Upload
phungcong
View
213
Download
0
Embed Size (px)
Citation preview
So oder so ähnlichZur Löschpflicht von Facebook bei Hasskommentaren
No SignalEuGH stuft Googles E-Mail-Dienst „Gmail“ aufgrund fehlender Verantwortlichkeit
für die Signalübertragungen nicht als Telekommunikationsdienst ein
Die Sicherheit unserer DatenWelche rechtlichen Vorgaben bestehen bezüglich der IT-Sicherheit?
07 / 2019Juli 2019
DFN-Infobrief Recht 07 / 2019 | Seite 2
So oder so ähnlich
Zur Löschpflicht von Facebook bei Hasskommentaren
von Marten Tiessen
Nach Ansicht des Generalanwalts beim Europäischen Gerichtshof (EuGH) kann Facebook
dazu verpflichtet werden, nicht nur gemeldete Hasskommentare zu löschen, sondern auch
nach wort- und sinngleichen Kommentaren zu suchen und diese ebenfalls zu entfernen.
Diese Maßnahmen verstoßen nicht gegen das Verbot einer allgemeinen Überwachungs-
pflicht. Die Persönlichkeitsrechte Betroffener können so wirksamer geschützt werden.
Beitrags, möglicherweise wird aber von einem anderen Nut-
zer der wortgleiche Kommentar gepostet. Es stellt sich dann
die Frage, ob die Plattform verpflichtet ist, bei Hinweisen auf
eine konkrete Rechtsverletzung, darüber hinaus auch das Vor-
liegen gleichartiger Verletzungen zu überprüfen und diese
ebenfalls zu verhindern. Auf diese Problematik ging der Gene-
ralanwalt beim Europäischen Gerichtshof, Maciej Szpunar,
in einer aktuellen Stellungnahme ein (Generalanwalt beim
EuGH, 04.06.2019 - C-18/18).
II. Sachverhalt
Hintergrund der Stellungnahme des Generalanwalts ist ein
österreichisches Gerichtsverfahren, in dem die ehemalige
Fraktionsvorsitzende der österreichischen Grünen-Partei, Eva
Glawischnig-Piesczek, sich gegen Facebook wendet. Auslöser
des Rechtsstreits war ein Kommentar eines Facebook-Nutzers.
Der Nutzer teilte auf seiner Profilseite einen Nachrichtenar-
tikel, der die Flüchtlingspolitik der Grünen thematisierte und
unter anderem ein Bild der damaligen Fraktionsvorsitzenden
enthielt. Unter dem Artikel postete der Nutzer einen Kommen-
tar, in dem er Glawischnig-Piesczek unter anderem als „miese
Volksverräterin“ und „korrupter Trampel“ bezeichnete. Die Klä-
gerin forderte Facebook auf, den für jeden Nutzer einsehbaren
Post zu löschen. Nachdem sich Facebook weigerte den Post zu
löschen, reichte Glawischnig-Piesczek Klage beim Handelsge-
richt Wien ein und beantragte eine einstweilige Verfügung,
I. Problemstellung
Host-Provider, zu denen auch Facebook gezählt wird, haften
dank einer Privilegierung aus Art. 14 der Richtlinie über den
elektronischen Geschäftsverkehr (E-Commerce-RL) nicht für
Nutzerinhalte, wenn sie von deren Rechtswidrigkeit keine
Kenntnis haben. Ziel der E-Commerce-RL, die im Jahr 2000 in
Kraft getreten ist, ist die Sicherstellung des freien Verkehrs
von Diensten der Informationsgesellschaft und Förderung von
innovativen Geschäftsmodellen. Sie begünstigt daher Dienste
der Informationsgesellschaft, die nur fremde Informationen
vermitteln. Zu solchen Diensten gehört die Bereitstellung
eines Internetzugangs durch den Accessprovider, das Caching
und auch das in diesem Fall relevante Hosting. Nach der Richt-
linie sollen Hosting-Plattformen, die nicht eigene Inhalte, son-
dern lediglich von Nutzern generierte Inhalte bereitstellen, für
diese nur eingeschränkt verantwortlich sein. Kommt es auf
einer solchen Plattform zu ehrverletzenden Äußerungen der
Nutzer, ist die Plattform erst dann zur Löschung verpflichtet,
wenn sie entweder von den Nutzern gemeldet werden oder
die Plattform selbst davon Kenntnis erlangt. Allerdings ist die
Plattform nicht verpflichtet von sich aus alle Kommentare auf
Rechtsverletzungen zu überprüfen. Dagegen steht das Ver-
bot einer allgemeinen Überwachungspflicht aus Art. 15 E-Com-
merce-RL.
Wird die Plattform auf rechtswidrige Äußerungen hingewie-
sen, so kommt es vielleicht zur Löschung des gemeldeten
DFN-Infobrief Recht 07 / 2019 | Seite 3
die Facebook untersagt, Fotos der Klägerin zu veröffentlichen
oder zu verbreiten, wenn im Begleittext die gleichen ehrverlet-
zenden Kommentare oder andere sinngleiche Behauptungen
enthalten sind. Nachdem gegen die Entscheidung des Gerichts
mehrfach Rechtsmittel eingelegt wurden, gelangte das Verfah-
ren zum Obersten Gerichtshof, der wiederum das Verfahren
aussetzte, um den EuGH zur Auslegung der E-Commerce-RL zu
befragen. Dabei wollte es wissen, ob eine Unterlassungsverfü-
gung weltweit auch auf wort- und sinngleiche Informationen
ausgedehnt werden kann.
III. Stellungnahme des Generalanwalts
Der Generalanwalt vertrat die Ansicht, dass Art. 15 der E-Com-
merce-RL zwar eine generelle Überwachungspflicht verbiete,
aber nicht einer gerichtlichen Verfügung entgegenstehe,
wonach sämtliche Informationen der Nutzer durchsucht wer-
den sollen, um solche Informationen zu finden, die mit den
vom Gericht bereits als rechtswidrig eingestuften Informatio-
nen wortgleich sind. Art. 15 Abs. 1 der E-Commerce-RL verbiete
zwar eine allgemeine Überwachungspflicht, aber keine aktive
Überwachung durch die Plattform in spezifischen Fällen.
Diese Form der Überprüfung stelle die Plattformen auch vor
keine technische Herausforderung, sofern sie nur nach wort-
gleichen Beiträgen suchen. Ihr Recht auf unternehmerische
Freiheit sei daher nicht besonders stark belastet. Zusätzlich
können die Host-Provider aber auch verpflichtet werden, zu
prüfen, ob der Nutzer, der die ursprünglichen rechtswidrigen
Äußerungen getätigt hat, sinngleiche Informationen gepos-
tet hat. Dabei müsse das Merkmal der Sinngleichheit eng
ausgelegt werden. Mit sinngleichen Kommentaren seien sol-
che gemeint, die lediglich eine andere Schreibweise, Satzbau
oder Rechtschreibfehler aufweisen. Der Host-Provider kann
in diesem Fall allerdings nicht verpflichtet werden, bei allen
Nutzern nach sinngleichen Inhalten zu suchen. Das wäre zum
einen mit deutlich höherem technischem Aufwand für die
Plattformen verbunden, zum anderen würden solche Maßnah-
men aber auch über Gebühr in die Meinungs- und Informati-
onsfreiheit der anderen Nutzer eingreifen. Wird die Plattform
jedoch von Dritten auf sinngleiche Kommentare aufmerksam
gemacht, könne sie auch verpflichtet werden, diese ebenfalls
zu löschen.
Da die E-Commerce-RL keine Regelung zur räumlichen Reich-
weite einer Löschpflicht enthalte, sei es mit ihr grundsätzlich
vereinbar, auch die weltweite Löschung des Kommentars auf
der Social-Media-Plattform zu verlangen.
IV. Fazit und Praxishinweise
Die Stellungnahme spricht eine spannende Frage an: Wie
kann effektiver Rechtsschutz gegen Hasskommentare in
Social Media gewährleistet werden? 1Beschränkt sich eine
gerichtliche Unterlassungsverfügung nur auf den einzelnen
Kommentar, ließe sich durch die einfachen Reproduktions-
möglichkeiten im Netz die Verfügung leicht umgehen. Der
Kommentar könnte dann von andere Nutzern wiederholt
werden oder der ursprüngliche Nutzer stellt lediglich den
Satzbau um. Theoretisch müsste dann für jede einzelne Äuße-
rung eine gerichtliche Verfügung erwirkt werden, wenn die
Plattform nicht von sich aus bereit ist, die Kommentare zu
löschen. Ein effektiver Rechtsschutz hängt also davon ab, ob
sich die gerichtliche Verfügung auch auf wort- und sinngleiche
Kommentare erstrecken kann. Allerdings stehen einem effek-
tiven Rechtsschutz des in seiner Ehre Verletzten der Schutz
der Meinungs- und Informationsfreiheit der anderen Nutzer
gegenüber. Prüfpflichten einer Plattform sollten auch nicht zu
einer praktischen Zensur ausgeweitet werden. Daher gilt nach
Ansicht des Generalanwalts zumindest im Hinblick auf sinn-
gleiche Kommentare anderer Nutzer grundsätzlich weiter das
Prinzip, dass die Plattform erst bei konkreten Hinweisen zur
Löschung verpflichtet werden kann.
Letztlich bleibt abzuwarten, ob der EuGH der Argumentation
des Generalanwalts folgen wird. In der Stellungnahme for-
muliert der Generalanwalt letztlich nur Vorschläge, wie seiner
Ansicht nach die Vorlagefragen des österreichischen Gerichts
zu beantworten sind. Es ist aber sicherlich lohnenswert den
weiteren Verlauf des Verfahrens zu verfolgen, da potentiell
jeder von Hasskommentaren im Netz betroffen sein kann.
Social-Media-Auftritte von Hochschulen sind mittlerweile eine
gängige Spielart der Öffentlichkeitsarbeit geworden. Diese
Kommunikationsformen erhöhen nicht nur die Reichweite der
Informationsverbreitung, sondern bergen auch die Gefahr der
öffentlichen Angreifbarkeit. Werden auf sozialen Plattformen
ehrverletzende Äußerungen gegenüber Mitarbeitern der Hoch-
schule getroffen, reicht es manchmal nicht aus, sich an die
1 Siehe zu dieser Frage beispielsweise auch Klein, Das bleibt unter
uns!, DFN-Infobrief Recht, 09/2014
DFN-Infobrief Recht 07 / 2019 | Seite 4
Plattform direkt zu wenden. Zwar sollte dies immer der erste
Schritt sein, aber wenn sich das Problem auf diese Weise nicht
lösen lässt, hilft in solchen Fällen nur der Weg zum Gericht. Ob
ein wirksamer Rechtsschutz vor Gericht erlangt werden kann,
hängt dann aber letztlich von der Reichweite der gerichtlichen
Entscheidung ab.
DFN-Infobrief Recht 07 / 2019 | Seite 5
No Signal
EuGH stuft Googles E-Mail-Dienst „Gmail“ aufgrund fehlender Verantwortlichkeit für die Signalübertragungen nicht als Telekommunikationsdienst ein
von Matthias Mörike
In einem langjährigen Rechtsstreit um die rechtliche Einordnung des E-Mail-Dienstes
„Gmail“ hat der EuGH ein Urteil gefällt und entschieden, dass dieser kein Telekom-
munikationsdienst ist. Damit verneint er die Anwendbarkeit der Vorschriften des
TKG auf diese Dienste und sorgt hinsichtlich dieser Frage für Rechtsklarheit.
E-Mail-Dienst Gmail wird aber nicht über diese Infrastruktur
betrieben, sondern bedient sich vielmehr der allgemeinen
Internetprotokolle und damit der allgemein zugänglichen
Struktur des Internets.
Mittels Bescheid vom 2. Juli 2012 stellte die BNetzA gegenüber
Google fest, dass sie Gmail als Telekommunikationsdienst
einstuft und forderte das Unternehmen auf, seiner Melde-
pflicht nach § 6 TKG nachzukommen. Dagegen erhob Google
Klage vor dem Verwaltungsgericht (VG) Köln. Das VG gab der
BNetzA Recht und stufte Gmail ebenfalls als Telekommuni-
kationsdienst ein. Der Fall ging in der nächsten Instanz vor
das Oberverwaltungsgericht (OVG) Münster, welches das Ver-
fahren aussetzte und dem Europäischen Gerichtshof (EuGH)
einige Auslegungsfragen vorlegte. Der in Frage stehende
§ 3 Nr. 24 TKG setzt nämlich Art. 2 lit. c RL 2002/21/EG (soge-
nannte Rahmenrichtlinie) um, welcher nur durch den EuGH
abschließend ausgelegt werden kann.
II. Entscheidung des EuGH
Das OVG legte dem EuGH unter anderem die Frage
vor, ob OTT-Dienste wie Gmail unter die Definition des
Art. 2 lit. c RL 2002/21/EG fallen. Entscheidend dafür ist wie im
deutschen Recht die Frage, ob eine Signalübertragung stattfin-
det.
Hierzu stellt der EuGH zunächst fest, dass mittels der Gmail-
Server zwar auch Signale übertragen werden, wenn E-Mails
in Form von Datenpaketen empfangen und gesendet werden,
I. Verfahrensgang und Hintergrund
Die Bundesnetzagentur (BNeztA) ist unter anderem dafür
zuständig, nach den Vorgaben des Telekommunikationsge-
setzes (TKG) den Telekommunikationsmarkt in Deutschland
zu überwachen und zu regulieren. Abhängig davon, ob ein
bestimmtes Angebot im Internet als Telekommunikations-
dienst einzuordnen ist oder nicht, treffen den Betreiber des
Dienstes verschiedene Pflichten aus dem TKG. Beispielsweise
besteht die Pflicht zur Anmeldung des Dienstes bei der BNetzA
nach § 6 TKG, wenn es sich um einen öffentlich zugänglichen
Telekommunikationsdienst handelt. Die Definition für den
Begriff Telekommunikationsdienst findet sich in § 3 Nr. 24 TKG:
Ein Telekommunikationsdienst ist demnach ein in der Regel
gegen Entgelt erbrachter Dienst, der ganz oder überwiegend
in der Übertragung von Signalen über Telekommunikations-
netze besteht. Die Signalübertragung ist das entscheidende
Merkmal. Klassische Access Provider, die Kunden einen Inter-
netzugang zur Verfügung stellen und die Übertragung der
Datenpakete technisch verantworten, sind typische Beispiele
für Telekommunikationsdienste. Viele im Internet angebo-
tene Dienste setzen allerdings bei ihren Kunden einen Inter-
netzugang voraus, ohne diesen selbst bereitzustellen. Sie
profitieren dann von der durch Access Provider zur Verfü-
gung gestellten Infrastruktur. Sie werden als Over-the-top-
Dienste (OTT-Dienste) bezeichnet. Dazu zählen insbesondere
Streaming-Angebote und Messenger-Dienste. Auch Anbie-
ter von E-Mail-Diensten, die keine eigenen Internetzugänge
bereitstellen, wie beispielsweise Gmail, werden dazugezählt.
Zwar betreibt Google auch eine eigene Netzinfrastruktur, der
DFN-Infobrief Recht 07 / 2019 | Seite 6
allerdings werden diese Signale mittels standardisierter Pro-
tokolle dann in das offene Internet eingespeist. Die entschei-
denden Signalübertragungen stellen dann vielmehr die Access
Provider sicher. Das VG hatte an dieser Stelle noch entschieden,
dass die Signalübertragungen, die von den Access Providern
vorgenommen werden, Gmail zuzurechnen wären. Als Grund
führte es an, dass Gmail sich diese Übertragungsleistungen
faktisch zu eigen mache. Auch würde die ganze Übertragung
erst durch den Dienst Gmail initialisiert. Aus wertender Sicht
sei Gmail daher nach Auffassung des VG Köln ein Telekommu-
nikationsdienst. Google führte demgegenüber an, dass das
Unternehmen keinerlei Einfluss auf diese Signalübertragun-
gen durch die Access Provider hätte, weswegen sie ihm auch
nicht zugerechnet werden könnten. Der EuGH folgte dem inso-
weit, dass er irgendeine Form von Verantwortlichkeit für die
Übertragung forderte. Das sei bei Gmail aber nicht der Fall. Die
Übertragungen würden durch die Access Provider in eigener
Verantwortung durchgeführt, ohne dass Gmail darauf Einfluss
hätte. Der Umstand, dass Google auch eine eigene Netzinfra-
struktur betreibt und insoweit Telekommunikationsdienst ist,
führt nach Auffassung des EuGH nicht dazu, dass auch andere
Dienste des gleichen Unternehmens automatisch als Telekom-
munikationsdienste gelten würden.
Das OVG Münster muss den Fall unter Berücksichtigung der
Vorgaben des EuGH abschließend entscheiden.
III. Fazit und Konsequenzen für die Praxis wissenschaftlicher Einrichtungen
Das EuGH-Urteil ändert die bestehende Rechtslage nicht.
OTT-Dienste wurden auch bisher nicht als Telekommunikati-
onsdienste eingestuft. Sie sind sogenannte Telemedien, für
welche neben den Datenschutzgesetzen (insbesondere die
Datenschutzgrundverordnung) das Telemediengesetz (TMG)
gilt. Sobald zusätzlich zu einem solchen Dienst aber auch der
Zugang zum Internet angeboten wird, was wissenschaftliche
Einrichtungen häufig für ihre Mitarbeiter und Studierende
tun, sind sie in dieser Hinsicht wie bisher auch Anbieter von
Telekommunikationsdiensten.1
Hätte der EuGH den Fall anders entschieden, dann hätte dies
weitreichende Folgen für alle Anbieter von OTT-Diensten
1 Siehe Klein, Man kann nicht nicht kommunizieren, DFN-Infobrief
05/2017.
gehabt. Sie hätten sich nicht nur bei der BNetzA melden müs-
sen, sondern wären auch potentielle Adressaten von behörd-
lichen Auskunftsverlangen nach § 111 TKG geworden und
hätten gegebenenfalls Anordnungen zur Interoperabilität
nach § 18 TKG befolgen müssen. Genau das war ein erklärtes
Ziel der Strategie der BNetzA. Die Behörde hatte sich erhofft,
ihre Regulierungsbefugnisse auch auf diese Dienste ausdeh-
nen zu können. Diese Strategie ist nun allerdings gescheitert.
Das ist auch für wissenschaftliche Einrichtungen eine positive
Entscheidung. Es besteht nun keine unmittelbare Gefahr, dass
ihre OTT-Dienste unter das TKG fallen. Es bleibt abzuwarten,
ob der Gesetzgeber aktiv wird und durch Änderungen des TKG
eine Anwendung der Vorschriften ermöglicht.
DFN-Infobrief Recht 07 / 2019 | Seite 7
Die Sicherheit unserer Daten
Welche rechtlichen Vorgaben bestehen bezüglich der IT-Sicherheit?
von Nico Gielen
Es gibt kein Gesetz, das die IT-Sicherheit vollumfänglich und einheitlich regelt. Selbst
das IT-Sicherheitsgesetz, das ein umfassendes Regelwerk erwarten lässt, adressiert nur
die IT-Sicherheit für Betreiber Kritischer Infrastrukturen. Das „Recht der IT-Sicherheit“
ergibt sich erst aus einer Gesamtschau mehrerer Rechtsgebiete und stellt somit eine
Querschnittsmaterie dar. Im Folgenden sollen die relevantesten Rechtsgebiete über-
blicksartig angesprochen werden. Um die Übersichtlichkeit zu wahren, wird mit dem
abstraktesten Rechtsgebiet, dem Verfassungsrecht begonnen, um dann auf immer spezi-
fischere einzugehen, namentlich das Datenschutzrecht und das IT-Sicherheitsgesetz.
I. Verfassungsrecht
Das Verfassungsrecht steht auf der Normenhierarchie ganz
oben und ist daher sicherlich das abstrakteste Rechtsgebiet,
wenn man die rechtlichen Aspekte der IT-Sicherheit zusam-
menfassen möchte. Aus der deutschen Verfassung, dem Grund-
gesetz (GG), das ganz voran die Grundrechte festschreibt, kann
jedoch abgeleitet werden, wieso IT-Sicherheit überhaupt
betrieben wird. Dabei ist zwischen einer gesellschaftlichen
und einer individuellen Ebene zu unterscheiden.
Aus gesellschaftlicher Sicht soll mit der IT-Sicherheit das Wohl
der Bevölkerung gewahrt werden. Das ist offensichtlich bei
den Pflichten, denen Betreiber von Kritischen Infrastruktu-
ren unterliegen. Fällt etwa ein essentielles Wasserwerk aus,
können damit Gefahren für Leib und Leben der im betrof-
fenen Gebiet wohnenden Menschen einhergehen. Für den
Staat erwächst daher die Pflicht, die Bevölkerung vor diesen
Gefahren zu schützen. Diese ergibt sich aus Art. 2 Abs. 2 S. 1 GG,
wonach jeder das Recht auf Leben und körperliche Unversehrt-
heit hat. Daneben werden mit der IT-Sicherheit teilweise auch
wirtschaftliche Interessen verfolgt, die von der Berufsfreiheit
(Art. 12 GG) und der Eigentumsfreiheit (Art. 14 GG) geschützt
sind.
Verlässt man die gesellschaftliche und gelangt auf die indivi-
duelle Ebene, stößt man zunächst auf das Allgemeine Persön-
lichkeitsrecht. Dieses wird vom Bundesverfassungsgericht
(BVerfG) seither aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG abge-
leitet, obgleich es dort nicht ausdrücklich Erwähnung findet.
Es gewährt jedem Menschen das Recht, seine Persönlichkeit
zu entfalten, insbesondere über die eigene Person zu bestim-
men, sich diese zu bewahren und über die Darstellung seiner
selbst zu entscheiden. Für die Thematik der IT-Sicherheit sind
zwei Unterfälle dieses Allgemeinen Persönlichkeitsrechts rele-
vant.
Erstens hat das BVerfG im Volkszählungsurteil im Jahr 1983
das Recht auf informationelle Selbstbestimmung hergeleitet.
Demnach steht es jedem Bürger frei, über den Umgang mit
seinen personenbezogenen Daten grundsätzlich selbst zu
bestimmen. Dieses Recht wird auch verkürzt das „Grundrecht
auf Datenschutz“ genannt. Das einfachgesetzliche Daten-
schutzrecht stellt dann auch insoweit den Unterbau dieses
Grundrechts dar.
Zweitens hat das BVerfG in einem Urteil vom 27. Februar 2008
das Grundrecht auf Gewährleistung der Vertraulichkeit und
Integrität informationstechnischer Systeme entwickelt. Damit
wird es dem Staat verwehrt, informationstechnische Systeme
DFN-Infobrief Recht 07 / 2019 | Seite 8
heimlich zu überwachen und auszulesen, außer es bestehen
tatsächliche Anhaltspunkte einer konkreten Gefahr für ein
überragend wichtiges Rechtsgut. Dieses Recht wird auch „IT-
Grundrecht“ genannt. Es wird zwar gegenüber dem Recht auf
informationelle Selbstbestimmung mitunter als überflüssig
bezeichnet. Allerdings hat es eine andere Schutzrichtung, da
es die Vertraulichkeit, Integrität und Verfügbarkeit aller Daten,
auch solcher ohne Personenbezug, schützt.
II. Datenschutzrecht
Das Datenschutzrecht ist aus rechtlicher Sicht am relevantes-
ten für die IT-Sicherheit. Seit dem 25. Mai 2018 ist im Daten-
schutzrecht die Datenschutz-Grundverordnung (DSGVO) die
primäre Rechtsquelle. Diese weist nicht nur Vorschriften auf,
die auf den Schutz personenbezogener Daten bezogen sind,
sondern auch solche, die die Datensicherheit zum Gegenstand
haben. Hier setzt sich die bereits beim Verfassungsrecht vor-
gefundene Zweiteilung zwischen Datenschutz und Datensi-
cherheit fort. Dadurch wird ebenfalls die Überzeugung des
Gesetzgebers deutlich, dass ein erfolgreicher Datenschutz
nicht ohne Datensicherheit erfolgen kann.
Im Rahmen der DSGVO ist Art. 5 Abs. 1 lit. f DSGVO ein maß-
geblicher Grundsatz für die Verarbeitung personenbezogener
Daten. Demnach dürfen diese Daten nur in einer Weise ver-
arbeitet werden, die eine angemessene Sicherheit der perso-
nenbezogenen Daten gewährleistet, einschließlich Schutz
vor unbefugter oder unrechtmäßiger Verarbeitung und vor
unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder
unbeabsichtigter Schädigung durch geeignete technische und
organisatorische Maßnahmen („Integrität und Vertraulich-
keit“).
Als Konkretisierung dieses Grundsatzes ist insbesondere
Art. 32 DSGVO zu nennen. Demnach müssen der Verantwort-
liche und der Auftragsverarbeiter unter Berücksichtigung des
Stands der Technik, der Implementierungskosten und der Art,
des Umfangs, der Umstände und der Zwecke der Verarbeitung
sowie der unterschiedlichen Eintrittswahrscheinlichkeit und
Schwere des Risikos für die Rechte und Freiheiten natürlicher
Personen geeignete technische und organisatorische Maß-
nahmen implementieren, um ein dem Risiko angemessenes
Schutzniveau zu gewährleisten.
Ein wesentlicher Maßstab für die „dem Risiko angemessenen“
Maßnahmen ist der Stand der Technik. Aber auch hier steht
der Rechtsanwender vor dem Problem, dass dieser Begriff
keine konkreten Maßnahmen bereithält. Zur weiteren Kon-
kretisierung dieses Maßstabs hilft eine Entscheidung des
BVerfG (Beschluss vom 8. August 1978, Az. 2 BvL 8/77). In die-
sem Beschluss hat das Gericht den „Stand der Technik“ vom
„Stand der Wissenschaft und Technik“ sowie den „allgemein
anerkannten Regeln der Technik“ abgegrenzt. Mit den „allge-
mein anerkannten Regeln der Technik“ sei die herrschende
Auffassung unter den technischen Praktikern angesprochen.
Demgegenüber stelle der „Stand der Technik“ einen höheren
Maßstab dar, bei dem die technische Entwicklung stetig mit-
verfolgt werden muss. Der „Stand von Wissenschaft und Tech-
nik“ adressiere schließlich die neuesten wissenschaftlichen
Erkenntnisse. Daraus abgeleitet können dann Maßnahmen
erforderlich werden wie Pseudonymisierung und Verschlüs-
selung personenbezogener Daten sowie ein Verfahren zur
regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und organisatorischen Maß-
nahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Des Weiteren wird es von der DSGVO auch unter Sicherheit
der Datenverarbeitung verbucht, wenn Störungen gemäß
Art. 33 DSGVO der Aufsichtsbehörde gemeldet und gemäß
Art. 34 DSGVO die betroffene Person benachrichtig wird.
Eine weitere Konkretisierung der Vorgaben der DSGVO findet
letztlich durch die Rechtsprechung statt. Im Übrigen bieten
Verhaltensregeln und Zertifizierungen einen guten Anhalts-
punkt für die vorzunehmenden Maßnahmen. Verhaltensre-
geln sind von Branchenverbänden erstellte Leitlinien, die,
wenn sie die Vorgaben des Art. 40 Abs. 2 DSGVO erfüllen, von
der zuständigen Aufsichtsbehörde genehmigt und veröffent-
licht werden. Handelt es sich um Verhaltensregeln für meh-
rere Mitgliedstaaten, so muss nicht nur die Aufsichtsbehörde
zustimmen, sondern auch der Europäische Datenschutzaus-
schuss und die Europäische Kommission. Zertifizierungen
sind – anders als Verhaltensregeln – nicht auf eine Branche
bezogen, sondern nur auf eine bestimmte Verarbeitungstä-
tigkeit. Eine Zertifizierungsstelle im Sinne des Art. 43 DSGVO
kann diese Zertifizierung nach Unterrichtung der Aufsichtsbe-
hörde erteilen. Soweit sich Verantwortliche und Auftragsverar-
beiter an genehmigte Verhaltensregeln oder Zertifizierungen
halten, gilt dies gemäß Art. 32 Abs. 3 DSGVO als ein Faktor, um
die durch Art. 32 DSGVO aufgestellten Anforderungen nachzu-
weisen. Weil die DSGVO aber noch relativ jung ist, müssen der-
DFN-Infobrief Recht 07 / 2019 | Seite 9
artige Verhaltensregeln und Zertifizierungen aber erst noch
erstellt werden.
III. IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz betrifft nur einen Ausschnitt der IT-
Sicherheit, indem es nur Kritische Infrastrukturen betrifft. Dies
sind Einrichtungen besonderer Sektoren mit herausragender
Bedeutung für das staatliche Gemeinweisen. Zu den Sektoren
gehören Energie, Informationstechnik, Telekommunikation,
Wasser, Ernährung, Gesundheit, Finanz- und Versicherungs-
wesen sowie Transport und Verkehr. Aber nicht alle Infrastruk-
turen in diesen Sektoren sind direkt Kritische Infrastrukturen.
Hinzukommen muss, dass die Infrastruktur einen in einer Ver-
ordnung zum IT-Sicherheitsgesetz festgeschriebenen und vom
jeweiligen Sektor abhängigen Schwellenwert überschreitet.
Im Sektor Wasser muss zum Beispiel eine bestimmte Wasser-
menge verarbeitet werden.
Wenn dies der Fall ist, muss der Betreiber der Kritischen Inf-
rastruktur ebenfalls organisatorische und technische Maß-
nahmen ergreifen. Allerdings sind die Anforderungen an diese
höher. Daneben muss eine Kontaktstelle eingerichtet werden
und es muss gegenüber dem Bundesamt für Sicherheit in der
Informationstechnik (BSI) regelmäßig nachgewiesen werden,
dass die erforderlichen Maßnahmen ergriffen wurden. Im Stö-
rungsfall muss dem BSI Meldung gemacht werden.
Zuletzt wurde das Vorhaben „IT-Sicherheitsgesetz 2.0“ forciert,
mit dem das aus 2015 stammende IT-Sicherheitsgesetz refor-
miert werden soll. Unter anderem soll der Adressatenkreis
erweitert werden. Es soll nicht mehr nur Kritische Infrastruk-
turen geben, sondern auch Infrastrukturen im besonderen
öffentlichen Interesse und solche mit Cyberkritikalität. Infra-
strukturen im besonderen öffentlichen Interesse sind solche
Einrichtungen aus dem Bereich Rüstung, Börse sowie Kultur
und Medien. Infrastrukturen mit Cyberkritikalität sind Ein-
richtungen, die selbst nicht als kritisch einzustufen sind, aber
derart mit Kritischen Infrastrukturen vernetzt sind, dass diese
gefährdet wären, wenn die Einrichtung ausfallen würde. Dane-
ben sollen die Befugnisse des BSI erweitert, ein freiwilliges IT-
Sicherheitskennzeichen eingeführt und der Vertrieb von für
Kritische Infrastrukturen wesentliche Komponenten reguliert
werden. Im Rahmen der Strafverfolgung sollen neben strafpro-
zessualen Änderungen auch neue Straftatbestände begründet
werden. Zuletzt sind auch Änderungen im Telemediengesetz
(TMG) und Telekommunikationsgesetz (TKG) geplant. Ob die im
Referentenentwurf enthaltenen Vorschläge aber tatsächlich
derart das Gesetzgebungsverfahren passieren, bleibt noch
abzuwarten. Deutlich wird jedenfalls, dass nach dem Willen
des Gesetzgebers dem Thema der IT-Sicherheit in Zukunft
erhöhte Aufmerksamkeit zukommen soll.
IV. Zusammenfassung
Dieser kurze Überblick hat gezeigt, dass das Thema der „IT-
Sicherheit“ aus rechtlicher Sicht vielfältig beleuchtet werden
kann. Insbesondere durch die DSGVO und zukünftig durch die
Änderungen des IT-Sicherheitsgesetzes 2.0 unterliegt diese
Thematik einem ständigen Wandel. Hochschulen und For-
schungseinrichtungen sind vor Gefahren bei der IT-Sicherheit
nicht gefeit und sollten sich deswegen im besonderen Maße
mit der IT-Sicherheit – auch aus rechtlicher Perspektive – aus-
einandersetzen.
DFN-Infobrief Recht 07 / 2019 | Seite 10
Impressum
Der DFN-Infobrief Recht informiert über aktuelle Entwicklungen in Gesetzgebung und Rechtsprechung und daraus resultierende
mögliche Auswirkungen auf die Betriebspraxis im Deutschen Forschungsnetz.
Herausgeber
Verein zur Förderung eines Deutschen Forschungsnetzes e. V.
DFN-Verein
Alexanderplatz 1, D-10178 Berlin
E-Mail: [email protected]
Redaktion
Forschungsstelle Recht im DFN
Ein Projekt des DFN-Vereins an der WESTFÄLISCHEN WILHELMS-UNIVERSITÄT, Institut für Informations-, Telekommunikations- und
Medienrecht (ITM), Zivilrechtliche Abteilung
Unter Leitung von Prof. Dr. Thomas Hoeren
Leonardo-Campus 9
D-48149 Münster
E-Mail: [email protected]
Nachdruck sowie Wiedergabe in elektronischer Form, auch auszugsweise, nur mit schriftlicher Genehmigung des DFN-Vereins
und mit vollständiger Quellenangabe.