II. Technisch mögliche und wirtschaftlich Zumutbare Maßnahmen

Im ersten Teil meines Blogs habe ich dargelegt, daß die Maßnahmen nach dem IT Sicherheitsgesetz folgenden Kriterien genügen müssen:

– Stand der Technik

– Technische Möglichkeit

– wirtschaftlich Zumutbar

Mit dem Tatbestandsmerkmal „Stand der Technik“ habe ich mich im ersten Blog befasst.

Die Diensteanbieter haben unbefugte Zugriffe und Störungen durch technisch organisatorische Maßnahmen zu unterbinden, soweit dies technisch möglich und wirtschaftlich zumutbar ist.

Das Merkmal der technischen Möglichkeit ist von geringer juristischer Relevanz . Technisch machbar ist vieles, aber ob es dem Diensteanbieter zumutbar ist, alles was technisch machbar ist auch umzusetzen, dürfte  die in Praxis entscheidende Frage sein.

Um das Kriterium der Zumutbarkeit mit Leben auszufüllen, greifen Juristen auf bestimmte und bewährte Argumentationsschemen zurück. Erste Erkenntnis hierbei: Was zumutbar ist, lässt sich nur anhand der konkreten Umstände des Einzelfalles und nicht abstrakt sagen.

Zweite Erkenntnis: Wie auch in der DS GVO kann auf folgende Topoi zurückgegriffen werden.

– Eintrittswahrscheinlichkeit

– Art, Umfang und Zweck der Datenverarbeitung und des IT Systems

– Risikowahrscheinlichkeit und Höhe des zu erwartenden Schadens (Downzeiten, Datenverluste etc.)

– Kosten und Unternehmensgröße

Im Datenschutzrecht wird der Terminus des „angemessenen Schutzniveaus“ verwendet, dem die TOM entsprechen müssen. Speziell für Websites werden folgende Topoi bei der Abwägung helfen:

– Welche Daten sind betroffen

– Wie groß ist das Risiko (Unternehmenszweck, Zweck der Datenverarbeitung, Schadensszenarien, gab es schon in der Vergangenheit Risiken)

– Funktionalitäten der Website (Kontaktformulare, Datenbankenanbindung etc.)

In Ermangelung etlicher Standards oder gerichtlicher Entscheidungen kann aber noch nicht gesagt werden, was „zumutbar“ ist. Eigentlich gilt nur: Wer weiß, daß er einem größerem Risiko ausgesetzt ist, mit sensiblen personenbezogenen Daten umgeht oder in der Vergangenheit bereits Angriffen ausgesetzt war, hat mehr Geld auszugeben als diejenigen Unternehmen, für die das nicht gilt. Was das aber heißt und welche konkreten Mehraufwände dann zu treiben sind, darüber schweigt das Gesetz. Wie ich oben schon sagte, sollte man sich an dem Merkmal vernünftigen Unternehmertums orientieren und sich nicht durch die Beraterzunft nervös machen lassen. Es ist damit zu rechnen, daß die Behörden auch das zur Anwendung bringen, was man „vernünftigerweise“ erwarten durfte womit der Jurist meint, daß Dinge zu unterlassen sind, die offenkundig unvernünftig sind.