11.04.2019

IT-Sicherheitsgesetz 2.0 – Referentenentwurf von März 2019

Portrait von Paul Voigt
Paul Voigt Rechtsanwalt und Fachanwalt für Informationstechnologierecht im Berliner Büro der internationalen Wirtschaftskanzlei Taylor Wessing

Die Bundesregierung überarbeitet zurzeit das IT-Sicherheitsgesetz von 2015. Ein nun bekannt gewordener Referentenentwurf des Bundesministeriums des Innern, für Bau und Heimat (BMI) v. 27.3.2019 (RefE) zeigt, in welchen Richtungen Änderungen zu erwarten sind:

(1) Der Kreis der betroffenen Unternehmen wie auch die ihnen auferlegten Pflichtenwerden erweitert; (2) das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält weitreichende zusätzliche Kompetenzen; (3) schließlich werden Straftatbestände erweitert und die Möglichkeiten der Strafverfolgungsbehörden ausgeweitet.

Nicht zuletzt wird die Höhe möglicher Bußgelder drastisch erhöht – sie sollen auf DSGVO-Niveau steigen. Alleine das sollte für die betroffenen Unternehmen Anreiz genug sein, sich gründlich mit den Änderungen zu befassen.

  1. Wen betrifft das neue Gesetz?

Der Adressatenkreis der IT-sicherheitsrechtlichen Vorschriften soll durch das IT-Sicherheitsgesetz 2.0 deutlich erweitert werden (zum bisherigen Adressatenkreis des BSI-Gesetzes – Betreiber kritischer Infrastrukturen und Anbieter bestimmter digitaler Dienste – siehe Voigt, IT-Sicherheitsrecht, 2018, Rn. 352 ff. und 386 ff.).

Zum einen sollen die Pflichten des BSI-Gesetzes weiteren Unternehmen auferlegt werden:

  • Zu den „kritischen Infrastrukturen“ sollen zukünftig auch Einrichtungen des Entsorgungs-Sektors zählen, wenn sie „von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden“ (Art. 1 Nr. 1 lit. d RefE; bisher umfasst: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen).
  • Die neue Kategorie „Infrastrukturen im besonderem öffentlichen Interesse“ unterwirft Unternehmen den gleichen Pflichten wie kritische Infrastrukturen. Unter diese neue Kategorie sollen Unternehmen der Rüstungswirtschaft und bestimmte börsliche Infrastrukturen genauso gehören wie Unternehmen im Bereich Kultur und Medien mit hoher Bedeutung für das Funktionieren des Gemeinwesens; genauere Details sollen durch Rechtsverordnung bestimmt werden (Art. 1 Ziff. 1 lit. e RefE / Abs. 14). Die Gesetzesbegründung zählt auch die Automobil- und Chemiebranche hinzu, diese finden sich aber nicht im eigentlichen Gesetz des RefE.
  • Auch Betreibern mit „Cyberkritikalität“ soll das BSI diese Pflichten im Einzelfall auferlegen können. Darunter fallen nicht nur Unternehmen, die wegen ihrer unzureichenden Bedeutung keine „kritische Infrastrukturen“ sind, sondern auch Unternehmen, die Anlagen der Kommunikationsinfrastruktur oder IT-Infrastruktur für die Trinkwasserversorgung betreiben, soweit deren Anlagen derart vernetzt mit anderen Einrichtungen sind, dass ihr Ausfall den Ausfall kritischer Dienstleistungen herbeiführen kann (Art. 1 Ziff. 16 RefE / § 8g).

Zum anderen enthält der RefE v. 27.3.2019 neue Pflichten für:

  • Hersteller bestimmter IT-Kernkomponenten für kritische Infrastrukturen (sog. „KRITIS-Kernkomponenten“) sowie Hersteller von sonstigen IT-Komponenten mit Relevanz für kritische Infrastrukturen (Art. 1 Ziff. 1 lit. e RefE / Abs. 13) und
  • Anbieter von Telekommunikationsdiensten (TK-Diensten; Art. 2 RefE) sowie
  • Anbieter von Telemediendiensten (Art. 3 RefE).

 

  1. Was sind die neuen materiellen Pflichten?

Auch die materiellen IT-sicherheitsrechtlichen Pflichten werden durch den Entwurf deutlich erweitert (zu den bereits geltenden Pflichten siehe Voigt, IT-Sicherheitsrecht, 2018, Kapitel D).

Betreiber kritischer Infrastrukturen sollen verpflichtet werden,

Hersteller von IT-Produkten und KRITIS-Kernkomponenten sollen verpflichtet werden, erhebliche Störungen in Verfügbarkeit oder Integrität ihrer Produkte an das BSI zu melden, soweit Relevanz für kritische Infrastrukturen oder Infrastrukturen im besonderen öffentlichen Interesse besteht (Art. 1 Ziff. 16 RefE / § 8h).

Hersteller von KRITIS-Kernkomponenten sollen darüber hinaus vor deren Vertrieb eine Vertrauenswürdigkeitserklärung über die gesamte Lieferkette abgeben müssen. Den genauen Inhalt dieser Erklärung soll das Bundesinnenministerium (BMI) bestimmen (Art. 1 Ziff. 13 lit. b RefE).

Anbieter von TK-Diensten und Telemediendiensten sollen durch Änderungen des TKG bzw. des TMG verpflichtet werden,

Anbieter von TK-Diensten sollen darüber hinaus verpflichtet werden,

Das BSI soll zudem folgende neuen Befugnissen und Aufgaben erhalten:

  1. Was ändert sich bei Bußgeldern und im Strafrecht?

Der mögliche Bußgeldrahmen bei Verstößen gegen Pflichten aus dem BSI-Gesetz soll drastisch erhöht werden. Er soll zukünftig bis zu 10 Mio EUR bzw. 2% des gesamten weltweiten Unternehmensumsatzes des Vorjahres betragen, je nachdem, welcher Wert im Einzelfall höher ist. Für einzelne Tatbestände soll der Bußgeldrahmen sogar auf bis zu 20 Mio EUR bzw. 4% des Umsatzes steigen (Art. 1 Ziff. 21 RefE / § 14 Abs. 2).

Der Katalog der Bußgeldtatbestände soll entsprechend der neuen materiellen Vorschriften umfangreich erweitert werden (Art. 1 Ziff. 21 RefE / § 14 Abs. 1).

Zugleich werden zahlreiche Änderungen im Strafrecht vorgeschlagen:

  • Die „unbefugte Nutzung informationstechnischer Systeme“ soll neu unter Strafe gestellt werden, § 202e StGB (Art. 4 Ziff. 4 RefE);
  • ebenso die „Zugänglichmachung von Leistungen zur Begehung von Straftaten“, § 126a StGB (Art. 4 Ziff. 2 RefE).
  • Der Strafrahmen für zahlreiche Datenstraftaten soll drastisch auf bis zu fünf Jahren Freiheitsstrafe erhöht werden (Art. 4 Ziff. 3 RefE); in besonders schweren Fällen (etwa bandenmäßige Begehung, (geheimdienstliche) Tätigkeit für eine fremde Macht oder beabsichtigter Ausfall kritischer Infrastruktur) soll Freiheitsstrafe bis zu zehn Jahren möglich sein, §§ 99 und 202f StGB (Art. 4 Ziff. 1 RefE und Art. 4 Ziff. 4 RefE).

Den Strafverfolgungsbehörden soll durch Änderungen der Strafprozessordnung ermöglicht werden, die Instrumente der Telekommunikationsüberwachung, Online-Durchsuchung und Verkehrsdatenabfrage auch in Fällen bestimmter Datenstraftaten einzusetzen (Art. 5 Ziff. 1-3 RefE). Neu geschaffen werden soll zudem:

  • die Möglichkeit des Zugriffs auf Nutzerkonten in TK- und Telemediendiensten und
  • die Befugnis, diese Nutzerkonten auch unter der Identität des Verdächtigen im Kontakt mit Dritten zu nutzen.
  • Der Verdächtige soll dabei verpflichtet sein, seine Zugangsdaten herauszugeben (Art. 5 Ziff. 4 RefE).

Fazit

Insgesamt würde bei Verabschiedung des RefE der Anwendungsspielraum der IT-sicherheitsrechtlichen Verpflichtungen deutlich erweitert und die Relevanz des IT-Sicherheitsrechts deutlich erhöht– auch durch die erhöhten Sanktionen bei einem Fehlverhalten.

Zurück