IT Recht – Sechsteilige Artikelreihe zum Thema IT-Sicherheitsgesetz in Österreich.

Teil 1. Kommt ein IT-Sicherheitsgesetz auch in Österreich?

LemonPI IT Recht AT DE EU

 

Während in Österreich in diesen Tagen das Staatsschutzgesetz für Medienecho sorgt, ist es in Deutschland das mit 25.07.2015 in Kraft getretene Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz), das für ein gewisses Aufsehen gesorgt hat und nach wie vor Gegenstand von umfassenden Diskussionen sind. Während man in Österreich, nachdem eine weitreichende Vorratsdatenspeicherung bereits einmal verhindert worden ist, abermals um die Einsichtnahmemöglichkeit der Sicherheitsbehörden in höchstpersönliche Daten fürchtet, betrifft das IT-Sicherheitsgesetz den Schutz von sogenannten kritischen Infrastrukturen vor Hackerangriffen.

Letztlich geben beide genannten Gesetze den derzeitigen Zeitgeist wieder, zielen sie doch beide letztlich darauf ab terroristische Handlungen zu verhindern, wenngleich auch in unterschiedlichen Bereichen und mit unterschiedlichen Zielsetzungen. Fakt ist aber, dass es nur eine Frage der Zeit sein kann, bis ein ähnliches Vorhaben wie das IT-Sicherheitsgesetz auch von dem österreichischen Gesetzgeber aufgegriffen und umgesetzt wird. In diesem Fall ist dann auch davon auszugehen, dass man sich ein Vorbild an dem deutschen Gesetz nehmen wird, wodurch eine Beschäftigung mit der derzeitigen Rechtslage in Deutschland in dieser Hinsicht mehr als vorteilhaft ist.

Der deutsche Gesetzgeber nennt als Ansatzpunkt für das nunmehrige Gesetz die 2011 verabschiedete Cyber-Sicherheitsstrategie, welche ebenfalls auf den Schutz von IT-Systemen in Deutschland abzielte und hier bereits auch die genannten kritischen Infrastrukturen im Auge hatte.

Jedoch ist zu sagen, dass das IT-Sicherheitsgesetz eigentlich kein Gesetz im engeren Sinn ist, also ein eigenständiger Regelungskatalog, sondern vielmehr ein gesetzgeberischer Akt des deutschen Gesetzgebers, mit dem das BSI-Gesetz, das Atomgesetz, das Energiewirtschaftsgesetz, das Telekommunikationsgesetz, das Telemediengesetz, das Bundesbesoldungsgesetz sowie das Bundeskriminalamtsgesetz. Eine derartige Vorgehensweise, also mittels eines Gesetzes-Aktes ein Bündel von Gesetzen zu aktualisieren beziehungsweise zu ändern ist auch in Österreich eine durchaus gängige Vorgehensweise.

Bereits aus den genannten einzelnen Gesetzen ist gut ersichtlich, dass das IT-Sicherheitsgesetz dem Bereich des öffentlichen Rechtes zuzuordnen ist und hier den Schutz von Versorgungseinrichtungen im Auge hat. Tatsächlich findet sich auch bereits im ersten Paragraphen der Änderungen des BSI-Gesetzes die Regelung, was unter den kritischen Infrastrukturen zu verstehen ist. Es handelt sich dabei etwa um Einrichtungen, die der Versorgung der Bevölkerung mit Energie und Wasser dienen, für die Kommunikation notwendig sind oder auch eine hohe Bedeutung für das funktionierende Gemeinwesen haben. Jene Anlagen sollen weitgehend vor terroristischen Akten, hier Hacker-Angriffe, geschützt werden, weswegen die Betreiber dieser Strukturen angemessene Vorkehrungen zur Vermeidung von Störungen usw. einzurichten haben und hier auch von den deutschen Behörden unterstützt werden sollen. Überdies ist eine zentrale Meldestelle einzurichten und lediglich Kleinstunternehmen, welche aber ebenfalls kritische Infrastrukturen betreiben, sind von den genannten Pflichten ausgenommen.

Ziel ist es letztlich, hinsichtlich der kritischen Infrastrukturen IT-Standards zu schaffen, welche mehr Sicherheit vor Hacker-Angriffen derartiger Einrichtungen bieten sollen. Dem Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) kommt dabei die Rollen einer Überwachung sowie eines Früherkennungssystems zu.

Derzeit kritisiert wird das Gesetz vor allem, da nicht leicht ersehbar ist, welche Unternehmen konkret als Betreiber kritischer Infrastrukturen gelten. Überdies wird auch befürchtet, dass das Gesetz als Möglichkeit herangezogen werden könnte über die betroffenen Unternehmen Daten auf Vorrat zu speichern, was weithin Ablehnung findet. Diese Problempunkte werden jedoch wohl erst durch die praktische Anwendung des IT-Sicherheitsgesetzes gelöst werden können.

In Österreich gibt es, wie eingangs erwähnt, derzeit kein direkt vergleichbares Gesetz, wenngleich diverse Sicherheitsvorschriften in verschiedenen Gesetzen existieren. Diese richten sich jedoch nicht primär gegen Hacker-Angriff auf kritische Infrastrukturen, sondern lassen sich eher dem Bereich Schutz des Verbrauchers sowie Haftungsanfragen zuordnen. Auch einheitliche Standards vermisst man.

Möglichkeiten ein derartiges Vorhaben in Österreich umzusetzen, wäre daher einen eigenen Normenkatalog zu erstellen, der genau die von Deutschland beabsichtigte Cyber-Security beinhalten müsste. Auch hier wäre dann wohl eine eigene Melde- und Überwachungsstelle auf Bundesebene einzurichten, welche die Standards verwalten und überprüfen würde. Alternativ könnte jedoch ebenso der Weg des deutschen Gesetzgebers gewählt werden und das Vorhaben in österreichischen Gesetzen wie etwa das Datenschutzgesetz oder Telekommunikationsgesetz umsetzen.

Hier gehts zu Teil 2 – Was sind kritische Infrastrukturen

Autor: 
Mag. Michael Lanzinger in Kooperation mit LemonPI GmbH
Mag. Michael Lanzinger ist Rechtsanwalt mit Kanzleisitz in Wels (OÖ) und Schwerpunkt auf IT-Recht, externer Lektor and der JKU Linz und der KU Graz, Lehrender am WiFi Linz und Wels, Vortragender im Bereich Zivil- und Internetrecht sowie begeisterter User neuer Technologien. http://www.rechtsanwalt-lanzinger.at