Ein Kommentar meines Kollegen und Experte für Business Resilience Christian Horres:
“Mit dem NIS-2-Umsetzungsgesetz betont die EU die Notwendigkeit erhöhter Cybersicherheit in kritischen Sektoren. Das Gesetz sieht Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes eines Unternehmens vor. Diese hohen Strafen scheinen auf den ersten Blick drastisch, reflektieren jedoch die zunehmende Bedeutung digitaler Sicherheit in kritischen Infrastrukturen.
Jedoch werden diese Bußgelder häufig missbräuchlich zitiert, um unnötig Angst zu erzeugen. Mehrere zentrale Gerichtsentscheidungen verdeutlichen, dass Bußgelder verhältnismäßig sein müssen und nicht so gestaltet sein dürfen, dass sie die Existenz eines Unternehmens bedrohen. Das Bundesverfassungsgericht hat in seinem Urteil vom 4. Februar 2009 (Az. 1 BvR 370/07 und 1 BvR 595/07) klargestellt, dass Bußgelder nicht die „erdrosselnde Wirkung“ haben dürfen und die Strafe stets im Verhältnis zur wirtschaftlichen Situation und zur Schwere des Verstoßes stehen muss. Dieses Urteil dient als Orientierung, wenn es um die Festsetzung hoher Bußgelder im Unternehmenskontext geht, wie etwa im Rahmen der NIS-2-Richtlinie.
Der Bundesgerichtshof konkretisierte in seinem Urteil vom 10. April 2018 (Az. KZR 19/14) im Kartellrecht ebenfalls den Grundsatz der Verhältnismäßigkeit. Auch wenn das Urteil speziell auf Kartellverstöße abzielt, lässt sich der Kern dieser Entscheidung auf Bußgelder im Bereich der Cybersicherheit übertragen: Die wirtschaftliche Lage des Unternehmens und die spezifische Schwere des Verstoßes müssen berücksichtigt werden, um sicherzustellen, dass Bußgelder nicht übermäßig belasten, sondern zielgerichtet präventiv und ahnend wirken.
Ein weiteres Grundsatzurteil zur Verhältnismäßigkeit von Bußgeldern ist das Urteil des Bundesverfassungsgerichts vom 14. Januar 2004 (Az. 1 BvR 507/01). Hier wurde klargestellt, dass Bußgelder keine „überzogenen“ Bestrafungen darstellen dürfen und immer in Bezug zur tatsächlichen Ordnungswidrigkeit stehen müssen, unabhängig davon, ob sie gegen Einzelpersonen oder Unternehmen verhängt werden. Dies schützt vor übermäßigen Strafen und stärkt den Grundsatz, dass Bußgelder verhältnismäßig zur jeweiligen Tat und den individuellen Umständen sein müssen.
Auf europäischer Ebene verdeutlichte der Europäische Gerichtshof in seinem Urteil vom 21. September 2016 (Az. C-592/14) die Bedeutung der Verhältnismäßigkeit bei Bußgeldern für EU-Vorgaben wie die DSGVO oder das NIS-2-Umsetzungsgesetz. Dieses Urteil unterstreicht, dass Bußgelder als präventive und erzieherische Maßnahme gedacht sind und nicht zur wirtschaftlichen Bedrohung eines Unternehmens führen sollen. Es stellt sicher, dass EU-weite Regelungen wie das NIS-2-Umsetzungsgesetz im Einklang mit dem Grundsatz der Verhältnismäßigkeit stehen und zu einer langfristigen Cybersicherheitsstrategie beitragen.
Zusammengefasst, sollten die Bußgelder im Rahmen der NIS-2-Richtlinie nicht als bloßes Abschreckungsmittel gesehen werden, sondern als ernsthafte Aufforderung, die Cybersicherheit zu stärken. Unternehmen sind gut beraten, präventiv in ihre Sicherheitsmaßnahmen zu investieren, um sich sowohl gesetzeskonform zu verhalten als auch das Vertrauen von Kunden und Partnern zu sichern. Die EU macht mit der NIS-2-Richtlinie deutlich: Cybersicherheit ist eine essenzielle Voraussetzung, um den Herausforderungen der digitalen Welt zu begegnen und kritische Infrastrukturen effektiv zu schützen.”
Vgl. auch die einschlägigen Beratungsangebote der @VZM GmbH
Vgl. die Fortbildungsangebote der SIMEDIA Akademie
- Cyberangriffe: 40 Prozent stehen mit China in Verbindung
- Kostenloser Download der aktuellen Richtlinien zur Sicherheit beim Einsatz von Feuerlöschanlagen mit Löschgasen
- Neue DIVI-Kindernotfall-App unterstützt im Fall der Fälle bei der Medikamentendosierung
- Cyberkriminelle geben sich als OpenAI aus
- DGUV: Bei der Wartung von Maschinen passieren schwerere Unfälle als im Regelbetrieb
- Cicada 3301 Ransomware
- Professioneller und sicherer Mobilfunk
- Die DeepSec-2024 findet vom 19.-22.11.24 im Renaissance Hotel Wien statt
- Kostenfreie Info-Veranstaltung zum Berufsbild des Security Intelligence Analysten
- Die DeepINTEL Security Intelligence Konferenz findet am 20. November statt