Menu Expand

Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen

Cite BOOK

Style

Freimuth, C. (2018). Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen. Am Beispiel der Pflichten des IT-Sicherheitsgesetzes und der RL (EU) 2016/1148. Duncker & Humblot. https://doi.org/10.3790/978-3-428-55563-5
Freimuth, Christoph. Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen: Am Beispiel der Pflichten des IT-Sicherheitsgesetzes und der RL (EU) 2016/1148. Duncker & Humblot, 2018. Book. https://doi.org/10.3790/978-3-428-55563-5
Freimuth, C (2018): Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen: Am Beispiel der Pflichten des IT-Sicherheitsgesetzes und der RL (EU) 2016/1148, Duncker & Humblot, [online] https://doi.org/10.3790/978-3-428-55563-5

Format

Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen

Am Beispiel der Pflichten des IT-Sicherheitsgesetzes und der RL (EU) 2016/1148

Freimuth, Christoph

Schriften zum Öffentlichen Recht, Vol. 1388

(2018)

Additional Information

Book Details

Pricing

About The Author

Christoph Freimuth studierte nach dem Abitur ab 2011 an der Universität Bayreuth Rechtswissenschaften mit wirtschaftswissenschaftlicher Zusatzausbildung. Nach der ersten juristischen Prüfung 2016 war er bis 2018 als Geschäftsführer der Forschungsstelle für Wirtschafts- und Medienrecht sowie als wissenschaftlicher Mitarbeiter am Lehrstuhl von Prof. Dr. Möstl an der Universität Bayreuth tätig. Seit Oktober 2017 absolviert Christoph Freimuth das Referendariat im Bezirk des OLG Bamberg.

Abstract

Der IT-Einsatz birgt neuartige Sicherheitsherausforderungen. Mit dem IT-Sicherheitsgesetz und dem Gesetz zur Umsetzung der RL (EU) 2016/1148 wurde die neue Rechtsmaterie der Pflichten zur IT-Sicherheit Kritischer Infrastrukturen geschaffen. Die Untersuchung analysiert diese und ordnet sie in verfassungs- wie unionsrechtliche Zusammenhänge ein. Die zentralen Begriffe der IT-Sicherheit und der Kritischen Infrastrukturen werden geklärt und die Pflichten zur IT-Sicherheit anhand Regelungsstruktur und -gegenstand als Risikosteuerungsrecht und Schnittmenge verschiedener Rechtsmaterien qualifiziert. Den Infrastrukturbetreibern wird die Gewährleistung der IT-Sicherheit durch eine zentrale Sicherungspflicht und ergänzende Nachweis- und Meldepflichten auferlegt. Zugleich wird ihnen ein Raum der Eigenverantwortung belassen. Im Zusammenwirken der Betreiber mit dem BSI gewährleistet der Pflichtenkanon die IT-Sicherheit auf einem einheitlichen Niveau und ist zugleich für eine Dynamisierung offen.»Guaranteeing IT-Security of Critical Infrastructures«

The use of information technology (IT) causes new security challenges. The Law for IT-Security and the Implementation Act for the Directive (EU) 2016/1148 have become the new legal foundations concerning legal obligations for IT-security of critical infrastructures. These obligations are analysed in regard to the constitutional law and EU law. The operators of critical infrastructures have to fulfil security obligations along with the obligations to provide proof, and reporting obligations. These obligations create a consistent level of IT-security.

Table of Contents

Section Title Page Action Price
Vorwort 5
Inhaltsübersicht 7
Inhaltsverzeichnis 11
Abkürzungsverzeichnis 22
Einführung 27
A. Bestrebungen der normativen Gewährleistung der IT-Sicherheit 27
B. Gegenstand der Untersuchung 31
C. Gang der Untersuchung 33
Teil 1 : IT-Sicherheit Kritischer Infrastrukturen als Herausforderung 36
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 36
A. Rolle der IT in Wirtschaft, Verwaltung und Kritischen Infrastrukturen 38
B. Bedrohungen für die IT und Reaktionen 39
I. IT und IT-System 40
II. Veränderungen der Bedrohungslage 41
1. Besondere Bedrohungslage für die IT 43
a) Hardware 43
b) Software 44
c) Methoden 45
d) Zwischenergebnis 45
2. Erkennbarkeit einer Bedrohung 46
3. Rückverfolgbarkeit eines Angriffs 47
4. Zwischenergebnis 48
III. Bedrohung der IT-Sicherheit Kritischer Infrastrukturen 48
IV. Reaktionen auf die digitale Bedrohungslage 49
1. Staatliche Reaktionen 51
a) Nationale Ebene 51
b) Ebene der Europäischen Union 55
c) Überblick über die Regelungen des IT-Sicherheitsgesetzes und des Gesetzes zur Umsetzung der RL (EU) 2016 / 1148 für Kritische Infrastrukturen 56
2. Reaktionen in der Wirtschaft 57
V. Teilergebnis 58
§ 2 Klärung der zentralen Begriffe 59
A. IT-Sicherheit 59
I. Das Verständnis des BSIG 60
1. Die Schutzziele im Einzelnen und ihr Zusammenwirken 61
a) Verfügbarkeit 62
b) Unversehrtheit / Integrität 62
c) Unversehrtheit / Authentizität 63
d) Vertraulichkeit 63
e) Interdependenzen der Schutzziele 64
2. Schutzobjekt Information 65
3. Dynamisches Sicherheitsniveau für Informationen 68
4. IT-Sicherheit als Systemschutz 69
II. Abgrenzung zu anderen Sicherheitsbegriffen 69
1. Öffentliche Sicherheit 69
a) Der Schutz der öffentlichen Sicherheit mit Blick auf die IT-Sicherheit 71
aa) Schutz über anerkannte Rechtsgüter 71
bb) Schutz über die Rechtsordnung 73
b) Schutz der IT-Sicherheit als eigenständiges Rechtsgut? 75
c) Zwischenergebnis 77
2. Äußere Sicherheit 78
3. Datensicherheit 79
4. Versorgungssicherheit 82
5. Cybersicherheit 84
III. IT-Sicherheit als neue Teilmenge bekannter Sicherheitsbegriffe 85
IV. IT-Sicherheit im unionsrechtlichen Verständnis 86
B. Kritische Infrastrukturen 88
I. Infrastrukturbegriffe 88
1. Was ist Infrastruktur? 89
a) Definitionsversuche 89
b) Merkmale einer Infrastruktur 91
c) Rechtsbegriff Infrastruktur? 93
aa) In der Gesetzgebung 93
bb) In der Rechtsprechung 95
cc) In der Literatur 95
2. Infrastrukturkategorien 96
II. Kritikalität einer Infrastruktur nach nationalem Verständnis 97
1. Die Bedeutung der Beschreibung als „kritisch“ 97
2. Kritische Infrastrukturen nach dem BSIG 98
a) Sektorenspezifische Eingrenzung nach § 2 Abs. 10 S. 1 Nr. 1 BSIG 100
b) Maßstäbe für die hohe Bedeutung einer Infrastruktur 100
aa) Bezugspunkt der Kritikalität 101
bb) Die Kriterien zur Bestimmung der Kritikalität i. e. S. 102
(1) Qualität 103
(2) Quantität 106
c) Zwischenergebnis 106
III. Wesentliche Dienste nach unionsrechtlichem Verständnis 107
1. Die Bestimmung wesentlicher Dienste 109
2. Vergleich mit nationalem Recht 113
IV. Teilergebnis 114
§ 3 Rechtssystematische Einordnung 114
A. Gefahrenabwehr- oder Risikosteuerungsrecht 115
I. Abgrenzung der beiden Konzepte der Sicherheitsgewährleistung anhand der Trennlinie von Gefahr und Risiko 116
II. Regelungsstruktur der Betreiberpflichten 120
B. Abgrenzung von und Schnittmengen mit anderen Regelungsmaterien 123
I. Datenschutzrecht 123
II. Recht des Bevölkerungsschutzes 125
III. Das IT-Sicherheitsgesetz als Vermengung verschiedener Rechtsmaterien 126
Teil 2: IT-Sicherheit Kritischer Infrastrukturen zwischen staatlicher Verantwortung und privater Pflichtigkeit 128
§ 4 Objektiv-rechtliche Grundlagen der Betreiberpflichten zur IT-Sicherheit Kritischer Infrastrukturen im Verfassungs- und Unionsprimärrecht 129
A. Objektive Schutzgehalte der Grundrechte des Grundgesetzes zugunsten der IT-Sicherheit 129
I. Schutzpflichten gegenüber Betreibern Kritischer Infrastrukturen 130
1. Art. 14 Abs. 1 GG 132
a) Infrastruktureinrichtungen 133
b) IT-Einrichtungen 134
c) Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Informationen 134
aa) Eigentumsfähigkeit von Informationen 134
bb) Das Recht am eingerichteten und ausgeübten Gewerbebetrieb 137
(1) Informationen als Schutzobjekt des Rechts am eingerichteten und ausgeübten Gewerbebetrieb 137
(2) Verfassungsrechtliche Anerkennung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb 139
d) Zwischenergebnis 142
2. Art. 12 Abs. 1 GG 142
3. Art. 5 Abs. 1 S. 1 Alt. 2 GG 143
4. Art. 10 Abs. 1 Var. 3 GG 144
5. Art. 2 Abs. 1 (i. V. m. Art. 1 Abs. 1) GG Recht auf informationelle Selbstbestimmung 146
6. Art. 2 Abs. 1 (i. V. m. Art. 1 Abs. 1) GG Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 149
a) Begründung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 149
aa) Bedeutung der Nutzung 150
bb) Neuartige Gefährdung 151
cc) Grundrechtliche Schutzlücke 151
b) Das Bedürfnis nach einem „neuen Grundrecht“? 152
c) Schutzgegenstand 154
aa) Vertraulichkeit und Integrität 155
bb) Informationstechnisches System 155
d) Schutzgehalt zugunsten der IT-Sicherheit Kritischer Infrastrukturen 157
aa) Objektiver Gewährleistungsgehalt der IT-Sicherheit? 158
bb) Objektiver Gewährleistungsgehalt zugunsten der Betreiber Kritischer Infrastrukturen 160
e) Zwischenergebnis 162
II. Schutzpflichten gegenüber Nutzern Kritischer Infrastrukturen 163
1. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG Recht auf informationelle Selbstbestimmung 163
2. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 164
3. Art. 12 Abs. 1 GG 165
4. Art. 2 Abs. 2 S. 1 GG 166
a) Schutzgegenstand Leben und körperliche Unversehrtheit 166
b) Bezug der Schutzpflicht zur IT-Sicherheit Kritischer Infrastrukturen 167
5. Art. 10 Abs. 1 Var. 3 GG 169
III. Verankerung der Betreiberpflichten in den grundrechtlichen Gewährleistungsgehalten 169
B. Infrastrukturgewährleistungsverantwortung 171
I. Verfassungsrechtlich normierte Infrastrukturverantwortung 171
1. Art. 87e Abs. 4 GG 172
2. Art. 87f Abs. 1 GG 174
II. Allgemeine Infrastrukturverantwortung für Kritische Infrastrukturen 175
1. Schutzpflichten 175
2. Sozialstaatsprinzip, Art. 20 Abs. 1 GG 177
3. Art. 87e Abs. 4 GG und Art. 87f Abs. 1 GG 179
III. Teilergebnis 180
C. Verankerung im Unionsprimärrecht 181
I. Grundrechte der EUGRCH 181
1. Schutzpflichten zugunsten der Betreiber wesentlicher Dienste 183
2. Schutzpflichten zugunsten der Nutzer wesentlicher Dienste 186
3. Verankerung der IT-Sicherheit wesentlicher Dienste in den Unionsgrundrechten 187
II. Unionsrechtliche Infrastrukturverantwortung 188
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit 190
A. Raum für eine verfassungsrechtliche Pflichtigkeit der Betreiber zur Sicherung der IT 192
B. Bestehen einer privaten Pflichtigkeit der Betreiber 193
I. Pflichtigkeit aufgrund einer Verursachungsverantwortlichkeit 194
1. Verfassungsrechtliche Verankerung der Verursachungsverantwortlichkeit 195
2. Verursachungsverantwortlichkeit im Risikosteuerungsrecht? 196
3. Bestehen einer Verursachungsverantwortlichkeit 197
4. Zwischenergebnis 200
II. Grundrechtliche Pflichtigkeit zur IT-Sicherheit 200
1. Abgrenzung der Eigensicherungspflichtigkeit vom Verursacherprinzip 201
2. Anknüpfungspunkte der Eigensicherungspflichtigkeit 201
a) Eigenständige Pflichtigkeit grundrechtlicher Gehalte 202
aa) Schutzpflichten zugunsten der Betreiber Kritischer Infrastrukturen 202
bb) Subsidiaritätsprinzip 204
b) Altruistischer Begründungsansatz 205
aa) Art. 14 Abs. 2 GG 206
bb) Pflichtigkeit aufgrund der sozialstaatlichen Gebundenheit grundrechtlicher Freiheit 207
cc) Pflichtigkeit aus Art. 87e, f GG 210
dd) Rückbindung der grundrechtlich gewährten Freiheit an das Gemeinwesen 212
III. Teilergebnis 213
C. Pflichtigkeit im Unionsrecht 214
Teil 3: Die normative Gewährleistung der IT-Sicherheit 217
§ 6 Personelle Begrenzungen der Pflichten zur Gewährleistung der IT-Sicherheit 217
A. Betreiber Kritischer Infrastrukturen 217
I. Betreiberbegriff 217
II. Bestimmung der Kritischen Infrastrukturen durch Rechtsverordnung 221
1. Konkretisierende oder konstitutive Bestimmung Kritischer Infrastrukturen 222
a) Parlamentsvorbehalt 223
b) Bestimmtheitsgebot 226
c) Konstitutive Festlegung durch die BSI-KritisV 228
2. Ausreichende Ermächtigungsgrundlage für eine Rechtsverordnung 229
a) Anforderungen an die Regelungsdichte 231
b) Hinreichende Regelungsdichte bezüglich des Inhalts 233
c) Hinreichende Regelungsdichte bezüglich des Zwecks 234
d) Hinreichende Regelungsdichte bezüglich des Ausmaßes 235
e) Auseinandersetzung mit der Kritik an der Regelungsstruktur der Bestimmung Kritischer Infrastrukturen 236
3. Zulässiger Delegatar 237
4. Rechtspolitische kritische Würdigung der Festlegung durch Rechtsverordnung 238
III. Die Struktur der BSI-KritisV 240
1. Kritische Dienstleistungen 241
2. Anlagen zur Erbringung kritischer Dienstleistungen 242
3. Der Schwellenwert 245
IV. Das Verhältnis zu speziell regulierten Infrastrukturen 248
B. Unionsrechtliche Determinierung der Kritischen Infrastrukturen 252
I. Vergleich der Struktur der BSI-KritisV und der Artt. 5 f. RL (EU) 2016 / 1148 252
II. Vergleich der Kritischen Infrastrukturen mit den wesentlichen Diensten 255
III. Teilergebnis 256
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit 257
A. Pflichten nach dem BSIG 258
I. Die Sicherungspflicht 259
1. Unionsrechtliche Determinierung 260
2. Die Sicherungsmaßnahmen nach § 8a Abs. 1 BSIG 260
a) Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der IT-Sicherheit 260
aa) Störung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit 261
bb) Zielrichtung der Maßnahmen 262
cc) Zu gewährleistendes IT-Sicherheitsniveau 264
dd) Sicherungsmaßnahmen im Einzelnen 265
ee) Zwischenergebnis 267
b) Festlegung des angemessenen IT-Sicherheitsniveaus 267
c) Stand der Technik 269
d) Die notwendige IT 271
e) Umsetzungsfrist 271
f) Unionsrechtskonforme Umsetzung 272
g) Dogmatische Charakteristika 274
3. Sanktionsmöglichkeiten 275
4. Verhältnis der Sicherungspflicht zu § 9 BDSG 277
5. Verhältnis der Sicherungspflicht zu § 25a Abs. 1 S. 3 Nr. 4, 5 KWG 278
6. Branchenspezifische Sicherheitsstandards 279
a) Anforderungen an den Vorschlag eines branchenspezifischen Sicherheitsstandards 280
aa) Materielle Anforderungen 280
bb) Formelle Anforderungen 282
b) Verfahren der Feststellung 284
c) Rechtswirkungen und Rechtsnatur der Feststellungsentscheidung und des branchenspezifischen Sicherheitsstandards 285
aa) Rechtswirkungen der Feststellungsentscheidung 285
(1) Inhaltliche Reichweite der Selbstbindung 286
(2) Zeitliche Reichweite der Selbstbindung 286
(3) Personelle Reichweite der Selbstbindung 288
bb) In der Feststellungsentscheidung enthaltene Rechtsakte 289
(1) Die Feststellung der Eignung 290
(2) Die konkludent erlassene Verwaltungsvorschrift 291
(3) Basis der Rechtswirkung zugunsten der Betreiber 292
cc) Rechtsnatur des branchenspezifischen Sicherheitsstandards i. e. S. 293
(1) Staatliches oder privates Recht 294
(2) Einordnung in die Kategorien öffentlich-rechtlicher Handlungsformen? 295
d) Folge der begrenzten zeitlichen Rechtswirkung: Die Aktualisierung des branchenspezifischen Sicherheitsstandards 296
e) Rechtsschutz 297
f) Kritische Würdigung der branchenspezifischen Sicherheitsstandards 298
aa) Eignung zur Gewährleistung des IT-Sicherheitsniveaus nach § 8a Abs. 1 BSIG 298
bb) Instrument innovativer IT-Sicherheitsgewährleistung 300
II. Durchsetzungsmechanismen der Sicherungspflicht 302
1. Der Nachweis nach § 8a Abs. 3 BSIG 303
a) Sicherheitsaudits, Prüfungen oder Zertifizierungen 303
b) Prüfer 304
c) Prüfungsverfahren 305
d) Nachweis gegenüber dem BSI 307
2. An den Nachweis andockende Befugnisse 307
3. Die Überprüfungsbefugnis nach § 8a Abs. 4 BSIG 308
4. Unionsrechtskonforme Umsetzung der Kontrollmechanismen 309
5. Verhältnis zu § 25a Abs. 1 KWG 310
6. Funktion der Durchsetzungsmechanismen 311
III. Die Meldepflicht 312
1. Meldepflicht des § 8b Abs. 3, 4 BSIG 313
a) Voraussetzungen 313
aa) Störung der IT-Sicherheit 313
(1) Der Störungsbegriff der Meldepflicht 313
(2) Erheblichkeitsschwelle für die pseudonyme Meldung 315
bb) Auswirkungen auf die betriebene Infrastruktur 318
cc) Zwischenergebnis 323
b) Rechtsfolge 323
aa) Unverzügliche Meldung 323
bb) Allgemeine inhaltliche Anforderungen 324
cc) Pseudonyme oder namentliche Meldung 324
(1) Abgrenzung der Pflicht einer namentlichen von der Möglichkeit einer pseudonymen Meldung 325
(2) Die pseudonyme Meldung 326
(3) Die namentliche Meldung 327
c) Dogmatische Bausteine 328
2. Die Kontaktstelle nach § 8b Abs. 3, 5 BSIG 328
3. Umsetzungsfrist und Sanktionen 329
4. Das Verhältnis zu § 42a BDSG 331
5. Kritische Betrachtung der Meldepflicht 332
IV. Ausnahmen 334
1. Kleinstunternehmen, § 8d Abs. 1 BSIG 334
2. Speziell regulierte Infrastrukturen 335
B. Pflichten in gesondert regulierten Bereichen 336
I. Energiesektor 336
1. Die Sicherungspflicht nach § 11 Abs. 1a, 1b EnWG 337
a) Angemessene Sicherungsvorkehrungen 337
b) Der Katalog der Sicherheitsanforderungen 338
aa) Inhalt 339
bb) Rechtswirkungen 342
cc) Rechtsnatur und Zulässigkeit der Fiktionswirkung 342
c) Besonderheiten für Betreiber von Energieanlagen 344
d) Dogmatische Charakteristika 346
2. Die Meldepflicht nach § 11 Abs. 1c EnWG 347
3. Die Meldepflicht nach § 44b AtG 348
4. Sanktionen 351
5. Charakteristika der Regulierung der IT-Sicherheit im Energiesektor 352
II. TKG 352
1. Die Sicherungspflicht 353
a) Vorgaben des § 109 Abs. 2 TKG 353
b) Sicherheitsbeauftragter, Sicherheitskonzept und Sicherheitskatalog 355
c) Dogmatische Bausteine 356
2. Das Verhältnis von § 109 Abs. 2 TKG zum PTSG 357
3. Die Meldepflicht nach § 109 Abs. 5 TKG 358
4. Sanktionen 362
5. Abgrenzung zu datenschutzrechtlichen Benachrichtigungspflichten des § 109a TKG 363
6. Charakteristika der Regulierung der IT-Sicherheit im Telekommunikationssektor 364
C. Wesentliche dogmatische Bausteine des Pflichtenkanons 364
D. Einfachgesetzliche Normierung einer privaten Verantwortlichkeit und Inpflichtnahme 366
E. Wirksamkeit und Einheitlichkeit der Pflichten? 368
I. Wirksamkeit 368
1. Sicherungspflichten und ihre Durchsetzungsmechanismen 368
2. Meldepflichten 371
3. Teilergebnis 372
II. Einheitlichkeit 373
1. Sicherungspflichten und ihre Durchsetzungsmechanismen 373
2. Meldepflichten 374
3. Vereinheitlichung des IT-Sicherheitsniveaus 375
§ 8 Die Rolle des BSI 375
A. Behördliche Aufgaben 376
I. IT-Wirtschaftsaufsichtsbehörde 376
II. Zentrale Stelle für die IT-Sicherheit Kritischer Infrastrukturen 379
1. Wissensakkumulation und Analyse 379
2. Internationale Vernetzung 380
3. Multiplikator 380
4. IT-Sicherheitsdienstleister 382
III. Behördlicher IT-Sicherheitsexperte 384
B. Verantwortungsteilung zwischen Staat und Privaten 384
I. Kooperation oder bloßes Zusammenwirken 385
II. Das BSI als staatlicher Garant der IT-Sicherheit Kritischer Infrastrukturen 387
§ 9 Verfassungs- und unionsrechtliche Zulässigkeit der Inpflichtnahme Privater 389
A. Kompetenz des Bundes 390
I. Gesetzgebungskompetenz 390
II. Exkurs: Verwaltungskompetenz für das BSI 392
B. Grundrechte 393
I. Grundrechtskanon des Grundgesetzes 396
1. Art. 12 Abs. 1 GG 396
a) Schutzbereich 396
b) Eingriff 396
aa) Sicherungspflicht 397
bb) Nachweispflicht 397
cc) Meldepflicht 398
(1) Die Pflicht zur Meldung von IT-Sicherheitsvorfällen 398
(2) Die Kontaktstelle nach § 8b Abs. 3 BSIG 400
c) Rechtfertigung 400
aa) Legitimes Ziel 400
bb) Geeignetheit und Erforderlichkeit 401
cc) Angemessenheit 401
(1) Sicherungspflicht 403
(2) Nachweispflicht 406
(3) Meldepflicht 406
(a) Die Pflicht zur Meldung von IT-Sicherheitsvorfällen 406
(b) Die Kontaktstelle nach § 8b Abs. 3 BSIG 408
dd) Zwischenergebnis 408
2. Art. 14 Abs. 1 GG 409
a) Schutzbereich 409
b) Inhalts- und Schrankenbestimmung 410
c) Rechtfertigung 410
3. Art. 2 Abs. 1 GG, Recht auf informationelle Selbstbestimmung 412
a) Schutzbereich 412
b) Eingriff 413
c) Rechtfertigung 415
4. Art. 2 Abs. 1 GG, Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 416
II. Unionsrechtliche Grundrechte 418
1. Schutzbereiche 418
2. Beeinträchtigungen 419
a) Sicherungspflicht 419
b) Nachweispflicht 419
c) Meldepflicht 420
3. Rechtfertigung 420
III. Teilergebnis 421
C. Verstoß gegen den nemo tenetur se ipsum accusare-Grundsatz 422
I. Nachweispflicht 423
II. Meldepflichten 423
Teil 4 : Schlussbetrachtung 425
§ 10 Zusammenführung 425
A. Die Pflichten zur Gewährleistung der IT-Sicherheit als modernes infrastrukturbezogenes Sicherheitsrecht 425
B. Entwicklungstendenzen 427
§ 11 Thesen 430
Literaturverzeichnis 449
Sachregister 476