu sind sie demnach aber bereits in der Lage. Dies verdeutlicht den Bedarf der Forschung an kryptografischen Verfahren, die auch von Quantencomputern nicht ausgehebelt werden können.

Kerstin Kiefer

Kerstin Kiefer

Rechtsanwältin

E-Mail schreibenAnrufen

Über die Verfasserin

Frau Rechtsanwältin Kerstin Kiefer, geb. 1971, legte nach dem Studium und dem 1. Juristischen Staatsexamen an der Universität Trier das 2. juristische Staatsexamen vor dem OLG Koblenz ab. Nach einer Tätigkeit bei der KPMG Düsseldorf in den Bereichen des Wirtschafts- und Steuerrechts trat Frau Kiefer im Jahr 2000 in die W+ST-Gruppe ein. Seit 2024 ist sie Gesellschafterin der W+ST Rechtsanwaltsgesellschaft mbH. Frau Kiefer ist außerdem Geschäftsführerin der W+ST Data Security GmbH Rechtsanwaltsgesellschaft und Datenschutzbeauftragte. Schwerpunkte ihrer Tätigkeit sind das Datenschutzrecht, IT-Recht, AGB-Recht und Berufsrecht. Aktuell ist sie in der Fortbildung zur Fachanwältin für IT-Recht.

Themenvielfalt

Das könnte Sie interessieren

Eine Frau sitzt an einem Tisch, auf welchem sich Dokumente stapeln und bearbeitet ein ,vor ihr liegendes, Diagramm.

Homeoffice im Ausland

Wenn Arbeitnehmer, insbesondere Grenzgänger, im Homeoffice im Ausland arbeiten, stellt sich die...

Arrow Right