„Kasperskygate“ des BSI: Persönliche Stellungnahme und Richtigstellung falscher Fakten aus dem Netz

Nachdem unter anderem die Tagesschau (https://www.tagesschau.de/investigativ/br-recherche/software-kaspersky-sicherheit-warnungen-101.html) am vergangenen Freitag über die Investigativrecherche von SPIEGEL und Bayerischem Rundfunk über die BSI-Warnung von Kaspersky berichtete und mich im Hinblick auf meine Rechtsauffassung und deren Objektivität in den vergangenen Tagen vielfach Kommentare und Anfragen erreichten, möchte ich hierzu kurz Stellung beziehen:

- Zur Beurteilung der Rechtmäßigkeit des Handelns des BSI ist nicht der § 1 BSIG der Maßstab, sondern der § 7 BSIG, der die tatbestandlichen Voraussetzungen zu einer allgemeinen Warnung sowie auch zur theoretisch möglichen Warnung vor einem konkreten Unternehmen enthält. Hierzu schrieb ich bei Legal Tribune Online bereits im April unmittelbar nach der Warnung (https://www.lto.de/recht/kanzleien-unternehmen/k/kaspersky-ovg-nrw-warnung-bsi-gute-chanchen-sicherheitsluecke-bewertung/), dass basierend auf bloßen Vermutungen nicht die gesetzlich geforderten „hinreichenden Anhaltspunkte“ vorliegen. Diese hinreichenden Anhaltspunkte erfordern eine Sachlage, die mit hinreichender Sicherheit zu einer Verletzung der IT-Sicherheit führt, wenn man das objektiv zu erwartende Geschehen einfach ungehindert ablaufen lassen würde. Diese Sachlage habe ich damals nicht vorliegen sehen und sehe sie insbesondere nach den Veröffentlichungen aus der Investigativrecherche immer noch nicht als erfüllt an. Da eine Behörde in ihrem hoheitlichen Verwaltungshandeln in Deutschland an Recht und Gesetz gebunden ist, kann ich auch keine Auffassungen wie „in besonderen Zeiten müssen wir mit besonderen Mitteln handeln“ unterstützen, die als Reaktion mir gegenüber häufig geäußert wurden.

- Die Bezugnahme auf § 1 BSIG bezieht sich vor allem auf die Arbeitsweise des BSI zur Beurteilung des konkreten Falles. Aber auch hier bezog sich meine Kritik nicht allein darauf, sondern vor allem auch auf die Tatsache, dass man offensichtlich grundlegende verwaltungsrechtliche Maßgaben bei Erarbeitung und Veröffentlichung der Warnung missachtet hat.

- Es geht bei meiner Kritik am Vorgehen des BSI weder um eine Unterstützung russischer Politik noch um eine Unterstützung speziell des Unternehmens Kaspersky. Von der Warnung hätte auch jeder beliebige andere Technologiekonzern betroffen sein können und soweit dieselbe Sachlage einer rechtlichen Beurteilung zugrunde gelegen hätte, hätte ich mich genauso entschieden. Überdies habe ich ebenso im April bereits öffentlich festgestellt, dass ich eine allgemeine Warnung vor russischen IT-Unternehmen tatbestandlich auch nach § 7 BSIG für rechtlich vertretbar halte, nicht aber das Herausgreifen einer Einzelfirma, ohne hinreichende Belege dafür liefern zu können.

- Last but not least ein letztes Mal für alle, die mir „gute Kontakte nach Russland“ unterstellen: Zuvorderst sollen die betreffenden Kommentatoren für diese haltlosen Behauptungen im Netz Nachweise liefern, die darüber hinausgehen, dass ich im Jahr 2018 in Russland Student:innen unterrichtet habe. Überdies liegt die private „Riga Graduate School of Law“, an der ich als Gastprofessor tätig bin, in Lettland und nicht wie manch einer behauptet im Staatsgebiet der Russischen Föderation (und nein, sie wird auch nicht durch Eugene Kaspersky finanziert). Lettland ist ein Mitgliedstaat der Europäischen Union.

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben