Das Recht der zivilen Sicherheit in Europa steht mit Blick auf den virtuellen Raum vor grundsätzlichen Herausforderungen. Es ist heute kaum noch ein Lebensbereich ohne digitale Dimension vorstellbar. Damit einher gehen grundlegende Fragen zur zivilen Sicherheit, die Bereiche wie die Cyberkriminalität, den Schutz der Infrastruktur oder den Grundrechtsschutz, berühren.

Das Kompetenznetzwerk für das Recht der zivilen Sicherheit in Europa (KORSE) ist ein vom Bundesministerium für Bildung und Forschung gefördertes Projekt, an dem neben dem HIIG das Zentrum für Sicherheit und Gesellschaft der Universität Freiburg, die Deutsche Hochschule für Polizei in Münster und die Bucerius Law School in Hamburg beteiligt sind. Es etabliert ein deutsches Kompetenznetzwerk mit europaweiter Sichtbarkeit und stärkt den Beitrag der deutschen Rechtswissenschaft in der europäischen Forschung zur zivilen Sicherheit. Im Rahmen von KORSE erforschen Nachwuchswissenschaftlerinnen und -wissenschaftler die theoretischen wie praktischen Herausforderungen ziviler Sicherheit in einem vereinten Europa. Des Weiteren wird durch die Vergabe von Kurzzeitfellowships, den «European Fellowships for Security, Society and the Law», an Expertinnen und Experten im internationalen Recht der zivilen Sicherheit eine Plattform etabliert, von der aus der nationale und der europäische Diskurs personell und thematisch miteinander vernetzt werden.

Unser Projekt am HIIG widmet sich dabei schwerpunktmäßig Fragestellungen der zivilen Sicherheit im virtuellen Raum und den daraus resultierenden gesellschaftlichen und rechtlichen Herausforderungen, die für, aber auch durch, private wie öffentliche Akteure aus dem In- und Ausland entstehen: So sind informationstechnische Infrastrukturen konstitutiv für die Funktionsfähigkeit verschiedener gesellschaftlicher Teilbereiche, beispielsweise im Finanzsektor, in der Energie- und Wasserversorgung oder im Katastrophenschutz (sog. kritische IT-Infrastrukturen). Auch Individuen üben dabei ihre Freiheitsrechte aus. Um diese neuen Formen der Entfaltung des Individuums und seiner grundrechtlich geschützten Rechte zu gewährleisten, muss die Privatsphäre heute auch im Internet bzw. bei der elektronischen Datenverarbeitung – beispielsweise bei der Kommunikation über das Internet oder bei der Nutzung von Cloudservices oder anderer informationstechnischer Systeme – geschützt werden. Voraussetzung für den Schutz dieses neuen Freiheitsraums ist auch die Gewährleistung von IT-Sicherheit. IT-Sicherheit selbst bleibt aber nach wie vor weitgehend eine Unbekannte für Politik, Recht und Gesellschaft. Der Bereich erscheint komplex, technisch voraussetzungsvoll, weist eine starke transnationale Dimension auf und ist grundrechtlich durchdrungen.

Unsere Forschung widmet sich vier konkreten Problemfeldern:
I.) Zunächst ist das Regelungsfeld IT-Sicherheit von epistemischer Unsicherheit geprägt. Es ist unklar, was öffentlich-rechtliche Akteure über die Cybersicherheit wissen können und dürfen. Klar ist dagegen, dass sie nur auf einer entsprechenden Informationsgrundlage sinnvoll handeln und regulierend tätig werden können. Die Informationsgewinnung ist im Bereich der IT-Sicherheit aber vor besondere rechtliche Herausforderungen gestellt, da IT-Strukturen ganz überwiegend privat organisiert und verwaltet werden. Die öffentliche Hand hat weder unmittelbaren Zugriff auf die Infrastrukturen selbst noch auf Informationen über deren Sicherheitszustand. Von privater Seite bestehen zudem Hemmnisse, mit der Verwaltung zu informationell zu kooperieren, weil durch das Offenlegen von Sicherheitslücken das Unternehmen mit seinem Renommée und in seinem Bestand gefährdet werden könnte. Was also darf, was muss der Staat in Abwägung mit konkurrierenden Grundrechtsinteressen wissen, um im Bereich der IT-Sicherheit seiner Verantwortung nachzukommen?

II.) Regulierung zur IT-Sicherheit steht zudem nicht zur Disposition. Sie gehört zum Bereich der grund- und menschenrechtlich verbürgten öffentlich-rechtlichen Gewährleistungsverantwortung. Der virtuelle Raum ist kein grundrechtsfreier Raum. Grundrechte sind nicht nur Abwehrrechte, sie verpflichten darüber hinaus öffentlich-rechtliche Akteure, aktiv Maßnahmen zum Schutze des virtuellen Raums als neuem, vor allem kommunikativen Freiheitsraum und der in ihm agierenden Grundrechtsträger zu ergreifen. Zugleich werden angesichts der transnationalen Dimension des Problemfelds IT-Sicherheit die Grenzen möglicher staatlicher Regulierung deutlich. Deshalb geht die Gewährleistungsverantwortung in zunehmendem Maße auf transnationale Regelungsverbünde, in Europa insbesondere auf die Europäische Union, über. Auch sie ist grundrechtlich gebunden, darf allerdings nur aufgrund der ihr von den Mitgliedstaaten zugewiesenen Kompetenzen tätig werden. Eine spezifische Kompetenz für den Bereich der IT-Sicherheit findet sich in den Verträgen aber nicht. Das schließt die Inanspruchnahme anderer Kompetenzgrundlagen wie die Binnenmarktkompetenz nicht aus. Die Frage also ist, welche grundrechtlichen Verpflichtungen die EU im Bereich der IT-Sicherheit angesichts der ihr nur begrenzt zugewiesenen Kompetenzen treffen und welche Maßnahmen sie dementsprechend ergreifen darf und muss.

III.) Die zunehmende Digitalisierung aller Lebensbereich stellt auch die Strafverfolgungsbehörden vor neue Probleme. So verlagern sich heute nicht nur viele legale Tätigkeiten des täglichen Privat- und Geschäftslebens, sondern auch die Planung und Durchführung krimineller Handlungen zunehmend in den virtuellen Raum. Dieser bietet die Möglichkeit, sich komplex und transnational zu vernetzen und so quantitativ wie qualitativ neue Formen legaler, aber auch krimineller Handlungen zu entwickeln und anzuwenden. Vor diesem Hintergrund ist der Zugriff auf und die Auswertung von elektronische(n) Datenbestände(n) im In- und Ausland für eine effektive Strafverfolgung von zentralem Interesse. Zugleich sind aber die Freiheitsrechte der Betroffenen zu wahren. Angesichts der wachsenden Bedeutung personenbezogener elektronischer Daten, die zunehmend auf Servern privater Dritter gespeichert sind, müssen die Zugriffsmöglichkeiten der Strafverfolgungsbehörden auf diese Daten hinsichtlich ihrer Effizienz, aber auch im Blick auf einen (auf nationaler und europäischer Ebene) angemessenen (Grund-)Rechtsschutz betrachtet werden. Es stellt sich die Frage, ob das gegenwärtige Strafprozessrecht diese neue Situation ausreichend reflektiert oder ob es der Anpassung bedarf.
Indem die Arbeit die technischen Entwicklungen hin zu globalen und umfassenden Datenverarbeitungskapazitäten und die Verschiebung der Datensammlungen vom Staat auf private Unternehmen als Ausgangspunkt ihrer Untersuchung nimmt, beleuchtet sie die Veränderung und Verschiebung der Beziehungen und Machtverhältnisse zwischen Individuen, Unternehmen und dem Staat vor dem Hintergrund des grundrechtlichen Persönlichkeitsschutzes. Damit leistet das Projekt einen Beitrag zum Forschungsprogramm 2: »What is the changing relationship between individuals and data in the digital society?”.

IV.) Die Verlagerung strafrechtlicher Handlungen in den virtuellen Raum stellt auch das materielle Strafrecht vor neue Herausforderungen. Mit dem Vertrag von Lissabon werden der Europäischen Union erstmals explizit Kompetenzen zur Angleichung der mitgliedstaatlichen Strafrechtsordnungen übertragen. Die EU darf nunmehr Mindestvorschriften von Straftaten und Strafen in Bereichen besonders schwerer Kriminalität festlegen, die eine grenzüberschreitende Dimension aufweisen und deshalb eine grenzüberschreitende Regulierung erfordern. Hierzu zählt der Vertrag auch die Computerkriminalität. Es ist aber fraglich, wie dieser Begriff zu verstehen ist. Genügt eine irgendwie geartete Ausführung von Straftaten mit Hilfe von IT-Systemen oder müssen IT-Systeme Voraussetzung für die Begehung von oder Tatobjekte solcher Computerstraftaten sein? Gerade das Strafrecht wurde vom Bundesverfassungsgericht als gewissermaßen souveränitätsfester Bereich definiert, der einer Harmonisierung durch die EU aufgrund verfassungsrechtlicher Voraussetzungen nur bedingt zugänglich ist, weshalb eine genaue Bestimmung der Grenzen europarechtlicher Harmonisierung notwendig ist.

Journal Publikationen und Conference Proceedings:

Leisterer, H. & Schneider, F. (2015). Staatliches Informationshandeln im Bereich der IT-Sicherheit. Kommunikation & Recht, 681-688. Publication details

Leisterer, H. (2015). Die neuen Pflichten zur Netz- und Informationssicherheit und die Verarbeitung personenbezogener Daten zur Gefahrenabwehr. Computer und Recht, 665-670. Publication details

Haase, A. (2015). Harmonizing substantive cybercrime law through European union directive 2013/40/EU – From European legislation to international model law? IEEE Explore Digital Library - First International Conference on Anti-Cybercrime (ICACC), 2015, 1-6. Publication details

Haase, A. (2015). Kongressbericht: Cyberkriminalität als internationale Herausforderung. Zeitschrift für Internationale Strafrechtsdogmatik, 2015(7-8), 422-425. Publication details

Leisterer, H., Schneider, F. (2014). Der überarbeitete Entwurf für ein IT-Sicherheitsgesetz – Überblick und Problemfelder. Computer und Recht, 574-578. Publication details

Buchbeiträge und Kapitel:

Leisterer, H. (2017). Zivile Cybersicherheit in Europa: Entwicklung des Bereichs der Netz- und Informationssicherheit im Unionsrecht. In Gusy/Kugelmann/Würtenberger (Eds.), Handbuch zum Recht der Zivilen Sicherheit (pp. Kapitel 5). Berlin: Springer. Publication details

Leisterer, H. (2016). Das Informationsverwaltungsrecht als Beitrag zur Netz- und Informationssicherheit am Beispiel von IT-Sicherheitslücken. In Kugelmann, D., Sicherheit. Polizeiwissenschaft und Sicherheitsforschung im Kontext (pp. 135-150). Baden-Baden: Nomos. Publication details

Leuschner, S. (2016). EuGH und Vorratsdatenspeicherung: Erfindet Europa ein neues Unionsgrundrecht auf Sicherheit ? In Schneider, F., & Wahl, T. (Eds.), Herausforderungen für das Recht der zivilen Sicherheit in Europa (pp. 17-46). Baden-Baden: Nomos. Publication details

Peters, E. (2016). Strafrecht und Datenschutz im Internet. In D. Kugelmann, Migration, Datenübermittlung und Cybersicherheit. Grundfragen und ausgewählte Handlungsfelder der Zusammenarbeit von Sicherheits- und Strafverfolgungsbehörden in der EU (pp. 167 et seq.). Baden-Baden: Nomos. Publication details

Andere Publikationen:

Leuschner, S. (2016). Es ist wieder da: Der EuGH bestätigt das Grundrecht auf Sicherheit. www.verfassungsblog.de. Publication details

Haase, A. & Züger, T. (2016). Mit dem BKA ins hacktivistische Dunkelfeld. netzpolitik.org. Publication details

Haase, A. & Züger, T. (2016). BKA: “Den Hacker gibt es nicht. Wir sollten ihn erfinden.”. netzpolitik.org. Publication details

Leuschner, S. (2015). Die Angst vor der epistemischen Unsicherheit: das gruppenspezifische Blutspendeverbot vor dem EuGH. www.verfassungsblog.de. Publication details

Haase, A., Züger, T. (2015). Hacktivismus = Cybercrime? Eine Replik auf die Studie des BKA zu Hacktivisten. netzpolitik.org. Publication details

Peters, E. (2015). Der Sonderermittler zum NSA-Untersuchungsausschuss – eine Mogelpackung? Verfassungsblog. Publication details

Leuschner, S. (2015). Eine “Charta der Grundrechte für die digitale Zeit”, und warum wir sie brauchen. www.verfassungsblog.de. Publication details

Stemmler, M., Flor, A., & Leuschner, S. (2015). Recht der zivilen Sicherheit (Tagungsbericht). Juristenzeitung, 70(23), 1151-1152. Publication details

Peters, E. (2015). Der EuGH erklärt Safe-Harbour für ungültig – Was folgt daraus für die europäischen Sicherheitsbehörden? . Publication details

Leisterer, H. & Schneider, F. (2014). Konferenzbericht – 13. @kit-Kongress -zugleich 3. Forum „Kommunikation & Recht“: „Datenschutz und Datensicherheit als Herausforderung des Rechts“. Kommunikation und Recht. Publication details

Leuschner, S. (2014). EuGH und Vorratsdatenspeicherung: Emergenz eines Grundrechts auf Sicherheit? www.verfassungsblog.de. Publication details

Vorträge:

Online financial crimes and fraud committed with electronic means of payment
Specific legal challenges related to credit card fraud . European Academy of Law (ERA). Centro de Estudios Jurídicos, Madrid, Madrid, Spain: 24.05.2016

Adrian Haase

Ubiquitous computing and increasing engagement of private companies in governmental surveillance
7th Biennial SURVEILLANCE & SOCIETY CONFERENCE: “Power, performance and trust” . Surveillance Studies Network (SSN). University Barcelona, Barcelona, Spain: 22.04.2016

Adrian Haase

Vorratsdatenspeicherung und das Unionsgrundrecht auf Sicherheit: Öffnet der EuGH die Büchse der Pandora?
Recht der zivilen Sicherheit (Session: Rechtsvergleichende Untersuchungen auf europäischer / internationaler Ebene). Bundesministerium für Bildung und Forschung. Georg-August-Universität Göttingen, Göttingen, Germany: 05.12.2014

Sebastian Leuschner