DAV erneuert Kritik an unbestimmte Regelungen im aktuellen Entwurf des IT-Sicherheitsgesetzes


Sehr geehrte Damen und Herren,

im Vergleich zum letzten Referentenentwurf (vgl. dazu DAV-Stellungnahme Nr. 67/2014) wurden im aktuellen Regierungsentwurf (BT-Drs. 18/4096 vom 25. Februar 2015) zwar die vorhandenen Normtexte klarer strukturiert und verständlicher gefasst. Nichtsdestotrotz bleibt nach Auffassung des DAV das Hauptproblem des Gesetzesentwurfs bestehen (siehe hierzu DAV-Stellungnahme Nr. 16/2015): die Unbestimmtheit der Kernbegriffe. Insbesondere die fehlende Festlegung des Begriffs der „Kritischen Infrastrukturen“ macht es potentiellen Adressaten nach wie vor unmöglich, zum jetzigen Zeitpunkt festzustellen, ob sie von dem Gesetz betroffen sind.

Mitglieder des Ausschusses

  • Rechtsanwalt Dr. Helmut Redeker, Bonn (Vorsitzender)
  • Rechtsanwältin Dr. Christiane Bierekoven, Nürnberg
  • Rechtsanwältin Isabell Conrad, München
  • Rechtsanwalt Dr. Malte Grützmacher, LL.M., Hamburg
  • Rechtsanwalt Prof. Niko Härting, Berlin
  • Rechtsanwalt Peter Huppertz, LL.M., Düsseldorf (Berichterstatter)
  • Rechtsanwalt Dr. Robert Selk, LL.M. (EU), München
  • Rechtsanwalt Prof. Dr. Holger Zuck, Stuttgart

Zuständig in der DAV-Geschäftsführung

  • Rechtsanwalt Thomas Marx, Berlin

Verteiler
Bundesministerium der Justiz und für Verbraucherschutz
Bundesministerium für Wirtschaft und Energie

Ausschuss für Recht und Verbraucherschutz im Deutschen Bundestag
Ausschuss für Wirtschaft und Energie im Deutschen Bundestag
Ausschuss Digitale Agenda im Deutschen Bundestag

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Die Datenschutzbeauftragten der Bundesländer

Arbeitskreise Recht der Bundestagsfraktionen
Justizministerien und Justizsenatoren der Länder
Wirtschaftsministerien der Länder

Europäische Kommission - Vertretung in Deutschland
Bundesrechtsanwaltskammer
Bundesnotarkammer
Bundesverband der Freien Berufe
Deutscher Richterbund
Deutscher Notarverein e.V.
Deutscher Steuerberaterverband
Bundesverband der Deutschen Industrie (BDI)
GRUR
BITKOM
DGRI

DAV-Vorstand und Geschäftsführung
Vorsitzende der DAV-Gesetzgebungsausschüsse
Vorsitzende der DAV-Landesverbände
Vorsitzende des FORUMs Junge Anwaltschaft

Frankfurter Allgemeine Zeitung
Süddeutsche Zeitung GmbH
Berliner Verlag GmbH
Redaktion NJW
Juve-Verlag
Redaktion Anwaltsblatt
Juris
Redaktion MultiMedia und Recht (MMR)
Redaktion Zeitschrift für Datenschutz ZD
Redaktion heise online
Redaktion Der Spiegel
Redaktion FAS

Der Deutsche Anwaltverein (DAV) ist der freiwillige Zusammenschluss der deutschen Rechtsanwältinnen und Rechtsanwälte. Der DAV mit derzeit ca. 66.000 Mitgliedern vertritt die Interessen der deutschen Anwaltschaft auf nationaler, europäischer und internationaler Ebene.

Vorbemerkung
Nachdem das Bundesministerium des Inneren (BMI) am 18. August 2014 einen bereits überarbeiteten Referentenentwurf zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vorgelegt hatte, wurde am 8. Dezember 2014 ein nochmals überarbeiteter Regierungsentwurf des Gesetzes veröffentlicht. Dieser Entwurf liegt jetzt dem Bundestag zur Entscheidung vor (BT-Drs. 18/4096 vom 25. Februar 2015).

Im Vergleich zum letzten Referentenentwurf finden sich in dem Regierungsentwurf einige neue Regelungen. Größtenteils wurden die vorhandenen Normtexte klarer strukturiert und verständlicher gefasst. Des Weiteren wurde ein Teil der an dem Referentenentwurf geäußerten Kritik umgesetzt. Nichtsdestotrotz bleiben auch mit dem neuen Regierungsentwurf einige verbesserungswürdige Punkte in dem Gesetz, auf die mit dieser Stellungnahme hinzuweisen ist. Im Einzelnen handelt es sich dabei um folgende Punkte:

1. Hauptproblem: Unbestimmtheit
Da die zuvor am Referentenentwurf geäußerte Kritik nur in Teilen umgesetzt wurde, kann im Wesentlichen zunächst auf die erste Stellungnahme des Deutschen Anwaltvereins zum Gesetzesentwurf vom Dezember 2014 (Stellungnahme Nr.: 67/2014) verwiesen werden. Die darin geäußerte Kritik besteht insoweit fort. Namentlich kann auf die Kritikpunkte unter folgenden Ziffern der Stellungnahme verwiesen werden, die im aktuellen Regierungsentwurf nach wie vor keine Berücksichtigung finden:

  • Ziffer 2. (Zu § 2 Abs. 10 BSIG-E): Unbestimmtheit des Begriffs der „Kritischen Infrastrukturen“
  • Ziffer 3. (Zu § 2 Abs. 11 BSIG-E): Adressatenkreis des Gesetzes
  • Ziffer 4. (Zu § 8a Abs. 1 BSIG-E): Bestimmtheit der betroffenen Betreiber und der erforderlichen Maßnahmen
  • Ziffer 12. (Zu § 100 Abs. 1 TK-E): Speicherung von Nutzungsdaten durch TK-Anbieter
  • Ziffer 13. (Zu § 109 Abs. 5 TK-E): Angleichen der Qualitätskriterien für die Entstehung einer Meldepflicht

Das Hauptproblem des Gesetzesentwurfs besteht damit fort: die Unbestimmtheit der Kernbegriffe. Die fehlende Festlegung des Begriffs der „Kritischen Infrastrukturen“ macht es potentiellen Adressaten unmöglich, zum jetzigen Zeitpunkt festzustellen, ob sie von dem Gesetz betroffen sind. Gleiches gilt für die Bestimmung der nach dem Gesetz zu treffenden organisatorischen und technischen Vorkehrungen. Zwar findet sich im Regierungsentwurf nun eine gewisse Konkretisierung zum Zweck dieser Vorkehrung. Betroffene Unternehmen werden anhand dessen jedoch immer noch keinen Maßstab für angemessene Vorkehrungen daraus erkennen können.

2. Zu § 8b Abs. 4 BSIG-E
Anknüpfungspunkt für eine Meldepflicht der Betreiber der „Kritischen Infrastrukturen“ ist im neuen Regierungsentwurf gemäß § 8b Abs. 4 BSIG-E eine „erhebliche Störung“. Nachdem im ersten Referentenentwurf noch an eine „schwerwiegende Beeinträchtigung“ geknüpft wurde und im letzten Referentenentwurf nur noch von einer „Beeinträchtigung“ die Rede war, bringt der aktuelle Entwurf wieder ein neues Qualitätskriterium hervor. Zwar wurde dieses Kriterium entsprechend § 8a Abs. 1 BSIG-E um verschiedene Zwecke ergänzt. Das eigentliche Problem ist damit aber nicht gelöst. Eine hinreichende Bestimmbarkeit für das Qualitätskriterium, wann Betreiber eine Meldung abzusetzen haben, ist weiterhin nicht gegeben.

3. Zu § 8b Abs. 6 BSIG-E
In § 8b Abs. 6 BSIG-E wurde eine Regelung zum Datenschutz bezüglich der bei der Meldepflicht verwendeten personenbezogenen Daten aufgenommen. Sehr zu begrüßen ist, dass damit eine klare Zweckbindung der Behörden für die im Rahmen der Meldepflicht übermittelten Daten geregelt wurde.

Im Übrigen verweist der Absatz jedoch auf die Regelung des Bundesdatenschutzgesetzes (BDSG). Dies ist missverständlich. Die betroffenen Betreiber werden dies so zu lesen haben, dass sie jede im Rahmen der bestehenden Meldepflichten vorzunehmende Übermittlung an die Behörde datenschutzrechtlich überprüfen und entsprechend rechtfertigen müssen. Ohne den Verweis auf das Bundesdatenschutzgesetz ließe sich § 8b BSIG-E ggf. als Rechtsvorschrift im Sinne des § 1 Abs. 3 BDSG lesen, die der Anwendung des BDSG vorgeht und die Suche nach einer gesetzlichen Erlaubnis für jede einzelne Datenübermittlung entbehrlich macht. Dieser Weg ist mit dem Verweis auf das BDSG jedoch ausgeschlossen. Wünschenswert bleibt indes weiterhin eine Klarstellung, dass im Rahmen der gesetzlichen Vorgaben rechtmäßig erhobene Daten im Rahmen der Meldepflicht an die zuständigen Behörden übermittelt werden können. Ohne einen Zusatz könnte es zumindest zweifelhaft sein, ob diese Datenübermittlung datenschutzrechtlich zulässig ist.

4. Zu § 8c BSIG-E
Ausnahmen von den nach §§ 8a und 8b BSIG-E geltenden Pflichten für Sicherheitsvorkehrungen und Meldepflichten werden im Regierungsentwurf nunmehr zentral in der Vorschrift des § 8c BSIG-E geregelt. Im Vergleich zum Referentenentwurf, in dem TK-Anbieter von den Pflichten ausgenommen wurden, wurde die Ausnahme auf Betreiber von Energieversorgungsnetzen bzw. Energieanlagen und Genehmigungsinhaber nach § 7 Abs. 1 des Atomgesetzes erweitert. Dies ist grundsätzlich zu begrüßen, da dadurch eine unnötige Doppelregulierung in den betroffenen Bereichen vermieden wird. Allerdings hat es die Regierung in der Regelung trotz Festlegung weiterer Branchen bei der Generalklausel für weitere Ausnahmen belassen. Nach dieser Generalklausel sind weiterhin auch Betreiber „Kritischer Infrastrukturen“, die vergleichbaren Pflichten unterliegen, von den Pflichten der §§ 8a und 8b BSIG-E ausgenommen. Die Regierung versäumt es so, eine klare und abschließende Regelung zu treffen. Die in diesem Zusammenhang bestehende Rechtsunsicherheit gilt weiter fort. Insoweit kann auf die Ziffern 5. und 7. der ursprünglichen Stellungnahme des Deutschen Anwaltvereins vom Dezember 2014 (Stellungnahme Nr.: 67/2014) verwiesen werden.

Ziel einer gesetzlichen Regelung sollte es sein, einheitliche formelle Anforderungen für die jeweils erforderlichen Vorkehrungen und Meldepflichten zu treffen. Problem bei jeder Ausnahmeregelung ist jedoch, dass für die betroffenen Betreiber nicht die Möglichkeit einer anonymen Meldung gemäß § 8b Abs. 4 BSIG-E zur Verfügung steht. Bei den im Regierungsentwurf hinzugefügten Ausnahmen wurde dies offensichtlich berücksichtigt und in den entsprechenden Spezialgesetzen – soweit für notwendig empfunden – ergänzt. Mit der Generalklausel besteht dieses Problem jedoch fort. Zudem ist zu berücksichtigen, dass von der Ausnahme betroffenen Betreibern keine Möglichkeit zusteht, bei einer Meldepflicht eine für den Sektor übergeordnete Ansprechstelle gemäß § 8b Abs. 5 BSIG-E (Single Point of Contact) zu nutzen. Dieser Aspekt sollte für alle Meldepflichten einheitlich geregelt sein.

5. Zu § 13 Abs. 7 TMG-E
Im Referentenentwurf war für Anbieter von personalisierten Telemediendiensten noch vorgesehen, dass diese den Nutzern die Anwendung eines sicheren und dem Schutzbedarf angemessenen Authentifizierungsverfahrens anbieten müssen. Dies ist im aktuellen Regierungsentwurf vollkommen entfallen. Lediglich in der Gesetzesbegründung findet sich noch ein Hinweis auf dieses Authentifizierungsverfahren. Wünschenswert bleibt eine gesetzliche Regelung zugunsten der Nutzer, die ein Angebot von Authentifizierungsverfahren zu angemessenen Bedingungen vorsieht.


IT-Anwaltsuche