IT-Recht – Teil 6

Teil 6. Wie könnte/sollte/müsste ein IT-Sicherheitsgesetz in Österreich aussehen?

LemonPI IT Recht AT DE EU

Mit diesem – sechsten – Teil der Artikel-Serie rund um das deutsche IT-Sicherheitsgesetz schließen wir das Thema mit einem Blick in die sprichwörtliche Glaskugel ab und fragen, wie denn eigentlich ein derartiges Gesetz in Österreich aussehen könnte.

Wie bereits in Teil 3 der Artikel-Serie berichtet, soll bereits mit Herbst 2016 ein Entwurf für ein österreichisches IT-Sicherheitsgesetz präsentiert werden. Zumindest wenn man nach den derzeitigen Informationen – etwa diesem Artikel vom 13.06.2016 auf Futurezone – geht, erinnert der Entwurf sehr an das deutsche IT-Sicherheitsgesetz. Ebenfalls geht es darum, dass Cyberattacken auf Unternehmen meldepflichtig sein sollen, dies unter der entsprechenden Wahrung des Datenschutzes. Auch Strafen sind angedacht, wenn die Meldepflichten nicht erfüllt werden. Wie in Deutschland, scheint aber auch der österreichische Gesetzgeber vor dem Definitionsproblem der kritischen Infrastrukturen zu stehen, kann hier aber jedenfalls von der Situation in Deutschland und den dortigen Lösungen profitieren.

Unbekannt ist derzeit, ob das Cybersicherheitsgesetz, also ein österreichisches IT-Sicherheitsgesetz, ganz nach dem deutschen Vorbild als ‚Bündel von Gesetzen‘ oder aber als separates (einzelnes) Gesetz geplant ist. Allerdings ist die Bündelvariante, welche in Deutschland gewählt wurde, durchaus von Vorteil, zumal die entsprechenden Vorgaben und Pflichten direkt in jene Gesetze eingefügt werden, welche die potentiellen kritischen Infrastrukturen direkt betreffen. So wäre es etwa denkbar eine Definition in die Gewerbeordnung (GewO) einzufügen, was sicherlich der Transparenz dienlich wäre.

Fraglich ist natürlich auch noch, welche Behörde – geht man nach der deutschen Gesetzgebung – mit der Koordination der Meldungen sowie der Kommunikation und Strategieplanung gegen Cyberattacken befasst sein würde. Hier hätte der Gesetzgeber in Österreich die Möglichkeit eine neue Behörde zu schaffen oder auf bestehende Strukturen zurückzugreifen.

Jedenfalls sinnvoll ist es hinsichtlich der Standards für die kritischen Infrastrukturen den Weg des deutschen Gesetzgebers zu gehen. Wie in Teil 2 und Teil 3 der Artikel-Serie angesprochen wurde dort im IT-SicherheitsG hinsichtlich der Standards auf eine separate Verordnung verwiesen, welche (leider) erst zu einem späteren Zeitpunkt erging. Eine – auch in Österreich gesetzliche Möglichkeit – würde ebenfalls ein gewisses Mehr an Flexibilität hinsichtlich der kritischen Infrastrukturen bieten, jedoch sollte sie zeitnah zum Cybersicherheitsgesetz ergehen.

Wo sich das österreichische Cybersicherheitsgesetz deutlich von dem deutschen IT-Sicherheitsgesetz abheben könnte, ist der Aspekt des Daten- und Konsumentenschutzes. Wie in Teil 4 der Artikel-Serie dargestellt, hat das IT-SicherheitsG keine klare datenschutzrechtliche Ausrichtung sondern ist hier das Datenschutzrecht zu beachten. Wie etwa heise.de meldet, gab es bereits sieben meldepflichtige Attacken in Deutschland, auf welche das IT-SicherheitsG Anwendung findet. Ob und wie hier Daten Privater ‚erbeutet‘ wurden ist fraglich und ist dies definitiv ein Problem, welches in Zukunft noch zunehmen wird.

Derart ist zu hoffen, dass das Cybersicherheitsgesetz in Österreich nicht nur für Betreiber kritischer Infrastrukturen Standards und Meldepflichten vorsieht, sondern darüber hinaus auch Informationspflichten anordnet. Bereits jetzt bestehen in Österreich, etwa nach dem FAGG oder dem E-CommerceG sowie dem TelekommunikationsG (Cookie-Hinweis nach § 96 Abs 3 TKG) Verpflichtungen dem User/Konsumenten bestimmte Informationen klar zur Verfügung zu stellen. Dies sollte dadurch erweitert werden, dass den Usern zumindest bekannt zu machen ist, ob es sich bei dem jeweiligen Unternehmen um einen Betreiber kritischer Infrastrukturen handelt und welche Meldepflichten vorgegeben sind. Auch eine Information oder Hinweis auf die einzuhaltenden Standards könnte wesentlich der Transparenz dienen.

Zusammengefasst ist daher zu sagen, dass wenn sich der Gesetzgeber in Österreich entscheidet, bei einem Cybersicherheitsgesetz das deutsche IT-Sicherheitsgesetz zum Vorbild zu nehmen, dies sicher ein richtiger Weg ist. Dennoch sollte auch der User-Schutz in den Entwurf Eingang finden, damit User in Zukunft darüber informiert werden, ob sie ihre Daten einer kritischen Infrastruktur anvertrauen oder nicht.

Abschließend ist noch zu bemerken, dass zwischenzeitig auch die EU gesetzgeberische Vorhaben in diese Richtung angekündigt hat und eine Richtlinie für eine europarechtliche Harmonisierung sorgen wird. Diese wird wohl ebenfalls bei der Schaffung des Cybersicherheitsgesetz Beachtung finden.

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist Rechtsanwalt mit Kanzleisitz in Wels (OÖ) und Schwerpunkt auf IT-Recht, externer Lektor and der JKU Linz und der KU Graz, Lehrender am WiFi Linz und Wels, Vortragender im Bereich Zivil- und Internetrecht sowie begeisterter User neuer Technologien. http://www.rechtsanwalt-lanzinger.at