Auf dieser Seite
    • Auf dieser Seite

    16. Juni 2020

    Die Cyberangriffs-Verordnung der EU – Europas Schutz vor Cyberangriffen aus dem Ausland

    I. Zunehmende Bedrohung durch Cyberangriffe

    Cyberangriffe auf deutsche Unternehmen und Behörden aus dem Ausland nehmen zu. In einer Auswertung zu nachrichtendienstlich gesteuerten Cyberangriffen kam das Bundesamt für Verfassungsschutz (BfV) 2018 zu dem Ergebnis, dass Deutschland vor allem durch russische, chinesische und iranische Cyberangriffskampagnen betroffen ist. Gerade die russischen Kampagnen seien, so das BfV, Ergebnis einer meist mehrjährigen, international ausgerichteten Cyberspionage-Operation. Sie seien technisch hochqualifiziert, mit starken finanziellen Ressourcen und außergewöhnlichen Operativ- und Auswertefähigkeiten verbunden. Mit den russischen Angriffen vergleichbar sind nach dem BfV auch Cyberangriffe, die chinesischen Spionageeinrichtungen zugeschrieben werden. Das Interesse liege hier vor allem im Bereich der Luft- und Raumfahrt, der Elektrotechnik, der Stahl- und Metallindustrie sowie der Hochtechnologie.

    Neben der Informationsgewinnung traten gerade in den letzten Jahren vor allem Cyber-Kriminalität, aber auch Cyber-Sabotageakte in den Vordergrund. Während auch bei Wirtschaftsunternehmen sowohl im mittelständischen Bereich als auch bei Großunternehmen – vergleiche nur die Cyberangriffe auf mehrere deutsche DAX-Konzerne Mitte 2019 – weiterhin die Informationsgewinnung ein wichtiges Motiv ist, nehmen auch kriminelle Aktivitäten zu, z.B. zur Erpressung von „Lösegeld“; das BfV schätzt die Dunkelziffer in diesem Bereich als besonders hoch ein. Schließlich wird zunehmend vor Sabotageakten im Bereich kritischer Infrastrukturen, also vor allem Strom-, Wasserversorgung und Versorgung mit anderen lebenswichtigen Gütern gewarnt.

    Mit der neuen Cyberangriffs-Verordnung  (Verordnung (EU) 2019/796 des Rates vom 17. Mai 2019 über restriktive Maßnahmen gegen Cyberangriffe, die die Union oder ihre Mitgliedstaaten bedrohen) will die Europäische Union die äußere Bedrohung der Union und der Mitgliedstaaten durch Cyberangriffe sanktionieren und von deren künftiger Begehung abschrecken. Sie ist im Mai 2019 in Kraft getreten und betrifft vor allem kritische Infrastrukturen. Dazu nutzt sie die bekannten außenwirtschaftsrechtlichen Sanktionsinstrumente: Personen, Organisationen oder Einrichtungen, die für (versuchte) Cyberangriffe von außerhalb der EU verantwortlich sind oder mit diesen in Verbindung stehen, sollen finanziell umfassend isoliert werden.

    II. Äußere Bedrohung durch Cyberangriffe

    Voraussetzung für die Sanktionen der Cyberangriffs-Verordnung ist eine äußere Bedrohung für die EU oder ihre Mitgliedstaaten durch einen tatsächlichen oder versuchten Cyberangriff, der erhebliche oder potentiell erhebliche Auswirkungen hat.

    1. Äußere Bedrohung für die EU oder Mitgliedstaaten

    Eine äußere Bedrohung der Union wird angenommen, wenn die Cyberangriffe ihren Ausgang außerhalb der EU haben oder von Personen oder Organisationen, die außerhalb der EU ansässig oder tätig sind, durchgeführt werden (Art. 1 Abs. 2 VO).

    Eine äußere Bedrohung der Mitgliedstaaten liegt vor, wenn Cyberangriffe gegen kritische Infrastrukturen, Dienstleistungen oder staatliche Funktionen geführt werden, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen oder der Gesundheit, Sicherheit und des Wohlergehens der Bevölkerung sind, insbesondere im Bereich Energie, Verkehr, Banken, Gesundheitswesen, Trinkwasser oder digitale Infrastruktur (Art. 1 Abs. 4 VO).

    2. Cyberangriff oder versuchter Cyberangriff

    Ein Cyberangriff (oder ein versuchter Cyberangriff) ist jede Handlung, die den Zugang zu oder den Eingriff in Informationssysteme bewirkt. Informationssysteme werden weit verstanden als ein System der automatischen Verarbeitung von digitalen Daten; in ein solches System wird eingegriffen, wenn es durch die Eingabe von digitalen Daten, deren Übermittlung, Beschädigung, Löschung, Veränderung oder Unterdrückung behindert oder gestört wird. Cyberangriffe liegen aber auch bei einem Eingriff in Daten oder beim Abfangen von Daten selbst vor. Es reicht also auch schon beispielsweise der Diebstahl von Daten, Geldern, wirtschaftlichen Ressourcen oder geistigem Eigentum (Art. 1 Abs. 3,7 VO).

    3. Erhebliche bzw. potentiell erhebliche Auswirkungen

    Ob ein Cyberangriff (potentiell) erhebliche Auswirkungen hat, beurteilt sich u.a. nach Umfang, Ausmaß, Wirkung oder Schwere der (versuchten) Störung für wirtschaftliche und gesellschaftliche Tätigkeiten, die Höhe des wirtschaftlichen Schadens, der vom Täter erlangte wirtschaftliche Nutzen, Menge und Art der gestohlenen Daten und die Art der wirtschaftlich sensiblen Daten, auf die zugegriffen wurde (Art. 2 VO). Festgelegte, abstrakte Kriterien gibt es hierfür nicht. Der Rat hat einen großen Einschätzungsspielraum.

    III. Sanktionen gegen gelistete Personen oder Organisationen

    Liegen diese Voraussetzungen vor, beschließt der Rat der EU die Aufnahme der verantwortlichen Personen oder Organisationen in Anhang I der Verordnung (Art. 13 Abs. 1 VO). Ausreichend ist auch, wenn nur finanzielle, technische oder materielle Unterstützung für Cyberangriffe geleistet wurde oder eine Beteiligung auf andere Weise – beispielsweise durch Planung, Steuerung, Unterstützung oder Ermutigung – vorliegt. Bislang ist die Liste der Cyberangriffs-Verordnung noch leer.

    Die betroffenen Personen und Organisationen sollen so weit wie möglich finanziell isoliert werden. Dies betrifft nicht nur Gelder – also Geldforderungen, Einlagen und Guthaben auf Konten, Zinserträge und Dividenden, Wertpapiere, Kredite, Bürgschaften, Vertragserfüllungsgarantien und andere finanzielle Ansprüche; auch alle wirtschaftliche Ressourcen sind erfasst. Dies sind alle materiellen oder immateriellen, beweglichen oder unbeweglichen Vermögenswerte, bei denen es sich nicht um Gelder handelt, die aber für den Erwerb von Geldern, Waren oder Dienstleistungen verwendet werden können (Art. 1 Abs. 8 lit. d) VO). Letztendlich werden danach nach allgemeinem Begriffsverständnis alle Güter erfasst, die selbst wieder für den Erwerb von Finanzmitteln verwendet werden können, also einen Marktwert haben und handelbar sind.

    1. Einfrieren von Vermögenswerten

    Die Vermögenswerte der gelisteten Personen und Organisationen sollen eingefroren werden (Art. 3 Abs. 1 VO). Jegliche Nutzungsmöglichkeit – Transfer, Verwendung oder Zugang – soll ausgeschlossen werden.

    Die Bundesbank kann die Freigabe bestimmter Gelder oder wirtschaftlicher Ressourcen genehmigen, wenn sie Gegenstand einer schiedsgerichtlichen oder behördlichen Entscheidung sind. Gleiches gilt für Vermögenswerte, die auf Grundlage eines Vertrages oder einer vergleichbaren Verpflichtung zu leisten sind und dieser Vertrag vor dem Datum abgeschlossen wurde, an dem die Person/Organisation gelistet wurde (Art. 5 Abs. 1 VO). Die Erfüllung von Altverträgen ist also weiterhin möglich.

    2. Bereitstellungsverbot

    Den gelisteten Personen oder Organisationen dürfen darüber hinaus keine Vermögenswerte unmittelbar oder mittelbar zur Verfügung gestellt werden oder zugutekommen (Art. 3 Abs. 2 VO).

    Ein mittelbares Bereitstellen kann vorliegen, wenn die Vermögenswerte einem Unternehmen, das im Eigentum einer gelisteten Person steht oder von dieser kontrolliert wird, zur Verfügung gestellt werden. Im Eigentum steht ein Unternehmen, wenn mehr als 50 Prozent der Eigentumsrechte im Besitz der gelisteten Person/Organisation sind bzw. sie eine Mehrheitsbeteiligung hält. Die Frage, ob ein Unternehmen von einer gelisteten Person kontrolliert wird, kann im Einzelfall schwieriger zu beantworten sein. Dabei ist unter anderem zu prüfen, ob die gelistete Person allein oder über Vereinbarungen mit anderen Anteilseignern die Mehrheit der Stimmrechte hat oder bestimmenden Einfluss auf die Leitungs-, Verwaltungs- und Aufsichtsorgane des Unternehmens nehmen kann. Ist dies der Fall, so dürfen diesem Unternehmen grundsätzlich keine Gelder oder wirtschaftlichen Ressourcen zur Verfügung gestellt werden – denn dies würde als mittelbare Bereitstellung an die gelistete Person gelten.

    3. Genehmigung bei Grundbedürfnissen

    Für bestimmte Vermögenswerte kann die Bundesbank die Freigabe vom Verfügungsverbot und vom Bereitstellungsverbot erteilen. Dies ist dann der Fall, wenn die Mittel beispielsweise der Befriedigung der Grundbedürfnisse der gelisteten natürlichen Personen sowie unterhaltsberechtigter Familienangehöriger, z.B. für die Bezahlung von Nahrungsmitteln, Mieten, Medikamenten, Steuern, Versicherungen, etc. oder angemessener Honorare für rechtliche Dienstleistungen dienen (Art. 4 VO).

    IV. Auswirkungen auf die unternehmerische Praxis

    Wie bei allen anderen Exportsanktionen müssen Unternehmen sicherstellen, dass sie ihre Geschäftspartner mit den in der Cyberangriffs-Verordnung gelisteten Personen abgleichen. Darüber müssen die Unternehmen alle Informationen, die die Anwendung dieser Verordnung erleichtern – z.B. Informationen über die eingefrorenen Konten und Beträge –, unverzüglich der zuständigen Behörde ihres Mitgliedstaates übermitteln. Die Beachtung dieser Pflichten sollte im Unternehmen sichergestellt werden, da die drohenden Konsequenzen bei einem Verstoß empfindlich und weitreichend sein können.

    So ist ein vorsätzlicher Verstoß nach § 18 Abs. 1 Nr. 1 AWG strafbewährt, und zwar mit einer Freiheitsstrafe von drei Monaten bis zu fünf Jahren. Wird hiergegen fahrlässig verstoßen, kann ein Ordnungswidrigkeitentatbestand nach § 19 Abs. 1 AWG verwirklicht sein. Die Geldbuße kann dann bis zu 500.000 Euro betragen. Ordnungswidrig handelt auch, wer der Mitteilungspflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachkommt.

    Darüber hinaus kann auch eine Aufsichtspflichtverletzung nach § 130 OWiG relevant werden. Der Inhaber eines Betriebs oder ihm gleichgestellte Personen, wie z.B. Betriebsleiter, Direktoren oder Prokuristen können mit einer Geldbuße belegt werden, wenn sie es fahrlässig oder vorsätzlich unterlassen haben, Maßnahmen zur Verhinderung betriebsbezogener Verstöße zu ergreifen. Dazu kann es beispielsweise gehören, kein wirksames internes Kontroll- und Compliance-Managementprogramm installiert zu haben.

    Schließlich kann nach § 30 OWiG auch gegen das Unternehmen selbst eine Geldbuße verhängt werden, wenn eine Leitungsperson eine Straftat oder Ordnungswidrigkeit begangen hat. Eine solche Ordnungswidrigkeit kann auch eine Aufsichtspflichtverletzung nach § 130 OWiG sein. Die Unternehmensgeldbuße kann im Fall einer fahrlässigen Begehung bis 5 Mio. Euro betragen. Bei einer Ordnungswidrigkeit bestimmt sich das Höchstmaß der Geldbuße nach dem für die Ordnungswidrigkeit angedrohten Höchstmaß, kann sich allerdings verzehnfachen, wenn der Ordnungswidrigkeitentatbestand auf § 30 OWiG verweist (wie dies z.B. bei § 130 OWiG der Fall ist). Weitere finanzielle Sanktionen und Nachteile können hinzukommen.

    Allerdings können handelnde Personen nicht in Anspruch genommen werden, wenn sie in gutem Glauben Vermögenswerte nicht bereitgestellt und deshalb beispielsweise eine Vertragserfüllung verweigert haben. Notwendig sind aber auch hier wirksame betriebsinterne Vorkehrungen, um eine fahrlässig falsche Anwendung der Cyberangriffs-Verordnung zu vermeiden.

    V. Fazit

    Ob die Mittel des klassischen Sanktionsrechts geeignet sind, die Gefahren durch grenzüberschreitende Cyberangriffe zu begrenzen, wird sich in Zukunft erst noch zeigen müssen. Zweifel daran sind berechtigt. Denn anders als bei den länderbezogenen Sanktionsverordnungen, beispielsweise gegen Iran (Verordnung (EU) Nr. 267/2012 des Rates vom 23. März 2012 über restriktive Maßnahmen gegen Iran) oder Russland (wegen der Lage in der Ukraine) (Verordnung (EG) Nr. 208/2014 des Rates vom 5. März 2014 (*) über restriktive Maßnahmen gegen bestimmte Personen, Organisationen und Einrichtungen angesichts der Lage in der Ukraine) , sind die zu sanktionierenden Personen, Einrichtungen und Organisationen im Bereich der Cyberangriffe nicht ohne Weiteres einfach auszumachen. Dies gilt umso mehr, als dass der Rat der EU die zu listenden Personen bzw. Organisationen nicht nur identifizieren muss, sondern auch eine Verbindung zum Cyberangriff nachweisen und bei der Aufnahme auf die Liste der Verordnung eine entsprechende Begründung liefern muss. Dabei dürfte schon das Führen des entsprechenden Nachweises bei den naturgemäß verdeckt operierenden und alle technischen Möglichkeiten der Verschleierung nutzenden Organisationen sehr schwierig sein.

    Rechtsgebiete und Gruppen InformationstechnologieDatenschutz & Cyber-Sicherheit
    Branchen Technology, Media & Communications
    Call To Action Arrow Image

    Newsletter-Anmeldung

    Wählen Sie aus unserem Angebot Ihre Interessen aus!

    Jetzt abonnieren
    Jetzt abonnieren

    Related Insights

    Informationstechnologie

    EDPB betont Wichtigkeit freier Zustimmung bei „Pay or Okay” Modellen

    18. April 2024
    Briefing

    von mehreren Autoren

    Klicken Sie hier für Details
    Handels- & Vertriebsrecht

    Die neue Produkthaftungsrichtlinie: Software als Produkt

    25. März 2024
    In-depth analysis

    von Dr. Michael Kieffer

    Klicken Sie hier für Details
    Technology, Media & Communications

    IAB Transparency and Consent Framework muss nachgebessert werden

    8. März 2024

    von Dr. David Klein, LL.M. (Univ. of Washington), CIPP/E

    Klicken Sie hier für Details

    © Taylor Wessing