Bereits September 2017 veröffentlichte die Europäische Kommission ihre Cyber- Sicherheitsstrategie. Sie legt darin nieder, dass sie sich ab Mitte 2018 mit Haftungsfragen im Bereich der IT-Sicherheit auseinandersetzen möchte. Die Debatte um die Entwicklung einer Haftungsregelung im Bereich der IT-Sicherheit war bereits im Frühjahr 2017 in Deutschland kurz im Rahmen des NIS-Richtlinien-Umsetzungsgesetzes aufgeflammt.
Die beiden Debatten unterstreichen unabhängig voneinander, wie zentral Haftungsfragen im Bereich der IT-Sicherheit gestaltet werden. Vor dem Hintergrund der laufenden Debatte um den EU Cybersecurity Act (COM (2017) 477) stellt sich daher die Frage, wie eine solche Haftungsregelung in Verbindung mit IT-Sicherheit gestaltet werden könnte.
Um die Debatte weiter mit dem Ziel zu begleiten, eine sinnvolle, das IT-Sicherheitsniveau stärkende, Zuordnung von Verantwortlichkeit und handhabbare Haftungsregelungen für Anbieter, Nutzer und Regulierer zu finden, sowie zentrale und maßgebliche Aspekte aufzugreifen sieht eco – Verband der Internetwirtschaft folgende Leitlinien als maßgeblich für die Diskussion:
- Es bedarf vorab einer Klärung, wo exakt Haftungsbedarfe und -lücken zu verorten sind und wie diese sinnvoll durch die Zuordnung von Verantwortlichkeit oder neue Haftungsregime adressiert werden können.
- Eine Haftungsregelung in Verbindung mit einem Gütesiegel muss mit Erleichterungen bei der Haftung zwingend verbunden sein. Ansonsten fällt der objektive Mehrwert eines Gütesiegels weg.
- Bei Regelungen zur Beweislastumkehr ist darauf zu achten, dass diese auch für Hersteller und Anbieter erfüllbar ist. Entscheidend ist hier neben dem Adressaten die Frage, unter welchen Voraussetzungen sie entfällt.
- Allgemeine Auflagen und Regelungen für Haftung sollten erfüllbar, nachvollziehbar und verhältnismäßig sein – produktspezifische technische Anforderungen sind nicht hilfreich.
- Bereichsspezifischen Regeln muss Rechnung getragen werden. Es darf keinen Widerspruch zwischen bereichsspezifischen Haftungsregeln und allgemeinen Haftungsregeln für IT-Sicherheit geben. Das Zusammenwirken der verschiedenen Regime darf nicht dazu führen, dass die Verantwortung einseitig bei der IT-Branche verortet wird.
- IT-Sicherheit stellt eine komplexe Herausforderung dar. Um sie herzustellen, müssen alle Beteiligten Verantwortung übernehmen. Gleichzeitig bleiben aber immer Restrisiken bestehen. Haftungsregelungen sollten solche systemischen Risiken nicht adressieren, da dies mittel- bis langfristig im Rahmen der Digitalisierung zu einer pauschalen Benachteiligung von IT führen wird. Insbesondere bei der Herleitung von Kausalitäten und Folgeschäden sollte daher behutsam vorgegangen werden.
Das ausführliche Dokument der eco Leitlinien zur Debatte um Haftungsfragen im Bereich der IT-Sicherheit finden Sie hier online.