IT-Sicherheitsgesetz: BVDW sieht noch erheblichen Anpassungs- und Diskussionsbedarf – Wirtschaft muss enger eingebunden werden

Das Bundesinnenministerium hatte hierzu zunächst die Möglichkeit gegeben, Stellungnahmen bis zum 6. Dezember einzureichen. Nachdem daran deutliche Kritik laut wurde, kann nun bis zum 9. Dezember Stellung genommen werden.  Auch der BVDW kritisiert die sehr kurzen Fristen. Inwieweit Eingaben durch die Verbände zudem in weiteren Ressortabstimmungen noch ausreichend berücksichtigt werden können, ist fraglich.

Aus Sicht des BVDW besteht Einigkeit darüber, dass eine Erhöhung der IT-Sicherheit für Staat, Wirtschaft und Gesellschaft zu begrüßen ist. Zu begrüßen ist auch, dass der dritte Referentenentwurf einige Diskussions- und Kritikpunkte zu den beiden vorangegangenen Referentenentwürfen aufgreift und Bemühungen ersichtlich sind, die Rechtssicherheit weiter zu erhöhen.

Gleichwohl besteht mit Blick auf den vorliegenden Diskussionsentwurf noch erheblicher Anpassungs- und Diskussionsbedarf. Zu fordern ist, auf Selbstregulierung und Eigenverantwortung der Unternehmen zu setzen sowie auf eine stärkere Einbindung der Wirtschaft, um über eine starke Zusammenarbeit eine hohe und an den tatsächlichen Herausforderungen ausgerichtete IT-Sicherheit im Interesse von Staat, Wirtschaft und Gesellschaft sicherzustellen. Falsch ist der Ansatz, eine Reihe der damit verbundenen Aufgaben primär dem BSI aufzuerlegen – in Kürze:

1. Anpassungsbedarf besteht mit Blick auf die Regelungen zu „Unternehmen im besonderen öffentlichen Interesse“. Fraglich ist dabei zunächst, welche Kriterien für eine „erhebliche volkswirtschaftliche Bedeutung“ und im Zusammenhang mit der „erbrachten Wertschöpfung von besonderem öffentlichen Interesse sind“ zu Grunde zu legen sind. Ebenso wenig ist dem neuen Referentenentwurf eine Definition oder Präzisierung sog. „kritischer Kernkomponenten“ zu entnehmen. Es braucht klare gesetzliche Regelungen.
2. Aus den Regelungen muss sich ein gesetzlicher Rahmen ergeben, über welchen Unternehmen Investitionsentscheidungen auf gesicherter Grundlage in die richtige Richtung lenken können. Demgegenüber muss etwa bei Regelungen zur Untersagung der Nutzung kritischer Kernkomponenten ein massiver Eingriff in bereits getroffene Investitionsentscheidungen unbedingt vermieden werden. Die Auswirkungen für künftige und auf bereits getroffene Investitionsentscheidungen müssen grundsätzlich stärker in den Blick genommen werden.
3. Die Regelungen im Zusammenhang mit flächendeckenden Portscans des BSI sind abzulehnen. Insbesondere auch die Weitergabe von Daten an Strafverfolgungsbehörden und Nachrichtendiensten werden kritisch gesehen und müssen noch einmal eingehend geprüft werden. Gleiches gilt für anlasslose Prüfmöglichkeiten, die Befugnisse zu Bestandsdatenauskünften und für die Auswertungsmöglichkeiten von Protokollierungsdaten durch das BSI. Kritisch anzumerken ist dabei insbesondere auch, dass die aktuelle verfassungsrechtliche Rechtsprechung zur Abfrage von TK-Bestandsdaten (Urteil des Bundesverfassungsgerichts vom 27.05.2020 – 1 BvR 1873/13, 1 BvR 2618/13) sowie die aktuelle europarechtliche Rechtsprechung im Zusammenhang mit der Verwendung von „IP-Vorratsdaten“ (EuGH-Urteil vom 6.10.2020, C-511/18, C-512/18, C-520/18) noch nicht berücksichtigt wurden. Gerade weil der neue Referentenentwurf auch eine stärkere Einschränkung von Grundrechten vorsieht, sollten auch wieder verstärkt richterliche Kontrollmöglichkeiten aufgenommen werden.
4. Im Zusammenhang mit dem sog. „Hackerparagraphen“ muss auch weiterhin berücksichtigt werden, dass sich betroffene Unternehmen erheblichen Schadensrisiken ausgesetzt sehen. Selbst wenn noch eine Vorankündigungspflicht geregelt werden würde, müsste eine solche Regelung im Interesse der betroffenen Unternehmen umfassende Informationspflichten enthalten.
5. Darüber hinaus ist noch einmal kritisch zu hinterfragen, ob alle Diensteanbieter von Telemedien verpflichtet werden sollen, umfassende Sperrverpflichtungen zu erfüllen. Hier sollten insbesondere KMU und Vereine näher in den Blick genommen und entlastet werden.
6. Auch alle Möglichkeiten, die zu einem Bürokratieabbau beitragen, müssen noch einmal näher geprüft werden. Insbesondere der Regelungsvorschlag im Zusammenhang mit der geforderten Garantieerklärung legt den betroffenen Unternehmen kaum erfüllbare Anforderungen und Nachweispflichten auf. Darüber hinaus sollte kritisch hinterfragt werden, ob das BSI tatsächlich in der Lage sein wird, sämtliche gesetzliche Aufgaben zu bewältigen, denn die bürokratischen Herausforderungen sind nicht nur für die betroffenen Unternehmen enorm. Es muss auch stärker berücksichtigt werden, dass sich die Unternehmen ihrer Verantwortung bewusst sind und dieser bereits selbst Rechnung tragen. Zu begrüßen wäre überdies, wenn für Unternehmen weitere positive Anreize geschaffen werden, um die IT-Sicherheit noch weiter zu erhöhen. Ferner können mit einer stärkeren europäischen Orientierung, etwa an den Cyber-Security-Act, einerseits weitere Synergieeffekte erzeugt werden, um einen deutlichen Bürokratieabbau zu erreichen, andererseits aber auch mehr europäische Harmonisierung erzielt werden.
7. Weiter sollte noch einmal geprüft werden, ob das als Anreiz vorgesehene IT-Sicherheitskennzeichen erforderlich und sinnvoll ist. Durch den Cyber-Security-Act wird auf europäischer Ebene bereits ein freiwilliges Cybersicherheits-Zertifikat eingeführt. Hierdurch können Mehraufwände für Unternehmen vermieden werden und Verbraucher erhalten eine klarere Orientierung.
8. Die Bußgeldvorschriften sind für Unternehmen erheblich und gehen deutlich über das Maß der bisherigen Regelungen hinaus. Gerade auch über den Verweis auf § 30 OWiG wäre eine Geldbuße von bis zu 20 Millionen Euro möglich. Soweit ersichtlich, werden vergleichbare Regelungen in anderen Mitgliedstaaten nicht diskutiert.  Die Bußgeldvorschriften sollten vor diesem Hintergrund noch einmal kritisch hinterfragt und angepasst werden.
9. Gerade im Zusammenhang mit der Debatte um 5G/Huawei werden die vorgesehenen Regelungen nicht dazu führen, die aktuell diskutierten Streitpunkte zu lösen. Auch auf europäischer Ebene dürfte dadurch eine gemeinsame Lösung vielmehr erschwert werden. Die vorliegenden Regelungen sind zudem zu ungenau, eine Umsetzung in der Praxis dürfte nicht bzw. nur sehr schwer möglich sein. Es steht vielmehr zu befürchten, dass sich eine rasche Umsetzung des notwendigen und flächendeckenden Infrastrukturausbaus weiter verzögern wird. Diese Debatte muss einer Lösung zugeführt werden.
10. Es sollte schließlich berücksichtigt werden, ob den Unternehmen nicht mehr Selbstregulierung und Eigenverantwortung zugetraut werden kann. Den Unternehmen sollte die Möglichkeit, Branchenstandards zu erarbeiten und vom BSI anerkennen zu lassen, offengehalten werden. In jedem Falle muss aber die Wirtschaft enger in weitere Diskussionen und Abstimmungen eingebunden werden, da sich eine weitere Erhöhung der IT-Sicherheit nur in engem Schulterschluss mit der Wirtschaft erreichen lässt.

Katharina Rieke, Bereichsleiterin Politik und Gesellschaft: rieke@bvdw.org

Christian Dürschmied, Referent Datenschutz: duerschmied@bvdw.org