IT-Regulierung

Nahezu keine Woche vergeht, ohne dass irgendwelche neuen regulatorischen Vorgaben für IT-Systeme das Licht der Welt erblicken. Wer, wenn nicht der IT-Rechtler, will da noch einen Überblick behalten?

Interpretatorische Notwehr

In einem Akt quasi interpretatorischer Notwehr hat der Bundesverband Gesundheits-IT (bvitg) ein Rechtsgutachten zur Auslegung der neuen §§ 384, 393 SGB V beauftragt, das jetzt vorliegt.

§§ 384, 393 SGB V regeln technische und regulatorische Anforderungen an Cloud-Computing-Dienste im Gesundheitswesen; die in den Neuregelungen verwendeten und überwiegend kryptisch definierten Begriffe haben für zahlreiche Fragezeichen gesorgt. Die wichtigste Schlussfolgerung aus dem 45-seitigen Gutachten scheint für mich die Aussage zu sein, dass die Formulierung „ein aktuelles C5-Testat der datenverarbeitenden Stelle [..] vorliegt“ in § 393 Abs. 2 Nr. 2 SGB V wohl so zu verstehen ist oder jedenfalls zu verstehen sein kann, dass zwar der Leistungserbringer (etwa der niedergelassene Arzt) die datenverarbeitende Stelle ist, er aber ein fremdes C5-Testat vorweisen darf, nämlich das eines von ihm eingesetzten Cloud-Dienstes (S. 42).

Der Leistungserbringer muss dann (nur noch) die im fremden C5-Testat angegebenen Konfigurationen auch bei sich umsetzen, aber auch das wird der Anbieter des Cloud-Dienstes sicherlich gerne übernehmen.

Barrierefreiheitsstärkungsgesetz

Die FAZ erinnert heute daran, dass in einem Jahr das Barrierefreiheitsstärkungsgesetz in Kraft treten wird.

Das Gesetz und die zu seiner Umsetzung erlassene Rechtsverordnung setzen eine EU-Richtlinie von 2019 um und verfolgen das gute Anliegen, dass Produkte und Dienstleistungen barrierefrei hergestellt und angeboten werden müssen. Die Verpflichtung zur Barrierefreiheit betrifft (nur) eine einigermaßen willkürlich erscheinende Auswahl von Produkten und Dienstleistungen, darunter Dienstleistungen im elektronischen Geschäftsverkehr, d.h. Online-Shops.

Die Regelungen sind sehr kleinteilig und unübersichtlich. Letztlich wird alles halb so schlimm sein und läuft es auf die Umsetzung der technischen Norm EN 301 549 hinaus.

Digital-Gesetz

Eines der Ziele von Digitalisierung in der öffentlichen Verwaltung ist Beschleunigung, und die führt bei ebenfalls beschleunigter Gesetzgebung zu mitunter fragwürdigen Begrifflichkeiten.

Teil dieser Beschleunigung ist der durch das Digital-Gesetz eingeführte und zum 1. Juli 2024 in Kraft tretende neue § 393 SGB V, wonach Anbieter von cloud-basierten Dienstleistungen im Gesundheitswesen über ein sogenanntes C5-Testat verfügen müssen. C5 ist ein vom BSI zusammengestellter und ziemlich umfangreicher Sicherheitsstandard für Cloud Computing; ein C5-Testat ist nicht gerade trivial zu erhalten. § 393 Abs. 3 Nr. 2 SGB V verlangt seinem Wortlaut nach, dass ein C5-Testat „der datenverarbeitenden Stelle [..] für die [..] eingesetzten Cloud-Systeme und die eingesetzte Technik vorliegt“. Das ist eine etwas unglücklich formulierte Regelung: Wer ist denn die datenverarbeitende Stelle? Vermutlich doch nicht der Leistungserbringer selbst, sonst müsste ja jede Vertragsarztpraxis, die Cloud-Dienste nutzt, ein eigenes C5-Testat organisieren (das wird durchaus ernsthaft behauptet)? Falls der SaaS-Dienstleister die datenverarbeitende Stelle ist, obwohl er datenschutzrechtlich in aller Regel Auftragsverarbeiter sein wird, darf er dann etwa seinerseits darauf verweisen, dass er ausschließlich C5-testierte Cloud-Dienste nutzt, etwa die von AWS oder von Microsoft?

„Es herrscht gerade eine gewisse Unsicherheit am Markt, wie das Gesetz ausgelegt wird. Auch Juristen sind sich noch uneinig.“

Virenschutz von Kaspersky: Einsatz in Deutschland fahrlässig?

Eine behördliche Warnung vor dem Einsatz einer bestimmten Software und die persönliche Haftung von Geschäftsleitungen bei mangelhafter Cybersicherheit in Unternehmen ist keine gute Kombination.

Das aktuelle US-amerikanische Vertriebsverbot für die Kaspersky-Virenschutzsoftware erinnert mich an eine Warnung des deutschen BSI vor dem Einsatz dieser Software im März 2022. Ob das BSI das sagen durfte, klären die Gerichte gerade. Jedenfalls wird die Umsetzung der NIS-2-Richtlinie in Deutschland einen neuen § 38 BSIG bringen, der Geschäftsleitungen der von der Richtlinie betroffenen Unternehmen zu Cybersicherheit verpflichtet. Das läuft auf eine persönliche Haftung der Geschäftsleitung für die Erfüllung dieser Pflichten hinaus, die wegen der gemäß § 93 Abs. 2 S. 2 AktG (und analog im GmbH-Recht) bestehenden Beweislastumkehr für die Geschäftsleiterhaftung besonders kritisch ist.

Wer will sich schon nachsagen lassen, er habe im Unternehmen fahrlässig den Einsatz einer Software geduldet, vor der die dafür zuständige Behörde gewarnt habe?

Regulatorische Trickle-Down-Effekte

IT-Regulierung funktioniert häufig so, dass nur Unternehmen ab einer bestimmten Größe von der Regulierung erfasst werden; ignorieren Sie solche Größenbeschränken am besten.

Das liegt an den regulatorischen Trickle-Down-Effekten: Unternehmen, die eigentlich zu klein sind, um sich um Netz zahlreicher regulatorischer Vorgaben zu verfangen, werden indirekt doch reguliert. Nämlich weil sie Zulieferer größerer Unternehmen sind, die ihre Compliance-Pflichten, z.B. aus der NIS-2-RL, einfach überwälzen. So ein Kaskadeneffekt ist regulatorisch erwünscht und in den Gesetzen angelegt (siehe etwa Art. 21 Abs. 2 Buchst. d) und e) NIS-2-RL). Vertraglichsrechtlich funktioniert die Überwälzung über Compliance-Klauseln, die den Zulieferer zur Einhaltung bestimmter Standards verpflichten. Eine solche Verpflichtung allein geht zwar zivilrechtlich, reicht aus regulatorischer Sicht aber eher nicht, um eigene Verantwortlichkeiten zu delegieren.

Da würde ich zusätzlich an eine vorvertragliche Due Diligence, an detaillierte Sicherheitsvorgaben, Informationspflichten, Audit-Rechte und regelmäßige Kontrollen denken.

AGB-Vorgaben des DSA

Das (EU-)Gesetz über digitale Dienste (aka Digital Services Act, DSA), nicht zu verwechseln mit dem deutschen Digitale-Dienste-Gesetz, macht seit Februar 2024 Vorgaben unter anderem für die Gestaltung der Allgemeinen Geschäftsbedingungen (AGB) von „Vermittlungsdiensten“, weil die vom DSA reguliert werden. Darunter sind auch sehr viele Unternehmen, die noch gar nicht realisiert haben, dass sie tätig werden und ihre AGB überarbeiten müssen.

Vermittlungsdienste sind Anbieter von IT-Diensten, die von Nutzern bereitgestellte Informationen an Dritte übermitteln, zwischenspeichern oder speichern. Eine im Auftrag der Bundesnetzagentur erstellte Studie erläutert, dass zu solchen Vermittlungsdiensten etwa auch Cloud-Storage-Anbieter und E-Mail-Anbieter gehören. Gemäß Art. 14 Abs. 1 DSA müssen alle Vermittlungsdienste in ihren AGB Angaben zu Beschränkungen machen, die für die Bereitstellung von Informationen durch Nutzer gelten, zu den Verfahren, mit denen solche Beschränkungen durchgesetzt werden, und dazu, wie Nutzer sich gegen Beschränkungen wehren können. Es geht also eigentlich um Content-Moderation, und darum, dass sie nach klaren Regeln und fair abläuft. Wenn ich z.B. E-Mails verschicken will, die vielleicht Spam sind, dann wird der Anbieter das wohl unterbinden. Wegen Art. 14 Abs. 1 DSA muss er in seinen AGB allerdings erläutern, wie er das tut und wie ich mich beschweren kann.

Ich habe noch keinen deutschen Cloud-Storage-Anbieter oder E-Mail-Anbieter gefunden, der das in seinen AGB auch nur ansatzweise umgesetzt hätte.

Medienregulierung ist IT-Regulierung

Europäische und deutsche Medienregulierung ist immer auch IT-Regulierung, jedenfalls in Teilen.

Das neue Europäische Medienfreiheitsgesetz (EMFA) von April 2024 ist da auch keine Ausnahme. Es ist zwar nicht ganz so IT-lastig geworden wie der deutsche MStV, ein wenig IT-Regulierung ist da aber auch reingeraten, vor allem in Art. 20 EMFA, der Vorgaben zur Signalintegrität und für die Gestaltung von Benutzeroberflächen macht. Anders als im MStV gelten diese Vorgaben nicht nur für bestimmte Plattformen, sondern sind wohl technologieneutral.

Art. 20 EMFA richtet sich an Hersteller, Entwickler und Importeure, und gilt ab Mai 2027.