Entscheidungsspielräume und Rechtsfolgen von Fehlentscheidungen nach Datenschutz-Grundverordnung und IT-Sicherheitsgesetz
Neue nationale und gemeinschaftsrechtliche Gesetze sollen künftig das Niveau der IT-Sicherheit erhöhen. Das zentrale Tatbestandsmerkmal für die IT-Sicherheit ist dabei wiederkehrend der Stand der Technik. Der Stand der Technik findet sich nicht nur in der Datenschutz-Grundverordnung (DSGVO), sondern ebenso im nationalen IT-Sicherheitsgesetz (ITSiG) sowie der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie).
Damit dieser objektiv-technische Begriff durch die Verpflichteten in der Praxis umgesetzt werden kann, enthalten die jeweiligen Normen zusätzlich, untereinander vergleichbare, subjektive Einschränkungen. Dies ermöglicht es Unternehmen (und je nach Anwendungsbereich der Norm auch die Behörden), den Stand der Technik rechtskonform zu unterschreiten. Dabei geht es nicht um eine Umgehung eines gesetzlichen Niveaus oder die Vermeidung freiwilliger Investitionen in IT-Sicherheit. Vielmehr geht es um die notwendige Rechtssicherheit. Denn sämtliche IT-Sicherheitsmaßnahmen jederzeit nach dem Stand der Technik umzusetzen, erscheint praktisch unmöglich. Zum anderen muss den Gesetzesadressaten klar sein, welche Investitionen direkte Folge von gesetzlichen Verpflichtungen sind und welche nicht. Die subjektiven Kriterien werden maßgeblich für die Einhaltung von Verträgen und die Einstellung von aufsichtsbehördlichen Verfahren sein.
Objektives Tatbestandsmerkmal „Stand der Technik“
Die DSGVO fordert von Unternehmen und Behörden, dass sie IT-Sicherheitsmaßnahmen auf dem Niveau des Standes der Technik einsetzen. Zentrale Norm für die Sicherheit der Datenverarbeitung ist der Art. 32 DSGVO. Diese Norm sieht vor, dass Verantwortliche unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Auch das IT-Sicherheitsgesetz sieht Maßnahmen nach dem Stand der Technik für Betreiber Kritischer Infrastrukturen vor (§ 8a BSIG). KRITIS-Betreiber sind verpflichtet, zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT, angemessene organisatorische und technische Vorkehrungen zu treffen, bei deren Auswahl der Stand der Technik eingehalten werden soll.
Gleiches gilt durch die Umsetzung der NIS-Richtlinie gemäß § 8c BSIG für die Betreiber digitaler Dienste, bei denen es sich um Online-Marktplätze, Online-Suchmaschinen sowie Cloud-Computing-Dienste handelt. Betroffen sind Unternehmen, die mehr als 250 Personen beschäftigen und einen Jahresumsatz von über EUR 50 Mio. oder eine Jahresbilanz von über EUR 43. Mio. haben. Diese haben geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme zu bewältigen. Dabei haben sie ebenfalls den Stand der Technik zu berücksichtigen. Auch im Falle des § 13 Abs. 7 TMG, der sämtliche Unternehmen betrifft, die beispielsweise eine Website betreiben, ist der Stand der Technik im Rahmen der Sicherheit für Telemedienangebote zu berücksichtigen.
Die genannten Gesetze definieren den Stand der Technik allerdings nicht. Der Begriff beschreibt die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann. Es handelt sich damit um die am Markt verfügbaren Bestleistungen von Maßnahmen zum Schutz der IT-Sicherheitsziele. Daraus ergibt sich eine eindeutige Trennung zwischen dem objektiven Tatbestandsmerkmal des Stands der Technik und den Einschränkungen des objektiven Tatbestands durch subjektive Faktoren, die im Folgenden dargestellt werden.
Subjektiver Einschränkung des Standes der Technik
Das Tatbestandsmerkmal des Stands der Technik ist zunächst rein objektiv zu ermitteln. Allerdings beinhalten die gesetzlichen Regelungen subjektive Einschränkungen. Diese individuelle Begrenzung ist notwendig, um eine grundrechtskonforme Verhältnismäßigkeit herzustellen.
Bereits die Ermittlung des Stands der Technik erweist sich für viele Unternehmen als komplex. Die Implementierung der konkreten Maßnahmen ist aus technischen, organisatorischen, wirtschaftlichen sowie rechtlichen Gesichtspunkten häufig nicht zu leisten. Unternehmen müssen dann im Einzelfall beurteilen, welche Normen für sie gelten und welche Anforderungen diese an sie stellen. Subjektive Einschränkungsmöglichkeiten sind gesetzlich zumeist durch technische und wirtschaftliche Faktoren vorgegeben.
Die gesetzlichen Formulierungen zum Stand der Technik – wie „zu berücksichtigen“ oder „soll eingehalten werden“ – sind trotz unterschiedlicher Wortwahl rechtlich ähnlich und führen dazu, dass der Stand der Technik dem jeweiligen Kompromittierungsrisiko entsprechend in die Bewertung technischer und organisatorischer Maßnahmen einbezogen, aber nicht zwingend umgesetzt werden muss.
Art. 32 DSGVO und § 13 Abs. 7 TMG sehen weiterhin vor, dass bei der Umsetzung technischer Maßnahmen auch die Implementierungskosten ins Verhältnis gesetzt werden dürfen. Dies führt zu einer wirtschaftlichen Verhältnismäßigkeitsprüfung, im Rahmen derer das Verletzungsrisiko beachtet werden muss. Das Gesetz gibt zwar keine Anhaltspunkte für die zulässige Einbeziehung wirtschaftlicher Faktoren vor. Dies erweitert aber eher den Argumentationsspielraum, als ihn zu verengen.
Um den Nachweis der getroffenen Maßnahmen zu gewährleisten, als auch den Grad des Berücksichtigens darlegen zu können, ist eine entsprechende Dokumentation erforderlich. Dazu sollte zunächst die Umsetzung des Tatbestandsmerkmals dokumentiert werden und in Bereichen, in denen der Technologiestand nicht erreicht wird, die eingesetzten Maßnahmen begründet werden. Dadurch kann eine Berücksichtigung belegt werden.
Rechtsfolgen der Unterschreitung des Standes der Technik
Eine Unterschreitung des Standes der Technik darf lediglich in rechtskonformer Weise erfolgen. Anderenfalls drohen Bußgelder und Ansprüche von Vertragspartnern.
Vertragliche Pflichten können zu erheblichen Schadensersatzforderungen führen, z. B. im Verhältnis Anbieter – Kunde oder Anbieter – Zulieferer. Dabei ist zu beachten, dass die IT-Sicherheit zum Risikomanagement der Geschäftsleitung gehört und aufgrund erheblicher Auswirkungen auf den Betrieb und auch dessen Reputation eine persönliche Haftung des Geschäftsführers oder Vorstandsmitglieds auslösen kann.
Fazit
Die Anforderungen an die gesetzliche IT-Sicherheit nach der DSGVO sind hoch. Wer den Stand der Technik zu berücksichtigen hat, muss ihn objektiv-technisch ermitteln. Er darf allerdings subjektiv abwägen, ob und inwieweit er den Stand der Technik zulässig unterschreiten kann.
Eine Unterschreitung des Stands der Technik ist für den Normadressaten nur ratsam, wenn neben einer gewissenhaften Bewertung eingesetzter und einsetzbarer Maßnahmen eine umfangreiche Dokumentation erfolgt. Eine rechtskonforme Unterschreitung kann dann aber zu erheblichen Einsparungen und organisatorischen Minderaufwänden führen. Es empfiehlt sich daher, im Rahmen der gesetzlich notwendigen Umsetzung der IT-Sicherheitsmaßnahmen technische und rechtliche Expertise einzuholen.
Das Risiko für eine Fehleinschätzung trägt der Verpflichtete. Die mögliche Unterschreitung des Stands der Technik sollte also jedenfalls mit der möglichen Übererfüllung abgewogen werden.