Zum Abschluss unserer Reihe „Maschinendaten -Rechtsrahmen, Fallstricke und Lösungsansätze” bespricht unser Autor,  Stefan Sander, rechtliche Anforderung an die IT bei der Umsetzung hybrider Geschäftsmodelle. Viel Spaß bei der Lektüre

Keine Daten ohne Systeme – Anforderungen an Systeme?

Der Blick auf die Maschinendaten muss damit abgerundet werden, dass man sich bewusst macht, dass die Daten als solche nicht der einzige Anknüpfungspunkt für zukünftige und heute schon vorhandene Gesetze sind. Wird, wie eingangs erwähnt, neue Wertschöpfung dadurch erreicht, dass alte Maschinen „smart“ gemacht werden, gelten für diese Maschinen rechtliche Anforderungen, die wahrscheinlich zuvor nicht einschlägig waren. Wird z. B. zur Beantwortung der Frage, wie die in der Maschine während ihrer Benutzung generierten Daten aus der Maschine heraus transportiert werden sollen, die Antwort WiFi, Bluetooth, NFC, o.ä. gegeben, bewegt man sich in der Regel in den jeweils nationalen Gesetzen zur Umsetzung z. B. der Richtlinie 2014/53/EU über die Bereitstellung von Funkanlagen auf dem Markt, der Richtlinie 2014/35/EU über die Bereitstellung elektrischer Betriebsmittel (Niederspannungsrichtlinie) oder der Richtlinie 2014/30/EU über die elektromagnetische Verträglichkeit.

Abgesehen von den somit angesprochenen elektrotechnischen Herausforderungen, denen man sich als produzierende*r Mittelständler*in sicherlich gut gewachsen sieht, muss man auch die Herausforderungen der Informationstechnologie in den Blick nehmen. Angenommen die Kühlschränke, die man bislang produzierte, sollten nunmehr als „smarte“ Kühlschränke nach dem Konzept von IoT permanent mit dem Internet verbunden sein, so darf man die Frage nach der Verantwortlichkeit stellen, wenn dieser Kühlschrank zum Zombie in einem Botnetz wird und gesteuert durch den Command & Control Server Angriffe gegen die IT eines Krankenhauses fährt, wodurch dort Steuerungssysteme ausfallen und Menschen ums Leben kommen. Wie das Handelsblatt und zahlreiche weitere Medien am 18.09.2020 zu berichten wussten, kam es nach einem Hackerangriff auf die Uni-Klinik Düsseldorf zu einem Todesfall. Am 09.02.2021 berichtete der Sicherheitsspezialist G DATA, dass sich im US-Bundesstaat Florida Unbekannte über ein schlecht gesichertes Remote-Wartungsprogramm Zugriff auf Systeme eines Wasserwerkes verschafft hatten. Dabei konnten sie die Konzentration einer zur Wasserbehandlung eingesetzten Chemikalie verändern. Aus Sicherheitskreisen wie etwa dem Cybercrime-Kompetenzzentrum beim LKA NRW ist nunmehr schon seit mindestens zwei Jahren regelmäßig wiederkehrend zu vernehmen, dass sich die Frage nicht mehr stellt, ob sich ein Unternehmen einem Cyberangriff ausgesetzt sehen wird, sondern heute nur noch zu fragen ist, wann der nächste Angriff stattfinden wird. Die Lage der IT-Sicherheit in Deutschland 2020 wurde vom Bundesamt für Sicherheit in der Informationstechnik im gleichnamigen Jahresbericht, den die Behörde am 20.10.2020 veröffentlichte, als „angespannt“ bezeichnet. Um zwei andere Beispiele zu nennen, die nicht Leib und Leben bedrohten, sondern nur Geld und wirtschaftliche Existenzen: Der niedersächsische MDax-Konzern Symrise, der etwa 10.000 Mitarbeiter beschäftigt, wurde Mitte Dezember 2020 Opfer einer schweren Attacke unbekannter Hacker. Die Produktion in Holzminden stand weitgehend still, berichtete das Handelsblatt am 14.12.2020. Andere Zeitungen berichteten nicht nur von IT-Sicherheitsvorfällen, sondern wurden selbst davon beeinträchtigt. Die Funke Mediengruppe wurde am 22.12.2020 nach eigenen Angaben Opfer eines Hackerangriffs. Die Tageszeitungen WAZ, Hamburger Abendblatt und Berliner Morgenpost erschienen in der Folge als erheblich dünnere Notausgaben. Diese Beispiele zeigen, dass zunehmend kriminelle Energie gezielt gegen Schwachstellen der IT-Sicherheit eingesetzt wird, etwa um Lösegeldzahlungen zu erpressen. Mit dem 2019 als Präventionsprojekt der Sicherheitspartnerschaft NRW erstmalig erstellten „Lagebild Wirtschaftsschutz“ wurden aufgrund repräsentativer Erhebungen Beschreibungen der Unternehmenssicherheit erarbeitet, mit dem Fokus auf Wirtschafts- und Cyberkriminalität gegen kleine und mittlere Unternehmen. Während althergebrachte, physische Sicherheitsaspekte durchaus von den meisten Unternehmen adäquat adressiert wurden, war die IT-Sicherheit eher unerschlossenes Brachland.

Der Rechtsrahmen für die IT-Sicherheit in allgemeinen Produkten bzw. Maschinen ist aktuell noch als rudimentär zu bezeichnen. Der zuvor erwähnte Todesfall löst reflexartig Überlegungen aus, die in Richtung Produktsicherheit und Produkthaftung gehen und die auch – ungeachtet der neuen Technik – in den alten Rechtsrahmen passen, weil dieser technikneutral formuliert ist. Dieser Haftungsrahmen ist ganz besonders in den Blick zu nehmen, falls – wie eingangs erwähnt – in die Maschinen im Zuge der Digitalisierung auch Aktoren, also Komponenten zur Steuerung der Maschine, eingebracht werden sollen (oder bereits vorhanden sind) und die Systeme dann auch noch vernetzt werden.

Thematisch spezielle Anforderungen brachte im Jahr 2015 das „IT-Sicherheitsgesetz“. Es fügte in § 13 TMG einen neuen Absatz 7 ein, der die entscheidenden Vorgaben macht, jedenfalls dann, wenn über die Systeme die Maschinendaten auch dem Benutzer der Maschine zugänglich gemacht werden. Zumindest in diesen Fällen dürfte von einem Anbieter-Nutzer Verhältnis im Sinne des TMG auszugehen und der Anwendungsbereich vorgenannter Norm unzweifelhaft eröffnet sein. Danach ist u. a. durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für den Dienst genutzten technischen Einrichtungen möglich ist. Verstöße gegen die Norm sind aktuell schon bußgeldbewehrt; allerdings ist noch kein Fall öffentlich bekannt geworden, in dem ein solches Bußgeld einmal verhängt worden wäre. Der Bundestag debattierte am 28.01.2021 über den Entwurf des „IT-Sicherheitsgesetz 2.0“ BT-Drs. 19/26106). Im Entwurf vorgeschlagen ist ein neuer § 7d BSI-G, der dem Bundesamt für Sicherheit in der Informationstechnik eine Kompetenz verleihen soll, Anordnungen zur Mangelbeseitigung im Bereich der Schutzmaßnahmen gem. § 13 Abs. 7 TMG treffen zu können. Am Rande bemerkt sei, dass im Bundeskabinett der Entwurf eines Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) zirkuliert (und auch schon der Öffentlichkeit „geleakt“ wurde), der jedoch vom Kabinett noch nicht beschlossen wurde. Daher hat die Bundesregierung das Gesetzgebungsverfahren dazu noch nicht förmlich eingeleitet. Der an die Öffentlichkeit gelangte Entwurf sieht eine Aufhebung u. a. von § 13 TMG vor, wobei die dort in Absatz 7 durch das IT-Sicherheitsgesetz 2015 eingeführte Regelung erhalten bleiben und nur an eine andere Stelle (§ 19 Abs. 4 TTDSG) verschoben werden soll. Mit dem im Bundestag gestellten Antrag vom 09.02.2021 (BT-Drs. 19/265339) wird derzeit versucht, die Bundesregierung dazu zu bewegen, das Gesetzgebungsverfahren zum TTDSG formell einzuleiten. Da sich dieser Entwurf auch auf die Umsetzung der ePrivacy-Richtlinie in Deutschland bezieht, ist dieses Gesetzgebungsverfahren, so es denn begonnen wird, von herausgehobener Bedeutung für den zukünftigen Umgang mit Maschinendaten.

Mit Blick auf die Praxis ist bedauerlich, dass das Thema Maschinendaten in einen sich gegenwärtig stark in Veränderungsprozessen befindlichen Rechtsrahmen fällt. Gleichzeitig ist aus diesem Blickwinkel heraus erfreulich, dass die bislang nur rudimentär vorhandenen Regeln ausgebaut und dadurch konkretisiert werden, so dass für die Zukunft eine verlässlichere Basis geschaffen wird. Hinsichtlich der Reformen im Zusammenhang mit dem IT-Sicherheitsgesetz 2.0 und dem Telekommunikations-Telemedien-Datenschutzgesetz könnte es für die beteiligten Praktiker ein Ansatz sein, zumindest die die Wahl zum 20. Deutschen Bundestag abzuwarten, die für den September des laufenden Jahres geplant ist. Sollten die beiden genannten Reformen nicht bis dahin mit Gesetzgebungsverfahren abgeschlossen worden sein, darf aufgrund des Grundsatzes der Diskontinuität davon ausgegangen werden, dass erst wieder einige Zeit vergehen wird, bis die die Themen dann – ggf. – erneut auf Tagesordnung kommen.

Ausblick

Das Thema ist politisch hochgradig virulent und Änderungen der Rechtslage sind zu erwarten. Am 19.02.2020 verkündete die EU-Kommission die sog. „europäischen Datenstrategie“ und sie legt u.a. am 25.11.2020 den bereits oben erwähnten Entwurf des „Daten-Governance-Gesetz“ (COM(2020) 767 final) sowie am 16.12.2020 den Entwurf für eine neue Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen IT-Sicherheitsniveaus (COM(2020) 823 final) vor. In Deutschland beschloss am 27.01.2021 das Kabinett die sog. „Datenstrategie der Bundesregierung“ – mit rund 240 Maßnahmen…

Autor:       Stefan Sander, LL.M., B.Sc.  Rechtsanwalt und Fachanwalt für IT-Recht, Software-Systemingenieur

Bisher sind in der Blogreihe Maschinendaten – Einführung und Rechtsrahmen für nicht-personenbezogene Daten folgende Beiträge erschienen

1. Einführung + Der Rechtsrahmen für nicht-personenbezogene Daten (10.03.2021)
2. Maschinendaten als personenbezogene Daten: Gilt der Datenschutz?  (17.03.2021)
3. Maschinendaten – Neue Wertschöpfungen durch Daten und Systeme (24.03.2021)
4. Grenzen für vertraglich geschaffene Rechtspositionen an Maschinendaten (14.04.2021)