Fachbeiträge & Kommentare zu IT-Sicherheit

Rz. 2 Die gematik hat dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Unterlagen und Informationen vorzulegen, um Sicherheitsmängel in der Telematikinfratruktur zu erkennen. Das BSI kann der gematik verbindliche Anweisungen erteilen, festgestellte Sicherheitsmängel zu beseitigen. Die Vorschrift ermöglicht eine effektive Überprüfung der IT-Systeme durch das BSI,...mehr

Rz. 7 Dittrich, Sanktionskompetenz des BSI im Kampf für mehr Cybersicherheit, MMR 2022 S. 267. Dittrich/Dochow, Cybersicherheitsrecht in der Telematikinfrastruktur mit Blick auf Arztpraxen, GesR 2022 S. 414. Dittrich/Dochow/Ippach, Auswirkungen der neuen EU-Cybersicherheitsstrategie auf das Gesundheitswesen – der Entwurf der NIS-2-Richtlinie und der "Resilienz-Richtlinie", Ges...mehr

Rz. 5 Zur Erhöhung der Datensicherheit hat die Deutsche Rentenversicherung Bund für ihren Zuständigkeitsbereich in eigener Verantwortung und unter verbindlicher Beteiligung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein Sicherheitskonzept zu erstellen. Dabei handelt es sich um eine in die Zuständigkeit der Deutschen Rentenversicherung Bund fallende Quers...mehr

Sorgen Sie dafür, dass bei der Digitalisierung Datenschutz- und Sicherheitsaspekte berücksichtigt werden. Implementieren Sie robuste Sicherheitsmaßnahmen, um sensible Daten zu schützen und das Vertrauen Ihrer Kunden zu erhalten. Hier ist auch die Implementierung von wiederkehrenden Prozessen notwendig: Zum Beispiel das Löschen von Daten, die nicht mehr benötigt werden. Das h...mehr

Beim BYOD erhält der Arbeitnehmer regelmäßig Zugriff auf Daten, die Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person enthalten, etwa Mitarbeiter und Kundendaten oder E-Mailadressen. Der Anwendungsbereich der DSGVO ist damit grundsätzlich auch für BYOD eröffnet. Hinweis DSGVO Die Ausnahme aus Art. 2 Abs. 2 lit. c D...mehr

Begriff "Bring Your Own Device" ("BYOD") steht für die Möglichkeit von Arbeitnehmern, ihre eigenen technischen Geräte (Smartphone, Laptop, Tablet etc.) für Arbeitszwecke zu verwenden. Die Vorteile dieses Modells sind vielfältig (Kosteneinsparung, Arbeitnehmerzufriedenheit, Unternehmensimage) und bei der Belegschaft i.d.R. sehr beliebt. BYOD begegnet jedoch gewissen rechtliche...mehr

"Cloud-Computing" beschreibt im Wesentlichen eine über Netze angeschlossene Rechnerlandschaft, in welche die eigene Datenverarbeitung zu Zwecken von IT-Dienstleistungen über das Internet ausgelagert wird. Viele Dienstleister im Bereich der Lohn- und Gehaltsabrechnung gehen nun dazu über, dem Mitarbeiter die Lohnabrechnung nicht mehr in Papierform bereitzustellen, sondern ihm...mehr

Um größtmögliche Effizienzgewinne zu erzielen, sollte vor einer Toolauswahl möglichst detailliert analysiert werden, wo im bisherigen Dokumentationsprozess die größten Ineffizienzen stecken und inwieweit diese bereits durch eine Prozessoptimierung behoben werden können. Anschließend ist zu bestimmen, welche Teilprozesse durch den Softwareeinsatz noch weiter optimiert werden ...mehr

Rz. 20 Der elektronische Rechtsverkehr ermöglicht die:mehr

Rz. 1 Nachstehend haben wir Ihnen eine Auflistung von nach unserer Auffassung interessanten Internetseiten zusammengestellt.[1] Wir weisen darauf hin, dass kein Anspruch auf Vollständigkeit erhoben, keine Haftung für Inhalte oder enthaltene Schadsoftware und keine Garantie für eine dauerhafte Aktualität der Seiten übernommen wird. Wir machen uns den Inhalt der Seiten nicht z...mehr

In der Praxis im Rahmen der präventiven Vermeidung von Arbeitsunfällen bzw. -krankheiten sowie der Wiederherstellung der Gesundheit und Arbeitsfähigkeit von Mitarbeitern vielfach eingesetztes Mittel ist das betriebliche Eingliederungsmanagement (BEM). Die spezialgesetzliche Grundlage hierfür findet sich in § 167 Abs. 2 SGB IX. Der Arbeitgeber ist dazu verpflichtet sein, ein ...mehr

Rz. 309 An dieser Stelle liegt es nahe, die in Betrieb befindlichen Messgeräte mit den vorgenannten Anforderungen zu vergleichen. Dies taten auch die Autoren in früheren Auflagen dieses Buches. Das Ergebnis war und wäre eine Auflistung von Abweichungen, wie zum Beispiel:mehr

Rz. 49 Die Ausgestaltung der Grundsteuer als modifizierte Bodenwertsteuer birgt verfassungsrechtliche Risiken. Eine allein am Bodenwert ausgerichtete Grundsteuer löst sich von der herkömmlichen Ausgestaltung der Grundsteuer, deren Bemessungsgrundlage sowohl den Grund und Boden als auch die Gebäude umfasst. Dies löst Bedenken aus, ob der Typusbegriff der Grundsteuer im Sinne d...mehr

Gefördert werden Investitionen in digitale Technologien, in Soft- und Hardware, in Künstliche Intelligenz (KI) sowie Investitionen in die Qualifizierung der Beschäftigten zu Digitalthemen. Ziel ist es: mehr branchenübergreifende Digitalisierungsprozesse bei kleinen und mittelständischen Unternehmen (KMU) sowie im Handwerk anzutreiben, digitale Geschäftsprozesse in Unternehmen ...mehr

Mit dem Förderprogramm KMU-innovativ zielt die Bunderegierung genau wie beim Zentralen Innovationsprogramm Mittelstand (ZIM) auf kleine und mittlere Unternehmen ab. Im Gegensatz zum technologie- und branchenoffenen ZIM werden bei KMU-innovativ jedoch themenspezifische Hightech-Projekte gefördert, z. B. in den Technologiebereichen Datenwissenschaft, Informationstechnologien u...mehr

Rz. 55 Die Vorschrift definiert in Nr. 1 und 2 zwei sichere Übermittlungswege. Hingegen bedürfen die sicheren Übermittlungswege nach Nr. 3 bis 5 einer das Nähere regelnden Rechtsverordnung (§ 86a Abs. 4 Satz 2). Die "sonstigen bundeseinheitlichen Übermittlungswege" legt die Bundesregierung mit Zustimmung des Bundesrates fest (§ 86a Abs. 4 Satz 1 Nr. 6). Die sicheren Übertrag...mehr

Rz. 9 Bales/Holland/Pellens, Zulassungsentscheidungen der gematik – Rechtsanspruch, Rechtsnatur, Rechtsschutz, GesR 2008 S. 9. Dochow, Cybersicherheitsrecht im Gesundheitswesen, MedR 2022 S. 100. Köhler, Der Schutz kritischer Infrastrukturen im Gesundheitswesen – gesetzliche Anforderungen an die IT-Sicherheit, GesR 2017 S. 145.mehr

Rz. 40 Unter die Steuerbefreiung fallen nur sonstige Leistungen des Personenzusammenschlusses an seine Mitglieder. Die Steuerbefreiung setzt damit voraus, dass der Zusammenschluss seine sonstigen Leistungen (nicht: Lieferungen) an ein Mitglied oder mehrere seiner Mitglieder bewirkt. Sie müssen hinsichtlich Art und Umfang nicht stets allen Mitgliedern gegenüber in gleicher We...mehr

Kommentar Zum 1.1.2020[1] wurde über § 4 Nr. 29 UStG national die Möglichkeit geschaffen, dass für bestimmte dem Gemeinwohl dienende Leistungen die Steuerbefreiung auch für Leistungen gilt, die sog. Kostengemeinschaften an ihre Mitglieder ausführen. Die Regelung war aufgrund der Rechtsprechung des EuGH notwendig geworden. Die Finanzverwaltung hat jetzt erstmals zu dieser neu...mehr

Rz. 385 §§ 19–30 TTDSG regeln den Datenschutz für Telemedien sowie der Endeinrichtungen; sie stellen damit einen "Baustein" im Gesamtgefüge des Datenschutzes dar.[361] Die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG) sind zunächst einmal für die Frage heranzuziehen, was personenbezogene Daten sind, da nur diese vom grundrechtlich geschützten R...mehr

Nahezu alle Unternehmen setzen digitale Technologien ein: um Prozesse zu steuern, Lager zu verwalten, Informationen in Echtzeit zu teilen, Dokumente zu verwalten, Mitarbeitereinsatz zu planen oder Software-Anwendungen in der Cloud zu nutzen. Neben den vielen Möglichkeiten bieten die Technologien zugleich großes Gefahrenpotenzial – das Betriebe erkannt haben: Studien[1] zufol...mehr

Datensicherheit oder IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken für die Informationssicherheit, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch passende Maßnahmen auf ein tragbares Maß reduziert sind. Erst durch Gewährleistung des Schutzes von IT-Systemen und Daten (IT-/Cyber-Security) sowie der funkt...mehr

Im Bereich der IT-Sicherheit in Unternehmen haben sich in den letzten Jahren immer mehr sog. Awareness-Kampagnen durchgesetzt, um die Mitarbeiter für das Thema Informationssicherheit im Unternehmen zu sensibilisieren. Diese Kampagnen sollen eine nachhaltige Verhaltensänderung der Mitarbeiter erreichen und werden deshalb i. d. R. auf einen längeren Zeitraum bis hin zu mehrere...mehr

Möglicherweise hat es sich bereits in den Schilderungen der 3 Szenarien erschlossen: Die Ursachen für Mängel der Datensicherheit entstehen immer auf dem Fundament einer Gemengelage aus technischen, organisatorischen und/oder personellen Gründen (Abb. 2). Abb. 2: Ursachen für Sicherheitspannen – Beispiele Abb. 2 zeigt, dass die Datensicherheit die technische Dimension übersteig...mehr

Rz. 51 Betriebsvereinbarungen können Bestimmungen zur Verarbeitung personenbezogener Daten enthalten und so die Datenverarbeitung im Betrieb bei einzelnen Datenverarbeitungsverfahren beschreiben.[85] Art. 88 Abs. 1 DSGVO bestimmt in der weitreichenden Spezifizierungsklausel, dass der nationale Gesetzgeber entsprechende Möglichkeiten vorsehen kann. Das ist durch § 26 Abs. 1 B...mehr

Rz. 77 Muster der Standarddatenschutzklauseln abgedruckt nach Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4.6.2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates: Muster 1: Muster Standarddatenschutzklauseln Muster "Standarddatenschutzklauseln" AB...mehr

Rz. 56 Der Inhalt eines Vertrags zur Auftragsverarbeitung ist nach Art. 28 Abs. 3 DSGVO vorgegeben. Durch den Vertrag muss sichergestellt werden, dass der Dienstleister die personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers verarbeitet, die IT-Sicherheit gewährleistet und den Auftraggeber bei der Umsetzung seiner Verpflichtungen aus der DSGVO unterstützt. ...mehr

Rz. 71 Unternehmen sind verpflichtet, personenbezogene Daten vor einer unbefugten oder unrechtmäßigen Verarbeitung und vor einem unbeabsichtigten Verlust bzw. unbeabsichtigter Zerstörung durch geeignete technische und organisatorische Maßnahmen zu schützen. Dies müssen sie auf Anfrage jederzeit der Aufsichtsbehörde gegenüber nachweisen können (vgl. Art. 5 Abs. 1 lit. f), Abs...mehr

mehr

Rz. 68 Der Geschäftsführer eines mittelständischen Unternehmens möchte von einem Rechtsanwalt wissen, welche Anforderungen nach der DSGVO an die IT-Sicherheit seines Unternehmens zu stellen sind. Er hat von einem Kollegen gehört, dass dort eine Datenpanne aufgetreten ist, die der Aufsichtsbehörde gemeldet werden musste. Der Geschäftsführer möchte weiterhin wissen, in welchen...mehr

Rz. 95 Das Bayerische Landesamt hat eine Checkliste mit IT-Sicherheitsmaßnahmen definiert, die eine gute Orientierung zu den erforderlichen Maßnahmen zur Gewährleistung der IT-Sicherheit bietet. Sie ist abrufbar unter https://www.lda.bayern.de/checkliste_tom Die Aufsichtsbehörde für Niedersachsen hat eine Methodik herausgegeben, wie der Prozess zur Auswahl angemessener IT-Sic...mehr

Rz. 62 Mit dem Abschluss des AV-Vertrages sind die Pflichten von Auftraggeber und Auftragnehmer nicht beendet. Aus dem AV-Vertrag resultieren für beide Beteiligten weitere Pflichten. Rz. 63 Spätestens zu Beginn der Datenverarbeitung sollte sich der Auftraggeber im Rahmen seiner Rechenschaftspflichten nach Art. 24 DSGVO vom Auftragsverarbeiter bestätigen lassen, dass die vertr...mehr

Rz. 92 Die Art und Weise, wie eine Aufsichtsbehörde auf die Meldung eines Datenverlustes reagiert, hängt von dem gemeldeten Vorfall und dessen Ursachen ab. Die Aufsichtsbehörde kann grundsätzlich ein Bußgeld bei Verletzung der Datensicherheit verhängen. Gerade wenn wiederholte und gleichartige Datenpannen auf strukturelle Defizite im Rahmen der IT-Sicherheit hindeuten, erhöht...mehr

Rz. 49 Die Auftragsverarbeitung durch den Dienstleister ist abzugrenzen von einer eigenverantwortlichen Datenverarbeitung. Damit stellt sich die Frage, wann ein Unternehmen noch als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO handelt und wann er weisungsgebundener Dienstleister ist. Rz. 50 Nach der DSGVO wird ein Unternehmen als Verantwortlicher für eine Datenverarbeitung ange...mehr

Rz. 66 Muster 12.5: Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO Muster 12.5: Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO zwischen dem Verantwortlichen _____ [Name, Adresse, Postleitzahl und Ort] ("Verantwortlicher") und dem Auftragsverarbeiter _____ [Name, Adresse, Postleitzahl...mehr

mehr

Liebe Leserinnen und Leser, unter der Rubrik "Literaturkritik: Erbrecht" stellen wir monatlich eine Auswahl von Neuerscheinungen aus dem Bereich des Erbrechts, des Erbschaftssteuerrechts sowie der erbrechtsrelevanten Nebengebiete vor. von Ulf Schönenberg-Wessel, Rechtsanwalt, Fachanwalt für Erbrecht und Notar, Kiel Münchener Handbuch des Gesellschaftsrechts, Band 5: Verein, Sti...mehr

Rz. 4 Die Formulierung "legen fest" in Abs. 1 Satz 1 bringt die Verpflichtung beider Kassenärztlichen Bundesvereinigungen zum Ausdruck, bis zum 30.6.2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung zu bestimmen. Die KBV und die KZBV haben keine Wahl bzw. kein Dispositionsrecht, son...mehr

0 Rechtsentwicklung Rz. 1 Die Vorschrift ist mit dem Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt worden. 1 Allgemeines Rz. 2 Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien in der medizinischen Versorgung, wobei...mehr

0 Rechtsentwicklung Rz. 1 Die Vorschrift ist mit dem Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG) v. 8.12.2019 (BGBl. I S. 2562) mit Wirkung zum 19.12.2019 in Kraft getreten. Mit dem Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGB...mehr

Rz. 6 Nach Abs. 4 Satz 1 ist die Richtlinie für die an der vertragsärztlichen und vertragszahnärztlichen Versorgung teilnehmenden Leistungserbringer verbindlich. Dies gilt für den Vertragsarzt, Vertragspsychotherapeuten, Vertragszahnarzt ebenso wie für zugelassene medizinische Versorgungszentren (MVZ) oder ermächtigte Einrichtungen (vgl. § 95 Abs. 1). Nach Satz 2 ist die Rich...mehr

Rz. 5 Die mit Wirkung zum 20.10.2020 geltende Fassung des Abs. 2 stellt klar, dass die in der Richtlinie festzulegenden Anforderungen geeignet sein müssen, abgestuft im Verhältnis zum Gefährdungspotenzial und dem Schutzbedarf der verarbeiteten Informationen, Störungen der informationstechnischen Systeme, Komponenten oder Prozesse der vertragsärztliche Leistungserbringer in B...mehr

Rz. 1 Die Vorschrift ist mit dem Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) mit Wirkung zum 20.10.2020 eingeführt worden.mehr

Rz. 2 Grundlage der elektronischen Vernetzung ist der Aufbau eines hochsicheren Netzwerks, an das alle Arzt-, Psychotherapeuten- und Zahnarztpraxen, Krankenhäuser und Apotheken sowie weitere Leistungserbringer angeschlossen sein sollen, die sog. Telematikinfrastruktur (TI). Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien in der medizinischen Versorg...mehr

Rz. 7 Die informationstechnischen Systeme der Ärzte, Psychotherapeuten oder Zahnärzte werden zurzeit überwiegend von Dienstleistern gepflegt. Die Kassenärztlichen Bundesvereinigungen haben deshalb die Möglichkeit erhalten, die Mitarbeiterinnen und Mitarbeiter der Dienstleister zu zertifizieren, um die informationstechnischen Systeme gemäß der Richtlinie zu schützen und eine ...mehr

Rz. 2 Die fortschreitende Digitalisierung eröffnet neue Potenziale und Synergien in der medizinischen Versorgung, wobei in der stationären Versorgung gleichzeitig die Abhängigkeit von IT-Systemen wächst. Aber auch das Bedrohungspotenzial wächst durch zunehmend zielgerichtete, technologisch ausgereiftere und komplexere Cyberangriffe. Solche Angriffe richten sich nicht nur geg...mehr

Rz. 1 Die Vorschrift ist mit dem Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale-Versorgung-Gesetz – DVG) v. 8.12.2019 (BGBl. I S. 2562) mit Wirkung zum 19.12.2019 in Kraft getreten. Mit dem Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz – PDSG) v. 14.10.2020 (BGBl. I S. 2115) sind ...mehr

Rz. 3 Die redaktionelle Fassung der Vorschrift geht im Wesentlichen auf die Beschlussempfehlung des Ausschusses für Gesundheit (14. Ausschuss des Bundestages) zurück und gehört zum 4. Kapitel SGB V "Beziehungen der Krankenkassen zu den Leistungserbringern", dem 2. Abschnitt "Beziehungen zu Ärzten, Zahnärzten und Psychotherapeuten" sowie zum 1. Titel "Sicherstellung der vertr...mehr

Rz. 3 Mit Abs. 1 Satz 1 der Vorschrift werden auch solche Krankenhäuser, die nicht zu denen gehören, für die die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Kritisverordnung – BSI-Kritis-V nach § 10 Abs. 1 des BSIG) gilt, mit Wirkung zum 1.1.2022 verpflichtet, nach dem Stand der Techni...mehr

Die Deregulierung der betrieblichen Arbeitssicherheit durch das Arbeitsschutzgesetz von 1996 und durch die Betriebssicherheitsverordnung von 2002 brachte den Arbeitgebern größere Freiheiten, eigene Lösungswege für eine nachhaltige Sicherheits- und Präventionskultur in ihren Unternehmen zu finden. Der Arbeitgeber kann seitdem allgemein vorgegebene Schutzziele eigenverantwortl...mehr