Bundesjustizministerium zu den weiteren Entwicklungen im IT-Sicherheitsrecht – Ausblick auf die Gesetzgebung im Cybercrime 2019

Im Nachgang zu dem “Doxing-Skandal 2018/2019” hat das Bundesjustizministerium im Januar 2019 ein Thesenpapier veröffentlicht (unten als Download), dem weitere Maßnahmen einer eventuellen zukünftigen Gesetzgebung im Bereich IT-Sicherheit zu entnehmen sind. Dies sind in aller Kürze:

  • IT-Sicherheit mit Updateverpflichtung: Es soll EU-weit einheitliche und rechtlich verbindliche Standards geben, die den Herstellern und Diensteanbietern klare Anforderungen zur IT-Sicherheit auferlegen. Diese Standards sollten über die gesetzlichen Mindestanforderungen hinausgehen und eine mehrjährige Update-Verpflichtung des Herstellers enthalten.
  • Produkthaftung: Auch fehlerhafte Software soll unter das Produkthaftungsregime fallen und mangelnde IT-Sicherheit muss einen Produktfehler begründen. (Hinweis: Grundsätzlich gilt die Produkthaftung auch jetzt bei Software)
  • Stärkung im Datenschutz: Es soll eine Stärkung der Datenschutzbehörden erfolgen (fraglich wie, es geht um Landesbehörden, wo der Bund nicht wirklich eingreifen kann). Weiterhin soll ein verbesserter Schutz in die EU-ePrivacy-Verordnung (was auch skeptisch gesehen werden kann, nach meiner Wahrnehmung blockt genau hier die deutsche Regierung?).
  • Wettbewerbsrecht: Es soll ausdrücklich die Anwendbarkeit des Gesetzes gegen den unlauteren Wettbewerb auf Datenschutzverstöße klargestellt werden: “Wenn Daten von Verbraucherinnen und Verbrauchern missbräuchlich verwendet wurden und dadurch Gewinne erzielt werden, dann dürfen diese nicht bei dem bleiben, der das Recht verletzt hat.”. Hier wird fraglich sein, ob man wenigstens so klug ist, nur bestimmte Verstöße/Klauseln dem UWG zu unterstellen – oder ob am Ende dann doch massenhaft Abmahnungen wegen Formfehler in Datenschutzerklärungen auf Webseiten folgen können. Wichtig ist auch, dass man über das Instrument der “Gewinnabschöpfungsklage” nachdenkt.
  • Online-Dienste in die Pflicht nehmen: Eher unscheinbar ist der Satz “Ein gehacktes Nutzerkonto bei einem Online-Dienst muss schnell und unkompliziert gesperrt werden können.”. Gemeint ist aber wohl, dass Online-Dienste klare Ansprechpartner mit kurzen Reaktionszeiten bereit halten müssen. Es bleibt abzuwarten ob man das wirklich angeht in einer Zeit, in der es als Erfolg verbucht werden muss, dass man bei Google überhaupt mal Mails liest.
  • Long Term Support: Ich bin mir nicht sicher, man schreibt unter dem Stichpunkt nachhaltige Sicherheit “Durch das Auslaufen des Software-Supports werden zum Teil Neuanschaffungen erzwungen” und möchte erreichen, dass Software länger gepflegt wird. Ich vermute, dass für bestimmte Bereiche eine Art LTS begründet werden soll, wobei kritische Systeme schon heute langjährige Pflegepakete haben (und man oben ja schon die Updateverpflichtung angesprochen hat). Hier ist mir nicht ganz klar, wo man hin will … durch den pauschalen Verweis auf die EU könnte es sich aber auch mehr um einen unkonkreten Fülltext handeln.

Für mich zeigt sich eines deutlich mit der nunmehrigen Liste des BMJV: So unverbindlich es klingt, darf man wohl davon ausgehen, dass wir zeitnah ein IT-Sicherheitsgesetz 2 erleben werden. Dieses dürfte sich auf Online-Dienste und Softwareregeln konzentrieren. Weiterhin wird der deutsche Gesetzgeber – das macht er nun mal am liebsten – versuchen die Sanktionsschraube zu drehen. Schon fast unweigerlich dürften daher Klarstellungen im UWG zu erwarten sein, damit DSGVO-Verstöße dann definitiv erfasst sind. Datenschutzrecht und Softwarerecht werden den Bereich der IT-Sicherheit möglicherweise beherrschen, jedenfalls verstehe ich so die hier vorgenommenen Ankündigungen.

Neue psychoaktive Substanzen: Neue Gesetzgebung für schnellere Reaktion auf neue Drogen ab heute gültig

Ab dem heutigen Tag sind neue Rechtsvorschriften anwendbar, auf deren Grundlage Europa künftig weitaus schneller auf Gefährdungen der öffentlichen Gesundheit sowie soziale Bedrohungen durch neue psychoaktive Substanzen (NPS/„neue Drogen“) reagieren kann. Die Gesetzgebung, die ab 23. November 2018 anwendbar ist, stärkt das EU-Frühwarnsystem und das Risikobewertungsverfahren für neue psychoaktive Substanzen und beschleunigt das Kontrollverfahren. Die Gesetzgebung, die auf Vorschläge der Europäischen Kommission zurückgeht, ist eine Reaktion auf den jüngsten Anstieg in der Verfügbarkeit von NPS.

„Neue psychoaktive Substanzen: Neue Gesetzgebung für schnellere Reaktion auf neue Drogen ab heute gültig“ weiterlesen

Gesetz zur Umsetzung der NIS-Richtlinie

Am 25. Januar 2017 hat das Bundeskabinett den Gesetzesentwurf zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) beschlossen. Diese lange umkämpfte Richtlinie schafft einen einheitlichen EU-weiten Rechtsrahmen zur Stärkung der IT-Sicherheit und sieht Mindestanforderungen und Meldepflichten für bestimmte digitale Dienste vor.

Link: Das Gesetzgebungsverfahren ist hier dokumentiert.
„Gesetz zur Umsetzung der NIS-Richtlinie“ weiterlesen

Ausblick: Netzwerkdurchsetzungsgesetz

Lange stand es im Raum, nun im März 2017 wurde es (plötzlich) bekannt gegeben: Der Entwurf eines Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz). Mit diesem soll zielgerichtet auf Betreiber sozialer Netzwerke eingewirkt werden, damit diese rechtswidrige Inhalte unterbinden.

Hinweis: Die Materialien zum Netzwerkdurchsetzungsgesetz finden sich hier
„Ausblick: Netzwerkdurchsetzungsgesetz“ weiterlesen

Gesetzentwurf: Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme – Digitaler Hausfriedensbruch

Digitaler Hausfriedensbruch: Der Bundesrat hat schon 2016 einen Entwurf eines Strafrechtsänderungsgesetzes mit dem Ziel der Schaffung einer Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme (“Digitaler Hausfriedensbruch”, §202e StGB) vorgelegt.

Update: Die Bundesregierung hat sich zu dem Gesetzentwurf in einer Stellungnahme kritisch geäußert, wie auch Golem berichtet. Das Thema geistert seitdem immer wieder durch die Politik, zuletzt 2019 wurde der “digitale Hausfriedensbruch” als Tatbestand gefordert.

„Gesetzentwurf: Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme – Digitaler Hausfriedensbruch“ weiterlesen

Gesetzentwurf zur Verfolgung von Internetpropaganda

Der Bundesrat möchte eine vermeintliche rechtliche Lücke schliessen: Es soll eine Straverfolgung möglich sein, wenn Personen Propagandamittel oder Kennzeichen verfassungswidriger Organisationen vom Ausland aus in das Internet einstellen. Dabei ist die Rechtsprechung im Bereich der Propagandadelikte durchaus komplex: Während die Volksverhetzung (§130 StGB) mit dem Bundesgerichtshof in Deutschland auch durch ausländische Internetseiten eine Straftat darstellen kann ist das Verwenden von Kennzeichen verfassungswidriger Organisationen mit dem Bundesgerichtshof in Deutschland aus dem Ausland heraus nicht strafbar. Die Rechtsprechung zur internationalen Problematik bei Propagandadelikten über das Internet habe ich hier zusammengefasst.

Diese Lücke möchte der Bundesrat schliessen und die §§86, 86a StGB ausdrücklich bei Auslandstaten unter Strafe stellen, wenn die Propaganda über das Internet “im Inland oder im Inland wahrnehmbar verbreitet” und der Täter seine Lebensgrundlage im räumlichen Geltungsbereich des Strafgesetzbuchs hat. Wie immer bleibt erst einmal abzuwarten, was hieraus überhaupt wird, es ist keine Seltenheit, dass Gesetzesentwürfe des Bundesrates letztlich “versacken”.

IT-Sicherheitsgesetz (2015)

Im Jahr 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Mit dem IT-Sicherheitsgesetz sollen Grundlagen verstärkter IT-Sicherheit geschaffen werden – dies, indem erst einmal prinzipielle Rahmenbedingungen und eine Art zentrales Meldewesen – gebündelt beim BSI – geschaffen werden. Daneben gibt es eine Änderung die alle Webseitenbetreiber betrifft dahingehend, dass die Pflicht zum Einspielen von Updates normiert wurde.

Weiterführende Links:

Gesetzentwurf zur Strafbarkeit der Datenhehlerei – der missverstandene Entwurf

Das Bundesjustizministerium hat mitgeteilt, dass man im Zuge der Wiedereinführung einer Vorratsdatenspeicherung auch den Straftatbestand der “Datenhehlerei” einführen möchte. In diesem Zusammenhang gab es bereits erste sehr kritische Beiträge, wobei allerdings schon vielfach von dem wohl falschen Gesetzesentwurf ausgegangen wurde. Dabei hatte sich der Gesetzgeber zumindest mit seinem ersten Entwurf ohnehin ein ganz anderes Ziel gesetzt als die Einführung der Strafbarkeit der Datenhehlerei.
„Gesetzentwurf zur Strafbarkeit der Datenhehlerei – der missverstandene Entwurf“ weiterlesen

Gesetzentwurf zur Datenhehlerei: Verschärfung des IT-Strafrechts – und legalisierung des Ankaufs von Steuer-CDs

Beim Bundestag (Drucksache 17/14362) liegt ein Gesetzentwurf des Bundesrats, der in dieser Legislaturperiode nicht mehr kommen wird – gleichwohl sind die Chancen gut, dass der Entwurf auch nach der Wahl, gleich welchen Ausgang sie nimmt, noch Berücksichtigung findet. Ein Grund, einen Blick darauf zu werfen.
„Gesetzentwurf zur Datenhehlerei: Verschärfung des IT-Strafrechts – und legalisierung des Ankaufs von Steuer-CDs“ weiterlesen

Was ist dran: Strafanzeige gegen den NRW-Finanzminister in Sachen Steuer-CD

Einige Bürger in NRW haben auf sich Aufmerksam gemacht mit einer Strafanzeige gegen den NRW-Finanzminister. Es geht um den Erwerb der so genannten “Steuer-CDs” und die Vermutung, dass hierbei Straftatbestände verwirklicht worden sein könnten, da hier eine Form von illegalem Datenhandel vorliegen könnte. Ausweislich der veröffentlichten Strafanzeige geht es den Anzeigenstellern vor allem um die § 44 BDSG, § 17 UWG und § 202a StGB. Im Folgenden möchte ich aus juristischer Sicht kurz anprüfen, ob dies wirklich Relevant sein kann.

Hinweis: Es geht hier alleine um eine juristische Bewertung. Eine politische Bewertung findet zu keiner Zeit statt und bleibt hier vollständig außen vor!
„Was ist dran: Strafanzeige gegen den NRW-Finanzminister in Sachen Steuer-CD“ weiterlesen