IT-Security Regulatory
UpdatE | APRIL 2022

Highlight aus dem April 2022

EU-Bürger sehen Nachholbedarf beim Datenschutz

02. Mai 2022 – Im Rahmen der Konferenz über die Zukunft Europas haben EU-Bürger unter anderem darauf hingewiesen, dass sie die Umsetzung der DSGVO durch Unternehmen und die Durchsetzbarkeit ihrer Rechte für unzureichend erachten.

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

Europäisches Parlament adressiert Erwartungshaltung der EU-Bürger zum Datenschutz

Vielzählige EU-Bürger haben bei der Konferenz über die Zukunft Europas die Möglichkeit ergriffen und ihre Vision für die Zukunft des Datenschutzes und der Privatsphäre in der EU auszudrücken. Dabei hat sich gezeigt, dass sich die Bürger ein hohes Datenschutzniveau und eine stringente Umsetzung desselben wünschen. Insbesondere geht es ihnen dabei darum, dass Unternehmen die geltenden Vorgaben einhalten, Bürger mehr Kontrolle über ihre Daten erhalten und Überwachung, Profiling und Manipulation von Bürgern durch Unternehmen verringert werden.

Das Europäische Parlament hat dies zum Anlass genommen, um ein Briefing zur Zukunft des europäischen Datenschutzes zu veröffentlichen. Darin zeigt es den Input der Bürger auf und stellt dar, dass es diesen Anforderungen weitestgehend durch umgesetzte Rechtsakte oder eingebrachte Initiativen adressiert. Gleichzeitig erkennt es aber an, dass die beteiligten Bürger beim aktuellen Umsetzungsstand der DSGVO Nachholbedarf sehen.

Kritisiert wird vor allem die Art und Weise wie Unternehmen die DSGVO aktuell umsetzen. Darin zeigt sich, dass die EU-Bürger das Compliance-Level mit der DSGVO und die Durchsetzbarkeit ihrer Rechte als unzureichend betrachten. Im Zuge des Briefings geht das Parlament tiefer auf das Feedback ein und zeigt auf, wo Uneinigkeiten zwischen ihm und den Bürgern bestehen.

Das Briefing des Europäischen Parlaments finden Sie hier auf dessen Webseite.

Quelle: © European Union, 2022 – EP

 

Wird es eine Überarbeitung der Solvency II-Richtlinie geben?

Das europäische Parlament hat ein Briefing zum Impact Assessment rund um die Solvency II (Richtlinie 2009/138/EG betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit) veröffentlicht.

Die Europäische Kommission hat fünf Problemstellungen identifziert, die sie als wesentlich betrachtet und die im Zuge des Impact Assessments genauer betrachtet werden:

  • die Anreize, zur langfristigen Finanzierung und zur Umweltfreundlichkeit der europäischen Wirtschaft beizutragen, sind begrenzt;
  • unzureichende Risikosensitivität und begrenzte Fähigkeit der Richtlinie, die Volatilität der Solvabilitätspositionen zu mitigieren;
  • mangelnde Proportionalität der aufsichtlichen Regelungen, die hohe Compliance-Kosten insbesondere für kleine und risikoarme Institute verursachen;
  • Mängel bei der Beaufsichtigung von (grenzüberschreitenden) Versicherungsunternehmen und -gruppen und unzureichender Schutz der Versicherungsnehmer vor Ausfällen von Versicherern;
  • begrenzte spezifische Aufsichtsinstrumente, um dem potentiellen Aufbau von Systemrisiken im Versicherungssektor zu begegnen.

Dabei kommt das Impact Assessment zu dem Schluss, dass ohne Einschreiten der EU negative Effekte auf die Gesamtwirtschaft sowie den Verbraucher zu erwarten sind. Entsprechend beleuchtet es die Auswirkungen verschiedener, in Erwägung gezogener Maßnahmen der EU.

Während in der Konsultationsphase der Review der Solvency II von der Öffentlichkeit auch Anpassungen aufgrund steigender IKT-Risiken (Risiken im Kontext von Informations- und Kommunikationstechnologien) aufgegriffen wurden, beruft sich die Kommission auf existierende Maßnahmen. Beispielhaft sei der Digital Operational Resilience Act (DORA) und der Rechtsrahmen für Cyberresilienz genannt. Mehr Details zum Rechtsrahmen finden Sie hier in unserem Regulatory Update vom März 2022.

Eine Anpassung der Solvency II-Richtlinie erscheint wahrscheinlich, sodass sich Versicherungs- und Rückversicherungsunternehmen darauf einstellen sollten.

Das Briefing des Europäischen Parlaments finden Sie hier auf dessen Webseite.

Das Impact Assessment der Euopäischen Kommission finden Sie hier auf deren Webseite.

Quelle: © European Union, 2022 – EP

 

Hilfestellung zur Exit-Strategie
bei Cloud-Dienstleistern für KRITIS

KRITIS-Betreiber müssen kritische Dienstleistungen, die sie in die Cloud auslagern, gegen einen Ausfall absichern, sodass die IT-Sicherheit und insbesondere die Verfügbarkeit der kritischen Dienstleistung gewährleistet ist. Dafür bedarf es auch einer vorhergehenden Risikoanalyse.

In einer Empfehlung rund um die Exit-Strategie bei Cloud-Dienstleistern rückt das BSI diese Verpflichtung in den Fokus. Konkret geht es in der Empfehlung auf folgende Themen ein:

  • die Entscheidung für einen Cloud-Dienst,
  • den Ausfall vor Vertragsende / die vorzeitige Beendigung,
  • die geplante Migration,
  • vertragliche Vereinbarungen.

Die Empfehlung des BSI finden Sie hier auf dessen Webseite.

Quelle: Bundesamt für Sicherheit in der Informationstechnik – BSI, https://www.bsi.bund.de/

Aus Sicht der EU-Bürger besteht Handlungsbedarf beim Datenschutz, den das Parlament zumindest nicht vollumfänglich bestreitet. Ob sich daraus Anpassungen an der DSGVO ergeben werden, bleibt abzuwarten. Sicher ist aber, dass auch bei der Umsetzung der aktuellen DSGVO teils Nachholbedarf besteht.

Wir bei ADWEKO stehen Ihnen dabei gerne zur Seite.

sprechen sie mit

Pia Streicher!