Die politische Debatte um neue Haftungsregeln für IT-Sicherheit ist in vollem Gange. Verschiedene Akteure bringen ihre Interessen und Anforderungen an gesteigerte Ansprüche an die Sicherheit und Integrität ihrer Systeme in einer zunehmend vernetzten Welt ein. Geführt wird diese Debatte insbesondere vor dem Hintergrund wachsender Sorgen über IT-Zwischenfälle und deren möglicher Auswirkungen. Durch den breiteren Einsatz von IT-Systemen werden immer neue Anforderungen an Dienste, Produkte, Netze, aber auch an deren Nutzer und Anwender gestellt. Ein stärkerer regulatorischer Druck und der Wunsch nach rechtlicher Klarstellung ist nicht nur im Fokus von Anwendern, Verbraucherschützern und Regierungen. Auch Unternehmen und Internetwirtschaft benötigen Rechtssicherheit. Dafür ist es erforderlich, eine klare Zuordnung von Verantwortlichkeiten, Haftungsumfang und –adressaten vorzunehmen.
Umfassendere und maßgebliche Regulierung existiert in Deutschland einerseits durch das 2015 verabschiedete und 2017 ergänzte IT-Sicherheitsgesetz, sowie durch den kürzlich verabschiedeten Cybersecurity Act der Europäischen Union (COM(2017) 477 final), der in Deutschland unmittelbar anwendbar wird. Neben der verstärkten Regulierung der Auflagen für IT-Sicherheit stellt sich damit auch die Frage, wie diese zusätzlichen Regeln für IT-Sicherheit mit der bestehenden Systematik der gesetzlichen Ansprüche und Haftungsregeln zusammenwirken, inwieweit und wo Haftungsfälle ausgelöst werden und wem in welchem Fall die Verantwortlichkeit zugeschrieben werden muss. Es existieren bereits Haftungsregeln, die auch schon jetzt auf digitale Technologien angewendet werden, so dass sich sowohl die Frage nach etwaigen Regelungslücken als auch nach möglichen Klarstellungsbedarfen stellt.
eco hat in einem Positionspapier gemeinsam mit seinen Mitgliedsunternehmen dazu unter anderem nachstehende Vorschläge formuliert:
1. Haftungsregeln für IT-Sicherheit sollen die Verbesserung der Sicherheit in Netzwerken fördern
Elementar ist, dass Haftungsregeln für IT-Sicherheit eine tatsächliche Verbesserung von Sicherheit an Produkten, Diensten und Netzen bewirken und ggf. offene Fragen der Verantwortungszuweisung klären. Pauschale Forderungen mit möglicherweise drakonischen Strafen, deren Adressaten unter Umständen nicht klar zuordnungsfähig sind, helfen nicht weiter. Symbolpolitik würde Nutzerinnen und Nutzern möglicherweise anfangs eine „gefühlte“ Verbesserung der Sicherheit geben, am Ende aber insgesamt das Vertrauen in digitale Technologien schwächen. Es gilt, Rahmenbedingungen zu schaffen, die dazu führen, dass alle Beteiligten geeignete technische und organisatorische Maßnahmen ergreifen, um ihre Systeme, Dienste, Produkte und Netze zu schützen.
2. Haftungsregeln für IT-Sicherheit müssen Offenheit und Interoperabilität digitaler Systeme berücksichtigen und bewahren
Informationstechnologie und digitale Infrastrukturen sind in den allermeisten Fällen offen angelegt und interoperabel konzipiert. Anwender und Nutzer haben die Möglichkeit, eigene Geräte miteinander zu vernetzen und eigene Software auf Endgeräten einzurichten, zu betreiben und unter Umständen auch anderen zur Verfügung zu stellen. Hersteller und Entwickler können auf einem recht freien Markt eigene Technologieplattformen anbieten oder auf offene Plattformen aufsetzen. Dieses Prinzip ist die Voraussetzung für offene, interoperable digitale Infrastrukturen und befördert den Wettbewerb. Haftungsregeln für IT-Sicherheit sollten diese Freiheit und Offenheit und die damit verbundenen Herausforderungen für Hard- und Softwareentwickler und insbesondere Netzbetreiber im Hinblick auf Interoperabilität berücksichtigen.
3. Haftungsregeln für IT-Sicherheit sollten sachgerecht adressiert sein
Die Verantwortung für IT-Sicherheit muss in einer Haftungsregelung adäquat adressiert werden. Eine Inanspruchnahme über den sinnvoll abbildbaren Verantwortungsbereich hinaus trägt nicht zur Verbesserung der IT-Sicherheit von Produkten und Netzen bei, sondern setzt falsche Anreize und ist leere Symbolpolitik. Bei Leistungen gegen Entgelt erscheint es grundsätzlich sachgerecht, den jeweiligen Anbieter im Sinne von Haftung und Gewährleistung zu adressieren.