Das IT-Sicherheitsgesetz des Bundes im Lichte der Datenschutzgrundverordnung


Seminararbeit, 2017

31 Seiten, Note: 13


Leseprobe

Gliederung

A. Der Weg zu mehr „Cybersicherheit“ in Deutschland
I. Historischer Kontext und die Natur des Gesetzes
II. Anwendungsbereich
1. Allgemeiner Anwendungsbereich
2. Adressatenkreis – Im Hauptfokus: Betreiber KRITIS
a) BSI Verordnung für Kritische Infrastrukturen: Teil 1
b) BSI Verordnung für Kritische Infrastrukturen: Teil 2
3. Sonstige Adressaten
III. Genauere Betrachtung der Neuregelungen und wie wird das Ziel der Cybersicherheit damit erreicht?
1. Anforderungen an die Sicherheit der KRITIS-Betreiber
2. Meldung und Auswertung von Sicherheitsverletzungen
3. Möglichkeiten der Sanktionierung
4. Die Anordnungsbefugnis des BSI
5. Weitere Änderungen
a) Änderungen im TKG
b) Änderungen im TMG
c) Änderungen für das BKA
d) Weitere Änderungen
IV. Zwischenbewertung: Ist das Ziel der Cybersicherheit nun in Deutschland erreicht?

B. Harmonisierung durch die europäischen Datenschutzgrundverordnung (DS-GVO)
I. Die DS-GVO und IT-Sicherheit
II. Die Rolle des IT-Sicherheitsgesetzes im Zusammenhang mit der DS-GVO und die NIS-Richtlinie

C. Ist letztendlich die Schaffung von mehr Cybersicherheit gelungen?

Literaturverzeichnis

- Albrecht, Philipp; Jotzo, Florian: Das neue Datenschutzrecht der EU: Grundlagen - Gesetzgebungsverfahren – Synopse, Baden-Baden 2016 (Zit.: Albrecht/Jotzo, Das neue Datenschutzrecht der EU)

- Auer-Reinsdorff, Astrid; Conrad, Isabell: Handbuch IT- und Datenschutzrecht, 2. Aufl. München 2016

(Zit.: Bearbeiter in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht)

- Bundesnetzagentur: IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, Bundesnetzagentur online vom: 25.08.2016 abrufbar unter: https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html (Stand: 09.01.2017)

(Zit.: BNetzA, IT-Sicherheitskatalog (online))

- Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v.: Was muss ich wissen zur EU-Datenschutz Grundverordnung, Berlin 2016 abrufbar unter: https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/160909-EU-DS-GVO-FAQ-03.pdf (Stand: 09.01.2017)

(Zit.: Bitcom, Was muss ich wissen zur EU-DS-GVO)

- Bräutigam, Peter; Wilmer, Stefan: Big brother is watching you? Meldepflichten im geplanten IT-Sicherheitsgesetz, ZRP (Zeitschrift für Rechtspolitik) 2015, S. 38 ff.

(Zit.: Bräutigam/Wilmer, ZRP 2015)

- Brisch, Klaus: Der Beitrag des Rechts zur IT-Sicherheit: Rechtsrahmen, Anforderungen, Grenzen in: Abholhassan, Ferri (Hrsg.): Security Einfach Machen, Wiesbaden 2017

(Zit.: Brisch, Der Beitrag des Rechts zur IT-Sicherheit)

- Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2016, Bonn 2016 abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2016.pdf?__blob=publicationFile&v=4 (Stand: 09.01.2017)

(Zit.: Bearbeiter in BSI: Die Lage der IT-Sicherheit in Deutschland 2016)

- Bundesamt für Sicherheit in der Informationstechnik: Das IT-Sicherheitsgesetz, 2016 abrufbar unter: https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/it_sig_node.html (Stand: 09.01.2017)

(Zit.: BSI, Das IT- Sicherheitsgesetz (online))

- Bundesamt für Sicherheit in der Informationstechnik: Das IT-Sicherheitsgesetz, Kritische Infrastrukturen schützen, Bonn 2016 abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile&v=5 (Stand: 09.01.2017)

(Zit.: BSI, IT-Sicherheitsgesetz)

- Czernik, Agnieska: Datenschutz-Grundverordnung und Datensicherheit, Datenschutzbeauftragter online vom 08.07.2016 abrufbar unter: https://www.datenschutzbeauftragter-info.de/datenschutz-grundverordnung-datensicherheit/ (Stand: 09.01.2017)

(Zit.: Czernik, DS-GVO und Datensicherheit (online))

- Dörr, Peter; Schwartmann Rolf: Medienrecht, 3. Aufl. Heidelberg 2010

(Zit.: Dörr/Schwartmann, Medienrecht)

- Dehmel, Susanne; Hullen, Nils: Auf dem Weg zu einem zukunftsfähigen Datenschutz in Europa – Konkrete Auswirkungen der DS-GVO auf Wirtschaft, Unternehmen und Verbraucher, ZD (Zeitschrift für Datenschutz) 2013, S. 147 ff.

(Zit.: Dehmel/Hullen, ZD 2013)

- Europäisches Parlament: Cybersicherheit: Gemeinsame EU- Regeln zum Schutz vor Gefahren des Internets, Europäisches Parlament (online) vom: 06.07.2016 abrufbar unter: http://www.europarl.europa.eu/news/de/news-room/20160701IPR34481/cybersicherheit-gemeinsame-eu-regeln-zum-schutz-vor-gefahren-des-internets (Stand: 09.01.2017)

(Zit.: EP, Cybersicherheit (online))

- Europäisches Parlament: EU-weite Vorschriften zur Stärkung der Cybersicherheit, Europäisches Parlament (online) vom 05.07.2016 abrufbar unter: http://www.europarl.europa.eu/news/de/news-room/20160701STO34371/eu-weite-vorschriften-zur-stärkung-der-cyber-sicherheit (Stand: 09.01.2017)

(Zit.: EP: EU-weite Vorschriften zur Stärkung der Cybersicherheit (online))

- Faust, Sebastian; Spittka, Jan; Wybitul, Tim: Milliardenbußgelder nach der DS-GVO?, ZD (Zeitschrift für Datenschutz) 2016, S. 120 ff.

(Zit.: Faust/Spittka/Wybitul, ZD 2016)

- Feil, Thomas: Meldepflichten bringen neue Anforderungen (EU-DS-GVO), recht-freundlich vom: 31.03.2016 abrufbar unter: https://www.recht-freundlich.de/eu-datenschutz-grundverordnung/meldepflichten-bringen-neue-anforderungen-eu-dsgvo (Stand: 09.01.2017)

(Zit.: Feil, Meldepflichten bringen neue Anforderungen (online))

- Friedrich, Hans-Peter: Maßvolle Regulierung als Standortvorteil, MMR (Multimedia und Recht) 2013, S. 273 f.

(Zit.: Friedrich, MMR 2013)

- Focus online: Nach Anschlag in Berlin – Hackerangriff auf Hinweisportal des BKA, Focus online vom 21.12.2016 abrufbar unter: http://www.focus.de/politik/deutschland/nach-anschlag-in-berlin-hackerangriff-auf-hinweisportal-des-bka_id_6387429.html (Stand: 09.01.2017)

(Zit.: Focus, Nach Anschlag in Berlin – Hackerangriff auf Hinweisportal des BKA (online))

- Gebauer, Matthias; von Hammerstein, Konstantin; Hoffmann, Christian: Rosenbach, Marcel; Schindler, Jörg: Cyberwaffen: Was die Kriege der Zukunft entscheidet, Spiegel online vom 27.09.2016 abrufbar unter: http://www.spiegel.de/spiegel/hacker-cyberwaffen-bedrohen-sicherheit-weltweit-a-1113916.html (Stand: 09.01.2017)

(Zit.: Gebauer/Hammerstein/Hoffmann/Rosenbach/Schindler, Spiegel: Cyberwaffen: Was die Kriege der Zukunft entscheidet (online))

- Gitter, Rotraud; Meißner, Alexander; Spauschus, Philipp: Das neue IT-Sicherheitsgesetz – IT-Sicherheit zwischen Digitalisierung und digitaler Abhängigkeit, ZD (Zeitschrift für Datenschutz) 2015, S. 512 ff.

(Zit.: Gitter/Meißner/Spauschus, ZD 2015)

- Gola, Peter; Klug, Christoph: Die Entwicklung des Datenschutzrechts im zweiten Halbjahr 2015, NJW (Neue Juristische Wochenschrift) 2016, S. 691 ff.

(Zit.: Gola/Klug, NJW 2016)

- Härting, Niko: Datenschutz-Grundverordnung, Köln 2016

(Zit.: Härting, DS-GVO)

- Holznagel, Bernd: Recht der IT-Sicherheit, München 2003

(Zit.: Holznagel, Recht der IT-Sicherheit)

- Hornung, Gerrit; Müller-Terpitz, Ralf: Rechtshandbuch Social Media, Heidelberg 2015

(Zit.: Hornung/Müller, Rechtshandbuch Social Media)

Hornung, Gerrit: Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT- Sicherheitsgesetz des Bundes, NJW (Neue Juristische Wochenschrift) 2015, S. 3334 ff. (Zit.: Hornung, NJW 2015)

- Ischinger, Wolfgang: Sicherheitspolitik: Regeln für den Cyberraum in: Abolhassan, Ferri (Hrsg.): Security Einfach Machen: IT-Sicherheit als Sprungbrett für die Digitalisierung, Wiesbaden 2017

(Zit.: Ischinger, Sicherheitspolitik: Regeln für den Cyberraum)

-Jensen, Sarah: Opposition kritisiert Entwurf zum IT-Sicherheitsgesetz in erster Lesung, ZD (Zeitschrift für Datenschutz)-Aktuell 2015, 04651

(Zit.: Jensen, ZD-Aktuell 2015)

- Johannes, Paul C.; Roßnagel, Alexander: Der Rechtsrahmen für einen Selbstschutz der Grundrechte in der Digitalen Welt, Kassel 2016

(Zit.: Johannes/Roßnagel, Der Rechtsrahmen für einen Selbstschutz der Grundrechte in der Digitalen Welt)

- Kaul, Judith: Spiecker gen. Döhmann befasst sich mit dem zentralen Problembereich der systematischen Digitalisierung, Jurion online vom 29.10.2016 abrufbar unter: https://www.jurion.de/de/news/348585/Spiecker-gen-Doehmann-befasst-sich-mitdem-zentralen-Problembereich-der-systematischen-Digitalisierung (Stand: 09.01.2017)

(Zit.: Kaul, Spiecker gen. Döhmann befasst sich mit dem zentralen Problembereich der systematischen Digitalisierung (online))

- Keppeler, Lutz Martin: Was bleibt vom TMG-Datenschutz nach der DS-GVO?

Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, MMR (Multimedia und Recht) 2015, S. 779 ff.

(Zit.: Keppeler, MMR 2015)

- Kühling, Jürgen; Seidel, Christian; Sivridis, Anastasios: Datenschutzrecht, Frankfurt am Main 2008

(Zit.: Kühling/Seidel/Sivridis, Datenschutzrecht)

- Lurz, Hanna; Scheben, Barbara; Dolle, Wilhelm: Das IT-Sicherheitsgesetz: Herausforderungen und Chancen für Unternehmen: vor allem für KMU, LSK (Die Leitsatzkartei des deutschen Rechts) 2015, 470110

(Zit.: Lurz/Scheben/Dolle, LSK 2015)

- Leisterer, Hannfried; Schneider, Florian: Der überarbeitete Entwurf für ein IT-Sicherheitsgesetz, LSK (Die Leitsatzkartei des deutschen Rechts) 2014, 380907

(Zit.: Leisterer/Schneider, LSK 2014)

- Lucius, Julian; Jannasch, Felix: IT- Sicherheit von Kritischen Infrastrukturen - Referentenentwurf zur Bestimmung Kritischer Infrastrukturen (BSI-Kritisverordnung), noerr online vom: 19.02.2016 abrufbar unter: https://www.noerr.com/de/newsroom/News/it-sicherheit-von-kritischen-infrastrukturen-–-referentenentwurf-zur-bestimmung-kritischer-infrastrukturen-bsi-kritisverordnung.aspx (Stand: 09.01.2017)

(Zit.: Lucius/Jannasch, IT- Sicherheit von Kritischen Infrastrukturen (online))

- Molnár-Gabor, Fruzsina; Korbel, Jan O.: Verarbeitung von Patientendaten in der Cloud- Die Freiheit transnationaler Forschung und Datenschutz in Europa, ZD (Zeitschrift für Datenschutz) 2016, S. 274 ff.

(Zit.: Molnár-Gábor/Korbel, ZD 2016)

- Müthlein, Thomas: Datenschutz-Grundverordnung General Data Protection Regulation, 1. Aufl. München 2016

(Zit.: Müthlein, DS-GVO)

- Neumann, Tim-Oliver: Bestimmung Kritischer Infrastrukturen: Entwurf der BSI-Kritisverordnung (BSI-KritisV), Pwc online vom 03.03.2016 abrufbar unter: http://blogs.pwc.de/auf-ein-watt/energierecht/bestimmung-kritischer-infrastrukturen-entwurf-der-bsi-kritisverordnung-bsi-kritisv/1347/ (Stand: 09.01.2017)

(Zit.: Neumann, Bestimmung kritischer Infrastrukturen (online))

- Rheinbold, Fabian: Nach Hackerangriff: Bundestagfährt wieder hoch, Spiegel online vom 24.08.2015 abrufbar unter: http://www.spiegel.de/netzwelt/netzpolitik/bundestag-faehrt-nach-hackerangriff-sein-netz-wieder-hoch-a-1049546.html (Stand: 09.01.2017)

(Zit.: Rheinbold, Spiegel: Nach Hackerangriff: Bundestagfährt wieder hoch (online))

- Rheinbold, Fabian: Cyberattacke auf Yahoo: Hacker erbeuten Daten von mehr als einer Milliarde Konten vom 15.12.2016 abrufbar unter: http://www.spiegel.de/netzwelt/netzpolitik/yahoo-hackerangriff-2013-betraf-mehr-als-eine-milliarde-nutzerkonten-a-1125964.html (Stand: 09.01.2017)

(Zit.: Rheinhold, Spiegel: Cyberattacke auf Yahoo (online))

- Roßnagel, Alexander; Jandt, Silke; Richter, Philipp: Die Zulässigkeit der Übertragung personenbezogener Daten in die USA im Kontext der NSA-Überwachung, DuD (Datenschutz und Datensicherheit) 2014, S. 545 ff.

(Zit.: Roßnagel/Jandt/Richter, DuD 2014)

- Roßnagel, Alexander: Europäische Datenschutz-Grundverordnung: Vorrang des Unionsrechts-Anwendbarkeit des nationalen Rechts, Baden-Baden 2016

(Zit.: Bearbeiter in: Roßnagel, Europäische DS-GVO)

- Roos, Philipp: Terhaag, IT-Sicherheitsgesetz, ZD-Aktuell (Zeitschrift für Datenschutz) 2016, 04175

(Zit.: Roos, ZD-Aktuell 2016)

- Roos, Philipp: Das IT-Sicherheitsgesetz – Wegbereiter oder Tropfen auf den heißen Stein?, MMR (Multimedia und Recht) 2015, S. 636 ff.

(Zit.: Roos, MMR 2015)

- Roos, Philipp: Der neue Entwurf eines IT-Sicherheitsgesetzes – Bewegung oder Stillstand?, MMR (Multimedia und Recht) 2014, S. 723 ff.

(Zit.: Roos, MMR 2014)

- Schaar, Peter: Datenschutz-Empowerment in: Abolhassan, Ferri (Hrsg.): Security Einfach Machen, Wiesbaden 2017

- Schläger, Uwe: Datenschutz – Grundverordnung – IT-Sicherheit, datenschutz notizen (online) vom 11.04.2016 abrufbar unter: https://www.datenschutz-notizen.de/datenschutz-grundverordnung-it-sicherheit-0914022/ (Stand: 09.01.2017)

(Zit.: Schläger, DS-GVO (online))

- Spindler, Gerald: Datenschutz- und Persönlichkeitsrechte im Internet – Der Rahmen für Forschungsaufgaben und Reformbedarf, GRUR (Gewerblicher Rechtsschutz und Urheberrecht)-Beilage 2014, S. 101 ff.

(Zit.: Spindler, GRUR-Beilage 2014)

- Schütze, Benjamin: Bundestag beschließt IT-Sicherheitsgesetz: Änderung des TMG Betrifft Webseitenbetreiber, ZD-Aktuell 2015, 04755

(Zit.: Schütze, ZD-Aktuell 2015)

- Schulenberg, Matthias: Presserecht in: Schwartmann, Rolf: Praxishandbuch Medien-, IT- und Urheberrecht, Heidelberg 2008

(Zit.: Schulenberg, Presserecht)

- Schwartmann, Rolf: Praxishandbuch in Medien-, IT- und Urheberrecht, 3. Aufl. Heidelberg 2014

(Zit.: Bearbeiter in: Schwartmann, Praxishandbuch in Medien-, IT- und Urheberrecht)

- Schweda, Sebastian: Bundestag verabschiedet IT-Sicherheitsgesetz, ZD-Aktuell (Zeitschrift für Datenschutz) 2015, 04737

(Zit.: Schweda, ZD-Aktuell 2015)

- Sydow, Lennart: Die Entwicklung des Datenschutzrechts im Jahr 2015 – Beitrags- und Rechtsprechungsübersicht, ZD (Zeitschrift für Datenschutz) 2016, S. 159 ff.

(Zit.: Sydow, ZD 2016)

- TeleTrusT – Bundesverband IT-Sicherheit e.V.: Handreichung zum „ Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes (ITSiG), Berlin 2016 abrufbar unter: https://www.all-about-security.de/fileadmin/micropages/Fachartikel_25/TeleTrusT-Handreichung_Stand_der_Technik.pdf (Stand: 09.01.2017)

(Zit.: Handreichung vom Bundesverband IT-Sicherheit e.V. (TeleTrusT))

- Terhaag, Michael: IT-Sicherheitsgesetz: Auswirkungen, Entwicklung und Praxis, Köln 2015

(Zit.: Terhaag, IT-Sicherheitsgesetz: Auswirkungen, Entwicklung und Praxis)

- Urbach, Nils; Ahlemann, Frederik: IT-Management im Zeitalter der Digitalisierung – Auf dem Weg zur IT-Organisation der Zukunft, Heidelberg 2016

(Zit.: Urbach/Ahlemann, IT-Management im Zeitalter der Digitalisierung)

- Die Welt: So viele Handys wie Menschen, Welt online vom 17.11.2015 abrufbar unter: https://www.welt.de/print/die_welt/article148925293/So-viele-Handys-wie-Menschen.html (Stand: 09.01.2017)

(Zit.: Welt, So viele Handys wie Menschen (online))

- Wedde, Peter (Hrsg.): Handbuch Datenschutz und Mitbestimmung, Frankfurt am Main 2006

(Zit.: Wedde/Bearbeiter, Handbuch Datenschutz und Mitbestimmung)

- Wybitul, Tim: Deutscher Alleingang beim Datenschutz?, LTO (Legal Tribune Online) (online) vom 05.12.2016 abrufbar unter: http://www.lto.de/recht/hintergruende/h/dsgvo-bundesdatenschutzgesetz-entwurf-innenministerium-risiko/ (Stand: 09.01.2017)

(Zit.: Wybitul, LTO: Deutscher Alleingang beim Datenschutz? (online))

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

A. Der Weg zu mehr „Cybersicherheit“ in Deutschland

Das Thema „Datensicherheit“ gewann nicht erst seit dem National Security Agency (NSA) - Skandal um Edward Snowden an überragender, politischer, wirtschaftlicher und gesellschaftlicher Bedeutung.[1] In unserem Zeitalter ist eine ubiquitäre Vernetzung zum Standard geworden und die Informationstechnik (fortan: IT) hat durch ihren exponentiellen Wachstum an Datenvolumen stark an Bedeutung gewonnen. Die großen Fortschritte in der Mikroelektronik und der Ausbau von leistungsfähigen Telekommunikationsnetzen ermöglicht die breite Nutzung von Informations- und Kommunikationsdiensten in Wirtschaft und Gesellschaft.[2] Mittlerweile gibt es weltweit etwa 7,3 Milliarden Mobilfunkanschlüsse.[3] Personenbezogene Daten sind ein bedeutender Wirtschaftsfaktor geworden, welcher sich durch den Jahresumsatz von Alphabet / Google, der sich im Jahr 2015 auf rund 75 Milliarden Dollar belief, oder den Social Media Netzwerkanbieter Facebook[4] mit einem Jahresumsatz von rund 17,9 Milliarden Dollar brutto, belegen lässt.[5] Wirtschaftlicher Wachstum soll mitunter durch den elektronischen Geschäftsverkehr stattfinden (E-commerce).[6] Außerdem gewinnt das E-Government für Verwaltungsvorgänge an Bedeutung.[7] Jedoch bringen diese Anwendungsmöglichkeiten viele Gefahren mit sich. Die Missbrauchsmöglichkeit der stetig voranschreitenden Digitalisierung im wirtschaftlichen sowie privaten Bereich ist omnipräsent. Der Datenschutz ist durch Cyberattacken massiv bedroht. Im Jahr 2015 wurde sogar ein Hackerangriff auf den Bundestag[8] verübt sowie in jüngster Vergangenheit mehr als eine Milliarden Yahoo-Konten gehackt[9]. Zu Hackerangriffen auf das Hinweisportal des Bundeskriminalamts (fortan: BKA) kam es jüngst beim Anschlag auf den Berliner Weihnachtsmarkt.[10] Daher wird auch schon von den „Cyberwaffen“ als Mittel zum Zweck der neuen Kriegsführung gesprochen.[11] „Cyberkriminalität“ und „Cyberterrorismus“[12] sind zum Problem der Neuzeit geworden.[13] Diese Cyberangriffe können ganze Stromnetze lahmlegen[14], die Kontrolle über das Verkehrssicherheitsnetz übernehmen oder in die IT-Systeme diverser Großunternehmen eindringen.[15] Zuletzt führt dies zu Milliardenverluste für die Unternehmen durch digitale Wirtschaftsspionage, Sabotage und Datendiebstahl.[16] Das vom Bundesverfassungsgericht entwickelte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – kurz: IT-Grundrecht[17] – gilt es zu schützen.[18] Dieser latenten Gefahr war sich auch der Bundestag bewusst und reagierte mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (fortan: IT-SiG), welches am 25.07.2015 in Kraft getreten ist[19].[20] Ziel ist es durch das Gesetz eine Erhöhung technischer materieller Standards zu bewirken und durch einen erweiterten Informationsaustausch über IT-Angriffe die Cybersicherheit in Deutschland zu verbessern.[21]

Diese Arbeit soll eine umfassende Analyse und Bewertung des IT-SiG bieten und letztlich das Gesetz in Zusammenhang mit der Datenschutzgrundverordnung (EU) 2016/679 (fortan: DS-GVO) bringen.

I. Historischer Kontext und die Natur des Gesetzes

Nach einem mehr als zweijährigen intensiven Diskussionsprozess, nahm der Bundestag am 12.06.2015 das IT-SiG an.[22] Die spezifischen Gefahren, die aus der immer stärkeren Durchdringung der gesellschaftlichen Prozesse mit IT resultieren, wurden lange nicht gesetzlich adressiert.[23] Schon im Februar 2011 beschloss die Bundesregierung die Notwendigkeit einer Cybersicherheitsstrategie.[24] Bereits in der 17. Legislaturperiode wurde daher versucht ein solches Gesetz vorzulegen, welches jedoch vielfach kritisiert wurde.[25] Der Entwurf scheiterte u.a. wegen des Widerstands der Wirtschaft.[26] Als Artikel- bzw. Mantelgesetz kann es mit einem einzigen Rechtsakt verschiedene Gesetze ändern, aufheben oder neu schaffen, die im Zusammenhang mit der IT-Sicherheit stehen.[27] Dennoch ist die IT-Sicherheit nicht abschließend kodifiziert und setzt sich aus zahlreichen Einzelvorschriften zusammen, die jeweils aus ihren Infrastrukturbereichen variieren.[28] Eine Ergänzung des Gesetzes durch den Bundestag sieht eine Evaluierung nach vier Jahren vor.[29]

II. Anwendungsbereich

1. Allgemeiner Anwendungsbereich

Der persönliche Anwendungsbereich der in den §§ 8a und 8b des Gesetzes (fortan: BSIG) über das Bundesamt für Sicherheit in der Informationstechnik (fortan: BSI) enthaltenen Pflichten wird in § 8c BSIG geregelt. Gemäß § 8c Abs. 1 BSIG und auch i.S.d. Empfehlung 2003/361/EC der Kommission sind die Pflichten nicht auf Kleinst- sowie kleineren und mittleren Unternehmen anzuwenden. Darunter fallen Unternehmen mit weniger als 10 Beschäftigten, deren Jahresbilanzen € 2 Mio. nicht überschreiten.[30] In § 8c Abs. 2 BSIG werden Ausnahmen vom Anwendungsbereich des § 8a BSIG gemacht. Weitere Ausnahmen vom Anwendungsbereich des § 8b Abs. 3 bis 5 BSIG werden von § 8c Abs. 3 BSIG vorgesehen, damit Doppelregulierungen in den bereits spezialgesetzlich geregelten Sektoren vermieden werden.[31] Daher sind u.a. Betreiber öffentlicher Telekommunikations-Netze (fortan: TK-), die Anbieter öffentlich zugänglicher TK-Dienste, Betreiber von Energieversorgungsnetzen der Energieanlagen wie auch Genehmigungsinhaber nach dem Atomgesetz (fortan: AtG) von diesen Pflichten ausgenommen.[32]

2. Adressatenkreis – Im Hauptfokus: Betreiber KRITIS

Heutzutage ist in modernen Produktionssystemen ebenso wie in der gesamten Energieversorgung, die Arbeit ohne Computertechnologien und digitalen Infrastrukturen nicht mehr weg zu denken.[33] Ein Eingriff oder Ausfall könnte eine Beeinträchtigung mit Versorgungsengpässen bei Lebensmitteln, der Energie und des Wassers mit sich bringen oder zu erhebliche Störungen der Sicherheit führen.[34] Daher sind im Hauptfokus[35] die Adressaten des IT-SiG jene KRITIS. Das Problem vor dem IT-SiG war, dass die KRITIS-Betreiber von einer ausreichenden Sicherung ihrer Anlagen ausgingen, die jedoch auf der Unkenntnis der technisch möglichen Angriffe beruhte.[36] Letztlich führte dies zu wenig Investitionen in IT-Sicherheitsanlagen und dem Verschweigen von Sicherheitsvorfällen, die bei industriellen Steuerungsanlagen auftraten, was die Veröffentlichungen von IT-Sicherheitsforschern über Angriffe auf simulierte Versorgungseinrichtungen belegten.[37] Der Begriff der KRITIS wurde vielfach diskutiert, denn es geht um einschneidende Verpflichtungen für den Adressatenkreis.[38] KRITIS werden in dem Gesetz in § 2 Abs. 10 Nr. 1 f. BSIG anhand von Kriterien für ein funktionierendes Gemeinwesen als wichtige Einrichtungen oder Anlagen den Sektoren ihrer Zugehörigkeit eingeteilt und legaldefiniert: in Energie, IT, TK, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie in das Finanz- und Versicherungswesen.[39] Zusammenfassend werden daher zunächst die Betreiber ihrer sektoralen Zugehörigkeit unterteilt und daraufhin ihrer Fehlerfolgenerheblichkeit zugeteilt. Eine Rechtsverordnung vom Bundesministerium des Innern (BMI), in Zusammenarbeit mit den Vertretern der Wirtschaft, betroffenen Betreibern und Wirtschaftsverbänden, soll auf Grundlage von § 10 Abs. 1 BSIG eine Konkretisierung jener Infrastrukturen vornehmen.[40] In der Begründung wird dies mit dem technischen und gesellschaftlichen Wandel begründet und der damit einhergehenden Notwendigkeit schnell auf erste Erfahrungen mit der Bestimmung reagieren zu können.[41]

a) BSI Verordnung für Kritische Infrastrukturen: Teil 1

Der erste Teil der KRITIS Verordnung (fortan: KritisV) und damit die Bestimmung jenes persönlichen Anwendungsbereichs zur Umsetzung des IT-SiG ist schon am 3. Mai 2016 in Kraft getreten und die in der Verordnung spezifizierten Unternehmen aus den wichtigsten Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung können sich fortan registrieren.[42] Seit November 2016 müssen die betroffenen Branchen bereits im Vorgriff auf den Stichtag ihre Pflichten erfüllen.[43] Das IT-SiG entfaltet daher bereits jetzt schon seine Wirkung. Branchenspezifische Arbeitskreise unter dem UP KRITIS wurden ebenfalls gebildet - mit nun mehr fast 380 Organisationen.[44] Betreiber der KRITIS sollen durch die Verordnung in der Lage sein, anhand messbarer und nachvollziehbarer Kriterien den Schwellenwert zu bestimmen und dadurch feststellen, ob sie in den Anwendungsbereich des IT-SiG fallen.[45] Die Betreiber sollen durch eine dreistufige Methodik herausfinden, ob sie aus gesamtwirtschaftlicher Sicht einen bedeutenden Versorgungsgrad aufweisen.[46] Zunächst ist zu ermitteln, welche Dienstleistung als kritisch anzusehen ist.[47] Daraufhin werden die Kategorien von Anlagen definiert[48], die erforderlich sind, um die Dienstleistung zu erbringen.[49] Zum Schluss werden durch die Verordnung für diesen Anlagetyp noch qualitative Schwellenwerte festgelegt[50] ab denen eine Anlage als hinreichend bedeutend für die Allgemeinversorgung zu qualifizieren ist.[51] Als Kriterium der Einteilung dient daher die Festlegung der Dienstleistung als Qualitätsmerkmal und ihres bedeutenden Versorgungsgrades als Quantitätsmerkmal für die Branche in Form von Schwellenwerten.[52] Die Schwellenwerte werden in den meisten Sektoren auf die Größenordnung von ca. 500.000 versorgten Personen zurückgeführt und sind aus den Anlagen der BSI-KritisV zu entnehmen– mit Ausnahme des Telekommunikationssektors, der auf lediglich 100.000 Teilnehmer abstellt gemäß § 1 Post- und Telekommunikationssicherheitsgesetz (PTSG).[53] Unterhalb der Werte kann auf die Notfallkapazitäten der Technischen Hilfswerke und der Bundeswehr zurückgegriffen werden.[54] Nach dem ersten Teil der BSI KritisV lassen sich etwa 730 Infrastrukturen erfassen.[55]

b) BSI Verordnung für Kritische Infrastrukturen: Teil 2

Der zweite Teil der Verordnung für die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit wird erst im Frühjahr 2017 erwartet.[56] Das Funktionieren der KRITIS ist für das Gemeinwesen von zentraler Bedeutung, daher gelten für sie durch das IT-SiG besondere Pflichten, da ihre Folgenerheblichkeit immens ist.[57]

3. Sonstige Adressaten

Das zuvor erläuterte Verfahren gilt für alle in § 2 Abs. 10 BSIG aufgezählten Sektoren einschließlich der KRITIS in den Sektoren Energie, Informationstechnik sowie Telekommunikation.[58] Auch wenn diese gemäß § 8c Abs. 2 und 3 BSIG im genannten Umfang des Anwendungsbereichs des BSIG ausgenommen sind.[59] Weitere Anwendung finden auf diese Betreiber auch §§ 3 Abs. 3, 8b Abs. 1 und 2 sowie 8d Abs. 1 BSIG.[60]

III. Genauere Betrachtung der Neuregelungen und wie wird das Ziel der Cybersicherheit damit erreicht?

1. Anforderungen an die Sicherheit der KRITIS-Betreiber

Hauptsächlich betreffen die Änderungen das BSIG.[61] Unter anderem wird in dem IT-SiG geregelt, dass die Betreiber KRITIS ein Mindestniveau an IT-Sicherheit einhalten (§ 8a BSIG) sowie IT-Sicherheitsvorfälle dem BSI melden müssen (§ 8b BSIG).[62] Der Schutz der KRITIS in ihrer Gesamtheit wird durch § 8a BSIG nicht geregelt, sondern nur die für ihre Funktionsfähigkeit maßgeblichen informationstechnischen Systeme.[63] Die Mindeststandards sollten mindestens zwei Jahre nach dem Inkrafttreten durch die Betreiber der KRITIS implementiert werden vgl. Art. 8a Abs. 1 Satz 1 BSIG.[64] Jene umfassen angemessene organisatorische und technische Maßnahmen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT.[65] Bei den Absicherungsmaßnahmen soll der „Stand der Technik“ eingehalten werden, welcher Rechtsbegriff jedoch bewusst keine Legaldefinition erhielt und als Soll-Vorschrift ausgestaltet wurde, um eine Flexibilität auf den dynamischen Regelungsbereich zu erhalten und in begründeten Ausnahmefällen eine Abweichung der Standards aus reiner IT-Sicherheitssicht zu ermöglichen.[66] Gemäß § 8a Abs. 2 BSIG können diese Standards von den Betreibern selbst und ihren Branchenverbänden erarbeitet werden.[67] Die Ausarbeitung sowie Einhaltung ist jedoch nicht verpflichtend.[68] Eine Anerkennung der Standards durch das BSI bringt aber den Vorteil, dass dadurch ein Nachweis geschaffen wird, der die Einhaltung jener Standard zertifiziert.[69] Mindestens alle zwei Jahre ist die Gewährleistung der Standards durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen gemäß § 8a Abs. 3 BSIG.[70]

2. Meldung und Auswertung von Sicherheitsverletzungen

Die Unternehmen haben sechs Monate nach Inkrafttreten eine Kontaktstelle zur Meldung von IT-Sicherheitsvorfällen zu benennen gemäß Art. 8b Abs. 3 Satz 1 BSIG.[71] Letztlich soll die Meldepflicht für Sicherheitsvorfälle dem BSI ermöglichen, als zentrale Stelle für Sicherheit in der IT gemäß § 8b BSIG, sich ein kontinuierliches Bild über die Sicherheitslage zu fertigen und darüber hinaus andere Unternehmen und relevante Behörden vor Sicherheitslücken, Schadprogrammen oder bevorstehenden bzw. erfolgten Angriffen auf die IT-Sicherheit zu warnen.[72] Die Meldepflicht trägt zu einer gewissen nationalen Sicherheit bei. Für die Betreiber hat dies auch noch einen weiteren Vorteil, denn sie erhalten vom BSI die Auswertung der Information und ein bestimmtes Mehrwissen zurück.[73] Die Ergebnisse der BSI-Untersuchungen und der daraus resultierenden, verwendeten und erhobenen personenbezogenen Daten dürfen für andere Zwecke nicht verwendet werden.[74] Die namentliche Nennung des Betreibers nach § 8b Abs. 4 Nr. 2 BSIG ist nicht erforderlich und erfolgt unter einer Pseudonymisierung, sofern die Störung nicht zu einem Ausfall oder einer Beeinträchtigung der KRITIS führte.[75] Selbst bei der Meldung von lediglich Beeinträchtigungen sind Informationen zu technischen Rahmenbedingungen, eingesetzter bzw. betroffener Technik und zur Branche des Betreibers sowie zur vermuteten oder tatsächlichen Ursache erforderlich.[76] Sollte es zur letzten Situation, der erheblichen Beeinträchtigung oder gar einem Komplettausfall kommen, muss der Betreiber namentlich genannt werden nach § 8b Abs. 4 Satz 3.[77] Der Begriff der Störung ist dabei wie in § 100 Abs. 1 TKG funktional zu verstehen.[78] Eine erhebliche Störung nach § 8b Abs. 4 BSIG liegt vor, „wenn sie nicht automatisiert oder mit wenig Aufwand abgewehrt werden kann“.[79] Die Übermittlung der Kontrollergebnisse und die Bestimmung der Mängel kann auch durch das BSI verlangt werden.[80]

3. Möglichkeiten der Sanktionierung

Bei Nichteinhaltung dieser in §§ 8a und 8b BSIG geregelten Pflichten kann ein Bußgeld von bis zu € 100.000,- drohen.[81] Die in § 14 BSIG geregelten Bußgeldvorschriften wurden nachträglich erweitert.[82] Ein Verstoß des Betreibers einer KRITIS gegen die Meldepflicht erheblicher Störungen (§ 8a Abs. 4 BSIG) ist nur dann bußgeldpflichtig gemäß § 149 Nr. 21a TKG, wenn die Störung zu einem tatsächlichen Ausfall oder einer Beeinträchtigung der Funktionstauglichkeit führt.[83] Eine zivilrechtliche, auf einen Schadensersatzanspruch gerichtete, Haftung zwischen KRITIS Betreibern und Bürger scheint nicht bezweckt.[84] Hingegen lässt sich die Meldepflicht aus § 8b Abs. 4 BSIG hinsichtlich der KRITIS Betreiber untereinander als deliktisches Schutzgesetz qualifizieren.[85] Die Annahme einer Drittwirkung der Einhaltung von Mindestanforderungen i.S.d. § 8a Abs. 1 Satz 1 BSIG ist ebenfalls nicht ausgeschlossen.[86]

4. Die Anordnungsbefugnis des BSI

Nicht zuletzt können auch die Hersteller der IT-Systeme - demnach der Hard- und Softwareprodukten - zur Mitwirkung an der Beseitigung oder Vermeidung der Störung verpflichtet werden durch die Anordnungsbefugnisse des BSI gemäß § 8b Abs. 6 BSIG.[87] Damit wird die in der Praxis meist fehlende Mitwirkung der Hersteller bezüglich informationstechnischer Produkte und Systeme bei der kurzfristigen Behebung von Sicherheitslücken bekämpft.[88] In Zukunft wird somit etwa die Bereitstellung erforderlicher Sicherheitsupdates eingefordert werden können.

5. Weitere Änderungen

Auch Befugnisse des BSI bei der IT-Sicherheit in der Bundesverwaltung wie auch Produktuntersuchungen in § 7a BSIG werden erweitert. Das Bundesamt hat gegenüber dem BMI eine Berichtserstattungspflicht gemäß § 13 BSIG. Damit soll ein kontinuierliches Lagebild über die Sicherheit erstellt werden und es ist die Unterrichtung der betroffenen Betreiber und zuständigen Behörden vorgesehen (§ 8b Abs. 2 Nr. 3 und 4 BSIG) sowie der Öffentlichkeit.[89] Die Auskunftserteilung an Dritte kann ebenfalls unter den in § 8d Abs. 1 BSIG aufgezählten Anforderungen erfolgen.[90] Der BSI Präsident wird in Art. 6 IT-SiG zudem in eine Besoldungsgruppe höher - in B7 - eingestuft.

a) Änderungen im TKG

Nach dem Telekommunikationsgesetz (fortan: TKG) gemäß §§ 109 Abs. 5, 109a Abs. 1 TKG erfolgt die Meldung einer Beeinträchtigung der IT-Systeme an die Bundesnetzagentur (fortan: BNetzA), die es daraufhin an das BSI weiterleitet und gegebenenfalls auf technische Abwehrmaßnahmen hinweist.[91] TK-Unternehmen sind nun zudem verpflichtet ihre Nutzer zu warnen, wenn ihr Anschluss durch IT-Angriffe missbraucht wird.[92] Auf Grund der Ergänzung in § 100 Abs. 1 TKG darf der Dienstanbieter zur Erkennung, Eingrenzung und Beseitigung von Störungen Bestands- und Verkehrsdaten erheben und verwenden, wenn die Verwendung von Informations- und Kommunikationsdiensten eingeschränkt wird durch eine Störung oder widerrechtlich auf TK- und Datenverarbeitungssysteme der Nutzer zugegriffen werden kann.[93]

b) Änderungen im TMG

Für Telemedienanbieter gelten seit Inkrafttreten des IT-SiG erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutze der von ihnen genutzten IT-Systemen und der dort gespeicherten Nutzerdaten gemäß § 13 Abs. 7 Telemediengesetz (fortan: TMG).[94] Sie haben „Hackerangriffe“ auf ihre technischen Einrichtungen zu verhindern und sie gegen solche Angriffe zu schützen, sofern es ihnen für ihre geschäftsmäßig angebotenen Telemedien technisch und organisatorisch bzw. wirtschaftlich zumutbar ist solche Vorkehrungen zu treffen.[95] Nach der Gesetzesbegründung ist ein Angebot geschäftsmäßig, wenn es auf einer nachhaltigen Tätigkeit beruht und es sich daher um eine planmäßige und dauerhafte Tätigkeit handelt, was bei Entgeltlichen Diensten regelmäßig der Fall ist.[96] § 15 Abs. 1 TMG schafft eine datenschutzrechtliche Grundlage zur Erhebung und Verwendung von Nutzungsdaten im Wege einer Störungsbekämpfung.[97]

c) Änderungen für das BKA

Der Aufgabenbereich vom BKA wurde ebenfalls erweitert, denn nun sind sie auch zuständig für polizeiliche Ermittlungen, die im Zusammenhang mit der Ausspähung oder dem Abfangen von Daten, Computerbetrug und Computersabotage stehen (vgl. §§ 202a, 202b, 202c, 263a und 303b StGB) gemäß § 4 BKAG.[98]

d) Weitere Änderungen

Auch in den Bereichen des AtG und Energiewirtschaftsgesetz (fortan: EnWG) setzt sich das BSI als die Aufsichtsbehörde durch, denn die Meldung erfolgt erst an sie und danach an die zuständigen Behörden (§ 44b AtG, § 11 Abs. 1 c EnWG).[99] Eine an § 8b BSIG orientierte Pflicht zur unverzüglichen Meldung von lediglich „Beeinträchtigungen“ auf Grund des überhöhten Gefahrenpotenzials des Umgangs mit Kernenergie, sieht § 44b AtG für die Genehmigungsinhaber von Tätigkeiten i.S.d. §§ 6, 7 und 9 AtG.[100] Die Beeinträchtigungen müssen zur Gefährdung oder Störung der nuklearen Sicherheit der Anlage oder Tätigkeit führen oder geführt haben.[101] Netzbetreiber haben ein etwaiges Sicherheitsniveau einzuhalten, das den sicheren Netzbetrieb gewährleistet.[102] Die Anforderungen richten sich nach den Mindeststandards des im August 2015 veröffentlichten Sicherheitskatalogs[103] gemäß § 11 Abs. 1a Satz 4 EnWG.[104] Die Einhaltung dessen hat die BNetzA regelmäßig zu überprüfen nach § 11 Abs. 1a Satz 3 EnWG.[105] Für Betreiber von Energieanlagen, die unter einen Schwellenwert der Stromerzeugungsanlagen bei einer installierten Leistung von 420 MV laut KritisV fallen, werden vergleichsbare Anforderungen gestellt nach § 11 Abs. 1b EnWG und ebenfalls eine Meldepflicht gemäß § 11Abs. 1c EnWG eingeführt.[106] Jedoch bleiben Verstöße gegen die Pflichten ohne Möglichkeit der Sanktionierung.[107]

IV. Zwischenbewertung: Ist das Ziel der Cybersicherheit nun in Deutschland erreicht?

Die weiter ansteigende Professionalisierung der Angreifer und ihrer Angriffsmethoden mit z.T. folgender „Lösegelderpressung“ zwingen zu einer Verbesserung der Sicherheitslage.[108] Die Angriffe betreffen sowohl Private als auch Unternehmen, den Staat und die Verwaltung und können zu einer langfristigen Gefahr für die freiheitliche Gesellschaft und unserer Demokratie führen.[109] Die digitalisierte Welt ermöglicht viele Chancen von ihr profitieren zu können, aber birgt auch ebenso viele Risiken. Das IT-SiG ist ein erster richtiger Schritt zur Erreichung von angemessener IT-Sicherheit. Mit dem Gesetz wird die Resilienz der zu Grunde liegenden digitalen Infrastrukturen in Deutschland in einem kooperativen Ansatz der Zusammenarbeit zwischen Behörden und der Wirtschaft verbessert und es wird sich dem Ziel, die IT-Sicherheit Deutschlands zu der sichersten der Welt zu machen, genähert.[110] Jedoch sind wir an diesem Ziel noch nicht angekommen. Mit der Verlagerung auf die Verordnungsebene wurde der Komplexität und der Notwendigkeit zahlreicher Beteiligungen bei der schnellen Reaktion auf eine neue Bedrohungslage durch den Gesetzgeber Rechnung getragen.[111] Der allgemeine Rechtsrahmen wird durch das IT-SiG nur ergänzt, nicht aber ersetzt.[112] Eine vollständige IT-Sicherheit wird nicht zu erreichen sein und es muss zusätzlich immer abgewogen werden, welcher Preis dafür gezahlt werden muss.[113] Es wird durch das Gesetz auch massiv in die Organisationshoheit der betroffenen Unternehmen durch die Meldepflichten eingegriffen, sie ist kostenträchtig – besonders für mittlere Unternehmen - und verschafft den Unternehmen einen zusätzlichen immensen Bürokratieaufwand.[114] Die Umsetzung bedarf eines erheblichen Vorlaufs für die betroffenen Infrastrukturen und einer sorgfältigen internen Vorbereitung.[115] Imageschäden und der Verlust von Kundenvertrauen könnten den Unternehmen durch die Weitergabe der Informationen an Dritte bei erheblichen Beeinträchtigungen bzw. einem Ausfall drohen.[116] Daher ist den Unternehmen sehr daran gelegen dies nicht publik werden zu lassen.[117] Aber auch schon bei bloßen Mängeln ist die Anonymität nicht sicher gegeben.[118] Die Abwägung für die Unternehmen, ob nun eine Meldepflicht besteht oder nicht und ob eine solche anonym erfolgen kann, ist für Unternehmen schlecht einzuschätzen.[119] Dies ist der vagen und wenig konkreten Festlegung der Voraussetzung der Meldepflicht geschuldet – besonders bei Grenzfällen, was zu überhäuften Meldevorfällen führen kann.[120] Bei den betroffenen Infrastrukturen wird sich u.a. zuerst auf die wichtigen KRITIS beschränkt, was auf Grund der durch eine Störung entstehenden Schädigung möglicherweise in Kauf zu nehmen ist. Für Atombetreiber, Netzbetreiber und Anlagenbetreiber gelten strengere Bestimmungen, denn sie greifen schon bei einer „Beeinträchtigung“, die allerdings nicht sanktioniert werden können. Dem drohenden Gefahrenpotenzial wird dabei die richtige Wertung beigemessen. Das IT-SiG bedarf sicherlich noch weiterer Konkretisierung um der Lebenswirklichkeit der Unternehmen gerecht zu werden.[121] In der BSI- KritisV im ersten Teil wurden die wichtigsten KRITIS schon konkretisiert, was mithin zu mehr Rechtssicherheit führt. Zu warten ist jedoch noch auf den zweiten Teil der Verordnung. Die Konzeption der Verordnung rufen bei manchen jedoch auch verfassungsrechtliche Bedenken hervor, die aus dem Bestimmheitsgrundsatz aus Art. 80 Abs. 1 Satz 2 GG resultieren.[122] Es gibt nach wie vor auch weitere Unsicherheiten bzw. Konturierungsbedarf wie z.B. der Interpretationsspielraum, ob eine IT-Sicherheitsmaße angemessen, der Begriff der Versorgungsengpässe[123] oder wann eine Störung als erheblich einzustufen sei.[124] Außerdem kann die Meldepflicht den Unternehmen nur helfen, wenn das BSI die Meldung nicht nur entgegennimmt, sondern auch auswertet und den KRITIS-Betreibern zügig Informationen und Unterstützung bietet.[125] Dafür sind neue Stellen und Sachmittel für den BSI wichtig, um fachliche und personelle Kompetenz zu bieten.[126] Durch die vom Bundestag angestrebte Evaluierung nach vier Jahren, kann dieses Ziel erreicht und Sicherheitslücken können weiterhin geschlossen werden.

B. Harmonisierung durch die europäischen Datenschutzgrundverordnung (DS-GVO)

I. Die DS-GVO und IT-Sicherheit

Ab dem 25. Mai 2018 wird die vielfach kritisierte[127] DS-GVO in den noch 28 Mitgliedsstaaten der Europäischen Union (EU) als EU-Verordnung unmittelbar als geltendes Recht wirken.[128] Demzufolge werden nationale Regelungen zum Datenschutz ab der Geltendmachung weitestgehend durch den Anwendungsvorrang der DS-GVO verdrängt.[129] Bei sogenannten Öffnungsklauseln sind die Gesetzgeber ermächtigt die Regelungen der Verordnung zu konkretisieren und zu präzisieren.[130] Mit ihrer allgemeinen Geltung (Art. 288 Abs. 2 S. 1 AEUV) hat der europäische Gesetzgeber zum weitreichendsten Mittel der Harmonisierung gegriffen, da nicht zuletzt auch Datenschützer zuvor die Gefahren der neuen Technologien betonten.[131] Historisch basiert die DS-GVO auf der Datenschutzrichtlinie 95/46/EG, die im Wesentlichen durch das Bundesdatenschutzgesetz (BDSG) beeinflusst wurde und nun durch die DS-GVO aufgehoben wird.[132] Die weitgehend vollharmonisierende Richtlinie konnte einfach nicht die nötige Einheit herstellen, um im grenzüberschreitenden digitalen Raum den Grundrechtsschutz und die Binnenmarktvereinheitlichung voranzutreiben.[133] Die Unionsverordnung hat jedoch keinen Geltungsvorrang und kann daher deutsche Gesetze nicht verändern oder außer Kraft setzen.[134] Ihr kommt nur ein Anwendungsvorrang im Falle eines Widerspruchs zu, der im Einzelfall mit nationalen Regelungen überprüft werden muss.[135]

Allgemein bezieht sich nach Art. 2 Abs. 1 DSGVO der sachliche Anwendungsbereich auf die ganz oder teilweise automatisierte Verarbeitung (vgl. Art. 4 Abs. 2 DS-GVO) personenbezogener Daten (vgl. Art. 4 Abs. 1 DS-GVO) sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder werden sollen.[136] Ausnahmen werden in Art. 2 Abs. 2 getroffen.[137] In den räumlichen Anwendungsbereich fällt jeder, der von einer Niederlassung in der EU agiert.[138] Durch die DS-GVO wurden auch Bestimmungen zur Datensicherheit überarbeitet und die Pflicht geeignete, technische und organisatorische Maßnahmen zu ergreifen, normiert, was letztlich zu Neuerungen bei der Sicherheit der Verarbeitung von Daten bei Unternehmen und Verantwortlichen führt.[139] In § 32 DS-GVO sind Anhaltspunkte zur Umsetzung eines angemessenen Schutzniveaus durch technisch organisatorische Maßnahme enthalten, die eine Berücksichtigung vom Stand der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung fordern sowie es einer Abwägung der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen bedarf.[140] Eine detaillierte Aufzählung von Maßnahmen findet sich in § 58 Abs. 3 des Referentenentwurfs für das deutsche Ausführungsgesetz zur DS-GVO.[141] Neu ist zudem, dass die Maßnahmen dem Stand der Technik entsprechen sollen und die Berücksichtigung des Risikos sowie dessen Eintrittswahrscheinlichkeit gewahrt werden muss.[142] Allerdings wird der Stand der Technik in der DS-GVO nicht definiert, wobei von der Erhebung technischer Maßnahmen ausgegangen werden kann, die zur Verfügung stehen und sich in der Praxis bereits bewährten.[143] Das angemessene Schutzniveau wird anhand einer Schutzbedarfsfeststellung der unterschiedlichen personenbezogenen Daten gewährleistet.[144] Die vorgeschriebene Risikobewertung in Art. 32 Abs. 1 DS-GVO wird durch eine Risikoinventur vorgenommen, die alle möglichen Bedrohungen und Schwachstellen mit ihrer Eintrittswahrscheinlichkeit und jener potenziellen Schwere für Rechte und Freiheiten natürlicher Personen herausstellt.[145] Die DS-GVO enthält auch konkretisierte Maßnahmen in Art. 32 Abs. 1 lit. a DS-GVO. Es sollen möglichst die Maßnahmen der Pseudonymisierung und Verschlüsselung bei der Verarbeitung von Daten verwendet werde.[146] Die Anonymisierung bleibt damit unerwähnt, obwohl sie ebenso geeignet wäre, den Grundsatz der Datenminimierung adäquat umzusetzen.[147] Die Schutzziele zur Verarbeitung von Daten sind in Art. 32 Abs. 1 lit. b DS-GVO verankert und beinhalten die Integrität, Vertraulichkeit, Verfügbarkeit und als letztes Ziel die Belastbarkeit bzw. Widerstandsfähigkeit der Systeme.[148] Neben einem Notfallmanagement inklusive Notfallplänen oder entsprechenden Leitfäden, wird auch die regelmäßige Testung der raschen Wiederherstellung der Daten verlangt nach Art. 32 Abs. 1 lit. c DS-GVO.[149] Art 32 Abs. 1 Satz 1 lit. d verpflichtet zudem die Unternehmen zur regelmäßigen Wirksamkeitstestung und Evaluierung der umgesetzten technischen und organisatorischen Maßnahmen durch z.B. die Einrichtung eines Qualitätsmanagements und Penetrationstests.[150] Die erstmalige Normierung der Vorgaben in Art. 25 Abs. 1 und 2 DS-GVO, an technische und organisatorische Maßnahmen, adressieren nicht nur die verantwortlichen Unternehmer, sondern auch die Entwickler von IT-Systemen und Produkten.[151] Als erstes soll bei data protection by design (Datenschutz durch Technik) bereits schon bei der Planung und Entwicklung von IT-Systemen, Datenschutz und Datensicherheit mit berücksichtigt werden, um teure und zeitaufwendige Zusatzprogramme zu ersparen.[152] Als zweites soll eine datenschutzfreundliche Voreinstellung und Parametrisierung von IT-Systemen bei data protection by default (datenschutzfreundliche Einstellungen) stattfinden.[153] So werden nur für die Zweckverfolgung erforderliche personenbezogene Daten verarbeitet und der Nutzer schließlich geschützt. Zudem ist noch die Einbindung eines Datenschutzbeauftragten in Art. 38 Abs. 1 DS-GVO und dessen Benennung (Art. 37 Abs. 1 DS-GVO) zu beachten[154], die Vornahme einer Folgenabschätzung des Risikos bei der Verarbeitung der Daten nach Art. 35 Abs. 1 Satz 1 DS-GVO vorzunehmen und wenn sich in Folge dessen ein hohes Risiko herausstellt, muss zuvor auch die Aufsichtsbehörde konsultiert werden nach Art. 36 Abs. 1 DS-GVO.[155] Diese Datenschutz-Folgenabschätzung basiert u.a. auf der Eintrittswahrscheinlichkeit und der Schwere des Risikos für die persönlichen Rechte und Freiheiten.[156] Sie ist insbesondere beim Profiling-Verfahren, bei der Verarbeitung besonderer personenbezogener Daten, bei Daten über strafrechtliche Verurteilungen und Straftaten oder bei weiträumigen Überwachungen öffentlicher Bereiche durchzuführen.[157] Allgemein besteht für den Verantwortlichen auch eine Nachweispflicht der Gewährleistung der Datensicherheit nach Art. 5 Abs. 2 DS-GVO, der auch durch Zertifizierung nachgekommen werden kann.[158] Wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt, muss innerhalb von 72 Stunden die Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO informiert werden.[159] Was unter einer solchen Verletzung des Schutzes personenbezogener Daten zu verstehen ist, erklärt Art. 4 Abs. 9 DS-GVO. Die Informationen, die in einer Meldung an die Aufsichtsbehörde enthalten sein müssen, sind in Art. 33 Abs. 3 DS-GVO geregelt. Es müssen zum einen die Art der Verletzung des Schutzes personenbezogener Daten beschrieben werden und zum anderen auch die Folgen und die Maßnahmen zur Wiederherstellung des Schutzes personenbezogener Daten.[160] Im Zweifel erfolgt dies schrittweise und sollte es nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der Betroffenen kommen, entfällt die Meldepflicht.[161] Diese obliegt der Einzelfallentscheidung des Unternehmens.[162] Unter Berücksichtigung des Ausnahmekatalogs in Art. 34 Abs. 3 DS-GVO (wonach immer noch die Meldung an die Aufsichtsbehörde erfolgen muss) müssen auch betroffene Personen über die Verletzung des Schutzes ihrer personenbezogenen Daten informiert werden. Bei einem unverhältnismäßigen Aufwand kann eine öffentliche Bekanntmachung erfolgen.[163] Eine Dokumentationspflicht beinhaltet Art. 30 DS-GVO.[164] Des Weiteren drohen in der DS-GVO drakonische Bußgelder von bis zu 10 Millionen Euro, die ans Kartellrecht angelehnt sind, wenn unzureichende und ungeeignete technische und organisatorische Maßnahmen umgesetzt werden, die Folgenabschätzung fehlt oder ausreichende Tests bzw. Dokumentationen.[165] Für größere Unternehmen können bei Verstößen sogar Bußgelder bis zu zwei Prozent des globalen Umsatzes als Strafe drohen.[166]

II. Die Rolle des IT-Sicherheitsgesetzes im Zusammenhang mit der DS-GVO und die NIS-Richtlinie

Während sich die DS-GVO allgemein auf die automatisierte und nicht automatisierte Verarbeitung personenbezogener Daten richtet, bezieht sich der persönliche Anwendungsbereich des IT-SiG vorrangig auf die KRITIS.[167] Zudem sind die Veränderungen, die sich für die IT-Sicherheit aus der DS-GVO ergeben sehr überschaubar.[168] Bei genauerer Betrachtung bringt es jedoch erhebliche Änderungen für Behörden und Unternehmen mit sich. Die Unternehmer bzw. Verantwortlichen haben auch technische und organisatorische Maßnahmen zu ergreifen, die dem Stand der Technik entsprechen[169], um die IT-Sicherheit und Datenschutz zu gewährleiten. Die Unternehmen werden jedoch nicht wie im IT-SiG spezifiziert. Auch im DS-GVO ist die Maßnahme der Pseudonymisierung zur Datenverarbeitung vorgesehen. Die Anonymisierung bleibt hingegen im Vergleich zum IT-SiG unerwähnt. Wie schon im IT-SiG werden Entwickler von Produkten und IT-Systemen adressiert. Die Normierung von data protection by design und by default ist neu. Bei Pflichtverstößen werden den Unternehmen im DS-GVO immense Bußen auferlegt. In der DS-GVO obliegt es dem Unternehmen den Einzelfall nach einer Datenschutz-Folgenabschätzung abzuwägen, was der schon bekannten Risikoabschätzung gleichkommt. Im Zweifel erfolgt nach dem DS-GVO auf Grund der hohen Bußgelder lieber mal eine Meldung zu viel als zu wenig. Die Schutzziele der Meldepflichten sind ähnlich. Die vorausgesetzte Fähigkeit zu gewährleisten, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem psychischen oder technischen Zwischenfall rasch wiederherzustellen, ist neu.[170] Das BSI wird in der DS-GVO durch die Meldung an die Aufsichtsbehörde ersetzt. Die Meldepflicht ähnelt der des IT-SiG. Der Aufsichtsrat kann auch hier in letzter Instanz an die Öffentlichkeit gehen und das Unternehmen hat eine permanente Nachweispflicht. Zuletzt muss noch die betroffene Person über eine Verletzung des Schutzes ihrer personenbezogenen Daten informiert werden. Eine regelmäßige Evaluierung wird ebenfalls vorgesehen. Die § 11 ff. TMG werden in Zukunft nicht mehr anwendbar sein und von nicht telemedienspezifischen Normen der DS-GVO verdrängt werden, da sie im entferntesten Sinne auf der abgelösten Datenschutzrichtlinie beruhten.[171] TK-Anbieter mussten bis dato Datenschutzverstöße nach der e-Privacy Richtlinie (vgl. § 109a TKG) an die BNetzA und den Bundesdatenschutzbeauftragten melden.[172] Durch die DS-GVO kommt ihnen ein zweites Rechtsinstrument zu, welches ähnliche, aber nicht gleiche Anforderungen an die Meldung von Störungen stellt.[173] Auf die TK-Anbieter kommen sonst keine weiteren Pflichten nach Art. 89 DS-GVO zu.[174]

Die DS-GVO erlaubt es nationale Bestimmungen weiterhin beizubehalten oder einzuhalten, wenn sie Vorschriften der Verordnung genauer festlegt und ihnen nicht widerspricht.[175] Daher bleibt auch das IT-SiG anwendbar. Ein kurzer Blick auf die neue europäische Richtlinie zur Netz- und Informationssicherheit (fortan: NIS-RL), die bei den KRITIS ein weitgehend kongruenten Mittel verfolgt, ist daher sehr wichtig, weil das IT-SiG an sie angeglichen werden muss.[176] Diese NIS-RL ist am 08.08.2016 in Kraft getreten und soll die Zusammenarbeit bei der Cybersicherheit durch gemeinsame Sicherheitsstandards der Mitgliedsstaaten fördern.[177] Außerdem handelt es sich bei der NIS-RL um eine Mindestharmonisierung, so dass mindestens auch die Anforderungen der NIS-RL in den Mitgliedsstaaten umzusetzen sind.[178] Die Richtlinie definiert ebenfalls Bereiche in denen „Betreiber wesentlicher Dienste“ ihre Sicherheitsstandards bezüglich der Cyber-Angriffe gewährleisten müssen.[179] Dies gilt für „kritische“ Dienste im Energie-, Gesundheits-, Verkehrs- und Bankenbereich sowie in der Trinkwasserversorgung.[180] Allerdings weicht sie insofern von dem IT-SiG ab, weil jene noch die Sektoren: Informationstechnik, Telekommunikation, Wasser und Ernährung umfasst.[181] Ebenfalls wird die Verpflichtung formuliert nationale Behörden über ernsthafte Sicherheitsvorfälle in Kenntnis zu setzen.[182] Dies betrifft auch größere digitale Dienstleiter wie z.B. Google.[183] Somit werden auch digitale Dienste: Online-Marktplätze, Suchmaschinen und Cloud-Computing Dienste mit den Maßnahmen verpflichtet.[184] Jedoch sind die Sicherheits- und Berichtspflichten für diese Anbieter weniger streng.[185] Kleinst-, kleine und mittlere Unternehmen, kurz KMU, und mit weniger als 50 Mitarbeitern sind von den Pflichten ebenfalls ausgenommen.[186] Die Meldepflichten sind weniger streng als im IT-SIG, da nur erhebliche Auswirkungen auf die Sicherheit von Kerndiensten gemeldet werden müssen.[187] Die Meldung des Betreibers ist in der NIS-RL nicht ausdrücklich statuiert.[188] Allerdings ist eine anonyme Meldung wie im IT-SiG nicht vorgesehen.[189] Außerdem werden in Art. 15 NIS-RL die zuständigen Behörden befugt, Verstöße gegen die Sicherheitsanforderungen und Meldepflichten zu untersuchen und in Art. 17 NIS-RL wird der Erlass von Vorschriften über Sanktionen und Verstößen geregelt.[190] Jedes EU-Land wird zunächst verpflichtet eine NIS-Strategie festzulegen und die Länder müssen ein Netz von Computer Notfallteams schaffen (CSIRT – Computer Security Incident Responses Team).[191] Bei der Umsetzung der Richtlinie spielt zudem die Agentur der Europäischen Union für Netz- und Informationstechnik (NISA) eine bedeutende Rolle.[192] Die Mitgliedsstaaten müssen die Bestimmungen bis zum 10.05.2018 in nationales Recht umsetzen und nach weiteren sechs Monaten die Betreiber „wesentlicher Dienste“ auskundig machen.[193]

[...]


[1] Vgl. Bräutigam/Wilmer, ZRP 2015, S. 38; dazu auch Roßnagel/Jandt/Richter, DuD 2014, S. 545 ff sowie Johannes/Roßnagel, Der Rechtsrahmen für einen Selbstschutz der Grundrechte in der Digitalen Welt, S. 1 f.

[2] Holznagel, Recht der IT-Sicherheit, S. 1 Rn. 1.

[3] Welt, So viele Handys wie Menschen (online) (Stand November 2015).

[4] Zur Macht von Social Media: Hornung/Müller, Rechtshandbuch Social Media, Rn. 1 f.

[5] Wedde/Wedde, Handbuch Datenschutz und Mitbestimmung, S. 35 Rn. 1.

[6] Holznagel, Recht der IT-Sicherheit, S. 2 Rn. 2.

[7] Holznagel, Recht der IT-Sicherheit, S. 2 Rn. 3.

[8] Rheinbold, Spiegel: Nach Hackerangriff: Bundestagfährt wieder hoch (online); weiter dazu: Ischinger, Sicherheitspolitik: Regeln für den Cyberraum, S. 13 f. und S. 15.

[9] Reinhold, Spiegel: Cyberattacke auf Yahoo (online).

[10] Focus, Nach Anschlag in Berlin – Hackerangriff auf Hinweisportal des BKA (online).

[11] Gebauer/Hammerstein/Hoffmann/Rosenbach/Schindler: Spiegel: Cyberwaffen: Was die Kriege der Zukunft entscheidet (online).

[12] Vgl. die Kriegsführung des Islamischen Staates (IS): Ischinger, Sicherheitspolitik: Regeln für den Cyberraum, S. 13 f.

[13] Bräutigam/Wilmer, ZRP 2015, S. 38.

[14] Vgl. Attacke auf ukrainisches Stromnetz im Dezember 2015 – mehr als 700.000 Haushalte ohne Strom: Ischinger, Sicherheitspolitik: Regeln für den Cyberraum, S. 15.

[15] Vgl. Sony und Microsoft Vorfall: Bräutigam/Wilmer, ZRP 2015, S. 38.

[16] 2015 führte dies zu 51 Milliarden Euro Verluste in Deutschland: vgl. Ischinger, Sicherheitspolitik: Regeln für den Cyberraum, S. 15.

[17] BVerfG, MMR 2008, S. 315 ff.

[18] Schaar, Datenschutz-Empowerment, S. 25; vgl. auch dazu Dörr/Schwartmann, Medienrecht, S.135 Rn. 342 a und Schulenberg, Presserecht, S. 229 Rn. 53; siehe dazu auch genauer: Kaul, Spiecker gen. Döhmann befasst sich mit dem zentralen Problembereich der systematischen Digitalisierung (online).

[19] Gitter/Meißner/Spauschus, ZD 2015, S. 512.

[20] Schweda, ZD-Aktuell 2015, 04737; Roos, MMR 2015, S. 636; Gitter/Meißner/Spauschus, ZD 2015, S. 512; BT-Drs. 18/4096.

[21] Gitter/Meißner/Spauschus, ZD 2015, S. 512; siehe auch die Gesetzesbegründung BT-Drs. 18/4096, S.19.

[22] Vgl. BT-Drs. 18/4096; zur intensiven Diskussion: Friedrich, MMR 2013, S. 273.

[23] Terhaag, IT-Sicherheitsgesetz: Auswirkungen, Entwicklung und Praxis, S. 5.

[24] Bräutigam/Wilmer, ZRP 2015, S. 38.

[25] Roos, ZD-Aktuell 2016, 04175; vgl. auch zur Kritik: Jensen, ZD-Aktuell 2015, 04651; Gitter/Meißner/Spauschus, ZD 2015, S. 512; Leisterer/Schneider, LSK 2014, 380907.

[26] Roos, ZD-Aktuell 2016, 04175.

[27] Terhaag, IT-Sicherheitsgesetz: Auswirkungen, Entwicklung und Praxis, S. 12.

[28] Vgl. TMG, § 13, AktG, § 91, TKG, §§ 109, 109a usw.

[29] Schweda, ZD-Aktuell 2015, 04737.

[30] Gitter/Meißner/Spauschus, ZD 2015, S. 513.

[31] Gitter/Meißner/Spauschus, ZD 2015, S. 513.

[32] Schweda, ZD-Aktuell 2015, 04737.

[33] Terhaag, IT-Sicherheitsgesetz: Auswirkungen, Entwicklung und Praxis, S. 5.

[34] Terhaag, IT-Sicherheitsgesetz: Auswirkungen, Entwicklung und Praxis, S. 5.

[35] Vgl. hierzu Schütze, ZD-Aktuell 2015, 04755.

[36] Terhaag, IT-Sicherheitsgesetz: Auswirkungen, Entwicklung und Praxis, S. 5.

[37] Terhaag, IT-Sicherheitsgesetz: Auswirkungen, Entwicklung und Praxis, S. 5; vgl. zu den unterschiedlichen Sicherheitsniveaus der Betreiber: Roos, MMR 2014, S. 723 f.

[38] Schütze, ZD-Aktuell 2015, 04755; Roos, MMR 2015, S. 637.

[39] Schweda, ZD-Aktuell 2015, 04737; Eckhard in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 33 Rn. 236.

[40] Gitter/Meißner/Spauschus, ZD 2015, S. 513; Schweda, ZD-Aktuell 2015, 04737; Roos, MMR 2015, S.637.

[41] Roos, MMR 2015, S. 637.

[42] BSI, Das IT-Sicherheitsgesetz (online).

[43] BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 62.

[44] BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 62.

[45] Neumann, Bestimmung Kritischer Infrastrukturen (online); siehe auch Buchstabe B. Lösung in der BSI-KritisV.

[46] Lucius/Jannasch, IT-Sicherheit von Kritischen Infrastrukturen (online); siehe auch Buchstabe B. Lösung in der BSI-KritisV.

[47] Vgl. auch § 1 Nr. 3 BSI-KritisV ;Lucius/Jannasch, IT-Sicherheit von Kritischen Infrastrukturen (online).

[48] Vgl. § 1 Nr. 1 BSI-KritisV.

[49] Lucius/Jannasch, IT-Sicherheit von Kritischen Infrastrukturen (online).

[50] Vgl. § 1 Nr. 5 BSI-KritisV.

[51] Lucius/Jannasch, IT-Sicherheit von Kritischen Infrastrukturen (online).

[52] Vgl. dazu auch Roos, MMR 2015, S. 637 f.; zu den einzelnen genauen Schwellenwerten: Brisch, Der Beitrag des Rechts zur IT-Sicherheit, S. 45.

[53] Lucius/Jannasch, IT-Sicherheit von Kritischen Infrastrukturen (online).

[54] Lucius/Jannasch, IT-Sicherheit von Kritischen Infrastrukturen (online).

[55] Siehe auch in BSI KritisV Punkt: E.2 Erfüllungsaufwand für die Wirtschaft.

[56] BSI, Das IT-Sicherheitsgesetz (online).

[57] Schütze, ZD-Aktuell 2015, 04755.

[58] Gitter/Meißner/Spauschus, ZD 2015, S. 513.

[59] Gitter/Meißner/Spauschus, ZD 2015, S. 513; vgl. auch Punkt 1. Allgemeiner Anwendungsbereich, S. 3.

[60] Gitter/Meißner/Spauschus, ZD 2015, S. 513.

[61] Hornung, NJW 2014, S. 3335.

[62] Urbach/Ahlemann, IT-Management im Zeitalter der Digitalisierung, S. 123.

[63] Eckard in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 33 Rn. 237.

[64] Hornung, NJW 2015, S. 3334; Schweda, ZD-Aktuell 2015, 04737.

[65] Schweda, ZD-Aktuell 2015, 04737.

[66] Eckhard in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 33 Rn. 237; Gitter/Meißner/Spauschus, ZD 2015, S. 513.

[67] Gitter/Meißner/Spauschus, ZD 2015, S. 513.

[68] Gitter/Meißner/Spauschus, ZD 2015, S. 513.

[69] Gitter/Meißner/Spauschus, ZD 2015, S. 513.

[70] Schweda, ZD-Aktuell 2015, 04737.

[71] Hornung, NJW 2015, S. 3334.

[72] Schweda, ZD-Aktuell 2015, 04737.

[73] Gitter/Meißner/Spauschus, ZD 2015, S. 514.

[74] Schweda, ZD-Aktuell 2015, 04737.

[75] Gitter/Meißner/Spauschus, ZD 2015, S. 514.

[76] Bräutigam/Wilmer, ZRP 2015, S. 40.

[77] Vgl. dazu auch Bräutigam/Wilmer, ZRP 2015, S. 39.

[78] BGH MMR 2015, 341, 343 f.

[79] Bräutigam/Wilmer, ZRP 2015, S. 40; siehe auch dazu ausführlich: Gitter/Meißner/Spauschus, ZD 2015, S. 514.

[80] Roos, MMR 2015, S. 639.

[81] Schweda, ZD-Aktuell 2015, 04737; vgl. Auch § 14 Abs. 2 BSIG.

[82] Vgl. dazu schon die oben erläuterte Kritik zum Referentenentwurf; dazu genauer: Roos, MMR 2015, S. 641.

[83] Gitter/Meißner/Spauschus, ZD 2015, S. 514.

[84] Roos, MMR 2015, S. 641.

[85] Roos, MMR 2015, S. 641.

[86] Roos, MMR 2015, S. 641.

[87] Schweda, ZD-Aktuell 2015, 04737; Gitter/Meißner/Spauschus, ZD 2015, S. 512.

[88] Gitter/Meißner/Spauschus, ZD 2015, S. 514.

[89] Vgl. dazu auch § 7 BSIG; Bräutigam/Wilmer, ZRP 2015, S. 41.

[90] Bräutigam/Wilmer, ZRP 2015, S. 41.

[91] Bräutigam/Wilmer, ZRP 2015, S. 39; Schweda, ZD-Aktuell 2015, 04737.

[92] Gitter/Meißner/Spauschus, ZD 2015, S. 512.

[93] Schweda, ZD-Aktuell 2015, 04737; genauer dazu auch Eckhard in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 33 Rn. 240.

[94] Gitter/Meißner/Spauschus, ZD 2015, S. 512.

[95] Schweda, ZD-Aktuell 2015, 04737.

[96] Siehe auch genauer: Schütze, ZD-Aktuell 2015, 04755.

[97] Eckhard in Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 33 Rn. 239.

[98] Schweda, ZD-Aktuell 2015, 04737.

[99] Bräutigam/Wilmer, ZRP 2015, S. 39.

[100] Roos, MMR 2015, S. 643.

[101] Roos, MMR 2015, S. 643.

[102] Roos, MMR 2015, S. 643.

[103] Vgl. dazu BNetzA, IT-Sicherheitskatalog (Online): Erfüllung der IT-Sicherheitstechnischen Mindeststandards, Etablierung eines Informationssicherheits- und Managementsystem (ISMS) gemäß DIN ISO/IEC27001 und dessen Zertifizierung bis zum 31. Januar 2018.

[104] Roos, MMR 2015, S. 643.

[105] Roos, MMR 2015, S. 643.

[106] Neumann, Bestimmung kritischer Infrastrukturen (online); Roos, MMR 2015, S. 644.

[107] Roos, MMR 2015, S. 644.

[108] Thomas de Maizière in: Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland 2016, S. 3.

[109] BSI, Das IT-Sicherheitsgesetz, S. 5.

[110] BSI, Das IT-Sicherheitsgesetz (online); vgl. auch Hornung, NJW 2015, S. 3334.

[111] Gitter/Meißner/Spauschus, ZD 2015, S. 516.

[112] Brisch, Der Beitrag des Rechts zur IT-Sicherheit, S. 42.

[113] Vgl. zu der Privatautonomie-, Einwilligungsproblematik und dem „Recht auf Vergessenwerden“ etc. Spindler, GRUR-Beilage 2014, S. 102 ff.

[114] Hornung, NJW 2015, S. 3334; Bräutigam/Wilmer, ZRP 2015, S. 38.

[115] Hornung, NJW 2015, S. 3334.

[116] Bräutigam/Wilmer, ZRP 2015, S. 38.

[117] Hornung, NJW 2015, S. 3334.

[118] Bräutigam/Wilmer, ZRP 2015, S. 40.

[119] Bräutigam/Wilmer, ZRP 2015, S. 40.

[120] Bräutigam/Wilmer, ZRP 2015, S. 40.

[121] Lurz/Scheben/Dolle, LSK 2015, 470110.

[122] Roos, MMR 2015, S. 637.

[123] Roos, MMR 2015, S. 637.

[124] Lucius/Jannasch, IT-Sicherheit von Kritischen Infrastrukturen (online).

[125] Lurz/Scheben/Dolle, LSK 2015, 470110.

[126] Lurz/Scheben/Dolle, LSK 2015, 470110.

[127] Roßnagel in: Roßnagel, Europäische DS-GVO, S. 49 Rn. 1; Gola/Klug, NJW 2016, S. 691 ff..

[128] Wybitul, LTO: Deutscher Alleingang beim Datenschutz? (online); vgl. dazu auch Sydow, ZD 2016, S. 160; dazu auch stark in der Kritik das im November erschienene: „Datenschutz-Anpassungs- und Umsetzungsgesetz (EU-DS AnpUG-EU) auch in Wybitul, LTO: Deutscher Alleingang beim Datenschutz? (online).

[129] Wybitul, LTO: Deutscher Alleingang beim Datenschutz? (online); Bitcom, Was muss ich wissen zur EU-DS-GVO, S. 5.

[130] Bitcom, Was muss ich wissen zur EU-DS-GVO, S. 5.

[131] Albrecht/Jotzo, Das neue Datenschutzrecht der EU, S. 47 Rn. 25; Keber in: Schwartmann, Praxishandbuch in Medien-, IT- und Urheberrecht, S. 801 Rn. 22; Spindler, GRUR-Beilage 2014, S. 102.

[132] Vgl. zur Richtlinie ausführlich Kühling/Seidel/Sivridis, Datenschutzrecht, S. 47 ff.; Dehmel/Hullen, ZD 2013, S. 147; Roßnagel in: Roßnagel, Europäische DS-GVO, S. 49 Rn. 1.

[133] Albrecht/Jotzo, Das neue Datenschutzrecht der EU, S. 46 Rn. 23.

[134] Roßnagel in: Roßnagel, Europäische DS-GVO, S. 58 Rn. 31.

[135] Roßnagel in: Roßnagel, Europäische DS-GVO, S. 58 Rn. 31.

[136] Müthlein, DS-GVO, S. 15.

[137] Barlag in Roßnagel, Europäische DS-GVO, S. 111 Rn. 11.

[138] Müthlein, DS-GVO, S. 16.

[139] Czernik, DS-GVO und Datensicherheit (online).

[140] Bitcom, Was muss ich wissen zur EU-DS-GVO, S. 14; Schläger, DS-GVO (online).

[141] Feil, Meldepflichten bringen neue Anforderungen (online).

[142] Czernik, DS-GVO und Datensicherheit (online).

[143] Czernik, DS-GVO und Datensicherheit (online); Siehe auch Handreichung vom Bundesverband IT-Sicherheit e.V. (TeleTrusT), S.7 ff.

[144] Czernik, DS-GVO und Datensicherheit (online).

[145] Czernik, DS-GVO und Datensicherheit (online).

[146] Feil, Meldepflichten bringen neue Anforderungen (online).

[147] Schläger, DS-GVO (online).

[148] Czernik, DS-GVO und Datensicherheit (online).

[149] Czernik, DS-GVO und Datensicherheit (online).

[150] Schläger, DS-GVO (online); Czernik, DS-GVO und Datensicherheit (online).

[151] Czernik, DS-GVO und Datensicherheit (online).

[152] Czernik, DS-GVO und Datensicherheit (online).

[153] Schläger, DS-GVO (online); vgl. dazu Härting, DS-GVO, S. 30 Rn. 109.

[154] Vgl. dazu auch Molnár-Gábor/Korbel, ZD 2016, S. 280.

[155] Bitcom, Was muss ich wissen zur EU-DS-GVO, S. 14, Czernik, DS-GVO und Datensicherheit (online); Marschall in: Roßnagel, Europäische DS-GVO, S. 157 Rn. 162 ff.

[156] Schläger, DS-GVO (online); dazu auch Härting, DS-GVO, S. 12 Rn. 42.

[157] Schläger, DS-GVO (online).

[158] Czernik, DS-GVO und Datensicherheit (online).

[159] Feil, Meldepflichten bringen neue Anforderungen (online).

[160] Feil, Meldepflichten bringen neue Anforderungen (online).

[161] Feil, Meldepflichten bringen neue Anforderungen (online).

[162] Feil, Meldepflichten bringen neue Anforderungen (online).

[163] Feil, Meldepflichten bringen neue Anforderungen (online).

[164] Marschall in: Roßnagel, Europäische DS-GVO, S. 157 Rn. 165.

[165] Wybitul, LTO: Deutscher Alleingang beim Datenschutz? (online); Czernik, DS-GVO und Datensicherheit (online).

[166] Wybitul, LTO: Deutscher Alleingang beim Datenschutz? (online); vgl. dazu auch Art. 79 Abs. 3 DS-GVO; Faust/Spittka/Wybitul, ZD 2016, S. 120.

[167] Vgl. dazu auch: Molnár-Gábor/Korbel, ZD 2016, S. 277.

[168] Schläger, DS-GVO (online).

[169] wie schon zuvor im IT-SiG.

[170] Vgl. auch Barlag in Roßnagel, Europäische DS-GVO, S. 166 Rn. 197.

[171] Keppeler, MMR 2015, S. 779 und S. 781.

[172] Bitcom, Was muss ich wissen zur EU-DS-GVO, S. 15.

[173] Bitcom, Was muss ich wissen zur EU-DS-GVO, S. 15.

[174] Keppeler, MMR 2015, S. 780.

[175] Roßnagel in: Roßnagel, Europäische DS-GVO, S. 64 Rn. 50.

[176] Hornung, NJW 2014, S. 3334 f.

[177] EP, EU-weite Vorschriften zur Stärkung der Cybersicherheit (online).

[178] Bräutigam/Wilmer, ZRP 2015, S. 42.

[179] EP, EU-weite Vorschriften zur Stärkung der Cybersicherheit (online).

[180] EP, EU-weite Vorschriften zur Stärkung der Cybersicherheit (online).

[181] Bräutigam/Wilmer, ZRP 2015, S. 41.

[182] EP, EU-weite Vorschriften zur Stärkung der Cybersicherheit (online).

[183] EP, EU-weite Vorschriften zur Stärkung der Cybersicherheit (online).

[184] EP, Cybersicherheit (online).

[185] EP, Cybersicherheit (online).

[186] EP, Cybersicherheit (online).

[187] Bräutigam/Wilmer, ZRP 2015, S. 41.

[188] Bräutigam/Wilmer, ZRP 2015, S. 41.

[189] Bräutigam/Wilmer, ZRP 2015, S. 41.

[190] Bräutigam/Wilmer, ZRP 2015, S. 41.

[191] EP, Cybersicherheit (online).

[192] EP, Cybersicherheit (online).

[193] EP, Cybersicherheit (online).

Ende der Leseprobe aus 31 Seiten

Details

Titel
Das IT-Sicherheitsgesetz des Bundes im Lichte der Datenschutzgrundverordnung
Hochschule
Johann Wolfgang Goethe-Universität Frankfurt am Main
Note
13
Autor
Jahr
2017
Seiten
31
Katalognummer
V354896
ISBN (eBook)
9783668410909
ISBN (Buch)
9783668410916
Dateigröße
582 KB
Sprache
Deutsch
Schlagworte
it-sicherheitsgesetz, bundes, lichte, datenschutzgrundverordnung
Arbeit zitieren
Melanie Ellen Irmen (Autor), 2017, Das IT-Sicherheitsgesetz des Bundes im Lichte der Datenschutzgrundverordnung, München, GRIN Verlag, https://www.grin.com/document/354896

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Das IT-Sicherheitsgesetz des Bundes im Lichte der Datenschutzgrundverordnung



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden