Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 62 | 15.07.2019


Referentenentwurf zum IT-Sicherheitsgesetz 2.0
Dr. Lutz Martin Keppeler


Spätestens seit dem „Doxing-Fall“ von Ende 2018/Anfang 2019, in welchem zahlreiche Daten von Prominenten und Politikern veröffentlicht wurden, wird mit Hochdruck an einem „IT-Sicherheitsgesetz 2.0“ gearbeitet, welches die Bedeutung und die Kompetenzen des Bundesamts für Sicherheit in der Informationstechnik erheblich erweitert. Dies zeigt sich schon daran, dass im Zuge des Gesetzes geplant ist, das Personal der Behörde nahezu zu verdoppeln.

Zwar ist noch nicht absehbar, wann das Gesetz verabschiedet wird und wie seine endgültigen Regelungen lauten werden. Dennoch lohnt es sich für alle Medienunternehmen und alle Unternehmen, die Smart Devices produzieren oder in Deutschland vertreiben, sich mit den folgenden besonders wichtigen Regelungen bereits jetzt vertraut zu machen.

1) Einführung eines freiwilligen IT-Sicherheitskennzeichen

Eine der interessantesten Neuerungen besteht in der Einführung eines freiwilligen einheitlichen IT-Sicherheitskennzeichens. Ziel der Einführung ist es, Informationen über die IT-Sicherheit von verschiedenen Verbraucherprodukten und Dienstleistungen für den Verbraucher verständlich, transparent und einheitlich darzustellen. Auf dieser Grundlage soll der Verbraucher in die Lage gesetzt werden, eine fundierte Kaufentscheidung treffen zu können.

Der neue § 9a BSIG soll dir Voraussetzungen eines IT-Sicherheitskennzeichens regeln, welches neben einer Herstellererklärung zum Vorliegen bestimmter IT-Sicherheitseigenschaften (sog. „Sicherheitsversprechen“ der Hersteller) eine dynamische BSI-Sicherheitsinformation über etwaige Sicherheitslücken. Dem Kaufprodukt liegt also ein „elektronischer Beipackzettel“ mit weiterführenden Sicherheitsinformationen bei, den der Käufer über einen Verweis (z. B. QR-Code, Link auf der Produktverpackung) beim Kauf unmittelbar abrufen und so auf einer Produktinformationsseite weiterführende, aktuelle Sicherheitsinformationen einsehen kann. Diese Sicherheitsinformation muss dynamisch, also in regelmäßigen Abständen vom BSI überprüfbar sein, um so die Glaubhaftigkeit des IT-Sicherheitskennzeichens gewährleisten zu können.

2) Erweiterung der KRITIS auf „Medienunternehmen“

Die für Betreiber Kritischer Infrastrukturen bestehenden Pflichten nach dem BSIG werden auf weitere Teile der Wirtschaft ausgeweitet. Hierunter fallen unter anderem die Meldepflichten und Verpflichtungen zur Einhaltung der Mindeststandards nach §§ 8a, 8b BSIG.

Die geplante Erweiterung betrifft insbesondere den Sektor Medien. Dieser stellt zwar keine KRITIS im engeren Sinne des § 2 Abs. 10 BSIG dar. Dennoch fällt er unter den Anwendungsbereich des Gesetzes, wenn die Infrastruktur im besonderen öffentlichen Interesse gemäß § 2 Abs. 14 Nr. 1 BSIG n.F. liegt. Dies begründet der Gesetzesentwurf wie folgt: Die Pressefreiheit, die Freiheit der Berichterstattung und die Pluralität der Medien sind verfassungsrechtlich geschützte Belange und Eckpfeiler der freiheitlich demokratischen Grundordnung Deutschlands. Eine Einflussnahme beziehungsweise Beschränkung jener Belange kann negative Auswirkungen auf die Gesellschaft und die freiheitlich demokratische Grundordnung haben.

Wie die konkreten Schwellen aussehen werden – und ob jeder Blogger oder nur wenige auflagenstarke Presseorgane betroffen sind – ist derzeit unklar. Wahrscheinlich wird dies im Nachhinein in einer Verordnung geregelt. Je nach Ausgestaltung des Anwendungsbereichs könnte viele Unternehmen betroffen sein, beispielsweise Forenbetreiber, soziale Netzwerke, Betreiber von Kommunikationsapps oder die Presse.

3) Erhöhung der Bußgelder

Um mit dem Bußgeld-Regime der DSGVO gleichzuziehen, enthält § 14 Abs. 2 BSIG n.F. die Möglichkeit, Verstöße mit Geldbußen in Höhe von bis zu 20.000.000 EUR oder von bis zu 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahres zu ahnden. Die Höhe der Sanktionen soll sich demnach an der Wirtschaftskraft des Unternehmens orientieren. Die bisherigen Regelungen sahen maximal 100.000 EUR als Sanktion vor, was in Bezug auf die Wirtschaftskraft der KRITIS-Betreiber ein zu geringer Betrag war.

Die Orientierung an dem Reglement der DSGVO soll die Bußgelder wirksam, angemessen und abschreckend machen. Verstöße gegen Maßnahmen zur Absicherung von Anlagen sollen genau so schwerwiegend sanktioniert werden können wie datenschutzrechtliche Verstöße. So wird eine Wertungsharmonie zwischen den beiden Regelungsbereichen generiert.

§ 14 Abs. 1 BSIG n.F. enthält einen überarbeiteten Katalog der Bußgeldtatbestände. Ein solcher war erforderlich, da die bisherigen Sanktionen nur einen Teil der Pflichten nach § 8a BSIG abgedeckt haben. Der Katalog wurde insbesondere betreffend der Auskunfts- und Nachweispflichten präzisiert. Zudem ist das Nutzen des IT-Sicherheitskennzeichens nach einem Widerruf oder ohne vorherige Freigabe bußgeldbewehrt.

Fazit

Medienunternehmen sollten sich darauf einstellen, zukünftig zusätzliche, gestiegene Anforderungen an die IT-Sicherheit erfüllen zu müssen, wobei die konkreten verpflichtenden Maßnahmen vermutlich erst im Nachhinein festgelegt werden.
Unternehmen, die Software oder smarte Geräte an Verbraucher verkaufen, sollten sich frühzeitig überlegen, ob sie die Möglichkeit des freiwilligen IT-Sicherheitskennzeichens nutzen wollen und welche „Sicherheitsversprechen“ sie in diesem Rahmen abgeben können.

Autor


Dr. Lutz Martin Keppeler ist Salaried Partner und Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology.

Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Ubbo Aßmus
Heuking Kühn Lüer Wojtek
Dr. Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Dirk Stolz
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Florian Winzer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf







Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2019 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner: www.heuking.de

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie unter www.heuking.de nachlesen.

datenschutz@heuking.de