Risikobasierte Regulierung der IT-Sicherheit von Produkten E-Book

Tag der Disputation:

11. Februar 2025

Dekanin:

Univ.-Prof. Dr. Annette Guckelberger

Erstberichterstatter:

Univ.-Prof. Dr. Christoph Sorge

Zweitberichterstatter:

Univ.-Prof. Dr. Nikolaus Marsch, D.I.A.P. (ENA)

ISBN 978–3–8005–1981–1

© 2025 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Mainzer Landstr. 251, 60326 Frankfurt am Main, [email protected]

www.ruw.de

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: Beltz Grafische Betriebe GmbH, 99947 Bad Langensalza

Vorwort

Die vorliegende Arbeit wurde im Wintersemester 2024/2025 von der Rechtswissenschaftlichen Fakultät der Universität des Saarlandes als Dissertation angenommen. Sie entstand während meiner Tätigkeit am dortigen Lehrstuhl für Rechtsinformatik. Gesetzgebung, Literatur und Rechtsprechung sind auf dem Stand von September 2024, einzelne Aktualisierungen konnten noch bis Februar 2025 berücksichtigt werden.

Mein Dank gilt ganz besonders meinem Doktorvater Prof. Dr.-Ing. Christoph Sorge, der mit vielen konstruktiven Denkanstößen und jederzeit in gleichem Maße kritischen wie hilfreichen Ratschlägen den interdisziplinären Charakter dieser Arbeit erst ermöglichte. Meine Tätigkeit am Lehrstuhl für Rechtsinformatik werde ich daher stets in bester Erinnerung behalten – nicht nur wegen der zahlreichen Gelegenheiten zum ausgedehnten fachlichen Austausch, sondern auch wegen der Vielfältigkeit der Erfahrungen, die ich dort sammeln durfte.

Ebenso möchte ich Herrn Prof. Dr. Nikolaus Marsch danken, für die frühzeitige Ermunterung über eine Promotion nachzudenken gleichsam wie für die Co-Betreuung der Arbeit und die zügige Erstellung des Zweitgutachtens.

Darüber hinaus danke ich meinen wunderbaren Kolleginnen und Kollegen, die mich bei den Herausforderungen der Promotion begleitet haben. Für anregende Diskussionen zum und abseits des Themas der Arbeit, für die erforderliche Ablenkung und ihre freundschaftliche Verbundenheit danke ich Nils Wiedemann, Leo Dessani, Piotr Rataj, Simone Salemi, Bianca Steffes, Dr. rer. nat. Frederik Möllers und Andreas Rebmann.

Diese Arbeit ist meiner Familie gewidmet. Ihr gilt mein größter Dank. Ohne ihre nachdrückliche Förderung meiner Ausbildung und ihre Unterstützung auf jede erdenkliche Weise in allen Lebenslagen wäre das vorliegende Werk nicht denkbar.

Saarbrücken, im März 2025

Maximilian Leicht

Inhaltsübersicht

Vorwort

Inhaltsverzeichnis

Abkürzungsverzeichnis

Einleitung

Kapitel 1 – Ausgangsüberlegungen und Begriffsbestimmung

A. Ausgangsüberlegungen zu Inhalt, Methodik und Motivation

B. Konkretisierung der Themenwahl aus rechtlicher Sicht

I. Datenschutzrechtliche Fragestellungen

II. GeschGehG

III. Datenschutz bei digitalen Diensten

IV. Regulierung von Produkten

V. Übersicht der untersuchten Regelungen

C. Risiko, Risikoregulierung, Risikobasierte Regulierung

I. Begriffsverständnis: Risikoregulierung oder risikobasierte Regulierung

II. Risikobasierte Regulierung der IT-Sicherheit von Produkten

III. Einordnung in den Kontext existierender Regulierungsstrategien

IV. Der Risikobegriff in anderen Rechtsgebieten und Disziplinen

Kapitel 2 – Technische Grundlagen

A. Einführung

B. Konkretisierung des technischen Untersuchungsgegenstandes

I. Beschreibung der Produktkategorien

II. Übersicht der Akteure

C. Ausgangsüberlegungen zu relevanten Risikoszenarien

I. Risikoszenarien

II. Einsatzszenarien

Kapitel 3 – Datenschutzrechtliche Fragestellungen

A. Datenschutzrechtliche Verantwortlichkeit im Smart Home

I. Datenschutzrechtliche Verantwortlichkeit

II. Implikationen im Smart Home

B. Rechtliche Anforderungen an die Sicherheit der Datenverarbeitung sowie an Technikgestaltung

I. IT-Sicherheit als zentraler Bestandteil des normativen Charakters der DSGVO

II. Art. 32 DSGVO – Sicherheit der Datenverarbeitung

III. Art. 25 DSGVO

C. Zentrale Ergebnisse und Thesen des Kapitels

Kapitel 4 – Fragestellungen des (weiteren) IT-Sicherheitsrechts

A. Begriff des IT-Sicherheitsrechts i. w. S.

B. Bedeutung der angemessenen Geheimhaltungsmaßnahmen nach dem GeschGehG

I. Schutzgegenstand des GeschGehG

II. Vergleich auf sekundärer Ebene

III. Zwischenergebnis

IV. Spezifische Aspekte des Smart Home

C. Einfluss des Telekommunikationsrechts sowie des TDDDG

I. Änderungen durch das Durchführungsgesetz zum Digital Services Act

II. Zum Verhältnis von TDDDG, ePrivacy-RL und DSGVO

III. Datenschutz bei digitalen Diensten sowie Integrität von Endeinrichtungen

IV. Telekommunikationsrecht

D. Regulierung von Produkten und zugehörige Fragestellungen

I. Besondere Anforderungen an Funkanlagen (Radio Equipment Directive)

II. Regulierung von Produkten mit digitalen Elementen (Cyber Resilience Act)

E. Weitere IT-Sicherheitsregulierung

I. Regulierung von Einrichtungen in kritischen Sektoren (NIS-2-RL)

II. Regulierung virtueller Assistenten und Betriebssysteme im DMA

F. Zentrale Ergebnisse und Thesen des Kapitels

Kapitel 5 – Verknüpfung der rechtlichen Anforderungen mit konkreten technischen Maßnahmen

A. Verknüpfung der rechtlichen Anforderungen

I. Systematisierung durch Verknüpfung mit Schutzzielen

II. Systematisierung durch Verknüpfung von Anforderungen

III. Zusammenführung in kombinierter Risiko- und Folgenabschätzung

IV. Zwischenergebnis

B. Spezifische Konkretisierung für Smart-Home-Geräte

I. Verknüpfung mit Schutzzielen: Produktkategorie Smart-Home-Zentralen

II. Verknüpfung mit einem gemeinsamen Anforderungskatalog: Produktkategorie Smart TVs

III. Kombinierte Risiko- und Datenschutzfolgenabschätzung: Produktkategorie digitale, cloudbasierte Sprachassistenten

C. Zentrale Ergebnisse und Thesen des Kapitels

Kapitel 6 – Fazit und Ausblick

Literaturverzeichnis

Anmerkungen zur Zitierweise

Inhaltsverzeichnis

Cover

Title

Vorwort

Inhaltsübersicht

Abkürzungsverzeichnis

Einleitung

Kapitel 1 – Ausgangsüberlegungen und Begriffsbestimmung

A. Ausgangsüberlegungen zu Inhalt, Methodik und Motivation

B. Konkretisierung der Themenwahl aus rechtlicher Sicht

I. Datenschutzrechtliche Fragestellungen

II. GeschGehG

III. Datenschutz bei digitalen Diensten

IV. Regulierung von Produkten

V. Übersicht der untersuchten Regelungen

C. Risiko, Risikoregulierung, Risikobasierte Regulierung

I. Begriffsverständnis: Risikoregulierung oder risikobasierte Regulierung

II. Risikobasierte Regulierung der IT-Sicherheit von Produkten

III. Einordnung in den Kontext existierender Regulierungsstrategien

1. Parallelen zum Umweltrecht

2. Folgerungen für die vorliegende Untersuchung

IV. Der Risikobegriff in anderen Rechtsgebieten und Disziplinen

1. Risikobegriffe

2. Quantifizierbarkeit von Risiko

3. Fazit

Kapitel 2 – Technische Grundlagen

A. Einführung

B. Konkretisierung des technischen Untersuchungsgegenstandes

I. Beschreibung der Produktkategorien

1. Smart-Home-Zentralen

2. Smart TVs

3. Digitale, cloudbasierte Sprachassistenten

4. Übersicht der Produktkategorien und ihre Einbindung in das Netzwerk

II. Übersicht der Akteure

C. Ausgangsüberlegungen zu relevanten Risikoszenarien

I. Risikoszenarien

1. Differenzierung nach Phasen der Datenverarbeitungen

2. Potenzielle Angriffe

a. Grundbegriffe

b. Konkrete Beispiele verschiedener Angriffe und Angriffsziele

II. Einsatzszenarien

Kapitel 3 – Datenschutzrechtliche Fragestellungen

A. Datenschutzrechtliche Verantwortlichkeit im Smart Home

I. Datenschutzrechtliche Verantwortlichkeit

II. Implikationen im Smart Home

1. Verantwortlichkeit der (privaten) Nutzer?

a. Persönliche und familiäre Tätigkeiten

b. Zwischenergebnis

2. Einordnung der hier untersuchten Produktkategorien

a. Verantwortlichkeit der Akteure bei Vorliegen der Haushaltsausnahme

b. Verantwortlichkeit der Akteure bei Nutzern innerhalb der Anwendbarkeit der DSGVO

B. Rechtliche Anforderungen an die Sicherheit der Datenverarbeitung sowie an Technikgestaltung

I. IT-Sicherheit als zentraler Bestandteil des normativen Charakters der DSGVO

II. Art. 32 DSGVO – Sicherheit der Datenverarbeitung

1. Tatbestandsmerkmale des Art. 32 DSGVO

a. Angemessenes Schutzniveau, Art. 32 Abs. 2 DSGVO

b. Abwägungskriterien

(1) Stand der Technik

(aa) Bestimmung des Begriffs Stand der Technik

(bb) Bestimmung des Stands der Technik

(2) Implementierungskosten

(3) Art, Umfang, Umstände, Zwecke der Verarbeitung

(4) Eintrittswahrscheinlichkeit

(5) Schwere des Risikos für Rechte und Freiheiten natürlicher Personen

2. Der sog. risikobasierte Ansatz der DSGVO – Bedeutung und Reichweite

a. Zum Risikobegriff der DSGVO

b. Quantifizierung von Risiko i.S.d. DSGVO

c. Mögliche Elemente zur Strukturierung der Risikobewertung

d. Fazit und Bewertung

3. Ansätze zur Ableitung technischer und organisatorischer Schutzmaßnahmen

a. Maßnahmenkatalog nach Art. 32 Abs. 1 Hs. 2 DSGVO

(1) Pseudonymisierung und Verschlüsselung (lit. a)

(2) Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste (lit. b)

(3) Verfügbarkeit der – und Zugang zu – personenbezogenen Daten (lit. c)

(4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit (lit. d)

(5) Zwischenergebnis

b. Verhaltensregeln und Zertifizierungen als Konkretisierungsinstrumente der DSGVO

c. Weitere Zertifizierungen als Konkretisierung

d. Interdisziplinäre Ansätze zur Konkretisierung

e. Konkretisierung technischer Maßnahmen mit dem sog. Standard-Datenschutzmodell

f. Fazit

III. Art. 25 DSGVO

1. Art. 25 Abs. 1 DSGVO – Privacy by Design

a. Zielrichtung und Verhältnis zu Art. 32 DSGVO

b. „Garantien“

c. Ansätze zur Ableitung konkreter technischer Schutzmaßnahmen

2. Art. 25 Abs. 2 DSGVO – Privacy by Default

3. Fazit

C. Zentrale Ergebnisse und Thesen des Kapitels

Kapitel 4 – Fragestellungen des (weiteren) IT-Sicherheitsrechts

A. Begriff des IT-Sicherheitsrechts i. w. S.

B. Bedeutung der angemessenen Geheimhaltungsmaßnahmen nach dem GeschGehG

I. Schutzgegenstand des GeschGehG

1. Angemessenheit i.S.d. § 2 GeschGehG

a. Subjektiv-erwartungsorientierte Betrachtung der Angemessenheit

b. Wirtschaftlicher Wert als Kriterium

2. Fazit

II. Vergleich auf sekundärer Ebene

III. Zwischenergebnis

IV. Spezifische Aspekte des Smart Home

C. Einfluss des Telekommunikationsrechts sowie des TDDDG

I. Änderungen durch das Durchführungsgesetz zum Digital Services Act

II. Zum Verhältnis von TDDDG, ePrivacy-RL und DSGVO

III. Datenschutz bei digitalen Diensten sowie Integrität von Endeinrichtungen

1. Anbieter von digitalen Diensten im Smart Home

2. Digitale Dienste im Smart Home

3. § 19 TDDDG

a. § 19 Abs. 1–3 TDDDG

b. § 19 Abs. 4 TDDDG

4. § 25 TDDDG

a. Föderierte Lernsysteme

b. Sicherheitsupdates

c. Verwendung von Drittanbieterapps

d. Rechtfertigung nach § 25 Abs. 2 TDDDG

5. Fazit

IV. Telekommunikationsrecht

D. Regulierung von Produkten und zugehörige Fragestellungen

I. Besondere Anforderungen an Funkanlagen (Radio Equipment Directive)

1. Schutz personenbezogener Daten und der Privatsphäre (Art. 3 Abs. 3 lit. e RED)

2. Schutz des Netzes (Art. 3 Abs. 3 lit. d RED)

3. Smart-Home-Geräte als „mit dem Internet verbundene Funkanlagen“

4. Anforderungen die zu treffenden Sicherheitsvorkehrungen

II. Regulierung von Produkten mit digitalen Elementen (Cyber Resilience Act)

1. Produkte mit digitalen Elementen

a. Abgrenzung: Grundsätzlich keine Anwendbarkeit des CRA auf Software-as-a-Service

b. Smart-Home-Geräte als wichtige Produkte mit digitalen Elementen

2. IT-Sicherheitsanforderungen, insbesondere im Vergleich zur DSGVO

a. Explizit geregeltes Verhältnis zur DSGVO

b. Weitere Fragestellungen im Verhältnis CRA zu DSGVO

E. Weitere IT-Sicherheitsregulierung

I. Regulierung von Einrichtungen in kritischen Sektoren (NIS-2-RL)

II. Regulierung virtueller Assistenten und Betriebssysteme im DMA

F. Zentrale Ergebnisse und Thesen des Kapitels

Kapitel 5 – Verknüpfung der rechtlichen Anforderungen mit konkreten technischen Maßnahmen

A. Verknüpfung der rechtlichen Anforderungen

I. Systematisierung durch Verknüpfung mit Schutzzielen

II. Systematisierung durch Verknüpfung von Anforderungen

1. Vergleichsmaßstab für Verknüpfungen

2. Erläuterung der festgestellten Verknüpfungen

3. Fazit

III. Zusammenführung in kombinierter Risiko- und Folgenabschätzung

IV. Zwischenergebnis

B. Spezifische Konkretisierung für Smart-Home-Geräte

I. Verknüpfung mit Schutzzielen: Produktkategorie Smart-Home-Zentralen

1. Mögliche Risiken und entsprechende Schutzmaßnahmen

2. Verknüpfung mit rechtlichen Anforderungen und Synergieeffekte

II. Verknüpfung mit einem gemeinsamen Anforderungskatalog: Produktkategorie Smart TVs

1. Mögliche Risiken und entsprechende Schutzmaßnahmen

2. Verknüpfung mit rechtlichen Anforderungen und Synergieeffekte

III. Kombinierte Risiko- und Datenschutzfolgenabschätzung: Produktkategorie digitale, cloudbasierte Sprachassistenten

1. Mögliche Risiken und entsprechende Schutzmaßnahmen

2. Verknüpfung mit rechtlichen Anforderungen und Synergieeffekte

C. Zentrale Ergebnisse und Thesen des Kapitels

Kapitel 6 – Fazit und Ausblick

Literaturverzeichnis

Anmerkungen zur Zitierweise

Abkürzungsverzeichnis

Bei der Zitation von Zeitschriften werden die im deutschsprachigen Raum etablierten Kurzformen der juristischen Zeitschriftentitel verwendet. Sofern es sich um in diesem Sprachraum weniger bekannte Zeitschriften handelt, ist die Zitation im Literaturverzeichnis eingeführt („zitiert als“). Andere Abkürzungen sind im folgenden Verzeichnis enthalten.

Abkürzung

IT-Systeme

Informationstechnische Systeme

BSI

Bundesamt für Sicherheit in der Informationstechnik

CNIL

Commission nationale de l’informatique et des libertés

CRA

Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung); vorliegend v.a.: Cyber Resilience Act

CRA-KOM

Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020 v. 15.09.2022

CRA-Rat

Proposal for a Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/102 – Mandate for negotiations with the European Parliament, Interinstitutional File: 2022/0272(COD) v. 31.8.2023

DMA/Digital Markets Act

Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte)

DSA/Digital Services Act

Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste)

DSFA

Datenschutz-Folgenabschätzung

DSGVO

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

DSK

Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder; kurz auch: Datenschutzkonferenz

E-Commerce-RL

Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“)

EDSA

Europäischer Datenschutzausschuss

ENISA

European Union Agency for Cybersecurity/Agentur der Europäischen Union für Cybersicherheit

EU-Produktsicherheits-VO

Verordnung (EU) 2023/988 des Europäischen Parlaments und des Rates vom 10. Mai 2023 über die allgemeine Produktsicherheit, zur Änderung der Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates und der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 2001/95/EG des Europäischen Parlaments und des Rates und der Richtlinie 87/357/EWG des Rates

ePrivacy-RL

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation)

RED

Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt und zur Aufhebung der Richtlinie 1999/5/EG

NIS-RL

Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union

NIS-2-RL

Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie)

SaaS

Software-as-a-Service

TTDSG

Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG)

TDDDG

Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten

(Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz – TDDDG)

Verordnung (EU) Nr. 1025/2012

Verordnung (EU) Nr. 1025/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 zur europäischen Normung, zur Änderung der Richtlinien 89/686/EWG und 93/15/EWG des Rates sowie der Richtlinien 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG und 2009/105/EG des Europäischen Parlaments und des Rates und zur Aufhebung des Beschlusses 87/95/EWG des Rates und des Beschlusses Nr. 1673/2006/EG des Europäischen Parlaments und des Rates

Einleitung

Das Datenschutz- und IT-Sicherheitsrecht hat sich in den letzten Jahren geradezu sprunghaft weiterentwickelt. Mit der zunehmenden Bedeutung digitaler Technologien im Alltag wächst auch das Bewusstsein für die zahlreichen und teils schwerwiegenden Bedrohungen für die IT-Sicherheit der eingesetzten Produkte. Dies hat der Gesetzgeber erkannt und mit der Schaffung eines vielschichtigen Regelungsgefüges zur Adressierung der IT-Sicherheit reagiert.

Bereits die seit 25. Mai 2018 geltende Datenschutz-Grundverordnung enthält zentrale Anforderungen an die Sicherheit von Datenverarbeitungen, die von Verantwortlichen und Auftragsverarbeitern einzuhalten sind. Daneben wird der Cyber Resilience Act als unionsweite, horizontale Regelung aufgrund der unmittelbaren Adressierung von Herstellern eine große Bedeutung erlangen. Außerdem ist seit dem 18. Oktober 2024 die NIS-2-Richtlinie anzuwenden, die die Sicherheit von Einrichtungen in bestimmten Sektoren reguliert.

Zusätzlich sind weitere gesetzliche Entwicklungen zu verzeichnen, wie etwa die Schaffung des Telekommunikation-Telemedien-Datenschutz-Gesetzes – sowie die kurz darauffolgenden Änderungen durch das Durchführungsgesetz zum Digital Services Act, die neben der Schaffung des Digitale-Dienste-Gesetzes unter anderem die Ersetzung des Begriffs des Telemediums mit sich brachten. Damit war auch die Umbenennung in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz verbunden.

Ebenso relevant für die Implementierung von Schutzmaßnahmen zur Verbesserung der IT-Sicherheit sind das auf Basis unionsrechtlicher Vorgaben geschaffene Gesetz zum Schutz von Geschäftsgeheimnissen sowie die Neuerungen aufgrund der delegierten Verordnung 2022/30 i.V.m. dem Funkanlagengesetz. Auch diese Regelungen werden in dieser Untersuchung als Bestandteile des IT-Sicherheitsrechts i. w. S. verstanden.

Denn aus all diesen Rechtsakten ergeben sich – wenn auch in unterschiedlichem Ausmaß – abstrakte rechtliche Anforderungen an die IT-Sicherheit von Produkten. Dabei ist sowohl das Verhältnis dieser Anforderungen als auch deren Verknüpfung mit konkreten Schutzmaßnahmen bisher überwiegend ungeklärt. Die vorliegende Untersuchung hat sich zum Ziel gesetzt, diese bestehende Unklarheit zu adressieren. Insoweit verfolgt die Untersuchung einen sowohl in der Rechtswissenschaft als auch in der Informatik bisher nur vereinzelt zugrunde gelegten interdisziplinären Ansatz.

Als exemplarischer technischer Untersuchungsgegenstand dienen vorliegend Smart-Home-Geräte. Diese sind vielfach Bestandteil des alltäglichen Lebens, bieten diverse Möglichkeiten zur Vernetzung mit weiteren Geräten und werden sowohl in der privaten als auch in der beruflichen Sphäre eingesetzt. Zugleich weisen diese Geräte vielfach IT-Sicherheitsrisiken auf. Anhand dieses technischen Untersuchungsgegenstandes werden die einschlägigen rechtlichen Anforderungen analysiert und es wird ein systematisches, interdisziplinär begründetes Verhältnis der Normen herausgearbeitet. Auf dieser Basis werden schließlich die Anforderungen mit konkreten technischen Maßnahmen verknüpft, die die genannten Sicherheitsrisiken adressieren. Diese Verknüpfung ermöglicht die Identifikation und methodische Begründung von Synergieeffekten hinsichtlich der umzusetzenden Maßnahmen. Die vorliegend entwickelten Ansätze sind dabei auch auf weitere technische Untersuchungsgegenstände anwendbar.

Kapitel 1 stellt die dazu erforderlichen Ausgangsüberlegungen und Begriffsbestimmungen dar. Darauf aufbauend werden in Kapitel 2 technische Grundlagen erläutert. In Kapitel 3 stehen sodann die datenschutzrechtlichen Anforderungen an die Sicherheit von Datenverarbeitungen sowie an die technische Gestaltung der Produkte im Fokus. Kapitel 4 widmet sich Anforderungen aus dem weiteren (risikobasierten) IT-Sicherheitsrecht. Thematisiert wird neben Aspekten des Geschäftsgeheimnisschutzes auch der Datenschutz bei digitalen Diensten sowie die Regulierung von Produkten. Kapitel 5 stellt schließlich Ansätze vor, wie die erarbeiteten rechtlichen Anforderungen verknüpft werden können, um eine Ableitung konkreter Schutzmaßnahmen zu ermöglichen. Kapitel 6 schließt die Untersuchung mit einem Fazit ab und gibt einen Ausblick auf die zukünftige Entwicklung der risikobasierten IT-Sicherheitsregulierung von Produkten.

Kapitel 1 – Ausgangsüberlegungen und Begriffsbestimmung

Im Folgenden werden zunächst Ausgangsüberlegungen zur Auswahl der untersuchten Fragestellungen sowie zu Methodik und Motivation erläutert (vgl. Abschnitt A.). Darauf aufbauend wird der Untersuchungsgegenstand aus rechtlicher (vgl. Abschnitt B.) – sowie an späterer Stelle aus technischer (vgl. Kapitel 2 B.) – Sicht konkretisiert. Kapitel 1 enthält zudem Ausgangsüberlegungen zum Begriff des Risikos, der Risikoregulierung sowie der risikobasierten Regulierung (vgl. Abschnitt C.).

A. Ausgangsüberlegungen zu Inhalt, Methodik und Motivation

Der Ausgangspunkt der Arbeit liegt schwerpunktmäßig in folgender Fragestellung:

Welche rechtlichen Anforderungen an technische Maßnahmen der IT-Sicherheit für Produkte des Internet of Things ergeben sich nach der aktuellen Rechtslage und wie lassen sich diese zu implementierenden Maßnahmen konkretisieren?

Eine naheliegende Ausgangsüberlegung hinsichtlich der Konkretisierung ist, dass der Begriff Internet of Things einen zu weiten Interpretationsspielraum zulässt, um ausreichend konkrete technische Vorgaben zu definieren. Deshalb wird die Fragestellung insoweit spezifiziert, dass bei der Analyse der rechtlich hierfür relevanten Normen die gewonnenen Erkenntnisse exemplarisch auf einen bestimmten Untersuchungsgegenstand angewandt und – unter Hinzuziehung entsprechender technischer Literatur – mit konkreten technischen Maßnahmen verknüpft werden. Die Arbeit verfolgt methodisch insoweit einen interdisziplinären Ansatz. Neben der Analyse der rechtlichen Forschungsfragen – welche überblicksartig im Folgenden (Kapitel 1 B.) skizziert werden – soll gerade diese Verknüpfung der (abstrakten) rechtlichen Anforderungen und die darauf basierende Ableitung (konkreter) technischer Maßnahmen den Mehrwert der Untersuchung darstellen.

Die Analyse konzentriert sich daher zum einen auf die Ermittlung der einschlägigen rechtlichen Anforderungen für den Untersuchungsgegenstand. Ziel ist es, die Anforderungen exemplarisch im Bereich der Smart-Home-Geräte zu konkretisieren, sodass sie handhabbar für eine Verknüpfung mit einzelnen technischen Maßnahmen werden. Die Vorgehensweise soll daher nicht zu vom Untersuchungsgegenstand losgelösten Erkenntnissen über die rechtlichen Anforderungen führen. Es wird also etwa nicht nur analysiert, welche Anforderungen nach Art. 32 DSGVO allgemein gelten und wie sich die Auslegung des Stands der Technik und des sog. risikobasierten Ansatzes hierauf auswirken. Vielmehr wird des Weiteren dargelegt, wie sich diese Anforderungen auf den Untersuchungsgegenstand der Smart-Home-Geräte auswirken. Der Grund hierfür liegt in der Prämisse, dass eine allgemeine Betrachtung der Anforderungen keine ausreichend konkrete Untersuchung zulässt, weshalb für die bezweckte interdisziplinäre Verknüpfung eine Beschränkung des Untersuchungsgegenstandes erforderlich ist.

Die vorliegende Untersuchung nimmt – im Zuge ihrer Zielsetzung einer Konkretisierung der zu treffenden Schutzmaßnahmen – auch auf übergreifende Aspekte von Regulierung Bezug. Berücksichtigt wird dabei insbesondere, dass auch in anderen Rechtsgebieten aus abstrakt gehaltenen Prinzipien und Normen konkrete Maßnahmen abgeleitet werden müssen. Dies gilt etwa für das Umweltrecht, das – im Vergleich zum Datenschutzrecht – bereits seit längerer Zeit Aspekte der Risikoregulierung enthält. Die Untersuchung zieht daher die Grundgedanken der dort verwendeten Methodik der Regulierung heran und prüft eine Übertragbarkeit auf die hinsichtlich des Untersuchungsgegenstands relevante Regulierung von IT-Sicherheit. Denn obwohl die im Folgenden untersuchten Normen nicht in jedem Fall explizit in ihrem Wortlaut einen Risikobezug aufweisen, lautet eine These dieser Untersuchung, dass alle schwerpunktmäßig untersuchten Normen zumindest in ihrer konkreten Anwendung Aspekte einer risikobasierten Regulierung von IT-Sicherheit aufweisen. Diese These wird in den folgenden Ausführungen iterativ aufgegriffen und daraufhin untersucht, inwieweit sie auf die konkreten Normen zutrifft.

B. Konkretisierung der Themenwahl aus rechtlicher Sicht

Aus rechtlicher Sicht1 werden alle für die o.g. Fragestellung relevanten Normen analysiert. Dies umfasst einerseits schwerpunktmäßig Normen des Datenschutzrechts. Neben den Vorgaben aus Art. 25 Abs. 1 DSGVO (Privacy by Default) und Art. 25 Abs. 2 DSGVO (Privacy by Design) ist vor allem Art. 32 DSGVO hierfür relevant. Untersucht wird der genaue Regelungsgehalt der einzelnen Normen sowie deren Verhältnis zueinander. Ein besonderer Fokus liegt dabei auf der Analyse des sog. risikobasierten Ansatzes der DSGVO, der eine Skalierung der technischen Maßnahmen verspricht.

Andererseits sind auch weitere Normen außerhalb des Datenschutzrechts für die o.g. Fragestellung relevant. Auch deren Verhältnis untereinander sowie zu den datenschutzrechtlichen Normen wird daher untersucht.

So sieht etwa das GeschGehG in § 2 Nr. 1 lit. b GeschGehG sog. angemessene Geheimhaltungsmaßnahmen vor. Enthalten Geschäftsgeheimnisse personenbezogene Daten, stellt sich u.a. die Frage der inhaltlichen Abgrenzung zum gleichzeitig geltenden Datenschutzrecht.

Das Unionsrecht reguliert zudem auch abseits von Datenschutznormen und dem Recht der Geschäftsgeheimnisse immer mehr Aspekte der IT-Sicherheit. Vorliegend relevant sind besonders der kürzlich verabschiedete Cyber Resilience Act sowie das unionsrechtlich determinierte Funkanlagengesetz.

Zu dem hier relevanten Unionsrecht könnten darüber hinaus Vorschriften des Datenschutzes bei digitalen Diensten sowie des Telekommunikationsdatenschutzes gezählt werden. Dabei wirft etwa die ePrivacy-RL insbesondere im Zusammenhang mit ihrer nationalen Umsetzung im TDDDG sowie deren Verhältnis zur DSGVO relevante Fragestellungen auf. Dabei sind auch die Neuerungen durch das Durchführungsgesetz zum Digital Services Act relevant.2

Zugleich ergibt sich eine inhaltliche Begrenzung der Untersuchung, die auf zwei Grundüberlegungen basiert. Einerseits soll die Arbeit keine rein abstrakte Analyse der relevanten Normen und ihrem Verhältnis untereinander darstellen. Vielmehr ist das Ziel der Arbeit eine möglichst konkrete Verknüpfung der rechtlichen Anforderungen mit technischen Schutzmaßnahmen. Hieraus ergibt sich eine Begrenzung auf für den Untersuchungsgegenstand typischerweise einschlägige Normen. Andere Verpflichtungen, wie bspw. solche die nur bestimmte, etwa gesellschaftlich besonders relevante und daher kritische Einrichtungen adressieren, sind daher nicht primär relevant für die Untersuchung und fließen entsprechend nur am Rande in die Analyse ein.

Andererseits erfolgt eine inhaltliche Begrenzung anhand der Zielsetzung der zu untersuchenden Normen: Analysiert werden sollen gesetzliche Rahmenbedingungen an die IT-Sicherheit von Smart-Home-Geräten. Im Fokus stehen somit Normen, die eine präventive Schutzausrichtung aufweisen. Nicht behandelt werden sollen dagegen etwa Vorschriften, die den Ausgleich eines bereits eingetretenen Schadens zum Ziel haben. Ebenfalls nicht schwerpunktmäßig betrachtet werden sollen Fragestellungen nach dem Nachweis der Erfüllung der gesetzlichen Rahmenbedingungen an den Datenschutz und die IT-Sicherheit.

Als technischen Untersuchungsgegenstand legt diese Untersuchung Geräte des sog. Smart Home zugrunde, was wie folgt definiert wird.

Der Begriff Smart Home umfasst Informationstechnik, die im alltäglichen Umfeld von Menschen eingesetzt wird und dazu bestimmt ist, den Wohnkomfort oder die Sicherheit in Wohnungen und Büros zu erhöhen (z.B. elektrische Rollläden oder sog. Smart Locks), Unterhaltung zu bieten (z.B. Smart TVs) oder Menschen zu assistieren (z.B. cloudbasierte, digitale Sprachassistenten). Die Geräte verarbeiten dazu (potentiell jederzeit) Daten, können typischerweise untereinander vernetzt werden und sehen oft eine Fernsteuerung ihrer Funktionalitäten vor.3

Dieser Untersuchungsgegenstand wird in Kapitel 2 B. weiter konkretisiert; insbesondere werden einzelne hier betrachtete Produktkategorien sowie mögliche Risiken für die IT-Sicherheit dieser Produktkategorien beschrieben.4 Als geeignet wird der Untersuchungsgegenstand angesehen, da diese Geräte sowohl im privaten Bereich als auch im beruflichen Bereich („Smart Office“) Einsatz finden können. Die Geräte werden zunehmend zu Alltagsgegenständen und werden so fester Bestandteil des täglichen Lebens. Zugleich liegt oft kein ausschließliches Hersteller-Nutzer-Verhältnis vor. Vielmehr ist für die Funktionalität der Geräte die Rolle weiterer Akteure relevant, die etwa als Drittanbieter zusätzliche Apps bereitstellen. Unter anderem dadurch können sich – im beruflichen wie im privaten Kontext – besondere Risiken ergeben, welche durch die untersuchten gesetzlichen Normen adressiert werden. Im Folgenden wird die Relevanz der schwerpunktmäßig adressierten Normen bzw. Rechtsakte skizziert.

I. Datenschutzrechtliche Fragestellungen

Als ein Schwerpunkt der Untersuchung wird der Regelungsgehalt und das Verhältnis der für den Untersuchungsgegenstand relevanten Normen der DSGVO analysiert. Zum einen umfasst dies die Analyse der Anforderungen von Art. 32 DSGVO sowie von Art. 25 Abs. 1 und Abs. 2 DSGVO. Zum anderen werden auch daraus folgende Fragestellungen untersucht – etwa inwieweit bereits der in Art. 32 Abs. 1 Hs. 2 DSGVO geregelte Maßnahmenkatalog zur Ableitung technischer Maßnahmen dienlich ist.

Gemeinsam haben diese Normen der DSGVO u.a. ein zentrales Kriterium: Den sog. risikobasierten Ansatz. Dieser wird in der Literatur als Möglichkeit zur Skalierung der dem Normadressaten auferlegten Pflichten begriffen.5 Demnach erfordern besonders risikoreiche Datenverarbeitungen entsprechend strenge, weniger risikoreiche Verarbeitungen weniger strenge Maßnahmen.6 Jedoch wurde dieser Ansatz im Gesetzgebungsprozess durchaus kritisch begleitet.7 Untersucht werden daher bspw. die Auswirkungen dieses Ansatzes sowie das Verständnis und die Messbarkeit des Risikos i.S.d. DSGVO.

II. GeschGehG

Das GeschGehG soll dem Schutz von Geschäftsgeheimnissen vor unerlaubter Erlangung, Nutzung und Offenlegung dienen (§ 1 Abs. 1 GeschGehG). Unter solchen Geheimnissen versteht das Gesetz nur Informationen, die – u.a. – „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber“ sind, § 2 Nr. 1 lit. b GeschGehG. Relevant ist aktuell insbesondere die Fragestellung, welche Anforderungen an die konkreten Maßnahmen hierfür gestellt werden müssen und welche Maßnahmen sodann in Frage kommen.8 Des Weiteren wird diskutiert, in welchem Verhältnis die im GeschGehG genannten angemessenen Geheimhaltungsmaßnahmen zu den in der DSGVO an verschiedenen Stellen genannten technischen und organisatorischen Maßnahmen stehen.9 Diese Fragestellungen können insbesondere relevant werden, wenn Geräte mit digitalen Sprachassistenten im beruflichen Umfeld eingesetzt werden. Die hiesige Untersuchung analysiert insbesondere, inwieweit der Schutz von Geschäftsgeheimnissen als risikobasiert einzuordnen ist sowie welche Schutzziele der IT-Sicherheit durch § 2 Nr. 1 lit. b GeschGehG adressiert werden.

III. Datenschutz bei digitalen Diensten

Daneben werden die Anforderungen aus § 19 TDDDG sowie § 25 TDDDG untersucht. Relevant ist dies insbesondere im Hinblick auf das Verhältnis zur DSGVO, den verbleibenden Anwendungsbereich sowie die unterschiedliche Schutzrichtung der Normen. Denn letztere können etwa zur Folge haben, dass potentielle IT-Sicherheitsmaßnahmen die Integrität des Endgeräts beeinträchtigen. Dies gilt insbesondere im Hinblick auf die § 25 TDDDG bzw. die zugrunde liegende unionsrechtliche Vorschrift, Art. 5 Abs. 3 ePrivacy-RL. Darüber hinaus wird thematisiert, welche Änderungen sich durch das DDG ergeben und inwieweit §§ 19, 25 TDDDG als risikobasiert angesehen werden können.

IV. Regulierung von Produkten

Weitere relevante Fragestellungen ergeben sich aus den Anforderungen des Cyber Resilience Act. Dieser verpflichtet Hersteller zu Security-by-Design; insbesondere Art. 13 i.V.m. Anhang I CRA ist für Produkte mit digitalen Elementen ein wesentlicher Bestandteil der zukünftigen IT-Sicherheitsregulierung. Untersucht wird daher etwa, wie die untersuchten Produktkategorien in die Begriffsbestimmungen des CRA zu Produkten mit digitalen Elementen einzuordnen sind sowie in welchem Verhältnis die Vorschriften des CRA zur DSGVO stehen. Vergleichbares für die Regulierung von Funkanlagen. Hier wird untersucht, inwieweit der Begriff der mit dem Internet verbundenen Funkanlage in Bezug auf die untersuchten Produktkategorien einzuordnen ist und wie sich die knapp gefassten Vorschriften zur IT-Sicherheit und zum Datenschutz der Geräte auswirken.

V. Übersicht der untersuchten Regelungen

In Tabelle 1 werden die schwerpunktmäßig untersuchten Regelungen überblicksartig dargestellt, um insbesondere Unterschiede bei Schutzzielen und -subjekten sowie bei den Adressaten der Normen zu verdeutlichen.

Tabelle 1: Übersicht der schwerpunktmäßig untersuchten Regelungen

Normen/Rechtsakt

Art. 25, 32 DSGVO

§ 2 Nr. 1 lit. b GeschGehG

§ 19 Abs. 4 TDDDG

Art. 5 Abs. 3 ePrivacy-RL/§ 25 TDDDG

RED/§ 4 Abs. 3 FuAG

Art. 13 CRA i.V.m. Anhang I

Schutz-gegenstand

(nur) personen-bezogene Daten

Geschäfts-geheimnisse

Technische Einrichtungen der digitalen Dienste

Informationen

Funkanlagen

Produkte mit digitalen Elementen

Schutz-subjekte

Betroffene

Inhaber der Geschäfts-geheimnisse

Nutzer von digitalen Diensten

Nutzer von digitalen Diensten

Nutzer von Funkanlagen

Nutzer der Produkte

Adressaten

Verantwortliche, Auftragsver-arbeiter

(primär) Inhaber der Geschäfts-geheimnisse

Anbieter von digitalen Diensten

Die Stelle, die i.S.d. Norm zugreift bzw. speichert

Hersteller, Einführer, Händler

Hersteller, Einführer, Händler

Schutzziel

Schutz der Rechte und Freiheiten betroffener Personen

Schutz vor unerlaubter Erlangung, Nutzung und Offenlegung von Geschäfts-geheimnissen

Schutz vor unerlaubten Zugriffen und Störungen, insb. Eindämmung der Verbreitung von Schadsoftware

Integrität des Endgeräts

Cyber-sicherheit der mit dem Internet verbundenen Funkanlagen

Cyber-sicherheit der Produkte

Vgl. hierzu

Kapitel 3

Kapitel 4 B.

Kapitel 4 C.

Kapitel 4 C.

Kapitel 4 D. I

Kapitel 4 D. II

C. Risiko, Risikoregulierung, Risikobasierte Regulierung

In der Literatur finden sich verschiedene Definitionen und Analysen des Risikobegriffs, teils interdisziplinärer Natur.10 Im Folgenden soll jedoch nicht die allgemeine Auseinandersetzung mit Risikobegriffen, sondern vielmehr die Ableitung möglichst konkreter Anforderungen ausgewählter IT-Sicherheitsregulierung im Fokus stehen. Hierfür relevante Risikobegriffe werden daher erst bei der Analyse der jeweiligen Norm thematisiert.11

I. Begriffsverständnis: Risikoregulierung oder risikobasierte Regulierung

Differenziert werden kann jedoch bereits an dieser Stelle zwischen den Begriffen der Risikoregulierung und der risikobasierten Regulierung,12 auch wenn sich bisher keine exakte Unterscheidung durchgesetzt hat und die Begriffe teils auch synonym verwendet werden.13 Nach der von Quelle vertretenen Einordnung kann der Begriff Risikoregulierung verwendet werden, wenn das Ziel der Regulierung die Kontrolle eines Risikos ist.14 Demnach stellt bspw. auch die DSGVO eine Risikoregulierung dar, da wesentliche Teile der DSGVO klar das Risiko für die Rechte und Freiheiten von Betroffenen kontrollieren sollen. Der Begriff risikobasierte Regulierung – bzw. risikobasierter (Regulierungs-)Ansatz15 – soll sich dagegen auf die Priorisierung der Regulierungs- bzw. Aufsichtsbehörden beziehen.16 Diese Auffassung als zutreffend unterstellt, ist der Unterschied zum risikobasierten Ansatz der DSGVO, dass risikobasierte Regulierung sich typischerweise auf eine Strategie der Behörden bezieht, die mit der Aufsicht und Durchsetzung befasst sind.17

Wie von Quelle angedeutet, würde eine solche Definition von risikobasierter Regulierung jedoch zu kurz greifen. Der Begriff „Regulierung“ kann weitergehend verstanden werden18 und umfasst neben rein hoheitlicher Regulierung – für welche die obige Definition noch stimmig wäre – auch Regulierungsinstrumente, welche in der Literatur als „regulierte Selbstregulierung“ beschrieben werden.

Diese im Folgenden verwendete Unterteilung von Regulierungsstrategien in hoheitliche Regulierung und regulierte Selbstregulierung wurde maßgeblich von Hoffmann-Riem und Eifert geprägt.19 Andere Kategorisierungen sehen bspw. eine Unterteilung in direkte (ordnungsrechtliche) und indirekte Verhaltenssteuerung vor;20 teilweise werden Instrumente der Selbstregulierung oder Selbststeuerung nochmals in reflexive und konsensuale Instrumente unterteilt.21 Auch in der englischsprachigen Literatur finden sich verschiedene Kategorisierungen von Regulierungsstrategien. Beispielsweise beschreiben Baldwin/Cave/Lodge Aspekte der „self-regulation“, welche in Bezug auf die hier verwendeten Begriffsdefinitionen bereits der regulierten Selbstregulierung zuzuordnen wären.22Andere wiederum differenzieren den Begriff der „self-regulation“ weiter aus in „enforced self-regulation“ und „Coregulation“, wobei nach dem Grad der Individualisierung unterschieden werden soll.23

Unabhängig von einer genaueren Auseinandersetzung mit einzelnen Kategorisierungen, die hier unterbleiben kann, ist für das Begriffsverständnis von regulierter Selbstregulierung vorliegend ein Aspekt entscheidend: Regulierungsinstrumente wie etwa Organisationsvorgaben oder Audit-Verpflichtungen ziehen Organisationen – und damit die eigentlichen Normadressaten – heran und räumen den Normadressaten damit bewusst Handlungsspielräume ein, um die Ziele der Regulierung zu erreichen.24 Insbesondere im europäischen Datenschutzrecht finden sich solche Elemente wieder, bspw. in Organisationsvorgaben wie der Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO oder Verhaltensregeln nach Art. 40 DSGVO.25 Diese Instrumente unterscheiden sich von einer Regulierungsstrategie, die ausschließlich auf staatliche Ressourcen setzt. Der hier verwendete Regulierungsbegriff umfasst deshalb sowohl Regulierungsinstrumente, die hoheitlicher Regulierung zuzuordnen sind als auch solche der regulierten Selbstregulierung. Anknüpfend daran ist auch der Begriff der risikobasierten Regulierung weiter zu verstehen. Er bezieht sich nach hier vertretener Ansicht somit nicht nur auf eine risikobasierte Priorisierung von Aufsichts- und Regulierungsbehörden. Vielmehr sind auch Regulierungsinstrumente umfasst, die den Regulierungsadressaten risikobasierte Verpflichtungen auferlegen.

Im Folgenden wird der Begriff Risikoregulierung – übereinstimmend mit der von Quelle vertretenen Einordnung26 – also verwendet, wenn das Ziel der Regulierung die Kontrolle eines Risikos ist. Risikobasierte Regulierung umfasst nach hier vertretener Ansicht Regulierungsinstrumente, welchen – explizit oder implizit – methodisch ein Risikobegriff zugrunde liegt, der zur Erreichung des Regulierungsziels verwendet wird – bspw., um auf Basis einer Risikoeinschätzung des Regulierungsadressaten Sicherheitsanforderungen an Datenverarbeitungen im Einzelfall zu bestimmen.

Damit kann Risikoregulierung also durch risikobasierte Regulierung erreicht werden; dies ist allerdings nicht zwingend erforderlich, damit Normen unter den Begriff der Risikoregulierung fallen. Zugleich ist der risikobasierte Ansatz der DSGVO27 ein Beispiel für risikobasierte Regulierung sowie die DSGVO als Ganze ein Beispiel für Risikoregulierung.28

Abzugrenzen bleibt Risikoregulierung schließlich vom Gefahrenabwehrrecht. Erstere – in der Diskussion der Literatur v.a. als Risikorecht bzw. Risikoverwaltungsrecht29 bezeichnet – soll zwar ebenfalls Regelungen für Situationen treffen, in denen eine Rechtsgutbeeinträchtigung für möglich gehalten wird. Im Gegensatz zum Gefahrenabwehrrecht soll ein Risiko aber bereits vorliegen, bevor der jeweilige Regelungsadressat von einem Überschreiten der Gefahrenschwelle ausgehen dürfte.30 Diese klassische Abgrenzung von Gefahr und Risiko nach dem sog. Drei-Stufen-Konzept wird in der Literatur kritisch hinterfragt.31 Zu beachten bleibt dabei, dass im Unionsrecht – welches nicht zuletzt für die vorliegende Untersuchung in sehr weiten Teilen maßgeblich ist – keine zum nationalen Recht gleichlaufende Unterscheidung zwischen Risiko und Gefahr existiert.32

Hiervon unbenommen macht die vorliegend vertretene Auffassung, dass auch Regulierungsinstrumente, denen nur implizit methodisch ein Risikobegriff zugrunde liegt, als risikobasierte Regulierung einzustufen sind, eine Kontrollüberlegung erforderlich. Denn hat eine Norm das Ziel, ein bestimmtes Risiko zu kontrollieren (Risikoregulierung), so könnte vertreten werden, dass bei der teleologischen Auslegung der Norm dieses Risiko ohnehin immer berücksichtigt werden müsste – und zwar auch dann, wenn das Risiko nicht explizit im Normtext enthalten ist. Dies als zutreffend unterstellt, würde jedoch jede Risikoregulierung zugleich immer unter den Begriff der risikobasierten Regulierung fallen. Die hier beschriebene Unterscheidung würde insoweit nicht überzeugen. Soweit der Wortlaut der in dieser Untersuchung analysierten normativen Vorgaben nicht explizit einen Risikobegriff enthält, wird deshalb im Folgenden jeweils konkret begründet, weshalb die Normen als risikobasiert verstanden werden. So ist nach hier vertretenem Verständnis bspw. § 2 Nr. 1 lit. b GeschGehG als risikobasierte Regulierung einzuordnen, auch wenn der Begriff des Risikos im Normtext nicht verwendet wird.33

Bereits im Rahmen dieser abstrakten Kontrollüberlegung kann jedoch eine weitere Abgrenzung zwischen Risikoregulierung und risikobasierter Regulierung getroffen werden. Denn Risikoregulierung umfasst auch Normen, die methodisch völlig anders gestaltet sind als die hier analysierten Vorgaben. So kann die Kontrolle eines Risikos – als Ziel von Risikoregulierung – auch dadurch geschehen, dass bspw. ein bestimmtes Verhalten pauschal verboten wird und nicht – im Rahmen risikobasierter Regulierung – mittels eines (impliziten oder expliziten) Risikobegriffs anlassadäquat reguliert wird. Auch in den Fällen eines solchen Verbots wäre dann im Rahmen der teleologischen Auslegung bspw. zu berücksichtigen, welches Risiko die jeweilige Norm adressieren soll und insoweit etwa zu bestimmen, wie weit das Verbot im konkreten Einzelfall reicht. Gerade die hier untersuchte Fragestellung, inwieweit bzw. wie sich aus risikobasierten rechtlichen Anforderungen konkrete Umsetzungsmaßnahmen etwa im Bereich der IT-Sicherheit ableiten lassen, stellt sich jedoch nur beim Teilbereich der risikobasierten Regulierung. Aus diesem Grund ist bereits auf einer abstrakten Ebene eine Abgrenzung zwischen den Begriffen der Risikoregulierung und der risikobasierten Regulierung für diese Untersuchung gewinnbringend, auch wenn bei beiden im Rahmen der teleologischen Auslegung der jeweilige Risikobegriff berücksichtigt werden muss.

Anstatt den Begriff der risikobasierten Regulierung wie hier vertreten weiter auszulegen, wäre es auch denkbar, für die weite Ausprägung einen Begriff wie risikobezogene Regulierung zu verwenden. Dies würde jedoch zu einem Verlust an Präzision führen. Der Zusatz „basiert“ weist im Gegensatz zu „bezogen“ deutlich darauf hin, dass ein Risikobegriff Bestandteil der Regulierung ist. „Risikobezogen“ könnte dagegen auch Regulierung umfassen, die Risiken adressiert, aber den Risikobegriff nicht – explizit oder implizit – als Methode der Regulierung verwendet. Im Ergebnis wäre risikobezogene Regulierung daher als Synonym zu Risikoregulierung zu verstehen.

Kern dieser Untersuchung ist risikobasierte Regulierung, nicht Risikoregulierung allgemein. Gerade der methodische Rückgriff auf einen Risikobegriff begründet die hier untersuchte Fragestellung nach der Konkretisierung der IT-Sicherheitsregulierung auf einzelne, umzusetzende Maßnahmen. Exemplarisch wird dies im Folgenden anhand der DSGVO aufgezeigt.

II. Risikobasierte Regulierung der IT-Sicherheit von Produkten

Wie De Gregorio/Dunn überzeugend ausführen, kann der in der DSGVO niedergelegte risikobasierte Ansatz als bottom-up approach bezeichnet werden. Dies bezeichnet die durch die DSGVO verfolgte Regulierungsstrategie im Gegensatz zu risikobasierten Ansätzen im Entwurf der KI-Verordnung34 und dem Digital Services Act,35 die von De Gregorio/Dunn als top-down approach36 bzw. als Mischform37 dieser beiden Ausprägungen eingeordnet werden.

Der bottom-up approach ist nach den Autoren eine Bezeichnung dafür, dass der risikobasierte Ansatz der DSGVO maßgeblich auf die Verantwortlichkeit der Adressaten der Regulierung abstellt.38 Dies zeigt sich insbesondere darin, dass zahlreiche Interessensabwägungen den Normadressaten selbst übertragen werden und nicht vom Gesetzgeber vorgegeben sind.39 Gerade in Bezug auf zu identifizierende technische und organisatorische Maßnahmen ist dies bspw. bei der in Art. 35 DSGVO geregelten Datenschutz-Folgenabschätzung der Fall.40 Aber auch in Art. 32 Abs. 1 DSGVO und Art. 25 Abs. 1, 2 DSGVO delegiert der Gesetzgeber die Identifizierung geeigneter technischer und organisatorischer Maßnahmen zur Wahrung der Rechte und Freiheiten natürlicher Personen an die Normadressaten. Dies begründet gerade die herausragende Rolle der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Denn einerseits wird durch diese Regulierungsstrategie den Normadressaten ein weiterer Spielraum hinsichtlich des Ausgleichs konfligierender Interessen eingeräumt, als es typischerweise der Fall wäre, wenn der Gesetzgeber spezifischere Maßnahmen geregelt hätte. Andererseits hat diese gesetzgebungstechnische Entscheidung zur Folge, dass die Verantwortlichkeit für diese Abwägungen an die Normadressaten delegiert wird.41 Der dem Adressaten eingeräumte Spielraum geht daher zugleich mit einer gewissen Rechtsunsicherheit einher.

Dieser bottom-up approach zeigt damit instruktiv die Chancen und Herausforderungen risikobasierter Regulierung auf. Denn gerade die Art der gewählten Regulierungsstrategie hat diesen dem Normadressaten eingeräumten Spielraum zur Folge und ist damit kausal für die Fragestellungen, wie konkrete Schutzmaßnahmen aus normativen Anforderungen abgeleitet werden können. Zugleich beschreiben De Gregorio/Dunn jedoch zutreffend, dass dieser Spielraum kein zwingendes Charakteristikum von risikobasierter Regulierung darstellt:42 So verwendet etwa der Entwurf der KI-Verordnung ebenso zur Erreichung seines Regulierungsziels einen risikobasierten Ansatz und damit risikobasierte Regulierung nach dem hier vertretenen Verständnis. Bei diesem Verordnungsentwurf trifft der Gesetzgeber jedoch bereits innerhalb des Verordnungstextes Risikoentscheidungen – indem bestimmte Systeme bestimmten Risikoklassen zugeordnet werden43 – und nimmt damit Interessensabwägungen vor. Im Vergleich zur DSGVO, welche die Beurteilung des Risikos maßgeblich den Normadressaten überlässt, verbleiben den Normadressaten des KI-Verordnungsentwurfs aufgrund der im Verordnungstext prädeterminierten Risikoeinschätzungen deutlich geringere Einschätzungsspielräume.44

Dieser Vergleich zeigt exemplarisch auf, dass gerade die Art und Weise der gewählten Regulierung im Bereich der risikobasierten IT-Sicherheitsregulierung zu der in der vorliegenden Untersuchung zentralen Fragestellung führt, wie sich aus den Normen konkrete technische Sicherheitsmaßnahmen ableiten lassen. Inwieweit die weiteren hier untersuchten Normen explizit einen Risikobezug aufweisen oder zumindest implizit als risikobasiert einzustufen sind, wird in den folgenden Kapiteln diskutiert.45 Zunächst wird jedoch die Art der Regulierung im Kontext existierender Regulierungsstrategien näher betrachtet.

III. Einordnung in den Kontext existierender Regulierungsstrategien

Im Folgenden werden exemplarisch Parallelen der in der vorliegenden Untersuchung analysierten Normen mit Regulierungsansätzen des Umweltrechts skizziert. Dies lässt sich zweigeteilt begründen. Zum einen verwendet das Umweltrecht zahlreiche innovative Regulierungsinstrumente, wobei auch solche der regulierten Selbstregulierung häufig anhand des Umweltrechts diskutiert wurden.46 Zum anderen sind Regulierungsstrategien im Umweltbereich – auch international – seit jeher geprägt von Risikoerwägungen, sodass sich mögliche Parallelen zu risikobasierter IT-Sicherheitsregulierung ergeben.

1. Parallelen zum Umweltrecht

Zwar finden sich gerade im Umweltrecht zahlreiche Instrumente der regulierten Selbstregulierung.47 Geprägt ist das Rechtsgebiet aber weiterhin durch ordnungsrechtliche, hoheitliche Regulierung,48 wobei konkrete Verhaltensanforderungen – vergleichbar zum hier untersuchten IT-Sicherheitsrecht – „nur zu einem kleinen Teil unmittelbar und abschließend aus dem Gesetz ablesbar“49 sind. Die Normkonkretisierung erfolgt in der Regel durch ausdrücklich vorgesehene untergesetzliche Normsetzung, etwa durch Rechtsverordnungen oder Verwaltungsvorschriften.50 Dieses Regulierungsstrategie findet sich in den hier untersuchten Normen des IT-Sicherheitsrechts nur teilweise wieder. Eine vom Gesetzgeber vorgesehene Normkonkretisierung ist etwa durch an die Hersteller von Funkanlagen gerichtete IT-Sicherheitsanforderungen geregelt. So kann die EU-Kommission gem. Art. 3 Abs. 3 UAbs. 2 RED delegierte Rechtsakte erlassen, in denen festgelegt wird, welche Kategorien oder Klassen von Funkanlagen die grundlegenden Anforderungen zur IT-Sicherheit einhalten müssen, die in Art. 3 Abs. 3 lit. d, e RED definiert werden. Anders ist dies etwa in Bezug auf Art. 25 Abs. 1, 2 und Art. 32 Abs. 2 DSGVO zu beurteilen. Obwohl hier eine Normkonkretisierung für die praktische Implementierung von IT-Sicherheitsmaßnahmen unerlässlich ist, hat der Gesetzgeber keine zum Umweltrecht vergleichbaren Mittel zur Konkretisierung explizit geregelt. Zwar verweist Art. 25 Abs. 3 DSGVO auf Art. 42 DSGVO und Art. 32 Abs. 3 DSGVO sowohl auf Art. 40 als auch Art. 42 DSGVO. Dadurch wird geregelt, dass die Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder eines genehmigten Zertifizierungsverfahrens (Art. 42 DSGVO) als Faktor herangezogen werden kann, um die Erfüllung der Anforderungen aus Art. 25, 32 DSGVO nachzuweisen. Damit greift der Gesetzgeber Instrumente der (regulierten) Selbstregulierung auf. Gemessen daran, für wie viele verschiedene Sachverhalte die DSGVO Anforderungen reguliert, ist die praktische Konkretisierungswirkung von Verhaltensregeln oder Zertifizierungen bisher allerdings gering.51

Ebenso in Bezug auf Regulierungsstrategien im Umweltrecht formulieren Appel/Mielke Grundelemente des Risk-Based Approach.52 Vergleichbar zu den hier untersuchten Vorschriften ist der Ausgangspunkt des Risk-Based Approach im Umweltrecht die Koppelung der Regulierung an risikobasierte Vorgehensweisen.53 Übereinstimmend ist dabei auch die Delegierung von Konkretisierungen an den Regulierungsadressaten, bspw. wenn die Verwendung von Risikomanagementsystemen regulatorisch vorgegeben wird. Dieses Risikomanagement geht umweltrechtlich mit einem erhöhten Transparenz-54 bzw. Dokumentationsaufwand einher, was sich spiegelbildlich auch in der datenschutzrechtlichen Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zeigt. Auch im Umweltrecht verbreitet – und für den dortigen Risk-Based approach charakteristisch – ist außerdem die Folgenperspektive.55 Folgenabschätzungen sollen u.a. dazu beitragen, zu differenzieren und zu priorisieren.56 Solche Elemente finden sich im risikobasierten IT-Sicherheitsrecht explizit wieder, etwa in Gestalt der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Teils werden solche Parallelen zum Umweltrecht im Bereich der Dokumentation und Folgenabschätzung in der Literatur auch explizit adressiert. So nimmt Gonçalves etwa eine kritische Perspektive zum risikobasierten Ansatz der DSGVO ein und nimmt dabei Bezug auf die bereits seit der RL 2011/92/EU unionsrechtlich regulierte Umweltverträglichkeitsprüfung („environmental impact assessment“).57 Schließlich werden in beiden Rechtsgebieten auch ökonomische Aspekte einbezogen.58 Im Umweltrecht geschieht dies bspw. im Rahmen von Kosten-Nutzen-Erwägungen,59 bezogen auf das risikobasierte IT-Sicherheitsrecht bspw. hinsichtlich des Wertes des Geschäftsgeheimnisses (§ 2 Nr. 1 lit. b GeschGehG) oder hinsichtlich der Implementierungskosten von technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO.

2. Folgerungen für die vorliegende Untersuchung

Die skizzierten Parallelen zum Umweltrecht zeigen, dass weder die methodische Verwendung eines Risikobegriffs noch der Rückgriff auf Instrumente der regulierten Selbstregulierung eine auf das Datenschutzrecht beschränkte Regulierungsstrategie des Gesetzgebers darstellt. Die Regulierung von Risiken bzw. deren Analyse ist also weder auf einzelne Disziplinen noch auf einzelne Rechtsgebiete beschränkt. Es liegt daher nahe, dass eine einerseits intra- andererseits aber auch interdisziplinäre Betrachtung des Risikobegriffs weitere Erkenntnisse für die vorliegende Untersuchung ergeben könnte.

IV. Der Risikobegriff in anderen Rechtsgebieten und Disziplinen

Im Folgenden werden daher zunächst existierende inter- und intradisziplinäre Risikobegriffe erläutert.60 Darauf aufbauend werden Ansätze zur Quantifizierung von Risiko diskutiert.

1. Risikobegriffe

In unterschiedlichen Disziplinen werden zahlreiche verschiedene Risikobegriffe diskutiert.61 Zunächst werden im Folgenden relevante Risikobegriffe in anderen Rechts- und Fachgebieten überblicksartig dargestellt.

Für die hiesige Untersuchung erscheint zunächst – bereits aufgrund der oben beschriebenen Parallele zum Umweltrecht – die ökonomische Perspektive auf Risiko relevant. Wie den folgenden Ausführungen zu entnehmen ist, führt diese Perspektive jedoch zu einem grundlegend anderen Verständnis als bloße Kosten-Nutzen-Analysen, wie sie etwa im Umweltrecht und IT-Sicherheitsrecht aufgrund der dortigen Verweise auf ökonomische Aspekte durchgeführt werden. Vielmehr wird in der Ökonomie der Risikobegriff insbesondere in der Entscheidungstheorie verwendet.62 Die Entscheidungstheorie betrachtet zum einen analytisch menschliches Entscheidungsverhalten (deskriptive Entscheidungstheorie) und hat zum anderen zum Ziel, Erkenntnisse „für die Lösung konkreter Entscheidungsprobleme zur Verfügung zu stellen“63 (präskriptive Entscheidungstheorie).64 Wesentlich für die Betrachtung der sog. Entscheidungsmodelle ist, welche Informationen der Person oder Gruppe vorliegen, die eine Entscheidung trifft.65 Dies wird als Informationsstand bezeichnet. Unsicher ist der Informationsstand dann, wenn je nach getroffener Entscheidung mehrere verschiedene Ereignisse eintreten können. In diesen Fällen (sog. Entscheidungsmodelle bei Unsicherheit) kann sodann differenziert werden, ob Eintrittswahrscheinlichkeiten für die Folgen der Entscheidung vorliegen. Sind keine Eintrittswahrscheinlichkeiten bekannt, handelt es sich um Entscheidungsmodelle unter Ungewissheit.66 Liegen Wahrscheinlichkeiten vor, handelt es sich um Risiken im Sinne der Entscheidungstheorie.67 Die Eintrittswahrscheinlichkeiten können dabei sowohl subjektiv – also auf Grundlage von Schätzungen oder Vermutungen – als auch objektiv, d.h. überprüfbar vorliegen. Der Risikobegriff in der Entscheidungstheorie ist daher stets mit Eintrittswahrscheinlichkeiten verbunden. In der Folge befasst sich die Ökonomie in diesem Teilbereich damit, wie diese Wahrscheinlichkeiten ermittelt werden können und wie auf dieser Basis Entscheidungen getroffen werden können.68

Hinsichtlich dieser ökonomischen Perspektive ist es jedoch nicht ausreichend, nur das Verständnis des Risikobegriffs zu analysieren, wie die folgende – vereinfachte – Erläuterung aufzeigt. Vielmehr ist das gesamte Entscheidungsmodell zu berücksichtigen. Denn der dargestellte Risikobegriff ist auf das Vorliegen von Wahrscheinlichkeiten beschränkt. Eine breitere Betrachtung zeigt jedoch, dass auch die ökonomische Perspektive das Schadensausmaß in den Blick nimmt. Der sog. Erwartungswert ist die Summe der mit der Eintrittswahrscheinlichkeit der Ereignisse gewichteten Ergebnisse der Ereignisse.69 Bei einer Lotterie mit einem potentiellen Gewinn von 1.000 € (Eintrittswahrscheinlichkeit: 1%) und einem Einsatz von 5 € betragen die zwei Ergebnisse also –5 € oder +995 €. In diesem Fall wäre der Erwartungswert 0,99×–5 € + 0,01×995 €. Damit sind auch negative Konsequenzen – wie etwa das Schadensausmaß (oder hier: der finanzielle Verlust des Einsatzes durch eine Niete bei der Lotterie) – umfasst.

Allerdings wird darüber hinaus nach dem Bernoulli-Prinzip unterstellt, dass bspw. einem gewonnenen Geldbetrag nicht immer derselbe Nutzen zugemessen wird.70 Gewinnt demnach ein Spieler etwa mit drei Losen in Folge, dann wird dem dritten Gewinn ein höherer Nutzen zugemessen als wenn ein Spieler nach 100 gewinnenden Losen auch noch mit dem 101. Los gewinnt. Denn der Nutzen eines zusätzlichen Gewinns in Höhe von 1.000 € ist höher zu bemessen, wenn als Ausgangspunkt ein Gewinn von 2.000 € unterstellt wird, als wenn dieser Gewinn bereits 100.000 € betragen würde. Dies wird auch als subjektive Nutzenbewertung der möglichen Ergebnisse bezeichnet;71 entsprechend werden die Entscheidungsoptionen anhand des sog. Nutzenerwartungswertes (auch: Erwartungsnutzen)72 beurteilt.73 Nach dem Bernoulli-Prinzip wählen Entscheider unter mehreren Alternativen diejenige mit dem höchsten Nutzenerwartungswert aus. Es wird auch als „das wichtigste normative Entscheidungskriterium bei Risiko“74 bezeichnet, weshalb es hier exemplarisch dargestellt wird.

Allgemein bedeutet dies, dass Entscheider unter Rückgriff auf ihre jeweiligen subjektiven Nutzenbewertungen als risikoavers, risikoneutral oder risikoaffin (bzw. -freudig) bezeichnet werden können. Welche Risikoeinstellung Entscheider in der konkreten Situation aufweisen ist also davon abhängig, welchen subjektiven Nutzen sie bspw. einem Gewinn von 100 € zumessen. Angenommen, bei einem Gewinnspiel können mit gleicher Wahrscheinlichkeit 100 € gewonnen wie verloren werden, etwa durch Wurf einer Münze (Zahl: Gewinn von 200 €; Kopf: Niete; Einsatz: 100 €).75 Der Erwartungswert beträgt also 0,5×–100 € + 0,5×100 € und damit null. Während risikoneutrale Entscheider daher hinsichtlich einer Teilnahme am Gewinnspiel indifferent sind, würden risikoaffine bzw. -freudige Entscheider am Gewinnspiel teilnehmen. Risikoaverse Entscheider dagegen würden nicht am Gewinnspiel teilnehmen.76

Die obigen Ausführungen zeigen, dass es zu kurz gegriffen wäre, lediglich den Risikobegriff der Entscheidungstheorie heranzuziehen, um zu weiteren Erkenntnissen für die vorliegende Untersuchung zu gelangen. Denkbar wäre aber die Berücksichtigung eines gesamten Entscheidungsmodells, um auch den in anderen Disziplinen77 als Schadensausmaß beschriebenen Faktor zu integrieren. Kennzeichnend für die ökonomische Betrachtung – gerade im Gegensatz zu den Risikobegriffen, wie sie in anderen Disziplinen beschrieben werden – ist jedoch die Berücksichtigung der Risikoeinstellung des Entscheiders sowie die daraus folgende subjektive Bewertung des Nutzens der möglichen Ereignisse.78

Allerdings erscheint es nicht zielführend, diese Überlegungen auf die Auslegung rechtlicher Normen zu übertragen. Dies wird im Folgenden beispielhaft an der in Art. 32 Abs. 1 DSGVO enthaltenen Abwägung aufgezeigt. Art. 32 Abs. 1 DSGVO sieht u.a. die Berücksichtigung der Risiken für die Rechte und Freiheiten natürlicher Personen vor. Die Abwägung obliegt den jeweiligen Verantwortlichen bzw. Auftragsverarbeitern als Adressaten der Norm. Denkbar wäre zwar eine betroffenenfreundliche Auslegung, die stets in Bezug auf das Risiko der Betroffenen risikoaverse Entscheider – im hier gewählten Beispiel also Verantwortliche – unterstellt. Ebenso denkbar wäre es, die typische Risikoneigung von Betroffenen heranzuziehen. In diesen theoretischen Überlegungen sei zunächst unterstellt, dass sich diese Risikoneigungen messen oder anderweitig (annäherungsweise) bestimmen lassen. Für die Berücksichtigung spräche dann zwar, dass der Verantwortliche gerade derjenige ist, der mit der Datenverarbeitung – und dem Ausmaß ihrer organisatorischen und technischen Absicherung (vgl. Art. 25, 32 DSGVO) – über die Risiken für Betroffene maßgeblich entscheidet. Es könnte daher sachgerecht wirken, dass derjenige, der zusätzliche Risiken für Dritte schafft, auch deren Risikoneigung berücksichtigen muss.

Wäre es jedoch zutreffend, dass Verantwortliche im Rahmen der Abwägung nach Art. 32 Abs. 1 DSGVO eine Risikoeinstellung von Betroffenen unterstellen könnten – unbeachtlich der Fragestellung, wie eine solche gemessen bzw. ermittelt werden könnte – so würde diese Auffassung dazu führen, dass der den Normadressaten ohnehin durch die Gestaltung der Norm gewährte weite Konkretisierungsspielraum noch weiter auszulegen wäre. Dies wiegt umso schwerer, da der Wortlaut von Art. 32 Abs. 1 DSGVO bereits einige explizit genannte Kriterien enthält; die Berücksichtigung der Risikoneigung von Betroffenen würde im Ergebnis dazu führen, dass ein neues Kriterium in diesen Abwägungskatalog aufgenommen würde. Für diese Auslegung finden sich jedoch keine mit den juristischen Auslegungsmethoden ermittelbare Hinweise, insbesondere nicht im Wortlaut der Norm. Zugleich wäre mit der Berücksichtigung von Risikoneigungen eine normative Wertung verbunden, die losgelöst vom stets zu betrachtenden Einzelfall die Abwägung von Rechtsgütern vorwegnimmt. Solche normativen Abwägungen sind jedoch Kern der juristischen Methodik. Zwar können – und, vor allem in technisch geprägten Sacherhalten: sollten – interdisziplinäre Erkenntnisse dieser Methodik zur Seite stehen. Im vorliegenden Fall käme die Übernahme der ökonomischen Wertungen jedoch einer Ersetzung der Abwägung von Rechtsgütern gleich.

Zusammenfassend lässt sich also festhalten, dass die Erkenntnisse der Entscheidungstheorie sich grundsätzlich nicht auf die nähere Bestimmung von Risikobegriffen in rechtlichen Normen übertragen lassen. Hinweise darauf finden sich auch weder im Wortlaut der hier exemplarisch untersuchten Norm, noch lassen sie sich aus dem Willen des Gesetzgebers ableiten. Schließlich stünde selbst bei Befürwortung einer Übertragung der Erkenntnisse der Entscheidungstheorie die praktische Realisierung vor der Herausforderung, die Risikoneigung der Betroffenen zu messen oder anderweitig zu bestimmen. Von sehr spezifischen Einzelfragen abgesehen dürfte es nicht umsetzbar sein, Befragungen von Betroffenen oder andere empirische Messungen einzusetzen, um für jede Datenverarbeitung eine entsprechende Risikoneigung festzustellen. Jedenfalls deshalb verspricht die Übertragung oder Berücksichtigung entscheidungstheoretischer Erkenntnisse zur Risikobestimmung keinen relevanten Mehrwert.

Die hier anhand des Datenschutzrechts exemplarisch geführte Argumentation ist ebenso auf die anderen vorliegend analysierten Rechtsgebiete übertragbar. Eine weitere Auseinandersetzung mit den Erkenntnissen der Entscheidungstheorie an dieser Stelle unterbleibt daher.

Weitere Risikodefinitionen finden sich in technischen bzw. ingenieurswissenschaftlichen Bereichen, in denen sich Standards für Risikomanagement und damit auch Definitionen für Risiko herausgebildet haben. So beschreibt die ISO 31000:2018 Risiko sehr allgemein als „effect of uncertainty on objectives“, wobei eine Konkretisierung durch den Zusatz erfolgt, dass Risiko üblicherweise durch Faktoren wie Risikoquellen, potentielle Ereignisse, ihren Folgen und ihrer Eintrittswahrscheinlichkeit definiert werde.79

Allgemeinsprachlich wird Risiko als Möglichkeit beschrieben, „dass eine Handlung oder Aktivität einen […] Schaden oder Verlust zur Folge hat oder mit anderen Nachteilen verbunden ist“80 – wobei „Risiko“ nur verwendet werde, wenn die Folgen ungewiss seien; sei der Schadenseintritt sicher, liege kein Risiko vor.81 Anders als in der Ökonomie wird nicht zwischen Unsicherheit und Ungewissheit differenziert. Auch im Englischen findet sich ein vergleichbares Verständnis wieder: „the possibility of loss, injury, or other adverse or unwelcome circumstance“82 bzw. „the possibility of harm or damage causing financial loss […]“.83

Im rechtlichen Sinne ist Risiko etwa in der NIS-2-RL definiert als „das Potenzial für Verluste oder Störungen, die durch einen Sicherheitsvorfall verursacht werden, das als eine Kombination des Ausmaßes eines solchen Verlusts oder einer solchen Störung und der Wahrscheinlichkeit des Eintretens des Sicherheitsvorfalls zum Ausdruck gebracht wird;“ (Art. 6 Nr. 9 NIS-2-RL). Art. 3 Nr. 2 KI-VO definiert Risiko als „Kombination aus der Wahrscheinlichkeit des Auftretens eines Schadens und der Schwere dieses Schadens“. Kern ist also auch in diesen Fällen die Kombination von Schadensausmaß und Eintrittswahrscheinlichkeit. Ebenso definiert die sog. Medizinprodukte-Verordnung84 Risiko als „Kombination von Wahrscheinlichkeit eines Schadenseintritts und Schwere des Schadens“ (Art. 2 Nr. 23 MDR).

Art. 3 Nr. 4 der seit 13.12.2024 geltenden EU-Produktsicherheits-VO85 definiert Risiko als „das Verhältnis zwischen der Eintrittswahrscheinlichkeit einer Gefahr, die einen Schaden verursacht, und der Schwere des Schadens“.

Unter Rückgriff auf unionsrechtliche Regelungen zur Lebensmittelsicherheit schließen Appel/Mielke darauf, dass „Risiko“ nach dem unionsrechtlichen Verständnis einen „Sammelbegriff für alle Wahrscheinlichkeits- und Möglichkeitsgrade eines Schadenseintritts“86 darstelle, ohne dabei das Schadensausmaß zu erwähnen. Nach der sog. Lebensmittelbasisverordnung ist Risiko „eine Funktion der Wahrscheinlichkeit einer die Gesundheit beeinträchtigenden Wirkung und der Schwere dieser Wirkung als Folge der Realisierung einer Gefahr“.87 Definiert werden dort auch die Begriffe Risikoanalyse, -bewertung, -management und -kommunikation.88 Soweit die Literatur den Begriff „Funktion“ genauer analysiert, wird ihm die Bedeutung zugeordnet, dass er die Wahrscheinlichkeit und Schwere der Wirkung „in eine Beziehung zueinander“89 setzt; im Ergebnis entspreche der Begriff „dem verfassungsrechtlichen Grundsatz der Verhältnismäßigkeit“.90

Neben diesen Regelungen weist Macenaite darauf hin, dass unionsrechtliche Regulierung auch in anderen Bereichen auf Risikoanalyse und -management zurückgreift.91 Bspw. ist dies in den Bereichen chemische Stoffe,92

Pflanzenschutzmittel93 und kosmetische Mittel,94 der Fall, wobei der Risikobegriff in diesen Rechtsakten jedoch nicht explizit definiert wird. Teils wird Risiko bemerkenswert weitgehend wie allgemein definiert, etwa als „Sachlage, bei der ein Schaden eintreten kann“.95 Die Quantifizierung des Risikos soll demnach wiederum als Produkt96 von Schadensausmaß und Eintrittswahrscheinlichkeit erfolgen.97

Die dargestellten Risikobegriffe haben damit gemeinsam, dass die Faktoren der (Eintritts-)Wahrscheinlichkeit und des Schadensausmaßes berücksichtigt werden. Unterschiedlich ist dagegen naturgemäß, inwieweit sich Risiken nach den jeweiligen Risikobegriffen quantifizieren lassen. Eine solche Quantifizierung würde auch Potentiale für eine rechtssichere Ableitung von technischen und organisatorischen Schutzmaßnahmen aus Normen des IT-Sicherheitsrechts bieten. Im Folgenden wird daher skizziert, inwieweit für den hiesigen Untersuchungsgegenstand relevante Ansätze zur Quantifizierung von Datenschutz- und IT-Sicherheitsrisiken existieren.

2. Quantifizierbarkeit von Risiko

Gerade Risiken im Bereich des Datenschutzes und der IT-Sicherheit sind nicht trivial zu quantifizieren. Dies gilt selbst für bereits verwirklichte Risiken und deren ökonomische Bewertung. Welchen quantifizierbaren Schaden etwa ein unberechtigter Zugriff auf die IT-Infrastruktur eines Unternehmens zur Folge hat, ist nicht eindeutig zu beantworten. Versicherungsrechtlich relevante Annäherungen sind zwar möglich, wenn etwa bei Ransomwareangriffen Lösegeldzahlungen geleistet werden. Auch dann sind jedoch anderweitige Schäden – wie ein etwaiger Reputationsschaden oder Produktionsausfälle – nur durch Annäherung zu beziffern.98

Dagegen existieren in der IT-Sicherheitsforschung sowie der technischen Datenschutzforschung einige Ansätze, die sich auf die Quantifizierung des Sicherheits- bzw. des Datenschutzniveaus von Systemen fokussieren. Zwar wird damit nicht unmittelbar das Risiko gemessen; jedoch stellt das Sicherheits- bzw. Datenschutzniveau einen maßgeblichen Faktor für die Beurteilung des Risikos dar. So können bspw. verschiedene Arten von Systemen und Angriffsszenarien sowie Konzepte zu deren Mitigation berücksichtigt werden; das ermittelte Sicherheitsniveau wird sodann mit einem „security score“ ausgedrückt.99 Ebenso existieren Bewertungsansätze, die IT-Sicherheits- und Datenschutzaspekte zugleich vergleichen sollen; beispielsweise wurde ein solcher Ansatz für die Bewertung von Contact-Tracing-Apps entwickelt.100 Um das Datenschutzniveau zu bewerten, wurden die Apps dahingehend analysiert, ob sie bestimmte Datenschutzprinzipien erfüllen, teilweise erfüllen oder nicht erfüllen.101 Die Prinzipien wurden der öffentlichen Fachdiskussion zu Contact-Tracing-Apps entnommen und umfassten etwa den Grundsatz der Datenminimierung sowie die Definition von Löschfristen.102 Um das Sicherheitsniveau zu bewerten, wurden potentielle Schwachstellen identifiziert. Auf Basis der Dokumentation wurde sodann analysiert, wie sich die Ausnutzung der Schwachstellen auswirken würde; je nachdem ob bzw. wie schwerwiegend die Auswirkungen zu bewerten sind, wurde sodann ein Zahlenwert zwischen 0 und 10 vergeben.103

Diese Quantifizierungsansätze aus der technischen IT-Sicherheits- und Datenschutzforschung nehmen als primären Bezugspunkt also das jeweilige Niveau an IT-Sicherheit bzw. Datenschutz in den Blick. Im Umkehrschluss lassen sich daraus sodann Aussagen über das Risiko des Einsatzes bestimmter IT-Systeme bzw. der Durchführung bestimmter Datenverarbeitungen ableiten.

Teilweise werden jedoch auch Bewertungsansätze entwickelt, die direkt die Messung des Risikos zum Ziel haben.104 Zusammenfassend bleibt festzuhalten, dass die technische Literatur zahlreiche Metriken bzw. Scoring-Verfahren zur Bewertung von Datenschutz- und IT-Sicherheitsaspekten beschreibt.105

Soweit rechtliche Anforderungen es erfordern, ein Risiko für die IT-Sicherheit oder den Datenschutz eines Systems bzw. einer Datenverarbeitung zu ermitteln, kann hierzu also auf Ansätze aus der technischen Datenschutz- und IT-Sicherheitsforschung zurückgegriffen werden. Zugleich ist die Aussagekraft dieser Ansätze bereits aus tatsächlichen Gründen beschränkt – d.h. unabhängig von der Frage, ob solche Ansätze überhaupt Rechtsbegriffe ausfüllen könnten. Denn auch soweit die technische Perspektive auf die Quantifizierung von Risiko den Anspruch hat, objektive Bewertungen vorzunehmen,106 so wird dennoch kritisiert, dass selbst diese Verfahren Interpretationen und andere subjektive Merkmale beinhalten.107 Dies zeigt sich beispielsweise bei der oben beschriebenen Untersuchung zu Contact-Tracing-Apps in der Wahl und Bewertung der Sicherheitskriterien. Zudem ist die Bewertung des Datenschutz- und Sicherheitsniveaus nur einer der Faktoren, der für die Quantifizierung von Risiken relevant ist. Dies führt nicht dazu, dass Ansätze aus der IT-Sicherheits- und technischen Datenschutzforschung nicht berücksichtigt werden sollten; allerdings darf ihre Aussagekraft nicht als absolut verstanden werden.108

3. Fazit

Festzuhalten bleibt, dass inter- wie intradisziplinär bei der Bestimmung von Risikobegriffen erwartungsgemäß Spezifika zu berücksichtigen sind, zugleich jedoch eine grundsätzliche Einigkeit hinsichtlich der abstrakten Beschreibung von Risiko über die Faktoren der Eintrittswahrscheinlichkeit sowie des Schadensausmaßes besteht. Der Bezug der Faktoren zueinander wird unterschiedlich beschrieben: teils soll sich das Risiko aus dem „Produkt“ der Faktoren ergeben, teils erfolgt die Beschreibung abstrakter als „Kombination“ oder „Verhältnis“. Diese Unterschiede ergeben sich zum Teil aus den Spezifika von Risiken in einzelnen Teilgebieten – denn Risiken sind stets spezifisch für bestimmte Rechtsgüter, das medizinische Risiko einer Impfung wird anders beschrieben werden als ein Risiko im Sinne der DSGVO oder das Risiko einer Gewinnspielteilnahme. So ist etwa ein – tatsächlich mathematisch als Ergebnis einer Multiplikation verstandenes – Produkt von Eintrittswahrscheinlichkeit und Schadensausmaß nur dann zielführend, wenn die Faktoren auch mit konkreten Zahlen versehen werden können. Dies erfordert also eine Quantifizierbarkeit. In Fällen mangelnder Messbarkeit kann dies zwar auch durch subjektive Einschätzungen erfolgen; zugleich ist damit jedoch bereits ein Verlust an Präzision verbunden. Die Angabe einer konkreten – ggf. auch nur geschätzten – Zahl birgt zudem die Gefahr des Anscheins einer (gerade nicht vorhandenen) Präzision. Insbesondere im Bereich des risikobasierten IT-Sicherheitsrechts ist die Quantifizierung – wie dargestellt – nur sehr eingeschränkt möglich, auch wenn einzelne Faktoren, wie etwa Datenschutz- und IT-Sicherheitsniveaus, annäherungsweise bestimmt werden können. Selbst wenn – anders als hier vertreten – die Berücksichtigung oder gar Übernahme von entscheidungstheoretischen Erkenntnissen zur Risikoneigung befürwortet werden würde, stünde diese Auffassung vor einem theoretisch-abstrakt begründeten, praktisch jedoch in aller Regel kaum umsetzbaren Konstrukt zur Bestimmung von Risiko. Das mit dieser Untersuchung bezweckte Ziel einer Konkretisierung technischer Schutzmaßnahmen aus rechtlichen Anforderungen des IT-Sicherheitsrechts ist damit nicht erreichbar.

  1 Für die Konkretisierung des Untersuchungsgegenstandes aus technischer Perspektive vgl. Kapitel 2 B.

  2 Gesetz zur Durchführung der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG sowie zur Durchführung der Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten und zur Änderung weiterer Gesetze.

  3 Die Definition basiert auf den Ausführungen von Roßnagel/Geminn/Jandt/Richter, Datenschutzrecht 2016. „Smart“ genug für die Zukunft?, S. 8–10, 12. Sie wurde für die Zwecke dieser Ausarbeitungen um den Einsatzbereich außerhalb des Wohnumfeldes erweitert. In der technischen Literatur finden sich tendenziell weitere Definitionsansätze, die insoweit als mit der vorliegenden Arbeitsdefinition vereinbar eingeordnet werden können, vgl. etwa: ENISA, Threat Landscape and Good Practice Guide for Smart Home and Converged Media v. 01.12.2014, S. 5–6. Verbreitet sind auch Definitionen, die sich auf eine private Nutzung im Wohnumfeld beschränken, vgl. nur: Zitzelsberger, Smart Strafrecht, S. 81f.

  4 Vgl. hierzu Kapitel 2 B. I sowie Kapitel 2 C.

  5 Veil, ZD 2018, 9 (13); Raji, ZD 2020, 279 (281f.); Schröder, ZD 2019, 503 (503).

  6 Veil, ZD 2018, 9 (13); Raji, ZD 2020, 279 (281f.).

  7 Vgl. die Darstellung des Gesetzgebungsprozesses in Bezug auf den risikobasierten Ansatz bei Schröder, ZD 2019, 503 (503f., 505f.); vgl. daneben Albrecht, in: Simitis/Hornung/Spiecker gen. Döhmann DSGVO, Einleitung Rn. 225, 227; Hornung/Spiecker gen. Döhmann, in: Simitis/Hornung/Spiecker gen. Döhmann DSGVO, Einleitung Rn. 277.

  8 Vgl. Partsch/Rump, NJW 2020, 118 (119ff.); Dorner, in: Schuster/Grützmacher, IT-Recht, § 2 GeschGehG Rn. 38f.; Ohly, GRUR 2019, 441 (443f.).

  9 Lauck, GRUR 2019, 1132 (1132); Schuster, CR 2020, 726 (729); Gola, DuD 2019, 569 (570).

 10 Vgl. hierzu Kapitel 1 C. IV. 1.

 11