Den Begriff »Stand der Technik« finden Sie aber auch in zahlreichen anderen rechtlichen Regelungen. Neben der DS-GVO kommt er zum Beispiel noch in diesen Rechtsvorschriften vor:
§ 8a Abs. 1. BSI-Gesetz: »… Dabei soll der Stand der Technik eingehalten werden …«
§ 75b Abs. 3 SGB V: »… festzulegenden Anforderungen müssen dem Stand der Technik entsprechen …«
§ 75c Abs. 1 SGB V:»… nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen …«
§ 165 Abs. 1 TKG:»… Dabei ist der Stand der Technik zu berücksichtigen …« und Abs. 2 »… Bei diesen Maßnahmen ist der Stand der Technik zu berücksichtigen …«
§ 6 Abs. 2 TTDSG: »…Soweit es im Hinblick auf den angestrebten Schutzzweck erforderlich ist, sind die Maßnahmen dem jeweiligen Stand der Technik anzupassen …«
§ 19 Abs. 4 TTDSG: »… Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen …«
Art. 14 Abs. 1 und Art. 16 Abs. 1 NIS-Richtlinie: »… Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist …«
Art. 52 Abs. 7 CyberSecurity-Verordnung: »… die erforderlichen Sicherheitsfunktionen entsprechend dem neuesten Stand der Technik ordnungsgemäß durchführen …«
In den Formulierungen sehen Sie auch die unterschiedliche Intensität der gesetzlichen Forderung. Es ist ein Unterschied, ob der Stand der Technik »berücksichtigt« oder »eingehalten« werden muss. Vor allem müssen wir uns diese Frage stellen: Was ist eigentlich der »Stand der Technik«?
Diese Frage wurde vom Bundesverfassungsgericht bereits 1978 in der sogenannten »Kalkar-Entscheidung« (Kalkar I, BVerG 49, 89) aufgegriffen. Nach der von Breuer [Bre76] 1976 entwickelten und vom Bundesverfassungsgericht angewandten Drei-Stufen-Theorie kann auf die folgenden drei Stufen der erforderlichen technischen Maßnahmen zurückgegriffen werden:
»allgemein anerkannte Regeln der Technik«,
»Stand der Technik« und
»Stand von Wissenschaft und Technik«.
Im allgemeinen Sprachgebrauch reden wir häufig vom »Stand von Wissenschaft und Forschung«. Das Bundesverfassungsgericht hat aber tatsächlich den Begriff »Stand von Wissenschaft und Technik« verwendet. Da es hier um die Technikgestaltung geht, macht das Sinn.
»Durch die Verwendung unbestimmter Rechtsbegriffe werden die Schwierigkeiten der verbindlichen Konkretisierung und der laufenden Anpassung an die wissenschaftliche und technische Entwicklung mehr oder weniger auf die administrative und – soweit es zu Rechtsstreitigkeiten kommt – auf die judikative Ebene verlagert. Behörden und Gerichte müssen mithin das Regelungsdefizit der normativen Ebene ausgleichen.«, schreibt das Bundesverfassungsgericht in seinem Beschluss (RdNr. 104; die Randnummern beziehen sich auf die Kalkar-Entscheidung des Bundesverfassungsgerichts). Als Informationssicherheits- oder Datenschutzbeauftragter ist es Ihre Aufgabe, diese unbestimmten Rechtsbegriffe im Unternehmen mit Leben zu füllen, denn die Formulierung des Bundesverfassungsgerichts gilt auch für Unternehmen. Auch Unternehmen müssen die Regelungsdefizite des Gesetzgebers ausgleichen. Die Entscheidung des Bundesverfassungsgerichts gibt dabei eine Orientierung. Das sollten Sie übrigens nicht nur negativ sehen. Die Alternative wäre eine detaillierte Technikgestaltung durch den Gesetzgeber und damit eine Einschränkung der Gestaltungsmöglichkeiten der Unternehmen.
Den unbestimmten Rechtsbegriff »allgemein anerkannte Regeln der Technik« finden Sie erstmalig im § 3 Abs. 1 des Gesetzes über technische Arbeitsmittel (Maschinenschutzgesetz; mittlerweile außer Kraft) von 1968. Der Rechtsbegriff ist außerdem im Baurecht üblich. Hier gibt es sogar den Straftatbestand der »Baugefährdung« (§ 319 StGB), wenn die »Planung, Leitung oder Ausführung eines Baues oder des Abbruchs eines Bauwerks« nicht den allgemein anerkannten Regeln der Technik entspricht.
Die Informationssicherheits- und Datenschutzbeauftragten können sich bei den »anerkannten Regeln der Technik« darauf beschränken, die herrschende Meinung der technischen Fachleute auf ihrem Gebiet und den Grad der Bewährung in der Praxis festzustellen. Nachteilig ist jedoch, »daß die Rechtsordnung mit dem Maßstab der allgemein anerkannten Regeln [der Technik] stets hinter einer weiterstrebenden technischen Entwicklung herhinkt«. (RdNr. 105 der Urteils des BVerfG)
Der Rechtsbegriff »Stand der Technik« wird erstmalig im § 5 Nr. 2 (heute § 5 Abs. 1 Nr. 2) des Bundes-Immissionsschutzgesetzes von 1974 benutzt. Der Begriff stellt nicht mehr auf die Mehrheitsmeinung der technischen Fachleute ab. Vielmehr ist der aktuelle Stand der technischen Entwicklung zu berücksichtigen. Hier müssen Sie in Ihrer Beurteilung auch die unterschiedlichen Meinungen der technischen Fachleute berücksichtigen, um aus der Würdigung der Argumente zu einer (eigenen) Meinung zu kommen. Maßstab der Meinungsbildung ist, was technisch als Maßnahme notwendig, geeignet und angemessen ist beziehungsweise was als Störung vermeidbar ist (vgl. R. Breuer, aaO). (RdNr. 106)
Der Rechtsbegriff »Stand von Wissenschaft und Technik« bezieht sich auf Maßnahmen nach neuesten Erkenntnissen des aktuellen Stands der wissenschaftlichen und technischen Entwicklung. Der Begriff wird im § 7 Abs. 2 Nr. 3 Atomgesetz verwendet, wo verlangt wird, »die nach dem Stand von Wissenschaft und Technik erforderliche Vorsorge gegen Schäden durch die Errichtung und den Betrieb der Anlage« zu treffen. Aspekte wie Bewährung in der Praxis und mehrheitliche Meinung der Experten spielen keine Rolle mehr. »Es muß diejenige Vorsorge gegen Schäden getroffen werden, die nach den neuesten wissenschaftlichen Erkenntnissen für erforderlich gehalten wird.« (RdNr. 107 f.)
Eine Datenschutzaufsichtsbehörde darf von Unternehmen im Bereich IT-Sicherheit keine Maßnahmen nach »Stand von Wissenschaft und Technik« verlangen. Deutlich wurde dies im Jahr 2020 bei der Diskussion zwischen Unternehmen und Aufsichtsbehörden über Ende-zu-Ende-verschlüsselte Videokonferenzen [GGHP20]. In einer solchen Diskussion muss dann eine Aufsichtsbehörde unter sinngemäßer Anwendung des Beschlusses des Bundesverfassungsgerichts in eine Prüfung und Einstufung der technisch-organisatorischen Maßnahmen eintreten. Dies ist auch für eine Aufsichtsbehörde eine technisch aufwendige Beurteilung.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) (
https://www.teletrust.de
) hat in der Arbeitsgruppe »Stand der Technik« eine Handreichung zum »Stand der Technik« erstellt, die bei der Einstufung einer IT-Sicherheitstechnik hilft. Dazu werden per Fragebogen Fachleute befragt. Diese stufen eine Technik nach Grad der Bewährung in der Praxis und nach Grad der Anerkennung durch Fachleute jeweils auf einer Skala von null bis fünf ein. Dabei werden die Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität betrachtet.
Abschließend wird der Mittelwert über die Antworten gebildet. Bei einem Wert von null bis 1,5 für beide Dimension handelt es sich um den »Stand von Wissenschaft und Technik« (SvWuT), von 1,5 bis 3,5 ist es »Stand der Technik« (SdT) und oberhalb von 3,5 sind es »allgemein anerkannte Regeln der Technik« (aaRdT). Die Beurteilung stellt sich dann als ein Punkt in einem Diagramm dar (siehe Abbildung 5.1). In der Handreichung sind gängige technische Themen von Passwortsicherheit über Verschlüsselung und Netzwerksicherheit bis zu Überwachung von Verzeichnisdiensten und identitätsbasierter Segmentierung nach dieser Methode bewertet.
Abbildung 5.1: Die beispielhafte Auswertung der Fragebögen zur Bewertung des Stands der Technik einer bestimmten Technik (nach TeleTrusT, Handreichung