Nachdem wir uns in der vergangenen Woche im Rahmen des ersten Teils unseres alljährlichen Jahresrückblicks den Monaten Januar bis Juni gewidmet haben, werfen wir heute einen Blick auf die Monate Juli bis Dezember.

Juli

In den sommerlichen Tagen des Jahres wandten wir uns zunächst zwei relevanten Veröffentlichungen der Bundesnetzagentur sowie des Bundesverband IT-Sicherheit e. V. (TeleTrust) zu. Unter dem Titel „KI-Kompetenzen nach Artikel 4 KI-Verordnung“ veröffentlichte zunächst die Bundesnetzagentur ein Hinweispapier, welches wir im Rahmen unseres Blog-Beitrages „Bundesnetzagentur äußert sich zu KI-Kompetenz“ näher betrachteten. Weiterhin setzten wir uns aufgrund der aktualisierten Fassung der „Handreichung zum Stand der Technik in der IT-Sicherheit“ des TeleTrust mit der Begrifflichkeit des Standes der Technik sowie den wesentlichen Inhalten der Handreichung auseinander – nachzulesen in unserem Beitrag „Zum aktuellen Stand der Technik“.

Ebenfalls im Juli, genauer gesagt am 17. Juli 2025, entschied das Verwaltungsgericht Köln (Az. 13 K1419/23), dass das Bundespresseamt – entgegen des Bescheids des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), seine Facebook-Fanpage zu Zwecken der Öffentlichkeitsarbeit weiterhin betreiben dürfe. Die Hintergründe zum Verfahren und Urteil können in unserem Beitrag „Verwaltungsgericht Köln zu Facebook-Fanpages“ nachgelesen werden. Im August wurde gegen das Urteil Berufung eingelegt.

August

Weiter ging es im August mit der Einordnung von zahlreichen Veröffentlichungen der Datenschutzkonferenz. Hierbei thematisierten wir die „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen“, die Entschließungen „Confidential Computing“ und „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ sowie das Positionspapier „Datenschutz bei der Terminverwaltung durch Heilpraxen“, welches auch für andere Branchen eine gute Orientierung darstellen kann.

Auch das Ende Juli durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Whitepaper zu „Bias in der künstlichen Intelligenz“ stellten wir im Rahmen eines Blog-Beitrages vor.

September

Statt eines Herbstes der Reformen stand uns ein September der Urteilsbesprechungen bevor. Im Rahmen des Beitrages „Darf § 26 BDSG nun doch nicht mehr angewendet werden?“ ordneten wir zunächst das Urteil des Bundesarbeitsgerichts vom 8. Mai 2025 (8 AZR 209/21) ein und klärten die Frage, welche konkreten Auswirkungen das Urteil auf den Beschäftigtendatenschutz hat.

Anschließend widmeten wir uns der Entscheidung des Gerichts der Europäischen Union vom 3. September 2025 (T-553/23) hinsichtlich des Data Privacy Frameworks (DPF). Auch wenn dieses Urteil zunächst bestätigt, dass die USA zum Zeitpunkt des Erlasses des DPF ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, wird hierdurch ebenfalls deutlich, dass mit zugrunde legen eines anderen zeitlichen Bezugspunktes hierzu jederzeit auch ein anderslautendes Urteil gefällt werden könnte. Insofern bleibt es bei dem bisherigen Resümee unserer Beiträge zu diesem Thema: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne Data Privacy Framework zurechtlegen.

Und da aller guten Dinge bekanntlich drei sind, widmeten wir uns ebenfalls dem Urteil des Europäischen Gerichtshofs vom 4. September 2025 (C-413/23 P) bezüglich der Reichweite des Begriffs personenbezogener Daten. Ergebnis: Es lebe der relative Personenbezug! Im Rahmen einer Datenübermittlung kommt es beispielsweise entscheidend auf die Mittel an, welche potenziellen Empfängern zur Verfügung stehen, um bestimmten zu können, ob es sich um personenbezogene Daten handelt und damit auch für den Empfänger der Anwendungsbereich des Datenschutzrechts eröffnet ist – oder nicht.

Oktober

Der Cyber Resilience Act (CRA) ist nicht nur ein weiterer europäischer Rechtsakt, sondern die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Grund genug für uns, diesem Thema zu Beginn des Herbstes einen eigenen Blog-Beitrag zu widmen. Denn auch wenn die wesentlichen Anforderungen erst ab Dezember 2027 gelten, wird eine zentrale Norm des CRA bereits im Herbst 2026 anwendbar.

Weiter stellten wir die Inhalte einer vorläufigen Handreichung des BSI zur Schulungspflicht der Geschäftsleitung nach NIS2 dar. Grundlage hierfür bildet § 38 Abs. 3 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG): „Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ Welche konkreten Anforderungen sich hieraus für die Praxis ergeben, können Sie unserem Blog-Beitrag entnehmen.

November

Und sprachen wir im Oktober noch vom Entwurf des BSIG und verfolgten bis dahin den scheinbar nicht endenden Prozess zur Etablierung eines NIS2-Umsetzungsgesetzes, war es nun am 13. November 2025 endlich so weit: Der Bundestag verabschiedet die Umsetzung der NIS2-Richtlinie in Deutschland durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“.

Und auch bei uns stand der Monat November ganz im Zeichen der IT-Sicherheit und daran unmittelbar angrenzender Themenbereiche: Beginnend bei der Frage, was zu tun ist, wenn plötzlich das E-Mail-Konto kompromittiert ist und wie derartigen Fällen vorgebeugt werden kann, über die Broschüre des BSI zum Business Continuity Management für KMU, bis hin zur aktuellen Lage der IT-Sicherheit in Deutschland 2025.

Nahezu unbemerkt passierten in diesem November der IT-Sicherheit jedoch auch neue Verfahrensregelungen für die Durchsetzung der DS-GVO den Rat der Europäischen Union: Dieser verabschiedete am 17. November 2025 einen neuen Rechtsakt zur Beschleunigung der Bearbeitung grenzüberschreitender Datenschutzbeschwerden. Dieser wird 15 Monate nach Inkrafttreten und somit im ersten Quartal 2027 anwendbar.

Dezember

Aber fest steht auch: Dies wird nicht die letzte Änderung im Kontext der DS-GVO gewesen sein. Der digitale Omnibus, mit dem die Europäische Kommission in Bezug auf die Digitalregulierung deutlich zurückrudern möchte (eigentlich ein untypisches Verhalten für einen Omnibus), wird kommen. Wann und wie genau ist noch unklar. Was das konkret für die DS-GVO bedeuten könnte, thematisierten wir Anfang Dezember in unserem Blog-Beitrag „Warten bis der Bus kommt“.

Dem aber nicht genug. Wie aus einer Besprechung des Bundeskanzlers mit den Regierungschefinnen und Regierungschefs der Länder vom 4. Dezember 2025 hervorgeht, soll die Pflicht zur Benennung des Datenschutzbeauftragten gemäß § 38 Abs. 1 BDSG abgeschafft werden. In Maßnahme 160 heißt es hierzu: „Der Bund wird bis zum 31.12.2026 eine Aufhebung des § 38 Abs. 1 BDSG einbringen und damit die Pflicht zur Bestellung von Datenschutzbeauftragten im nichtöffentlichen Bereich auf die Regelung in Art. 37 DSGVO beschränken.“ Die Frage, ob diese Maßnahme tatsächlich zu einer Entbürokratisierung führt, kann bereits jetzt verneint werden.

Im Hinblick auf solche Entwicklungen kann das Jahr gar nicht schnell genug zu Ende gehen… In diesem Sinne beenden wir nun unseren Jahresrückblick für das Jahr 2025 und erwarten mit Spannung die Entwicklungen, die das kommende Jahr in den Bereichen Datenschutz und Informationssicherheit bereithalten wird. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leserinnen und Leser unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.

Wir wünschen Ihnen nun ein besinnliches Weihnachtsfest im Kreise Ihrer Liebsten sowie
einen guten und gesunden Start in das Jahr 2026!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Erst jüngst hat der Bundesverband IT-Sicherheit e. V. (TeleTrusT) eine vollständig überarbeitete und ergänzte Fassung der Handreichung zum Stand der Technik in der IT-Sicherheit veröffentlicht. „Die Handreichung soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des Standes der Technik in der IT-Sicherheit bieten und kann als Referenz z. B. für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen.“, so der Bundesverband. Anlass genug, um einen kurzen Blick auf den Begriff „Stand der Technik“ sowie den Inhalt der Handreichung zu werfen.

Stand der Technik

Der Begriff Stand der Technik ist nicht einheitlich definiert und ist zu unterscheiden von den allgemein anerkannten Regeln der Technik und dem Stand von Wissenschaft und Forschung. Zurückzuführen sind sämtliche dieser Begriffe auf die sogenannte Kalkar-Entscheidung des Bundesverfassungsgerichts aus dem Jahr 1978. Die Begriffe unterscheiden sich insbesondere durch die grundsätzliche Anerkennung sowie die Bewährung in der Praxis. In Bezug auf beide Aspekte ist der Stand der Technik zwischen dem Stand der Wissenschaft und Forschung (niedrig) und den allgemein anerkannten Regeln der Technik (hoch) einzuordnen.

Zusammenfassend kann unter dem Stand der Technik eine dynamische Beschreibung zugrundeliegender Technologien zu einem bestimmten Zeitpunkt verstanden werden, welche auf einem neuesten, aber gesicherten Erkenntnisstand von Wissenschaft und Technik beruhen und sich zugleich in der Praxis bereits bewährt haben sowie in einem ausreichenden Maße zur Verfügung stehen. Der aktuelle Stand der Technik ist dementsprechend stets fortlaufend neu zu bewerten, sodass technische und organisatorische Maßnahmen (Art. 32 DS-GVO) über die Zeit gegebenenfalls anzupassen sind.

Orientierung in der praktischen Umsetzung bieten bereits seit einigen Jahren beispielsweise Publikationen des Bundesamts für Sicherheit in der Informationstechnik (BSI), Leitlinien und Empfehlungen des Europäischen Datenschutzausschusses (EDSA) oder die bereits erwähnte Handreichung zum Stand der Technik des TeleTrusT.

Zum Inhalt der Handreichung

Unter Berücksichtigung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität beschreibt die Handreichung eine Vielzahl technischer und organisatorischer Maßnahmen, die sich in der Praxis bewährt haben und dem aktuellen Stand der Technik entsprechen. Hierzu zählen beispielsweise die Verschlüsselung von Datenträgern, Netzwerksegmentierung und -separierung sowie Risikomanagement und Sensibilisierung der Anwender. Dabei wird jede Maßnahme anhand eines einheitlichen Schemas dargestellt: Neben einer fachlichen Beschreibung enthält die Handreichung Einschätzungen zu Wirksamkeit, Aufwand, potenziellen Grenzen und praktischer Umsetzbarkeit. Ziel ist es, Verantwortlichen eine nachvollziehbare Entscheidungsgrundlage zur Auswahl und Bewertung geeigneter Schutzmaßnahmen zu bieten.

So heißt es beispielsweise zur E-Mail-Verschlüsselung: „Im E-Mail-Verkehr sollte zur Transportverschlüsselung TLS (Transport Layer Security) in der aktuell gültigen Version, wie in RFC 5246 definiert, eingesetzt werden. Zum Einsatz kommen müssen sichere Verschlüsselungsverfahren (aktuell z. B. AES-256), die Verwendung unsicherer Verschlüsselungsverfahren (z. B. RC4) muss ausgeschlossen werden. Forward Secrecy sollte generell aktiviert werden. Zusätzlich ist es sinnvoll, die bei TLS genutzten Zertifikate der jeweiligen Gegenseite auf Authentizität und Gültigkeit zu überprüfen, z. B. mittels DANE (RFC 7671). Umfassende Empfehlungen zu TLS liefert die Technische Richtlinie TR-02102-2, Teil 2 des BSI.“

Und: „Ende-zu-Ende Verschlüsselung empfiehlt sich zum Schutz besonders schützenswerter Daten. Dazu haben sich zwei Standards etabliert: S/MIME (Secure / Multipurpose Internet Mail Extensions, definiert in RFC 5751) und OpenPGP (Pretty Good Privacy, definiert in RFC 4880).“ Insofern ergibt sich auch aus dieser Darstellung mit Blick auf den Stand der Technik, dass keine grundsätzliche Pflicht zur Ende-zu-Ende-Verschlüsselung bestehen kann.

Weiterhin umfasst die Handreichung auch thematische Exkurse und beschreibt in der aktuellen Fassung beispielsweise auch die Auswirkungen von Künstlicher Intelligenz auf die Informationssicherheit. Dabei wird auch noch einmal das Spannungsfeld zwischen Künstlicher Intelligenz als Werkzeug zur Verbesserung der Informationssicherheit und künstlicher Intelligenz als Werkzeug für Angreifer deutlich. Auch in diesem Kontext legt der Bundesverband IT-Sicherheit e. V. einen Schwerpunkt auf die Darstellung einschlägiger Schutzmaßnahmen.

Fazit

Der Stand der Technik ist ein zentraler Begriff in der Regulatorik – ohne jedoch abschließend definiert zu sein. Er beschreibt den aktuellen Stand erprobter technischer und organisatorischer Maßnahmen, die zur Erreichung eines bestimmten Schutzziels geeignet und allgemein verfügbar sind. Die Handreichung des Bundesverband IT-Sicherheit e. V. liefert eine fundierte, praxisnahe Orientierung zur Bestimmung des Standes der Technik in der IT-Sicherheit. Sie bietet eine strukturierte Darstellung bewährter technischer und organisatorischer Maßnahmen, unterstützt bei der Bewertung und geht auch auf Anforderungen im Bereich Künstliche Intelligenz ein. Damit ist sie ein wertvolles Arbeitsmittel für verschiedenste Organisationen, um gesetzliche Vorgaben umzusetzen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

„Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“. Ähnlich zu dieser Art. 32 Datenschutz-Grundverordnung (DS-GVO) entstammenden Regelung ergeben sich die hinsichtlich bestimmter Produkte oder Sektoren einzuhaltenden IT-Sicherheitspflichten aus verschiedenen nationalen und internationalen spezialgesetzlichen Regelungen, z.B. § 8a Abs. 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG, Art. 52 Abs. 7 Satz 1 Rechtsakt zur Cybersicherheit (CSA-VO), § 19 Abs. 4 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)). Im IT-Sicherheits- und Datenschutzrecht wird zur Bestimmung eines entsprechenden Schutzniveaus in letzter Konsequenz all zu oft auf den unbestimmten Rechtsbegriff „Stand der Technik“ zurückgegriffen. Doch was verstehen wir unter diesem Begriff und wie ist der „Stand der Technik“ in der Praxis zu bestimmen. Mit diesen Fragen soll sich der nachfolgende Beitrag näher befassen.

WARUM BEZIEHEN WIR UNS AUF DEN „STAND DER TECHNIK“?

Bei der Begrifflichkeit „Stand der Technik“ handelt es sich insoweit um einen unbestimmten Rechtsbegriff. Durch die Verwendung unbestimmter Rechtsbegriffe soll eine bestimmte zu erfüllende Anforderung geregelt, jedoch nicht festgelegt werden, wie diese Anforderung im Einzelnen ausgestaltet sind. Unbestimmte Rechtsbegriffe sind grundsätzlich uneingeschränkt gerichtlich überprüfbar. Die Anforderungen an die konkrete Bestimmbarkeit hängen wiederrum von den Eigenarten des zu regelnden Sachbereiches, insbesondere hinsichtlich Ausmaßes, Art und Intensität von Grundrechtseingriffen, ab.

Vor allem aufgrund der dynamischen Technologieentwicklung kommt dem Begriff „Stand der Technik“ im IT-Sicherheits- und Datenschutzrecht besondere Bedeutung zu, da durch die Verwendung dieses zunächst unbestimmten Rechtsbegriffs, entsprechende Flexibilität bei der Festlegung des Sicherheitsniveaus gewahrt werden kann. Der technische Fortschritt unterliegt aufgrund der hohen Dynamik technischer Innovationen und den damit einhergehenden immer kürzeren Innovationszyklen zugleich sich kontinuierlich ändernden Anforderungen an das zu bestimmende Sicherheitsniveau. Insbesondere wegen der zunehmenden Komplexität von IT-Systemen ist eine absolute Sicherheit nicht erreichbar. Eine weitergehende Konkretisierung des Begriffs erfolgt daher regelmäßig nicht. Entscheidend für die tatsächliche Bestimmbarkeit des jeweiligen Sicherheitsniveaus ist mithin die tatsächliche Bestimmbarkeit des jeweiligen Stands der Technik.

WAS IST DER „STAND DER TECHNIK“?

Der Rechtsbegriff „Stand der Technik“ hat eine längere Entwicklung zurückgelegt als es seine aktuelle Verwendung im IT-Sicherheits- und Datenschutzrecht aufgrund zunehmender Implikationen in Gesetzen vermuten lässt. In den jüngeren Gesetzgebungsverfahren hat der Begriff – wie eingangs erwähnt – immer häufiger zur Bestimmung eines Technologieniveaus herangezogen. In den europarechtliche Normen Art. 32 DS-GVO sowie Art. 14 der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) erfolgt eine die Verwendung des Begriffs „state oft the art“.

In seiner Kalkar-I-Entscheidung beschäftigte sich das Bundesverfassungsgericht 1978 (BVerfG, Beschl. v. 8.8.1978 – 2 BvL 8/77) erstmals mit den Begriffen „anerkannten Regeln der Technik“, „Stand von Wissenschaft und Technik“ und „Stand der Technik“ und so mit der heute bekannten „Drei-Stufen-Theorie. Das Technologieniveau „Stand der Technik“ ist zwischen dem Technologiestand „Stand der Wissenschaft und Forschung“ und dem Technologiestand „allgemeinanerkannten Regeln der Technik“ einzuordnen. Eingegrenzt werden die drei Begriffe zum Technologieniveau zudem durch die „Allgemeine Anerkennung“ sowie die „Bewährung in der Praxis“. Eine Unterscheidung zwischen den drei Begrifflichkeiten ist die wesentliche Grundlage für die Bestimmung des geforderten Technologiestandes. In der Praxis kommt es noch zu häufig zu einer Vermischung und somit keiner trennscharfen Unterscheidung der Begrifflichkeiten. Den „Stand der Technik“ bestimmt das BVerfG als Front der technischen Entwicklung. Somit umfasst der „Stand der Technik“ nicht die beste zur Verfügung stehende Technologie, sondern jene fortschrittlichen Verfahren, die in hinreichendem Maße zur Verfügung stehen und auf gesicherten Erkenntnissen beruhen oder mit Erfolg erprobt wurden. Kurz gesagt: Der Stand der Technik bezeichnet die am Markt verfügbare Bestleistung einer IT-Sicherheitsmaßnahme zur Erreichung eines IT-Sicherheitsziel. Für die Bestimmung eines erforderlichen Sicherheitsniveaus eignet sich daher der Begriff „Stand der Technik“ besonders gut, vollziehen sich IT-Sicherheits- und Datenschutzrecht nicht als wissenschaftliche Konzeption, die sich nach Theoriestatus und Erprobung in der Praxis zu einem anerkannten Standard manifestieren. Von Vorteil ist insoweit, dass eine dynamische in Bezugnahme möglich ist, da auf eine allgemeine Anerkennung verzichtet wird. Dies ist wiederrum erforderlich, um dem technischen Fortschritt gerecht zu werden. Trotz oder vielleicht gerade aufgrund seiner des häufigen Gebrauchens führt die Auslegung sowie Anwendung des „Stand der Technik“ in der Praxis zuweilen jedoch zu ungeahnten Schwierigkeiten.

WIE KÖNNEN WIR DEN STAND DER TECHNIK BESTIMMEN?

Es beststehen zuweilen Verwendungssituationen, in denen direkt aus dem Gesetz durch einen Verweis auf eine technische Norm der „Stand der Technik“ näher bestimmt wird, so beispielsweise in § 18 Abs. 2 Satz 2 De-Mail-Gesetz mit dem Verweis auf die Technische Richtlinie 01201 De-Mail des Bundesamt für Sicherheit in der Informationssicherheit (BSI). Zur weiteren Konkretisierung kann regelmäßig eine Orientierung mittels des sogenannten Soft Law in Form von „branchenüblichen Normen und Standards“ erfolgen. Hierfür kommen eine Reihe nationaler wie auch internationaler technischer Normen, Best Practice, Praxisleitfäden und vergleichbarer Standards in Betracht. Zu nennen sind insbesondere DIN-Normen vom Deutschen Institut für Normung sowie ISO-Normen der International Organisation for Standardization mit Bezug zur IT-Sicherheit wie beispielsweise DIN ISO 19600 für den Inhalt von Compliance Management Systeme, ISO 20000 für IT-Service Management, ISO/IEC 27000-Reihe für Informationssicherheits-Managementsysteme, ISO/IEC 27018 mit datenschutzrechtlichen Anforderungen für Cloud-Anbieter oder die IEC 62443 im Bereich IT-Sicherheit für industrielle Systeme. Von zunehmender Bedeutung sind zudem das IT-Grundschutz-Kompendium des BSI sowie Praxisleitfäden von Interessenverbänden, beispielsweise Bitkom-Kompass für IT-Sicherheitsstandards oder die Handreichung des TeleTrust Bundesverband IT-Sicherheit e.V. Bei diesen technisch geprägten Standards handelt es sich nicht per se um verbindliche Rechtsnormen, sondern laut eines Urteil des Bundesgerichtshof (BGH, Urt. v. 22.8.2019 – III ZR 113/18) vielmehr um „private Regelwerke mit Empfehlungscharakter“.  Dennoch sind diese Regelungswerke zugleich bei der Frage, ob ein bestimmter Sicherheitsstandard eingehalten wird, zur Auslegung heranzuziehen.  Im Grundsatz tragen die technischen Normen und Standards die widerlegliche Vermutung in sich, den aktuellen Stand der Technik einzuhalten. Weiterhin mögen die technischen Normen, Standards und Regelwerke im Ergebnis zwar als unverbindlich und daher als nicht durchsetzbar gelten, entfalten sich durch ihre branchenweite Befolgung aber zunehmende faktische Verbindlichkeit. Jedoch birgt auch die Verwendung derartiger Standards Probleme, welche insbesondere mit Blick auf die ISO-27000-Reihe oder IT-Grundschutz-Kompendium im unterschiedlichen Verwendungs- und Umsetzungsgrad und mithin einer fehlenden Vergleichbarkeit bei der Umsetzung zu sehen sein können. Darüber hinaus unterliegen viele der genannten Standards einer hohen Abstraktheit, was gleichwohl bei den Rechtsanwendern zu einer Scheinsicherheit führt.

FAZIT

Der Umgang und die Verwendung mit dem unbestimmten Rechtsbegriff Stand der Technik gestaltet sich in der Praxis alles andere als leicht. So zwingend die Verwendung des unbestimmten Rechtsbegriffs ist, um auf den stetig technischen Fortschritt und die IT-Systemen innewohnende Dynamik mit größtmöglicher Flexibilität zu reagieren. Umso schwieriger erscheint die tatsächliche Bestimmung des entsprechend einzuhaltenden Schutzniveaus, selbst unter Heranziehung branchenüblicher Normen und Standards.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.