Refe­ren­ten­ent­wurf ver­öf­fent­licht – das frei­wil­li­ge IT-Sicherheitskennzeichen kommt

Durch das IT-Sicherheitsgesetz 2.0 hat das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) den Auf­trag erhal­ten, ein frei­wil­li­ges IT-Sicherheitskennzeichen zur Ver­bes­se­rung der Ver­brau­cher­infor­ma­ti­on ein­zu­füh­ren. Bereits Ende des Jah­res sol­len Ver­brau­cher durch das Kenn­zei­chen die Mög­lich­keit erhal­ten, sich leicht über vom Her­stel­ler zuge­si­cher­te Sicher­heits­funk­tio­nen von Pro­duk­ten und Diens­ten zu infor­mie­ren. Das IT-Sicherheitskennzeichen soll als frei­wil­li­ges Label für IT-Produkte auf Basis des § 9c BSIG aus­ge­stal­tet wer­den. Es trifft jedoch kei­ne Aus­sa­gen zum Datenschutz.

Das frei­wil­li­ge IT-Sicherheitskennzeichen ist ver­gleich­bar mit einer Cyber­si­cher­heits­zer­ti­fi­zie­rung nach dem Cyber­se­cu­ri­ty Act, mit die­sem jedoch nicht iden­tisch. Es ist aber wahr­schein­lich, dass das natio­na­le IT-Sicherheitskennzeichen spä­ter in die euro­päi­sche Cyber­si­cher­heits­zer­ti­fi­zie­rung über­führt wird. Das BSI deu­tet einen ent­spre­chen­den Über­gang sogar bereits auf der Web­sei­te an, sicher ist das jedoch keineswegs.

Rele­vanz für Unternehmen

Unter­neh­men sind durch die Kenn­zeich­nung zukünf­tig in der Lage, die Sicher­heits­ei­gen­schaf­ten ihrer IT-Produkte leicht erkenn­bar zu machen, und kön­nen sich damit am Markt her­vor­he­ben. Auf­grund des stei­gen­den Infor­ma­ti­ons­be­dürf­nis­ses des Ver­brau­chers zu Cybersecurity-Aspekten kann die Kenn­zeich­nung daher ein Ver­kaufs­ar­gu­ment darstellen.

Antrags­ver­fah­ren und Marktaufsicht

Eine Antrag­stel­lung soll im Lau­fe des Jah­res für Breit­band­rou­ter, die unter den Anwen­dungs­ge­gen­stand der BSI TR-03148 fal­len, ermög­licht wer­den. Wei­te­re Pro­dukt­ka­te­go­rien sol­len fol­gen. Die ein­ge­reich­ten Her­stel­ler­er­klä­run­gen wer­den einer Vollständigkeits- und Plau­si­bi­li­täts­prü­fung unter­zo­gen, für die das BSI regel­mä­ßig eine Frist von sechs Wochen vorsieht.

Die Ertei­lung des Kenn­zei­chens erfolgt in der Regel für min­des­tens zwei Jah­re. Wäh­rend die­ser Zeit ist der Her­stel­ler ver­pflich­tet, die Kon­for­mi­tät des Pro­duk­tes auf­recht­zu­er­hal­ten und dem BSI Ände­run­gen mit­zu­tei­len. Das BSI ist zugleich berech­tigt, die durch den Her­stel­ler zuge­si­cher­ten Anfor­de­run­gen stich­pro­ben­ar­tig oder anlass­be­zo­gen zu überprüfen.

Eine Ableh­nung des Antrags kommt in Betracht, wenn Hin­wei­se dafür vor­lie­gen, dass das Pro­dukt oder die mit dem Pro­dukt aus­ge­lie­fer­te Soft­ware bekann­te Sicher­heits­lü­cken ent­hält und bereits eine War­nung oder Infor­ma­ti­on nach §§ 7, 7a BSIG erfolgt ist bzw. Maß­nah­men nach § 9c Abs. 8 BSIG getrof­fen wur­den. Liegt zu einem spä­te­ren Zeit­punkt ein Ver­stoß gegen die Her­stel­ler­er­klä­rung vor oder sind die gesetz­li­chen Vor­aus­set­zun­gen nicht erfüllt, so kann das IT-Sicherheitskennzeichen nach § 9c Abs. 8 BSIG ent­zo­gen werden.

Aktu­el­le Entwicklungen

Erst kürz­lich hat das Bun­des­mi­nis­te­ri­um des Innern, Bau und Hei­mat (BMI) den Ent­wurf einer Rechts­ver­ord­nung zum IT-Sicherheitskennzeichen des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik ver­öf­fent­licht. Inhalt des Ent­wurfs ist die Gestal­tung und Ver­wen­dung des IT-Sicherheitskennzeichens. Es soll aus der Her­stel­ler­er­klä­rung und der Sicher­heits­in­for­ma­ti­on bestehen, auf die bei­de auf dem Eti­kett ver­wie­sen wird. Dar­über hin­aus ent­hält der Ent­wurf Rege­lun­gen zu Antrags­ver­fah­ren und ‑prü­fung. Ver­brau­cher­infor­ma­tio­nen zu Pro­duk­ten mit Frei­ga­be zur Nut­zung sol­len auf der Web­sei­te des BSI ver­öf­fent­licht werden.

In die­sem Zusam­men­hang erge­ben sich wei­te­re Fra­ge­stel­lun­gen in Bezug auf die Ver­pflich­tung der Her­stel­ler, dem BSI die für die pro­dukt­spe­zi­fi­sche Web­sei­te not­wen­di­gen Infor­ma­tio­nen bereit­zu­stel­len (sog. dyna­mi­sches Infor­ma­ti­ons­an­ge­bot). So ent­hält der neue § 327f BGB (PDF) (Inkraft­tre­ten am 01.01.2022) für Ver­brau­cher­ver­trä­ge über digi­ta­le Pro­duk­te die Ver­pflich­tung, wäh­rend der Nut­zungs­dau­er Aktua­li­sie­run­gen, die zum Erhalt der Ver­trags­mä­ßig­keit des digi­ta­len Pro­dukts erfor­der­lich sind, bereit­zu­stel­len und den Ver­brau­cher hier­über zu infor­mie­ren. Zu den Aktua­li­sie­run­gen zäh­len auch Sicher­heits­up­dates. Die Vor­schrift dient der Umset­zung der EU-Richtlinie 2019/770 über “bestimm­te ver­trags­recht­li­che Aspek­te der Bereit­stel­lung digi­ta­ler Inhal­te und digi­ta­ler Dienst­leis­tun­gen” (kurz: Digitale-Dienste-Richtlinie). Die Dau­er der Update­pflicht rich­tet sich bei einer dau­er­haf­ten Bereit­stel­lung von digi­ta­len Pro­duk­ten nach dem Bereit­stel­lungs­zeit­raum und in ande­ren Fäl­len nach der ver­nünf­ti­gen Ver­brau­cher­er­war­tung. Ob sich jedoch ein Wech­sel­spiel zwi­schen dem frei­wil­li­gen IT-Sicherheitskennzeichen und den Pflich­ten für Unter­neh­men nach § 327f BGB ergibt, lässt sich zum jet­zi­gen Zeit­punkt nicht abschlie­ßend beurteilen.

Da Unter­neh­men über das dyna­mi­sche Infor­ma­ti­ons­an­ge­bot auch auf bestehen­de Sicher­heits­pro­ble­me oder Sicher­heits­up­dates hin­wei­sen und Hand­lungs­emp­feh­lun­gen aus­spre­chen kön­nen, dürf­te im Fall von ent­spre­chen­den Infor­ma­tio­nen wenigs­tens von einer Indi­z­wir­kung für die Erfül­lung von § 327f BGB zuguns­ten des Unter­neh­mens aus­zu­ge­hen sein. Eine ver­gleich­ba­re Indi­z­wir­kung könn­te dem IT-Sicherheitskennzeichen dar­über hin­aus bei der Erfül­lung der daten­schutz­recht­li­chen Anfor­de­run­gen an die IT-Sicherheit aus Art. 32 DSGVO, die auch für Her­stel­ler von Bedeu­tung sind, zukom­men. Der Trend, dass sich die Daten­schutz­auf­sichts­be­hör­den bei Fra­ge­stel­lun­gen zur IT-Sicherheit stark an den Vor­ga­ben des BSI ori­en­tie­ren, könn­te damit wei­ter ver­stärkt werden.