Datenschutz Archive - Recht energisch

Cybersecurity-Regulierung – Umsetzung NIS 2

Es besteht wohl gesicherte Kenntnis dazu, dass China hinter einem Hackerangriff auf das Bundesamt für Kartographie und Geodäsie (BKG) im Jahr 2021 steckt (hier). 2022 gab es einen umfangreichen Cyberangriff auf die Handelskammer Hamburg. In diesem Jahr kam es deutschlandweit zu Hackerangriffen auf IHK-Unternehmen. Das Ziel waren vertrauliche Daten von Unternehmen. Die Täter sind meist unbekannt. Bereits jetzt ist aber schon klar, dass KI die Professionalisierung der Cyberkriminalität befeuert. Doch es geht nicht nur um Wirtschaftskriminalität, Betrug und wirtschaftliche Schäden: Cyberangriffe auf kritische Infrastrukturen wie Energieversorger, Krankenhäuser oder Wasserwerke können sehr weitreichende gesamtgesellschaftliche Konsequenzen haben. Daher ist eine zuverlässige Cybersicherheit wichtiger denn je und für unser gesellschaftliches Wohlergehen unentbehrlich (siehe auch hier) .

Am 27.12.2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) im Amtsblatt veröffentlicht. Diese Richtlinie zielt auf eine Verbesserung der Cybersicherheit in der EU ab. Im Vergleich zur vorigen Richtlinie erweitert die NIS2 den Kreis der betroffenen Unternehmen, die Pflichten und die behördliche Aufsicht. Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Die nationale Umsetzung soll durch ein umfangreiches Artikelgesetz (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – „NIS2UmsuCG“) erfolgen, welches insgesamt über 32 Gesetze und Verordnungen ändert. Hierfür liegt seit 24.07.2024 ein abgestimmter Regierungsentwurf vor. Das Gesetz überführt die EU-weiten Mindeststandards für Cybersecurity in deutsche Regulierung. Der bereits durch das IT-Sicherheitsgesetz und dessen Neufassung (IT-Sicherheitsgesetz 2.0) geschaffene Ordnungsrahmen wird erweitert und wird nun große Teile der deutschen Wirtschaft mit knapp 30.000 Unternehmen betreffen. Ebenso wird die IT-Sicherheit der Bundesverwaltung weiter gestärkt. Im Schwerpunkt geht es um Folgende Änderungen:

Einführung von „Einrichtungskategorien“ und Ausweitung des Anwendungsbereichs für IT-Anforderungen und Meldepflichten. So soll es nun „Besonders wichtige
Einrichtungen“ (BWE) und „wichtige Einrichtungen“ (WE) sowie als Teil der BWE die „Betreiber kritischer Anlagen“ geben.
Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2-Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.
Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.

Geschaffen wird zudem die Position eines „CISO (Chief Information Security Officer) Bund“ als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.

Mit Blick auf die EU-Vorgaben ist abzusehen, dass das NIS2UmsuCG noch in diesem Herbst verabschiedet wird. (Dirk Buchsteiner)

Dirk Buchsteiner2024-08-09T15:47:43+02:009. August 2024|Cybersecurity, Datenschutz, Digitales|

Polizeirecht: Handyaufnahmen in der Öffentlichkeit

Neue technische Möglichkeiten ziehen oft die Verschärfung rechtlicher Regeln nach sich. Zum Beispiel ist es heute völlig unkompliziert, fast überall und jederzeit zu minimalen Kosten Fotos und Videos zu machen. Zugleich stellt sich die Frage, ob das immer wünschenswert ist.

Rücken eines Polizisten beim Einsatz

Die Frage beschäftigt auch die Gerichte. Nicht so abstrakt, sondern konkret, wie vor einiger Zeit in der Innenstadt Osnabrück, bei einem Polizeieinsatz: Muss die Polizei es dulden, dass Dritte mit dem Handy ein Video von ihren Maßnahmen gegen einen Störer unter Einsatz von Gewalt machen?

Die Polizei Osnabrück hatte deshalb das Handy des Zeugen als polizeirechtliche Standardmaßnahme sichergestellt. Zuvor hatte sie ihn aufgefordert, das Filmen zu unterlassen, denn das sei strafbar. Die Sicherstellung wurde damit begründet, dass zu befürchten sei, dass durch die Veröffentlichung oder Weitergabe des Videos die Vertraulichkeit des gesprochenen Wortes verletzt würde.

Tatsächlich kann es gemäß § 201 StGB strafbar sein, wenn Gespräche ohne Einwilligung der Betroffenen mitgeschnitten werden. Allerdings – und dazu hat das Landgericht (LG) Osnabrück kürzlich in zweiter Instanz Stellung genommen – gilt dies laut Gesetz nur für das “nichtöffentlich” gesprochene Wort. Anders ist es deshalb, wenn Polizisten in der Öffentlichkeit jemanden festnehmen. Das findet dann nicht nur im öffentlichen Raum statt, sondern es fällt auch der Grund weg, weshalb das nichtöffentlich gesprochene Wort überhaupt schutzwürdig ist.

Laut dem LG ist es die Unbefangenheit der mündlichen Äußerung, die geschützt werden soll. Und bei allem Verständnis für Unsicherheiten von Polizisten, bei schnellen Einschätzungen und Entscheidungen im Eifer des Gefechts: Bei dienstlichem Handeln, das rechtlich gebunden ist und der rechtlichen Überprüfung unterliegt, ist nach Auffassung des LG kein Raum.

Die Frage, inwieweit Daten- und Persönlichkeitsschutz im öffentlichen Raum gilt, ist auch für das Verkehrsrecht relevant: Denn wie wir berichteten gibt es Tendenzen im Datenschutz, das Fotografieren von Kfz im öffentlichen Raum grundsätzlich zu verbieten. Was dazu führen dürfte, dass dort, wo Autos mit Kennzeichen zu sehen sind, also eigentlich überall, Fotografieren nur noch eingeschränkt möglich ist. Glücklicherweise ist die Rechtsprechung – zumindest im oben genannte Beispiel – nicht bereit, den Daten- und Persönlichkeitssschutz zu Lasten des öffentlichen Raums ausufern zu lassen. Insofern besteht auch im Fall des Fotografierens von Kraftfahrzeugen noch Hoffnung (Olaf Dilling).

Olaf Dilling2021-10-05T17:53:35+02:005. Oktober 2021|Datenschutz, Verwaltungsrecht|

Abschnittkontrolle: Revision abgeblitzt

Die Erfassung von Kfz-Kennzeichen durch eine Abschnittskontrolle ist rechtlich zulässig. Bei dieser Technik der Verkehrsüberwachung werden die Kennzeichen über einen längeren Abschnitt von einigen Kilometern wiederholt per Digitalkameras mit Bilderkennungssoftware ausgewertet. Daraus lässt sich dann die Überschreitung von Geschwindigkeitsbegrenzungen ermitteln.

Nachdem die Klage eines Anwalts gegen diese Form der Verkehrsüberwachung im März 2019 zunächst vor dem Verwaltungsgericht Hannover erfolgreich war, war das Oberverwaltungsgericht Lüneburg im Herbst desselben Jahres der Berufung der Polizeidirektion Hannover für das Land Niedersachsen gefolgt.

Zwischenzeitlich hatte allerdings die Politik nachgebessert. Denn die für den Langstreckenblitzer erforderliche Datenerhebung musste auf eine solide rechtliche Basis gestellt werden. Denn mit der Auswertung der Daten wird in das Grundrecht auf informationelle Selbstbestimmung eingegriffen. Daher war im Mai 2019 eine neue Gesetzesgrundlage in § 32 Abs. 7 des Niedersächsischen Polizei- und Ordnungsgesetzes (NPOG) eingefügt worden.

Das Bundesverwaltungsgericht hat den Antrag auf Revision gegen die Entscheidung des Oberverwaltungsgerichts abgewiesen. Tatsächlich dürften gegen die gesetzliche Grundlage keine erheblichen verfassungsrechtlichen Bedenken bestehen. Denn im Gesetz ist sehr klar umrissen, wofür und in welchem Umfang Daten erhoben werden dürfen. So dürfen beispielsweise keine Fotos der Autoinsassen gemacht werden. Zudem müssen die Daten sofort gelöscht werden, wenn keine Überschreitung der erlaubten Geschwindigkeit feststellbar war. Schließlich muss die Abschnittskontrolle kenntlich gemacht werden.

Diese Art der Verkehrsüberwachung ist auch durch einen Vorteil gegenüber lokalen Radarfallen gerechtfertigt: Denn es hängt auf den längeren Strecken weniger vom Zufall (oder von Kenntnissen über deren Standorte) ab, wer zu welchem Zeitpunkt bei Geschwindigkeitsüberschreitungen erfasst wird (Olaf Dilling).

Olaf Dilling2020-10-05T22:31:25+02:005. Oktober 2020|Datenschutz, Verkehr, Verwaltungsrecht|

12 Vor

Dr. Miriam Vollmer ist Rechtsanwältin und Fachanwältin für Verwaltungsrecht. Sie vertritt seit 2006 rund um die Themen Klima, Umwelt, Wettbewerb und Energie. Frau Dr. Vollmer ist Lehrbeauftragte der Universität Bielefeld, leidenschaftliche Prozessanwältin, Vortragsrednerin mit breiter Erfahrung von Fortbildungsveranstaltungen bei Unternehmen und Verbänden bis zur re:publica und Verfasserin zahlreicher Publikationen.

Mehr über Frau Dr. Vollmer finden Sie hier.

Dr. Olaf Dilling ist Rechtsanwalt. Er blickt auf eine lange Wissenschaftskarriere zurück. So hat er am Umweltforschungszentrum (UFZ) Leipzig zu Stickstoffemissionen geforscht, hat nach einer Promotion über grenzüberschreitende Produktverantwortung eine Vertretungsprofessur in Oldenburg wahrgenommen, in Georgien und Mazedonien die Regierung beraten, einen Lehrauftrag an der Uni Bremen und eine Station beim Sachverständigenrat für Umweltfragen (SRU) absolviert.
Er hat breite Erfahrungen als Sprecher und Berater, kennt sich vom Umweltrecht bis zu Digitalthemen wie der Wikipedia aus und hat umfangreich publiziert.

Mehr über Herrn Dr. Dilling finden Sie hier.

Dr. Christian Dümke ist seit 2007 als Rechtsanwalt im Energierecht tätig. Sein Schwerpunkt liegt dabei in der Vertragsgestaltung und der zivilgerichtlichen Prozessführung, einschließlich der Durchsetzung wettbewerbsrechtlicher Ansprüche mit energierechtlichem Bezug. Zudem ist Herr Dr. Dümke spezialisiert in dem sich ständig fortentwickelnden Recht der erneuerbaren Energien (EEG/KWK) und der passenden rechtlichen Ausgestaltung von dezentralen Energieversorgungskonzepten in geschlossenen Verteilernetzen und Quartieren. Herr Dr. Dümke berät überwiegend kommunale Energieversorgungsunternehmen, Anlagenbetreiber und Industrieunternehmen aber auch Vertreter der Immobilienwirtschaft.

Mehr über Herrn Dr. Dümke finden Sie hier.

Dirk Buchsteiner ist Rechtsanwalt seit 2019 und seit über zehn Jahren im Umweltrecht aktiv. Er begleitet Unternehmen und die öffentliche Hand vor allem im Immissionsschutz- und Kreislaufwirtschaftsrecht, hat aber auch reiche Erfahrung im Planungs-, Wasser- und Bergrecht. Buchsteiner führt Infrastrukturprojekte von der ersten Machbarkeitsstudie bis zur Inbetriebnahme und kämpft die Belange seiner Mandanten auch vor den Verwaltungsgerichten zum Erfolg. Dirk Buchsteiner ist auch ein gefragter Referent, der auch regelmäßig Immissionsschutz- und Abfallbeauftragte schult.

Mehr über Herrn Dirk Buchsteiner finden Sie hier.