Cyber­se­curity-Regulierung – Umsetzung NIS 2

Es besteht wohl gesicherte Kenntnis dazu, dass China hinter einem Hacker­an­griff auf das Bundesamt für Karto­graphie und Geodäsie (BKG) im Jahr 2021 steckt (hier). 2022 gab es einen umfang­reichen Cyber­an­griff auf die Handels­kammer Hamburg. In diesem Jahr kam es deutsch­landweit zu Hacker­an­griffen auf IHK-Unter­nehmen. Das Ziel waren vertrau­liche Daten von Unter­nehmen. Die Täter sind meist unbekannt. Bereits jetzt ist aber schon klar, dass KI die Profes­sio­na­li­sierung der Cyber­kri­mi­na­lität befeuert. Doch es geht nicht nur um Wirtschafts­kri­mi­na­lität, Betrug und wirtschaft­liche Schäden: Cyber­an­griffe auf kritische Infra­struk­turen wie Energie­ver­sorger, Kranken­häuser oder Wasser­werke können sehr weitrei­chende gesamt­ge­sell­schaft­liche Konse­quenzen haben. Daher ist eine zuver­lässige Cyber­si­cherheit wichtiger denn je und für unser gesell­schaft­liches Wohlergehen unent­behrlich (siehe auch hier) .

Am 27.12.2022 wurde die zweite EU-Richt­linie zur Netzwerk- und Infor­ma­ti­ons­si­cherheit (NIS-2-Richt­linie) im Amtsblatt veröf­fent­licht. Diese Richt­linie zielt auf eine Verbes­serung der Cyber­si­cherheit in der EU ab. Im Vergleich zur vorigen Richt­linie erweitert die NIS2 den Kreis der betrof­fenen Unter­nehmen, die Pflichten und die behörd­liche Aufsicht. Die Mitglied­staaten müssen die Richt­linie bis Oktober 2024 in natio­nales Recht umsetzen. Die nationale Umsetzung soll durch ein umfang­reiches Artikel­gesetz (NIS-2-Umset­zungs- und Cyber­si­cher­heits­stär­kungs­gesetz – „NIS2UmsuCG“) erfolgen, welches insgesamt über 32 Gesetze und Verord­nungen ändert. Hierfür liegt seit 24.07.2024 ein abgestimmter Regie­rungs­entwurf vor. Das Gesetz überführt die EU-weiten Mindest­stan­dards für Cyber­se­curity in deutsche Regulierung. Der bereits durch das IT-Sicher­heits­gesetz und dessen Neufassung (IT-Sicher­heits­gesetz 2.0) geschaffene Ordnungs­rahmen wird erweitert und wird nun große Teile der deutschen Wirtschaft mit knapp 30.000 Unter­nehmen betreffen. Ebenso wird die IT-Sicherheit der Bundes­ver­waltung weiter gestärkt. Im Schwer­punkt geht es um Folgende Änderungen:

  • Einführung von „Einrich­tungs­ka­te­gorien“ und Ausweitung des Anwen­dungs­be­reichs für IT-Anfor­de­rungen und Melde­pflichten. So soll es nun „Besonders wichtige
  • Einrich­tungen“ (BWE) und „wichtige Einrich­tungen“ (WE) sowie als Teil der BWE die „Betreiber kriti­scher Anlagen“ geben.
  • Ausweitung des Instru­men­ta­riums des Bundesamts für Sicherheit in der Infor­ma­ti­ons­technik (BSI) im Hinblick auf von der NIS-2-Richt­linie vorge­gebene Aufsichtsmaßnahmen.
  • Der Katalog der Mindest­si­cher­heits­an­for­de­rungen des Artikels 21 Absatz 2 NIS-2-Richt­linie wird in das BSI-Gesetz übernommen, wobei in der Inten­sität der jewei­ligen Maßnahme aus Gründen der Verhält­nis­mä­ßigkeit zwischen den Kategorien ausdif­fe­ren­ziert wird.
  • Die bislang einstufige Melde­pflicht bei Vorfällen wird durch das dreistufige Melde­regime der NIS-2-Richt­linie ersetzt. Dabei soll der bürokra­tische Aufwand für die Einrich­tungen im Rahmen des bestehenden mitglied­staat­lichen Umset­zungs­spiel­raums minimiert werden.
  • Gesetz­liche Veran­kerung wesent­licher natio­naler Anfor­de­rungen an das Infor­ma­ti­ons­si­cher­heits­ma­nagement des Bundes und Abbildung der zugehö­rigen Rollen und Verantwortlichkeiten.
  • Harmo­ni­sierung der Anfor­de­rungen an Einrich­tungen der Bundes­ver­waltung aus natio­nalen und unions­recht­lichen Vorgaben, um ein insgesamt kohärentes und handhab­bares Regelungs­regime zu gewährleisten.

Geschaffen wird zudem die Position eines „CISO (Chief Infor­mation Security Officer) Bund“ als zentralem Koordi­nator für Maßnahmen zur Infor­ma­ti­ons­si­cherheit in Einrich­tungen der Bundes­ver­waltung und zur Unter­stützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.

Mit Blick auf die EU-Vorgaben ist abzusehen, dass das NIS2UmsuCG noch in diesem Herbst verab­schiedet wird. (Dirk Buchsteiner)

2024-08-09T15:47:43+02:009. August 2024|Cybersecurity, Datenschutz, Digitales|

Polizei­recht: Handy­auf­nahmen in der Öffentlichkeit

Neue technische Möglich­keiten ziehen oft die Verschärfung recht­licher Regeln nach sich. Zum Beispiel ist es heute völlig unkom­pli­ziert, fast überall und jederzeit zu minimalen Kosten Fotos und Videos zu machen. Zugleich stellt sich die Frage, ob das immer wünschenswert ist.

Rücken eines Polizisten beim Einsatz

Die Frage beschäftigt auch die Gerichte. Nicht so abstrakt, sondern konkret, wie vor einiger Zeit in der Innen­stadt Osnabrück, bei einem Polizei­einsatz: Muss die Polizei es dulden, dass Dritte mit dem Handy ein Video von ihren Maßnahmen gegen einen Störer unter Einsatz von Gewalt machen?

Die Polizei Osnabrück hatte deshalb das Handy des Zeugen als polizei­recht­liche Standard­maß­nahme sicher­ge­stellt. Zuvor hatte sie ihn aufge­fordert, das Filmen zu unter­lassen, denn das sei strafbar. Die Sicher­stellung wurde damit begründet, dass zu befürchten sei, dass durch die Veröf­fent­li­chung oder Weitergabe des Videos die Vertrau­lichkeit des gespro­chenen Wortes verletzt würde.

Tatsächlich kann es gemäß § 201 StGB strafbar sein, wenn Gespräche ohne Einwil­ligung der Betrof­fenen mitge­schnitten werden. Aller­dings – und dazu hat das Landge­richt  (LG) Osnabrück kürzlich in zweiter Instanz Stellung genommen - gilt dies laut Gesetz nur für das „nicht­öf­fentlich“ gespro­chene Wort. Anders ist es deshalb, wenn Polizisten in der Öffent­lichkeit jemanden festnehmen. Das findet dann nicht nur im öffent­lichen Raum statt, sondern es fällt auch der Grund weg, weshalb das nicht­öf­fentlich gespro­chene Wort überhaupt schutz­würdig ist.

Laut dem LG ist es die Unbefan­genheit der mündlichen Äußerung, die geschützt werden soll. Und bei allem Verständnis für Unsicher­heiten von Polizisten, bei schnellen Einschät­zungen und Entschei­dungen im Eifer des Gefechts: Bei dienst­lichem Handeln, das rechtlich gebunden ist und der recht­lichen Überprüfung unter­liegt, ist nach Auffassung des LG kein Raum.

Die Frage, inwieweit Daten- und Persön­lich­keits­schutz im öffent­lichen Raum gilt, ist auch für das Verkehrs­recht relevant: Denn wie wir berich­teten gibt es Tendenzen im Daten­schutz, das Fotogra­fieren von Kfz im öffent­lichen Raum grund­sätzlich zu verbieten. Was dazu führen dürfte, dass dort, wo Autos mit Kennzeichen zu sehen sind, also eigentlich überall, Fotogra­fieren nur noch einge­schränkt möglich ist. Glück­li­cher­weise ist die Recht­spre­chung – zumindest im oben genannte Beispiel – nicht bereit, den Daten- und Persön­lich­keits­s­schutz zu Lasten des öffent­lichen Raums ausufern zu lassen. Insofern besteht auch im Fall des Fotogra­fierens von Kraft­fahr­zeugen noch Hoffnung (Olaf Dilling).

2021-10-05T17:53:35+02:005. Oktober 2021|Datenschutz, Verwaltungsrecht|

Abschnitt­kon­trolle: Revision abgeblitzt

Die Erfassung von Kfz-Kennzeichen durch eine Abschnitts­kon­trolle ist rechtlich zulässig. Bei dieser Technik der Verkehrs­über­wa­chung werden die Kennzeichen über einen längeren Abschnitt von einigen Kilometern wiederholt per Digital­ka­meras mit Bilder­ken­nungs­software ausge­wertet. Daraus lässt sich dann die Überschreitung von Geschwin­dig­keits­be­gren­zungen ermitteln.

Nachdem die Klage eines Anwalts gegen diese Form der Verkehrs­über­wa­chung im März 2019 zunächst vor dem Verwal­tungs­ge­richt Hannover erfolg­reich war, war das Oberver­wal­tungs­ge­richt Lüneburg im Herbst desselben Jahres der Berufung der Polizei­di­rektion Hannover für das Land Nieder­sachsen gefolgt. 

Zwischen­zeitlich hatte aller­dings die Politik nachge­bessert. Denn die für den Langstre­cken­blitzer erfor­der­liche Daten­er­hebung musste auf eine solide recht­liche Basis gestellt werden. Denn mit der Auswertung der Daten wird in das Grund­recht auf infor­ma­tio­nelle Selbst­be­stimmung einge­griffen. Daher war im Mai 2019 eine neue Geset­zes­grundlage in § 32 Abs. 7 des Nieder­säch­si­schen Polizei- und Ordnungs­ge­setzes (NPOG) eingefügt worden. 

Das Bundes­ver­wal­tungs­ge­richt hat den Antrag auf Revision gegen die Entscheidung des Oberver­wal­tungs­ge­richts  abgewiesen. Tatsächlich dürften gegen die gesetz­liche Grundlage keine erheb­lichen verfas­sungs­recht­lichen Bedenken bestehen. Denn im Gesetz ist sehr klar umrissen, wofür und in welchem Umfang Daten erhoben werden dürfen. So dürfen beispiels­weise keine Fotos der Autoin­sassen gemacht werden. Zudem müssen die Daten sofort gelöscht werden, wenn keine Überschreitung der erlaubten Geschwin­digkeit feststellbar war. Schließlich muss die Abschnitts­kon­trolle kenntlich gemacht werden.

Diese Art der Verkehrs­über­wa­chung ist auch durch einen Vorteil gegenüber lokalen Radar­fallen gerecht­fertigt: Denn es hängt auf den längeren Strecken weniger vom Zufall (oder von Kennt­nissen über deren Standorte) ab, wer zu welchem Zeitpunkt bei Geschwin­dig­keits­über­schrei­tungen erfasst wird (Olaf Dilling).

2020-10-05T22:31:25+02:005. Oktober 2020|Datenschutz, Verkehr, Verwaltungsrecht|