Teil drei unserer Reihe zu den Vorschriften der neuen EU-Datenschutzgrundverordnung (DSGVO) beschäftigt sich mit den Anforderungen an eine Einwilligung in die Verarbeitung personenbezogener Daten.

Genauso, wie die Straßenverkehrsordnung festlegt, was auf der Straße erlaubt ist oder auch nicht, ist der Umgang mit den persönlichen Daten anderer Menschen durch Unternehmen erlaubt oder verboten. Diese Spielregeln finden sich in der DSGVO.

Art. 6 DSGVO: Erlaubnis

An diesem Grundsatz hat sich mit der DSGVO nichts geändert. Auch in Zukunft ist die Verarbeitung personenbezogene Daten auf der Grundlage von „Erlaubnistatbeständen“ (wie Juristen sagen) zulässig. Mindestens eine der von Art. 6 Abs. 1 DSGVO genannten Bedingungen muss erfüllt sein, damit eine Datenverarbeitung mit der DSGVO im Einklang steht. Die wichtigsten sind:

- Die Datenverarbeitung beruht auf der Einwilligung der betroffenen Person in die selbige für einen oder mehrere bestimmte Zwecke.
- Die Datenverarbeitung ist für die Erfüllung eines Vertrags erforderlich oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der    betroffenen Person erfolgen.
- Die Datenverarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
- Auch ist eine Datenverarbeitung zulässig, die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Bemerkenswert ist dabei, dass die Einwilligung an erster Stelle der Erlaubnisse für eine Datenverarbeitung genannt wird. Den Vorrang der Einwilligung vor allen anderen Erlaubnistatbeständen spiegelt auch Erwägungsgrund 40 der DSGVO wieder, in dem es heißt: „Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung ... ergibt“.

Art. 7 DSGVO: Bedingungen für Inhalt und Form

Die Bedingungen, wann eine wirksam erteilte Einwilligung in eine Datenverarbeitung vorliegt, benennt Art. 7 DSGVO:

- Freiwilligkeit. Insbesondere darf die Erfüllung eines Vertrages nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden, die für die Erfüllung des Vertrages nicht erforderlich ist.
- Möglichkeit des jederzeitigen Widerrufs durch die Person, um deren Daten es geht. Information der betroffenen Person über diese Möglichkeit und der Widerruf muss so einfach wie die Erteilung der Einwilligung sein.
- Ist die Einwilligung ein Teil von mehreren schriftlichen Erklärungen, muss die Einwilligung leicht zugänglich in der Form und sprachlich einfach und klar sein, so dass sie von den anderen Teilen unterscheidbar ist.

Während diese Vorschriften dem Grunde nach eine Kodifizierung dessen darstellen, was nach deutschem Datenschutzrecht schon jetzt gilt, ist die Vorgabe neu hinzugekommen, dass der für die Datenverarbeitung Verantwortliche nachweisen können muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Art. 8 DSGVO: Die Einwilligung durch Kinder online

Ebenfalls neu hinzugekommen ist die Vorschrift des Art. 8 DSGVO, nach der die Einwilligung eines Kindes in die Datenverarbeitung im Zusammenhang mit einem Online-Angebot nur rechtmäßig ist, wenn das Kind das sechzehnte Lebensjahr vollendet hat oder die Sorgeberechtigten zugestimmt haben. Allerdings können die Mitgliedsstaaten durch eigene Rechtsvorschriften eine niedrigere Altersgrenze vorgesehen, wobei diese allerdings nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

In der Praxis: Mühe

Für die Praxis bedeutet dies, dass sich nicht viel verändern wird an der Mühsal mit den Einwilligungserklärungen in Zeiten immer komplexer werdender automatisierter Datenverarbeitung. Es ist Mühsal, Einwilligungserklärungen zu entwerfen mit denen die betroffenen Personen, wie der Erwägungsgrund 32 der Verordnung verlangt, „freiwillig“, „für den konkreten Fall“, „in informierter Weise“ und „unmissverständlich“ in die Verarbeitung ihrer Daten einwilligen. Die von dem genannten Erwägungsgrund vorgesehenen Möglichkeiten der elektronischen oder gar mündlichen Einwilligung dürfte die Sache nicht wesentlich vereinfachen - ganz abgesehen von der Frage, wie bei einer mündlich erteilten Einwilligung das Erfordernis des Nachweises erfolgen können sollte.

Interessant wird werden, wie die Anforderung, dass "in informierter Weise" in Datenverarbeitung einzuwillgen ist, an Stellen umgesetzt werden soll, wo Unternehmen gar kein Interesse an Transparenz haben. Dies gilt z.B. für den Online Handel, der mittels spezieller Software in Sekundenschnelle die Bonität eines Käufers prüft und von dem Ergebnis den Zahlungsweg abhängig macht.

Pessimistisch betrachtet könnte man sagen, es wird der Zustand bleiben, den wir aus den letzten rund 15 Jahren Beratungstätigkeit nicht nur, aber insbesondere im medizinischen Sektor kennen. Die Freiwilligkeit so mancher Einwilligung ist schon seit langem nicht gegeben, wenn beispielsweise ein Krankenhaus für eine umfassende und qualitativ hochwertige Behandlung von Patienten auf den Datenaustausch mit anderen Stellen angewiesen ist (der aber nur auf der Grundlage von Einwilligung zulässig ist). Aus praktischer Sicht wird man sich auch unter Geltung der DSGVO bei der Gestaltung von Einwilligungserklärungen oftmals nur einem rechtmäßigen Zustand so weit als möglich annähern können.

Wissenschaftliche Zwecke

Was die Zwecke der Datenverarbeitung betrifft, in die eingewilligt wird, sieht Erwägungsgrund 33 immerhin eine kleine Erleichterung vor, sofern Zwecke der wissenschaftlichen Forschung betroffen sind. „Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung nicht vollständig angegeben werden“, heißt es dort. Daher sollte es, so der Erwägungsgrund 33 weiter, den betroffenen Personen erlaubt sein, ihre Einwilligung für „bestimmte Bereiche wissenschaftlicher Forschung“ zu geben, sofern die unter „Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung“ geschieht.

Die Anforderungen an eine rechtlich wirksame Einwilligung in die Verarbeitung personenbezogener Daten hängen eng zusammen mit den durch die DSGVO neu hinzugekommenen Vorgaben an die Informationspflichten, die Unternehmen und Behörden dann gegenüber den von der Datenverarbeitung Betroffenen haben. Dazu erfahren Sie in unserem nächsten Artikel zur DSGVO mehr.

Ende Mai 2018 tritt das neue europäische Datenschutzrecht in Kraft, die DSGVO. In der heutigen Folge unserer Reihe zum Thema wollen wir Ihnen eine Übersicht über die in Art. 5 beschriebenen Grundsätze für die Verarbeitung personenbezogener Daten geben. Dies ist für die Praxis in den Unternehmen auch deshalb wichtig, weil Art. 5 Abs. 2 vorschreibt, dass „der Verantwortliche“ für die Einhaltung dieser Grundsätze verantwortlich ist und deren Einhaltung nachweisen können muss. „Der Verantwortliche“ ist die Bezeichnung, die die DSGVO für die Unternehmen und Behörden wählt, die die personenbezogenen Daten verarbeitet.

Der erste der insgesamt sechs Grundsätze lautet:

„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“.

Dies bedeutet nach dem Wortlaut der DSGVO, personenbezogene Daten müssen „auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“ (Art. 5 Abs. 1 Buchst. a).

Die "rechtmäßige Weise" der Datenverarbeitung lässt sich herstellen, indem die von der DSGVO vorgegebenen Regeln für eine erlaubte Datenverarbeitung eingehalten werden. Die für die betroffene Person "nachvollziehbare Weise" dürfte schon schwieriger zu bewerkstelligen sein. Welche Konsequenz hat dieser Grundsatz beispielsweise für ein Unternehmen, das auf Webseiten im Hintergrund Werkzeuge einsetzt, die in Sekundenschnelle beim Onlinekauf die Bonität des Bestellers prüfen.

Der zweite Grundsatz ist altbekannt und war in der Entwicklung der DSGVO heftig umstritten:

„Zweckbindung“.

Die Zweckbindung hängt eng mit der Anforderung zusammen, personenbezogene Daten nur für Zwecke zu verarbeiten, die nach der DSGVO auch erlaubt sind. Personenbezogene Daten müssen „für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“.

Die Weiterverarbeitung für Archivzwecke, die im öffentlichen Interesse liegen, ist jedoch erlaubt, ebenso die Weiterverarbeitung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke. (Art. 5 Abs. 1 Buchst. b).

Beispiel: Ein im Sinne der DSGVO legitimer Zweck ist die Verarbeitung von personenbezogenen Daten im Rahmen eines Vertrages. Erhebt und verarbeitet eine Bank Daten einer Person, die bei ihr ein Girokonto führt, ist die Bank berechtigt, alle für den Betrieb des Kontos notwendigen Informationen zu verarbeiten. Dazu gehören neben den Kontaktdaten des Kontoinhabers auch die Kontostände und möglicherweise eingeräumte Dispositionskredite. Hingegen ist die Bank nicht berechtigt, die Kontobewegungen im Einzelnen zu analysieren und daraus Werbemaßnahmen zu generieren. Dies geht über den ursprünglichen Zweck hinaus und benötigt die vorherige Zustimmung des Kontoinhabers.

Nachweisbar?

In der Praxis wird die Schwierigkeit in dem Nachweis der Einhaltung dieser Grundsätze liegen. Mit welchen praxistauglichen Mitteln soll ein Unternehmen darlegen, dass es sich mit seiner Datenverarbeitung an Recht und Gesetz hält? Mit welchen praxistauglichen Mitteln soll ein Unternehmen seine Datenverarbeitung für diejenigen, um deren Daten es geht, „nachvollziehbar“ machen? Hierzu wird der Schlüssel in der präzisen Dokumentation aller Verarbeitungsprozesse liegen, die personenbezogene Daten beinhalten. Vorstellbar ist ein Vorgehen nach dem Muster von Qualitätsmanagement, bei dem jeder Ablauf im Unternehmen in einen Prozess zerlegt, beschrieben und mit Vorgaben versehen wird, wie er abzulaufen hat.

Mit der Zweckbindung hängt der nächste von der DSGVO genannte Grundsatz zusammen, auch er unter neuer Bezeichnung altbekannt:

„Datenminimierung", ehemals "Datensparsamkeit.

Alle personenbezogenen Daten, die erhoben werden, müssen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwenige Maß beschränkt sein“ (Art. 5 Abs. 1 Buchst. c).

Beispiel: Zum Zweck der Organisation eines Arbeitsverhältnisses darf nicht die Personalausweisnummer des Ehemannes der Arbeitnehmerin erhoben werden; sie wird für diesen Zweck nicht gebraucht.

Anders als es das Beispiel vermuten lässt, ist der Grundsatz der Zweckbindung im Unternehmensalltag allerdings oft höchst strittig. Je nach Blickwinkel lässt sich teilweise mit durchaus überzeugenden Argumenten eine sehr umfangreiche Erhebung und Verarbeitung personenbezogener Daten rechtfertigen, z.B. im Vertrieb.

Der vierte Grundsatz für die Verarbeitung personenbezogener Daten erschließt sich dagegen weitgehend von selber:

„Richtigkeit“.

Personenbezogene Daten müssen „sachlich richtig“ und „erforderlichenfalls auf dem neuesten Stand sein“. Dabei sind „alle angemessenen Maßnahmen zu treffen“, damit personenbezogene Daten, die unrichtig sind, „unverzüglich gelöscht oder berichtigt werden“. Welchen Daten richtig oder unrichtig sind, entscheidet sich anhand des Rückgriffs auf den Zweck (Art. 5 Abs. 1 Buchst. d).

Grundsatz Nummer fünf begrenzt die Erlaubnis zum Speichern von personenbezogenen Daten,

„Speicherbegrenzung“,

und erlaubt eine längere Speicherung, sofern die betroffene Person nicht mehr identifizierbar ist (Art. 5 Abs. 1 Buchst. e). Ausnahmen sind wiederum für Archiv- und Forschungszwecke sowie statistische Zwecke vorgesehen.

Der sechste und letzte Grundsatz schließlich greift die Verknüpfung von Recht und Technik wieder auf und verlangt eine Verarbeitung personenbezogener Daten nur in einer Weise, „die die angemessene Sicherheit der personenbezogenen Daten gewährleistet“, einschließlich des Schutzes vor „unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“. Zu treffen sind „geeignete technische und organisatorische Maßnahmen“, die diese Folgen verhindern sollen. Den Schutzzielen entsprechend heißt dieser Grundsatz:

„Integrität und Vertraulichkeit“

(Art. 5 Abs. 1 Buchst. f).

Auf diese am Anfang der DSGVO festgelegten Grundsätze lassen sich letztlich alle weiteren Vorschriften der Verordnung zurückführen. Die insgesamt 99 Artikel und 172 vorangestellte Erwägungsgründe formulieren diese Grundsätze aus und setzen sie in konkretere Handlungsanweisungen an die Unternehmen und Behörden um, für die die Verordnung zukünftig der Maßstab ihres Handelns in Bezug auf die Verarbeitung personenbezogener Daten sein wird.

(Bildquelle: www.europa.eu)

Eine Frau hatte Probleme mit wiederkehrenden Infektionen im Unterleib und suchte eine Gynäkologin auf. Die Gynäkologin ordnete das Problem als eines der Wechseljahre ein, bedingt durch den dann herrschenden Mangel an bestimmten Hormonen. Bemüht, für ihre Patientin auch eine längerfristige Abhilfe zu schaffen, fragte sie sie: „Wollen Sie Hormone nehmen?“. Die Frau, die mit dem Stichwort „Hormone“ im Zusammenhang mit Wechseljahren das Wieder-Herbeiführen eines weiblichen Zyklus durch Medikamente assoziierte, lehnte entrüstet ab. Nur durch einen Zufall stellte sich heraus, dass die Gynäkologin auf eine andere Vorgehensweise abzielte, die damit, was die Patientin vermutete, nichts zu tun hatte.

Informationssicherheit und Datenschutz

Sie fragen sich, was das mit Informationssicherheit und Datenschutz zu tun hat?

Die kurze Antwort lautet: wie in einem Arzt-Patient Verhältnis hängt auch für den erfolgreichen Aufbau eines Informationssicherheitsmanagmentsystems (ISMS) im Unternehmen vieles von einer gelungenen Kommunikation ab.

Für eine ausführliche Antwort muss ich etwas weiter ausholen: nach unserer Erfahrung wird der Aufbau von ISMS und Datenschutzkonzepten in Unternehmen durch unklare bzw. fehlende Zieldefinitionen erschwert. Das wiederum hat damit zu tun, dass nicht sorgfältig genug ausgesprochen und festgelegt wird, was eigentlich (das Ziel von) Sicherheit ist – in Bezug gesetzt zu den individuellen Bedürfnissen des Unternehmens. Im ersten Schritt allerdings ist die Zieldefinition eng verknüpft mit der Frage, was Sicherheit eigentlich genau bedeutet.

Was ist "sicher"?

Fragt man in eine Runde IT-Leiter, was "Sicherheit" in Bezug auf die IT des Unternehmens eigentlich genau ist, erhält man die unterschiedlichsten Antworten. „Sicherheit ist mehr so ein gefühlter Zustand“. „Wenn niemand uns mehr angreifen kann, ist unsere IT sicher“. „Es gibt keine hundertprozentige Sicherheit. Es kann ja auch passieren, dass ein Flugzeug über unserem Rechenzentrum abstürzt“. „Die Umsetzung der Vorgaben des BSI-Grundschutzes“ ... um nur einige zu nennen, die ich in den letzten Wochen hörte.

Ähnlich wie in dem obigen Beispiel aus der Arztpraxis assoziieren verschiedene Personen also verschiedene Definitionen mit einem bestimmten Begriff – und halten in der Folge eben auch unterschiedliche Maßnahmen für notwendig, um einen bestimmten Zustand zu erreichen. Werden diese unterschiedlichen Sichtweisen nicht offen gelegt und thematisiert, droht in der Arztpraxis ein Misslingen der Behandlung und im Unternehmen Sicherheitsrisiken. Beides ist vermeidbar.

Das Ziel. Quo vadis, Informationssicherheit?

Für Unternehmen heißt diese Erkenntnis, dass die Frage nicht lauten muss, wohin gehst du („quo vadis“) sondern, „wohin willst du gehen“. Zu welchem Ziel will man mit der Etablierung von Informationssicherheit im Unternehmen gehen? Ist das Ziel die Etablierung eines sehr hohen Sicherheitsstandards, wie er z.B. für die Kreditkartenindustrie vorgeschrieben ist, oder reicht die Umsetzung der allgemeinen Anforderungen wie sie in § 9 Bundesdatenschutzgesetz beschrieben sind. Um noch mal den Vergleich mit der Arztpraxis zu ziehen: ist das Ziel die zukünftige Vermeidung von Infektionen oder die weitreichende Manipulation des biologischen Laufs im weiblichen Körper.

Der sachlich-strategische Blick

Für den erfolgreichen Aufbau eines ISMS ist es daher empfehlenswert, am Anfang des Prozesses mit einem sachlich-strategischen Blick die unterschiedlichen Sichtweisen, Erwartungen und Vorstellungen offen zu legen, um am Ende ein klares Ziel formulieren zu können. Tut man das nicht, läuft ein Projekt „ISMS im Unternehmen“ Gefahr, schnell in unterschiedlichen und unklaren Erwartungen zu ersticken.

Was können wir für Sie tun?

Wir unterstützen Unternehmen bei der Zielfindung und dem Konzeptaufbau mit Workshops zum ISMS. Oft reicht schon ein Tag, an dem Geschäftsführung und Führungskräfte aus den verschiedenen Abteilungen mit unserer Moderation das für das Unternehmen passende Vorgehen im Hinblick auf den Aufbau oder die Verbesserung der Informationssicherheit festlegen. Wir unterscheiden dabei bewusst nicht mehr zwischen Datenschutz und IT-Sicherheit, sondern wählen einen umfassenden Ansatz, der alle Informationen einbezieht, von denen der wirtschaftliche Erfolg des Unternehmens abhängt. Den sachlich-strategischen Blick und die sorgfältige Kommunikation gibt es mit dazu. Das jedenfalls ist sicher.

Nach allen schlechten Nachrichten, die uns in den letzten Wochen und Monaten aus der Türkei erreichten, kommt nun endlich mal eine gute. Wie die Süddeutsche Zeitung in ihrer Ausgabe vom vergangenen Samstag berichtete, hat die Türkei nach vielen Jahren der Diskussion erstmals ein Datenschutzgesetz verabschiedet. Das Datenschutzgesetz ist einer von insgesamt 72 Bausteinen, die die EU der Türkei als Voraussetzung für das visafreie Reisen ihrer Staatsbürger auferlegt hat. Außerdem dürfte die Anwesenheit von 2,7 Millionen registrierten Migranten im Land die Entscheidung beschleunigt haben, so die Süddeutsche Zeitung. Es stelle sich die Frage, wie die Türkei mit deren Daten umgehe und vor allem, wie sie sie mit der EU teile.

Für mich hat die Meldung insofern eine persönliche Komponente, als ich im Jahr 2012 einmal in Ankara und einmal in Istanbul als Referentin an einer Konferenz zu Datenschutzthemen beteiligt war. Organisiert von der Istanbuler Bilgi Universität trafen sich bei diesen Konferenzen Mitarbeiter aus verschiedenen türkischen Ministerien, Juraprofessorinnen und Anwälte aus verschiedenen europäischen Ländern, um Erfahrungen mit dem europäischen Datenschutzrecht auszutauschen und den seinerzeit schon vorliegenden Entwurf für ein türkisches Datenschutzgesetz zu diskutieren. Darunter auch unsere geschätzte Kollegin Nilgün Basalp Yildirim, die schon 2004 über das Thema geschrieben hat.

Fortgang offen

Nun dürfen wir gespannt sein, wie die Umsetzung des Gesetzes in einer Zeit funktionieren wird, in der sich die Rechtsstaatlichkeit in der Türkei ganz offensichtlich nicht zum Positiven, sondern massiv zurück entwickelt. Offen ist auch, ob das Gesetz die Anforderungen der EU zu erfüllen vermag, oder ob noch nachgebessert werden muss, bevor es eine akzeptierte Auflage hin zur Visafreiheit wird.

Am 25. Juli des letzten Jahres trat das IT-Sicherheitsgesetz in Kraft. Als sogenanntes Artikelgesetz umgesetzt, verpflichtet es nunmehr als Teil des Gesetzes über das Bundesamt für die Sicherheit in der Informationstechnik (BSI-Gesetz), die Betreiber sogenannter Kritischer Infrastrukturen, einen Mindeststandard IT-Sicherheit zu etablieren und sicherheitskritische Vorfälle an das Bundesamt für die Sicherheit in der Informationstechnik (BSI) zu melden.

Kritische Infrastrukturen?

Offen war bis jetzt, welche Unternehmen genau zu den Betreibern der Kritischen Infrastrukturen im Sinne des BSI-Gesetzes gezählt werden und sich um die Etablierung und Nachweisbarkeit getroffener (Mindest- ) Sicherheitsstandards kümmern müssen. Das IT-Sicherheitsgesetz sah vor, diese Details in einer Verordnung festzulegen; diese ist nunmehr im Entwurf erschienen. Inhaltlich verantwortlich ist das Bundesinnenministerium.

Kritische Infrastrukturen - Zur Erinnerung

Kritische Infrastrukturen sind Einrichtungen, Anlagen oder Teile davon, die bestimmten, im Gesetz genannten Sektoren angehören. Die Sektoren sind:

- Energie,
- Informationstechnik und Telekommunikation,
- Transport und Verkehr,
- Gesundheit,
- Wasser,
- Ernährung,
- sowie Finanz- und Versicherungswesen.

Zusätzlich müssen die Einrichtungen, Anlagen oder Teile derselben von hoher Bedeutung für das Funktionieren des Gemeinwesens sein, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden (§ 2 Abs. 10 BSI-Gesetz). Unternehmen, die in diese Definition fallen, müssen die Vorgaben des IT-Sicherheitsgesetzes, wie sie in das BSI-Gesetz eingeflossen sind, erfüllen.

Welche Unternehmen sind betroffen?

Damit stellte sich auch für viele unserer Kunden, die im Bereich der genannten Sektoren tätig sind, die Frage, ob sie von den neuen gesetzlichen Vorgaben betroffen sind. Muss sich ein großer Lebensmittelkonzern, der Tee und Reformhausprodukte herstellt und vertreibt, jetzt mit den Anforderungen an die Mindestsicherheitsstandards in der IT beschäftigen? Was kommt auf einen IT-Dienstleister zu, der für seine Kunden Software wartet und Cloud-Lösungen anbietet? Aufschluss darüber gibt nunmehr ein Blick in den Entwurf der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI - Gesetz.

Auffällig ist zunächst, dass in dem Entwurf der Verordnung nur für einen Teil der Sektoren Werte definiert sind, ab denen zugehörige Unternehmen als Betreiber Kritischer Infrastrukturen eingeordnet werden. Dies gilt für die Sektoren

- Energie
- Wasser
- Informationstechnik und Telekommunikation
- Ernährung.

Nicht erfasst sind hingegen:

- Transport und Verkehr
- Gesundheit
- Finanz- und Versicherungswesen.

KRITIS in drei Schritten

Der Weg hin zur Bestimmung welche Unternehmen aus den vom Verordnungsentwurf erfassten Sektoren als Betreiber Kritischer Infrastrukturen gelten, gleicht dann ein wenig einer mathematischen Aufgabe.

Im ersten Schritt wird bestimmt, welche Dienstleistungen aus den genannten Sektoren wegen ihrer Bedeutung für das Gemeinwohl und die öffentliche Sicherheit als kritisch anzusehen sind. Beispiel: Die Versorgung der Bevölkerung mit Lebensmitteln als Dienstleistung aus dem Sektor Ernährung oder die Datenspeicherung und – verarbeitung als Dienstleistung des Sektors Informationstechnik und Telekommunikation.

Die Grundlage für diese Einordnung als kritisch sind die Dienstleistungen, die im Gesetzentwurf des IT-Sicherheitsgesetzes genannt wurden und Ergebnisse von Studien, die das BSI im Rahmen der Umsetzung des Gesetzes beauftragt hat.

Im zweiten Schritt werden diejenigen Kategorien von Anlagen definiert, die für die Erbringung der im ersten Schritt festgelegten, kritischen Dienstleistungen erforderlich sind. So ist für die Versorgung der Bevölkerung mit Lebensmitteln die Produktion und der Handel mit Lebensmitteln nötig und um Daten speichern und verarbeiten zu können, müssen u.a. Rechenzentren und Server zur Verfügung stehen.

Im dritten Schritt schließlich können nunmehr ausgehend von den Ergebnissen des zweiten Schritts die Anlagen bestimmt werden, die einen für die Gesellschaft bedeutenden Grad der Versorgung übernehmen. Auf der Grundlage von verschiedenen Rechenmodellen wird in dem Verordnungsentwurf für jede Anlage ein Schwellenwert bestimmt, der erreicht oder überschritten werden muss, damit die betreffende Anlage als „kritische Infrastruktur“ im Sinne BSI-Gesetz eingeordnet wird. Der Betreiber hat dann die Vorgaben des BSI-Gesetzes zu den Mindeststandards der IT-Sicherheit und die anderen dort definierten Pflichten zu erfüllen.

Übersichtlicher wird der Weg der Bestimmung der betroffenen Unternehmen in einer Zeichnung, anhand des Beispiels Datenspeicherung und Datenverarbeitung:

Hohe Bedeutung für das Gemeinwesen

Nun ist jedoch nicht jede Serverfarm eine Kritische Infrastruktur im Sinne von § 2 Abs. 10 BSI-Gesetz, um in dem oben beschriebenen Beispiel zu bleiben. Hinzukommen muss die hohe Bedeutung der Serverfarm für das Funktionieren des Gemeinwesens, weil durch einen Ausfall oder eine Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit entstehen würden.

Schwellenwerte

Der Verordnungsentwurf legt die Bedeutung der verschiedenen Anlagen im Wege von Rechenmodellen im Einzelnen fest, die als Ergebnis einen Schwellenwert liefern. Der Schwellenwert ergibt in Kombination mit einem Bemessungswert Auskunft, ob ein Unternehmen als Betreiber einer Kritischen Infrastruktur eingeordnet wird oder nicht. Beispiel: In Bezug auf die Serverfarm ist eine Annahme von 4 Millionen in Deutschland verwalteten Servern zugrunde gelegt, sowie 500.000 Personen, die im Notfall durch bereit gehaltene Notfallkapazitäten noch versorgt werden können, ohne dass ein schwerwiegender Schaden entsteht – eine Gesamtbevölkerung von 80 Millionen Personen vorausgesetzt. Aus der Rechnung ergibt sich für die Serverfarmen ein Wert von 25.000 im Jahresdurchschnitt laufenden Instanzen. Dabei stellt die Zahl 25.000 den Schwellenwert da, während der Jahresdurchschnitt der Anzahl der laufenden Instanzen das Bemessungskriterium ist. Ist der Schwellenwert erreicht oder überschritten – hier also die 25.000 - , zählt das Unternehmen, das die Instanzen betreibt, zu den Kritischen Infrastrukturen und muss die Mindestanforderungen an die IT-Sicherheit und die anderen Vorgaben des BSI-Gesetzes erfüllen.

Ein Blick in die Tabelle gibt Aufschluss

Nach diesem Muster bestimmt die Verordnung in Tabellen für die einzelnen Anlagen der erfassten Sektoren Schwellenwerte, ab denen ein Unternehmen als Betreiber Kritischer Infrastrukturen gilt.
Unternehmen aus den oben genannten Sektoren können daher durch einen Blick in die Tabellen des Verordnungsentwurfs feststellen, ob sie durch das Angebot der dort näher definierten Dienstleistungen und Schwellenwerte als Betreiber von Kritischen Infrastrukturen eingeordnet werden. Auch bietet sich ein Blick in die Begründung des Verordnungsentwurfs an, da sich dort noch zahlreiche Definitionen und Hinweise finden, die dem Prozess der Findung der Kriterien für eine Kritische Infrastruktur zugrunde gelegt wurden.
Der Entwurf ist hier auf den Seiten des Bundesinnenministeriums abrufbar. Der zweite Teil der Verordnung ist für Endes des Jahres vorgesehen.