nach oben

Erschienen in:

2018 | OriginalPaper | Buchkapitel

4. Informations- und Meldepflichten in PPPs

verfasst von : Erich Schweighofer, Vinzenz Heußler, Walter Hötzendorfer

Erschienen in: Cyber Situational Awareness in Public-Private-Partnerships

Verlag: Springer Berlin Heidelberg

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config

KI-gestützte Suche

Aus

Zusammenfassung

Cybersicherheit erfordert die Zusammenarbeit von öffentlichen wie auch privaten Einrichtungen, die wesentliche Dienste für die IT-Infrastruktur eines Landes betreiben. Die österreichische Cyber-Sicherheitsstrategie sieht daher eine komplexe Kooperationsstruktur unter Leitung von BMI, BKA und BMLV vor.

Die NIS-Richtlinie schafft die rechtliche Voraussetzung für die Weitergabe von Informationen, die für die Cybersicherheit relevant sind. Die vielfältigen Informations- und Meldepflichten gelten aber nicht absolut, sondern es ist jeweils eine Abwägung zwischen der Informations- und Meldepflicht und dem Eingriff in den Schutz von Rechtsgütern vorzunehmen. Hier sind insbesondere die Menschenrechte wie z. B. Freiheit der Meinungsäußerung, Schutz der Privatsspähre, Datenschutz und das Recht am geistigen Eigentum zu beachten. Ferner können das Wettbewerbsrecht und Vertragsrecht eine Rolle spielen.

Die in diesem Zusammenhang wesentlichste Informationspflicht ergibt sich aus der NIS-Richtlinie. Daneben bestehen weitere Meldepflichten im Datenschutzrecht, Telekommunikationsrecht, Identifikationsrecht etc.

Die detaillierte Ausgestaltung der Informations- und Meldepflichten der NIS-Richtlinie erfolgt auf nationalstaatlicher Ebene; in Österreich durch das in Ausarbeitung befindliche Netz- und Informationssystemsicherheitsgesetz, das jedoch nicht zeitgerecht bis zum Ende der Umsetzungsfrist am 9. Mai 2018 in Kraft trat. Bis Anfang April 2018 wurde kein Entwurf dieses Gesetzes veröffentlicht, sodass auch ein solcher in diesem Buch nicht mehr berücksichtigt werden konnte.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 102.000 Bücher
über 537 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 390 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Nachhaltigkeit
Maschinenbau + Werkstoffe

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 67.000 Bücher
über 340 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Vorheriges Kapitel Nationale Strukturen und Prozesse zur Erstellung von Cyber-Lagebildern in PPPs

Nächstes Kapitel Datenschutz in Public-Private Partnerships

Nur mit Berechtigung zugänglich

Leiter in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutz--Grundverordnung¹, 2017; Illibauer in Knyrim, Datenschutz-Grundverordnung, 2016, 115; Gola, DS-GVO, Art. 13 und 24, 2017.

Art. 33 Abs. 1 DSGVO.

Hötzendorfer in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutz--Grundverordnung¹, 2017; Oman in Knyrim, Datenschutz-Grundverordnung, 2016, 209; Gola, DS-GVO, Art. 33 und 34, 2017.

Hötzendorfer in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutz--Grundverordnung¹, 2017.

Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation), KOM(2017) 10 endgültig, 10.01.2017.

Vorschlag für eine RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES über den europäischen Kodex für die elektronische Kommunikation (Neufassung), KOM (2016) 590 endg.

Brandl/Feiel, Telekommunikationsrecht in Jahnel/Mader/Staudegger (Hrsg), IT-Recht, 3. Auflage (2012) 517.

§ 95a Abs. 1 TKG 2003.

Siehe dazu auch Dohr/Pollirer/Weiss/Knyrim, DSG² § 24 Anm 30 (Stand 02.07.2014, rdb.at).

§ 95a Abs. 3 TKG 2003.

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl L 2002/201, 37.

Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz, ABl L 2009/337, 11.

Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2003/173, 2.

Fritz/Burtscher, Data Breach Notification Duty für Betreiber öffentlicher Telekommunikationsdienste, ZIR 2014/1, 5.

Richtlinie 2009/140/EG des Europäischen Parlaments und des Rates vom 25. November 2009 zur Änderung der Richtlinie 2002/21/EG über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste, der Richtlinie 2002/19/EG über den Zugang zu elektronischen Kommunikationsnetzen und zugehörigen Einrichtungen sowie deren Zusammenschaltung und der Richtlinie 2002/20/EG über die Genehmigung elektronischer Kommunikationsnetze und -dienste, ABl. L 2009/337, 37.

https://www.enisa.europa.eu/publications/technical-guideline-on-incident-reporting (aufgerufen 01.04.2018).

https://www.rtr.at/de/tk/Netzsicherheit/28266_Mitteilungspflicht_bei_Ausfall_von_Notrufnummern.pdf (aufgerufen 01.04.2018).

https://egov.rtr.at (aufgerufen 01.04.2018).

https://www.rtr.at/de/tk/Netzsicherheit (aufgerufen 01.04.2018).

Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl L 2014/247, 73.

Für mehr Information siehe https://www.digitales.oesterreich.gv.at/eidas-verordnung (aufgerufen am 01.04.2018).

Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13. November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG, 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 97/5/EG, ABl 2007/319, 1.

Bundesgesetz über die Erbringung von Zahlungsdiensten (Zahlungsdienstegesetz – ZaDiG), BGBl. I 2009/66.

http://ec.europa.eu/finance/payments/docs/framework/transposition/austria_en.pdf (aufgerufen am 01.04.2018).

Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG, ABl L 2015/337, 1.

http://europa.eu/rapid/press-release_IP-15-5792_de.htm?locale=en (aufgerufen am 01.04.2018).

Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission, ABl L 2010/331, 12.

https://www.eba.europa.eu/documents/10180/1914076/Guidelines+on+incident+reporting+under+PSD2+%28EBA-GL-2017-10%29.pdf (abgerufen am 01.04.2018).

https://www.eba.europa.eu/-/eba-publishes-final-guidelines-on-major-incident-reporting-under-psd2 (abgerufen am 01.04.2018).

Bundesgesetz zum Schutz vor gefährlichen Produkten (Produktsicherheitsgesetz 2004 – PSG 2004), BGBl. I 2005/16 idgF (BGBl. I 2015/163); Posch/Terlitza in Schwiemann/Kodek (Hrsg), ABGB-Praxiskommentar⁴ PHG, 2016.

Richtlinie 2001/95/EG des Europäischen Parlaments und des Rates vom 3. Dezember 2001 über die allgemeine Produktsicherheit, ABl. L 2002/11, 4.

Der Bundesminister für soziale Sicherheit, Generationen und Konsumentenschutz sowie die Landeshauptleute; § 3 Z 3 iVm § 32 PSG 2004.

Harnoncourt, Haftungsrechtliche Aspekte des autonomen Fahrens, in: I. Eisenberger/Lachmayer/G. Eisenberger (Hrsg); Autonomes Fahren und Recht, 2017, 109.

Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl L 2016/194, 1.

https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive

Vgl. Haslinger, Rechtliche und organisatorische Aspekte neuer Meldepflichten im Bereich der Netz- und Informationssicherheit, JusIT 6/2017, 218.

Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie), ABl L 2002/108, S. 33.

Auf Ersuchen der zuständigen Behörde oder des CSIRT hat die zentrale Anlaufstelle diese Meldungen an die zentralen Anlaufstellen der anderen betroffenen Mitgliedstaaten weiterzuleiten; Art. 14 Abs. 5 Unterabsatz 3 NIS-Richtlinie.

Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl L 2015/241, S. 1.

Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, S. 36.

Gemäß Art. 22 Abs. 1 NIS-Richtlinie wird die Kommission vom Ausschuss für die Sicherheit von Netz- und Informationssystemen unterstützt, wobei dieser Ausschuss ein Ausschuss iSd Verordnung (EU) Nr. 182/2011 ist. Art. 22 Abs. 2 NIS-Richtlinie bestimmt, dass beim Prüfverfahren Art. 5 der Verordnung (EU) Nr. 182/2011 gilt.

Durchführungsverordnung (EU) 2018/151 der Kommission vom 30. Januar 2018 über Vorschriften für die Anwendung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates hinsichtlich der weiteren Festlegu ng der von Anbietern digitaler Dienste beim Risikomanagement in Bezug auf die Sicherheit von Netz- und Informationssystemen zu berücksichtigenden Elemente und der Parameter für die Feststellung erheblicher Auswirkungen eines Sicherheitsvorfalls, ABl. L 26, 31.01.2018, S. 48.

Art 1 DurchführungsVO 2018/151/EU.

Art 16 Abs 1 lit a NIS-RL.

Art. 16 Abs. 1 Buchstabe b NIS-RL.

Art. 16 Abs. 1 Buchstabe c NIS-RL.

Art. 16 Abs. 1 Buchstabe d NIS-RL.

Art. 16 Abs. 4 Buchstabe b NIS-RL.

Art. 16 Abs. 4 Buchstabe a NIS-RL.

Art. 16 Abs. 4 Buchstabe d NIS-RL

Diese Formulierung ist nicht geglückt, weil ein Betreiber wesentlicher Dienste iSd der Richtlinie gemäß Art. 4 Nr. 4 nur eine Einrichtung sein kann, die den Kriterien des Art. 5 Abs. 2 entspricht, also einen Dienst bereitstellt, der für die Aufrechterhaltung kritischer gesellschaftlicher und/oder wirtschaftlicher Tätigkeiten unerlässlich ist (Art. 5 Abs. 2 lit. a). Art. 16 Abs. 5 spricht hingegen von der Bereitstellung eines Dienstes, der für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten von wesentlicher Bedeutung ist, was vom Bedeutungsgehalt weniger und daher bereits vom Begriff „unerlässlich“ umfasst ist.

BSI, Das IT-Sicherheitsgesetz: Kritische Infrastrukturen schützen, Februar 2016, S. 5; abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile&v=6

BSI, Das IT-Sicherheitsgesetz, 5.

BSI, BSI Jahresbericht 2003, März 2004 , S. 16.

BSI, Meldepflicht, https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/FAQ/FAQ_zur_Meldepflicht/faq_meldepflicht_node.html (aufgerufen am 01.04.2018),

BSI, Meldepflicht, https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/FAQ/FAQ_zur_Meldepflicht/faq_meldepflicht_node.html (aufgerufen am 01.04.2018).

BSI, Fragen und Antworten für Betreiber Kritischer Infrastrukturen zur Meldepflicht nach dem IT-Sicherheitsgesetz, https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/KRITIS/IT-SiG/FAQ/FAQ_zur_Meldepflicht/faq_meldepflicht_node.html (aufgerufen am 01.04.2018).

Ein ausgefülltes Musterbeispiel findet sich auf der Webseite des BSI wieder unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT_SiG/Meldeformular_BSIG8b_Muster.pdf?__blob=publicationFile&v=3 (aufgerufen am 01.04.2018).

Schacherreiter in Kletečka/Schauer, ABGB-ON^1.°³ § 1304 (Stand 01.06.2015, rdb.at)

Dohr/Pollirer/Weiss/Knyrim, DSG² § 24 Anm. 21 (Stand: 26.11.2015, rdb.at).

Bundesgesetz vom 8. November 1989 über die Wertpapier- und allgemeinen Warenbörsen und über die Abänderung des Börsesensale-Gesetzes 1949 und der Börsegesetz-Novelle 1903 (Börsegesetz 1989 – BörseG), BGBl. 1989/555 idgF.

Art. 7 Abs. 1 lit. a Verordnung (EU) Nr. 596/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über Marktmissbrauch (Marktmissbrauchsverordnung) und zur Aufhebung der Richtlinie 2003/6/EG des Europäischen Parlaments und des Rates und der Richtlinien 2003/124/EG, 2003/125/EG und 2004/72/EG der Kommission, ABl L 2014/173, S. 1.

https://www.wienerborse.at/wissen/boersenlexikon/buchstabe-a/ad-hoc-meldungen/ (aufgerufen am 01.04.2018).

Verwaltungsstrafgesetz 1991 – VStG, BGBl. 1991/52 idgF.

OGH vom 15.03.2012, 6 Ob 28/12d.

Brandl/Feiel, Telekommunikationsrecht in Jahnel/Mader/Staudegger (Hrsg), IT-Recht, 3. Auflage (2012) 517

BSI, Das IT-Sicherheitsgesetz: Kritische Infrastrukturen schützen, Februar 2016

Dohr/Pollirer/Weiss/Knyrim, DSG² (Stand: 26.11.2015, rdb.at)

Fritz/Burtscher, Data Breach Notification Duty für Betreiber öffentlicher Telekommunikationsdienste, ZIR 2014/1, 5.

Gola, DS-GVO – Datenschutz-Grundverordnung VO (EU) 2016/679, 2017.

Harnoncourt, Haftungsrechtliche Aspekte des autonomen Fahrens, in: I. Eisenberger/Lachmayer/G. Eisenberger (Hrsg); Autonomes Fahren und Recht, Manz, 2017, 109.

Haslinger, Rechtliche und organisatorische Aspekte neuer Meldepflichten im Bereich der Netz- und Informationssicherheit, JusIT 6/2017, 218

Hötzendorfer in: Gantschacher/Jelinek/Schmidl/Spanberger (Hrsg), Kommentar zur Datenschutz-Grundverordnung, 1. Auflage, 2017

Knyrim, Datenschutz-Grundverordnung – Das neue Datenschutzrecht in Österreich und der EU, 2016.

Leiter in: Gantschacher/Jelinek/Schmidl/Spanberger (Hrsg), Kommentar zur Datenschutz-Grundverordnung, 1. Auflage, 2017

Posch/Terlitza in: Schwiemann/Kodek (Hrsg), ABGB-Praxiskommentar⁴ PHG, 2016.

Schacherreiter in Kletečka/Schauer, ABGB-ON^1.03 § 1304 (Stand 1.6.2015, rdb.at)

Titel: Informations- und Meldepflichten in PPPs
verfasst von: Erich Schweighofer
Vinzenz Heußler
Walter Hötzendorfer
Verlag: Springer Berlin Heidelberg
Buch: Cyber Situational Awareness in Public-Private-Partnerships
Print ISBN: 978-3-662-56083-9

Electronic ISBN: 978-3-662-56084-6

Copyright-Jahr: 2018
DOI: https://doi.org/10.1007/978-3-662-56084-6_4

Springer Professional

Zusammenfassung

Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Springer Professional "Technik"

Springer Professional "Wirtschaft"