10 Mai

IT Sicherheitsgesetz 3.5 – Aus gegebenem Anlass … wieder einmal

Sicherheitsgesetz
IT Sicherheitsgesetz 3.5 – Aus gegebenem Anlass … wieder einmal

Der vierte Artikel dieser Serie, der sich mit der potentiellen Interaktion zwischen IT-Sicherheitsgesetz und dem (österreichischen) Datenschutzrecht beschäftigen soll, steht bereits in den Startlöchern, als uns einmal mehr die aktuellen Geschehnisse überholt haben und Anlass zu diesem Zwischenspiel geben.

Wie bereits im zweiten Teil dieser Artikel-Reihe beleuchtet, ergibt sich aus dem deutschen IT-SicherheitsG nicht im Detail, was eigentlich als kritische Infrastruktur zu verstehen ist. Wie dort ebenfalls angemerkt, ist – oder besser: war – eine Verordnung in Arbeit, die eben diese Lücke füllen sollte und die Definition von kritischen Infrastrukturen erleichtern sollte.

Wie nun etwa heise.de in der News-Meldung vom 03.05.2016 mitteilt, ist der Vorschlag der Verordnung vom deutschen Gesetzgeber mit gleichem Datum in Kraft getreten. Anhand dieser ist es nun auch möglich mittels der in der Verordnung aufgelisteten Kriterien in den verschiedenen potentiell betroffenen Bereichen konkret zu ermitteln, ob der jeweilige Betrieb als kritische Infrastruktur zu sehen ist und daher dem IT-Sicherheitsgesetz unterfällt.

Natürlich erleichtert dies im Einzelfall nur wenig, da sich Kriterien – wie bereits im zweiten Artikel beschrieben – etwa auf Output-Leistungen und Verbrauchswerte abstellen. Ohne einen gewissen Aufwand wird es sohin auch hier nicht getan sein.

Interessant ist überdies, dass auch Einrichtungen wie Serverfarmen oder Rechenzentren, je nach Kapazität, als kritische Infrastruktur gelten können und sohin bei Sitz in Deutschland durch das IT-SicherheitsG erhöhte Sorgfalts- und Informationspflichten treffen.

Der Text der in Kraft getretenen Verordnung entspricht im Übrigen de facto jenem des Entwurfes mit lediglich geringen Umformulierungen. In Anbetracht dessen, dass ein ähnliches Gesetzesvorhaben in Österreich immer wahrscheinlicher wird, empfiehlt es sich bereits jetzt auf die deutsche Rechtslage zu achten und festzustellen, ob der eigene Betrieb nicht ebenfalls potentiell als kritische Infrastruktur gelten könnte.

#IT-Sicherheitsgesetz #ITRecht #kritischeInfrastruktur

Links:
IT-Sicherheitsgesetz Teil1
IT-Sicherheitsgesetz Teil2
IT-Sicherheitsgesetz Teil3

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist derzeit Rechtsanwaltsanwärter am Ende seiner Ausbildung bei der Rechtsanwaltskanzlei Mag. Bonelli in Wels, Vortragender zum Thema Internetrecht sowie begeisterter User neuer Technologien.