BerlinWillkommen im neuen Jahr, werte Leserinnen und werte Leser! Was bringt uns 2021 neben dem so sehr erwarteten Ende von Covid-19? Ich möchte Ihnen heute einen Ausblick auf die zu erwartenden Änderungen der Regulierung und Aufsicht von Datenschutz und Informationssicherheit geben.

Fangen wir sogleich mit dem Brexit an: Im 1246 Seiten umfassenden Vertrag zwischen der EU und Großbritannien (GB) findet sich eine Regelung zum Transfer von personenbezogenen Daten nach Großbritannien. Demnach ist Großbritannien nicht bereits seit dem 1. Januar ein Drittstaat für die EU, sondern es gilt noch eine Übergangsfrist, die entweder mit einer sogenannten Adäquanzentscheidung der EU oder nach Ablauf von maximal sechs Monaten endet. Mit einer Adäquanzentscheidung erklärt die EU ein der EU vergleichbares Datenschutzniveau in einem Drittstaat. Erfolgt das nicht, gehen somit spätestens ab Juli Großbritannien und die EU im Datenschutz getrennte Wege.

Bereits seit Mai 2018 wird die sogenannte EU-Privacy-Verordnung erwartet. Diese wird wohl dieses Jahr in Deutschland als TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) verabschiedet und als ein wesentliches Ergebnis die Einwilligung zu Cookies und vergleichbaren Technologien regeln. Nun, das Ergebnis kennen Sie im Prinzip, denn Sie werden seit einigen Monaten beim Betritt einer Webseite öfter um Zustimmung zu Cookies gebeten. Das TTDSG wird alle Cookies bis auf die technisch notwendigen als einwilligungspflichtig deklarieren.

Dieses Jahr sollte das IT-Sicherheitsgesetz (IT-SiG) 2.0 in Kraft treten. Es erschien im März 2019 als Referentenentwurf. Gut Ding will also Weile haben. Ich habe seit 2007 am ersten IT-Sicherheitsgesetz mitgearbeitet, das erst 2015 in Kraft trat und Betreibern sogenannter Kritischer Infrastrukturen Vorgaben für eine Mindestsicherheit und für das Meldewesen bei Vorfällen macht. Unter anderem soll das Gesetz durch ein „IT-Sicherheitskennzeichen“ die IT-Sicherheit von Produkten für Verbraucher besser sichtbar machen. Neben der Stärkung verschiedener Befugnisse des BSI soll bei Verstößen gegen das IT-SiG eine Anpassung der Bußgelder an die der Datenschutzgrundverordnung (DSGVO) erfolgen, das heißt maximal 20 Mio. Euro oder von bis zu 4 Prozent des weltweiten Jahresumsatzes – „höher gewinnt“.

Ganz neu ist das „Gesetz zur Stärkung der Finanzmarktintegrität“ (FISG). Es wird auch „Wirecard-Gesetz“ genannt, weil es vergleichbare Fälle verhindern soll. In Bezug auf Compliance könnten Managementsysteme zur Steuerung von Risiken vorgeschrieben werden. Für meine Tätigkeit wären das Managementsysteme für Informationssicherheit und Datenschutz, abgekürzt ISMS und DSMS. Speziell in der Finanzwirtschaft schreiben BaFin und Bundesbank sowie die europäische Finanzmarktaufsicht (Bankenaufsicht EBA, Börsenaufsicht ESMA und Versicherungsaufsicht EIOPA) das Managen von Risiken schon länger vor, jedoch könnte das FISG ein Managementsystem an Best Practices binden wie zum Beispiel an Standards der ISO.

Weitere zu erwartende Änderungen 2021 wie die Novellierungen der BAIT und der MaRisk  sowie die neue europäische Regulierung „Digital Operational Resilience Act“ (DORA) und ihre Bedeutung für die Wirtschaftstätigkeit erlaube ich mir, Ihnen in Folgebeiträgen näher vorzustellen.

Der Autor ist Datenschutzbeauftragter des Berliner Verlags und Expert Director der Core SE, an der der Verleger der Berliner Zeitung eine Beteiligung hält.