Transport und Verkehr behandelt werden. Die betroffenen Betreiber werden verpflichtet, dem BSI erhebliche
Störungen ihrer Systeme zu melden und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an
IT-Sicherheit nachzuweisen.
Die Entsprechung des IT-Sicherheitsgesetzes auf europäischer Ebene bildet die „Richtlinie über Maßnahmen
zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der
Union“ (NIS-Richtlinie), die im August 2016 in Kraft getreten ist. Auch wenn sie sich in weiten Teilen mit den
Maßgaben des IT-Sicherheitsgesetzes deckt, sind ihre Vorgaben in nationales Recht umzusetzen und mögliche
Konflikte zwischen europäischer und nationaler Rechtsprechung zu beachten. Dazu kommen die Neuregelungen
der europäischen Datenschutz-Grundverordnung (DSGVO), die teilweise bis Mai 2018 noch einer Umsetzung
in nationales Recht bedarf. Für den deutschen Gesetzgeber besteht die Herausforderung, alle drei Regelwerke in
der Umsetzung miteinander zu verbinden und möglichst klare Vorgaben zu schaffen, um sowohl ein Höchstmaß
an Sicherheit und Widerstandsfähigkeit von IT-Systemen als auch das Maximum zum Schutz personenbezogener Daten zu erreichen.
Die Ausarbeitung des IT-Sicherheitsgesetzes wurde von mir von Anfang an beratend begleitet. Informationssicherheit stellt eine Grundvoraussetzung dar, um die Grundrechte auf informationelle Selbstbestimmung, auf
Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme und das Telekommunikationsgeheimnis zu wahren.
Wenn Maßnahmen zur Erhöhung der Informationssicherheit ergriffen werden, geht damit in vielen Fällen auch
eine Verarbeitung personenbezogener Daten einher. Dabei führt Informationssicherheit nicht automatisch zu
einem hohen Datenschutzniveau. Vielmehr gilt es, in bestimmten Fällen auch eine Abwägung von
IT-Sicherheitsinteressen und einer datenschutzgerechten Umsetzung von Prozessen zu treffen. Über vergleichbare Prozesse, nämlich meine Mitarbeit bei Maßnahmen des BSI im Zusammenhang mit dem Diebstahl von
Identitätsdaten, habe ich bereits im 25. TB Nr. 5.14.3 berichtet.
Bei der Festlegung und Durchsetzung von Informationssicherheitsstandards müssen die Datenschutzaufsichtsbehörden daher weiterhin konsequent beteiligt und in die Meldewege eingebunden werden. Dies und die Mitarbeit bei den Mindeststandards werden künftige Schwerpunkte meiner Arbeit bilden. Das IT-Sicherheitsgesetz ist
deshalb nicht nur mit einem Stellenzuwachs für das BSI verbunden, sondern auch meine Personalausstattung
wird erfreulicherweise verbessert, um dem mit dem Gesetz verbundenen Aufgabenzuwachs nachkommen und
die grundrechtlich verankerten Bestimmungen des Datenschutzrechts auch zukünftig effektiv umsetzen zu können.
10.2.11.2 Datenschutzzertifizierung – ein Wettbewerbsvorteil
Die Datenschutz-Grundverordnung führt eine Zertifizierung von Verarbeitungsvorgängen ein, die die korrekte
Anwendung der Gesetzgebung unterstützen soll. Damit werden die Weichen für einen gestärkten Datenschutz in
Europa in die richtige Richtung gestellt.
Mit der geplanten Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie der Vergabe von
Datenschutzsiegeln auf Ebene der Europäischen Union schafft die Datenschutz-Grundverordnung erstmals die
Möglichkeit für alle europäischen Datenschutzstellen, die Einhaltung ihrer Vorgaben auf Basis einheitlicher
Regelungen zur Zertifizierung zu überprüfen. Neben den Kriterien für die Zertifizierung sind einheitliche Rahmenbedingungen für die Akkreditierung von Prüfstellen und die Anforderungen an Prüfkataloge abzustimmen
und künftig anzuwenden. Im Arbeitsprogramm der Artikel-29-Gruppe wird das Thema der Zertifizierung daher
auch besonders priorisiert. Es wurde eine Arbeitsgruppe eingerichtet, die entsprechende Vorgaben wie z. B.
Verfahrensordnungen für die Akkreditierung und die Zertifizierung erarbeitet, die als ein Zertifizierungsprogramm im Sinne der ISO-Norm 17065 zu verstehen sind und auf deren Grundlage Akkreditierungen beantragt,
begutachtet und erteilt werden können.
Durchgeführt werden soll die Zertifizierung durch entsprechende Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde. Über die Anzahl der Zertifizierungsstellen trifft die Datenschutz-Grundverordnung keine
BfDI 26. Tätigkeitsbericht 2015-2016
– 119 –