Neuigkeiten für Anbieter digitaler Dienste: Vereinigtes Königreich konkretisiert Pläne zur Umsetzung der NIS-Richtlinie

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 29.04.2018

Rechtsgebiete: WirtschaftsrechtDatenschutzrechtIT-RechtIT-Sicherheitsrecht|3385 Aufrufe

Im Rahmen eines erneuten Konsultationsverfahrens stellte die britische Regierung kürzlich ihren Ansatz zur Umsetzung der EU-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS-Richtlinie) in Bezug auf Anbieter digitaler Dienste vor. Zwar fand bereits im August vergangenen Jahres eine Anhörung der Öffentlichkeit bezüglich der Umsetzung der NIS-Richtlinie im Vereinigten Königreich statt (siehe Beitrag im beck-blog vom 30.10.2017: https://community.beck.de/2017/10/30/europaeische-it-sicherheit-trotz-br...). Hinsichtlich der Anforderungen an Anbieter digitaler Dienste hielt sich die britische Regierung zu diesem Zeitpunkt aber noch bedeckt, da zunächst die entsprechende Durchführungsverordnung der EU-Kommission abzuwarten war, die nunmehr am 30.01.2018 veröffentlicht wurde.

Umsetzung der NIS-Richtlinie trotz „Brexit“

Aufgrund der unmittelbaren Geltung dieser Durchführungsverordnung in allen Mitgliedstaaten hat das Vereinigte Königreich als Noch-EU-Mitglied derzeit nur wenig Spielraum bei der Regulierung der Anbieter digitaler Dienste, zu denen gemäß der NIS-Richtlinie Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste zählen. Denn ungeachtet des „Brexit“-Referendums, bei dem die britische Bevölkerung 2016 für den Austritt aus der Europäischen Union gestimmt hatte, bleibt das Vereinigte Königreich bis zum Ende der Austrittsverhandlungen im März 2019 ein reguläres Mitglied der EU und muss weiterhin EU-Recht umsetzen und anwenden. Ebenso wie den übrigen Mitgliedstaaten bleibt den Briten demnach nur noch bis zum 09.05.2018 Zeit, um die im August 2016 in Kraft getretene NIS-Richtlinie in nationales Recht umzusetzen. Dabei ist zu erwarten, dass die britischen Umsetzungsregelungen auch über den EU-Austritt hinaus Bestand haben werden: So erklärte die Regierung des Vereinigten Königreichs bereits in dem 2017 veröffentlichten Konsultationspapier zur Umsetzung der NIS-Richtlinie, dass sie die grundlegenden Ziele der NIS-Richtlinie ausdrücklich unterstütze und das diesbezügliche EU-Recht auch nach dem „Brexit“ anwenden wolle.

Neue EU-Vorgaben für Sicherheitsmaßnahmen und Meldepflicht

Die Durchführungsverordnung (EU) 2018/151 dient der genaueren Bestimmung der an die Anbieter digitaler Dienste gerichteten Sicherheitsanforderungen und der meldepflichtigen Sicherheitsvorfälle gemäß Art. 16 der NIS-Richtlinie. Artikel 2 der Durchführungsverordnung konkretisiert die von den Anbietern digitaler Dienste bei der Ergreifung technischer und organisatorischer Maßnahmen für die Sicherheit der Netz- und Informationssysteme zu berücksichtigenden Sicherheitselemente nach Art. 16 Abs. 1 der Richtlinie. Beispielsweise sind gemäß Art. 2 Abs. 3 lit. a der Durchführungsverordnung im Rahmen des sogenannten „Business Continuity Management“ Notfallpläne zur Aufrechterhaltung oder Wiederherstellung des Dienstes nach einer Störung zu erstellen, die regelmäßig bewertet und erprobt werden müssen. Die Einhaltung sämtlicher in der Durchführungsverordnung genannten Sicherheitselemente ist von den Anbietern digitaler Dienste zwecks Überprüfbarkeit durch die zuständige Behörde zu dokumentieren (Art. 2 Abs. 6 DVO). Artikel 3 der Durchführungsverordnung präzisiert die in Artikel 16 Abs. 4 der Richtlinie enthaltenen Parameter, anhand derer festgestellt wird, ob ein meldepflichtiger Sicherheitsvorfall mit erheblichen Auswirkungen vorliegt. Etwa müssen Anbieter digitaler Dienste hinsichtlich der geografischen Ausbreitung des Sicherheitsvorfalls in der Lage sein, zu ermitteln, in welchen Mitgliedstaaten die Bereitstellung des Dienstes beeinträchtigt wurde (Art. 3 Abs. 3 DVO). Artikel 4 der Durchführungsverordnung nennt schließlich einige konkrete Fälle, die als Sicherheitsvorfall mit erheblichen Auswirkungen einzustufen sind. Danach sind erhebliche Auswirkungen u. a. anzunehmen, wenn infolge des Sicherheitsvorfalls eine Gefahr für die öffentliche Sicherheit entsteht oder Menschen ums Leben gekommen sind (Art. 4 Abs. 1 lit. c DVO).

Orientierungshilfen durch die britische Datenschutzbehörde ICO

Die britische Regierung beabsichtigt, die genannten Anforderungen durch direkte Verweise auf die entsprechenden Artikel der Durchführungsverordnung in die nationalen Regelungen zur Umsetzung der NIS-Richtlinie aufzunehmen. Zuständige Behörde für die Regulierung der Anbieter digitaler Dienste ist die britische Datenschutzbehörde ICO (Information Commissioner‘s Office). Der Behörde soll u. a. die Aufgabe zukommen, Leitlinien zu erstellen, die es Unternehmen erleichtern sollen, zu erkennen, ob sie als Anbieter digitaler Dienste in den Geltungsbereich der Richtlinie fallen. Diesbezüglich hatte die Regierung kürzlich im Rahmen ihrer Reaktion auf die Ergebnisse der Öffentlichkeitsbefragung aus 2017 bereits genauer definiert, welche Dienste als Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste anzusehen sind: Etwa werden Online-Marktplätze von der britischen Regierung als Vermittler zwischen Käufern und Verkäufern definiert; nicht vom Begriff des Online-Marktplatzes umfasst seien Preisvergleichsseiten, Anzeigenportale oder die Online-Shops von Einzelhändlern. Als Cloud-Computing-Dienste seien vor allem die drei typischen Modelle von Cloud-Dienstleistungen anzusehen, d. h. „Infrastructure as a Service“, „Platform as a Service“ und „Software as a Service“. Sämtliche Anbieter digitaler Dienste sollen verpflichtet werden, sich beim ICO zu registrieren.
Mit Blick auf die vorwiegend ergebnisorientierten Vorgaben der EU-Kommission zu den Sicherheitselementen in Artikel 2 der Durchführungsverordnung heißt es im Konsultationspapier, dass das ICO für die betroffenen Diensteanbieter ergänzende Orientierungshilfen zu spezifischen Implementierungsmaßnahmen bereitstellen werde. Dabei werde sich die Behörde insbesondere auf die 2017 von der European Network and Information Security Agency (ENISA) veröffentlichten „Technical Guidelines for the implementation of minimum security measures for Digital Service Providers“ beziehen, um einen europaweit einheitlichen Ansatz zu gewährleisten. Hinsichtlich der Parameter zur Feststellung erheblicher Auswirkungen eines Sicherheitsvorfalls weist die Regierung im Konsultationspapier darauf hin, dass die verbindlichen Vorgaben der EU-Kommission bereits sehr spezifisch seien und daher das ICO allenfalls zusätzliche Orientierungshilfen zu den Verordnungsbestimmungen veröffentlichen könne.

Europaweit einheitliche Regulierung auch nach dem „Brexit“

Angesichts der bindenden Wirkung der Durchführungsverordnung der EU-Kommission halten die Pläne des Vereinigten Königreichs zur Regulierung der Anbieter digitaler Dienste keine Überraschungen bereit. Positiv hervorzuheben ist mit Blick auf den „Brexit“ jedoch das in dem neuerlichen Konsultationspapier geäußerte Gesamtkonzept: Erneut bekräftigt die britische Regierung das übergeordnete Ziel, eine europaweit einheitliche Regulierung erzielen zu wollen, um Anbietern digitaler Dienste bei der Implementierung von Sicherheitsmaßnahmen für das Vereinigte Königreich und für das restliche Europa eine einheitliche Vorgehensweise zu ermöglichen.