Letzte Woche hat das Bundesinnenministerium einen neuen Referentenentwurf für das Zweite Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) veröffentlicht (pdf).
Mit dem Vorschlag sollen unter anderem auch Anpassungen an dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vorgenommen werden (Artikel 1 des Referentenentwurfs).
Eine von vielen interessanten und praktisch relevanten Schnittmengen zum Datenschutzrecht findet man in dem Vorschlag, eine Pflicht zum Einsatz von Systemen zur Angriffserkennung (§ 8a Abs. 1a und 1b BSIG-E) einzuführen.
Nach § 2 Abs. 9b BSIG-E handelt es sich bei „Systemen zur Angriffserkennung“ um durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die Angriffserkennung erfolgt dabei durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten. Der Entwurf sieht also eine Legaldefinition dieser Systeme vor.
Die eigentliche Pflicht zum Einsatz solcher Systeme findet sich in § 8a Abs. 1a BSIG-E:
„Die Verpflichtung nach Absatz 1 Satz 1, angemessene organisatorische und technische Vorkehrungen zu treffen, umfasst spätestens ein Jahr nach Inkrafttreten dieses Gesetzes auch den Einsatz von Systemen zur Angriffserkennung. Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.“
Der Referentenentwurf sieht die Systeme zur Angriffserkennung damit als Teil der allgemein umzusetzenden organisatorische und technische Vorkehrungen. Hieraus lässt sich bereits ein erster Brückenschlag zum Datenschutzrecht, konkret Art. 32 DSGVO, vornehmen. Auch dort wird allgemein die Pflicht zur Umsetzung von technischen und organisatorischen Schutzmaßnahmen vorgesehen. Eine solche allgemeine Pflicht findet sich in dem aktuellen § 8a Abs. 1 BSIG, wonach Betreiber Kritischer Infrastrukturen verpflichtet sind, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.
Mit dem Vorschlag zu § 8a Abs. 1a und 1b BSIG-E werden Betreiber Kritischer Infrastrukturen konkretisierend dazu verpflichtet, in Kritischen Infrastrukturen Systeme zur Angriffserkennung einzusetzen und bestimmte Daten für mindestens vier Jahre zu speichern (dies ergibt sich aus dem vorgeschlagenen Abs. 1b).
Der Referentenwurf ordnet § 8a Abs. 1a BSIG-E als Ergänzung der Verpflichtung der Betreiber Kritischer Infrastrukturen ein, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Diese Pflicht umfasst mit der Ergänzung nach der Begründung nun auch ausdrücklich Systeme zur Angriffserkennung (S. 67 des Entwurfs).
Bereits aus der vorgeschlagenen Legaldefinition (§ 2 Abs. 9b BSIG-E) ergibt sich, dass eine solche Angriffserkennung dabei meist durch Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten, erfolgt. Das System basiert also quasi auf einer Datenverarbeitung und einem Datenabgleich.
Nach der Begründung in dem Referentenwurf (S. 68) können sich darunter natürlich auch personenbezogene Daten befinden. Beispiele werden nicht genannt, man kann aber etwa an IP-Adressen, MAC-Adressen oder auch Geräte-IDs denken. Das BSIG-E lässt die Vorgaben der DSGVO zum Umgang mit personenbezogenen Daten selbstverständlich unangetastet. Daher verweist das BMI in der Begründung, für die Frage der rechtlichen Zulässigkeit des Datenabgleichs, auch auf die DSGVO.
„Soweit die Verarbeitung personenbezogener Daten für die Angriffserkennung erforderlich ist, sind Betreiber Kritischer Infrastrukturen nach § 8a Absatz 1a nun auch ausdrücklich dazu verpflichtet. Die Regelung enthält daher eine rechtliche Verpflichtung im Sinne von Artikel 6 Absatz 1 Buchstabe c DSGVO zur Verarbeitung personenbezogener Daten.“
Mit dem vorgeschlagenen § 8a Abs. 1a BDSIG-E möchte das BMI also eine rechtliche Verpflichtung zur Datenverarbeitung schaffen. Diese Begründung ist unter zwei Gesichtspunkten interessant:
- Zum einen geht die Begründung (zumindest nicht ausdrücklich) näher auf die Anforderungen nach Art. 6 Abs. 3 und 4 DSGVO ein. Danach muss der Zweck der Verarbeitung in der Rechtsgrundlage festgelegt sein. Jedoch lässt sich der Zweck der hier durchgeführten Datenverarbeitung aber mE auch aus dem Text des Abs. 1a entnehmen. Es müssen geeignete Parameter bzw. Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfasst und ausgewertet werden können; zudem ist Ziel, dass die Systeme dazu in der Lage sind, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.
- Mit diesem Vorschlag und der begründenden Verweisung auf Art. 6 Abs. 1 lit. c DSGVO ist mE gleichzeitig die Tendenz erkennbar, gesetzliche Pflichten zur Umsetzung von technischen und organisatorischen Schutzmaßnahmen als Rechtsgrundlage einer dafür erforderlichen Datenverarbeitung anzusehen. Ich vertrete und begründe diese Auffassung mit Blick auf Art. 32 DSGVO etwa in meinem Beitrag („Sicherheit der Verarbeitung“ als gesetzlicher Erlaubnistatbestand) in der Festschrift für Prof. Jürgen Taeger.
Rein praktisch stellen sich für Betreiber von Kritischen Infrastrukturen dann noch nachfolgende datenschutzrechtliche Fragen, wie etwa die Aufnahme der Verarbeitung (also des Systems zur Angriffserkennung ins Verzeichnis der Verarbeitungstätigkeiten) oder auch die Erfüllung von Informationspflichten nach Art. 13/14 DSGVO. Insbesondere hinsichtlich der Informationspflichten kann ggfs. die Ausnahme nach Art. 13 Abs. 4 DSGVO einschlägig sein. Eventuell sollte das BMI oder der Gesetzgeber insgesamt aber auch noch klarstellend eine ausdrückliche gesetzliche Ausnahme vorsehen. Zu denken ist hier auch an die Situation der Dritterhebung (Art. 14 DSGVO), wenn die in dem System der Angriffserkennung also nicht direkt bei den Betroffenen erhoben werden. Dann könnten sich Unternehmen eventuell auf die Ausnahme nach Art. 14 Abs. 5 b DSGVO berufen.