Bundesjustizministerium zu den weiteren Entwicklungen im IT-Sicherheitsrecht – Ausblick auf die Gesetzgebung im Cybercrime 2019

Im Nachgang zu dem “Doxing-Skandal 2018/2019” hat das Bundesjustizministerium im Januar 2019 ein Thesenpapier veröffentlicht (unten als Download), dem weitere Maßnahmen einer eventuellen zukünftigen Gesetzgebung im Bereich IT-Sicherheit zu entnehmen sind. Dies sind in aller Kürze:

  • IT-Sicherheit mit Updateverpflichtung: Es soll EU-weit einheitliche und rechtlich verbindliche Standards geben, die den Herstellern und Diensteanbietern klare Anforderungen zur IT-Sicherheit auferlegen. Diese Standards sollten über die gesetzlichen Mindestanforderungen hinausgehen und eine mehrjährige Update-Verpflichtung des Herstellers enthalten.
  • Produkthaftung: Auch fehlerhafte Software soll unter das Produkthaftungsregime fallen und mangelnde IT-Sicherheit muss einen Produktfehler begründen. (Hinweis: Grundsätzlich gilt die Produkthaftung auch jetzt bei Software)
  • Stärkung im Datenschutz: Es soll eine Stärkung der Datenschutzbehörden erfolgen (fraglich wie, es geht um Landesbehörden, wo der Bund nicht wirklich eingreifen kann). Weiterhin soll ein verbesserter Schutz in die EU-ePrivacy-Verordnung (was auch skeptisch gesehen werden kann, nach meiner Wahrnehmung blockt genau hier die deutsche Regierung?).
  • Wettbewerbsrecht: Es soll ausdrücklich die Anwendbarkeit des Gesetzes gegen den unlauteren Wettbewerb auf Datenschutzverstöße klargestellt werden: “Wenn Daten von Verbraucherinnen und Verbrauchern missbräuchlich verwendet wurden und dadurch Gewinne erzielt werden, dann dürfen diese nicht bei dem bleiben, der das Recht verletzt hat.”. Hier wird fraglich sein, ob man wenigstens so klug ist, nur bestimmte Verstöße/Klauseln dem UWG zu unterstellen – oder ob am Ende dann doch massenhaft Abmahnungen wegen Formfehler in Datenschutzerklärungen auf Webseiten folgen können. Wichtig ist auch, dass man über das Instrument der “Gewinnabschöpfungsklage” nachdenkt.
  • Online-Dienste in die Pflicht nehmen: Eher unscheinbar ist der Satz “Ein gehacktes Nutzerkonto bei einem Online-Dienst muss schnell und unkompliziert gesperrt werden können.”. Gemeint ist aber wohl, dass Online-Dienste klare Ansprechpartner mit kurzen Reaktionszeiten bereit halten müssen. Es bleibt abzuwarten ob man das wirklich angeht in einer Zeit, in der es als Erfolg verbucht werden muss, dass man bei Google überhaupt mal Mails liest.
  • Long Term Support: Ich bin mir nicht sicher, man schreibt unter dem Stichpunkt nachhaltige Sicherheit “Durch das Auslaufen des Software-Supports werden zum Teil Neuanschaffungen erzwungen” und möchte erreichen, dass Software länger gepflegt wird. Ich vermute, dass für bestimmte Bereiche eine Art LTS begründet werden soll, wobei kritische Systeme schon heute langjährige Pflegepakete haben (und man oben ja schon die Updateverpflichtung angesprochen hat). Hier ist mir nicht ganz klar, wo man hin will … durch den pauschalen Verweis auf die EU könnte es sich aber auch mehr um einen unkonkreten Fülltext handeln.

Für mich zeigt sich eines deutlich mit der nunmehrigen Liste des BMJV: So unverbindlich es klingt, darf man wohl davon ausgehen, dass wir zeitnah ein IT-Sicherheitsgesetz 2 erleben werden. Dieses dürfte sich auf Online-Dienste und Softwareregeln konzentrieren. Weiterhin wird der deutsche Gesetzgeber – das macht er nun mal am liebsten – versuchen die Sanktionsschraube zu drehen. Schon fast unweigerlich dürften daher Klarstellungen im UWG zu erwarten sein, damit DSGVO-Verstöße dann definitiv erfasst sind. Datenschutzrecht und Softwarerecht werden den Bereich der IT-Sicherheit möglicherweise beherrschen, jedenfalls verstehe ich so die hier vorgenommenen Ankündigungen.

Neue psychoaktive Substanzen: Neue Gesetzgebung für schnellere Reaktion auf neue Drogen ab heute gültig

Ab dem heutigen Tag sind neue Rechtsvorschriften anwendbar, auf deren Grundlage Europa künftig weitaus schneller auf Gefährdungen der öffentlichen Gesundheit sowie soziale Bedrohungen durch neue psychoaktive Substanzen (NPS/„neue Drogen“) reagieren kann. Die Gesetzgebung, die ab 23. November 2018 anwendbar ist, stärkt das EU-Frühwarnsystem und das Risikobewertungsverfahren für neue psychoaktive Substanzen und beschleunigt das Kontrollverfahren. Die Gesetzgebung, die auf Vorschläge der Europäischen Kommission zurückgeht, ist eine Reaktion auf den jüngsten Anstieg in der Verfügbarkeit von NPS.

„Neue psychoaktive Substanzen: Neue Gesetzgebung für schnellere Reaktion auf neue Drogen ab heute gültig“ weiterlesen

Gesetz zur Umsetzung der NIS-Richtlinie

Am 25. Januar 2017 hat das Bundeskabinett den Gesetzesentwurf zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) beschlossen. Diese lange umkämpfte Richtlinie schafft einen einheitlichen EU-weiten Rechtsrahmen zur Stärkung der IT-Sicherheit und sieht Mindestanforderungen und Meldepflichten für bestimmte digitale Dienste vor.

Link: Das Gesetzgebungsverfahren ist hier dokumentiert.
„Gesetz zur Umsetzung der NIS-Richtlinie“ weiterlesen

Ausblick: Netzwerkdurchsetzungsgesetz

Lange stand es im Raum, nun im März 2017 wurde es (plötzlich) bekannt gegeben: Der Entwurf eines Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz). Mit diesem soll zielgerichtet auf Betreiber sozialer Netzwerke eingewirkt werden, damit diese rechtswidrige Inhalte unterbinden.

Hinweis: Die Materialien zum Netzwerkdurchsetzungsgesetz finden sich hier
„Ausblick: Netzwerkdurchsetzungsgesetz“ weiterlesen

Gesetzentwurf: Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme – Digitaler Hausfriedensbruch

Digitaler Hausfriedensbruch: Der Bundesrat hat schon 2016 einen Entwurf eines Strafrechtsänderungsgesetzes mit dem Ziel der Schaffung einer Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme (“Digitaler Hausfriedensbruch”, §202e StGB) vorgelegt.

Update: Die Bundesregierung hat sich zu dem Gesetzentwurf in einer Stellungnahme kritisch geäußert, wie auch Golem berichtet. Das Thema geistert seitdem immer wieder durch die Politik, zuletzt 2019 wurde der “digitale Hausfriedensbruch” als Tatbestand gefordert.

„Gesetzentwurf: Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme – Digitaler Hausfriedensbruch“ weiterlesen

Gesetzentwurf zur Verfolgung von Internetpropaganda

Der Bundesrat möchte eine vermeintliche rechtliche Lücke schliessen: Es soll eine Straverfolgung möglich sein, wenn Personen Propagandamittel oder Kennzeichen verfassungswidriger Organisationen vom Ausland aus in das Internet einstellen. Dabei ist die Rechtsprechung im Bereich der Propagandadelikte durchaus komplex: Während die Volksverhetzung (§130 StGB) mit dem Bundesgerichtshof in Deutschland auch durch ausländische Internetseiten eine Straftat darstellen kann ist das Verwenden von Kennzeichen verfassungswidriger Organisationen mit dem Bundesgerichtshof in Deutschland aus dem Ausland heraus nicht strafbar. Die Rechtsprechung zur internationalen Problematik bei Propagandadelikten über das Internet habe ich hier zusammengefasst.

Diese Lücke möchte der Bundesrat schliessen und die §§86, 86a StGB ausdrücklich bei Auslandstaten unter Strafe stellen, wenn die Propaganda über das Internet “im Inland oder im Inland wahrnehmbar verbreitet” und der Täter seine Lebensgrundlage im räumlichen Geltungsbereich des Strafgesetzbuchs hat. Wie immer bleibt erst einmal abzuwarten, was hieraus überhaupt wird, es ist keine Seltenheit, dass Gesetzesentwürfe des Bundesrates letztlich “versacken”.

Sexueller Mißbrauch von Kindern mittels IT auch bei anwesendem Täter

Eine schon länger schwelende Diskussion hat der Bundesgerichtshof (4 StR 219/15) nunmehr entschieden. Es geht um §176 Abs.4 Nr.3 StGB wo u.a. zu lesen ist

Mit Freiheitsstrafe (…) wird bestraft, wer (…) auf ein Kind mittels Schriften (§ 11 Absatz 3) oder mittels Informations- oder Kommunikationstechnologie einwirkt, um (…) das Kind zu sexuellen Handlungen zu bringen (…)

Hier wurde diskutiert, ob es ungeschriebene Tatbestandsvoraussetzung ist, dass der Täter abwesend ist, also über Entfernung durch IT auf das Kind einwirkt. Hierfür sprach durchaus die Gesetzessystematik und der Verlauf der Gesetzgebung – das lehnt der BGH aber ab:

Obwohl der Gesetzgeber sich aufgrund der von sog. Chatrooms im Internet ausgehenden Gefahren zur Schaffung dieses Straftatbestandes veranlasst gesehen hat (BT-Drucks. 15/350, S. 18), stellt es schon nach dem ausdrücklichen Wortlaut der Vorschrift keine Tatbestandsvoraussetzung dar, dass der Täter abwesend ist und aus der Distanz auf ein Kind einwirkt. Der Wille des Gesetzgebers, mit diesem Straftatbestand nicht ausschließlich die regelmäßig aus der Distanz begangenen Fälle des Einwirkens über das Internet zu erfassen, ergibt sich daraus, dass in den Gesetzgebungsmaterialien auch der Anwendungsfall eines Einwirkens durch Bücher genannt wird (BT-Drucks. 15/350, S. 18). Der Senat sieht daher keine Veranlassung, im Wege der teleologischen Reduktion Sachverhalte, in denen ein körperlich anwesender Täter durch Schriften mit sexuellem Inhalt auf ein Kind einwirkt, um es zu sexuellen Hand-lungen zu bewegen, aus dem Tatbestand des § 176 Abs. 4 Nr. 3 StGB auszu-schließen. Insbesondere mit Blick auf den Wortlaut der Vorschrift ist eine solche Auslegung auch nicht deshalb veranlasst, weil ein bloßes Einreden eines Täters auf ein Kind ohne Zuhilfenahme einer Schrift nicht unter diesen Tatbestand fällt (kritisch insoweit Fischer, StGB, 62. Aufl., § 176 Rn. 14).
Nichts anderes gilt für die am 27. Januar 2015 in Kraft getretenen Neufassung der Vorschrift, nach welcher sich u.a. strafbar macht, wer auf ein Kind mittels Schriften oder mittels Informations- oder Kommunikationstechnologie einwirkt, um das Kind zu sexuellen Handlungen zu bringen.

Vorratsdatenspeicherung: Die Gesetzessystematik der Datenabfrage

Die Vorratsdatenspeicherung wurde am 16. Oktober 2015 vom Bundestag beschlossen, wobei auf Grund des doch sehr plötzlichen “Hau-Ruck-Durchwinkens” in kurzer Zeit kein brauchbarer Zeitrahmen bestand, um in Ruhe im Vorhinein die geplante Vorratsdatenspeicherung inhaltlich aufzubereiten. Entsprechend hektisch ist die Berichterstattung nun im Nachhinein. Ich möchte das Thema langsam aufarbeiten und beginne mit der Darstellung der Systematik der Datenabfrage.
„Vorratsdatenspeicherung: Die Gesetzessystematik der Datenabfrage“ weiterlesen

IT-Sicherheitsgesetz (2015)

Im Jahr 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Mit dem IT-Sicherheitsgesetz sollen Grundlagen verstärkter IT-Sicherheit geschaffen werden – dies, indem erst einmal prinzipielle Rahmenbedingungen und eine Art zentrales Meldewesen – gebündelt beim BSI – geschaffen werden. Daneben gibt es eine Änderung die alle Webseitenbetreiber betrifft dahingehend, dass die Pflicht zum Einspielen von Updates normiert wurde.

Weiterführende Links:

Gesetzentwurf zur Strafbarkeit der Datenhehlerei – der missverstandene Entwurf

Das Bundesjustizministerium hat mitgeteilt, dass man im Zuge der Wiedereinführung einer Vorratsdatenspeicherung auch den Straftatbestand der “Datenhehlerei” einführen möchte. In diesem Zusammenhang gab es bereits erste sehr kritische Beiträge, wobei allerdings schon vielfach von dem wohl falschen Gesetzesentwurf ausgegangen wurde. Dabei hatte sich der Gesetzgeber zumindest mit seinem ersten Entwurf ohnehin ein ganz anderes Ziel gesetzt als die Einführung der Strafbarkeit der Datenhehlerei.
„Gesetzentwurf zur Strafbarkeit der Datenhehlerei – der missverstandene Entwurf“ weiterlesen