Скачать книгу

      Den Begriff »Stand der Technik« finden Sie aber auch in zahlreichen anderen rechtlichen Regelungen. Neben der DS-GVO kommt er zum Beispiel noch in diesen Rechtsvorschriften vor:

       § 8a Abs. 1. BSI-Gesetz: »… Dabei soll der Stand der Technik eingehalten werden …«

       § 75b Abs. 3 SGB V: »… festzulegenden Anforderungen müssen dem Stand der Technik entsprechen …«

       § 75c Abs. 1 SGB V:»… nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen …«

       § 165 Abs. 1 TKG:»… Dabei ist der Stand der Technik zu berücksichtigen …« und Abs. 2 »… Bei diesen Maßnahmen ist der Stand der Technik zu berücksichtigen …«

       § 6 Abs. 2 TTDSG: »…Soweit es im Hinblick auf den angestrebten Schutzzweck erforderlich ist, sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen …«

       § 19 Abs. 4 TTDSG: »… Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen …«

       Art. 14 Abs. 1 und Art. 16 Abs. 1 NIS-Richtlinie: »… Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist …«

       Art. 52 Abs. 7 CyberSecurity-Verordnung: »… die erforderlichen Sicherheitsfunktionen entsprechend dem neuesten Stand der Technik ordnungsgemäß durchführen …«

      Diese Frage wurde vom Bundesverfassungsgericht bereits 1978 in der sogenannten »Kalkar-Entscheidung« (Kalkar I, BVerG 49, 89) aufgegriffen. Nach der von Breuer [Bre76] 1976 entwickelten und vom Bundesverfassungsgericht angewandten Drei-Stufen-Theorie kann auf die folgenden drei Stufen der erforderlichen technischen Maßnahmen zurückgegriffen werden:

       »allgemein anerkannte Regeln der Technik«,

       »Stand der Technik« und

       »Stand von Wissenschaft und Technik«.

      

Im allgemeinen Sprachgebrauch reden wir häufig vom »Stand von Wissenschaft und Forschung«. Das Bundesverfassungsgericht hat aber tatsächlich den Begriff »Stand von Wissenschaft und Technik« verwendet. Da es hier um die Technikgestaltung geht, macht das Sinn.

      »Durch die Verwendung unbestimmter Rechtsbegriffe werden die Schwierigkeiten der verbindlichen Konkretisierung und der laufenden Anpassung an die wissenschaftliche und technische Entwicklung mehr oder weniger auf die administrative und – soweit es zu Rechtsstreitigkeiten kommt – auf die judikative Ebene verlagert. Behörden und Gerichte müssen mithin das Regelungsdefizit der normativen Ebene ausgleichen.«, schreibt das Bundesverfassungsgericht in seinem Beschluss (RdNr. 104; die Randnummern beziehen sich auf die Kalkar-Entscheidung des Bundesverfassungsgerichts). Als Informationssicherheits- oder Datenschutzbeauftragter ist es Ihre Aufgabe, diese unbestimmten Rechtsbegriffe im Unternehmen mit Leben zu füllen, denn die Formulierung des Bundesverfassungsgerichts gilt auch für Unternehmen. Auch Unternehmen müssen die Regelungsdefizite des Gesetzgebers ausgleichen. Die Entscheidung des Bundesverfassungsgerichts gibt dabei eine Orientierung. Das sollten Sie übrigens nicht nur negativ sehen. Die Alternative wäre eine detaillierte Technikgestaltung durch den Gesetzgeber und damit eine Einschränkung der Gestaltungsmöglichkeiten der Unternehmen.

      Den unbestimmten Rechtsbegriff »allgemein anerkannte Regeln der Technik« finden Sie erstmalig im § 3 Abs. 1 des Gesetzes über technische Arbeitsmittel (Maschinenschutzgesetz; mittlerweile außer Kraft) von 1968. Der Rechtsbegriff ist außerdem im Baurecht üblich. Hier gibt es sogar den Straftatbestand der »Baugefährdung« (§ 319 StGB), wenn die »Planung, Leitung oder Ausführung eines Baues oder des Abbruchs eines Bauwerks« nicht den allgemein anerkannten Regeln der Technik entspricht.

      Die Informationssicherheits- und Datenschutzbeauftragten können sich bei den »anerkannten Regeln der Technik« darauf beschränken, die herrschende Meinung der technischen Fachleute auf ihrem Gebiet und den Grad der Bewährung in der Praxis festzustellen. Nachteilig ist jedoch, »daß die Rechtsordnung mit dem Maßstab der allgemein anerkannten Regeln [der Technik] stets hinter einer weiterstrebenden technischen Entwicklung herhinkt«. (RdNr. 105 der Urteils des BVerfG)

      Der Rechtsbegriff »Stand von Wissenschaft und Technik« bezieht sich auf Maßnahmen nach neuesten Erkenntnissen des aktuellen Stands der wissenschaftlichen und technischen Entwicklung. Der Begriff wird im § 7 Abs. 2 Nr. 3 Atomgesetz verwendet, wo verlangt wird, »die nach dem Stand von Wissenschaft und Technik erforderliche Vorsorge gegen Schäden durch die Errichtung und den Betrieb der Anlage« zu treffen. Aspekte wie Bewährung in der Praxis und mehrheitliche Meinung der Experten spielen keine Rolle mehr. »Es muß diejenige Vorsorge gegen Schäden getroffen werden, die nach den neuesten wissenschaftlichen Erkenntnissen für erforderlich gehalten wird.« (RdNr. 107 f.)

      Eine Datenschutzaufsichtsbehörde darf von Unternehmen im Bereich IT-Sicherheit keine Maßnahmen nach »Stand von Wissenschaft und Technik« verlangen. Deutlich wurde dies im Jahr 2020 bei der Diskussion zwischen Unternehmen und Aufsichtsbehörden über Ende-zu-Ende-verschlüsselte Videokonferenzen [GGHP20]. In einer solchen Diskussion muss dann eine Aufsichtsbehörde unter sinngemäßer Anwendung des Beschlusses des Bundesverfassungsgerichts in eine Prüfung und Einstufung der technisch-organisatorischen Maßnahmen eintreten. Dies ist auch für eine Aufsichtsbehörde eine technisch aufwendige Beurteilung.

      

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) (https://www.teletrust.de) hat in der Arbeitsgruppe »Stand der Technik« eine Handreichung zum »Stand der Technik« erstellt, die bei der Einstufung einer IT-Sicherheitstechnik hilft. Dazu werden per Fragebogen Fachleute befragt. Diese stufen eine Technik nach Grad der Bewährung in der Praxis und nach Grad der Anerkennung durch Fachleute jeweils auf einer Skala von null bis fünf ein. Dabei werden die Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität betrachtet.

Скачать книгу