Seite 2: In den Startlöchern: Das IT-Sicherheitsgesetz 2.0

Inhaltsverzeichnis

Seit 2015 gilt das IT-Sicherheitsgesetz, das später durch Rechtsverordnungen wie insbesondere die KRITIS-Verordnung konkretisiert wurde. Seit April 2019 wird öffentlich über eine Neufassung diskutiert. Dieses sogenannte IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) soll unter anderem Regelungen zu Meldepflichten enthalten und den Einsatz kritischer Komponenten von nicht vertrauenswürdigen Herstellern in bestimmten Bereichen untersagen.

Es legt außerdem Pflichten für „Unternehmen im öffentlichen Interesse“ fest, beispielsweise IT- oder IT-Sicherheitsunternehmen, erweitert die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) und verschärft Vorschriften für Telekommunikations- und Telemedienanbieter. Das BSI soll künftig auch ein freiwilliges IT-Sicherheitskennzeichen vergeben können. Bei den Bußgeldern soll es ähnlich der DSGVO einen Strafrahmen von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Unternehmensumsatzes geben. IT-SiG 2.0 steht mit der Veröffentlichung des jüngsten Referentenentwurfs bereits in den Startlöchern.

Das sogenannte GWB-Digitalisierungsgesetz soll das Kartellrecht stärken, um Marktmissbrauch großer Unternehmen effektiv bekämpfen zu können. Internet- und datenbasierte Geschäftsmodelle bergen das Risiko einer Marktkonzentration. So soll es Unternehmen mit Zugang zu marktrelevanten Daten zukünftig untersagt sein, andere Marktteilnehmer zu diskriminieren oder ihnen unter bestimmten Voraussetzungen den Zugang zu Daten und Informationen zu verweigern. Der Gesetzgeber hat hier unter anderem „Super-Marktbeherrscher“ wie Facebook, Google, Amazon und Co. vor Augen.

Internetgiganten müssen teilen lernen

Aber auch in anderen Bereichen könnte die Gesetzesnovelle Unternehmen zwingen, Big Data mit der Konkurrenz zu teilen. Bei einer Anhörung des Bundestages Ende November 2020 betonte Arndt Mundt, der Präsident des Bundeskartellamts, die Novelle sei „ungemein hilfreich für das Kartellamt“. Auch Industrievertreter und Rechtswissenschaftler äußerten sich meist positiv, unter anderem über die geplante „Zähmung der Internetgiganten“.

Das Jahr 2021 wird auf EU-Ebene und in den einzelnen Mitgliedsstaaten eine Diskussion bringen, wie bestehende Gesetze insbesondere zur Haftung und Verantwortlichkeit im Bereich der künstlichen Intelligenz, beispielsweise beim autonomen Fahren, angepasst werden sollen. Bevor steht ebenfalls die Aktualisierung der EU-Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS-Richtlinie) sowie ihre Umsetzung in nationales Recht. Überarbeitet wird derzeit auch die EU-Richtlinie über Corporate Social Responsibility (CSR). Insbesondere soll nachhaltiges wirtschaftliches Handeln, etwa im Bereich Umwelt, verpflichtend werden, was beispielsweise Ansätzen der „Green IT“ weiteren Auftrieb verleihen könnte.

Eine große Bedeutung kommt der Diskussion auf EU-Ebene zum jüngst veröffentlichten Gesetzesentwurf eines EU Data Governance Act zu. Laut Binnenmarkt-Kommissar Thierry Breton soll der gesetzliche Rahmen dazu beitragen, „dass Europa zum weltweiten Datenkontinent Nummer eins“ wird. Daten sollen künftig beispielsweise über Datentreuhänder verwaltet und nicht mehr direkt an Amazon, Google, Facebook und Co. übermittelt werden. Das soll gewährleisten, dass sie „im Einklang mit den europäischen Werten und Grundrechten behandelt werden“. Daneben soll das Datenspenden zu gemeinnützigen Zwecken erleichtert werden, etwa im Rahmen der Bekämpfung der Coronapandemie. Um Datenteilung geht es auch bei der geplanten erleichterten Weiterverwendung von Daten, die bei öffentlichen Einrichtungen gespeichert sind.

Weitere gesetzliche Regelungen sind für den Verbraucherschutz beim Kauf von Software und Apps sowie auf Onlinemarktplätzen geplant. Gewährleistungsrechte soll es danach zukünftig auch für „digitale Inhalte“ geben. Dies soll auch gelten, wenn Verbraucher etwa auf sozialen Netzwerken mit ihren personenbezogenen Daten „bezahlen“. Geregelt werden zudem Updateverpflichtungen für digitale Produkte, erweiterte Informationspflichten insbesondere für Onlinemarktplätze und mehr.

Brexit und kein Ende

Am 31. Dezember 2020 um 23 Uhr britischer Zeit endet die Übergangsfrist für den Austritt des Vereinigten Königreichs aus der Europäischen Union zum 31. Januar 2020. Das Land gilt dann etwa im Anwendungsbereich der Datenschutz-Grundverordnung nicht mehr automatisch als eines mit einem angemessenen Datenschutzniveau. Das ist aber erforderlich, um personenbezogene Daten rechtssicher und vergleichsweise unbürokratisch bei Vorliegen der sonstigen Voraussetzungen an Unternehmen in Großbritannien übermitteln zu können.

Erklärt die EU-Kommission das britische Datenschutzniveau für nicht ausreichend, müsste das Land wie andere Drittstaaten, beispielsweise die Vereinigten Staaten, behandelt werden und Datenübermittlungen könnten de facto nur auf Grundlage der genehmigten Standarddatenschutzklauseln erfolgen. Derzeit ist weiterhin unklar, ob es den Verhandlungsführern noch gelingt, rechtzeitig vor Jahresende einen „Brexit-Deal“ zwischen der EU und dem Vereinigten Königreich auszuhandeln.