Wie unzählige IT-Sicherheitsvorfälle der Vergangenheit gezeigt haben, machen IT-Risiken nicht vor staatlichen Grenzen halt. Dies gilt auch, wenn IT-Sicherheitsrelevante Dienste oder Produkte aus dem Ausland auf den deutschen und europäischen Markt drängen. Gleichzeitig fragen sich deutsche und europäische Hersteller von Software und IT-Produkten ob – und wenn ja, welche – Regeln einzuhalten sind, wenn sie selbst ihre Produkte und Dienste im nicht-europäischen Ausland anbieten wollen.
Erfassung ausländischer Akteure nach deutschem und europäischen IT-Sicherheitsrecht
IT-sicherheitsrechtliche Vorgaben finden sich in einer Vielzahl nationaler wie auch europäischer Gesetze. Prominent sind dabei die NIS-Richtlinie und die Umsetzung im deutschen Recht durch das IT-Sicherheitsgesetz (BSIG), der EU Cybersecurity Act und das bisher im Entwurf vorliegende IT-Sicherheitsgesetz 2.0 (BSIG-E). Daneben werden auch in anderen Gesetzen, die nicht vorrangig der Regulierung des IT-Sicherheitsrechts dienen, IT-sicherheitsrechtliche Regelungen getroffen. Prominente Beispiele hierfür sind die Datenschutzgrundverordnung oder das europäischen Produktsicherheitsrecht.
Erfassung ausländischer Akteure in Deutschland
Die Ansätze und Regelungen zur Erfassung ausländischer Akteure divergiert dabei je nach Regelungsgegenstand. Grob kann dabei zwischen Diensten, Produkten und kritischen Infrastrukturen unterschieden werden. Weder das BSIG noch die NIS-Richtlinie enthalten hinsichtlich kritischer Infrastrukturen Regelungen zur Erfassung ausländischer Akteure. Grundsätzlich gilt völkerrechtlich bei der Rechtssetzung eines Staates das sogenannte Territorialitätsprinzip. Danach sind Staaten zunächst grundsätzlich nur ermächtigt, Regelungen für das eigene staatliche Territorium zu treffen. Regelungsgegenstand im Hinblick auf kritische Infrastrukturen sind also die Anlagen von kritischen Infrastrukturen, die in Deutschland belegen sind.[1] Werden von einer Anlage, die im europäischen Ausland belegen ist, kritische Dienstleistungen erbracht, sieht Art. 5 Abs. 4 NIS-Richtlinie ein Konsultationsverfahren vor.
Die Erbringer digitaler Dienste im Sinne des § 8 c BSIG sollen nach der Begründung des Gesetzgebers dem Marktortprinzip entsprechend den nationalen Anforderungen im IT-Sicherheitsrecht unterfallen. Allerdings hat es die Regelungsvorstellung des Gesetzgebers nicht in den Gesetzestext geschafft. Soweit der Gesetzgeber auch hier in den genannten Beispielsfällen[2] an eine territoriale Belegenheit in Deutschland anknüpft, hätte es auch nicht zwingend einer solchen Regelung bedurft. Soweit der Gesetzgeber sich jedoch vorgestellt hat – ähnlich wie in Art. 3 II der Datenschutzgrundverordnung[3] – auch solche Akteure zu erfassen, die keinen territorialen Anknüpfungspunkt, wie etwa den Hauptsitz oder eine Niederlassung in Deutschland oder einem europäischem Mitgliedsstaat haben, sondern nur auf das Anbieten bzw. Erbringen der Dienste abzustellen, hätte er gut daran getan, diese Fälle ausdrücklich zu regeln. Denn so bleibt neben der Frage, ob eine solche Regelung mit extraterritorialem Effekt überhaupt und wenn ja unter welchen Voraussetzungen zulässig ist, auch die Unsicherheit, ob diese Akteure vom Gesetz so erfasst sind oder nicht. Auch der aktuell vorliegende Referentenentwurf zum BSIG-E vom 07.05.2020 bringt insoweit keine Klarstellung.
Ausländische Produkte wiederum müssen bei ihrer Einfuhr in die europäische Union den Anforderungen des Produktsicherheitsrechts genügen. Ob Software, insbesondere Software, die in den jeweiligen Produkten bei der Einfuhr enthalten ist (sog. Embedded Software), den Anforderungen des Produktsicherheitsrechts genügen muss, ist nach wie vor ungeklärt.[4]
Regelungen im Ausland zur IT-Sicherheit
Der Blick ins Ausland zeigt, dass zunehmend mehr Staaten Gesetze zur Regulierung der IT-Sicherheit erlassen. Dabei zeichnet sich jedoch kein einheitliches Bild ab. Während Staaten wie China[5] oder Singapur eher auf eine umfassende Regulierung der IT-Sicherheit setzen, regulieren andere Länder eher zurückhaltend (Australien) oder weisen einen Flickenteppich aus Bundes- und föderaler Gesetzgebung auf (USA). Die aktuell umfassendste Gesetzgebung im Bereich der IT-Sicherheit lässt sich aktuell wohl in China finden. Der dortige Ansatz unterscheidet sich in mehreren Punkten von anderen Regulierungen zur IT-Sicherheit: Zum einen hat der Chinesische Gesetzgeber in das Chinesische Cyber-Sicherheitsgesetz (CCG) auch die Regelungen zum Datenschutz inkorporiert, zum anderen versucht er durch Abschottung die Hoheit über die nationale Cybersicherheit zu manifestieren. Das CCG ist zwar grundsätzlich recht weitreichend, jedoch sind viele Regelungen abstrakt gehalten und sollen erst durch untergesetzliche Normgebung weiter konkretisiert werden. Ausländische Unternehmer, die IT-Produkte nach China liefern wollen, müssen sich je nach Einsatzfeld darauf einstellen, dass dieses Produkt einem Cybersicherheitscheck durch chinesische Behörden unterzogen werden wird.
Ein Bespiel für zurückhaltende Regulierung liefert Australien, das weitgehend auf einen kooperativen Ansatz vertraut. Die rechtlichen Verpflichtungen beschränken sich hier im Wesentlichen auf bestimmte Meldepflichten zu kritischen Infrastrukturen. Stattdessen wurde dem Australian Cybersecurity Center (ACSC)[6] die Aufgabe übertragen, die Cyberresilienz für Wirtschaft, Industrie und Regierung zu stärken. Hierzu fungiert sie als zentrale Anlaufstelle und unterhält das Information Security Manual (ISM) mit Handlungsempfehlungen. Auch wenn diese Handlungsempfehlungen (beispielsweise zum sicheren Programmieren von Software) nicht verbindlich sind, sind Akteure, die mit ihren Produkten den australischen Markt adressieren wollen, gut beraten, sich an diesen Handlungsempfehlungen zu orientieren. Denn es ist durchaus nicht fernliegend, dass in einem etwaigen Schadensersatzprozess nach dem dort geltenden Case Law das australische Gericht, diese Handlungsempfehlung als Sorgfaltsmaßstab für ein haftungsbegründendes Verschulden heranziehen würde.
Auch im US-amerikanischen Recht spielen Handlungsempfehlungen und Verordnungen von Behörden und Normungen eine besondere Bedeutung. Auf Bundesebene existieren vor allem sektorspezifische Cybersecurity-Gesetze. Die beiden wichtigsten für den privaten Sektor sind dabei der Health Insurance Portability and Accountability Act (HIPAA) und der Gramm-Leach-Bliley-Act (GLBA). Zu beiden Gesetzen haben die jeweils zuständigen Behörden weitere Regelungen zur IT-Sicherheit formuliert. So hat für den Bereich der Gesundheitsdaten das Deparment of Health and Human Service 2003 für die Gesundheitsdaten unter HIPAA die „Security Rule“ als Rechtsverordnung erlassen[7]. Für die Finanzdaten unter dem GLBA hat die FTC die sogenannte „Safeguard Rule“ formuliert.[8] Daneben spielen Normungen wie sie von der NIST vorangetrieben werden[9] und Branchenstandards wie z.B. der IT-Sicherheitsstandard für Kreditkarten Zahlungen PCI DSS (Payment Card Industry Data Security Standard) des Payment Card Industry Security Standards Council (PCI SSC) eine wichtige Rolle.[10] Dieser Standard wird kontinuierlich weiterentwickelt und erweitert und hat sich mittlerweile als weltweiter Branchenstandard etabliert. Unter diesem Regime gibt es mittlerweile auch einen Secure Software Standard[11] und einen Software Security Lifecycle Standard.[12]
Neben den Gesetzen auf Bundesebene erlassen die einzelnen Bundesstaaten ebenfalls Gesetze zur IT-Sicherheit. So müsste etwa ein europäischer Anbieter, der einen Fitnesstracker in den USA auf den Markt bringen möchte, der z.B. für ein Rabattsystem die über Sensoren erhobenen Daten an die jeweilige Krankenkasse übermitteln möchte, nicht nur den Anforderungen der HIPAA Security Rule genügen, sondern er müsste, wollte er das Gerät in Kalifornien auf den Markt bringen, dort die Vorgaben des seit 1.1.2020 geltenden IoT-Sicherheitsgesetzes einhalten.[13]
Fazit
Die IT-Sicherheitsregulierung ist weltweit auf dem Vormarsch und erschöpft sich nicht in den hier nur beispielhaft angerissenen Regulierungen einiger ausgewählter Rechtsordnungen. Für europäische Akteure, die mit ihren Produkten und Diensten ausländische Märkte betreten wollen, ist es daher essentiell, die zunehmenden gesetzlichen und untergesetzlichen Anforderungen zu beobachten und einzuhalten. Auch ausländische Akteure sollen, soweit sie IT-sicherheitsrelevante Dienste und Produkte anbieten wollen, vom geltenden europäischen und nationalen Recht erfasst werden. Wünschenswert wäre es, wenn die bisher existierenden Schwachstellen geschlossen und in Bereichen wie dem Produktsicherheitsrecht Klarstellungen zur Erfassung sämtlicher relevanten ausländischen Produkte und Dienste erfolgen könnten.
Rechtsanwältin Monika Menz, Fachanwältin für Informationstechnologierecht, Vossius und Partner, München/Berlin
Dieser Beitrag erschien erstmals im BayWiDI-Magazin 1/2020. Die vollständige Ausgabe finden Sie hier.
[1] Spindler CR 2016, 297, 298
[2] BT-Drs.18/11242, S. 50, Beucher/Ehlen in Kipker, Cybersecurity, Kap. 12 Rn. 132.
[3] Art. 32 DSGVO erlegt dem Verantwortlichen der Datenverarbeitung und dem Auftragsverarbeiter eigene Pflichten zu Sicherheit der Verarbeitung auf, die den Anforderungen des IT-Sicherheitsrechts ähneln, aber doch abweichen vgl. hierzu Heckmann/Scheurer in: Heckmann, jurisPK-Internetrecht, 6. Aufl., Kap. 9 (Stand: 14.04.2020), Rn. 431
[4] Vgl. zum Streitstand und einem Plädoyer für die Erfassung Wiebe, Produktsicherheitsrechtliche Pflicht zur Bereitstellung sicherheitsrelevanter Software-Updates, NJW 2019, 625, 626.
[5] Übersicht hierzu bei Chan/Tan/Cheung/Leung, in Gabel/Heinrich/Kiefner, Rechtshandbuch Cybersecurity, 2019, Kap. 15, Rn. 35ff.; Fischer/Kipker/Voskamp in Kipker, Cybersecurity, 2020, Kap. 16 Rn. 37ff.
[6] https://www.cyber.gov.au/ (zuletzt abgerufen am 14.05.2020).
[7] Shackelford/Bradner, Have you updated your toaster? Transatlantic approaches to governing the internet of everything 2017, abrufbar unter http://www.ssrn com, SSRN id3208018 (zuletzt abgerufen am 14.05.2020), S. 13.
[8] Shackelford/Bradner, Have you updated your toaster? Transatlantic approaches to governing the internet of everything 2017, abrufbar unter http://www.ssrn com, SSRN id3208018 (zuletzt abgerufen am 14.05.2020), S. 13.
[9] Chabinsky/Pittman/Markoff/Williams, in Gabel/Heinrich/Kiefner, Rechtshandbuch Cybersecurity, 2019, Kap. 13, Rn. 16.
[10] PCI DSS Standard Version 3.2.1 Mai 2018, abrufbar unter https://www.pcisecuritystandards.org/document_library (zuletzt abgerufen 17.09.2019).
[11] Secure Software Standard, abrufbar unter https://www.pcisecuritystandards.org/documents/PCI-Secure-Software-Standard-v1_0.pdf?agreement=true&time=1568526552491 (zuletzt abgerufen am).
[12] Secure Software Lifecycle Requirements and Assessment Procedures, abrufbar unter https://www.pcisecuritystandards.org/documents/PCI-Secure-SLC-Standard-v1_0.pdf?agreement=true&time=1568526552497 (zuletzt abgerufen am 14.05.2020).
[13] Kalifornisches IoT Sicherheitsgesetz, abrufbar unter https://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201720180SB327 (zuletzt abgerufen am 18.11.2020) – gute Zusammenfassung hierzu von Ritter, MMR 2019, 3f.