Für Jurist:innen ist es eigentlich eine traumhafte Ausgangslage: Je mehr und je komplexer die Gesetze im Bereich Digitalregulierung werden, umso unerlässlicher ist auch die juristische Beratungskompetenz – sollte man meinen. Auch die entsprechenden Fachverlage überschlagen sich mittlerweile in der Ankündigung von neuen Werken zu Digitalgesetzen, die sich bestenfalls in der Entwurfsfassung befinden – Stichwort AI Act.
Doch selbst ausgewiesene Fachexpert:innen sind mittlerweile nicht mehr in der Lage, den kompletten Überblick im täglich wachsenden Cybercompliance-Dschungel zu behalten. Der eigentliche „Traum“ entwickelt sich so mehr und mehr zum Alptraum, wenn man selbst bei täglicher, intensiver Befassung mit der Materie Probleme hat, den aktuellen digitalpolitischen Regulierungen zu folgen.
Und das nicht ohne Grund: Führen wir uns beispielsweise einmal das Gesetzgebungsverfahren zum IT-Sicherheitsgesetz 2.0 vor Augen, wo zum Ende hin quasi im Wochentakt neue Entwürfe produziert wurden. Oder die Frage, warum es zusätzlich zum EU Cybersecurity Act nun auch eines EU Cyber Resilience Act bedarf. Oder warum der deutsche Gesetzgeber den bereichsspezifischen Datenschutz in 150 Einzelgesetzen allein im Bund spezifizieren muss. Mit Blick auf die vielzitierte „digitale Souveränität“ darf an dieser Stelle natürlich auch die Frage nicht fehlen, weshalb die EU in ihrem Entwurf zum neuen Chips Act meint, Hardwaresouveränität und sogar globale Marktführerschaft mit einem Gesetz herstellen zu können, das vor allem neue behördliche Kompetenzen regelt.
Innovation verkommt immer mehr zum abzuarbeitenden Verwaltungsvorgang
Der Erfolg einer Regierung (oder auch der EU-Kommission) scheint sich zunehmend an der Zahl ihrer Gesetze zu einem bestimmten Thema zu bemessen. Ob derartiger politischer Aktionismus aber tatsächlich und nachhaltig zielführend sein kann, ist mehr als fraglich. Mit Blick auf die Hardwaresouveränität, die auch eine für die Cybersecurity nicht von der Hand zu weisende Relevanz besitzt, ist das allgegenwärtig feststellbare hastige gesetzgeberische Tätigwerden nichts anderes als eine lange zu spät kommende Erkenntnis des jahrzehntelangen Technologieausverkaufs schon seit den Neunziger Jahren. Erinnert sei nur an die hitzige Debatte zur Frage, ob für den 5G-Ausbau hierzulande Technologie des chinesischen Anbieters Huawei eingesetzt werden sollte und mit dem IT-SiG 2.0 letztlich in der „Lex Huawei“ mündete. Hier tragen zwar auch die Unternehmen mit ihrer Politik der Gewinn- und Prozessoptimierung eine erhebliche Mitverantwortung, letztlich bedeutet das aber nicht zwangsläufig, dass nun der Staat zu einem Hauptakteur der Wiederherstellung digitaler Souveränität avancieren kann und muss.
Im Gegenteil ist es gefährlich, wenn wir uns darauf verlassen, dass es der Staat mit all seinen Strategien, Programmen und vielfältigen gesetzgeberischen Aktivitäten schon richten wird und die Digitalisierung „wieder auf Kurs“ bringt. Denn Innovation ist eben kein Verwaltungsprozess, den man schrittweise durch Behörden und mit Fördermitteln abarbeiten kann.
Innovationen sind vor allem eines: unwägbar und oft mit nur begrenzt kalkulierbaren Risiken verbunden. Sie entstammen vielfach den Bedürfnissen des Marktes und kommen aus den Laboren und der Wissenschaft – Politik und Gesetzgebung können hier höchstens unterstützend tätig werden und ein innovationsfreundliches Klima schaffen, aber die technische Innovation im eigentlichen Sinne nur begrenzt triggern. Dass immer mehr Digital- und Cybersicherheitsgesetzgebung und der damit verbundene Aufwand und die Ressourcen, die man in die Abarbeitung von bürokratischen Vorgängen stecken muss, nur höchst wenig Innovationspotenzial bietet, dürfte jedem klar sein.
Innovation hat erst einmal nicht viel mit Gesetzen zu tun
Wie geht es also weiter und was kann man in Zukunft besser machen? Zuallererst muss in der Politik die Erkenntnis reifen, dass Innovation eigentlich nicht viel mit Gesetzgebung zu tun hat – wenn nicht in manchen Bereichen sogar ein Widerspruch in sich ist (siehe „Innovationsgesetzgebung“). Darüber hinaus sollten anstelle von immer neuen Vorhaben zur Digitalregulierung endlich einmal Prozesse angestoßen werden, um bestehende Regelungen systematisch zu erfassen und im Hinblick auf ihre Praktikabilität und Effizienz kritisch zu hinterfragen – denn es ist durchaus auch zulässig, Vorschriften aufzuheben, sollten sie nicht (mehr) benötigt werden.
Last, but not least. Gerade im Hinblick auf Cybersicherheit sollte außerdem deutlich werden, dass die zunehmende Verschränkung von Recht, Politik und Technik auch gefährlich sein kann – siehe nur die jüngste Warnung des BSI vor den Produkten des russischen Herstellers Kaspersky, zu Jahresbeginn war dessen Software trotz russischer Herkunft nämlich offiziell noch cybersicher. Welche neuen technischen (!) Erkenntnisse hier zwischenzeitlich gereift sein sollen, die eine andere Wertung rechtfertigen, erschließt sich zurzeit leider nicht wirklich.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.
In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein.