![[Illustration]](07-4-033-1.jpg)
Die Verantwortlichkeiten in der IT-Sicherheit
Von der privaten Nutzung des Internets über gewerbliche Anwendungen jeglicher Art bis hin zum Einsatz von IT in kritischen Infrastrukturen wie Energie- oder Gesundheitsversorgung ist das private, wirtschaftliche und öffentliche Leben heute ohne Computertechnologie kaum vorstellbar. Der drohende volkswirtschaftliche Schaden fehlerhafter IT, die Betriebsabläufe und Steuerungen zum Erliegen bringt, liegt auf der Hand. Die Beherrschung von IT-Risiken ist für unsere Gesellschaft somit von fundamentaler Bedeutung.
IT-Sicherheit ist indes heute nicht mehr allein ein technisches Problem: Fast wöchentliche Meldungen über neu entdeckte Sicherheitslücken in Softwareprogrammen und dadurch verursachte Schäden werfen zunehmend die Frage nach der rechtlichen Verantwortlichkeit der an der Herstellung und dem Einsatz von IT-Produkten Beteiligten auf, angefangen beim Hersteller, über die IT-Dienstleister, wie etwa die Provider (Host- und Access-Provider) bis hin zu den IT-Anwendern in Haushalten und Unternehmen. Nach und nach kommen Rechtsstreitigkeiten mit Bezug zur IT-Sicherheit vor die Gerichte. IT-Sicherheit ist dabei entsprechend der Legaldefinition in § 2 des BSI-Errichtungsgesetz (BSIG) weit zu definieren. Sicherheit in der Informationstechnik bedeutet danach die Einhaltung bestimmter Sicherheitsstandards, welche die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen in informationstechnischen Systemen oder Komponenten oder bei der Anwendung von informationstechnischen Systemen oder Komponenten.
Aus rechtspolitischer Sicht stellt sich zudem die Frage, inwieweit das Recht mit seinen Steuerungsinstrumenten in der Lage ist, den neuen Risiken ausreichend Rechnung zu tragen. Zu klären ist, in welchem Maße rechtliche Verantwortlichkeiten Anreize für IT-Hersteller, Nutzer und Dienstleister schaffen können, um IT-Risiken wirksam zu begegnen.
Rechtssicherheit für die Beteiligten sowie eine effiziente Verteilung der Verantwortung zwischen den betroffenen Verkehrskreisen stellen – neben leistungsfähiger und sicherer Technik – unverzichtbare Voraussetzungen dar, um alle Chancen der Informationsgesellschaft zu nutzen.
Die tatsächliche Relevanz dieser Problematik steht in einem deutlichen Gegensatz zu ihrer juristischen Durchdringung. Schwierigkeiten bereitet insbesondere die starke Zersplitterung der Materie auf eine Vielzahl von Einzelgesetzen. Einheitliche Regelungen oder ein übergreifender Ansatz zur Gewährleistung einer grundlegenden IT-Sicherheit fehlen.
Zurzeit müssen in vielen Fällen allgemeine Regelungen des bürgerlichen und öffentlichen Rechts ohne spezifischen Bezug zur IT angewendet werden. Diese Regelungen sind aber bislang nur ansatzweise auf ihre Tragfähigkeit zur Bewältigung von IT-Risiken hin untersucht worden, gerichtliche Entscheidungen sind noch selten.
Die Frage, wie sich rechtliche Verantwortlichkeiten sinnvoll zuordnen lassen, beurteilt sich sowohl de lege lata (vom Standpunkt des geltenden Rechts aus) als auch de lege ferenda (vom Standpunkt des zukünftigen Rechts aus) für das gesamte Sicherheits- und Haftungsrecht nach den gleichen Kriterien: Zu fragen ist stets nach dem "cheapest cost avoider", nach der möglichen Internalisierung von sonst externalisierten Risiken und Schäden sowie nach dem gewünschten Aktivitätsniveau aus gesamtgesellschaftlicher und -wirtschaftlicher Perspektive. Dabei können sowohl zivil- als auch öffentlich-rechtliche Regulierungen als mögliche "Werkzeuge" in Betracht kommen, je nachdem welche Probleme der Durchsetzung und des Vollzugs (Enforcement) bestehen, welche Defizite die jeweiligen Rechtsgebiete aufweisen. Zivilrecht und öffentliches Recht stellen aus dieser Sicht ein System kommunzierender Röhren dar, das sich gegenseitig beeinflussen und ergänzen kann.
Die Verantwortlichkeiten in der IT-Sicherheit
Ansatzpunkte für die Verantwortung der Hersteller von IT-Produkten sind einerseits im öffentlichen Recht die Vorschriften des Produktsicherheitsrechts, andererseits aus Sicht des Zivilrechts die Produkthaftung einschließlich der damit zusammenhängenden Pflichten für Händler und Dienstleister. Allerdings werden beide Bereiche in ihrer gegenwärtigen Form nicht vollständig den Besonderheiten gerecht, die sich bei IT-Schäden typischerweise ergeben.
Die Anwendung des Produktsicherheitsrechts auf IT-Risiken ist von vornherein deutlich beschränkt, da sein Schutzzweck – abgesehen von wenigen bereichsspezifischen Ausnahmen – regelmäßig auf den Schutz besonders hochwertiger Rechtsgüter beschränkt ist und die typischen IT-Schäden, insbesondere Datenschäden, somit regelmäßig nicht erfasst.
Die gleichen Probleme stellen sich bei der Produkthaftung: Sowohl für die verschuldensabhängige Haftung gemäß Bürgerlichem Gesetzbuch (§ 823 Absatz 1 BGB) als auch für die verschuldensunabhängige Produkthaftung gemäß dem Produkthaftungsgesetz (ProdHG) besteht eine besondere Schwierigkeit in der noch immer nicht abschließend geklärten Einordnung von Datenschäden als Eigentumsverletzung. Ebenso von Unsicherheit geprägt ist die Abgrenzung primärer Vermögensschäden von einer die Eigentumsverletzung begründenden Beeinträchtigung der bestimmungsgemäßen Verwendung des Produkts.
Im Bereich der Pflichten liegt ein weiteres Problem in der Abgrenzung von Entwicklungs- zu Konstruktionsfehlern: vor allem das zum Zeitpunkt der Inverkehrgabe nicht bekannte Gefahrenpotenzial aufgrund zukünftiger Entwicklungen führt nicht zu einer Haftung der IT-Hersteller, wohl aber Sicherheitslücken, die zu diesem Zeitpunkt erkennbar gewesen wären. Technische Standards wie die Common Criteria und Protection Profiles können hier zur Konkretisierung herangezogen werden, wenngleich sie nur ein Mindestmaß der zu erwartenden Sicherheit darstellen, über die im Einzelfall hinaus zivilrechtlich höhere Anforderungen gestellt werden können, wenn dem Hersteller entsprechende Gefahrenszenarien bekannt sein können. Schließlich kann das Deliktsrecht auch nicht über Rückrufpflichten dazu herangezogen werden, um Pflichten zur nachträglichen Verbesserung der Software zu begründen ("Patches") – denn hier ist oftmals das Äquivalenzinteresse berührt, das gerade nicht vom Deliktsrecht erfasst wird.
Bei der verschuldensunabhängigen Produkthaftung nach dem ProdHG ist die Einordnung von Software als Produkt außerdem noch immer von Unsicherheiten gekennzeichnet. Die Reichweite der Haftung wird stark eingeschränkt, indem allein Sachschäden an anderen Sachen als dem fehlerhaften Produkt ersatzfähig sind – und auch dann nur, wenn es sich um privat genutzte Sachen handelt; Schäden an gewerblich genutzten Sachen scheiden demnach von vornherein aus. Damit wird der Bereich der verschuldensunabhängigen Produkthaftung erheblich eingeschränkt, da zahlreiche Produkthaftungsfälle sich im Business-to-Business-Sektor (B2B) abspielen.
Schließlich besteht in der Produkthaftung das Problem, dass der Anwender grundsätzlich sowohl den eigentlichen Softwarefehler als auch die Kausalität einer fehlerhaften Software für die Rechtsgutsverletzung nachweisen muss – was gerade bei komplexen, interaktiven Systemen wesentlich erschwert ist. Hinzu kommt der in der Praxis ebenfalls schwer zu entkräftende Einwand des Herstellers, dass der Benutzer selbst einen Bedienungsfehler begangen hat.
Zusammenfassend erweisen sich das Produktsicherheits- sowie das Produkthaftungsrecht also in ihrer gegenwärtigen Form als nur bedingt geeignet, Risiken, die aus unsicheren Produkten entstehen, zu internalisieren; bei einer strengen Anwendung werden etwaige Schäden daher regelmäßig beim Anwender verbleiben. Inwieweit die Rechtsprechung hier Abhilfe durch eine erweiternde Auslegung schaffen kann, ist unklar. Die damit verbundene Rechtsunsicherheit wirkt sich wiederum zum Nachteil der Hersteller und Händler aus und steht damit der Weiterentwicklung des elektronischen Handels sowie der Informationsgesellschaft in Deutschland insgesamt im Weg.
Für die Intermediäre greifen gegenwärtig insbesondere im weiten Umfang Haftungsprivilegierungen ein, sei es generell im Rahmen des Bereithaltens fremder Inhalte aufgrund der Artikel 12–15 der E-Commerce-Richtlinie (ECRL – bzw. ihre nationale Umsetzung durch §§ 9–11 Teledienstegesetz – TDG, in Zukunft §§ 8–10 Telemediengesetz – TMG), sei es halb gesetzlich, halb vertraglich aufgrund der Haftungsdeckelungen in § 7 der Telekommunikationsüberwachungsverordnung (TKV) beziehungsweise im neuen § 44a des Telekommunikationsgesetzes (TKG), soweit die Intermediäre Teile eines elektronischen Kommunikationsnetzes sind – was oftmals der Fall ist.
Derartige Haftungsprivilegierungen, die ohne Rücksicht auf die Verletzung oder Erfüllung von Pflichten eingreifen, werfen generell die Frage auf, ob sie nicht zu einer ineffizienten Absenkung der aus volkswirtschaftlicher Sicht gewünschten Aktivitäten zur Sicherung der Intermediäre führen. Ohne dass im Rahmen der vorliegenden Untersuchung diesen Fragen rund um die Art. 12–15 ECRL weiter nachgegangen werden könnte, ist festzuhalten, dass ähnliche Zweifel hinsichtlich der Rechtfertigung der weitgehenden Haftungsprivilegierungen für die Betreiber von elektronischen Kommunikationsnetzen auftreten – wozu fast alle Provider mit einer Schnittstelle zum Internet zählen.
![[Illustration]](07-4-033-2.jpg)
Durch IT-Sicherheit berührte Rechtsbereiche
Für den IT-Einsatz bei gewerblichen Nutzern beziehungsweise IT-Dienstleistern kommen eine Reihe tätigkeits- oder branchenbezogener Vorschriften zur Anwendung. Übergreifende Anforderungen an die IT-Sicherheit finden sich im Wesentlichen in zwei Rechtsgebieten: zum einen gesellschaftsrechtlich durch die Pflicht zum IT-Riskmanagement, über § 91 II des Aktiengesetzes (AktG), die als generelles Element der Geschäftsführungs- und Organisationspflichten rechtsformunabhängig bezeichnet werden kann, mithin auch über die AG für die GmbH, OHG, KG et cetera bis hin zu der für jeden Kaufmann geltenden Sorgfaltspflicht gelten kann. Zum anderen greifen die in § 9 des Bundesdatenschutzgesetzes (BDSG) normierten Organisationspflichten für alle Unternehmen ein, die in irgendeiner Weise personenbezogene Dateien natürlicher Personen verarbeiten. Hierbei sind eine Reihe gravierender Defizite festzuhalten:
Für den gesellschaftsrechtlichen Bereich beschränken sich die Anforderungen auf rein intern, also im Verhältnis von Geschäftsführer zur Gesellschaft, wirkende Pflichten – eine Außenwirkung gegenüber Dritten kommt ihnen in der Regel gerade nicht zu. Damit hängt die Effektivität derartiger Pflichten entscheidend von der Wirkungsweise der Corporate Governance ab; ohne dies hier vertiefen zu können, mag der Hinweis genügen, dass gerade die Effektuierung der intern wirkenden Geschäftsführungspflichten eines der zentralen Probleme des Gesellschaftsrechts darstellt und keineswegs gesichert ist, dass über Klagemöglichkeiten von Aktionären, Insolvenzverwaltern et cetera genügend Anreize bestehen, dass etwa IT-Sicherheitspflichten stets erfüllt werden. Hinzu kommt, dass diese Pflichten rechtsformspezifisch sind, mithin aufgrund des gesellschaftsrechtlichen Ansatzes kaum für ausländische Rechtsformen mit Sitz in Deutschland, etwa die englische Limited, greifen können.
Andere Defizite weist schließlich der Ansatz über § 9 BDSG auf: Denn die Pflichten des § 9 BDSG beziehen sich nur auf den vom BDSG intendierten Schutz der personenbezogenen Daten natürlicher Personen, mithin nicht auf andere Daten, etwa von juristischen Personen, ebenso wenig auf den Schutz von Daten und Rechtsgütern Dritter, wie anderer Internetteilnehmer, da deren Daten nicht von dem Unternehmen verarbeitet werden. Ob die von § 9 BDSG normierten Pflichten überhaupt im zivilrechtlichen Sinne (§ 823 II BGB) dem Individualschutz dienen, ist zudem höchst strittig. Selbst für besonders sensitive Branchen wie das Kreditgewerbe wirken entsprechende IT-Sicherheitspflichten, die zum Beispiel in § 25a des Gesetzes über das Kreditwesen (KWG) niedergelegt sind, keineswegs gegenüber Dritten, da sie oftmals nicht als Schutzgesetz qualifiziert werden. Drittbezogene Pflichten ergeben sich höchstens aus den allgemeinen deliktsrechtlichen Grundsätzen – mit den oben dargestellten Einschränkungen.
Auf Anwenderseite spielen zunächst Verkehrssicherungspflichten und die Anwendung des allgemeinen zivilrechtlichen Sorgfaltsmaßstabes eine Rolle. Jedoch kommen – angesichts der bereits für Fachleute oft kaum mehr zu überschauenden Komplexität informationstechnischer Systeme – regelmäßig nur rudimentäre Anforderungen in Betracht, wozu nach einigen Meinungen im Schrifttum etwa der Einsatz von verfügbaren Viren-Scannern zählt. Damit sind die Anreize, stärkere IT-Sicherungsmaßnahmen zu ergreifen, für private IT-Nutzer eher schwach ausgeprägt, da sie kaum Sanktionen befürchten müssen, wenn ihre Rechner selbst zur Verbreitung von schädlicher Software beitragen – zumindest wenn sie nicht über besonderes Wissen im Umgang mit IT-Risiken verfügen.
Das BSI als zentraler IT-Sicherheitsdienstleister des Bundes hat es sich zur Aufgabe gemacht, sich auch mit den rechtlichen Aspekten der IT-Sicherheit stärker auseinanderzusetzen. Das BSI verfolgt dabei einen interdisziplinären Ansatz, bei dem IT-Experten Hand in Hand mit Juristen arbeiten.
In einem Pilotprojekt hat es das BSI unternommen, die Sicherheitsanforderungen herauszuarbeiten, die die Rechtsordnung gegenwärtig an die Herstellung und den Einsatz von IT stellt – teilweise in Gestalt von Spezialgesetzen, in erster Linie jedoch durch die Auslegung bestehender allgemeiner Rechtsvorschriften. Die Ergebnisse der Untersuchung hat das BSI in einer Studie auf seiner Website veröffentlicht (![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/literat/studien/recht/IT-Recht.pdf).
Das BSI wird kontinuierlich sein Engagement im Bereich des IT-Sicherheitsrechts ausbauen. Es lädt dazu ein, die Entwicklungen auf dem Gebiet des IT-Sicherheitsrechts gemeinsam im Dialog zu begleiten. Informationen über kommende Veröffentlichungen oder Veranstaltungen werden auf der BSI-Homepage angekündigt. Bei weitergehenden Fragen sind die Mitarbeiter des BSI gern behilflich.
Alle aktuellen Informationen zu den Unternehmungen des BSI im Bereich des IT-Sicherheitsrechts erhalten Sie im Internet unter www.bsi.bund.de/recht – bei Fragen zum Engagement des BSI im Bereich des IT-Sicherheitsrechts wenden Sie sich bitte per E-Mail an recht@bsi.bund.de
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#4, Seite 33
tag:kes.info,2007:art:2007-4-033
| 