Kapitel 1 - Ausgangsüberlegungen und Begriffsbestimmung

Im Folgenden werden zunächst Ausgangsüberlegungen zur Auswahl der untersuchten Fragestellungen sowie zu Methodik und Motivation erläutert (vgl. Abschnitt A.). Darauf aufbauend wird der Untersuchungsgegenstand aus rechtlicher (vgl. Abschnitt B.) - sowie an späterer Stelle aus technischer (vgl. Kapitel 2 B.) - Sicht konkretisiert. Kapitel 1 enthält zudem Ausgangsüberlegungen zum Begriff des Risikos, der Risikoregulierung sowie der risikobasierten Regulierung (vgl. Abschnitt C.).

A. Ausgangsüberlegungen zu Inhalt, Methodik und Motivation

Der Ausgangspunkt der Arbeit liegt schwerpunktmäßig in folgender Fragestellung:

Welche rechtlichen Anforderungen an technische Maßnahmen der IT-Sicherheit für Produkte des Internet of Things ergeben sich nach der aktuellen Rechtslage und wie lassen sich diese zu implementierenden Maßnahmen konkretisieren?

Eine naheliegende Ausgangsüberlegung hinsichtlich der Konkretisierung ist, dass der Begriff Internet of Things einen zu weiten Interpretationsspielraum zulässt, um ausreichend konkrete technische Vorgaben zu definieren. Deshalb wird die Fragestellung insoweit spezifiziert, dass bei der Analyse der rechtlich hierfür relevanten Normen die gewonnenen Erkenntnisse exemplarisch auf einen bestimmten Untersuchungsgegenstand angewandt und - unter Hinzuziehung entsprechender technischer Literatur - mit konkreten technischen Maßnahmen verknüpft werden. Die Arbeit verfolgt methodisch insoweit einen interdisziplinären Ansatz. Neben der Analyse der rechtlichen Forschungsfragen - welche überblicksartig im Folgenden (Kapitel 1 B.) skizziert werden - soll gerade diese Verknüpfung der (abstrakten) rechtlichen Anforderungen und die darauf basierende Ableitung (konkreter) technischer Maßnahmen den Mehrwert der Untersuchung darstellen.

Die Analyse konzentriert sich daher zum einen auf die Ermittlung der einschlägigen rechtlichen Anforderungen für den Untersuchungsgegenstand. Ziel ist es, die Anforderungen exemplarisch im Bereich der Smart-Home-Geräte zu konkretisieren, sodass sie handhabbar für eine Verknüpfung mit einzelnen technischen Maßnahmen werden. Die Vorgehensweise soll daher nicht zu vom Untersuchungsgegenstand losgelösten Erkenntnissen über die rechtlichen Anforderungen führen. Es wird also etwa nicht nur analysiert, welche Anforderungen nach Art. 32 DSGVO allgemein gelten und wie sich die Auslegung des Stands der Technik und des sog. risikobasierten Ansatzes hierauf auswirken. Vielmehr wird des Weiteren dargelegt, wie sich diese Anforderungen auf den Untersuchungsgegenstand der Smart-Home-Geräte auswirken. Der Grund hierfür liegt in der Prämisse, dass eine allgemeine Betrachtung der Anforderungen keine ausreichend konkrete Untersuchung zulässt, weshalb für die bezweckte interdisziplinäre Verknüpfung eine Beschränkung des Untersuchungsgegenstandes erforderlich ist.

Die vorliegende Untersuchung nimmt - im Zuge ihrer Zielsetzung einer Konkretisierung der zu treffenden Schutzmaßnahmen - auch auf übergreifende Aspekte von Regulierung Bezug. Berücksichtigt wird dabei insbesondere, dass auch in anderen Rechtsgebieten aus abstrakt gehaltenen Prinzipien und Normen konkrete Maßnahmen abgeleitet werden müssen. Dies gilt etwa für das Umweltrecht, das - im Vergleich zum Datenschutzrecht - bereits seit längerer Zeit Aspekte der Risikoregulierung enthält. Die Untersuchung zieht daher die Grundgedanken der dort verwendeten Methodik der Regulierung heran und prüft eine Übertragbarkeit auf die hinsichtlich des Untersuchungsgegenstands relevante Regulierung von IT-Sicherheit. Denn obwohl die im Folgenden untersuchten Normen nicht in jedem Fall explizit in ihrem Wortlaut einen Risikobezug aufweisen, lautet eine These dieser Untersuchung, dass alle schwerpunktmäßig untersuchten Normen zumindest in ihrer konkreten Anwendung Aspekte einer risikobasierten Regulierung von IT-Sicherheit aufweisen. Diese These wird in den folgenden Ausführungen iterativ aufgegriffen und daraufhin untersucht, inwieweit sie auf die konkreten Normen zutrifft.

B. Konkretisierung der Themenwahl aus rechtlicher Sicht

Aus rechtlicher Sicht1 werden alle für die o.g. Fragestellung relevanten Normen analysiert. Dies umfasst einerseits schwerpunktmäßig Normen des Datenschutzrechts. Neben den Vorgaben aus Art. 25 Abs. 1 DSGVO (Privacy by Default) und Art. 25 Abs. 2 DSGVO (Privacy by Design) ist vor allem Art. 32 DSGVO hierfür relevant. Untersucht wird der genaue Regelungsgehalt der einzelnen Normen sowie deren Verhältnis zueinander. Ein besonderer Fokus liegt dabei auf der Analyse des sog. risikobasierten Ansatzes der DSGVO, der eine Skalierung der technischen Maßnahmen verspricht.

Andererseits sind auch weitere Normen außerhalb des Datenschutzrechts für die o.g. Fragestellung relevant. Auch deren Verhältnis untereinander sowie zu den datenschutzrechtlichen Normen wird daher untersucht.

So sieht etwa das GeschGehG in § 2 Nr. 1 lit. b GeschGehG sog. angemessene Geheimhaltungsmaßnahmen vor. Enthalten Geschäftsgeheimnisse personenbezogene Daten, stellt sich u.a. die Frage der inhaltlichen Abgrenzung zum gleichzeitig geltenden Datenschutzrecht.

Das Unionsrecht reguliert zudem auch abseits von Datenschutznormen und dem Recht der Geschäftsgeheimnisse immer mehr Aspekte der IT-Sicherheit. Vorliegend relevant sind besonders der kürzlich verabschiedete Cyber Resilience Act sowie das unionsrechtlich determinierte Funkanlagengesetz.

Zu dem hier relevanten Unionsrecht könnten darüber hinaus Vorschriften des Datenschutzes bei digitalen Diensten sowie des Telekommunikationsdatenschutzes gezählt werden. Dabei wirft etwa die ePrivacy-RL insbesondere im Zusammenhang mit ihrer nationalen Umsetzung im TDDDG sowie deren Verhältnis zur DSGVO relevante Fragestellungen auf. Dabei sind auch die Neuerungen durch das Durchführungsgesetz zum Digital Services Act relevant.2

Zugleich ergibt sich eine inhaltliche Begrenzung der Untersuchung, die auf zwei Grundüberlegungen basiert. Einerseits soll die Arbeit keine rein abstrakte Analyse der relevanten Normen und ihrem Verhältnis untereinander darstellen. Vielmehr ist das Ziel der Arbeit eine möglichst konkrete Verknüpfung der rechtlichen Anforderungen mit technischen Schutzmaßnahmen. Hieraus ergibt sich eine Begrenzung auf für den Untersuchungsgegenstand typischerweise einschlägige Normen. Andere Verpflichtungen, wie bspw. solche die nur bestimmte, etwa gesellschaftlich besonders relevante und daher kritische Einrichtungen adressieren, sind daher nicht primär relevant für die Untersuchung und fließen entsprechend nur am Rande in die Analyse ein.

Andererseits erfolgt eine inhaltliche Begrenzung anhand der Zielsetzung der zu untersuchenden Normen: Analysiert werden sollen gesetzliche Rahmenbedingungen an die IT-Sicherheit von Smart-Home-Geräten. Im Fokus stehen somit Normen, die eine präventive Schutzausrichtung aufweisen. Nicht behandelt werden sollen dagegen etwa Vorschriften, die den Ausgleich eines bereits eingetretenen Schadens zum Ziel haben. Ebenfalls nicht schwerpunktmäßig betrachtet werden sollen Fragestellungen nach dem Nachweis der Erfüllung der gesetzlichen Rahmenbedingungen an den Datenschutz und die IT-Sicherheit.

Als technischen Untersuchungsgegenstand legt diese Untersuchung Geräte des sog. Smart Home zugrunde, was wie folgt definiert wird.

Der Begriff Smart Home umfasst Informationstechnik, die im alltäglichen Umfeld von Menschen eingesetzt wird und dazu bestimmt ist, den Wohnkomfort oder die Sicherheit in Wohnungen und Büros zu erhöhen (z.B. elektrische Rollläden oder sog. Smart Locks), Unterhaltung zu bieten (z.B. Smart TVs) oder Menschen zu assistieren (z.B. cloudbasierte, digitale Sprachassistenten). Die Geräte verarbeiten dazu (potentiell jederzeit) Daten, können typischerweise untereinander vernetzt werden und sehen oft eine Fernsteuerung ihrer Funktionalitäten vor.3

Dieser Untersuchungsgegenstand wird in Kapitel 2 B. weiter konkretisiert; insbesondere werden einzelne hier betrachtete Produktkategorien sowie mögliche Risiken für die IT-Sicherheit dieser Produktkategorien beschrieben.4 Als geeignet wird der Untersuchungsgegenstand angesehen, da diese Geräte sowohl im privaten Bereich als auch im beruflichen Bereich ("Smart Office") Einsatz finden können. Die Geräte werden zunehmend zu Alltagsgegenständen und werden so fester Bestandteil des täglichen Lebens. Zugleich liegt oft kein ausschließliches Hersteller-Nutzer-Verhältnis vor. Vielmehr ist für die Funktionalität der Geräte die Rolle weiterer Akteure relevant, die etwa als Drittanbieter zusätzliche Apps bereitstellen. Unter anderem dadurch können sich - im beruflichen wie im privaten Kontext - besondere Risiken ergeben, welche durch die untersuchten gesetzlichen Normen adressiert werden. Im Folgenden wird die Relevanz der schwerpunktmäßig adressierten Normen bzw. Rechtsakte skizziert.

I. Datenschutzrechtliche Fragestellungen

Als ein Schwerpunkt der Untersuchung wird der Regelungsgehalt und das Verhältnis der für den Untersuchungsgegenstand relevanten Normen der DSGVO analysiert. Zum einen umfasst dies die Analyse der Anforderungen von Art. 32 DSGVO sowie von Art. 25 Abs. 1 und Abs. 2 DSGVO. Zum anderen werden auch daraus folgende Fragestellungen untersucht - etwa inwieweit bereits der in Art. 32 Abs. 1 Hs. 2 DSGVO geregelte Maßnahmenkatalog zur Ableitung technischer Maßnahmen dienlich...