IT-Sicherheit und Recht

IT-Sicherheitsgesetz 2.0 - Auf in die zweite Runde

07.06.2019
Von   IDG ExpertenNetzwerk
Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Sie ist spezialisiert auf die Technologie-Branche und den Bereich Datenschutz. Dort begleitet sie Unternehmen und Behörden bei der erfolgreichen Umsetzung komplexer Digitalisierungsprojekte (u.a. IT-Beschaffung, Agile Softwareprojekte, IT-Sourcing) und berät zu Lizenzmanagement, Datenschutz und Cyber-Security. Zudem verfügt sie über umfangreiche Erfahrungen beim Führen komplexer Gerichts- und DIS-Schiedsverfahren. Seit 2015 ist sie Mitglied im Expertennetzwerk der Computerwoche.

Verschärfung des Cyber-Strafrechts

Ferner ist eine Verschärfung des Cyber-Strafrechts vorsehen. Durch Anpassungen des materiellen Strafrechts soll der Unrechts- und Gefahrengehalt von Cyber-Straftaten besser abgebildet werden können. Strafbarkeitslücken sollen geschlossen und neue Qualifikationstatbestände für besonders schwere Fälle von Computerstraftaten geschaffen werden (u.a. Entwurf § 126 a und §§ 200e ff. StGB).

Lesetipp: Wie funktioniert das Darknet?

Außerdem sollen die Befugnisse des BSI sowie der Strafverfolgungs- und Sicherheitsbehörden durch Anpassung des Strafverfahrensrechts erweitert werden. Die Strafverfolgungs- und Ermittlungsbehörden sollen mit effektiven Ermittlungsinstrumenten zur Bekämpfung der Cyber-Kriminalität ausgestattet werden - so sollen die Sicherheitsbehörden beispielsweise befugt sein, virtuelle Identitäten anzunehmen, um künftig verdeckt unter der Identität eines Tatbeteiligten ermitteln zu können (vgl. Entwurf § 163g Strafprozessordnung).

Mitarbeitern von Sicherheitsbehörden soll es erlaubt werden, mit virtuellen Identitäten im Netz zu ermitteln.
Mitarbeitern von Sicherheitsbehörden soll es erlaubt werden, mit virtuellen Identitäten im Netz zu ermitteln.
Foto: Axel Bueckert - shutterstock.com

Bußgelder in Millionenhöhe

Neben der Erweiterung des Katalogs der Bußgeldtatbestände soll das IT-SiG 2.0 eine sprunghafte Erhöhung der Bußgelder - vergleichbar mit dem Niveau der Bußgeldregelungen in der EU-Datenschutzgrundverordnung (DSGVO) - vorsehen. Die bisherigen Bußgeldhöhen von maximal 100.000 Euro wurden seitens des BMI als zu gering angesehen, um eine lenkende Wirkung zu entfalten.

Orientiert am Vorbild des DSGVO sollen erhöhte Bußgelder nun dafür sorgen, dass Unternehmen sich verstärkt den Anforderungen des IT-SiG 2.0 widmen. Wie in der DSGVO sollen nun Bußgelder bis zu maximal 20 Millionen Euro oder bis zu 4 Prozent des gesamten, weltweiten Unternehmensumsatzes verhangen werden können. Das "Schreckgespenst Bußgeld" hat zumindest beim Datenschutz für ein radikales Umdenken an den Unternehmensspitzen gesorgt. Dies erhofft sich der deutsche Gesetzgeber nun auch für die IT-Sicherheit.

Lesetipp: Rechtsprechung zur DSGVO - Haftet der Betriebsrat künftig für Bußgelder

IT-Sicherheit versus öffentliche Sicherheit

Experten sind sich überwiegend einig, dass das IT-SiG 2.0 das nötige Bewusstsein vieler Personen und Unternehmen beim Thema IT-Sicherheit fördern und dazu führen kann, dass sich Mitarbeiter ausgiebiger mit dem Thema befassten. Es wird davon ausgegangen, dass die durch das IT-SIG 2.0 erweiterten Meldepflichten geeignet sind, andere Unternehmen rechtzeitig über neue Angriffe und Schwachstellen zu informieren und das Entstehen größerer Schäden an Wirtschaft und Gesellschaft dadurch verhindert werden kann.
Betroffene scheinen insbesondere die ausgedehnten Meldepflichten bei Zulieferern von KRITIS-Betreibern überwiegend zu befürworten. Sie fordern jedoch konkrete Hilfestellungen nach Cyber-Angriffen sowie Unterstützung bei der Entwicklung und Etablierung von Präventionsmaßnahmen.

Auch wenn das IT-SIG 2.0 insbesondere in der Politik als dringend notwendig betrachtet wird, bestehen Bedenken, dass das BMI die Bereiche IT-Sicherheit und öffentliche Sicherheit verwischt, um die Befugnisse der Polizei auszuweiten. Es ist zu davon auszugehen, dass insbesondere die umfassende Erweiterung der Befugnisse der Sicherheitsbehörden sowie die vorgesehene Verschärfung des Cyber-Strafrechts - auch unter verfassungsrechtlichen Gesichtspunkten - kontrovers diskutiert werden.