zurück zur Podcast-Übersicht

"Stand der Technik" – Der Podcast zu Datenschutz und IT-Sicherheit

Der "Stand der Technik" ist der zentrale Begriff des technischen Datenschutz- und IT-Sicherheitsrechts – Grund genug, verschiedene Aspekte des "Stands der Technik" im Detail zu beleuchten.

Podcast abonnieren

Im Podcast "Stand der Technik – Der Podcast zu Datenschutz und IT-Sicherheit“ befassen wir uns in jeder Folge mit Fragen des IT-Sicherheitsrechts und beleuchten datenschutz- und IT-sicherheitsrechtliche Aspekte, technische Hintergründe und Implikationen.

Unsere Experten führen praxisorientiert durch Themenfelder wie aktuelle Gesetzesinitiativen zum IT-Sicherheitsrecht, etwa den Cyber Resilience Act ("CRA"), den Digital Operational Resilience Act ("DORA") und die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union ("NIS2") und deren Umsetzung im KRITIS-Dachgesetz.

Gleichzeitig werfen wir eine  Blick über den Tellerrand auf die DSGVO und das europäische "Datenrecht" (z. B. den Data Act ("DA") und den Data Governance Act ("DGA")) und erörtern aktuelle Fragestellungen zum Darknet, OSINT oder zu ISMS-Strukturen. Außerdem gibt es praxisnahe Einblicke in die Herausforderungen und Chancen, die sich im Zusammenhang mit IT-Sicherheit ergeben.

Folge 10 - Das Lieferantenmanagement

Ist ein Lieferantenmanagement aus Perspektive der DSGVO sinnvoll?

In Folge 10 diskutieren Dr. Lutz Keppeler und Daniel Wasser, ob und in welchem Umfang ein Lieferantenmanagement aus der Perspektive der DSGVO und des IT-Sicherheitsrechts sinnvoll ist und inwieweit das Lieferantenmanagement sogar gesetzlich verpflichtend ist.

Neben der DSGVO kommen hier auch neue EU-Digitalgesetze wie die NIS-2 und der DORA zur Sprache. Es wird herausgearbeitet, dass nicht alle Lieferanten "über einen Kamm geschoren" werden sollten, sondern dass auf Basis der Risikoanalyse jedes einzelnen Lieferanten individuelle Regelungen erforderlich sind.

Klar herausgestellt wird auch, dass gängige Musterverträge zu diesem Thema kaum adäquate Klauseln aufweisen. Wer seine Lieferanten auf ein hohes Maß an IT-Sicherheit verpflichten will, kommt nicht umhin, dies ausdrücklich in Verträgen zu vereinbaren, die man gegenwärtig noch individuell erstellen und verhandeln muss.

Links

Heuking | https://www.heuking.de/de/home.html
Dr. Lutz Keppeler | https://www.heuking.de/de/anwaelte/profil/dr-lutz-martin-keppeler.html
secAdair | https://www.secadair.de
Produktion: Foundation Room Studio | https://foundationroom.de

Folge 7 - Der risikobasierte Ansatz

Der Risikobegriff im Cyber- und Datenschutz: Was Juristen von IT-Praktikern in der Risikobewertung lernen können.

In Folge 7 sprechen Dr. Lutz Keppeler und Daniel Wasser über Risiken. Im Datenschutz und der IT-Sicherheit spricht man häufig von einem risikobasierten Ansatz. Dabei wird der Begriff aus rechtlicher Sicht meist eher oberflächlich verwendet da es keine spezifische Rechtsprechung zur DSGVO, zum  IT-Sicherheitsrecht und „Risiko" gibt. Im Gegensatz dazu ist in der IT-Sicherheit und insbesondere in der ISO 2700x-Familie das Konzept „Risiko“ ein wesentlicher Bestandteil. Risikoidentifikation, Risikoanalyse und Risikobewertung als Teil der Risikobewertung werden systematisch durchgeführt und entscheiden über Maßnahmen zur Risikobehandlung. Es sieht also so aus, als könnten Juristen hier viel von der IT-Sicherheit lernen.

Folge 6 - Datenschutz-Basics zu Microsoft 365

"Stand der Technik – Der Podcast zu Datenschutz und IT-Sicherheit" ist der Podcast zum Datenschutz- und IT-Sicherheitsrecht in Deutschland und Europa. Experten der Kanzlei Heuking und des IT-Sicherheitsdienstleisters secAdair sprechen über die Schnittstellen zwischen den Welten der Juristen und der IT-Praktiker.

In Folge 6 sprechen Manuel Poncza und Daniel Wasser über Basics des Datenschutzrechts. Was ist ein Verantwortlicher? Wann sind mehrere Parteien gemeinsam verantwortlich? Was ist ein Auftragsverarbeiter? Wann bestehen Informationspflichten – und für wen?

Orientiert an der Folge zu Microsoft 365 erläutern wir die vorstehenden Fragen und geben praktische Hinweise dazu, wie sowohl die Einordnung als Verantwortlicher oder Auftragsverarbeiter als auch die Erfüllung der damit verbundenen Pflichten gelingen kann.

Die Folge wurde am 09. April 2024 aufgenommen.

Links:

Update Datenschutz | https://www.heuking.de/de/news-events...

Manuel Poncza | https://www.heuking.de/de/anwaelte/profil/manuel-poncza.html

secAdair | https://www.secadair.de/

Produktion: Foundation Room Studio | https://foundationroom.de/

Folge 5 - Dauerbrenner Microsoft 365 & DSGVO

In Folge 5 sprechen Dr. Lutz Keppeler und Daniel Wasser über einen wahrhaftigen Dauerbrenner im Rahmen des Europäischen Datenschutzrechts: Microsoft 365.

Wir klären insbesondere die brandaktuelle Frage des Europäischen Datenschutzbeauftragten, welcher sich am 11. März 2024 mit einer Verfügung gegen die Europäische Kommission stellte und bis Dezember dieses Jahres die Behebung zahlreicher Datenschutzlücken im Rahmen interner Kommunikation fordert. Dabei beleuchten wir die eingehenden datenschutzrechtlichen Schwachstellen von Microsoft 365 unter Berücksichtigung praxisnaher Auswirkungen rund um #Telemetriedaten, #EDPS, #DSK, #O365‚ #AV-Vertrag, # SCCs, #Datenschutzfreundliche Voreinstellungen, #Privacy by Design and by Default #DFSA, #PIA, #VVT, #Betriebsrat.

Das Original des Berichts des Europäischen Datenschutzbeauftragten in englischer Sprache ist HIER online abrufbar.
HIER ist die Bewertung der Vereinbarung zur Auftragsverarbeitung mit Microsoft durch die DSK (Stand November 2022)

HIER ist eine der Antworten von Microsoft zu diesem Thema.

Die Folge wurde am 09. April 2024 aufgenommen.

Links:

Update Datenschutz

Dr. Lutz Keppeler

secAdair | https://www.secadair.de

Produktion: Foundation Room Studio

Folge 4 – OSINT, Reconnaissance und Recht

In Folge 4 sprechen Manuel Poncza und Daniel Wasser über OSINT, Penetration Tests und deren rechtliche Aspekte. Wir klären, was OSINT ist, warum der Einsatz von OSINT für Unternehmen sinnvoll sein kann und welche Rechtsfragen sich beim Einsatz von OSINT-Tools ergeben können.

Am Beispiel von Website, Scans und Portscans erläutern wir, ab wann der Einsatz von Reconnaissance-Maßnahmen eine strafrechtliche Relevanz erlangen kann und welche Anforderungen für diese erfüllt sein müssen.

 

Technische Betreuung: secAdair | Produktion: Foundation Room Studio

Folge 3 – Art. 32 DSGVO und E-Mail Verschlüsselung

In Folge 3 sprechen Dr. Lutz Keppeler und Daniel Wasser über das Herzstück des IT-Sicherheitsrechts im Datenschutz, nämlich Art. 32 DSGVO.

Wir beleuchten den unscharfen Begriff der "geeigneten technischen und organisatorischen Maßnahmen“ anhand des Themas "E-Mail-Verschlüsselung".

Wir stellen die technischen Details vor, erläutern den Unterschied zwischen Transport- und Ende-zu-Ende-Verschlüsselung und diskutieren, was dies angesichts der generalklauselartigen Formulierung des Art. 32 DSGVO für die Praxis bedeutet.

 

Technische Betreuung: secAdair | Produktion: Foundation Room Studio

Folge 2 – Stand der Technik

In Folge 2 sprechen Manuel Poncza und Daniel Wasser über den dem Podcast seinen Namen gebenden, zentralen Begriff des IT-Sicherheitsrechts, den "Stand der Technik“". Wir klären, woher der Begriff kommt, was er bedeutet und wie er juristisch und technisch mit Leben gefüllt werden kann.

Wir diskutieren über die Bedeutung der ISO 27001 und des BSI IT-Grundschutz, die Auswirkungen gesetzlicher Regelungen, die auf den Stand der Technik verweisen und warum der Stand der Technik in der Praxis oft schwer zu definieren ist. 

Schließlich gehen wir auf die Vertragsgestaltung ein und erläutern, wie der Stand der Technik in Verträgen berücksichtigt werden sollte (und wie gerade nicht) und erklären die Konsequenzen unzureichender Regelungen im Streitfall.  

Die Folge wurde vor dem 15. Januar 2024 aufgenommen und hat im Hintergrund noch das alte Logo.

Pressemeldung zum neuen HEUKING-Markenauftritt

 

Technische Betreuung: secAdair | Produktion: Foundation Room Studio

Folge 1 – Personenbezogenes Datum in der DSGVO

In Folge 1 sprechen Lutz Keppeler und Daniel Wasser über eine der wichtigsten Fragen im Datenschutzrecht: Was ist ein personenbezogenes Datum? Wir klären, wie weit der Begriff der Personenbeziehbarkeit nach dem Urteil des EuGHs in der Rechtssache "Breyer" (C-582/14) reicht und was das für die Praxis bedeutet.

Wir diskutieren über IP-Adressen, Cookie-IDs, die Verknüpfung von (rein technischen) Metadaten und erläutern, warum die praktische Anwendung der DSGVO durch die Rechtsprechung erschwert wird. Schließlich gehen wir auf das aktuelle Urteil des EuGHs zu VIN (C-319/22) ein und erläutern, dass wir darin eine Aufweichung der strengen Sichtweise der bisherigen Rechtsprechung sehen. Das neue Urteil erreichte uns allerdings erst kurz vor Aufnahme der Folge 1, so dass wir noch nicht abschließend auf alle seine Details eingehen konnten.

 

Technische Betreuung: secAdair | Produktion: Foundation Room Studio

Ihre Ansprechpartner

Dr. Lutz Martin Keppeler
Köln
Manuel Poncza
Köln

Besuchen Sie auch unsere Expertise-Seite "Datenschutz und Datensicherheit":

Datenschutz und Datensicherheit

Informationen rund um Cybersicherheit bekommen Sie auf unserer Expertise-Seite "Cybersecurity":

Cybersecurity besuchen

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.