Gegen schlechte Noten im Internet kann man sich wehren
Untervermietung über „airbnb“ kann für Kündigung der Wohnung sorgen

Das IT-Sicherheitsgesetz: Ein erster Überblick

- von Rechtsanwalt Michael Terhaag, LL.M. -

IT-Sicherheit DAS ist ein hehres Ziel - dennoch hat die Bundesregierung für Ihre ersten Überlegungen und den aktuellen Gesetzesentwurf zum IT Sicherheitsgesetz bereits viel Kritik eingestecken müssen.

"Die Nutzung informationstechnischer Systeme (IT-Systeme) und des Internets mit seinen vielfältigen Angeboten durchdringen Staat, Wirtschaft und Gesellschaft in immer größerem Maße. Bedeutende Teilbereiche des privaten und öffentlichen Lebens werden zunehmend ins Netz verlagert oder von diesem beeinflusst. Quer durch alle Branchen ist schon heute mehr als die Hälfte aller Unternehmen in Deutschland vom Internet abhängig."

heisst es in Gesetzesentwurf in dem das Problem und die Zielsetzung des Gesetzes aufgezeigt wird.

Auch wenn wir uns sonst nicht mit Gesetzen im Entwurfstadium zu intensiv beschäftigen (können), möchten wir hier mit den nachfolgenden Ausführungen dennoch einen kurzen Überblick über das geplante IT – Sicherheitsgesetz unter Berücksichtigung der jüngsten Stellungnahme des Bundesrats 18/4096 vom 25.02.2015 schaffen.

Die zunehmende Bedeutsamkeit informationstechnischer Systeme (IT – Systeme) schafft neben den Vorzügen einer (inter-)nationalen Vernetzung und der damit einhergehenden Möglichkeit, verschiedenste Prozesse dezentral verwalten zu können, nach einer Umfrage des Digitalverbands BITKOM, auch ein erhöhtes Gefahrenpotential: So hatte fast jedes dritte Unternehmen in den vergangenen zwei Jahren IT-Sicherheitsvorfälle zu vermelden.

Gerade im Bereich der Computersabotage (§ 303b StGB) hat das Bundeskriminalamt nach eigenen Angaben für das Jahr 2013 einen Anstieg um 18 Prozent verzeichnet. Insofern sieht der Gesetzgeber Handlungsbedarf und beabsichtigt durch das geplante IT – Sicherheitsgesetz besonders gefährdete Infrastrukturen mittels eines den „Stand der Technik“ entsprechenden Sicherheitsstandards sowie erhöhten Meldepflichten zu schützen.

Hierbei geht es insbesondereum die noch näher zu bestimmenden - „Kritischen Infrastrukturen“. Dies sollen nach den Ausführungen des aktuellen Entwurfs vom 8.12.2014 jene sein, die „…für das Funktionieren unseres Gemeinwesens zentral sind.“ Eine vage Eingrenzung der „Kritischen Infrastrukturen“ lässt sich dem geplanten Absatz 10 des § 2 BSIG entnehmen:

„Kritische Infrastrukturen i.S.d. Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

1.     den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und

2.     von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Wie ein dem „Stand der Technik“ entsprechendes Sicherheitssystem ausgestaltet sein muss, wurde jedoch - noch - nicht näher konkretisiert.

Der Bundesrat wies in seiner aktuell letzten Stellungnahme aus dem Februar 2015 darauf hin, dass die verwendeten unbestimmten Rechtsbegriffe (u.a. „Stand der Technik“, „Kritische Infrastrukturen“, „erhebliche Störungen“ und „beträchtlichen Sicherheitsverletzungen“) näher konkretisiert werden müssen. Die Bundesregierung indes hält die Verwendung von derartig unbestimmten Rechtsbegriffen verfassungsrechtlich für nicht zu beanstanden und sinnvoll, da eine zu enge Konkretisierung die Gefahr mit sich bringt, dass künftige Entwicklungen – aufgrund des dynamischen Umfelds – vom Gesetz nicht mehr erfasst werden würden.

Der Bundesrat hält zudem die Änderung die geplante Änderung des § 100 Telekommunikationsgesetz (TKG) für nicht notwendig und auch sonst wird der Ruf nach der verfassungsrechtlich sehr heiklen problematischen anlasslosen - Vorratsdatenspeicherung laut.

Aktuell ist eine Übergangsfrist von 2 Jahren nach Inkrafttreten einer Rechtsverordnung nach § 10 Absatz 1 BSIG geplant bis zu deren Ablauf dann die kritischen Infrastrukturen entsprechende Vorkehrungen getroffen haben müssen, um den geforderten Sicherheitsstandard zu gewährleisten. 

Das Bundesamt für Sicherheit in der Informationstechnik ist künftig für die zentrale Auswertung sicherheitsrelevanter Berichte der „kritischen Infrastrukturen“ zuständig. Deren Betreiber haben den Nachweis der Einhaltung des Sicherheitsstandards mindestens alle zwei Jahre zu erbringen. Überdies müssen dann sie dem Bundesamt unverzüglich “erhebliche Störungen“ melden.

Welche Änderungen sich im weiteren Gesetzgebungsverfahren noch ergeben werden, bleibt abzuwarten. Dass das IT – Sicherheitsgesetz letztendlich verabschiedet wird, gilt nach jetzigen Stand der Dinge jedoch als gewiss.

Rechtsanwalt Michael Terhaag hat zu diesem Thema jüngst einen Praxiskommentar verfasst - er ist im Handel erhältlich. Weitere Informationen zum Buch bekommen Sie an dieser Stelle.