Spätestens seitdem es zwei Forschern gelang, einen Jeep Cherokee zu hacken und auf dessen IT-Systeme zuzugreifen, stellt sich die Frage, wie sicher das Autofahren heute noch ist. Allein 1,4 Millionen Autos der betroffenen Marke mussten aufgrund dieses Vorfalls zurück in die Werkstatt und erhielten ein Softwareupdate. In einem anderen Beispiel verschafften sich Hacker per Mobilfunk über Keyless-Systeme Zugang zum Fahrzeuginneren von Autos der Marke BMW. Knapp zwei Millionen Fahrzeuge waren hiervon betroffen. Immer wieder werden in der jüngsten Vergangenheit Hacks von Autos verschiedenster Hersteller gemeldet.

Die derzeitige Rechtslage bildet das steigende Bedürfnis an IT-Sicherheit in der Automobilbranche nicht ab.

Cyberangriffe auf Autos gehören schon heute zum Alltag und beschränken sich längst nicht mehr nur auf Hacks von Keyless-Systemen. Es ist daher nicht schwer sich vorzustellen, dass mit der fortschreitenden Digitalisierung und Autonomisierung des Fahrens die Anzahl der Angriffe aus dem Cyberraum steigen wird. Das Thema „IT-Sicherheit“ nimmt daher im Automotive-Sektor eine immer größere Schlüsselrolle ein. Eine Erhöhung der IT-Sicherheitsstandards ist deshalb zwingend, um ein „sicheres Fahren“ weiterhin zu gewährleisten. Dies ist zunächst in erster Linie eine technische Herausforderung, die aber auch – im Interesse der potentiellen Betroffenen – durch sachgerechte rechtliche Regelung zu flankieren ist.

1. Rechtslage heute

Derzeit haften die Automobilhersteller für die Sicherheit ihrer Autos im Wesentlichen im Rahmen des Vertragsrechts sowie der Produzentenhaftung. Entsprechende Ansprüche können aber – soweit sie überhaupt einschlägig sind – nur auf Schadensersatz gerichtet sein. Eine Verpflichtung der Automobilhersteller präventive Schutzmaßnahmen zu ergreifen, lässt sich daraus nicht herleiten.

In jüngster Vergangenheit hat der Gesetzgeber jedoch ein Bündel an neuen Gesetzen zur IT-Sicherheit erlassen. Hierzu zählt vor allem das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), welches Unternehmen bestimmter Branchen verpflichtet, IT-Schutzmaßnahmen zu ergreifen und Cyberangriffe zu melden. Hiervon sind Automobilhersteller, zumindest im Bereich der Herstellung von PKWs für den Privatgebrauch, bisher nicht betroffen. Mit Blick auf die steigende Digitalisierung ist jedoch zu erwarten, dass das IT-Sicherheitsgesetz Anpassungen erfährt. So hat sowohl der nationale als auch der internationale Gesetzgeber angedeutet, den Adressatenkreis regelmäßig zu überprüfen und bei Bedarf zu erweitern.

Im Einzelfall können die Automobilhersteller bereits heute über spezialgesetzliche Regelungen betroffen sein. Ein Beispiel hierfür ist § 109 Abs. 2 Telekommunikationsgesetz (TKG), welcher Anbieter von Telekommunikationsdienstleistungen zu IT-Sicherheitsmaßnahmen verpflichtet. So wird unter Juristen intensiv diskutiert, ob und unter welchen Voraussetzungen der Einbau einer SIM-Karte im Fahrzeug als Telekommunikationsdienst des Automobilherstellers gewertet werden kann. Doch selbst wer die Betroffenheit bejaht, muss feststellen, dass das TKG nur einen Teilbereich der Gesamtleistung betrifft. Des Weiteren ist das TKG nicht für die Automobilindustrie, sondern für Anbieter von Telekommunikationsdiensten erlassen worden und wird so dem vorhandenen Regelungsbedarf, also einer spezifischen Regelung für die Automobilindustrie, nicht gerecht.

Eine weitere gesetzliche Verpflichtung zur IT-Sicherheit ergibt sich für die Automobilhersteller im Rahmen der Verarbeitung personenbezogener Daten aufgrund des Bundesdatenschutzgesetzes und der EU-Datenschutzgrundverordnung (EU-DSGVO). Art. 32 EU-DSGVO beispielsweise fordert die Einrichtung geeigneter technischer Maßnahmen zum Schutz der IT-Systeme, mit denen personenbezogene Daten verarbeitet werden. Jedoch handelt es sich auch hier nur um gesetzliche Vorgaben zum Schutz von personenbezogenen Daten und nicht um spezifische Regularien, die die IT-Sicherheit beim Fahren an sich gewährleisten sollen. Somit können auch die Gesetze über den Datenschutz keinen ausreichenden Regelungsgehalt zur Sicherung der IT-Sicherheit in der Automobilbranche bieten.

Letztlich zeigt sich daraus, dass die spezialgesetzlichen Regelungen aufgrund ihrer nur punktuellen Abdeckung des Regelungsbedarfs sowie der mangelnden Passgenauigkeit für die Sachverhalte keinen ausreichenden Regelungsgehalt zur Sicherung der IT-Sicherheit in der Automobilbranche bieten können.

2. IT-Sicherheit in den USA

In den USA ist man bereits einen Schritt weiter als in Deutschland. Dort gibt es einen Gesetzesentwurf „Security and Privacy in Your Car Act of 2015“, welcher die Einrichtung gewisser Sicherheitsstandards, z.B. die Beachtung des Grundsatzes „Privacy by Design and Default“ vorsieht. Ein weiteres Konzept zur Verbesserung der IT-Sicherheit kommt von Seiten der amerikanischen Automobilindustrie. Dieses stellt eine Eigeninitiative der Automobilhersteller aus dem Jahr 2016 dar und befasst sich mit einem Prinzip zur Verbesserung der Sicherheit des öffentlichen Verkehrs. Wesentliche Stützpfeiler dieses Prinzips sind auch hier wieder die allgemeine Verbesserung der IT-Sicherheit in jedem Bereich (Auto, Hersteller, Dritte), durch Schließung der Sicherheitslücken und Schaffung eines allgemeinen Sicherheitsstandards. Die Entwicklung in den USA zeigt Parallelen zum IT-Sicherheitsgesetz, denn auch hier wird die Schaffung eigener Standards durch die Branche selber vorgesehen. Eine Einbindung der Automobilindustrie in das IT-Sicherheitsgesetz ist somit zu erwarten.

3. Blick in die Zukunft

Mit der zunehmenden Digitalisierung steigen auch die Anforderungen an die IT-Sicherheit. Höhere IT-Sicherheitsstandards werden vor allem von den Verbrauchern, aber auch von der Wirtschaft, gefordert werden, welche zunehmend mehr Güter über autonome Fahrzeuge (z.B. LKW-Flotten) transportieren wird. Die derzeitige Rechtslage bildet das steigende Bedürfnis an IT-Sicherheit in der Automobilbranche jedoch nicht ab. Es ist deshalb zu erwarten, dass der Gesetzgeber neue gesetzliche Regelungen schaffen wird.