Im Nachgang zu dem „Doxing-Skandal 2018/2019“ hat das Bundesjustizministerium im Januar 2019 ein Thesenpapier veröffentlicht (unten als Download), dem weitere Maßnahmen einer eventuellen zukünftigen Gesetzgebung im Bereich IT-Sicherheit zu entnehmen sind. Dies sind in aller Kürze:
- IT-Sicherheit mit Updateverpflichtung: Es soll EU-weit einheitliche und rechtlich verbindliche Standards geben, die den Herstellern und Diensteanbietern klare Anforderungen zur IT-Sicherheit auferlegen. Diese Standards sollten über die gesetzlichen Mindestanforderungen hinausgehen und eine mehrjährige Update-Verpflichtung des Herstellers enthalten.
- Produkthaftung: Auch fehlerhafte Software soll unter das Produkthaftungsregime fallen und mangelnde IT-Sicherheit muss einen Produktfehler begründen. (Hinweis: Grundsätzlich gilt die Produkthaftung auch jetzt bei Software)
- Stärkung im Datenschutz: Es soll eine Stärkung der Datenschutzbehörden erfolgen (fraglich wie, es geht um Landesbehörden, wo der Bund nicht wirklich eingreifen kann). Weiterhin soll ein verbesserter Schutz in die EU-ePrivacy-Verordnung (was auch skeptisch gesehen werden kann, nach meiner Wahrnehmung blockt genau hier die deutsche Regierung?).
- Wettbewerbsrecht: Es soll ausdrücklich die Anwendbarkeit des Gesetzes gegen den unlauteren Wettbewerb auf Datenschutzverstöße klargestellt werden: „Wenn Daten von Verbraucherinnen und Verbrauchern missbräuchlich verwendet wurden und dadurch Gewinne erzielt werden, dann dürfen diese nicht bei dem bleiben, der das Recht verletzt hat.“. Hier wird fraglich sein, ob man wenigstens so klug ist, nur bestimmte Verstöße/Klauseln dem UWG zu unterstellen – oder ob am Ende dann doch massenhaft Abmahnungen wegen Formfehler in Datenschutzerklärungen auf Webseiten folgen können. Wichtig ist auch, dass man über das Instrument der „Gewinnabschöpfungsklage“ nachdenkt.
- Online-Dienste in die Pflicht nehmen: Eher unscheinbar ist der Satz „Ein gehacktes Nutzerkonto bei einem Online-Dienst muss schnell und unkompliziert gesperrt werden können.“. Gemeint ist aber wohl, dass Online-Dienste klare Ansprechpartner mit kurzen Reaktionszeiten bereit halten müssen. Es bleibt abzuwarten ob man das wirklich angeht in einer Zeit, in der es als Erfolg verbucht werden muss, dass man bei Google überhaupt mal Mails liest.
- Long Term Support: Ich bin mir nicht sicher, man schreibt unter dem Stichpunkt nachhaltige Sicherheit „Durch das Auslaufen des Software-Supports werden zum Teil Neuanschaffungen erzwungen“ und möchte erreichen, dass Software länger gepflegt wird. Ich vermute, dass für bestimmte Bereiche eine Art LTS begründet werden soll, wobei kritische Systeme schon heute langjährige Pflegepakete haben (und man oben ja schon die Updateverpflichtung angesprochen hat). Hier ist mir nicht ganz klar, wo man hin will … durch den pauschalen Verweis auf die EU könnte es sich aber auch mehr um einen unkonkreten Fülltext handeln.
Für mich zeigt sich eines deutlich mit der nunmehrigen Liste des BMJV: So unverbindlich es klingt, darf man wohl davon ausgehen, dass wir zeitnah ein IT-Sicherheitsgesetz 2 erleben werden. Dieses dürfte sich auf Online-Dienste und Softwareregeln konzentrieren. Weiterhin wird der deutsche Gesetzgeber – das macht er nun mal am liebsten – versuchen die Sanktionsschraube zu drehen. Schon fast unweigerlich dürften daher Klarstellungen im UWG zu erwarten sein, damit DSGVO-Verstöße dann definitiv erfasst sind. Datenschutzrecht und Softwarerecht werden den Bereich der IT-Sicherheit möglicherweise beherrschen, jedenfalls verstehe ich so die hier vorgenommenen Ankündigungen.
