So oder so ähnlichZur Löschpflicht von Facebook bei Hasskommentaren

No SignalEuGH stuft Googles E-Mail-Dienst „Gmail“ aufgrund fehlender Verantwortlichkeit

für die Signalübertragungen nicht als Telekommunikationsdienst ein

Die Sicherheit unserer DatenWelche rechtlichen Vorgaben bestehen bezüglich der IT-Sicherheit?

07 / 2019Juli 2019

DFN-Infobrief Recht 07 / 2019 | Seite 2

So oder so ähnlich

Zur Löschpflicht von Facebook bei Hasskommentaren

von Marten Tiessen

Nach Ansicht des Generalanwalts beim Europäischen Gerichtshof (EuGH) kann Facebook

dazu verpflichtet werden, nicht nur gemeldete Hasskommentare zu löschen, sondern auch

nach wort- und sinngleichen Kommentaren zu suchen und diese ebenfalls zu entfernen.

Diese Maßnahmen verstoßen nicht gegen das Verbot einer allgemeinen Überwachungs-

pflicht. Die Persönlichkeitsrechte Betroffener können so wirksamer geschützt werden.

Beitrags, möglicherweise wird aber von einem anderen Nut-

zer der wortgleiche Kommentar gepostet. Es stellt sich dann

die Frage, ob die Plattform verpflichtet ist, bei Hinweisen auf

eine konkrete Rechtsverletzung, darüber hinaus auch das Vor-

liegen gleichartiger Verletzungen zu überprüfen und diese

ebenfalls zu verhindern. Auf diese Problematik ging der Gene-

ralanwalt beim Europäischen Gerichtshof, Maciej Szpunar,

in einer aktuellen Stellungnahme ein (Generalanwalt beim

EuGH, 04.06.2019 - C-18/18).

II. Sachverhalt

Hintergrund der Stellungnahme des Generalanwalts ist ein

österreichisches Gerichtsverfahren, in dem die ehemalige

Fraktionsvorsitzende der österreichischen Grünen-Partei, Eva

Glawischnig-Piesczek, sich gegen Facebook wendet. Auslöser

des Rechtsstreits war ein Kommentar eines Facebook-Nutzers.

Der Nutzer teilte auf seiner Profilseite einen Nachrichtenar-

tikel, der die Flüchtlingspolitik der Grünen thematisierte und

unter anderem ein Bild der damaligen Fraktionsvorsitzenden

enthielt. Unter dem Artikel postete der Nutzer einen Kommen-

tar, in dem er Glawischnig-Piesczek unter anderem als „miese

Volksverräterin“ und „korrupter Trampel“ bezeichnete. Die Klä-

gerin forderte Facebook auf, den für jeden Nutzer einsehbaren

Post zu löschen. Nachdem sich Facebook weigerte den Post zu

löschen, reichte Glawischnig-Piesczek Klage beim Handelsge-

richt Wien ein und beantragte eine einstweilige Verfügung,

I. Problemstellung

Host-Provider, zu denen auch Facebook gezählt wird, haften

dank einer Privilegierung aus Art. 14 der Richtlinie über den

elektronischen Geschäftsverkehr (E-Commerce-RL) nicht für

Nutzerinhalte, wenn sie von deren Rechtswidrigkeit keine

Kenntnis haben. Ziel der E-Commerce-RL, die im Jahr 2000 in

Kraft getreten ist, ist die Sicherstellung des freien Verkehrs

von Diensten der Informationsgesellschaft und Förderung von

innovativen Geschäftsmodellen. Sie begünstigt daher Dienste

der Informationsgesellschaft, die nur fremde Informationen

vermitteln. Zu solchen Diensten gehört die Bereitstellung

eines Internetzugangs durch den Accessprovider, das Caching

und auch das in diesem Fall relevante Hosting. Nach der Richt-

linie sollen Hosting-Plattformen, die nicht eigene Inhalte, son-

dern lediglich von Nutzern generierte Inhalte bereitstellen, für

diese nur eingeschränkt verantwortlich sein. Kommt es auf

einer solchen Plattform zu ehrverletzenden Äußerungen der

Nutzer, ist die Plattform erst dann zur Löschung verpflichtet,

wenn sie entweder von den Nutzern gemeldet werden oder

die Plattform selbst davon Kenntnis erlangt. Allerdings ist die

Plattform nicht verpflichtet von sich aus alle Kommentare auf

Rechtsverletzungen zu überprüfen. Dagegen steht das Ver-

bot einer allgemeinen Überwachungspflicht aus Art. 15 E-Com-

merce-RL.

Wird die Plattform auf rechtswidrige Äußerungen hingewie-

sen, so kommt es vielleicht zur Löschung des gemeldeten

DFN-Infobrief Recht 07 / 2019 | Seite 3

die Facebook untersagt, Fotos der Klägerin zu veröffentlichen

oder zu verbreiten, wenn im Begleittext die gleichen ehrverlet-

zenden Kommentare oder andere sinngleiche Behauptungen

enthalten sind. Nachdem gegen die Entscheidung des Gerichts

mehrfach Rechtsmittel eingelegt wurden, gelangte das Verfah-

ren zum Obersten Gerichtshof, der wiederum das Verfahren

aussetzte, um den EuGH zur Auslegung der E-Commerce-RL zu

befragen. Dabei wollte es wissen, ob eine Unterlassungsverfü-

gung weltweit auch auf wort- und sinngleiche Informationen

ausgedehnt werden kann.

III. Stellungnahme des Generalanwalts

Der Generalanwalt vertrat die Ansicht, dass Art. 15 der E-Com-

merce-RL  zwar eine generelle Überwachungspflicht verbiete,

aber nicht einer gerichtlichen Verfügung entgegenstehe,

wonach sämtliche Informationen der Nutzer durchsucht wer-

den sollen, um solche Informationen zu finden, die mit den

vom Gericht bereits als rechtswidrig eingestuften Informatio-

nen wortgleich sind. Art. 15 Abs. 1 der E-Commerce-RL verbiete

zwar eine allgemeine Überwachungspflicht, aber keine aktive

Überwachung durch die Plattform in spezifischen Fällen.

Diese Form der Überprüfung stelle die Plattformen auch vor

keine technische Herausforderung, sofern sie nur nach wort-

gleichen Beiträgen suchen. Ihr Recht auf unternehmerische

Freiheit sei daher nicht besonders stark belastet. Zusätzlich

können die Host-Provider aber auch verpflichtet werden, zu

prüfen, ob der Nutzer, der die ursprünglichen rechtswidrigen

Äußerungen getätigt hat, sinngleiche Informationen gepos-

tet hat. Dabei müsse das Merkmal der Sinngleichheit eng

ausgelegt werden. Mit sinngleichen Kommentaren seien sol-

che gemeint, die lediglich eine andere Schreibweise, Satzbau

oder Rechtschreibfehler aufweisen. Der Host-Provider kann

in diesem Fall allerdings nicht verpflichtet werden, bei allen

Nutzern nach sinngleichen Inhalten zu suchen. Das wäre zum

einen mit deutlich höherem technischem Aufwand für die

Plattformen verbunden, zum anderen würden solche Maßnah-

men aber auch über Gebühr in die Meinungs- und Informati-

onsfreiheit der anderen Nutzer eingreifen. Wird die Plattform

jedoch von Dritten auf sinngleiche Kommentare aufmerksam

gemacht, könne sie auch verpflichtet werden, diese ebenfalls

zu löschen.

Da die E-Commerce-RL keine Regelung zur räumlichen Reich-

weite einer Löschpflicht enthalte, sei es mit ihr grundsätzlich

vereinbar, auch die weltweite Löschung des Kommentars auf

der Social-Media-Plattform zu verlangen.

IV. Fazit und Praxishinweise

Die Stellungnahme spricht eine spannende Frage an: Wie

kann effektiver Rechtsschutz gegen Hasskommentare in

Social Media gewährleistet werden? 1Beschränkt sich eine

gerichtliche Unterlassungsverfügung nur auf den einzelnen

Kommentar, ließe sich durch die einfachen Reproduktions-

möglichkeiten im Netz die Verfügung leicht umgehen. Der

Kommentar könnte dann von andere Nutzern wiederholt

werden oder der ursprüngliche Nutzer stellt lediglich den

Satzbau um. Theoretisch müsste dann für jede einzelne Äuße-

rung eine gerichtliche Verfügung erwirkt werden, wenn die

Plattform nicht von sich aus bereit ist, die Kommentare zu

löschen. Ein effektiver Rechtsschutz hängt also davon ab, ob

sich die gerichtliche Verfügung auch auf wort- und sinngleiche

Kommentare erstrecken kann. Allerdings stehen einem effek-

tiven Rechtsschutz des in seiner Ehre Verletzten der Schutz

der Meinungs- und Informationsfreiheit der anderen Nutzer

gegenüber. Prüfpflichten einer Plattform sollten auch nicht zu

einer praktischen Zensur ausgeweitet werden. Daher gilt nach

Ansicht des Generalanwalts zumindest im Hinblick auf sinn-

gleiche Kommentare anderer Nutzer grundsätzlich weiter das

Prinzip, dass die Plattform erst bei konkreten Hinweisen zur

Löschung verpflichtet werden kann.

Letztlich bleibt abzuwarten, ob der EuGH der Argumentation

des Generalanwalts folgen wird. In der Stellungnahme for-

muliert der Generalanwalt letztlich nur Vorschläge, wie seiner

Ansicht nach die Vorlagefragen des österreichischen Gerichts

zu beantworten sind. Es ist aber sicherlich lohnenswert den

weiteren Verlauf des Verfahrens zu verfolgen, da potentiell

jeder von Hasskommentaren im Netz betroffen sein kann.

Social-Media-Auftritte von Hochschulen sind mittlerweile eine

gängige Spielart der Öffentlichkeitsarbeit geworden. Diese

Kommunikationsformen erhöhen nicht nur die Reichweite der

Informationsverbreitung, sondern bergen auch die Gefahr der

öffentlichen Angreifbarkeit. Werden auf sozialen Plattformen

ehrverletzende Äußerungen gegenüber Mitarbeitern der Hoch-

schule getroffen, reicht es manchmal nicht aus, sich an die

1 Siehe zu dieser Frage beispielsweise auch Klein, Das bleibt unter

uns!, DFN-Infobrief Recht, 09/2014

DFN-Infobrief Recht 07 / 2019 | Seite 4

Plattform direkt zu wenden. Zwar sollte dies immer der erste

Schritt sein, aber wenn sich das Problem auf diese Weise nicht

lösen lässt, hilft in solchen Fällen nur der Weg zum Gericht. Ob

ein wirksamer Rechtsschutz vor Gericht erlangt werden kann,

hängt dann aber letztlich von der Reichweite der gerichtlichen

Entscheidung ab.

DFN-Infobrief Recht 07 / 2019 | Seite 5

No Signal

EuGH stuft Googles E-Mail-Dienst „Gmail“ aufgrund fehlender Verantwortlichkeit für die Signalübertragungen nicht als Telekommunikationsdienst ein

von Matthias Mörike

In einem langjährigen Rechtsstreit um die rechtliche Einordnung des E-Mail-Dienstes

„Gmail“ hat der EuGH ein Urteil gefällt und entschieden, dass dieser kein Telekom-

munikationsdienst ist. Damit verneint er die Anwendbarkeit der Vorschriften des

TKG auf diese Dienste und sorgt hinsichtlich dieser Frage für Rechtsklarheit.

E-Mail-Dienst Gmail wird aber nicht über diese Infrastruktur

betrieben, sondern bedient sich vielmehr der allgemeinen

Internetprotokolle und damit der allgemein zugänglichen

Struktur des Internets.

Mittels Bescheid vom 2. Juli 2012 stellte die BNetzA gegenüber

Google fest, dass sie Gmail als Telekommunikationsdienst

einstuft und forderte das Unternehmen auf, seiner Melde-

pflicht nach § 6 TKG nachzukommen. Dagegen erhob Google

Klage vor dem Verwaltungsgericht (VG) Köln. Das VG gab der

BNetzA Recht und stufte Gmail ebenfalls als Telekommuni-

kationsdienst ein. Der Fall ging in der nächsten Instanz vor

das Oberverwaltungsgericht (OVG) Münster, welches das Ver-

fahren aussetzte und dem Europäischen Gerichtshof (EuGH)

einige Auslegungsfragen vorlegte. Der in Frage stehende

§  3  Nr.  24  TKG setzt nämlich Art. 2 lit. c RL 2002/21/EG (soge-

nannte Rahmenrichtlinie) um, welcher nur durch den EuGH

abschließend ausgelegt werden kann.

II. Entscheidung des EuGH

Das OVG legte dem EuGH unter anderem die Frage

vor, ob OTT-Dienste wie Gmail unter die Definition des

Art. 2 lit. c RL 2002/21/EG fallen. Entscheidend dafür ist wie im

deutschen Recht die Frage, ob eine Signalübertragung stattfin-

det.

Hierzu stellt der EuGH zunächst fest, dass mittels der Gmail-

Server zwar auch Signale übertragen werden, wenn E-Mails

in Form von Datenpaketen empfangen und gesendet werden,

I. Verfahrensgang und Hintergrund

Die Bundesnetzagentur (BNeztA) ist unter anderem dafür

zuständig, nach den Vorgaben des Telekommunikationsge-

setzes (TKG) den Telekommunikationsmarkt in Deutschland

zu überwachen und zu regulieren. Abhängig davon, ob ein

bestimmtes Angebot im Internet als Telekommunikations-

dienst einzuordnen ist oder nicht, treffen den Betreiber des

Dienstes verschiedene Pflichten aus dem TKG. Beispielsweise

besteht die Pflicht zur Anmeldung des Dienstes bei der BNetzA

nach § 6 TKG, wenn es sich um einen öffentlich zugänglichen

Telekommunikationsdienst handelt. Die Definition für den

Begriff Telekommunikationsdienst findet sich in § 3 Nr. 24 TKG:

Ein Telekommunikationsdienst ist demnach ein in der Regel

gegen Entgelt erbrachter Dienst, der ganz oder überwiegend

in der Übertragung von Signalen über Telekommunikations-

netze besteht. Die Signalübertragung ist das entscheidende

Merkmal. Klassische Access Provider, die Kunden einen Inter-

netzugang zur Verfügung stellen und die Übertragung der

Datenpakete technisch verantworten, sind typische Beispiele

für Telekommunikationsdienste. Viele im Internet angebo-

tene Dienste setzen allerdings bei ihren Kunden einen Inter-

netzugang voraus, ohne diesen selbst bereitzustellen. Sie

profitieren dann von der durch Access Provider zur Verfü-

gung gestellten Infrastruktur. Sie werden als Over-the-top-

Dienste (OTT-Dienste) bezeichnet. Dazu zählen insbesondere

Streaming-Angebote und Messenger-Dienste. Auch Anbie-

ter von E-Mail-Diensten, die keine eigenen Internetzugänge

bereitstellen, wie beispielsweise Gmail, werden dazugezählt.

Zwar betreibt Google auch eine eigene Netzinfrastruktur, der

DFN-Infobrief Recht 07 / 2019 | Seite 6

allerdings werden diese Signale mittels standardisierter Pro-

tokolle dann in das offene Internet eingespeist. Die entschei-

denden Signalübertragungen stellen dann vielmehr die Access

Provider sicher. Das VG hatte an dieser Stelle noch entschieden,

dass die Signalübertragungen, die von den Access Providern

vorgenommen werden, Gmail zuzurechnen wären. Als Grund

führte es an, dass Gmail sich diese Übertragungsleistungen

faktisch zu eigen mache. Auch würde die ganze Übertragung

erst durch den Dienst Gmail initialisiert. Aus wertender Sicht

sei Gmail daher nach Auffassung des VG Köln ein Telekommu-

nikationsdienst. Google führte demgegenüber an, dass das

Unternehmen keinerlei Einfluss auf diese Signalübertragun-

gen durch die Access Provider hätte, weswegen sie ihm auch

nicht zugerechnet werden könnten. Der EuGH folgte dem inso-

weit, dass er irgendeine Form von Verantwortlichkeit für die

Übertragung forderte. Das sei bei Gmail aber nicht der Fall. Die

Übertragungen würden durch die Access Provider in eigener

Verantwortung durchgeführt, ohne dass Gmail darauf Einfluss

hätte. Der Umstand, dass Google auch eine eigene Netzinfra-

struktur betreibt und insoweit Telekommunikationsdienst ist,

führt nach Auffassung des EuGH nicht dazu, dass auch andere

Dienste des gleichen Unternehmens automatisch als Telekom-

munikationsdienste gelten würden.

Das OVG Münster muss den Fall unter Berücksichtigung der

Vorgaben des EuGH abschließend entscheiden.

III. Fazit und Konsequenzen für die Praxis wissenschaftlicher Einrichtungen

Das EuGH-Urteil ändert die bestehende Rechtslage nicht.

OTT-Dienste wurden auch bisher nicht als Telekommunikati-

onsdienste eingestuft. Sie sind sogenannte Telemedien, für

welche neben den Datenschutzgesetzen (insbesondere die

Datenschutzgrundverordnung) das Telemediengesetz (TMG)

gilt. Sobald zusätzlich zu einem solchen Dienst aber auch der

Zugang zum Internet angeboten wird, was wissenschaftliche

Einrichtungen häufig für ihre Mitarbeiter und Studierende

tun, sind sie in dieser Hinsicht wie bisher auch Anbieter von

Telekommunikationsdiensten.1

Hätte der EuGH den Fall anders entschieden, dann hätte dies

weitreichende Folgen für alle Anbieter von OTT-Diensten

1 Siehe Klein, Man kann nicht nicht kommunizieren, DFN-Infobrief

05/2017.

gehabt. Sie hätten sich nicht nur bei der BNetzA melden müs-

sen, sondern wären auch potentielle Adressaten von behörd-

lichen Auskunftsverlangen nach § 111 TKG geworden und

hätten gegebenenfalls Anordnungen zur Interoperabilität

nach § 18 TKG befolgen müssen. Genau das war ein erklärtes

Ziel der Strategie der BNetzA. Die Behörde hatte sich erhofft,

ihre Regulierungsbefugnisse auch auf diese Dienste ausdeh-

nen zu können. Diese Strategie ist nun allerdings gescheitert.

Das ist auch für wissenschaftliche Einrichtungen eine positive

Entscheidung. Es besteht nun keine unmittelbare Gefahr, dass

ihre OTT-Dienste unter das TKG fallen. Es bleibt abzuwarten,

ob der Gesetzgeber aktiv wird und durch Änderungen des TKG

eine Anwendung der Vorschriften ermöglicht.

DFN-Infobrief Recht 07 / 2019 | Seite 7

Die Sicherheit unserer Daten

Welche rechtlichen Vorgaben bestehen bezüglich der IT-Sicherheit?

von Nico Gielen

Es gibt kein Gesetz, das die IT-Sicherheit vollumfänglich und einheitlich regelt. Selbst

das IT-Sicherheitsgesetz, das ein umfassendes Regelwerk erwarten lässt, adressiert nur

die IT-Sicherheit für Betreiber Kritischer Infrastrukturen. Das „Recht der IT-Sicherheit“

ergibt sich erst aus einer Gesamtschau mehrerer Rechtsgebiete und stellt somit eine

Querschnittsmaterie dar. Im Folgenden sollen die relevantesten Rechtsgebiete über-

blicksartig angesprochen werden. Um die Übersichtlichkeit zu wahren, wird mit dem

abstraktesten Rechtsgebiet, dem Verfassungsrecht begonnen, um dann auf immer spezi-

fischere einzugehen, namentlich das Datenschutzrecht und das IT-Sicherheitsgesetz.

I. Verfassungsrecht

Das Verfassungsrecht steht auf der Normenhierarchie ganz

oben und ist daher sicherlich das abstrakteste Rechtsgebiet,

wenn man die rechtlichen Aspekte der IT-Sicherheit zusam-

menfassen möchte. Aus der deutschen Verfassung, dem Grund-

gesetz (GG), das ganz voran die Grundrechte festschreibt, kann

jedoch abgeleitet werden, wieso IT-Sicherheit überhaupt

betrieben wird. Dabei ist zwischen einer gesellschaftlichen

und einer individuellen Ebene zu unterscheiden.

Aus gesellschaftlicher Sicht soll mit der IT-Sicherheit das Wohl

der Bevölkerung gewahrt werden. Das ist offensichtlich bei

den Pflichten, denen Betreiber von Kritischen Infrastruktu-

ren unterliegen. Fällt etwa ein essentielles Wasserwerk aus,

können damit Gefahren für Leib und Leben der im betrof-

fenen Gebiet wohnenden Menschen einhergehen. Für den

Staat erwächst daher die Pflicht, die Bevölkerung vor diesen

Gefahren zu schützen. Diese ergibt sich aus Art. 2 Abs. 2 S. 1 GG,

wonach jeder das Recht auf Leben und körperliche Unversehrt-

heit hat. Daneben werden mit der IT-Sicherheit teilweise auch

wirtschaftliche Interessen verfolgt, die von der Berufsfreiheit

(Art. 12 GG) und der Eigentumsfreiheit (Art. 14 GG) geschützt

sind.

Verlässt man die gesellschaftliche und gelangt auf die indivi-

duelle Ebene, stößt man zunächst auf das Allgemeine Persön-

lichkeitsrecht. Dieses wird vom Bundesverfassungsgericht

(BVerfG) seither aus Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG abge-

leitet, obgleich es dort nicht ausdrücklich Erwähnung findet.

Es gewährt jedem Menschen das Recht, seine Persönlichkeit

zu entfalten, insbesondere über die eigene Person zu bestim-

men, sich diese zu bewahren und über die Darstellung seiner

selbst zu entscheiden. Für die Thematik der IT-Sicherheit sind

zwei Unterfälle dieses Allgemeinen Persönlichkeitsrechts rele-

vant.

Erstens hat das BVerfG im Volkszählungsurteil im Jahr 1983

das Recht auf informationelle Selbstbestimmung hergeleitet.

Demnach steht es jedem Bürger frei, über den Umgang mit

seinen personenbezogenen Daten grundsätzlich selbst zu

bestimmen. Dieses Recht wird auch verkürzt das „Grundrecht

auf Datenschutz“ genannt. Das einfachgesetzliche Daten-

schutzrecht stellt dann auch insoweit den Unterbau dieses

Grundrechts dar.

Zweitens hat das BVerfG in einem Urteil vom 27. Februar 2008

das Grundrecht auf Gewährleistung der Vertraulichkeit und

Integrität informationstechnischer Systeme entwickelt. Damit

wird es dem Staat verwehrt, informationstechnische Systeme

DFN-Infobrief Recht 07 / 2019 | Seite 8

heimlich zu überwachen und auszulesen, außer es bestehen

tatsächliche Anhaltspunkte einer konkreten Gefahr für ein

überragend wichtiges Rechtsgut. Dieses Recht wird auch „IT-

Grundrecht“ genannt. Es wird zwar gegenüber dem Recht auf

informationelle Selbstbestimmung mitunter als überflüssig

bezeichnet. Allerdings hat es eine andere Schutzrichtung, da

es die Vertraulichkeit, Integrität und Verfügbarkeit aller Daten,

auch solcher ohne Personenbezug, schützt.

II. Datenschutzrecht

Das Datenschutzrecht ist aus rechtlicher Sicht am relevantes-

ten für die IT-Sicherheit. Seit dem 25. Mai 2018 ist im Daten-

schutzrecht die Datenschutz-Grundverordnung (DSGVO) die

primäre Rechtsquelle. Diese weist nicht nur Vorschriften auf,

die auf den Schutz personenbezogener Daten bezogen sind,

sondern auch solche, die die Datensicherheit zum Gegenstand

haben. Hier setzt sich die bereits beim Verfassungsrecht vor-

gefundene Zweiteilung zwischen Datenschutz und Datensi-

cherheit fort. Dadurch wird ebenfalls die Überzeugung des

Gesetzgebers deutlich, dass ein erfolgreicher Datenschutz

nicht ohne Datensicherheit erfolgen kann.

Im Rahmen der DSGVO ist Art. 5 Abs. 1 lit. f DSGVO ein maß-

geblicher Grundsatz für die Verarbeitung personenbezogener

Daten. Demnach dürfen diese Daten nur in einer Weise ver-

arbeitet werden, die eine angemessene Sicherheit der perso-

nenbezogenen Daten gewährleistet, einschließlich Schutz

vor unbefugter oder unrechtmäßiger Verarbeitung und vor

unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder

unbeabsichtigter Schädigung durch geeignete technische und

organisatorische Maßnahmen („Integrität und Vertraulich-

keit“).

Als Konkretisierung dieses Grundsatzes ist insbesondere

Art.  32 DSGVO zu nennen. Demnach müssen der Verantwort-

liche und der Auftragsverarbeiter unter Berücksichtigung des

Stands der Technik, der Implementierungskosten und der Art,

des Umfangs, der Umstände und der Zwecke der Verarbeitung

sowie der unterschiedlichen Eintrittswahrscheinlichkeit und

Schwere des Risikos für die Rechte und Freiheiten natürlicher

Personen geeignete technische und organisatorische Maß-

nahmen implementieren, um ein dem Risiko angemessenes

Schutzniveau zu gewährleisten.

Ein wesentlicher Maßstab für die „dem Risiko angemessenen“

Maßnahmen ist der Stand der Technik. Aber auch hier steht

der Rechtsanwender vor dem Problem, dass dieser Begriff

keine konkreten Maßnahmen bereithält. Zur weiteren Kon-

kretisierung dieses Maßstabs hilft eine Entscheidung des

BVerfG (Beschluss vom 8. August 1978, Az. 2 BvL 8/77). In die-

sem Beschluss hat das Gericht den „Stand der Technik“ vom

„Stand der Wissenschaft und Technik“ sowie den „allgemein

anerkannten Regeln der Technik“ abgegrenzt. Mit den „allge-

mein anerkannten Regeln der Technik“ sei die herrschende

Auffassung unter den technischen Praktikern angesprochen.

Demgegenüber stelle der „Stand der Technik“ einen höheren

Maßstab dar, bei dem die technische Entwicklung stetig mit-

verfolgt werden muss. Der „Stand von Wissenschaft und Tech-

nik“ adressiere schließlich die neuesten wissenschaftlichen

Erkenntnisse. Daraus abgeleitet können dann Maßnahmen

erforderlich werden wie Pseudonymisierung und Verschlüs-

selung personenbezogener Daten sowie ein Verfahren zur

regelmäßigen Überprüfung, Bewertung und Evaluierung der

Wirksamkeit der technischen und organisatorischen Maß-

nahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Des Weiteren wird es von der DSGVO auch unter Sicherheit

der Datenverarbeitung verbucht, wenn Störungen gemäß

Art. 33 DSGVO der Aufsichtsbehörde gemeldet und gemäß

Art. 34 DSGVO die betroffene Person benachrichtig wird.

Eine weitere Konkretisierung der Vorgaben der DSGVO findet

letztlich durch die Rechtsprechung statt. Im Übrigen bieten

Verhaltensregeln und Zertifizierungen einen guten Anhalts-

punkt für die vorzunehmenden Maßnahmen. Verhaltensre-

geln sind von Branchenverbänden erstellte Leitlinien, die,

wenn sie die Vorgaben des Art. 40 Abs. 2 DSGVO erfüllen, von

der zuständigen Aufsichtsbehörde genehmigt und veröffent-

licht werden. Handelt es sich um Verhaltensregeln für meh-

rere Mitgliedstaaten, so muss nicht nur die Aufsichtsbehörde

zustimmen, sondern auch der Europäische Datenschutzaus-

schuss und die Europäische Kommission. Zertifizierungen

sind – anders als Verhaltensregeln – nicht auf eine Branche

bezogen, sondern nur auf eine bestimmte Verarbeitungstä-

tigkeit. Eine Zertifizierungsstelle im Sinne des Art. 43 DSGVO

kann diese Zertifizierung nach Unterrichtung der Aufsichtsbe-

hörde erteilen. Soweit sich Verantwortliche und Auftragsverar-

beiter an genehmigte Verhaltensregeln oder Zertifizierungen

halten, gilt dies gemäß Art. 32 Abs. 3 DSGVO als ein Faktor, um

die durch Art. 32 DSGVO aufgestellten Anforderungen nachzu-

weisen. Weil die DSGVO aber noch relativ jung ist, müssen der-

DFN-Infobrief Recht 07 / 2019 | Seite 9

artige Verhaltensregeln und Zertifizierungen aber erst noch

erstellt werden.

III. IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz betrifft nur einen Ausschnitt der IT-

Sicherheit, indem es nur Kritische Infrastrukturen betrifft. Dies

sind Einrichtungen besonderer Sektoren mit herausragender

Bedeutung für das staatliche Gemeinweisen. Zu den Sektoren

gehören Energie, Informationstechnik, Telekommunikation,

Wasser, Ernährung, Gesundheit, Finanz- und Versicherungs-

wesen sowie Transport und Verkehr. Aber nicht alle Infrastruk-

turen in diesen Sektoren sind direkt Kritische Infrastrukturen.

Hinzukommen muss, dass die Infrastruktur einen in einer Ver-

ordnung zum IT-Sicherheitsgesetz festgeschriebenen und vom

jeweiligen Sektor abhängigen Schwellenwert überschreitet.

Im Sektor Wasser muss zum Beispiel eine bestimmte Wasser-

menge verarbeitet werden.

Wenn dies der Fall ist, muss der Betreiber der Kritischen Inf-

rastruktur ebenfalls organisatorische und technische Maß-

nahmen ergreifen. Allerdings sind die Anforderungen an diese

höher. Daneben muss eine Kontaktstelle eingerichtet werden

und es muss gegenüber dem Bundesamt für Sicherheit in der

Informationstechnik (BSI) regelmäßig nachgewiesen werden,

dass die erforderlichen Maßnahmen ergriffen wurden. Im Stö-

rungsfall muss dem BSI Meldung gemacht werden.

Zuletzt wurde das Vorhaben „IT-Sicherheitsgesetz 2.0“ forciert,

mit dem das aus 2015 stammende IT-Sicherheitsgesetz refor-

miert werden soll. Unter anderem soll der Adressatenkreis

erweitert werden. Es soll nicht mehr nur Kritische Infrastruk-

turen geben, sondern auch Infrastrukturen im besonderen

öffentlichen Interesse und solche mit Cyberkritikalität. Infra-

strukturen im besonderen öffentlichen Interesse sind solche

Einrichtungen aus dem Bereich Rüstung, Börse sowie Kultur

und Medien. Infrastrukturen mit Cyberkritikalität sind Ein-

richtungen, die selbst nicht als kritisch einzustufen sind, aber

derart mit Kritischen Infrastrukturen vernetzt sind, dass diese

gefährdet wären, wenn die Einrichtung ausfallen würde. Dane-

ben sollen die Befugnisse des BSI erweitert, ein freiwilliges IT-

Sicherheitskennzeichen eingeführt und der Vertrieb von für

Kritische Infrastrukturen wesentliche Komponenten reguliert

werden. Im Rahmen der Strafverfolgung sollen neben strafpro-

zessualen Änderungen auch neue Straftatbestände begründet

werden. Zuletzt sind auch Änderungen im Telemediengesetz

(TMG) und Telekommunikationsgesetz (TKG) geplant. Ob die im

Referentenentwurf enthaltenen Vorschläge aber tatsächlich

derart das Gesetzgebungsverfahren passieren, bleibt noch

abzuwarten. Deutlich wird jedenfalls, dass nach dem Willen

des Gesetzgebers dem Thema der IT-Sicherheit in Zukunft

erhöhte Aufmerksamkeit zukommen soll.

IV. Zusammenfassung

Dieser kurze Überblick hat gezeigt, dass das Thema der „IT-

Sicherheit“ aus rechtlicher Sicht vielfältig beleuchtet werden

kann. Insbesondere durch die DSGVO und zukünftig durch die

Änderungen des IT-Sicherheitsgesetzes 2.0 unterliegt diese

Thematik einem ständigen Wandel. Hochschulen und For-

schungseinrichtungen sind vor Gefahren bei der IT-Sicherheit

nicht gefeit und sollten sich deswegen im besonderen Maße

mit der IT-Sicherheit – auch aus rechtlicher Perspektive – aus-

einandersetzen.

DFN-Infobrief Recht 07 / 2019 | Seite 10

Impressum

Der DFN-Infobrief Recht informiert über aktuelle Entwicklungen in Gesetzgebung und Rechtsprechung und daraus resultierende

mögliche Auswirkungen auf die Betriebspraxis im Deutschen Forschungsnetz.

Herausgeber

Verein zur Förderung eines Deutschen Forschungsnetzes e. V.

DFN-Verein

Alexanderplatz 1, D-10178 Berlin

E-Mail: DFN-Verein@dfn.de

Redaktion

Forschungsstelle Recht im DFN

Ein Projekt des DFN-Vereins an der WESTFÄLISCHEN WILHELMS-UNIVERSITÄT, Institut für Informations-, Telekommunikations- und

Medienrecht (ITM), Zivilrechtliche Abteilung

Unter Leitung von Prof. Dr. Thomas Hoeren

Leonardo-Campus 9

D-48149 Münster

E-Mail: recht@dfn.de

Nachdruck sowie Wiedergabe in elektronischer Form, auch auszugsweise, nur mit schriftlicher Genehmigung des DFN-Vereins

und mit vollständiger Quellenangabe.