1. Methodik dieser Blogserie
Diese Blogserie soll Sie in die Lage versetzen, die grundlegenden Themen der IT- Sicherheit zu verstehen. Zielgruppe sind wie immer die IT- Unternehmen, die wir regelmäßig betreuen.
Das Thema IT- Sicherheit hat in den letzten Jahren viel Fahrt aufgenommen. Teils als Reaktion auf die Vielzahl von Cyberangriffen, teils infolge der Wichtigkeit, die die IT als wesentliche Funktion der Produktions- und Verarbeitungsprozesse bei dem Kunden hat.
Sofern man sich die aktuellen juristischen Publikationen anschaut, hat man das Gefühl, es gäbe viele neue Gesetze, die neue Dinge verlangten und man müsste sich an vielen Stellen neu aufstellen. Ähnlich wie bei dem Start der DSGVO überbieten sich Beratungsunternehmen und wissenschaftliche Berater in Internet und Literatur mit der Darbietung Ihrer Dienste im Hinblick auf große Bedrohungen.
Die Wirklichkeit unserer Kunden sah im Jahr 2024 so aus: Es gab Cyberattack- Fälle und wir haben uns in der Folge mit den Versicherungen unserer Kunden auseinandersetzen müssen. Die Versicherungen verweigerten Ihre Zahlungspflichten mit dem Einwand, die bereits durch unsere Kunden getroffenen technisch organisatorischen Maßnahmen hätten nicht ausgereicht und es läge deshalb grobe Fahrlässigkeit vor. Die zweite Fallgruppe betraf die Fälle, in denen die Endkunden (also die Auftraggeber unserer Kunden) nur dann einen Auftrag erteilen wollten, wenn ein Nachweis über angemessene technisch-organisatorische Maßnahmen bestand.
Zu den neuen Regelungen ist zu sagen, dass diese tatsächlich an einigen Stellen neue Pflichten und Rechtsfolgen begründen; wer sich aber mit dem Thema DSGVO und IT- Sicherheit schon auseinandergesetzt hat, wird feststellen, dass es ein Grundprinzip gibt, das in bestimmten Bereichen nun erweitert wird.
1.2 Orientierung an der DSGVO
Ich orientiere mich deshalb im Allgemeinen Teil an dem Grundprinzip, dass Sie aus der DSGVO schon kennen sollten. Im besonderen Teil stelle ich dann die einzelnen Gesetze vor, die abweichende Regelungen beinhalten. Aber man muss erst mal das Prinzip verstehen.
1.3 Schwierigkeiten der juristischen Methodik
Jura ist kein Prozess, in dem wie in einem US- Spielfilm am Ende immer „die Gerechtigkeit“ siegt. Jura ist ein Prozess, in dem jemand am Ende eines Verfahren „entscheiden muss, was rechtens sein soll“ (G. Radbruch).
Jura beginnt mit der Auslegung von Gesetzesnormen. Die erste Frage ist, welche Norm soll man auslegen. Die EU hat in den letzten Jahren wie in dem „Zauberlehrling“ den Besen mit der Erstellung von vielen, vielen Richtlinien, Verordnungen etc. zum Thema IT beauftragt. Etliches ist schon da, Etliches soll noch kommen. Sofern man sich die Regelungen anschaut, wird man feststellen, dass die Regelungen sich teilweise thematisch überschneiden.
Die zweite Frage richtet sich nach dem „Wie“ der Auslegung. Da wird es schwierig. Seitdem wir Gesetze dokumentiert auf Lehmtafeln oder auf Papier festhalten, gibt es zwei Anforderungen, denen man als Gesetzgeber nur versuchen kann, gerecht zu werden. Gesetze sollen klar und verständlich sein, so dass schon aus dem Wortlaut heraus möglichst wenig Raum für eine abweichende Auslegung besteht. Im Bereich der IT- Datensicherheit hat der Gesetzgeber aber eine enorme Vielzahl von Fallgestaltungen zu regeln und kann gar nicht anders, als sich der Formulierung von Rechtssätzen abstrakter Formulierungen zu bedienen, die auslegungsbedürftig sind.
Das wäre jetzt wieder kein Problem, wenn sich bereits eine Anzahl von Auslegungen durch Gerichte und Behörden als Leitlinien anbieten würden. So ist es aber nicht.
1.3.1 Aktueller Stand Q 4 2024
Bei der DSGVO begann 2018 alles damit, dass die Autoren sich meist in Wiederholungen der gesetzlichen Regelungen oder dem Aufsagen von gemeinen Weisheiten ergingen. Jetzt, mehr als 5 Jahre nach in Krafttreten der DSGVO verdichtet sich die Anzahl der gerichtlichen Entscheidungen, einzelne Themengebiete werden jetzt zwischen den Autoren auch kontrovers diskutiert. Bei der DORA weiß man heute schon viel, weil die normative Dichte des Normtextes viel höher ist.
Die einzelnen IT- Gesetze, wie die Umsetzung der NIS2 RL und der CRA, werden erst noch umgesetzt. Man erwarte also zum aktuellem Zeitpunkt nicht zu viel.
1.3.2 Es ist öffentliches Recht
Noch etwas zur Auslegung: Während Verträge zwischen den Zivilpersonen gelten (inter civis), die die Verträge abschließen, werden die Regelungen des öffentlichen Rechtes durch den Staat erlassen, um uneingeschränkt von der jeweiligen Zielgruppe befolgt zu werden.
Das bedeutet auch, dass zwei Zivilpersonen nicht über den Inhalt der Gesetze disponieren können. Sofern der Spediteur und der Kunde darüber einig sind, dass es blöd ist, wenn man in Deutschland mit Lkws maximal 80 km/h auf Autobahnen fahren kann, ist das als Meinungsäußerung zulässig. Lieferant und Spediteur können aber nicht darüber bestimmen, dass man mit dem LKW auch 100 km/h fahren darf, weil beide finden, es sei ja gar nicht so gefährlich. Öffentliches Recht bedeutet, dass man über bestimmte Dinge nicht bestimmen darf.
