Experte im Telekommunikationsrecht: Kurt Graulich (Foto: privat)
Nachgefragt bei: Dr. Kurt Graulich
"Das IT-Sicherheitsgesetz ist wichtig und sinnvoll"
ESV-Redaktion Recht
22.06.2015
Der ehemalige Bundesrichter und gerade ernannte Sonderermittler für den NSA-Untersuchungsausschuss Kurt Graulich über das neue IT-Sicherheitsgesetz, Datenschutz in Deutschland - und was er von der Vorratsdatenspeicherung hält.
Die Bundesregierung hat einen Gesetzentwurf zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz: IT-Sicherheitsgesetz – vorgelegt. Was halten Sie von diesem Entwurf?
Kurt Graulich: Die Bundesregierung hat den Entwurf für ein IT-Sicherheitsgesetz initiiert, und der Deutsche Bundestag hat auf dieser Grundlage in einem zügigen Verfahren am 12. Juni 2015 in 2. und 3. Lesung das Gesetz beschlossen. Gegenstand des Gesetzes ist die Sicherheit der IT-Infrastrukturen in den Bereichen von Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Dieses Gesetz ist wichtig, weil es hilft, die Sicherheit in einem wichtigen Bereich der Grundversorgung einer modernen Gesellschaft zu sichern.
Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme erreicht werden. Die Neuregelungen dienen dazu, den Schutz der Systeme im Hinblick auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu verbessern, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können. Wird das Gesetz nach Ihrer Einschätzung diese Ziele erreichen können?
Kurt Graulich: Die Sicherheitsstrategie des Gesetzes setzt vereinfacht gesagt an zwei verschiedenen Stellen an, und dies lässt erwarten, dass wir am Beginn eines Lernprozesses sind. Zum einen werden den Betreibern kritischer Infrastrukturen Meldepflichten für sicherheitsrelevante Vorfälle auferlegt. Das ist sinnvoll. Es muss aber abgewartet werden, ob damit angemessen umgegangen wird, andernfalls wird man nachsteuern müssen.
Zum anderen wird aufgrund einer – noch zu erlassenden - Rechtsverordnung nach § 10 BSIG festgelegt, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Die darin zu treffenden Einschätzungen werden sich immer wieder ändern; deshalb ist die Rechtsform einer Verordnung als Regelungsmittel geeignet. Der Ansatz ist auf alle Fälle richtig. Wir müssen aber laufend beobachten, ob die gesetzlich begründeten Vorkehrungen ausreichen.
Gibt es Punkte, die das IT-Sicherheitsgesetz nicht berücksichtigt, die aber hätten berücksichtigt werden müssen?
Kurt Graulich: Für offensichtlich halte ich ein derartiges Versäumnis gegenwärtig nicht. Allerdings muss im Auge behalten werden, dass wir insbesondere im Bereich der Telekommunikation eine aufsichtliche Parallelstruktur von Bundesnetzagentur und Bundesamt für Sicherheit in der Informationstechnik, BSI, haben. Sie stellt aktuell kein Problem dar. Es wird aber zu beobachten sein, ob auf Dauer eine Fusion dieser Kompetenzen bei einer Behörde sinnvoll ist.
Datenschutz und IT-Sicherheit sind spätestens seit den NSA-Ausspähungen in das öffentliche Interesse gerückt. Ist es hinnehmbar, dass solche Ausspähungen durch befreundete Staaten folgenlos bleiben?
Kurt Graulich: Nach meinem Eindruck sind wir immer noch dabei, herauszufinden, inwieweit es bei den unterstellten Beobachtungen um Verletzungen von Souveränität oder Legalität geht. Hinzu kommt, dass wir es anscheinend mit Vorgängen in einem Militärbündnis zu tun haben, und kritisierbare Vorgehensweisen möglicherweise dem Konzept nachrichtendienstlicher Arbeitsteilung folgen. Dies könnte bei materieller Betrachtung dann die Souveränitätsbeeinträchtigung abmildern, die Legalitätsbeeinträchtigung aber erschweren. Diese Überlegungen sind indes rein spekulativ. Wir wissen noch zu wenig über die tatsächlichen Zusammenhänge.
Wie schätzen Sie allgemein IT-Sicherheit und den datenschutzrechtlichen Standard in Deutschland im internationalen Vergleich ein?
Kurt Graulich: IT-Sicherheit und Datenschutz dienen zusammen dem Rechtsgüterschutz. Sie ergänzen einander und behindern sich nicht. Die mit dem Namen Edward Snowden verbundene Leaking-Katastrophe der NSA sollte deutlich machen, wie riskant die Anhäufung großer digitalisierter Datenmengen ist – denn es erscheint als eher unwahrscheinlich, dass es nur einen einzigen derartigen Datenabfluss gegeben haben sollte. Das spricht im Übrigen nachhaltig gegen eine Vorratsdatenspeicherung.
Das könnte Sie noch interessieren: Hans-Georg Maaßen: „Reale Gefahr aus der virtuellen Welt“
Dr. Graulich ist Autor zahlreicher juristischer Fachbeiträge und Mitkommentator des in der Reihe Berliner Kommentare erschienenen Kommentars zum Telekommunikationsgesetz (TKG). Voraussichtlich im Juli 2015 erscheint die 2. Auflage des Werks im Erich Schmidt Verlag. Darin bereits enthalten: Die Auswirkungen des neuen IT-Sicherheitsgesetzes.
Kurt Graulich: Die Bundesregierung hat den Entwurf für ein IT-Sicherheitsgesetz initiiert, und der Deutsche Bundestag hat auf dieser Grundlage in einem zügigen Verfahren am 12. Juni 2015 in 2. und 3. Lesung das Gesetz beschlossen. Gegenstand des Gesetzes ist die Sicherheit der IT-Infrastrukturen in den Bereichen von Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Dieses Gesetz ist wichtig, weil es hilft, die Sicherheit in einem wichtigen Bereich der Grundversorgung einer modernen Gesellschaft zu sichern.
Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme erreicht werden. Die Neuregelungen dienen dazu, den Schutz der Systeme im Hinblick auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu verbessern, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können. Wird das Gesetz nach Ihrer Einschätzung diese Ziele erreichen können?
Kurt Graulich: Die Sicherheitsstrategie des Gesetzes setzt vereinfacht gesagt an zwei verschiedenen Stellen an, und dies lässt erwarten, dass wir am Beginn eines Lernprozesses sind. Zum einen werden den Betreibern kritischer Infrastrukturen Meldepflichten für sicherheitsrelevante Vorfälle auferlegt. Das ist sinnvoll. Es muss aber abgewartet werden, ob damit angemessen umgegangen wird, andernfalls wird man nachsteuern müssen.
Zum anderen wird aufgrund einer – noch zu erlassenden - Rechtsverordnung nach § 10 BSIG festgelegt, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses Gesetzes gelten. Die darin zu treffenden Einschätzungen werden sich immer wieder ändern; deshalb ist die Rechtsform einer Verordnung als Regelungsmittel geeignet. Der Ansatz ist auf alle Fälle richtig. Wir müssen aber laufend beobachten, ob die gesetzlich begründeten Vorkehrungen ausreichen.
Gibt es Punkte, die das IT-Sicherheitsgesetz nicht berücksichtigt, die aber hätten berücksichtigt werden müssen?
Kurt Graulich: Für offensichtlich halte ich ein derartiges Versäumnis gegenwärtig nicht. Allerdings muss im Auge behalten werden, dass wir insbesondere im Bereich der Telekommunikation eine aufsichtliche Parallelstruktur von Bundesnetzagentur und Bundesamt für Sicherheit in der Informationstechnik, BSI, haben. Sie stellt aktuell kein Problem dar. Es wird aber zu beobachten sein, ob auf Dauer eine Fusion dieser Kompetenzen bei einer Behörde sinnvoll ist.
| Aktuelle Meldungen |
| Hier bleiben Sie immer aktuell im Bereich Recht. |
Datenschutz und IT-Sicherheit sind spätestens seit den NSA-Ausspähungen in das öffentliche Interesse gerückt. Ist es hinnehmbar, dass solche Ausspähungen durch befreundete Staaten folgenlos bleiben?
Kurt Graulich: Nach meinem Eindruck sind wir immer noch dabei, herauszufinden, inwieweit es bei den unterstellten Beobachtungen um Verletzungen von Souveränität oder Legalität geht. Hinzu kommt, dass wir es anscheinend mit Vorgängen in einem Militärbündnis zu tun haben, und kritisierbare Vorgehensweisen möglicherweise dem Konzept nachrichtendienstlicher Arbeitsteilung folgen. Dies könnte bei materieller Betrachtung dann die Souveränitätsbeeinträchtigung abmildern, die Legalitätsbeeinträchtigung aber erschweren. Diese Überlegungen sind indes rein spekulativ. Wir wissen noch zu wenig über die tatsächlichen Zusammenhänge.
Wie schätzen Sie allgemein IT-Sicherheit und den datenschutzrechtlichen Standard in Deutschland im internationalen Vergleich ein?
Kurt Graulich: IT-Sicherheit und Datenschutz dienen zusammen dem Rechtsgüterschutz. Sie ergänzen einander und behindern sich nicht. Die mit dem Namen Edward Snowden verbundene Leaking-Katastrophe der NSA sollte deutlich machen, wie riskant die Anhäufung großer digitalisierter Datenmengen ist – denn es erscheint als eher unwahrscheinlich, dass es nur einen einzigen derartigen Datenabfluss gegeben haben sollte. Das spricht im Übrigen nachhaltig gegen eine Vorratsdatenspeicherung.
"Deutschland hat professionellen Datenschutz mit kräftigem politischen Herz"
Die Bundesrepublik hat die Chance, die grundsätzliche Polyzentrik ihrer Strukturen zu einem Moment von IT-Sicherheit zu machen. In der Tradition des Volkszählungsgesetz-Urteils des Bundesverfassungsgerichts besitzen wir einen professionellen Datenschutz, der nach meinem Eindruck mit einem kräftigen politischen Herz und einem starken rechtlichen Verstand ausgeübt wird, und zwar unabhängig davon, welche Partei in einer Gebietskörperschaft gerade regiert. Daher halte ich die deutsche Ausgangssituation bei der Implementierung von IT-Sicherheit und Datenschutz auch im internationalen Vergleich für günstig. (ESV/map)Das könnte Sie noch interessieren: Hans-Georg Maaßen: „Reale Gefahr aus der virtuellen Welt“
Zur Person
Der gebürtige Hesse Dr. Kurt Graulich, Jahrgang 1949, war von 1999 bis 2015 Richter am Bundesverwaltungsgericht. Graulich hat in Frankfurt am Main Rechtswissenschaften studiert. Seine Dissertation schrieb er über „Die Zustimmungsbedürftigkeit der Änderung, Verlängerung und Aufhebung von Gesetzen und Rechtsverordnungen“. Am Verwaltungsgericht Frankfurt war er Richter und Kammervorsitzender, ehe er 1991 als Leitender Ministerialrat in das Hessische Justizministerium wechselte. 1999 wurde er zum Richter am Bundesverwaltungsgericht gewählt. Er hat zudem einen Lehrauftrag an der Juristischen Fakultät der Berliner Humboldt-Universität.Dr. Graulich ist Autor zahlreicher juristischer Fachbeiträge und Mitkommentator des in der Reihe Berliner Kommentare erschienenen Kommentars zum Telekommunikationsgesetz (TKG). Voraussichtlich im Juli 2015 erscheint die 2. Auflage des Werks im Erich Schmidt Verlag. Darin bereits enthalten: Die Auswirkungen des neuen IT-Sicherheitsgesetzes.
Programmbereich: Wirtschaftsrecht