News
Digital Operation Resilience Act – Überblick zu den neuen Regelungen der digitalen Betriebsstabilität von EU-Finanzunternehmen
Am 24. September 2020 wurde der Entwurf einer EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operation Resilience Act, „DORA“) veröffentlicht. Der Vorschlag ist Teil des Pakets zur Digitalisierung des Finanzsektors und in den kommenden Jahren sind noch weitere (vor allem die Finanzdienstleister betreffende) neue Verordnungen und Richtlinien zu erwarten.
Zweck der Verordnung
Mit DORA verfolgt der europäische Gesetzgeber zwei große Ziele. Die Verordnung soll die Resilienz von Unternehmen in der Finanzbranche gegen Informations- und Kommunikationstechnologie („IKT“)-bezogene Risiken stärken. Gleichzeitig wird die EU-weite Harmonisierung der Anforderungen an Finanzdienstleister angestrebt. In Deutschland wurden Teile von DORA-Regelungen schon früher durch das IT-Sicherheitsgesetz 2.0 sowie Finanzmarktintegritätsstärkungsgesetz (FISG) umgesetzt.
Das IKT-Risikomanagement von Finanzunternehmen soll mit der Einführung von DORA verbessert und gestrafft werden. Es werden neue Anforderungen und Prüfungsmechanismen für IKT-Systeme eingeführt. Auf der Behördenseite soll DORA das Bewusstsein für Cyberrisiken und IKT-bezogene Vorfälle, mit denen Finanzunternehmen konfrontiert sind, schärfen.
Es werden neue Überwachungsmechanismen für Risiken, die auf die Zusammenarbeit zwischen den Finanzunternehmen und IKT-Drittanbietern zurückzuführen sind, sowie diverse behördlichen Kontrollbefugnisse eingeführt. Auch ein kohärenter Mechanismus für die Meldung von Vorfällen wird mit DORA geschaffen, der den Verwaltungsaufwand für Finanzunternehmen verringern und die Beaufsichtigung wirksamer machen soll. Die Regelungen werden durch die Förderung des Informationsaustausches in Bezug auf die Risiken und Vorfälle zwischen den Unternehmen im Finanzsektor erweitert.
Betroffene Unternehmen
Von der neuen Regelung sind vor allem jene Finanzunternehmen betroffen, welche in Art. 2 Abs. 1 lit. a – t des Entwurfs aufgelistet sind. Dazu gehören u.a. Kredit- und Zahlungsinstitute, Versicherungsunternehmen und -vermittler, Ratingagenturen sowie Prüfungsgesellschaften. Auch die Anbieter von Krypto-Dienstleistungen und Crowdfunding-Dienstleister sind erfasst. Schließlich gilt die Verordnung auch für die IKT-Drittanbieter, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren.
Die Anbieter von Hardware sind dagegen explizit aus dem Anwendungsbereich der Verordnung ausgeschlossen. Auf Kleinstunternehmen sind die Regelungen nur zum Teil anwendbar.
Relevante Vorgaben und Auswirkungen auf Praxis
Betroffenen Unternehmen werden mit DORA neue Pflichten auferlegt. Die Verordnung setzt vor allem auf Schutz und Prävention: so betreffen z. B. mehrere Artikel den Bereich des Risikomanagements. Sorgfältige Auswahl von IKT-Systemen, regelmäßige Überprüfung, Erkennung, Klassifizierung und Dokumentation von neuen Risiken spielen dabei eine zentrale Rolle. Auch soll i.R.d. IKT-Strategie die Möglichkeit der Wiederherstellung und Fortführung des Geschäftsbetriebs u.a. durch Backups sichergestellt werden.
In der Verordnung wird der Datenschutz als ein Teil der IKT-Sicherheit anerkannt. Durch die Informationsaustauschmechanismen, Dokumentation und Meldung von Vorfällen, sowie die Zusammenarbeit mit IKT-Dienstleistern werden große Mengen von Daten erhoben und weiterverarbeitet, darunter auch personenbezogene Daten. Die damit einhergehenden Risiken und datenschutzrechtliche Probleme adressiert die Verordnung durch Verweise auf DSGVO und weitere einschlägige Regelungen. So wird z. B. in Art. 3 Nr. 4 des Entwurfs explizit erwähnt, dass das IKT-Risiko auch Verstöße gegen den Datenschutz erfasst. Bei Datenübermittlungen an IKT-Dienstleister in Drittländer sollen DSGVO-Vorgaben strikt eingehalten werden und die Vereinbarungen mit den IKT-Drittanbietern müssen auch die Bestimmungen über die Zugänglichkeit, Verfügbarkeit, Integrität, Sicherheit und Schutz personenbezogener Daten beinhalten.
Eine extrem praxisrelevante Vorgabe: sollte der Drittanbieter nachweisliche Schwächen im Hinblick auf den Datenschutz aufweisen, müssen die Vereinbarungen über die Nutzung von Diensten gem. Art. 25 Abs. 8 lit. c DORA-Entwurf gekündigt werden.
Zu begrüßen ist, dass durch die Schaffung einer Rechtsgrundlage für den Datenaustausch über Bedrohungen und Anfälligkeiten zwischen den Unternehmen die Unsicherheit hinsichtlich der Vereinbarkeit eines solchen Austausches mit den Datenschutzvorschriften beseitigt wird.
Sanktionen
DORA sieht diverse Sanktionen bei Verstößen vor. Dabei müssen die Sanktionen nicht nur wirksam und verhältnismäßig, sondern auch laut Art. 44 Abs. 3 des Entwurfs abschreckend sein. Dazu gehören vor allem mögliche Untersagungsverfügungen, aber auch ein Zwangsgeld (1 % des durchschnittlichen globalen Tagesumsatzes im vorangegangenen Geschäftsjahr) und ggf. auch strafrechtliche Sanktionen nach nationalem Recht. Die genaue Umsetzung der Sanktionsmechanismen ist aber den Mitgliedsstaaten vorbehalten.
Aktueller Stand – wann ist DORA zu erwarten?
Die im Januar 2022 gestarteten interinstitutionellen Verhandlungen wurden nach vorläufiger Einigung am 10. Mai 2022 beendet. Die Einigung muss nun vom Rat und vom Europäischen Parlament gebilligt werden, das förmliche Annahmeverfahren folgt im Anschluss. Voraussichtlich Ende 2022 wird die Verordnung in Kraft treten. Jedoch bedarf es noch der Erstellung von Leitlinien sowie der delegierten Verordnungen und diversen technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS), so dass mit der Anwendbarkeit von DORA erst ab Ende 2024 zu rechnen ist.
Da die Verordnung aber eine große Anzahl an praxisrelevanten Vorgaben enthält, ist zu empfehlen, dass sich betroffene Unternehmen schon in den kommenden Monaten mit der Umsetzung zu beschäftigen.
News
Pflicht zum Einsatz von Systemen zur Angriffserkennung für Betreiber kritischer Infrastruktur gilt seit dem 1. Mai 2023
Seit dem 1. Mai 2023 sind Betreiber von kritischer Infrastruktur und Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, gesetzlich gemäß § 8a Abs. 1a BSIG und § 11 Abs. 1e EnWG dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre Nachweise darüber zu liefern (vgl. § 8a Abs. 3 BSIG).
Bericht des Europäischen Datenschutzausschusses zur Prüfung von Datentransfers in Drittländer
Am 19. April 2023 hat der Europäische Datenschutzausschuss (EDSA) den Bericht der Task Force 101 zu den NOYB-Beschwerden veröffentlicht. Thematisch geht es in der Veröffentlichung um die Problematik der Datenübermittlung in Drittländer im Zusammenhang mit dem Einsatz von Website-Tools, wie Google Analytics und Facebook Business Tools.
Fachaufsatz zum geplanten Cyber Resilience Act - Verhältnis des Cyber Resilience Act zur DSGVO
In der aktuellen Ausgabe der Zeitschrift Computer und Recht (CR 03/2023) wurde der Aufsatz mit dem Titel „Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO“ von Dr. Carlo Piltz, Alexander Weiß und Johannes Zwerschke veröffentlicht.
Wichtige Entscheidung der Vergabekammer des Bundeskartellamtes - Neue Argumente für den zulässigen Einsatz von EU-Tochtergesellschaften US-amerikanischer Unternehmen
Im letzten Jahr hatte die Entscheidung der Vergabekammer Baden-Württemberg zur Gleichsetzung einer theoretischen Zugriffsmöglichkeit bzw. des Zugriffsrisikos aus einem Drittland (z.B. den USA) mit einer Datenübermittlung im Sinne der DSGVO für Diskussionen gesorgt.
Dr. Carlo Piltz erneut als einer der führenden Namen in der aktuellen Ausgabe des Legal 500 Deutschland erwähnt
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland erneut unter den führenden Namen im Bereich Datenschutz vertreten ist.
Was müssen europäische Unternehmen bei Beschluss des Trans-Atlantic-Data- Privacy-Framework beachten?
Am 13. Dezember 2022 hat die Europäische Kommission den Entwurf eines Angemessenheitsbeschlusses für die USA mit der Bezeichnung EU-U.S.-Data-Privacy-Framework („DPF“) veröffentlicht und das Verfahren zu dessen Annahme eingeleitet (Pressemitteilung der Kommission).