In der gestrigen Ausgabe der FAZ hat der deutsche Bundesinnenminister, Dr. de Maizière, in einem umfangreichen Beitrag (hier eine kurze Zusammenfassung) zu seiner persönlichen Vorstellung und auch der Aufgabe seines Ministeriums im Politikfeld „Digitale Agenda“ Stellung genommen. Egal wie man zu dem Beitrag und seinen Aussagen inhaltlich steht, lesen sollten ihn jeder, der sich privat oder beruflich mit der Digitalisierung auseinandersetzt.
Der Innenminister erkennt mit Blick auf das Internet und die Digitalisierung derzeit drei wichtige ordnungspolitische Vorhaben für sein Ministerium: Die Verabschiedung eines IT-Sicherheitsgesetzes, die Verabschiedung der Datenschutz-Grundverordnung und intensive Verhandlungen auf internationaler Ebene zur globalen Dimension der Digitalisierung. Die beiden ersten möchte hier etwas näher beleuchten.
Verabschiedung des ersten IT-Sicherheitsgesetzes
Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen, so der Minister, zu den sichersten der Welt werden. Das geplante IT-Sicherheitsgesetz geht diese Woche in die Ressortabstimmung. Inhaltlich sei das Gesetz von folgendem Grundprinzip beseelt: wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken. Diese Idee ist dem Recht nicht fremd. Sie liegt etwa den Verkehrssicherungspflichten zugrunde (wer auf öffentlicher Straße eine Grube gräbt, muss für effiziente Absperrung sorgen). Die Fragen, die sich im Zuge der Diskussionen um das Gesetz stellen könnten, sind diejenigen nach dem erforderlichen Grad des Risikos und wann man ein solches „schafft“? Ist es etwa ausreichend, dass ein Unternehmen einen unverschlüsselten E-Mail Dienst anbietet? Oder einen Internetdienst für hunderttausende Kunden unverschlüsselt betreibt? Reicht dies, um ein Risiko zu schaffen? Muss es sich bei dem Risiko bereits um eine konkrete Gefahr handeln oder ist doch die abstrakte Wahrscheinlichkeit ausreichend? Bestehen also quasi anlasslose Pflichten für Schutzvorkehrungen, weil ein gewisses Grundrisiko nie ganz auszuschließen ist? Zudem wird es wichtig sein zu klären, worauf sich die Risiken beziehen müssen. Allgemein auf die Interessen von Betroffenen oder zumindest doch auf (konkret festgelegte) geschützte Rechtspositionen? Der Innenminister nennt zudem eine Form der Eskalation der Schutzvorkehrungen: je höher das Risiko für die Gesellschaft, desto höhere Anforderungen an die Schutzmaßnahmen.
Gegliedert sind die Pflichten dem Beitrag zufolge nach verschiedenen Branchen der Wirtschaft. Adressaten der Pflichten sind die in diesen Branchen tätigen Unternehmen. Dazu gehören etwa der Bereich Energie, Informationstechnik, Verkehr, Gesundheit und auch das Finanzwesen. Es geht darum, einheitlich Standards innerhalb der Branchen entstehen zu lassen. Der Inhalt der jeweiligen Branchenstandards soll durch die Unternehmen zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgearbeitet und branchenspezifisch angepasst werden.
Zwar soll für Unternehmen auch grundsätzlich eine Meldepflicht bei Cyber-Angriffen eingeführt werden. Diese kann jedoch, solange es noch nicht zu einem gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur gekommen ist, auch anonym an das BSI erfolgen. Diese Initiative scheint aus meiner Sicht durchaus einen positiven Anreiz bereit zu halten. Unternehmen könnten so dazu animiert werden, frühzeitig zu melden und das BSI mit Informationen zu versorgen. Die Frage wird freilich sein, welche Kriterien für die Bestimmung eines „gefährlichen Ausfalls“ oder „einer Beeinträchtigung der kritischen Infrastruktur“ aufgestellt werden und wie einfach diese praxisgerecht von Unternehmen im konkreten Fall als Maßstab anzuwenden sind. Der Anreiz würde wohl verpuffen, wenn es heißt: im Zweifel identifizierende Meldung.
Verabschiedung der Datenschutz-Grundverordnung
Auch befasst sich der Beitrag mit der geplanten Datenschutz-Grundverordnung. Diese besitze „überragende Bedeutung“. Und Herr de Maizière stellt zutreffend fest: „Sie wird unser liebevoll gestricktes deutsches Datenschutzrecht komplett“ ersetzen. Die Verhandlungen hierzu sollten nach dem Innenminister als Chance genutzt werden, um in dem geplanten Gesetz auch Antworten auf Fragen zu geben, die sich mit Blick auf neue Technologien und Phänomene wie Big Data, Cloud-Computing und das Internet der Dinge stellen. Dieser Ansatz ist meines Erachtens zu begrüßen, denn wie der Minister richtig erkennt, sind die derzeit geltenden Regelungen natürlich nicht mehr zeitgemäß. Sie müssen angepasst werden. Dies sollte daher im Rahmen der derzeitigen Verhandlungen erfolgen. Wenn sich die Beratungen aufgrund der Berücksichtigung des technologischen Fortschritts und dem Umgang hiermit im Datenschutzrecht dann „verzögern“ (dieser Vorwurf wird sicherlich erhoben werden), so ist dies nicht negativ zu bewerten und sollte nicht zu gesetzgeberischen Kurzschlussreaktionen führen.
Inhaltlich möchte der Minister neben den bekannten Schutzmechanismen für die Betroffenen (wie Einwilligung und Informationspflichten) weitere Maßnahmen vorsehen, die dann greifen sollen, wenn die bisherigen Konzepte an ihre Grenze stoßen. Er nennt etwa das Beispiel, dass eine Information des Betroffenen verlangt wird, diese jedoch erst erfolgen kann, wenn der Betroffene vorher identifiziert wird. Also eine Datenerhebung um Daten zu schützen. Man wird abwarten müssen, wie die Vorschläge zur Ausgestaltung der Datenschutz-Grundverordnung hier konkret aussehen werden. Der Minister spricht von zusätzlichen Schutzmechanismen, die dann greifen sollen, wenn etwa das Instrument der Einwilligung praktisch nicht mehr umsetzbar ist.