Durch das IT-Sicherheitsgesetz wird mit dem § 8a BSIG als wesentliche Verpflichtung für den Betreiber einer Kritischen Infrastruktur festgelegt, dass angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der genutzten informationstechnischen Systeme zu treffen sind, um die Funktionsfähigkeit der Kritischen Infrastruktur aufrechtzuerhalten. Bei der Umsetzung dieser Anforderung soll der „Stand der Technik“ eingehalten werden. Was aber hierunter zu verstehen ist, wird durch das Gesetz selbst nicht bestimmt. In der Gesetzesbegründung heißt es dazu im Wesentlichen nur, dass der Stand der Technik der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen ist, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen gesichert erscheinen lässt. Zur näheren Bestimmung wird auf internationale, europäische und nationale Normen und Standards verwiesen.
Bei solchen bewusst offen formulierten gesetzlichen Angaben handelt es sich um sogenannte „unbestimmte Rechtsbegriffe“, die im IT-Sicherheits- und Datenschutzrecht an verschiedenen Stellen Verwendung finden. So zum Beispiel für die Einwilligungserteilung nach § 4a BDSG für den Begriff der „freien Entscheidung“ des Betroffenen, ebenso für die Ausnahme vom Schriftformerfordernis bei Vorliegen „besonderer Umstände“. Der Bezug zu Datenschutz und Datensicherheit ergibt sich aber auch nicht immer unmittelbar aus dem Gesetz, so beispielsweise für die §§ 91 Abs. 2, 93 Abs. 1 AktG. Hier heißt es lediglich, dass der Vorstand geeignete Maßnahmen zu treffen hat, damit „den Fortbestand der Gesellschaft gefährdende Entwicklungen“ früh erkannt werden. Daneben haben die Vorstandsmitglieder bei ihrer Geschäftsführung „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ anzuwenden. Allgemein anerkannt ist, dass unter ebenjene Beobachtungs- und Sorgfaltspflichten auch Maßnahmen der IT-Sicherheit zu fassen sind.
Unbestimmte Rechtsbegriffe kommen grundsätzlich immer dann zur Anwendung, wenn es unpraktikabel scheint oder unmöglich ist, einen Lebenssachverhalt vollumfänglich durch eine gesetzliche Vorschrift zu regeln. Gerade auch, weil sich Datenschutz und Datensicherheit aus einem engen Zusammenspiel von Recht und Technik ergeben, besteht hier das Bedürfnis, den unbestimmten Rechtsbegriff als eine Schnittstelle zwischen den beiden letztgenannten Disziplinen zu verwenden. Ein weiterer Grund für die Nutzung der unbestimmten Rechtsbegriffe liegt in der damit verbundenen Technikoffenheit und der hieraus folgenden Anpassungsfähigkeit des Rechts an die zukünftige und nicht selten rasche Entwicklung im Bereich der Informationssysteme. Denn im Zweifelsfall lässt sich das allgemeine Verständnis einer Rechtsvorschrift flexibler und schneller anpassen als die Schaffung eines neuen Gesetzes möglich ist, sollten sich die technologischen Rahmenbedingungen wieder einmal geändert haben.
[…]
Der in der Zeitschrift für Datenschutz und Datensicherheit (DuD) erschienene Beitrag steht an dieser Stelle zum freien Download zur Verfügung.