Der IT-Sicherheitskongress debattiert: Wer bestimmt den "Stand der Technik"?

Am letzten Tag des IT-Sicherheitskongresses rechnete ein Jurist mit der Formulierung "Stand der Technik" ab, die im IT-Sicherheitsgesetz und im Telemedien-Gesetz eine wichtige Rolle spielt.

In Pocket speichern vorlesen Druckansicht 48 Kommentare lesen
Anschaulich

(Bild: dpa, Axel Heimken)

Lesezeit: 2 Min.
Von
  • Detlef Borchers

Nach dem noch jungen IT-Sicherheitsgesetz sind Betreiber kritischer Infrastrukturen verpflichtet, "zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme" alle nötigen Vorkehrungen "nach dem Stand der Technik" zu treffen, dass ihre IT-Systeme angemessen geschützt sind. Auch in der 2018 kommenden Datenschutzgrundverordnung nach EU-Vorgaben findet sich ein solcher Passus im Artikel 32. Doch was ist eigentlich dieser "Stand der Technik"? Was Datenschützer wie Marit Hansen als Chance für den Ausbau des Datenschutzes begreifen, ist den Juristen viel zu ungenau.

Auf dem IT-Sicherheitskongress des BSI schlug der Rechtsanwalt Karsten U. Bartels nach einem Verweis auf die historischen Wurzeln des Begriffes eine Neudefinition vor. Wer kritische Infrastrukturen betreibt, muss sie schützen und Sicherheitsvorfälle melden. Wie geschützt wird, soll der aktuelle "Stand der Technik" definieren. Wie Bartels ausführte, wurde dieser "Stand der Technik" im Jahre 1979 erstmals juristisch definiert, als das Bundesverfassungsgericht sich mit dem "Schnellen Brüter" beschäftigte. Der große Haken dabei: Techniker bestimmen nach Auffassung des Gerichtes mit der "herrschenden Auffassung" in der Debatte unter Technikern, was der "Stand der Technik" ist und streiten sich darüber, was dann Gerichte oder Juristen bewerten müssen. "Sie müssen in die Meinungsstreitigkeiten der Techniker eintreten, um zu ermitteln, was technisch notwendig, geeignet, angemessen und vermeidbar ist", befand das Verfassungsgericht damals.

Dies ist für Juristen natürlich ein Alptraum, man denke nur an die Diskussionen der Techniker auf heise online, was angemessene IT-Sicherheitsmaßnahmen sind. In seinem Referat schlug Karsten Bartels denn auch eine von Technikern unabhängige Definition des Standes der Technik vor, die sich am "Marktgeschehen", mithin am Angebot und der Nachfrage von IT-Sicherheitslösungen orientiert: "Beim Stand der Technik handelt es sich um die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichnung der jeweils gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann." Wie wirkungsvoll die am Markt angebotenen IT-Sicherheitsmaßnahmen sind, diskutieren dann aber wiederum auch die Techniker... (kbe)