127 65 3MB
German Pages 481 Year 2018
Schriften zum Öffentlichen Recht Band 1388
Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen Am Beispiel der Pflichten des IT-Sicherheitsgesetzes und der RL (EU) 2016/1148
Von
Christoph Freimuth
Duncker & Humblot · Berlin
CHRISTOPH FREIMUTH
Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen
Schriften zum Öffentlichen Recht Band 1388
Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen Am Beispiel der Pflichten des IT-Sicherheitsgesetzes und der RL (EU) 2016/1148
Von
Christoph Freimuth
Duncker & Humblot · Berlin
Gedruckt mit Unterstützung des Förderungsfonds Wissenschaft der VG WORT Die Rechts- und Wirtschaftswissenschaftliche Fakultät der Universität Bayreuth hat diese Arbeit im Jahr 2018 als Dissertation angenommen. Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2018 Duncker & Humblot GmbH, Berlin
Fremddatenübernahme: L101 Mediengestaltung, Fürstenwalde Druck: CPI buchbücher.de gmbh, Birkach Printed in Germany ISSN 0582-0200 ISBN 978-3-428-15563-7 (Print) ISBN 978-3-428-55563-5 (E-Book) ISBN 978-3-428-85563-6 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706
Internet: http://www.duncker-humblot.de
Vorwort Die Arbeit wurde im Wintersemester 2017 / 2018 von der Rechts- und Wirtschaftswissenschaftlichen Fakultät der Universität Bayreuth als Dissertation angenommen. Herzlich danken möchte ich zuallererst meinem Doktorvater Herrn Prof. Dr. Markus Möstl. Er förderte die Arbeit wohlwollend und gab mir während meiner Tätigkeit an dessen Lehrstuhl als wissenschaftlicher Mitarbeiter stets genügend Freiraum. Er hatte immer ein offenes Ohr und unterstützte mich mit wertvollen Anregungen und Hinweisen. Dank gebührt auch Prof. Dr. Heinrich Amadeus Wolff für die Mühen der Zweitkorrektur und die hilfreichen Anregungen aus dem von ihm veranstalteten Doktorandenkolloquium. Besonders bedanken möchte ich mich zudem bei meiner Frau Hanna. Sie hat mir nicht nur den Rücken freigehalten und so den zügigen Abschluss des Promotionsvorhabens gefördert, sondern auch die Bürde des Korrekturlesens übernommen. Ebenso bedanke ich mich bei meinen Eltern Jutta und Peter. Sie haben meine Ausbildung ermöglicht, mich vielfältig unterstützt und damit den Grundstein gelegt. Für das Korrekturlesen bedanke ich mich auch bei meinem Schwiegervater Harald. Für die Unterstützung meines Studiums und meines Promotionsvorhabens mit Stipendien schulde ich der Hanns-Seidel-Stiftung e. V. großen Dank. Gewidmet ist diese Arbeit meiner Familie. Bayreuth, im Juni 2018
Christoph Freimuth
Inhaltsübersicht Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. Bestrebungen der normativen Gewährleistung der IT-Sicherheit . . . . . . B. Gegenstand der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27 27 31 33
Teil 1
IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
36
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT . . . . . . . . . . . . . . . . 36 A. Rolle der IT in Wirtschaft, Verwaltung und Kritischen Infrastrukturen . 38 B. Bedrohungen für die IT und Reaktionen . . . . . . . . . . . . . . . . . . . . . . . . . 39 I. IT und IT-System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 II. Veränderungen der Bedrohungslage . . . . . . . . . . . . . . . . . . . . . . . . . . 41 III. Bedrohung der IT-Sicherheit Kritischer Infrastrukturen . . . . . . . . . . 48 IV. Reaktionen auf die digitale Bedrohungslage . . . . . . . . . . . . . . . . . . . 49 V. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 § 2 Klärung der zentralen Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Das Verständnis des BSIG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Abgrenzung zu anderen Sicherheitsbegriffen . . . . . . . . . . . . . . . . . . III. IT-Sicherheit als neue Teilmenge bekannter Sicherheitsbegriffe . . . . IV. IT-Sicherheit im unionsrechtlichen Verständnis . . . . . . . . . . . . . . . . . B. Kritische Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Infrastrukturbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Kritikalität einer Infrastruktur nach nationalem Verständnis . . . . . . . III. Wesentliche Dienste nach unionsrechtlichem Verständnis . . . . . . . . IV. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59 59 60 69 85 86 88 88 97 107 114
§ 3 Rechtssystematische Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. Gefahrenabwehr- oder Risikosteuerungsrecht . . . . . . . . . . . . . . . . . . . . . I. Abgrenzung der beiden Konzepte der Sicherheitsgewährleistung anhand der Trennlinie von Gefahr und Risiko . . . . . . . . . . . . . . . . . II. Regelungsstruktur der Betreiberpflichten . . . . . . . . . . . . . . . . . . . . . . B. Abgrenzung von und Schnittmengen mit anderen Regelungsmaterien . . I. Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Recht des Bevölkerungsschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . .
114 115 116 120 123 123 125
8
Inhaltsübersicht III. Das IT-Sicherheitsgesetz als Vermengung verschiedener Rechtsmaterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Teil 2
IT-Sicherheit Kritischer Infrastrukturen zwischen staatlicher Verantwortung und privater Pflichtigkeit
128
§ 4 Objektiv-rechtliche Grundlagen der Betreiberpflichten zur IT-Sicherheit Kritischer Infrastrukturen im Verfassungs- und Unionsprimärrecht . . . . . . . 129 A. Objektive Schutzgehalte der Grundrechte des Grundgesetzes zugunsten der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 I. Schutzpflichten gegenüber Betreibern Kritischer Infrastrukturen . . . 130 II. Schutzpflichten gegenüber Nutzern Kritischer Infrastrukturen . . . . . 163 III. Verankerung der Betreiberpflichten in den grundrechtlichen Gewährleistungsgehalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 B. Infrastrukturgewährleistungsverantwortung . . . . . . . . . . . . . . . . . . . . . . . 171 I. Verfassungsrechtlich normierte Infrastrukturverantwortung . . . . . . . 171 II. Allgemeine Infrastrukturverantwortung für Kritische Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 III. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 C. Verankerung im Unionsprimärrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 I. Grundrechte der EUGRCH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 II. Unionsrechtliche Infrastrukturverantwortung . . . . . . . . . . . . . . . . . . . 188 § 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit . . . . . . . . . . . . . . . . . . . . A. Raum für eine verfassungsrechtliche Pflichtigkeit der Betreiber zur Sicherung der IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B. Bestehen einer privaten Pflichtigkeit der Betreiber . . . . . . . . . . . . . . . . . I. Pflichtigkeit aufgrund einer Verursachungsverantwortlichkeit . . . . . II. Grundrechtliche Pflichtigkeit zur IT-Sicherheit . . . . . . . . . . . . . . . . III. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Pflichtigkeit im Unionsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
190 192 193 194 200 213 214
Teil 3
Die normative Gewährleistung der IT-Sicherheit
§ 6 Personelle Begrenzungen der Pflichten zur Gewährleistung der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. Betreiber Kritischer Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Betreiberbegriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Bestimmung der Kritischen Infrastrukturen durch Rechtsverordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Die Struktur der BSI-KritisV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Das Verhältnis zu speziell regulierten Infrastrukturen . . . . . . . . . . . .
217
217 217 217 221 240 248
Inhaltsübersicht9 B. Unionsrechtliche Determinierung der Kritischen Infrastrukturen . . . . . . I. Vergleich der Struktur der BSI-KritisV und der Artt. 5 f. RL (EU). 2016 / 1148 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Vergleich der Kritischen Infrastrukturen mit den wesentlichen Diensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
252
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit . . . . . . . . . . . . . . . . . . . A. Pflichten nach dem BSIG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Die Sicherungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Durchsetzungsmechanismen der Sicherungspflicht . . . . . . . . . . . . . III. Die Meldepflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B. Pflichten in gesondert regulierten Bereichen . . . . . . . . . . . . . . . . . . . . . . I. Energiesektor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Wesentliche dogmatische Bausteine des Pflichtenkanons . . . . . . . . . . . . D. Einfachgesetzliche Normierung einer privaten Verantwortlichkeit und Inpflichtnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E. Wirksamkeit und Einheitlichkeit der Pflichten? . . . . . . . . . . . . . . . . . . . . I. Wirksamkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Einheitlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
257 258 259 302 312 334 336 336 352 364
§ 8 Die Rolle des BSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. Behördliche Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. IT-Wirtschaftsaufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Zentrale Stelle für die IT-Sicherheit Kritischer Infrastrukturen . . . . III. Behördlicher IT-Sicherheitsexperte . . . . . . . . . . . . . . . . . . . . . . . . . . B. Verantwortungsteilung zwischen Staat und Privaten . . . . . . . . . . . . . . . . I. Kooperation oder bloßes Zusammenwirken . . . . . . . . . . . . . . . . . . . II. Das BSI als staatlicher Garant der IT-Sicherheit Kritischer Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
375 376 376 379 384 384 385 387
§ 9 Verfassungs- und unionsrechtliche Zulässigkeit der Inpflichtnahme Privater . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. Kompetenz des Bundes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Gesetzgebungskompetenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Exkurs: Verwaltungskompetenz für das BSI . . . . . . . . . . . . . . . . . . . B. Grundrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Grundrechtskanon des Grundgesetzes . . . . . . . . . . . . . . . . . . . . . . . . II. Unionsrechtliche Grundrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Verstoß gegen den nemo tenetur se ipsum accusare-Grundsatz . . . . . . . I. Nachweispflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Meldepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
389 390 390 392 393 396 418 421 422 423 423
252 255 256
366 368 368 373
10
Inhaltsübersicht Teil 4
Schlussbetrachtung
425
§ 10 Zusammenführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 A. Die Pflichten zur Gewährleistung der IT-Sicherheit als modernes infrastrukturbezogenes Sicherheitsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . 425 B. Entwicklungstendenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 § 11 Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449 Sachregister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Inhaltsverzeichnis Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. Bestrebungen der normativen Gewährleistung der IT-Sicherheit . . . . . . B. Gegenstand der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27 27 31 33
Teil 1
IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
36
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT . . . . . . . . . . . . . . . . 36 A. Rolle der IT in Wirtschaft, Verwaltung und Kritischen Infrastrukturen . 38 B. Bedrohungen für die IT und Reaktionen . . . . . . . . . . . . . . . . . . . . . . . . . 39 I. IT und IT-System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 II. Veränderungen der Bedrohungslage . . . . . . . . . . . . . . . . . . . . . . . . . . 41 1. Besondere Bedrohungslage für die IT . . . . . . . . . . . . . . . . . . . . . 43 a) Hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 b) Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 c) Methoden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 d) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 2. Erkennbarkeit einer Bedrohung . . . . . . . . . . . . . . . . . . . . . . . . . . 46 3. Rückverfolgbarkeit eines Angriffs . . . . . . . . . . . . . . . . . . . . . . . . 47 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 III. Bedrohung der IT-Sicherheit Kritischer Infrastrukturen . . . . . . . . . . 48 IV. Reaktionen auf die digitale Bedrohungslage . . . . . . . . . . . . . . . . . . . 49 1. Staatliche Reaktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 a) Nationale Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 b) Ebene der Europäischen Union . . . . . . . . . . . . . . . . . . . . . . . . 55 c) Überblick über die Regelungen des IT-Sicherheitsgesetzes und des Gesetzes zur Umsetzung der RL (EU) 2016 / 1148 für Kritische Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . 56 2. Reaktionen in der Wirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 V. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 § 2 Klärung der zentralen Begriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Das Verständnis des BSIG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Die Schutzziele im Einzelnen und ihr Zusammenwirken . . . . . .
59 59 60 61
12
Inhaltsverzeichnis a) Verfügbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Unversehrtheit / Integrität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Unversehrtheit / Authentizität . . . . . . . . . . . . . . . . . . . . . . . . . . d) Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Interdependenzen der Schutzziele . . . . . . . . . . . . . . . . . . . . . . 2. Schutzobjekt Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Dynamisches Sicherheitsniveau für Informationen . . . . . . . . . . . 4. IT-Sicherheit als Systemschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Abgrenzung zu anderen Sicherheitsbegriffen . . . . . . . . . . . . . . . . . . 1. Öffentliche Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Der Schutz der öffentlichen Sicherheit mit Blick auf die IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Schutz über anerkannte Rechtsgüter . . . . . . . . . . . . . . . . bb) Schutz über die Rechtsordnung . . . . . . . . . . . . . . . . . . . . b) Schutz der IT-Sicherheit als eigenständiges Rechtsgut? . . . . . c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Äußere Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Versorgungssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Cybersicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. IT-Sicherheit als neue Teilmenge bekannter Sicherheitsbegriffe . . . . IV. IT-Sicherheit im unionsrechtlichen Verständnis . . . . . . . . . . . . . . . . . B. Kritische Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Infrastrukturbegriffe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Was ist Infrastruktur? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Definitionsversuche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Merkmale einer Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . c) Rechtsbegriff Infrastruktur? . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) In der Gesetzgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) In der Rechtsprechung . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) In der Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Infrastrukturkategorien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Kritikalität einer Infrastruktur nach nationalem Verständnis . . . . . . . 1. Die Bedeutung der Beschreibung als „kritisch“ . . . . . . . . . . . . . . 2. Kritische Infrastrukturen nach dem BSIG . . . . . . . . . . . . . . . . . . a) Sektorenspezifische Eingrenzung nach § 2 Abs. 10 S. 1 Nr. 1 BSIG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Maßstäbe für die hohe Bedeutung einer Infrastruktur . . . . . . aa) Bezugspunkt der Kritikalität . . . . . . . . . . . . . . . . . . . . . . . bb) Die Kriterien zur Bestimmung der Kritikalität i. e. S. . . . (1) Qualität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Quantität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62 62 63 63 64 65 68 69 69 69 71 71 73 75 77 78 79 82 84 85 86 88 88 89 89 91 93 93 95 95 96 97 97 98 100 100 101 102 103 106
Inhaltsverzeichnis13 c) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Wesentliche Dienste nach unionsrechtlichem Verständnis . . . . . . . . 1. Die Bestimmung wesentlicher Dienste . . . . . . . . . . . . . . . . . . . . . 2. Vergleich mit nationalem Recht . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
106 107 109 113 114
§ 3 Rechtssystematische Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 A. Gefahrenabwehr- oder Risikosteuerungsrecht . . . . . . . . . . . . . . . . . . . . . 115 I. Abgrenzung der beiden Konzepte der Sicherheitsgewährleistung anhand der Trennlinie von Gefahr und Risiko . . . . . . . . . . . . . . . . . 116 II. Regelungsstruktur der Betreiberpflichten . . . . . . . . . . . . . . . . . . . . . . 120 B. Abgrenzung von und Schnittmengen mit anderen Regelungsmaterien . 123 I. Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 II. Recht des Bevölkerungsschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 III. Das IT-Sicherheitsgesetz als Vermengung verschiedener Rechts materien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Teil 2
IT-Sicherheit Kritischer Infrastrukturen zwischen staatlicher Verantwortung und privater Pflichtigkeit
128
§ 4 Objektiv-rechtliche Grundlagen der Betreiberpflichten zur IT-Sicherheit Kritischer Infrastrukturen im Verfassungs- und Unionsprimärrecht . . . . . . . 129 A. Objektive Schutzgehalte der Grundrechte des Grundgesetzes zugunsten der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 I. Schutzpflichten gegenüber Betreibern Kritischer Infrastrukturen . . . 130 1. Art. 14 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 a) Infrastruktureinrichtungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 b) IT-Einrichtungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 c) Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Informationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 aa) Eigentumsfähigkeit von Informationen . . . . . . . . . . . . . . 134 bb) Das Recht am eingerichteten und ausgeübten Gewerbebetrieb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 (1) Informationen als Schutzobjekt des Rechts am eingerichteten und ausgeübten Gewerbebetrieb . . . . 137 (2) Verfassungsrechtliche Anerkennung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb . . . . 139 d) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 2. Art. 12 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 3. Art. 5 Abs. 1 S. 1 Alt. 2 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 4. Art. 10 Abs. 1 Var. 3 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 5. Art. 2 Abs. 1 (i. V. m. Art. 1 Abs. 1) GG Recht auf informationelle Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
14
Inhaltsverzeichnis 6. Art. 2 Abs. 1 (i. V. m. Art. 1 Abs. 1) GG Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 a) Begründung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme . 149 aa) Bedeutung der Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . 150 bb) Neuartige Gefährdung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 cc) Grundrechtliche Schutzlücke . . . . . . . . . . . . . . . . . . . . . . 151 b) Das Bedürfnis nach einem „neuen Grundrecht“? . . . . . . . . . . 152 c) Schutzgegenstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 aa) Vertraulichkeit und Integrität . . . . . . . . . . . . . . . . . . . . . . 155 bb) Informationstechnisches System . . . . . . . . . . . . . . . . . . . . 155 d) Schutzgehalt zugunsten der IT-Sicherheit Kritischer Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 aa) Objektiver Gewährleistungsgehalt der IT-Sicherheit? . . . 158 bb) Objektiver Gewährleistungsgehalt zugunsten der Betreiber Kritischer Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . 160 e) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 II. Schutzpflichten gegenüber Nutzern Kritischer Infrastrukturen . . . . . 163 1. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG Recht auf informatio nelle Selbstbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 2. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 3. Art. 12 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 4. Art. 2 Abs. 2 S. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 a) Schutzgegenstand Leben und körperliche Unversehrtheit . . . 166 b) Bezug der Schutzpflicht zur IT-Sicherheit Kritischer Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 5. Art. 10 Abs. 1 Var. 3 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 III. Verankerung der Betreiberpflichten in den grundrechtlichen Gewährleistungsgehalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 B. Infrastrukturgewährleistungsverantwortung . . . . . . . . . . . . . . . . . . . . . . . 171 I. Verfassungsrechtlich normierte Infrastrukturverantwortung . . . . . . . 171 1. Art. 87e Abs. 4 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 2. Art. 87f Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 II. Allgemeine Infrastrukturverantwortung für Kritische Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 1. Schutzpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 2. Sozialstaatsprinzip, Art. 20 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . 177 3. Art. 87e Abs. 4 GG und Art. 87f Abs. 1 GG . . . . . . . . . . . . . . . . 179 III. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 C. Verankerung im Unionsprimärrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Inhaltsverzeichnis15 I. Grundrechte der EUGRCH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 1. Schutzpflichten zugunsten der Betreiber wesentlicher Dienste . 183 2. Schutzpflichten zugunsten der Nutzer wesentlicher Dienste . . . . 186 3. Verankerung der IT-Sicherheit wesentlicher Dienste in den Unionsgrundrechten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 II. Unionsrechtliche Infrastrukturverantwortung . . . . . . . . . . . . . . . . . . . 188
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit . . . . . . . . . . . . . . . . . . . 190 A. Raum für eine verfassungsrechtliche Pflichtigkeit der Betreiber zur Sicherung der IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 B. Bestehen einer privaten Pflichtigkeit der Betreiber . . . . . . . . . . . . . . . . . 193 I. Pflichtigkeit aufgrund einer Verursachungsverantwortlichkeit . . . . . 194 1. Verfassungsrechtliche Verankerung der Verursachungsverantwortlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 2. Verursachungsverantwortlichkeit im Risikosteuerungsrecht? . . . . 196 3. Bestehen einer Verursachungsverantwortlichkeit . . . . . . . . . . . . . 197 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 II. Grundrechtliche Pflichtigkeit zur IT-Sicherheit . . . . . . . . . . . . . . . . 200 1. Abgrenzung der Eigensicherungspflichtigkeit vom Verursacherprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 2. Anknüpfungspunkte der Eigensicherungspflichtigkeit . . . . . . . . . 201 a) Eigenständige Pflichtigkeit grundrechtlicher Gehalte . . . . . . . 202 aa) Schutzpflichten zugunsten der Betreiber Kritischer Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 bb) Subsidiaritätsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 b) Altruistischer Begründungsansatz . . . . . . . . . . . . . . . . . . . . . . 205 aa) Art. 14 Abs. 2 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 bb) Pflichtigkeit aufgrund der sozialstaatlichen Gebundenheit grundrechtlicher Freiheit . . . . . . . . . . . . . . . . . . . . . . 207 cc) Pflichtigkeit aus Art. 87e, f GG . . . . . . . . . . . . . . . . . . . . 210 dd) Rückbindung der grundrechtlich gewährten Freiheit an das Gemeinwesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 III. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 C. Pflichtigkeit im Unionsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Teil 3
Die normative Gewährleistung der IT-Sicherheit
§ 6 Personelle Begrenzungen der Pflichten zur Gewährleistung der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. Betreiber Kritischer Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Betreiberbegriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Bestimmung der Kritischen Infrastrukturen durch Rechtsverordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
217
217 217 217 221
16
Inhaltsverzeichnis 1. Konkretisierende oder konstitutive Bestimmung Kritischer Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Parlamentsvorbehalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Bestimmtheitsgebot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Konstitutive Festlegung durch die BSI-KritisV . . . . . . . . . . . 2. Ausreichende Ermächtigungsgrundlage für eine Rechtsverordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Anforderungen an die Regelungsdichte . . . . . . . . . . . . . . . . . b) Hinreichende Regelungsdichte bezüglich des Inhalts . . . . . . . c) Hinreichende Regelungsdichte bezüglich des Zwecks . . . . . . d) Hinreichende Regelungsdichte bezüglich des Ausmaßes . . . . e) Auseinandersetzung mit der Kritik an der Regelungsstruktur der Bestimmung Kritischer Infrastrukturen . . . . . . . . . . . . 3. Zulässiger Delegatar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Rechtspolitische kritische Würdigung der Festlegung durch Rechtsverordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Die Struktur der BSI-KritisV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Kritische Dienstleistungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Anlagen zur Erbringung kritischer Dienstleistungen . . . . . . . . . . 3. Der Schwellenwert . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Das Verhältnis zu speziell regulierten Infrastrukturen . . . . . . . . . . . . B. Unionsrechtliche Determinierung der Kritischen Infrastrukturen . . . . . . I. Vergleich der Struktur der BSI-KritisV und der Artt. 5 f. RL (EU). 2016 / 1148 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Vergleich der Kritischen Infrastrukturen mit den wesentlichen Diensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit . . . . . . . . . . . . . . . . . . . A. Pflichten nach dem BSIG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Die Sicherungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Unionsrechtliche Determinierung . . . . . . . . . . . . . . . . . . . . . . . . . 2. Die Sicherungsmaßnahmen nach § 8a Abs. 1 BSIG . . . . . . . . . . a) Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der IT-Sicherheit . . . . . . . . . . . . . . . . . . aa) Störung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Zielrichtung der Maßnahmen . . . . . . . . . . . . . . . . . . . . . . cc) Zu gewährleistendes IT-Sicherheitsniveau . . . . . . . . . . . . dd) Sicherungsmaßnahmen im Einzelnen . . . . . . . . . . . . . . . . ee) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Festlegung des angemessenen IT-Sicherheitsniveaus . . . . . . . c) Stand der Technik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Die notwendige IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
222 223 226 228 229 231 233 234 235 236 237 238 240 241 242 245 248 252 252 255 256 257 258 259 260 260 260 261 262 264 265 267 267 269 271
Inhaltsverzeichnis17 e) Umsetzungsfrist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 f) Unionsrechtskonforme Umsetzung . . . . . . . . . . . . . . . . . . . . . 272 g) Dogmatische Charakteristika . . . . . . . . . . . . . . . . . . . . . . . . . . 274 3. Sanktionsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 4. Verhältnis der Sicherungspflicht zu § 9 BDSG . . . . . . . . . . . . . . 277 5. Verhältnis der Sicherungspflicht zu § 25a Abs. 1 S. 3 Nr. 4, 5 KWG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 6. Branchenspezifische Sicherheitsstandards . . . . . . . . . . . . . . . . . . 279 a) Anforderungen an den Vorschlag eines branchenspezifischen Sicherheitsstandards . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 aa) Materielle Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . 280 bb) Formelle Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . 282 b) Verfahren der Feststellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 c) Rechtswirkungen und Rechtsnatur der Feststellungsentscheidung und des branchenspezifischen Sicherheitsstandards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 aa) Rechtswirkungen der Feststellungsentscheidung . . . . . . . 285 (1) Inhaltliche Reichweite der Selbstbindung . . . . . . . . . 286 (2) Zeitliche Reichweite der Selbstbindung . . . . . . . . . . 286 (3) Personelle Reichweite der Selbstbindung . . . . . . . . . 288 bb) In der Feststellungsentscheidung enthaltene Rechtsakte . 289 (1) Die Feststellung der Eignung . . . . . . . . . . . . . . . . . . . 290 (2) Die konkludent erlassene Verwaltungsvorschrift . . . 291 (3) Basis der Rechtswirkung zugunsten der Betreiber . 292 cc) Rechtsnatur des branchenspezifischen Sicherheitsstandards i. e. S. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 (1) Staatliches oder privates Recht . . . . . . . . . . . . . . . . . 294 (2) Einordnung in die Kategorien öffentlich-rechtlicher Handlungsformen? . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 d) Folge der begrenzten zeitlichen Rechtswirkung: Die Aktualisierung des branchenspezifischen Sicherheitsstandards . . . . 296 e) Rechtsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 f) Kritische Würdigung der branchenspezifischen Sicherheitsstandards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 aa) Eignung zur Gewährleistung des IT-Sicherheitsniveaus nach § 8a Abs. 1 BSIG . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 bb) Instrument innovativer IT-Sicherheitsgewährleistung . . . 300 II. Durchsetzungsmechanismen der Sicherungspflicht . . . . . . . . . . . . . 302 1. Der Nachweis nach § 8a Abs. 3 BSIG . . . . . . . . . . . . . . . . . . . . . 303 a) Sicherheitsaudits, Prüfungen oder Zertifizierungen . . . . . . . . 303 b) Prüfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 c) Prüfungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
18
Inhaltsverzeichnis d) Nachweis gegenüber dem BSI . . . . . . . . . . . . . . . . . . . . . . . . 307 2. An den Nachweis andockende Befugnisse . . . . . . . . . . . . . . . . . . 307 3. Die Überprüfungsbefugnis nach § 8a Abs. 4 BSIG . . . . . . . . . . . 308 4. Unionsrechtskonforme Umsetzung der Kontrollmechanismen . 309 5. Verhältnis zu § 25a Abs. 1 KWG . . . . . . . . . . . . . . . . . . . . . . . . . 310 6. Funktion der Durchsetzungsmechanismen . . . . . . . . . . . . . . . . . . 311 III. Die Meldepflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 1. Meldepflicht des § 8b Abs. 3, 4 BSIG . . . . . . . . . . . . . . . . . . . . . 313 a) Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 aa) Störung der IT-Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . 313 (1) Der Störungsbegriff der Meldepflicht . . . . . . . . . . . . 313 (2) Erheblichkeitsschwelle für die pseudonyme Meldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 bb) Auswirkungen auf die betriebene Infrastruktur . . . . . . . . 318 cc) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 b) Rechtsfolge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 aa) Unverzügliche Meldung . . . . . . . . . . . . . . . . . . . . . . . . . . 323 bb) Allgemeine inhaltliche Anforderungen . . . . . . . . . . . . . . . 324 cc) Pseudonyme oder namentliche Meldung . . . . . . . . . . . . . 324 (1) Abgrenzung der Pflicht einer namentlichen von der Möglichkeit einer pseudonymen Meldung . . . . . . . . 325 (2) Die pseudonyme Meldung . . . . . . . . . . . . . . . . . . . . . 326 (3) Die namentliche Meldung . . . . . . . . . . . . . . . . . . . . . 327 c) Dogmatische Bausteine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 2. Die Kontaktstelle nach § 8b Abs. 3, 5 BSIG . . . . . . . . . . . . . . . . 328 3. Umsetzungsfrist und Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . 329 4. Das Verhältnis zu § 42a BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 5. Kritische Betrachtung der Meldepflicht . . . . . . . . . . . . . . . . . . . . 332 IV. Ausnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 1. Kleinstunternehmen, § 8d Abs. 1 BSIG . . . . . . . . . . . . . . . . . . . . 334 2. Speziell regulierte Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . 335 B. Pflichten in gesondert regulierten Bereichen . . . . . . . . . . . . . . . . . . . . . . 336 I. Energiesektor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 1. Die Sicherungspflicht nach § 11 Abs. 1a, 1b EnWG . . . . . . . . . . 337 a) Angemessene Sicherungsvorkehrungen . . . . . . . . . . . . . . . . . 337 b) Der Katalog der Sicherheitsanforderungen . . . . . . . . . . . . . . . 338 aa) Inhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 bb) Rechtswirkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 cc) Rechtsnatur und Zulässigkeit der Fiktionswirkung . . . . . 342 c) Besonderheiten für Betreiber von Energieanlagen . . . . . . . . . 344 d) Dogmatische Charakteristika . . . . . . . . . . . . . . . . . . . . . . . . . . 346 2. Die Meldepflicht nach § 11 Abs. 1c EnWG . . . . . . . . . . . . . . . . . 347
Inhaltsverzeichnis19 3. Die Meldepflicht nach § 44b AtG . . . . . . . . . . . . . . . . . . . . . . . . . 348 4. Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 5. Charakteristika der Regulierung der IT-Sicherheit im Energiesektor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 II. TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 1. Die Sicherungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 a) Vorgaben des § 109 Abs. 2 TKG . . . . . . . . . . . . . . . . . . . . . . . 353 b) Sicherheitsbeauftragter, Sicherheitskonzept und Sicherheitskatalog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 c) Dogmatische Bausteine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 2. Das Verhältnis von § 109 Abs. 2 TKG zum PTSG . . . . . . . . . . . 357 3. Die Meldepflicht nach § 109 Abs. 5 TKG . . . . . . . . . . . . . . . . . . 358 4. Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 5. Abgrenzung zu datenschutzrechtlichen Benachrichtigungspflichten des § 109a TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 6. Charakteristika der Regulierung der IT-Sicherheit im Telekommunikationssektor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364 C. Wesentliche dogmatische Bausteine des Pflichtenkanons . . . . . . . . . . . . 364 D. Einfachgesetzliche Normierung einer privaten Verantwortlichkeit und Inpflichtnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 E. Wirksamkeit und Einheitlichkeit der Pflichten? . . . . . . . . . . . . . . . . . . . . 368 I. Wirksamkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 1. Sicherungspflichten und ihre Durchsetzungsmechanismen . . . . . 368 2. Meldepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 3. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 II. Einheitlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 1. Sicherungspflichten und ihre Durchsetzungsmechanismen . . . . . 373 2. Meldepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374 3. Vereinheitlichung des IT-Sicherheitsniveaus . . . . . . . . . . . . . . . . 375
§ 8 Die Rolle des BSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A. Behördliche Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. IT-Wirtschaftsaufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Zentrale Stelle für die IT-Sicherheit Kritischer Infrastrukturen . . . . 1. Wissensakkumulation und Analyse . . . . . . . . . . . . . . . . . . . . . . . . 2. Internationale Vernetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Multiplikator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. IT-Sicherheitsdienstleister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Behördlicher IT-Sicherheitsexperte . . . . . . . . . . . . . . . . . . . . . . . . . . B. Verantwortungsteilung zwischen Staat und Privaten . . . . . . . . . . . . . . . . I. Kooperation oder bloßes Zusammenwirken . . . . . . . . . . . . . . . . . . . II. Das BSI als staatlicher Garant der IT-Sicherheit Kritischer Infrastrukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
375 376 376 379 379 380 380 382 384 384 385 387
20
Inhaltsverzeichnis
§ 9 Verfassungs- und unionsrechtliche Zulässigkeit der Inpflichtnahme Privater . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 A. Kompetenz des Bundes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 I. Gesetzgebungskompetenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 II. Exkurs: Verwaltungskompetenz für das BSI . . . . . . . . . . . . . . . . . . . 392 B. Grundrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 I. Grundrechtskanon des Grundgesetzes . . . . . . . . . . . . . . . . . . . . . . . . 396 1. Art. 12 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 a) Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 b) Eingriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 aa) Sicherungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 bb) Nachweispflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 cc) Meldepflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 (1) Die Pflicht zur Meldung von IT-Sicherheitsvorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 (2) Die Kontaktstelle nach § 8b Abs. 3 BSIG . . . . . . . . . 400 c) Rechtfertigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 aa) Legitimes Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 bb) Geeignetheit und Erforderlichkeit . . . . . . . . . . . . . . . . . . 401 cc) Angemessenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 (1) Sicherungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 (2) Nachweispflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 (3) Meldepflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 (a) Die Pflicht zur Meldung von IT-Sicherheitsvorfällen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 (b) Die Kontaktstelle nach § 8b Abs. 3 BSIG . . . . . 408 dd) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 2. Art. 14 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 a) Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 b) Inhalts- und Schrankenbestimmung . . . . . . . . . . . . . . . . . . . . 410 c) Rechtfertigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 3. Art. 2 Abs. 1 GG, Recht auf informationelle Selbstbestimmung . 412 a) Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 b) Eingriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413 c) Rechtfertigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 4. Art. 2 Abs. 1 GG, Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme . . . . . . . 416 II. Unionsrechtliche Grundrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 1. Schutzbereiche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 2. Beeinträchtigungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 a) Sicherungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 b) Nachweispflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 c) Meldepflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
Inhaltsverzeichnis21 3. Rechtfertigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Teilergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Verstoß gegen den nemo tenetur se ipsum accusare-Grundsatz . . . . . . . I. Nachweispflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Meldepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
420 421 422 423 423
Teil 4 Schlussbetrachtung
425
§ 10 Zusammenführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425 A. Die Pflichten zur Gewährleistung der IT-Sicherheit als modernes infrastrukturbezogenes Sicherheitsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . 425 B. Entwicklungstendenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427 § 11 Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449 Sachregister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Abkürzungsverzeichnis a. A. ABl. Abs. a. E. AEG AEUV a. F. Anm. AöR APuZ Art. Artt. AtG Aufl. BaFin BayLStVG
BayObLG BayPAG BayVBl. BayVGH BB BCM BDSG BGB BGBl. BGH BGHZ BImSchG
andere Ansicht Amtsblatt der Europäischen Union Absatz am Ende Allgemeines Eisenbahngesetz Vertrag über die Arbeitsweise der Europäischen Union alte Fassung Anmerkung Archiv des öffentlichen Rechts Aus Politik und Zeitgeschichte Artikel Artikel (Plural) Gesetz über die friedliche Verwendung der Kernenergie und den Schutz gegen ihre Gefahren (Atomgesetz) Auflage Bundesanstalt für Finanzdienstleistungsaufsicht Gesetz über das Landesstrafrecht und das Verordnungsrecht auf dem Gebiet der öffentlichen Sicherheit und Ordnung (Landesstraf- und Verordnungsgesetz) (Bayern) Bayerisches Oberstes Landesgericht Gesetz über die Aufgaben und Befugnisse der Bayerischen Staatlichen Polizei (Polizeiaufgabengesetz) Bayerische Verwaltungsblätter Bayerischer Verwaltungsgerichtshof Betriebs-Berater Business Continuity Management Bundesdatenschutzgesetz Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesgerichtshof Entscheidungen des Bundesgerichtshofes in Zivilsachen Gesetz zum Schutz vor schädlichen Umwelteinwirkungen durch Luftverunreinigungen, Geräusche, Erschütterungen und ähnliche Vorgänge (Bundes-Immissionsschutzgesetz)
Abkürzungsverzeichnis23
bitkom
Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.
BlnDSG
Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung (Berliner Datenschutzgesetz)
BSI
Bundesamt für Sicherheit in der Informationstechnik
BSIG
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz)
BV
Verfassung des Freistaates Bayern
BVerfG
Bundesverfassungsgericht
BVerwG
Bundesverwaltungsgericht
BWPolG
Polizeigesetz (Baden-Württemberg)
BW VGH
Verwaltungsgerichtshof Baden-Württemberg
bzgl.
bezüglich
bzw.
beziehungsweise
CERT
Computer Emergency Response Team
CR
Computer und Recht
DÖV
Die Öffentliche Verwaltung
DSG-LSA
Gesetz zum Schutz personenbezogener Daten der Bürger (Datenschutzgesetz Sachsen-Anhalt)
DSG M-V
Gesetz zum Schutz des Bürgers bei der Verarbeitung seiner Daten (Landesdatenschutzgesetz) (Mecklenburg-Vorpommern)
DSG NW
Datenschutzgesetz Nordrhein-Westfalen
DuD
Datenschutz und Datensicherheit
Ed.
Edition
EGV
Vertrag zur Gründung der Europäischen Gemeinschaft
EL
Ergänzungslieferung
ENISA
Europäische Agentur für Netz- und Informationssicherheit
EnWG
Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz)
EnWZ
Zeitschrift für das gesamte Recht der Energiewirtschaft
Erw.-Gr.
Erwägungsgrund, Erwägungsgründe
etc.
et cetera
EU
Europäische Union
EUGRCH
Charta der Grundrechte der Europäischen Union
EuR
Zeitschrift Europarecht
EUV
Vertrag über die Europäische Union
f.
folgende
ff.
fortfolgende
Fn.
Fußnote
24
Abkürzungsverzeichnis
gem.
gemäß
GenTG
Gesetz zur Regelung der Gentechnik (Gentechnikgesetz)
GG
Grundgesetz
GRUR
Gewerblicher Rechtsschutz und Urheberrecht
GVBl.
Gesetz- und Verordnungsblatt
HmbDSG
Hamburgisches Datenschutzgesetz
Hs.
Halbsatz
i. e. S.
im engeren Sinn(e)
ISMS
Informations-Sicherheits-Management-System
i. S. v. / d. / e.
im Sinne von / des / einer
IT
Informationstechnik
IT-
informationstechnische (r, s)
ITRB
Der IT-Rechts-Berater
IT-System
informationstechnisches System (einfachrechtlicher Begriff)
i. V. m.
in Verbindung mit
JR
Juristische Rundschau
jurisPR-ITR
juris PraxisReport IT-Recht
JuS
Juristische Schulung
JZ
JuristenZeitung
K&R
Kommunikation & Recht
lit.
littera / Buchstabe
Ls.
Leitsatz
LuftVG
Luftverkehrsgesetz
Mio.
Million(en)
MMR
MultiMedia und Recht
m. w. N.
mit weiteren Nachweisen
NATO
North Atlantic Treaty Organization
n. F.
neue Fassung
NJW
Neue Juristische Wochenschrift
N&R
Netzwirtschaften und Recht
NStZ
Neue Zeitschrift für Strafrecht
NVwZ
Neue Zeitschrift für Verwaltungsrecht
NVwZ-RR
NVwZ-Rechtsprechungs-Report Verwaltungsrecht
NWPolG
Polizeigesetz des Landes Nordrhein-Westfalen
OVG
Oberverwaltungsgericht
PTSG
Gesetz zur Sicherstellung von Postdienstleistungen und Telekommunikationsdiensten in besonderen Fällen (Post- und Telekommunikationssicherstellungsgesetz)
Rdnr. RDV RL ROG Rs. S. SächsDSG Slg. StGB ThürDSG TKG TMG UAbs. VerwArch vgl. Vorb. VVDStRL VwGO VwVfG Wistra WiVerw ZD ZG ZLR ZRP ZSKG ZUM
Abkürzungsverzeichnis25 Randnummer(n) Recht der Datenverarbeitung Richtlinie Raumordnungsgesetz Rechtssache Seite(n); Satz Sächsisches Datenschutzgesetz Sammlung der Rechtsprechung des Gerichtshofes und des Gerichts Erster Instanz Strafgesetzbuch Thüringer Datenschutzgesetz Telekommunikationsgesetz Telemediengesetz Unterabsatz Verwaltungsarchiv vergleiche Vorbemerkung(en) Veröffentlichungen der Vereinigung der Deutschen Staatsrechtslehrer Verwaltungsgerichtsordnung Verwaltungsverfahrensgesetz Zeitschrift für Wirtschafts- und Steuerstrafrecht Wirtschaft und Verwaltung Zeitschrift für Datenschutz Zeitschrift für Gesetzgebung Zeitschrift für das gesamte Lebensmittelrecht Zeitschrift für Rechtspolitik Gesetz über den Zivilschutz und die Katastrophenhilfe des Bundes (Zivilschutz- und Katastrophenhilfegesetz) Zeitschrift für Urheber- und Medienrecht
Einführung A. Bestrebungen der normativen Gewährleistung der IT-Sicherheit Die IT-Sicherheit zu gewährleisten, ist eine der großen Herausforderungen unserer Gesellschaft. Ohne eine sichere IT1 geraten die Grundstrukturen unserer Informationsgesellschaft ins Wanken, da weitreichende Abhängigkeiten von der IT bestehen.2 Dies verdeutlicht das allgemein auf Sicherheit bezogene folgende Zitat: „Sicherheitsvorsorge ist häufig Grundvoraussetzung dafür, dass wirtschaftliches Handeln stattfinden kann, und ist damit Garant für künftiges wirtschaftliches Wachstum und Prosperität“. (Norbert Walter)3 In Zeiten der Informationsgesellschaft trifft dies besonders auf die IT-Sicherheit als Grundvoraussetzung zu. Dass die Gewährleistung der IT-Sicherheit nicht immer gelingt, zeigt eine Vielzahl von IT-Sicherheitsvorfällen. Besonders deutlich wird dies, wenn sie Auswirkungen auf die Dienstleistungserbringung zeitigen. Letzteres ist aber nicht zwingend. Zum Teil bleiben IT-Sicherheitsvorfälle selbst dem Betroffenen unbekannt. Doch allein die Zahl an IT-Sicherheitsvorfällen mit Auswirkungen auf die Dienstleistungserbringung, von denen auch die Kunden betroffen sind, kann inzwischen nicht mehr überblickt werden. Obwohl IT-Sicherheitsvorfälle vor allem wegen der Auswirkungen auf die Dienstleistungen in den Medien präsent sind, ist diese mediale Aufmerksamkeit häufig nur von kurzer Dauer. Oftmals wird sie durch neue IT-Sicherheitsvorfälle überholt. Eine Auswahl aktueller IT-Sicherheitsvorfälle zeigt die Bandbreite der Betroffenen. Dies sind nicht nur bestimmte Branchen, sondern die gesamte 1 Informationstechnik.
2 BT-Drs. 18 / 4096, S. 1; BT-Drs. 13 / 11002, S. 31; vgl. Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 54; Spannowsky, in: Spannowsky / Runkel / Goppel, Raumordnungsgesetz (ROG), § 2, Rdnr. 89; Höhne / Pöhls, Grund und Grenzen staatlicher Schutzpflichten für die IT-Infrastruktur, in: Taeger, Digitale Evolution, S. 827, 830. 3 Zitiert nach Schäuble, Schutz kritischer Infrastrukturen als Aufgabe der Politik, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 21, 24.
28
Einführung
Wirtschaft, aber auch staatliche Einrichtungen sowie Private. Bei der Flug linie British Airways kam es im Mai 2017 wegen einer Computerpanne über zwei Tage lang zu erheblichen Flugausfällen. Am Londoner Flughafen Heathrow mussten an einem Tag sämtliche Flüge gestrichen werden.4 Wenige Tage zuvor waren IT-Systeme weltweit von der Erpressungssoftware „Wanna Cry“ betroffen. Ziel der Software ist, Daten zu verschlüsseln und nur gegen Lösegeld wieder freizugeben. Die Verbreitung dieser Software betraf wichtige Einrichtungen in Wirtschaft und Staat. In Deutschland waren Anzeigetafeln und Fahrkartenautomaten der Deutschen Bahn, in Großbritannien mehrere Krankenhäuser, in den USA das Logistikunternehmen FedEx, in Spanien und Portugal Telekommunikationsunternehmen sowie in Russland das Innenministerium betroffen. Nur durch Zufall konnte eine noch weitere Verbreitung gestoppt werden.5 Allein die Bundeswehr war im Jahr 2016 von 47 Mio. IT-Angriffen betroffen. Davon konnten neun Mio. nicht mehr durch herkömmliche Virenschutzprogramme oder eine Firewall abgewehrt werden und waren in die Gefahrengruppe „hoch“ einzustufen. Nennenswerte Schäden sind jedoch nicht entstanden.6 Auch der Deutsche Bundestag ist immer wieder Ziel von Angriffen auf die IT-Sicherheit. Aufgrund eines Angriffes auf das IT-System des Bundestages kam es im Frühjahr 2015 zu einem Datenabfluss. Das IT-System selbst bedurfte in Teilen einer Neuaufsetzung.7 Auch für das Jahr 2017 werden Cyber-Angriffe auf den Bundestag erwartet.8 Allein bei Bundesbehörden 4 http: / / www.sueddeutsche.de / wirtschaft / british-airways-computerpanne-1. 3524219 (besucht am 12.06.2018); http: / / www.sueddeutsche.de / wirtschaft / panneflugverkehr-normalisiert-sich-nach-ausfall-1.3526301 (besucht am 12.06.2018). 5 http: / / www.spiegel.de / netzwelt / netzpolitik / cyberattacke-weltweit-bundeskrimi nalamt-ermittelt-zu-hacker-angriff-a-1147520.html (besucht am 12.06.2018); https: / / www.heise.de / tp / features / Weltweiter-Erpressungstrojaner-Angriff-auf-Compu ternetzwerke-3713480.html (besucht am 12.06.2018); http: / / www.zeit.de / digital / internet / 2017-05 / cyberangriff-grossbritannien-krankenhaeuser-hacker (besucht am 12.06.2018). 6 https: / / www.heise.de / newsticker / meldung / Ueber-47-Millionen-IT-Angriffe-aufdie-Bundeswehr-im-Jahr-2016-3595632.html (besucht am 12.06.2018). 7 Deutscher Bundestag, Bundestagspräsident Lammert informiert Abgeordnete über Angriff auf das Datennetz des Parlaments, https: / / www.bundestag.de / presse / pressemitteilungen / 2015 / pm_15061112 / 378140 (besucht am 12.10.2017); BT-Drs. 18 / 10759, S. 4; https: / / netzpolitik.org / 2016 / wir-veroeffentlichen-dokumente-zumbundestagshack-wie-man-die-abgeordneten-im-unklaren-liess / (besucht am 12.06. 2018); https: / / www.heise.de / newsticker / meldung / Bundestags-Hack-Angriff-mitgaengigen-Methoden-und-Open-Source-Tools-3129862.html (besucht am 12.06.2018); zu weiteren Angriffen im August 2016 auf den Bundestag und Parteien http: / / www. sueddeutsche.de / politik / bundesregierung-ist-alarmiert-hackerangriff-aufdeutsche-par teien-1.3170347 (besucht am 12.06.2018). 8 BT-Drs. 18 / 10759, S. 3 f.
Einführung29
wurden im Jahr 2016 pro Monat durchschnittlich 44.000 mit Schadprogrammen infizierte E-Mails abgefangen.9 Selbst Forschungsinstitute wie die Bayreuther Fraunhofer-Projektgruppe Prozessinnovation sind vor Angriffen auf ihre IT nicht bewahrt. Im Februar 2016 wurden sämtliche Daten des Instituts durch das Programm „*.locky“ verschlüsselt, was einen erheblichen Schaden zur Folge hatte, der nur durch vorhandene Backups der verschlüsselten Daten in Grenzen gehalten werden konnte.10 Angriffe auf die IT bilden keine theoretischen Gedankenspiele,11 sondern sind Realität. Obwohl sie erhebliche wirtschaftliche Schäden verursachen können, werden die sich stellenden Probleme nicht selten unterschätzt. Nach einer Pressemitteilung des Branchenverbandes bitkom sind nur 49 % der Unternehmen auf IT-Notfälle vorbereitet.12 Dass aus IT-Sicherheitsvorfällen erhebliche wirtschaftliche Schäden entstehen können, zeigen auch die aufgeführten Beispiele. Die British Airways verliert Schätzungen zufolge an einem Tag ohne Flugbewegungen 30 Mio. britische Pfund Umsatz und vier Mio. britische Pfund Betriebsgewinn. Dabei wurden zu zahlende Entschädigungen noch nicht mit eingerechnet.13 Schäden folgen nicht nur aus den Auswirkungen auf die Erbringung von Dienstleistungen, sondern auch aus der Wiederherstellung der IT-Sicherheit der jeweiligen IT-Systeme. Hierdurch können Kosten in erheblicher Höhe entstehen. Dies verdeutlicht, dass die Integration von IT in die Prozesse von Wirtschaft und Verwaltung sowie in den privaten Alltag nicht nur positive Folgen zeitigt, sondern auch neuartige, sich verwirklichende Schadenspotentiale in sich birgt. Als Akteur versucht der Staat daher einen Ordnungsrahmen für die IT- Sicherheit zu setzen. Dieser ist nicht aus einem Guss, sondern besteht aus vielen Bausteinen. Mit jedem Einzelnen wird versucht, auf dem Weg zur Gewährleistung der IT-Sicherheit ein Stück voranzugehen. Dem Staat stehen dabei vielfältigste Instrumente zur Verfügung. Zentrale Aufgabe des Staates ist es, für die Gewährleistung der IT-Sicherheit einen ausreichenden und ge9 BSI,
Die Lage der IT-Sicherheit in Deutschland 2016, S. 33 f. Trojaner legt Fraunhofer lahm, Nordbayerischer Kurier, http: / / www. nordbayerischer-kurier.de / nachrichten / trojaner-legt-fraunhofer-institut-lahm_448847 (besucht am 12.06.2018). 11 Hutter, APuZ B 41-42 2000, S. 31 ff. 12 bitkom, Jedes zweite Unternehmen nicht auf IT-Notfälle vorbereitet, https: / / www.bitkom.org / Presse / Presseinformation / Jedes-zweite-Unternehmen-nicht-auf-ITNotfaelle-vorbereitet.html (besucht am 12.06.2018). 13 http: / / www.sueddeutsche.de / wirtschaft / panne-flugverkehr-normalisiert-sichnach-ausfall-1.3526301 (besucht am 12.06.2018). 10 Lapp,
30
Einführung
eigneten rechtlichen Rahmen zu schaffen und diesen anzupassen.14 Neben der flankierend notwendigen Unterstützung und Gründung von Initiativen zur IT-Sicherheit, kann die IT-Sicherheit nur durch einen geeigneten Rahmen an gesetzlichen Regelungen wirksam gewährleistet werden. Dabei muss stets im Blickfeld behalten werden, dass IT-Sicherheit nicht allein durch Normen geschaffen werden kann. Voraussetzung und Grenze der IT-Sicherheit sind die jeweiligen informationstechnischen Möglichkeiten. Erst sie erhöhen die IT-Sicherheit. Obwohl normative Maßnahmen nicht unmittelbar die IT-Sicherheit erhöhen, kommt ihnen als struktureller Rahmen eine erhebliche Bedeutung zu. Nur dieser ermöglicht eine umfassende Gewährleistung der IT-Sicherheit. Materiellrechtliche Bausteine dieses Ordnungsrahmens zur IT-Sicherheit sind der strafrechtliche Schutz über die §§ 202a f. und 303a f. StGB,15 das DE-Mail-Gesetz,16 das IT-Sicherheitsgesetz17 sowie das Gesetz zur Umsetzung der Richtlinie (EU) 2016 / 1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.18 Auch wenn der Titel des IT-Sicherheitsgesetzes anderes vermuten lässt, existiert kein einheitliches Normenwerk mit Regelungen zur IT-Sicherheit. Das IT-Sicherheitsgesetz wie auch das Gesetz zur Umsetzung der RL (EU) 2016 / 1148 sind Artikelgesetze. Die in ihnen enthaltenen gesetzlichen Bestimmungen sind daher auf eine Vielzahl von Gesetzen, dem BSIG,19 dem EnWG,20 dem AtG,21 dem TKG,22 dem TMG23 etc. verteilt. Teil der normaFriedrich, MMR 2013, S. 273. in der Fassung der Bekanntmachung vom 13. November 1998 (BGBl. I S. 3322), das zuletzt durch Artikel 1 des Gesetzes vom 17. August 2017 (BGBl. I S. 3202) geändert worden ist. 16 De-Mail-Gesetz vom 28. April 2011 (BGBl. I S. 666), das durch Artikel 3 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist. 17 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I S. 1324). 18 Gesetz zur Umsetzung der Richtlinie (EU) 2016 / 1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union vom 23. Juni 2017 (BGBl. I S. 1885). 19 BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist. 20 Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 2 Absatz 6 des Gesetzes vom 20. Juli 2017 (BGBl. I S. 2808) geändert worden ist. 21 Atomgesetz in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 2 Absatz 2 des Gesetzes vom 20. Juli 2017 (BGBl. I S. 2808) geändert worden ist. 14 Vgl.
15 Strafgesetzbuch
Einführung31
tiven Erfassung der IT-Sicherheit ist auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme als Ausfluss des allgemeinen Persönlichkeitsrechts, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG. Dessen Wirkungen auf die einfachrechtliche Gewährleistung der IT- Sicherheit sind noch weitgehend ungeklärt.
B. Gegenstand der Untersuchung Gegenstand der Untersuchung sind die Pflichten der Betreiber Kritischer Infrastrukturen zur Gewährleistung der IT-Sicherheit. Diese wurden mit dem IT-Sicherheitsgesetz geschaffen und mit dem Gesetz zur Umsetzung der RL (EU) 2016 / 1148 an unionsrechtliche Vorgaben angepasst. Sie bilden für In frastrukturen, deren Dienstleistungen von besonderer Wichtigkeit für das Gemeinwesen sind, einen wesentlichen Eckpfeiler des Ordnungsrahmens zur Gewährleistung der IT-Sicherheit. Die zu untersuchenden Normen sind die §§ 8a f. BSIG, die § 11 Abs. 1a bis Abs. 1c EnWG, § 44b AtG sowie §§ 109 Abs. 2 bis Abs. 5 TKG. Dabei stellen die §§ 8a f. BSIG die allgemeinen Normen zur Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen dar. Die Fachgesetze des EnWG, AtG und TKG sind leges speciales für Infrastrukturen des Energie- und Telekommunikationssektors. Anders als bei der klassischen Sicherheitsgewährleistung richten sich diese Rechtsnormen nicht an den „Störer“. Stattdessen werden die „Betreiber der Kritischen Infrastrukturen“ adressiert. Die Besonderheit dieser Struktur der Sicherheitsgewährleistung besteht darin, dass die Betreiber zur Sicherung der eigenen IT verpflichtet werden.24 Die Rechtsmaterie der IT-Sicherheit Kritischer Infrastrukturen ist damit durch das Zusammenwirken von Staat und Wirtschaft geprägt.25 Klassische sicherheitsrechtliche Instrumente sind alleine nicht geeignet, die IT-Sicherheit, insbesondere der Kritischen Infrastrukturen, wirksam zu gewährleisten.26 22 Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), das zuletzt durch Artikel 1 des Gesetzes vom 27. Juni 2017 (BGBl. I S. 1963) geändert worden ist. 23 Telemediengesetz vom 26. Februar 2007 (BGBl. I S. 179), das durch Artikel 2 des Gesetzes vom 1. September 2016 (BGBl. I S. 3352) geändert worden ist. 24 Vgl. hierzu § 7 C., § 8 B. II. 25 Ein derartiges Regulierungsmodell bereits 2010 vorschlagend Spindler, IT- Sicherheit und kritische Infrastrukturen – Öffentlich-rechtliche und zivilrechtliche Regulierungsmodelle, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 85, 112. 26 Spindler, IT-Sicherheit und kritische Infrastrukturen – Öffentlich-rechtliche und zivilrechtliche Regulierungsmodelle, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 85, 87.
32
Einführung
Außerdem sind die Pflichten durch die Begrenzung auf Kritische Infrastrukturen und aufgrund der damit verfolgten Ziele, der Sicherstellung der Versorgung der Bevölkerung mit kritischen Infrastrukturdienstleistungen, durch Einflüsse der Daseinsvorsorge geprägt.27 Diese Vermischung von Sicherheitsrecht mit der Daseinsvorsorge stellt eine Besonderheit dar.28 In der Kombination mit dem unzureichenden klassischen Sicherheitsrecht und der Daseinsvorsorge bilden die rechtlichen Pflichten zur Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen mit der Inpflichtnahme der Betreiber eine neuartige Rechtsmaterie, die einer rechtsdogmatischen Durchdringung bedarf. Diese Durchdringung wurde von der rechtswissenschaftlichen Literatur bislang nur unzureichend geleistet. Die Beiträge der Literatur erfassen die IT-Sicherheit vornehmlich als Thema des Datenschutzes, des Zivilrechts, des Strafrechts oder des Steuerrechts.29 Wenige Sammelwerke befassen sich in den ersten Jahren des neuen Jahrtausends mit der IT-Sicherheit Kritischer Infrastrukturen.30 In diesen Zeitraum fällt auch die Dissertation von Sonntag.31 Dieser stellt, ausgehend von verfassungsrechtlichen Grundlagen, die damals bereits bestehenden rudimentären einfachrechtlichen Ansätze zur ITSicherheit Kritischer Infrastrukturen anhand horizontaler Normen zu elektronischen Signaturen und zur Datensicherheit sowie vertikaler Normen zur IT-Sicherheit der Telekommunikations-, Energieversorgungs- und Finanzin frastrukturen vor. Erst über zehn Jahre später32 kommt durch die Diskussion über ein IT- Sicherheitsgesetz mit einer Vielzahl von Aufsätzen, die im Schwerpunkt die jeweilige Entwurfsfassung vorstellen,33 Auslegungsfragen der einfachgesetz-
27 Vgl. hierzu die verfassungsrechtlichen Grundlagen § 4 B. II. 2. und § 5 B. II. 2. b) bb). 28 Siehe hierzu unten § 2 A. III.; § 3 B. III.; siehe zur vergleichbaren Situation im Atomrecht Gierke / Paul, in: Danner / Theobald, Energierecht, Vorb. AtG, Rdnr. 10, 12. 29 Reinhard u. a. (Hrsg.), IT-Sicherheit und Recht; Holznagel, Recht der IT-Sicherheit; Kloepfer / Neun, Informationsrecht, §§ 6 ff. 30 Holznagel u. a. (Hrsg.), IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen; Geiger (Hrsg.), Sicherheit der Informationsgesellschaft, insbesondere der Beitrag von Cerny, S. 21 ff. 31 Sonntag, IT-Sicherheit kritischer Infrastrukturen. 32 Eine Ausnahme bildet der 2010 erschienene Sammelband von Kloepfer (Hrsg.), Schutz kritischer Infrastrukturen. 33 Vgl. hierzu: Roos, K&R 2013, S. 769; Roos, MMR 2014, S. 723; Leisterer / Schneider, CR 2014, S. 574; Roth, ZD 2015, S. 17; Eckhardt, ZD 2014, S. 599; Freund, ITRB 2014, S. 256; Heinickel / Feiler, CR 2014, S. 709; Seidl, jurisPR-ITR 7, 9, 10, 12, 15 / 2014 Anm. 2; Bartels, ITRB 2015, S. 92.
Einführung33
lichen Pflichten34 oder die Umsetzung der RL (EU) 2016 / 1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union in nationales Recht35 behandeln, Bewegung in die rechtswissenschaftliche Auseinandersetzung mit der IT-Sicherheit Kritischer Infrastrukturen. Rechtsdogmatische Fragen bleiben hierbei weitgehend ungelöst zurück.36 Mit dieser Arbeit soll die Lücke des Forschungsstandes zu nötigen neuartigen Instrumenten der IT-Sicherheitsgewährleistung und der damit bezweckten Gewährleistung der Versorgung mit wichtigen Dienstleistungen geschlossen werden. Dabei sind die verfassungs- und unionsrechtlichen Einflüsse auf die staatlichen und privaten Beiträge sowie die einfachrechtlichen Bausteine der IT-Sicherheitsgewährleistung auf ihre rechtliche Struktur hin zu untersuchen. Erst hierdurch können Erkenntnisse aus anderen strukturell vergleichbaren Bereichen nutzbar gemacht und auf den Untersuchungsgegenstand übertragen werden. Die Erkenntnisse aus der Untersuchung der Einflüsse und Bausteine sind zugleich auch ein Gewinn für eine zukünftige Fortentwicklung der normativen Gewährleistung der IT-Sicherheit.
C. Gang der Untersuchung Die Arbeit gliedert sich in vier Teile. Der erste Teil stellt die sich aus dem IT-Einsatz ergebenden Herausforderungen für die IT-Sicherheit Kritischer Infrastrukturen dar und legt die Grundlagen für die beiden folgenden Teile. Zum einen folgen Sicherheitsherausforderungen durch den IT-Einsatz (§ 1). Es bestehen weitreichende Abhängigkeiten in Wirtschaft und Staat sowie Kritischer Infrastrukturen von einer funktionierenden IT. Dem stehen neuartige Bedrohungen gegenüber, denen mit klassischen sicherheitsrechtlichen Instrumenten teilweise nur unzureichend begegnet werden kann. Zum ande34 Vgl. hierzu: Hornung, NJW 2015, S. 3334; Roßnagel, DVBl. 2015, S. 1206; Roos, MMR 2015, S. 636; Gerling, RDV 2015, S. 167; Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263; Rath / Kuss / Bach, K&R 2015, S. 437; Lurz / Scheben / Dolle, BB 2015, S. 2755; Guckelberger, DVBl. 2015, S. 1213; Köhler, EnWZ 2015, S. 407; Dolle / Lurz, Sicherheit von kritischen Infrastrukturen in Deutschland – sind wir mit dem IT-Sicherheitsgesetz auf dem richtigen Weg?, in: Paulsen, Sicherheit in vernetzten Systemen, H-2 ff. 35 Vgl. hierzu: Kipker, ZD-Aktuell 2016, 5261; Voigt / Gehrmann, ZD 2016, S. 355; Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263; Witt / Freudenberg, CR 2016, S. 657. 36 Ein erster Versuch der Durchdringung der Rechtsmaterie findet sich bei Wischmeyer, Die Verwaltung 50 (2017), S. 155 ff.
34
Einführung
ren liegt eine weitere Herausforderung darin, die Begriffe der IT-Sicherheit und der Kritischen Infrastrukturen für einen wirksamen Ordnungsrahmen handhabbar zu machen (§ 2). Dafür wird das Verständnis des Begriffs der IT-Sicherheit im nationalen Recht dargestellt und eine Abgrenzung zu anderen Sicherheitsbegriffen sowie eine Untersuchung der Gemeinsamkeiten vorgenommen. Das ermittelte Begriffsverständnis wird dem unionsrecht lichen Pendant der Netz- und Informationssicherheit gegenübergestellt. Für eine Untersuchung des Begriffs der Kritischen Infrastrukturen werden der Infrastrukturbegriff und die Kriterien, die eine Infrastruktur als Kritische qualifizieren, beleuchtet. Wie beim Begriff der IT-Sicherheit wird auch hier ein Vergleich mit dem unionsrechtlichen Begriff der wesentlichen Dienste vorgenommen. In § 3 der Arbeit erfolgt eine rechtssystematische Einordnung anhand der Regelungsstruktur als Gefahrenabwehr- oder Risikosteuerungsrecht sowie anhand des Regelungsgegenstandes im Vergleich zum Datenschutzrecht und zum Recht des Bevölkerungsschutzes als Ausprägung eines Aspektes der Daseinsvorsorge. Teil 2 befasst sich mit den staatlichen und privaten Beiträgen zur IT-Sicherheit Kritischer Infrastrukturen. Die diesbezügliche staatliche Verantwortung wird auf verfassungs- und unionsprimärrechtliche Grundlagen (§ 4) bezogen. Es wird untersucht, inwieweit aus den Gewährleistungsgehalten der Grundrechte des GG und der Charta der Grundrechte der Europäischen Union (EUGRCH) objektive Schutzpflichten zugunsten der IT-Sicherheit Kritischer Infrastrukturen folgen und in welchem Umfang diese von einer Infrastrukturgewährleistungsverantwortung abgedeckt wird. Entsprechend zur verfassungs- und unionsprimärrechtlichen Verankerung der staatlichen Beiträge wird für die privaten Beiträge der Eigensicherung in § 5 untersucht, inwieweit diese Ausfluss einer privaten Pflichtigkeit sind. Dafür wird versucht, den Pflichten, sowohl für betriebsinterne als auch externe Bedrohungen der IT-Sicherheit, mit einer grundrechtlich angelegten Pflichtigkeit der Betreiber eine verfassungsrechtliche Basis zu geben. Gegenstand von Teil 3 ist die normative Gewährleistung der IT-Sicherheit. In § 6 wird zunächst die personelle Begrenzung der Pflichten auf Betreiber Kritischer Infrastrukturen untersucht. Die Bestimmung, welche Einrichtung im Konkreten eine Kritische Infrastruktur ist, erfolgt durch Rechtsverordnung. Neben der Frage, wer Betreiber ist, wird die Frage der Zulässigkeit der Festlegung des personellen Anwendungsbereiches durch Rechtsverordnung sowie die Struktur dieser BSI-KritisV37 erörtert. Anschließend wird geprüft, ob die unionsrechtlichen Vorgaben der wesentlichen Dienste in nationales Recht umgesetzt wurden. Kern der Arbeit bildet § 7 mit den Pflichten zur 37 BSI-Kritisverordnung vom 22. April 2016 (BGBl. I S. 958), die durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903) geändert worden ist.
Einführung35
Gewährleistung der IT-Sicherheit. Dabei werden zunächst die Sicherungspflicht einschließlich der branchenspezifischen Sicherheitsstandards, Kon trollmechanismen zu deren Durchsetzung sowie die Meldepflicht nach dem BSIG analysiert. Gleiches erfolgt mit den gesondert normierten spezialgesetzlichen Pflichten im Energiesektor und im TKG. Hierauf aufbauend wird die Wirksamkeit und Einheitlichkeit der Pflichten untersucht. Ergänzend zu den Pflichten der Betreiber, wird die Rolle des BSI38 (§ 8) als staatlicher Part zur Gewährleistung der IT-Sicherheit dargestellt. Diesem kommen verschiedene Funktionen zu, was Ausdruck einer Verantwortungsteilung zwischen Staat und Privaten ist. Das Zusammenspiel von Betreiberpflichten und staatlichen Beiträgen durch das BSI vor Augen, wird die verfassungs- und unionsrechtliche Zulässigkeit der Betreiberpflichten anhand des grundgesetzlichen und unionsrechtlichen Grundrechtsmaßstabes geprüft. Außerdem wird ihre Zulässigkeit vor dem Hintergrund der Kompetenzverteilung sowie eines möglichen Verstoßes gegen den nemo tenetur se ipsum accuasare-Grundsatz analysiert. In Teil 4 werden die Ergebnisse der Arbeit zusammengeführt und ein Ausblick auf zu erwartende Entwicklungen gegeben.
38 Bundesamt
für Sicherheit in der Informationstechnik.
Teil 1
IT-Sicherheit Kritischer Infrastrukturen als Herausforderung § 1 Sicherheitsherausforderungen durch den Einsatz von IT IT gilt als Chance, Vorgänge in der Wirtschaft, der Verwaltung und im Privatleben effizienter und kostengünstiger zu gestalten.1 Dies zeigen schillernde Begriffe wie Electronic Democracy, Electronic Government und Electronic Administration sowie Electronic Commerce und E-Health.2 Inzwischen setzen selbst kleinste Unternehmen und so gut wie alle Behörden IT in verschiedenster Weise ein. Die IT führt nicht nur im staatlichen und wirtschaftlichen, sondern auch im privaten Bereich ihren Siegeszug fort. Zirka 80 % aller Deutschen nutzen das Internet und ungefähr die Hälfte der Deutschen greift mobil über Smartphones auf das Internet zu.3 Auch der Betrieb von Kritischen Infrastrukturen ist von einer funktionierenden IT abhängig.4 Teilweise wird daher auch die IT-Infrastruktur als die sektoralen Kritischen Infrastrukturen übergreifende eigenständige Kritische Infrastruktur qualifiziert.5 1 Vgl. bitkom, Fast alle Unternehmen sehen Digitalisierung als Chance (wonach dies 96 % der befragten Unternehmen so einschätzen), https: / / www.bitkom.org / Presse / Presseinformation / Fast-alle-Unternehmen-sehen-Digitalisierung-als-Chance. html (besucht am 12.06.2018). 2 Vgl. Winkel, APuZ B 41-42 2000, S. 19. 3 BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 55; zu den Zahlen aus dem Jahr 2014 KPMG, IT-Sicherheit in Deutschland, S. 6; zur Entwicklung des Anteils der Internetnutzer in Deutschland in den Jahren 2001 bis 2017 https: / / de.statista. com / statistik / daten / studie / 13070 / umfrage / entwicklung-der-internetnutzung-indeutschland-seit-2001 / (besucht am 12.06.2018); zur Entwicklung der Anzahl der Smartphone Anzahl der Smartphone-Nutzer in Deutschland in den Jahren 2009 bis 2018 https: / / de.statista.com / statistik / daten / studie / 198959 / umfrage / anzahl-der-smart phonenutzer-in-deutschland-seit-2010 / (besucht am 12.06.2018). 4 Spannowsky, in: Spannowsky / Runkel / Goppel, Raumordnungsgesetz (ROG), § 2, Rdnr. 88 f.; vgl. bereits Cerny, Schutz kritischer Infrastrukturen in Wirtschaft und Verwaltung, in: Geiger, Sicherheit der Informationsgesellschaft, S. 21, 25 f. 5 Cerny, Schutz kritischer Infrastrukturen in Wirtschaft und Verwaltung, in: Geiger, Sicherheit der Informationsgesellschaft, S. 21, 24 ff.; König / Popescu-Zeletin /
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 37
Der Einsatz von IT birgt jedoch auch Risiken. Durch sie wird eine unermesslich große Datenmenge generiert und zugleich handhabbar gemacht.6 Daher dürfen nicht allein die Vorteile betrachtet werden, sondern es müssen die ebenfalls entstehenden Bedrohungen und Abhängigkeiten wahrgenommen werden.7 Dies bringt neue Herausforderungen im Daten- und Geheimnisschutz, im Staats-, Jugend- und Ehrschutz, im Schutz des geistigen Eigentums und im Verbraucherschutz, aber auch im hierdurch erst entstehenden Feld des informationstechnischen Informationsschutzes mit sich.8 Die He rausforderungen betreffen nicht nur Aspekte der Sicherheitsgewährleistung, sondern erstrecken sich auch auf die Daseinsvorsorge, indem hierfür die Funktionsfähigkeit der IT flächendeckend sichergestellt werden muss.9 Bei der Kontrolle der Risiken bestimmt der technische Fortschritt maßgeblich das Bedürfnis nach, wie auch die Möglichkeiten und Grenzen von Abwehrmaßnahmen.10 Obwohl bei der Umsetzung von Maßnahmen zur Erhöhung der IT-Sicherheit die organisatorische und technische Komponente der IT im Zentrum steht, ist dieser Prozess aus rechtlicher Sicht zu begleiten. Der Staat wird mit seiner Aufgabe, für Sicherheit zu sorgen,11 vor Herausforderungen gestellt.12 Teilweise greifen klassische Instrumente nicht mehr effektiv, andere wiederum zeitigen grundrechtsintensivere Folgen als dies bisher der Fall war. Für eine rechtliche Auseinandersetzung mit der IT-Sicherheit bedarf es daher zunächst einer Bestandsaufnahme der Bedeutung der IT in Wirtschaft, Verwaltung und Kritischen Infrastrukturen, der sich hieraus ergebenden neuen Gefahrenlage sowie möglicher Reaktionen.
Schliesky u. a., IT und Internet als kritische Infrastruktur, S. 11; vgl. Hammer, DuD 2003, S. 240. 6 Kloepfer / Neun, Informationsrecht, § 1; Ronellenfitsch, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, Einleitung zum BDSG, Rdnr. 9. 7 Schmidl, NJW 2010, S. 476. 8 Kloepfer / Neun, Informationsrecht, § 1. 9 Bezüglich der räumlichen Voraussetzung einer sicheren IT für die Daseinsvorsorge Spannowsky, in: Spannowsky / Runkel / Goppel, Raumordnungsgesetz (ROG), § 2, Rdnr. 88. 10 Fuhrmann, DuD 2000, S. 144, 146. 11 Grundlegend Isensee, Das Grundrecht auf Sicherheit, S. 17 f. 12 Spindler, IT-Sicherheit und kritische Infrastrukturen – Öffentlich-rechtliche und zivilrechtliche Regulierungsmodelle, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 85, 88.
38
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
A. Rolle der IT in Wirtschaft, Verwaltung und Kritischen Infrastrukturen IT ist in den vielfältigsten Bereichen einsetzbar und nimmt hierbei meist eine unterstützende Funktion wahr. Aufgrund dessen ist sie in zentralen Bereichen von erheblicher Bedeutung.13 So kann ein Ausfall eines Servers mit wichtigen Daten oder an zentraler Stelle für die IT-Architektur Unternehmen, Behörden und Kritische Infrastrukturen handlungsunfähig machen.14 Informationen werden typischerweise nicht mehr in Papierform vorrätig gehalten und aktualisiert, sondern sind lediglich über die IT in digitaler Form abrufbar.15 Dies macht deutlich, dass eine hohe Abhängigkeit von einer funktionierenden IT besteht.16 IT-Sicherheit ist aufgrund der bestehenden Abhängigkeiten eine wesentliche Voraussetzung zur Wahrung des grundrechtlich geschützten Freiheitsraumes jedes Einzelnen.17 Unsere Gesellschaft ist wegen der Verbreitung von IT in sämtlichen Bereichen und ihrer Abhängigkeit von der Verfügbarkeit von informationstechnisch übermittelten und verarbeiteten Informationen eine Informationsgesellschaft.18 Dieser schillernde Begriff versucht die zentrale Bedeutung der Rolle von informationstechnischen Informationen zu charakterisieren. Die informationstechnische Vernetzung über das Internet hat nicht nur die Globalisierung gefördert und so eine enge Verbindung der weltumspannenden Wirtschaft ermöglicht, sondern auch selbst neue Wirtschaftszweige hervorgebracht. Diese Entwicklung wird mit einer weitergehenden Vernetzung 13 KPMG, IT-Sicherheit in Deutschland, S. 6; vgl. CDU Deutschlands / CSU-Landesleitung / SPD, Deutschlands Zukunft gestalten, S. 15. 14 König / Popescu-Zeletin / Schliesky u. a., IT und Internet als kritische Infrastruktur, S. 10. 15 Freiling / Grimm / Großpietsch u. a., Informatik Spektrum 2014, S. 14; vgl. Cerny, Schutz kritischer Infrastrukturen – Überlegungen zu einer Konzeption, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 48, 51. 16 BT-Drs. 18 / 4096, S. 1; BT-Drs. 13 / 11002, S. 31; vgl. Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 54; Spannowsky, in: Spannowsky / Runkel / Goppel, Raumordnungsgesetz (ROG), § 2, Rdnr. 89; Höhne / Pöhls, Grund und Grenzen staatlicher Schutzpflichten für die IT-Infrastruktur, in: Taeger, Digitale Evolution, S. 827, 830. 17 CDU Deutschlands / CSU-Landesleitung / SPD, Deutschlands Zukunft gestalten, S. 97. 18 Hoffmann-Riem, AöR 123 (1998), S. 513, 514; Winkel, APuZ B 41-42 2000, S. 19; Kloepfer / Neun, Informationsrecht, § 1; vgl. Will, Denkanstöße – die Informa tionsgesellschaft als sicherheitspolitische Herausforderung, in: Geiger, Sicherheit der Informationsgesellschaft, S. 119, 124.
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 39
der einzelnen Produktionsschritte im Rahmen der Industrie 4.0, des Internets der Dinge sowie der Cloud-Technologie voranschreiten.19 Auch bei der Realisierung der Energiewende kommt der IT eine besondere Rolle zu. Die Versorgungssicherheit mit Energie soll durch eine innovative und dezentrale Steuerung der Stromübertragungsnetze gewährleistet und die dezentrale Stromeinspeisung Erneuerbarer Energien abgesichert werden.20 Selbst das BVerfG hat wegen des in sämtlichen Lebensbereichen anzutreffenden Einsatzes von IT ein neues Grundrecht etabliert, das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“.21 Es verankert die IT-Sicherheit von IT-Systemen auf verfassungsrechtlicher Ebene. Dass selbst auf verfassungsrechtlicher Ebene ein Bedürfnis nach einem Grundrecht zum Schutz von IT-Systemen gesehen wurde, bekräftigt die Charakterisierung als Informationsgesellschaft.22 Denn der IT-Einsatz und die IT-Abhängigkeit durchdringt nicht nur die wirtschaftliche Tätigkeit, die Erbringung kritischer Infrastrukturdienstleistungen eingeschlossen, und den Staat, sondern auch den gesellschaftlichen Lebensbereich.23
B. Bedrohungen für die IT und Reaktionen Sowohl die IT selbst als auch Bereiche, die vom IT-Einsatz abhängig oder mit dieser verbunden sind, werden neuartigen, spezifisch auf die IT gerichteten Bedrohungen ausgesetzt. Diese erfassen die IT unabhängig davon, ob sie Teil einer Kritischen Infrastruktur ist, und sollen daher erst in einer allgemeinen Form untersucht werden, bevor auf die besondere Bedrohungslage Kritischer Infrastrukturen eingegangen wird. Gegen die Bedrohungen für die ITSicherheit müssen innovative Gegenmaßnahmen gefunden und getroffen werden. Nachdem eine genaue Begriffsklärung der IT noch nicht erfolgte, soll diese zunächst vorgenommen werden. Im Anschluss wird dann auf die Bedrohungssituation für die IT-Sicherheit sowie die Reaktionen hierauf eingegangen.
19 BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 6; Hange, BT / InnenADrs. 18(4)284 D, S. 2; vgl. CDU Deutschlands / CSU-Landesleitung / SPD, Deutschlands Zukunft gestalten, S. 97. 20 Vgl. Guckelberger, DVBl. 2015, S. 1213. 21 BVerfGE 120, 274, 302. 22 Vgl. zur IT als Grundpfeiler unserer Gesellschaft Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2011, S. 2 f.; vgl. Europäische Kommission, Cybersicherheitsstrategie der Europäischen Union, S. 2. 23 Hutter / Neubecker, DuD 2003, S. 211; Linke, DÖV 2015, S. 128.
40
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
I. IT und IT-System Als einer der wesentlichen Begriffe dieser Arbeit bedarf der Terminus der Informationstechnik einer eingehenderen Beleuchtung. Es ist zu klären, was hierunter in einem rechtlichen Kontext verstanden werden kann. So könnte man die IT lediglich als die Hardware, die der Verarbeitung von Informationen dient, verstehen.24 Mit Hardware sind alle physischen Bestandteile gemeint.25 Damit wären lediglich die technischen Einrichtungen als gegenständliche Objekte erfasst. Weitergehend könnte man auch die Software und damit die Programme einschließlich der Betriebssysteme hierunter fassen, die die technischen Einrichtungen für einen breiten Anwenderkreis nutzbar machen.26 Berücksichtigt man die aktuellen Entwicklungen der immer engeren informationstechnischen Vernetzung, ließe sich diese als wesentliches Definitionsmerkmal von IT herausarbeiten.27 Der Begriff IT findet sich erst in der neueren Gesetzgebungspraxis wieder. Seinen Eingang in die Rechtssprache hat er über Fachgesetze wie das TKG28 gefunden. Dieses enthält jedoch keine diesbezügliche Begriffsdefinition. Lediglich in § 2 Abs. 1 BSIG wird für das BSIG die IT als „alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen“ definiert. Diese Definition ist von der rechtswissenschaftlichen Literatur ohne weitere Erörterung angenommen worden.29 Aufgrund der Herkunft der IT aus dem technischen Bereich, dessen Verständnis teilweise spezielles, fachlich einschlägiges Wissen voraussetzt, ist eine gewisse Zurückhaltung der rechtswissenschaftlichen Literatur nicht verwunderlich. Dies lässt eine Auseinandersetzung aus rechtswissenschaftlicher Sicht jedoch nicht entbehrlich werden. Dem Wortlaut nach scheint die Legaldefinition in § 2 Abs. 1 BSIG bei der Hardware anzusetzen, indem auf die technischen Mittel abgestellt wird. Aufgrund der Etymologie des zu definierenden Begriffs aus dem technischen Zusammenhang, sind hierunter nicht allein gegenständliche Einrichtungen zu verstehen. Mit dem Begriff der IT werden auch die informationstechnisch notwendigen Programme als Software erfasst, die der Nutzung der gegenständlichen Einrichtung dienen. Da24 Vgl. zum Verständnis der Informationstechnik in den 1970er Jahren als Computertechnik Winkel, APuZ B 41-42 2000, S. 19, 20. 25 Kloepfer / Neun, Informationsrecht, § 1, Rdnr. 7. 26 Kloepfer / Neun, Informationsrecht, § 1, Rdnr. 8; vgl. König / Popescu-Zeletin / Schliesky u. a., IT und Internet als kritische Infrastruktur, S. 8. 27 Winkel, APuZ B 41-42 2000, S. 19, 20. 28 Vgl. § 77b Abs. 4 Nr. 3, § 77c Abs. 3 Nr. 3, § 77g Abs. 2 Nr. 4 TKG. 29 Vgl. Buchberger, in: Schenke / Graulich / Ruthig, Sicherheitsrecht des Bundes, § 2 BSIG, Rdnr. 2.
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 41
mit schließt die IT Hard- und Software ein. Einen Anhaltspunkt für die Vernetzung als weitere Voraussetzung gibt die Definition des § 2 Abs. 1 BSIG nicht. Auch folgt eine solche nicht aus dem Schutzzweck des BSIG, das nicht auf vernetzte IT begrenzt ist.30 Der Begriff der IT kann damit § 2 Abs. 1 BSIG folgend denkbar weit als sämtliche technischen Komponenten in Form von Hard- und Software mit der Fähigkeit, Daten und Informationen zu verarbeiten und zu übertragen, definiert werden.31 Im Rahmen der Pflichten zur Erhöhung der IT-Sicherheit wird allerdings nicht von der „IT“ gesprochen. Stattdessen werden die erfassten Objekte als informationstechnische Systeme, Komponenten und Prozesse, § 8a Abs. 1 S. 1 BSIG, § 11 Abs. 1c S. 1 EnWG, bzw. als Telekommunikations- und Datenverarbeitungssysteme benannt,32 § 109 Abs. 2 S. 1 TKG und § 11 Abs. 1a S. 1, Abs. 1b S. 1 EnWG. Indem das BSIG auch informationstechnische Komponenten und Prozesse erfasst, wird deutlich, dass dort in Abgrenzung zum TKG und EnWG eine Vernetzung keine notwendige Voraussetzung ist; bei den speziellen Fachnormen dagegen schon. In der Praxis liegen jedoch in der Regel IT-Systeme vor, da der Nutzen der IT vor allem in der vernetzten Datenverarbeitung besteht und dieser bei einer nicht vernetzten IT-Komponente größtenteils entfiele. Damit sind IT-Systeme dadurch geprägt, dass sie aus einer Verbindung von IT entstehen, die dem Zweck dient, Datenverarbeitungs- und Kommunika tionsprozesse zu erfüllen.33 Die vorrangige Anknüpfung an die Systemeigenschaft34 spiegelt die Bedeutung der Vernetzung von IT wider,35 weshalb sie als deren charakteristisches Element wahrgenommen wird. II. Veränderungen der Bedrohungslage Die Bedrohungen für die IT sind vielfältig, wegen immer neuer Entwicklungen nicht abschließend in Kategorien einzuordnen und vor allem schwer 30 Vgl. § 2 Abs. 2 BSIG. Die Definition der IT-Sicherheit erfasst sowohl Systeme, denen eine Vernetzung immanent ist, als auch Komponenten oder Prozesse, die sich selbst nicht durch eine Vernetzung auszeichnen bzw. die die vernetzten Einzelteile eines IT-Systems darstellen. 31 Eckert, IT-Sicherheit, S. 3. 32 Telekommunikations- und Datenverarbeitungssysteme sind, wie die obige Klärung des Begriffs Informationstechnik zeigt, auch informationstechnische Systeme. 33 BVerfGE 120, 278, 313 f.; vgl. Hange, BT / InnenA-Drs. 18(4)284 D, S. 2. 34 Daneben genügen nach § 8a Abs. 1 S. 1 BSIG auch Vorkehrungen an Komponenten und Prozessen. 35 Vgl. Winkel, APuZ B 41-42 2000, S. 19, 20.
42
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
erkennbar.36 Oftmals können herkömmliche polizei- und sicherheitsrechtliche Maßnahmen keine effektive Gefahrenabwehr leisten.37 Die besondere Herausforderung der veränderten Bedrohungslage besteht darin, dass die IT neben der Gefährdung der gegenständlichen IT-Einrichtung weiteren Bedrohungswegen ausgesetzt ist, die in der dreidimensionalen analogen Welt nicht vorhanden sind. Es tritt aufgrund der informationstechnischen Vernetzung und technischen Möglichkeiten eine vierte Dimension, die der digitalen Welt, hinzu.38 In der dreidimensionalen Welt ist die IT Bedrohungssituationen wie Defekten, höherer Gewalt, organisatorischen oder technischen Mängeln oder menschlichem vorsätzlichen oder fahrlässigen Fehlverhalten genauso wie jedes andere Objekt ausgesetzt.39 Gefährdungsobjekt ist hier vorrangig die Hardware als gegenständliche Einrichtung. Die neuartigen Risiken der digitalen Welt betreffen im Schwerpunkt nicht die Hardware, sondern die Software. Da erst die Software die Hardware für Datenverarbeitungs- und Kommunikationsprozesse effektiv nutzbar macht, stellen diese Bedrohungen Risiken mit einem besonders hohen Schadenspotential dar. Eine Verwirklichung dieser Risiken kann besonders weitreichende Folgen für IT-abhängige Vorgänge haben. Hierauf hat auch das Konzept der Gefahrenabwehr zu reagieren. Der sicherheitsrechtliche Baustein der Gefahr greift nicht wirksam. Da er eine Sachlage voraussetzt, die mit hinreichender Wahrscheinlichkeit zu einem Schadenseintritt führt40 und in der digitalen Welt derartige Sachlagen nur 36 Vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2005, S. 12; zur Vielfalt der Bedrohungen Hutter / Neubecker, DuD 2003, S. 211. 37 Vgl. Geiger, Internationale Ansätze und Kooperationen, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer In frastrukturen, S. 32, 35. 38 Blattner-Zimmermann, Die sicherheitspolitische Dimension neuer Informationstechnologien, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 8; Hutter / Neubecker, DuD 2003, S. 211 f.; Cerny, Schutz kritischer Infrastrukturen – Überlegungen zu einer Konzeption, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 48, 50 f.; vgl. hierzu auch das fiktive Szenario von Ritter, Information Warfare: Die Dimension der Bedrohung – ein Szenario, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 101; vgl. Europäische Kommission, Cybersicherheitsstrategie der Europäischen Union, S. 3. 39 Vgl. Freiling / Grimm / Großpietsch u. a., Informatik Spektrum 2014, S. 14, 15; Bundesministerium des Innern, DuD 1989, S. 291, 292; Eckert, IT-Sicherheit, S. 17. 40 BVerfGE 120, 274, 328 f.; vgl. BVerfGE 110, 33, 56 f., 61; 113, 348, 377 f.; zu den Grenzen des Gefahrbegriffs BVerfG, Urteil des Ersten Senats vom 20. April 2016 – 1 BvR 966 / 09 – Rdnr. 112 = BVerfGE 141, 220, 272; zur konkreten Gefahr
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 43
schwer erkennbar sind, muss ein anderer Anknüpfungspunkt gewählt werden.41 Um diesen zu finden, ist eine Analyse der Bedrohungen, denen die IT ausgesetzt ist, nötig. Unter Bedrohungen werden alle potentiellen Ereignisse verstanden, die zu einer Beeinträchtigung der IT-Sicherheit führen können. Bereits die Anknüpfung an die Bedrohung beinhaltet eine Abkehr vom Gefahrbegriff mit einer konkreten Sachlage und damit eine Entindividualisierung. Stattdessen werden der Suche nach einem anderen Anknüpfungspunkt mit der Bedrohung abstrakte Sachlagen zugrunde gelegt. Ein taugliches sicherheitsrechtliches Konzept muss diese bezüglich der Gewährleistung der IT-Sicherheit wirksam erfassen können. 1. Besondere Bedrohungslage für die IT Die wesentlichen Komponenten von IT-Systemen sind die Hard- und Software, die zugleich die relevanten Schwachstellen,42 seien sie technischer oder organisatorischer Natur, enthalten.43 Die spezifische Bedrohung der IT lässt sich in die Kategorien Abfangen und Manipulieren einer Kommunikation, Täuschen über die Identität und die Unterbrechung einer Kommunika tionsverbindung einteilen.44 a) Hardware Um unmittelbar Angriffe auf die Hardware durchzuführen, ist der gegenständliche Zugriff auf diese nötig.45 Holzner, in: Möstl / Schwabenbauer, Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, Art. 11 PAG, Rdnr. 20; Schmidbauer, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 11, Rdnr. 11. 41 Spindler, IT-Sicherheit und kritische Infrastrukturen – Öffentlich-rechtliche und zivilrechtliche Regulierungsmodelle, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 85, 87; vgl. zum IT-Sicherheitsrecht als Recht der Risikosteuerung siehe § 3 A. II. 42 BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 10; vgl. Eckert, IT-Sicherheit, S. 16; vgl. bzgl. der Software BSI, Die Lage der IT-Sicherheit in Deutschland 2014, S. 12. 43 Geiger, Internationale Sicherheit, in: Geiger, Sicherheit der Informationsgesellschaft, S. 145, 156. 44 Kappes, Netzwerk- und Datensicherheit, S. 141 f.; den Bedrohungskategorien entsprechen die Schutzziele der IT-Sicherheit; vgl. die hierzu parallelen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit, § 2 Abs. 2 BSIG. 45 Vgl. zur Bedrohung der Hardware durch Naturereignisse, Hardwaremängel, Alterung, Stromausfall, Spannungsspitzen, Anfälligkeiten gegen Umwelteinflüsse Holznagel, Recht der IT-Sicherheit, § 3, Rdnr. 10.
44
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Damit sind die Angriffe auf die Hardware wegen der notwendigen gegenständlichen Einwirkungsmöglichkeit nicht kausal von einem informationstechnischem Zugriff über eine Vernetzung der IT abhängig. Insofern bestehen keine Besonderheiten bezüglich der Bedrohungslage, ob auf die Hardware oder einen anderen Gegenstand zugegriffen wird. Lediglich mittelbar über die Software kann auf digitalem Wege auf die Hardware eingewirkt werden. Dies kann unter anderem dadurch erfolgen, dass die Software derart manipuliert wird, dass eine Selbstschädigung der Hardware durch Fehlfunktionen oder -belastungen hervorgerufen wird.46 Dieser Angriff ist jedoch primär kein Angriff auf die Hardware, sondern auf die Software. Lediglich die schädigenden Folgen wirken sich auf die Hardware aus. Für die Hardware besteht daher unmittelbar keine besondere Bedrohungslage, die mit herkömmlichen sicherheitsrechtlichen Instrumenten nicht zu bewältigen wäre. b) Software Dahingegen nutzen Bedrohungen für die Software den digitalen Weg über informationstechnische Vernetzungen wie das Internet, aber auch über por table Speichermedien. Die angegriffenen Stellen der Software sind unterschiedlichster Art, wobei Webbrowsern und den enthaltenen Plug-Ins eine hohe Verletzbarkeit zukommt.47 Über eine vernetzte IT sind Angriffe auf die Software oftmals mit geringem Mittelaufwand durchführbar.48 Aufgrund der Verwirklichung von Bedrohungen über den Weg der digitalen Welt ist weder eine unmittelbare Anwesenheit vor Ort noch ein physischer Zugriff auf den Speicher- oder Nutzungsort der Software erforderlich.49 Damit ist die Software die bedeutende Schwachstelle, die Bedrohungen ausnutzen, um Schäden verursachen zu können.50
46 Vgl. bzgl. Stuxnet https: / / www.heise.de / security / meldung / Stuxnet-angeblichTeil-eines-groesseren-Angriffs-auf-kritische-Infrastruktur-des-Iran-3104957.html (besucht am 12.06.2018). 47 BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 10. 48 Vgl. Hange, BT / InnenA-Drs. 18(4)284 D, S. 3. 49 Blattner-Zimmermann, Die sicherheitspolitische Dimension neuer Informationstechnologien, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 8, 11. 50 Allein in den elf verbreitetsten Softwareprodukten, die Adobe Flash sowie Adobe Acrobat / Reader, Microsoft Internet Explorer sowie Google Chrome oder Mozilla Firefox und die Betriebssysteme Apple Mac OSX, Microsoft Windows beinhalten, wurden im Zeitraum Januar bis September 2015 847 kritische Schwachstellen entdeckt. Vgl. hierzu BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 10.
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 45
c) Methoden Die Bedrohungen verwirklichen sich in der Regel über externe (Schad-) Programme oder intern über den Benutzer der IT selbst. Unter Schadprogrammen sind (Computer-)Programme zu verstehen, die unerwünschte oder schädliche Funktionen ausführen.51 Kategorien externer Bedrohungen mit jeweils unterschiedlicher Wirkrichtung sind Drive-by-Exploits, Viren, Würmer, Trojanische Pferde, Logische Bomben und „Backdoors“. Ebenfalls besteht durch Botnetze und hiervon gesteuerten Distributed Denial of Service-Angriffen eine Bedrohungslage für die IT.52 Diese Möglichkeiten sind jedoch, insbesondere wegen der ständigen Entwicklungen der IT, nicht als abschließend zu betrachten. Ein Angriff über den Benutzer der IT selbst, die Schwachstelle Mensch, liegt vor, wenn das Opfer bewusst oder unbewusst das Eingreifen von Schutzmechanismen verhindert oder aktiv ein Schadprogramm installiert.53 d) Zwischenergebnis Angriffe auf die IT tangieren die Gewährleistung der IT-Sicherheit in erheblichem Maße.54 Wegen der vielfältigen und dienenden Einsetzbarkeit haben Angriffe auf die IT nicht abschätzbare Folgen, was ihre Attraktivität für potentielle Angreifer erhöht.55 Vor allem Bedrohungen durch Schadprogramme für die Software haben eine Bedrohungslage zur Folge, die mit herkömmlichen Instrumenten der Gefahrenabwehr allein nicht bewältigt werden kann. Denn hierfür ist kein physischer, sondern nur ein informationstechnischer Zugriff auf die jeweilige Software nötig.
51 Kappes, Netzwerk- und Datensicherheit, S. 95; vgl. Eckert, IT-Sicherheit, S. 45 f. 52 Vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 22; vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2014, S. 15 ff.; Schulze, Cyber-„War“ – Testfall der Staatenverantwortlichkeit, S. 24 ff.; Kappes, Netzwerk- und Datensicherheit, S. 95 f.; vgl. Eckert, IT-Sicherheit, S. 45 f., 77 f.; siehe auch die etwas veraltete Beschreibung der Funktionsweise von Viren und Trojanischen Pferden von Gravenreuth, NStZ 1989, S. 201 f. 53 BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 22. 54 Die Gefährdung der analysierten Bereiche durchweg als durchschnittlich bis hoch einstufend vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 9. 55 Vgl. zum Zusammenhang von Exposition und Risiko Lenz, Vulnerabilität Kritischer Infrastrukturen, S. 40.
46
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
2. Erkennbarkeit einer Bedrohung Angriffe über Schadprogramme und damit ohne die Notwendigkeit eines physischen Zugriffs auf eine IT-Einrichtung sind vor Schadenseintritt nur schwer erkennbar. Ihr Erkennen erfordert einen erheblichen Mittelaufwand. Die Kenntnis einer Sachlage, die einen Angriff darstellt, ist jedoch notwendiger Ausgangspunkt jeder präventiven Tätigkeit der Gefahrenabwehr.56 In der „analogen“ Welt besteht die Schwierigkeit der Gefahrenabwehr in geringerem Maße im Erkennen derartiger Sachlagen.57 Probleme ergeben sich vielmehr aufgrund der notwendigen ex-ante-Prognose, ob ein Kausalverlauf gegeben ist, der mit hinreichender Wahrscheinlichkeit zu einem Schadenseintritt führen wird.58 Es besteht jedoch Gewissheit über die Sachlage als Anknüpfungspunkt. Gefahren in der virtuellen Welt sind in der Regel nicht als solche erkennbar.59 Schadprogramme erscheinen dem Nutzer, bevor er diese ausführt und das IT-System infiziert, nicht als Bedrohung oder werden automatisch ohne Zutun des Nutzers durch das Ausnutzen von Softwareschwachstellen installiert.60 Darüber hinaus erschwert die Komplexität der IT selbst die Erkennbarkeit von Bedrohungen. Computerbetriebssysteme und sonstige Software bestehen bereits für sich genommen aus einer unüberschaubaren Zahl an Programmbefehlen und interagieren zusätzlich miteinander. Durch diese Komplexität erscheint ein Ausfall oder eine Beeinträchtigung der IT oftmals als einfacher Softwarefehler und lässt nicht zwingend einen Angriff auf die IT erkennen. Damit fehlt regelmäßig der Ausgangspunkt, um gegen informationstechnische Bedrohungen mit klassischen sicherheitsrechtlichen Instrumenten präventiv vorgehen zu können.
56 Kugelmann,
Polizei- und Ordnungsrecht, S. 95. ist dies strukturell bei Gefahrerforschungseingriffen und der Verhinderung terroristischer Angriffe. Zu dieser vergleichbaren Situation Darnstädt, DVBl. 2017, S. 88, 89; vgl. BVerfG, Urteil des Ersten Senats vom 20. April 2016 – 1 BvR 966 / 09 –, Rdnr. 112 = BVerfGE 141, 220, 272; vgl. Thiel, Die „Entgrenzung“ der Gefahrenabwehr, S. 65 f. zur Wissensbasis als Voraussetzung der Gefahrenabwehr. 58 Vgl. Darnstädt, DVBl. 2017, S. 88, 92. 59 Schulze, Cyber-„War“ – Testfall der Staatenverantwortlichkeit, S. 37 f.; Enzinger / Skopik / Fiedler, DuD 2015, S. 723; Wischmeyer, Die Verwaltung 50 (2017), S. 155, 181; vgl. bereits President’s Commission on Critical Infrastructure Protection, Critical Foundations, S. 79; so auch bereits von Gravenreuth, NStZ 1989, S. 201, 202. 60 BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 22. 57 Anders
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 47
3. Rückverfolgbarkeit eines Angriffs Eine besondere Schwierigkeit besteht darin, dass der Angreifer auch dann nur schwer erkennbar ist, wenn ein Angriff als solcher erkannt wird.61 Da der Angreifer bei einem informationstechnischen Angriff über Vernetzungen nicht in persona in Erscheinung tritt, stellt sich das Problem, wie ein erfolgter Angriff zum Ausgangspunkt zurückverfolgt werden kann. Hierfür ist eine Skizzierung der Funktionsweise des Internets nötig, über das der überwiegende Anteil der Angriffe stattfindet. Über dieses werden Datenpakete mit IP-Adressen zum richtigen Zielort übermittelt. Die IP-Adressen werden in der Regel dynamisch einer IT-Einrichtung zugeteilt. Daher wird eine IP-Adresse, sobald die Internet-Sitzung beendet ist, einer anderen IT-Einrichtung zugeordnet.62 Aufgrund der historischen Entwicklung sind keine effektiven Einrichtungen vorhanden, mit denen schädliches Nutzerverhalten leicht zurückverfolgt werden kann. Daneben erschwert die dezentrale Struktur des Internets die Inanspruchnahme des Angreifers. Das Internet ist weltweit verfügbar und wegen seiner dezentralen Struktur müssen in den verschiedenen Ländern, über die ein Angriff seinen digitalen Weg nimmt, unterschiedliche gesetzliche Vorgaben beachtet werden.63 Die Rückverfolgbarkeit der Datenpakete zum Absender, also der Quell adresse, kann durch verschiedene Methoden wie das „IP-Spoofing“, das „Packet Laundering“, das „IP-Tunneling“ oder über Anonymisierungsdienste noch zusätzlich erschwert werden.64 Die Rückverfolgung von Angriffen, die nicht über das Internet, sondern beispielsweise über präparierte USB-Sticks erfolgen, ist mangels digitaler Spuren nochmals schwieriger.65 Denn beim Einschleusen entsprechender Schadsoftware hinterlässt der Angreifer zum Teil noch geringere Spuren. Mangels umfassender Vorratsdatenspeicherung bzw. Überwachung der Datenflüsse und gegenständlichen Einrichtungen können Angriffe daher nur schwer zurückverfolgt werden. 61 Will, Denkanstöße – die Informationsgesellschaft als sicherheitspolitische He rausforderung, in: Geiger, Sicherheit der Informationsgesellschaft, S. 119, 125; Bendiek, Europäische Cybersicherheitspolitik, S. 6. 62 Schulze, Cyber-„War“ – Testfall der Staatenverantwortlichkeit, S. 39 ff. 63 Kappes, Netzwerk- und Datensicherheit, S. 142. 64 Siehe zu den Verschleierungsmethoden im Einzelnen Schulze, Cyber-„War“ – Testfall der Staatenverantwortlichkeit, S. 42 ff.; vgl. Blattner-Zimmermann, Die sicherheitspolitische Dimension neuer Informationstechnologien, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer In frastrukturen, S. 8, 15. 65 Schulze, Cyber-„War“ – Testfall der Staatenverantwortlichkeit, S. 48.
48
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Mangels ausreichender Rückverfolgbarkeit von sich verwirklichenden Bedrohungen stoßen Zurechnungsinstrumente wie die Verursachungsverantwortlichkeit bezüglich der Angreifer an ihre Grenzen.66 4. Zwischenergebnis Der Einsatz von IT führt im Vergleich zu den herkömmlichen Bedrohungen, die weiterhin für die Hardware bestehen, zu einer größeren Vielfalt von Bedrohungsarten und Risiken. Dadurch wird deren Identifikation und Rückverfolgung, aber auch deren Abwehr durch präventive Maßnahmen zu einer Herausforderung.67 III. Bedrohung der IT-Sicherheit Kritischer Infrastrukturen Die fortschreitende Digitalisierung und Vernetzung mittels IT hat auch Kritische Infrastrukturen in eine Abhängigkeit geführt.68 Infolgedessen unterliegen sie einer besonderen Bedrohungslage, die mit dem immer weiter reichenden IT-Einsatz steigt.69 Die besondere Bedrohung Kritischer Infrastrukturen folgt dabei nicht nur aus der Abhängigkeit von der eingesetzten IT.70 Diese unterscheidet sich nicht von derjenigen in anderen Bereichen von Wirtschaft und Verwaltung. Stattdessen folgt die besondere Gefährdung aus der exponierten Stellung Kritischer Infrastrukturen. Sie haben eine zentrale Bedeutung für das Funk tionieren des Zusammenlebens und der Versorgung der Gesellschaft.71 Ohne 66 Wischmeyer,
Die Verwaltung 50 (2017), S. 155, 181. DuD 2003, S. 211. 68 BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 42; Cerny, Schutz kritischer Infrastrukturen – Überlegungen zu einer Konzeption, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer In frastrukturen, S. 48, 50 f. 69 BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 45; vgl. die Beeinträchtigung der IT-Sicherheit eines Atomkraftwerks in Burlington (USA) durch einen Hackerangriff https: / / www.nytimes.com / 2017 / 07 / 06 / technology / nuclear-planthack-report.html (besucht am 12.06.2018); zu einem Computervirus im Atomkraftwerk Grundremmingen http: / / www.zeit.de / digital / 2016-04 / gundremmingen-atom kraftwerk-computervirus (besucht am 12.06.2018). 70 Birkmann / Bach / Guhl u. a., State of the art der Forschung zur Verwundbarkeit kritischer Infrastrukturen am Beispiel Strom / Stromausfall, S. 94. 71 Vgl. Birkmann / Bach / Guhl u. a., State of the art der Forschung zur Verwundbarkeit kritischer Infrastrukturen am Beispiel Strom / Stromausfall, S. 49; zum Zusammenhang von Exposition und Risiko Lenz, Vulnerabilität Kritischer Infrastrukturen, S. 40; BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 44; BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 38. 67 Hutter / Neubecker,
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 49
einen wirksamen Schutz der Kritischen Infrastrukturen sind unser Wohlstand, unsere Freiheit und Sicherheit bedroht.72 Aufgrund der Abhängigkeiten zwischen den verschiedenen Kritischen Infrastrukturen, kann ein Angriff auf eine Kritische Infrastruktur einen Ausfall anderer nach sich ziehen.73 Damit ist die IT Kritischer Infrastrukturen für Angriffe wegen der weitreichenden Auswirkungen besonders attraktiv und somit einer erhöhten Bedrohungslage ausgesetzt.74 Diese besondere Bedrohungslage spiegelt sich in den Lageberichten zur IT-Sicherheit in Deutschland des BSI wider. Während im Bericht von 2005 die Gefährdung Kritischer Infrastrukturen lediglich untergeordnet angesprochen wurde,75 widmen sich die Berichte ab 2007 diesen in einem eigenen Unterkapitel.76 Ab 2015 werden die Kritischen Infrastrukturen sogar in einem eigenen Kapitel behandelt.77 Aufgrund der besonderen Bedrohungslage hat der Gesetzgeber freiwillige Maßnahmen zur Sicherung der IT nicht mehr für ausreichend gehalten und Maßnahmen zur Gewährleistung der IT-Sicherheit normiert. Dabei beschränkt er sich im Kern78 auf den besonders bedrohten Bereich der Kritischen Infrastrukturen.79 IV. Reaktionen auf die digitale Bedrohungslage Auch wenn die Gefahren aus dem weitreichenden Einsatz von IT, sei es aus Unwissenheit oder aus Gewinnstreben, bisweilen unterschätzt werden 72 Schäuble, Schutz kritischer Infrastrukturen als Aufgabe der Politik, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 21. 73 Schäuble, Schutz kritischer Infrastrukturen als Aufgabe der Politik, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 21, 22; vgl. zu Auswirkungen eines Stromausfalles Birkmann / Bach / Guhl u. a., State of the art der Forschung zur Verwundbarkeit kritischer Infrastrukturen am Beispiel Strom / Stromausfall, S. 44; vgl. ebenso § 2 B. II. 2. b) bb) (1). 74 BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 44; Schulze, Cyber„War“ – Testfall der Staatenverantwortlichkeit, S. 20 f.; Wischmeyer, Die Verwaltung 50 (2017), S. 155, 163. 75 BSI, Die Lage der IT-Sicherheit in Deutschland 2005, S. 29. 76 BSI, Die Lage der IT-Sicherheit in Deutschland 2007, S. 16; BSI, Die Lage der IT-Sicherheit in Deutschland 2009, S. 15; BSI, Die Lage der IT-Sicherheit in Deutschland 2011, S. 25. 77 BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 40 ff.; BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 37 ff. 78 Daneben wurden bereits mit dem IT-Sicherheitsgesetz Anbieter von Teleme diendiensten in § 13 Abs. 7 TMG sowie mit dem Gesetz zur Umsetzung der Richt linie (EU) 2016 / 1148 in § 8c BSIG Betreiber digitaler Dienste erfasst. 79 BT-Drs. 18 / 4096, S. 2.
50
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
oder jedenfalls keine (ausreichenden) Maßnahmen zur Erhöhung der IT- Sicherheit ergriffen wurden, wird die sich stellende Herausforderung nicht völlig verkannt. Sowohl Staaten als auch Wirtschaft und Gesellschaft zeigen Initiativen, die IT-Sicherheit zu erhöhen. Es entstehen freiwillige Koopera tionen zwischen dem Staat und der Privatwirtschaft80 sowie Unternehmen, die als private Dienstleister die IT anderer absichern. Teilweise gehen die Initiativen aber auch allein von Staaten aus, die versuchen, die Rechtsordnung an die neuen Herausforderungen anzupassen, um ihrer Wirtschaft Wettbewerbsvorteile zu verschaffen und so die wirtschaftliche Entwicklung zu fördern.81 Dabei muss beachtet werden, dass den Gefahren für die IT nur durch ein gemeinsames Zusammenwirken von staatlichen Einrichtungen, Wirtschaft und Gesellschaft wirksam begegnet werden kann.82 Dies schließt ein, dass nicht nur in jedem einzelnen Land, sondern global auf die Erhöhung der IT-Sicherheit hingearbeitet wird, um den negativen Folgen der weltweiten Vernetzung von IT, die in ebenfalls vernetzten Infrastrukturen eingesetzt wird, wirksam begegnen zu können.83 Erfolgen die Maßnahmen lediglich national, so bildet die IT, die in anderen Staaten verortet ist, mit der aber eine Vernetzung besteht, eine Schwachstelle.84 Infolgedessen wird auch eine Trendwende zu weniger statt zu mehr Vernetzung gefordert.85
80 UP KRITIS, UP-KRITIS: Öffentlich-rechtliche Partnerschaft zum Schutz Kritischer Infrastrukturen, S. 6; vgl. die Allianz für Cyber-Sicherheit https: / / www.allianzfuer-cybersicherheit.de (besucht am 12.06.2018). 81 Zum IT-Sicherheitsrahmenkonzept Bundesministerium des Innern, DuD 1989, S. 291 f.; zum IT-Sicherheitsgesetz Friedrich, MMR 2013, S. 273; vgl. allgemein zur Infrastrukturpolitik Simonis, Zeitschrift für Ganzheitsforschung 1993, S. 119, 123; zur IT-Sicherheit als „vertrauensbildender Faktor“ und als internationaler Wettbewerbsfaktor BT-Drs. 13 / 11002, S. 31, 33; Menk, Sicherheit als strategischer Erfolgsfaktor im globalen Wettbewerb, in: Borchert, Wettbewerbsfaktor Sicherheit, S. 47, 56. 82 Friedrich, MMR 2013, S. 273, 274; vgl. BT-Drs. 18 / 4096, S. 2; Geiger, Internationale Ansätze und Kooperationen, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 32, 35; Spindler, IT-Sicherheit und kritische Infrastrukturen – Öffentlich-rechtliche und zivilrechtliche Regulierungsmodelle, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 85, 113; vgl. Hutter / Neubecker, DuD 2003, S. 211, 215 f. 83 Vgl. bzgl. der EU Europäische Kommission, COM (2013) 48 final, S. 2; Geiger, Internationale Ansätze und Kooperationen, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 32, 36; vgl. Erw.-Gr. 3 RL (EU) 2016 / 1148. 84 Geiger, Internationale Sicherheit, in: Geiger, Sicherheit der Informationsgesellschaft, S. 145, 156. 85 Gaycken / Karger, MMR 2011, S. 3, 4.
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 51
1. Staatliche Reaktionen Die Reaktionen auf diese Bedrohungslage für die IT-Sicherheit im Allgemeinen und die Kritischen Infrastrukturen im Besonderen weisen auf nationaler Ebene sowie auf Ebene der EU ein breites Spektrum auf. Sie reichen von institutionellen Maßnahmen, wie der Einrichtung besonderer Behörden, informellen Maßnahmen der Sensibilisierung und zur Aktivierung von Eigeninitiativen auf freiwilliger Basis bis hin zu hoheitlicher Regulierung durch die Setzung eines normativen Rahmens. a) Nationale Ebene In Deutschland wurden Mitte der 1980er Jahre die ersten staatlichen Initiativen ergriffen, sich den abzeichnenden Sicherheitsherausforderungen durch den Einsatz von IT zu stellen. So wurde 1986 der Zentralstelle für das Chiffrierwesen der Bereich der Computersicherheit übertragen86 und 1987 der „Interministerielle Ausschuß für die Sicherheit in der IT“87 gebildet. Ein zentrales Jahr für die Schaffung von IT-Sicherheit mittels staatlicher Maßnahmen bildete das Jahr 1989. Die Zentralstelle für Chiffrierwesen wurde in die Zentralstelle für Sicherheit in der Informationstechnik umbenannt. Hierdurch wurde der wachsenden Bedeutung des IT-Schutzes für die Tätigkeit dieser Behörde Rechnung getragen. Nicht nur symbolisch, sondern auch inhaltlich wurden Weichenstellungen getroffen, indem ein „Zukunftskonzept Informationstechnik“ von der Bundesregierung verabschiedet wurde.88 Der Schwerpunkt liegt indes nicht im Bereich der IT-Sicherheit, sondern in der Etablierung des Einsatzes von IT in sämtlichen Bereichen.89 Daneben sollten Forschungsprojekte gefördert werden, die dazu beitragen, die IT-Sicherheit zu erhöhen.90 Außerdem wurde ein „Rahmenkonzept zur Gewährung der Sicherheit bei der Anwendung der Informationstechnik“ (ITSicherheitsrahmenkonzept)91 erarbeitet. Im folgenden Jahr wurde dann das
86 Sonntag,
IT-Sicherheit kritischer Infrastrukturen, S. 321. Der Bundesminister für Forschung und Technologie / Der Bundesminister für Wirtschaft, Zukunftskonzept Informationstechnik, S. 146. 88 Der Bundesminister für Forschung und Technologie / Der Bundesminister für Wirtschaft, Zukunftskonzept Informationstechnik, S. 1 ff. 89 Der Bundesminister für Forschung und Technologie / Der Bundesminister für Wirtschaft, Zukunftskonzept Informationstechnik, S. 33 ff. 90 Der Bundesminister für Forschung und Technologie / Der Bundesminister für Wirtschaft, Zukunftskonzept Informationstechnik, 146 f. 91 Bundesministerium des Innern, DuD 1989, S. 291. 87 Vgl.
52
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
BSI-Errichtungsgesetz92 beschlossen, woraufhin das BSI am 1. Januar 1991 als Bundesbehörde seine Arbeit aufnahm.93 Dennoch wurde die IT-Sicherheit auf staatlicher Seite entsprechend der im Vergleich zu heute geringen Bedeutung von IT wenig Präsenz und Bedeutung eingeräumt. Kurz vor der Jahrtausendwende, dem damit einhergehenden „Papiertiger“ Jahr-2000-Problem,94 rückte die IT-Sicherheit aufgrund der sich immer schneller fortentwickelnden und weiter verbreitenden IT mehr in das Blickfeld staatlicher Aktivität. Anstrengungen hierfür erfolgten im Vergleich zum Bedeutungszuwachs von IT nur unterproportional und zunächst lediglich auf die Bereiche der Kryptographie und der Kritischen Infrastrukturen beschränkt. Entgegen dem klassischen Sicherheitsrecht wurde kein hoheitlicher Ansatz, sondern ein kooperativer Ansatz auf freiwilliger Basis95 verfolgt. Gesetze wie das Signaturgesetz vom 28. Juni 1997 mit der wichtigen Änderung vom 16. Mai 2001 oder zehn Jahre später dem De-Mail-Gesetz vom 28. April 2011 dienen dazu, Rahmenbedingungen für die Sicherheit des elektronischen Rechtsverkehrs zu schaffen. Der erste Schritt war, die Rahmenbedingungen für die Feststellung des Urhebers und der Identität der Daten im elektronischen Rechts- und Geschäftsverkehr96 durch eine elektronische Signatur, § 1 Abs. 1 Signaturgesetz, zu schaffen. Darin wurden durch die Normierung von Anforderungen an Zertifizierungsanbieter, §§ 4 ff. Signaturgesetz, die qualifizierte elektronische Signaturen durch Zertifikate vergeben können, einheit liche Maßstäbe festgelegt. Nur durch diesen Ordnungsrahmen kann Vertrauen und Akzeptanz in der Nutzung von IT geschaffen werden.97 Die gleiche Zweckrichtung hat das De-Mail-Gesetz, mit einem „sicheren, vertraulichen und nachweisbaren Geschäftsverkehr für jedermann im Internet“, § 1 Abs. 1 De-Mail-Gesetz. 92 Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informa tionstechnik vom 17. Dezember 1990 (BGBl. I S. 2834). 93 § 10 BSIG i. F. vom 17. Dezember 1990 (BGBl. I S. 2834). 94 Hutter, APuZ B 41-42 2000, S. 31, 32; vgl. https: / / www.heise.de / ct / artikel / Zeitbombe-286782.html (besucht am 12.06.2018). 95 Vgl. § 1 Abs. 2 Signaturgesetz vom 28. Juli 1997 (BGBl. I S. 1870), das Signaturgesetz ist aufgrund Art. 12 Gesetz zur Durchführung der Verordnung (EU) Nr. 910 / 2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999 / 93 / EG (eIDAS-Durchführungsgesetz) vom 18. Juli 2017 (BGBl. I S. 2745) mit Wirkung vom 29. Juli 2017 außer Kraft getreten und nach Art. 1 durch das Vertrauensdienstegesetz ersetzt worden; Gramlich / Orantek, in: Spindler / Schuster, Recht der elektronischen Medien, § 1 SiG, Rdnr. 16. 96 BT-Drs. 14 / 4662, S. 1. 97 Vgl. BT-Drs. 14 / 4662, S. 14.
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 53
Die Sicherheit der IT ist neben dem Datenschutz, der auch ein ausreichendes Maß an Datensicherheit voraussetzt, besonders im Bereich der Kritischen Infrastrukturen in den Fokus gelangt. Im Rahmen der öffentlich-privaten Zusammenarbeit im UP KRITIS,98 die ihre Wurzeln im Jahr 2005 hat und 2007 offiziell gestartet wurde, soll die Widerstandsfähigkeit der IT Kritischer Infrastrukturen gegen Störungen jeder Art erhöht werden.99 Daneben wurde die Allianz für Cyber-Sicherheit, die nicht auf Kritische Infrastrukturen beschränkt ist, auf Initiative des BSI, in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. gegründet.100 Auch fehlt es nicht an rechtlich unverbindlichen Strategien im Zusammenhang mit der IT-Sicherheit Kritischer Infrastrukturen: – Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI), 2005101 – Nationale Strategie zum Schutz Kritischer Infrastrukturen, 2009102 – Cyber-Sicherheitsstrategie für Deutschland, 2011103 und 2016104 Ein maßgeblicher Pfeiler zur Erhöhung der Sicherheit der IT ist die breite staatliche Informationstätigkeit mit dem Ziel, für die Bedrohungen der ITSicherheit zu sensibilisieren, aber auch um Handlungsmöglichkeiten aufzuzeigen. In diesem Zusammenhang müssen das Basisschutzkonzept,105 der Leitfaden für Unternehmen und Behörden für das Risiko- und Krisenma nagement Kritischer Infrastrukturen106 des Bundesministeriums des Innern und die Lageberichte zur IT-Sicherheit des BSI107 genannt werden. Vor allem das BSI gibt mit vielfältigen Studien zu Themen mit Relevanz für die ITSicherheit, den IT-Grundschutz-Katalogen, Technischen Richtlinien (BSI98 Umsetzungsplan
KRITIS. KRITIS, UP-KRITIS: Öffentlich-rechtliche Partnerschaft zum Schutz Kritischer Infrastrukturen, S. 17. 100 https: / / www.allianz-fuer-cybersicherheit.de (besucht am 12.06.2018). 101 Bundesministerium des Innern, Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI). 102 Bundesministerium des Innern, Nationale Strategie zum Schutz Kritischer In frastrukturen (KRITIS-Strategie). 103 Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2011. 104 Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2016. 105 Bundesministerium des Innern, Schutz Kritischer Infrastrukturen – Basisschutzkonzept. 106 Bundesministerium des Innern, Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement. 107 Abrufbar unter https: / / www.bsi.bund.de / DE / Publikationen / Lageberichte / lage berichte_node.html (besucht am 12.06.2018). 99 UP
54
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
TR), Publikationen wie dem BSI-Magazin oder dem BSI-Forum in der Zeitschrift „kes“, aber auch der Meldung von IT-Sicherheitslücken als zen trale staatliche Stelle wichtige Hinweise und Handlungsempfehlungen.108 Jedenfalls im Bereich der Kritischen Infrastrukturen waren diese Kooperationen und Initiativen nicht von ausreichender Wirksamkeit zur Erhöhung der IT-Sicherheit.109 Denn diese nehmen besonders wichtige Funktionen für das Gemeinwesen wahr und sind infolgedessen einer besonderen Bedrohungslage der IT-Sicherheit ausgesetzt.110 Aus diesem Grund wurde das IT-Sicherheitsgesetz im Jahr 2015 beschlossen.111 Bereits zuvor hat man im Bereich der Energiewirtschaft, des Datenschutzes, der Telekommunikation und der Telemedien die Notwendigkeit gesehen, verpflichtende Sicherheitsmaßnahmen vorzuschreiben.112 Auch wenn der Kurztitel „IT-Sicherheitsgesetz“ und der Langtitel „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ etwas anderes vermuten lassen, ist dieses Gesetz nicht auf sämtliche IT anwendbar.113 Es erfasst im Kern nur diejenige Kritischer Infrastrukturen.114 Das IT-Sicherheitsgesetz hat als Artikelgesetz die IT-Sicherheitsvorkehrungen aus dem EnWG und TKG angepasst und weitere im TMG, AtG und BSIG vorgesehen. Damit ist es kein „eigenes“ Gesetzeswerk. Dabei lassen sich die §§ 8a ff. BSIG in materieller Hinsicht für die IT-Sicherheit Kritischer Infrastrukturen als „Allgemeiner Teil“115 bezeichnen. Mit den darin enthaltenen Pflichten zur Gewährleistung der IT-Sicherheit bildet es den derzeitigen Stand der Maßnahmen. Mit dem Gesetz zur Umsetzung der RL (EU) 2016 / 1148 wurden diese Pflichten an die unionsrechtlichen Vorgaben angepasst. Außerdem wurde der Anwendungsbereich von Kritischen Infrastruktu108 Siehe
die Homepage des BSI www.bsi.bund.de (besucht am 12.06.2018). freiwillige Initiativen nur zu einer unzureichenden Sicherung der IT führen, zeigt auch folgendes Zitat des Chefs der europäischen Polizeibehörde Rob Wainwright anlässlich wiederholter Cyber-Angriffe: „Viele internationale Konzerne haben ihre Computersysteme noch nicht einmal grundlegend gesichert“, http: / / www.faz. net / aktuell / wirtschaft / netzwirtschaft / europol-wirft-konzernen-wegen-cyberattackennachlaessigkeit-vor-15082467.html (besucht am 12.06.2018). 110 Vgl. zur Funktion der Kritischen Infrastrukturen im Gemeinwesen § 2 B. II. und zur besonderen Bedrohungslage der IT-Sicherheit Kritischer Infrastrukturen § 1 B. III. 111 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I S. 1324); BT-Drs. 18 / 4096, S. 2. 112 Gerling, RDV 2015, S. 167, 167. 113 Kritisch bzgl. des Titels Roßnagel, BT / InnenA-Drs. 18(4)284 B. 114 Die in Art. 4 IT-Sicherheitsgesetz erfassten Telemediendienste gehen über die Kritischen Infrastrukturen hinaus. Vgl. diesbezüglich § 6 A. IV. 115 Zum Verhältnis zu den Regelungen in leges speciales siehe § 7 A. IV. 2., B. 109 Dass
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 55
ren auf digitale Dienste erweitert und deren Betreibern ebenfalls Pflichten auferlegt, § 8c BSIG. Da sich diese Arbeit auf die Kritischen Infrastrukturen beschränkt, sind letztere nicht Gegenstand der Untersuchung. b) Ebene der Europäischen Union Anders als in vielen Rechtsbereichen kommt europäischen Regelungen im Bereich der IT-Sicherheit aus der Sicht Deutschlands keine treibende Wirkung zu. So regte das Bundesministerium des Innern bereits 1989 ein Tätigwerden auf EG-Ebene an.116 Zwar gab es bereits 1995 eine Empfehlung des Rates, gemeinsame Kriterien zur Bewertung von Informationssicherheitstechnologien zu entwickeln.117 Dabei stand indes nicht die IT-Sicherheit, sondern das Schaffen eines gemeinsamen Binnenmarktes für Informations sicherheitstechnologien im Vordergrund. Abgesehen von einigen Rechtsvorschriften im Bereich der Telekommunikation und des Datenschutzes wurde der IT-Sicherheit wenig Beachtung geschenkt. Erst 2001 wurde ein europäischer Politikansatz für die Netz- und Informationssicherheit entwickelt.118 Ähnlich wie auf nationaler Ebene wurde auch auf europäischer Ebene mit der ENISA eine Behörde für den Bereich der IT-Sicherheit,119 sowie ein ITNotfallteam (CERT-EU) für Organe, Einrichtungen und sonstigen Stellen der EU geschaffen.120 Bewegung kam in das Politikfeld ab 2009 mit der Mitteilung der Kommission über den Schutz kritischer Informationsinfrastrukturen.121 Da auch auf europäischer Ebene freiwillige Verpflichtungen122 nur zu einer unzureichenden Erhöhung der Sicherheit in der IT führten, wurde 2013 neben der Cybersicherheitsstrategie der Europäischen Union123 zugleich ein Vorschlag für eine Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union vorgelegt.124 116 Bundesministerium
des Innern, DuD 1989, S. 291, 296. des Rates 95 / 144 / EG über gemeinsame Kriterien zur Bewertung von Informationssicherheitstechnologien, ABl. L 93 vom 26. April 1995, S. 27. 118 KOM(2001)298, S. 19. 119 Verordnung (EG) Nr. 460 / 2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit, ABl. Nr. L 77 vom 13. März 2004 S. 1. 120 Europäische Kommission, Cybersicherheitsstrategie der Europäischen Union, S. 6. 121 KOM(2009) 149. 122 Hier der Mitgliedsstaaten. 123 Europäische Kommission, Cybersicherheitsstrategie der Europäischen Union. 124 Europäische Kommission, COM (2013) 48 final. 117 Empfehlung
56
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Diese wurde nach erheblichen politischen Schwierigkeiten im Gesetzgebungsverfahren schließlich im Juli 2016 erlassen.125 Sie ist in eine Reihe von weiteren Gesetzgebungsakten wie der RL (EU) 2016 / 943 „über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“126 und der RL 2008 / 114 / EG „über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern“127 einzuordnen. Damit geht für nationale deutsche Regelungen zur IT-Sicherheit Kritischer Infrastrukturen der Impuls nicht unmittelbar auf eine umzusetzende Richt linie zurück. Nichtsdestotrotz treiben auch informelle Aktivitäten sowie der Entwurf der Richtlinie zur Netz- und Informationssicherheit wechselseitig nationale Bemühungen voran.128 c) Überblick über die Regelungen des IT-Sicherheitsgesetzes und des Gesetzes zur Umsetzung der RL (EU) 2016 / 1148 für Kritische Infrastrukturen Mit den durch das Artikelgesetz „IT-Sicherheitsgesetz“ geänderten bzw. neu geschaffenen gesetzlichen Regelungen werden eine Sicherungspflicht, eine Nachweispflicht, eine Meldepflicht sowie die Pflicht, eine Kontaktstelle für die Kommunikation mit dem BSI einzurichten, normiert. Die Sicherungspflicht, § 8a Abs. 1 BSIG, ist dabei das Zentrum der gesetzlichen Regelungen. Mit ihr werden Betreiber Kritischer Infrastrukturen verpflichtet, organisatorische und technische Maßnahmen zur Sicherung der IT zu treffen. Die Nachweispflicht, § 8a Abs. 3 BSIG, bezieht sich auf die Einhaltung der Sicherungspflicht und schafft Strukturen, um diese zu gewährleisten. Die Meldepflicht, § 8b Abs. 4 BSIG, dient erst mittelbar der Erhöhung der IT-Sicherheit, indem sie sicherstellen soll, dass beim BSI Wissen zu relevanten IT-Sicherheitsvorfällen aggregiert wird und dieses entsprechende Informationen, Warnungen und Ratschläge an die Wirtschaft zurückgeben kann. Die Pflicht, eine Kontaktstelle einzurichten, dient dabei dem Aufbau einer organisatorisch stabilen Kommunikation mit dem BSI.
125 Richtlinie (EU) 2016 / 1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194 vom 19. Juli 2016, S. 1. 126 ABl. L 157 vom 15. Juni 2016, S. 1. 127 ABl. L 345 vom 23. Dezember 2008, S. 75. 128 Vgl. Friedrich, MMR 2013, S. 273, 274.
§ 1 Sicherheitsherausforderungen durch den Einsatz von IT 57
Parallel hierzu wurden Pflichten im EnWG, AtG und TKG für bereits in leges speciales regulierten Bereichen geschaffen. Gemeinsames Ziel dieser Normen ist, durch eine Erhöhung und Gewährleistung der IT-Sicherheit die Funktionsfähigkeit Kritischer Infrastrukturen sicherzustellen.129 Mit dem Gesetz zur Umsetzung der RL (EU) 2016 / 1148 erfolgte eine punktuelle Anpassung der Pflichten für Betreiber Kritischer Infrastrukturen und es wurde eine allgemeine Überprüfungsbefugnis des BSI als Ergänzung zur Nachweispflicht eingeführt. Daneben wurden hiermit auch unionsrecht liche Vorgaben zu digitalen Diensten in nationales Recht umgesetzt. 2. Reaktionen in der Wirtschaft Auch die Privatwirtschaft reagierte mit einem Angebot auf die Notwendigkeit, IT-Systeme zu schützen. Da die konkret getroffenen Maßnahmen vom konkreten Unternehmen abhängig sind und in der Regel nicht veröffentlicht werden, um potentielle Angreifer über bestehende Schwachstellen der IT- Sicherheit im Unklaren zu lassen, können die Reaktionen der Wirtschaft nur anhand des Marktes für die „IT-Sicherheit“ abgebildet werden. Die Ausgaben für die Gewährleistung der Sicherheit werden dabei regelmäßig als ökonomische Belastung empfunden, die nicht zum Unternehmenserfolg beitragen.130 Nichtsdestotrotz hat sich allein in Deutschland ein Markt für IT-Sicherheit mit einem gesamten Güterwert von über 10,8 Milliarden € im Jahr 2013 entwickelt. Dieser teilt sich auf Dienstleistungen, Software und Hardware auf.131 Dieser Markt ist seit der Jahrtausendwende mit dem sich exponentiell entwickelnden Einsatz von IT gewachsen. Noch 1999 sah die EU weltweit für einen Markt für Internet-Sicherheitssoftware nur ein Volumen von 4,4 Milliarden US $.132 Es sind Privatunternehmen entstanden, die das Marktsegment IT-Sicherheit durch Beratungsdienstleistungen und technische Ausstattung abdecken. Dass ein erheblicher Bedarf an Produkten zur Gewährleistung der IT-Sicherheit besteht, zeigen durchschnittliche Zuwachsraten des Umsatzes der deutschen IT-Sicherheitswirtschaft von 7 % im Zeitraum von 2005 bis 2015.133 Bis zum Jahr 2020 wurde 2014 im Falle der
129 BT-Drs. 18 / 4096,
S. 1 f. Sicherheit als strategischer Erfolgsfaktor im globalen Wettbewerb, in: Borchert, Wettbewerbsfaktor Sicherheit, S. 47, 51. 131 Bundesministerium für Wirtschaft und Energie – Aktualisierung, Der IT-Sicherheitsmarkt in Deutschland, S. 8. 132 KOM(2001)298, S. 20. 133 Bundesministerium für Wirtschaft und Energie, IT-Sicherheit für die Industrie 4.0, S. 45. 130 Menk,
58
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
besten Marktentwicklung ein Anwachsen des Marktvolumens in Deutschland auf 23,9 Milliarden € prognostiziert.134 Da privatwirtschaftliche Initiativen immer von einem Eigeninteresse getragen werden, können aus der wachsenden Marktentwicklung keine Initiativen Einzelner oder von Branchen abgelesen werden. Die Initiativen reichen nur soweit, wie der erkannte und erwartete eigene Vorteil die Kosten überwiegt. Alleine aus der Marktentwicklung kann keine Erhöhung des IT-Sicherheitsniveaus abgelesen werden. Es wird jedoch deutlich, dass Bedrohungen der IT-Sicherheit als Gefahr für die eigene wirtschaftliche Tätigkeit erkannt werden, Einzelpersonen und Unternehmen aufgrund eines überwiegenden Eigeninteresses nach Lösungen am Markt nachfragen und hierfür immer mehr Kapital zur Verfügung stellen. V. Teilergebnis Der IT-Einsatz birgt erhebliche Sicherheitsherausforderungen für die gesamte Informationsgesellschaft. Digitale Bedrohungen verändern die Sicherheitslage besonders im Hinblick auf die Software. Diesen kann nur schwer mit herkömmlichen Maßnahmen begegnet werden. Das auf Gefahrenabwehr ausgelegte allgemeine Polizei- und Sicherheitsrecht gewährt nur für direkte Angriffe auf die Hardware ausreichenden Schutz. Auf die neuartigen Bedrohungen reagieren sowohl Staat als auch Wirtschaft. Die staatlichen Reaktionen auf die Bedrohungslage für die IT-Sicherheit im Allgemeinen und die Kritischen Infrastrukturen im Besonderen weisen auf nationaler Ebene wie auf Ebene der EU ein breites Spektrum auf. Sie reichen von institutionellen Maßnahmen, wie der Einrichtung besonderer Behörden, und informellen Maßnahmen der Sensibilisierung bis hin zur Aktivierung von Eigeninitia tiven auf freiwilliger Basis. Ein besonderes Augenmerk gilt dabei den Kritischen Infrastrukturen und der Etablierung eines normativen Ordnungsrahmens. Neuerdings sind mit dem IT-Sicherheitsgesetz und der RL (EU) 2016 / 1148 Ansätze eines rechtlichen Regulierungsrahmens erkennbar.
134 Bundesministerium für Wirtschaft und Energie – Aktualisierung, Der IT-Sicherheitsmarkt in Deutschland, S. 20. Bei einer durchschnittlichen Marktentwicklung soll das Marktvolumen in Deutschland um 5,3 % auf 15,4 Milliarden € wachsen. Im schlechtesten Fall wird aber auch ein Rückgang um 6,7 % auf 6,6 Milliarden € pro gnostiziert. Aus der Sicht des Jahres 2017 kann prognostisch der Eintritt des schlechtesten Falles ausgeschlossen werden, da bisher keine konjunkturellen Einbrüche stattfanden.
§ 2 Klärung der zentralen Begriffe59
§ 2 Klärung der zentralen Begriffe A. IT-Sicherheit Sicherheit kann als Abwesenheit von Gefahren und Risiken bezeichnet werden.135 Ohne beschreibendes Attribut bleibt jedoch unklar, wovon Gefahren und Risiken abwesend sein sollen. Gehalt bekommt der Rechtsbegriff „Sicherheit“ erst durch den kontextualen Zusammenhang.136 Dabei findet sich die staatliche Gewährleistung von Sicherheit in einem Spannungsverhältnis zwischen grundrechtlichen Schutzpflichten und Freiheitsräumen wieder.137 Bevor jedoch auf diese verfassungsrechtlichen Grundlagen in § 4 eingegangen wird, soll die IT-Sicherheit genauer beleuchtet werden. Eine branchenübergreifende Regulierung der IT-Sicherheit ist zum ersten Mal im BSIG als Teil des IT-Sicherheitsgesetzes zu finden. Ziel dieses Gesetzes ist es, die Sicherheit in der Informationstechnik, kurz die IT-Sicherheit, zu erhöhen.138 Der Begriff der IT-Sicherheit war zuvor weder in Gesetzgebung, Rechtsprechung noch rechtswissenschaftlicher Literatur als einheitlicher, rechtsgebietsübergreifender und feststehender Rechtsbegriff etabliert.139 Aufgrund dessen ist neben einer Betrachtung des Begriffes IT-Sicherheit selbst, auch eine Abgrenzung zu anderen Sicherheitsbegriffen sowie eine mögliche Konturierung als neue Teilmenge bekannter Sicherheitsbegriffe zu untersuchen. Er gibt nicht nur den Gesetzeszweck im Kurztitel „ITSicherheit“-sgesetz an prominenter Stelle vor, sondern bildet auch den Maßstab für die konkreten Pflichten der Betreiber, §§ 8a ff. BSIG. Als Voraussetzung für die Versorgungssicherheit mit Dienstleistungen Kritischer Infra135 Vgl. Witt, IT-Sicherheit kompakt und verständlich, S. 1; Stober, Grundlagen der öffentlichen und der privaten Sicherheit, in: Stober / Olschok / Gundel u. a., Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit, S. 3, 9; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 71; Thiel, Die „Entgrenzung“ der Gefahrenabwehr, S. 141; Hornung / Schindler, Zivile Sicherheit als Gegenstand und Ziel der Informations- und Kommunikationsverarbeitung, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 247, 249. 136 Isensee, Das Grundrecht auf Sicherheit, S. 23 f.; Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 119; Stober, Grundlagen der öffent lichen und der privaten Sicherheit, in: Stober / Olschok / Gundel u. a., Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit, S. 3, 7 f. 137 Möstl, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht BadenWürttemberg, Systematische und begriffliche Vorbemerkungen zum Polizeirecht in Deutschland, Rdnr. 1; Häberle, VVDStRL 35 (1997), S. 306, 307. 138 BT-Drs. 18 / 4096, S. 1. 139 Seidl, jurisPR-ITR 7 / 2014 Anm. 2; Schmidl, NJW 2010, S. 476, 477 f.; vgl. Heckmann, MMR 2006, S. 280, 282, der über die Definition des § 2 Abs. 2 BSIG hinausgehend weitere Schutzrichtungen annimmt.
60
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
strukturen stellt sie den legitimen Grund für Eingriffe in die grundrechtlichen Freiheitsräume der Betreiber dar. I. Das Verständnis des BSIG Der Begriff der IT-Sicherheit wird im BSIG als zentraler Begriff legal definiert. Er ist als Zustand zu sehen, in dem „die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen“, gewährleistet ist. Mittel zur Schaffung von IT-Sicherheit sind „Sicherheitsvorkehrungen Nr. 1 in informationstechnischen Systemen, Komponenten oder Prozessen oder Nr. 2 bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen“, § 2 Abs. 2 BSIG. Der Begriff IT-Sicherheit erfasst damit die IT als System und als einzelne Anlage sowie deren Anwendung und dies jeweils in Form ihrer Hard- und Softwarekomponenten.140 Schutzziele der IT-Sicherheit sind die Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Informationen in der IT.141 Aus der Gesetzesbegründung und aus § 8a Abs. 1 S. 1, § 8b Abs. 4 S. 1 BSIG geht jedoch ausdrücklich hervor, dass die Authentizität als weiteres Schutzziel hinzutritt.142 Die IT- Sicherheit erfasst damit jeden Vorfall, der die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit einer Information beeinträchtigt.143 Außerhalb des IT-Sicherheitsbegriffs des § 2 Abs. 2 BSIG werden weitere Schutzziele diskutiert. Dies sind beispielsweise die Verbindlichkeit sowie die Autorisation. Unter der Verbindlichkeit ist zu verstehen, dass Inhalt und Absender von Informationen Dritten gegenüber bewiesen werden können. Autorisation erfasst die Zugriffsbeschränkung nur auf Berechtigte.144 Eine Erläuterung der gesetzlich normierten Schutzziele erfolgt sogleich im Detail. Das zu gewährleistende Niveau der IT-Sicherheit lässt sich der Definition des § 2 Abs. 2 BSIG selbst nicht entnehmen. Stattdessen verweist die Legaldefinition hierfür auf bestimmte Sicherheitsstandards.145 Unter diesen können 140 BT-Drs. 13 / 11002,
S. 15; vgl. zu den Begriffen IT und IT-System § 1 B. I. IT-Sicherheit kritischer Infrastrukturen, S. 19 bezeichnet diesen daher als „dreigeteilten IT-Sicherheitsbegriff“. 142 Anstatt von Schutzzielen von „Schutzgütern“ sprechend BT-Drs. 18 / 4096, S. 1. 143 Wehrmann / Bluhm / Rink, IT-Sicherheit, in: Taeger, Smart World – Smart Law?, S. 247, 255. 144 Vgl. Kappes, Netzwerk- und Datensicherheit, S. 2 f.; vgl. Heckmann, MMR 2006, S. 280, 282. Das Ziel der Verbindlichkeit ist zum Teil auch von der Authentizität, das der Autorisation von der Vertraulichkeit mit umfasst. 145 Vor der Einführung der Verpflichtung des BSI zur Erarbeitung von Mindeststandards nach § 8 Abs. 1 BSIG und des § 8a BSIG war der Terminus „die Einhaltung 141 Sonntag,
§ 2 Klärung der zentralen Begriffe61
für Betreiber Kritischer Infrastrukturen angemessene organisatorische und technische Vorkehrungen, § 8a Abs. 1 S. 1 BSIG, und für die Behörden des Bundes die Mindeststandards, § 8 Abs. 1 S. 1 BSIG, verstanden werden. Entsprechende Sicherheitsstandards können aber auch privatrechtliche Normen aus der ISO-2700X-Reihe sowie der BSI-Grundschutzkatalog146 oder die branchenspezifischen Sicherheitsstandards nach § 8a Abs. 2 BSIG sein. Schutzobjekt der IT-Sicherheit ist die Information, nicht die IT. § 2 Abs. 2 BSIG spricht davon, dass die IT-Sicherheit durch Sicherheitsvorkehrungen in der IT oder bei deren Anwendung gewährleistet wird. In dieser Formulierung wird deutlich, dass die Sicherheitsvorkehrungen in der IT und bei deren Anwendung Mittel zum Zweck sind, die Schutzziele zu erreichen. Erst über das Mittel wird in der Definition der IT-Sicherheit der spezifische Bezug zur IT hergestellt, sodass die Begrenzung auf Sicherungsvorkehrungen in IT-Systemen und bei deren Anwendung den sachlichen Anwendungsbereich umgrenzt. Dadurch werden nicht sämtliche Informationen erfasst, sondern lediglich solche, die einer Verarbeitung durch IT zugänglich sind. 1. Die Schutzziele im Einzelnen und ihr Zusammenwirken Die Schutzziele der IT-Sicherheit sind als Reaktion auf die Bedrohungslagen für IT-Systeme zu sehen.147 Dabei können die Schutzziele den Bedrohungskategorien spiegelbildlich gegenübergestellt werden. Der Bedrohung der Unterbrechung einer Kommunikationsverbindung steht das Ziel der Verfügbarkeit einer Information gegenüber. Dem Manipulieren des Nachrichteninhalts wird die Integrität, dem Täuschen über die Identität die Authentizität einer Information als Schutzziel entgegengesetzt. Schließlich soll das Schutzziel der Vertraulichkeit dem Abfangen und Mitlesen von Nachrichten vorbeugen.148 Was unter den jeweiligen Schutzzielen zu verstehen ist, soll zunächst für jedes einzeln und hieran anschließend ihr Zusammenwirken beleuchtet werden.
bestimmter Sicherheitsstandards“ als Verweis auf private technische Normen zu verstehen; vgl. Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 20. 146 Obwohl dieser vom BSI ausgearbeitet wurde, stellt der Grundschutzkatalog mangels Inanspruchnahme hoheitlicher Gewalt keine öffentlich-rechtliche Norm dar; abrufbar unter https: / / www.bsi.bund.de / DE / Themen / ITGrundschutz / ITGrundschutz Kataloge / itgrundschutzkataloge_node.html (besucht am 12.06.2018). 147 Siehe für die Bedrohungen § 1 B. II. 1. c). 148 Bzgl. der Arten der Bedrohung Kappes, Netzwerk- und Datensicherheit, S. 141 f.
62
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
a) Verfügbarkeit Informationen sind verfügbar, wenn keine ungewollte Zurückhaltung von Informationen gegeben ist. Dies setzt neben der bloßen Zugriffsmöglichkeit auch den Zugriff in akzeptabler Zeit voraus.149 Dieser akzeptable Zeitraum verringert sich trotz größeren Datenumfanges mit der Weiterentwicklung des Standes der Technik immer mehr, sodass die der Information zugrundeliegenden Daten mit höherer Geschwindigkeit übertragen werden müssen.150 Dabei hängt der akzeptable Zeitraum nicht allein von den informationstechnischen Möglichkeiten, sondern auch von den infrastrukturbedingten Bedürfnissen ab. Infolgedessen ist der akzeptable Zeitraum für die Gewährleistung der Verfügbarkeit einer Information für die unterschiedlichen Infrastruktursektoren und -einrichtungen gesondert zu beurteilen.151 Informationen werden der Zugriffsmöglichkeit entzogen, wenn sie gänzlich verloren gehen oder zerstört werden, der Berechtigte keinen Zugriff mehr auf sie hat oder der Informationsfluss blockiert wird.152 b) Unversehrtheit / Integrität Unter der Unversehrtheit ist die Abwesenheit einer ungewollten Informa tionsveränderung zu verstehen.153 Dies umfasst auch die Integrität,154 welche darauf ausgerichtet ist, dass an der Information keine unzulässigen inhalt lichen Veränderungen vorgenommen werden.155 Mit der Gewährleistung der Integrität wird vor einem schreibenden Zugriff bezüglich des Inhalts geschützt.156
149 BT-Drs. 13 / 11002, S. 21, 42; Holznagel, Recht der IT-Sicherheit, § 2, Rdnr. 6; vgl. Gadatsch / Mangiapane, IT-Sicherheit, S. 17; vgl. Eckert, IT-Sicherheit, S. 12; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 73. 150 Vgl. Witt, IT-Sicherheit kompakt und verständlich, S. 19. 151 Vgl. Erw.-Gr. 17, Art. 6 Abs. 1 lit. c RL (EU) 2016 / 1148. 152 Heckmann, MMR 2006, S. 280, 281; Grützmacher, CR 2016, S. 485, 486; Holznagel, Recht der IT-Sicherheit, § 2, Rdnr. 7 sieht die vollständige Verfügbarkeit einer Information als Aspekt der Integrität an. 153 Heckmann, MMR 2006, S. 280, 281. 154 Holznagel, Recht der IT-Sicherheit, § 2, Rdnr. 7; vgl. Gadatsch / Mangiapane, IT-Sicherheit, S. 19. 155 BT-Drs. 13 / 11002, S. 21, 43; Eckert, IT-Sicherheit, S. 9; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 75. 156 Vgl. Grützmacher, CR 2016, S. 485, 486.
§ 2 Klärung der zentralen Begriffe63
c) Unversehrtheit / Authentizität157 Obwohl die Authentizität in der Legaldefinition der IT-Sicherheit in § 2 Abs. 2 BSIG nicht als eigenständiges Schutzziel genannt ist, so ist sie doch als solches anerkannt158 und der zur Integrität komplementäre Teil der Unversehrtheit. Ebenso findet sie sich beim normierten Schutzzweck der Sicherungspflicht in § 8a Abs. 1 S. 1 BSIG sowie bei den Meldepflichten nach § 8b Abs. 4 S. 1 BSIG und § 11 Abs. 1c S. 1 EnWG wieder. Unter der Authentizität ist die Übereinstimmung der behaupteten Herkunft mit der tatsächlichen,159 also die Echtheit einer Information, zu verstehen. Diese ist dann gegeben, wenn die konkrete Information von der Quelle stammt, von der sie vorgibt zu stammen.160 Allein ein Schutz vor inhaltlicher Veränderung (Integrität) reicht nicht aus. Informationen gewinnen ihren Wert gerade durch die Quelle von der sie stammen.161 Die Authentizität lässt sich daher neben der Integrität unter das Schutzziel der Unversehrtheit fassen.162 Sie schützt jedoch in Abgrenzung zu dieser nicht den Inhalt, sondern komplementär hierzu die Herkunft vor einem schreibenden Zugriff.163 d) Vertraulichkeit Eine Information ist vertraulich, wenn nur Befugte im Rahmen ihrer Berechtigung von der Information Kenntnis erlangen können.164 Die Vertraulichkeit umfasst neben dem Informationsinhalt die Daten der Informationsübermittlung.165 Insofern wird ein Schutz vor einem lesenden Zugriff durch Unbefugte gewährt.166 157 Teils wird die Authentizität auch als Zurechenbarkeit benannt; vgl. BT-Drs. 13 / 11002, S. 15. 158 BT-Drs. 18 / 4096, S. 1, 19; vgl. für das Unionsrecht Art. 4 Nr. 2 RL (EU) 2016 / 1148. 159 BT-Drs. 13 / 11002, S. 21. 160 Holznagel, Recht der IT-Sicherheit, § 2, Rdnr. 9; Gadatsch / Mangiapane, ITSicherheit, S. 22; Eckert, IT-Sicherheit, S. 8. 161 Heckmann, MMR 2006, S. 280, 282. 162 A. A. für die Situation vor Erlass des IT-Sicherheitsgesetzes Heckmann, MMR 2006, S. 280, 282. 163 Vgl. Grützmacher, CR 2016, S. 485, 486. 164 BT-Drs. 13 / 11002, S. 21, 43; Heckmann, MMR 2006, S. 280, 282; Gadatsch / Mangiapane, IT-Sicherheit, S. 21; Eckert, IT-Sicherheit, S. 10; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 74. 165 Holznagel, Recht der IT-Sicherheit, § 2, Rdnr. 8. 166 Grützmacher, CR 2016, S. 485, 486.
64
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
e) Interdependenzen der Schutzziele Die vier Schutzziele stehen nicht unabhängig nebeneinander, sondern beeinflussen sich in ihrer Wirkung gegenseitig. So kann die Verletzung eines Schutzzieles zugleich die Verletzung eines oder mehrerer anderer zur Folge haben. Auf der anderen Seite besteht zwischen ihnen selbst ein Spannungsverhältnis.167 Die partielle Nichtabrufbarkeit von Informationen kann neben der Verfügbarkeit die Integrität der Information betreffen.168 Ist eine Information nur teilweise verfügbar, so kann dies zu einem völlig veränderten Bedeutungsgehalt dieser führen. Die Verletzung der Vertraulichkeit von Passwörtern wirkt sich sogar auf alle drei übrigen Schutzziele aus. Hierdurch können die Informationen inhaltlich verändert, ihre Verfügbarkeit beeinträchtigt, indem die Informationen gelöscht oder zurückgehalten werden, und auch die Authentizität verfälscht werden, indem unter einer „falschen“ Berechtigung Informationen verbreitet werden.169 Wird auf den Inhalt einer Information eingewirkt und dieser abgeändert, wird zugleich die Authentizität verletzt, wenn nicht erkennbar wird, dass die geänderte Information nicht von der gleichen Quelle stammt wie der inhaltlich unversehrte Teil. Ein Spannungsverhältnis ergibt sich weiter zwischen der Vertraulichkeit, der Authentizität, sowie der Verfügbarkeit. Die Vertraulichkeit umfasst neben dem Informationsinhalt auch die Informationsübermittlung und damit die Quelle. Soll jedoch eine Information anonym übermittelt werden, also der Urheber nicht erkennbar sein, kann die Authentizität nicht gewährleistet werden.170 Doch dieses Spannungsfeld muss nicht bestehen. Wird zunächst geprüft, ob eine Zugriffsberechtigung auf die Information im Sinne der Gewährleistung der Vertraulichkeit besteht, so kann im Anschluss die Urheberschaft im Sinne der Authentizität zu erkennen gegeben werden. Hierüber kann das Spannungsfeld zwischen Vertraulichkeit und Authentizität aufgelöst werden. Doch die Vertraulichkeit wirkt sich auch auf die Verfügbarkeit aus. So ist eine gegen unberechtigten Zugriff geschützte Information regelmäßig erst später verfügbar, als ohne diesen Schutz, da zunächst die Zugriffsberechtigung geprüft werden muss und die Informationen gegebenenfalls noch entschlüsselt werden müssen. Die Schutzziele der IT-Sicherheit unterliegen gegenseitigen Wechselwirkungen, indem sie sich teils wechselseitig verstärken, teils in einem Span167 Holznagel,
Recht der IT-Sicherheit, § 2, Rdnr. 14. Grundrechtlicher Schutz informationstechnischer Systeme, S. 74, der zusätzlich eine Auswirkung auf die Vertraulichkeit annimmt. 169 Vgl. Holznagel, Recht der IT-Sicherheit, § 2, Rdnr. 7, 14. 170 Heckmann, MMR 2006, S. 280, 282. 168 Heinemann,
§ 2 Klärung der zentralen Begriffe65
nungsverhältnis stehen, das bei der Umsetzung der Sicherungsmaßnahmen aufgelöst werden muss. Infolgedessen ist das zu gewährleistende IT-Sicherheitsniveau der Schutzziele nicht einheitlich, sondern schutzzielspezifisch zu ermitteln. In ihrer Gesamtheit wirken die Schutzziele auf ein Funktionieren der IT hin.171 2. Schutzobjekt Information Schutzobjekt der IT-Sicherheit ist nicht die Informationstechnik als Hardund Software, sondern die Information. Sie kann daher auch als Informa tionssicherheit bezeichnet werden.172 Was unter dem Schutzobjekt „Information“ zu verstehen ist, muss noch geklärt werden. Die Begriffe Information und Datum werden vom Gesetzgeber häufig synonym verwendet.173 Im Rahmen der Datenschutzgesetze wird überwiegend der Begriff „Daten“ verwendet, wohingegen in anderen Gesetzen, wie dem Bundesverfassungsschutzgesetz174 oder dem Informationsfreiheitsgesetz des Bundes175 derjenige der „Information“ anzutreffen ist.176 Zur Begriffsverwirrung trägt auch die RL (EU) 2016 / 1148 bei, wonach Daten Schutzgegenstand der Sicherheit von Netz- und Informationssystemen sind.177 Dennoch erlaubt die rechtliche Begriffsbedeutung von Information und Datum im Grunde keine synonyme Verwendung. Um diese These zu untermauern, ist der Bedeutungsgehalt der beiden Termini gegenüber zu stellen. Informationen sind Sinnelemente. Sie weisen eine zweistufige Struktur auf, indem an einem Zeichengebilde, das aus Wahrnehmungen besteht (syntaktische Dimension), anknüpfend auf einer weiteren Ebene durch Interpreta171 Vgl.
S. 73.
Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme,
172 Vgl. zur Bezeichnung als Informationssicherheit Wischmeyer, Die Verwaltung 50 (2017), S. 155, 159 f.; Seidl, jurisPR-ITR 7 / 2014 Anm. 2; vgl. BT-Drs. 13 / 11002, S. 17. 173 Vgl. die Legaldefinition von Umweltinformationen in § 2 Abs. 3 Umweltinformationsgesetz als „unabhängig von der Art ihrer Speicherung alle Daten“ über die Umwelt. 174 Vgl. exemplarisch die § 5 Abs. 1 S. 1, § 6 Abs. 1 S. 1, § 8 Abs. 1 S. 1, Abs. 2, § 8a Abs. 1, Abs. 2 S. 1, Abs. 2a, § 9 Abs. 1 S. 1, § 18 Bundesverfassungsschutzgesetz vom 20. Dezember 1990 (BGBl. I S. 2954, 2970), das zuletzt durch Artikel 2 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2097) geändert worden ist. 175 Vgl. exemplarisch die § 1 Abs. 1 S. 1, Abs. 2 S. 1, § 2 Nr. 1, § 3 Informationsfreiheitsgesetz vom 5. September 2005 (BGBl. I S. 2722), das durch Artikel 2 Absatz 6 des Gesetzes vom 7. August 2013 (BGBl. I S. 3154) geändert worden ist. 176 Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 8. 177 Vgl. Art. 4 Nr. 2 RL (EU) 2016 / 1148.
66
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
tion des Empfängers ein Inhalt generiert wird (semantische Dimension).178 Voraussetzung für die Interpretation ist, dass der Empfänger den Anknüpfungspunkt, das Wahrgenommene, verstehen kann. Der durch Interpretation erzeugte Informationsinhalt wird dabei von der kontextualen Situation und sonstigem Wissen179 beeinflusst.180 Die Information ist damit von einem objektiven Ausgangspunkt kommend durch ein subjektives Element geprägt. Das „Abbild der sozialen Wirklichkeit“, welches die Information darstellt,181 hängt wesentlich von den Deutungsprozessen beim Empfänger ab. Diesem Ansatz folgend sind Daten in Abgrenzung zu Informationen bloße Zeichen, die auf einem Datenträger festgehalten werden können. Als solche fixierte Zeichen können sie die Grundlage für eine Information darstellen.182 Daten sind demnach rein objektiv und haben lediglich eine syntaktische Dimension.183 Andere Definitionen erlauben ein synonymes Begriffsverständnis von I nformation und Datum. So sieht die informationstechnische Definition aus ISO / IEC 2382-1 Daten als „a reinterpretable representation of informa tion in a formalized manner suitable for communication, interpretation or processing“ an. Demnach entstehen Daten aus der Interpretation von Zeichen.184 § 3 Abs. 1 BDSG185 definiert personenbezogenen Daten als „Einzelangaben über persönliche oder sachliche Verhältnisse einer (…) Per son“.186 Dabei soll unter einer Einzelangabe eine Information zu verstehen 178 Kloepfer / Neun, Informationsrecht, § 1, Rdnr. 53, 54; Zech, Information als Schutzgegenstand, S. 24 ff.; Druey, Information als Gegenstand des Rechts, S. 7 f.; vgl. Ronellenfitsch, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, Einleitung zum BDSG, Rdnr. 1; die pragmatische Dimension ist in diesem Zusammenhang nicht von Bedeutung. Ihre Darstellung unterbleibt. 179 Das Wissen ist wiederum durch Informationen aus bereits interpretierten Daten entstanden. 180 Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 12. 181 Holznagel, Recht der IT-Sicherheit, § 1, Rdnr. 50. 182 Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 11; Kloepfer / Neun, Informationsrecht, § 1, Rdnr. 58; in diese Richtung wohl auch Druey, Information als Gegenstand des Rechts, S. 20 f.; vgl. Ronellenfitsch, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, Einleitung zum BDSG, Rdnr. 1; anders Zech, Information als Schutzgegenstand, S. 32 f., der Daten als besondere „maschinenlesbar codierte Information“ bezeichnet. 183 Kloepfer / Neun, Informationsrecht, § 1, Rdnr. 58. 184 Witt, IT-Sicherheit kompakt und verständlich, S. 16 f. 185 Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 7 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2097) geändert worden ist. 186 Vgl. auch Art. 4 Nr. 1 VO (EU) 2016 / 679.
§ 2 Klärung der zentralen Begriffe67
sein.187 Legt man dieses Verständnis dem Datenbegriff zugrunde, so ist er tatsächlich als Synonym zum Informationsbegriff zu sehen. Diese Datendefinitionen setzen neben der Grundlage des Zeichens, dem reinen Datum, eine Interpretation voraus. Durch die Wortwahl des Begriffs Information im IT-Sicherheitsgesetz wird deutlich, dass neben der Grundlage des Datums auch dessen Deutung Teil des Schutzgegenstandes ist.188 Dies wird auch aus dem Schutzzweck der Verfügbarkeit und der Integrität deutlich. Werden die Daten als Grundlage der Information zurückgehalten, so kann keine Information im Wege einer Deutung gewonnen werden. Darüber hinaus ist die Verfügbarkeit ebenfalls beeinträchtigt,189 wenn zwar Daten vorliegen, diese aber keiner Interpretation zugänglich sind. Dies ist beispielsweise dann der Fall, wenn Zeichen wegen einer Verschlüsselung nicht verstanden und gedeutet werden können. Eine verfügbare, integre, authentische und vertrauliche Information setzt demnach voraus, dass sowohl das Datum vorliegt und kumulativ dessen Deutung uneingeschränkt möglich ist. Tritt ein den Schutzzielen zuwiderlaufender Fehler auf der Ebene des Datums oder auf der Deutungsebene auf, so genügt bereits einer, um die IT-Sicherheit zu beeinträchtigen. Damit ist das Datum, sofern man es nicht als Synonym zur Information versteht, als Informationsgrundlage Teil des Schutzes der IT-Sicherheit. Aus teleologischen Erwägungen werden nur Informationen erfasst, die für die informationstechnische Verwendung bestimmt oder hierzu jedenfalls geeignet sind. Die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit anderer Informationen kann durch organisatorische und technische Maßnahmen nicht erhöht werden. Sie unterfallen daher dem Schutzzweck der IT- Sicherheit nicht und sind bereits aus dem Informationsbegriff herauszunehmen.190 Im Hinblick auf die Funktionsfähigkeit der Kritischen Infrastruktur ist eine weitere teleologische Einschränkung des Informationsbegriffs zu erwägen. Es könnten lediglich solche Informationen erfasst sein, die für die Erbringung der Dienstleistungen der Kritischen Infrastruktur notwendig sind. Dafür 187 Gola / Schomerus, BDSG, § 3 BDSG, Rdnr. 3; so auch die Definition der „Umweltinformationen“ in § 2 Abs. 3 Umweltinformationsgesetz. 188 Der Sprachgebrauch richtet sich im Folgenden nach der zweistufigen Informationsdefinition. Die Informationsgrundlage wird als Datum bezeichnet. Eine Information liegt erst bei Zusammentreffen von Datum und dessen Interpretation vor. 189 BT-Drs. 18 / 4096, S. 2. 190 Für die Sicherheit von Netz- und Informationssystemen i. S. v. Art. 4 Nr. 2 RL (EU) 2016 / 1148 ist daher nötig, dass ein Angebot oder Zugang über Netz- und Informationsdienste erfolgt.
68
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
spricht, dass Regelungen zur IT-Sicherheit in ihrer dienenden Funktion191 zur Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen in § 2 Abs. 10 BSIG sowie in §§ 8a ff. BSIG erfolgen. Doch wäre dafür gerade eine Beurteilung der Bedeutung des Inhalts einer Information nötig. Eine Einbeziehung des Inhalts ist nicht angelegt. Informationstechnische Informationen werden gerade unabhängig von ihrem Inhalt erfasst. Die Information besteht aus zwei Elementen, dem bloßen Datum und seiner Deutung. Nach dem hier zugrunde gelegten Verständnis stellt sie kein Synonym zum Datum dar, auch wenn der Gesetzgeber in anderem Regelungszusammenhang, insbesondere im Datenschutzrecht, von einem syno nymen Verständnis ausgeht. Im Ergebnis zeitigt das divergierende Begriffsverständnis für die Erfassung der Bedeutung der IT-Sicherheit keine Auswirkungen. Aus dem Zusammenhang ergibt sich, dass die Schutzziele lediglich für informationstechnische Informationen greifen. 3. Dynamisches Sicherheitsniveau für Informationen Der Begriff der IT-Sicherheit beschreibt einen „Zustand“, in dem die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informationen gewährleistet wird. Aufgrund der fortlaufenden technischen Entwicklungen, der sich verändernden Bedrohungslage und gewandelten Anforderungen an die IT-Sicherheit, wird das zu gewährleistende IT-Sicherheitsniveau aber dynamisch gestaltet.192 Die Dynamisierung der IT-Sicherheit erfolgt über die Rechtspflichten für die Betreiber. Denn diese enthalten entwicklungsoffene unbestimmte Rechtsbegriffe wie den „Stand der Technik“, § 8a Abs. 1 S. 2 BSIG,193 und wissensgenerierende Prozesse wie die Meldepflichten, vgl. § 8b Abs. 4 BSIG. Die IT-Sicherheit selbst als zu erreichendes Ziel verhält sich dabei statisch.194 Vielmehr stellen die Maßnahmen zur Gewährleistung der IT-Sicherheit einen Prozess der Optimierung dar, der einen gewissen Zustand anstrebt, ohne dass dieser aufgrund der technischen Fortentwicklung jemals dauerhaft erreicht werden kann.195 191 Vgl. allgemein zur dienenden Funktion der IT-Sicherheit Gadatsch / Mangiapane, IT-Sicherheit, S. 23. 192 Vgl. BT-Drs. 13 / 11002, S. 16; vgl. Kappes, Netzwerk- und Datensicherheit, S. 10; Schiller, BT / InnenA-Drs. 18(4)284 C, S. 4; vgl. Wischmeyer, Die Verwaltung 50 (2017), S. 155, 160. 193 Scherzberg, VVDStRL 63 (2004), S. 216, 234, 251. 194 Vgl. Seidl, jurisPR-ITR 7 / 2014 Anm. 2. 195 Vgl. Scherzberg, VerwArch 84 (1993), S. 484, 509; Leisterer, Zivile Cybersicherheit in Europa: Entwicklung des Bereichs der Netz- und Informationssicherheit im Unionsrecht, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 101, 105; Höhne / Pöhls, Grund und Grenzen staatlicher Schutzpflichten für
§ 2 Klärung der zentralen Begriffe69
4. IT-Sicherheit als Systemschutz § 2 Abs. 2 BSIG wie auch § 8a Abs. 1 S. 1 BSIG stellen bei den Schutzmaßnahmen nicht unmittelbar auf die Information, sondern die informationstechnischen Systeme, Komponenten und Prozesse ab. Insofern wird im Rahmen der Umsetzung der Sicherungsmaßnahmen zur Erhöhung der IT-Sicherheit der Schutzgegenstand gewechselt. Dies stellt eine gesetzgeberische Ungenauigkeit dar. Denn dogmatisch folgerichtig hätte die Sicherungspflicht eigentlich die Information als Schutzgegenstand der IT-Sicherheit nennen müssen. Da in ihr jedoch die zur Erhöhung der IT-Sicherheit zu treffenden Maßnahmen beschrieben werden, diese nicht an der Information selbst, sondern in der IT, also dem informationstechnischen System, Komponente oder Prozess, vorgenommen werden müssen, knüpft die Sicherungspflicht nicht an der Information, sondern am zu sichernden Objekt an. Insofern hätte die Sicherungspflicht so formuliert werden müssen, dass durch die Maßnahmen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationen an informationstechnischen Systemen, Komponenten oder Prozessen zu treffen sind. Obwohl die IT-Sicherheit selbst nicht die IT, sondern die Information zum Schutzgegenstand hat, vgl. § 2 Abs. 2 Hs. 2 BSIG, erfordert sie mittelbar einen Systemschutz.196 II. Abgrenzung zu anderen Sicherheitsbegriffen Der Begriff der IT-Sicherheit reiht sich in eine Vielzahl von Sicherheitsbegriffen ein. Um seine Funktion in der Sicherheitsarchitektur besser durchdringen zu können, wird er anderen Sicherheitsbegriffen gegenübergestellt. 1. Öffentliche Sicherheit Der Rechtsbegriff der öffentlichen Sicherheit ist gemeinsam mit dem Gefahrenbegriff zentraler Ausgangspunkt der sicherheitsbehördlichen Tätigkeit.197 Er umfasst die Unversehrtheit der Rechtsgüter des Einzelnen, des Staates und seiner Einrichtungen sowie der Rechtsordnung an sich. Diese die IT-Infrastruktur, in: Taeger, Digitale Evolution, S. 827, 835; vgl. bzgl. der Datensicherheit Karg, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, § 9 BDSG, Rdnr. 39; vgl. zur dynamischen Größe des Schutzbedarfs Gadatsch / Mangiapane, ITSicherheit, S. 24. 196 Vgl. Leisterer, Zivile Cybersicherheit in Europa: Entwicklung des Bereichs der Netz- und Informationssicherheit im Unionsrecht, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 101, 105; vgl. Wischmeyer, Die Verwaltung 50 (2017), S. 155, 158. 197 Vgl. Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 20.
70
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Schutzgüter lassen sich als Schutz der Individualrechtsgüter, der Gemeinschaftsrechtsgüter und der Rechtsdurchsetzung zusammenfassen.198 Eine alternative Definition beschreibt die öffentliche Sicherheit als Unversehrtheit des Lebens, der Gesundheit, der Ehre, der Freiheit und des Vermögens von Menschen, der Rechtsordnung und der Einrichtungen des Staates und sonstiger Träger von Hoheitsgewalt einschließlich deren ungestörter Ausübung.199 Betrachtet man die Struktur der beiden Definitionen, so lässt sich feststellen, dass die öffentliche Sicherheit über zwei Wege beschrieben werden kann. Zum einen kann von den zu schützenden Rechtsgütern, zum anderen von der Unversehrtheit der Rechtsordnung200 ausgegangen werden.201 Die öffentliche Sicherheit beschreibt als ihr Schutzziel die Unversehrtheit, und als Schutzgegenstand die Individual- und Gemeinschaftsrechtsgüter sowie die Rechtsdurchsetzung. Stellt man die öffentliche Sicherheit der IT- Sicherheit gegenüber, ist das Schutzziel der öffentlichen Sicherheit mit der Unversehrtheit weit undifferenzierter als das der IT-Sicherheit mit der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit.202 Aufgrund eines weiten Schutzgegenstandes ist die öffentliche Sicherheit nicht auf ein konkretes Objekt, wie die IT-Sicherheit auf die Information, zugeschnitten, sondern deckt vielmehr Individual- und Gemeinschaftsrechtsgüter sowie die Rechtsdurchsetzung in ihrer Gesamtheit ab. Diese Offenheit des Schutzgegenstandes verstärkt das abstrakt gehaltene Schutzziel.203 Daher ist die öffentliche Sicherheit im Verhältnis zur IT-Sicherheit umfassender. Die Enge der Schutzwirkungen der IT-Sicherheit basiert nicht nur auf dem Schutzgut der Information oder den ausdifferenzierten Schutzzielen, sondern auch auf der Vorgabe der Sicherungsmittel, nämlich dass Sicherungsvorkehrungen in der IT sowie bei deren Anwendung zu treffen sind. Trotz dieser 198 BVerwG, NJW 2012, S. 2676, 2677; statt vieler nur Möstl, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht Baden-Württemberg, Systematische und begriffliche Vorbemerkungen zum Polizeirecht in Deutschland, Rdnr. 7. 199 Schmidbauer, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 11, Rdnr. 57; Berner / Köhler / Käß, Polizeiaufgabengesetz, Art. 2, Rdnr. 4. 200 Dabei ist die Unversehrtheit der Rechtsordnung selbst auch geschütztes Rechtsgut. 201 Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 120 ff.; Darnstädt, Gefahrenabwehr und Gefahrenvorsorge, S. 29 f. stellt lediglich auf die Rechtsordnung ab und hält den Rechtsgüterschutz mangels Anwendungsbereich für überflüssig. 202 Siehe § 2 A. I. 1. 203 Der Gewährleistungsumfang wird wesentlich durch den Gegenstand bestimmt, während das Ziel eine Konkretisierung dahingehend vornimmt, in welcher Beziehung die Gewährleistung erfolgen soll.
§ 2 Klärung der zentralen Begriffe71
Unterschiede bestehen in erheblichem Umfang auch Gemeinsamkeiten und Überschneidungen. a) Der Schutz der öffentlichen Sicherheit mit Blick auf die IT-Sicherheit aa) Schutz über anerkannte Rechtsgüter Ist eine Information im Rahmen eines IT-Systems nicht verfügbar oder die Integrität nicht gewahrt, können verschiedene Rechtsgüter verletzt werden. Daher wird untersucht, welche Rechtsgüter für einen rechtsgutsorientierten Schutz der IT-Sicherheit über die öffentliche Sicherheit in Frage kommen und wie weit dieser Schutz reicht. Neben wirtschaftlichen Rechtsgütern vermögen auch persönlichkeitsrechtliche Zusammenhänge Schutz zu vermitteln. Die Darstellung wird hier auf Rechtsgüter begrenzt, die unmittelbar die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Informationen schützen. Wird die IT-Sicherheit mittelbar über die Berufsausübung oder Leib und Leben geschützt,204 bleibt dies hier außer Betracht. Sonst würden Einflüsse, die vom jeweiligen Einsatzbereich der IT abhängen, den Vergleich der allgemeinen Sicherheitsbegriffe der IT-Sicherheit und der öffentlichen Sicherheit stören. Sind Informationen nicht verfügbar oder wird deren Integrität bzw. Authentizität verletzt, so ist unter Umständen eine Eigentumsverletzung durch den Ausschluss jeder Nutzungsmöglichkeit gegeben. Informationen sind als solche nicht eigentumsfähig im Sinne des Zivilrechts.205 Ob dem Eigentumsschutz der öffentlichen Sicherheit das verfassungsrechtliche Eigentumsverständnis des Art. 14 Abs. 1 GG oder das zivilrechtliche des § 903 BGB zugrunde zu legen ist, kann im Ergebnis dahinstehen. Denn selbst wenn man das Eigentum zivilrechtlich verstehen sollte, sind Informationen vom Schutzumfang der öffentlichen Sicherheit auch über das vermögenswerte Recht i. S. v. Art. 14 Abs. 1 GG206 nicht erfasst. Informationen sind zwar ein geldwertes Wirtschaftsgut,207 unterfallen aber mangels normativer Ausschließungsbefugnis nicht dem Eigentumsschutz von Art. 14 Abs. 1 GG.208 Anders 204 Siehe
hierzu unten § 4 A. I., II. in: Bamberger / Roth, Beck’scher Online-Kommentar BGB, § 903 BGB, Rdnr. 4; sie können aber sehr wohl einen Vermögenswert aufweisen. Die fehlende Eigentumsfähigkeit liegt im Wesen der Information, da diese neben einem Zeichen dessen Interpretation voraussetzt und damit kein körperlicher Gegenstand ist; in diese Richtung auch Kloepfer / Neun, Informationsrecht, § 1, Rdnr. 55 Fn. 114. 206 Zum Verständnis des Vermögens i. S. d. öffentlichen Sicherheit Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 129. 207 Kloepfer / Neun, Informationsrecht, § 1, Rdnr. 55. 208 Zum Informationsschutz über Art. 14 Abs. 1 GG siehe § 4 A. I. 1. c). 205 Fritzsche,
72
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
stellt sich die Lage für Informationen dar, an denen Rechte des geistigen Eigentums sowie obligatorische Nutzungsrechte bestehen. Dies kann insbesondere auf die eingesetzte Software zutreffen.209 Werden derartige Informationen in ihrer Verfügbarkeit, Integrität und Authentizität verändert, so kann im Einzelfall das hieran bestehende Eigentumsrecht verletzt werden. Nur bei einer Beeinträchtigung der IT-Sicherheit, deren Ursache in der gegenständlichen Hardware liegt, gewährleistet Art. 14 Abs. 1 GG einen Schutz der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationen. Ursache kann beispielsweise eine Beschädigung oder Zerstörung, aber auch eine Entwendung der betreffenden Einrichtung sein. Soweit mit einer Verletzung der Schutzziele der IT-Sicherheit zugleich eine Beeinträchtigung der Verfügungsbefugnis des Eigentümers über die Hardware als gegenständliche Komponente der IT einhergeht, bildet das Rechtsgut des Eigentums den Schutz der IT-Sicherheit in der öffentlichen Sicherheit ab. Neben Art. 14 Abs. 1 GG ist die IT-Sicherheit von Informationen partiell über das Rechtsgut der informationellen Selbstbestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG durch die öffentliche Sicherheit geschützt.210 Sie gewährleistet, dass Dritte unter Verstoß gegen die festgelegte Verwendungsbefugnis keinen Zugriff auf die Daten erhalten dürfen.211 Von ihr werden jedoch nur personenbezogene Informationen212 und diese nur im Hinblick auf ihre Vertraulichkeit geschützt. Soweit personenbezogene informationstechnische Informationen vorliegen, deckt sich der Vertraulichkeitsschutz über die IT-Sicherheit bzw. das Rechtsgut der informationellen Selbstbestimmung. Der rechtsgutsbezogene Schutz213 der IT-Sicherheit über das Eigentumsgrundrecht und das Grundrecht auf informationelle Selbstbestimmung existiert nur sehr eingeschränkt für eigentumsfähige bzw. personenbezogene Informationen.
209 Zu
einer ausführlicheren Begründung siehe § 4 A. I. 1. c) aa). zur staatlichen Schutzpflicht für die IT-Sicherheit aus dem Recht auf informationelle Selbstbestimmung Holznagel / Sonntag, Staatliche Verantwortung für den Schutz ziviler Infrastrukturen, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 125, 128; vgl. zum allgemeinen Persönlichkeitsrecht als Rechtsgut Trurnit, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht Baden-Württemberg, § 1 BWPolG, Rdnr. 33. 211 BVerfGE 65, 1, 43 = NJW 1984, S. 419, 422; vgl. BVerfGE 78, 77, 84; Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 122. 212 Hierunter fallen mit Einschränkungen auch solche juristischer Personen, vgl. § 4 A. I. 5. 213 Zum Schutz über das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme siehe sogleich § 4 A. I. 6. 210 Vgl.
§ 2 Klärung der zentralen Begriffe73
bb) Schutz über die Rechtsordnung Die Rechtsgüter des Eigentums und der informationellen Selbstbestimmung gewährleisten einen Schutz der IT-Sicherheit über die öffentliche Sicherheit nur sehr eingeschränkt. Daher kommt der Rechtsordnung die wesentliche Bedeutung beim Schutz der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Informationen zu. Bei Angriffen auf die IT wird nicht bloß die Information als solche zurückgehalten, sondern auch die Funktionsfähigkeit der IT beeinträchtigt, sei es als Voraussetzung oder als Folge der Nicht-Verfügbarkeit.214 Damit können sie eine Sachbeschädigung nach § 303 StGB an der Hardware als physische IT-Einrichtung darstellen.215 Zugleich kann dies auch eine Einwirkung auf den Inhalt der in der IT enthaltenen Informationen beinhalten. Dann ist neben der Verfügbarkeit die Integrität betroffen. Damit wird über § 303 StGB die Verfügbarkeit und Integrität einer Information zwar nicht direkt, aber in Teilbereichen doch mittelbar über die gegenständlichen IT-Einrichtungen von der öffentlichen Sicherheit als Schutzgut der Rechtsordnung erfasst. Wird die Verfügbarkeit oder Vertraulichkeit von Informationen dadurch verletzt, dass die Hardwareeinrichtung entwendet wird, wird ein diesbezüglicher Schutz der IT-Sicherheit durch § 242 Abs. 1 StGB gewährleistet. Diesbezüglich reicht die Rechtsordnung nicht weiter als der Schutz über das Rechtsgut Eigentum. Eine Beeinträchtigung der Funktionsfähigkeit der Software als Akkumulation von Informationen216 kann über § 303 StGB nicht unmittelbar erfasst werden. Dies ist unabhängig davon der Fall, ob hieran Rechte des geistigen Eigentums oder nur obligatorische Nutzungsrechte bestehen, da die Software als nicht-körperlicher Gegenstand keine Sacheigenschaft aufweist.217 Liegt keine Sachbeschädigung vor, so bleiben Informationen, insbesondere die Software, nach der Rechtsordnung dennoch nicht schutzlos. § 303a StGB nimmt zusammen mit weiteren sogleich folgenden Normen eine Komplementärfunktion für Informationen zum Eigentumsschutz durch § 303 StGB ein. Umfasst § 303 StGB Informationen wie aufgezeigt als Schutz objekt nicht unmittelbar, so schließt § 303a StGB die strafrechtliche Lücke für das Interesse des Berechtigten, dass die Verwendung gespeicherter Da-
214 Allgemein zur Brauchbarkeitsminderung statt vieler Weidemann, in: Heintschel-Heinegg, Beck’scher Online Kommentar StGB, § 303 StGB, Rdnr. 11. 215 Vgl. Grützmacher, CR 2016, S. 485, 489. 216 Vgl. Mössner, in: Gsell / Krüger / Lorenz u. a., BeckOGK-Zivilrecht, § 90 BGB, Rdnr. 79. 217 Stree / Hecker, in: Schönke / Schröder, Strafgesetzbuch, § 303 StGB, Rdnr. 3.
74
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
ten218 nicht beeinträchtigt wird.219 Indem nicht allein die Verwendung, sondern auch die Unversehrtheit umfasst ist, wird neben der Verfügbarkeit die Integrität und Authentizität abgedeckt.220 Die Vertraulichkeit von Informationen wird über § 202a Abs. 1 StGB geschützt. Demnach wird unter Strafe gestellt, wenn jemand den Zugang zu Daten erlangt, die nicht für ihn bestimmt sind und er dabei eine Zugangs sicherung überwindet. Schutzzweck dieses Tatbestandes ist es, das formelle Geheimhaltungsinteresse abzusichern. Unberechtigte Dritte sollen keine Kenntnis von den Informationen erhalten.221 Gleiches gilt für den Schutz der Vertraulichkeit bei der Datenübermittlung nach § 202b StGB.222 Ein weiterer Tatbestand, der die Verfügbarkeit von Informationen im Sinne der IT-Sicherheit schützt, findet sich in § 303b StGB. Hierbei sind lediglich § 303b Abs. 1 Nr. 2, 3 StGB von Interesse.223 Der Schutz vor dem Eingeben und Übermitteln von Daten in Nachteilszufügungsabsicht richtet sich gegen Denial-of-Service-Attacken224 sowie Viren-Programme.225 Durch § 303b Abs. 1 Nr. 3 StGB wird der strafrechtliche Schutz der Daten auf eine funk tionsfähige Datenverarbeitung erweitert. Insofern ist der Schutzgehalt mit dem Systemschutz der IT-Sicherheit vergleichbar. Es wird jedoch nur die Hardware, nicht aber die Software erfasst.226 Zwar reicht der Schutz über die §§ 303a f. StGB und §§ 202a f. StGB227 nur soweit wie Informationen in einer für eine Datenverarbeitungsanlage 218 Zum weiten Datenbegriff des § 202a Abs. 2 StGB, der zum Informationsbegriff dieser Arbeit synonym zu verstehen ist, siehe Leckner / Eisele, in: Schönke / Schröder, Strafgesetzbuch, § 202a StGB, Rdnr. 3. 219 Weidemann, in: Heintschel-Heinegg, Beck’scher Online Kommentar StGB, § 303a StGB, Rdnr. 2. 220 Stree / Hecker, in: Schönke / Schröder, Strafgesetzbuch, § 303a StGB, Rdnr. 1; Grützmacher, CR 2016, S. 485, 490. 221 Vgl. BT-Drs. 16 / 3656, S. 9; Leckner / Eisele, in: Schönke / Schröder, Strafgesetzbuch, § 202a StGB, Rdnr. 1; kein Schutz wird jedoch bzgl. des „Betroffenen“ i. S. d. des BDSG gewährt. 222 Eisele, in: Schönke / Schröder, Strafgesetzbuch, § 202b StGB, Rdnr. 1; Weidemann, in: Heintschel-Heinegg, Beck’scher Online Kommentar StGB, § 202b StGB, Rdnr. 2. 223 § 303b Abs. 1 Nr. 1 StGB knüpft nur an § 303a Abs. 1 StGB an und erweitert den Schutz der Verfügbarkeit von Informationen nicht, sondern schärft als Qualifikation nur die Strafe. 224 BT-Drs. 16 / 3656, S. 13. 225 Weidemann, in: Heintschel-Heinegg, Beck’scher Online Kommentar StGB, § 303b StGB, Rdnr. 10. 226 Weidemann, in: Heintschel-Heinegg, Beck’scher Online Kommentar StGB, § 303b StGB, Rdnr. 13.
§ 2 Klärung der zentralen Begriffe75
tauglichen Form vorliegen.228 Dieser Einschränkung unterliegt aber auch der Informationsschutz über die IT-Sicherheit. Zusätzlich ist der Schutz der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit über die strafrechtliche Rechtsordnung an höhere Anforderungen geknüpft. Neben dem objektiven Tatbestand müssen jeweils die subjektiven Tatbestandsvoraussetzungen erfüllt sein. § 202a Abs. 1 StGB setzt beispielsweise zudem voraus, dass eine Zugangssicherung umgangen wird.229 Nichtsdestotrotz wird über die Rechtsordnung für die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informationen ein weitreichender strafrechtlicher Schutz etabliert. Der durch die Rechtsordnung vermittelte Schutz der öffentlichen Sicherheit erstreckt sich damit auch auf die Schutzziele und den Schutzgegenstand der IT-Sicherheit. Ein Verstoß gegen die IT-Sicherheit durch die verpflichteten Betreiber, indem die Pflichten nach §§ 8a f. BSIG oder den jeweils einschlägigen leges speciales nicht erfüllt werden, stellt zugleich einen Verstoß gegen die Rechtsordnung und damit die öffentliche Sicherheit dar. Angriffe auf die IT durch Dritte sind aber keine Verletzung der §§ 8a ff. BSIG, da deren Adressaten die Betreiber und nicht die Angreifer sind. Sie können insofern keinen Schutz vor den Bedrohungen für die IT über die öffentliche Sicherheit vermitteln. b) Schutz der IT-Sicherheit als eigenständiges Rechtsgut? Angesichts des weiter reichenden Schutzes durch die Rechtsordnung als durch das Eigentum bzw. die informationelle Selbstbestimmung, ist zu untersuchen, ob die IT-Sicherheit nicht ein eigenständiges, neues Rechtsgut ist. Will man diese Frage einer Lösung zuführen, gerät das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme230 in den Fokus. Vergleichbar zum Grundrecht auf informationelle 227 Ein Schutz der Authentizität der Information erfolgt dabei nicht über §§ 267 ff. StGB, da die betreffende Information gerade keine verkörperte Gedankenerklärung darstellt. Dies trifft auch nicht auf Informationen zu, die in der Hardware gespeichert sind. Vgl. Weidemann, in: Heintschel-Heinegg, Beck’scher Online Kommentar StGB, § 267 StGB, Rdnr. 6. 228 Vgl. hierzu die Legaldefinition der Daten in § 202a Abs. 2 StGB, wonach Daten nur dann geschützt werden, wenn sie „elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden“; vgl. BT-Drs. 16 / 3656, S. 10; Weidemann, in: Heintschel-Heinegg, Beck’scher Online Kommentar StGB, § 202a StGB, Rdnr. 3; Stree / Hecker, in: Schönke / Schröder, Strafgesetzbuch, § 303a StGB, Rdnr. 2. 229 BT-Drs. 16 / 3656, S. 10. 230 BVerfGE 120, 274, Ls. 1, 314 f.
76
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Selbstbestimmung ist dieses Grundrecht als verfassungsrechtliche Reaktion auf neuartige Gefährdungen zu sehen.231 Der Nutzung informationstechnischer Systeme kommt inzwischen eine derart hohe Bedeutung für die Persönlichkeitsentfaltung zu. Da den Gefährdungen dieser nicht mit anderen Grundrechtsgewährleistungen ausreichend Rechnung getragen werden kann, besteht ein zu füllendes Schutzbedürfnis.232 Mit der Gewährleistung der Vertraulichkeit und Integrität soll das informationstechnische System vor einem heimlichen, lesenden Zugriff geschützt werden. Außerdem soll verhindert werden, dass Leistungen, Funktionen und Speicherinhalte des Systems durch unberechtigte Dritte genutzt werden können.233 Die Vertraulichkeit und Integrität informationstechnischer Systeme könnte deshalb ein Rechtsgut i. S. d. öffentlichen Sicherheit darstellen, das die ITSicherheit abbildet. Damit die IT-Sicherheit als eigenständiges Rechtsgut Teil der öffentlichen Sicherheit sein kann, müsste diese für „neue“ Rechtsgüter offen sein. Dem polizei- und sicherheitsrechtlichen Begriff der öffentlichen Sicherheit lässt sich der Kanon an geschützten Rechtsgütern nicht selbst entnehmen. Der unbestimmte Rechtsbegriff dient vielmehr dazu, eine Generalklausel zu schaffen, die subsidiär zu speziellen Regelungen eine effektive Gewährleistung der Unversehrtheit von Rechtsgütern in jeder Gefahrenlage ermöglicht.234 Dies ist nicht zuletzt einfachrechtlicher Ausfluss der grundrecht lichen Schutzpflichten,235 die zu einem Grundrecht auf Sicherheit kumulieren.236 Damit sind die geschützten Rechtsgüter der öffentlichen Sicherheit für Erweiterungen offen. Zugleich lässt sich aus den verfassungsrechtlichen Schutzgewährleistungen, denen die öffentliche Sicherheit dient, der Kanon der geschützten Rechtsgüter ableiten. Daraus folgt, dass der Gehalt der öffentlichen Sicherheit durch verfassungsrechtliche Schutzobjekte vorgegeben wird.237 Aufgrund der Qualifikation der Gewährleistung der Vertraulichkeit und Integrität infor231 Vgl.
BVerfGE 120, 274, 303 ff. BVerfGE 120, 274, 306–312. 233 BVerfGE 120, 274, 314; zur vertieften Auseinandersetzung mit der Begründung des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme, einer kritischen Würdigung des Bedürfnisses hiernach und zum Schutzgegenstand vgl. § 4 A. I. 6. a)–c). 234 Vgl. Eichenberger, VVDStRL 35 (1977), S. 295, 296. 235 Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 120; vgl. Häberle, VVDStRL 35 (1997), S. 306 f. 236 Isensee, Das Grundrecht auf Sicherheit, S. 33 f. 237 Isensee, Das Grundrecht auf Sicherheit, S. 22 f.; Häberle, VVDStRL 35 (1997), S. 306 f. 232 Vgl.
§ 2 Klärung der zentralen Begriffe77
mationstechnischer Systeme als Gewährleistungsgehalt eines Grundrechtes, das eine besondere Ausprägung von Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG darstellt, ist die Vertraulichkeit und Integrität eines informationstechnischen Systems zugleich ein geschütztes Rechtsgut der öffentlichen Sicherheit.238 Bei einer oberflächlichen Betrachtung könnte man die Vertraulichkeit und Integrität informationstechnischer Systeme ohne weiteres als Grundlage für die IT-Sicherheit verstehen. Allein die begriffliche Nähe lässt darauf schließen. Zwar basiert die IT-Sicherheit im Ergebnis auf diesem Grundrecht, dennoch bedürfen einige Punkte einer Klärung. Diese sollen hier wegen der hierfür notwendigen eingehenden Beschäftigung mit dem objektiven Gehalt des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme nur angedeutet werden. In § 4 A. I. 6. d) werden sie nach einer ausführlichen Beschäftigung mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wieder aufgegriffen. Die Schutzziele der IT-Sicherheit umfassen nicht nur die Vertraulichkeit und Integrität, sondern differenzieren genauer zwischen der Verfügbarkeit, der Unversehrtheit mit den Ausprägungen der Integrität und der Authentizität sowie der Vertraulichkeit. Darüber hinaus ist Schutzgegenstand der IT-Sicherheit kein informationstechnisches System, sondern die Information selbst, als notwendige Voraussetzung für ein Funktionieren der IT. Es kann vorweggenommen werden, dass sich die Gehalte der IT-Sicherheit und der Vertraulichkeit und Integrität informationstechnischer Systeme dennoch im Wesentlichen decken. Die verfassungsrechtlichen Schutzziele der Vertraulichkeit und Integrität sind dabei umfassender zu verstehen als die ausdifferenzierten Schutzziele der IT-Sicherheit. Gleiches gilt für den grundrechtlich gewährleisteten Systemschutz, der den Schutz der Informationen mit enthält. Die Vertraulichkeit und Integrität informationstechnischer Systeme ist ein Rechtsgut der öffentlichen Sicherheit, das die IT-Sicherheit in weiten Teilen abdeckt. c) Zwischenergebnis Die Beeinträchtigung der IT-Sicherheit wird strafrechtlich über eine Gesamtbetrachtung der §§ 303 ff. StGB und der §§ 202a f. StGB von der öffentlichen Sicherheit umfasst. Da das Eigentum an den Hardwareeinrichtungen sowie gewisse eigentumsfähige Informationen über Art. 14 Abs. 1 GG, die Vertraulichkeit und Integrität eines informationstechnischen Systems über das gleichnamige Grundrecht und personenbezogene Informationen über die 238 Thiel, Die „Entgrenzung“ der Gefahrenabwehr, S. 116; siehe zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme § 4 A. I. 6., insbesondere zu dessen objektiv-rechtlichem Gehalt lit. d).
78
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
informationelle Selbstbestimmung objektive Grundrechtsgehalte sind, ist die IT-Sicherheit im Kern als Rechtsgut der öffentlichen Sicherheit geschützt. Hiervon scheint auch der Gesetzgeber selbst auszugehen, indem er Fragen der IT-Sicherheit im Rahmen der §§ 109, 109a TKG im Abschnitt „Öffent liche Sicherheit“ behandelt. 2. Äußere Sicherheit Die äußere Sicherheit bezeichnet die Beeinträchtigung der Rechtsgüter der öffentlichen Sicherheit auf deutschem Staatsgebiet von außerhalb. Objekt der Bedrohung ist der Staat und seine Entwicklungsfähigkeit.239 Von der äußeren Sicherheit werden lediglich Angriffe von Staaten, nicht aber von Privaten erfasst. Rechtsgüter des Einzelnen sind mittelbar über den Schutz des Staates Teil der äußeren Sicherheit,240 da die Rechtsordnung zum Schutzgegenstand „Staat“ gehört. Über diese wird das Schutzgut der IT-Sicherheit einer verfügbaren, integren, authentischen und vertraulichen Information von der äußeren Sicherheit umfasst. Angesichts der faktischen Absenz von Hoheitsgewalt begrenzenden Staatsgrenzen im Internet, aber auch eines „digitalen Gewaltmonopols“ und „digitaler Staatsgewalt“ kann für die IT-Sicherheit nicht zwischen Angriffen von außerhalb des Staatsgebietes Deutschlands durch andere Staaten und Angriffen von Privaten von innerhalb oder außerhalb differenziert werden. Staaten kommt im Internet kein Über- / Unterordnungsverhältnis im Verhältnis zu Privaten zu.241 Im Übrigen ist die Effektivität des Schutzes gegenüber Gewalt durch Drittstaaten eingeschränkt, da Staatsgewalt mit Staatsgewalt konkurriert.242 Ziel der IT-Sicherheit ist es gerade, die Schutzziele unabhängig vom Angreifer zu erreichen. Aufgrund der (staats-) grenzenlosen Welt des Internets ist eine Differenzierung zwischen innerer und äußerer Sicherheit im Rahmen der Sicherung der IT nicht zielführend.243 Wegen der schwierigen Rückverfolgbarkeit von Angriffen244 soll die IT- 239 Vgl.
Knelangen, Das Zusammenwachsen von innerer und äußerer Sicherheit. Die staatliche Garantie für die öffentliche Sicherheit und Ordnung,
240 Möstl,
S. 277 ff. 241 Will, Denkanstöße – die Informationsgesellschaft als sicherheitspolitische He rausforderung, in: Geiger, Sicherheit der Informationsgesellschaft, S. 119, 122. 242 Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 279. 243 Knelangen, Das Zusammenwachsen von innerer und äußerer Sicherheit; Bendiek, Europäische Cybersicherheitspolitik, S. 6, 20; vgl. bzgl. grenzüberschreitenden Risiken für die IT-Sicherheit Wischmeyer, Die Verwaltung 50 (2017), S. 155, 173; Bedeutung gewinnt diese Frage aber bei Gegenangriffen auf die IT, von der Angriffe ausgehen, für die Zuständigkeit. 244 Vgl. zur Rückverfolgbarkeit § 1 B. II. 3.
§ 2 Klärung der zentralen Begriffe79
Sicherheit sowohl vor Angriffen durch fremde staatliche Akteure als auch vor Angriffen Privater schützen. Die äußere Sicherheit reicht bezüglich der erfassten Schutzgüter über die IT-Sicherheit hinaus. Die IT-Sicherheit weist wiederum eine Offenheit hinsichtlich des Verursachers der Rechtsgutsbeeinträchtigung auf.245 Äußere und IT-Sicherheit überschneiden sich nur bei Bedrohungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informationen durch Drittstaaten. 3. Datensicherheit Versteht man Datensicherheit im informationstechnischen Sinne, wird sie zum Teil als Synonym für die IT-Sicherheit verwendet.246 Daher wird im Folgenden nicht auf die Datensicherheit im informationstechnischen, sondern im datenschutzrechtlichen Sinne eingegangen. In diesem Zusammenhang ist als Synonym zur Datensicherheit auch der Begriff der Datensicherung anzutreffen.247 Datensicherheit ist gegeben, wenn die Gesamtheit aller organisatorischen und technischen Regelungen und Maßnahmen, die einen unzulässigen Umgang mit personenbezogenen Daten248 verhindern, die Integrität und Verfügbarkeit der Daten sowie der zu deren Verarbeitung eingesetzten technischen Einrichtungen sicherstellen.249 Gesetzlicher Anknüpfungspunkt ist dabei § 9 BDSG i. V. m. der Anlage zu § 9 BDSG,250 ohne dass die Daten sicherheit dort ausdrücklich genannt wird. Stattdessen wird dort von organisatorisch-technischen Maßnahmen gesprochen. Diese müssen eine ZutrittsBendiek, Europäische Cybersicherheitspolitik, S. 6. entsprechende Begriffsverwendung der Datensicherheit ist bei Federrath / Pfitzmann, Datensicherheit, in: Schulte / Schröder, Handbuch des Technikrechts, S. 857 ff., insbesondere 859 f. zu finden; Kappes, Netzwerk- und Datensicherheit verwendet den Begriff der Datensicherheit nur im Buchtitel, in den Ausführungen wird hingegen der Begriff der IT-Sicherheit verwendet. 247 Vgl. zur Verwendung des Begriffes der Datensicherung anstelle der Daten sicherheit Ernestus, in: Simitis, Bundesdatenschutzgesetz, § 9 BDSG, Rdnr. 2; Gola / Schomerus, BDSG, § 9, Rdnr. 10. 248 Hier wird der datenschutzrechtliche Datenbegriff verwendet, der ein Synonym zur Information ist. Dies gilt auch im Folgenden im Zusammenhang des Datenschutzes oder des Grundrechts auf informationelle Selbstbestimmung. 249 Ernestus, in: Simitis, Bundesdatenschutzgesetz, § 9 BDSG, Rdnr. 2; Gola / Schomerus, BDSG, § 9 BDSG, Rdnr. 1; anders Karg, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, § 9 BDSG, Rdnr. 8, der die Datensicherheit als IT-Sicherheit i. S. v. § 2 Abs. 2 BSIG synonym versteht; vgl. die Datensicherheit informell auch als „IT-Sicherheit“ bezeichnend Kramer / Meints, in: Hoeren / Sieber / Holznagel, Handbuch Multimedia-Recht, Teil 16.5 Datensicherheit, Rdnr. 3. 250 Vgl. bereits Art. 5 Abs. 1 lit. f, Art. 32 VO (EU) 2016 / 679. 245 Vgl.
246 Eine
80
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
kontrolle zu den Datenverarbeitungsanlagen, eine Zugangskontrolle zur Nutzung der Datenverarbeitungssysteme, eine Zugriffskontrolle bezüglich der Berechtigung, eine Weitergabekontrolle, eine Eingabekontrolle, eine Auftragskontrolle sowie eine Verfügbarkeitskontrolle genauso wie eine der Zweckbindung entsprechende getrennte Verarbeitung der Daten sicherstellen.251 Die Maßnahmenkategorien dienen dazu, die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten sicherzustellen.252 Teilweise, insbesondere in neueren Datenschutzgesetzen der Länder, werden die Revisionsfähigkeit und die Transparenz als weitere Schutzziele aufgeführt.253 Die Revisionsfähigkeit umfasst die Möglichkeit nachzuvollziehen, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat, § 5 Abs. 2 Nr. 5 BInDSG.254 Die Transparenz ist gewährleistet, wenn ein Verarbeitungsprozess derart dokumentiert ist, dass er in zumutbarer Zeit nachvollzogen werden kann, § 5 Abs. 2 Nr. 6 BInDSG. Die Ziele der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit stimmen mit denen der IT-Sicherheit überein.255 Soweit weitere Schutzziele verfolgt werden, geht die Datensicherheit über die IT-Sicherheit hinaus. Die Ziele der Transparenz und Revisionsfähigkeit sind Ausfluss des Schutzes personenbezogener Daten. Insofern tragen sie bei, einen speziell auf den Gegenstand der personenbezogenen Daten zugeschnittenen Schutz zu gewährleisten. Da die Schutzziele der Datensicherheit mit denen der IT-Sicherheit im Wesentlichen übereinstimmen oder, vom Schutzgut beeinflusst, darüber hi 251 Anlage
zu § 9 Satz 1 BDSG. BDSG, § 9 BDSG, Rdnr. 2, hierbei wird jedoch die Vertraulichkeit nicht aufgeführt; Federrath / Pfitzmann, Datensicherheit, in: Schulte / Schröder, Handbuch des Technikrechts, S. 857, 859 f. führt dagegen die Authentizität nicht auf; Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 105; Kramer / Meints, in: Hoeren / Sieber / Holznagel, Handbuch Multimedia-Recht, Teil 16.5 Datensicherheit, Rdnr. 4; Karg, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, § 9 BDSG, Rdnr. 44 ff.; anders wohl Ernestus, in: Simitis, Bundesdatenschutzgesetz, § 9 BDSG, Rdnr. 1, 48, wobei unklar bleibt, ob er eine mangelnde begriffliche Anknüpfung auch in inhaltlicher Hinsicht ablehnt. 253 § 5 Abs. 2 BInDSG; § 21 Abs. 2 DSG M-V; § 10 Abs. 2 DSG NW; § 6 Abs. 2 DSG-LSA; § 9 Abs. 2 SächsDSG; § 9 Abs. 2 ThürDSG; nur die Revisionsfähigkeit § 8 Abs. 2 HmbDSG; vgl. zu diesen und weiteren Schutzzielen Karg, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, § 9 BDSG, Rdnr. 48 ff. 254 Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung in der Fassung vom 17. Dezember 1990 (GVBl. 1991 S. 16, 54), zuletzt geändert durch Artikel 8 des Gesetzes vom 30. Mai 2016 (GVBl. S. 282). 255 Vgl. Federrath / Pfitzmann, Datensicherheit, in: Schulte / Schröder, Handbuch des Technikrechts, S. 857, 859 f.; vgl. Ernestus, in: Simitis, Bundesdatenschutzgesetz, § 9 BDSG, Rdnr. 53; vgl. Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 105. 252 Gola / Schomerus,
§ 2 Klärung der zentralen Begriffe
81
nausgehen, kann eine Abgrenzung der beiden Begriffe nur über den Schutzgegenstand erfolgen.256 Gegenstand der Datensicherheit ist das personenbezogene Datum. Schutzgut des Datenschutzes selbst, dem auch die Datensicherheit mittelbar dient, ist die informationelle Selbstbestimmung. Da sich datenschutzrechtliche Datensicherheit auf personenbezogene Daten bezieht, kann hierüber der Bezug zur IT-Sicherheit hergestellt werden. Schutzgegenstand der IT-Sicherheit sind Informationen. Daten sind die Voraussetzung für Informationen oder nach anderem Verständnis direkt mit ihnen gleichzusetzen und werden als solche auch von der IT-Sicherheit umfasst.257 Die Datensicherheit unterscheidet sich daher von der IT-Sicherheit nur durch die besondere Art von Daten, die einen Personenbezug aufweisen. Die IT-Sicherheit erfasst hingegen sämtliche Daten unabhängig von einem Personenbezug, soweit sie einer informationstechnischen Nutzung zugänglich sind. Eine Abgrenzung zur datenschutzrechtlichen Datensicherheit wird damit über die die Personenbezogenheit eines Datums vorgenommen.258 Die IT-Sicherheit und die Datensicherheit259 überschneiden sich aber auch in weiten Teilen aufgrund des gemeinsamen Schutzgegenstandes Datum bzw. Information und weitgehend gleichlaufender Schutzziele.260 Die IT-Sicherheit weist jedoch nur eine schwache Verbindung zum Persönlichkeitsrecht auf, sondern ist vornehmlich auf die Funktionsfähigkeit der IT gerichtet. Dennoch finden sowohl die Datensicherheit als auch Aspekte der IT-Sicherheit im Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme und dem Recht auf informationelle Selbstbestimmung gemeinsame verfassungsrechtliche Grundlagen.261 Die IT-Sicherheit ist nur in geringerem Umfang als die Datensicherheit durch persönlichkeitsrechtliche Aspekte geprägt. Anders als die Datensicher256 Vgl. bzgl. des konstitutiven Bezuges des Datenschutzrechts auf das Recht auf informationelle Selbstbestimmung Wischmeyer, Die Verwaltung 50 (2017), S. 155, 178. 257 Vgl. zum hier zugrunde gelegten Verständnis des Informationsbegriffs § 2 A. I. 2.; a. A. Eckert, IT-Sicherheit, S. 6 sieht die bloßen Daten als nicht von der IT- Sicherheit umfasst an und grenzt so die beiden Begriffe ab. 258 Beschränkt man die Datensicherheit nicht auf den Personenbezug (vgl. Eckert, IT-Sicherheit, S. 6), so deckt die Datensicherheit einen erheblichen Bereich des Gegenstandes der IT-Sicherheit mit ab. 259 Unabhängig von einer Beschränkung auf personenbezogene Daten. 260 Vgl. Wehrmann / Bluhm / Rink, IT-Sicherheit, in: Taeger, Smart World – Smart Law?, S. 247, 248. 261 Vgl. bzgl. der Datensicherheit Karg, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, § 9 BDSG, Rdnr. 18; vgl. bzgl. des Schutzes durch die öffentliche Sicherheit § 2 A. II. 1. a) aa), b), sowie ausführlich unten bei § 4 A. I. 5., 6.
82
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
heit zielt die IT-Sicherheit auf ein Funktionieren der IT und nicht auf einen technischen Schutz des Selbstbestimmungsrechts ab. Soweit personenbezogene Daten vorliegen, überschneiden sich beide Begriffe in den Schutzzielen. Der Schutz erfolgt aber jeweils vor einem anderen Hintergrund. 4. Versorgungssicherheit Die Versorgungssicherheit gewinnt ihre Bedeutung für die Frage der ITSicherheit Kritischer Infrastrukturen nicht so sehr als Sicherheitsbegriff. Stattdessen zeigt sich hier das Zusammenstoßen des Sicherheits- mit dem Infrastrukturrecht und Aspekten des Schutzes der Lebensgrundlagen der Bevölkerung.262 Versorgungssicherheit ist gegeben, wenn gewisse (Grund-)Dienstleistungen263 mengenmäßig ausreichend, nachhaltig und zuverlässig zur Verfügung stehen.264 Die Versorgungssicherheit ist kein allgemein feststehender Rechtsbegriff. Seine Bedeutung ist kontextual abhängig. Sie ist für Teile des Energiesektors sowie des Sektors Informationstechnik und Telekommunikation normiert. In § 1 EnWG wird die Sicherheit der Versorgung mit Elektrizität und Gas als eines von fünf gesetzlichen Hauptzielen aufgeführt. Hierbei versteht man unter Versorgungssicherheit, wenn Strom und Gas ständig in ausreichendem Maß zur Verfügung stehen und weder Erzeugungs-, Transport- noch Verteilungsanlagen für Menschen oder Sachen gefährlich sind.265 Die Versorgungssicherheit ist im TKG nicht explizit aufgeführt. Jedoch findet sich deren Gedanke im Ziel der Gewährleistung flächendeckender angemessener und ausreichender Dienstleistungen, § 1 TKG. Dies ist als qualitative und quantitative Grundversorgung für jedermann mit einem Mindestmaß an Telekommunikationsdiensten zu verstehen.266 In den übrigen Sektoren Kritischer In frastrukturen existiert keine ausdrückliche Normierung der Versorgungs sicherheit. Doch welche Berührungspunkte der Versorgungssicherheit und der IT-Sicherheit gibt es? Da es keinen allgemeinen Begriff der Versorgungssicherheit gibt, sondern dieser immer kontextabhängig und nicht für alle Sektoren Kri262 Vgl. exemplarisch die Energieinfrastruktur Theobald, in: Danner / Theobald, Energierecht, § 1 EnWG, Rdnr. 15 ff. 263 Dienstleistungen sind hier in einem weiten Sinne zu verstehen, sodass auch Waren dem Begriff unterfallen. 264 Aus Sicht des § 1 EnWG Theobald, in: Danner / Theobald, Energierecht, § 1 EnWG, Rdnr. 15. 265 Theobald, in: Danner / Theobald, Energierecht, § 1 EnWG, Rdnr. 16. 266 Cornils, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 1 TKG, Rdnr. 16.
§ 2 Klärung der zentralen Begriffe
83
tischer Infrastrukturen normiert ist, kann kein Vergleich anhand der Schutzziele und des Gegenstandes erfolgen. Stattdessen muss auf den Gedanken, der der Versorgungssicherheit zugrunde liegt, rekurriert werden. Gewisse Dienstleistungen sind von derart hoher Bedeutung für die Gesellschaft, dass ihr Erbringer die Versorgung mit der Dienstleistung sicherzustellen hat, indem er einem Ausfall vorbeugen oder jedenfalls verhindern muss, dass ein solcher eine gewisse zeitliche oder mengenmäßige Grenze überschreitet.267 Dies ist auch der Berührungspunkt von Versorgungssicherheit und IT- Sicherheit Kritischer Infrastrukturen. Die Infrastrukturdienstleistungen der Kritischen Infrastrukturen haben eine hohe Bedeutung für das Funktionieren des Gemeinwesens.268 Infolgedessen werden die Betreiber von Infrastrukturen, die auch im Einzelfall von hoher Bedeutung sind, verpflichtet, Maßnahmen zur Sicherung ihrer IT zu ergreifen, sodass die Dienstleistung auch bei einem Angriff auf die IT weiterhin erbracht werden kann. Betrachtet man die IT-Sicherheit nicht in ihrer dienenden Funktion für die Erbringung anderer Dienstleistungen, sondern vergleicht man die dem Begriff der IT-Sicherheit zugrunde liegenden Strukturen mit der Versorgungs sicherheit, so ergeben sich nicht zu erwartende Gemeinsamkeiten. Die ITSicherheit ist gegeben, wenn Informationen für die IT verfügbar sind und die Integrität, Authentizität und Vertraulichkeit dieser Informationen gewahrt bleibt. Mit der Verfügbarkeit wird sichergestellt, dass überhaupt Informationen für die zu betreibende IT vorhanden sind. Mit der Integrität und Authentizität soll vor falschen Informationen geschützt werden. Betrachtet man die Schutzziele dient die IT-Sicherheit dazu, die IT mit mangelfreien und damit ungefährlichen Informationen zu versorgen. Insofern lässt sich die IT-Sicherheit auch als Versorgungssicherheit mit Informationen für die IT qualifizieren. Der maßgebliche Überschneidungsbereich der IT-Sicherheit mit der Versorgungssicherheit liegt jedoch nicht in der parallelen Struktur der beiden Sicherheitsbegriffe. Stattdessen kann die ITSicherheit abhängig vom jeweiligen Einsatzbereich der IT der Versorgungssicherheit dienen. Die IT-Sicherheit ist eine Voraussetzung der Versorgungssicherheit. Ist die IT-Sicherheit gewahrt, so ist die Versorgungssicherheit nicht durch Risiken, die aus dem Einsatz von IT resultieren, bedroht.
267 Vgl. Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 17; vgl. Hermes, Staatliche Infrastrukturverantwortung, S. 477. 268 Vgl. § 2 Abs. 10 BSIG sowie unten bei § 2 B. II.
84
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
5. Cybersicherheit Aus dieser Reihe anderer Sicherheitsbegriffe mit Zusammenhängen zur IT-Sicherheit sticht derjenige der Cybersicherheit hervor. Er ist kein Begriff des Rechts, findet aber als Modebegriff im gesellschaftlichen und wissenschaftlichen Diskurs über die IT-Sicherheit häufig Verwendung. Dabei bleibt jedoch dessen konkreter Bedeutungsgehalt offen.269 Stattdessen wird er häufig, ohne Klärung seines Bedeutungsgehalts, als Synonym zur IT-Sicherheit verwendet.270 Bezugspunkt der Cybersicherheit ist der Cyberraum. Dieser beschreibt „alle durch das Internet über territoriale Grenzen hinweg weltweit erreichbaren Informationsstrukturen“.271 Den Cyberraum bilden damit die global vernetzten IT-Einrichtungen. Der Begriff Cybersicherheit beschreibt daher die Sicherheit des Internets und im Internet.272 Die Cybersicherheit wird somit durch die enge Verbindung zu einer vernetzten IT geprägt. Stellt man sie der IT-Sicherheit gegenüber, können beide keineswegs synonym verstanden werden, es bestehen jedoch Überschneidungsbereiche. Die IT-Sicherheit erfasst Bedrohungen für die Verfügbarkeit, Authentizität, Inte grität und Vertraulichkeit von Informationen unabhängig davon, ob sie ihren Weg über das Internet nehmen. Vom Begriff der Cybersicherheit werden hingegen nur solche im und aus dem Internet verstanden. Aber auch die Cybersicherheit reicht weiter. Mit ihr können nicht nur Bedrohungen für die Schutzziele der IT-Sicherheit erfasst werden, sondern sie bezieht sich auch auf sonstige Rechtsgüter, insbesondere das Vermögen.273 269 Leisterer, Zivile Cybersicherheit in Europa: Entwicklung des Bereichs der Netz- und Informationssicherheit im Unionsrecht, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 101, 102 f.; eine Ausnahme bildet daher die Analyse von Bastl / Mares / Trvdá, Politik der Cybersicherheit auf nationaler, europäischer und internationaler Ebene: Eine Rahmenanalyse, in: Lange / Bötticher, CyberSicherheit, S. 45 ff., die sich mit dem Bedeutungsgehalt des Begriffs Cybersicherheit auseinandersetzt. 270 Beispiele bilden Klett / Ammann, CR 2014, S. 93; Beucher / Utzerath, MMR 2013, S. 362; Seidl, jurisPR-ITR 7 / 2014 Anm. 2. 271 Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2011, S. 2; vgl. Europäische Kommission, Cybersicherheitsstrategie der Europäischen Union, S. 2. 272 Vgl. Leisterer, Zivile Cybersicherheit in Europa: Entwicklung des Bereichs der Netz- und Informationssicherheit im Unionsrecht, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 101, 102 f.; vgl. Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2011, S. 2 f. 273 Vgl. zur Cyberkriminalität Europäische Kommission, Cybersicherheitsstrategie der Europäischen Union, S. 3; vgl. Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2011, S. 10 f.; vgl. Leisterer, Zivile Cybersicherheit in Europa: Entwicklung des Bereichs der Netz- und Informationssicherheit im Unionsrecht, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 101, 108.
§ 2 Klärung der zentralen Begriffe
85
Anders als der Begriff der IT-Sicherheit ist der Bedeutungsgehalt der Cybersicherheit nicht endgültig geklärt. Er bleibt daher unscharf. Mit der ITSicherheit überschneidet er sich jedenfalls insoweit, als Bedrohungen für die Schutzziele der IT-Sicherheit Vernetzungen des Internets nutzen. III. IT-Sicherheit als neue Teilmenge bekannter Sicherheitsbegriffe Die IT-Sicherheit i. S. v. § 2 Abs. 2 BSIG weist große Überschneidungen mit den Begriffen der öffentlichen Sicherheit, mit der äußeren Sicherheit, mit der Datensicherheit, mit der Versorgungssicherheit und mit der Cybersicherheit auf. Dennoch kann sie keinem dieser vollständig zugeordnet werden. Die öffentliche Sicherheit umfasst zwar die IT-Sicherheit in weiten Teilen als Teil der Rechtsordnung und als geschütztes Rechtsgut. Sie kann aber in ihrer Bedeutung nicht mit dem allesumfassenden „Generalsicherheitsbegriff“ öffentliche Sicherheit verglichen werden. Die IT-Sicherheit dient vielmehr der Feinsteuerung der Sicherung gegen Bedrohungen der IT in der digital vernetzten Welt. Sie bildet den rechtlichen Anknüpfungspunkt für das System der Eigensicherungspflichten, das in § 7 im Einzelnen untersucht wird. Im Verhältnis zur äußeren Sicherheit gilt ähnliches wie bei der öffentlichen Sicherheit. Die IT-Sicherheit strebt einen Schutz an, der speziell auf weltweit vernetzte IT zugeschnitten ist. Dies schließt ein, dass nicht nur innerstaatliche Angriffe, sondern auch solche von außen und unabhängig davon, ob sie von einem staatlichen oder nicht-staatlichen Akteur ausgehen, erfasst werden. Auch die Datensicherheit weist große Überschneidungsbereiche mit der IT-Sicherheit auf. Die Schutzziele der IT-Sicherheit werden ebenso von der Datensicherheit verfolgt, diese ist jedoch auf personenbezogene Daten begrenzt. Versorgungssicherheit und IT-Sicherheit scheinen auf den ersten Blick wenig Gemeinsamkeiten zu haben. Dennoch muss die IT-Sicherheit mit Blick auf das Regelungsumfeld betrachtet werden. Es wird die IT-Sicherheit Kritischer Infrastrukturen reguliert, damit die Versorgung mit wichtigen Dienstleistungen auch bei einem Angriff auf deren IT sichergestellt werden kann. Im Übrigen ist die IT-Sicherheit ihrer Struktur nach auch als Versorgungssicherheit zu qualifizieren. Es soll nämlich die IT mit verwendbaren und richtigen Informationen versorgt werden. Der Begriff der Cybersicherheit wird indessen durch die Vernetzung über das Internet geprägt und überschneidet sich mit der IT-Sicherheit insoweit, als Bedrohungen für deren Schutzziele aus der informationstechnischen Vernetzung über das Internet resultieren.
86
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Die Überschneidungen und Abgrenzungen der IT-Sicherheit zu diesen verwandten und doch anders gelagerten Sicherheitsbegriffen machen deutlich, dass die IT-Sicherheit keinem dieser vollständig zugeordnet werden kann. Die IT-Sicherheit zeichnet sich stattdessen durch den Schutz der IT aus. Dabei ist sie im größeren Zusammenhang des IT-Sicherheitsgesetzes mit der Regulierung Kritischer Infrastrukturen zu sehen. Aufgrund dessen müssen nicht nur sicherheitsrechtliche, sondern auch infrastrukturelle Belange berücksichtigt werden. Diese auf IT ausgelegte Schutzrichtung macht deutlich, dass die IT-Sicherheit ein grundlegender Rechtsbegriff für das Sicherheitsrecht in der digitalen Welt ist. IT-Sicherheit ist nicht auf spezielle Rechtsgebiete beschränkt und hat über den Schutz Kritischer Infrastrukturen hinaus einen Anwendungsbereich, der bisher einfachrechtlich nur partiell erschlossen ist. Anders als die Datensicherheit ist die IT-Sicherheit nicht auf eine sachliche Materie begrenzt anwendbar, sondern kann in sämtlichen Bereichen für den Schutz der IT als rechtlicher Anknüpfungspunkt gewählt werden. Daher ist die IT-Sicherheit ein Sicherheitsbegriff, der als Teilmenge bereits bekannter Sicherheitsbegriffe274 eine effektive Gewährleistung der Sicherheit in der Informationsgesellschaft275 ermöglicht. Er ist als passgenauer Begriff für Bedrohungen in der digitalen Welt rechtlicher Ausgangspunkt für neuartige Formen der Sicherheitsgewährleistung. IV. IT-Sicherheit im unionsrechtlichen Verständnis Im Unionsrecht wird statt der IT-Sicherheit der Begriff der Sicherheit von Netz- und Informationssystemen verwendet. Hierunter ist nach Art. 4 Nr. 2 RL (EU) 2016 / 1148 „die Fähigkeit von Netz- und Informationssystemen [zu verstehen], auf einem bestimmten Vertrauensniveau alle Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder entsprechender Dienste, die über diese Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen“. Die Sicherheit von Netz- und Informationssystemen verfolgt ebenfalls die Schutzziele der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit.276 Diese sind auf Daten oder ent274 Vgl. Leisterer, Zivile Cybersicherheit in Europa: Entwicklung des Bereichs der Netz- und Informationssicherheit im Unionsrecht, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 101, 103. 275 Wischmeyer, Die Verwaltung 50 (2017), S. 155, 160. 276 Leisterer, Zivile Cybersicherheit in Europa: Entwicklung des Bereichs der Netz- und Informationssicherheit im Unionsrecht, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 101, 105.
§ 2 Klärung der zentralen Begriffe
87
sprechende Dienste von Netz- und Informationssystemen beschränkt. Aus dem Zusatz der „entsprechenden Dienste“ wird deutlich, dass nicht nur Daten als Factum und damit als Informationsgrundlage, sondern ein weites Datenverständnis i. S. d. hier verwendeten Informationsbegriffs277 zugrunde zu legen ist. Ob zwischen der Sicherheit von Netz- und Informationssystemen und dem nationalen IT-Sicherheitsbegriff ein Gleichlauf besteht, hängt damit davon ab, was unter den Netz- und Informationssystemen zu verstehen ist. Dieser Begriff wird ebenfalls legaldefiniert. Nach Art. 4 Nr. 1 RL (EU) 2016 / 1148 sind dies lit. a ein elektronisches Kommunikationsnetz im Sinne des Art. 2 lit. a RL 2002 / 21 / EG, lit. b eine Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oder lit c digitale Daten, die von den in den Buchstaben a und b genannten Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden. Lit. b und c erfassen die Hard- und Software, während lit. a das Telekommunikationsnetz i. S. d. § 3 Nr. 27 TKG278 selbst als Netz- und Informationssystem einordnet. Entgegen der Bezeichnung als „-system“ ist keine zwingende Vernetzung nötig, wie sie ein IT-System erfordern würde. Dies wird darin deutlich, dass nach Art. 4 Nr. 1 lit. b RL (EU) 2016 / 1148 sowohl „eine Vorrichtung“ als auch eine „Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen“ erfasst wird. Infolgedessen entspricht die Definition des Netz- und Informationssystems nach lit. b, c dem IT-Begriff. Er geht jedoch über diesen insofern hinaus, als er auch Telekommunikationsnetze als solche erfasst.279 Da diese jedoch im Kern aus Vorrichtungen zur Verarbeitung digitaler Daten i. S. d. lit. b bestehen, umfasst der Begriff der Netz- und Informationssysteme im Ergebnis nicht mehr als der IT-Begriff. Damit ist die Netz- und Informationssicherheit das unionsrechtliche Pendant zum nationalrechtlichen Begriff der IT-Sicherheit.
277 Siehe
zum Informationsbegriff § 2 A. I. 2. nationalen Umsetzung des „elektronischen Kommunikationsnetzes“ als Telekommunikationsnetz Schütz, in: Büchner / Ehmer / Kerkhoff u. a., Beck’scher TKG-Kommentar, § 3 TKG, Rdnr. 86. 279 Hieran ist zu kritisieren, dass mit dem unionsrechtlichen Begriff der elektronischen Kommunikationsnetze eine Infrastruktur als solche als IT eingeordnet wird. Dies führt jedoch nicht zwingend zur Qualifikation der Telekommunikationsnetze als wesentlicher Dienst. Hierfür müssten sie selbst die Kriterien der Art. 4 Nr. 4, Art. 5 Abs. 2, Art. 6 und des Anhanges II der RL (EU) 2016 / 1148 erfüllen. Erst dann würden sie den unionsrechtlichen Vorgaben der Art. 14 f. RL (EU) 2016 / 1148 unterfallen. 278 Zur
88
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
B. Kritische Infrastrukturen Entgegen seines Kurztitels reguliert das IT-Sicherheitsgesetz die IT-Sicherheit nicht umfassend, sondern nur in Bezug auf Kritische Infrastrukturen.280 Daher muss, nachdem soeben auf den Begriff der IT-Sicherheit eingegangen worden ist, der Adressatenkreis der „Kritischen Infrastrukturen“ geklärt werden. Durch den begrenzten Adressatenkreis gewinnt die Regulierung der ITSicherheit weitere zu berücksichtigende Aspekte, die bereits bei den Überschneidungen mit der Versorgungssicherheit deutlich wurden. Denn es werden die Bereiche des Sicherheitsrechts und des Rechts der Infrastrukturen verknüpft. I. Infrastrukturbegriffe Der Begriff Infrastruktur ist in einer modernen Gesellschaft allgegenwärtig. Es wird von Verkehrsinfrastruktur, Strom- und Gasleitungsinfrastruktur, Gesundheitsinfrastruktur, Schulinfrastruktur, Krankenhausinfrastruktur, der Informationsinfrastruktur, der Telematikinfrastruktur etc. gesprochen. Unabhängig von konkreten Dienstleistungen wird zwischen personeller, sozialer und technischer Infrastruktur sowie der normativen, organisatorischen, kulturellen und geistigen Infrastruktur unterschieden.281 Durch diese Verwendung in den verschiedensten Kontexten und Disziplinen ergeben sich ökonomische, politische und gesellschaftliche Bezüge.282 Aufgrund seines universellen Einsatzes im deutschen Sprachraum fehlt es ihm jedoch an begrifflicher Schärfe.283 Infolgedessen wird er von Dirk van Laak als eines jener „Plastikwörter“ bezeichnet, mit denen „soziale Sicherheit, staatliche Verantwortung und wirtschaftliche Prosperität konnotieren“.284
280 Roßnagel, BT / InnenA-Drs. 18(4)284 B; einzelne Pflichten richten sich auch an Telemediendiensteanbieter, die nicht als Betreiber einer Kritischen Infrastruktur einzustufen sind, sowie an Hersteller von IT-Produkten. Mit dem Gesetz zur Umsetzung der RL (EU) 2016 / 1148 werden darüber hinaus Betreiber digitaler Dienste adressiert. 281 Dörr, VVDStRL 73 (2014), S. 323, 327 f.; Frey, Infrastruktur, in: Albers / Born / Dürr u. a., Handwörterbuch der Wirtschaftswissenschaft (HdWW), S. 200, 202. 282 Simonis, Zeitschrift für Ganzheitsforschung 1993, S. 119. 283 Vgl. Frey, Infrastruktur, in: Albers / Born / Dürr u. a., Handwörterbuch der Wirtschaftswissenschaft (HdWW), S. 200, 202; Schatz, Zur Entwicklung des Begriffs Infrastruktur, in: Berger, Wettbewerb und Infrastruktur in Post- und Telekommunika tionsmärkten, S. 122, 136; van Laak, Archiv für Begriffsgeschichte 41 (1999), S. 280, 287. 284 van Laak, Geschichte und Gesellschaft 27 (2001), S. 367.
§ 2 Klärung der zentralen Begriffe
89
In juristischem Zusammenhang erscheint der Begriff Infrastruktur in den 1990er Jahren.285 Auf europäischer Ebene werden in Art. 154 (ex-Art. 129b) EGV, jetzt Art. 170 AEUV, die Verkehrs-, Telekommunikations- und Energieinfrastruktur als Bereiche bezeichnet, in denen die EU den Auf- und Ausbau transeuropäischer Netze fördern solle. Im deutschen Verfassungsrecht findet sich der Begriff der Infrastruktur trotz der thematisch einschlägigen Artt. 87e, f GG nicht. 1. Was ist Infrastruktur? Der Begriff der Infrastruktur taucht zwar in verschiedenen Normen auf, ist jedoch weder im deutschen Sprachraum noch in rechtlichem Kontext entstanden, sondern von der deutschen Rechtssprache rezipiert worden. Insofern hat die Erforschung der Begriffsbedeutung bei den sprachlichen Ursprüngen anzusetzen. a) Definitionsversuche Etymologisch stammt der Terminus „Infrastruktur“ aus dem militärischen Vokabular der NATO. Hiermit wurden ortsfeste Anlagen und Einrichtungen wie Kasernen, Ausbildungsplätze, Nachrichtenübermittlungs- und militärische Verkehrseinrichtungen bezeichnet.286 Bereits vorher war der Begriff „infrastructure“ im Französischen üblich. Er bezeichnete den bodenverhafteten Unterbau von Eisenbahneinrichtungen und damit ebenso ortsfeste Anlagen, die aber lediglich der Mobilität dienten. Dadurch wurden die organisatorisch technischen Voraussetzungen der Infrastruktur in den Vordergrund gestellt.287 Die Mobilitätsfunktion eignet sich allerdings nicht für eine Beschreibung der Merkmale in sämtlichen Bereichen. So passt sie zwar auf die Verkehrsinfrastruktur, die dieser Sichtweise zugrunde lag, und mit einem weiten Mobilitätsbegriff, der allein auf die Überwindung von Entfernungen abstellt,288 auf die Kommunikations- sowie Energieinfrastruktur. Nicht er-
285 Eine Ausnahme
dar.
stellt Bull, Die Staatsaufgaben nach dem Grundgesetz, S. 226 ff.
286 Frey, Infrastruktur, in: Albers / Born / Dürr u. a., Handwörterbuch der Wirtschaftswissenschaft (HdWW), S. 200, 201; van Laak, Archiv für Begriffsgeschichte 41 (1999), S. 280, 281 f.; Pielow, Grundstrukturen öffentlicher Versorgung, S. 21. 287 van Laak, Geschichte und Gesellschaft 27 (2001), S. 367, 370; Schatz, Zur Entwicklung des Begriffs Infrastruktur, in: Berger, Wettbewerb und Infrastruktur in Post- und Telekommunikationsmärkten, S. 122, 125 f.; van Laak, Archiv für Begriffsgeschichte 41 (1999), S. 280 f. 288 Vgl. Hermes, Staatliche Infrastrukturverantwortung, S. 168.
90
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
fasst würden jedoch die Gesundheits- und Bildungsinfrastruktur sowie personelle oder kulturelle Infrastrukturen. Ein anderer Ansatz wird im angelsächsischen Raum verfolgt, in dem der Terminus „infrastructure“ zunächst weniger verbreitet war. Stattdessen war dort der Begriff des „social overhead capital“ üblich. In Abgrenzung zum französischen „infrastructure“ werden mit dem „social overhead capital“ „Voraussetzungen [bezeichnet, die] gegeben sein müssen, damit der primäre Sektor (…), der sekundäre Sektor (…) und der tertiäre Sektor (…) möglichst rasch expandieren können“.289 Dennoch wird auch später vor allem im Zusammenhang mit Kritischen Infrastrukturen der englische Begriff „infrastructure“ üblich. Er bezeichnet „more than just a collection of individual companies engaged in related activities; we mean a network of independent, mostly privately-owned, manmade systems and processes that function collaboratively and synergistically to produce and distribute a continuous flow of essential goods and services“.290 Dieses Verständnis ist allerdings weniger eine Definition als eine Beschreibung vorgefundener verwobener Strukturen, die speziell auf den Blickwinkel der Kritischen Infrastrukturen fokussiert ist. Schließlich lässt sich noch auf den der deutschen, englischen und französischen Sprache zugrunde liegenden lateinischen Begriff der „infrastructura“ zurückgreifen. Dieser umschreibt den Unterbau oder das Fundament einer Organisation oder Wirtschaft.291 In den 1960er Jahren verbreitete sich der Begriff „Infrastruktur“ in Anlehnung an das Französische auch im deutschen Sprachgebrauch.292 In seiner für den Infrastrukturbegriff grundlegenden Arbeit wird er von Jochimsen als Gesamtheit aller materiellen, institutionellen und personalen Anlagen, Einrichtungen und Gegebenheiten bezeichnet, die der arbeitsteiligen Wirtschaft zur Verfügung stehen und dazu beitragen, indem sie die Unterschiede in der Entlohnung der Produktionsfaktoren verringern (Integrationsgrad) und das Wirtschaftswachstum erhöhen.293 Damit werden ähnlich der Bedeutung des 289 Schatz, Zur Entwicklung des Begriffs Infrastruktur, in: Berger, Wettbewerb und Infrastruktur in Post- und Telekommunikationsmärkten, S. 122, 126; vgl. van Laak, Archiv für Begriffsgeschichte 41 (1999), S. 280, 283 f. 290 President’s Commission on Critical Infrastructure Protection, Critical Foundations, S. 3. 291 Koenig (Hrsg.), Recht der Infrastrukturförderung, XII ff.; Kühling, DVBl. 2013, S. 1093, 1094. 292 Schatz, Zur Entwicklung des Begriffs Infrastruktur, in: Berger, Wettbewerb und Infrastruktur in Post- und Telekommunikationsmärkten, S. 122, 125; vgl. Stohler, Konjunkturpolitik 11 (1965), S. 279, 281 ff. 293 Jochimsen, Theorie der Infrastruktur, S. 145; Engels, Zivile Sicherheit in Kritischen Infrastrukturen – Öffentliche Netze, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 273, 275.
§ 2 Klärung der zentralen Begriffe91
lateinischen „infrastructura“ und des „social overhead capital“ die integrations- und wachstumsnotwendigen Voraussetzungen für eine Wirtschaft als Infrastruktur benannt.294 Es lässt sich festhalten, dass sich angesichts der vielfältigen Ansätze keine einheitliche Definition etabliert hat.295 Man könnte einen kleinsten gemeinsamen Nenner der unterschiedlichen Definitionsversuche in einer Abstraktheit finden, die dem lateinischen Ursprungswort „infrastructura“, dem Fundament einer Organisation, entspricht.296 Dies kann jedoch die Konkretisierungsbegriffe nicht hinreichend befriedigen. Damit ist der Begriff Infrastruktur ohne genauere Beschreibung in allgemeingültiger Form als undefinierbar zu bezeichnen.297 b) Merkmale einer Infrastruktur Da Infrastrukturen historisch gewachsen sind, muss statt eines zwanghaften Definitionsversuches versucht werden, empirische Merkmale herauszuarbeiten, die Infrastrukturen als solche qualifizieren. Zunächst könnte man annehmen, dass Infrastrukturen in staatlicher Trägerschaft zu stehen haben. Dies ist in weiten Bereichen aus historischer Sicht eine Tatsache298 und im Verkehrs-, Bildungs- und Gesundheitswesen, sowie bei sozialen und kulturellen Einrichtungen aktuell noch weit verbreitet. Bei der in der Daseinsvorsorge wurzelnden staatlichen Leistungsverwaltung ist dies nicht weiter erstaunlich.299 Dennoch kann aufgrund der Privatisierungen seit den 1990er Jahren die staatliche Trägerschaft kein geeignetes Klassifizierungsmerkmal mehr darstellen. Klassische Infrastrukturbereiche wie die Energieversorgung300 oder das Telekommunikationswesen werden durch privatrechtliche Unternehmen geprägt. Dahingegen ist die Ernährungsversor-
294 Simonis, Zeitschrift für Ganzheitsforschung 1993, S. 119, 120; van Laak, Archiv für Begriffsgeschichte 41 (1999), S. 280, 285. 295 Simonis, Zeitschrift für Ganzheitsforschung 1993, S. 119, 120. 296 Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 27. 297 Vgl. Stohler, Konjunkturpolitik 11 (1965), S. 279, 281; vgl. van Laak, Archiv für Begriffsgeschichte 41 (1999), S. 280, 289; kritisch bzgl. der Tauglichkeit als Rechtsbegriff Dörr, VVDStRL 73 (2014), S. 323, 328. 298 Vgl. Hermes, Staatliche Infrastrukturverantwortung, S. 164. 299 Vgl. van Laak, Archiv für Begriffsgeschichte 41 (1999), S. 280, 296. 300 Beispiele sind für den Bereich der Energie die Stromnetzbetreiber Tennet, 50Hertz, Amprion sowie TransnetBW, für den Bereich der Telekommunikation der Telekommunikationsnetzbetreiber Telekom Deutschland, sowie die Mobilfunknetzbetreiber Telekom Deutschland, Vodafone, E-Plus und O2.
92
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
gung seit Jahrzehnten durch eine Abstinenz staatlicher Trägerschaft bzw. eines Planungs- oder Verteilungsregimes geprägt.301 Dennoch lässt sich festhalten, dass viele Infrastrukturen überwiegend in staatlicher Trägerschaft stehen oder einem staatlichen Regulierungsregime unterstehen.302 Umgekehrt kann aber bei einem Einsatz von Modellen der Kontingentierung, Konzessionierung oder Vergabe von Nutzungsrechten nicht auf eine Infrastruktur geschlossen werden.303 Aus wirtschaftswissenschaftlicher Perspektive werden dagegen technische, ökonomische und institutionelle Merkmale als notwendig vorgeschlagen.304 Unter technischen Merkmalen sind demnach die weitgehende Unteilbarkeit, die lange Lebensdauer und die Interdependenz zwischen einzelnen Bestandteilen einer Infrastruktur, aus der sich Systemeffekte ergeben, zu verstehen. Ökonomische Merkmale sind die Kostendegression, die Sprungkosten, der hohe Fixkostenanteil und Kapitalkoeffizient, externe Effekte, die Nutzendiffusion aufgrund des Kollektivgutcharakters und ein hohes Investitionsrisiko. Als institutionell ist die defizitäre Betriebsführung, zentrale Planung, das Fehlen von wettbewerbsbasierenden Preisen sowie die in der Regel dem volkswirtschaftlichen Wachstum hinterherhinkende Kapazität einzuordnen.305 Nichtsdestotrotz muss eine Einrichtung, um Infrastruktur zu sein, nicht sämtliche technischen, ökonomischen und institutionellen Charakteristika erfüllen. Auch sind die aufgeführten Merkmale nicht ausschließlich auf Infrastrukturen beschränkt. Eine Infrastruktur kann erst durch die Kombination dieser Kriterien und eine Gesamtbetrachtung des Einzelfalles als solche erkannt werden.306 Aufgrund einer empirischen Betrachtung können die Merkmale des Kollektivgutcharakters und die Notwendigkeit hoher Investitionen als typisch herausgearbeitet werden.307 Sie sind aber keine zwingenden Voraussetzungen. Abschließende oder zwingende Merkmale existieren nicht.
301 Ebeling, Zivile Sicherheit in Kritischen Infrastrukturen – Private Infrastrukturen, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 303, 304. 302 Hermes, Staatliche Infrastrukturverantwortung, 166 f. 303 Hermes, Staatliche Infrastrukturverantwortung, S. 165. 304 Stohler, Konjunkturpolitik 11 (1965), S. 279, 281; Frey, Infrastruktur, in: Albers / Born / Dürr u. a., Handwörterbuch der Wirtschaftswissenschaft (HdWW), S. 200, 201. 305 Stohler, Konjunkturpolitik 11 (1965), S. 279, 281; Frey, Infrastruktur, in: Albers / Born / Dürr u. a., Handwörterbuch der Wirtschaftswissenschaft (HdWW), S. 200, 201; vgl. Simonis, Zeitschrift für Ganzheitsforschung 1993, S. 119, 120. 306 Schatz, Zur Entwicklung des Begriffs Infrastruktur, in: Berger, Wettbewerb und Infrastruktur in Post- und Telekommunikationsmärkten, S. 122, 132; Stohler, Konjunkturpolitik 11 (1965), S. 279, 286 f.
§ 2 Klärung der zentralen Begriffe93
c) Rechtsbegriff Infrastruktur? Da eine begriffliche Präzision weder durch eine allgemeingültige Definition noch mittels einheitlicher notwendiger Merkmale geschaffen werden kann, wird die Tauglichkeit von „Infrastruktur“ als Rechtsbegriff bezweifelt.308 Dennoch mag dies nichts an der Tatsache ändern, dass er in recht lichem Kontext – in Gesetzen, Rechtsprechung und Literatur – Verwendung findet. Zwar trifft es zu, dass die Eignung zum Rechtsbegriff wegen seiner Unbestimmtheit nicht uneingeschränkt gegeben ist. Trotzdem ist es Aufgabe von Legislative, Judikative und der rechtswissenschaftlichen Literatur, zu einer Konkretisierung beizutragen, um der tatsächlichen rechtsterminologischen Verwendung Rechnung zu tragen. Dabei muss an den wirtschaftswissenschaftlichen Gebrauch angeknüpft werden.309 Unter diesen Prämissen sollen nun die Verwendung in Gesetzgebung, Rechtsprechung und Literatur beleuchtet werden. aa) In der Gesetzgebung Wie bereits erwähnt, hat der Terminus der Infrastruktur auf europäischer Ebene Eingang in das Primärrecht, auf nationaler Ebene jedoch nicht in das Grundgesetz gefunden.310 Im nationalen einfachen Recht ist er indessen nicht unüblich. Bereits 1969, also kurz nach seiner Rezeption in den deutschen Sprachraum, wurde der Terminus in § 1 Abs. 1 Nr. 2 des Gesetzes über die Gemeinschaftsaufgabe „Verbesserung der regionalen Wirtschaftsstruktur“ (GRWG) in der Gesetzgebungspraxis verwendet.311 Konjunktur gewann er erst im Zusammenhang mit der Wiedervereinigung und der Privatisierungsphase der 1990er. So ist nach Art. 28 Abs. 2 S. 2, 2. Spiegelstrich des Einigungsvertrages312 sowie § 3 Nr. 1 des Investitionsförderungsgesetzes Aufbau
307 Stohler, Konjunkturpolitik 11 (1965), S. 279, 282 ff.; Frey, Infrastruktur, in: Albers / Born / Dürr u. a., Handwörterbuch der Wirtschaftswissenschaft (HdWW), S. 200, 202; kritisch insbesondere bzgl. des Investitionscharakters Schatz, Zur Entwicklung des Begriffs Infrastruktur, in: Berger, Wettbewerb und Infrastruktur in Postund Telekommunikationsmärkten, S. 122, 132. 308 Hünnekens, Rechtsfragen der wirtschaftlichen Infrastruktur, S. 11; Dörr, VVDStRL 73 (2014), S. 323, 328. 309 Vgl. Dörr, VVDStRL 73 (2014), S. 323, 329. 310 Glöckner, Kommunale Infrastrukturverantwortung und Konzessionsmodelle, S. 8. 311 GRW-Gesetz vom 6. Oktober 1969 (BGBl. I S. 1861), das zuletzt durch Artikel 269 der Verordnung vom 31. August 2015 (BGBl. I S. 1474) geändert worden ist. 312 Einigungsvertrag vom 31. August 1990 (BGBl. II S. 889).
94
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Ost313 die „wirtschaftliche Infrastruktur“ ein Schwerpunkt der Maßnahmen zur Verbesserung der wirtschaftlichen Rahmenbedingungen in den Gemeinden des Beitrittsgebietes. Aus dem Bereich der Privatisierung werden mit § 4 Poststrukturgesetz314 die Nachfolgeunternehmen der Bundespost verpflichtet, Infrastrukturdienste und die notwendige Infrastruktur für Post-, Postbank-, und Fernmeldedienste zu sichern und der Entwicklung anzupassen. Interessant für die Bestimmung der Kritischen Infrastrukturen ist, dass der Gesetzgeber ausdrücklich zwischen den mit der Infrastruktur erbrachten Dienstleistungen und der zugrundliegenden Infrastruktur differenziert. Vielfach taucht der Begriff Infrastruktur in den modernen Gesetzen des AEG,315 EnWG, LuftVG316 und TKG auf. Dies geschieht teils ohne einer eingrenzenden Beschreibung, teils mit einer solchen als Eisenbahninfrastruktur § 5 Abs. 1a Nr. 1 lit. c, Nr. 2 lit. b AEG317, als Schieneninfrastruktur § 11 Abs. 2 AEG, als Netzinfrastruktur § 12 A Abs. 1 S. 4 EnWG, § 3 Nr. 9b TKG, als Neue Infrastruktur § 28a EnWG, als Telekommunikationsinfrastruktur § 1 TKG und als physische Infrastruktur § 3 Nr. 32 lit. b, Nr. 33b TKG. Angesichts des enormen Raumbedarfes der Netzinfrastrukturen, und der meist von gesellschaftlichen Kontroversen begleiteten Planung, ist es nicht verwunderlich, dass der Infrastrukturbegriff auch in § 2 Abs. 2 Nr. 1 S. 1 ROG318 als „ausgeglichene (…) infrastrukturelle Verhältnisse“, in § 2 Abs. 2 Nr. 3 S. 1 und 2 ROG als Infrastrukturen der Daseinsvorsorge und als soziale Infrastruktur, als wirtschaftsnahe Infrastruktur in § 2 Nr. 4 S. 1 ROG, als Verkehrsinfrastruktur und als Ver- und Entsorgungsinfrastruktur in § 8 Abs. 5 Nr. 3 lit. a und b ROG zu finden ist. Weitere Verwendung findet der Infrastrukturbegriff im Baugesetzbuch319 und im Gesetz gegen Wettbewerbsbeschränkungen.320 313 Investitionsförderungsgesetz Aufbau Ost vom 23. Juni 1993 (BGBl. I S. 944, 982), das zuletzt durch Artikel 2 des Gesetzes vom 20. Dezember 2001 (BGBl. I S. 3955) geändert worden ist. 314 Gesetz zur Neustrukturierung des Post- und Fernmeldewesens und der Deutschen Bundespost vom 8. Juni 1989 (BGBl I. S. 1026). 315 Allgemeines Eisenbahngesetz vom 27. Dezember 1993 (BGBl. I S. 2378, 2396; 1994 I S. 2439), das zuletzt durch Artikel 2 Absatz 1 des Gesetzes vom 20. Juli 2017 (BGBl. I S. 2808) geändert worden ist. 316 Luftverkehrsgesetz in der Fassung der Bekanntmachung vom 10. Mai 2007 (BGBl. I S. 698), das zuletzt durch Artikel 2 Absatz 11 des Gesetzes vom 20. Juli 2017 (BGBl. I S. 2808) geändert worden ist. 317 Die Vorschriften werden jeweils nur exemplarisch genannt. Die Begriffe wiederholen sich teilweise häufig. 318 Raumordnungsgesetz vom 22. Dezember 2008 (BGBl. I S. 2986), das zuletzt durch Artikel 2 Absatz 15 des Gesetzes vom 20. Juli 2017 (BGBl. I S. 2808) geändert worden ist.
§ 2 Klärung der zentralen Begriffe95
Sämtlichen gesetzlichen Infrastrukturbegriffen ist gemein, dass ihr Bedeutungsgehalt jeweils nur aus dem Zusammenhang ermittelt werden kann. bb) In der Rechtsprechung Bis auf wenige Entscheidungen der Verwaltungsgerichte zu den einschlägigen Normen findet der Infrastrukturbegriff in der Rechtsprechung nur in geringem Maße Verwendung. Einer der wenigen höchstgerichtlichen Verwendungsfälle des Begriffes Infrastruktur findet sich in einer Entscheidung des Bundesverfassungsgerichts aus den 1970er Jahren zum schleswig-holsteinischen Gemeinderecht. Dort werden „Einrichtungen der Energie- und Wasserversorgung, des Nahverkehrs, der Abfallbeseitigung, der Kranken häuser, Altenheime und Kindergärten“ als „örtliche ‚Infrastruktur‘ “ bezeichnet.321 Ein Definitionsversuch wird jedoch nicht unternommen. cc) In der Literatur Anknüpfend an die ökonomischen Definitionsversuche und herausgearbeiteten Merkmale gibt es in der juristischen Literatur verschiedene Ansätze, sich dem Infrastrukturbegriff zu nähern. So bezeichnet Stern Infrastrukturen als „Einrichtungen und Vorkehrungen (…), die in (…) der Gesellschaft als Grundausstattung notwendig sind, um eine angemessene wirtschaftliche und personale Entfaltungsmöglichkeit des Individuums zu gewährleisten“.322 Teilweise wird auch die Entfaltungsmöglichkeit durch die Allgemeinheit sowie das Bereitstellen im Allgemeininteresse zusätzlich betont.323 Mit Bezug auf die Netzwirtschaften wird unter „Infrastruktur“ lediglich die physische Basis verstanden.324 Ein investiver, bezüglich der Trägerschaft auf den Staat fixierter Ansatz bezeichnet als Infrastruktur auch sämtliche staatlichen Aufwendungen für die Grundlagen einer arbeitsteiligen Wirtschaft.325 Dieser 319 Baugesetzbuch in der Fassung der Bekanntmachung vom 23. September 2004 (BGBl. I S. 2414), das zuletzt durch Artikel 2 Absatz 3 des Gesetzes vom 20. Juli 2017 (BGBl. I S. 2808) geändert worden ist. 320 Gesetz gegen Wettbewerbsbeschränkungen in der Fassung der Bekanntmachung vom 26. Juni 2013 (BGBl. I S. 1750, 3245), das zuletzt durch Artikel 6 des Gesetzes vom 27. August 2017 (BGBl. I S. 3295) geändert worden ist. 321 BVerfGE 38, 258, 270 f. 322 Stern, Staatsrecht der Bundesrepublik Deutschland Band I, S. 892 f.; vgl. Stern, Rationale Infrastrukturpolitik und Regierungs- und Verwaltungsorganisation, in: Arndt / Swatek, Grundfragen der Infrastrukturplanung für wachsende Wirtschaften, S. 69, 70. 323 Hünnekens, Rechtsfragen der wirtschaftlichen Infrastruktur, S. 16. 324 Kühling, Sektorspezifische Regulierung in den Netzwirtschaften, S. 45. 325 Frank, Lokaler Infrastrukturmangel und kommunale Finanzausstattung, S. 50.
96
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
entspricht jedoch aufgrund der Privatisierung wichtiger Infrastrukturen nicht mehr den tatsächlichen Gegebenheiten. Auch in der rechtswissenschaftlichen Literatur erfolgt anstelle einer genauen Begriffsbestimmung eine Beschreibung der Bereiche, in denen eine Infrastruktur vorhanden ist,326 oder ein Definitionsversuch in großer Abstraktheit, um der Entwicklungsoffenheit des Begriffs Rechnung zu tragen.327 2. Infrastrukturkategorien Da eine genaue Begriffsbestimmung nicht möglich ist, soll versucht werden, die Infrastrukturen zumindest zu kategorisieren. Hierbei könnte man bei der Trägerschaft – ob staatlich oder privat – ansetzen. Diese ist jedoch aufgrund historischer Zufälligkeiten hierzu nicht geeignet. Stattdessen ist zutreffender, zwischen materiellen und immateriellen Infrastrukturen328 bzw. an Stern anknüpfend, die immateriellen Infrastrukturen weiter unterteilend, zwischen materiellen, institutionellen und personellen Infrastrukturen zu unterscheiden.329 Der materielle Bereich umfasst das Sachkapital, also Bauten und Einrichtungen, wohingegen unter der personellen Kategorie vor allem das Humankapital, also die Bildung und Gesundheit der Bevölkerung, verstanden wird. Als institutionelle Infrastruktur werden die Rechtsordnung und, was umstritten ist, die Einrichtungen des Staates gezählt.330 Die Rechtsprechung des BVerfG kann dahingehend verstanden werden, dass unter der „örtlichen Infrastruktur“331 lediglich die materiellen Einrich326 So auch bei Bull, Die Staatsaufgaben nach dem Grundgesetz, S. 268; Glöckner, Kommunale Infrastrukturverantwortung und Konzessionsmodelle, S. 12; so auch die Rechtsprechung BVerfGE 38, 258, 270 f. 327 Vgl. Kühling, Sektorspezifische Regulierung in den Netzwirtschaften, S. 45; Hünnekens, Rechtsfragen der wirtschaftlichen Infrastruktur, S. 16. 328 Frey, Infrastruktur, in: Albers / Born / Dürr u. a., Handwörterbuch der Wirtschaftswissenschaft (HdWW), S. 200, 202. 329 Stern, Rationale Infrastrukturpolitik und Regierungs- und Verwaltungsorganisation, in: Arndt / Swatek, Grundfragen der Infrastrukturplanung für wachsende Wirtschaften, S. 69, 70; Glöckner, Kommunale Infrastrukturverantwortung und Konzes sionsmodelle, S. 12; vgl. Hermes, Staatliche Infrastrukturverantwortung, S. 171; dabei knüpft die rechtswissenschaftliche Literatur wiederum am wirtschaftswissenschaft lichen Ansatz von Jochimsen, Theorie der Infrastruktur, S. 100, 103 ff., 117 ff., 133 ff. an. 330 Frey, Infrastruktur, in: Albers / Born / Dürr u. a., Handwörterbuch der Wirtschaftswissenschaft (HdWW), S. 200, 202; vgl. Hermes, Staatliche Infrastrukturverantwortung, S. 171; Jochimsen, Theorie der Infrastruktur, S. 103, 117 ff. 331 BVerfGE 38, 258, 270 f.
§ 2 Klärung der zentralen Begriffe97
tungen zusammengefasst werden können.332 Dieses Verständnis muss auch mit Hinblick auf den Infrastrukturbegriff, dem das IT-Sicherheitsgesetz folgt, zugrunde gelegt werden. Wie in § 2 Abs. 10 S. 1 BSIG deutlich wird, sind unter Infrastrukturen „im Sinne dieses Gesetzes (…) Einrichtungen, Anlagen oder Teile davon“ zu verstehen. Damit werden keine institutionellen und personellen Infrastrukturkategorien, sondern lediglich die materielle Infrastrukturkategorie erfasst.333 II. Kritikalität einer Infrastruktur nach nationalem Verständnis Findet sich der Begriff der Infrastruktur nur vereinzelt im rechtswissenschaftlichen Sprachgebrauch, so trifft dies in besonderem Maße auf den der Kritischen Infrastruktur zu.334 Das Begriffspaar Kritische Infrastruktur ist nicht nur im Hinblick auf die Infrastruktur, sondern auch bezüglich der Kritikalität ein unbestimmter Rechtsbegriff.335 Daher bedarf die Kritikalität selbst der Konkretisierung. 1. Die Bedeutung der Beschreibung als „kritisch“ Ähnlich wie der Infrastrukturbegriff hat die Einordnung als „kritisch“ keinen rechtlichen Ursprung. Sie stammt aus dem Bereich des Bevölkerungsund Katastrophenschutzes. Dabei wurde der Begriff der „Kritischen Infrastruktur“ an das US-amerikanische Vorbild der „critical infrastructures“336 angelehnt. Doch was bedeutet nun „kritisch“ oder „critical“? Übersetzt man „critical“ ins Deutsche als „bedenklich“, „lebensgefährlich“ oder „krisenhaft“, so werden damit vornehmlich negative Konnotationen verbunden.337 Nach amerikanischem Verständnis kann der Begriff „critical“ aber auch mit „vital“ umschrieben werden.338 Nimmt man dagegen „vital“ mit seinen Be332 Glöckner, Kommunale Infrastrukturverantwortung und Konzessionsmodelle, S. 12; vgl. Wißmann, VVDStRL 73 (2014), S. 370, 372. 333 Alternative Infrastrukturkategorien sind die Einteilung in eine Punkt- oder Netzinfrastruktur. Diese sind hier jedoch nicht von Bedeutung. 334 Vgl. Schreibauer / Spittka, ITRB 2015, S. 240, 241; Freund, ITRB 2014, S. 256, 258. 335 Vgl. Freund, ITRB 2014, S. 256, 258. 336 Siehe hierzu President’s Commission on Critical Infrastructure Protection, Critical Foundations, S. 1 ff. 337 Vgl. Fekete, Schlüsselbegriffe im Bevölkerungsschutz zur Untersuchung der Bedeutsamkeit von Infrastrukturen – von Gefährdung und Kritikalität zu Resilienz und persönlichen Infrastrukturen, in: Unger / Mitschke / Freudenberg, Krisenmanagement – Notfallplanung – Bevölkerungsschutz, S. 327, 328. 338 Vgl. President’s Commission on Critical Infrastructure Protection, Critical Foundations, S. 3.
98
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
deutungen „lebensnotwendig“, „wichtig“ und „wesentlich“ zum Ausgangspunkt, so darf wohl nicht von einer derart negativen Konnotation des Begriffes „critical“ ausgegangen werden.339 Vor diesem Hintergrund sind Infrastrukturen als „kritisch“ zu qualifizieren, wenn sie für die Funktionsfähigkeit moderner Gesellschaften von wichtiger Bedeutung sind und ihr Ausfall oder ihre Beeinträchtigung nachhaltige Störungen im Gesamtsystem zur Folge hätte.340 Schmidt bezeichnet sie deshalb auch als „unverzichtbare Lebensadern moderner leistungsfähiger Gesell schaften“.341 Damit ist die Kritikalität als relatives Maß der gesellschaftlichen Bedeutung einer Infrastruktur bezogen auf die Folgen einer Störung oder eines Funktionsausfalls für die Versorgung mit wichtigen Gütern und Dienstleistungen zu verstehen. Aufgrund der Begriffsherkunft aus dem Zivil- und Katastrophenschutz sind unter Störungen keine emotionalen oder psychologischen, sondern allein materielle zu verstehen. Damit ist für diese Arbeit Kritikalität als Maßstab mit systemischem und nicht lediglich symbolischem Charakter zu verstehen.342 2. Kritische Infrastrukturen nach dem BSIG Vor diesem Hintergrund werden von § 2 Abs. 10 S. 1 BSIG die Kritischen Infrastrukturen bestimmt. Sie müssen zunächst einem der Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen (Nr. 1) angehören und kumulativ von hoher Bedeutung für das Funktionieren des Gemeinwesens sein, weil durch ihren Ausfall oder ihre Beeinträchtigung er339 Daher werden „Kritische Infrastrukturen“ in anderen europäischen Ländern teilweise als „vitale Infrastrukturen“ bezeichnet, vgl. Fekete, Schlüsselbegriffe im Bevölkerungsschutz zur Untersuchung der Bedeutsamkeit von Infrastrukturen – von Gefährdung und Kritikalität zu Resilienz und persönlichen Infrastrukturen, in: Unger / Mitschke / Freudenberg, Krisenmanagement – Notfallplanung – Bevölkerungsschutz, S. 327, 328. 340 Bundesministerium des Innern, Nationale Strategie zum Schutz Kritischer In frastrukturen (KRITIS-Strategie), S. 5; vgl. Cerny, Schutz kritischer Infrastrukturen – Überlegungen zu einer Konzeption, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 48, 49; Fekete, Ziele im Umgang mit „kritischen“ Infrastrukturen im staatlichen Bevölkerungsschutz, in: Stober / Olschok / Gundel u. a., Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit, S. 1103, 1104 f. 341 Schmidt, Kritische Infrastrukturen, in: Bundesakademie für Sicherheitspolitik, Sicherheitspolitik in neuen Dimensionen, S. 403. 342 Bundesministerium des Innern, Nationale Strategie zum Schutz Kritischer In frastrukturen (KRITIS-Strategie), S. 5.
§ 2 Klärung der zentralen Begriffe99
hebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden (Nr. 2). Damit nimmt der Gesetzgeber eine Bestimmung der Kritischen Infrastrukturen über zwei Ebenen vor.343 Die erste Ebene bildet die Sektorenaufzählung, wodurch der weite Infrastrukturbegriff für das BSIG auf die benannten Sektoren eingeschränkt wird. Auf der folgenden Ebene wird auf die hohe Bedeutung für das Funktionieren des Gemeinwesens abgestellt.344 Diese „Konkretisierung“ hilft angesichts der unbestimmten Rechtsbegriffe der „hohen Bedeutung“ und „Gemeinwesen“, die selbst einer Konkretisierung bedürfen, wenig weiter. Die „hohe Bedeutung“ wird in der gesetzlichen Definition im zweiten Halbsatz eingegrenzt. Sie liegt dann vor, wenn durch den Ausfall oder die Beeinträchtigung der Infrastruktur erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Leider bringt auch dieser Versuch der Konkretisierung keinen Mehrwert, denn es wird ein unbestimmter Rechtsbegriff, durch weitere unbestimmte Rechtsbegriffe ersetzt. Zwar kann bezüglich der Gefährdungen für die öffentliche Sicherheit auf die Dogmatik der Polizei- und Sicherheitsbehördengesetze verwiesen werden. Nichtsdestotrotz wurde das Problem der Bestimmung auf die Erheblichkeitsschwelle verlagert. Im Übrigen ist unklar, ob nur die Versorgungsengpässe erheblich sein müssen oder ob dies auch für die Gefährdungen der öffentlichen Sicherheit gilt. Da dem Schutzzweck nach nicht jeder Ausfall, der zu einer Gefährdung der öffentlichen Sicherheit führt, sondern nur bei systemischer Relevanz345 die Einordnung als Kritische Infrastruktur rechtfertigt, muss sich das Erheblichkeitskriterium auch auf die öffentliche Sicherheit beziehen. Zwar wird durch den Bezug der Ausfallfolgen auf „Einrichtungen, Anlagen oder Teile davon“ deutlich, dass die Ausfallfolgen anlagenbezogen zu beurteilen sind. Unklar bleiben jedoch die Kriterien, mittels derer die Erheblichkeit zu ermitteln ist. Daher soll zunächst auf die sektorenspezifische Eingrenzung der Kritischen Infrastrukturen nach § 2 Abs. 1 Nr. 1 BSIG eingegangen werden, bevor die Maßstäbe herausgearbeitet werden, nach denen sich die hohe Bedeutung für das Gemeinwesen in Form der Kritikalität einer konkreten Anlage beurteilt. Auf die Bestimmung der Betreiber Kritischer Infrastrukturen durch die BSI-KritisV wird erst in § 6 eingegangen.
Hornung, BT / InnenA-Drs. 18(4)284 G, S. 5 f. Schulz / Tischer, ZG 2013, S. 339, 352 mit einer Einteilung in drei Stufen. 345 Schmidt, Kritische Infrastrukturen, in: Bundesakademie für Sicherheitspolitik, Sicherheitspolitik in neuen Dimensionen, S. 403, 407. 343 Vgl. 344 Vgl.
100
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
a) Sektorenspezifische Eingrenzung nach § 2 Abs. 10 S. 1 Nr. 1 BSIG Über § 2 Abs. 10 S. 1 Nr. 1 BSIG werden die Kritischen Infrastrukturen auf bestimmte Sektoren eingegrenzt. Der Gesetzgeber hat sich hierbei an der bereits im UP KRITIS vorhandenen Sektoreneinteilung orientiert,346 bei der jeweils verwandte Branchen zu einem Sektor zusammengefasst werden.347 Durch diese Festlegung sind die Einrichtungen der aufgezählten Sektoren nach der gesetzgeberischen Wertung als potentiell kritisch einzustufen. Dagegen sagt die sektorspezifische Eingrenzung nichts über die tatsächliche Kritikalität einer einzelnen Anlage aus. Ob die konkrete Einrichtung tatsächlich als kritisch einzustufen ist, beurteilt sich auf der zweiten Ebene, § 2 Abs. 10 S. 1 Nr. 2 BSIG, mittels der Kriterien Qualität und Quantität, die wiederum in der BSI-KritisV konkretisiert werden. Die zweistufige Eingrenzung entzerrt die Bestimmung der Kritischen Infrastrukturen. Nach § 2 Abs. 10 S. 1 Nr. 1 BSIG sind Kritische Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen vorhanden. Damit werden Wirtschaftsbranchen aufgezählt, die derart umfassend sind, dass sie selbst der Unterteilung bedürfen. Die als kritisch anzusehenden Infrastrukturdienstleistungen wurden zwar in der Gesetzesbegründung exemplarisch mit aufgenommen, legen diese jedoch nicht abschließend fest.348 b) Maßstäbe für die hohe Bedeutung einer Infrastruktur Auf der zweiten Ebene ist die konkrete Infrastruktureinrichtung im Hinblick auf ihre Kritikalität i. e. S. zu betrachten. Diese liegt vor, wenn sie eine hohe Bedeutung für das Funktionieren des Gemeinwesens hat. Die Bedeutsamkeit wird dadurch indiziert, dass der Ausfall oder die Beeinträchtigung einer Infrastruktur erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit zur Folge hat, § 2 Abs. 10 S. 1 Nr. 2 Hs. 2 BSIG. Damit sind nicht das Funktionieren, sondern die Ausfallfolgen Anknüpfungspunkt der Einordnung als kritisch.349 Dies ist folgerichtig, denn die hohe 346 BT-Drs. 18 / 4096,
S. 23. UP KRITIS, UP-KRITIS: Öffentlich-rechtliche Partnerschaft zum Schutz Kritischer Infrastrukturen, S. 40. 348 BT-Drs. 18 / 4096, S. 31. 349 Vgl. Fekete, Schlüsselbegriffe im Bevölkerungsschutz zur Untersuchung der Bedeutsamkeit von Infrastrukturen – von Gefährdung und Kritikalität zu Resilienz und persönlichen Infrastrukturen, in: Unger / Mitschke / Freudenberg, Krisenmanagement – Notfallplanung – Bevölkerungsschutz, S. 327, 330. 347 Vgl.
§ 2 Klärung der zentralen Begriffe101
Bedeutung einer Infrastruktur aus Sicht des Zivil- und Katastrophenschutzes basiert darauf, dass andere auf deren Verfügbarkeit angewiesen sind. Ziel der Pflichten zur Sicherung der IT Kritischer Infrastrukturen ist daher, Ausfälle oder Beeinträchtigungen der Erbringung von Infrastrukturdienstleistungen aufgrund von Störungen der IT zu vermeiden bzw. zu begrenzen.350 aa) Bezugspunkt der Kritikalität Cerny schlägt daher vor, die Kritikalität aus Sicht der Infrastrukturnutzer zu beurteilen, da die Infrastrukturdienstleistungen für diese „lebenswichtig“ sind.351 Zunächst scheint dies einleuchtend, da nur dann eine hohe Bedeutung bezüglich der Ausfallfolgen vorliegt. Zugleich muss beachtet werden, dass dies aber zu einer Einzelfallbetrachtung führen kann. Für einen Nutzer kann eine Infrastruktur bedeutsam sein, für einen anderen dagegen nicht.352 Eine derartige Einzelfallbetrachtung aus Nutzersicht entspricht zudem nicht dem gesetzgeberischen Willen.353 Bezugspunkt der Bedeutung ist das Gemeinwesen, § 2 Abs. 10 S. 1 BSIG, das als Kollektiv sämtlicher Nutzer betrachtet werden kann. Konsequenterweise ist aus dessen Sicht die Kritikalität zu beurteilen.354 Auffällig ist, dass in Abgrenzung zur vorher üblichen Definition aus der Nationalen Strategie zum Schutz Kritischer Infrastrukturen nicht mehr auf das staatliche Gemeinwesen abgestellt wird, sondern die Verengung auf den Staat entfallen ist. Damit sind unter dem Gemeinwesen nicht mehr der Staat allein, sondern auch die Zivilgesellschaft und die Wirtschaft zu verstehen.355 Der Entgrenzung vom staatlichen Gemeinwesen bedarf es deshalb, da nur bei einem Bezug auf sämtliche Nutzer die Bedeutung der Ausfallfolgen zutreffend beurteilt werden kann. 350 BT-Drs. 18 / 4096,
S. 1, 19. Schutz kritischer Infrastrukturen – Überlegungen zu einer Konzeption, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 48, 51. 352 Vgl. Cerny, Schutz kritischer Infrastrukturen – Überlegungen zu einer Konzeption, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 48, 52. 353 Vgl. § 2 Abs. 10 S. 1 Nr. 2 Hs. 1 BSIG in dem bei der hohen Bedeutung nicht auf ein Individuum, sondern auf das Gemeinwesen als Kollektiv abgestellt wird. BTDrs. 18 / 4096, S. 1. 354 Vgl. Kloepfer, Einleitung, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 9, 12; Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 1. 355 BT-Drs. 18 / 4096, S. 23; für das europarechtliche Verständnis Blanke, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 300 AEUV, Rdnr. 35. 351 Cerny,
102
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Nachdem die Bedeutung anhand der Ausfallfolgen für Staat, Zivilgesellschaft und Wirtschaft zu bemessen ist, muss die Abgrenzung des Gemeinwesens geklärt werden. Dies beeinflusst als Maßstab die Erheblichkeitsschwelle für die Qualifikation als Kritische Infrastruktur. Je kleiner die Bezugsgröße, desto kleiner sind die Infrastrukturen, die eine hohe Bedeutung haben, wodurch die Zahl der Einrichtungen steigt, die als kritisch einzustufen sind. Zunächst erfolgt die Ermittlung des Umfanges des Gemeinwesens in räum licher Hinsicht.356 Demnach könnten Landkreise, (Regierungs-)Bezirke, aber auch Bundesländer das relevante Gemeinwesen darstellen. Zum anderen könnte als Bezugspunkt das Gemeinwesen im gesamten Bundesgebiet gewählt worden sein. Gegen ein kleinräumiges Gemeinwesen spricht, dass im Gesetzgebungsverfahren maximal von 2.000 Betreibern Kritischer Infrastrukturen ausgegangen wurde.357 Diese Zahl würde bei einer kleinräumigen Betrachtung leicht überschritten.358 Da sich für ein kleinräumiges Gemeinwesen keine Anhaltspunkte in den Gesetzgebungsmaterialien finden und ein solches erhebliche Rechtsunsicherheit aufgrund von Abgrenzungsfragen mit sich brächte, ist der Gesetzgebungskompetenz des Bundes folgend das Gemeinwesen im gesamten Bundesgebiet zugrunde zu legen. bb) Die Kriterien zur Bestimmung der Kritikalität i. e. S. Um die hohe Bedeutung als Kritikalität i. e. S. zu bestimmen, sind verschiedenste Maßstäbe und Kombinationen dieser denkbar. Ähnlich der RL 2008 / 114 / EG könnten menschliche Opfer, wirtschaftliche Verluste, Auswirkungen auf die Umwelt, aber auch auf die Öffentlichkeit359 Kriterien für die Bestimmung der Kritikalität einer Infrastruktur sein. Nichtsdestotrotz können diese unmittelbar nicht herangezogen werden. Wie sich aus den Gesetzgebungsmaterialien ergibt, sind allein die Kriterien Qualität360
356 Vgl. zur geografischen Ausbreitung des Gebiets, das von den Folgen eines Ausfalles oder einer Beeinträchtigung der Funktionsfähigkeit einer Kritischen Infrastruktur betroffen sein könnte Art. 6 Abs. 1 lit. e RL (EU) 2016 / 1148. 357 BT-Drs. 18 / 4096, S. 4. 358 Bei einem Bezug auf das Gemeinwesen des Bundesgebiets existieren geschätzt 1648 Kritische Infrastrukturen BMI, Referentenentwurf Erste Verordnung zur Änderung der BSI-Kritisverordnung, Stand 24.05.2017, S. 42. 359 Art. 3 Abs. 2 RL 2008 / 114 / EG. 360 Das Kriterium der Qualität führt bereits Möllers / Pflug, Verfassungsrechtliche Rahmenbedingungen des Schutzes kritischer IT-Infrastrukturen, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 47, 52 auf.
§ 2 Klärung der zentralen Begriffe103
und Quantität maßgeblich.361 Weitere Kriterien können lediglich innerhalb dieser berücksichtigt werden. Im Gesetzestext des BSIG werden die Qualität und Quantität nur angedeutet, indem bei der Bestimmung der Kritischen Infrastrukturen durch Rechtsverordnung die Bedeutung der Dienstleistung und des Versorgungsgrades zugrunde zu legen sind, § 10 Abs. 1 S. 1 BSIG. (1) Qualität Nach dem Kriterium der Qualität ist eine Infrastruktureinrichtung dann als kritisch einzuordnen, wenn die damit erbrachten „Dienstleistungen (…) in dem Sinne kritisch sind, dass sie von hoher Bedeutung für das Funktionieren des Gemeinwesens sind und durch ihren Ausfall oder ihre Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Gefährdungen für die öffentliche Sicherheit eintreten würden“.362 Demnach ist eine Infrastruktur der Qualität nach kritisch, wenn mit ihr kritische Dienstleistungen erbracht werden. Indem für die Bestimmung der Qualität auf die Kritikalität einer Dienstleistung abzustellen ist, entsteht ein Zirkelschluss. Denn über die Qualität soll gerade die Kritikalität einer Infrastruktur ermittelt werden. Dann kann folglich nicht auf die Kritikalität der mit dieser erbrachten Dienstleistungen abgestellt werden. Ist klar, dass die erbrachten Dienstleistungen kritisch sind, so trifft dies auch auf die Infrastruktur zu. Stattdessen muss auf die Funktion des Kriteriums Qualität abgestellt werden. Mit ihm soll ermittelt werden, ob eine Einrichtung oder Anlage kritisch ist. Da Bezugspunkt der Kritikalität die Ausfallfolgen sind, liegt dann eine Kritische Infrastruktur vor, wenn die damit erbrachten Dienstleistungen für die Sicherheit von Leib, Leben, Gesundheit und Eigentum der von einem Ausfall betroffenen Bevölkerung nötig sind.363 Ebenso können die Unversehrtheit und Funktionsfähigkeit des Staates und seiner Einrichtungen im Rahmen der Qualität bemüht werden. Dies wird zwar nicht ausdrücklich in der Gesetzesbegründung genannt. Aufgrund der über die Qualität zu ermittelnden hohen Bedeutung für das Gemeinwesen, hat sich die Qualität der Dienstleistung indessen auch auf die Funktionsfähigkeit des Staates und seiner Einrichtungen zu beziehen. Doch auch die Beachtung dieser Rechtsgüter führt zu keiner genaueren Bestimmung der Kritikalität. Man kann sich daher nur an der nicht endgültigen Liste kritischer Dienstleistungen in der Gesetzesbegründung orientie-
361 BT-Drs. 18 / 4096, S. 30; kritisch bzgl. tauglicher Kriterien Bräutigam / Wilmer, ZRP 2015, S. 38, 40. 362 BT-Drs. 18 / 4096, S. 30. 363 BT-Drs. 18 / 4096, S. 31.
104
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
ren.364 Kritische Infrastrukturdienstleistungen sollen demnach die Versorgung mit Strom, Gas und Öl, die Sprach- und Datenkommunikation, die Verarbeitung und Speicherung von Daten, der Transport von Gütern und Personen im Nah- und Fernbereich, die medizinische Versorgung und Versorgung mit Arzneimitteln und Medizinprodukten, die Trinkwasserversorgung und Abwasserbeseitigung, die Versorgung mit Lebensmitteln, Zahlungsdienstleistungen im Zahlungsverkehr, die Bargeldversorgung, die Kreditvergabe, der Geld-, Devisen,- Wertpapier- und Derivatehandel sowie Versicherungsleistungen sein. Ohne eine abschließende Einschätzung vorzunehmen, sieht der Gesetzgeber die in diesen Sektoren erbrachten Dienstleistungen als von hoher Bedeutung und damit als kritisch an.365 Dies beruht darauf, dass ihre Dienstleistungen in sämtlichen Bereichen in Staat und Wirtschaft, aber auch von Privaten benötigt werden, da ohne sie Leib, Leben, Gesundheit sowie wirtschaftliche Rechtsgüter wie das Eigentum beeinträchtigt würden.366 Die Dienstleistungen der Sektoren der Energie sowie der Informationstechnik und Telekommunikation ziehen ihre besondere Bedeutung daraus, dass sie die Basis für die Erbringung von Dienstleistungen mit anderen In frastrukturen bilden.367 In einer Informationsgesellschaft hängen wesentliche Prozesse von einer funktionstüchtigen IT und einer Vernetzung über das Internet ab.368 Die Verfügbarkeit von Energie, sei es in Form von Strom, Gas oder Öl, ist eine noch grundlegendere Voraussetzung. Ist Energie nicht verfügbar, so bricht die Versorgung mittels anderer Infrastrukturen zusammen.369 Die IT ist nicht mehr einsatzfähig;370 der Personen- und Gütertransport wird 364 Vgl. BT-Drs. 18 / 4096, S. 31; vgl. BSI, KRITIS-Sektorstudie Energie, S. 70 ff., 103 ff., 119 ff.; vgl. BSI, KRITIS-Sektorstudie Ernährung und Wasser, S. 47 ff., 63 ff., 72 ff.; vgl. BSI, KRITIS-Sektorstudie Transport und Verkehr, S. 68 ff., 104 ff.; vgl. BSI, KRITIS-Sektorstudie Finanz- und Versicherungswesen, S. 47 ff., 61 ff., 65 ff., 68 ff. 365 BT-Drs. 18 / 4096, S. 31. 366 Vgl. BT-Drs. 18 / 4096, S. 30 f. 367 Bei der Auswahl der Sektoren Kritischer Infrastrukturen kann auf Interdependenzen zwischen diesen abgestellt werden. Bei der Ermittlung des Versorgungsgrades einer konkreten Anlage nach der BSI-KritisV werden diese Abhängigkeiten jedoch nicht berücksichtigt. Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 7. 368 Vgl. zur Rolle der IT in Wirtschaft, Verwaltung und Kritischen Infrastrukturen § 1 A.; BT-Drs. 18 / 4096, S. 1; vgl. Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 54; Spannowsky, in: Spannowsky / Runkel / Goppel, Raumordnungsgesetz (ROG), § 2, Rdnr. 89. 369 Vgl. Bundesministerium des Innern, Schutz Kritischer Infrastrukturen – Risikound Krisenmanagement, S. 9; Schulze, Cyber-„War“ – Testfall der Staatenverantwortlichkeit, S. 21; Altenschmidt, NVwZ 2015, S. 559, 560. 370 Petermann / Bradke / Lüllmann u. a., Was bei einem Blackout geschieht, S. 76 ff.
§ 2 Klärung der zentralen Begriffe105
durch ausfallende Verkehrseinrichtungen, die auf Stromversorgung angewiesen sind,371 stark beeinträchtigt und Fahrzeuge können keinen Kraftstoff mehr nachtanken; ebenso ist die medizinische und pharmazeutische Versorgung unmittelbar von verfügbarer Elektrizität abhängig.372 Pumpen, für die Frischwasserförderung, -aufbereitung und -verteilung, aber auch die Abwasserentsorgung werden mit Strom betrieben und fallen aus;373 die Lagerung verderblicher Lebensmittel und Prozesse bei der Lebensmittelherstellung und -distribution sind auf verfügbare Energie angewiesen.374 Der Zahlungsverkehr, sei es über elektronische Bezahlmöglichkeiten oder als Bargeld, das über Geldautomaten verfügbar ist, setzt eine ständige Energieversorgung voraus.375 Die besondere Bedeutung des Sektors Transport und Verkehr ergibt sich daraus, dass in einer modernen arbeitsteiligen Wirtschaft ein reibungsloser Transport und Personenverkehr für die Herstellung von Gütern wesentlich ist.376 Auch andere Sektoren wie die der Gesundheit377 und Ernährung, aber auch Energie und Finanzen sind von diesem abhängig. Arzneimittel müssen in die zuständigen Einrichtungen gebracht, Lebensmittel und der Energieträger Öl an die Bevölkerung verteilt und Banken mit Bargeld beliefert werden.378 Ohne ein funktionsfähiges Transportsystem würden rasch Leib, Leben und Gesundheit von Personen verletzt.379 Angesichts der Ermittlung der qualitativen Bedeutung anhand der Schutzgüter unter anderem von Leib, Leben und Gesundheit ist es selbsterklärend, dass eine Versorgung mit medizinischen Dienstleistungen, aber auch mit Wasser als nichtsubstituierbares Grundlebensmittel erhebliche Bedeutung hat.380 Gleiches gilt aus hygienischen Gründen für die Abwasserentsorgung.
371 Vgl. Petermann / Bradke / Lüllmann u. a., Was bei einem Blackout geschieht, S. 108. 372 Petermann / Bradke / Lüllmann u. a., Was bei einem Blackout geschieht, S. 167. 373 Vgl. Petermann / Bradke / Lüllmann u. a., Was bei einem Blackout geschieht, S. 124 ff. 374 BSI, KRITIS-Sektorstudie Ernährung und Wasser, S. 20, 27 und 49. 375 Zu den Auswirkungen eines Ausfalles der Energieversorgung BT-Drs. 17 / 5672, S. 5 ff., 104 ff.; Guckelberger, DVBl. 2015, S. 1213 m. w. N.; BSI, KRITIS-Sektorstudie Energie, S. 70 f. 376 BSI, KRITIS-Sektorstudie Transport und Verkehr, S. 68, 104. 377 BSI, KRITIS-Sektorstudie Gesundheit, S. 15. 378 Vgl. BSI, KRITIS-Sektorstudie Logistik, S. 99. 379 BSI, KRITIS-Sektorstudie Transport und Verkehr, S. 68, 104. 380 Vgl. BT-Drs. 17 / 5672, S. 7, 10; bzgl. Wasser BSI, KRITIS-Sektorstudie Ernährung und Wasser, S. 37, 64 f. und 73 f.
106
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Die abschließende Bestimmung der kritischen Dienstleistungen, die ihrer Qualität nach als kritisch einzuordnen sind, wird erst durch den Verordnungsgeber mit der BSI-KritisV vorgenommen.381 (2) Quantität Die Kritikalität einer Dienstleistung hängt nicht nur von der qualitativen Bedeutung eines Ausfalles, sondern maßgeblich vom quantitativen Umfang der Ausfallfolgen ab. Hier spiegelt sich der systemische Charakter der Kritikalität wider.382 Bezugspunkt der Quantität ist das Gemeinwesen im gesamten Bundesgebiet. Nach der Quantität der Ausfallfolgen ist eine Infrastruktur kritisch, wenn „ein Ausfall oder eine Beeinträchtigung wesentliche Folgen für wichtige Schutzgüter und die Funktionsfähigkeit des Gemeinwesens hätte“.383 Seinen gesetzlichen Anknüpfungspunkt findet das Kriterium der Quantität in der Erheblichkeitsschwelle, § 2 Abs. 10 S. 1 Nr. 2 BSIG. Über die Quantität wird damit ermittelt, wann ein Ausfall einer Dienstleistung einen derartigen Umfang hat, dass er als erheblich eingestuft werden muss.384 Mit dem Ausfallumfang der Dienstleistung geht notwendigerweise einher, dass die zugrundeliegende Infrastruktur einen großen Versorgungsbereich aufweist. Ab welchem Versorgungsbereich genau der Quantität nach eine Infrastruktur als kritisch zu bezeichnen ist, bleibt dennoch unklar. Das BSIG enthält selbst keinen Schwellenwert bezüglich der nötigen Dienstleistungsoder Nutzermenge. Die Bestimmung der einzelnen Schwellenwerte wird stattdessen dem Verordnungsgeber überlassen, § 2 Abs. 10 S. 2 BSIG. Bezugsgröße ist die Bevölkerung auf dem Bundesgebiet.385 c) Zwischenergebnis Die Kritikalität ist ein relativer Maßstab der Bedeutung einer Infrastruktur für das Gemeinwesen.386 Sie wird nicht positiv aufgrund ihrer Einsatzmög381 Siehe
BT-Drs. 18 / 4096, S. 31 sowie § 6. Schmidt, Kritische Infrastrukturen, in: Bundesakademie für Sicherheits politik, Sicherheitspolitik in neuen Dimensionen, S. 403, 407. 383 BT-Drs. 18 / 4096, S. 30. 384 Vgl. Fekete, Ziele im Umgang mit „kritischen“ Infrastrukturen im staatlichen Bevölkerungsschutz, in: Stober / Olschok / Gundel u. a., Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit, S. 1103, 1105. 385 Vgl. zur Bezugsgröße den Bezugspunkt der Kritikalität § 2 B. II. 2. b) aa). 386 Lenz, Vulnerabilität Kritischer Infrastrukturen, S. 19. 382 Vgl.
§ 2 Klärung der zentralen Begriffe107
lichkeiten, sondern negativ über die Folgen des Ausfalles der über die Infrastruktur zur Verfügung gestellten Dienstleistungen ermittelt. Maßgebliche Kriterien für die Bestimmung der Bedeutung der Ausfallfolgen sind die Qualität und die Quantität. Gesetzlich werden lediglich Sektoren mit poten tiell Kritischen Infrastrukturen bestimmt. Welche Infrastruktur im Einzelnen eine Kritische ist, kann anhand des § 2 Abs. 10 BSIG trotz der sektorspezifischen Eingrenzung und der Kriterien Qualität und Quantität zur Bestimmung ihrer Bedeutung für das Gemeinwesen nicht ermittelt werden.387 Um dies zu leisten, wurde in § 10 Abs. 1 BSIG eine Ermächtigungsgrundlage geschaffen, wonach die Kritischen Infrastrukturen im Einzelfall mittels einer Rechtsverordnung bestimmt werden sollen. III. Wesentliche Dienste nach unionsrechtlichem Verständnis Der Begriff der Kritischen Infrastrukturen kann nicht autonom nach nationalem Recht beurteilt werden. Die Reichweite des begrifflichen Bedeutungsgehalts unterliegt unionsrechtlichen Einflüssen, die berücksichtigt werden müssen. An dieser Stelle sollen daher diese Auswirkungen auf die durch § 2 Abs. 10 BSIG vorgegebene Struktur der Bestimmung Kritischer Infrastrukturen untersucht werden. Anders als im deutschen Recht wird im Unionsrecht zur Regulierung der IT-Sicherheit nicht die Begrifflichkeit der „Kritischen Infrastrukturen“ verwendet. Zwar kennt es den Begriff der kritischen Infrastrukturen, wie Art. 2 lit. a RL 2008 / 114 / EG388 zeigt. Demnach ist eine kritische Infrastruktur eine „Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen auf einen Mitgliedstaat hätte, da diese Funktionen nicht aufrecht erhalten werden könnten“. Diese Begriffsbestimmung weist mit der Bedeutung für die Gesellschaft, die anhand der Ausfallfolgen der Infrastruktur ermittelt werden sollen,389 die gleichen Grundkriterien wie die nationale Legaldefinition der Kritischen Infrastrukturen in § 2 Abs. 10 Nr. 2 BSIG auf. Der Anwendungsbereich dieser Richtlinie deckt jedoch allgemein sämtliche Be-
387 Heckmann,
MMR 2015, S. 289, 290; Heinickel / Feiler, CR 2014, S. 709, 714. 2008 / 114 / EG des Rates vom 8. Dezember 2008 über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern. 389 Dies wird nochmals in Art. 3 Abs. 2 RL 2008 / 114 / EG bei den zugrunde zu legenden Kriterien deutlich. 388 RL
108
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
drohungen für Kritische Infrastrukturen ab und ist nicht auf die Erhöhung der IT-Sicherheit zugeschnitten.390 Stattdessen wird in der inhaltlich für die IT-Sicherheit „Kritischer Infrastrukturen“ einschlägigen RL (EU) 2016 / 1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz und Informationssystemen391 von „wesentlichen Diensten“ gesprochen. Zwar war im ursprünglichen Richtlinienentwurf noch von „kritischen Infrastrukturen“ die Rede.392 Jedoch wurde die Begrifflichkeit kurz vor Ende des Gesetzgebungsverfahrens in „wesentliche Dienste“ abgeändert. Dabei soll von einer synonymen Bedeutung der Termini ausgegangen werden.393 Dass im BSIG noch der Begriff der Kritischen Infrastrukturen und nicht der wesentlichen Dienste zu finden ist, obwohl durch dieses in vorwegeilender Weise der RL (EU) 2016 / 1148 entsprechendes nationales Recht geschaffen werden sollte, beruht auf der zeitlichen Abfolge der Gesetzgebungsakte. Das nationale „Umsetzungsgesetz“ wurde auf dem Richtlinienentwurf der Kommission vom 7. Februar 2013394 basierend bereits vor der umzusetzenden RL (EU) 2016 / 1148 vom 6. Juli 2016 am 17. Juli 2015 ausgefertigt.395 Zu diesem Zeitpunkt war die unionsrechtliche Wortwahl noch nicht in die „wesentlichen Dienste“ abgeändert worden.396 Um zu untersuchen, inwiefern die nationale Begrifflichkeit der Kritischen Infrastrukturen der unionsrechtlichen der wesentlichen Dienste entspricht, muss zunächst der Begriff der wesentlichen Dienste eingegrenzt werden. Anschließend kann ein Vergleich mit den strukturellen Vorgaben zur Bestimmung der Kritischen Infrastrukturen des § 2 Abs. 10 BSIG gezogen werden. 390 Dies wird insbesondere bei den Begriffsbestimmungen deutlich. Die „Risikoanalyse“, Art. 2 lit. c RL 2008 / 114 / EG fordert „die Prüfung relevanter Bedrohungsszenarien“, sowie der „Schutz“, Art. 2 lit. e RL 2008 / 114 / EG „alle Tätigkeiten zur Gewährleistung der Funktionsfähigkeit, der Kontinuität und der Unversehrtheit“. Wie in Art. 1 Abs. 3 RL (EU) 2016 / 1148 ausdrücklich normiert, bleibt der Anwendungsbereich der RL 2008 / 114 / EG unberührt. 391 Richtlinie (EU) 2016 / 1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. L 194, S. 1. 392 Art. 3 Nr. 8 lit. a des Richtlinienentwurfes, Europäische Kommission, COM (2013) 48 final, S. 21. 393 Europäische Kommission, COM(2016) 363 final, S. 3. 394 Europäische Kommission, COM (2013) 48 final. 395 Das Gesetz zur Umsetzung der RL (EU) 2016 / 1148 beließ es bei dieser Terminologie. 396 Vgl. http: / / eur-lex.europa.eu / procedure / DE / 2013_27?#2016-04-21_DIS_byCONSIL (besucht am 12.06.2018) die Änderung der Begrifflichkeit zwischen der Stellungnahme des Parlaments in 1. Lesung vom 13. März 2014 und der Erörterung im Rat oder seiner vorbereitenden Dienststellen vom 8. Dezember 2015.
§ 2 Klärung der zentralen Begriffe109
Dabei genügt ein Verweis auf das vom Unionsgesetzgeber intendierte synonyme Verständnis der „wesentlichen Dienste“ und der „kritischen Infrastrukturen“ gerade nicht, da den beiden Begriffen nur im Unionsrecht eine sich entsprechende Bedeutung zukommt. Dies gilt indes nicht für die „Kritischen Infrastrukturen“ im Sinne des § 2 Abs. 10 BSIG. 1. Die Bestimmung wesentlicher Dienste Die wesentlichen Dienste werden ähnlich dem nationalen Recht nicht isoliert, sondern in Verbindung mit ihrem Betreiber definiert. Nach Art. 4 Nr. 4 RL (EU) 2016 / 1148 sind hiermit öffentliche oder private Einrichtungen einer in Anhang II genannten Art, die den Kriterien des Artikels 5 Absatz 2 entsprechen, gemeint. Die wesentlichen Dienste können daher nur in einer Zusammenschau mit Anhang II sowie Art. 5 Abs. 2 RL (EU) 2016 / 1148 ermittelt werden. In Anhang II RL (EU) 2016 / 1148 erfolgt zunächst eine Eingrenzung der Sektoren, in denen wesentliche Dienste im Sinne dieser Richtlinie erbracht werden. Dabei werden Sektor und Teilsektor sowie die Art der Einrichtung genannt. Vom Sektor Energie werden die Teilsektoren Elektrizität, Erdöl und Erdgas umfasst. Wesentliche Elektrizitätsdienste erbringen Elektrizitätsunternehmen, Verteilernetzbetreiber und Übertragungsnetzbetreiber. Im Teilsektor Erdöl sind dies Betreiber von Erdöl-Fernleitungen und Betreiber von Anlagen zur Produktion, Raffination und Aufbereitung von Erdöl sowie Betreiber von Erdöllagern. Einrichtungen wesentlicher Dienste des Teilsektors Erdgas sind Versorgungsunternehmen, Verteilernetzbetreiber, Fernleitungsnetzbetreiber, Betreiber einer Speicheranlage oder LNG-Anlage, Erdgasunternehmen und Betreiber von Anlagen zur Raffination und Aufbereitung von Erdgas. Im Sektor Verkehr werden vom Luftverkehr, vom Schienenverkehr, von der Schifffahrt und vom Straßenverkehr wesentliche Dienstleistungen erbracht. Im Luftverkehr sollen die Luftfahrtunternehmen, Flughafenleitungsorgane, Flughäfen, Einrichtungen, die innerhalb eines Flughafens befindliche Einrichtungen betreiben, sowie Betreiber von Verkehrsmanagement- und Verkehrssteuerungssystemen von Flugverkehrskontrolldiensten erfasst werden. Wesentliche Dienste des Schienenverkehrs werden von Eisenbahnunternehmen und Betreibern von Serviceeinrichtungen erbracht. Der Teilsektor Schifffahrt betrifft Einrichtungen der Passagier- und Frachtbeförderungsunternehmen der Binnen-, See- und Küstenschifffahrt, Leitungsorgane von Häfen und Hafenanlagen sowie Einrichtungen, die innerhalb von Häfen befindliche Anlagen und Ausrüstung betreiben, und Betreiber von Schiffsverkehrsdiensten. Im Teilsektor Straßenverkehr werden Straßenverkehrsbehörden, die
110
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
für Verkehrsmanagement- und Verkehrssteuerung verantwortlich sind, sowie Betreiber intelligenter Verkehrssysteme aufgeführt. Weitere Sektoren stellen das Bankwesen mit Kreditinstituten, Finanz marktinfrastrukturen mit Betreibern von Handelsplätzen und zentralen Gegenparteien, das Gesundheitswesen mit Einrichtungen der medizinischen Versorgung, die Trinkwasserlieferung und -versorgung durch Lieferanten und Unternehmen der Versorgung mit „Wasser für den menschlichen Gebrauch“ sowie die Digitale Infrastruktur,397 die aus Internet-Knoten (IXP),398 DomainNamen-System (DNS)-Diensteanbieter399 und TLD-Name-Registries400 besteht, dar. Dienste dieser Einrichtungen sind jedoch nur dann wesentlich, wenn Sie auch die Kriterien des Art. 5 Abs. 2 RL (EU) 2016 / 1148 erfüllen. Demnach muss der durch die Einrichtung bereitgestellte Dienst für die Aufrechterhaltung kritischer gesellschaftlicher und / oder wirtschaftlicher Tätigkeiten unerlässlich sein, lit. a, die Bereitstellung des Dienstes von Netz- und Informa tionssystemen abhängig sein, lit. b, und ein Sicherheitsvorfall eine erhebliche Störung der Bereitstellung bewirken, lit. c. Das Kriterium der Unerlässlichkeit für die Aufrechterhaltung kritischer gesellschaftlicher und / oder wirtschaftlicher Tätigkeiten ist lediglich eine abstrakte Umschreibung ohne konkreten Erkenntnisgewinn.401 In Zusammenschau mit den in Anhang II der RL (EU) 2016 / 1148 festgelegten Einrichtungen können diejenigen Dienstleistungen als unerlässlich qualifiziert werden, die durch die jeweilige Einrichtung im (Teil-)Sektor erbracht werden.
397 Der Begriff ist von den ebenfalls von der Richtlinie erfassten digitalen Diensten i. S. v. Art. 4 Nr. 4 RL (EU) 2016 / 1148 zu unterscheiden. 398 Ein Internet-Knoten ist eine Netzeinrichtung, die zur Erleichterung des Austauschs eines Internet-Datenverkehrs die Zusammenschaltung von mehr als zwei unabhängigen autonomen Systemen ermöglicht, Art. 4 Nr. 13 RL (EU) 2016 / 1148. 399 Unter einem DNS versteht man ein hierarchisch unterteiltes Bezeichnungssystem in einem Netz zur Beantwortung von Anfragen zu Domain-Namen; vgl. Art. 4 Nr. 14, 15 RL (EU) 2016 / 1148. 400 Auch wenn die deutsche Fassung den Begriff der „TLS-Name-Registries“ nennt, wird mit Blick auf die Legaldefinition der TLD-Name Registry in Art. 4 Nr. 16 RL (EU) 2016 / 1148, sowie einem Vergleich mit der englischsprachigen Fassung, der ebenfalls den Begriff der „TLD name registries“ verwendet, dass letztere gemeint sein. TLD-Name Registries sind Einrichtungen, die der Registrierung von InternetDomain-Namen innerhalb einer Top-Level-Domain dienen. Eine Top-Level-Domain ist beispielsweise „.de“. 401 Vgl. die Erläuterungen zur Konkretisierung der Kritischen Infrastrukturen nach nationalem Recht § 2 B. II. 2. b) bb).
§ 2 Klärung der zentralen Begriffe111
Weiter muss die Bereitstellung des Dienstes von Netz- und Informationssystemen402 abhängig sein. Dies ist aufgrund der weiten Verbreitung von IT in sämtlichen wirtschaftlichen, gesellschaftlichen und staatlichen Bereichen regelmäßig der Fall.403 Die Abhängigkeit bei der Erbringung der wesentlichen Dienste von der IT, ergäbe sich auch ohne ausdrückliche Normierung bereits aus dem Normzweck der Richtlinie.404 Wird keine IT eingesetzt, kann deren Sicherheit nicht erhöht werden. Das Kriterium der Abhängigkeit von IT ist daher als teleologische Einschränkung des Anwendungsbereiches zu verstehen. Über das dritte Kriterium der Bewirkung erheblicher Störungen bei der Bereitstellung eines Dienstes werden solche Sicherheitsvorfälle ausgeschieden, die nur geringe Auswirkungen auf die Verfügbarkeit wesentlicher Dienstleistungen haben. Wann eine erhebliche Störung vorliegt, wird zum einen anhand sektorübergreifender, aber auch sektorspezifischer Faktoren bestimmt, Art. 6 Abs. 1, 2 RL (EU) 2016 / 1148. Während die sektorspezifischen Faktoren nicht unionsrechtlich vorgegeben sind, werden sektorübergreifende Faktoren, die in jedem Fall zu berücksichtigen sind, als Mindestkriterien normiert. Dies sind die Zahl der Nutzer, die Abhängigkeit anderer in Anhang II genannter Sektoren, mögliche Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten oder die öffentliche Sicherheit in Bezug auf Ausmaß und Dauer, der Marktanteil, die geografische Ausbreitung der Ausfallfolgen sowie die Bedeutung der gestörten Einrichtung für die Aufrecht erhaltung des Dienstes in ausreichendem Umfang unter Berücksichtigung der Verfügbarkeit von alternativen Mitteln für die Bereitstellung des jeweiligen Dienstes, Art. 6 Abs. 1 lit. a–f RL (EU) 2016 / 1148. Art. 5 Abs. 2 lit. b, c RL (EU) 2016 / 1148 stellen die Verbindung zur Notwendigkeit von Maßnahmen zur IT-Sicherheit her. Strukturell dienen sie nicht der Bestimmung der wesentlichen Dienste. Da die RL (EU) 2016 / 1148 die Funktionsfähigkeit wesentlicher Dienste nicht allgemein, sondern nur in Bezug auf die IT-Sicherheit, Art. 1 Abs. 1 RL (EU) 2016 / 1148, erfasst, werden bereits auf dieser Ebene diejenigen Infrastrukturen, die zwar der Aufrechterhaltung kritischer gesellschaftlicher und / oder wirtschaftlicher Dienst402 Vgl. hierzu die Legaldefinition in Art. 4 Nr. 1 RL (EU) 2016 / 1148; der unionsrechtliche Begriff der Netz- und Informationssysteme kann synonym zum bereits dargestellten Begriff des IT-Systems als Gesamtheit von Hard- und Software verstanden werden. Siehe § 2 A. IV. 403 Vgl. zur Rolle der IT in Wirtschaft, Verwaltung § 1 A.; bzgl. der Kritischen Infrastrukturen BMI, Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, S. 1. 404 Vgl. den RL-Titel „zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen“, Erw.-Gr. 1 und Art. 14 RL (EU) 2016 / 1148.
112
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
leistungen dienen, bei denen jedoch keine Abhängigkeit von der IT besteht, ausgenommen. Beim dritten Kriterium, dass ein Sicherheitsvorfall erhebliche Auswirkungen auf die Verfügbarkeit wesentlicher Dienstleistungen zeitigen können muss, wird nicht nur die Abhängigkeit von der IT mit der grundsätzlichen gesellschaftlichen Bedeutung der Infrastruktur, sondern zusätzlich ein vermeintlicher Einzelfallbezug auf Sicherheitsvorfälle hergestellt. Dieser kann jedoch nicht auf konkrete Auswirkungen eines Sicherheitsvorfalles für die Verfügbarkeit wesentlicher Dienstleistungen, sondern muss auf abstrakte und potentielle Auswirkungen gemünzt sein. Denn ansonsten würde die generelle Einordnung als wesentlicher Dienst von den tatsächlichen Auswirkungen des einzelnen Sicherheitsvorfalles abhängen. Dies wäre ein struktureller Widerspruch. Auch wenn das dritte Kriterium dem Wortlaut nach auf Bedrohungen der IT-Sicherheit bezogen ist, kommt ihm funktionell eine andere Bedeutung zu. Denn die, die erhebliche Störung ausfüllenden, Kriterien des Art. 6 Abs. 1 RL (EU) 2016 / 1148 zielen auf die Konkretisierung der Ausfallfolgen ab. Damit dienen sie der Konkretisierung der Unerlässlichkeit der Aufrechterhaltung der wesentlichen Dienste nach Art. 5 Abs. 2 lit. a RL (EU) 2016 / 1148. Diese Verortung der sektorübergreifenden Faktoren bei den erheblichen Störungen eines Sicherheitsvorfalles für einen wesentlichen Dienst ist systematisch fehlerhaft und führt zu Folgeproblemen, die sich auf die nationale Umsetzung mancher Kriterien auswirkt. Denn die Kriterien beziehen sich teilweise auf den wesentlichen Dienst als Infrastruktureinrichtung, Art. 6 Abs. 1 lit. a, b, d, f RL (EU) 2016 / 1148, aber zum Teil auch auf potentielle Sicherheitsvorfälle, Art. 6 Abs. 1 lit. c, e RL (EU) 2016 / 1148. Sicherheitsvorfälle an sich sind jedoch Situationen, die nichts über die Bedeutung des wesentlichen Dienstes für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Tätigkeiten aussagen können. Infolgedessen wirken die beiden auf Sicherheitsvorfälle bezogenen Kriterien als Fremdkörper bei der Bestimmung der wesentlichen Dienste. Richtigerweise hätten die übrigen Kriterien des Art. 6 Abs. 1 RL (EU) 2016 / 1148 auf die Bestimmung der Unerlässlichkeit einer Tätigkeit direkt verweisen müssen. Ob ein Sicherheitsvorfall eine erhebliche Störung des wesentlichen Dienstes bewirken könnte, wäre dann lediglich ein Kriterium zur Bestimmung der Reichweite der Abhängigkeit von IT nach Art. 5 Abs. 2 lit. b RL (EU) 2016 / 1148. Durch den Bezug der sektorübergreifenden Faktoren auf die potentiellen Auswirkungen eines Sicherheitsvorfalles für den Betrieb des hiervon betroffenen wesent lichen Dienstes werden Aspekte der Unerlässlichkeit der Dienstleistung, die sich auf den Ausfall der wesentlichen Dienstleistung beziehen, mit solchen potentieller Ausfallfolgen eines IT-Sicherheitsvorfalles vermengt.
§ 2 Klärung der zentralen Begriffe113
Schließlich muss Kritik an der Begrifflichkeit der wesentlichen Dienste geübt werden. Mit der Bezeichnung „wesentlicher Dienst“ wird sowohl die Einrichtung405 als auch die mit dieser Einrichtung erbrachte Dienstleistung beschrieben.406 Insofern hätte eine Beibehaltung des Terminus der Kritischen Infrastrukturen zu größerer begrifflicher Klarheit beitragen können. Durch die geänderte Wortwahl wird nun aber betont, dass sich die hohe Bedeutung einer Einrichtung aus der erbrachten Dienstleistung ergibt.407 Die wesentlichen Dienste werden über mehrere Ebenen definiert. Zunächst wird eine sektorenbezogene Eingrenzung vorgenommen, in der Anlagen wesentlicher Dienste benannt werden. Diese müssen dann die Kriterien der Unerlässlichkeit für kritische Tätigkeiten, der Abhängigkeit von Netz- und Informationssystemen und der Bewirkung erheblicher Störungen erfüllen. 2. Vergleich mit nationalem Recht Vergleicht man die Struktur der Festlegung der wesentlichen Dienste mit derjenigen der Kritischen Infrastrukturen, so fallen weitreichende gemeinsame Grundstrukturen auf. In beiden Rechtssphären werden zunächst Sektoren potentieller wesentlicher Dienste oder Kritischer Infrastrukturen festgelegt.408 Ebenso erfolgt in beiden Fällen in einem weiteren Schritt eine Beurteilung der Kritikalität einer Einrichtung.409 Dennoch sind im Detail Unterschiede zu erkennen. So wird im nationalen Recht mit dem Begriff der Kritischen Infrastruktur für die Einrichtung und der kritischen Dienstleistung für die mit dieser Einrichtung erbrachte Tätigkeit begrifflich differenziert. Demgegenüber ist die Bestimmung der wesentlichen Dienste weit detaillierter erfolgt als in § 2 Abs. 10 BSIG. Die abschließende Bestimmung der Kritischen Infrastrukturen erfolgt jedoch im nationalen Recht erst über die BSI-KritisV. Damit wird deutlich, dass sich Unionsrecht und nationales Recht in der Struktur weitgehend ähneln. Jedoch reichen die wesentlichen Dienste mit Blick auf die abgedeckten Sektoren weniger weit als die Kritischen Infrastrukturen. Nicht erfasst wird beispielsweise der Sektor Ernährung.410 Da die 405 Vgl.
Art. 4 Nr. 4 RL (EU) 2016 / 1148. Art. 5 Abs. 2 lit. a–c RL (EU) 2016 / 1148. 407 Dies wird in der englischen Fassung mit „essential services“ noch deutlicher. 408 Art. 4 Nr. 4 i. V. m. Anhang II RL (EU) 2016 / 1148 sowie § 2 Abs. 10 S. 1 Nr. 1 BSIG; vgl. Voigt / Gehrmann, ZD 2016, S. 355, 356. 409 Für die wesentlichen Dienste siehe Art. 5 Abs. 2 RL (EU) 2016 / 1148 und für die Kritischen Infrastrukturen siehe § 2 Abs. 10 S. 1 Nr. 2 BSIG i. V. m. der BSI-KritisV. 410 Vgl. zur Frage, inwieweit sich die wesentlichen Dienste und die Kritischen Infrastrukturen decken § 6 B. II. 406 Vgl.
114
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Kritischen Infrastrukturen nicht allein anhand des § 2 Abs. 10 BSIG, sondern mit Wirkung für die Betreiber durch die BSI-KritisV festgelegt werden, sind nicht sämtliche Kriterien zur Bestimmung der Erheblichkeit bereits auf parlamentsgesetzlicher Ebene vorhanden. Für eine unionskonforme Umsetzung genügt es jedoch, wenn den unionsrechtlichen Vorgaben jedenfalls auf Rechtsverordnungsebene Rechnung getragen wird.411 Ob damit die Kritischen Infrastrukturen die wesentlichen Dienste in unionsrechtskonformer Weise festlegen, kann daher an dieser Stelle noch nicht abschließend, sondern erst im Zusammenhang mit der BSI-KritisV beurteilt werden. IV. Teilergebnis Die Kritischen Infrastrukturen werden in § 2 Abs. 10 BSIG legaldefiniert und sind vor dem unionsrechtlichen Hintergrund der Bestimmung der wesentlichen Dienste zu sehen. Unter Kritischen Infrastrukturen werden Einrichtungen in den aufgezählten Sektoren bezeichnet, die eine besonders hohe Bedeutung für das Gemeinwesen aufweisen. Allerdings bleibt die Definition auf Ebene der „hohen Bedeutung für das Funktionieren des Gemeinwesens“ derart abstrakt, dass keine Bestimmung der konkreten Infrastrukturen möglich ist. Diese Festlegung erfolgt stattdessen über die gesonderte BSI- KritisV.412
§ 3 Rechtssystematische Einordnung Die rechtssystematische Einordnung von Normen kann unter verschiedenen Gesichtspunkten erfolgen. Man kann an der Regelungsstruktur, aber auch am Regelungsgegenstand anknüpfen. Dem folgend werden zunächst die mit dem IT-Sicherheitsgesetz und dem Gesetz zur Umsetzung der RL (EU) 2016 / 1148 neu geschaffenen bzw. geänderten Pflichten zur Gewährleistung der IT-Sicherheit als Gefahrenabwehr- oder als Risikosteuerungsrecht eingeordnet. Nach dieser strukturellen Betrachtung werden eine Abgrenzung bzw. Schnittpunkte zu anderen Rechtsgebieten anhand des Regelungsgegenstandes der IT-Sicherheit Kritischer Infrastrukturen herausgearbeitet. Untersuchungsgegenstand sind die §§ 8a f. BSIG, § 11 Abs. 1a–c EnWG, § 44b AtG und § 109 TKG.
411 Vgl. Calliess / Kahl / Puttler, in: Calliess / Ruffert, EUV / AEUV, Art. 4 EUV, Rdnr. 60. 412 Vgl. hierzu § 6 A.
§ 3 Rechtssystematische Einordnung115
A. Gefahrenabwehr- oder Risikosteuerungsrecht Um eine Einordnung der Rechtsmaterie vornehmen zu können, muss der Charakter des Gefahrenabwehr- bzw. des Risikosteuerungsrechts untersucht werden. Hierfür werden die Charakteristika exemplarischer Rechtsgebiete des Gefahrenabwehr- bzw. des Risikosteuerungsrechts herausgearbeitet. Klassisches Referenzgebiet des Gefahrenabwehrrechts ist das Polizeirecht. Die Polizei ist demnach zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung befugt, Art. 11 Abs. 1 PAG, § 1 Abs. 1 i. V. m. § 3 BWPolG.413 Maßnahmen im Vorfeld einer Gefahr, die der Gefahrenvorsorge dienen, können hingegen nicht auf diese Befugnisse gestützt werden.414 Denn sie setzen nicht an einer konkreten Situation an, die eine Gefahr darstellt. Nichtsdestotrotz ist die Gefahrenvorsorge wegen der Tätigkeit im Vorfeld einer Gefahr der Gefahrenabwehr zuzurechnen.415 Hiervon abzugrenzen ist die Risikovorsorge durch Risikosteuerungsrecht.416 Das moderne Konzept der Risikosteuerung ist eine Antwort des Rechts auf technische Entwicklungen, deren Folgen nicht gänzlich überblickt werden können.417 Referenzgebiete hierfür sind das Umwelt-, aber auch das Atomrecht. Nach § 5 Abs. 1 Nr. 2 BImSchG muss der Betreiber einer genehmigungsbedürftigen Anlage „Vorsorge gegen schädliche Umwelteinwirkungen und sonstige Gefahren, erhebliche Nachteile und erhebliche Belästigungen (…) durch die dem Stand der Technik entsprechenden Maßnahmen“ treffen. Auch die atomrechtlichen Genehmigungen hängen davon ab, dass die jeweils erforderlichen Vorsorgemaßnahmen getroffen werden, § 6 Abs. 2 Nr. 2, § 7 Abs. 2 Nr. 3, 5,418 § 9 Abs. 2 Nr. 3 AtG. Zudem sind nach § 7d AtG 413 Holzner, in: Möstl / Schwabenbauer, Beck’scher Online-Kommentar Polizeiund Sicherheitsrecht Bayern, Art. 11 PAG, Rdnr. 18 ff.; Trurnit, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht Baden-Württemberg, § 3 BWPolG, Rdnr. 20; zu den Begrifflichkeiten der Gefahr, öffentlichen Sicherheit und Ordnung Trurnit, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht Baden-Württemberg, § 1 BWPolG, Rdnr. 15 ff. 414 Trurnit, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht BadenWürttemberg, § 3 BWPolG, Rdnr. 20. 415 BVerwG NVwZ 2012, S. 757, 759; Schmidbauer, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 2 PAG, Rdnr. 6. 416 Vgl. zur Abgrenzung der Risikovorsorge von der Gefahrenvorsorge im Umweltrecht BVerwG NVwZ 1984, S. 371, 373. 417 Lepsius, VVDStRL 63 (2004), S. 266, 266 f.; Preuß, Risikovorsorge als Staatsaufgabe, in: Grimm, Staatsaufgaben, S. 523, 530. 418 Obwohl die Charakterisierung des § 7 Abs. 2 Nr. 5 AtG als Norm der Risikovorsorge nicht bereits aus dem Wortlaut deutlich wird, erfasst diese aufgrund ihres Schutzzieles ebenfalls die Risikovorsorge. Denn mit ihr soll komplementär zu § 7
116
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
zusätzlich zu § 7 Abs. 2 Nr. 3 AtG weitere Sicherungsvorkehrungen zur Risikovorsorge zu treffen. Dabei wird normativ nicht im Vorfeld einer Gefahr als konkreter Sachlage, sondern an potentiell schädlichen Sachverhalten angeknüpft, deren Folgen nicht abschließend beurteilt werden können.419 Diese unterschiedlichen Ausgangspunkte zeichnen die Grenzlinie zwischen beiden Regelungsstrukturen der Sicherheitsgewährleistung. Sie verläuft dort, wo eine faktische Grenze der Erkenntnismöglichkeiten bezüglich der hinreichenden Wahrscheinlichkeit und gegebenen Zurechnungszusammenhängen eines Geschehensablaufs hin zu einem Schaden erreicht ist.420 Hiervon ausgehend hat die Einordnung der Pflichten der Betreiber als Recht der Gefahrenabwehr oder als Risikosteuerungsrecht danach zu erfolgen, ob diese an das Vorliegen des Tatbestandes einer Gefahr oder desjenigen eines Risikos anknüpfen. Es bedarf daher einer eingehenden Beleuchtung der Begriffe „Gefahr“ und „Risiko“, bevor die Regelungsstruktur der Betreiberpflichten zur IT-Sicherheit bestimmt werden kann. I. Abgrenzung der beiden Konzepte der Sicherheitsgewährleistung anhand der Trennlinie von Gefahr und Risiko Eine Gefahr kann als Sachlage verstanden werden, die bei ungehindertem Ablauf des Geschehens mit hinreichender Wahrscheinlichkeit zu einem Schadenseintritt führen wird.421 Sie ist also das Produkt aus Wahrscheinlichkeit und Schaden.422 Demgegenüber sind beim Risiko die Wahrscheinlichkeit teils sogar die Möglichkeit des Schadenseintritts unbekannt. Unbeachtlich ist Abs. 2 Nr. 3 AtG vor externen Gefahren und Risiken geschützt werden. Otten, Eigensicherung, S. 292; vgl. Darnstädt, Gefahrenabwehr und Gefahrenvorsorge, S. 202 ff. 419 Zum Umweltrecht BVerwG NVwZ 1984, S. 371, 373; Schmidt-Kötters, in: Giesberts / Reinhardt, BeckOK Umweltrecht, § 5 BImSchG, Rdnr. 94 f. 420 Vgl. BVerfGE 49, 89, 137 = NJW 1979, S. 359, 362; BVerwGE 72, 300, 315 = NVwZ 1986, S. 208, 212; Preuß, Risikovorsorge als Staatsaufgabe, in: Grimm, Staatsaufgaben, S. 523, 531; vgl. Scherzberg, VerwArch 84 (1993), S. 484, 497. 421 BVerfGE 120, 274, 328 f.; vgl. BVerfGE 110, 33, 56 f., 61; 113, 348, 377 f.; Scherzberg, VerwArch 84 (1993), S. 484, 490; vgl. Möstl, in: Möstl / Trurnit, Beck’ scher Online-Kommentar Polizeirecht Baden-Württemberg, Systematische und begriffliche Vorbemerkungen zum Polizeirecht in Deutschland, Rdnr. 35; zu den Grenzen des Gefahrbegriffs BVerfG, Urteil des Ersten Senats vom 20. April 2016 – 1 BvR 966 / 09 – Rdnr. 112 = BVerfGE 141, 220, 272; zur konkreten Gefahr Holzner, in: Möstl / Schwabenbauer, Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, Art. 11 PAG, Rdnr. 20; Schmidbauer, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 11, Rdnr. 11; Preuß, Risikovorsorge als Staatsaufgabe, in: Grimm, Staatsaufgaben, S. 523, 527. 422 Calliess, Rechtsstaat und Umweltstaat, S. 163.
§ 3 Rechtssystematische Einordnung117
dabei, ob die Ungewissheit aus einer objektiven Nicht-Erkennbarkeit oder einem subjektiven Nicht-Erkennen folgt.423 Das Risiko ist daher durch ein gesteigertes Element der Ungewissheit geprägt.424 Das Recht der Gefahrenabwehr ist in Bezug auf die Tätigkeit vor Schadens eintritt als präventives Sicherheitsrecht zu qualifizieren. Nichtsdestotrotz greift es später ein als das Recht der Risikosteuerung. Die Gefahrenabwehr knüpft an einen konkreten Sachverhalt an, aus dem sich eine bekannte auf Erfahrungswissen basierende Wahrscheinlichkeit im Hinblick auf den Schadenseintritt ergibt. Die Gefahrenabwehr ist deshalb strukturell von Elementen der Erkennbarkeit und Vorhersehbarkeit geprägt.425 Das Risikosteuerungsrecht setzt dagegen früher an und erfasst rechtlich einen der Gefahrenabwehr vorgelagerten Bereich, indem bereits die noch ungewisse Entstehung einer Gefahr in abstrakter Weise reguliert werden soll.426 Das Risiko setzt weder einen konkreten Sachverhalt als Ausgangspunkt hin zu einem Schaden als mögliche Folge eines Geschehensablaufs, noch eine bekannte Wahrscheinlichkeit für den Schadenseintritt voraus.427 Dadurch wird das Risiko aber, anders als die Gefahr, auch keinem Individuum im Sinne einer sicherheits-
423 Der Begriff des Risikos war nicht unumstritten. Aus den Bezugspunkten der Ungewissheit der Wahrscheinlichkeit und / oder der Möglichkeit eines Schadens haben sich zwei verschiedene Grundverständnisse des Risikobegriffs entwickelt. Der eine bezieht sich auf die Wahrscheinlichkeit des Schadenseintritts, wobei das Risiko ein geringeres Wahrscheinlichkeitsmaß als die Gefahr voraussetzt. Vgl. BVerfGE 49, 89, 137; Breuer, DVBl. 1978, S. 829, 836 f. Der andere setzt an der Ungewissheit der Schadensmöglichkeit an. Vgl. Lepsius, VVDStRL 63 (2004), S. 266, 268 ff., 277; Aulehner, Polizeiliche Gefahren- und Informationsvorsorge, S. 291 f., 295, 477. Das hier zugrunde gelegte Verständnis des Risikos folgt letzterem. Der Vorteil der Anknüpfung an die Ungewissheit der Schadensmöglichkeit besteht darin, dass sowohl eine Ungewissheit bezüglich der Wahrscheinlichkeit wie auch des Kausalverlaufs und der fehlenden Kenntnis gewisser Faktoren mit Gefahrenpotential erfasst wird; vgl. zu diesem Verständnis Calliess, Rechtsstaat und Umweltstaat, S. 163 f. 424 Lepsius, VVDStRL 63 (2004), S. 266, 266; Calliess, Rechtsstaat und Umweltstaat, S. 163; vgl. Di Fabio, Risikoentscheidungen im Rechtsstaat, S. 101 f.; Jaeckel, JZ 2011, S. 116, 117; Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 29; Pitschas, § 42, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 176. 425 Calliess, Rechtsstaat und Umweltstaat, S. 157; Schulze-Fielitz, DÖV 2011, S. 785, 786. 426 Vgl. BVerwGE 72, 300, 315 = NVwZ 1986, S. 208, 212; Calliess, Rechtsstaat und Umweltstaat, S. 169; Di Fabio, Risikoentscheidungen im Rechtsstaat, S. 115; Möstl, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht Baden-Württemberg, Systematische und begriffliche Vorbemerkungen zum Polizeirecht in Deutschland, Rdnr. 37. 427 Vgl. Schmidt-Kötters, in: Giesberts / Reinhardt, BeckOK Umweltrecht, § 5 BImSchG, Rdnr. 94.
118
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
rechtlichen Verantwortlichkeit zugerechnet, sondern entindividualisiert und auf ein Kollektiv verlagert.428 Risiko und Gefahr stehen sich nicht als plus und minus, sondern als aliud gegenüber.429 Richtig ist zwar, dass die Gefahr über die Prognoseentscheidung im Hinblick auf den Kausalverlauf ebenfalls ein Element der Ungewissheit kennt. Die Ungewissheit der Gefahr bleibt jedoch auf eben diesen Kausalverlauf beschränkt und betrifft damit lediglich dessen Fehleinschätzung.430 Ähnliches gilt für den im Vorfeld der Tätigkeit zur Gefahrenabwehr anzusiedelnden, dem Recht der Gefahrenabwehr aber zuzurechnenden Begriff des Gefahrenverdachts, bei dem sich die Ungewissheit auf einen Kausalverlauf bezieht, der sich aus einem zu erforschenden Geschehen ergibt. Das Risiko reicht dahingegen weiter und weist eine andere Struktur auf, indem es auch die Ungewissheit als Prognosegrundlage erfasst und so früher und unabhängig vom Einzelfall ansetzt.431 Es ist gerade keine Kenntnis von einem konkreten Sachverhalt, sondern lediglich ein allgemeines Risikobewusstsein nötig, dass sich aus einer gewissen Sachlage Risiken entwickeln können. Von diesem ausgehend können dann gesetzgeberische Konsequenzen zum Umgang mit einem Risiko gezogen werden.432 Gerade aufgrund dieser Abstraktheit eignet sich das Instrument der Risikosteuerung, um in innovativen Bereichen, in denen Erfahrungswissen im Hinblick auf Kausalverläufe und hierauf bezogene Wahrscheinlichkeitszusammenhänge fehlt,433 Sicherheit zu gewährleisten. Anstatt über den Wahrscheinlichkeitszusammenhang eine juristische Verantwortlichkeit festzulegen, werden dem Betreiber oder Genehmigungsinhaber der Anlage Handlungspflichten zur Minimierung und Lenkung der Risiken auferlegt, § 5 Abs. 1 Nr. 2 BImSchG, § 6 Abs. 2 Nr. 2,434 § 7 Abs. 2 Nr. 3, § 9 Abs. 2 Nr. 3 AtG. Die Handlungspflichten haben jedoch nicht den Anspruch, das Vorhanden-
428 Lepsius, VVDStRL 63 (2004), S. 266, 283 f.; Calliess, Rechtsstaat und Umweltstaat, S. 161; Kugelmann (Hrsg.), Migration, Datenübermittlung und Cyber sicherheit, S. 31. 429 Pitschas, § 42, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 178; Scherzberg, VerwArch 84 (1993), S. 484, 498; vgl. Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 29. 430 Möstl, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht BadenWürttemberg, Systematische und begriffliche Vorbemerkungen zum Polizeirecht in Deutschland, Rdnr. 34; Scherzberg, VerwArch 84 (1993), S. 484, 498. 431 Vgl. Schulze-Fielitz, DÖV 2011, S. 785, 786. 432 Calliess, Rechtsstaat und Umweltstaat, S. 160. 433 Vgl. Jaeckel, JZ 2011, S. 116, 120. 434 Näser, in: Danner / Theobald, Energierecht, § 6 AtG, Rdnr. 122.
§ 3 Rechtssystematische Einordnung119
sein von Risiken gänzlich zu beseitigen.435 Das zu erreichende „Risikoniveau“ orientiert sich an unbestimmten Rechtsbegriffen wie dem „Stand der Technik“ und entwickelt sich mit diesem fort.436 Besonders deutlich wird dieser sich fortentwickelnde Charakter im Referenzgebiet des Atomrechts. Dort hat der Genehmigungsinhaber nach § 7d AtG „entsprechend dem fortschreitenden Stand von Wissenschaft und Technik dafür zu sorgen, dass die Sicherheitsvorkehrungen verwirklicht werden, die jeweils entwickelt, geeignet und angemessen sind“. Der Gefahrenabwehr, mit dem Ziel linear fortschreitende Kausalverläufe hin zu einem Schadenseintritt zu unterbrechen, ist dagegen eine strukturelle dynamische Optimierung fremd.437 Für das Risikosteuerungsrecht ist darüber hinaus charakteristisch, dass die Betreiber Maßnahmen zur Erreichung des vorgegebenen Sicherheitsniveaus treffen müssen.438 Dies zeigt, dass es für die Einordnung als Risikosteuerungsrecht nicht von Bedeutung ist, ob den Adressaten der Pflichten eine korrespondierende Verursachungsverantwortlichkeit trifft. Denn die Betreibereigenschaft beurteilt sich nicht nach dem Kriterium der unmittelbaren Verursachung,439 sondern ist durch Auslegung des Begriffs in seinem rechtlichen Zusammenhang440 zu ermitteln. Handlungspflichten sind daher ein Instrument des Risikosteuerungsrechts. Freilich bedarf der hierin enthaltene Grundrechtseingriff in die Grundrechtspositionen der Betreiber einer Fundierung durch Gründe von derartigem Gewicht, die eine Inpflichtnahme rechtfertigen.441 Die Grenze zwischen Gefahr und Risiko kann dort gezogen werden, wo Unkenntnis im Hinblick auf einen Sachverhalt oder einen hinreichend wahr435 Scherzberg, VerwArch 84 (1993), S. 484, 501; Pitschas, § 42, in: HoffmannRiem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 176. 436 Vgl. geringeren Risikoniveau im Atomrecht, das auf den Stand von Wissenschaft und Technik abstellt § 6 Abs. 2 Nr. 2, § 7 Abs. 2 Nr. 3, § 9 Abs. 2 Nr. 3 AtG; vgl. Näser, in: Danner / Theobald, Energierecht, § 6 AtG, Rdnr. 124; vgl. zum Risikoniveau auf dem Stand der Technik im Umweltrecht § 5 Abs. 1 Nr. 2 BImSchG; Calliess, Rechtsstaat und Umweltstaat, S. 156; Scherzberg, VVDStRL 63 (2004), S. 216, 234. 437 Breuer, WiVerw 1981, S. 219, 224. 438 Vgl. § 5 BImSchG oder § 7d AtG. Letztere Norm stellt nicht ausdrücklich auf den Betreiber, sondern auf den Genehmigungsinhaber zum Betrieb der Anlage ab. Scherzberg, VVDStRL 63 (2004), S. 216, 251; vgl. Lepsius, VVDStRL 63 (2004), S. 266, 295. 439 Zur unmittelbaren Verursachung Steiner, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 7 PAG, Rdnr. 9; Lindner, in: Möstl / Schwabenbauer, Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, Art. 7 PAG, Rdnr. 25. 440 Vgl. § 6 A. I. 441 Vgl. BVerfGE 22, 380, 383, 384 f.; 30, 292, 311, 316 ff.
120
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
scheinlichen Kausalverlauf als individualisierendes Zurechnungskriterium besteht. Daher ist das Risikosteuerungsrecht geeignet, eine Verletzung der geschützten Rechtsgüter in Lagen der Ungewissheit und Unkenntnis durch Maßnahmen im Gefahrenvorfeld in abstrakter Weise zu verhindern. II. Regelungsstruktur der Betreiberpflichten Die dargestellten Erkenntnisse zur Abgrenzung von Gefahr und Risiko sollen nun auf die Betreiberpflichten zur Sicherung der IT übertragen werden. Auffällig ist, dass die Pflichten der Betreiber, wie sie durch das IT-Sicherheitsgesetz und das Gesetz zur Umsetzung der RL (EU) 2016 / 1148 in §§ 8a f. BSIG, § 44b AtG, § 11 EnWG, § 109 TKG eingefügt oder angepasst wurden, weder den Begriff der Gefahr noch des Risikos nennen. Eine Ausnahme bildet § 109 Abs. 2 S. 1 Nr. 2 TKG, wonach Risiken für die Sicherheit von Telekommunikationsnetzen und -diensten beherrscht werden sollen. Jedoch kommt es für eine Einordnung nicht auf die begriffliche Ausgestaltung, sondern darauf an, ob die eben dargestellten charakteristischen Merkmale des Rechts der Gefahrenabwehr oder der Risikosteuerung erfüllt sind.442 Die Betreiberpflichten unterteilen sich in Sicherungs-, Nachweis- und Meldepflichten sowie die Pflicht eine Kontaktstelle für die Kommunikation mit dem BSI einzurichten. Da die Pflichten zur Erhöhung der IT-Sicherheit im BSIG die allgemeine Grundlage bilden und diejenigen in den leges speciales AtG, EnWG, und TKG in ihrer Grundstruktur hieran angelehnt sind,443 kann sich bei der Untersuchung ihrer dogmatischen Struktur allein auf das BSIG fokussiert werden. Die Sicherungspflicht nach § 8a Abs. 1 BSIG verpflichtet die Betreiber Kritischer Infrastrukturen angemessene organisatorische und technische Maßnahmen zu treffen, um eine Beeinträchtigung der IT-Sicherheit zu verhindern. Dabei bezieht sich die Sicherungspflicht lediglich auf diejenige IT, die für ein Funktionieren der Kritischen Infrastrukturen notwendig ist. Die Vornahme dieser Sicherungsmaßnahmen ist dem BSI gegenüber anschließend in einem Turnus von zwei Jahren nachzuweisen, § 8a Abs. 3 BSIG. Sie dient damit der Durchsetzung der Sicherungspflicht. Um die Meldepflicht gegenüber dem BSI zu erfüllen, hat die Einrichtung einer Kontaktstelle zu erfolgen, § 8b Abs. 3 BSIG. Die Meldepflicht selbst umfasst Vorfälle, die (erhebliche) Störungen der IT-Sicherheit betreffen, die zu einem Ausfall oder einer erheblichen Beeinträchtigung des Funktionierens der betriebenen Infrastruktur geführt haben oder führen können, § 8b Abs. 4 BSIG. 442 Vgl. 443 Vgl.
Di Fabio, Risikoentscheidungen im Rechtsstaat, S. 117. zur Einheitlichkeit der Pflichten zur IT-Sicherheit § 7 E. II.
§ 3 Rechtssystematische Einordnung121
Die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen unterliegt in mehrfacher Hinsicht einer Ungewissheit.444 Zum einen ist regelmäßig nicht bekannt, dass eine konkrete Sachlage überhaupt eine Bedrohung für die IT-Sicherheit darstellt. Zum anderen ist der Kausalverlauf einer Bedrohung im Hinblick auf die Beeinträchtigung der IT-Sicherheit sowie bezüglich der dadurch verursachten Auswirkungen auf das Funktionieren der Kritischen Infrastruktur in der Regel zunächst nicht klar. Selbst wenn erkennbar ist, dass ein Angriff auf die IT erfolgt, bedeutet dies nicht, dass die Ziele der IT- Sicherheit tatsächlich beeinträchtigt werden müssen oder er zu einem Ausfall der Kritischen Infrastrukturen führt. Der Angriff kann auch mangels einer tauglichen Angriffsmethode oder eines geeigneten Angriffsmittels scheitern. Zum anderen besteht aufgrund unentdeckter Sicherheitslücken Ungewissheit darüber, in welcher Hinsicht die IT-Sicherheit potentiell bedroht ist. Die Pflichten der Betreiber Kritischer Infrastrukturen knüpfen daher nicht an einer konkreten Sachlage, sondern an einer strukturellen Ungewissheit an. Infolge der Ungewissheit, dass überhaupt ein Risiko aufgrund einer unerkannten Sicherheitslücke besteht, werden die Angriffe auf IT häufig nie oder erst viel später entdeckt. Eine Rückverfolgbarkeit der Angriffe zu einer bestimmten Person ist dann oftmals nicht möglich,445 sodass der Angriff nicht mehr personalisiert werden kann. Die Verantwortlichkeit zur Sicherung und Abwehr des Angriffs wird daher auf das Kollektiv der Betreiber Kritischer Infrastrukturen verlagert.446 Dabei ist es nicht Ziel, mittels der Pflichten für die Betreiber Kritischer Infrastrukturen eine risikofreie Lage für deren IT herzustellen.447 Stattdessen soll die Ungewissheit über Risikolagen und Kausalverläufe hin zu einer Beeinträchtigung der Schutzziele der IT-Sicherheit vermindert und das Risiko steuerbar gemacht werden. Hierbei sind die Maßnahmen stets am Stand der Technik auszurichten, vgl. § 8a Abs. 1 S. 2 BSIG, sodass das IT-Sicherheitsniveau ständig optimiert und angepasst wird. Nicht zuletzt sind wissensgenerierende Elemente in der Meldepflicht an das BSI, § 8b Abs. 4 BSIG, enthalten, um diesen Optimierungsprozess von behörd licher Seite begleiten und fördern zu können. Mit der Kontaktstelle bekommt dieser einen institutionellen Rahmen. 444 Vgl. Höhne / Pöhls, Grund und Grenzen staatlicher Schutzpflichten für die ITInfrastruktur, in: Taeger, Digitale Evolution, S. 827, 835. 445 Vgl. zum Erkennen und zur Rückverfolgbarkeit von Angriffen auf die IT- Sicherheit § 1 B. II. 2., 3. 446 Vgl. zur einfachgesetzlichen Normierung einer privaten Verantwortlichkeit § 7 D.; eine „Verantwortlichkeit“ der Betreiber annehmend Wagner, Anforderungen und Möglichkeiten eines Rechtsrahmens für IT-Sicherheit: Bedarf es eines IT-Sicherheitsrahmengesetzes?, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informa tionsgesellschaft – Schutz kritischer Infrastrukturen, S. 144, 151. 447 Enzinger / Skopik / Fiedler, DuD 2015, S. 723.
122
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
Die schwierige Erkennbarkeit von digitalen Angriffen auf die IT und das Problem der Rückverfolgbarkeit wie der Vorhersehbarkeit der Auswirkungen führen daher zu einer Untauglichkeit des Gefahrenabwehrrechts für einen effektiven Schutz der IT-Sicherheit. Hier hat das Recht der Risikosteuerung, da ihm gerade die Ungewissheit über einen Sachverhalt mangels Erkennbarkeit oder nicht wahrgenommener Erkenntnismöglichkeit immanent ist, seine Bedeutung.448 Die Pflichten der Betreiber Kritischer Infrastrukturen knüpfen nicht an einer Gefahr für die IT-Sicherheit, sondern an einem hierauf bezogenen Risiko an. Die Betreiberpflichten zur IT-Sicherheit sind somit strukturell als Risikosteuerungsrecht zu qualifizieren.449 Durch diese normstrukturelle Einordnung unterscheidet sich das Recht der IT-Sicherheit Kritischer Infrastrukturen maßgeblich von der klassischen Sicherheitsgewährleistung durch das Sicherheits- und Polizeirecht, das auf die Abwehr von Gefahren450 angelegt ist. Wie es für das Risikosteuerungsrecht typisch ist,451 richten sich die Pflichten zur IT-Sicherheit nicht an den Störer im polizeirechtlichen Sinne, sondern an den Betreiber der zu sichernden Anlagen.452 Daher muss hier nicht untersucht werden, ob der Betreiber einer Kritischen Infrastruktur der Risikoverursacher ist.453 Doch ist diese Einordnung als Risikosteuerungsrecht nicht umfassend zutreffend. Sie bedarf einer Einschränkung. Wie in § 7 A. I. 2. a) bb) gezeigt werden wird, richten sich die organisatorischen und technischen Vorkehrungen über den Wortlaut des § 8a Abs. 1 S. 1 BSIG hinaus nicht nur auf die „Vermeidung von Störungen“ der IT-Sicherheit, sondern auch auf die Erkennung und Behebung dieser.454 Die Erkennung und Behebung einer Störung ist dabei nicht als Maßnahme der Risikosteuerung, sondern der Abwehr einer Gefahr als Vermeidung einer (weiteren) Beeinträchtigung der Erbringung von kritischen Infrastrukturdienstleistungen zu sehen. Dies ändert jedoch nicht den Charakter der Betreiberpflichten als Risikosteuerungsrecht, da sich 448 Calliess,
Rechtsstaat und Umweltstaat, S. 158, 164. Die Verwaltung 50 (2017), S. 155, 181. 450 Preuß, Risikovorsorge als Staatsaufgabe, in: Grimm, Staatsaufgaben, S. 523, 527. 451 Vgl. § 5 BImSchG oder § 7d AtG. Letztere Norm stellt nicht unmittelbar auf den Betreiber, sondern auf den Genehmigungsinhaber zum Betrieb der Anlage ab. Vgl. Lepsius, VVDStRL 63 (2004), S. 266, 295. 452 Lepsius, VVDStRL 63 (2004), S. 266, 300 sieht die Ausrichtung der Zurechnung am Verursacherprinzip als bedenklich an. 453 Vgl. zur fehlenden Eignung des Verantwortlichkeitskriteriums im Rahmen der Gewährleistung der IT-Sicherheit Wischmeyer, Die Verwaltung 50 (2017), S. 155, 181. 454 BT-Drs. 18 / 4096, S. 25; Roos, MMR 2015, S. 636, 638. 449 Wischmeyer,
§ 3 Rechtssystematische Einordnung123
die Vorkehrungen primär gegen die Vermeidung von Störungen der IT- Sicherheit richten. Stattdessen wird nur deutlich, dass zur effektiven Gewährleistung der IT-Sicherheit und der Funktionsfähigkeit Kritischer Infrastrukturen auch Elemente der Gefahrenabwehr durch die Betreiber nötig sind.
B. Abgrenzung von und Schnittmengen mit anderen Regelungsmaterien Die Einordnung der Pflichten zur Sicherung der IT allein anhand der Regelungsstruktur in die Sicherheitsarchitektur kann sie nur unzureichend beschreiben. Darüber hinaus muss auch im Hinblick auf den Regelungsgegenstand eine Abgrenzung zu verwandten Regelungsmaterien wie dem Datenschutzrecht und dem Zivil- und Katastrophenschutzrecht erfolgen. I. Datenschutzrecht IT-Sicherheit und Datensicherheit wurden bereits in § 2 A. II. 3. gegenübergestellt. Für die Abgrenzung der Pflichten zur Sicherung der IT vom Datenschutzrecht kann hierauf jedoch nicht verwiesen werden. Zwar ist die Datensicherheit Teil des Datenschutzrechts, doch sind zum Verhältnis zum Datenschutzrecht einige weitere Punkte von Bedeutung. Die IT-Sicherheit Kritischer Infrastrukturen umfasst die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informationen für die IT Kritischer Infrastrukturen. Stellt man dies dem Recht auf informationelle Selbstbestimmung gegenüber, das dem Datenschutz zugrunde liegt, so ergeben sich Bereiche der Deckungsgleichheit als auch solche, die auseinanderfallen. Während die Pflichten zur IT-Sicherheit darauf ausgerichtet sind, sämtliche Informationen zu schützen, die einer informationstechnischen Nutzung unterliegen, ist der Schutzzweck des Datenschutzrechts auf personenbezogene Daten455 begrenzt. Dabei ist der Datenschutz darauf gerichtet, dass der Gehalt des Rechts auf informationelle Selbstbestimmung gewahrt bleibt, also der Einzelne vor den Gefahren, die die Datenverarbeitung für ihn mit sich bringt, geschützt wird.456 Vor diesem Hintergrund wird die Vertraulichkeit des personenbezogenen Datums und hierdurch die informationelle Autonomie und Integrität des Betroffenen gewährleistet.457 Deshalb ist eine Daten455 Nach dem dieser Arbeit zugrundeliegenden Verständnis sind Daten als Vorstufe von Informationen anzusehen. 456 Gola / Schomerus, BDSG, § 1, Rdnr. 1; Art. 1 Abs. 1 VO (EU) 2016 / 679. 457 Vgl. zum konstitutiven Bezug des Datenschutzrechts auf das Recht auf informationelle Selbstbestimmung Wischmeyer, Die Verwaltung 50 (2017), S. 155, 178.
124
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
erhebung, -verarbeitung und -nutzung nur dann zulässig, wenn und soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt, anordnet oder der Betroffene eingewilligt hat, § 4 Abs. 1 BDSG und vgl. Art. 6 Abs. 1 VO (EU) 2016 / 679. Voraussetzung hierfür ist, dass die technischen und organisatorischen Vorkehrungen im Sinne der Datensicherheit gewährleistet sind.458 Zwar schützt das IT-Sicherheitsgesetz auch die Vertraulichkeit. Dennoch erfolgt dieser Schutz mit einer andersartigen Prägung. Anders als im Datenschutz soll nicht die Selbstbestimmung geschützt, sondern eine unbefugte Kenntnisnahme einer Information verhindert werden.459 Damit werden mit der Vertraulichkeit im IT-sicherheitsrechtlichen Sinne vorrangig Zwecke des Geheimnisschutzes und nicht wie beim Datenschutz die Wahrung des informationellen Selbstbestimmungsrechts verfolgt. Bei Letzterem ist der Geheimnisschutz lediglich Mittel zum Zweck.460 Die Pflichten zur IT-Sicherheit und der Datenschutz lassen sich daher nicht trennscharf voneinander abgrenzen. Maßnahmen, die die Vertraulichkeit eines personenbezogenen Datums oder einer Information sicherstellen sollen, können sowohl aufgrund datenschutzrechtlicher als auch IT-sicherheitsrechtlicher Erfordernisse getroffen werden. Insofern weisen beide Rechtsmaterien einen Überschneidungsbereich auf, der sich mit dem technischen Datenschutz, also der Datensicherheit, umgrenzen lässt.461 In ihrem Schutzgegenstand reichen sowohl die Pflichten zur IT-Sicherheit wie auch der Datenschutz aber noch weiter. Die IT-Sicherheit bezieht sich nicht nur auf personenbezogene Daten. Sie müssen nur einer informationstechnischen Verwendung zugänglich sein. Der Datenschutz erfasst indessen sämtliche personenbezogenen Daten unabhängig von ihrer informationstechnischen Verwendungsfähigkeit. Die Pflichten zur IT-Sicherheit und das Datenschutzrecht können als verwandte Materien angesehen werden, schützen die Vertraulichkeit aber vor einem anderen Hintergrund und weichen daher in der Reichweite des gewährten Schutzes voneinander ab.
458 Vgl. Karg, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, § 9 BDSG, Rdnr. 12; vgl. Kramer / Meints, in: Hoeren / Sieber / Holznagel, Handbuch MultimediaRecht, Teil 16.5 Datensicherheit, Rdnr. 7; vgl. Art. 5 Abs. 1 lit. f VO (EU) 2016 / 679. 459 BT-Drs. 13 / 11002, S. 43. 460 Gola / Schomerus, BDSG, § 9, Rdnr. 1. 461 Vgl. Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 176.
§ 3 Rechtssystematische Einordnung125
II. Recht des Bevölkerungsschutzes Die Pflichten zur IT-Sicherheit sind auch dem Katastrophen- und Zivilschutzrecht gegenüber zu stellen. Eine solche Betrachtung erscheint zunächst als fernliegend, stellt sich doch die Frage, was die IT-Sicherheit Kritischer Infrastrukturen mit dem Katastrophen- bzw. Zivilschutz zu tun hat. Die Verbindung wird dabei weniger über die IT-Sicherheit, sondern vielmehr über die Kritischen Infrastrukturen hergestellt. Aufgrund der Bedeutung der Kritischen Infrastrukturen für das Funktionieren des Gemeinwesens, kann ihr Ausfall Katastrophen in sozialer wie ökonomischer Hinsicht hervorrufen.462 Das Bevölkerungsschutzrecht ist in Deutschland durch eine zweigeteilte Gesetzgebungskompetenz463 und Behördenzuständigkeit geprägt.464 Der Bund ist nach dem ZSKG465 für den Zivilschutz im Verteidigungsfall, die Länder dagegen für den Katastrophenschutz in Friedenszeiten zuständig. Trotz dieser im Grundsatz getrennten gesetzgeberischen und behördlichen Zuständigkeiten sind der Zivil- und Katastrophenschutz faktisch miteinander verzahnt, § 11 Abs. 1 S. 1, § 12 ZSKG.466 Sie sind auf den Schutz der Bevölkerung unter verschiedenen Umständen ausgerichtet.467 Ziel der Betreiberpflichten zur Gewährleistung der IT-Sicherheit ist, den Ausfall der für den Betrieb einer Kritischen Infrastruktur notwendigen IT durch entsprechende Vorkehrungen zu verhindern.468 Dies soll unabhängig davon geschehen, ob der Angriff auf die IT durch einen Staat, dann läge ein Verteidigungsfall vor, oder durch Private in Friedenszeiten erfolgt.469 Durch die Ausrichtung auf Katastrophenvermeidung setzen die Pflichten zur Sicherung der IT früher als der Zivil- oder Katastrophenschutz an. Dabei kann das Verhältnis der Betrei462 Lenz,
Vulnerabilität Kritischer Infrastrukturen, S. 13. Handbuch des Katastrophenrechts, § 7, Rdnr. 6; Rusteberg, Zivile Sicherheit in der Sicherheitsarchitektur des deutschen Bundesstaates, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 113, 130. 464 Kloepfer, Handbuch des Katastrophenrechts, § 4, Rdnr. 5 f. 465 Zivilschutz- und Katastrophenhilfegesetz vom 25. März 1997 (BGBl. I S. 726), das zuletzt durch Artikel 2 Nummer 1 des Gesetzes vom 29. Juli 2009 (BGBl. I S. 2350) geändert worden ist. 466 Pohlmann, Rechtliche Rahmenbedingungen der Katastrophenbewältigung, S. 92f., 98; Rusteberg, Zivile Sicherheit in der Sicherheitsarchitektur des deutschen Bundesstaates, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 113, 132. 467 Pohlmann, Rechtliche Rahmenbedingungen der Katastrophenbewältigung, S. 92 f.; vgl. Kloepfer, Handbuch des Katastrophenrechts, § 1, Rdnr. 29. 468 BT-Drs. 18 / 4096, S. 25; vgl. Lenz, Vulnerabilität Kritischer Infrastrukturen, S. 13 allgemein zum Schutz Kritischer Infrastrukturen. 469 Denn die Pflichten zur Sicherung der IT knüpfen nicht an die Person des Angreifers an, sondern wirken sowohl gegenüber Privaten als auch staatlichen Organen. 463 Kloepfer,
126
Teil 1: IT-Sicherheit Kritischer Infrastrukturen als Herausforderung
berpflichten zur Gewährleistung der IT-Sicherheit zum Zivil- und Katastrophenschutz mit demjenigen des Risikosteuerungs- zum Gefahrenabwehrrecht verglichen werden. Der Zivil- und Katastrophenschutz bezweckt die Bewältigung des Verteidigungsfalles oder einer Katastrophe ähnlich der Abwehr einer Gefahr. Mit den Pflichten des IT-Sicherheitsgesetzes soll jedoch gerade ein Ausfall der Kritischen Infrastruktur und damit der Eintritt des Zivil- bzw. Katastrophenschutzfalles vermieden werden. Damit wird das Risiko in Form einer Ungewissheit über den Eintritt eines Zivil- oder Katastrophenschutzfalles im Gefahrenvorfeld gesteuert. Zugleich beschränkt sich das IT-Sicherheitsgesetz auf die IT bestimmter Infrastrukturen und normiert damit lediglich eine eng umrissene Ursache i. S. d. Störung der IT-Sicherheit für einen Bereich, der einer besonderen Bedrohungslage ausgesetzt ist.470 Dahingegen ist das Zivil- und Katastrophenschutzrecht in Hinsicht auf die Ursache und den betroffenen Bereich offen.471 Im Verhältnis zum Katastrophen- und Zivilschutzrecht können die Pflichten zur Sicherung der IT als spezielles Risikosteuerungsrecht zur Vermeidung von Katastrophen- und Zivilschutzfällen qualifiziert werden, die durch Bedrohungen für die zum Betrieb einer Kritischen Infrastruktur notwendige IT ausgelöst werden können. Es dient damit einem präventiven Zivil- und Katastrophenschutz472 und ist hierfür auf die Gewährleistung der Versorgungs sicherheit mit kritischen Infrastrukturdienstleistungen ausgerichtet.473 Insofern sind die Pflichten zur Gewährleistung der IT-Sicherheit kein Selbstzweck, sondern dienen der Versorgungssicherheit. III. Das IT-Sicherheitsgesetz als Vermengung verschiedener Rechtsmaterien Wie die Bezüge zum Datenschutz- sowie zum Zivil- und Katastrophenschutzrecht deutlich machen, können die Pflichten des IT-Sicherheitsgesetzes, anders als es der Gesetzestitel vermuten ließe, nicht als reines Sicherheitsrecht qualifiziert werden. Sicher ist, dass durch die Risikosteuerung im Hinblick auf die IT-Sicherheit zweifelsohne sicherheitsrechtliche Aspekte berührt sind. Während sich die Bezüge zum Datenschutzrecht zwar teilweise im Schutzgegenstand überschneiden, liegen die wesentlichen Gemeinsamkeiten 470 Siehe
III.
471 Vgl.
15.
zur Bedrohungslage der IT-Sicherheit Kritischer Infrastrukturen § 1 B.
Kloepfer, Einleitung, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 9,
472 Lenz, Vulnerabilität Kritischer Infrastrukturen, S. 13; zur Überschneidung mit dem „Technikrecht“ Kloepfer, Handbuch des Katastrophenrechts, § 1, Rdnr. 41. 473 Vgl. BT-Drs. 18 / 4096, S. 2; vgl. auch § 2 A. II. 4.
§ 3 Rechtssystematische Einordnung127
vielmehr auf Ebene der technischen und organisatorischen Umsetzung. Da rüber hinaus fließen durch den Adressatenkreis der Betreiber Kritischer In frastrukturen auch Schutzziele der Versorgungssicherheit zur Vermeidung eines Zivil- und Katastrophenfalles ein. Es soll die Versorgung mit kritischen Infrastrukturdienstleistungen sichergestellt werden. Diese Stellung zwischen sicherheitsrechtlichen Aspekten und der Gewährleistung der Versorgungssicherheit als Ausdruck des präventiven Bevölkerungsschutzes zeigt sich auch in der objektiv-rechtlichen Verankerung der IT-Sicherheit Kritischer Infrastrukturen auf verfassungsrechtlicher Ebene. Zugleich läuft der Datenschutz in Bezug auf die Datensicherheit personenbezogener Daten weitgehend parallel zur IT-Sicherheit. Die Pflichten zur ITSicherheit sind eine Rechtsmasse, die sich als Schmelztiegel ihrem Normcharakter nach verschiedener Rechtsgebiete darstellt.474 Im Hinblick auf die Herausforderungen der Gewährleistung der IT-Sicherheit wurden sie jedoch sinnvoll in einem gesetzgeberischen Akt zur Risikosteuerung zusammengeführt.
474 Vgl.
Wischmeyer, Die Verwaltung 50 (2017), S. 155, 179 f., 186.
Teil 2
IT-Sicherheit Kritischer Infrastrukturen zwischen staatlicher Verantwortung und privater Pflichtigkeit Mit der Einordnung der IT-Sicherheit Kritischer Infrastrukturen als Rechtsmaterie zwischen staatlicher Verantwortung und privater Pflichtigkeit soll die Beeinflussung des Zusammenwirkens der staatlichen und privaten Beiträge durch die verfassungs- und unionsprimärrechtlichen Grundlagen gezeigt werden. Die IT-Sicherheit wird nicht nur durch private Beiträge, die Umsetzung der auferlegten Pflichten, sondern auch durch staatliche Beiträge, wie dem Ordnungsrahmen der Betreiberpflichten, gewährleistet. Um die dogmatische Struktur dieser Rechtsmaterie zu durchdringen, stellen diese rechtlichen Grundlagen einen Ausgangspunkt dar. Dafür ist zum einen zu untersuchen, inwiefern staatliche Beiträge zur ITSicherheit Kritischer Infrastrukturen in grundrechtlichen Gewährleistungsgehalten verankert werden können bzw. durch diese beeinflusst werden. Zum anderen muss beleuchtet werden, in welchem Umfang eine staatliche Infrastrukturgewährleistungsverantwortung für Kritische Infrastrukturen besteht, die die IT-Sicherheit umfasst. Komplementär hierzu soll untersucht werden, ob und inwieweit für die privaten Beiträge der Infrastrukturbetreiber ebenfalls eine verfassungsrecht liche Fundierung in Form einer Pflichtigkeit besteht. Beide dogmatischen Begründungsansätze für eine staatliche Verantwortung bzw. eine private Pflichtigkeit finden nicht nur auf nationalrechtlicher Ebene, sondern auch auf derjenigen des Rechts der EU Anwendung. Dabei wird begrifflich zwischen der Verantwortung und Pflichtigkeit differenziert. Diese begriffliche Differenzierung soll deutlich machen, dass die verfassungsrechtlichen Gehalte, die eine staatliche Verantwortung begründen, einen verfassungsunmittelbaren Auftrag und damit eine objektiv-rechtliche Komponente in Form eines Einstehenmüssens für die Folgen der Nichterfüllung beinhalten.1 Denn mit der Verantwortung für etwas wird ein Auftrag für die Erreichung oder Gewährleistung eines gewünschten Zustandes festge1 Vgl. Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 266 f.; vgl. für das Verständnis der Verantwortung im Allgemeinen aus ethischer Sicht Jonas, Das Prinzip Verantwortung, S. 172.
§ 4 Objektiv-rechtliche Grundlagen129
schrieben.2 Demgegenüber fehlt diese Komponente der Pflichtigkeit. Sie ist lediglich auf ein Duldungselement beschränkt. Der Pflichtige muss deren einfachgesetzliche Ausgestaltung dulden.3 Erst die einfachgesetzliche Ausgestaltung dieser Pflichtigkeit, kann ein den Pflichtigen rechtlich bindendes Element des Einstehenmüssens enthalten.4 Zeigt sich der Pflichtenkanon zur IT-Sicherheit Kritischer Infrastrukturen als einfachgesetzliche Ausformung einer verfassungsrechtlichen Pflichtigkeit, so können hieraus Argumente für die Zulässigkeit der Auferlegung der Pflichten gezogen werden. Freilich ist dies für eine Inpflichtnahme nicht zwingend, doch kann eine solche Pflichtigkeit zur Rechtfertigung von Grundrechtseingriffen beitragen.5
§ 4 Objektiv-rechtliche Grundlagender Betreiberpflichten zur IT-Sicherheit Kritischer Infrastrukturen im Verfassungs- und Unionsprimärrecht IT-Sicherheit Kritischer Infrastrukturen liegt nicht nur am Schnittpunkt von Sicherheitsrecht und Gewährleistung der Versorgung mit Infrastrukturdienstleistungen, sondern stellt sich auch als Gemengelage von staatlichen und privaten Beiträgen dar, die bereits auf verfassungsrechtlicher Ebene angelegt ist. Daher wird hier untersucht, inwieweit die grundrechtlichen Schutzpflichten sowie die Infrastrukturgewährleistungsverantwortung einen staatlichen Beitrag voraussetzen.
A. Objektive Schutzgehalte der Grundrechte des Grundgesetzes zugunsten der IT-Sicherheit Um eine verfassungsrechtliche Verankerung staatlicher Beiträge zur ITSicherheit zu erkennen, müssen die objektiven Grundrechtsgehalte daraufhin untersucht werden, ob sie Gewährleistungen zur IT-Sicherheit Kritischer Infrastrukturen enthalten. Trifft dies zu, ist in einem weiteren Schritt zu untersuchen, inwiefern sie Betreiberpflichten zum Schutz der IT-Sicherheit Kriti2 Bayertz, Eine kurze Geschichte der Herkunft der Verantwortung, in: Bayertz, Verantwortung, S. 3, 33. 3 Vgl. zur Pflichtigkeit, wonach die Inanspruchnahme des Einzelnen infolgedessen regelmäßig als „zumutbarer, verhältnismäßiger Grundrechtseingriff anzusehen ist“ Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 334. 4 Vgl. bzgl. der „Nichtstörungs-Pflichtigkeit“ Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 337. 5 Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 337 f.
130
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
scher Infrastrukturen verankern. Nur soweit dies möglich ist, kann aus diesen Schutzgewährleistungen eine zusätzliche Legitimation, möglicherweise in Form eines rechtfertigenden Elements, folgen. Dafür müssen die aus den objektiven Grundrechtsgehalten erwachsenden Schutzpflichten in Bezug auf ihre unterschiedlichen Wirkverhältnisse zugunsten der Betreiber Kritischer Infrastrukturen oder zugunsten der Infrastrukturnutzer betrachtet werden. Im Rahmen der einzelnen Schutzpflicht ist anhand des objektiven Schutzgehaltes zu ermitteln, ob und in welcher Hinsicht ein Schutz der IT-Sicherheit, namentlich der Information und ihrer Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit, erfolgt. Dieser kann auch mittelbar auf der Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen basieren, für die die Gewährleistung der IT-Sicherheit notwendig ist. I. Schutzpflichten gegenüber Betreibern Kritischer Infrastrukturen Schutzpflichten gegenüber den Betreibern Kritischer Infrastrukturen, die IT einsetzen, können sich zum einen aus den Wirtschaftsgrundrechten des Art. 12 Abs. 1 GG und des Art. 14 Abs. 1 GG, aus der Informationsfreiheit, Art. 5 Abs. 1 S. 1 Alt. 2 GG, aus dem Fernmeldegeheimnis, Art. 10 Abs. 1 Var. 3 GG, aber auch aus besonderen Ausprägungen des allgemeinen Persönlichkeitsrechts, Art. 2 Abs. 1 (i. V. m. Art. 1 Abs. 1) GG, ergeben. Betreiber Kritischer Infrastrukturen sind in der Regel keine natürlichen, sondern juristische Personen. Auf inländische juristische Personen des Privatrechts sind die Grundrechte ihrem Wesen nach aufgrund des Art. 19 Abs. 3 GG anzuwenden.6 Ob eine wesensmäßige Anwendbarkeit auf juristische Personen möglich ist, an denen der Staat beteiligt ist, kann nur unter der Hinzuziehung von Abgrenzungskriterien ermittelt werden. Hierbei wird auf verschiedene, sich teilweise ergänzende Kriterien abgestellt.7 Diese sind die grundrechtstypische Gefährdungslage8 und das personale Substrat. Bei letzterem wird zur Beurteilung der Grundrechtsfähigkeit auf die hinter der juristischen Person stehenden Personen durchgegriffen.9 Eine Grundrechtsfähigkeit der juristi6 Sachs,
in: Sachs, Grundgesetz, Art. 19 GG, Rdnr. 57. NJW 2017, S. 217, 218. 8 Vgl. BVerfGE 45, 63, 79 f. = NJW 1977, S. 1960, 1962; BVerfG NJW 2017, S. 217, 218; Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 19 Abs. 3 GG, Rdnr. 27; Sachs, in: Sachs, Grundgesetz, Art. 19 GG, Rdnr. 67; Isensee, § 199, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 84. 9 BVerfGE 21, 362, 368 f. = NJW 1967, S. 1411, 1412; BVerfGE 68, 193, 206 = NJW 1985, S. 1385. 7 BVerfG
§ 4 Objektiv-rechtliche Grundlagen131
schen Person wird dann abgelehnt, wenn diese staatlich beherrscht wird.10 Umstritten ist, ob zusätzlich eine öffentliche Zweckbindung vorliegen muss. Nahm die Literatur11 dies in Übereinstimmung mit der früheren Rechtsprechung12 an und ordnete daher Infrastrukturunternehmen in der öffentlichen Hand als nicht grundrechtsfähig ein, soll dies nach der Fraport-Entscheidung des BVerfG nicht mehr notwendig sein.13 In der Regel befinden sich die Kritischen Infrastrukturen jedoch in privater Hand.14 Deren Betreiber können sich als inländische juristische Personen auf die Wirkung der Grundrechte berufen. Wird eine Kritische Infrastruktur durch ein gemischtwirtschaftliches Unternehmen betrieben, so ist dessen Grundrechtsfähigkeit im Einzelfall zu beurteilen. Soweit sich die Schutzpflichten auf die über Art. 12 Abs. 1 GG geschützte Berufsausübung, die über Art. 5 Abs. 1 S. 1 Alt. 2 GG geschützte Beschaffung von Informationen oder den Schutz der Informationsübermittlung durch Art. 10 Abs. 1 Var. 3 GG beziehen, sind sie gleichermaßen auf natürliche wie juristische Personen anwendbar. Gleiches gilt für die Inhaberschaft von vermögenswerten Rechtspositionen, deren Schutz über Art. 14 Abs. 1 GG erfolgt.15 Für diese Grundrechte ist die wesensmäßige Anwendbarkeit unstrittig anzunehmen. Dahingegen ist für die aus dem allgemeinen Persönlichkeitsrecht folgenden besonderen Schutzpflichten die Anwendbarkeit im Einzelnen zu untersuchen.16 Sofern das allgemeine Persönlichkeitsrecht Aspekte betrifft, die spezifisch menschliche Eigenschaften des Grundrechtsträgers 10 BVerfGE 128, 226, 246 f. = NJW 2011, S. 1201, 1203; BVerfG NVwZ 2009, S. 1282, 1283. 11 Lang, NJW 2004, S. 3601 zur Kritik am Durchgriffs- und Beherrschungsgedanken S. 3602, zum Kriterium der besonderen Bindung an öffentliche Zwecke S. 3603 f.; Möstl, Grundrechtsbindung öffentlicher Wirtschaftstätigkeit, S. 116 ff., 139 ff. 12 BVerfG NJW 1990, S. 1783. 13 BVerfGE 128, 226, 249 f. = NJW 2011, S. 1201, 1204; BVerfG NJW 2017, S. 217, 218, 220; vgl. Enders, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 19 GG, Rdnr. 48. 14 König / Popescu-Zeletin / Schliesky u. a., IT und Internet als kritische Infrastruktur, S. 9, die davon ausgehen, dass sich 80 % der Kritischen Infrastrukturen in privater Hand befinden; abweichend Schäuble, Schutz kritischer Infrastrukturen als Aufgabe der Politik, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 21, 24, der von einem Anteil von 80 % der Kritischen Infrastrukturen in privater Hand oder in privatwirtschaftlich organisierter Form ausgeht; jedenfalls befindet sich der überwiegende Teil der Kritischen Infrastrukturen in der Hand von privaten und damit grundrechtsberechtigen Betreibern. 15 Sachs, in: Sachs, Grundgesetz, Art. 19 GG, Rdnr. 69; Isensee, § 199, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 93. 16 Vgl. BVerfGE 118, 168, 203 f. = NJW 2007, S. 2464, 2471; Isensee, § 199, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 86; die Anwendbarkeit
132
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
voraussetzen, ist seine wesensmäßige Anwendbarkeit abzulehnen.17 Anderenfalls würde die individualistische Ausrichtung der Grundrechte gesprengt.18 Ist dies nicht der Fall, ist eine Anwendung zugunsten juristischer Personen möglich. Schließlich wird die Anwendbarkeit nicht dadurch verhindert, dass mit der Infrastruktur Dienstleistungen erbracht werden, die von hoher Bedeutung für das Gemeinwesen sind und daher im öffentlichen Interesse stehen.19 1. Art. 14 Abs. 1 GG Art. 14 Abs. 1 GG ist ein normgeprägtes Grundrecht. Eigentum existiert nicht aus sich selbst heraus, sondern bedarf einer normativen Bestimmung. Diese wird vom Gesetzgeber durch Inhalts- und Schrankenbestimmungen vorgenommen. Auch wenn der Schutzgegenstand Eigentum durch den Gesetzgeber selbst festgelegt wird, so enthält Art. 14 Abs. 1 GG eine klassische Abwehrfunktion gegenüber staatlichem Handeln. Das Eigentum wird in seinem jeweiligen Bestand geschützt.20 Die Schutzrichtung umfasst sowohl die Substanz als auch den freien Gebrauch und die Ausschlussbefugnis Dritten gegenüber.21 Aufgrund der normativen Prägung des Eigentumsgrundrechts ist die schutzpflichtenrechtliche Dimension unter dieser Begrifflichkeit weit weniger ausgeprägt. Dennoch ist sie vorhanden, indem es grundrechtsimmanentes Ziel ist, dem Eigentümer eine effektive Ausübung seiner Rechtspositionen aus dem Eigentum zu ermöglichen.22 Unter dem Eigentum im verfassungsrechtlichen Sinne ist die rechtliche Zuordnung eines vermögenswerten Gutes zu einem Rechtsträger zu verstedahingegen generell ablehnend Enders, in: Epping / Hillgruber, Beck’scher OnlineKommentar Grundgesetz, Art. 19 GG, Rdnr. 40. 17 Sachs, in: Sachs, Grundgesetz, Art. 19 GG, Rdnr. 68; vgl. Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 19 Abs. 3 GG, Rdnr. 32. 18 Vgl. BVerfGE 21, 362, 369; 61, 82, 101; Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 19 Abs. 3 GG, Rdnr. 28. 19 Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 19 Abs. 3 GG, Rdnr. 44. 20 BVerfGE 24, 367, 400; Wendt, in: Sachs, Grundgesetz, Art. 14 GG, Rdnr. 9. 21 Wendt, in: Sachs, Grundgesetz, Art. 14 GG, Rdnr. 41; vgl. Depenheuer, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 14 GG, Rdnr. 61 ff. 22 BVerfGE 114, 1, 56 = NJW 2005, S. 2363, 2372; BVerfG NJW 2006, S. 1783, 1784 f.; Wendt, in: Sachs, Grundgesetz, Art. 14 GG, Rdnr. 42; Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 22; Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 16; Dirnberger, Recht auf Naturgenuss und Eingriffsregelung, S. 158 ff. m. w. N. insbesondere zu einer Ablehnung der Schutzpflicht in Fn. 172.
§ 4 Objektiv-rechtliche Grundlagen133
hen.23 Da die Zuordnung normativer und nicht faktischer Natur ist, basiert das Eigentum auf der vom Gesetzgeber geschaffenen Rechtsordnung.24 Verfassungsrechtlich ist Eigentum als „privat verfügbare ökonomische Grundlage individueller Freiheit“ zu verstehen.25 Es wird geprägt durch die Merkmale der Privatnützigkeit und ausschließlichen Verfügungsbefugnis.26 Hierauf basierend unterfällt jede Rechtsposition, die einem Berechtigten normativ zur privaten Nutzung und Verfügung zugeordnet ist und einen Vermögenswert innehat, dem Eigentumsgrundrecht.27 Konkret sind dies neben dem Eigentum im Sinne des § 903 BGB auch sonstige Rechte, die nach den gesellschaft lichen Anschauungen einen Vermögenswert haben und rechtlich einem Berechtigten zugeordnet sind.28 Anknüpfungspunkte für eine aus dem Eigentumsgrundrecht folgende Schutzpflicht zur IT-Sicherheit sind zum einen die gegenständlichen Einrichtungen der Infrastruktur, die neben den Anlagen, mit denen die Infrastrukturdienstleistungen erbracht werden, auch die IT umfassen, zum anderen der Schutzgegenstand der IT-Sicherheit mit der Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Informationen selbst. a) Infrastruktureinrichtungen Eine Schutzpflicht ergibt sich aus dem Eigentum an den gegenständ lichen Infrastruktureinrichtungen. Sie gewährleistet die Verfügungsgewalt über und die Privatnützigkeit der Infrastruktureinrichtungen und berührt dadurch den Bereich der IT-Sicherheit. Da die IT in diesen Anlagen eingesetzt ist und deren Funktionsfähigkeit von der IT abhängt, werden die IT und deren Sicherheit mittelbar von der eigentumsrechtlichen Schutzpflicht erfasst. Denn nur bei einer Gewährleistung der IT-Sicherheit können die Infrastruktureinrichtungen in ihrer vom Betreiber zugedachten Funktion ge-
23 Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 42; Leisner, § 173, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band VIII, Rdnr. 10. 24 Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 7. 25 BVerfGE 97, 350, 370 f. = NJW 1998, S. 1934, 1936; vgl. BVerfGE 102, 1, 15 = NJW 2000, S. 2573, 2574; vgl. BVerfGE 68, 193, 222 = NJW 1985, S. 1385. 26 BVerfGE 102, 1, 15 = NJW 2000, S. 2573, 2574. 27 BVerfGE 68, 193, 222 = NJW 1985, S. 1385; BVerfGE 78, 58, 71 = NJW 1988, S. 2594, 2595. 28 BVerfGE 83, 201, 208 f., Ls. 1 = NJW 1991, S. 1807 Ls. 1; Wendt, in: Sachs, Grundgesetz, Art. 14 GG, 23, 28; Hofmann, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 14 GG, Rdnr. 11.
134
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
nutzt und die durch das Eigentumsgrundrecht gewährten Freiheiten ausgeübt werden.29 b) IT-Einrichtungen Als gegenständliche Objekte unterfallen die Hardwarekomponenten der IT ebenfalls einer staatlichen Schutzpflicht. Sie schützt die Verfügungsgewalt und Privatnützigkeit vor Gefährdungen Dritter. Die Hardware ist zwar nicht selbst Schutzgegenstand der IT-Sicherheit, dennoch umfasst eine diesbezügliche Schutzpflicht mittelbar auch die IT-Sicherheit. Werden die IT-Einrichtungen durch physische Einwirkung funktionsunfähig gemacht, so sind die hierin enthaltenen Informationen nicht mehr verfügbar.30 Dadurch wird mittelbar die IT-Sicherheit gefährdet. Insoweit gewährt Art. 14 Abs. 1 GG einen auf die IT-Sicherheit bezogenen physischen Systemschutz.31 Dieser ist komplementär zum digitalen Integritätsschutz des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme,32 sofern die IT im Eigentum des Betreibers steht. Zeitigt eine Beeinträchtigung der IT-Sicherheit hingegen keine Folgen für die Funktionsfähigkeit der Hardware selbst, so wird über Art. 14 Abs. 1 GG kein Schutz gewährt. c) Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Informationen Ob auch ein unmittelbarer Schutz der IT-Sicherheit aus den objektivrechtlichen Gehalten des Art. 14 Abs. 1 GG folgt, ist im Folgenden zu untersuchen. Voraussetzung ist, dass die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit einer Information dem Schutzobjekt Eigentum i. S. v. Art. 14 Abs. 1 GG unterfällt. aa) Eigentumsfähigkeit von Informationen Informationen sind eigentumsfähig, wenn sie einem Berechtigten als vermögenswerte Rechtsposition zu dessen privatnütziger Verfügung zugeordnet 29 Vgl. zur im Eigentum verdinglichten Freiheit Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 1; vgl. bzgl. einer zivilrechtlichen Eigentumsverletzung Bartsch, Software als Schutzgegenstand absoluter Rechte, in: Leible, Unkörperliche Güter im Zivilrecht, S. 247, 248. 30 Vgl. Bartsch, Software als Schutzgegenstand absoluter Rechte, in: Leible, Unkörperliche Güter im Zivilrecht, S. 247, 248. 31 Vgl. zum Schutz von Daten über das Eigentum Bartsch, CR 2008, S. 613, 614. 32 Zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme siehe § 4 A. I. 6.
§ 4 Objektiv-rechtliche Grundlagen135
sind. Informationen in wirtschaftlichem Zusammenhang sind ein geldwertes Wirtschaftsgut.33 Dies genügt für eine derartige Zuordnung aber nicht. Diese bedarf einer normativen gesetzgeberischen Ausgestaltung.34 Eine solche folgt auch nicht aus dem Recht auf informationelle Selbstbestimmung. Obwohl es demjenigen, auf den sich eine Information bezieht, eine Rechtsposition einräumt, ist diese nicht so stark, dass sie eine ausschließliche Nutzungsund Verfügungsbefugnis vermitteln würde. Sie vermittelt nur ein höchstpersönliches Verfügungsrecht.35 Auch das Datenschutzrecht verschafft für personenbezogene Daten keine ausschließliche Verfügungsbefugnis.36 Für Informationen ohne Personenbezug fehlt selbst diese normative Ausgestaltung als persönlichkeitsrechtliche Rechtsposition. Eine eigentumsrechtliche normative Zuordnung ist nur für Rechte des geistigen Eigentums erfolgt.37 Sofern damit an der Software, die eine Akkumulation von Informationen darstellt und den Prozess der Informationsverarbeitung bestimmt,38 oder den zu verarbeitenden Informationen Rechte des geistigen Eigentums bestehen, unterfallen diese dem grundrechtlichen Eigentumsschutz.39 Sie gewähren ein ausschließliches Nutzungsrecht sowie ein Recht, Dritte von der Nutzung auszuschließen.40 Allerdings steht das Urheberrecht an der Software in der Regel dem Hersteller und nicht dem Nutzer 33 Kloepfer / Neun, Informationsrecht, § 1, Rdnr. 55; Hoffmann-Riem, Der Staat als Garant von Sicherheit und Freiheit, in: Papier / Münch / Kellermann, Freiheit und Sicherheit, S. 19, 24 f. 34 Vgl. Leisner, § 173, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band VIII, Rdnr. 16; Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 50. 35 Vgl. Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 68; vgl. Simitis, NJW 1984, S. 398, 400. 36 Simitis, NJW 1984, S. 398, 400; vgl. zur Problematik Weichert, Wem gehören die privaten Daten, in: Taeger / Wiebe, Informatik – Wirtschaft – Recht, S. 281, 283 ff. 37 Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 197 ff.; Kloepfer / Neun, Informationsrecht, § 3, Rdnr. 58; Hofmann, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 14 GG, Rdnr. 17; Axer, in: Epping / Hillgruber, Beck’ scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 50. 38 Mössner, in: Gsell / Krüger / Lorenz u. a., BeckOGK-Zivilrecht, § 90 BGB, Rdnr. 78. 39 § 2 Abs. 1 Nr. 1 UrhG und § 1 Abs. 2 PatG; Kloepfer / Neun, Informationsrecht, § 3, Rdnr. 67, 69; zur Patentfähigkeit von Software Dreier, Sinnvolle Reichweite des Patentschutzes – Software, in: Eifert / Hoffmann-Riem, Geistiges Eigentum und Innovation, S. 245, 257 ff.; einen urheberrechtlichen Schutz der Software ablehnend Bartsch, Software als Schutzgegenstand absoluter Rechte, in: Leible, Unkörperliche Güter im Zivilrecht, S. 247, 251 ff. 40 Dreier, Sinnvolle Reichweite des Patentschutzes – Software, in: Eifert / Hoffmann-Riem, Geistiges Eigentum und Innovation, S. 245, 246, sowie zu Vor- und Nachteilen der Einordnung in das Urheber- bzw. das Patentrecht S. 249 f.
136
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
zu, der lediglich ein schuldrechtliches Nutzungsrecht erhält.41 Dieses stellt zivilrechtlich keine eigentumsrechtliche Position dar. Als schuldrechtlich eingeräumte Befugnis vermittelt sie lediglich eine relative und keine absolute Rechtsposition i. S. e. ausschließlichen Zuordnung.42 Dennoch ist die Nutzungsbefugnis rechtlich einer Person, dem Nutzungsberechtigten, zur privatnützigen, vertragsgemäßen vermögenswerten Verwendung durch die Rechtsordnung zugeordnet. Somit unterfällt die schuldrechtliche Nutzungsbefugnis dem weiteren verfassungsrechtlichen Eigentumsbegriff.43 Für sonstige Informationen, wie sie für den Betrieb einer Infrastruktur und der hierfür eingesetzten IT nötig sind, erfolgt keine normative Zuordnung.44 Eine solche können auch andere Grundrechte sowie das Strafrecht oder die öffentlichen Sicherheit nicht leisten.45 Eine ausreichende normative Zuordnung kann insbesondere nicht aus § 823 Abs. 1 BGB i. V. m. dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme oder dem Recht auf informationelle Selbstbestimmung folgen, da diese keine ausschließliche Nutzungs- und Verfügungsbefugnis im Sinne eines absoluten Rechts gewähren.46 Mangels derartiger normativer Zuordnung unterfällt die Information dem verfassungsrechtlichen Eigentumsbegriff nicht. Zugunsten der Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Informationen ergibt sich grundsätzlich keine Schutzpflicht aus Art. 14 Abs. 1 GG. Lediglich Informationen, an denen Rechte des geistigen Eigentums bestehen, werden vom objektiven Schutzgehalt des Eigentumsgrundrechts erfasst. 41 Zur Überlassung einer schuldrechtlichen Nutzungsbefugnis Mössner, in: Gsell / Krüger / Lorenz u. a., BeckOGK-Zivilrecht, § 90 BGB, Rdnr. 85. 42 Obligatorische Rechte können dem verfassungsrechtlichen Eigentumsbegriff unterfallen, wenn sie es dem Inhaber erlauben, sie eigenverantwortlich zu ihrem eigenen Nutzen auszuüben. Depenheuer, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 14 GG, Rdnr. 152. 43 Vgl. BVerfGE 83, 201, 208 f.; 89, 1, 6; Depenheuer, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 14 GG, Rdnr. 152; Hofmann, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 14 GG, Rdnr. 15; Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 201; ein bloßes „Nutzungseigentum“ ablehnend Leisner, § 173, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band VIII, Rdnr. 41. 44 In Bezug auf das personenbezogene Datum: BVerfGE 65, 1, 43 f. = NJW 1984, S. 419, 422; Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 68 m. w. N. in Fn. 228; bzgl. Betriebs- und Geschäftsgeheimnissen Wolff, NJW 1997, S. 98, 100. 45 Vgl. für die Information als Gegenstand des Strafrechts und der öffentlichen Sicherheit § 2 A. II. 1. a). 46 Vgl. zum Recht auf informationelle Selbstbestimmung Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 68.
§ 4 Objektiv-rechtliche Grundlagen137
bb) Das Recht am eingerichteten und ausgeübten Gewerbebetrieb Ein Schutz der Information aus dem objektiven Grundrechtsgehalt des Art. 14 Abs. 1 GG ist lediglich mittelbar über den eingerichteten und ausgeübten Gewerbebetrieb denkbar. Ohne verfügbare, unversehrte und vertrau liche Informationen kann die Infrastruktur nicht betrieben werden. Zu untersuchen ist, wie weit der objektive Schutzgehalt des Rechts am eingerichteten und ausgeübten Gewerbebetrieb reicht und ob dieses Rechtsinstitut Teil des verfassungsrechtlich geschützten Eigentums ist. (1) I nformationen als Schutzobjekt des Rechts am eingerichteten und ausgeübten Gewerbebetrieb Das Recht am eingerichteten und ausgeübten Gewerbebetrieb schützt die personellen und gegenständlichen Grundlagen eines Betriebes,47 wie sie die wirtschaftliche Tätigkeit in einer „Sach- und Rechtsgesamtheit“ verkörpern und als Organisation einen eigenen Vermögenswert bilden.48 Schutzrichtung ist das ungestörte Funktionieren des Betriebs als zusammengehörige Organisation. Erfasst werden daher lediglich Beeinträchtigungen, die sich gegen das Funktionieren der Betriebsorganisation richten.49 Der objektive Gehalt des Rechts am eingerichteten und ausgeübten Gewerbebetrieb erweitert den Schutz von den Einzelgegenständen auf den wirtschaftlichen Mehrwert, der aus ihrer Verbindung folgt.50 Von Art. 14 Abs. 1 GG wird allerdings allein der Bestand und keine Erwerbsaussicht geschützt.51 Die Verfügbarkeit, Unversehrtheit und Vertraulichkeit von Informationen unterfallen nur dann dem Schutz des eingerichteten und ausgeübten Gewerbebetriebes, wenn sie sich auf das Funktionieren der Betriebsorganisation beziehen.52 Legt man zugrunde, dass die Betriebsabläufe von einer funktio47 BVerfGE
45, 142, 173 = NJW 1977, S. 2024, 2027. § 10, in: Benda / Maihofer / Vogel, Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, Rdnr. 95; Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 95. 49 Vgl. Badura, § 10, in: Benda / Maihofer / Vogel, Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, Rdnr. 95. 50 Engel, AöR 118 (1993), S. 169, 207 f. 51 Badura, § 10, in: Benda / Maihofer / Vogel, Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, Rdnr. 96; Badura, Das Unternehmenseigentum unter den Bedingungen der staatlichen Wachstumsvorsorge und der sozialen Arbeitsordnung, in: Durner / Peine / Shirvani, Freiheit und Sicherheit in Deutschland und Europa, S. 207, 208 f.; Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 100. 52 Beyerbach, Die geheime Unternehmensinformation, S. 184 f. 48 Badura,
138
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
nierenden IT und so mittelbar von der IT-Sicherheit dieser abhängig sind, könnte man zu dem Schluss kommen, dass sämtliche Informationen, die mit der IT verarbeitet werden, dem objektiven Gehalt des eingerichteten und ausgeübten Gewerbebetriebs zuzurechnen sind.53 Der Schutz würde dann derartig ausgeweitet, dass er konturlos sämtliche Informationen mit Zusammenhang zum Infrastrukturbetrieb erfasst. Eine Begrenzung des Schutzes auf die personellen und sachlichen Grundlagen würde verloren gehen. Daher können lediglich solche Informationen geschützt werden, die zu den personellen und sachlichen Grundlagen des Betriebes gehören.54 Die Grundlagen sind hierbei nicht streng anhand der Kriterien „personell“ und „sachlich“55 zu bestimmen. Informationen als solche wären dann vom Schutz wegen ihres unkörperlichen wissensvermittelnden Wesens zwangsweise ausgeschlossen. Stattdessen muss auf den Zweck der Beschränkung, auf die Grundlagen eines Betriebes, rekurriert werden.56 Welcher Art die Grundlagen sind, hängt wesentlich vom Unternehmensgegenstand ab. Da der Schutz unabhängig vom konkreten Unternehmensgegenstand gewährt werden muss, darf lediglich auf die „Substanz“ des Betriebes abgestellt werden. Darauf, ob diese personeller, sachlicher oder anderer Natur ist, kommt es nicht an.57 Hierzu gehören Betriebs- und Geschäftsgeheimnisse.58 Von Bedeutung sind hier nur die Betriebsgeheimnisse.59 Betriebsgeheimnisse sind Informationen, die einen Zusammenhang zum Betrieb aufweisen, nur einem bestimmten Personenkreis bekannt sind und nach dem Willen des Betriebsinhabers aufgrund eines berechtigten Interesses geheim gehalten werden sollen.60 So53 BGH NJW 2009, S. 2958, 2959, wonach bereits die Zusendung einer Werbe-EMail ein Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb sei, da mit der Übermittlung durch den Provider und die Internet-Verbindung ein Kosten- und dem Sichten der E-Mail ein Zeitaufwand verbunden sei. 54 Vgl. Beyerbach, Die geheime Unternehmensinformation, S. 167. 55 Zur Bestimmung anhand dieser Kriterien BGHZ 78, 41, 44. 56 BGHZ 45, 150, 155; 23, 157, 162 f. 57 Badura, § 10, in: Benda / Maihofer / Vogel, Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, Rdnr. 95. 58 BGHZ 107, 117, 122 = NJW 1990, S. 52, 53; Beyerbach, Die geheime Unternehmensinformation, S. 185 f. 59 Für die der Funktionsfähigkeit Kritischer Infrastrukturen dienenden IT-Sicherheit sind Geschäftsgeheimnisse mit ihrem nur wirtschaftlichen Charakter nicht von Bedeutung. 60 BVerfGE 115, 205, 230; Beyerbach, Die geheime Unternehmensinformation, S. 90 m. w. N.; vgl. auch die entsprechende unionsrechtliche Definition des „Geschäftsgeheimnisses“ in Art. 2 Nr. 1 RL (EU) 2016 / 943: „Informationen, die alle nachstehenden Kriterien erfüllen: a) Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind; b) sie sind
§ 4 Objektiv-rechtliche Grundlagen139
fern das Betriebsgeheimnis eine informationstechnisch genutzte Information ist, wird deren Verfügbarkeit, Unversehrtheit und Vertraulichkeit vom objektiven Gehalt des Rechts am eingerichteten und ausgeübten Gewerbebetrieb geschützt. Ist das Betriebsgeheimnis nicht verfügbar, wird es inhaltlich oder bezüglich des Urhebers verändert oder wird die Vertraulichkeit verletzt, können Betriebsabläufe beeinträchtigt und dem Betrieb die Grundlagen für seine wirtschaftliche Tätigkeit entzogen werden. Damit gewährleistet der objektive Gehalt des Rechts am eingerichteten und ausgeübten Gewerbebetrieb die ITSicherheit von Betriebsgeheimnissen Kritischer Infrastrukturen. (2) V erfassungsrechtliche Anerkennung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb Damit der Schutz der Betriebsgeheimnisse eine verfassungsrechtliche Verankerung über das Eigentumsgrundrecht finden kann, müsste das Recht am eingerichteten und ausgeübten Gewerbebetrieb Teil des Eigentums i. S. v. Art. 14 Abs. 1 GG sein. Dies ist umstritten.61 Der Bundesgerichtshof geht in seiner ständigen Rechtsprechung von einer Eigentumsfähigkeit des eingerichteten und ausgeübten Gewerbebetriebs aus.62 Ebenfalls hat das Bundesverfassungsgericht zu Beginn seiner Rechtsprechung das Recht am eingerichteten und ausgeübten Gewerbebetrieb als Teil des grundrechtlich geschützten Eigentums angesehen.63 In der weiteren bundesverfassungsgerichtlichen Rechtsprechung wurde dagegen ausdrücklich offen gelassen, ob ein Eigentumsschutz über Art. 14 Abs. 1 GG möglich ist.64 Sofern in der Literatur das Recht am eingerichteten und ausgeübten Gewerbebetrieb als vom Eigentum geschützt angesehen wird, geschieht dies teils ohne Begründung und Darstellung einer hinreichenden normati-
von kommerziellem Wert, weil sie geheim sind; c) sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt“. 61 Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 51 ff. m. w. N.; zweifelnd bzgl. eines Schutzes über Art. 14 GG Badura, Das Unternehmenseigentum unter den Bedingungen der staatlichen Wachstumsvorsorge und der sozialen Arbeitsordnung, in: Durner / Peine / Shirvani, Freiheit und Sicherheit in Deutschland und Europa, S. 207, 208 f.; noch bejahend Badura, AöR 98 (1973), S. 153, 159 ff.; ebenfalls bejahend Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 100. 62 BGHZ 23, 157, 162; 78, 41, 43 f. 63 BVerfGE 1, 264, 277 f.; kritisch hierzu Badura, AöR 98 (1973), S. 153, 155 f.; ebenso Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 105. 64 BVerfGE 66, 116, 145; 68, 193, 222 f.; 77, 84, 118; 81, 208, 228; 96, 375, 397.
140
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
ven Zuordnung,65 die angesichts der dogmatischen Zweifel erforderlich wäre. Das Recht am eingerichteten und ausgeübten Gewerbebetrieb wurde als sonstiges Recht i. S. d. § 823 Abs. 1 BGB entwickelt, um Schutzlücken beim Vermögensschutz zu schließen, die daraus resultieren, dass der deliktische Schutz nicht über eine Generalklausel, sondern über die Anknüpfung an die Verletzung der aufgezählten Rechte und Rechtsgüter erfolgt.66 Da einem Betrieb als Organisation ein wirtschaftlicher Mehrwert als geronnene unternehmerische Leistung zukommt67 und daraus ein Schutzbedürfnis folgt, mag eine Einordnung im Zivilrecht als sonstiges Recht i. S. v. § 823 Abs. 1 BGB möglich sein. Hieraus folgt jedoch noch kein verfassungsrechtlicher Eigentumsschutz. Stattdessen müssen die konstituierenden Merkmale des verfassungsrechtlichen Eigentumsbegriffs erfüllt werden.68 Es müsste eine normative Zuordnung einer Nutzungs- und Ausschließungsbefugnis an einem vermögenswerten Recht gegenüber Dritten vorliegen.69 Die normative Zuordnung kann, mangels anderweitiger gesetzlicher Ausgestaltung,70 allein über das sonstige Recht i. S. v. § 823 Abs. 1 BGB erfolgen. Dabei wird das „sonstige Recht“ richterrechtlich ausgestaltet. Dies wird teils als ausreichende normative Zuordnung angesehen.71 Ob allein eine richterrechtliche Ausgestaltung der normativen Zuordnung i. S. v. Art. 14 Abs. 1 GG genügt, ist angesichts der für die gesetzgeberische Ausgestaltung kompetenten Legislative mehr als zweifelhaft.72 Eine ausreichende normative Zuordnung erfordert die Ausgestaltung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb durch den Gesetzgeber. Daher ist eine richterrechtliche Anknüpfung an das sonstige Recht i. S. v. § 823 Abs. 1 BGB nicht 65 Vgl. Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 95; ausführlich hingegen Engel, AöR 118 (1993), S. 169, 193 ff. 66 Förster, in: Bamberger / Roth, Beck’scher Online-Kommentar BGB, § 823 BGB, Rdnr. 2, 3, 177; Depenheuer, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 14 GG, Rdnr. 132; Badura, AöR 98 (1973), S. 153, 157 f. 67 Leisner, § 173, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band VIII, Rdnr. 200. 68 So auch Depenheuer, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 14 GG, Rdnr. 132. 69 Leisner, § 173, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band VIII, Rdnr. 10; anders dagegen Engel, AöR 118 (1993), S. 169, 193 – 202, 204 ff., der das Erfordernis einer einfachgesetzlichen Ausgestaltung aufgrund des autonomen verfassungsrechtlichen Eigentumsbegriffs ablehnt und sich stattdessen auf den Telos stützt. 70 Buchner, Die Bedeutung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb für den deliktsrechtlichen Unternehmensschutz, S. 23 ff. 71 Depenheuer, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 14 GG, Rdnr. 133; vgl. Ehlers, VVDStRL 51 (1992), S. 211, 215 m. w. N. 72 Vgl. Engel, AöR 118 (1993), S. 169, 194.
§ 4 Objektiv-rechtliche Grundlagen141
ausreichend.73 Zwar ist das sonstige Recht im Grundsatz auf absolute Rechte, die damit eine hinreichende normative Ausgestaltung vorweisen, beschränkt. Dieser Grundsatz wird jedoch gerade beim eingerichteten und ausgeübten Gewerbebetrieb durchbrochen.74 Wie sich aus der Entwicklung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb zeigt, ist es gerade dessen Zweck, Schutzlücken für das Vermögen zu schließen, die aus der Aufzählung der Rechtsgüter in § 823 Abs. 1 BGB und der Haftung für Vermögensschäden allein über §§ 826 und 823 Abs. 2 BGB resultieren.75 Daher stellt das sonstige Recht aufgrund der richterrechtlichen Fortbildung zur Schließung von Schutzlücken des Vermögens im Deliktsrecht des BGB keine hinreichende normative Zuordnung zu einem Grundrechtsträger dar. Unterstützend kann auch die Argumentation von Beyerbach angeführt werden. Demnach kann das sonstige Recht als unbestimmte Generalklausel keine normative Zuordnung gewährleisten. Die vermögenswerte Position muss derart ausgestaltet werden, dass sie „rechtsgeschäftliches Objekt im Rechtsverkehr sein kann.“76 Zwar taucht im Schuldrecht der Begriff des Unternehmenskaufs auf, insofern ist der Betrieb als Organisationseinheit Gegenstand des Kaufvertrages. Allerdings gilt dies wegen des Bestimmtheits- und Spezialitätsgrundsatzes auf sachenrechtlicher Ebene nicht. Damit ist der eingerichtete und ausgeübte Gewerbebetrieb aus Sicht des Gesetzes kein Objekt des Rechtsverkehrs. Dies sind stattdessen die jeweiligen Einzelgegenstände.77 Mangels normativer Prägung ist das Recht am eingerichteten und ausgeübten Gewerbebetrieb nicht Teil des verfassungsrechtlich geschützten Eigentums. Eine Schutzpflicht zugunsten der IT-Sicherheit von Betriebsgeheimnissen, die vom eingerichteten und ausgeübten Gewerbebetrieb umfasst sind, kann sich nicht aus Art. 14 Abs. 1 GG ergeben.
73 Wieland,
in: Dreier, Grundgesetz, Art. 14 GG, Rdnr. 63. AöR 98 (1973), S. 153, 157; Förster, in: Bamberger / Roth, Beck’scher Online-Kommentar BGB, § 823 BGB, Rdnr. 177. 75 Vgl. Buchner, Die Bedeutung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb für den deliktsrechtlichen Unternehmensschutz, S. 22; Bryde, in: Münch / Kunig, Grundgesetz, Art. 14 GG, Rdnr. 18. 76 Beyerbach, Die geheime Unternehmensinformation, S. 202 auch zum Folgenden. 77 Buchner, Die Bedeutung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb für den deliktsrechtlichen Unternehmensschutz, S. 13 f. 74 Badura,
142
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
d) Zwischenergebnis Aus Art. 14 Abs. 1 GG ergeben sich unmittelbar nur sehr beschränkt Schutzpflichten zugunsten der IT-Sicherheit. Lediglich mittelbar über das Eigentum an den Infrastruktureinrichtungen und der Hardware wird die ITSicherheit erfasst. Sofern Rechte des geistigen Eigentums an Informationen, insbesondere an einer Software, bestehen, folgt für diese aus Art. 14 Abs. 1 GG ebenfalls eine Schutzpflicht. Zwar wären Betriebsgeheimnisse vom Recht am eingerichteten und ausgeübten Gewerbebetrieb umfasst. Dieses erfährt aber mangels normativer Prägung keinen Schutz über Art. 14 Abs. 1 GG. 2. Art. 12 Abs. 1 GG Art. 12 Abs. 1 GG schützt als einheitliches Grundrecht die Berufs-, Arbeitsplatz- und Ausbildungsstättenwahlfreiheit sowie die Berufsausübungsfreiheit.78 Für eine Schutzpflicht zugunsten der IT-Sicherheit Kritischer Infrastrukturen ist die Berufsausübungsfreiheit von Bedeutung.79 Die Berufsausübung umfasst sämtliche Tätigkeiten, die der jeweilige Beruf mit sich bringt.80 Geschützter Gegenstand ist nicht unmittelbar die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Informationen, sondern nur die Berufsausübung in Form des Betriebes einer Kritischen Infrastruktur. Diese ist jedoch nur mit einer funktionierenden IT möglich, was mittelbar voraussetzt, dass deren IT-Sicherheit gewährleistet wird. Die Berufsausübungsfreiheit schützt damit zunächst nur die Tätigkeit der Berufsausübung und nicht die IT-Sicherheit. Erst mittelbar über die für die beruf liche Tätigkeit notwendige IT wird die IT-Sicherheit erfasst. Art. 12 Abs. 1 GG umfasst mit der Berufsausübung auch den eingerichteten und ausgeübten Gewerbebetrieb als Schutzobjekt. Da dieser Informationen nur in Form von Betriebs- und Geschäftsgeheimnissen schützt, stellt sich die Folgefrage, ob der mittelbare Schutz der IT-Sicherheit tatsächlich sämtliche Informationen erfassen kann oder ob er doch auf Betriebs- und Geschäftsgeheimnisse zu begrenzen ist. Hierfür könnte sprechen, dass Eingriffe in den Schutzbereich der Berufsausübung „in einem engen Zusammenhang 78 Manssen, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 12 GG, Rdnr. 2. 79 Mann, in: Sachs, Grundgesetz, Art. 12 GG, Rdnr. 21. 80 Mann, in: Sachs, Grundgesetz, Art. 12 GG, Rdnr. 79; Manssen, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 12 GG, Rdnr. 67; Breuer, § 170, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band VIII, Rdnr. 82.
§ 4 Objektiv-rechtliche Grundlagen143
mit der Ausübung des Berufs stehen und objektiv eine berufsregelnde Tendenz deutlich erkennen lassen“ müssen.81 Untersucht man den Vergleich mit dem eingerichteten und ausgeübten Gewerbebetrieb sowie der speziellen Eingriffsdogmatik, ist beides nicht geeignet, den Schutzgehalt der Berufsfreiheit auf Betriebs- und Geschäftsgeheimnisse zu verengen. Denn der eingerichtete und ausgeübte Gewerbebetrieb ist nur ein Teil des Schutzgehalts des Art. 12 Abs. 1 GG und kann als solcher die darüber hinausreichenden Gehalte nicht begrenzen. Auch die Verengung der Eingriffsdogmatik auf Sachverhalte mit einem Berufsbezug ist vielmehr ein Argument gegen eine Beschränkung des mittelbaren Informationsschutzes auf Betriebs- und Geschäftsgeheimnisse. Denn sie wäre nicht nötig, wenn der objektive Grundrechtsgehalt des Art. 12 Abs. 1 GG bereits einen engen Berufsbezug für die Schutzgewährleistung voraussetzen würde. Damit ist die IT-Sicherheit sämtlicher Informationen, die zum Betrieb einer Kritischen Infrastruktur notwendig sind, Teil des objektiven Schutzgehaltes der Berufsfreiheit. 3. Art. 5 Abs. 1 S. 1 Alt. 2 GG Dass eine objektive Schutzpflicht zugunsten der IT-Sicherheit Kritischer Infrastrukturen aus der Informationsfreiheit, Art. 5 Abs. 1 S. 1 Alt. 2 GG, folgt, scheint naheliegend. Tatsächlich trifft dies jedoch nicht zu. Telos der Informationsfreiheit ist es, zu gewährleisten, dass jeder Bürger diejenigen Informationen erlangen kann, die er für einen eigenverantwortlichen Meinungsbildungsprozess benötigt.82 Geschützt wird die Möglichkeit, sich aus allgemein zugänglichen Quellen zu unterrichten. Eine Quelle ist dann allgemein zugänglich, wenn sie dazu geeignet und bestimmt ist, Informationen an einen individuell nicht bestimmten Personenkreis zu verbreiten.83 Betriebliche Informationen, die nicht zur Veröffentlichung bestimmt und damit nicht allgemein zugänglich sind, unterfallen dem sachlichen Schutzbereich nicht.84 Informationen, die Gegenstand der IT-Sicherheit sind, dienen dazu, das Funktionieren der Kritischen Infrastruktur zu gewährleisten und sind nicht dazu bestimmt, der Allgemeinheit zugänglich gemacht zu werden. Gerade deswegen soll die Vertraulichkeit dieser Informationen gewahrt wer81 BVerfGE 70, 191, 214; vgl. BVerfGE 13, 181, 185 f.; 47, 1, 21; 52, 42, 54; 55, 7, 25 ff.; 61, 291, 308; 81, 108, 121 f.; 118, 1, 20; 128, 1, 37 f. 82 Odendahl, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 5 GG, Rdnr. 12; vgl. Bethge, in: Sachs, Grundgesetz, Art. 5 GG, Rdnr. 51. 83 BVerfGE 103, 44, 60; Bethge, in: Sachs, Grundgesetz, Art. 5 GG, Rdnr. 55; Odendahl, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 5 GG, Rdnr. 13. 84 Odendahl, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 5 GG, Rdnr. 13.
144
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
den.85 Im Übrigen kommt diesen Informationen ihrem inhaltlichen Gehalt nach, der sich auf den Betrieb einer Kritischen Infrastruktur bezieht, in der Regel keine Bedeutung für den Meinungsbildungsprozess zu. Damit ist die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informationen, die in einer IT Kritischer Infrastrukturen verarbeitet werden sollen, nicht Teil des objektiven Gehaltes der Informationsfreiheit. Aus Art. 5 Abs. 1 S. 1 Alt. 2 GG ergibt sich keine Schutzpflicht zugunsten der IT-Sicherheit Kritischer Infrastrukturen. 4. Art. 10 Abs. 1 Var. 3 GG Thematisch betrifft die Übermittlung von Informationen das Fernmeldegeheimnis, Art. 10 Abs. 1 Var. 3 GG. Zwar mutet die Wortwahl des „Fernmeldegeheimnisses“ veraltet an, dennoch ist es aufgrund der Entwicklungen der Informations- und Telekommunikationstechnik von hoher Aktualität. Denn dem Fernmeldegeheimnis ist ein entwicklungsoffenes Verständnis zugrunde zu legen, das auch die Übermittlung von Informationen mittels Telekommunikationstechnik erfasst.86 Damit hat Art. 10 GG eine sachliche Nähe zur IT-Sicherheit. Ob das Fernmeldegeheimnis eine staatliche Schutzpflicht zugunsten der IT-Sicherheit Kritischer Infrastrukturen beinhaltet, ist zu untersuchen. Obwohl das allgemeine Persönlichkeitsrecht den Kern des Fernmeldegeheimnisses prägt, ist es doch wesensmäßig auf juristische Personen anwendbar.87 Das Fernmeldegeheimnis schützt alle Inhalte und näheren Umstände der mittels Telekommunikationstechnik erfolgten Kommunikation.88 Ziel ist, die Vertraulichkeit des individuellen Kommunikationsvorgangs zu gewährleisten und vor den besonderen Gefahren des Übermittlungsvorganges zu schützen.89 Damit greift das Fernmeldegeheimnis in zeitlicher Hinsicht nur bei 85 Vgl. zum Schutzziel der Vertraulichkeit § 2 Abs. 2 BSIG, sowie § 2 A. I. 1. d); vgl. zur Bedeutung der Vertraulichkeit von Informationen bei der Nutzung von IT BT-Drs. 13 / 11002, S. 43. 86 BVerfGE 120, 274, 307; Guckelberger, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 10 GG, Rdnr. 21 f.; Kloepfer / Neun, Informationsrecht, § 3, Rdnr. 32. 87 Pagenkopf, in: Sachs, Grundgesetz, Art. 10 GG, Rdnr. 11; Durner, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 10 GG, Rdnr. 102. 88 Durner, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 10 GG, Rdnr. 85 f., 60; Guckelberger, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 10 GG, Rdnr. 24. 89 Durner, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 10 GG, Rdnr. 49, 51; Kloepfer / Neun, Informationsrecht, § 3, Rdnr. 27; Pagenkopf, in: Sachs, Grundgesetz, Art. 10 GG, Rdnr. 14; ablehnend gegenüber dem eingrenzenden Merkmal der Indivi-
§ 4 Objektiv-rechtliche Grundlagen145
einer Verletzung der Vertraulichkeit der Kommunikation während des Übermittlungsvorganges.90 In sachlicher Hinsicht ergibt sich ein Überschneidungsbereich bezüglich der Vertraulichkeit der Information, nicht aber bezüglich ihrer Verfügbarkeit und Unversehrtheit. Der Schutz der Vertraulichkeit der Information umfasst im Rahmen der IT-Sicherheit ebenfalls Inhalt wie Umstände, ist jedoch nicht auf den Übermittlungsvorgang beschränkt, sondern erstreckt sich auch auf deren weitere Verwendung und Speicherung.91 Art. 10 Abs. 1 Var. 3 GG kann das Schutzziel der Vertraulichkeit von Informationen für sämtliche individuellen Kommunikationsvorgänge grundrechtlich verankern. Zwar betrifft das Fernmeldegeheimnis mit der Sprach- und Datenübermittlung vornehmlich Dienstleistungen des Sektors Informationstechnik und Telekommunikation. Doch wirkt die Schutzpflicht nicht zugunsten des Betreibers der Übermittlungsinfrastruktur, sondern zugunsten des Kommunizierenden. Da die Betreiber Kritischer Infrastrukturen bei der Vernetzung ihrer IT die Telekommunikationsinfrastruktur zur individuellen Übermittlung ihrer informationstechnischen Informationen nutzen,92 wirkt die Schutzpflicht aus Art. 10 Abs. 1 Var. 3 GG auch zu ihren Gunsten. Die Betreiber der Kritischen Sprach- und Datenübermittlungsinfrastruktur können sich in der Situation als Dienstleistungserbringer mangels eigener individueller Kommunikation nicht auf die Schutzpflicht berufen.93 Dahingegen unterfällt die unternehmens eigene individuelle Kommunikation dem Vertraulichkeitsschutz des Art. 10 Abs. 1 Var. 3 GG.
dualkommunikation im Internet Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 104. 90 Durner, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 10 GG, Rdnr. 62; vgl. Guckelberger, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 10 GG, Rdnr. 27. 91 Siehe zu den Schutzzielen der IT-Sicherheit § 2 A. I. 1.; vgl. § 2 Abs. 1 sowie Abs. 2 Nr. 1 und 2 BSIG. 92 Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 104, nach dem bei einer Informationsübermittlung zwischen vernetzter IT zwangsläufig immer eine individuelle Kommunikation vorliegt. 93 Vgl. Durner, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 10 GG, Rdnr. 43, 112.
146
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
5. Art. 2 Abs. 1 (i. V. m. Art. 1 Abs. 1) GG Recht auf informationelle Selbstbestimmung Das Recht auf informationelle Selbstbestimmung ist Teil des allgemeinen Persönlichkeitsrechts, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG. Diese besondere Ausprägung ist als Reaktion auf die Gefährdungen für die Entfaltung der Persönlichkeit durch die massenhafte Datenverarbeitung mittels IT-Systemen zu verstehen.94 Gefährdet ist das personenbezogene Datum. Der Schutzbereich umfasst die „Befugnis des Einzelnen (…) selbst über die Verwendung seiner personenbezogenen Daten zu bestimmen“.95 Indem nicht nur die Privatheit, sondern auch die Folgen des Wissens Dritter den Schutz bestimmen, wird deutlich, dass sowohl das Datum als auch die Interpretation durch Dritte zu berücksichtigen ist.96 Damit ist in der Terminologie, die dieser Arbeit zugrunde liegt, die personenbezogene Information97 vom Recht auf informationelle Selbstbestimmung geschützt.98 Das Entscheidungsrecht, über die personenbezogenen Daten selbst zu bestimmen, bildet den Kern der objektiv-rechtlichen Schutzwirkungen des Rechts auf informationelle Selbstbestimmung.99 Dritte dürfen unter Verstoß gegen die Bestimmung der Verwendungsbefugnis über die Daten keinen Zugriff erhalten. Damit überschneiden sich die Schutzgewährleistungen der informationellen Selbstbestimmung und die IT-Sicherheit bezüglich der Vertraulichkeit personenbezogener Daten. Da das Recht auf informationelle Selbstbestimmung erheblich durch die Menschenwürde geprägt wird, stellt sich die Frage, ob auch die Betreiber Kritischer Infrastrukturen als juristische Personen von den hierin angelegten objektiv-rechtlichen Grundrechtsgehalten i. V. m. Art. 19 Abs. 3 GG profitieren können. Dies lässt sich weder für das allgemeine Persönlichkeitsrecht, noch für dessen Ausprägungen in abstrakter Form einheitlich beurteilen. Stattdessen ist die wesensmäßige Anwendbarkeit jeweils anhand der einzelnen Ausprägung zu beurteilen.100 Auf die Menschenwürde können sich juris94 BVerfGE
65, 1, 42 = NJW 1984, S. 419, 422. 65, 1, 43 = NJW 1984, S. 419, 422; vgl. BVerfGE 78, 77, 84. 96 BVerfGE 120, 351, 362; Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 64; vgl. zum Recht am eigenen Bild BVerfGE 101, 361, 382. 97 Nichtsdestotrotz soll in diesem Zusammenhang wegen seiner Etablierung der Begriff des personenbezogenen Datums beibehalten werden. Er ist insoweit als synonym zur personenbezogenen Information zu verstehen. 98 So auch Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 65; vgl. § 2 A. I. 1. 99 Vgl. Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 122. 100 BVerfGE 118, 168, 203 f. = NJW 2007, S. 2464, 2471; Becker, ZLR 2011, S. 391, 407. 95 BVerfGE
§ 4 Objektiv-rechtliche Grundlagen147
tische Personen mangels wesensmäßiger Anwendbarkeit nicht berufen,101 sodass die Schutzpflicht aus dem Recht auf informationelle Selbstbestimmung zugunsten juristischer Personen allenfalls allein aus Art. 2 Abs. 1 GG abgeleitet102 und nicht durch Menschenwürdegehalte verstärkt werden kann.103 Juristische Personen können ebenso wie natürliche Personen von informationellen Maßnahmen betroffen werden.104 Damit befinden sie sich in einer zu natürlichen Personen vergleichbaren Gefährdungslage. Die Tatsache, dass es auf juristische Personen bezogene Daten gibt, macht deutlich, dass die informationelle Selbstbestimmung korporativ ausgeübt werden kann.105 Diesen muss damit auch die Befugnis über die Preisgabe und Verwendung der auf sie bezogenen Daten zustehen. Anders als bei natürlichen Personen folgt die Gefährdungslage nicht bereits aus dem Bezug auf eine juristische Person, sondern aus der Bedeutung der Information für die grundrechtlich geschützte Tätigkeit.106 Da das Tätigkeitsfeld der juristischen Personen regelmäßig begrenzt ist, ist auch der objektiv-rechtliche Gewährleistungsgehalt der informationellen Selbstbestimmung hierauf zu beschränken. Personenbezogene Daten über juristische Personen sind also nur solche, die Teil des grundrechtlich geschützten Freiheitsraumes sind. Bei juristischen Personen mit wirtschaftlicher 101 Höfling, in: Sachs, Grundgesetz, Art. 1 GG, Rdnr. 66; Sachs, in: Sachs, Grundgesetz, Art. 19 GG, Rdnr. 68. 102 BVerfGE 118, 168, 203 f. = NJW 2007, S. 2464, 2471; OVG Münster, BeckRS 2016, 113433, Rdnr. 34 f.; zu einer Verortung des Rechts auf informationelle Selbstbestimmung für juristische Personen in Art. 12 GG BVerfG NJW 2010, S. 3501, 3502; Hofmann, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 2 GG, Rdnr. 16; Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 77; Beyerbach, Die geheime Unternehmensinformation, S. 139; offen lassend, ob es aus Art. 2 Abs. 1 GG oder i. V. m. Art. 1 Abs. 1 GG folgen kann, sondern dieses für juristische Personen aus Art. 14 Abs. 1 GG i. V. m. Art. 19 Abs. 3 GG ableitend BVerwG NVwZ 2002, S. 1522, 1524. 103 Becker, ZLR 2011, S. 391, 407; Wollenschläger, VerwArch 102 (2011), S. 20, 46; vgl. im Hinblick auf das allgemeine Persönlichkeitsrecht Di Fabio, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 2 GG, Rdnr. 224; vgl. Rudolf, § 90, in: Merten / Papier, Handbuch der Grundrechte Band IV, Rdnr. 37. 104 Becker, ZLR 2011, S. 391, 406. 105 Zum Kriterium der korporativen Grundrechtsausübung als Voraussetzung für die Anwendbarkeit eines Grundrechts auf inländische juristische Personen BVerfGE 118, 168, 203 = NJW 2007, S. 2464, 2471; vgl. BVerfGE 106, 28, 42 f. = NJW 2002, S. 3619, 3622. 106 BVerfGE 118, 168, 204; die weiteren Kriterien des Zwecks und möglicher Folgen der Informationserhebungsmaßnahme sind indessen nicht geeignet, als Argumente für oder gegen die Anwendbarkeit des objektiven Gehalts auf juristische Personen zu dienen, da sie sich allein auf die grundrechtliche Abwehrfunktion beziehen.
148
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Zwecksetzung sind dies damit solche des wirtschaftlichen Tätigkeitsfeldes.107 Dem steht nicht entgegen, dass für wirtschaftliche Informationen bereits über Art. 12 Abs. 1 GG ein diese Gefährdungslage abdeckender Schutz gewährt wird. Denn dieser kommt nur juristischen Personen zugute, die eine wirtschaftliche Tätigkeit in Form eines Berufs ausüben.108 Juristische Personen mit nicht-wirtschaftlicher Zwecksetzung erfahren über Art. 12 Abs. 1 GG indes keinen grundrechtlichen Schutz. Diese Schutzlücke kann über die Berufsfreiheit und andere speziellen Grundrechte nicht geschlossen werden, weshalb das Recht auf informationelle Selbstbestimmung auf juristische Personen anwendbar ist.109 Zusätzlich zu dieser sachlichen Beschränkung ist auch die inhaltliche Schutzgewährleistung für juristische Personen abgesenkt, da für diese keine Verstärkung des Grundrechtsschutzes über die Menschenwürde möglich ist. Die Folge ist für die Abwehrfunktion, dass Eingriffe leichter durch Gemeinwohlinteressen gerechtfertigt werden können, und für die Schutzpflichtenfunktion, dass sie nur die Gewährleistung eines im Vergleich zu natürlichen Personen abgesenkten Schutzniveaus fordert. Daher sind nur Informationen, die Teil des Tätigkeitsfeldes Betrieb einer Kritischen Infrastruktur sind, von der Schutzpflicht aus dem Recht auf informationelle Selbstbestimmung erfasst.110 Zwar ist die IT-Sicherheit nicht auf 107 BVerfGE 118, 168, 204, da juristischen Personen eine Mehrdimensionalität menschlicher Persönlichkeit fehlt, kann ihnen ebenfalls nur beschränkt Schutz gewährt werden, sofern eine korporative Grundrechtsausübung möglich ist. Damit beschränkt sich der Schutz regelmäßig auf wirtschaftliche Interessen. Vgl. allgemein zum allgemeinen Persönlichkeitsrecht Di Fabio, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 2 GG, Rdnr. 224; Wollenschläger, VerwArch 102 (2011), S. 20, 46; Möstl, Informationsinteresse und Geheimhaltungsbedürfnis als Antipoden im Verbraucherinformationsgesetz?, in: Leible, Verbraucherschutz durch Information im Lebensmittelrecht, S. 149, 155; nur zur Begrenzung durch die Zwecksetzung Beyerbach, Die geheime Unternehmensinformation, S. 139. 108 Vgl. zur insoweit parallelen Schutzgewährleistung von Art. 2 Abs. 1 und Art. 12 Abs. 1 GG BVerfGE 118, 168, 205; Wollenschläger, VerwArch 102 (2011), S. 20, 46; vgl. Möstl, Informationsinteresse und Geheimhaltungsbedürfnis als Antipoden im Verbraucherinformationsgesetz?, in: Leible, Verbraucherschutz durch Information im Lebensmittelrecht, S. 149, 155. 109 Vgl. BVerfGE 120, 274, 303 = NJW 2008, S. 822, 824 zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme: „Das allgemeine Persönlichkeitsrecht gewährleistet Elemente der Persönlichkeit, die nicht Gegenstand besonderer Freiheitsgarantien des Grundgesetzes sind“. Insofern nimmt es eine Lückenfüllungsfunktion wahr. 110 Dass hiervon auch der Gesetzgeber ausgeht, deutet die in § 8b Abs. 7 BSIG normierte Anwendbarkeit des Datenschutzrechts für aus der Meldung nach § 8b Abs. 4 BSIG erhaltene personenbezogene Informationen hin. Denn die Meldungen
§ 4 Objektiv-rechtliche Grundlagen149
die zum Infrastrukturbetrieb notwendigen Informationen beschränkt, sondern reicht weiter. Sie schützt Informationen unabhängig von ihrem Bedeutungsgehalt. Dies schließt jedoch gerade betriebliche Informationen ein, da sie für den Infrastrukturbetrieb notwendig sind. Für diese betrieblichen Informationen ergibt sich hieraus eine objektiv-rechtliche Schutzgewährleistung im Hinblick auf ihre Vertraulichkeit. 6. Art. 2 Abs. 1 (i. V. m. Art. 1 Abs. 1) GG Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist nicht ausdrücklich in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG normiert. Es ist lediglich eine besondere Ausprägung des in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG wurzelnden allgemeinen Persönlichkeitsrechts. Der sich hieraus ergebende objektiv-rechtliche Gehalt steht ebenso wie derjenige des Rechts auf informationelle Selbstbestimmung eigenständig neben denjenigen aus Art. 12 Abs. 1, Art. 14 Abs. 1 und Art. 10 Abs. 1 Var. 3 GG.111 Das Bundesverfassungsgericht hat dem Grundrechts kanon dadurch kein neues Grundrecht hinzugefügt, sondern das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG lediglich um eine besondere Ausformung als Reaktion auf neuartige Gefährdungen ergänzt.112 Aufgrund dessen muss zunächst die Begründung dieser besonderen Ausprägung kritisch nachvollzogen werden, bevor der objektiv-rechtliche Schutzgehalt des Grundrechts zugunsten der IT-Sicherheit Kritischer Infrastrukturen ermittelt werden kann. a) Begründung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Die besondere Ausprägung des allgemeinen Persönlichkeitsrechts in Form des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informit dem Inhalt des § 8b Abs. 4 S. 2, 3 BSIG enthalten keine nutzerbezogenen Informationen, sondern betreiberbezogene und sind damit in der Regel auf juristische Personen bezogen. Dass der Gesetzgeber den Datenschutz nicht auf natürliche Personen beschränkt, wie es in Art. 1 Abs. 2 VO (EU) 2016 / 679 der Fall ist, kann eine Erstreckung des Schutzbereichs des Art. 2 Abs. 1 GG auf juristische Personen indes nicht begründen. Denn der einfache Parlamentsgesetzgeber könnte auch einen über Art. 2 Abs. 1 GG hinausgehend Schutz gewähren. 111 Vgl. Lang, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 2 GG, Rdnr. 54. 112 Luch, MMR 2011, S. 75, 76.
150
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
mationstechnischer Systeme113 wird über die Bedeutung der Nutzung informationstechnischer Systeme für die Persönlichkeitsentfaltung begründet. Aus der Nutzung informationstechnischer Systeme folgen neuartige Gefährdungen und ein diesbezügliches grundrechtliches Schutzbedürfnis. Die Gewährleistungen der Art. 10 GG und Art. 13 GG sowie des Rechts auf informationelle Selbstbestimmung können keinen hinreichenden Schutz gewährleisten.114 Das allgemeine Persönlichkeitsrecht nimmt dabei eine Lückenfüllungs- und Anpassungsfunktion des Grundrechtsschutzes für Elemente der Persönlichkeit ein, die in den übrigen grundrechtlichen Gewährleistungen nicht enthalten sind, aber dennoch in ihrer Bedeutung mit gewährleisteten Elementen vergleichbar sind.115 Daher muss im Folgenden auf die Bedeutung der Nutzung informationstechnischer Systeme und die neuartigen Gefährdungen für das allgemeine Persönlichkeitsrecht sowie auf die bestehende grundrechtliche Schutzlücke eingegangen werden. aa) Bedeutung der Nutzung Informationstechnische Systeme sind „allgegenwärtig (…) und ihre Nutzung [ist] für die Lebensführung vieler Bürger von zentraler Bedeutung“.116 Dies gilt sowohl für Personal Computer, Laptops und Smart-Phones, aber auch für Alltagsgegenstände, die mit informationstechnischen Komponenten ausgestattet werden. IT wird in den unterschiedlichsten Bereichen und in vielfältiger Form genutzt, weshalb ihr bereits jetzt eine erhebliche und weiterhin noch wachsende Bedeutung für die Persönlichkeitsentfaltung zukommt. Hierzu hat insbesondere die Vernetzung über das Internet beigetragen.117 Die Bedeutung ihrer Nutzung spiegelt sich in der Bezeichnung unserer Gesellschaft als Informationsgesellschaft wider.118
113 BVerfGE
120, 274, Ls. 1. 120, 274, 303, 306 = NJW 2008, S. 822, 825. 115 BVerfGE 120, 274, 303 = NJW 2008, S. 822, 824. 116 BVerfGE 120, 274, 303 = NJW 2008, S. 822, 824. 117 BVerfGE 120, 274, 304 = NJW 2008, S. 822, 824. 118 Vgl. zur IT als Grundpfeiler unserer Gesellschaft Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2011, S. 2 f.; vgl. Europäische Kommission, Cybersicherheitsstrategie der Europäischen Union, S. 2; Hoffmann-Riem, AöR 123 (1998), S. 513, 514; Winkel, APuZ B 41-42 2000, S. 19; Kloepfer / Neun, Informationsrecht, § 1, Rdnr. 1; Will, Denkanstöße – die Informationsgesellschaft als sicherheitspolitische Herausforderung, in: Geiger, Sicherheit der Informationsgesellschaft, S. 119, 124. 114 BVerfGE
§ 4 Objektiv-rechtliche Grundlagen151
bb) Neuartige Gefährdung Neuartige Gefährdungen für das allgemeine Persönlichkeitsrecht ergeben sich zum einen aus der Komplexität der IT, aber auch aus ihrer Vernetzung. Die Nutzung der IT-Systeme geht mit der selbsttätigen Erzeugung, Verarbeitung und Speicherung von Daten einher, die bei einer Auswertung Rückschlüsse auf die Persönlichkeit des Nutzers zulassen. Aufgrund der Vernetzung wird Dritten die Möglichkeit eröffnet, digital auf das IT-System zuzugreifen, während ein wirkungsvoller Selbstschutz vor unberechtigten Zugriffen vom durchschnittlichen Nutzer aufgrund der erheblichen technischen Schwierigkeiten und der schnellen Entwicklung der Informationstechnik nicht getroffen und erwartet werden kann.119 cc) Grundrechtliche Schutzlücke Hieraus resultiert ein Bedürfnis nach grundrechtlichem Schutz gegenüber dieser Gefährdung des allgemeinen Persönlichkeitsrechts, das weder über das Fernmeldegeheimnis, Art. 10 Abs. 1 Var. 3 GG, die Unverletzlichkeit der Wohnung, Art. 13 Abs. 1 GG, noch das allgemeine Persönlichkeitsrecht, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, erfüllt werden kann. Der Schutz des Fernmeldegeheimnisses deckt nur den Übermittlungsvorgang ab.120 Vor und nach dem Übermittlungsvorgang besteht, ebenso wie für gespeicherte Informationen und die Nutzung von IT als solcher, eine grundrechtliche Schutzlücke.121 Die Schutzlücke der Unverletzlichkeit der Wohnung liegt darin, dass lediglich ein an den räumlichen Bereich der Wohnung gekoppelter Schutz erfolgen kann.122 Da die Nutzung vieler IT-Systeme nicht raumbezogen ist, kann ein raumbezogener Schutz dem bestehenden grundrechtlichen Schutzbedürfnis nicht ausreichend Rechnung tragen.123 Das allgemeine Persönlichkeitsrecht in seinen Ausprägungen des Schutzes der Privatsphäre und des Rechts auf informationelle Selbstbestimmung vermag diese Schutzlücke ebenfalls nicht zu schließen. Zum einen sind nicht sämtliche schutzwürdige Daten der Privatsphäre zuzurechnen. Zum anderen 119 BVerfGE
120, 274, 305 f. = NJW 2008, S. 822, 824 f. bereits Art. 10 Abs. 1 Var. 3 GG § 4 A. I. 4. 121 BVerfGE 120, 274, 307 f.; vgl. Lepsius, Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, in: Roggan, Online-Durchsuchungen, S. 21, 28. 122 BVerfGE 120, 274, 310 f. 123 Lepsius, Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, in: Roggan, Online-Durchsuchungen, S. 21, 25 f. 120 Vgl.
152
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
schützt auch das Recht auf informationelle Selbstbestimmung nicht ausreichend vor den Gefährdungen, die sich aus dem bloßen Zugriff auf das informationstechnische System ergeben. Denn aus diesem erwächst die Möglichkeit aus sämtlichen Daten, unabhängig davon, ob sie selbst eine erhebliche persönlichkeitsrechtliche Bedeutung haben, allein durch das Erkennen von Zusammenhängen ein umfassendes Nutzerprofil erstellen zu können.124 Aufgrund dessen wiegt der Zugriff auf das IT-System „in seinem Gewicht für die Persönlichkeit des Betroffenen“ schwerer als einzelne Datenerhebungen, die vom Recht auf informationelle Selbstbestimmung erfasst sind.125 Die Schutzlücke des allgemeinen Persönlichkeitsrechts besteht vornehmlich darin, dass nur die Vertraulichkeit der einzelnen Daten, nicht aber vor dem die Vertraulichkeit gefährdenden und die Integrität des IT-Systems verletzenden Zugriff geschützt wird.126 b) Das Bedürfnis nach einem „neuen Grundrecht“? Die Etablierung einer weiteren Ausprägung des allgemeinen Persönlichkeitsrechts hat in der Literatur erhebliche Kritik hervorgerufen. Maßgebliches Argument war, dass keine grundrechtliche Schutzlücke bestehe, da dem Schutzbedürfnis jedenfalls durch eine erweiterte Auslegung des Fernmelde geheimnisses,127 der Unverletzlichkeit der Wohnung128 und des allgemeinen Persönlichkeitsrechts129 Rechnung getragen werden könne. Sofern das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme vor schwerwiegenden Eingriffen schütze, könne das Recht auf informationelle Selbstbestimmung bereits ein äquivalentes Schutzniveau gewährleisten, indem im Rahmen der Verhältnismäßigkeit hohe Anforderungen gestellt würden.130 Sofern sich das informa tionstechnische System in einer Wohnung befindet, wäre der Schutzbereich des Art. 13 GG eröffnet. Daher dürfe keine künstliche Schutzlücke durch Ablehnung des Schutzbereichs geschaffen werden.131 124 BVerfGE
120, 274, 311 f. = NJW 2008, S. 822, 826. 120, 274, 313 = NJW 2008, S. 822, 827. 126 Luch, MMR 2011, S. 75, 78. 127 Pagenkopf, in: Sachs, Grundgesetz, Art. 10 GG, Rdnr. 10a. 128 Hornung, CR 2008, S. 299, 301; kritisch Böckenförde, JZ 2008, S. 925, 926 f. 129 Britz, DÖV 2008, S. 411, 413; Eifert, NVwZ 2008, S. 521, 521 ff.; Sachs / Krings, JuS 2008, S. 481, 483 f.; Volkmann, DVBl. 2008, S. 590, 591. 130 Eifert, NVwZ 2008, S. 521, 521 f.; Hornung, CR 2008, S. 299, 301; von einem „unspezifischen Super-Abwehrrecht“ sprechend kritisch Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 121. 131 Hornung, CR 2008, S. 299, 301. 125 BVerfGE
§ 4 Objektiv-rechtliche Grundlagen153
Beiden Einwänden ist jedoch entgegenzuhalten, dass mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ein weit umfassenderes Schutzbedürfnis befriedigt wird. Auf eine Datenerhebung kommt es nicht an, da bereits das informationstechnische System selbst einen Vertraulichkeits- und Integritätsschutz genießt.132 Die Unverletzlichkeit der Wohnung vermag keinen Schutz zu gewährleisten, sofern sich das informationstechnische System nicht in der Wohnung befindet. Der grundrechtliche Schutz würde aufgrund der weiten Verbreitung portabler informationstechnischer Systeme, wie Laptops oder Smart-Phones, erheb liche Lücken aufweisen.133 Soweit man die nach bisherigem Verständnis bestehenden Schutzlücken des allgemeinen Persönlichkeitsrechts durch eine erweiterte Auslegung schließen wollte, würde das bereits überfrachtete Recht auf informationelle Selbstbestimmung dogmatisch gesprengt, indem es nicht nur das einzelne persönlichkeitsrelevante Datum und ihre Gesamtheit, sondern auch die Vertraulichkeit und Integrität der informationstechnischen Systeme erfassen müsste.134 Sich ergebende Abgrenzungsschwierigkeiten zwischen beiden Ausprägungen des allgemeinen Persönlichkeitsrechts können keine Ablehnung des Schutzbedürfnisses rechtfertigen, sondern bedürfen der rechtlichen Klärung.135 Bezüglich der Schutzrichtung Integrität zweifelt Eifert bereits an einem erforderlichen Schutzbedarf, da im Denkmuster der grundrechtlichen Abwehrdimension mit einem gerechtfertigten Eingriff in die Vertraulichkeit zugleich auch der Eingriff in die Integrität des Systems zulässig sei.136 Dieses Verständnis verkennt jedoch den Schutzzweck des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Aufgrund der enormen Bedeutung von informationstechnischen Systemen für die Persönlichkeitsentfaltung, kann allein über diese ein wesentlicher
132 Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 123; Hauser, Das IT-Grundrecht, S. 113, 118. 133 Zur Entwicklung der Anzahl der Smartphone Anzahl der Smartphone-Nutzer in Deutschland in den Jahren 2009 bis 2018 https: / / de.statista.com / statistik / daten / stu die / 198959 / umfrage / anzahl-der-smartphonenutzer-in-deutschland-seit-2010 / (besucht am 12.06.2018); zur durchschnittlichen täglichen Nutzungsdauer von Smartphones, Tablets, Laptops und Fernseher im Vergleich in Deutschland im Jahr 2014 https: / / de.statista.com / statistik / daten / studie / 715026 / umfrage / nutzungsdauervon-smartphone-tablet-laptop-und-tv-in-deutschland / (besucht am 12.06.2018). 134 Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 122, 124; anders Britz, DÖV 2008, S. 411, 412 ff. 135 Vgl. Böckenförde, JZ 2008, S. 925, 928. 136 Eifert, NVwZ 2008, S. 521, 522.
154
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Teil der Persönlichkeit ermittelt werden.137 Daher besteht ähnlich wie bei der über Art. 13 Abs. 1 GG geschützten Wohnung ein erhebliches Interesse des Nutzers, dass kein die Integrität verletzender und die Vertraulichkeit gefährdender Zugriff auf den „digitalen Raum“ erfolgt.138 Die Schutzlücken des Fernmeldegeheimnisses, der Unverletzlichkeit der Wohnung, sowie des Rechts auf informationelle Selbstbestimmung rechtfertigen daher auch nach kritischer Würdigung die Etablierung eines „neuen Grundrechts“ auf Vertraulichkeit und Integrität informationstechnischer Systeme durch das Bundesverfassungsgericht unter dem Mantel des allgemeinen Persönlichkeitsrechts.139 c) Schutzgegenstand Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme beinhaltet einen zweigliedrigen140 Schutzgegenstand. Wie bereits der Name erkennen lässt, sind dies zum einen die Vertraulichkeit und zum anderen die Integrität eines informationstechnischen Systems. Damit wird abweichend vom Recht auf informationelle Selbstbestimmung mit dem personenbezogenen Datum ein anderer Anknüpfungspunkt gewählt. Dies bewirkt eine Vorverlagerung des grundrechtlichen Schutzes auf den Systemzugriff.141 Der Schutzgegenstand bildet den objektiv-rechtlichen Kern des Grundrechts und ist Ausgangspunkt für die anschließende Beurteilung der Schutzpflicht zugunsten der IT-Sicherheit Kritischer Infrastrukturen.
137 Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 123 f.; Böckenförde, JZ 2008, S. 925, 927. 138 Vgl. Böckenförde, JZ 2008, S. 925, 926; in diese Richtung auch Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, 73d; Luch, MMR 2011, S. 75, 78. 139 Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 119 ff.; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 148. 140 Böckenförde, JZ 2008, S. 925, 928. 141 Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 150; Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 125; Hornung, CR 2008, S. 299, 303; Sachs / Krings, JuS 2008, S. 481; Sachs / Krings, JuS 2008, S. 481, 484; Luch / Schulz, Das Recht auf Internet als Grundlage der Online-Grundrechte, S. 47 f.
§ 4 Objektiv-rechtliche Grundlagen155
aa) Vertraulichkeit und Integrität Die Vertraulichkeit schützt „das Interesse des Nutzers, dass die von einem vom Schutzbereich erfassten informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten vertraulich bleiben“.142 Mit der Integrität wird Schutz vor Zugriffen auf das informationstechnische System gewährt, durch die dessen Leistungen, Funktionen und Speicherinhalte durch Dritte nutzbar wären.143 Es wird vor jedem offenen oder verdeckten Zugriff geschützt.144 Die Integrität trägt damit der Abhängigkeit von einer funktionierenden Hard- und Software auf verfassungsrechtlicher Ebene Rechnung.145 Der Schutz der Vertraulichkeit und Integrität hängt nicht von vorhandenen Zugriffssicherungen und deren Wirksamkeit ab.146 Auch wenn das Bundesverfassungsgericht von der Vertraulichkeits- und Integritätserwartung spricht, sind auch diejenigen Nutzer erfasst, die eine solche Erwartung nicht haben. Denn das maßgebliche Interesse an einem grundrechtlichen Schutz besteht generell,147 es sei denn, dass dem subjektive Anhaltspunkte entgegenstehen. Dies ist der Fall, wenn ein System für die Allgemeinheit bewusst geöffnet wird und nicht nur eine Zugriffssicherung fehlt. Dann entfällt das Interesse an der Vertraulichkeit und bei einer Öffnung des Zugriffsrechts dasjenige an der Integrität.148 bb) Informationstechnisches System Anders als bei der IT-Sicherheit ist nicht die Information das Schutzobjekt, sondern das informationstechnische System. Doch ist dieses mit der IT oder dem IT-System gleichzusetzen? Das Bundesverfassungsgericht führt als solche Beispiele den Personal Computer,149 Mobiltelefone oder elektronische 142 BVerfGE
120, 274, 314 = NJW 2008, S. 822, 827. 120, 274, 314 = NJW 2008, S. 822, 827; Britz, DÖV 2008, S. 411, 412 sieht die Integrität als Schutzziel „eher am Rande“. 144 Hömig, Jura 2009, S. 207, 210. 145 Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 149; Hornung, CR 2008, S. 299, 302; Hauser, Das IT-Grundrecht, S. 119. 146 BVerfGE 120, 274, 315 = NJW 2008, S. 822, 827; Heinemann, Grundrecht licher Schutz informationstechnischer Systeme, S. 149. 147 Sachs / Krings, JuS 2008, S. 481, 484; Hauser, Das IT-Grundrecht, S. 114; anders scheinbar Britz, DÖV 2008, S. 411, 412, die aber nicht zwischen Interesse und Erwartung differenziert. 148 Vgl. bzgl. der Vertraulichkeit BVerfGE 120, 274, 344 f.; Luch, MMR 2011, S. 75, wonach das Interesse an der Vertraulichkeit subjektiv, das an der Integrität objektiv zu beurteilen ist. 149 BVerfGE 120, 274, 303 = NJW 2008, S. 822, 824. 143 BVerfGE
156
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Terminkalender mit einem großen Funktionsumfang150 auf. Davon sollen informationstechnische Komponenten in anderen Geräten, insbesondere bei Telekommunikationsgeräten oder anderen elektronischen Geräten in Wohnung und Kraftfahrzeugen, zu unterscheiden sein.151 Nicht jede informationstechnische Einrichtung ist zugleich ein informationstechnisches System. Betrachtet man die Abgrenzung eines Systems von einer Komponente, sind die umfassende informationstechnische Nutzbarkeit eines Systems und daraus folgend die Gefahr des Zugriffs auf umfassende Informationen,152 die Rückschlüsse auf den Grundrechtsberechtigten zulassen, konstituierende Merkmale. Diese umfassenden Informationen können zum einen in einer informationstechnischen Einrichtung, wie dem Personal Computer, selbst enthalten sein. Sofern sie nur punktuelle Daten oder Informationen enthalten, kann sich das System auch aus einer technischen Vernetzung mehrerer informationstechnischer Einrichtungen ergeben.153 Sämtliche informationstechnischen Komponenten, die über das Internet mit anderen Komponenten oder Systemen vernetzt sind, bilden als Gesamtheit ein informationstechnisches System.154 Dieses informationstechnische System muss dem persönlichkeitsrecht lichen Schutzzweck folgend Daten enthalten, die unter den persönlichkeitsrechtlichen Schutz des Art. 2 Abs. 1 GG fallen. Als solche sind nicht nur private, sondern auch geschäftliche Daten zu qualifizieren, da auch letztere auf die Persönlichkeit schließen lassen.155 Erweitert man den personellen Anwendungsbereich dieses Grundrechts auf juristische Personen, zur Frage ob dies tatsächlich möglich ist, sogleich unter § 4 A. I. 6. d) bb), dann muss dies auch beim Schutzzweck beachtet werden. Der Schutz darf nicht auf personenbezogene Daten verengt bleiben. Stattdessen muss dann genügen, dass das informationstechnische System Daten zu juristischen Personen enthält, die wesensmäßig personenbezogenen Daten natürlicher Personen gleichstehen. In Abgrenzung zum Recht auf informationelle Selbstbestimmung kommt es für den Schutz über das Grundrecht auf Gewährleistung der Vertraulich150 BVerfGE
120, 274, 314 = NJW 2008, S. 822, 827. 120, 274, 304 = NJW 2008, S. 822, 824; diese Rechtsprechung passt jedoch angesichts der Vernetzung auch dieser Geräte über das Internet nicht mehr auf die aktuelle Situation. 152 Vgl. § 1 B. I., II. 1. 153 Vgl. BVerfGE 274, 305, 313 f.; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 152; Luch, MMR 2011, S. 75, 76. 154 Vgl. BVerfGE 274, 276, 304 f.; vgl. Hornung, CR 2008, S. 299, 302; vgl. Hauser, Das IT-Grundrecht, S. 79. 155 BVerfGE 274, 305, 314. 151 BVerfGE
§ 4 Objektiv-rechtliche Grundlagen157
keit und Integrität informationstechnischer Systeme nicht auf den Personenbezug konkret erhobener Daten an. Auch wenn das Bundesverfassungsgericht wörtlich darauf abstellt, ob Systeme „personenbezogene Daten (…) enthalten können“,156 ist dies unter Schutzzweckerwägungen als tatsächliches Enthalten von Daten mit Relevanz für Art. 2 Abs. 1 GG zu verstehen.157 Anderenfalls liefe diese Begrenzung leer, da in jedem informationstechnischen System potentiell personenbezogene Daten gespeichert sein können.158 Ebenfalls aus persönlichkeitsrechtlichen teleologischen Erwägungen hat eine weitere Begrenzung der erfassten informationstechnischen Systeme zu erfolgen. Das allgemeine Persönlichkeitsrecht gewährt nur dann ein Schutzbedürfnis der Vertraulichkeit und Integrität, wenn das informationstechnische System vom Grundrechtsträger eigengenutzt wird oder er mit anderen Nutzungsberechtigten hierüber selbstbestimmt verfügt.159 Die Eigennutzung allein oder zusammen mit anderen ist anhand einer Abwägung der rechtlichen und faktischen Verfügungsmöglichkeiten über das System im Einzelfall zu ermitteln.160 Damit lehnt sich der verfassungsrechtliche Begriff des informationstechnischen Systems an den einfachrechtlichen des IT-Systems an, fordert jedoch nicht zwingend eine Vernetzung.161 Insofern reicht er über das IT-System hinaus, ist allerdings auch nicht mit der IT gleichzusetzen.162 d) Schutzgehalt zugunsten der IT-Sicherheit Kritischer Infrastrukturen Bereits aus der Benennung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wird deutlich, 156 BVerfGE 274, 305, 314; Hervorhebung in kursiver Schrift im Original nicht vorhanden. 157 Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 151 stellt später aber dennoch auf die Kapazitäten ab; das Problem lediglich aufzeigend Sachs / Krings, JuS 2008, S. 481, 484; Luch / Schulz, Das Recht auf Internet als Grundlage der Online-Grundrechte, S. 48 f.; Hauser, Das IT-Grundrecht, S. 77; vgl. Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 123. 158 Hauser, Das IT-Grundrecht, S. 81 f.; anders Hornung, CR 2008, S. 299, 302. Dieser stellt stattdessen auf den Umfang der Speicher- und Verarbeitungskapazitäten für personenbezogene Daten ab. 159 BVerfGE 120, 274, 315. 160 Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 154; vgl. auch zu anderen Zuordnungskriterien Hauser, Das IT-Grundrecht, S. 100 ff., insbesondere 105 ff. 161 Hauser, Das IT-Grundrecht, S. 79, 81. 162 Vgl. zu den Begriffen der IT und des IT-Systems § 1 B. 1.
158
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
dass dem objektiven Grundrechtsgehalt nicht nur eine Abwehr-, sondern auch eine Schutzpflichtendimension innewohnt.163 Da das Grundrecht eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts darstellt, können auf dieses auch sämtliche Wirkdimensionen übertragen werden.164 Die Gefährdung der Vertraulichkeit und Integrität geht gleichwohl von Privaten wie vom Staat aus, weshalb es gerade auch einer grundrechtlichen Wirk dimension in Form der Schutzpflicht bedarf.165 Im objektiv-rechtlichen Grundrechtsgehalt liegt eine erhebliche Bedeutung dieses Grundrechts verborgen.166 Nachdem die Vorarbeiten geleistet wurden, kann zur Frage gekommen werden, inwiefern sich eine Schutzpflicht aus dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme167 auf die IT-Sicherheit Kritischer Infrastrukturen auswirkt. Die objektiven Gehalte sind für die IT-Sicherheit Kritischer Infrastrukturen sowohl in Bezug auf die Vertraulichkeit als auch die Integrität von Relevanz. Obwohl das Augenmerk der rechtswissenschaftlichen Diskussion, nicht zuletzt aufgrund der Aktualität datenschutzrechtlicher Fragen, vor allem auf der Gewährleistung der Vertraulichkeit liegt, sind die Schutzziele der Vertraulichkeit und Integrität von gleichrangiger Bedeutung. Zunächst soll die Bedeutung der grundrechtlichen Gewährleistungsgehalte zugunsten einer Schutzpflicht der IT-Sicherheit betrachtet werden. In einem weiteren Schritt wird dann auf die Erstreckung des Schutzes auf Betreiber Kritischer Infrastrukturen eingegangen. aa) Objektiver Gewährleistungsgehalt der IT-Sicherheit? Die Schutzgegenstände des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme und der IT-Sicherheit unterscheiden sich erheblich. Ersteres setzt nämlich an informationstechnischen Systemen und nicht an zu schützenden Informationen an. Doch ergibt sich anhand der Schutzrichtungen Vertraulichkeit und Integrität, die den objektiven Grund163 Schulz, DuD 2012, S. 395, 395; Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 209. 164 Hömig, Jura 2009, S. 207, 211; Heckmann, Staatliche Schutz- und Förderpflichten zur Gewährleistung von IT-Sicherheit, in: Rüßmann, Festschrift für Gerhard Käfer, S. 129, 132 f. 165 Sachs / Krings, JuS 2008, S. 481, 486; Kutscha, NJW 2008, S. 1042, 1044; Heckmann, Staatliche Schutz- und Förderpflichten zur Gewährleistung von IT-Sicherheit, in: Rüßmann, Festschrift für Gerhard Käfer, S. 129, 136 f. 166 Hauser, Das IT-Grundrecht, S. 344. 167 Heckmann, jurisPR-ITR 5 / 2008 Anm. 1 geht von einer notwendigen Neuvermessung des IT-Sicherheitsrechts aus.
§ 4 Objektiv-rechtliche Grundlagen159
rechtsgehalt prägen,168 ein Überschneidungsbereich zur IT-Sicherheit. Der Unterschied des IT-System- bzw. Informationsschutzes schließt eine Verankerung der IT-Sicherheit im Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nicht aus. Denn bereits die Legaldefinition der IT-Sicherheit in § 2 Abs. 2 BSIG erkennt, dass der Schutz der Information „durch Sicherheitsvorkehrungen Nr. 1. in informa tionstechnischen Systemen, Komponenten oder Prozessen oder Nr. 2. bei der Anwendung von informationstechnischen Systemen, Komponenten oder Prozessen“ zu gewährleisten ist. Dass es nicht von grundsätzlicher Bedeutung ist, ob auf die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit einer Information oder eines IT-Systems abgestellt wird, zeigt die für die Erhöhung der IT-Sicherheit zentrale Sicherungspflicht des § 8a Abs. 1 S. 1 BSIG. Hierin werden nicht Informationen, sondern informationstechnische Systeme, Komponenten oder Prozesse als Schutzgegenstand genannt. Darin wird deutlich, dass der Systemschutz Basis und Mittel zur Verwirklichung des Schutzes der Information i. S. d. IT-Sicherheit ist.169 Objektiver Gehalt der Vertraulichkeit ist es, dass auf die in einem geschützten informationstechnischen System enthaltenen Daten und Informationen nicht ohne Berechtigung zugegriffen werden kann.170 Auch die IT-Sicherheit schützt mit ihrem Schutzziel der Vertraulichkeit vor unberechtigten Zugriffen auf Informationen. Die Integrität gewährt Schutz vor unberechtigten Zugriffen auf das informationstechnische System, durch die Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden könnten. Diese Schutzrichtung scheint ebenfalls die Vertraulichkeit zu schützen. Dem ist jedoch bei einer systematischen Betrachtung nicht so, da diese dort bereits spezieller erfasst wird. Das Schutzziel der Integrität steht eigenständig neben dem der Vertraulichkeit.171 Mit der Integrität soll vor jedem unberechtigten Zugriff auf das System geschützt werden, da dieser die „entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation“172 darstellt. Indem das informa tionstechnische System vor unberechtigten Zugriffen geschützt wird, trifft dies auch auf die darin enthaltenen Informationen zu. Die Integrität des informationstechnischen Systems ist indessen umfassender zu verstehen als die 168 Heckmann, Staatliche Schutz- und Förderpflichten zur Gewährleistung von ITSicherheit, in: Rüßmann, Festschrift für Gerhard Käfer, S. 129, 138 f. 169 Vgl. zum Vertraulichkeitsschutz von Daten Hauser, Das IT-Grundrecht, S. 113 f.; vgl. ebenfalls § 8a Abs. 1 S. 1 BSIG. 170 Vgl. Heckmann, Staatliche Schutz- und Förderpflichten zur Gewährleistung von IT-Sicherheit, in: Rüßmann, Festschrift für Gerhard Käfer, S. 129, 138. 171 Vgl. Hauser, Das IT-Grundrecht, S. 118. 172 BVerfGE 120, 274, 314.
160
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Informationsintegrität i. S. d. IT-Sicherheit.173 Sie erfasst die Unversehrtheit der Information mit ihren beiden Ausprägungen der Integrität (im ein fachrechtlichen Sinne) und der Authentizität. Indem mit der (verfassungsrechtlichen) Integrität vor jedem unberechtigtem Zugriff geschützt wird, umfasst dies auch, dass die Abrufbarkeit der enthaltenen Information durch diesen nicht beeinträchtigt wird. Damit wird ebenfalls das einfachrechtliche Schutzziel der Verfügbarkeit gewährleistet. Trotz dieser weitreichenden Übereinstimmung, ist der objektive Grundrechtsgehalt der Vertraulichkeit und Integrität informationstechnischer Systeme nicht als verfassungsrechtliches Spiegelbild der IT-Sicherheit anzusehen. Denn die IT-Sicherheit reicht weiter, indem sie auch Ausfälle der Hardware aufgrund ihres Verschleißes oder der Software infolge eines Softwarefehlers erfasst. Nichtsdestotrotz findet die IT-Sicherheit i. S. v. § 2 Abs. 2 BSIG in ihrem Kern, dem Schutz vor Bedrohungen für die IT, ihre verfassungsrechtliche Basis im objektiven Gewährleistungsgehalt des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.174 Beide Begriffe weisen eine parallele Schutzrichtung auf, obwohl das Grundrecht mit der Anknüpfung an das informationstechnische System einen Systemschutz anstelle eines Informationsschutzes etabliert. Denn mittelbar sind auch die enthaltenen Informationen umfasst. bb) O bjektiver Gewährleistungsgehalt zugunsten der Betreiber Kritischer Infrastrukturen Dieser objektive Gewährleistungsgehalt müsste auch in personeller Hinsicht auf die Betreiber Kritischer Infrastrukturen, die in der Regel juristische Personen sind, Anwendung finden können. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme stellt eine Ausprägung des allgemeinen Persönlichkeitsrechts dar, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, und basiert damit auch auf der Menschenwürde. Diese ist ihrem Wesen nach nicht auf juristische Personen anwendbar.175 Deshalb bedarf der Umfang der grundrechtlichen Schutzpflicht in personeller Hinsicht einer eingehenden Untersuchung.176 Wie bereits die dargestellte Herleitung zeigt, ist zwar auch Art. 1 Abs. 1 GG Teil der normativen Grund173 Hauser,
Das IT-Grundrecht, S. 118. in Bezug auf Telemedien Djeffal, MMR 2015, S. 716, 717. 175 Sachs, in: Sachs, Grundgesetz, Art. 19 GG, Rdnr. 68; Höfling, in: Sachs, Grundgesetz, Art. 1 GG, Rdnr. 66. 176 Vgl. die parallele Problematik beim Recht auf informationelle Selbstbestimmung § 4 A. I. 5. 174 Vgl.
§ 4 Objektiv-rechtliche Grundlagen161
lage, jedoch fordert allein die Bedeutung informationstechnischer Systeme für die freie Entfaltung der Persönlichkeit einen besonderen grundrecht lichen Schutz.177 Daher kann der personelle Schutzbereich im Grundsatz ebenso wie beim Recht auf informationelle Selbstbestimmung trotz des besonderen Menschenwürdegehalts auf juristische Personen erstreckt werden. Voraussetzung ist hierbei aber, dass Art. 2 Abs. 1 GG in der hier zugrunde gelegten Ausprägung wesensmäßig auf juristische Personen nach Art. 19 Abs. 3 GG anwendbar ist. Für das allgemeine Persönlichkeitsrecht ist dies im Grundsatz zu bejahen,178 für die Beurteilung der Anwendbarkeit seiner Ausprägungen bedarf es aber einer gesonderten Untersuchung. Ob das Grundrecht in dieser Ausprägung auch auf juristische Personen anwendbar ist, wurde bisher in der Rechtsprechung noch nicht entschieden und ist in der Literatur umstritten.179 Strukturell können jedoch die Wertungen der anderen Ausprägung des allgemeinen Persönlichkeitsrechts, dem Recht auf informationelle Selbstbestimmung,180 übertragen werden.181 Eine Anwendbarkeit wäre demnach zu bejahen, wenn die informationstechnischen Systeme juristischer Personen einer vergleichbaren Gefährdungslage ausgesetzt wären. Dies ist der Fall, da sich Risiken der IT-Sicherheit unabhängig vom Inhaber oder Nutzer eines informationstechnischen Systems verwirklichen. Insofern erleichtert der grundrechtliche Systemschutz eine Anwendbarkeit auf juristische Personen.182 Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist auf juristische Personen anwendbar. Da juristische Personen keine mehrdimensionale Persönlichkeit besitzen, sondern durch ihren Zweck geprägt sind, beschränkt sich der Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme wegen seiner Wurzel im Persönlichkeitsschutz jedoch auf diejenige
177 BVerfGE 120, 274, 303 ff.; siehe ebenso die Analyse und kritische Beurteilung der Begründung eines Schutzbedürfnisses § 4 A. I. 6. b). 178 Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 76; Hofmann, in: SchmidtBleibtreu / Hofmann / Henneke, GG, Art. 2 GG, Rdnr. 15; Di Fabio, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 2 GG, Rdnr. 224; a. A. Enders, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 19 GG, Rdnr. 40. 179 Hauser, Das IT-Grundrecht, S. 121 f. m. w. N.; ebenfalls für eine Anwendbarkeit auf juristische Personen Heckmann, Staatliche Schutz- und Förderpflichten zur Gewährleistung von IT-Sicherheit, in: Rüßmann, Festschrift für Gerhard Käfer, S. 129, 140; eine Anwendbarkeit ablehnend Bartsch, CR 2008, S. 613, 614 f. 180 Es wird ebenfalls die freie Entfaltung der Persönlichkeit geschützt. Anknüpfungspunkt sind jedoch die personenbezogenen Daten und nicht das informationstechnische System, das personenbezogene Daten enthält. Vgl. § 4 A. I. 5. 181 Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 153; Rudolf, § 90, in: Merten / Papier, Handbuch der Grundrechte Band IV, Rdnr. 80. 182 Hauser, Das IT-Grundrecht, S. 123.
162
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
IT, die Teil dieser Zwecksetzung ist.183 Hierzu gehört die zum Infrastrukturbetrieb notwendige IT. Für Betreiber Kritischer Infrastrukturen, die grundrechtsfähige juristische Personen sind, bedeutet dies, dass ein Schutz der informationstechnischen Systeme über dieses Grundrecht lediglich im Hinblick auf ihren wirtschaft lichen Zweck, den Betrieb der Kritischen Infrastruktur, existiert. Zwar reicht die IT-Sicherheit weiter, denn sie bezieht sich auf sämtliche Informationen unabhängig von ihrem Bedeutungsgehalt.184 Jedoch werden damit jedenfalls die für das Ziel der Gewährleistung der Funktionsfähigkeit Kritischer Infrastrukturen185 notwendigen Informationen vom objektiven Gehalt des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme geschützt.186 Allerdings kann der Schutz nicht durch die Menschenwürde untermauert werden. Im Vergleich zu natürlichen Personen kommt juristischen Personen daher nur ein vermindertes Schutzniveau zugute.187 e) Zwischenergebnis Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme bildet in der Schutzpflichtendimension die wesentliche grundrechtliche Basis des einfachrechtlichen Begriffs der IT-Sicherheit.188 Zwar werden mit dem Systemschutz und dem Informationsschutz andere Anknüpfungspunkte gewählt. Dennoch laufen die Schutzziele der (verfassungsrechtlichen) Gewährleistung der Vertraulichkeit und Integrität parallel zur (einfachrechtlichen) Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit. Auch unterscheiden sich Systemschutz und Informationsschutz im Ergebnis nicht. Denn dem Systemschutz ist auch der Schutz der einzelnen Information immanent. Das Grundrecht wird aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG abgeleitet. Die IT-Sicherheit grundrechtsfähiger juristischer Personen, die eine Kritische Infrastruktur betreiben, kann es jedoch nur allein aus Art. 2 Abs. 1 i. V. m. 183 Vgl.
BVerfGE 118, 168, 203 f. § 2 A. I. 2. 185 Vgl. die Beschränkung der Sicherungspflicht auf die notwendige IT in § 8a Abs. 1 S. 1 BSIG. 186 So auch ohne Begründung Heckmann, Staatliche Schutz- und Förderpflichten zur Gewährleistung von IT-Sicherheit, in: Rüßmann, Festschrift für Gerhard Käfer, S. 129, 140. 187 Vgl. Rudolf, § 90, in: Merten / Papier, Handbuch der Grundrechte Band IV, Rdnr. 80; andeutend Hauser, Das IT-Grundrecht, S. 123. 188 BT-Drs. 18 / 5121, S. 12. 184 Vgl.
§ 4 Objektiv-rechtliche Grundlagen163
Art. 19 Abs. 3 GG mit einem verminderten Schutzniveau erfassen. Aufgrund des umfassenden Systemschutzes für die IT kann das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme auch als „Computer-Grundrecht“189 oder „IT-Grundrecht“190 bezeichnet werden. II. Schutzpflichten gegenüber Nutzern Kritischer Infrastrukturen Betrachtet man das Grundrechtsverhältnis von Staat und beteiligten Privaten, darf die grundrechtliche Wirkung der objektiven Grundrechtsgehalte zugunsten der Nutzer der Kritischen Infrastrukturen nicht außer Betracht gelassen werden. Eine Schutzpflicht gegenüber den Nutzern kommt unter zwei Aspekten in Betracht. Zum einen kann von nutzerbezogenen Informa tionen in der IT, zum anderen von den Infrastrukturdienstleistungen ausgegangen werden. Zunächst wird mit der Untersuchung einer Schutzpflicht zugunsten der Informationen als Schutzgegenstand der IT-Sicherheit begonnen. Als Grundlagen des Schutzes kommen dabei die Ausprägungen des allgemeinen Persönlichkeitsrechts, das Recht auf informationelle Selbstbestimmung und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme in Betracht. Letzteres steht in Bezug auf den Sektor der Informationstechnik und Telekommunikation bereits am Schnittpunkt zu einer Schutzpflicht zugunsten der Infrastrukturdienstleistungen. Hierbei kommt der Berufsfreiheit und dem Recht auf Leben und körperliche Unversehrtheit Bedeutung zu. 1. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG Recht auf informationelle Selbstbestimmung Das Recht auf informationelle Selbstbestimmung könnte in seinem objektiven Gehalt Schutzwirkungen zugunsten der personenbezogenen Nutzerdaten hervorbringen. Schutzgegenstand des Rechts auf informationelle Selbstbestimmung ist die Freiheit, selbst über die Verwendung der personenbezo-
189 Lepsius, Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, in: Roggan, Online-Durchsuchungen, S. 21; Kutscha, NJW 2008, S. 1042, 1044. 190 Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 153; Heckmann, Staatliche Schutz- und Förderpflichten zur Gewährleistung von IT-Sicherheit, in: Rüßmann, Festschrift für Gerhard Käfer, S. 129, 130; Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 118; Luch, MMR 2011, S. 75 ff.
164
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
genen Daten zu bestimmen.191 Dies trifft sowohl auf natürliche als auch auf juristische Personen192 als Nutzer zu. Da die IT-Sicherheit sämtliche Informationen unabhängig davon umfasst, ob sie einen Personenbezug aufweisen oder nicht, wird auch die Verfügbarkeit, Unversehrtheit und Vertraulichkeit der Nutzerinformationen geschützt. Die Schutzpflicht zugunsten der informationellen Selbstbestimmung betrifft von diesen Schutzzielen lediglich die Vertraulichkeit.193 Aus dem Grundrecht auf informationelle Selbstbestimmung folgt damit eine Schutzgewährleistung zugunsten der Nutzer bezüglich der Vertraulichkeit ihrer personenbezogenen Daten in der IT der Betreiber Kritischer Infrastrukturen.194 2. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG,195 könnte aus Sicht der Infrastrukturnutzer die IT-Sicherheit grundrechtlich verankern. Die IT-Sicherheit Kritischer Infrastrukturen betrifft nicht die privat genutzte IT der Nutzer, sondern lediglich diejenige der Betreiber Kritischer Infrastrukturen. Die informationstechnischen Systeme der Betreiber Kritischer Infrastrukturen bilden für die Nutzer keine eigengenutzten informationstechnischen Systeme. Damit ergibt sich zugunsten der Nutzer Kritischer Infrastrukturen grundsätzlich keine Schutzpflicht auf Gewährleistung der Vertraulichkeit und Integrität dieser informationstechnischen Systeme. Eine Besonderheit gilt jedoch für den Sektor der Informationstechnik und Telekommunikation. Für die in diesem Sektor erbrachten kritischen Dienstleistungen der Sprach- und Datenübertragung wie auch für die Datenspeicherung und -verarbeitung wird regelmäßig als Ausgangspunkt zwar das eigene informationstechnische System, aber für die weitere Übertragung, Speicherung oder Verarbeitung das informationstechnische System des Infrastrukturbetreibers genutzt. Der eigene Computer ist dabei über das Internet mit dem Rechenzentrum oder anderen IT-Einrichtungen des Infrastrukturbetreibers 191 BVerfGE
65, 1, 43 = NJW 1984, S. 419, 422. ist die Schutzpflicht zugunsten der informationellen Selbstbestimmung vornehmlich aus Art. 2 Abs. 1 GG abzuleiten. Siehe § 4 A. I. 5. sowie BVerfGE 118, 168, 203 f. 193 Siehe bereits § 4 A. I. 5. 194 Vgl. in Bezug auf Telemedien Djeffal, MMR 2015, S. 716, 717. 195 Vgl. zur Begründung, dem Schutzgegenstand und der Schutzpflichtenwirkung oben § 4 A. I. 6. a), c) und d). 192 Dann
§ 4 Objektiv-rechtliche Grundlagen165
vernetzt und greift auf dessen IT zurück, indem dort Informationen abgerufen, gespeichert und verarbeitet werden.196 Für eine Nutzung gewisser informationstechnischer Systeme ist ein Rückgriff auf informationstechnische Systeme Dritter, beispielsweise über das Internet,197 technisch notwendig. Ein Ausschluss dieser Systeme vom Gewährleistungsgehalt würde zu einer Schutzlücke für den Bereich der Informationstechnik und Telekommunikation trotz eines bestehenden Schutzbedürfnisses führen. Dies hat auch das Bundesverfassungsgericht erkannt. Es hat deshalb den Schutz auch auf „informationstechnische Systeme (…), die sich in der Verfügungsgewalt anderer befinden“ erstreckt, soweit auf diese für die Nutzung des eigenen Systems zurückgegriffen werden muss.198 Damit werden die IT-Einrichtungen des Betreibers, die für die Erbringung der Dienstleistungen des Sektors Informationstechnik und Telekommunikation nötig sind, aufgrund teleologischer Erwägungen vom Schutzgehalt des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informa tionstechnischer Systeme erfasst. Für diesen Fall erstreckt sich die grundrechtliche Schutzpflicht zugunsten der Vertraulichkeit und Integrität ebenso auf die Nutzer der Kritischen Infrastruktur. Diese Schutzdimension besteht nicht nur für natürliche Personen, sondern auch sofern die Nutzung durch eine juristische Person erfolgt.199 Grundsätzlich besteht für die Nutzer der Kritischen Infrastrukturen keine Schutzpflicht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme der Kritischen Infrastrukturen. Eine Ausnahme ergibt sich für Nutzer des Infrastruktursektors Informationstechnik und Telekommunikation aufgrund seiner besonderen technischen Gegebenheiten. Dort existiert wegen des Rückgriffs der Nutzer auf die IT der Infrastruktur eine grundrechtliche Schutzgewährleistung zugunsten der Vertraulichkeit und Integrität dieser. 3. Art. 12 Abs. 1 GG Sofern Nutzer einer Kritischen Infrastruktur auf deren Dienstleistung für ihre Berufsausübung angewiesen sind, folgt zugunsten der Versorgungs sicherheit mit diesen kritischen Dienstleistungen ein Schutz aus dem objekti196 Vgl. BSI, KRITIS-Sektorstudie Informationstechnik und Telekommunikation, S. 44, 68; Hansen, DuD 2012, S. 407, 408. 197 BVerfGE 120, 274, 304. 198 BVerfGE 120, 274, 315. 199 Vgl. zur Schutzpflicht bezüglich der Gewährleistung der Vertraulichkeit und Integrität Informationstechnischer Systeme allein aus Art. 2 Abs. 1 GG für juristische Personen § 4 A. I. 6. d) bb).
166
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
ven Gehalt der Berufsfreiheit.200 Der objektive Schutzgehalt richtet sich nicht auf eine konkrete Dienstleistung, sondern als Voraussetzung für jede Berufsausübung auf einen Ordnungsrahmen, der auch die Versorgungssicherheit mit für die Berufsausübung notwendigen kritischen Dienstleistungen umfasst.201 Dieser Schutzgehalt ist mit dem sogleich zu behandelnden Recht auf Leben und körperliche Unversehrtheit vergleichbar, wobei Art. 12 Abs. 1 GG auf die berufliche Sphäre beschränkt ist und nur eine im Vergleich zu Art. 2 Abs. 2 S. 1 GG abgesenkte Schutzgewährleistung202 enthält. Aufgrund der bestehenden Abhängigkeiten von der IT können Infrastrukturdienstleistungen nur bei einer Gewährleistung der Funktionsfähigkeit der IT erbracht werden. Über die Versorgungssicherheit mit zur Berufsausübung notwendigen Infrastrukturdienstleistungen erfasst der objektive Grundrechtsgehalt des Art. 12 Abs. 1 GG auch die IT-Sicherheit der Betreiber Kritischer Infrastrukturen. 4. Art. 2 Abs. 2 S. 1 GG Die Schutzpflicht zugunsten des Lebens und der körperlichen Unversehrtheit der Nutzer einer Infrastruktur bezieht sich ebenfalls auf die IT-Sicherheit Kritischer Infrastrukturen. Im Folgenden wird zunächst auf den objektiven Gewährleistungsgehalt des Grundrechts auf Leben und körperliche Unversehrtheit und die daraus resultierende objektive Schutzwirkung zugunsten der Nutzer eingegangen, bevor der Bezug zur IT-Sicherheit Kritischer Infrastrukturen herausgearbeitet wird. a) Schutzgegenstand Leben und körperliche Unversehrtheit Der Gegenstand des Rechts auf Leben ist negativ als Verbot der gezielten oder ungezielten Tötung von Menschen oder positiv als Schutz des Lebens, der physischen Existenz des Menschen zwischen Geburt und Tod definiert.203 200 Die Schutzintensität hängt maßgeblich von der Bedeutung der Dienstleistung für die Berufsausübung des Nutzers ab und ob diese im Wettbewerb verfügbar ist. Die Schutzpflicht aus Art. 12 Abs. 1 GG darf nicht dahingehend verstanden werden, dass der Infrastrukturnutzer einen subjektiv-rechtlichen Anspruch erhält, konkrete Dienstleistungen durch den Staat zur Verfügung gestellt zu bekommen. 201 Zur „Verantwortung des Staates für den ungestörten Ablauf des wirtschaft lichen Geschehens“ BVerfGE 30, 392, 312; vgl. allgemein Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 190 f. 202 Diese beruht darauf, dass dem Leben und der körperlichen Unversehrtheit als Schutzgüter des Art. 2 Abs. 2 S. 1 GG in der Regel ein höheres Gewicht zukommt als der Berufsfreiheit. 203 Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 141; Hermes, Das Grundrecht auf Schutz von Leben und Gesundheit, S. 222.
§ 4 Objektiv-rechtliche Grundlagen167
Das Recht auf körperliche Unversehrtheit schützt die körperliche Integrität inklusive des Selbstbestimmungsrechts über den eigenen Körper.204 Zugunsten des Lebens und der körperlichen Unversehrtheit ergibt sich aus Art. 2 Abs. 2 S. 1 GG eine Schutzpflicht. Diese ist sowohl für das Leben als auch die körperliche Unversehrtheit umfassend.205 Damit unterliegen ihr sämtliche Beeinträchtigungen des Lebens oder der körperlichen Unversehrtheit durch Dritte. Sachnotwendig erstreckt sich die Schutzpflicht allein auf natürliche und nicht auf juristische Personen.206 b) Bezug der Schutzpflicht zur IT-Sicherheit Kritischer Infrastrukturen Auf den ersten Blick scheint die Schutzpflicht zugunsten des Lebens und der körperlichen Unversehrtheit der Infrastrukturnutzer keine Verbindung zur IT-Sicherheit aufzuweisen. Betrachtet man lediglich den Schutzgegenstand der IT-Sicherheit, ist dies richtig. Weitet man das Blickfeld auf die IT-Sicherheit Kritischer Infrastrukturen, verbietet sich eine einfache Negierung derartiger Zusammenhänge. Deren IT-Sicherheit wird zur Sicherstellung der Versorgung des Gemeinwesens mit kritischen Infrastrukturdienstleistungen reguliert. Angesichts der grundlegenden Funktion, die Kritische Infrastrukturen für die Versorgung der Bevölkerung haben, muss anhand der jeweiligen Infrastrukturdienstleistung untersucht werden, ob ihr Ausfall Auswirkungen auf das Leben oder die körperliche Unversehrtheit der Nutzer haben kann. Wegen des besonderen verfassungsrechtlichen Werts des Lebens und der körperlichen Unversehrtheit sind auch mittelbare Auswirkungen zu berücksichtigen. Bis auf den Sektor Finanz- und Versicherungswesen207 können sämtliche Dienstleistungen der Sektoren Kritischer Infrastrukturen das Leben oder die körperliche Unversehrtheit der Nutzer beeinträchtigen. Ein Ausfall der Energieversorgung kann Leben gefährden, da die medizinische Versorgung der Energie als Grundlage bedarf.208 Vom Sektor Informationstechnik und Telekommunikation sind ebenfalls andere Infrastrukturen und sonstige Dienst204 Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 147 f.; Hermes, Das Grundrecht auf Schutz von Leben und Gesundheit, S. 223 f. 205 Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 188 ff.; vgl. Hermes, Das Grundrecht auf Schutz von Leben und Gesundheit, S. 221, 226 ff. 206 Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 39. 207 Vgl. BSI, KRITIS-Sektorstudie Finanz- und Versicherungswesen, S. 48 ff. Keine der Dienstleistungen kann zu Personenschäden führen; Auswirkungen bestehen allenfalls mittelbar über Unruhen. 208 BSI, KRITIS-Sektorstudie Energie, S. 71; Petermann / Bradke / Lüllmann u. a., Was bei einem Blackout geschieht, S. 218 f.
168
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
leistungen abhängig.209 Allein der Ausfall der Telekommunikation oder, sofern diese über das Internet erfolgt, der hierfür relevanten IT verhindert, dass Notrufe abgesetzt werden können, was ebenfalls zu einer Gefährdung von Menschenleben führen kann.210 Eine ähnliche Rolle nimmt auch der Sektor Transport und Verkehr in einer arbeitsteiligen Wirtschaftsgesellschaft ein,211 für deren Funktionieren Verkehrs- und Transportdienstleistungen unabdingbar sind. Unmittelbare Auswirkungen auf Leben und Gesundheit, zeitigt ein Ausfall dieses Sektors nicht. Dennoch sind die beiden Schutzgüter mittelbar von einer Störung des Güterverkehrs betroffen, indem Liefer- und Transportengpässe bei lebensnotwendigen Gütern, insbesondere bei Arznei- und Lebensmitteln, zu Gesundheitsschäden und Todesfällen führen können.212 Die Auswirkungen des Gesundheitssektors für Leben und körperliche Unversehrtheit liegen auf der Hand. Ein Ausfall der medizinischen Versorgung und fehlende Arzneimittel beeinträchtigen das Leben und die körperliche Unversehrtheit von Patienten unmittelbar. Laboruntersuchungen sind für eine effektive Behandlung unabdingbar und haben mittelbare Auswirkungen.213 Die Sektoren Wasser und Ernährung dienen der Versorgung der Bevölkerung mit lebensnotwendigen Gütern.214 Ein Ausfall der Versorgung mit Wasser und Lebensmitteln führt zu einer existenziellen Bedrohung des Lebens und der körperlichen Gesundheit.215 Damit wurde gezeigt, dass ein Ausfall der Kritischen Infrastrukturen216 unmittelbar oder mittelbar zu einer Beeinträchtigung der Rechtsgüter Leben und körperliche Unversehrtheit führen kann.217 Dabei betreffen nicht sämt liche, aber doch wesentliche Kerndienstleistungen die Schutzgüter des Art. 2 Abs. 2 S. 1 GG.
209 Vgl. bereits § 1 A. und § 2 B. II. 2. b) bb) (1). Den Dienstleistungen dieses Sektors kommt daher eine besondere Bedeutung für das Wirtschaftsleben zu. 210 BSI, KRITIS-Sektorstudie Informationstechnik und Telekommunikation, S. 45. 211 Vgl. Petermann / Bradke / Lüllmann u. a., Was bei einem Blackout geschieht, S. 108. 212 BSI, KRITIS-Sektorstudie Transport und Verkehr, S. 104, 106. 213 Vgl. BSI, KRITIS-Sektorstudie Gesundheit, S. 102 ff. 214 BSI, KRITIS-Sektorstudie Ernährung und Wasser, S. 12 ff., 15 ff. 215 BSI, KRITIS-Sektorstudie Ernährung und Wasser, S. 15 ff., 20; Petermann / Bradke / Lüllmann u. a., Was bei einem Blackout geschieht, S. 216. 216 Ausgenommen den Sektor Finanz- und Versicherungswesen. 217 Nur bezüglich des Ausfalles der Stromversorgung Altenschmidt, NVwZ 2015, S. 559, 560; vgl. Hermes, Das Grundrecht auf Schutz von Leben und Gesundheit, S. 198, wonach Art. 2 Abs. 2 S. 1 GG „einen Zustand, der zwar auf arbeitsteilige Hilfen (z. B. Lebensmittelversorgung) angewiesen ist“ schützt.
§ 4 Objektiv-rechtliche Grundlagen169
Vergleichbar zu Art. 12 Abs. 1 GG ergibt sich hier ebenfalls über das Vehikel der Infrastrukturdienstleistungen eine auf die IT-Sicherheit Kritischer Infrastrukturen bezogene Schutzgewährleistung zugunsten der Nutzer. 5. Art. 10 Abs. 1 Var. 3 GG Wie bereits bei den Schutzpflichten zugunsten der Betreiber Kritischer Infrastrukturen dargestellt, schützt die aus Art. 10 Abs. 1 Var. 3 GG folgende Gewährleistung den Kommunizierenden.218 Voraussetzung ist, dass eine in dividuelle Kommunikationsübermittlung stattfindet.219 Da der Nutzerkreis zwar Betreiber Kritischer Infrastrukturen, aber darüber hinaus auch andere Nutzer erfasst, besteht zugunsten dieser ebenfalls eine Schutzpflicht.220 Sie deckt die Gewährleistung des Vertraulichkeitsziels der IT-Sicherheit bei Dienstleistungen des Sektors Informationstechnik und Telekommunikation während des Informationsübermittlungsvorganges ab. III. Verankerung der Betreiberpflichten in den grundrechtlichen Gewährleistungsgehalten Die IT-Sicherheit findet als aktuelle und durch die informationstechnischen Möglichkeiten beeinflusste Frage keinen ausdrücklichen Niederschlag im Grundgesetz. Dennoch wird diese über den Schutzgegenstand der Information, der dienenden Prozessfunktion der IT bzw. der Versorgung mit kritischen Dienstleistungen von grundrechtlichen Schutzgewährleistungen in verschiedenem Umfang erfasst.221 Eine die IT-Sicherheit in weiten Teilen umfassende Schutzpflicht folgt aus dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Einzelne Aspekte der IT-Sicherheit werden zusätzlich teils unmittelbar, teils mittelbar über Art. 14 Abs. 1 GG, Art. 10 Abs. 1 Var. 3 GG, das Recht auf informationelle Selbstbestimmung sowie das Recht auf Leben und körperliche Unversehrtheit geschützt. Schutzpflichten zugunsten der Betreiber Kritischer Infrastrukturen zielen primär auf die IT-Sicherheit ab. Demgegenüber schützen diejenigen zugunsten der Nutzer die IT-Sicherheit der Kritischen Infrastruk218 Vgl.
bereits § 4 A. I. 4. in: Maunz / Dürig, Grundgesetz Kommentar, Art. 10 GG, Rdnr. 49, 51; Pagenkopf, in: Sachs, Grundgesetz, Art. 10 GG, Rdnr. 14; Kloepfer / Neun, Informa tionsrecht, § 3, Rdnr. 27; ablehnend gegenüber dem einschränkenden Merkmal der Individualkommunikation im Internet Bäcker, Die Vertraulichkeit der Internetkommunikation, in: Rensen / Brink, Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 104. 220 Vgl. Durner, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 10 GG, Rdnr. 85. 221 Dies ebenfalls feststellend Wischmeyer, Die Verwaltung 50 (2017), S. 155, 158. 219 Durner,
170
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
turen im Schwerpunkt mittelbar über die Infrastrukturdienstleistungen. Ohne eine funktionsfähige IT und damit der Gewährleistung der IT-Sicherheit ist deren Erbringung gefährdet. Ausnahmen bildet insofern der Schutz der Vertraulichkeit der Nutzerdaten über das Recht auf informationelle Selbstbestimmung und das Fernmeldegeheimnis. Hier steht bei der Schutzpflicht zugunsten der Nutzer nicht die Versorgungssicherheit mit Infrastrukturdienstleistungen, sondern das Selbstbestimmungsrecht bezüglich der personenbezogenen Daten bzw. die Vertraulichkeit des Kommunikationsvorganges im Vordergrund. Die normative Ausgestaltung der Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen findet in den dargestellten objektiven Grundrechtsgehalten eine zusätzliche Legitimation. Sie beruht darauf, dass der Gesetzgeber eine objektiv bestehende Schutzpflicht zum Schutz der IT-Sicherheit einfachgesetzlich umsetzt. Folge dieser Verankerung ist, dass sie bei etwaigen Grundrechtseingriffen zu deren Rechtfertigung in Stellung gebracht werden könnte. Der Gesetzgeber bewegt sich mit der Inpflichtnahme der Betreiber im Bereich des in den grundrechtlichen Schutzgewährleistungen enthaltenen objektiven Verfassungsauftrages, die IT-Sicherheit Kritischer Infrastrukturen zu gewährleisten. Dass diese Legitimation im Spannungsfeld zwischen den Interessen der Betreiber und Nutzer Kritischer Infrastrukturen steht, zeigt die Begrenzung der rechtfertigenden Wirkung. Eine rechtfertigende Wirkung bezüglich der Betreiberpflichten wurzelt allein in den Schutzgewährleistungen zugunsten der Infrastrukturnutzer. Obwohl die Schutzgewährleistungen zugunsten der Infrastrukturbetreiber nicht für eine Rechtfertigung der Inpflichtnahme fruchtbar gemacht werden können, ist die Untersuchung der durch sie geleisteten verfassungsrechtlichen Verankerung für eine dogmatische Durchdringung der Rechtsmaterie der ITSicherheit Kritischer Infrastrukturen unentbehrlich. Denn damit ist bereits auf verfassungsrechtlicher Ebene angelegt, dass die Gewährleistung ihrer IT-Sicherheit den Betreibern nicht vollständig alleine überlassen werden darf. Den objektiven Gehalten der grundrechtlichen Schutzpflichten zugunsten der Betreiber Kritischer Infrastrukturen kann nicht allein durch den Ordnungsrahmen der Eigensicherungspflichten der Betreiber Genüge getan werden. Stattdessen wurzelt in ihnen auch ein staatlicher Beitrag zu deren IT-Sicherheit, der nicht im Wege einer Inpflichtnahme auf die Betreiber verlagert werden kann. Dies spiegelt sich in der Rolle des BSI wider.222
222 Vgl.
zur Rolle des BSI unten § 8.
§ 4 Objektiv-rechtliche Grundlagen171
B. Infrastrukturgewährleistungsverantwortung Neben den aus den Grundrechtsgehalten erwachsenden objektiven Schutzgewährleistungen fußen die staatlichen Beiträge zur IT-Sicherheit Kritischer Infrastrukturen auf der Infrastrukturgewährleistungsverantwortung. Bei der Betrachtung dieser Verantwortung treten die Infrastrukturdienstleistungen ins Zentrum. Vergleichbar zur Situation bei den Schutzpflichten zugunsten der Nutzer bezieht sich eine solche aufgrund der Abhängigkeit der Infrastrukturen von der Funktionsfähigkeit der eingesetzten IT auf deren IT-Sicherheit. Unter der Infrastrukturgewährleistungsverantwortung des Staates ist ein Einstehenmüssen in Form einer Garantiefunktion zu verstehen.223 Dies bedeutet, dass den Staat keine unmittelbare Verantwortung für die Erbringung von Infrastrukturdienstleistungen trifft.224 Dennoch hat er deren Erbringung durch die Infrastrukturbetreiber sicherzustellen.225 Soweit diese Garantiefunktion reicht, muss er seiner Gewährleistungsverantwortung nachkommen.226 Anknüpfungspunkte sind die speziell normierten Gewährleistungsaufträge der Art. 87e Abs. 4 GG sowie Art. 87f Abs. 1 GG. Daneben ist zu diskutieren, inwiefern eine allgemeine verfassungsrechtliche Infrastrukturverantwortung für die IT-Sicherheit Kritischer Infrastrukturen existiert. Obwohl informationstechnische Systeme, sowie diesbezügliche Sicherungsanforderungen in Art. 91c GG genannt werden, gewinnt dieser im Zusammenhang der ITSicherheit Kritischer Infrastrukturen keinerlei Bedeutung. Denn er normiert keine staatliche Verantwortung, sondern lässt nur bestimmte Formen des Zusammenwirkens von Bund und Ländern im Bereich ihrer eigenen IT-In frastruktur zu.227 I. Verfassungsrechtlich normierte Infrastrukturverantwortung In seiner ursprünglichen Fassung kannte das GG keine explizit normierte Verantwortung des Staates für Infrastrukturen. Erst im Zuge der Privatisie223 Vgl. BVerfGE 83, 363, 384 f. bzgl. der Versorgung mit Dienstleistungen von Krankenhäusern; Schulze-Fielitz, § 12, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band I, Rdnr. 158; vgl. Hermes, Staatliche Infrastrukturverantwortung, S. 334, 337 ff. 224 Schmidt am Busch, Die Verwaltung 49 (2016), S. 205, 208. 225 Zur Verantwortung als „Einstehenmüssen für etwas“ vgl. Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 266. 226 Vgl. zum Verbleib der Verantwortung beim Staat Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 66, 75. 227 Gröpl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 91c GG, Rdnr. 5.
172
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
rung von staatlichen Infrastrukturunternehmen wurde eine solche für das Schienennetz und die Verkehrsangebote der Eisenbahn in Art. 87e Abs. 4 GG sowie für die Post und Telekommunikation in Art. 87f Abs. 1 GG in Form einer Gewährleistungsverantwortung ergänzt. 1. Art. 87e Abs. 4 GG Der Anwendungsbereich der in Art. 87e Abs. 4 GG normierten Infrastrukturgewährleistungsverantwortung beschränkt sich auf den Ausbau und Erhalt des Schienennetzes der Eisenbahnen des Bundes sowie den Verkehrsangeboten auf diesem Schienennetz, soweit diese nicht den Schienenpersonennahverkehr betreffen. Dabei hat der Bund zu gewährleisten, dass das Wohl der Allgemeinheit berücksichtigt228 wird, was insbesondere die Verkehrsbedürfnisse einschließt. Aus Art. 87e Abs. 4 GG folgt eine Gewährleistungsverantwortung für das Eisenbahnschienennetz und Eisenbahnverkehrsangebote. Die normierte Verantwortung beschränkt sich allein auf die Eisenbahnen des Bundes,229 wobei der im Verantwortungsbereich der Länder liegende Schienenpersonennahverkehr ausgenommen ist.230 Die Verantwortung beinhaltet sowohl die Eisenbahninfrastruktur als auch die Verkehrsangebote durch die Eisenbahnen des Bundes.231 Von einem zu gewährleistenden Mindestniveau des Eisenbahnschienennetzes und der Eisenbahnverkehrsdienstleistungen des 228 Möstl,
in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 183. in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 74, 112, 114; Badura, Sozialstaatliche Daseinsvorsorge und Infrastruktursicherung durch Leistungsverwaltung und Gewährleistungsverantwortung, in: Bultmann / Grigoleit / Gusy u. a., Allgemeines Verwaltungsrecht, S. 319, 324; zur gegenständlichen Beschränkung der Gewährleistungsverantwortung auf das Schienennetz und die Verkehrsangebote auf diesem Lerche, Infrastrukturelle Verfassungsaufträge (zu Nachrichtenverkehr, Eisenbahnen), in: Wendt / Höfling / Karpen u. a., Staat, Wirtschaft, Steuern, S. 251, 256; Remmert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87e GG, Rdnr. 18. 230 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 136; Windthorst, in: Sachs, Grundgesetz, Art. 87e GG, Rdnr. 60. 231 Remmert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87e GG, Rdnr. 18 nimmt eine Gewährleistungsverantwortung aus Art. 87e Abs. 4 GG für die Verkehrsangebote auch nach der vollständigen Veräußerung der Eisenbahnverkehrsunternehmen durch den Bund an; a. A. Windthorst, in: Sachs, Grundgesetz, Art. 87e GG, Rdnr. 61; Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 189 durch die Veräußerung entfällt die Gewährleistungsverantwortung für die Verkehrsangebote aus Art. 87e Abs. 4 GG. Es besteht jedoch weiterhin eine allgemeine sozialstaatliche Gewährleistungsverantwortung für Leistungen der Daseinsvorsorge. Die Gewährleistungsverantwortung aus Art. 87e Abs. 4 GG für die Eisenbahninfrastruktur kann dahingegen nicht aufgegeben werden. Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 112. 229 Möstl,
§ 4 Objektiv-rechtliche Grundlagen173
Bundes kann angesichts des weiten Maßstabes „Wohl der Allgemeinheit“, welcher eine Abwägung verschiedener Belange verlangt, nur eingeschränkt gesprochen werden.232 Nichtsdestotrotz folgt aus Art. 87e Abs. 4 GG eine objektiv-rechtliche Gewährleistungsverantwortung, die mangels konkreten Mindestniveaus die Rechtsnatur einer Staatszielbestimmung hat,233 aber in ihrem Kern eine gewisse Grundversorgung fordert.234 Doch darf die Bedeutung dieser Gewährleistungsverantwortung für den Kritischen Infrastruktursektor Transport und Verkehr nicht unberücksichtigt bleiben. Der Transport von Gütern sowie von Personen im Nah- und Fernverkehr erfolgt zu einem nicht unerheblichen Teil über den Schienenverkehr. Infolgedessen wurde er als Kritische Infrastruktur eingeordnet.235 Da nur solche Schienenverkehrsanlagen Kritische Infrastrukturen sind, deren Ausfall erhebliche Folgen für das Gemeinwesen hat, liegt deren Betrieb immer im Wohl der Allgemeinheit.236 Insofern folgt trotz des fehlenden konkreten Mindestniveaus für Schieneninfrastrukturen jedenfalls für Kritische Infrastrukturen eine Gewährleistungsverantwortung für ihr Funktionieren.237 Aufgrund der hohen Abhängigkeiten der Dienstleistungserbringung vom IT-Einsatz,238 trifft den Bund hierüber wiederum mittelbar eine Gewährleistungsverantwortung für die IT-Sicherheit. Damit folgt aus Art. 87e Abs. 4 GG eine Gewährleistungsverantwortung zugunsten der IT-Sicherheit der Eisenbahnen des Bundes.
232 Möstl,
in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 183. in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 182; Windthorst, in: Sachs, Grundgesetz, Art. 87e GG, Rdnr. 62. 234 Lerche, Infrastrukturelle Verfassungsaufträge (zu Nachrichtenverkehr, Eisenbahnen), in: Wendt / Höfling / Karpen u. a., Staat, Wirtschaft, Steuern, S. 251, 257; Windthorst, in: Sachs, Grundgesetz, Art. 87e GG, Rdnr. 58; Remmert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87e GG, Rdnr. 17. 235 BT-Drs. 18 / 4096, S. 31; BMI, Referentenentwurf Erste Verordnung zur Änderung der BSI-Kritisverordnung, Stand 24.05.2017, S. 62, 64; § 8 Abs. 2 BSI-KritisV i. V. m. Anhang Teil 3 Nr. 1.2, 1.5.1. 236 Aufgrund der existenzsichernden Grundfunktion der Kritischen Infrastrukturen, können andere Aspekte die Aufrechterhaltung ihres Betriebes nicht überwiegen. In dieser Hinsicht stellen sie einen abwägungsfesten Kern des Allgemeinwohls dar. Dahingegen ist bei der Errichtung einer Kritischen Schieneninfrastruktur eine Abwägung mit Alternativen möglich. 237 Hiervon sind jedoch diejenigen Infrastruktureinrichtungen ausgenommen, die nur dem Schienenpersonennahverkehr dienen. 238 Vgl. zur Abhängigkeit von der IT bereits § 1 A. 233 Möstl,
174
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
2. Art. 87f Abs. 1 GG Nach Art. 87f Abs. 1 GG „gewährleistet der Bund im Bereich des Postwesens und der Telekommunikation flächendeckend angemessene und ausreichende Dienstleistungen“. Damit wird ausdrücklich eine Gewährleistungsverantwortung des Bundes für die Erbringung von Post- und Telekommunikationsdienstleistungen normiert.239 Das Mindestniveau bestimmt sich – ähnlich der Beurteilung der Kritikalität einer Infrastruktur, hier aber doch unter einem anderen Blickwinkel – nach den Kriterien der Qualität und Quantität. Dabei bezieht sich die Qualität auf eine angemessene Beschaffenheit und die Quantität auf eine der Menge nach ausreichende Versorgung. Diese ist aus Sicht der Nutzer und damit entwicklungsoffen zu beurteilen.240 Es bleibt nun zu klären, inwieweit die aus Art. 87f Abs. 1 GG folgende Gewährleistungsverantwortung die Kritischen Infrastruktursektoren Telekommunikation und Informationstechnik bzw. Transport und Logistik abdeckt. Zwar scheint der Sektor Informationstechnik und Telekommunikation seinem Namen nach weiter zu reichen als die allein auf die Telekommunikation bezogene Gewährleistungsverantwortung. Der verfassungsrechtliche Begriff der Telekommunikation i. S. v. Art. 87f GG ist aber den Entwicklungen angepasst auszulegen.241 Unter ihr ist jede nichtkörperliche technische Übermittlung von Daten und Informationen zu verstehen.242 Dienstleistungen des Sektors Informationstechnik und Telekommunikation sind Sprach- und Datenübertragung, sowie Datenspeicherung und -verarbeitung.243 Vergleicht man die jeweils erfassten Dienstleistungen, so ergibt sich nur bezüglich der Sprach- und Datenübertragung ein Überschneidungsbereich. Die Infrastrukturverantwortung aus Art. 87f Abs. 1 GG besteht damit nur zugunsten der Übertragungsdienstleistungen im Sektor Informationstechnik und Telekommunikation. Sofern zur Datenspeicherung und -verarbeitung als Zwischen239 Remmert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87f GG, Rdnr. 8; Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 62, 73; Lerche, Infrastrukturelle Verfassungsaufträge (zu Nachrichtenverkehr, Eisenbahnen), in: Wendt / Höfling / Karpen u. a., Staat, Wirtschaft, Steuern, S. 251, 253; Badura, Sozialstaatliche Daseinsvorsorge und Infrastruktursicherung durch Leistungsverwaltung und Gewährleistungsverantwortung, in: Bultmann / Grigoleit / Gusy u. a., Allgemeines Verwaltungsrecht, S. 319, 323 f.; Windthorst, in: Sachs, Grundgesetz, Art. 87f GG, Rdnr. 14. 240 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 72. 241 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 29. 242 BVerfGE 12, 205, 226; 46, 120, 143; vgl. BVerfGE 113, 348, 368 = NJW 2005, S. 2603, 2605; siehe auch BVerwGE 77, 128, 131; Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 32; Remmert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87f GG, Rdnr. 2. 243 § 5 Abs. 1 Nr. 1 BSI-KritisV; BT-Drs. 18 / 4096, S. 31.
§ 4 Objektiv-rechtliche Grundlagen175
schritt eine Datenübertragung erfolgt, besteht für diese ebenfalls eine Gewährleistungsverantwortung, jedoch nicht für die Speicherung bzw. Verarbeitung selbst. Aus dem Sektor Transport und Logistik besteht für Dienstleistungen, soweit sie in den Bereich des Postwesens244 fallen, ebenfalls eine Gewährleistungsverantwortung. Da das zu gewährleistende Mindestmaß einer Grundversorgung eine sichere Post- und Telekommunikationsinfrastruktur voraussetzt, wird deren IT-Sicherheit mittelbar von der Gewährleistungsverantwortung erfasst.245 Als Konsequenz trifft den Bund auch für die IT-Sicherheit der Post- und Telekommunikationsinfrastruktur eine Gewährleistungsverantwortung.246 II. Allgemeine Infrastrukturverantwortung für Kritische Infrastrukturen Neben dieser speziell normierten Infrastrukturgewährleistungsverantwortung für die Bereiche der Eisenbahn, Post und der Telekommunikation, enthält das Grundgesetz eine allgemeine staatliche Infrastrukturgewährleistungsverantwortung für Kritische Infrastrukturen. Die eben angesprochene Gewährleistungsverantwortung für die Eisenbahn und Telekommunikation könnte dabei ein allgemeiner Gedanke sein, der in der Gesamtschau der beiden Normen als Ausdruck einer allgemeinen Infrastrukturgewährleistungsverantwortung normiert wurde. Eine solche allgemeine Infrastrukturverantwortung findet ihre grundgesetzliche Anerkennung aber bereits in den Schutzpflichten wie im Sozialstaatsprinzip. 1. Schutzpflichten Eine allgemeine grundrechtliche Infrastrukturverantwortung ist ausdrücklich nicht normiert. Dennoch sind die Grundrechte in ihren Wirkdimensionen für eine Infrastrukturgewährleistungsverantwortung von besonderer Relevanz. Diese schützen in ihrem objektiven Gehalt in Konkurrenz mit den 244 Dies ist dann der Fall, wenn sie der körperlichen Nachrichtenübermittlung oder dem Kleingütertransport dienen, Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 30. 245 Vgl. bzgl. einer Risikovorsorgepflicht für Bedrohungen der IT Höhne / Pöhls, Grund und Grenzen staatlicher Schutzpflichten für die IT-Infrastruktur, in: Taeger, Digitale Evolution, S. 827, 832. 246 Holznagel / Sonntag, Staatliche Verantwortung für den Schutz ziviler Infrastrukturen, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 125, 130.
176
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Grundrechten anderer Grundrechtsberechtigter den sachlich gewährten Freiheitsraum vor Beeinträchtigungen. Der Schutzgehalt besteht in einer zunächst nur objektiven Verpflichtung des Staates, ein Mindestmaß an Schutz zu gewährleisten.247 Bereits die Gewährleistungsgehalte der Schutzpflichten zugunsten der Betreiber enthalten den Auftrag die IT-Sicherheit von Infrastrukturen zu gewährleisten. Speziell für die IT-Infrastruktur folgt dieser aus den Gewährleistungsgehalten des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.248 Doch auch Art. 14 Abs. 1 GG,249 Art. 12 Abs. 1 GG,250 sowie Art. 10 Abs. 1 Var. 3 GG251 und das Recht auf informationelle Selbstbestimmung252 zeitigen Schutzwirkungen für die IT-Sicherheit. Infrastrukturdienstleistungen, insbesondere solche Kritischer Infrastrukturen, sind notwendige Voraussetzung der grundrechtlichen Freiheitsausübung. Gerade weil diese Dienstleistungen in der Regel nicht vom Staat, sondern von Privaten erbracht werden, gewinnt die Schutzpflichtendimension zugunsten der Nutzer an Bedeutung. Dies zeigt besonders die infrastrukturdienstleistungsbezogene Verankerung der IT-Sicherheit in den grundrecht lichen Schutzgewährleistungen. Sie folgt umfassend aus Art. 12 Abs. 1 GG253 und Art. 2 Abs. 2 S. 1 GG.254
247 Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 190 f.; Huster / Rux, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 20 GG, Rdnr. 191; Grzeszick, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 20 GG VII, Rdnr. 126 ff.; bzgl. des Schutzes des Lebens BVerfGE 88, 203, 254 = NJW 1993, S. 1751, 1754. 248 Siehe hierzu § 4 A. I. 6.; so auch Schulz, DuD 2012, S. 395, 396, jedoch ohne Begründung. 249 Siehe hierzu § 4 A. I. 1. 250 Siehe hierzu § 4 A. I. 2. 251 Das Fernmeldegeheimnis wirkt zwar zugunsten der Infrastrukturbetreiber, jedoch werden diese nicht als Betreiber der Kommunikationsinfrastruktur, sondern als Kommunizierende und damit in ihrer Funktion als Infrastrukturnutzer erfasst. Siehe hierzu § 4 A. I. 4. sowie II. 5. 252 Siehe hierzu § 4 A. I. 5. 253 Siehe zur Schutzpflicht gegenüber Nutzern aus Art. 12 Abs. 1 GG § 4 A. II. 3. 254 Holznagel / Sonntag, Staatliche Verantwortung für den Schutz ziviler Infrastrukturen, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 125, 128 f.; siehe zur Schutzpflicht gegenüber Nutzern aus Art. 2 Abs. 2 S. 1 GG auch § 4 A. II. 4.; für den Sektor Energie Ennuschat, Staatlicher Infrastrukturgewährleistungsauftrag im Energiebereich, in: Pielow, Sicherheit in der Energiewirtschaft, S. 151, 154 f.; Kahle, Die Elektrizitätsversorgung zwischen Versorgungssicherheit und Umweltverträglichkeit, S. 149.
§ 4 Objektiv-rechtliche Grundlagen177
Für den Sektor der Telekommunikation und Informationstechnik findet sie zusätzlich eine Stütze im Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme als Voraussetzung für die Nutzung der eigenen, mit dem Infrastrukturbetreiber vernetzten IT. Schutzziel dieses objektiven Grundrechtsgehalts ist es, dass die Vertraulichkeit und Integrität informationstechnischer Systeme gewahrt bleibt, selbst wenn geeignete und ausreichende Selbstschutzmaßnahmen fehlen.255 Damit kann gezeigt werden, dass die Gewährleistungsverantwortung für wichtige Infrastrukturdienstleistungen ihren Rechtsgrund in den Grundrechten findet.256 Darin spiegelt sich die altruistische Motivation des Gesetzgebers, die IT-Sicherheit Kritischer Infrastrukturen wegen der Auswirkungen auf Dritte zu gewährleisten,257 wider. Aus einer Gesamtschau der infrastrukturbezogenen grundrechtlichen Schutzgehalte folgt eine umfassende Gewährleistungsverantwortung des Staates für die IT-Sicherheit Kritischer Infrastrukturen. 2. Sozialstaatsprinzip, Art. 20 Abs. 1 GG Neben den Grundrechten könnte eine Verankerung der staatlichen Gewährleistungsverantwortung zugunsten der von Kritischen Infrastrukturen erbrachten Dienstleistungen auch im Sozialstaatsprinzip des Art. 20 Abs. 1 GG zu finden sein. Das Sozialstaatsprinzip gebietet dem Staat, eine gerechte Sozialordnung zu schaffen258 und seiner Verantwortung für die Schwachen nachzukommen.259 Was dies im Einzelnen bedeutet muss durch Auslegung, die hier im Hinblick auf Kritische Infrastrukturen erfolgt, konkretisiert werden. Untersucht man das Sozialstaatsprinzip auf eine Pflicht zur Erbringung von Dienstleistungen einer Infrastruktur, wird deutlich, dass eine besondere Nähe zur Daseinsvorsorge besteht. Dieser maßgeblich von Forsthoff entwickelte Rechtsbegriff umfasst die Erbringung „von Leistungen, auf welche der in die modernen massentümlichen Lebensformen verwiesene Mensch lebens-
255 Luch, MMR 2011, S. 75, 78; Schulz, DuD 2012, S. 395, 396; vgl. Heinemann, Grundrechtlicher Schutz informationstechnischer Systeme, S. 209. 256 Badura, Sozialstaatliche Daseinsvorsorge und Infrastruktursicherung durch Leistungsverwaltung und Gewährleistungsverantwortung, in: Bultmann / Grigoleit / Gusy u. a., Allgemeines Verwaltungsrecht, S. 319, 322; vgl. Schmidt-Preuß, VVDStRL 56 (1997), S. 160, 172. 257 BT-Drs. 18 / 4096, S. 23; vgl. § 2 Abs. 10 S. 1 Nr. 2 BSIG. 258 BVerfGE 94, 241, 263; 97, 169, 185; 110, 412, 445. 259 BVerfGE 26, 16, 37; 45, 376, 387; 100, 271, 284; 103, 197, 221; zum Ganzen Grzeszick, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 20 GG VIII, Rdnr. 1.
178
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
notwendig angewiesen ist“.260 Doch die vorliegende Frage nach einer im Sozialstaatsprinzip wurzelnden staatlichen Gewährleistungsverantwortung betrifft gerade nicht die staatliche Erbringung von Leistungen, sondern das subsidiäre Einstehen für die Erbringung der Infrastrukturleistungen durch Dritte. Es ist also nach einer Gewährleistungsverantwortung für die Daseinsvorsorge gefragt. Wurde ursprünglich unter der Daseinsvorsorge nur die staatliche Leistungserbringung gefasst, so hat sich mit der Privatisierung und Liberalisierung weiter Bereiche dessen Verständnis gewandelt.261 Der moderne Begriff der Daseinsvorsorge erfasst auch die staatliche Verantwortung für die Gewährleistung der Versorgung mit gemeinwohlorientierten Dienstleistungen.262 Legt man das Sozialstaatsprinzip aus dem Blickwinkel der Menschenwürde aus, so folgt aus ihm die Pflicht zur Gewährleistung eines menschenwürdigen Existenzminiums für jedermann.263 Dies beinhaltet nicht nur die Pflicht zur finanziellen Unterstützung,264 sondern auch die Pflicht, die Verfügbarkeit von Leistungen zu gewährleisten, die nötig sind, um grundrechtliche Freiheiten ausüben zu können.265 Damit zeigt sich der Bereich der Daseinsvorsorge als Teil der Sozialstaatlichkeit.266 Zugleich folgt aus der Sozialstaatlichkeit eine Gewährleistungsverantwortung für Leistungen der Daseinsvorsorge.267
260 Forsthoff, Die Verwaltung als Leistungsträger, S. 7; vgl. Forsthoff, Die Daseinsvorsorge und die Kommunen, S. 6 f. 261 Möstl, Renaissance und Rekonstruktion des Daseinsvorsorgebegriffs unter dem Europarecht, in: Brenner / Huber / Möstl, Der Staat des Grundgesetzes – Kontinuität und Wandel, S. 951, 952. 262 Vgl. Badura, Sozialstaatliche Daseinsvorsorge und Infrastruktursicherung durch Leistungsverwaltung und Gewährleistungsverantwortung, in: Bultmann / Grigoleit / Gusy u. a., Allgemeines Verwaltungsrecht, S. 319, 322. 263 BVerfGE 82, 60, 85; 125, 175, 222 ff., Ls. 1; vgl. BVerfGE 103, 197, 221; Grzeszick, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 20 GG VIII, Rdnr. 23; Hösch, WiVerw 2000, S. 159, 165 f.; Herdegen, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 1 Abs. 1 GG, Rdnr. 121; Sachs, in: Sachs, Grundgesetz, Vor Art. 1 GG, Rdnr. 47; Sommer, Staatliche Gewährleistung im Verkehrs-, Post- und Telekommunikationsbereich, S. 32 f.; vgl. Thiel, Die „Entgrenzung“ der Gefahrenabwehr, S. 143. 264 Rüfner, § 80, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band III, Rdnr. 76 f. 265 Hösch, WiVerw 2000, S. 159, 166 f.; vgl. Hünnekens, Rechtsfragen der wirtschaftlichen Infrastruktur, S. 119 ff., 137; Butzer, § 74, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IV, Rdnr. 44; zur Begrifflichkeit der Daseinsvorsorge Rüfner, § 80, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band III, Rdnr. 6 ff.; Sommer, Staatliche Gewährleistung im Verkehrs-, Post- und Telekommunikationsbereich, S. 29 ff.; Helm, Rechtspflicht zur Privatisierung, S. 56 f. 266 Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 194; vgl. Kahle, Die Elektrizitätsversorgung zwischen Versorgungssicherheit und Umweltverträglichkeit, S. 138, 144 f.
§ 4 Objektiv-rechtliche Grundlagen179
Wie bereits bei den grundrechtlichen Schutzpflichten gezeigt werden konnte, wirkt sich der Ausfall einer Kritischen Infrastruktur auf die beruf liche Tätigkeit sowie Leib, Leben und Gesundheit als grundrechtlich geschützte Gehalte aus. Ohne die Verfügbarkeit von kritischen Infrastrukturdienstleistungen kann in einer arbeitsteiligen Gesellschaft grundrechtlich gewährte Freiheit nicht ausgeübt werden.268 Die Kritischen Infrastrukturen erbringen also Dienstleistungen, die für das menschliche Dasein von existenzieller Bedeutung sind.269 Deshalb umfasst die sozialstaatliche Gewährleistungsverantwortung270 zugunsten der Daseinsvorsorge gerade im Kern die Funktionsfähigkeit der Kritischen Infrastrukturen. 3. Art. 87e Abs. 4 GG und Art. 87f Abs. 1 GG Eine Ausprägung des Sozialstaatsprinzips sind die Art. 87e Abs. 4 GG und Art. 87f Abs. 1 GG.271 Daher könnte ihnen als speziell normierte verfassungsrechtliche Gewährleistungsaufträge ein allgemeiner Infrastrukturgewährleistungsgehalt immanent sein. Um diese These zu überprüfen, muss auf deren Entstehungsgeschichte und den damit verfolgten Gesetzeszweck abgestellt werden. Art. 87e GG ist verfassungsrechtliche Grundlage der Privatisierung der Bundeseisenbahnen.272 Parallel hierzu bildet Art. 87f GG den verfassungsrechtlichen Anker für das Postwesen und die Telekommunikation.273 Beide Vorschriften sind vor dem Hintergrund der unionsrechtlich vorangetriebenen Privatisierung dieser Bereiche zu sehen, wenn auch dieser Einfluss auf Art. 87e Abs. 4 GG weit geringer war als auf Art. 87f Abs. 1 GG.274 Sie 267 Vgl. Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 196 f.; vgl. Helm, Rechtspflicht zur Privatisierung, S. 57; Butzer, § 74, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IV, Rdnr. 44; Kahle, Die Elektrizitätsversorgung zwischen Versorgungssicherheit und Umweltverträglichkeit, S. 137; Ennuschat, Staatlicher Infrastrukturgewährleistungsauftrag im Energiebereich, in: Pielow, Sicherheit in der Energiewirtschaft, S. 151, 155. 268 Vgl. zur Verfügbarkeit von kritischen Infrastrukturdienstleistungen für die Berufsausübung § 4 A. II. 3. 269 Vgl. nur das Merkmal der hohen Bedeutung für das Funktionieren des Gemeinwesens in § 2 Abs. 10 S. 1 Nr. 2 BSIG. 270 Kahle, Die Elektrizitätsversorgung zwischen Versorgungssicherheit und Umweltverträglichkeit, S. 156, 149, der zugleich eine „Letztverantwortung“, selbst die Leistung erbringen zu müssen, für den Bereich der Energie ablehnt. 271 Ennuschat, Staatlicher Infrastrukturgewährleistungsauftrag im Energiebereich, in: Pielow, Sicherheit in der Energiewirtschaft, S. 151, 156. 272 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 1. 273 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 1. 274 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 38; vgl. Windthorst, in: Sachs, Grundgesetz, Art. 87f GG, Rdnr. 87 ff.; Windthorst, in: Sachs,
180
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
dienen der Marktregulierung und Absicherung eines jeweils unterschiedlichen Niveaus der Mindestversorgung. Bezüglich der Intensität der Gewährleistungsverantwortung ergeben sich aber Unterschiede. Während Art. 87f Abs. 1 GG ein Mindestniveau ausdrücklich auf flächendeckend angemessene und ausreichende Dienstleistungen festlegt, kann in der Formel dem „Wohl der Allgemeinheit (…) Rechnung getragen wird“, Art. 87e Abs. 4 GG, kein bestimmtes Maß einer zu gewährleistenden Grundversorgung erkannt werden.275 Eben diese speziell auf die erfassten Bereiche zugeschnittenen Gewährleistungsmaßstäbe sprechen gegen eine Normierung einer allgemeinen Infrastrukturgewährleistungsverantwortung.276 Die Art. 87e Abs. 4 und Art. 87f Abs. 1 GG beinhalten daher bei einer Gesamtbetrachtung keine allgemeine Infrastrukturgewährleistungsverantwortung.277 Denn sie normieren in ihrem allgemeinen Kern keine auf Infrastrukturen bezogene allgemeine Gewährleistungsverantwortung, sondern sind spezielle Ausprägungen der vorausstehenden allgemeinen Infrastrukturgewährleistungsverantwortung. Aufgrund der Privatisierung dieser Infrastrukturen wurde ein Bedürfnis für deren Normierung gesehen.278 III. Teilergebnis Eine Gewährleistungsverantwortung des Staates zugunsten Kritischer Infrastrukturen ist für den Sektor Transport und Verkehr in Bezug auf das Eisenbahnnetz und die Eisenbahndienstleistungen in Art. 87e Abs. 4 GG sowie für Dienstleistungen des Postwesens und der Telekommunikation in Art. 87f Abs. 1 GG speziell normiert. Darüber hinaus folgt aus dem objektiven Schutzgehalt des Art. 2 Abs. 2 S. 1 GG, aber auch anderer Grundrechte und dem Sozialstaatsprinzip, Art. 20 Abs. 1 GG, eine allgemeine Gewährleistungsverantwortung des Staates für wichtige Infrastrukturen. Diese erfasst wegen der bestehenden Abhängigkeiten der Kritischen Infrastrukturen von einer funktionierenden IT auch deren IT-Sicherheit.279 Basis dieser Verant-
Grundgesetz, Art. 87e GG, Rdnr. 1 ff.; Butzer, § 74, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IV, Rdnr. 27. 275 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 183; so bereits bei § 4 B. I. 1. 276 Vgl. Lepsius, § 4, in: Fehling, Regulierungsrecht, Rdnr. 26. 277 Hermes, Staatliche Infrastrukturverantwortung, S. 354. 278 Vgl. zu den mit Art. 87e GG verfolgten Weichenstellungen Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 2 ff.; vgl. zu Art. 87f GG Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 2.
§ 4 Objektiv-rechtliche Grundlagen
181
wortung ist die grundlegende Funktion kritischer Dienstleistungen für die Ausübung der grundrechtlichen Freiheiten.280 Für die IT-Infrastruktur wurzelt sie auch in Schutzgewährleistungen zugunsten der Infrastrukturbetreiber.
C. Verankerung im Unionsprimärrecht Da die Rechtsmaterie der IT-Sicherheit wesentlicher Dienste281 nicht nur durch nationales, sondern auch durch Unionsrecht mit der RL (EU) 2016 / 1148 bestimmt wird, wird versucht, wie im nationalen Verfassungsrecht auch im Unionsprimärrecht eine Verankerung nachzuweisen. Anknüpfungspunkt sind die Grundrechte der EUGRCH. Eine solche Verankerung kann nicht nur in Form von grundrechtlichen Schutzgewährleistungen der IT-Sicherheit, sondern auch in Form einer unionsrechtlichen Infrastrukturverantwortung bestehen. Aus beiden Punkten soll aufgezeigt werden, dass die RL (EU) 2016 / 1148 dem Schutz unionsgrundrechtlicher Gewährleistungen und der Erfüllung einer unionsrechtlichen Infrastrukturverantwortung dient. I. Grundrechte der EUGRCH Die Grundrechte der EUGRCH wenden sich nicht nur an die Organe der EU, sondern bei der Durchführung von Unionsrecht auch an diejenigen der Mitgliedsstaaten, Art. 51 Abs. 1 S. 1 Hs. 2 EUGRCH. Daher soll betrachtet werden, inwiefern diese den Schutz der IT durch die RL (EU) 2016 / 1148 bei der Umsetzung in nationales Recht durch die Mitgliedsstaaten determinieren. Auch die unionsrechtlichen Grundrechte besitzen eine Schutzpflichtendimension.282 Weil die Schutzpflichtendogmatik der unionsrechtlichen Grund279 Dies als (E-)Daseinsvorsorge bezeichnend Leisterer, Das Informationsverwaltungsrecht als Beitrag zur Netz- und Informationssicherheit am Beispiel von IT-Sicherheitslücken, in: Kugelmann, Migration, Datenübermittlung und Cybersicherheit, S. 135, 140. 280 Butzer, § 74, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IV, Rdnr. 24 lediglich den „Sicherstellungsauftrag“ feststellend; ebenfalls ohne Begründung Engels, Zivile Sicherheit in Kritischen Infrastrukturen – Öffentliche Netze, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 273, 275. 281 Hier wird anstatt des Begriffs der Kritischen Infrastrukturen derjenige der wesentlichen Dienste verwendet, um hervorzuheben, dass lediglich diejenigen Kritischen Infrastrukturen, die als wesentliche Dienste unionsrechtlich durch die RL (EU) 2016 / 1148 determiniert sind, dem Einfluss der Verankerung im Primärrecht der EU unterliegen. 282 Frenz, Handbuch Europarecht, Rdnr. 360 ff.; Calliess, in: Calliess / Ruffert, EUV / AEUV, Art. 1 EU-GRCharta, Rdnr. 5; Stern / Hamacher, in: Stern / Sachs, Europäische Grundrechte-Charta, Einführung und Grundlagen, Rdnr. 105.
182
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
rechte noch nicht etabliert ist, kann die Behauptung der Existenz einer Schutzpflichtendimension nicht ohne weiteres angenommen werden. Sie bedarf vielmehr ihrer dogmatischen Konstruktion. Da die Schutzpflichten besondere Wirkungsdimensionen objektiver Grundrechtsgehalte sind, müssen auch die Unionsgrundrechte solche kennen. Wie im nationalen Recht, steht die Menschenwürde im Zentrum ihrer Begründung. Denn Art. 1 EUGRCH ist das allgemeine Fundament der speziellen Grundrechte,283 weshalb sich in ihnen spezielle Elemente der Menschenwürde als objektive Grundrechtsgehalte wiederfinden. Auch textlich ist die Schutzdimension in Art. 1 S. 2 EUGRCH mit dem Auftrag, die Menschenwürde zu schützen, angelegt.284 Dieser objektive Gehalt ist Ausdruck der europäischen Wertegemeinschaft285 und findet sich in den übrigen Grundrechten wieder.286 Ein zusätzliches Argument bildet die grundrechtliche Tradition der EMRK für die EUGRCH.287 Aus letzterer leitet der EGMR ohne weiteres eine Schutzdimension ab.288 Zudem ist eine Schutzpflichtendimension der EuGHRechtsprechung nicht fremd. So gesteht er den Grundfreiheiten eine schutzpflichtenrechtliche Wirkung zu.289 Über die Menschenwürde hinaus sind vereinzelt Entscheidungen anzutreffen, in denen der EuGH Grundrechten als Teil der Verfassungsüberlieferungen der Mitgliedsstaaten eine Schutzpflichtendimension zuerkennt.290 Aufgrund des Menschenwürdekerns der einzelnen Grundrechte und der Entwicklungsgeschichte der europäischen Grundrechte enthalten die Grundrechte der EUGRCH ebenfalls eine aus ihrem jeweiligen objektiven Gewährleistungsgehalt abgeleitete Schutzpflichtendimension. 283 Calliess, in: Calliess / Ruffert, EUV / AEUV, Art. 1 EU-GRCharta, Rdnr. 5; treinz, Art. 1 GR-Charta, in: Streinz, EUV / AEUV, Rdnr. 5; vgl. Streinz, Vor Art. 1 S GR-Charta, in: Streinz, EUV / AEUV, Rdnr. 1; Calliess, JZ 2004, S. 1033, 1037. 284 Suerbaum, EuR 2003, S. 390, 405 f.; Streinz, Art. 1 GR-Charta, in: Streinz, EUV / AEUV, Rdnr. 4; zur Menschenwürde als zu schützender objektiver Gehalt bereits EuGH, Rs. C-377 / 98, Slg. 2001, I-7149, 7168 – Niederlande / Parlament und Rat. 285 Streinz, Vor Art. 1 GR-Charta, in: Streinz, EUV / AEUV, Rdnr. 2. 286 Frenz, Handbuch Europarecht, S. 352 ff.; Calliess, JZ 2004, S. 1033, 1040. 287 Vgl. Suerbaum, EuR 2003, S. 390, 404; Terhechte, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Vorb. GRC, S. 21. 288 Bzgl. Art. 8 EMRK EGMR NJW 2004, S. 2647, 2649. 289 EuGH Rs. C-265 / 95, Slg. 1997, I-6959, 6999 – Kommission / Frankreich. 290 Bzgl. des Rechts nicht aufgrund des Geschlechts diskriminiert zu werden EuGH Rs. C-13 / 94, Slg. 1996, I-2159, 2165 – P / S und Cornwall County Council; ohne ausdrückliche Nennung eine Schutzpflichtendimension voraussetzend EuGH Rs. C-326 / 86 und 66 / 88, Slg. 1989, I-2106, 2113 – Francesconi u. a. / Kommission; vgl. Calliess, § 44, in: Merten / Papier, Handbuch der Grundrechte Band II, Rdnr. 17.
§ 4 Objektiv-rechtliche Grundlagen
183
Bezogen auf die IT-Sicherheit wesentlicher Dienste ist daher zu untersuchen, inwieweit diese in den grundrechtlichen Schutzgewährleistungen verankert werden kann und inwieweit die Betreiberpflichten für wesentliche Dienste hieraus eine zusätzliche Legitimation erhalten. 1. Schutzpflichten zugunsten der Betreiber wesentlicher Dienste Die objektiven Grundrechtsgehalte, die der IT-Sicherheit wesentlicher Dienste Schutz vermitteln, laufen weitgehend parallel zu denjenigen der nationalen Grundrechte. Ähnlich wie das Eigentumsgrundrecht des Art. 14 GG schützt Art. 17 UGRCH sowohl Sacheigentum als auch nichtkörperliche Gegenstände, E wozu unter anderem Rechte des geistigen Eigentums sowie obligatorische Nutzungsrechte gehören.291 Ebenfalls kann primärrechtliches Eigentum nur bestehen, wenn es auf einer rechtlichen Zuordnung und Anerkennung beruht.292 Damit findet auch im Unionsrecht die IT-Sicherheit keine unmittelbare objektiv-rechtliche Verankerung im Eigentumsgrundrecht. Stattdessen gewährleistet das Eigentumsgrundrecht nur einen vermittelten Schutz über das Eigentum an den Infrastruktureinrichtungen, der Hardware als Sacheigentum sowie der Software über Rechte des geistigen Eigentums bzw. schuldrechtliche Nutzungsrechte. Ob Informationen über den eingerichteten und ausgeübten Gewerbetrieb als Betriebsgeheimnisse von einem unionsrechtlichen Eigentumsschutz erfasst werden, ist ebenso wie auf nationaler Ebene umstritten.293 Doch auch auf unionsrechtlicher Ebene ist ein Schutz über das Eigentumsgrundrecht mangels normativer Ausgestaltung der Zuordnung abzulehnen.
291 Calliess, in: Calliess / Ruffert, EUV / AEUV, Art. 17 EU-GRCharta, Rdnr. 6; Frenz, Handbuch Europarecht, Rdnr. 2825 ff., 2852 ff.; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 17 EUGRCH, Rdnr. 9 f.; zu obligatorischen Rechten vgl. EuGH Rs. C-84 / 95, Slg. 1996, I-3978, 3985 f. – Bosphorus / Minister for Transport, Energy and Communications u. a. 292 Wollenschläger, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 17 GRC, Rdnr. 9; Frenz, Handbuch Europarecht, Rdnr. 2864. 293 Vgl. EuGH Rs. C-1 / 11 – ECLI:EU:C:2012:194, Rdnr. 43 – Interseroh Scrap and Metals Trading, wobei hier unklar bleibt, ob der Schutz der Geschäftsgeheimnisse dem Eigentumsgrundrecht oder der Unternehmerfreiheit zugerechnet wird; Wollenschläger, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 17 GRC, Rdnr. 16; bejahend Frenz, Handbuch Europarecht, Rdnr. 2843; verneinend Calliess, in: Calliess / Ruffert, EUV / AEUV, Art. 17 EU-GRCharta, Rdnr. 10; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 17 EUGRCH, Rdnr. 13, jedoch können Anlagen und produktbezogene Geschäftsgeheimnisse Art. 17 EUGRCH unterfallen, Rdnr. 10.
184
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Der Betrieb eines wesentlichen Dienstes ist nicht Teil der Berufsfreiheit, Art. 15 EUGRCH, sondern der unternehmerischen Freiheit, Art. 16 EUGRCH. Zwar besitzen beide Grundrechte vergleichbare Gewährleistungsgehalte, jedoch ist die unternehmerische Freiheit für selbständig Tätige und erstere nur für unselbständig Tätige einschlägig.294 Sachlich schützt die Unternehmerfreiheit die auf Dauer angelegte und von einer Erwerbsabsicht getragene Tätigkeit am Markt.295 Ist für diese Tätigkeit der Einsatz von IT unternehmerisch notwendig, so wird auch die IT-Sicherheit erfasst. Zusätzlich werden vom objektiven Schutzgehalt des Art. 16 EUGRCH Betriebsgeheimnisse erfasst.296 Damit ist die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit einfacher sowie besonderer Informationen in Form von Betriebsgeheimnissen eine Voraussetzung zum Betrieb der wesentlichen Dienste und damit Teil des objektiven Schutzgehalts der Unternehmerfreiheit. Anders als der nationale Grundrechtskanon kennt die EUGRCH eine eigenständig normierte Grundrechtsgewährleistung personenbezogener Daten und braucht nicht auf eine Ausprägung des allgemeinen Persönlichkeitsrechts zurückzugreifen.297 Gegenstand des objektiven Schutzgehalts von Art. 8 EUGRCH ist das personenbezogene Datum, das als Information über eine identifizierte oder identifizierbare natürliche Person in Anlehnung an das datenschutzrechtliche Sekundärrecht zu verstehen ist, vgl. Art. 4 Nr. 1 VO (EU) 2016 / 679.298 Dieser Bezug scheint Daten über Betreiber wesentlicher Dienste auszuschließen, die in der Regel keine natürlichen, sondern juristische Personen sind.299 Doch wird der Schutzbereich des Art. 8 EUGRCH durch die sekundärrechtliche Definition nicht verengt. Er muss stattdessen autonom ermittelt werden. Anstatt von Menschen, wie Art. 6 EUGRCH, spricht Art. 8 EUGRCH allgemein von Personen, die sich auf dieses Grundrecht berufen 294 Wollenschläger, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 15 GRC, Rdnr. 10, vor Art. 15 und 16 GRC, Rdnr. 4 ff.; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 16 EUGRCH, Rdnr. 4 f.; dieser Trennung kritisch gegenüberstehend Ruffert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 12 GG, Rdnr. 2; a. A. Schwarze, Art. 15 GRC, in: Schwarze / Becker / Hatje u. a., EU-Kommentar, Rdnr. 3, ohne einen anderen Abgrenzungsvorschlag. 295 Frenz, Handbuch Europarecht, Rdnr. 2684; Wollenschläger, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 GRC, Rdnr. 7. 296 Wollenschläger, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 GRC, Rdnr. 8 m. w. N.; Frenz, Handbuch Europarecht, Rdnr. 2722. 297 Augsberg, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 8 GRC, Rdnr. 1. 298 Augsberg, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 8 GRC, Rdnr. 6; Jarass, in: Jarass, Charta der Grundrechte der EU, Art 8 EUGRCH, Rdnr. 5. 299 Den Streit der Anwendbarkeit von Art. 8 EUGRCH auf juristische Personen darstellend Heißl, EuR 2017, S. 561 ff.
§ 4 Objektiv-rechtliche Grundlagen
185
können.300 Wenn sich jedoch juristische Personen auf den mit Art. 6 EUGRCH gleichlautenden Art. 7 EUGRCH berufen können,301 so ist es folgerichtig, den Schutz personenbezogener Daten auch auf diese zu erstrecken.302 Dies wurde vom EuGH bisher nur insoweit entschieden, als der Name der juristischen Person eine oder mehrere natürliche Personen bestimmt.303 Eine derartige Einschränkung würde jedoch juristische Personen vom Schutzbereich weitgehend ausschließen. Daher sind vielmehr ähnlich dem Recht auf informationelle Selbstbestimmung allgemein alle auf juristische Personen bezogenen Daten erfasst. Das zu gewährleistende Schutzniveau ist für diese aber abgesenkt.304 Art. 8 EUGRCH schützt die personenbezogenen Daten nicht umfänglich, sondern nur im Hinblick auf die Befugnis des Betroffenen, über den Umgang mit diesen zu bestimmen.305 Daher kann die IT-Sicherheit hierin nicht mit sämtlichen Schutzzielen, sondern nur für die Vertraulichkeit des auf natürliche oder juristische Personen bezogenen Datums verankert werden. Während im nationalen Grundrechtskanon die IT-Sicherheit in weiten Teilen eine Verankerung im Systemschutz des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme findet, ist dem unionsrecht lichen Grundrechtskanon ein derartiges Schutzgut fremd. Über Art. 8 EUGRCH hinaus kann der Vertraulichkeitsschutz von Informationen für den kommunikativen Übermittlungsvorgang in Art. 7 EUGRCH verankert werden.306 Auch für Betreiber wesentlicher Dienste als juristische Personen307 kann dieser Vertraulichkeitsaspekt der IT-Sicherheit mit Art. 7 EUGRCH eine Grundlage in den Unionsgrundrechten finden.
zu diesem Wortlautargument Heißl, EuR 2017, S. 561, 564. C-450 / 06 – ECLI:EU:C:2008:91, Rdnr. 48 – Varec; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 7 EUGRCH, Rdnr. 13; Augsberg, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 8 GRC, Rdnr. 7. 302 Heißl, EuR 2017, S. 561, 570. 303 EuGH C-92 / 09 und 93 / 09 – ECLI:EU:C:2010:662, Rdnr. 53 – Volker und Markus Schecke und Eifert. 304 Vgl. EuGH C-92 / 09 und 93 / 09 – ECLI:EU:C:2010:662, Rdnr. 87 – Volker und Markus Schecke und Eifert; Jarass, in: Jarass, Charta der Grundrechte der EU, Art 8 EUGRCH, Rdnr. 7, 15; vgl. Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 EUGRCharta, Rdnr. 11. 305 Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 EU-GRCharta, Rdnr. 9. 306 Vgl. Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 7 EU-GRCharta, Rdnr. 10. 307 Zur Anwendbarkeit auf juristische Personen Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 7 EUGRCH; Frenz, Handbuch Europarecht, Rdnr. 1173 f.; Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 7 EU-GRCharta, Rdnr. 11. 300 Vgl.
301 EuGH,
186
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Vergleichbar mit den grundgesetzlichen objektiven Gewährleistungsgehalten vermitteln die Unionsgrundrechte keinen umfassenden direkten Schutz der IT-Sicherheit. Denn die Informationen sind als solche nicht grundrecht licher Schutzgegenstand. Eine Ausnahme besteht für Informationen, insbesondere in Form einer Software, an denen Rechte des geistigen Eigentums oder obligatorische Nutzungsrechte bestehen. Lediglich vermittelt über die Hardware oder Infrastruktureinrichtungen bzw. als von der IT abhängige unternehmerische Tätigkeit kann von einem umfassenden Schutz durch die Unionsgrundrechte gesprochen werden. Im Übrigen kann nur ein auf personenbezogene Daten oder auf Übermittlungsvorgänge beschränkter Vertraulichkeitsschutz grundrechtlich verankert werden. Nichtsdestotrotz gewährleisten die Unionsgrundrechte einen im Vergleich zu den grundgesetzlichen Schutzgewährleistungen im Wesentlichen äquivalenten Schutz der IT-Sicherheit. Im Unionsrecht kumuliert dieser aber nicht in einem besonderen grundrechtlichen Schutz der Vertraulichkeit und Inte grität informationstechnischer Systeme. 2. Schutzpflichten zugunsten der Nutzer wesentlicher Dienste Die Schutzpflichten der Unionsgrundrechte wirken nicht nur zugunsten der Betreiber wesentlicher Dienste, sondern, aufgrund der Bedeutung der damit erbrachten Dienstleistungen für die Allgemeinheit, auch zugunsten der Nutzer dieser. Da die Nutzer persönlich und beruflich auf diese angewiesen sind, kann die IT-Sicherheit wesentliche Dienste als Voraussetzung für die Gewährleistung der Verfügbarkeit dieser notwendigen Dienstleistungen in beiden Situationen eine grundrechtliche Basis finden. Für die persönliche Angewiesenheit des Nutzers wesentlicher Dienste gewährleisten das Recht auf Leben, Art. 2 EUGRCH, und das Recht auf Unversehrtheit, Art. 3 EUGRCH, mit ihren objektiven Gehalten diejenigen wesentlichen Dienstleistungen, ohne deren Verfügbarkeit es zu einer Verletzung der hiervon geschützten Rechtsgüter kommen würde. Dies sind unmittelbar Dienstleistungen der Sektoren des Gesundheitswesens und der Trinkwasserversorgung. Mittelbar ist hierfür die Funktionsfähigkeit der wesentlichen Dienste des Energiesektors, des Verkehrssektors sowie der Digitalen Dienste notwendig.308 In beruflicher Hinsicht besteht ebenso eine vergleichbare Abhängigkeit von den wesentlichen Diensten. Dies trifft auf die Sektoren Energie, Verkehr, Bankwesen und Finanzmarktinfrastruktur sowie die Digitale Infrastruktur zu. 308 Vgl.
bereits bei § 4 A. II. 4.
§ 4 Objektiv-rechtliche Grundlagen
187
Da diese Abhängigkeit unmittelbar für selbständig Tätige und mittelbar für unselbständig Tätige von Bedeutung ist, kann die IT-Sicherheit der wesent lichen Dienste in Art. 16 EUGRCH, der Unternehmerfreiheit, wie auch in Art. 15 EUGRCH, der Berufsfreiheit, verankert werden.309 Darüber hinaus ist die IT-Sicherheit wesentlicher Dienste unmittelbar Teil grundrechtlicher Gewährleistungen zugunsten der Nutzer. Denn sind Informationen der Nutzer hierin enthalten oder werden damit übertragen, greifen die Gewährleistungen des Art. 8 EUGRCH zum Schutz der personenbezogenen Daten sowie Art. 7 EUGRCH zum Schutz der Kommunikation. Beide Grundrechte vermögen allerdings nur die Vertraulichkeit der betreffenden Informationen zu erfassen. Auch eine altruistisch fundierte Schutzdimension fordert eine Gewährleistung der IT-Sicherheit wesentlicher Dienste. Kann diese nicht sichergestellt werden, würden die Schutzgüter des Rechts auf Leben und Unversehrtheit, Art. 2 f. EUGRCH, der Berufsfreiheit und unternehmerischen Freiheit, Art. 15 f. EUGRCH, sowie der Schutz personenbezogener Daten und der Schutz der Kommunikation, Art. 7 f. EUGRCH, verletzt. 3. Verankerung der IT-Sicherheit wesentlicher Dienste in den Unionsgrundrechten Die Unionsgrundrechte beeinflussen die IT-Sicherheit wesentlicher Dienste mit ihren objektiv-rechtlichen Schutzgehalten. Dies leistet ein Zusammenspiel von wirtschaftlichen und persönlichkeitsbezogenen Grundrechten. Anders als im nationalen Recht, besteht jedoch kein Grundrecht, das die spezifischen Schutzrichtungen der IT-Sicherheit im Wege eines Systemschutzes abbildet. Für eine zusätzliche Legitimation der Betreiberpflichten können die Schutzgewährleistungen zugunsten der Betreiber wegen ihres freiheitsgewährenden Charakters nicht fruchtbar gemacht werden. Anders stellt sich dies bei den Schutzgewährleistungen der IT-Sicherheit wesentlicher Dienste zugunsten der Nutzer dar. Diese setzen zum Teil direkt die IT-Sicherheit voraus, wie Art. 8 EUGRCH mit dem Schutz der Vertraulichkeit personenbezogener Informationen oder Art. 7 EUGRCH mit der Vertraulichkeit des Kommunikationsvorganges. Teilweise wird die IT-Sicherheit mittelbar über die Dienstleistungen wesentlicher Dienste erfasst,310 da deren Verfügbarkeit von der 309 Beiden Grundrechten kommt ein vergleichbarer materiell-rechtlicher Gehalt zu. Wollenschläger, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 15 GRC, Rdnr. 10. 310 Dies trifft auf Artt. 2, 3, 16 EUGRCH zu.
188
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Gewährleistung der IT-Sicherheit abhängt. Einer Rechtsmaterie, die den Schutz dieser Grundrechtsgehalte ausgestaltet, vermitteln die objektiven Gewährleistungsgehalte eine besondere Legitimation. II. Unionsrechtliche Infrastrukturverantwortung Eine solche Verantwortung setzt einen Anknüpfungspunkt im Primärrecht und eine primärrechtliche Befugnis voraus, die es ermöglicht, unabhängig von mitgliedsstaatlichem Handeln allein durch Unionsorgane Maßnahmen zur Erfüllung dieser Verantwortung zu ergreifen. Denn eine Verantwortung kann nur dann bestehen, wenn entsprechender Einfluss auf eine Sache genommen werden kann, um den in der Verantwortung enthaltenen Auftrag zu erfüllen.311 Nur dann kann die EU hierfür i. S. e. Verantwortung einstehen müssen. Nach Art. 170 Abs. 1 AEUV hat die EU auf den Auf- und Ausbau transeuropäischer Netze in den Bereichen der Verkehrs- und Telekommunikationsund Energieinfrastruktur hinzuwirken. Zu klären ist nun, ob hierin eine unionsrechtliche Infrastrukturverantwortung zugunsten der IT-Sicherheit wesentlicher Dienste wurzelt. Zunächst soll versucht werden, am Wortlaut und der Zielrichtung des Art. 170 Abs. 1 AEUV anzuknüpfen. Gegenstand dieser Norm ist der Auf- und Ausbau transeuropäischer Netze. Damit spricht der Wortlaut für eine Begrenzung auf bauliche Vorhaben, berührt Fragen des Betriebes und damit der IT-Sicherheit jedoch nicht. Dies bestätigt auch der Normzweck. Die EU soll demnach auf die Beseitigung grenzbedingter „missing links“ zwischen den Mitgliedsstaaten hinwirken.312 Aspekte der Versorgung mit wichtigen Dienstleistungen werden stattdessen in Art. 14 S. 1 AEUV normiert. Die EU und die Mitgliedsstaaten haben dafür Sorge zu tragen, dass Dienste von allgemeinem wirtschaftlichen Interesse ihren Aufgaben nachkommen können. Art. 14 S. 1 AEUV legt damit eine gemeinsame Aufgabe von EU und Mitgliedsstaaten fest.313 Eine Parallelregelung findet sich in Art. 36 EUGRCH.314 Dienste von allgemeinem wirtschaftlichem Interesse werden von solchen Unternehmen erbracht, die im Bereich 311 Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 267; Bayertz, Eine kurze Geschichte der Herkunft der Verantwortung, in: Bayertz, Verantwortung, S. 3, 33; die „Verantwortung als Korrelat der Macht“ bezeichnend Jonas, Das Prinzip Verantwortung, S. 72, 230. 312 Calliess, in: Calliess / Ruffert, EUV / AEUV, Art. 170 AEUV, Rdnr. 16. 313 van Voet Vormizeele, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 14 AEUV, Rdnr. 11; Hatje, Art. 14 AEUV, in: Schwarze / Becker / Hatje u. a., EUKommentar, Rdnr. 9. 314 Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 36 EUGRCH, Rdnr. 2.
§ 4 Objektiv-rechtliche Grundlagen
189
der Daseinsvorsorge tätig sind.315 Hierunter fallen beispielsweise die Bereiche der Energieversorgung, Verkehrsleistungen, Telekommunikation, Wasserversorgung und Abwasserbeseitigung etc.316 Insoweit sind Fragen des Betriebes Kritischer Infrastrukturen317 betroffen.318 Sie müssen aber in den Anwendungsbereich der Verträge fallen. Folglich werden rein innerstaatliche Kritische Infrastrukturen nicht erfasst.319 Schutzgut des Art. 14 S. 1 AEUV ist der Erhalt der Funktionsfähigkeit dieser Unternehmen.320 Hieraus kommt der EU jedoch keine eigene Kompetenz zu, den Betrieb dieser Dienste zu regulieren.321 Voraussetzung für eine Verantwortung der EU, die aus dem Auftrag folgt, für die Funktionsfähigkeit der Dienste von allgemeinem wirtschaftlichem Interesse zu sorgen,322 ist damit, dass der EU eine entsprechende Befugnis eingeräumt ist. Nur wenn eine solche gefunden werden kann, kann die EU für eine Verfehlung dieses Zieles i. S. e. Verantwortung einstehen müssen.323 Art. 14 S. 2 AEUV verleiht lediglich eine Gesetzgebungskompetenz zur Konkretisierung der Grundsätze und Bedingungen i. S. v. Art. 14 S. 1 AEUV. Bezüglich der IT-Sicherheit Kritischer Infrastrukturen kann eine solche lediglich aus Art. 114 AEUV folgen.324 Hierauf können allerdings nur Richt 315 Hatje, Art. 14 AEUV, in: Schwarze / Becker / Hatje u. a., EU-Kommentar, Rdnr. 9; Koenig / Paul, Art. 14 AEUV, in: Streinz, EUV / AEUV, Rdnr. 2, 4, 27; van Voet Vormizeele, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 14 AEUV, Rdnr. 8. 316 van Voet Vormizeele, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 14 AEUV, Rdnr. 15. 317 Hier wird der Begriff der Kritischen Infrastrukturen gebraucht, da Art. 14 AEUV nicht nur auf die engeren wesentlichen Dienste beschränkt ist, sondern sämtliche Unternehmen der Daseinsvorsorge erfasst. Daher ist Art. 14 AEUV auch für Kritische Infrastrukturen, die keine wesentlichen Dienste i. S. d. RL (EU) 2016 / 1148 sind, anwendbar. 318 Zur Verbindung der Kritischen Infrastrukturen mit dem Bereich der Daseinsvorsorge vgl. § 4 B. II. 2. 319 Wernicke, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 14 AEUV, Rdnr. 43. 320 Wernicke, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 14 AEUV, Rdnr. 12; Jung, in: Calliess / Ruffert, EUV / AEUV, Art. 14 AEUV, Rdnr. 22. 321 Hatje, Art. 14 AEUV, in: Schwarze / Becker / Hatje u. a., EU-Kommentar, Rdnr. 10; van Voet Vormizeele, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 14 AEUV, Rdnr. 12. 322 Vgl. van Voet Vormizeele, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 14 AEUV, Rdnr. 12. 323 Vgl. allgemein: Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 267; Bayertz, Eine kurze Geschichte der Herkunft der Verantwortung, in: Bayertz, Verantwortung, S. 3, 33. 324 Infolgedessen konnte die RL (EU) 2016 / 1148 nur auf Art. 114 AEUV gestützt werden; Europäische Kommission, COM (2013) 48 final, S. 8 f.
190
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
linien gestützt werden. Eine Infrastrukturverantwortung für die Dienste von allgemeinem wirtschaftlichem Interesse der EU kann daher nur soweit reichen, als diese durch Richtlinien eingelöst werden kann. Daher überantwortet Art. 14 S. 1 AEUV die Dienste von allgemeinem wirtschaftlichem Interesse der Union und den Mitgliedsstaaten zur gemeinsamen Sorge.325 Gemeinsam mit den Mitgliedsstaaten obliegt daher der EU die Verantwortung, die Funktionsfähigkeit dieser Dienste zu gewährleisten. Sie beschränkt sich aber entsprechend der Kompetenz zum Richtlinienerlass auf die Rahmenbedingungen, Art. 14 S. 1 AEUV. Da die Funktionsfähigkeit der Kritischen Infrastrukturen als Teil der Dienste von allgemeinem wirtschaftlichem Interesse von der Funktionsfähigkeit der notwendigen IT abhängt, folgt aus Art. 14 S. 1 AEUV eine diesbezügliche Verantwortung. Jedoch verbleibt den Mitgliedsstaaten ein erheb licher Gestaltungsspielraum bei der Umsetzung entsprechender Richtlinien. Daher fallen die konkreten Wahrnehmungsmodi in die mitgliedsstaatliche Infrastrukturverantwortung.326 Eine Infrastrukturverantwortung der EU folgt für die IT-Sicherheit Kritischer Infrastrukturen aus Art. 14 S. 1 AEUV nur bezüglich eines unionsrechtlichen Ordnungsrahmens,327 nicht aber für die Umsetzung im nationalen Recht.
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit Nachdem mit der Gewährleistungsverantwortung der Raum staatlicher Beiträge zur IT-Sicherheit Kritischer Infrastrukturen beleuchtet wurde, wird sich nun den privaten Beiträgen zugewandt. Inwieweit ein Raum privater Beiträge besteht, den die Betreiberpflichten328 des IT-Sicherheitsgesetzes ausgestalten, soll hier anhand einer verfassungsrechtlich angelegten Pflichtigkeit der Betreiber ermittelt werden. Unter einer Pflichtigkeit wird hier eine verfassungsrechtlich angelegte Begrenzung des grundrechtlichen Freiheitsraumes des Einzelnen verstanden. In deren Rahmen kann der Gesetzgeber die Begrenzung der grundrechtlichen Freiheit ausgestalten und der Grundrechtsberechtigte muss dies dulden.
325 Leisterer, Zivile Cybersicherheit in Europa: Entwicklung des Bereichs der Netz- und Informationssicherheit im Unionsrecht, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 101, 105. 326 Vgl. Dörr, VVDStRL 73 (2014), S. 323, 358. 327 Vgl. bzgl. der Rahmenbedingungen Jung, in: Calliess / Ruffert, EUV / AEUV, Art. 14 AEUV, Rdnr. 22. 328 In der Fassung, die sie durch das Gesetz zur Umsetzung der RL (EU) 2016 / 1148 erhalten haben.
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit191
Dieser Begründungsansatz einer grundrechtlichen Pflichtigkeit findet seine allgemeine Basis bereits im Menschenbild des Grundgesetzes, das bei der Grundrechtsauslegung zu beachten ist. So kann der Mensch nicht im Sinne „eines isolierten souveränen Individuums“ verstanden werden. Vielmehr muss die „Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit der Person“ berücksichtigt werden.329 Obwohl hier die normative Bedeutung der Bayerischen Verfassung nicht direkt von Belang ist, so wird in ihr textlich deutlich, dass Grundrechte gemeinwesensbezogen verstanden werden müssen: „Der ungestörte Genuß der Freiheit für jedermann hängt davon ab, daß alle ihre Treuepflicht gegenüber Volk und Verfassung, Staat und Gesetzen erfüllen“, Art. 117 S. 1 BV.330 Daher ist der Grundrechtsträger nicht nur als Einzelner, sondern auch in seinen Beziehungen zu anderen Grundrechtsträgern zu sehen.331 Um zu ermitteln, ob die Betreiberpflichten eine grundrechtliche Eigen sicherungspflichtigkeit ausgestalten, muss geklärt werden, ob die Grundlagen einer polizeirechtlichen Verantwortlichkeit oder sonstige verfassungsrecht liche Vorgaben geeignete Anknüpfungspunkte für eine derartige Begrenzung grundrechtlicher Freiheit bilden. Eine besondere Form der Pflichtigkeit könnte in den Art. 87e Abs. 4 GG und Art. 87f Abs. 1 GG normiert sein. Zwar richtet sich die darin enthaltene Infrastrukturgewährleistungsverantwortung allein an den Staat und nicht an die Betreiber der Kritischen Infrastrukturen als Private.332 Es muss jedoch untersucht werden, ob den Infrastrukturbetreibern mit Art. 87e, f GG zugleich eine besondere Pflichtigkeit auferlegt wurde, die für die Regulierung der IT-Sicherheit nutzbar gemacht werden kann. Eine private Pflichtigkeit, die Auferlegung der Pflichten zur Sicherung der IT zu dulden, kann indes nur dann bestehen, wenn für eine solche neben der staatlichen Gewährleistungsverantwortung noch Raum ist. Welche Folgen das Zusammenhängen von Betreiberpflichten und der Pflichtigkeit der Betreiber haben, zeigt sich bei der in § 9 behandelten Verfassungsmäßigkeit der auferlegten Pflichten im Hinblick auf die grundrechtlich geschützten Positionen der Betreiber. Zwar folgt aus der verfassungsrechtlichen Pflichtigkeit nicht automatisch die Rechtfertigung für die Inanspruchnahme eines Privaten, nichtsdestotrotz spricht eine entsprechende Pflichtigkeit im Rahmen 329 Beide Zitate: BVerfGE 4, 7, 15 f.; vgl. BVerfGE 12, 45, 51; 33, 1, 11; 45, 187, 227; 61, 358, 372; Aulehner, Grundrechte und Gesetzgebung, S. 100, 111 f. 330 Lindner, in: Lindner / Möstl / Wolff, Verfassung des Freistaates Bayern, Art. 117 BV, Rdnr. 1. 331 Aulehner, Grundrechte und Gesetzgebung, S. 122, 126. 332 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 84; Windthorst, in: Sachs, Grundgesetz, Art. 87e GG, Rdnr. 59; Windthorst, in: Sachs, Grundgesetz, Art. 87f GG, Rdnr. 9; ausführlich Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 59.
192
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
einer Abwägung für die Zumutbarkeit der Betreiberpflichten.333 So kann zum Beispiel eine besondere Sozialgebundenheit des Eigentums i. S. v. Art. 14 Abs. 2 GG weitreichende Eingriffsgrundrechte rechtfertigen.334 Die Pflichtigkeit beschreibt also eine Abgrenzung der grundrechtlichen Freiheitsräume, indem wichtige Gemeinwohlinteressen oder Grundrechtspositionen Dritter den grundrechtlich gewährleisteten Freiheitsraum beschränken. Mangels unmittelbarer Grundrechtsgebundenheit Privater bedarf diese Begrenzung einer einfachgesetzlichen Ausgestaltung. Im Rahmen dieser können die hierdurch geschützten Gemeinwohlinteressen oder Grundrechtsgehalte der Rechtfertigung der Einschränkung grundrechtlicher Freiheit dienen. Damit ist die Pflichtigkeit Ausfluss eines dogmatischen Prinzips der Abgrenzung grundrechtlicher Freiheitsräume, das dem Verhältnismäßigkeitsgrundsatz zugrunde liegt. Es findet sich nicht nur in Art. 14 Abs. 2 GG, sondern auch in Art. 2 Abs. 1 GG wieder, wonach das Recht auf freie Entfaltung der Persönlichkeit nur soweit besteht, als nicht Rechte anderer verletzt werden. Dass dieser Gedanke über das GG hinausreicht, wird in Art. 101 BV335 deutlich. Diese Pflichtigkeit des grundrechtlichen Freiheitsraumes kann die privaten Beiträge auf verfassungsrechtlicher Ebene widerspiegeln, ist aber keine zwingende Voraussetzung für die verfassungsrechtliche Zulässigkeit der Normierung von Pflichten zur IT-Sicherheit.336
A. Raum für eine verfassungsrechtliche Pflichtigkeit der Betreiber zur Sicherung der IT Die Frage nach dem Raum einer verfassungsrechtlichen Pflichtigkeit der Betreiber Kritischer Infrastrukturen hängt davon ab, wie weit man die staatliche Aufgabe und Verantwortung für die IT-Sicherheit und Infrastrukturgewährleistung fasst. Wie bereits aufgezeigt wurde, besteht für die IT-Sicherheit und die Dienstleistungen Kritischer Infrastrukturen lediglich eine staatliche Gewährleistungsverantwortung. Die einschlägigen Gehalte verpflichten den Staat nicht zur Vornahme konkreter Handlungen. Er muss lediglich sicherstellen, dass ein Mindestmaß an grundrechtlich geschützten Schutzgütern gewährleistet wird, wobei Mittel und konkretes Niveau oberhalb des Min333 Vgl. Gallwas / Lindner / Wolff, Bayerisches Polizei- und Sicherheitsrecht, Rdnr. 415; vgl. Otten, Eigensicherung, S. 72; vgl. Frenz, Das Verursacherprinzip im Öffentlichen Recht, S. 84 f. 101; Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 332. 334 Vgl. BVerfGE 50, 290, 340 = NJW 1979, S. 699, 703. 335 Lindner, in: Lindner / Möstl / Wolff, Verfassung des Freistaates Bayern, Art. 101 BV, Rdnr. 23 ff. 336 Vgl. Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 343.
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit193
destmaßes im gesetzgeberischen Einschätzungsspielraum verbleiben.337 Eine Erfüllungsverantwortung trifft den Staat nicht.338 Die Übertragung der auf den Staat gemünzten Kategorien der Erfüllungsund Gewährleistungsverantwortung auf Private ist nicht möglich. Denn den Betreibern kommt als Grundrechtsberechtigte ein originärer grundrechtlicher Freiheitsraum zu, der hierdurch entwertet würde.339 Nichtsdestotrotz zeigt die verfassungsrechtliche Gewährleistungsverantwortung des Staates, dass der Bereich der konkret zu treffenden Vorkehrungen nicht Teil des dem Staat obliegenden Aufgabenbereiches ist. Aus dem Wesen der subsidiären Gewährleistungsverantwortung folgt vielmehr, dass in ihr ein Bereich, der Privaten obliegt, verfassungsrechtlich angelegt ist. Dieser kann durch private Beiträge ausgefüllt werden. Die Privaten werden zu dessen Ausfüllung aus verfassungsrechtlichen Gehalten nicht unmittelbar verpflichtet. Erst eine einfachrechtliche Ausgestaltung kann gegenüber Privaten eine derartige Bindungswirkung entfalten.340 Ob dieser Raum privater Beiträge tatsächlich mit einer Pflichtigkeit belastet ist, sei es aus dem Verursacherprinzip oder aufgrund grundrechtlicher Wirkungen, wird sodann im Anschluss untersucht.
B. Bestehen einer privaten Pflichtigkeit der Betreiber Zwar besteht im Grundsatz ein Raum für Beiträge der Betreiber zur ITSicherheit, doch ist nicht geklärt, ob dieser mit einer Pflichtigkeit belastet ist, die gesetzliche Auferlegung von Betreiberpflichten dulden zu müssen. Diese Frage bedarf einer im Grundgesetz ihren Ausgangspunkt findenden Begründung. Dabei kristallisieren sich zwei Begründungsstränge heraus. Die Pflichtigkeit könnte sich als Zurechnungsergebnis von geschaffenen Risiken darstellen. Das Zurechnungsergebnis kann der Dogmatik des klassischen Polizeirechts folgend über eine Anknüpfung an die Verantwortlichkeit des Verur337 Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 100; Calliess, § 44, in: Merten / Papier, Handbuch der Grundrechte Band II, Rdnr. 26; Isensee, § 191, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 293 f. 338 Vgl. für den Bereich der Energieversorgung Ennuschat, Staatlicher Infrastrukturgewährleistungsauftrag im Energiebereich, in: Pielow, Sicherheit in der Energiewirtschaft, S. 151, 154 ff. 339 Für die Schutzpflichten ergibt sich dies direkt aus Art. 1 Abs. 3 GG. 340 Diese dogmatische Struktur spiegelt sich in Art. 87e Abs. 4 S. 2 GG und Art. 87f Abs. 1 GG wider, sofern diese tatsächlich eine Pflichtigkeit der Infrastrukturbetreiber enthalten; siehe unten bei § 5 B. II. 2. b) cc). Private Unternehmen werden zur Gewährleistung des Wohls der Allgemeinheit bzw. zu angemessenen und ausreichenden Post- und Telekommunikationsdienstleistungen nicht unmittelbar durch das Grundgesetz verpflichtet. Stattdessen erfolgt die Verpflichtung der Privaten erst durch ein gesondertes Bundesgesetz.
194
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
sachers entsprechend dem Verursacherprinzip ermittelt werden. Der weitere Ansatz setzt an den Grundrechten selbst an und untersucht, ob den grundrechtlichen Freiheitsräumen der einzelnen Grundrechtberechtigten eine derartige Pflichtigkeit immanent ist. I. Pflichtigkeit aufgrund einer Verursachungsverantwortlichkeit Die Verursachungsverantwortlichkeit hat ihren dogmatischen Ausgangspunkt im Polizeirecht. Nach der begrifflichen Differenzierung dieser Arbeit zwischen der Verantwortung und der Pflichtigkeit könnte hier anstatt von der Verursachungsverantwortlichkeit von der Verursachungspflichtigkeit gesprochen werden, die über das Verursacherprinzip begründet werden soll. Doch aufgrund der einfachgesetzlichen Ausgestaltung dieses Bereichs im Polizeiund Sicherheitsrecht, kann der Begriff der Verantwortlichkeit beibehalten werden. Zudem wird sich bei der Untersuchung, ob eine private Pflichtigkeit aufgrund des Verursacherprinzips der Betreiber besteht, auf die im Polizeiund Sicherheitsrecht normierten Grundsätze des Verursacherprinzips bezogen.341 Polizeiliche Maßnahmen können gegen denjenigen, der eine Gefahr verursacht, gerichtet werden,342 vgl. Art. 7 Abs. 1 BayPAG, Art. 9 Abs. 1 S. 1 BayLStVG, § 6 Abs. 1 BWPolG. Adressat kann auch derjenige sein, der die rechtliche oder tatsächliche Sachherrschaft über eine Sache innehat, deren Zustand eine Gefahr verursacht,343 vgl. Art. 8 Abs. 1 BayPAG, Art. 9 Abs. 2 S. 1 BayLStVG, § 7 BWPolG. Damit die Betreiber Kritischer Infrastrukturen nach dem Verursacherprinzip eine Pflichtigkeit trifft, müssten sie Störer im polizeirechtlichen Sinne sein. Diese könnte mit den Pflichten der Betreiber Kritischer Infrastrukturen ausgestaltet worden sein.
341 Zur Nichtstörungspflichtigkeit als Grundlage der Störerverantwortlichkeit Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 333. 342 Steiner, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 7 PAG, Rdnr. 7; Lindner, in: Möstl / Schwabenbauer, Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, Art. 9 LStVG, Rdnr. 16; Trurnit, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht Baden-Württemberg, § 6 BWPolG, Rdnr. 10; Drews / Wacke / Vogel u. a., Gefahrenabwehr, S. 293. 343 Steiner, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 8 PAG, Rdnr. 3; Lindner, in: Möstl / Schwabenbauer, Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, Art. 9 LStVG, Rdnr. 33; Trurnit, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht Baden-Württemberg, § 7 BWPolG, Rdnr. 5, 7; Drews / Wacke / Vogel u. a., Gefahrenabwehr, S. 293.
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit195
Die Pflichtigkeit aufgrund einer Verursachung kann für eine grundrecht liche Pflichtigkeit besonders fruchtbar gemacht werden, wenn sie selbst eine verfassungsrechtliche Grundlage findet. Denn dann steht dem grundrecht lichen Freiheitsraum ein Interesse von Verfassungsrang gegenüber. Damit aus der Verursachung eine Pflichtigkeit folgt, ist dies nicht zwingend, aber hilfreich. Bevor sodann untersucht werden kann, ob die Betreiber Kritischer Infrastrukturen tatsächlich eine Verursachungsverantwortlichkeit trifft, muss die Übertragbarkeit der im Recht der Gefahrenabwehr wurzelnden Zurechnungsdogmatik auf das Risikosteuerungsrecht überprüft werden. 1. Verfassungsrechtliche Verankerung der Verursachungsverantwortlichkeit Die Grundrechte gewähren dem Einzelnen einen geschützten Freiheitsraum, in dem er durch selbstbestimmtes Handeln Ursachen für Gefahren bzw. Risiken setzen kann. Auch das Setzen von Ursachen für Gefahren oder Risiken ist vom grundrechtlichen Schutz gewährleistet, sodass der Staat bei einer Inanspruchnahme Privater zur Bewältigung dieser Folgen in die abwehrrechtliche Dimension der Grundrechte eingreift. Der Abwehrdimension gegenüberstehend können die grundrechtlichen Schutzpflichten als Verankerung der Verursachungsverantwortlichkeit herangezogen werden. Da den Staat für Folgen eines gefahrverursachenden Handelns Privater, das die Freiheitsausübung Dritter tangiert, eine objektive Schutzpflicht trifft, kann diese als rechtfertigender Grund des Eingriffs in den Freiheitsbereich des Verursachers dienen. Schutzpflichten bilden demnach den verfassungsrechtlichen Grundstock des Verursacherprinzips344 und der im Gefahrenabwehrrecht anzutreffenden Theorie der unmittelbaren Verursachung.345 Dieser folgend kann derjenige, der eine Ursache für die Beeinträchtigung des grundrechtlichen Freiheitsraumes eines Dritten setzt, zur Bewältigung der hieraus resultierenden Folgen herangezogen werden. Insofern richtet sich die Schutzpflicht zwar nicht direkt an den privaten Verursacher, sie trifft ihn jedoch als Reflex in Form eines Rechtfertigungsgrundes durch kollidierendes Verfassungsrecht.346 Darüber hinaus findet die Verursachungsverantwortlichkeit eine verfassungsrechtliche Basis in Grundpflichten, die den Bürger nicht unmittelbar 344 Frenz,
Das Verursacherprinzip im Öffentlichen Recht, S. 99. u. a., Gefahrenabwehr, S. 313; Lindner, in: Möstl / Schwabenbauer, Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, Art. 7 PAG, Rdnr. 25; Steiner, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 7 PAG, Rdnr. 9. 346 Frenz, Das Verursacherprinzip im Öffentlichen Recht, S. 101; Lindner, Die verfassungsrechtliche Dimension der allgemeinen polizeirechtlichen Adressatenpflichten, S. 61. 345 Drews / Wacke / Vogel
196
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
verpflichten können. Diese lassen sich lediglich aus einzelnen Grundgesetznormen ableiten, welche Art. 6 Abs. 2 GG, Art. 12 Abs. 2 GG oder Art. 14 Abs. 2 GG sind.347 Bedeutung kann im Zusammenhang der IT-Sicherheit Kritischer Infrastrukturen lediglich Art. 14 Abs. 2 GG gewinnen. Die noch zu untersuchende Zustandsverantwortlichkeit findet in Art. 14 Abs. 2 GG ihren Rechtsgrund.348 Damit folgt aus dem objektiven Verfassungsrecht über Schutzpflichten sowie über explizit normierte Grundpflichten eine Begrenzung, der dem Einzelnen zunächst gewährten Freiheit.349 Diese kann mit Bindungswirkung für Private durch den Gesetzgeber einfachrechtlich ausgestaltet werden. 2. Verursachungsverantwortlichkeit im Risikosteuerungsrecht? Damit die Verantwortlichkeit des Verursachers die Auferlegung von Pflichten zur IT-Sicherheit trägt, muss sie ihrem Wesen nach auf den Bereich des Risikosteuerungsrechts übertragen werden können. Gefahr und Verursachungsverantwortlichkeit hängen insofern zusammen, als die Gefahr die Handlungsrichtung in sachlicher Hinsicht vorgibt, während die Verursachungsverantwortlichkeit hieran anknüpfend den Adressaten bestimmt.350 Diese Verbindung zur Gefahr ist jedoch nicht so eng, dass der Gedanke der Verursachungsverantwortlichkeit auf das Gefahrenabwehrrecht begrenzt wäre. Er ist vielmehr Ausdruck einer allgemeinen grundrechtlichen Pflichtigkeit aus dem Spannungsverhältnis zwischen den Grundrechtsgewährleistungen verschiedener Grundrechtsträger. Auf dieser Basis ist ein Heranziehen des Störers zur Beseitigung der Folgen der Überschreitung seines grundrechtlichen Freiheitsbereiches zulässig. Die Begründung einer Verantwortlichkeit hängt indes nicht von der Art der Überschreitung der Grundrechtsausübungsgrenze ab. Diese kann in Form einer Gefahr erfolgen, also einer konkreten Situation, die mit hinreichender Wahrscheinlichkeit zu einem Schaden führen wird. Sie ist aber ebenso gut in Form eines Risikos möglich.351 Aufgrund der das Risiko prägenden Ungewissheit können zwar Wirkzusammenhänge oftmals nur schwer festgestellt werden. Dies hindert jedoch 347 Frenz, Das Verursacherprinzip im Öffentlichen Recht, S. 132 f., 144 f.; Sachs, in: Sachs, Grundgesetz, Vor Art. 1 GG, Rdnr. 58; Stober, NVwZ 1982, S. 473, 473. 348 Lindner, Die verfassungsrechtliche Dimension der allgemeinen polizeirecht lichen Adressatenpflichten, S. 18; vgl. Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 25. 349 Vgl. auch Art. 2 Abs. 1 GG, Art. 101 BV. 350 Vgl. bzgl. der Verursachungsverantwortlichkeit Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 333. 351 Vgl. zu den Begriffen Gefahr und Risiko auch § 3 A. I.
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit197
nicht, dass durch die Risikoverursachung grundrechtliche Freiheitsräume Dritter berührt werden. Die Anwendung des Verursachergedankens findet sich sogar ausdrücklich im letztlich nicht umgesetzten Gesetzgebungsvorhaben eines Umweltgesetzbuches im Zusammenhang mit der Risikosteuerung wieder, wonach „wer (…) Risiken für Mensch oder Umwelt verursacht, (…) dafür verantwortlich“ ist, § 1 Abs. 2 Nr. 3 Entwurf eines Umweltgesetzbuches.352 Die Ungewissheit im Risikosteuerungsrecht wirkt sich somit weniger auf die Anwendbarkeit der Verursachungsverantwortlichkeit als Methode der Zurechnung von Risiken, sondern lediglich auf die Ebene der Rechtsfolgen aus, welche Maßnahmen zur Risikosteuerung ergriffen werden können. Denn diese liegen im Risikosteuerungsrecht nicht in der Unterbrechung eines Kausalverlaufs, sondern in der Erfüllung konkreter Pflichten. Es ist daher festzustellen, dass die Verursachungsverantwortlichkeit auch im Risikosteuerungsrecht als Ergebnis einer Zurechnung über das Verursacherprinzip Anwendung finden kann. Die Theorie der unmittelbaren Verursachung muss dabei lediglich an das Wesen des Risikosteuerungsrechts angepasst werden, indem anstatt auf das Überschreiten einer Gefahrenschwelle auf das Entstehen eines Risikos abzustellen ist. 3. Bestehen einer Verursachungsverantwortlichkeit Anknüpfungspunkt für die Verursachungsverantwortlichkeit ist das Verhalten und der Zustand einer Person sowie der Zustand einer Sache.353 Bezogen auf die IT-Sicherheit muss aus dem Verhalten oder dem Zustand freilich keine Gefahr folgen. Stattdessen genügt, da die Pflichten zur IT-Sicherheit als Risikosteuerungsrecht qualifiziert wurden,354 ein Risiko. Das relevante Verhalten umfasst nicht nur aktives Handeln, sondern auch ein Unterlassen, soweit hierdurch die letzte Ursache für das Entstehen eines Risikos gesetzt wird.355 352 Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit, Entwurf des Umweltgesetzbuch (UGB) Erstes Buch (I), S. 9. 353 Steiner, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 7 PAG, Rdnr. 7 f.; Steiner, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 8 PAG, Rdnr. 2; vgl. Artt. 7, 8 BayPAG sowie Art. 9 BayLStVG. 354 Siehe § 3 A. II. 355 In Anlehnung an die „Theorie der unmittelbaren Verursachung“ im Polizeirecht, bei der auf das Überschreiten der Gefahrenschwelle abzustellen ist, vgl. Steiner, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisa tionsgesetz, Art. 7 PAG, Rdnr. 9; vgl. Lindner, in: Möstl / Schwabenbauer, Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, Art. 7 PAG, Rdnr. 25. Da
198
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Bereits aus dem Einsatz von IT könnten Risiken für die IT-Sicherheit und die hiervon abhängige Funktionsfähigkeit Kritischer Infrastrukturen folgen, die eine Verursachungsverantwortlichkeit der Betreiber begründen können. Dafür müsste vom Einsatz von IT selbst ein Risiko ausgehen, das sich auf die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informa tionen bezieht. Da mit dem IT-Einsatz zwangsläufig das Risiko einhergeht, dass die IT ohne Einwirkungen ausfällt,356 besteht eine diesbezügliche Verursachungsverantwortlichkeit. Diese ist jedoch auf Risiken begrenzt, die unmittelbar aus dem Betrieb der IT selbst folgen. Ziel der Pflichten zur Gewährleistung der IT-Sicherheit ist es jedoch nicht primär, Betriebsrisiken zu minimieren. Stattdessen stellen sie eine Reaktion auf von außen kommende weitere Bedrohungen für die Funktionsfähigkeit der IT dar.357 Für die Risiken aus diesen Bedrohungen der IT-Sicherheit kann über das Verursachungsprinzip, indem am bloßen IT-Einsatz angeknüpft wird, keine Verantwortlichkeit der Betreiber ermittelt werden.358 Denn nicht der Betreiber verursacht die Risiken für die IT-Sicherheit durch den Einsatz von IT. Stattdessen ist er „Opfer“ dieser von außen kommenden Risiken. Jedoch könnte das Unterlassen einer ausreichenden Sicherung oder der ungesicherte Zustand der IT gegen Bedrohungen eine entsprechende Verantwortlichkeit begründen. Klar ist, dass fehlende oder unzureichende organisatorische oder technische Vorkehrungen zur Sicherung der IT die Wahrscheinlichkeit eines Ausfalles erhöhen. Für eine aus dem Verursacherprinzip folgende Verantwortlichkeit müsste das Risiko einer Störung der IT-Sicherheit aus dem Sicherungsmangel entstehen. Es dürfte nicht bereits zuvor bestanden haben. Die Schutzziele der IT-Sicherheit werden nicht durch fehlende Sicherungsvorkehrungen beeinträchtigt. Bestehen in einem fiktiven Fall keinerlei Bedrohungen für die Hard- und Software, so besteht trotz der fehlenden Sicherung kein Risiko für eine Störung der IT-Sicherheit.359 Eine fehlende oder unzureichende Sicherung der IT begründet damit kein Risiko für die IT-Sicherheit. Risiken sind vielmehr bereits existent. Die Sicherungsmaßnahmen dienen nur der Risikosteuerung. Schäden, die auf einer Bedrohung der ITdas IT-Sicherheitsgesetz nicht als Gefahrenabwehr, sondern als Risikosteuerungsrecht zu qualifizieren ist, muss hier anstatt auf die Gefahrenschwelle auf das Risiko abgestellt werden. 356 Ausfälle ohne Einwirkungen können unter anderem auf einem Verschleiß der Hardware oder auf Softwarefehlern basieren. 357 BT-Drs. 18 / 4096, S. 1. 358 Vgl. Czaja, Eigensicherungspflichten von Verkehrsflughäfen, S. 21; vgl. Wischmeyer, Die Verwaltung 50 (2017), S. 155, 181. 359 Es bestehen freilich weiterhin die bereits angesprochenen, aus dem Betrieb der IT selbst folgenden Ausfallrisiken.
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit199
Sicherheit durch Dritte beruhen, lösen keine Verursachungsverantwortlichkeit des Betreibers aus.360 Aus einer dogmatischen Herleitung über das Verursacherprinzip folgt damit keine umfassende Pflichtigkeit der Betreiber, die durch Betreiberpflichten zur Eigensicherung ausgestaltet werden kann. Dennoch ist zu untersuchen, ob im Hinblick auf missbrauchsgefährdete Einrichtungen nicht eine Ausnahme von der für eine Zurechnung notwendigerweise vorliegenden unmittelbaren Verursachung erforderlich ist. Dann könnte aus einer lediglich mittelbaren Verursachung eine entsprechende Verantwortlichkeit der Betreiber folgen. Dies nimmt der BW VGH für Flughäfen als besonders missbrauchsgefährdete Sachen an.361 Aufgrund der Bedeutung der Kritischen Infrastrukturen für das Gemeinwesen und der erheblichen Folgen, die ein Ausfall dieser mit sich bringt, haben diese Einrichtungen bereits qua definitionem eine exponierte Stellung für Angriffe.362 Daher können sie ohne weiteres als besonders missbrauchsgefährdete Einrichtung qualifiziert werden, was die eingesetzte IT einschließt. Diese Ausnahme soll nach dem BW VGH auf der aus Art. 14 Abs. 2 GG folgenden Eigentümerpflicht beruhen.363 Dabei wird jedoch verkannt, dass Art. 14 Abs. 2 GG nur eine Pflichtigkeit statuiert,364 bei überwiegenden Gemeinwohlbelangen Eingriffe dulden zu müssen. Eine weitergehende Pflichtigkeit für mittelbare Ursachen aufgrund einer Abwägung ist nicht ausgeschlossen, sie würde jedoch das Prinzip der unmittelbaren Verursachung sprengen. Denn ihr ist gerade kein Abwägungselement immanent.365 Damit ist eine Erweiterung der Verursachungsverantwortlichkeit auf mittelbare Risiken abzulehnen. Die Betreiber Kritischer Infrastrukturen sind Opfer von Bedrohungen der IT-Sicherheit durch Dritte. Sie trifft für Bedrohungen durch Dritte keine aus dem Verursacherprinzip folgende Verantwortlichkeit. Eine Verursachungsver360 Vgl. allgemein bei Schäden durch Dritte BVerwG DVBl. 1986, S. 360, 361; vgl. Drews / Wacke / Vogel u. a., Gefahrenabwehr, S. 319; Czaja, Eigensicherungspflichten von Verkehrsflughäfen, S. 25; vgl. Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 161. 361 BW VGH, JZ 1983, S. 102, 104. 362 Vgl. § 1 B. III.; Birkmann / Bach / Guhl u. a., State of the art der Forschung zur Verwundbarkeit kritischer Infrastrukturen am Beispiel Strom / Stromausfall, S. 49. 363 BW VGH, JZ 1983, S. 102, 104. 364 Vgl. BVerwG DVBl. 1986, S. 360, 362; vgl. Schenke, DVBl. 1986, S. 362, 363. 365 Diese dogmatische Begründungsstruktur ist anstatt im Verursachungsprinzip richtigerweise in der grundrechtlichen Pflichtigkeit direkt zu verankern. Vgl. hierzu § 5 B. II. 2. b) aa).
200
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
antwortlichkeit besteht lediglich für Risiken, die durch den Betrieb der jeweiligen IT selbst verursacht werden. 4. Zwischenergebnis Aus der Verursachungsverantwortlichkeit folgt eine Betreiberverantwortlichkeit bezüglich der IT-Sicherheit Kritischer Infrastrukturen nur in sehr begrenztem Umfang. Nur für Risiken, die aus dem Betrieb der IT selbst stammen, besteht eine Verursachungsverantwortlichkeit. Für sonstige Bedrohungen sind die Betreiber weder Verhaltens- noch Zustandsverantwort liche.366 Dies stellt im Vergleich zu den Referenzgebieten des Umweltrechts und mit Einschränkungen des Atomrechts einen wesentlichen Unterschied dar. Im Umweltrecht kann beim Betreiber der Anlage, von der Risiken ausgehen, an eine Verursachungsverantwortlichkeit angeknüpft werden, da dieser als Zustandsstörer zu qualifizieren ist. Beim atomrechtlichen Genehmigungsinhaber trifft dies ebenso auf Risiken des Betriebes der Anlage zu, § 7 Abs. 2 Nr. 3 AtG. Eine vergleichbare Situation wie bei den Betreibern Kritischer Infrastrukturen mit den Pflichten zur IT-Sicherheit besteht dort allerdings insoweit, als der Genehmigungsinhaber auch Vorsorge gegen externe Risiken zu treffen hat, § 7 Abs. 2 Nr. 5 AtG. Für diese Risiken kann an keiner Verursachungsverantwortlichkeit angeknüpft werden.367 II. Grundrechtliche Pflichtigkeit zur IT-Sicherheit Die Betreiberpflichten zur Gewährleistung der IT-Sicherheit könnten stattdessen als Form einer aktivierten allgemeinen grundrechtlichen Pflichtigkeit zur Eigensicherung der IT zu verstehen sein. Wurde eben die Verursachungsverantwortlichkeit für externe Bedrohungen noch abgelehnt, bedarf es der Erklärung, weshalb darüber hinaus eine Eigensicherungspflichtigkeit bestehen kann. Die Näherung auf diese Frage muss in mehrere Schritte unterteilt werden. So muss zunächst geklärt werden, worin der Unterschied zwischen der Begründung einer Pflichtigkeit der Betreiber über das Verursachungsprinzip bzw. über eine grundrechtliche Eigensicherungspflichtigkeit zur ITSicherheit zu sehen ist, auf welche Weise diese verfassungsrechtlich untermauert ist und in welchem Umfang sie Pflichten zur IT-Sicherheit tragen kann.
366 Vgl.
für den Sektor Energie Guckelberger, DVBl. 2015, S. 1213, 1219. Eigensicherung, S. 105 ff., 292.
367 Otten,
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit201
1. Abgrenzung der Eigensicherungspflichtigkeit vom Verursacherprinzip Die Eigensicherungspflichtigkeit und das Verursacherprinzip sind im Grunde miteinander verwandt, unterscheiden sich doch auch wesentlich. Ebenso wie aus dem Verursacherprinzip folgt aus der Eigensicherungspflichtigkeit eine Erleichterung der Rechtfertigungslast von Grundrechtseingriffen durch eine Verschiebung des noch Zumutbaren. Diese trifft allerdings nicht den Verursacher einer Bedrohung, sondern kann mit dem Betreiber des bedrohten Objekts gegen das Opfer gerichtet sein.368 Verursacherprinzip und Eigensicherungspflichtigkeit stimmen dahingehend überein, dass aus ihnen unmittelbar keinerlei subjektiv-rechtliche Wirkung für den Betreiber des zu sichernden Objekts folgt. Stattdessen bilden sie lediglich den objektiv-rechtlichen Anknüpfungspunkt, der zu seiner subjektiv-rechtlichen Aktivierung einer einfachgesetzlichen Ausgestaltung bedarf.369 Die Pflichtigkeit ist allgemeine Grundlage der Verursacherverantwortlichkeit und der Eigensicherungspflichtigkeit. 2. Anknüpfungspunkte der Eigensicherungspflichtigkeit Eine einfachgesetzliche Ausgestaltung in Form der Pflichten zur IT-Sicherheit könnte eine Verschiebung des dem Privaten verfassungsrechtlich noch Zumutbaren ausnutzen. Infolgedessen könnten dem von einem Risiko Betroffenen Plichten zur Sicherung der IT auferlegt werden. Dabei richten sich die in § 4 A. dargestellten staatlichen Schutzpflichten zugunsten der IT-Sicherheit gerade nicht gegen den Betreiber, sondern statuieren einen objektiv-rechtlichen Auftrag des Staates deren Gehalte zu gewährleisten. Aus diesen könnte indes zugleich eine grundrechtliche Pflichtigkeit der Betreiber folgen, die Erfüllung dieses Gewährleistungsauftrages zu dulden. Um diese gegen die Schutzrichtung der grundrechtlichen Schutzpflichten verlaufende Auferlegung von Pflichten zu rechtfertigen, die in den grundrechtlich gewährten Freiheitsraum der Betreiber eingreift, ist es hilfreich, wenn die Eigensicherungspflichtigkeit verfassungsrechtlich fundiert ist.370 Dabei soll zunächst versucht werden, die Eigensicherungspflichtigkeit aus einzelnen grundrechtlichen Gehalten selbst herzuleiten, bevor dann ein Begründungsversuch über eine Einbeziehung altruistischer Bindung der grundrechtlichen Freiheit vorgenommen wird. 368 Vgl. Ronellenfitsch, Selbstverantwortung und Deregulierung im Ordnungs- und Umweltrecht, S. 30. 369 Otten, Eigensicherung, S. 72. 370 Vgl. in Bezug auf die in dieser Hinsicht vergleichbare Situation des NichtStörers i. S. v. Art. 9 Abs. 3 LStVG Gallwas / Lindner / Wolff, Bayerisches Polizei- und Sicherheitsrecht, Rdnr. 456.
202
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
a) Eigenständige Pflichtigkeit grundrechtlicher Gehalte Es soll zunächst der Begründungsansatz verfolgt werden, aus den grundrechtlichen Gehalten zugunsten der Betreiber selbst eine Pflichtigkeit zu folgern. Es wird also danach gefragt, ob verfassungsrechtliche Gehalte existieren, die eine Sicherung der IT vom Betreiber fordern, wobei Einflüsse durch Auswirkungen auf Dritte als altruistische Aspekte ausgeblendet bleiben. Dann wäre eine Pflichtigkeit die IT zu sichern, bereits in der Freiheit, IT zur Erbringung kritischer Infrastrukturdienstleistungen einzusetzen, selbst angelegt. aa) Schutzpflichten zugunsten der Betreiber Kritischer Infrastrukturen Auf den ersten Blick scheinen die Schutzpflichten zugunsten der Betreiber Kritischer Infrastrukturen für eine Verankerung einer Eigensicherungspflichtigkeit nicht geeignet zu sein, da diese gerade entgegengesetzt wirken und den Staat jedenfalls objektiv zur Gewährleistung der „Sicherheit“ verpflichten. Doch bildet das Untermaßverbot eine Grenzlinie, aus der sich eine Eigensicherungspflichtigkeit ableiten lassen könnte.371 Trifft der Staat zugunsten dieser Grundrechtsgehalte kein Mindestmaß an Schutzvorkehrungen, so ergibt sich aus der grundrechtlichen Schutzpflichtendimension ein subjektiver Schutzanspruch des einzelnen Grundrechtsberechtigten gegenüber dem Staat.372 Ist jedoch ein ausreichendes Mindestmaß an Schutzvorkehrungen getroffen worden und verbleiben die Beeinträchtigungen der Grundrechtsgehalte unterhalb dieser gezogenen Schwelle, so führen trotzdem erfolgte Verletzungen eines Rechtsguts durch einen privaten Dritten zu keiner Schutzpflichtverletzung des Staates.373 Unterhalb dieser Schwelle des Untermaßverbotes kann der Grundrechtsberechtigte somit keinen staatlichen Schutz auf Basis der Grundrechtsgewährleistungen verlangen. Insoweit trifft ihn eine verfassungsunmittelbare Risikotragungspflichtigkeit.374 Dies hat auch das BVerfG in seiner „Kalkar“-Ent371 Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 337. 372 Calliess, § 44, in: Merten / Papier, Handbuch der Grundrechte Band II, Rdnr. 24, 26; Isensee, § 191, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 221. 373 Vgl. bzgl. einer möglicherweise notwendig werdenden Anpassung der getroffenen Regelungen Isensee, § 191, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 219. 374 Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 337; diese teils als Gefahrtragungspflicht bezeichnend Hofmann, § 195, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 25, 27.
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit203
scheidung erkannt. „Vom Gesetzgeber im Hinblick auf seine Schutzpflicht eine Regelung zu fordern, die mit absoluter Sicherheit Grundrechtsgefährdungen ausschließt, die aus der Zulassung technischer Anlagen und ihrem Betrieb möglicherweise entstehen können, hieße die Grenzen menschlichen Erkenntnisvermögens verkennen und würde weithin jede staatliche Zulassung der Nutzung von Technik verbannen.“ Weiter führt das BVerfG aus, dass „Ungewissheiten jenseits dieser Schwelle praktischer Vernunft (…) ihre Ursache in den Grenzen des menschlichen Erkenntnisvermögens [haben]; sie sind unentrinnbar und insofern als sozial-adäquate Lasten von allen Bürgern zu tragen.“375 Diese Pflichtigkeit der Grundrechtsberechtigten, Risiken unterhalb der Schwelle des Untermaßverbotes zu tragen, beschränkt den grundrechtlichen Schutzgehalt. Der Grundrechtsberechtigte kann insoweit keine staatliche Schutzgewährleistung verlangen.376 Daraus lässt sich ableiten, dass aus Sicht der Schutzpflichten dasjenige verfassungsrechtlich angelegte Maß an (IT-)Sicherheit dem Privaten obliegt, das nach dem Untermaßverbot noch kein staatliches Tätigwerden zugunsten des Schutzes der Grundrechtsgüter erfordert. Dieser Gedanke findet sich in Polizeigesetzen normiert wieder. So ist der Schutz der Belange Privater subsidiär zum Schutz der öffentlichen Sicherheit und Ordnung, vgl. Art. 2 Abs. 2 BayPAG, § 1 Abs. 2 NWPolG. Solange keine Aspekte der öffentlichen Sicherheit und Ordnung als einfachgesetzliche Ausprägung der Schutzpflichten berührt sind, obliegt es dem Einzelnen, seine privaten Interessen selbst zu schützen. Implizit folgt hieraus, dass nicht allein den Staat eine Sicherheitsgewährleistungsverantwortung trifft. Private sind auch selbst dafür zuständig, ihre Interessen gegen Beeinträchtigungen Dritter zu schützen.377 Vor dem Hintergrund der Schutzpflichtendimension ist damit ein Bereich angelegt, in dem es den Privaten obliegt, Eigensicherungsmaßnahmen zu treffen.378 375 Beide Zitate: BVerfGE 49, 89, 143 im Hinblick auf die Pflichtigkeit der Gewährleistungen des Lebens und der Gesundheit; indem sich diese Passage in der Entscheidung des BVerfG auf eine Selbstaufopferung zugunsten Dritter bezieht, wird deutlich, dass die Grundrechtsgewährleistungen selbst mit einer Pflichtigkeit belastet sein können. Eine Abwägung mit den Grundrechtsgehalten Dritter, wie sie Voraussetzung für eine altruistische Pflichtigkeit wäre, erfolgt gerade nicht. 376 Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, S. 337. 377 Stober, Grundlagen der öffentlichen und der privaten Sicherheit, in: Stober / Olschok / Gundel u. a., Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit, S. 3, 12; vgl. Schmidbauer, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 2 PAG, Rdnr. 3; Holzner, in: Möstl / Schwabenbauer, Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, Art. 2 PAG, Rdnr. 21. 378 Vgl. allgemein zu einem Raum neben der staatlichen Gewährleistungsverantwortung die IT-Sicherheit durch private Beiträge sicherzustellen § 5 A.
204
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Dieser Bereich könnte Ausgangspunkt für eine der Abwehrdimension der Grundrechte entgegenwirkende Pflichtigkeit sein, Eigensicherungsmaßnahmen zu treffen. Hierfür müsste jedoch die Hürde überwunden werden, die Pflichtigkeit zur Risikotragung in eine Pflichtigkeit zur Eigensicherung der IT zu verwandeln, nach der die Auferlegung von Eigensicherungsmaßnahmen hingenommen werden muss. Dem steht aber der durch die einzelnen Freiheitsgrundrechte379 und subsidiär durch die allgemeine Handlungsfreiheit, Art. 2 Abs. 1 GG, gewährte Freiheitsraum gegenüber, die aus dem Risiko möglicherweise resultierenden Folgen zu tragen oder Maßnahmen zur Risikosteuerung zu treffen. Bezieht man die abwehrrechtliche Dimension ein, wird deutlich, worin der Unterschied zwischen der Risikotragungspflichtigkeit und einer Eigensicherungspflichtigkeit besteht. Die Risikotragungspflichtigkeit belässt einen grundrechtlich geschützten Raum für eine freie Entscheidung des Grundrechtsträgers, ob Sicherungsmaßnahmen gegen externe Bedrohungen getroffen werden sollen. Dies macht auch deutlich, weshalb die Risikotragungspflichtigkeit keinen Raum für eine Eigensicherungspflichtigkeit zu schaffen vermag. Denn der Eigensicherungspflichtigkeit ist der letzte Entscheidungsfreiraum des Grundrechtsträgers, ob Sicherungsmaßnahmen getroffen werden sollen, gerade nicht immanent. Sie verpflichtet stattdessen direkt zu einer Duldung einer einfachgesetzlichen Verpflichtung zur Eigensicherung. Daher kann die Risikotragungspflichtigkeit, da sie dem Betreiber die Entscheidung überlässt, ob Sicherungsmaßnahmen getroffen werden sollen, nicht gegenüber den in Grundrechte eingreifenden Betreiberpflichten380 in Stellung gebracht werden. Es ist keine Eigensicherungspflichtigkeit in den Schutzpflichten zugunsten der Infrastrukturbetreiber selbst angelegt, die die Auferlegung von Pflichten als Grundrechtseingriffe rechtfertigen könnte. bb) Subsidiaritätsprinzip Otten versucht daher eine Eigensicherungspflichtigkeit in einem verfassungsrechtlichen Subsidiaritätsprinzip, das in der katholischen Soziallehre wurzelt, zu verankern.381 Dabei ist weder dessen verfassungsrechtliche Wirklichkeit noch dessen Umfang letztgültig geklärt. Obläge dem Privaten verfassungsrechtlich die Aufgabe der Eigensicherung, ließe sich dies auch für eine entsprechende Pflichtigkeit fruchtbar machen. Gegen eine Verankerung im Grundgesetz sprechen jedoch stichhaltige Argumente: Der häufig als Ausprä379 Dies
sind insbesondere Art. 12 Abs. 1 GG und Art. 14 Abs. 1 GG. zu den Grundrechtseingriffen § 9 B. I. 1 b), 2 b), 3b), II. 2. 381 Otten, Eigensicherung, S. 83; Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 228. 380 Siehe
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit205
gung eines verfassungsrechtlichen Subsidiaritätsprinzips angeführte Art. 23 Abs. 1 S. 1 GG382 greift nicht. Hierin wird zwar der „Grundsatz der Subsidiarität“ genannt, jedoch bezieht sich dieser allein auf die Abgrenzung der Zuständigkeiten von EU und Bundesrepublik Deutschland.383 Darüber hinausgehend kann dem kein allgemeiner Subsidiaritätsgedanke zum Verhältnis von staatlicher zu privater Sicherungstätigkeit entnommen werden. Zum Teil wird das Subsidiaritätsprinzip als vor-grundgesetzlicher Rechtssatz angesehen, der seinen Ausdruck im Rechtsstaatsprinzip des Art. 20 Abs. 3 GG gefunden hat.384 So scheint er als „milderes Mittel“ im Verhältnismäßigkeitsgrundsatz angelegt zu sein. Da die Erfüllung einer staatlichen Tätigkeit durch Private grundrechtsschonender sei, darf staatliche Tätigkeit nur dann erfolgen, wenn Private diese nicht ausreichend erfüllen können.385 Doch daraus lässt sich ebenso wie aus den Schutzpflichten keine Pflichtigkeit folgern, die Auferlegung von Sicherungspflichten zu dulden. Denn es verbleibt dem Privaten weiterhin die grundrechtlich geschützte Entscheidung, Sicherungsmaßnahmen vorzunehmen oder die Folgen der fehlenden Sicherung zu tragen.386 Damit kann eine Herleitung des Subsidiaritätsprinzips als Grundlage einer Eigensicherungspflichtigkeit aus dem Grundgesetz nicht gelingen.387 Dem ist jedoch nicht abträglich, dass im einfachen Recht, insbesondere in Art. 2 Abs. 2 BayPAG, der Subsidiaritätsgrundsatz existiert und seine Berechtigung hat. b) Altruistischer Begründungsansatz Der altruistische Begründungsansatz bezieht indessen auch Auswirkungen auf Dritte mit ein. So wird hier berücksichtigt, wie sich Ausfälle oder Beeinträchtigungen der Erbringung von Infrastrukturdienstleistungen auf eine verfassungsrechtliche Pflichtigkeit der Betreiber auswirken. Die Einbeziehung altruistischer Rückbindung grundrechtlicher Freiheit ist daher eher geeignet, eine Pflichtigkeit zu begründen, als dies grundrechtliche Schutzgehalte zugunsten der Betreiber selbst vermögen. 382 Frenz,
Das Verursacherprinzip im Öffentlichen Recht, S. 203 ff. Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 230; Nitz, Private und öffentliche Sicherheit, S. 461. 384 Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 231. 385 Frenz, Das Verursacherprinzip im Öffentlichen Recht, S. 206; auf eine bessere oder wirtschaftlichere Erfüllung durch Private abstellend Nitz, Private und öffentliche Sicherheit, S. 462; Burgi, Funktionale Privatisierung und Verwaltungshilfe, S. 231. 386 Otten, Eigensicherung, S. 84. 387 Vgl. Otten, Eigensicherung, S. 84. 383 Knauff,
206
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
aa) Art. 14 Abs. 2 GG Eine verfassungsrechtliche Anlage der Eigensicherungspflichtigkeit könnte in Art. 14 Abs. 2 GG gesehen werden. Art. 14 Abs. 2 S. 1 GG normiert, dass „Eigentum verpflichtet“. Somit wirkt das Eigentumsrecht nicht allein freiheitsgewährend. Ihm ist zugleich eine Rückbindung an die Gesellschaft immanent. Sie wirkt als „Richtschnur für den Gesetzgeber, bei der Regelung des Eigentumsinhalts das Wohl der Allgemeinheit zu beachten“.388 Zwar gewährt Art. 14 Abs. 1 GG mit dem Eigentum einen Raum individueller grundrechtlicher Freiheit. Diese Freiheit wird in Art. 14 Abs. 2 GG zugleich mit einer Gemeinwohlbindung belastet.389 Diese Bindung entfaltet aber keine unmittelbare Wirkung gegenüber den Grundrechtsberechtigten, sondern ist als Auftrag bei der Ausgestaltung durch Inhalts- und Schrankenbestimmungen zu beachten.390 Aus Art. 14 Abs. 2 GG folgt eine umso stärkere Sozialbindung des Eigentums, je mehr die Nutzung und Verfügung des Eigentums „Belange anderer Rechtsgenossen berühren, die auf die Nutzung des Eigentumsobjekts angewiesen sind“.391 Seiner Wirkung nach ist Art. 14 Abs. 2 GG grundsätzlich geeignet, eine Eigensicherungspflichtigkeit der Betreiber Kritischer Infrastrukturen als deren Eigentümer zu begründen. Es bleibt nun zu klären, inwieweit die Sozialbindung in Art. 14 Abs. 2 GG eine Eigensicherungspflichtigkeit zugunsten der IT-Sicherheit Kritischer In frastrukturen begründet, die durch den Gesetzgeber aktiviert werden kann. Ähnlich wie bei der bereits dargestellten Schutzpflicht aus Art. 14 GG zugunsten der Betreiber Kritischer Infrastrukturen vermögen die mit der IT- Sicherheit verfolgten Schutzziele mangels weitgehender Eigentumsunfähigkeit des Schutzgegenstandes Information keinen tauglichen Ausgangspunkt zu bilden. Dieser folgt vielmehr aus den Infrastruktureinrichtungen, in denen die IT prozessunterstützend eingesetzt wird, sowie aus der Hardware und der Software selbst, soweit diese vom verfassungsrechtlichen Eigentumsbegriff erfasst wird.392 Da mit Kritischen Infrastrukturen Dienstleistungen erbracht werden, die von besonderer Bedeutung für die Gesellschaft sind, wird die aus dem Eigentum an den Infrastruktureinrichtungen folgende Pflichtigkeit besonders relevant. Der Gesetzgeber kann, dieser Wichtigkeit Rechnung tra388 BVerfGE
21, 73, 83. Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 306; Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 14. 390 Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 14; Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 306. 391 BVerfGE 50, 290, 341 = NJW 1979, S. 699, 703. 392 Vgl. § 4 A. I. 1. b), c) aa). 389 Vgl.
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit207
gend, das Eigentumsrecht dementsprechend weiter beschränken, da die So zialpflichtigkeit die Zumutbarkeitsgrenze entsprechend zurückdrängt.393 Indem die IT zur Erbringung dieser kritischen Infrastrukturdienstleistungen eingesetzt wird, unterliegt auch sie der Sozialpflichtigkeit. Damit folgt sowohl aus dem Infrastruktureigentum als auch speziell aus dem Eigentum an der eingesetzten IT eine Pflichtigkeit der Betreiber. Da das Eigentum an der IT und den Infrastrukturen wegen der bestehenden Abhängigkeiten von der IT394 ohne die Gewährleistung der IT-Sicherheit nicht seinem sozialstaatlichen Auftrag entsprechend zum Wohle der Allgemeinheit eingesetzt werden kann, erfasst die Sozialpflichtigkeit die IT-Sicherheit. Nichtsdestotrotz kann eine aus Art. 14 Abs. 2 GG folgende Pflichtigkeit keine auch andere Grundrechte betreffenden Eigensicherungspflichten der Betreiber verfassungsrechtlich verankern. Da neben dem Eigentumsgrundrecht in die Berufsfreiheit, das Recht auf informationelle Selbstbestimmung sowie die parallelen Unionsgrundrechte eingegriffen wird,395 kann die Sozialpflichtigkeit des Eigentums die weitreichenden Sicherungs-, Nachweis- und Meldepflichten nicht alleine tragen. Aus Art. 14 Abs. 2 GG folgt lediglich eine eigentumsspezifische, jedoch keine allgemeine Eigensicherungspflichtigkeit der Betreiber Kritischer Infrastrukturen in Bezug auf die IT-Sicherheit. bb) P flichtigkeit aufgrund der sozialstaatlichen Gebundenheit grundrechtlicher Freiheit Eine Eigensicherungspflichtigkeit könnte jedoch aus einem sozialstaat lichen Drittbezug der Gewährleistung grundrechtlicher Freiheit folgen. Mit Ausnahme von Art. 14 Abs. 2 GG ist eine derartige Pflichtigkeit in den Grundrechten textlich nicht angelegt. Nichtsdestotrotz macht die Sozialpflichtigkeit des Eigentums deutlich, dass den grundgesetzlichen Grundrechten eine Pflichtigkeit aufgrund der Sozialgebundenheit grundrechtlicher Freiheit nicht fremd ist. Unter welchen Voraussetzungen eine solche auch ohne explizitem text lichen Anknüpfungspunkt in den Grundrechten besteht, muss nun untersucht werden. Die Begründung dieser erfolgt über die Abhängigkeiten Dritter von den kritischen Infrastrukturdienstleistungen. Hierdurch kann eine Verbindung der IT-Sicherheit zum Sozialstaatsprinzip hergestellt werden. Aus diesem könnte sodann eine freiheitsbegrenzende Pflichtigkeit zur Eigensicherung 393 Vgl. allein zur Sozialpflichtigkeit BW VGH JZ 1983, S. 102, 104; vgl. Lepsius, § 4, in: Fehling, Regulierungsrecht, Rdnr. 56 f. 394 Siehe zu den Abhängigkeiten von der IT § 1 A., B. III. 395 Siehe § 9 B.
208
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
resultieren, die spezifisch für die IT-Sicherheit Kritischer Infrastrukturen besteht. Wie bereits bei der staatlichen Infrastrukturverantwortung unter § 4 B. II. 2. dargestellt, erbringen die Kritischen Infrastrukturen Dienstleistungen der Daseinsvorsorge und fallen damit in den Bereich des Sozialstaatsgebots, Art. 20 Abs. 1 GG.396 Das Sozialstaatsprinzip vermag daher nicht nur eine staatliche Infrastrukturverantwortung zu begründen. Es ist als verfassungsrechtliches Grundprinzip auch bei der Auslegung der grundrechtlichen Freiheitsgewährleistungen zu berücksichtigen397 und steht in einem Spannungsverhältnis zu diesen.398 Denn es begrenzt die grundrechtlich gewährleistete Freiheit der Infrastrukturbetreiber, indem es diese mit einer Sozialgebundenheit belegt. Insofern folgt aus dem Sozialstaatsprinzip eine Pflichtigkeit grundrechtlicher Freiheit. Aufgrund der existenziellen Bedeutung der Kritischen Infrastrukturdienstleistungen unterliegen die grundrechtlichen Freiheitsräume ihrer Betreiber einem hohen Einfluss durch das Sozialstaatsprinzip. Für das Eigentumsgrundrecht hat dieser Einfluss seinen textlichen Nachweis in Art. 14 Abs. 2 GG gefunden.399 Klar ist, dass dieser Sozialstaatsbezug für Grundrechte mit unmittelbarem Bezug zur Erbringung der Infrastrukturdienstleistungen greift. Daher enthält die Berufsfreiheit der Betreiber Kritischer Infrastrukturen eine aus dem Sozialstaatsprinzip folgende Pflichtigkeit mit einem Bezug zur IT-Sicherheit nur soweit, als diese diejenige IT betrifft, die zur Erbringung kritischer Infrastrukturdienstleistungen notwendig ist. Deutlicher wird der Bezug der grundrechtlichen Pflichtigkeit zur IT-Sicherheit im Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Zwar findet dieses Grundrecht seinen Kern im allgemeinen Persönlichkeitsrecht. Jedoch besteht über die Abhängigkeit der Infrastrukturdienstleistungen von der IT-Sicherheit der eingesetzten IT ein unmittelbarer Dienstleistungsbezug. Mit der Vertraulichkeit und Integrität informationstechnischer Systeme wird ein Freiheitsraum gewährt, der sich im Wesent lichen mit dem Begriff der IT-Sicherheit deckt400 und bei Kritischen Infrastrukturen an das Sozialstaatsprinzip rückgebunden ist. Wird IT im Bereich der Daseinsvorsorge eingesetzt, so unterliegt der gewährte Freiheitsgehalt 396 Knauff, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, S. 194; vgl. Kahle, Die Elektrizitätsversorgung zwischen Versorgungssicherheit und Umweltverträglichkeit, S. 138, 144 f. 397 Grzeszick, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 20 GG I, Rdnr. 1. 398 Grzeszick, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 20 GG VIII, Rdnr. 27. 399 Siehe soeben § 5 B. II. 2. b) aa). 400 Siehe hierzu bereits § 4 A. I. 6. d) aa).
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit209
der Vertraulichkeit und Integrität den diesen Bereich prägenden Einflüssen des Sozialstaatsprinzips. Die IT-Sicherheit der eingesetzten IT wird dadurch sozialstaatlich beeinflusst. Schwieriger ist zu beurteilen, ob die Sozialpflichtigkeit aufgrund des Sozialstaatsgebots auch für Grundrechte greift, die keinen unmittelbaren Dienstleistungsbezug besitzen. Für das Grundrecht auf informationelle Selbstbestimmung bzw. das Fernmeldegeheimnis könnte eine sozialstaatliche Rückbindung zu verneinen sein. Beide haben keinen unmittelbaren Bezug zur Erbringung von Daseinsvorsorgedienstleistung, sondern dienen im Kern dem Schutz des allgemeinen Persönlichkeitsrechts.401 Obwohl diese grundrecht lichen Freiheitsgewährleistungen nur einen weiteren Bezug zur Dienstleistungserbringung aufweisen, können sie sich doch auf diese auswirken. Das Sozialstaatsprinzip findet als verfassungsrechtliches Grundprinzip auf alle Grundrechte Anwendung.402 Es kann Eingriffe in diese Freiheitsräume fordern. Daher unterliegen auch sie einer sozialstaatlichen Rückbindung. Diese bewirkt, ohne die Grundrechtsberechtigten unmittelbar zu verpflichten, dass die gewährte Freiheit der Betreiber Kritischer Infrastrukturen durch das Sozialstaatsprinzip begrenzt wird.403 Die sozialstaatliche Pflichtigkeit reicht soweit, wie eine Beeinträchtigung der IT-Sicherheit die Erbringung kritischer Infrastrukturdienstleistungen bedroht. Sie kann auch eine einfachgesetzliche Pflicht zur Eigensicherung tragen. Insofern unterscheidet sie sich von der Risikotragungspflichtigkeit.404 Aufgrund der sozialstaatlichen Rückbindung verbleibt dem Betreiber, soweit dieser Einfluss reicht, kein geschützter Raum grundrechtlicher Freiheit, ob Sicherungsmaßnahmen ergriffen werden sollen. Das Spanungsverhältnis zwischen grundrechtlicher Freiheit und Pflichtigkeit kann in diesem Bereich nur durch eine Abwägung aufgelöst werden. Die Pflichtigkeit findet jedoch ihre Grenze im objektiven Kerngehalt des betroffenen Grundrechts.405
401 Siehe zur Prägung dieser Schutzbereiche bereits § 4 A. I. 4., 5., insbesondere bei der Frage der Anwendbarkeit auf juristische Personen. 402 Vgl. zu einer sozialstaatlichen Schutzpflicht Isensee, § 191, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 196 ff.; vgl. zu einer sozialstaatlichen Auslegung der Grundrechte Huster / Rux, in: Epping / Hillgruber, Beck’scher OnlineKommentar Grundgesetz, Art. 20 GG, Rdnr. 216. 403 Vgl. zur Sozialpflichtigkeit des Wettbewerbs Lepsius, § 4, in: Fehling, Regulierungsrecht, Rdnr. 5, 97. 404 Siehe zur Risikotragungspflichtigkeit § 5 B. II. 2. a) aa). 405 Vgl. bzgl. der notwendigen Asymmetrie der Grundpflichten zu den Grundrechten, die hier übertragen werden kann Randelzhofer, § 37, in: Merten / Papier, Handbuch der Grundrechte Band II, Rdnr. 43.
210
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Damit folgt für die Betreiber Kritischer Infrastrukturen aus der sozialstaatsgebundenen grundrechtlichen Freiheit eine Pflichtigkeit zu Eigensicherung der IT. Diese beschränkt sich nicht auf die Vornahme von Sicherungsmaßnahmen, sondern reicht darüber hinaus. So kann sie neben der Sicherungspflicht die der IT-Sicherheit dienenden Nachweis- und Meldepflichten406 tragen. Durch diese sozialstaatliche Rückbindung wird die jeweilige Freiheitsgewährleistung zu einer dienenden Freiheit, ohne aber ihren Charakter als Freiheitsgrundrecht zu verlieren. cc) Pflichtigkeit aus Art. 87e, f GG Wie bereits festgestellt wurde, folgt aus Art. 87e Abs. 4 GG eine staatliche Gewährleistungsverantwortung für den Ausbau und Erhalt des Schienennetzes sowie für die Schienenverkehrsangebote hierauf, ausgenommen dem Personennahverkehr.407 Art. 87f Abs. 1 GG enthält für die Erbringung flächendeckend angemessener und ausreichender Post- und Telekommunikationsdienstleistungen ebenfalls eine Gewährleistungsverantwortung.408 Sie richtet sich an den Staat und nicht an die Betreiber.409 Nichtsdestotrotz könnte aus beiden Normen eine Pflichtigkeit der Betreiber abzuleiten sein, die sich auf die IT-Sicherheit bezieht. Bezieht man den Grund der Normierung der Gewährleistungsverantwortung in Art. 87e Abs. 4 GG und Art. 87f Abs. 1 GG ein, wird deutlich, dass hieraus nicht allein ein Auftrag an den Staat, sondern auch eine private Pflichtigkeit folgt. Ziel der beiden Gewährleistungsaufträge ist es, dass die in 406 Vgl.
§ 8a Abs. 3, § 8b Abs. 4 BSIG. in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87e GG, Rdnr. 17 f.; Lerche, Infrastrukturelle Verfassungsaufträge (zu Nachrichtenverkehr, Eisenbahnen), in: Wendt / Höfling / Karpen u. a., Staat, Wirtschaft, Steuern, S. 251, 256; Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 74, 112, 114, 180. 408 Remmert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87f GG, Rdnr. 8; Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 62, 73; Lerche, Infrastrukturelle Verfassungsaufträge (zu Nachrichtenverkehr, Eisenbahnen), in: Wendt / Höfling / Karpen u. a., Staat, Wirtschaft, Steuern, S. 251, 253; Badura, Sozialstaatliche Daseinsvorsorge und Infrastruktursicherung durch Leistungsverwaltung und Gewährleistungsverantwortung, in: Bultmann / Grigoleit / Gusy u. a., Allgemeines Verwaltungsrecht, S. 319, 323 f.; Windthorst, in: Sachs, Grundgesetz, Art. 87f GG, Rdnr. 14. 409 Für Art. 87e Abs. 4 GG: Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 180; Remmert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87e GG, Rdnr. 17; für Art. 87f Abs. 1 GG: Remmert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87f GG, Rdnr. 8; vgl. Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 62. 407 Remmert,
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit211
diesen Bereichen erbrachten Infrastrukturdienstleistungen ausreichend zur Verfügung stehen. Denn die sozialstaatlich geprägte Daseinsvorsorge fordert, dass die Erbringung wichtiger Infrastrukturdienstleistungen nicht gänzlich Privaten überlassen werden darf.410 Dieser sozialstaatliche Kern würde dann wieder ins Zentrum treten, wenn die aus Art. 87e Abs. 4 GG folgende Gewährleistungsverantwortung im Falle der Veräußerung der Eisenbahnverkehrsunternehmen durch den Bund erlischt. Denn eine allgemeine Gewährleistungsverantwortung als Ausfluss des Sozialstaatsprinzips besteht weiterhin.411 Auch Art. 87f Abs. 1 GG liegt ein sozialstaatlicher Kern zugrunde. Zwar sollen die Telekommunikationsdienstleistungen durch privatwirtschaftlichen Wettbewerb erbracht werden. Dieser ist jedoch sozialpflichtig.412 Daher ist die Verpflichtung des Staates, flächendeckend angemessene und ausreichende Dienstleistungen zu gewährleisten, Ausfluss des Sozialstaatsprinzips.413 Damit wird deutlich, dass mit dem Gewährleistungsauftrag an den Staat zugleich eine sozialstaatliche Gebundenheit der Betreiber verbunden ist, das verfassungsrechtlich geforderte Niveau an Infrastrukturdienstleistungen zu erbringen. Aus dieser folgt aber keine uneingeschränkte grundrecht liche Pflichtigkeit der Betreiber. Da sich Art. 87e Abs. 4 GG in seinen rechtlichen Wirkungen allein auf die Eisenbahnen des Bundes bezieht, kann hieraus für private Eisenbahnbetreiber keine Pflichtigkeit abgeleitet werden. Nur insoweit, wie die Eisenbahnen des Bundes als grundrechtsfähig angesehen werden, was umstritten ist,414 ist die grundrechtliche Pflichtigkeit anwendbar. Soweit diese aber als Teil des Staates zur Erfüllung der staatlichen Gewährleistungsverantwortung herangezogen werden, sind sie nur ein Instrument staatlicher Aufgabenerfüllung, sodass sie die Gewährleistungsverantwortung zu erfüllen haben. Insoweit sind sie grundrechtsgebunden.415 Nur wenn man sie auch in diesem 410 Badura, Sozialstaatliche Daseinsvorsorge und Infrastruktursicherung durch Leistungsverwaltung und Gewährleistungsverantwortung, in: Bultmann / Grigoleit / Gusy u. a., Allgemeines Verwaltungsrecht, S. 319, 322. 411 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 189. 412 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87f GG, Rdnr. 73; Lepsius, § 4, in: Fehling, Regulierungsrecht, Rdnr. 5. 413 Vgl. Lerche, Infrastrukturelle Verfassungsaufträge (zu Nachrichtenverkehr, Eisenbahnen), in: Wendt / Höfling / Karpen u. a., Staat, Wirtschaft, Steuern, S. 251, 255. 414 Von einer Grundrechtsbindung ausgehend Remmert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87e GG, Rdnr. 13; Isensee, Schutz des staatsabhängigen Unternehmens vor Sonderbelastungen, in: Kirchhof / Lehner / Raupach u. a., Staaten und Steuern, S. 93, 104 ff.; von einer Grundrechtsfähigkeit ausgehend Windthorst, in: Sachs, Grundgesetz, Art. 87e GG, Rdnr. 49; Lang, NJW 2004, S. 3601, 3604 f.; differenzierend Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 102 f. 415 Möstl, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 87e GG, Rdnr. 103.
212
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Bereich als grundrechtsfähig qualifiziert, trifft sie eine grundrechtliche Pflichtigkeit. Für Betreiber von Infrastrukturen, die Post- oder Telekommunikationsdienstleistungen erbringen, folgt für Private aus Art. 87f Abs. 1 GG indes eine Pflichtigkeit, eine einfachgesetzliche Verpflichtung zur Erbringung flächendeckend angemessener und ausreichender Dienstleistung dulden zu müssen. Da sich die staatliche Gewährleistung aus Art. 87f Abs. 1 GG auf die IT-Sicherheit bezieht,416 trägt die hierzu korrespondierende Pflichtigkeit der Betreiber ebenfalls den Bereich der IT-Sicherheit. Betreiber von Postund Telekommunikationsinfrastrukturen sind damit von einer aus Art. 87f Abs. 1 GG folgenden Pflichtigkeit bezüglich der IT-Sicherheit betroffen. Diese beruht in ihrem Kern auf dem Sozialstaatsprinzip, das in Art. 87f GG eine besondere Ausprägung gefunden hat. dd) R ückbindung der grundrechtlich gewährten Freiheit an das Gemeinwesen Eine umfassendere Pflichtigkeit, die die Betreiberpflichten zur IT-Sicherheit trägt, könnte darüber hinaus in einer allgemeinen Rückbindung der grundrechtlich gewährten Freiheit an das Gemeinwesen zu finden sein.417 Eine derartige Begrenzung des grundrechtlichen Freiheitsraumes kann strukturell der Verhältnismäßigkeitsgrundsatz bei überwiegenden Gemeinwohlbelangen leisten.418 Denn in einem Gemeinwesen kann und muss der Freiheitsraum des Einzelnen aufgrund der tatsächlichen Beziehungen zwischen den Individuen untereinander abgegrenzt und zwangsläufig eingeengt werden.419 Insoweit ist eine grundrechtliche Pflichtigkeit des Einzelnen angelegt. Der grundrechtlich gewährte Freiheitsraum kann bei überwiegenden Interessen des Gemeinwesens, die auch Schutzgewährleistungen zugunsten anderen Grundrechtsberechtigten erfassen, beschnitten werden.420 Klarstellend muss 416 Holznagel / Sonntag, Staatliche Verantwortung für den Schutz ziviler Infrastrukturen, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 125, 130. 417 Vgl. den Ansatz von Gusy, JZ 1982, S. 657, 660 aus den Grundrechten Grundpflichten abzuleiten. 418 Vgl. Sachs, in: Sachs, Grundgesetz, Art. 20 GG, Rdnr. 50. 419 Vgl. zu dieser Wirkung des Verhältnismäßigkeitsgrundsatzes BVerfGE 30, 392, 315. 420 Huster / Rux, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 20 GG, Rdnr. 189 f.; vgl. Badura, DVBl. 1982, S. 861, 862; vgl. zur Sozialpflichtigkeit des Wettbewerbs als Ziel des Regulierungsrechts Lepsius, § 4, in: Feh-
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit213
von der Pflichtigkeit strikt die verfassungsrechtlich nicht existente Pflicht des Einzelnen unterschieden werden, seinen Freiheitsraum nur in einer dem Gemeinwesen dienenden Weise zu nutzen.421 Denn selbst die Rückbindung der Grundrechte an die Gesellschaft, kann den freiheitsgewährenden Charakter der Grundrechte nicht umkehren.422 Im Wege des Abwägungsvorganges der Zumutbarkeit gewinnt die Rückbindung umso mehr an Begrenzungswirkung, je stärker der Gemeinwohlbezug der gewährten Freiheit und je größer dessen Bedeutung für die Gesellschaft ist. Damit ergibt sich eine grundsätzliche Pflichtigkeit, Eingriffe in den grundrechtlich geschützten Freiheitsraum hinnehmen zu müssen, die entsprechend dem Verhältnismäßigkeitsgrundsatz aufgrund überwiegender Belange zumutbar sind. Eine derartige Pflichtigkeit ist allen Freiheitsgrundrechten immanent. Sie kann nur in der Allgemeinheit „überwiegender Individual- oder Kollektivbelange“ bestehen und ist ohne einen situationsgebundenen Anwendungsfall keiner Konkretisierung zugänglich. In der Abstraktheit liegt indessen zugleich der wesentliche Vorteil dieser Pflichtigkeit. Sie wirkt nicht auf ein konkretes Sachziel hin, sodass sie universell anwendbar auch die IT-Sicherheit Kritischer Infrastrukturen erfasst. III. Teilergebnis Zusammenfassend lässt sich eine Pflichtigkeit der Betreiber Kritischer Infrastrukturen im Grundsatz bejahen. Diese erfordert jedoch erheblichen Begründungsaufwand, da sie sich nur für Risiken, die aus dem Betrieb selbst stammen, aus einer Verursachungsverantwortlichkeit herleiten lässt. Der Ansatz, aus verfassungsrechtlichen Gehalten zugunsten der Infrastrukturbetreiber eine Pflichtigkeit zur IT-Sicherheit herzuleiten, blieb erfolglos. Allein aus dem altruistischen Begründungsansatz konnte eine private Pflichtigkeit für Bedrohungen der IT-Sicherheit abgeleitet werden. Sie folgt einerseits speziell für das Eigentum aus Art. 14 Abs. 2 GG, der Sozialbindung, sowie allgemein aus der Berücksichtigung des Sozialstaatsprinzips bei der Auslegung grundrechtlicher Freiheiten. Die altruistische Pflichtigkeit ist zudem Ausdruck einer allgemeinen Gemeinwesenpflichtigkeit, die sich aus dem Spannungsfeld der grundrechtlichen Abwehr- und ling, Regulierungsrecht, Rdnr. 5; vgl. Götz, VVDStRL 41 (1983), S. 7, 14, der jedoch auch eine nach hier vertretener Auffassung nicht bestehende unmittelbare Pflicht der Grundrechtsberechtigten aus Grundpflichten ableitet. 421 Hofmann, § 195, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 52. 422 Infolgedessen wurden Grundpflichten in den Grundrechtskanon des Grundgesetzes nur vereinzelt explizit aufgenommen.
214
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
Schutzpflichtendimension in Mehrpersonenverhältnissen423 sowie überwiegender Allgemeininteressen ergibt. In diesen Kollisionssituationen wurzelt die grundrechtliche Pflichtigkeit der Betreiber Kritischer Infrastrukturen zur Sicherung der IT. Insofern kann ein Gleichlauf der Begrenzung der Freiheitsausübung des Eigentumsgrundrechts aufgrund seiner aus Art. 14 Abs. 2 GG folgenden Sozialbindung und der sozialstaatlichen Pflichtigkeit grundrechtlicher Freiheit anderer Grundrechte hergestellt werden. Zudem folgt für Betreiber von Post- und Telekommunikationsinfrastrukturen i. S. v. Art. 87f Abs. 1 GG und, soweit man die Eisenbahnen des Bundes als grundrechtsfähig ansieht, für diese aus Art. 87e Abs. 4 GG eine besondere Pflichtigkeit zur IT-Sicherheit. Diese Pflichtigkeit umgrenzt den Raum privater Beiträge zur IT-Sicherheit Kritischer Infrastrukturen, dessen Ausgestaltung durch den Gesetzgeber geduldet werden muss. Insofern trägt die Pflichtigkeit der Betreiber zu einer Rechtfertigung von Grundrechtseingriffen durch die einfachgesetzliche Ausgestaltung in Form von Betreiberpflichten bei. Dieser kommt eine besondere Bedeutung zu, da der Infrastrukturbetreiber, Risiken aus dem Betrieb der IT selbst ausgenommen, nicht als Verursacher, sondern als Opfer der Bedrohung der IT-Sicherheit in Pflicht genommen wird. Eine Folge dieser altruistischen Pflichtigkeit spiegelt sich im sogleich erläuterten personellen Anwendungsbereich der Pflichten zur IT-Sicherheit wider. Mit den Kritischen Infrastrukturen wird ein Bereich erfasst, der wegen der Angewiesenheit Dritter auf dessen Dienstleistungen gewählt wurde.424 Die private Pflichtigkeit bildet insofern das Pendant zur staatlichen Gewährleistungsverantwortung.425 Sie ermöglicht dem Staat, den an ihn gerichteten Auftrag, die IT-Sicherheit Kritischer Infrastrukturen zu gewährleisten, nicht selbst erfüllen zu müssen, wie es Charakter einer Erfüllungsverantwortung wäre. Stattdessen kann der Staat durch eine Inpflichtnahme auf Basis dieser Pflichtigkeit grundrechtliche Freiheit beschränken.
C. Pflichtigkeit im Unionsrecht Da die Regelungen zur IT-Sicherheit wesentlicher Dienste nicht allein das nationale Verfassungsrecht berühren, sondern auf unionsrechtlichen Vorgaben der RL (EU) 2016 / 1148 beruhen und so an den Grundrechten der EUGRCH Lepsius, § 4, in: Fehling, Regulierungsrecht, Rdnr. 32. bereits § 2 Abs. 10 S. 1 BSIG; vgl. BT-Drs. 18 / 4096, S. 2. 425 Vgl. bzgl. des Sozialstaatsprinzips Lepsius, § 4, in: Fehling, Regulierungsrecht, Rdnr. 98. 423 Vgl. 424 Vgl.
§ 5 Betreiberpflichten als Ausfluss privater Pflichtigkeit215
gemessen werden,426 muss untersucht werden, ob diese ebenfalls auf eine Pflichtigkeit auf unionsrechtlicher Ebene gestützt werden können. Dabei können strukturell die gleichen Begründungsansätze, wie im nationalen Recht herangezogen werden. Es ist zu klären, ob eine sozialstaatliche Pflichtigkeit im Unionsprimärrecht existiert. Zwar kennt dieses kein mit Art. 20 Abs. 1 GG vergleichbares Sozialstaatsgebot, nichtdestotrotz ist in Art. 14 S. 1 AEUV für einen Bereich der Daseinsvorsorge eine Verantwortung der Union verankert.427 Diese könnte auch hier zu einer Begrenzung der unionsgrundrechtlichen Freiheitsgewährleistung fruchtbar gemacht werden, denn die EUGRCH und die Verträge sind rechtlich gleichrangig, Art. 6 Abs. 1 UAbs. 1 Hs. 2 EUV.428 Es bleibt zu untersuchen, ob Art. 14 S. 1 AEUV tatsächlich eine grundrechtliche Pflichtigkeit begründet. Seiner Formulierung nach enthält er nur einen Auftrag an die EU und die Mitgliedsstaaten, dass diese „dafür Sorge [tragen], dass die Grundsätze und Bedingungen (…) für das Funktionieren dieser Dienste so gestaltet sind, dass diese ihren Aufgaben nachkommen können.“ Dieser alleinige Auftrag an die EU und die Mitgliedsstaaten spricht gegen die Eignung, eine Pflichtigkeit Grundrechtsberechtigter zu begründen. Die daraus folgende Gewährleistungsverantwortung der EU bezieht sich zudem nur auf die Rahmenbedingungen und nicht auf die konkreten Dienstleistungen.429 Dies zeigt auch ein Vergleich mit den Art. 87e Abs. 4 GG, Art. 87f Abs. 1 GG. Bei diesen Normen des nationalen Verfassungsrechts bezieht sich die Gewährleistung auf die jeweilige Dienstleistung. Art. 14 S. 1 AEUV enthält nur einen Auftrag, der aber nicht durch Grundrechtseinschränkungen, sondern durch eine Förderung der Dienste von allgemeinem wirtschaftlichem Interesse durch geeignete Funktionsbedingungen verwirklicht werden soll.430 Damit kann Art. 14 S. 1 AEUV nicht als rechtfertigendes Element von Grundrechtseingriffen herangezogen werden. Wie im nationalen Recht, scheitert eine Begründung allein aus den Schutzpflichtengehalten zugunsten der Betreiber wesentlicher Dienste. Denn wie die nationalen Grundrechte gewähren die unionsrechtlichen Grundrechte in426 Zur
Anwendbarkeit des Maßstabes der Grundrechte der EUGRCH siehe § 9 B. hierzu § 4 C. II. 428 Die Dienste von allgemeinem wirtschaftlichem Interesse als „wesentliches Element des europäischen Gesellschaftsmodells im Range eines gemeinschaftsrecht lichen Verfassungswerts“ bezeichnend Jung, in: Calliess / Ruffert, EUV / AEUV, Art. 14 AEUV, Rdnr. 11, vgl. auch Rdnr. 29. 429 Jung, in: Calliess / Ruffert, EUV / AEUV, Art. 14 AEUV, Rdnr. 14; Wernicke, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 14 AEUV, Rdnr. 42. 430 Vgl. van Voet Vormizeele, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 14 AEUV, Rdnr. 12. 427 Siehe
216
Teil 2: Staatliche Verantwortung und private Pflichtigkeit
dividuelle Freiheit und enthalten selbst keine begrenzenden Wirkungen.431 Daher kann auch im Unionsrecht die Begründung einer umfassenden Pflichtigkeit für die IT-Sicherheit nur über eine altruistische Bindung der grundrechtlichen Freiheit erfolgen. Eingriffe sind in den Schutzbereich der Unionsgrundrechte möglich, wenn sie auf einer gesetzlichen Grundlage beruhen und verhältnismäßig sind, Art. 52 Abs. 1 EUGRCH. Im Rahmen der Verhältnismäßigkeit ist zu gewährleisten, dass individuelle Schutzgewährleistungen zu Gunsten anderer oder Allgemeininteressen mit den eingeschränkten Interessen abgewogen werden.432 Aus dieser Grenze der unionsgrundrechtlichen Freiheitsgewährleistung folgt eine allgemeine Pflichtigkeit der individuellen Freiheitsgewährleistung. Sie kann als Gemeinwesenpflichtigkeit bezeichnet werden und entspricht derjenigen in § 5 B. II. 2. b) dd) beschriebenen Pflichtigkeit des nationalen Verfassungsrechts. Anders als das Grundgesetz, kennt das Unionsprimärrecht keine besondere Pflichtigkeit wesentlicher Dienste, auf die sich die IT-Sicherheit stützen könnte. Es kann lediglich auf die allgemeine Pflichtigkeit grundrechtlicher Freiheit zurückgegriffen werden, Eingriffe bei überwiegenden Individualoder Allgemeininteressen hinnehmen zu müssen.
431 Stern / Hamacher, in: Stern / Sachs, Europäische Grundrechte-Charta, Einführung und Grundlagen, Rdnr. 62 sowie vgl. Rdnr. 105. 432 Krämer, in: Stern / Sachs, Europäische Grundrechte-Charta, Art. 52 GRCh, Rdnr. 40; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 52 EUGRCH, Rdnr. 41; Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 52 EU-GRCharta, Rdnr. 67.
Teil 3
Die normative Gewährleistung der IT-Sicherheit § 6 Personelle Begrenzungen der Pflichten zur Gewährleistung der IT-Sicherheit A. Betreiber Kritischer Infrastrukturen1 Adressaten der Pflichten zur Sicherung der IT sind im Kern die Betreiber Kritischer Infrastrukturen. Darüber hinaus normiert der Gesetzgeber Pflichten in § 11 EnWG, § 44b AtG, § 109 TKG und § 13 TMG für spezielle Adressaten, die nur zum Teil Betreiber von Infrastrukturen sind und deren Infrastrukturen nur zum Teil als kritisch eingeordnet werden können. I. Betreiberbegriff Dass die materiellen Pflichten zur Gewährleistung der IT-Sicherheit an die Betreiber anstatt an den Verursachungsverantwortlichen adressiert werden, ist Ausfluss der bereits dargestellten Regelungsstruktur des Risikosteuerungsrechts. Anstatt an undefinierbaren Handlungen eines Störers anzuknüpfen, richtet sich die Steuerung des Risikos an das „Opfer“ und legt diesem konkrete Handlungspflichten auf,2 um Auswirkungen der Risiken für die ITSicherheit zu vermeiden oder zu minimieren. Das „Opfer“ ist bei einem Angriff auf die IT-Sicherheit der Betreiber der IT. Indem sich die Sicherungspflichten zur Risikosteuerung der IT-Sicherheit nicht an die Verursacher des Risikos wenden, weisen sie in Abgrenzung zu denjenigen des § 5 Abs. 1 Nr. 3 BImSchG oder des § 6 Abs. 1 S. 1 GenTG eine Besonderheit auf. Zwar werden auch hier die jeweiligen Betreiber adressiert, diese trifft aber eine Verursachungsverantwortlichkeit, was bei Betreibern Kritischer Infrastrukturen für Bedrohungen durch Dritte nicht der Fall ist.3
1 Eckpunkte dieses Abschnittes finden sich auch im Tagungsbandbeitrag Freimuth, Das IT-Sicherheitsgesetz – Wer muss die Pflichten erfüllen?, in: Möstl / Wolff (Hrsg.), IT-Sicherheit als Herausforderung für Wirtschaft und Staat, S. 9 ff. 2 Vgl. Lepsius, VVDStRL 63 (2004), S. 266, 295. 3 Vgl. § 5 B. I.
218
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Für die Kritischen Infrastrukturen knüpft der Gesetzgeber nicht an den Betrieb von IT direkt an, sondern an Anlagen, die Kritische Infrastrukturen darstellen. Diese mittelbare Anknüpfung ist der dienenden Funktion4 der IT geschuldet. Denn die Erhöhung der IT-Sicherheit ist bei einer Gesamtbetrachtung des IT-Sicherheitsgesetzes lediglich Mittel zur Sicherstellung der Versorgung der Bevölkerung mit kritischen Dienstleistungen. Zu einer Abgrenzung des personellen Anwendungsbereichs der auf die IT-Sicherheit gerichteten Pflichten muss daher der Begriff des Betreibers umrissen werden. Was unter dem Begriff des Betreibers zu verstehen ist, wird in den Pflichten nicht definiert. Man könnte aber die Definition in § 1 Nr. 2 BSI-KritisV als Bestimmung des Betreiberbegriffs für das BSIG ansehen. Demnach ist diejenige natürliche oder juristische Person Betreiber, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb einer Anlage oder Teile davon ausübt.5 Nichtsdestotrotz kann § 1 Nr. 2 BSIKritisV den Betreiberbegriff des BSIG nicht definieren. Hiergegen spricht neben dem Rangverhältnis von Gesetz und Rechtsverordnung bereits der Wortlaut von § 1 BSI-KritisV. Die Begriffsbestimmungen werden nur für die Verordnung und nicht für das BSIG vorgenommen. Auch würde eine Begriffsbestimmung in der Verordnung einer nach Art. 80 Abs. 1 S. 2 GG hinreichend bestimmten Rechtsgrundlage bedürfen. Diese liegt für die BSIKritisV in § 10 Abs. 1 i. V. m. § 2 Abs. 10 S. 2 BSIG. Darin wird nur zur Festlegung der kritischen Dienstleistungen und des als bedeutend anzusehenden Versorgungsgrades anhand branchenspezifischer Schwellenwerte ermächtigt, jedoch nicht zur Konkretisierung und Ausgestaltung des Betreiberbegriffs. Daher ist der Begriff des Betreibers durch Auslegung zu konkretisieren, wobei sich an den Betreiberbegriffen der speziell normierten Sektoren orientiert werden kann.6 Der Begriff des Betreibers bzw. des Betreibens ist in verschiedenen Gesetzen der Risikosteuerung enthalten.7 Hier soll derjenige aus dem TKG und dem EnWG untersucht werden, da beide Regulierungsregime auch Sektoren Kritischer Infrastrukturen als leges speciales erfassen und Pflichten zur Ge4 Allgemein hierzu Gadatsch / Mangiapane, IT-Sicherheit, S. 23; vgl. zur dienenden Funktion der IT-Sicherheit bzgl. grundrechtlicher Gewährleistungsgehalte § 4 A. I., II. 5 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 6; Ammann, „Michael, darf ich fahren?“, in: Taeger, Smart World – Smart Law?, S. 299, 305. 6 Vgl. Eckhardt, ZD 2014, S. 599, 600. 7 Vgl. § 4, 5 BImSchG, § 6 Abs. 1 S. 1 i. V. m. § 3 Nr. 7 GenTG.
§ 6 Personelle Begrenzungen der Pflichten219
währleistung der IT-Sicherheit enthalten.8 So richtet sich § 109 Abs. 2 TKG an denjenigen, der ein öffentliches Telekommunikationsnetz betreibt. Der Betreiber i. S. v. § 109 Abs. 2 TKG wird über die rechtliche oder tatsächliche Funktionsherrschaft über das Telekommunikationsnetz bestimmt.9 Im EnWG findet der Betreiberbegriff jeweils in Verbindung mit einer konkreten Infrastruktur Verwendung und wird gemeinsam definiert.10 Diesen Legaldefinitionen ist gemein, dass Betreiber als natürliche oder juristische Personen bzw. als rechtlich unselbständige Organisationseinheiten angesehen werden, die die jeweilige Aufgabe wahrnehmen und für deren Erbringen verantwortlich sind.11 Wie im TKG, so ist es auch im EnWG unerheblich, wer Eigentümer der Infrastruktur ist, soweit effektive Einwirkungsmöglichkeiten bestehen.12 Als allgemeiner Gehalt der Betreiberbegriffe beider Regelungszusammenhänge kann herausgearbeitet werden, dass dies derjenige ist, der die rechtliche und tatsächliche Funktionsherrschaft innehat.13 Durch das Kriterium der rechtlichen und tatsächlichen Funktionsherrschaft kann gewährleistet werden, dass derjenige die Pflichten erfüllen muss, der einen wirksamen Zugriff auf die Infrastruktur hat. Dabei darf der Bezug des Einflusses unter teleologischen Aspekten nicht von der Infrastruktur auf die IT verlagert werden. Dies würde verkennen, dass die Betreiber Kritischer Infrastrukturen nicht wegen ihres Einflusses auf die eingesetzte IT, sondern aufgrund der Folgen des Ausfalles der von ihnen erbrachten Infrastrukturdienstleistungen für das Gemeinwesen adressiert werden.14 Daher treffen die Pflichten selbst bei einem Outsourcing der IT nicht den IT-Dienstleister, sondern weiterhin den Betreiber der Kritischen Infrastruktur.15 Dieser muss 8 Siehe zum TKG und EnWG als spezielle Regulierungsregime für Bereiche der Sektoren Informationstechnik und Telekommunikation bzw. Energie § 6 A. IV.; siehe zu den speziellen Pflichten zur IT-Sicherheit § 7 B. 9 Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 37; Schütz, in: Büchner / Ehmer / Kerkhoff u. a., Beck’scher TKG-Kommentar, § 3 TKG, Rdnr. 5; Klesczewski, in: Säcker, Berliner Kommentar zum Telekommunikationsgesetz, § 109 TKG, Rdnr. 14. 10 Vgl. § 3 Nr. 2–10 EnWG. 11 Vgl. Theobald, in: Danner / Theobald, Energierecht, § 3 EnWG, Rdnr. 13, 32, 37, 40, 43; vgl. zu weiteren ähnlichen Betreiberbegriffen § 3 Nr. 7 GenTG sowie zu § 4 Abs. 1 S. 1, § 5 BImSchG Schmidt-Kötters, in: Giesberts / Reinhardt, BeckOK Umweltrecht, § 4 BImSchG, Rdnr. 115 f. 12 Vgl. Theobald, in: Danner / Theobald, Energierecht, § 3 EnWG, Rdnr. 23, 30; vgl. Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 37. 13 Vgl. zum ähnlichen Betreiberbegriff des BImSchG Schmidt-Kötters, in: Giesberts / Reinhardt, BeckOK Umweltrecht, § 4 BImSchG, Rdnr. 115. 14 Vgl. zur altruistisch begründeten Pflichtigkeit der Betreiber § 5 B. II., C. 15 BT-Drs. 18 / 4096, S. 26; Roth, ZD 2015, S. 17, 20; vgl. für speziell regulierte Betreiber im Energiesektor Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Ab-
220
Teil 3: Die normative Gewährleistung der IT-Sicherheit
gegebenenfalls durch vertragliche Vereinbarungen sicherstellen, dass eine ausreichende Sicherung der IT vorgenommen wird. Sofern rechtliche und tatsächliche Herrschaft auseinanderfallen, kann im Rahmen einer Gesamtbetrachtung der tatsächlichen Funktionsherrschaft Vorrang einzuräumen sein, um eine effektive Risikosteuerung zu gewährleisten.16 Aus dem gleichen Grund ist es für die Bestimmung des Betreibers ohne Bedeutung, ob dieser in öffentlich-rechtlicher, und damit dem Staat zurechenbarer Form, oder in privatrechtlicher Organisationsform verfasst ist. Gleiches gilt für den Fall, dass der Staat in privatrechtlicher Form eine Kritische Infrastruktur betreibt. Denn die Pflichten zur Sicherung der IT adressieren die Betreiber Kritischer Infrastrukturen unabhängig davon, ob diese von Privaten oder vom Staat betrieben werden.17 Ausgehend von diesen beiden Betreiberbegriffen im TKG und im EnWG und dem Gesetzesziel, die Versorgungssicherheit mit kritischen Dienstleistungen durch eine effektive Risikosteuerung zu gewährleisten, kann der Betreiberbegriff des BSIG ermittelt werden. Es soll derjenige verpflichtet werden, der eine wirksame Einwirkungsmöglichkeit auf die Kritische Infrastruktur hat, um entsprechende Maßnahmen an ihr vorzunehmen. Hierfür ist das Kriterium der Funktionsherrschaft geeignet. Derjenige, der rechtlich und tatsächlich die Herrschaft über das Funktionieren der Infrastruktur hat, kann Sicherungsmaßnahmen an der für das Funktionieren der Infrastruktur notwendigen IT ergreifen. Die rechtliche Funktionsherrschaft kann wiederum nur ein Rechtssubjekt, also eine natürliche oder juristische Person, innehaben. Eine Konkretisierung auf rechtlich unselbständige Unterorganisationen ist einer effektiven Sicherung wegen der Notwendigkeit der Zuordnung der rechtlichen Verantwortlichkeit, die bei dessen Rechtsträger verbleibt, hinderlich. Ebenso wird dem Rechtssubjekt der Einfluss einer natürlichen Person satz 1a Energiewirtschaftsgesetz, S. 5 ff.; Thomale, Versorgungswirtschaft 2015, S. 301, 303. 16 Vgl. dazu die Auslegung im BImSchG Schmidt-Kötters, in: Giesberts / Reinhardt, BeckOK Umweltrecht, § 4 BImSchG, Rdnr. 115; infolgedessen ist es auch zulässig, dass der Betreiber im Finanz- und Versicherungswesen für die BSI-KritisV nach § 7 Abs. 8 BSI-KritisV allein anhand der tatsächlichen Sachherrschaft bestimmt wird und die rechtlichen und wirtschaftlichen Umstände insoweit unberücksichtigt bleiben. Vgl. Gehrmann / Klett, K&R 2017, S. 372, 374 f. 17 Darauf deutet insbesondere der Ausschluss der Anwendbarkeit von Art. 3 Abs. 4 des Anhangs der Empfehlung 2003 / 361 / EC hin. Denn über Art. 3 Abs. 4 des Anhangs würden Unternehmen, auf die ein erheblicher staatlicher Einfluss besteht, von den Kleinstunternehmen ausgeschlossen. Im Umkehrschluss folgt aus dem Ausschluss der Anwendbarkeit von Art. 3 Abs. 4 des Anhangs, dass § 8d Abs. 1 BSIG auf Kleinstunternehmen anwendbar ist. Hieraus folgt wiederum, dass Unternehmen mit erheblichem staatlichem Einfluss ebenfalls Betreiber Kritischer Infrastrukturen sein können; a. A. Roth, ZD 2015, S. 17, 19.
§ 6 Personelle Begrenzungen der Pflichten221
zugerechnet, sofern diese lediglich ausführendes Organ, § 31 BGB, oder Erfüllungsgehilfe, § 278 BGB, ist. Betreiber i. S. d. BSIG sind damit natürliche oder juristische Personen, die eine rechtliche oder tatsächliche Funktionsherrschaft über eine als Kritische Infrastruktur qualifizierte Einrichtung ausüben.18 Augenfällig ist, dass die hier entwickelte Definition mit derjenigen des § 1 Nr. 2 BSI-KritisV im Kern übereinstimmt. In beiden Fällen sind Adressaten natürliche oder juristische Personen. Diese müssen nach der BSI-KritisV rechtlichen, wirtschaftlichen und tatsächlichen Umständen nach bestimmenden Einfluss ausüben. Dieser Einfluss entspricht der rechtlichen und tatsächlichen Funktionsherrschaft. Das Fehlen der wirtschaftlichen Komponente ist unschädlich, da der wirtschaftliche Einfluss, soweit er nicht rechtlicher Natur ist, als tatsächlicher einzuordnen ist. Da sich der Einfluss auch nach der BSI-KritisV auf die Beschaffenheit und den Betrieb einer Anlage oder Teilen davon beziehen muss, kann die Definition in § 1 Nr. 2 BSI-KritisV im Ergebnis als Begriffsbestimmung herangezogen werden. Sie zieht ihre Legitimation jedoch nicht aus ihrer Eigenschaft als materielle Rechtsnorm, sondern als Auslegungsergebnis des einfachrechtlichen Betreiberbegriffs des BSIG. Zugleich kann festgestellt werden, dass die Betreiberbegriffe des BSIG sowie des TKG und des EnWG im Kern jeweils auf die Einflussmöglichkeiten auf die Kritische Infrastruktur in Form der Funktionsherrschaft abstellen. Den leges generales im BSIG sowie den leges speciales im TKG und EnWG liegt in seinem allgemeinen Gehalt ein einheitlicher Betreiberbegriff zugrunde. II. Bestimmung der Kritischen Infrastrukturen durch Rechtsverordnung Die Kritischen Infrastrukturen werden in § 2 Abs. 10 BSIG lediglich abstrakt definiert, indem zum einen eine Beschränkung auf gewisse Sektoren vorgenommen und zum anderen auf die hohe Bedeutung für das Gemeinwesen abgestellt wird. Die hohe Bedeutung soll anhand der Ausfallfolgen nach den Kriterien der Qualität und Quantität ermittelt werden. Wann nach diesen unbestimmten Begriffen im Einzelfall eine Kritische Infrastruktur vorliegt, wird im BSIG nicht konkretisiert.19 Nach § 10 Abs. 1 S. 1 BSIG sollen Qualität und Quantität in einer gesonderten Rechtsverordnung bestimmt werden. 18 So auch der Betreiberbegriff im Sinne des BImSchG Schmidt-Kötters, in: Gies berts / Reinhardt, BeckOK Umweltrecht, § 4 BImSchG, S. 115. 19 Vgl. hierzu § 2 B. II. 2. c).
222
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Im Rahmen der Qualität werden zunächst kritische Dienstleistungen benannt und im Rahmen der Quantität wird der als bedeutend anzusehende Versorgungsgrad durch branchenspezifische Schwellenwerte festgelegt.20 Damit überlässt der Gesetzgeber dem Verordnungsgeber bei der Festlegung des personellen Anwendungsbereiches der allgemeinen Pflichten zur Gewährleistung der IT-Sicherheit nach dem BSIG einen weitgehenden Einschätzungsspielraum. Diese Delegation hat erhebliche Kritik hervorgerufen. Sie bezog sich nicht allein auf die rechtspolitische Sinnhaftigkeit, sondern stellte die verfassungsrechtliche Zulässigkeit der Bestimmung der Kritischen Infrastrukturen und damit des personellen Anwendungsbereichs durch eine Rechtsverordnung in Frage.21 Kern der verfassungsrechtlichen Bedenken, war die Frage, ob § 10 Abs. 1 i. V. m. § 2 Abs. 10 S. 2 BSIG den Adressatenkreis mit hinreichender Bestimmtheit festlegt.22 Um dies untersuchen zu können, muss geklärt werden, welcher Art die Festlegung der Kritischen Infrastrukturen in der BSI-KritisV ist. Davon, ob eine konstitutive oder eine konkretisierende Festlegung erfolgt, hängt ab, welche rechtsstaatlichen Anforderungen an die Rechtsgrundlage zu stellen sind.23 1. Konkretisierende oder konstitutive Bestimmung Kritischer Infrastrukturen Ist die BSI-KritisV nur konkretisierend, so ergeben sich die Kritischen Infrastrukturen bereits aus § 2 Abs. 10 BSIG und die BSI-KritisV benennt diese deklaratorisch. Die Rechtsverordnung dient dann nur der Erhöhung der Rechtsklarheit und Rechtssicherheit. Rechtsstaatliche Mindestanforderungen wären auch ohne sie gewahrt. 20 Zweifelnd, ob eine sinnvolle Festlegung gelingt Bräutigam / Wilmer, ZRP 2015, S. 38, 40. 21 Heckmann, MMR 2015, S. 289, 290; Heinickel / Feiler, CR 2014, S. 709, 714; mit allgemeiner Kritik am Bestimmtheitsgrad, jedoch ohne den Schluss der Verfassungswidrigkeit zu ziehen: Leisterer / Schneider, CR 2014, S. 574, 577; Roos, MMR 2015, S. 636, 637; Bartels, ITRB 2015, S. 92, 93; Freund, ITRB 2014, S. 256, 258; DIHK, InnenA-Drs. 18(4)299, S. 3. 22 Hornung, BT / InnenA-Drs. 18(4)284 G, S. 5; Roßnagel, BT / InnenA-Drs. 18(4)284 B; Heinickel / Feiler, CR 2014, S. 709, 713 f.; Leisterer / Schneider, CR 2014, S. 574, 577; Roos, MMR 2015, S. 636, 637; Heckmann, MMR 2015, S. 289, 290. 23 Bei einer lediglich konkretisierenden Rechtsverordnung ist die grundrechtliche Eingriffstiefe geringer, als bei einer konstitutiven. Daher sind umso höhere Anforderungen an die Bestimmtheit zu stellen, je größer die Eingriffsintensität ist. Sannwald, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 80 GG, Rdnr. 73 f.; allgemein zur Normkonkretisierung durch Rechtsverordnung Ossenbühl, § 103, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band V, Rdnr. 42 ff.
§ 6 Personelle Begrenzungen der Pflichten223
Betrachtet man die Festlegungen der BSI-KritisV hingegen als konstitutiv, so ergeben sich die Kritischen Infrastrukturen allein aus der BSI-KritisV und nicht aus § 2 Abs. 10 S. 1 BSIG.24 Ob die Bestimmung der Kritischen Infrastrukturen konkretisierender oder konstitutiver Natur ist, lässt sich weder dem Wortlaut des BSIG noch dem der BSI-KritisV entnehmen. Daher kann lediglich durch Auslegung der Rechtsgrundlage des § 10 Abs. 1 i. V. m. § 2 Abs. 10 S. 2 BSIG ermittelt werden, welcher Art die Festlegung der Kritischen Infrastrukturen durch die BSI-KritisV ist. Für eine konkretisierende Festlegung könnte zunächst der Wortlaut von § 2 Abs. 10 S. 2 BSIG sprechen. Demnach sollen die Kritischen Infrastrukturen durch die BSI-KritisV „näher bestimmt“ werden. Auch spricht die Gesetzesbegründung von einer „weiteren Konkretisierung“ einer bereits vorgenommenen Bestimmung.25 Dies setzt sprachlich voraus, dass bereits eine Bestimmung der Kritischen Infrastrukturen erfolgt ist. Dagegen kann aber ebenso gut eingewendet werden, dass erst mit der Bestimmung durch die BSI-KritisV eine konstitutive Wirkung einhergeht. a) Parlamentsvorbehalt Als stichhaltigeres Argument lässt sich möglicherweise der Parlamentsvorbehalt anführen. Verdeutlicht man sich, dass dieser im Rechtsstaats- und Demokratieprinzip wurzelt, so ergibt sich, dass alle wesentlichen Entscheidungen durch Parlamentsgesetze getroffen werden müssen.26 Dies beinhaltet, dass das Wesentliche inhaltlich durch den parlamentarischen Gesetzgeber geregelt werden muss.27 Der Gesetzgeber darf Wesentliches nicht delegieren.28 Glei24 Vgl. die parallele Problematik bei § 4 BImSchG Schmidt-Kötters, in: Giesberts / Reinhardt, BeckOK Umweltrecht, § 4 BImSchG, Rdnr. 4; Jarass, § 4 BImSchG, Rdnr. 4. 25 BT-Drs. 18 / 4096, S. 23. 26 BVerfGE 49, 89, 126 f. m. w. N.; 61, 260, 275; 40, 237, 249; 101, 1, 34; 83, 130, 142 Grzeszick, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 20 GG VI, Rdnr. 101; Reimer, § 9, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band I, Rdnr. 27. 27 BVerfGE 83, 130, 152; 57, 295, 327; Staupe, Parlamentsvorbehalt und Dele gationsbefugnis, S. 135 f.; kritisch zum Merkmal der Wesentlichkeit und der „We sentlichkeitstheorie“ Reimer, § 9, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band I, Rdnr. 57 f. 28 Grzeszick, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 20 GG VI, Rdnr. 106; Dittmann, Die Rechtsverordnung als Handlungsinstrument der Verwaltung, in: Biernat / Hendler / Schoch u. a., Grundfragen des Verwaltungsrechts und der Privatisierung, S. 107, 112; Staupe, Parlamentsvorbehalt und Delegationsbefugnis, S. 133 f.
224
Teil 3: Die normative Gewährleistung der IT-Sicherheit
ches folgt aus dem grundrechtlichen Gesetzesvorbehalt29 der von den Pflichten zur Gewährleistung der IT-Sicherheit betroffenen Grundrechte der Betreiber.30 Aus dem Delegationsverbot folgt jedoch nicht, dass eine Festlegung durch Rechtsverordnung gänzlich ausgeschlossen ist. Eine Ausgestaltung im Detail könnte weiterhin dem Verordnungsgeber überlassen werden. Das Argument für eine deklaratorische BSI-KritisV aus dem Parlamentsvorbehalt hängt damit davon ab, ob die Festlegung des personellen An wendungsbereiches der Pflichten zur Gewährleistung der IT-Sicherheit als Wesentliches zu qualifizieren ist. Stellt die Bestimmung der Kritischen Infrastrukturen Wesentliches dar, so müsste diese in § 2 Abs. 10 S. 1 BSIG konstitutiv erfolgt sein. Ordnet man die Abgrenzung des personellen Anwendungsbereichs als Unwesentliches ein, so könnte der Gesetzgeber dies in vollem Umfang auf die Exekutive delegieren.31 Dabei ist zu berücksichtigen, inwieweit und mit welcher Intensität Grundrechte tangiert werden,32 wie groß der Adressatenkreis ist, ob Festlegungen langfristig getroffen werden oder das Bedürfnis besteht den Adressatenkreis flexibel und kurzfristig ändern zu können.33 Unter Umständen muss berücksichtigt werden, welches politische Gewicht der Entscheidung einzuräumen ist34 und ob den Normadressaten Beteiligungsrechte eingeräumt wurden.35 Die Wesentlichkeit kann daher nur im Wege einer Einzelfallbetrachtung ermittelt werden. Zunächst scheint der Regelungsinhalt des personellen Anwendungsbereiches für eine wesentliche Regelung zu sprechen.36 Dabei 29 Vgl. allgemein Hillgruber, § 201, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 27, 31. 30 Siehe zu den Grundrechtseingriffen durch die Pflichten zur IT-Sicherheit § 9 B. 31 So bzgl. § 4 BImSchG Dietlein, in: Landmann / Rohmer, Umweltrecht, § 4 BImSchG, Rdnr. 10; vgl. Hillgruber, § 201, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band IX, Rdnr. 31; allgemein zur Abgrenzung des Parlamentsvorbehalts von Art. 80 Abs. 1 S. 2 GG Staupe, Parlamentsvorbehalt und Delegationsbefugnis, S. 144. 32 BVerfGE 29, 89, 127; 101, 1, 34; 83, 130, 142; vgl. zur vergleichbaren Sachlage bei § 1 Abs. 2 des Gesetzes zur Errichtung einer standardisierten zentralen Antiterrordatei von Polizeibehörden und Nachrichtendiensten von Bund und Ländern vom. 22. Dezember 2006 BVerfGE 133, 277, 336 f. = NJW 2013, S. 1499, 1507; Staupe, Parlamentsvorbehalt und Delegationsbefugnis, S. 113 ff., 120 ff. 33 Vgl. zum Gewinn von Flexibilität durch Rechtsverordnungen Saurer, Die Funktionen der Rechtsverordnung, S. 83 ff. 34 Staupe, Parlamentsvorbehalt und Delegationsbefugnis, S. 126 ff. zweifelt das Kriterium des politischen Gewichts an. 35 Zu sämtlichen Kriterien siehe Grzeszick, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 20 GG VI, Rdnr. 107. 36 Heckmann, MMR 2015, S. 289, 290; Hornung, BT / InnenA-Drs. 18(4)284 G, S. 6; in diese Richtung wohl auch die Andeutung von Roos, MMR 2014, S. 723, 725.
§ 6 Personelle Begrenzungen der Pflichten225
muss beachtet werden, dass in der BSI-KritisV der personelle Anwendungsbereich nicht völlig frei festgelegt wird. Wann Kritische Infrastrukturen vorliegen, ist in § 2 Abs. 10 S. 1 BSIG zunächst durch Festlegung von sieben Sektoren mit potentiell Kritischen Infrastrukturen (Nr. 1) und dem Kriterium der hohen Bedeutung für das Gemeinwesen bezogen auf die Ausfallfolgen (Nr. 2) in Grundzügen vorgegeben. In der BSI-KritisV sollen lediglich die als kritisch einzuordnenden Dienstleistungen und konkrete Schwellenwerte benannt werden, § 10 Abs. 1 S. 1 a. E. BSIG. Über diese Festlegungen werden verschiedene Grundrechte mit wirtschaftlichem und persönlichkeitsrechtlichem Bezug der Betreiber tangiert. Den Grundrechtseingriffen in Art. 12 GG und Art. 14 GG kommt aufgrund des erheblichen wirtschaftlichen Aufwandes eine hohe Eingriffsintensität zu.37 Die Grundentscheidung, dass die Pflichten nur gewisse Infrastrukturbetreiber adressieren, trifft der Gesetzgeber in § 2 Abs. 10 S. 1 BSIG indessen selbst. Durch die Einschränkung auf gewisse Infrastruktursektoren und die hohe Bedeutung der Ausfallfolgen, die über die Kriterien der Qualität und Quantität zu ermitteln sind,38 ist der Verordnungsgeber in seinem Einschätzungsspielraum bei der Festlegung der Schwellenwerte begrenzt.39 Außerdem findet sich in den Gesetzesmaterialien eine Schätzung zur maximalen Zahl von 2.000 Betreibern Kritischer Infrastrukturen.40 Dies muss bei der Auslegung der Kriterien Quantität und Qualität zugrunde gelegt werden, sodass die Schwellenwerte so zu wählen sind, dass eine Gesamtzahl von zirka 2.000 Betreibern erreicht wird. Darüber hinaus sollen die Betreiber von möglicherweise Kritischen Infrastrukturen und Vertreter der Wissenschaft angehört und die Verwaltung, vertreten durch acht Bundesministerien, mit einbezogen werden, § 10 Abs. 1 S. 1 BISG. Hierdurch findet externer Sachverstand ausreichend Berücksichtigung. Auch ein vermeintliches Bedürfnis, die Kritischen Infrastrukturen an den technischen und gesellschaftlichen Wandel anpassen zu können, soll für die Notwendigkeit einer näheren Bestimmung durch eine Rechtsverordnung sprechen.41 Dieses Argument greift indes nicht. Durch die vielfältigen Beteiligungspflichten von Wissenschaft, Betreibern und Bundesministerien ist das 37 Vgl. § 9 B. I. jeweils bei den Grundrechtseingriffen; vgl. zum Erfüllungsaufwand für die verpflichteten Betreiber BT-Drs. 18 / 4096, S. 3 ff. 38 BT-Drs. 18 / 4096, S. 23, 30 f. 39 Vgl. zur Problematik Schmidt-Kötters, in: Giesberts / Reinhardt, BeckOK Umweltrecht, § 4 BImSchG, Rdnr. 20; Jarass, § 4 BImSchG, Rdnr. 4. 40 BT-Drs. 18 / 4096, S. 4, dabei muss jedoch berücksichtigt werden, dass bei dieser Zahl die speziell regulierten Betreiber Kritischer Infrastrukturen, Art. 2 ff. IT-Sicherheitsgesetz, mit einbezogen wurden. 41 BT-Drs. 18 / 4096, S. 23.
226
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Verfahren zum Erlass bzw. zur Änderung der BSI-KritisV äußerst komplex ausgestaltet. Dies ist der Flexibilität abträglich. Außerdem besteht kein Bedürfnis nach einer flexiblen Anpassung des Adressatenkreises. Denn Infrastrukturen, insbesondere wenn sie die quantitative Schwelle zur Kritikalität überschreiten, sind langfristig gewachsen und unterliegen keinen grundlegenden kurzfristigen Umwälzungen.42 Obwohl der Beurteilungsspielraum der Verwaltung bei der Festlegung der Schwellenwerte zu erheblichen Grundrechtseingriffen führen kann, ist die wesentliche Entscheidung durch den Gesetzgeber selbst in § 2 Abs. 10 S. 1 BSIG vorgegeben. Der Vorbehalt des Gesetzes erfordert keine parlamentsgesetzliche konstitutive Festlegung der Kritischen Infrastrukturen. Eine konkretisierende Festlegung ist dadurch aber genauso wenig zwingend, wie eine konstitutive Festlegung ausgeschlossen wird. b) Bestimmtheitsgebot Für eine konstitutive Festlegung könnte indes das Bestimmtheitsgebot sprechen. Das Bestimmtheitsgebot ist Ausprägung des Rechtsstaatsprinzips, Art. 20 Abs. 3 GG. Es weist zum Parlamentsvorbehalt insoweit Parallelen auf, als es inhaltlich Anforderungen an gesetzliche Vorgaben stellt. Dennoch sind beide Institute dadurch abzugrenzen, dass es sich nicht allein auf Parlamentsgesetze, sondern auf alle Rechtsakte bezieht.43 Die Anforderungen der hinreichenden Bestimmtheit an den Norminhalt gehen über den Parlamentsvorbehalt hinaus. Der Betroffene muss bei Betrachtung der Norm die Rechtslage erkennen, Rechtsfolgen vorhersehen und einschätzen und daher sein Verhalten an ihr ausrichten können.44 Im Zusammenhang mit der Festlegung der Betreiber Kritischer Infrastrukturen spricht das Gebot hinreichender Be42 Infrastrukturen ändern sich nicht kurzfristig, sondern gewinnen oder verlieren langfristig über einen jahrelangen Entwicklungsprozess an Bedeutung für das Gemeinwesen. Der hohe Kapitaleinsatz für den Aufbau von Infrastrukturen erschwert disruptive Veränderungen; vgl. zu den Merkmalen einer Infrastruktur § 2 B. I. 1. b). Selbst wenn man einbezieht, dass die Kritikalität über die erbrachten Dienstleistungen bestimmt wird und sich deren Bedeutung wesentlich schneller als die Infrastruktur selbst wandeln kann, ergibt sich nichts anderes. Beispiele sind der Bedeutungsverlust des Fax durch die E-Mail oder der SMS durch Messenger-Dienste. Denn diese Veränderungen haben nicht dazu geführt, dass die als kritisch eingestuften Dienstleistungen ihre Bedeutung verloren hätten. Es ist lediglich zu einer Bedeutungsverschiebung innerhalb der kritischen Dienstleistungen gekommen. 43 Huster / Rux, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 20 GG, Rdnr. 182. 44 BVerfG 31, 255, 264; 37, 132, 142; 45, 400, 420; 52, 1, 41; 56, 1, 12; 62, 169, 183; 78, 205, 212; 83, 130, 145; 84, 133, 149; 87, 234, 263; 108, 52, 75; 108, 186, 234 f. = NVwZ 2003, S. 1241, 1247; BVerfGE 110, 33, 53 f.; vgl. BVerfGE 111, 54, 82
§ 6 Personelle Begrenzungen der Pflichten227
stimmtheit für eine konstitutive Wirkung der BSI-KritisV, wenn § 2 Abs. 10 S. 1 BSIG selbst dessen Anforderungen nicht genügt. In diesem Fall würden sich die Kritischen Infrastrukturen nicht aus § 2 Abs. 10 S. 1 BSIG, sondern ausschließlich und abschließend aus der BSI-KritisV ergeben. Wiederum hängt das Argument von § 2 Abs. 10 S. 1 BSIG ab. Es ist daher zu untersuchen, ob die Kritischen Infrastrukturen bereits einfachgesetzlich mit hinreichender Bestimmtheit festgelegt wurden. Das jeweils gebotene Maß an Bestimmtheit ist nicht allgemeingültig, sondern im Einzelfall zu ermitteln. Wichtigstes Maßstabskriterium ist die Grundrechtsintensität einer Norm.45 Die einfachgesetzliche Festlegung der Kritischen Infrastrukturen erfolgt über zwei Ebenen. Zunächst werden die Sektoren Kritischer Infrastrukturen abschließend aufgezählt.46 Durch die Benennung der Sektoren und der Konkretisierung der umfassten Branchen in der Gesetzesbegründung können die Normadressaten auf dieser Ebene erkennen, ob Sie Teil eines der aufgezählten Sektoren sind. Jedoch ist die Gesetzesbegründung zu einer hinreichend bestimmten Konkretisierung der Sektoren nicht tauglich, da die Vorabeinschätzung der Dienstleistungen kritischer Natur während des Gesetzgebungsverfahrens nur vorläufig und nicht zwingend sein sollte.47 Allein die Benennung von Sektoren genügt nicht. Zweifel ergeben sich auch hinsichtlich der hinreichenden Bestimmtheit der zweiten Ebene der Festlegung, § 2 Abs. 10 S. 1 Nr. 2 BSIG. Maßgeblich für die Einordnung als Kritische Infrastruktur sind die Ausfallfolgen. Diesen muss eine hohe Bedeutung für das Funktionieren des Gemeinwesens zugemessen werden. Die hohe Bedeutung wird über die Kriterien der erheblichen Versorgungsengpässe und der Gefährdungen für die öffentliche Sicherheit konkretisiert.48 Im Grundsatz sind unbestimmte Rechtsbegriffe im Spannungsfeld zwischen Gesetzesbestimmtheit und Gesetzesflexibilität zulässig. Zwischen diesen beiden Polen muss ein Ausgleich gefunden werden. Keinem kommt ein Vorrang zu.49 Der unbestimmte Rechtsbegriff der hohen Bedeutung der Ausfallfolgen wird ohne Mehrwert durch weitere unbestimmte = NJW 2005, S. 126, 130; Grzeszick, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 20 GG VII, Rdnr. 58. 45 Vgl. Reimer, § 9, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band I, Rdnr. 63 f.; vgl. zu Grundrechtseingriffen durch die Pflichten zur IT-Sicherheit § 9 B. 46 § 2 Abs. 10 Nr. 1 BSIG; siehe auch § 2 B. II. 2. a). 47 Siehe die Wortwahl „könnten jedenfalls sein“ BT-Drs. 18 / 4096, S. 31. 48 § 2 Abs. 10 Nr. 2 BSIG; siehe auch § 2 B. II. 2. b). 49 Vgl. Reimer, § 9, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band I, Rdnr. 65 f.
228
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Rechtsbegriffe erläutert. Zum einen wird auf die erheblichen Versorgungsengpässe, wobei die Erheblichkeit als Synonym für die hohe Bedeutung gesehen werden kann, zum anderen auf eine Gefahr für die öffentliche Sicherheit abgestellt. Lediglich die Gefahr für die öffentliche Sicherheit kann aufgrund der Konkretisierung durch Rechtsprechung und wissenschaftlicher Literatur als hinreichend bestimmt angesehen werden.50 Doch muss diese Gefahr erheblich sein.51 Wann die Erheblichkeitsschwelle überschritten sein soll, ist für den potentiellen Normadressaten auch unter Zuhilfenahme der Kriterien Qualität und Quantität aus der Gesetzesbegründung nicht ersichtlich.52 Mit ihnen werden lediglich zwei weitere unbestimmte Rechtsbegriffe eingeführt, aus denen ein möglicher Normadressat keine konkrete Erheblichkeitsschwelle erkennen kann. Damit legt § 2 Abs. 10 S. 1 Nr. 2 BSIG nicht mit hinreichender Bestimmtheit fest, wann eine Infrastruktur der Sektoren i. S. v. § 2 Abs. 10 S. 1 Nr. 1 BSIG als Kritische einzuordnen ist.53 § 2 Abs. 10 S. 1 BSIG würde als Norm zur abschließenden Festlegung Kritischer Infrastrukturen rechtsstaatlichen Bestimmtheitsanforderungen nicht genügen. Daher kann sie die Kritischen Infrastrukturen nicht selbst mit Wirkung für die Normadressaten festlegen. c) Konstitutive Festlegung durch die BSI-KritisV Aufgrund des umfangreichen Gebrauchs unbestimmter Rechtsbegriffe ergibt sich aus dem rechtsstaatlichen Gebot der hinreichenden Bestimmtheit, dass den Festlegungen in der BSI-KritisV konstitutive Wirkung zukommen muss.54 Ist der personelle Anwendungsbereich nicht unmittelbar dem Parlamentsgesetz zu entnehmen, jedoch der BSI-KritisV, so kann letzterer keine lediglich konkretisierende Wirkung zukommen. Stattdessen wird der Adres50 Sannwald, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 80 GG, Rdnr. 66; vgl. zur Konkretisierung des Gefahrbegriffs BVerfGE 120, 274, 328 f.; vgl. BVerfGE 110, 33, 56 f., 61; 113, 348, 377 f.; zu den Grenzen des Gefahrbegriffs BVerfG, Urteil des Ersten Senats vom 20. April 2016 – 1 BvR 966 / 09 – Rdnr. 112 = BVerfGE 141, 220, 272; Scherzberg, VerwArch 84 (1993), S. 484, 490; vgl. Möstl, in: Möstl / Trurnit, Beck’scher Online-Kommentar Polizeirecht Baden-Württemberg, Systematische und begriffliche Vorbemerkungen zum Polizeirecht in Deutschland, Rdnr. 35; zur konkreten Gefahr Holzner, in: Möstl / Schwabenbauer, Beck’scher Online-Kommentar Polizeiund Sicherheitsrecht Bayern, Art. 11 PAG, Rdnr. 20; Schmidbauer, in: Schmidbauer / Steiner, Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, Art. 11, Rdnr. 11. 51 Vgl. zum Bezug der Erheblichkeit auf die öffentliche Sicherheit § 2 B. II. 2. 52 Vgl. Roos, MMR 2015, S. 636, 637. 53 So wohl bezüglich der Bestimmtheit von § 2 Abs. 10 S. 1 BSIG Heckmann, MMR 2015, S. 289, 290; Hornung, BT / InnenA-Drs. 18(4)284 G, S. 5 f. 54 Vgl. Hornung, NJW 2015, S. 3334, 3335.
§ 6 Personelle Begrenzungen der Pflichten229
satenkreis durch diese konstitutiv ausschließlich und abschließend für die Kritischen Infrastrukturen bestimmt. Für eine konstitutive Festlegung der Kritischen Infrastrukturen durch Dienstleistungen und Schwellenwerte in einer Rechtsverordnung ist mangels Wesentlichkeit kein Parlamentsgesetz erforderlich. Es müssen jedoch die durch Art. 80 Abs. 1 S. 2 GG an die Rechtsgrundlage der Rechtsverordnung gestellten Bestimmtheitsanforderungen erfüllt werden. Selbst das scheinbare Wortlautargument der näheren Bestimmung durch Rechtsverordnung aufgrund § 2 Abs. 10 S. 2 BSIG lässt eine konstitutive Festlegung zu, wenn man die fehlende hinreichende Bestimmtheit dieser Norm in die Auslegung einbezieht. Der Passus ist stattdessen so zu verstehen, dass die zu unbestimmten Festlegungen im BSIG durch die BSI-KritisV konkretisiert werden sollen, um eine hinreichende Bestimmtheit zu erhalten, wie sie das Rechtsstaatsprinzip fordert. Die konstitutive Wirkung der BSIKritisV kommt an anderer Stelle im BSIG noch deutlicher zum Ausdruck. Die Fristen für die materiellen Pflichten der §§ 8a f. BSIG beginnen erst mit dem Inkrafttreten der BSI-KritisV zu laufen.55 Nur eine ausschließliche und abschließende Festlegung der Kritischen Infrastrukturen durch die BSI-KritisV entspricht rechtsstaatlichen Grundsätzen der Rechtssicherheit. Ohne eine abschließende Festlegung der Kritikalität einer Infrastruktur über Schwellenwerte können mögliche Adressaten die Rechtslage nicht mit der gebotenen Rechtssicherheit erkennen. Die BSI-KritisV wirkt bezüglich der Festlegung der Kritischen Infrastrukturen konstitutiv.56 2. Ausreichende Ermächtigungsgrundlage für eine Rechtsverordnung Die Kritik an der Bestimmung der Kritischen Infrastrukturen durch eine Rechtsverordnung stützt sich auf das Argument, dass verfassungsrechtliche Vorgaben für eine hinreichende Bestimmtheit nicht eingehalten würden.57 Um zu überprüfen, ob dieser Einwand auf eine konstitutiv wirkende BSIKritisV zutrifft, muss deren Ermächtigungsgrundlage, § 10 Abs. 1 i. V. m. § 2 Abs. 10 S. 2 BSIG, an diesem Maßstab gemessen werden. 55 Vgl. § 8a Abs. 1 S. 1 BSIG für die Sicherungspflicht; vgl. § 8b Abs. 3 BSIG für die Kontaktstelle. 56 Roos, MMR 2015, S. 636, 637. 57 Zur Kritik siehe Heckmann, MMR 2015, S. 289, 290; Heinickel / Feiler, CR 2014, S. 709, 714; mit allgemeiner Kritik am Bestimmtheitsgrad, jedoch ohne den Schluss der Verfassungswidrigkeit zu ziehen: Leisterer / Schneider, CR 2014, S. 574, 577; Roos, MMR 2015, S. 636, 637; Bartels, ITRB 2015, S. 92, 93; Freund, ITRB 2014, S. 256, 258; DIHK, InnenA-Drs. 18(4)299, S. 3.
230
Teil 3: Die normative Gewährleistung der IT-Sicherheit
§ 2 Abs. 10 S. 1 BSIG, auf den sich § 10 Abs. 1 i. V. m. § 2 Abs. 10 S. 2 BSIG inhaltlich und systematisch bezieht, ist selbst nicht hinreichend bestimmt, um die Kritischen Infrastrukturen für Normadressaten festzulegen. Für die Funktion als Rechtsgrundlage der Rechtsverordnung beurteilt sich dies danach, ob die Anforderungen des Art. 80 Abs. 1 S. 2 GG nach Inhalt, Zweck und Ausmaß erfüllt werden. Auch in diesem Zusammenhang ist die Frage nach der Wesentlichkeit von besonderer Relevanz.58 Mit den formellen Kriterien Inhalt, Zweck und Ausmaß wird für die Normkategorie der Rechtsverordnung typisierend abgesichert, dass der Gesetzgeber das Wesentliche selbst entscheidet und nicht in unzulässiger Weise umfänglich an den Verordnungsgeber delegiert.59 Die Ermächtigungsgrundlage muss deshalb nach Inhalt, Zweck und Ausmaß eine hinreichende Regelungsdichte aufweisen, um eine ausreichende inhaltliche Rückbindung an das Parlament zu sichern.60 Insoweit verdrängt Art. 80 Abs. 1 S. 2 GG den Parlamentsvorbehalt.61 Ein Delegationsverbot folgt aus Art. 80 Abs. 1 S. 2 GG hingegen nicht, sodass es insoweit wiederum beim Parlamentsvorbehalt bleibt.62
58 Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 80 GG, Rdnr. 68 f.; Wallrabenstein, in: Münch / Kunig, Grundgesetz, Art. 80 GG, Rdnr. 38 f.; Mößle, Inhalt, Zweck und Ausmaß, S. 35 f.; Brenner, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 80 GG, Rdnr. 32 f. 59 Mit einem Verweis auf Art. 64 Abs. 3 des Bayerischen Entwurfs eines Grundgesetzes für den Verfassungskonvent „Das Recht der Gesetzgebung kann nicht übertragen werden“ Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 80 GG, Rdnr. 35; Art. 80 Abs. 1 S. 2 GG geht insoweit über den Parlamentsvorbehalt hinaus als dessen Anforderungen auch bei Unwesentlichem eingehalten werden müssen Staupe, Parlamentsvorbehalt und Delegationsbefugnis, S. 146; vgl. Ossenbühl, § 103, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band V, Rdnr. 20; Danwitz, Jura 2002, S. 93, 98; Sannwald, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 80 GG, Rdnr. 6; Mann, in: Sachs, Grundgesetz, Art. 80 GG, Rdnr. 24 bezeichnet dies als „dreifachen Delegationsfilter“. 60 BVerfG, Beschluss des Zweiten Senats vom 18. Juli 2005 – 2 BvF 2 / 01 – Rdnr. 276; Staupe, Parlamentsvorbehalt und Delegationsbefugnis, S. 144; Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 626; vgl. Sannwald, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 80 GG, Rdnr. 5; Mann, in: Sachs, Grundgesetz, Art. 80 GG, Rdnr. 4 stellt dagegen vornehmlich auf die Rechtssicherheit ab. 61 Das Verhältnis der „Wesentlichkeitstheorie“ zu Art. 80 Abs. 1 S. 2 GG ist dogmatisch nicht vollends geklärt Bauer, in: Dreier, Grundgesetz, Art. 80 GG, Rdnr. 21; Brenner, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 80 GG, Rdnr. 34 sieht Art. 80 Abs. 1 S. 2 GG als lex specialis; ebenso Mann, in: Sachs, Grundgesetz, Art. 80 GG, Rdnr. 21. 62 Demnach ist eine Delegation zulässig, vgl. § 6 A. II. 1. a); Mann, in: Sachs, Grundgesetz, Art. 80 GG, Rdnr. 4, 21.
§ 6 Personelle Begrenzungen der Pflichten231
a) Anforderungen an die Regelungsdichte Die Kriterien Inhalt, Zweck und Ausmaß wirken auf ein ausreichendes Maß an Bestimmtheit hin.63 Sofern diese nicht ausdrücklich in der Ermächtigungsgrundlage genannt sind, genügt es, die drei Kriterien zumindest im Wege der Auslegung auf ein hinreichendes Maß bestimmen zu können.64 Doch wann ist eine hinreichende Bestimmtheit im Sinne von Art. 80 Abs. 1 S. 2 GG gegeben? Diese Frage beantwortet der Wortlaut des Art. 80 Abs. 1 S. 2 GG nicht. Genauer ist daher danach zu fragen, wann eine für eine ausreichende Legitimation sorgende Bestimmung von Inhalt, Zweck und Ausmaß der Ermächtigungsgrundlage erreicht ist.65 Im Vergleich zu einer direkten Festlegung der Kritischen Infrastrukturen im BSIG, genügt ein vermeintlich geringeres Maß an Bestimmtheit. Dieses ist nach dem BVerfG dann gegeben, wenn „die Grenzen der Kompetenzen bedacht und (…) nach Tendenz und Programm so genau umrissen (…) [sind], dass schon aus der Ermächtigung erkennbar und vorhersehbar ist, was dem Bürger gegenüber zulässig sein soll“.66 Diesbezüglich muss der Gesetzgeber selbst entscheiden, ob und in welcher Weise bestimmte Fragen geregelt werden sollen. Soll eine Regelung erfolgen, sind Grenzen und Ziele vom Gesetzgeber vorzugeben.67 In Anlehnung an diese Rechtsprechung wurde versucht, das notwendige und damit hinreichende Maß an Bestimmtheit i. S. v. Art. 80 Abs. 1 S. 2 GG mit der Benennung als Programm-, Selbstentscheidungs- oder Vorhersehbarkeitsformel griffig zu machen.68 Dennoch 63 BVerfGE 55, 207, 226; Staupe, Parlamentsvorbehalt und Delegationsbefugnis, S. 147; Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 80 GG, Rdnr. 71; Reimer, § 9, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band I, Rdnr. 71. 64 BVerfG, Beschluss des Zweiten Senats vom 18. Juli 2005 – 2 BvF 2 / 01 – Rdnr. 276; BVerfGE 8, 274, 307; 101, 1, 31; Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 625; Wallrabenstein, in: Münch / Kunig, Grundgesetz, Art. 80 GG, Rdnr. 40; Martini, AöR 133 (2008), S. 156, 163. 65 Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 80 GG, Rdnr. 63; Reimer, § 9, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band I, Rdnr. 71. 66 BVerfG, Beschluss des Zweiten Senats vom 18. Juli 2005 – 2 BvF 2 / 01 – Rdnr. 276 = BVerfGE 113, 167, 269; BVerfGE 55, 207, 226; Ossenbühl, § 103, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band V, Rdnr. 22. 67 BVerfGE 5, 71, 76 f.; 23, 62, 72; 19, 354, 361 f. 68 Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 625 m. w. N.; vgl. Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 80 GG, Rdnr. 66; Uhle, § 24, in: Kluth / Krings, Gesetzgebung, Rdnr. 54; Wallrabenstein, in: Münch / Kunig, Grundgesetz, Art. 80 GG, Rdnr. 36; Brenner, in:
232
Teil 3: Die normative Gewährleistung der IT-Sicherheit
bringt allein die schlagwortartige Bezeichnung keinen Mehrwert. Stattdessen muss im Einzelfall ermittelt werden, ob Tendenz und Programm derart deutlich werden, dass dem Rechtsverordnungsgeber als Adressaten der Ermächtigung die Grenzen seiner delegierten Normsetzungskompetenzen erkennbar sind.69 Damit steht auch die Rechtsprechung des BVerfG nicht im Widerspruch. Denn diese stellt nicht auf den Bürger als Bezugspunkt der hinreichenden Bestimmtheit ab. Es muss lediglich „erkennbar und vorhersehbar (…) (sein), was dem Bürger gegenüber zulässig“ ist.70 Denn ist die hinreichende Bestimmtheit der Ermächtigungsgrundlage für den Verordnungsgeber gegeben, so kann auch der Bürger aus dieser, jedenfalls durch Auslegung, die Grundzüge der Rechtsverordnung ablesen. Lediglich die Grundleitlinien für die Ermittlung des notwendigen Bestimmtheitsmaßes im Einzelfall können so skizziert werden. Je schwerwiegender die Auswirkungen der Rechtsverordnungsermächtigung auf die Grundrechtsausübung sind, desto höhere Bestimmtheitsanforderungen sind zu stellen. Die erforderliche Regelungsdichte hängt außerdem vom Regelungsgegenstand ab.71
Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 80 GG, Rdnr. 36; zum historischen Hintergrund der Vorhersehbarkeits-, Selbstentscheidungs- und Programmformel Mößle, Inhalt, Zweck und Ausmaß, S. 33. 69 BVerfGE 133, 277, 336 = NJW 2013, S. 1499, 1507; Ossenbühl, § 103, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band V, Rdnr. 22; vgl. Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 625; Danwitz, Jura 2002, S. 93, 98; Uhle, § 24, in: Kluth / Krings, Gesetzgebung, § 55; Wallrabenstein, in: Münch / Kunig, Grundgesetz, Art. 80 GG, Rdnr. 37, 40; Mann, in: Sachs, Grundgesetz, Art. 80 GG, Rdnr. 28. 70 BVerfGE 55, 207, 226; BVerfG, Beschluss des Zweiten Senats vom 18. Juli 2005 – 2 BvF 2 / 01 – Rdnr. 276 = BVerfGE 113, 167, 269; jeden Bezug zum Schutz der Bürger kritisierend Schneider, Gesetzgebung, Rdnr. 237; auf den Bürger als Bezugspunkt abstellend, aus dem die hinreichende Bestimmtheit nach Inhalt, Zweck und Ausmaß zu beurteilen sein soll Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 80 GG, Rdnr. 67. 71 BVerfGE 108, 186, 235; vgl. BVerfGE 14, 174, 185; 89, 69, 84 f. (allgemein zur hinreichenden Bestimmtheit von Normen); 103, 111, 135 (zu Art. 28 Abs. 1 GG); Uhle, § 24, in: Kluth / Krings, Gesetzgebung, Rdnr. 55; Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 625; Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 80 GG, Rdnr. 68; Wallrabenstein, in: Münch / Kunig, Grundgesetz, Art. 80 GG, Rdnr. 38; Sannwald, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 80 GG, Rdnr. 74 ff.; Bauer, in: Dreier, Grundgesetz, Art. 80 GG, Rdnr. 35 f., 38; Brenner, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 80 GG, Rdnr. 37 f.; Mann, in: Sachs, Grundgesetz, Art. 80 GG, Rdnr. 29; Martini, AöR 133 (2008), S. 156, 163 f.
§ 6 Personelle Begrenzungen der Pflichten233
b) Hinreichende Regelungsdichte bezüglich des Inhalts72 § 10 Abs. 1 i. V. m. § 2 Abs. 10 S. 2 BSIG muss bezüglich seines Inhalts eine hinreichende Bestimmtheit aufweisen. Sie bezieht sich darauf, ob aus der Ermächtigung deutlich wird, welchen Regelungsgegenstand und welche inhaltlichen Grundzüge die zu erlassende Rechtsverordnung haben soll.73 Aus dem Wortlaut des § 10 Abs. 1 S. 1 und § 2 Abs. 10 S. 2 BSIG ergibt sich, dass mit der Rechtsverordnung die Kritischen Infrastrukturen i. S. d. § 2 Abs. 10 S. 1 BSIG bestimmt werden sollen. Dass die Kritischen Infrastrukturen einen unbestimmten Rechtsbegriff darstellen, schadet dabei nicht, sofern seine Bedeutung durch Auslegung ermittelt werden kann.74 Der Begriff der Kritischen Infrastrukturen kann unter Zuhilfenahme der Begriffsbestimmung in § 2 Abs. 10 S. 1 BSIG und durch Auslegung dieser unter anderem anhand der Gesetzgebungsmaterialien und des verfolgten Zwecks konkretisiert werden.75 Kritische Infrastrukturen sind nur in bestimmten Sektoren und anhand ihrer hohen Bedeutung in Bezug auf die Ausfallfolgen für das Gemeinwesen, § 2 Abs. 10 S. 1 BSIG, zu ermitteln. Die hohe Bedeutung ist durch die Feststellung eines erheblichen Versorgungsengpasses oder einer erheblichen Gefährdung der öffentlichen Sicherheit gekennzeichnet. Die Erheblichkeit wird durch die Kriterien der Qualität und Quantität bestimmt.76 Damit kann der Rechtsverordnungsgeber erkennen, was der Gesetzgeber als Kritische Infrastrukturen i. S. v. § 2 Abs. 10 S. 1 BSIG versteht.77 Die Grundzüge der Rechtsverordnung sind ebenfalls in § 10 Abs. 1 S. 1 BSIG enthalten.78 Die BSI-KritisV soll „unter Festlegung der in den jeweiligen Sektoren im Hinblick auf § 2 Abs. 10 Satz 1 Nummer 2 wegen ihrer 72 Auch wenn das BVerfG zu einer gemeinsamen Prüfung der hinreichenden Bestimmtheit nach Inhalt, Zweck und Ausmaß neigt, kann zwischen den drei Aspekten differenziert werden, vgl. BVerfG 101, 1, 31 ff.; Bauer, in: Dreier, Grundgesetz, Art. 80 GG, Rdnr. 33; Brenner, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 80 GG, Rdnr. 35. 73 Vgl. zu den Grundzügen BVerfGE 101, 1, 33; Uhle, § 24, in: Kluth / Krings, Gesetzgebung, Rdnr. 50; Sannwald, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 80 GG, Rdnr. 64. 74 BVerfGE 101, 1, 32; Brenner, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 80 GG, Rdnr. 34; Schneider, Gesetzgebung, Rdnr. 238. 75 Zur Konkretisierung des unbestimmten Rechtsbegriffs der Kritischen Infrastrukturen siehe § 2 B. II., IV. 76 BT-Drs. 18 / 4096, S. 30 f.; Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 1; siehe auch § 2 B. II. 2. b) bb). 77 Guckelberger, DVBl. 2015, S. 1213, 1217. 78 Roßnagel, BT / InnenA-Drs. 18(4)284 B.
234
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads“ die Kritischen Infrastrukturen ermitteln.79 Der Versorgungsgrad ist dabei „anhand von branchenspezifischen Schwellenwerten für jede wegen ihrer Bedeutung als kritisch anzusehende Dienstleistung im jeweiligen Sektor zu bestimmen“.80 Diese expliziten Regelungen zur Normstruktur der BSI-KritisV schränken den Verordnungsgeber ein. Die gesetzlich vorgegebene Struktur der BSI-KritisV lässt sich wie folgt darstellen: 1. Sektor A a. b.
Dienstleistung 1 Anlage a Anlage b Dienstleistung 2 Anlage a
Schwellenwert A-1-a Schwellenwert A-1-b Schwellenwert A-2-a
2. Sektor B a. Dienstleistung 1 Anlage a
Schwellenwert B-1-a
Daher weist die Ermächtigungsgrundlage bezüglich des Regelungsgegenstandes, der konstitutiven Festlegung der Kritischen Infrastrukturen und der Normstruktur eine hinreichende inhaltliche Regelungsdichte auf. c) Hinreichende Regelungsdichte bezüglich des Zwecks Der Zweck ist in § 10 Abs. 1 i. V. m. § 2 Abs. 10 S. 2 BSIG hinreichend bestimmt, wenn der Norm die Zielsetzung der Delegation an den Verordnungsgeber zu entnehmen ist.81 Das Ziel, das mit der BSI-KritisV verfolgt werden soll, ist nicht ausdrücklich in der Ermächtigungsgrundlage enthalten. Jedoch ergibt sich aus dem systematischen Zusammenhang, dass lediglich elementar wichtige Infrastrukturen erfasst werden sollen. § 10 Abs. 1 und § 2 Abs. 10 S. 2 BSIG beziehen sich bereits dem Wortlaut und letztere Norm auch ihrer systematischen Stellung nach auf § 2 Abs. 10 S. 1 BSIG. In dessen Nr. 1 sind mit den Infrastruktursektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen nur diejenigen aufgeführt, deren 79 § 10
Abs. 1 S. 1 a. E. BSIG. Abs. 1 S. 2 BSIG. 81 Uhle, § 24, in: Kluth / Krings, Gesetzgebung, Rdnr. 51; Bauer, in: Dreier, Grundgesetz, Art. 80 GG, Rdnr. 33; vgl. Sannwald, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 80 GG, Rdnr. 67. 80 § 10
§ 6 Personelle Begrenzungen der Pflichten235
ständige Verfügbarkeit für ein funktionierendes Gemeinwesen unabdingbar ist.82 Im Übrigen wird die Zwecksetzung auch in Nr. 2 deutlich, indem auf die hohe Bedeutung der Ausfallfolgen, die durch erhebliche Versorgungsengpässe und Gefährdungen der öffentlichen Sicherheit ermittelt werden soll, abgestellt wird. Es werden folglich nur Infrastrukturen erfasst, die Dienstleistungen von kritischer Qualität erbringen. Daher ergibt sich aus einer Auslegung der Ermächtigungsgrundlage eine hinreichend konkrete Zielsetzung an den Rechtsverordnungsgeber. d) Hinreichende Regelungsdichte bezüglich des Ausmaßes Schließlich müsste noch das Ausmaß der Rechtsverordnungsermächtigung hinreichend bestimmt sein. Dies ist der Fall, wenn der Umfang der delegierten Rechtssetzungsmacht und damit deren Grenzen festgestellt werden können.83 Das Ausmaß der sachlichen Delegation ergibt sich aus dem Wortlaut des § 10 Abs. 1 S. 1, 2 BSIG. Demnach sollen in der BSI-KritisV Dienstleistungen und Schwellenwerte innerhalb der Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen festgelegt werden. Die vom Parlamentsgesetzgeber angestrebte Zahl an Betreibern als Adressaten ergibt sich nicht aus dem Normwortlaut, sondern muss durch Auslegung ermittelt werden. In den Gesetzgebungsmaterialien ist die Größenordnung von maximal 2.000 Betreibern Kritischer Infrastrukturen genannt.84 Daher sind die Dienstleistungen und Schwellenwerte so zu setzen, dass Adressaten in der Größenordnung von zirka 2.000 Betreibern erfasst werden. § 10 Abs. 1 i. V. m. § 2 Abs. 10 S. 2 BSIG genügt als Ermächtigungsgrundlage auch den Anforderungen des Art. 80 Abs. 1 S. 2 GG hinsichtlich des Ausmaßes.85
82 Vgl.
(1).
für die qualitative Bedeutung dieser Dienstleistungen § 2 B. II. 2. b) bb)
83 Uhle, § 24, in: Kluth / Krings, Gesetzgebung, Rdnr. 52; Sannwald, in: SchmidtBleibtreu / Hofmann / Henneke, GG, Art. 80 GG, Rdnr. 68. 84 BT-Drs. 18 / 4096, S. 4. 85 Hornung, BT / InnenA-Drs. 18(4)284 G, S. 6; Roßnagel, BT / InnenADrs. 18(4)284 B.
236
Teil 3: Die normative Gewährleistung der IT-Sicherheit
e) Auseinandersetzung mit der Kritik an der Regelungsstruktur der Bestimmung Kritischer Infrastrukturen Die BSI-KritisV basiert auf einer Art. 80 Abs. 1 S. 2 GG entsprechenden hinreichend bestimmten Ermächtigungsgrundlage. Dennoch wurde während des Gesetzgebungsverfahrens die hinreichende Bestimmtheit bezweifelt.86 Das gefundene Ergebnis, dass die Kritischen Infrastrukturen durch den parlamentarischen Gesetzgeber hinreichend bestimmt worden sind, scheint im Gegensatz zu den Zweifeln hieran in der Literatur zu stehen. Diese Widersprüche können nicht ungeklärt zurück bleiben, sodass im Folgenden die Argumentation der Kritiker untersucht werden muss. Diese lässt sich derart zusammenfassen: Das IT-Sicherheitsgesetz legt Betreibern Kritischer Infrastrukturen gewisse Pflichten auf. Wer jedoch konkret Betreiber einer Kritischen Infrastruktur ist, lässt sich nicht dem BSIG, sondern erst der noch zu erlassenden BSI-KritisV entnehmen. Diese Regelungstechnik ist verfassungsrechtlich zweifelhaft, da das Rechtsstaatsprinzip eine Bestimmtheit des Anwendungsbereichs erfordert. Diesen können die poten tiellen Betreiber Kritischer Infrastrukturen jedoch nicht dem BSIG selbst entnehmen.87 Zuzustimmen ist dem Argumentationsweg insoweit, als die Betreiber sich nicht dem BSIG, sondern der BSI-KritisV entnehmen lassen. Auch kann man diese Regelungstechnik rechtspolitisch als nicht sinnvoll erachten.88 Soweit abschließende Regelungen im BSIG getroffen werden, die in Rechte Privater eingreifen, sind diese am Bestimmtheitsgebot aus Art. 20 Abs. 3 GG zu messen. Der folgende Argumentationsschritt der Kritiker ist allerdings widersprüchlich. Richtig festgestellt wurde zunächst, dass sich die Betreiber Kritischer Infrastrukturen erst aus der BSI-KritisV ergeben. Die Regelungen in § 2 Abs. 10 S. 1 BSIG richten sich daher nicht an die Betreiber Kritischer Infrastrukturen, sondern an den Verordnungsgeber.89 Im Weiteren wird indes der richtige Adressat der Ermächtigungsgrundlage verkannt und folglich ein falscher Maßstab bei der Bestimmung der hinreichenden Bestimmtheit angewandt. Es ist nicht nötig, dass Private aus § 2 Abs. 10 S. 1 BSIG erkennen können, ob sie Betreiber Kritischer Infrastrukturen sind. Stattdessen muss nur eine hinreichende Bestimmtheit nach Inhalt, Zweck und Ausmaß gewahrt 86 Heckmann, MMR 2015, S. 289, 290; Heinickel / Feiler, CR 2014, S. 709, 714; mit allgemeiner Kritik am Bestimmtheitsgrad, jedoch ohne den Schluss der Verfassungswidrigkeit zu ziehen: Leisterer / Schneider, CR 2014, S. 574, 577; Roos, MMR 2015, S. 636, 637; Bartels, ITRB 2015, S. 92, 93; Freund, ITRB 2014, S. 256, 258; DIHK, InnenA-Drs. 18(4)299, S. 3. 87 Heinickel / Feiler, CR 2014, S. 709, 714; Heckmann, MMR 2015, S. 289, 290. 88 Siehe sogleich § 6 A. II. 4. 89 Vgl. allgemein Mann, in: Sachs, Grundgesetz, Art. 80 GG, Rdnr. 28.
§ 6 Personelle Begrenzungen der Pflichten237
sein. Die genauere Konkretisierung dieser Maßstäbe, nach denen die Kritischen Infrastrukturen festgelegt werden, kann an die Verwaltung delegiert werden.90 Diese hinreichende Regelungsdichte weist die Ermächtigungsgrundlage für die BSI-KritisV auf. Daher kann der Argumentation der Kritiker nicht gefolgt werden. Die verfassungsrechtliche Kritik an der hinreichenden Bestimmtheit der Festlegung der Kritischen Infrastrukturen verkennt den Adressaten der Ermächtigungsgrundlage und die konstitutive Natur der Festlegung durch die BSI-KritisV. 3. Zulässiger Delegatar Der Erlass der BSI-KritisV wird an das Bundesministerium des Innern delegiert. Dieses muss jedoch vor Erlass der Verordnung eine Anhörung von Vertretern der Wissenschaft, der betroffenen Betreiber und der Wirtschaftsverbände durchführen sowie das Einvernehmen anderer Bundesministerien einholen. Das Bundesministerium des Innern ist zulässiger Delegatar. Zu untersuchen ist allerdings die Zulässigkeit der Verknüpfung mit einer Anhörung und der Einholung des Einvernehmens. Grundsätzlich fällt die hoheit liche Normsetzung nicht in den privaten, sondern in den staatlichen Bereich. Den Privaten wird mit der Anhörung aber kein Mitbestimmungsrecht eingeräumt. Es wird lediglich ein zulässiges Verfahren zur Einbringung von Sachverstand normiert.91 Auch der Einvernehmensvorbehalt zugunsten anderer Bundesministerien ist zulässig.92 Durch das Einvernehmen anderer Bundesministerien wird die Maßgabe des Art. 80 Abs. 1 S. 1 GG gewahrt, dass ein Bundesminister ermächtigt werden kann und dieser die Verantwortung für die Rechtsverordnung trägt. Zugleich können andere Bundesministerien mit ihrem Sachverstand beteiligt werden.93 90 Zur Zulässigkeit der Delegierung der genaueren Bestimmung an die Verwaltung vgl. BVerfGE 133, 277, 336 = NJW 2013, S. 1499, 1507. 91 Vgl. BVerfGE 10, 221, 227; Ossenbühl, § 103, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band V, Rdnr. 66 f.; vgl. Schneider, Gesetzgebung, Rdnr. 263 ff.; Uhle, § 24, in: Kluth / Krings, Gesetzgebung, Rdnr. 94 f.; Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 80 GG, Rdnr. 102; Sannwald, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Art. 80 GG, Rdnr. 123 und zu den Rechtsfolgen der Nichteinhaltung des Anhörungsvorbehalts Rdnr. 144; Brenner, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 80 GG, Rdnr. 101. 92 Bauer, in: Dreier, Grundgesetz, Art. 80 GG, Rdnr. 27; Sannwald, in: SchmidtBleibtreu / Hofmann / Henneke, GG, Art. 80 GG, Rdnr. 123; Mann, in: Sachs, Grundgesetz, Art. 80 GG, Rdnr. 41; Wallrabenstein, in: Münch / Kunig, Grundgesetz, Art. 80 GG, Rdnr. 54; Brenner, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 80 GG, Rdnr. 101. 93 Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 80 GG, Rdnr. 102.
238
Teil 3: Die normative Gewährleistung der IT-Sicherheit
4. Rechtspolitische kritische Würdigung der Festlegung durch Rechtsverordnung Auch wenn die BSI-KritisV auf einer verfassungsmäßigen Ermächtigungsgrundlage beruht, ist zu hinterfragen, ob die Bestimmung der Betreiber Kritischer Infrastrukturen mittels einer Rechtsverordnung rechtspolitisch sinnvoll war oder nicht besser im BSIG selbst erfolgt wäre. Durch die Auslagerung des personellen Anwendungsbereichs sind die §§ 8a ff. BSIG lediglich eine Hülle mit materiell-rechtlichen Pflichten. Ohne eine hinreichende Bestimmung der Adressaten besteht kein Anwendungsbereich. Im Entwurfsstadium und kurz nach Inkrafttreten des IT-Sicherheitsgesetzes wurde daher eine mangelnde Rechtssicherheit kritisiert.94 Richtig ist, dass für potentielle Betreiber Kritischer Infrastrukturen vor Erlass der BSIKritisV und ihrer Erstreckung auf alle Sektoren i. S. v. § 2 Abs. 10 S. 1 Nr. 1 BSIG durch eine Änderungsverordnung Unklarheit darüber bestand, ob sie nun den Pflichten unterfallen oder nicht. Jedoch kann diese Ungewissheit hingenommen werden, da erst mit Inkrafttreten der BSI-KritisV bzw. der Änderungsverordnung die jeweils erfassten Sektoren verpflichtet werden bzw. die Frist zur Erfüllung der Pflichten zu laufen beginnt, § 8a Abs. 1 S. 1, § 8b Abs. 3 S. 1 BSIG. Aufgrund der Verknüpfung der Wirksamkeit der materiellen Pflichten mit der BSI-KritisV kann aus rechtlicher Sicht keine Rechtsunsicherheit entstehen. Nichtsdestotrotz ist es ungewöhnlich, dass der personelle Anwendungsbereich in einem anderen, zeitlich nachfolgenden Rechtsakt als der materielle Teil geregelt wird. Insofern wissen mögliche Betroffene zunächst von den Pflichten, die sie möglicherweise zu erfüllen haben, aber nicht, ob diese tatsächlich auf sie anwendbar sind. Insoweit ist die Kritik der mangelnden Bestimmtheit des § 2 Abs. 10 BSIG95 weniger im verfassungsrechtlichen, sondern im rechtspolitischen Sinne zu verstehen. So wird eine Bestimmung der Betreiber Kritischer Infrastrukturen im BSIG oder durch eine zeitgleiche Rechtsverordnung als besser erachtet.96
94 Leisterer / Schneider, CR 2014, S. 574, 577; Roos, MMR 2015, S. 636, 637; Bartels, ITRB 2015, S. 92, 93; Freund, ITRB 2014, S. 256, 258. 95 Heckmann, MMR 2015, S. 289, 290; Leisterer / Schneider, CR 2014, S. 574, 577; Roos, MMR 2015, S. 636, 637; Roos, MMR 2014, S. 723, 725; vgl. die Stellungnahmen: Deutscher Factoring Verband e. V. Deutscher Factoring Verband e. V., InnenA-Drs. 18(4)290, S. 1; DIHK, InnenA-Drs. 18(4)299, S. 3; Bundesverband der deutschen Industrie BDI, InnenA-Drs. 18(4)284 E, S. 1. 96 Vgl. die Stellungnahmen: Deutscher Factoring Verband e. V., InnenA-Drs. 18(4)290, S. 1; Bundesverband der deutschen Industrie BDI, InnenA-Drs. 18(4)284 E, S. 1; DIHK, InnenA-Drs. 18(4)299, S. 3.
§ 6 Personelle Begrenzungen der Pflichten239
Dadurch wäre gewährleistet worden, dass sämtliche Kritischen Infrastrukturen ab den eingeräumten Fristen die Pflichten erfüllen. Nun hängt dies von der BSI-KritisV ab, deren zweiter Teil erst am 30. Juni 2017 in Kraft trat.97 Dadurch beginnen die Fristen für die Pflichten zur IT-Sicherheit zu einem erheblichen Teil erst über zwei Jahre nach dem Inkrafttreten des IT-Sicherheitsgesetzes zu laufen. Dies führt nicht nur zu einer Hinauszögerung einer regulierten Gewährleistung der IT-Sicherheit, sondern auch zu einem erheblichen Zeitraum der Unsicherheit für potentielle Betreiber Kritischer Infrastrukturen.98 Gegen eine Regelung durch Gesetz könnte aber die Notwendigkeit der Einbeziehung externen Sachverstandes und ein gleichzeitig vorgebrachtes Interesse an Flexibilität sprechen. Zwar ist das parlamentarische Gesetzgebungsverfahren durch die Art. 76 ff. GG grundsätzlich weit mehr gebunden als das Verfahren zum Erlass einer Verordnung.99 Vorliegend muss jedoch beachtet werden, dass § 10 Abs. 1 S. 1 BSIG eine Anhörung der Beteiligten und von Sachverständigten sowie das Einvernehmen von neun anderen Bundesministerien nicht nur beim erstmaligen Erlass, sondern auch bei jeder Änderung der BSI-KritisV vorschreibt. Damit wird der Gewinn an Flexibilität durch umfangreiche Beteiligungsrechte konterkariert. Auch die „riesige Liste“100, die eine hinreichend bestimmte Festlegung der Betreiber Kritischer Infrastrukturen in abstrakt-genereller Form erfordert,101 spricht nicht für eine Rechtsverordnung. Stattdessen könnte man sie aus Gründen der Normenklarheit in den Anhang eines Parlamentsgesetzes verlagern. Damit bietet weder das Instrument der Rechtsverordnung, noch das des Parlamentsgesetzes Vorteile für das Normsetzungsverfahren oder die Normenklarheit. Sie sind hier rechtspolitisch äquivalente Handlungsinstrumente. Selbst das Argument der Rechtssicherheit spricht nicht für eine Festlegung der Betreiber Kritischer Infrastrukturen im BSIG. Denn die Kritik zielt nicht auf die im Vergleich zum Parlamentsgesetz rangniedere Stellung der Rechtsverordnung, sondern auf die zeitlich nachfolgende Bestimmung der Kriti97 Art. 2 Erste Verordnung zur Änderung der BSI-Kritisverordnung vom 21. Juni 2017, BGBl. I vom 29. Juni 2017, S. 1903; der erste Teil der BSI-KritisV (Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz vom 22. April 2016, BGBl. I, S. 958) enthielt nur Bestimmungen für die Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation. Mit der Änderungsverordnung wurden Regelungen zu den Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr ergänzt. 98 In diese Richtung Bräutigam / Wilmer, ZRP 2015, S. 38, 40; DIHK, InnenA-Drs. 18(4)299, S. 3. 99 Vgl. Saurer, Die Funktionen der Rechtsverordnung, S. 84 f., 87. 100 Roth, ZD 2015, S. 17, 19. 101 Vgl. Uhle, § 24, in: Kluth / Krings, Gesetzgebung, Rdnr. 2.
240
Teil 3: Die normative Gewährleistung der IT-Sicherheit
schen Infrastrukturen.102 Gleiche Kritik wäre wohl geäußert worden, wäre die konstitutive Festlegung durch ein zeitlich nachfolgendes Parlamentsgesetz geschehen. Daher ist die Festlegung der Kritischen Infrastrukturen in einer Rechtsverordnung rechtspolitisch vertretbar. Rechtspolitisch sinnvoll wäre es hingegen gewesen, die BSI-KritisV in vollem Umfang mit oder kurze Zeit nach dem IT-Sicherheitsgesetz zu erlassen. Zum einen hätten die Pflichten zur IT-Sicherheit sämtliche Kritischen Infrastrukturen schneller erfasst. Zum anderen wäre die Schwebelage der bekannten Pflichten, aber des noch unbekannten Adressatenkreises zeitlich verkürzt worden. III. Die Struktur der BSI-KritisV Die einzelnen Kritischen Infrastrukturen werden mit der BSI-KritisV festgelegt. An dieser Stelle sollen die strukturellen Grundlagen und Besonderheiten für die Bewertung als Kritische Infrastruktur durch die BSI-KritisV untersucht werden. Dabei orientiert sich die BSI-KritisV an der durch § 2 Abs. 10 S. 1 und § 10 Abs. 1 S. 1 a. E. BSIG vorgegebenen Struktur. Getrennt nach den in § 2 Abs. 10 Nr. 1 BSIG genannten Sektoren wird jeweils anhand der Kriterien Qualität und Quantität die Bedeutung der jeweiligen Infrastruktur für das Gemeinwesen bestimmt.103 Das Verfahren zur Ermittlung einer Kritischen Infrastruktur unterteilt sich in drei Schritte.104 Zunächst werden diejenigen Dienstleistungen festgelegt, die wegen ihrer Bedeutung als kritisch anzusehen sind. Anschließend folgen die Anlagenkategorien, welche für die Erbringung der Dienstleistung notwendig sind. In einem dritten Schritt werden aus den Anlagenkategorien Anlagen oder Teile davon identifiziert, die aus gesamtgesellschaftlicher Sicht einen bedeutenden Versorgungsgrad haben.105 Hierfür muss ein branchenspezifischer Schwellenwert überschritten werden. Hierin spiegeln sich die Kriterien der Qualität und Quantität wider. Die benannten kritischen Dienstleistungen sind Ausdruck der qualitativ hohen Bedeutung für das Gemeinwesen, während die Schwellenwerte die quantitativ hohe Bedeutung abbilden.
102 DIHK, InnenA-Drs. 18(4)299, S. 3; vgl. Deutscher Factoring Verband e. V., InnenA-Drs. 18(4)290, S. 1; vgl. BDI, InnenA-Drs. 18(4)284 E, S. 1. 103 Vgl. zu der durch § 2 Abs. 10 S. 1 BSIG vorgegebenen Struktur § 2 B. II. 2. 104 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 1 f.; Ammann, „Michael, darf ich fahren?“, in: Taeger, Smart World – Smart Law?, S. 299, 302. 105 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 1 f.
§ 6 Personelle Begrenzungen der Pflichten241
1. Kritische Dienstleistungen Bereits in der Gesetzesbegründung wurden kritische Dienstleistungen genannt. Im Wesentlichen stimmen diejenigen der BSI-KritisV mit den bereits vom Gesetzgeber als solche bezeichneten überein. Kritische Dienstleistungen sind nach der gesetzgeberischen Einschätzung aus dem Sektor106 – Energie die Stromversorgung,107 die Versorgung mit Erdgas108 und Treibstoff beziehungsweise Heizöl;109 – Informationstechnik und Telekommunikation die Sprach- und Datenkommunikation110 sowie die Verarbeitung und Speicherung von Daten;111 – Transport und Verkehr der Güter-112 und Personentransport113 im Nah- und Fernbereich; – Gesundheit die medizinische Versorgung,114 Labore115 sowie die Versorgung mit Arzneimitteln116 und Medizinprodukten117; – Wasser die Trinkwasserversorgung118 und Abwasserbeseitigung119; – Ernährung die Versorgung mit Lebensmitteln120; – Finanz- und Versicherungswesen die Zahlungsverkehr Zahlungsdienstleistungen durch Überweisung, Zahlungskarten und E-Geld, die Bargeld
106 Die
Liste der Dienstleistungen ist BT-Drs. 18 / 4096, S. 31 entnommen. KRITIS-Sektorstudie Energie, S. 70 ff. 108 BSI, KRITIS-Sektorstudie Energie, S. 103 ff. 109 BSI, KRITIS-Sektorstudie Energie, S. 119 ff. 110 BSI, KRITIS-Sektorstudie Informationstechnik und Telekommunikation, S. 43 ff. 111 BSI, KRITIS-Sektorstudie Informationstechnik und Telekommunikation, S. 67 ff. 112 BSI, KRITIS-Sektorstudie Transport und Verkehr, S. 104 ff.; vgl. zur Logistik BSI, KRITIS-Sektorstudie Transport und Verkehr, S. 52, 70, 86. 113 BSI, KRITIS-Sektorstudie Transport und Verkehr, S. 68 ff. 114 BSI, KRITIS-Sektorstudie Gesundheit, S. 102, 108 ff., 111 f. 115 BSI, KRITIS-Sektorstudie Gesundheit, S. 102, 122 f. 116 BSI, KRITIS-Sektorstudie Gesundheit, S. 102, für verschreibungspflichtige Medikamente siehe 108 ff., für Blut- und Plasmaderivaten siehe S. 117 f. 117 BSI, KRITIS-Sektorstudie Gesundheit, S. 102, 124 f. 118 BSI, KRITIS-Sektorstudie Ernährung und Wasser, S. 63 ff. 119 BSI, KRITIS-Sektorstudie Ernährung und Wasser, S. 72 ff. 120 BSI, KRITIS-Sektorstudie Ernährung und Wasser, S. 47 ff. 107 BSI,
242
Teil 3: Die normative Gewährleistung der IT-Sicherheit
versorgung,121 die Kreditvergabe, der Geld- und Devisenhandel, der Wertpapier- und Derivatehandel122 sowie Versicherungsleistungen. Von der gesetzgeberischen Einschätzung gewisser Dienstleistungen als kritisch bzw. als nicht kritisch wurden nur in geringem Maße abweichende Festsetzungen durch die BSI-KritisV vorgenommen. Für den Sektor Energie ist die Versorgung mit Mineralöl durch die Versorgung mit Kraftstoff und Heizöl ersetzt worden. Denn die Nutzer sind nicht auf Mineralöl als Vorprodukt, sondern auf Kraftstoff und Heizöl als Endprodukte angewiesen. Darüber hinaus wurde die Fernwärmeversorgung ergänzt. Bei der medizinischen Versorgung wird durch § 6 Abs. 1 Nr. 1 BSI-KritisV nur die stationäre Versorgung als kritisch eingeordnet. Im Rahmen der Sektorstudie wurde noch die ambulante medizinische Versorgung als kritisch erachtet.123 Entgegen der vorläufigen Einschätzung im Gesetzgebungsverfahren wurden die Kreditvergabe, der Geld- und Devisenhandel124 sowie die Versicherungsdienstleistungen im Rahmen der Sektorstudie zur Untersuchung der Kritikalität nicht als kritische Dienstleistungen bezeichnet.125 Von § 7 Abs. 1 BSI-KritisV werden die Versicherungsdienstleistungen als solche eingestuft, die Kreditvergabe und der Geld- und Devisenhandel hingegen nicht.126 2. Anlagen zur Erbringung kritischer Dienstleistungen Über die Anlagekategorien werden diejenigen Einrichtungen bestimmt, die die Kritische Infrastruktur darstellen. Sie sind Anknüpfungspunkt für das Kriterium der Quantität, da die mit ihnen zur Verfügung gestellten Dienstleistungen den jeweils festgelegten Schwellenwert überschreiten müssen. Unter einer Anlage sind jede Betriebsstätte oder ortsfeste Einrichtung, sowie Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen zu verstehen, die für die Erbringung einer kritischen Dienstleistung notwendig sind, § 1 Nr. 1 S. 1 lit. a, b BSI-KritisV. Dieser weite, am immissionsschutz121 BSI, KRITIS-Sektorstudie Finanz- und Versicherungswesen, für Zahlungsdienstleistungen siehe S. 57, für Zahlungskarten S. 58 f. und für die Bargeldversorgung S. 57 f. 122 BSI, KRITIS-Sektorstudie Finanz- und Versicherungswesen, S. 63 f.; der börsliche Wertpapierhandel wird jedoch nicht als kritisch eingestuft, S. 62. 123 BSI, KRITIS-Sektorstudie Gesundheit, S. 102, 108 ff., 111 f. 124 BSI, KRITIS-Sektorstudie Finanz- und Versicherungswesen, S. 62. 125 BSI, KRITIS-Sektorstudie Finanz- und Versicherungswesen, S. 49 f., 57 f., 60, 65 ff. und 78. 126 Dies bezüglich der Versicherungsdienstleistungen ebenfalls erkennend Gehrmann / Klett, K&R 2017, S. 372, 374.
§ 6 Personelle Begrenzungen der Pflichten243
rechtlichen Begriffsverständnis127 angelehnte Anlagenbegriff wird nur durch den Bezug zu den kritischen Dienstleistungen eingeengt. Zugleich bewirkt die Verknüpfung mit der Erbringung kritischer Dienstleistungen nicht nur eine Einengung, sondern auch eine Erweiterung des Anlagenbegriffs. Denn Anlagen sind alle Anlagenteile und Verfahrensschritte sowie deren Nebeneinrichtungen, wenn sie zur Erbringung einer kritischen Infrastrukturdienstleistung notwendig sind, § 1 Nr. 1 S. 2 BSI-KritisV. Durch den Bezug zur Versorgungssicherheit für das Gemeinwesen ist es nötig, dass die Anlage Dienstleistungen für die Allgemeinheit erbringt. Anlagen, die lediglich der Selbstversorgung der Infrastruktur dienen, werden nicht erfasst.128 Damit schließt eine Selbstversorgung zwingend die Einordnung als Kritische Infrastruktur aus. Mittelbar als Anlagenteil oder Nebeneinrichtung können sie aber sehr wohl Teil einer Kritischen Infrastruktur sein. Gleiches gilt für Anlagen der Versorgung der Allgemeinheit im Notfall.129 Da diese erst bei einem Ausfall der primär hierfür vorgesehenen Anlagen zum Einsatz kommen, werden sie nicht vom Schutzzweck des IT-Sicherheitsgesetzes erfasst. Denn mit den Kritischen Infrastrukturen sollen gerade die Anlagen erfasst werden, die im Regelfall die Versorgung gewährleisten und deren Widerstandsfähigkeit soll gegen IT-Bedrohungen erhöht werden.130 Dienen Anlagenteile oder Nebeneinrichtungen hingegen der Funk tionsfähigkeit einer anderen Anlage, die kritische Dienstleistungen erbringt, im Notfall, sind diese über § 1 Nr. 1 lit. b BSI-KritisV Teil der Kritischen Infrastruktur. Dies trifft insbesondere auf Einrichtungen der Ersatzenergieversorgung zu.131 Anlagenteile, Verfahrensschritte und Nebeneinrichtungen müssen damit nicht die gleiche kritische Dienstleistung oder irgendeine kritische Dienstleistung i. S. d. BSI-KritisV erbringen. Es genügt, wenn ihre Funktionsfähigkeit diejenige der Anlage, die eine kritische Dienstleistung erbringt, bedingt. Sie werden dann durch den Bezug zur anderen Anlage von der Einordnung als Kritische Infrastruktur mitumfasst.132
127 Vgl. § 3 Abs. 5 BImSchG; Schulte / Michalk, in: Giesberts / Reinhardt, BeckOK Umweltrecht, § 3 BImSchG, Rdnr. 71 f.; Thiel, in: Landmann / Rohmer, Umweltrecht, § 3 BImSchG, Rdnr. 82 f. 128 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 6. 129 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 6. 130 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 6; vgl. BT-Drs. 18 / 4096, S. 1. 131 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 6. 132 Vgl. mit Blick auf Dienstleistungen für die Betriebsführung einer anderen Kritischen Infrastruktur Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 7.
244
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Ist mit Blick auf den Schutzzweck der Bestimmung der Kritischen Infrastrukturen von einem weiten Anlagenbegriff auszugehen, so ist für die Schwellenwerte ein konkreter Anlagenbegriff nötig. Denn es muss ermittelt werden können, wann mehrere Anlagen, Anlagenteile, Verfahrensschritte und Nebeneinrichtungen als eine Anlage i. S. v. § 1 Nr. 1 BSI-KritisV zu qualifizieren sind. Hiervon hängt die Einstufung als kritisch anhand des quantitativen Kriteriums ab, da die von mehreren Anlagen erbrachten Dienstleistungen in Summe betrachtet oder einzeln den Schwellenwert überschreiten müssen. Die BSI-KritisV löst dies über das Kriterium des räumlichen und betrieblichen Zusammenhangs. Mehrere Anlagen derselben Art in einem engen räumlichen und betrieblichen Zusammenhang sind eine gemeinsame Anlage und müssen für die Beurteilung des Versorgungsgrades zusammengefasst werden.133 Der räumliche und betriebliche Zusammenhang ist demnach anzunehmen, wenn kumulativ „die Anlagen a) auf demselben Betriebsgelände liegen, b) mit gemeinsamen Betriebseinrichtungen verbunden sind, c) einem vergleichbaren technischen Zweck dienen und d) unter gemeinsamer Leitung stehen.“134 Logisch ist, dass die zusammenzufassenden Anlagen derselben Art sein und dieselbe Dienstleistung erbringen müssen. Nur in diesem Fall können sie einem gemeinsamen Schwellenwert unterfallen. Es ist jedoch zu hinterfragen, ob der räumliche und betriebliche Zusammenhang ein geeignetes Kriterium darstellt. Zu bejahen ist dies für Infrastrukturen, deren kritische Dienstleistungen zentral erzeugt und dann verteilt werden. Für Infrastrukturen, deren Dienstleistungen dezentral erbracht werden, widerstrebt der räumliche Zusammenhang dem Gesetzeszweck. Dies löst der Verordnungsgeber dadurch, dass er die Kriterien für eine gemeinsame Anlage für jeden Sektor gesondert festlegt und teilweise Kriterien entfallen lässt.135 Das Erfordernis des räumlichen Zusammenhangs ist jedoch 133 Anhang 1 Teil 1 Nr. 6, Anhang 2 Teil 1 Nr. 5, Anhang 3 Teil 1 Nr. 3, Anhang 5 Teil 1 Nr. 4, Anhang 7 Teil 1 Nr. 4 BSI-KritisV, vgl. den nötigen betriebstechnischen Zusammenhang für Nebeneinrichtungen § 1 Nr. 1 S. 2 Hs. 2 BSI-KritisV; in Anhang 4 Teil 1 Nr. 6 BSI-KritisV fehlt für den Sektor Informationstechnik und Telekommunikation der räumliche Zusammenhang als Voraussetzung. Gleiches gilt für Anlagen des Sektors Finanz- und Versicherungswesen, Anhang 5 Teil 1 Nr. 6 BSIKritisV. 134 Anhang 1 Teil 1 Nr. 6, Anhang 2 Teil 1 Nr. 5, Anhang 3 Teil 1 Nr. 3 BSIKritisV. 135 Vgl. den Sektor Informationstechnik und Telekommunikation, Anhang 4 Teil 1 Nr. 6 BSI-KritisV; obwohl in diesem Sektor die räumliche Distanz der Anlage für die Qualifizierung als gemeinsame Anlage kein Kriterium sein sollte, war für die Beurteilung des betrieblichen Zusammenhangs die Lage auf demselben Betriebsgelände relevant, Anhang 4 Teil 1 Nr. 6 lit. a BSI-KritisV a. F. Da die Norm dadurch in sich widersprüchlich war, wurde lit. a a. F. durch die Erste Verordnung zur Änderung der BSI-KritisV aufgehoben.
§ 6 Personelle Begrenzungen der Pflichten245
insgesamt als hinderlich und entbehrlich anzusehen. Dies zeigt sich, beispielsweise im Sektor Energie bei der Stromerzeugung, wonach auch „Dezentrale Energieerzeugungsanlagen“136 für eine Einordnung mehrerer Anlagen als eine gemeinsame Anlage einen entsprechenden räumlichen Zusammenhang aufweisen müssen. Erzeugen Windräder eines Windparks auf angrenzenden aber doch einige hundert Meter entfernten Höhenzügen und damit zugleich auf verschiedenen Grundstücksparzellen Strom, so wird der räumliche Zusammenhang abzulehnen sein. Nichtsdestotrotz können die einzelnen Windräder beispielsweise durch einen gemeinsamen Anschluss an das Verteilernetz und gemeinsame Steuerungseinrichtungen einen betrieblichen Zusammenhang aufweisen und in einer Gesamtbetrachtung als einheitliche Anlage erscheinen. Die übrigen Kriterien, die auf den betrieblichen Zusammenhang abstellen, erscheinen hingegen für die Beurteilung mehrerer Anlagen als gemeinsame Anlage als geeignet. Denn sind mehrere Anlagen betrieblich verbunden, erscheinen sie aus einer Gesamtbetrachtung unter Berücksichtigung der Bedeutung für das Gemeinwesen als eine einzige Anlage. Ausfälle und Beeinträchtigungen einer Anlage können wegen der betrieblichen Verbundenheit zu Ausfällen und Beeinträchtigungen einer anderen Anlage führen. Damit wirkt sich der betriebliche Zusammenhang auf die Funktionsfähigkeit einer Kritischen Infrastruktur und folglich auf die Ausfallfolgen aus. 3. Der Schwellenwert Um als Kritische Infrastruktur eingeordnet zu werden, muss die konkrete Anlage den für die jeweilige Anlagenkategorie festgelegten Schwellenwert überschreiten. Der Schwellenwert bestimmt sich über den Versorgungsgrad, der anhand dienstleistungsspezifischer Bemessungskriterien festgelegt wird. Da der Schwellenwert auf dem Versorgungsgrad basiert, muss er für jede Anlage, die kritische Dienstleistungen erbringt, ermittelt werden. Erst anhand dessen kann beurteilt werden, ob eine Anlage den Schwellenwert überschreitet. Der Versorgungsgrad ist der Wert, der den „Beitrag einer Anlage oder Teilen davon im jeweiligen Sektor zur Versorgung der Allgemeinheit mit einer kritischen Dienstleistung bestimmt“, § 1 Nr. 4 BSI-KritisV. Er ist ein Maßstab für die Menge an Personen, die von einer Anlage mit einer kritischen Dienstleistung versorgt werden.137 Soweit eine Bestimmung über die 136 Dies sind nach Anhang 1 Teil 1 Nr. 2 c BSI-KritisV i. V. m. § 3 Nr. 11 EnWG an das Verteilernetz angeschlossene verbrauchs- und lastnahe Erzeugungsanlagen. 137 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 7; vgl. Anhang 1 Teil 2 Nr. 8–13, Anhang 2 Teil 2 Nr. 7, 8, Anhang 4 Teil 2 Nr. 8–11, An-
246
Teil 3: Die normative Gewährleistung der IT-Sicherheit
versorgten Personen direkt nicht möglich ist, was den Regelfall darstellt, erfolgt die Bestimmung des Versorgungsgrades über Bemessungskriterien.138 In Verbindung mit dem Schwellenwert, kann so die Kritikalität einer Anlage eingeschätzt werden. Aus der Verordnungsbegründung geht hervor, dass sektor- oder dienstleistungsübergreifende Dependenzen nicht zu berücksichtigen sind.139 Versorgt eine Anlage eine andere Anlage einer Kritischen Infrastruktur, so sind die versorgten Personen der zweiten Anlage, bei der Ermittlung des Versorgungsgrades der ersten nicht zu berücksichtigen. Es kommt lediglich auf die unmittelbar versorgten Personen an.140 Auch kommt qualitativen Einschränkungen der kritischen Dienstleistung sowie der Substituierbarkeit einer Anlage keine Bedeutung bei der Ermittlung des Versorgungsgrades zu.141 Ersteres beruht auf dem Ziel, sämtliche Anlagen, die kritische Dienstleistungen erbringen, unabhängig von der Qualität der Leistung zu erfassen. Letzteres darauf, dass IT-Sicherheitsvorfälle nicht zu einer Beeinträchtigung oder einem Ausfall der Infrastruktur führen können sollen und sich damit die einem Ausfall oder einer Beeinträchtigung nachfolgende Frage der Substi tuierbarkeit einer Anlage nicht stellt.142 Der Schwellenwert bezeichnet damit einen „Wert, bei dessen Erreichen oder dessen Überschreitung der Versorgungsgrad einer Anlage oder Teilen davon als bedeutend im Sinne von § 10 Abs. 1 S. 1 BSI-Gesetzes anzusehen ist“, § 1 Nr. 5 BSI-KritisV. Dieser Schwellenwert ist erreicht, wenn 500.000 Menschen oder mehr von einer Anlage mit einer kritischen Dienstleistung unmittelbar versorgt werden, da ab dieser Größenordnung Ausfälle nicht mehr über Notfallkapazitäten ausgeglichen werden können.143 Soweit anderweitige Bemessungskriterien festgelegt wurden, gilt jeweils das auf das Bemessungskriterium bezogene Erreichen der Schwelle. Als Bemessungskriterien werden dabei die Kapazität oder die Erzeugungsmenge einer Anlage herangezogen.144 Der Schwellenwert wird dann anhand der für die Versorhang 5 Teil 2 Nr. 6–9, Anhang 6 Teil 2 Nr. 7–13, Anhang 7 Teil 2 Nr. 5–10 BSI- KritisV. 138 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 7 f. 139 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 7. 140 Kritisch Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263, 268. 141 Vgl. zu den zu berücksichtigenden Vorgaben bei der Ermittlung des Versorgungsgrades Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 7. 142 Aus diesem Grund bedürfen auch Anlagen zur Versorgung der Allgemeinheit mit kritischen Dienstleistungen im Notfall keiner besonderen Sicherung gegen Störungen der IT-Sicherheit, vgl. bereits oben bei § 6 A. III. 2. 143 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 8 f. 144 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 7.
§ 6 Personelle Begrenzungen der Pflichten247
gung von 500.000 Personen nötigen Kapazität bzw. Erzeugungsmenge errechnet.145 Kann über die Bemessungskriterien kein Bezug zu der Anzahl an versorgten Personen hergestellt werden, wird auf Expertenbewertungen zurückgegriffen. Dies ist im Sektor Informationstechnik und Telekommunikation der Fall.146 Dies läuft zwar dem Bewertungsmuster der Kritikalität nach der BSI-KritisV zuwider, ist jedoch von der Rechtsgrundlage des § 10 Abs. 1 i. V. m. § 2 Abs. 10 BSIG über den Begriff der hohen Bedeutung für das Funktionieren des Gemeinwesens und dem zu deren Ermittlung einzusetzenden Kriterium der Quantität gedeckt. Denn beides zwingt weder zu einer Verknüpfung mit versorgten Personen noch zu einem auf 500.000 Personen bezogenen Schwellenwert. Darüber hinaus ist die Anzahl von 500.000 Personen kritisch zu hinterfragen. Wie die Begründung der BSI-KritisV zeigt, beruht diese Zahl auf Erfahrungswerten, welche Anzahl an Personen mit Notfallkapazitäten versorgt werden können.147 Diese Erfahrungen begrenzen sich allerdings auf die Sektoren Energie mit der kritischen Dienstleistung Stromversorgung sowie Wasser mit der kritischen Dienstleistung Trinkwasserversorgung. Ohne weitere Begründung wurde dieser Wert für die weiteren kritischen Dienstleistungen bzw. Sektoren übernommen. Dabei liegt es nicht fern, dass für andere kritische Dienstleistungen und Sektoren abweichende Schwellenwerte eine hohe Bedeutung für das Gemeinwesen kennzeichnen können. Obwohl der Wert an 500.000 Personen auf einer unzureichenden Begründung beruht, erscheint er nicht völlig verfehlt. Denn dem Verordnungsgeber kommt ein weiter Einschätzungsspielraum zu. Auch scheint dieser Schwellenwert der vom Gesetzgeber veranschlagten Zahl von 2.000 Betreibern Kritischer Infrastrukturen148 mit geschätzten 1648 Kritischen Infrastrukturen nahe zu kommen.149 Insofern bewegt sich der Verordnungsgeber zugunsten der Betreiber etwas unterhalb der prognostizierten maximalen Anzahl, aber innerhalb des eingeräumten Ausmaßes der Ermächtigungsgrundlage.
145 Vgl.
hierzu jeweils Teil 2 der Anhänge der BSI-KritisV. des Innern, Begründung BSI – Kritisverordnung, S. 8; vgl. Anhang 4 Teil 2 BSI-KritisV. 147 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 8 f. 148 BT-Drs. 18 / 4096, S. 4; zwar wird dort von Betreibern Kritischer Infrastrukturen gesprochen. Diese Zahl ist nicht uneingeschränkt mit der Zahl an Kritischen Infrastrukturen vergleichbar, da ein Betreiber auch mehrere Kritische Infrastrukturen betreiben kann. Aus dem Zusammenhang wird jedoch deutlich, dass mit der Zahl 2.000 im Grunde nicht die Anzahl der Betreiber, sondern der Kritischen Infrastrukturen veranschlagt wurde. 149 Zur Schätzung siehe BMI, Referentenentwurf Erste Verordnung zur Änderung der BSI-Kritisverordnung, Stand 24.05.2017, S. 42. 146 Bundesministerium
248
Teil 3: Die normative Gewährleistung der IT-Sicherheit
IV. Das Verhältnis zu speziell regulierten Infrastrukturen Für spezielle Bereiche existieren in § 11 EnWG, § 44b AtG, § 109 TKG, § 13 TMG gesonderte Pflichten. Dies sind Energieversorgungsnetze, Energieanlagen, Anlagen nach §§ 6, 7 oder 9 AtG sowie Telekommunikationsnetze, aber auch Telemedien. Der Vorrang dieser (infrastruktur-)spezifischen Pflichten zur Gewährleistung der IT-Sicherheit vor den §§ 8a f. BSIG wird in § 8d BSIG normiert. § 8d Abs. 2, 3 BSIG enthält jedoch keine Regel zum Verhältnis der BSIKritisV zu den gesonderten Pflichten. Damit stellt sich die Frage, ob die Kritischen Infrastrukturen auch in diesen Bereichen durch die BSI-KritisV festgelegt werden oder bereits durch den Gesetzgeber mit dem Regelungszusammenhang des IT-Sicherheitsgesetzes als solche fingiert wurden. Die BSIKritisV legt für diese Infrastrukturen anhand von Anlagenkategorien teilweise Schwellenwerte fest.150 Ob dies zulässig ist, hängt vom Verhältnis der leges speciales zu § 10 Abs. 1 i. V. m. § 2 Abs. 10 S. 2 BSIG und damit zur BSIKritisV ab. Wenn diese Anlagen vom Gesetzgeber bereits als Kritische Infrastrukturen bestimmt worden wären, könnten erstere eine Sperrwirkung entfalten. Hierfür spricht, dass mit dem IT-Sicherheitsgesetz im Kern Betreiber Kritischer Infrastrukturen adressiert werden und die § 11 EnWG, § 44b AtG, § 109 TKG mit den Artt. 2, 3, 5 IT-Sicherheitsgesetz geschaffen bzw. geändert wurden. Aus dem Wortlaut des § 8d Abs. 1 Nr. 1 BSIG folgt nur für Telekommunikationsnetze und -dienste, dass deren Betreiber und Erbringer Betreiber Kritischer Infrastrukturen sein können. Jedoch können hieraus keine Rückschlüsse gezogen werden, ob diese in § 109 TKG zugleich als Kritische Infrastrukturen festgelegt wurden. Hiergegen sprechen vielmehr die leges speciales selbst. Diese weisen keine Wertung dahingehend auf, ob ihre Adressaten eine Kritische Infrastruktur betreiben. Adressaten der § 11 EnWG, § 44b AtG, § 109 TKG sind nach der Definition Kritischer Infrastrukturen des § 2 Abs. 10 S. 1 BSIG nicht zwingend als solche einzuordnen. Zwar lassen sich Energieversorgungsnetze, Energieanlagen, Telekommunikationsnetze und -dienste einem der Sektoren des § 2 Abs. 10 Nr. 1 BSIG zuordnen. Doch trifft dies bereits auf Genehmigungsinhaber nach §§ 6, 7 und 9 AtG, wie sie § 44b AtG adressiert, nicht zu. Denn die Aufbewahrung von Kernbrennstoffen, § 6 AtG, und die Bearbeitung, Verarbeitung und sonstige Verwendung von Kernbrennstoffen, § 9 AtG, stellen weder Dienstleistungen des
150 Für Energieversorgungsnetze Anhang 1 Teil 3 Nr. 1.2.1, 1.3.1, 2.2.1, 2.3.1 BSIG; für Energieanlagen Anhang 1 Teil 3 Nr. 1.1.1–1.1.4, 2.1.2 BSI-KritisV, für Telekommunikationsnetze Anhang 4 Teil 3 Nr. 1.1.1, 1.2.1 BSI-KritisV.
§ 6 Personelle Begrenzungen der Pflichten249
Sektors Energie noch eines anderen Sektors dar.151 Lediglich Anlagen zur Spaltung von Kernbrennstoffen, § 7 AtG, können Energieanlagen und damit eine Kritische Infrastruktur sein.152 Auch erbringen Telemediendiensteanbieter, denen durch das IT-Sicherheitsgesetz mit § 13 Abs. 7 TMG eine Sicherungspflicht auferlegt wird, keine kritischen Dienstleistungen.153 Telemediendienste sind Informations- und Kommunikationsdienstleistungen, die keine Telekommunikationsdienste nach § 3 Nr. 24 TKG, keine telekommunikationsgestützen Dienste nach § 3 Nr. 24 TKG oder Rundfunk nach § 2 Rundfunkstaatsvertrag sind.154 Da Telemedien keine Telekommunikationsdienste oder telekommunikationsgestützte Dienste155 sein dürfen, werden sie gerade nicht von den Dienstleistungen Sprach- und Datenkommunikation des Sektors Informationstechnik und Telekommunikation erfasst. Denn mit den Dienstleistungen der Sprachund Datenkommunikation soll gerade die Übertragung von Signalen und nicht die Erbringung inhaltlicher Dienstleistungen geschützt werden.156 Ebenso stellen Dienstleistungen der Datenspeicherung und -verarbeitung keine Telemedien dar. Dies gilt auch für Hosting-Anbieter, da diese selbst weder Telemedien bereithalten noch hierzu Zugang vermitteln. Denn beim Hosting wird lediglich Speicherplatz, aber kein Inhalt zur Verfügung gestellt. Die Sicherungspflicht des § 13 Abs. 7 TMG wurde daher nicht zum Schutz einer Kritischen Infrastruktur, sondern unmittelbar zum Schutz der Bürger im Internet eingeführt. Sie geht über den Bereich der Kritischen Infrastrukturen hinaus.157
151 Vgl. BT-Drs. 18 / 4096, S. 31; a. A. Näser, in: Danner / Theobald, Energierecht, § 6 AtG, S. 189, dieser lehnt eine Qualifikation als Kritische Infrastruktur nach dem IT-Sicherheitsgesetz richtigerweise ab, leitet sie aber für Anlagen nach § 6 AtG unzutreffender Weise aus § 44b AtG ab. § 44b AtG ist jedoch Teil der Regelungen des IT-Sicherheitsgesetzes. 152 Vgl. auch § 8d Abs. 2 Nr. 4, Abs. 3 Nr. 4 BSIG; infolgedessen beschränkt sich die Ausnahme von den Pflichten für Betreiber Kritischer Infrastrukturen auf Genehmigungsinhaber nach § 7 Abs. 1 AtG. 153 Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263, 273; andeutend, dass Telemediendiensteanbieter keine Betreiber einer Kritischen Infrastruktur sind Bartels / Backer, DuD 2015, S. 22; Djeffal, MMR 2015, S. 716. 154 Martini, in: Gersdorf / Paal, Beck’scher Online-Kommentar Informations- und Medienrecht, § 1 TMG, Rdnr. 4. 155 Zu den Begriffen Martini, in: Gersdorf / Paal, Beck’scher Online-Kommentar Informations- und Medienrecht, § 1 TMG, Rdnr. 11, 14. 156 Vgl. auch Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 20 f. 157 Vgl. BT-Drs. 18 / 4096, S. 19.
250
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Genauso wie die Inhaber von Genehmigungen nach §§ 6, 9 AtG werden Telemediendiensteanbieter aufgrund der besonderen Risiken, die von ihren Diensten ausgehen, erfasst. Im Falle der §§ 6, 9 AtG sind dies Risiken für die nukleare Sicherheit; im Falle des § 13 TMG Risiken für die (IT-)Sicherheit, die durch die Teilnahme am digitalen Datenverkehr im Internet entstehen. Damit betreffen die Regelungen in Artt. 2, 4 IT-Sicherheitsgesetz in erheblichem Umfang Betreiber von Anlagen, die keine Kritischen Infrastrukturen darstellen. Blickt man nochmals auf die Definition des § 2 Abs. 10 S. 1 BSIG fällt auf, dass sämtlichen leges speciales das zur Ermittlung der hohen Bedeutung für das Gemeinwesen erforderliche Kriterium der Quantität fehlt. Denn die Pflichten werden den Betreibern von Energieversorgungsnetzen und Energieanlagen, Genehmigungsinhabern nach §§ 6, 7 und 9 AtG sowie Betreibern von Telekommunikationsdiensten und Telekommunikationsdiensteanbietern unabhängig von der quantitativen Bedeutung ihrer Dienstleistungen für das Gemeinwesen auferlegt. Dem lässt sich auch nicht entgegenhalten, dass ihre Dienstleistungen qualitativ von im Vergleich zu den übrigen kritischen Dienstleistungen nochmals herausgehobener Bedeutung sind.158 Denn alleine die besondere qualitative Bedeutung kann gerade keine hohe Bedeutung für das Gemeinwesen entfalten. Stattdessen ist das Kriterium der Quantität zu deren Beurteilung zwingend nötig. § 11 EnWG, § 44b AtG und § 109 TKG fingieren die hiervon erfassten Anlagen damit nicht als Kritische Infrastrukturen. Diese Qualifikation nimmt auch für die spezialgesetzlich erfassten Bereiche die BSI-KritisV vor. Stattdessen beruhen die leges speciales systematisch auf der Einpassung in ein bereits bestehendes Regulierungssystem. Folglich kommt der Bestimmung der Kritischen Infrastrukturen durch die BSI-KritisV für diesen Bereich nur eine eingeschränkte Rolle zu. Denn die Pflichten richten sich gerade nicht nach den §§ 8a f. BSIG.159 Für diese speziell erfassten Anlagen folgen aus der Qualifikation als Kritische Infrastruktur durch die BSI-KritisV keine Pflichten,160 sondern Rechte.161 Denn als Betreiber einer Kritischen Infrastruktur haben sie einen ermessensgebundenen Anspruch auf Beratung und Unterstützung durch das BSI oder auf die Verweisung auf qualifizierte Sicherheitsdienstleister, § 3 Abs. 3 BSIG. Darüber hinaus sind sie nach § 8b 158 Vgl.
oben § 2 B. II. 2. b) bb) (1). Pflicht zur Einrichtung einer Kontaktstelle nach § 8b Abs. 3 BSIG als Teil der spezialgesetzlichen Meldepflicht ist hiervon ausgenommen. 160 Eine Ausnahme bilden hierbei § 11 Abs. 1b, c EnWG, die die Anwendbarkeit der Sicherungs- und Meldepflicht auf Energieanlagen an die Bedingung der Einordnung als Kritische Infrastruktur nach der BSI-KritisV knüpfen. 161 Vgl. Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 1. 159 Die
§ 6 Personelle Begrenzungen der Pflichten251
Abs. 2 Nr. 4 BSIG vom BSI über Erkenntnisse zu IT-Sicherheit und ihre Auswirkungen zu unterrichten.162 Aus diesem Rahmen fällt die Telematikinfrastruktur.163 Sie ist als Kritische Infrastruktur einzuordnen.164 Dies ergibt sich aus einem Umkehrschluss der Ausnahmen des § 8d Abs. 2 Nr. 3, Abs. 3 Nr. 3 BSIG. Würde die Telematikinfrastruktur nicht als Kritische angesehen, so bedürfte es, wie bei den Telemedien, keiner Normierung einer Ausnahme. Doch unterscheidet sich die Telematikinfrastruktur in mehrfacher Hinsicht von den Übrigen. Zum einen ist sie keine bereits bestehende, sondern eine erst im Aufbau befindliche Infrastruktur.165 Zum anderen ist sie nicht durch Wettbewerb, sondern durch planerisches Handeln des Staates geprägt. Die §§ 291a, b SGB V legen die Aufgaben und Befugnisse der Gesellschaft für Telematik fest.166 Daher können diese Normen trotz der gesetzgeberischen Einordnung der Gesellschaft für Telematik und der Betreiber von Diensten der Telematikinfrastruktur als Kritische Infrastruktur bei der Betrachtung der Pflichten zur IT-Sicherheit unberücksichtigt bleiben. Betreiber von Anlagen nach §§ 6, 9 AtG und Telemediendiensteanbieter sind keine Betreiber Kritischer Infrastrukturen. Daher werden sie nicht von den Ausnahmen des § 8d Abs. 2, 3 BSIG erfasst. Da die Telemediendiensteanbieter keine Kritischen Infrastrukturen darstellen, bleibt die Sicherungspflicht des § 13 Abs. 7 TMG bei der folgenden Betrachtung der Pflichten zur Gewährleistung der IT-Sicherheit trotz bestehender Parallelen unberücksichtigt. § 44b AtG hingegen wird untersucht, da Genehmigungsinhaber nach § 7 AtG jedenfalls als Betreiber von Energieanlagen nach Berücksichtigung des Kriteriums der Quantität Betreiber einer Kritischen Infrastruktur sein können.
162 Vgl. hierzu unten die Rolle des BSI als Multiplikator und IT-Sicherheitsdienstleister § 8 A. II. 3., 4. 163 So waren die Änderungen nicht bereits im IT-Sicherheitsgesetz vom 17. Juli 2015 enthalten, sondern wurden mit dem Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen sowie zur Änderung weiterer Gesetze vom 21. Dezember 2015, BGBl. I S. 2408, eingefügt; nichtsdestotrotz hätte die Telematikinfrastruktur auch § 8d Abs. 2 Nr. 5, Abs. 3 Nr. 5 BSIG unterfallen können vgl. BTDrs. 18 / 4096, S. 29. 164 Kipker, MMR 2017, S. 143, 147. 165 Vgl. Scholz, in: Rolfs / Giesen / Kreikebohm u. a., Beck’scher Online-Kommentar Sozialrecht, § 291b SGB V, vor Rdnr. 1. 166 Scholz, in: Rolfs / Giesen / Kreikebohm u. a., Beck’scher Online-Kommentar Sozialrecht, § 291b SGB V, vor Rdnr. 1, Rdnr. 1.
252
Teil 3: Die normative Gewährleistung der IT-Sicherheit
B. Unionsrechtliche Determinierung der Kritischen Infrastrukturen Erst an dieser Stelle kann wegen der konstitutiven Festlegung der Kritischen Infrastrukturen durch die BSI-KritisV abschließend untersucht werden, ob die Vorgaben der RL (EU) 2016 / 1148 zu den wesentlichen Diensten richtlinienkonform in nationales Recht umgesetzt wurden. Dies soll im Hinblick auf die Struktur der BSI-KritisV sowie auf die als Kritische Infrastrukturen festgelegten Anlagen erfolgen. I. Vergleich der Struktur der BSI-KritisV und der Artt. 5 f. RL (EU) 2016 / 1148 Strukturell werden auch in Artt. 5 f. RL (EU) 2016 / 1148 die wesentlichen Dienste über zwei Ebenen festgelegt. Die erste Ebene der abstrakten Festlegung wesentlicher Dienste in Art. 5 Abs. 2 RL (EU) 2016 / 1148 entspricht weitgehend derjenigen der Kritischen Infrastrukturen in § 2 Abs. 10 BSIG. Erst die zweite Ebene, die aus Art. 6 und Anhang II RL (EU) 2016 / 1148 besteht, entspricht strukturell der BSI-KritisV. In Art. 6 RL (EU) 2016 / 1148 wird zwar der Maßstab für die Erheblichkeit einer Störung festgelegt, die ein Sicherheitsvorfall auf die Bereitstellung des Dienstes zeitigen kann. Tatsächlich werden im Kern Kriterien zur Ermittlung der Bedeutung einer Einrichtung für die Gesellschaft anhand des quantitativen Umfangs eines Ausfalles Kritischer Infrastrukturen und der Qualität einer Störung normiert. Anhang II der RL (EU) 2016 / 1148 legt hingegen die Anlagen fest, die qualitativ wesentliche Dienstleistungen erbringen. Die BSI-KritisV legt in Teil 3 Spalte B der jeweiligen Anhänge geordnet nach kritischen Infrastrukturdienstleistungen und damit ebenso vorgehend wie Anhang II RL (EU) 2016 / 1148 die Anlagen fest, die solche Dienstleistungen erbringen. Anders als in der BSI-KritisV, die jeweils sämtliche Anlagen zur Erbringung einer kritischen Dienstleistung erfasst, beschränkt sich Anhang II auf die Benennung konkreter, vom unionsrechtlichen Sekundärrecht bereits an anderer Stelle definierten Einrichtungen. Wann eine Anlage, die eine der benannten kritischen Dienstleistungen erbringt, als kritisch einzuordnen ist, bestimmt die BSI-KritisV allein quantitativ über einen Schwellenwert, dem der Versorgungsgrad zugrunde liegt. Art. 6 Abs. 1 RL (EU) 2016 / 1148 sieht hingegen sechs sektorübergreifende Faktoren vor, die jedenfalls zu berücksichtigen sind. Diese sind die Zahl der Infrastrukturnutzer und Abhängigkeiten anderer in Anhang II genannter Sektoren von den von einem wesentlichen Dienst erbrachten Dienstleistungen. Außerdem sind dies die Auswirkungen von Sicherheitsvorfällen auf wirt-
§ 6 Personelle Begrenzungen der Pflichten253
schaftliche und gesellschaftliche Tätigkeiten oder die öffentliche Sicherheit, der Marktanteil der zu beurteilenden Einrichtung und die geografische Ausbreitung des Gebiets, das von einem Sicherheitsvorfall betroffen sein könnte. Weiter sind die Bedeutung der Einrichtung für die Aufrechterhaltung des Dienstes in ausreichendem Umfang sowie deren Substituierbarkeit zu berücksichtigen. Andererseits werden in Erw.-Gr. 25 RL (EU) 2016 / 1148 sogar ausdrücklich die Leistung des Betreibers oder Anzahl der Nutzer als mögliche Kriterien zur Bestimmung wesentlicher Dienste genannt, sodass eine Ermittlung über quantitative Kriterien wie den Schwellenwert im Grundsatz zulässig ist.167 Bei der Festlegung der Schwellenwerte müssen jedoch die Faktoren des Art. 6 Abs. 1 RL (EU) 2016 / 1148 mit einfließen, um der Berücksichtigungspflicht zu einer richtlinienkonformen Umsetzung zu genügen. Anhand des auf 500.000 Personen bezogenen Schwellenwerts wird die Zahl der Nutzer berücksichtigt. Ausmaß und Dauer der Auswirkungen werden direkt nicht erfasst. Sie finden im Hinblick auf Sicherheitsvorfälle nur insoweit Berücksichtigung, als diese auf das mögliche Minimum reduziert werden sollen.168 Jedoch ist der Bezug der Auswirkungen eines potentiellen Sicherheitsvorfalles für die Einordnung als wesentlicher Dienst nur beschränkt geeignet. Denn diese hängen von den betroffenen Anlagen ab. Stattdessen müssen die Auswirkungen abweichend vom Wortlaut auf die Anlagen, die möglicherweise wesentliche Dienste sind, bezogen werden. Denn die IT-Sicherheit wird auch im Unionsrecht nicht als Selbstzweck, sondern in ihrer dienenden Funktion für wesentliche Dienstleistungen normativ erfasst.169 Unter Zugrundelegung dieses Bezuges wurden Ausmaß und Dauer der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten oder die öffentliche Sicherheit bereits auf parlamentsgesetzlicher Ebene berücksichtigt. Denn es werden Beeinträchtigungs- und Ausfallfolgen für die Versorgung und die öffentliche Sicherheit in die Beurteilung der hohen Bedeutung für das Gemeinwesen eingestellt, § 2 Abs. 10 Nr. 2 Hs. 2 BSIG. Die Festlegung des Schwellenwerts von 500.000 versorgten Personen unter Berücksichtigung der vorhandenen Notfallkapazitäten entspricht der Vor167 A. A. Voigt / Gehrmann, ZD 2016, S. 355, 356; ebenfalls a. A. Gehrmann, ITSicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263, 275. 168 Vgl. zur Zielrichtung der Sicherungsmaßnahmen § 7 A. I. 2. a) bb); Ausmaß und Dauer eines Sicherheitsvorfalles sind als Faktoren nicht geeignet die Bedeutung einer Infrastruktur zu beschreiben. Die Aufnahme als Kriterium beruht auf der Vermengung der Frage, ob ein Sicherheitsvorfall eine erhebliche Störung nach sich zieht, mit derjenigen nach der Ermittlung der Bedeutung anhand der Ausfallfolgen in Art. 5 Abs. 2 lit. c, Art. 6 Abs. 1 RL (EU) 2016 / 1148. 169 Vgl. Erw.-Gr. 3 RL (EU) 2016 / 1148, wobei auf die „tragende Rolle“ der IT für die Erbringung von Dienstleistungen abgestellt wird.
254
Teil 3: Die normative Gewährleistung der IT-Sicherheit
gabe, dass bei der Beurteilung der Bedeutung der Einrichtung alternative Mittel zur Dienstleistungserbringung berücksichtigt werden sollten. Über den Schwellenwert sind alternative Mittel zwangsläufig Teil der Qualifikation als wesentlicher Dienst. Dependenzen mit anderen Kritischen Infrastrukturen finden keinen Einfluss.170 Unerwähnt bleiben als Kriterien der Marktanteil sowie die mögliche geografische Ausbreitung des von einem Sicherheitsvorfall171 betroffenen Gebiets. Der erste Faktor kann jedoch als im Schwellenwert enthalten angesehen werden, da bei einer Versorgung von 500.000 Personen kein völlig untergeordneter Marktanteil mehr angenommen werden kann. Die geografische Ausbreitung wird unmittelbar nicht berücksichtigt.172 Indes ist sie mittelbar Teil der Bezugsgröße des Gemeinwesens, die dem Schwellenwert zugrunde liegt. Bis auf den Faktor der Abhängigkeiten anderer wesentlicher Dienste wurden bei der Ermittlung des Schwellenwerts die unionsrechtlich vorgegebenen Kriterien des Art. 6 Abs. 1 RL (EU) 2016 / 1148 berücksichtigt, soweit sie nicht bereits Teil der Definition des § 2 Abs. 10 BSIG sind. Wegen der fehlenden Berücksichtigung der Abhängigkeiten anderer wesentlicher Dienste, stellt sich die Frage, ob die Bestimmung der Kritischen Infrastrukturen über die BSI-KritisV richtlinienkonform erfolgen konnte. Dies wäre der Fall, wenn deren Nichtberücksichtigung keine Auswirkungen auf das Ergebnis hätte. Dass bei der Ermittlung des Versorgungsgrades bzw. des Schwellenwertes Dependenzen zwischen wesentlichen Diensten keinen Eingang gefunden haben, wird zum Teil kompensiert. So können Einrichtungen, die selbst mangels Überschreitung des Schellenwerts keine Kritischen Infrastrukturen sind, gegebenenfalls als Nebeneinrichtungen i. S. v. § 1 Nr. 1 S. 2 Hs. 2 BSI-KritisV eingestuft werden. Im Übrigen greifen bezüglich der zu erfüllenden Pflichten die leges speciales unabhängig von einem Schwellenwert. Doch soweit mangels betriebstechnischen Zusammenhangs keine Nebeneinrichtung besteht 170 Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 7; vgl. hierzu das Unmittelbarkeitserfordernis der Versorgung in Anhang 4 Nr. 5 BSI-KritisV. 171 Die geografische Ausbreitung des potentiell betroffenen Gebietes muss abweichend vom Wortlaut nicht auf einen Sicherheitsvorfall, sondern auf die Anlagen, die potentiell wesentliche Dienste sind, bezogen werden. Vgl. hierzu bereits den Faktor Art. 6 Abs. 1 lit. c RL (EU) 2016 / 1148. 172 Ob dieser Faktor tatsächlich zu einer Ermittlung der Erheblichkeit einer Störung beitragen kann, ist ohnehin fraglich. Denn die Bedeutung eines Dienstes ergibt sich weniger aus der räumlichen Ausbreitung als aus der Zahl der Nutzer unabhängig von der räumlichen Ausbreitung. So kommt einem Ausfall des Stromnetzes in einer Großstadt eher eine erhebliche Bedeutung für das Gemeinwesen zu als in einem dünn besiedelten weiträumigen Gebiet mit nur wenigen versorgten Personen.
§ 6 Personelle Begrenzungen der Pflichten255
und keine speziellen Pflichten normiert sind, kann der Umsetzungsmangel nicht aufgefangen werden. Damit ist der Gesetz- bzw. Verordnungsgeber angehalten, den Faktor der Abhängigkeiten bei der Ermittlung der Kritischen Infrastrukturen, sofern sie unionsrechtlich determiniert sind, zu ergänzen.173 Die sonstigen sektorübergreifenden Faktoren wurden, seien sie qualitativer oder quantitativer Natur, im Rahmen der BSI-KritisV oder auf parlamentsgesetzlicher Ebene berücksichtigt. II. Vergleich der Kritischen Infrastrukturen mit den wesentlichen Diensten Nachdem untersucht wurde, ob der Struktur der BSI-KritisV nach eine unionskonforme Umsetzung der wesentlichen Dienste erfolgt ist, soll dies nun im Hinblick auf die in Anhang II der RL (EU) 2016 / 1148 genannten wesentlichen Dienste konkretisiert werden. Die in BSI-KritisV und in Anhang II der RL (EU) 2016 / 1148 genannten Infrastrukturen sind nicht gänzlich deckungsgleich. Die kritischen Dienstleistungen der BSI-KritisV gehen zum Teil über die wesentlichen Dienste hinaus. Sie umfassen zusätzlich Anlagen der Fernwärmeversorgung, der Logistik, der Abwasserbeseitigung, den Sektor des Finanz- und Versicherungswesens und nicht nur Kreditinstitute und Finanzmarktinfrastrukturen, den Sektor Informationstechnik und Telekommunikation und nicht nur Digitale Infrastrukturen sowie den Sektor Ernährung.174 Bei den als wesentliche Dienste eingeordneten Anlagen, scheinen indes die Einrichtungen in Anhang II der RL (EU) 2016 / 1148 punktuell weiter zu reichen. Zu dieser Annahme führen LNG-Anlagen, Anlagen zur Raffination und Aufbereitung von Erdgas, Luftfahrtunternehmen und Eisenbahnunternehmen, soweit sie dem öffentlichen Personennahverkehr zuzurechnen sind. Sie werden in der BSI-KritisV als Kritische Infrastrukturen nicht aufgeführt. 173 So auch Gehrmann / Klett, K&R 2017, S. 372, 374. Aus diesem Umsetzungsmangel sind wohl keine tatsächlichen Auswirkungen zu erwarten, da in den durch Anhang II determinierten Bereichen Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasserlieferung und -versorgung sowie digitale Infrastruktur nicht unmittelbar auf die versorgten Personen abgestellt wird, sondern auf äquivalente Bemessungskriterien, deren Schwellenwerte überschritten werden dürften, wenn eine Einrichtung der Versorgung eines anderen wesentlichen Dienstes dient. Zugleich kann eine Auswirkung auf die Festlegung der Kritischen Infrastrukturen nicht grundsätzlich ausgeschlossen werden. 174 Voigt / Gehrmann, ZD 2016, S. 355, 356; Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263, 274; nur bezugnehmend auf die Bereiche Ernährung und Versicherungswesen Kipker, ZD-Aktuell 2016, 5261.
256
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Dies hat jedoch kein Umsetzungsdefizit zur Folge. Zum Teil sind diese Anlagen für das Funktionieren des deutschen Gemeinwesens nicht von erheblicher Bedeutung, zum Teil werden die Infrastrukturen, denen eine derartige Bedeutung zukommt, in der BSI-KritisV nicht als „-unternehmen“ bezeichnet, sondern die jeweiligen Anlagen aufgeführt. Ersteres trifft auf LNG-Anlagen sowie auf Anlagen zur Raffination und Aufbereitung von Erdgas zu.175 Sie verbleiben, sofern sie in Deutschland existieren, in ihrer Bedeutung unterhalb der Schwelle des Art. 5 Abs. 2, Art. 6 Abs. 1 RL (EU) 2016 / 1148. Letzteres gilt für die Luftfahrtunternehmen und Eisenbahnunternehmen.176 Mit der Bezeichnung als Unternehmen wird im Unionsrecht die rechtliche und / oder wirtschaftliche Gesamtheit der Anlagen, die kritische Dienstleistungen erbringen, erfasst. Das nationale Recht bezieht sich hingegen auf die einzelnen Anlagen, die wesentliche Dienste erbringen.177 Daher bedarf es zu einer richtlinienkonformen Umsetzung keiner Einordnung der Unternehmen in ihrer Gesamtheit als Kritische Infrastruktur. III. Teilergebnis Der Vergleich der Merkmale sowie der als Kritische Infrastrukturen festgelegten Anlagen mit ihren unionsrechtlichen Grundlagen zeigt, dass in weiten Teilen eine unionskonforme Umsetzung erfolgt ist. Die Kritischen Infrastrukturen nach der BSI-KritisV reichen sowohl in den Sektoren als auch in den kritischen Dienstleistungen weiter als die wesentlichen Dienste nach Anhang II RL (EU) 2016 / 1148. Punktuell werden Einrichtungen wesentlicher Dienste nach Anhang II RL (EU) 2016 / 1148 nicht direkt von der BSI-KritisV erfasst. Dies ist allerdings keine Folge eines Umsetzungsdefizits, sondern eines Bruchs in der Systematik des Anhanges II, da hier teilweise anstatt auf eine Anlage auf ein Unternehmen und damit die Gesamtheit von Anlagen abgestellt wird. Diesen Bruch vollzieht die BSI-KritisV nicht nach, sondern erfasst auch diese Unternehmen im Wege der stringenten Festlegung der Anlagen, die kritische Infrastrukturdienstleistungen erbringen. Soweit die Kritischen Infrastrukturen unionsrechtlich determiniert sind, bedarf es allerdings bei der Ermittlung ihrer Kritikalität der Ergänzung des Faktors „Ab175 Vgl. BSI, KRITIS-Sektorstudie Energie, für LNG-Anlagen S. 44 und für Anlagen zur Aufbereitung von Erdgas S. 108; lediglich unionsrechtliche nicht erfasste Anlagen zur Aufbereitung von Gasen geringerer Qualität (wie beispielsweise Biogas) sind von Relevanz für die Gasversorgung. Sofern gefördertes Erdgas direkt an der Förderstelle aufbereitet wird, sind die hierzu dienenden Anlagen Teil der „Gasförderanlage“ i. S. v. Anhang 1 Teil 3 2.1.1 BSI-KritisV. 176 Vgl. BSI, KRITIS-Sektorstudie Transport und Verkehr, für Luftverkehrsunternehmen S. 81 f. und für Eisenbahnverkehrsunternehmen S. 86 f. 177 Vgl. Anhang 7 Teil 3 Nr. 1.2, 1.3, 1.5 Spalte B BSI-KritisV.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit257
hängigkeit anderer Kritischer Infrastrukturen“, da dieser im bisherigen Schwellenwert nicht abgebildet wird.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit Ziel der Analyse der Pflichten zur Gewährleistung der IT-Sicherheit ist, ihre dogmatische Struktur zu durchdringen. Dies wurde bisher für diese neue Rechtsmaterie noch nicht geleistet.178 Ihre Struktur ist für ein Verständnis der Funktionsweise der Gewährleistung der IT-Sicherheit durch Betreiberpflichten und ihr Zusammenwirken mit den staatlichen Beiträgen des BSI unabdingbar. Wie die Bestimmung des personellen Anwendungsbereiches werden auch die materiellen Pflichten durch eine umfangreiche Verwendung unbestimmter Rechtsbegriffe geprägt. Dies birgt die Gefahr, dass die verfassungsrechtlich nötige hinreichende Bestimmtheit nicht erreicht wird und Schwierigkeiten bei der Umsetzung der Pflichten auftreten. Sie sind aber zugleich ein zentrales dogmatisches Instrument, um den innovativen Bereich der IT-Sicherheit zu regulieren. Das Verständnis der dogmatischen Struktur der Betreiberpflichten trägt zudem zu einer Konkretisierung der einzelnen unbestimmten Rechtsbegriffe bei. Denn nur dann können systemische und teleologische Zusammenhänge zur näheren Bestimmung der Bausteine der IT-Sicherheitsgewährleistung fruchtbar gemacht werden. Aus welchen Bausteinen sich die IT-Sicherheitsgewährleistung zusammensetzt, soll zunächst anhand der Pflichten des BSIG verdeutlicht werden. Dieses bildet einen Allgemeinen Teil der Pflichten zur IT-Sicherheit Kritischer Infrastrukturen. Denn die leges speciales übernehmen die Pflichten teils mit identischem Wortlaut oder einer entsprechenden Regelungsstruktur bzw. verweisen auf die §§ 8a ff. BSIG.179 Anhand dieser allgemeinen Rege178 Vgl. zum Forschungsstand Einführung B.; dogmatische Fragen wurden in der rechtswissenschaftlichen Auseinandersetzung im Wesentlichen nicht gelöst. Vgl. hierzu: Hornung, NJW 2015, S. 3334; Roßnagel, DVBl. 2015, S. 1206; Roos, MMR 2015, S. 636; Gerling, RDV 2015, S. 167; Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263; Rath / Kuss / Bach, K&R 2015, S. 437; Lurz / Scheben / Dolle, BB 2015, S. 2755; Guckelberger, DVBl. 2015, S. 1213; Köhler, EnWZ 2015, S. 407; Dolle / Lurz, Sicherheit von kritischen Infrastrukturen in Deutschland – sind wir mit dem IT-Sicherheitsgesetz auf dem richtigen Weg?, in: Paulsen, Sicherheit in vernetzten Systemen, H-2 ff.; Kipker, ZD-Aktuell 2016, 5261; Voigt / Gehrmann, ZD 2016, S. 355; Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263; Witt / Freudenberg, CR 2016, S. 657. Ein erster Ansatz der Durchdringung der dogmatischen Struktur dieser Rechtsmaterie findet sich bei Wischmeyer, Die Verwaltung 50 (2017), S. 155 ff. 179 Vgl. hierzu § 8b Abs. 4 BSIG, § 11 Abs. 1c EnWG und § 44b AtG.
258
Teil 3: Die normative Gewährleistung der IT-Sicherheit
lungen sollen die dogmatischen Bausteine, aus denen die einzelnen Pflichten bestehen, herausgearbeitet und untersucht werden. So kann ein Verständnis der Wirkweise und Funktion der einzelnen Pflichten gewonnen werden, das sich mit den Bausteinen anderer Pflichten zu einem Gesamtbild der Gewährleistung der IT-Sicherheit durch Betreiberpflichten zusammensetzen lässt. Auf Basis der hier gewonnenen Erkenntnisse soll dann die dogmatische Struktur der spezialgesetzlichen Regulierung der IT-Sicherheit im Energieund Telekommunikationssektor in den Blick genommen werden. Dabei wird untersucht, inwieweit Bausteine der allgemeinen dogmatischen Struktur der IT-Sicherheitsgewährleistung Verwendung finden. Sodann werden diejenigen Bausteine identifiziert, die die IT-Sicherheitsgewährleistung prägen, und es kann beurteilt werden, ob sie die grundrechtliche Pflichtigkeit der Betreiber mit einer Verantwortlichkeit auf einfachgesetzlicher Ebene ausgestalten. Abschließend wird unter Einbeziehung der allgemeinen und speziellen Regelungen bewertet, inwieweit die mit dem IT-Sicherheitsgesetz verfolgten Ziele einer Erhöhung und Vereinheitlichung des IT-Sicherheitsniveaus Kritischer Infrastrukturen180 erreicht wurden.
A. Pflichten nach dem BSIG181 Obwohl durch unbestimmte Rechtsbegriffe die Innovationsoffenheit gewährleistet werden soll, so enthalten die Normen des BSIG, ohne dass dies ein Widerspruch wäre, doch konkrete Pflichten zur IT-Sicherheit Kritischer Infrastrukturen. Die Normierung konkreter Pflichten ist notwendig, um die Grundstruktur der Maßnahmen, die Betreiber Kritischer Infrastrukturen zur Sicherung ihrer IT ergreifen sollen, als Ordnungsrahmen vorzugeben. Die Festlegung bestimmter Pflichten ist für das Risikosteuerungsrecht charakteristisch. Denn mit ihm wird nicht an Handlungen182 eines potentiellen Störers angeknüpft. Stattdessen werden die Betreiber183 unabhängig davon, ob sie Verursacher der Risiken sind, zu Schutzmaßnahmen verpflichtet. Im System der IT-Sicherheitsgewährleistung stellt die Sicherungspflicht nach § 8a Abs. 1 BSIG den Kern dar. Daneben ist die Meldepflicht nach § 8b Abs. 4 BSIG, wenn auch mit lediglich mittelbarer Wirkung zur Erhöhung der IT-Sicherheit und damit zurückgesetzter Bedeutung, als Hauptpflicht einzu180 BT-Drs. 18 / 4096,
S. 2. Überblick über die Pflichten zur IT-Sicherheit ist Teil des Tagungsbandbeitrages Freimuth, Die rechtlichen Pflichten zur Sicherung der IT, in: Möstl / Wolff (Hrsg.), IT-Sicherheit als Herausforderung für Wirtschaft und Staat, S. 23 ff. 182 Bzgl. der Undefinierbarkeit möglicher Handlungen Lepsius, VVDStRL 63 (2004), S. 266, 295. 183 Lepsius, VVDStRL 63 (2004), S. 266, 295. 181 Ein
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit259
ordnen. Der Nachweispflicht, § 8a Abs. 3 BSIG, und der Pflicht eine Kontaktstelle für die Kommunikation mit dem BSI zu errichten, § 8b Abs. 3 BSIG, kommt lediglich ein die Erfüllung der Hauptpflichten unterstützender und absichernder Charakter zu. I. Die Sicherungspflicht Mit der Sicherungspflicht des § 8a Abs. 1 S. 1 BSIG werden Betreiber Kritischer Infrastrukturen verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der IT-Sicherheit zu treffen, die die Funktionstüchtigkeit der Kritischen Infrastrukturen bedrohen. Um diese Anforderungen zu konkretisieren, können die Betreiber oder deren Branchenverbände branchenspezifische Sicherheitsstandards vorschlagen, § 8a Abs. 2 BSIG.184 Das BSI stellt fest, ob diese den Anforderungen des Abs. 1 genügen. Zweck der Sicherungspflicht ist, die Schutzziele der IT-Sicherheit in Form der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit aus einer rechtlichen Zielvorgabe in wirksame Maßnahmen zu übersetzen. Da im Bereich der datenschutzrechtlich geforderten Datensicherheit nach § 9 S. 1 BDSG ebenfalls technische und organisatorische Maßnahmen getroffen werden müssen und sich Datensicherheit und IT-Sicherheit in weiten Teilen überschneiden, kann zur Konkretisierung der Sicherungspflicht des § 8a Abs. 1 S. 1 BSIG teils auf die Inhalte des parallelen § 9 S. 1 BDSG i. V. m. der Anlage zu § 9 S. 1 BDSG185 zurückgegriffen werden. Gleiches gilt für die § 109 Abs. 2 S. 1 TKG a. F., der bereits in früheren Fassungen186 seit den 1990er Jahren Ähnliches für den Bereich der Telekommunikation vorschreibt187 sowie für § 11 Abs. 1a EnWG a. F. Wie die inhaltlichen und begrifflichen Parallelen zeigen, haben diese bereits existierenden Normen auch ohne explizite Bezeichnung in den Gesetzgebungsmaterialien für § 8a Abs. 1 BSIG Pate gestanden.188
184 Wyl / Weise / Bartsch,
N&R 2015, S. 23, 24. ZD 2015, S. 17, 20. 186 Vormals als § 87 TKG a. F. und als § 10a FAG a. F. 187 Mozek, in: Säcker, Telekommunikationsgesetz, § 109, Rdnr. 6; Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 2; Roth, ZD 2015, S. 17, 20. 188 Roos, MMR 2014, S. 723, 725; Seidl, jurisPR-ITR 9 / 2014 Anm. 2; vgl. nur für § 109 TKG Eckhardt, ZD 2014, S. 599, 600. 185 Roth,
260
Teil 3: Die normative Gewährleistung der IT-Sicherheit
1. Unionsrechtliche Determinierung Die Sicherungspflicht ist in erheblichem Umfang durch unionsrechtliche Vorgaben der RL (EU) 2016 / 1148 determiniert. Nach Art. 14 Abs. 1 RL (EU) 2016 / 1148 haben die Mitgliedsstaaten sicherzustellen, „dass die Betreiber wesentlicher Dienste189 geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie für ihre Tätigkeiten nutzen, zu bewältigen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist.“ Ziel der Maßnahmen ist die IT-Sicherheit, deren begriffliches unionsrechtliches Pendant die Sicherheit von Netz- und Informationssystemen darstellt, vgl. Art. 4 Nr. 2 RL (EU) 2016 / 1148.190 Die vorgesehenen Maßnahmen müssen nicht nur Sicherheitsvorfälle bewältigen, sondern auch Auswirkungen von Sicherheitsvorfällen vorbeugen bzw. diese so gering wie möglich halten, Art. 14 Abs. 2 RL (EU) 2016 / 1148. Die Sicherungsmaßnahmen sind auf die notwendige IT beschränkt, Art. 14 Abs. 1 S. 1 a. E. RL (EU) 2016 / 1148. Dem nationalen Gesetzgeber wird damit die wesentliche Struktur der Sicherungspflicht vorgegeben, wobei ihm aufgrund der unbestimmten Rechtsbegriffe „geeignete und verhältnismäßige technische und organisatorische Maßnahmen“, „Stand der Technik“ und des in Bezug auf das Risiko „angemessenen“ IT-Sicherheitsniveaus ein erheblicher Umsetzungsspielraum zukommt. 2. Die Sicherungsmaßnahmen nach § 8a Abs. 1 BSIG a) Organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der IT-Sicherheit Welche Maßnahmen zur Sicherung der IT getroffen werden müssen, bestimmt sich nach dem Begriffspaar der organisatorischen und technischen Vorkehrungen. Die zu treffenden Vorkehrungen richten sich auf die Gewährleistung der IT-Sicherheit, indem Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT vermieden werden sollen, vgl. § 8a Abs. 1 S. 1 BSIG. Die „organisatorischen und technischen Vorkehrungen“ bilden einen gemeinsamen Baustein der IT-Sicherheitsgewährleistung. Des189 Vgl. zum Begriff der wesentlichen Dienste § 2 B. III.; zugleich wird dadurch deutlich, dass die unionsrechtliche Determination der Pflichten nur insoweit besteht, als wesentliche Dienste vorliegen. Vgl. hierzu § 6 B. II. 190 Siehe bereits § 7 A. IV.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit261
halb muss nicht zwischen Maßnahmen organisatorischer beziehungsweise technischer Natur differenziert werden. Eine solche Differenzierung würde im Übrigen aufgrund der engen Verbindung der Kategorien „technisch“ und „organisatorisch“ zu erheblichen Abgrenzungsproblemen ohne Mehrwert führen.191 Die Verbundenheit dieser Maßnahmenkategorien zeigt sich auch im Angemessenheitsvorbehalt sowie dem Stand der Technik. Sie beziehen sich unterschiedslos auf beide Arten von Vorkehrungen. Da dieser Baustein sämtliche zu treffenden Sicherungsmaßnahmen zugunsten der IT abdeckt und Normzweck eine effektive Sicherung der IT gegen Beeinträchtigungen der IT-Sicherheit ist, muss der Begriff weit ausgelegt werden.192 Damit sind auch Schutzeinrichtungen baulicher und personeller Art umfasst, solange sie einen nicht völlig untergeordneten technischen oder organisatorischen Bezug zur IT aufweisen.193 Ausreichend ist, dass die Maßnahmen der organisatorischen oder technischen Sicherung der IT dienen. Sie bilden den dogmatischen Kernbaustein der Sicherungspflicht. aa) Störung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit Zu Beginn wird der materielle Gehalt der betreiberspezifischen Mindestanforderungen des § 8a Abs. 1 BSIG in den Blick genommen. Da nicht allein informationstechnische Angriffe, sondern auch physische Materialermüdung sowie sonstige Hardware- und Softwarefehler zu einer Beeinträchtigung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT führen können, richten sich die Maßnahmen ebenfalls hiergegen. Diese teleologischen Erwägungen erfordern eine weite Auslegung des Begriffs der „Störung“ der Schutzziele der IT-Sicherheit. Eine Störung ist gegeben, wenn eines der Schutzziele der IT-Sicherheit nicht im nötigen Umfang gewährleistet wird. Ihr Vorliegen ist unabhängig von der Ursache allein anhand der Auswirkungen zu beurteilen.194 Vom Begriff der Störung werden interne, in der Hard- oder Software selbst liegende, und externe Ursachen 191 Vgl. zum ähnlichen § 9 BDSG Ernestus, in: Simitis, Bundesdatenschutzgesetz, § 9 BDSG, Rdnr. 20. 192 Vgl. BT-Drs. 18 / 4096, S. 26; vgl. zum ähnlichen § 9 BDSG Ernestus, in: Simitis, Bundesdatenschutzgesetz, § 9 BDSG, Rdnr. 20; bzgl. § 13 Abs. 7 TMG Höltge, ITRB 2016, S. 47. 193 Ernestus, in: Simitis, Bundesdatenschutzgesetz, § 9 BDSG, Rdnr. 20; Mozek, in: Säcker, Telekommunikationsgesetz, § 109, Rdnr. 25; BT-Drs. 18 / 4096, S. 26. 194 Vgl. BT-Drs. 18 / 4096, S. 27, wonach der Störungsbegriff im Sinne des § 8b Abs. 4 BSIG entsprechend § 100 TKG funktional auszulegen sei; Kannenberg, in: Scheurle / Mayen / Albers, Telekommunikationsgesetz, § 100 TKG, Rdnr. 6 f.; Lutz, in: Arndt / Fetzer / Scherer u. a., TKG, § 100 TKG, Rdnr. 5; Schommertz, in: Scheurle / Mayen / Albers, Telekommunikationsgesetz, § 109, Rdnr. 6.
262
Teil 3: Die normative Gewährleistung der IT-Sicherheit
abgedeckt.195 Dieses Verständnis setzt voraus, dass die Funktionsfähigkeit der IT entweder gänzlich aufgehoben oder in nicht hinnehmbarem Maße eingeschränkt ist. Maßstab für das noch hinnehmbare Maß muss unter Berücksichtigung der Schutzziele eine tatsächliche oder mögliche Auswirkung auf die Erbringung der kritischen Infrastrukturdienstleistungen sein.196 Dass die IT-Sicherheit nicht absolut gewährleistet werden muss, zeigt das Ziel der Sicherungspflicht. Dieses ist nicht auf die IT-Sicherheit direkt, sondern auf die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT gerichtet.197 Folglich muss nur das Niveau geschützt werden, das die jeweilige IT-Einrichtung für ihr Funktionieren benötigt. Dies ist Ausfluss der dienenden Funktion der IT. Infolgedessen müssen die organisatorischen und technischen Vorkehrungen die IT Sicherheit bei unmittelbaren oder mittelbaren, bei externen oder internen und bei menschlichen oder natürlichen Bedrohungen unabhängig davon, ob diese vorsätzlich oder unvorsätzlich erfolgen, angemessen schützen können.198 bb) Zielrichtung der Maßnahmen Dem Wortlaut des § 8a Abs. 1 S. 1 BSIG nach müssen die organisatorischen und technischen Vorkehrungen nur die Vermeidung von Störungen der Schutzziele der IT-Sicherheit bezwecken. Doch dies greift zu kurz. Wie aus der Gesetzesbegründung hervorgeht, haben die Vorkehrungen dazu beizutragen, Störungen zu erkennen und zu beheben.199 Diese Zwecke bedürfen einer eingehenden Begründung. Sie widersprechen auf den ersten Blick dem präventiven, auf Risikosteuerung ausgelegten Charakter der Pflichten zur Gewährleistung der IT-Sicherheit.200 Die Erkennung und Behebung setzt ein Versagen der präventiven Risikosteuerung voraus. Doch ist das Wesen des Risikosteuerungsrechts auf keine absolute Risikovermeidung ausgelegt.201 195 Vgl. Mozek, in: Säcker, Telekommunikationsgesetz, § 109, Rdnr. 23; vgl. Schommertz, in: Scheurle / Mayen / Albers, Telekommunikationsgesetz, § 109, Rdnr. 6. 196 Vgl. BGH NJW 2014, S. 2500, 2501 zum Störungsbegriff des § 100 TKG allgemein auf die Erfüllung der zugedachten Funktion abstellend; Mozek, in: Säcker, Telekommunikationsgesetz, § 100, Rdnr. 7. 197 Vgl. zum zu gewährleistenden IT-Sicherheitsniveau sogleich § 7 A. I. 2. a) cc). 198 Vgl. Mozek, in: Säcker, Telekommunikationsgesetz, § 109, Rdnr. 23; Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 42; vgl. Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 16. 199 BT-Drs. 18 / 4096, S. 25; Roos, MMR 2015, S. 636, 638; vgl. diesbezüglich Art. 14 Abs. 2 RL (EU) 2016 / 1148. 200 Vgl. Zum Charakter als Risikosteuerungsrecht § 3 A. 201 Vgl. Lepsius, VVDStRL 63 (2004), S. 266, 280.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit263
Darüber hinaus ist die Schaffung einer absoluten IT-Sicherheit tatsächlich unmöglich.202 Stattdessen sollen die bestehenden Risiken lediglich besser beherrschbar gemacht werden.203 Im Übrigen kann eine fortdauernde Störung der IT-Sicherheit als sich ständig wiederholende Beeinträchtigung dieser verstanden werden. Da die Störung unabhängig von ihrer Ursache allein im Hinblick auf ihre Auswirkungen zu beurteilen ist, muss eine effektive Sicherung der IT auch die Behebung einer Störung erfassen. Gleiches gilt für die Erkennung von Störungen. Sie ist notwendige Vorstufe für eine zielgerichtete Behebung. Eine effektive Sicherung der IT setzt daher voraus, dass, sobald die erste Sicherungsstufe in Form der organisatorischen und technischen Vorkehrungen zum Schutz der IT-Sicherheit überwunden wird, die Sicherungsmaßnahmen den Schaden auf einer zweiten Stufe so gering wie möglich halten.204 Daher schließen die Sicherungsmaßnahmen solche zur Erkennung und Beseitigung eines Schadenspotentials ein. Nur so kann sichergestellt werden, die Ausfallfolgen auf ein Minimum zu vermindern, um die Kritische Infrastruktur wieder ordnungsgemäß betreiben zu können.205 Hierzu wäre eine Beschränkung auf die Vermeidung von Störungen der IT-Sicherheit nicht sinnvoll. Dies würde die dienende Funktion der IT-Sicherheitsgewährleistung206 verkennen. Das Risiko eines Ausfalles oder der Beeinträchtigung der Kritischen Infrastruktur wird nicht nur durch den Faktor der Verletzbarkeit, sondern auch diejenigen der Bedrohungslage, der Exposition im Hinblick auf IT-Bedrohungen sowie der Bewältigungskapazität bzgl. eingetretener Störungen der IT-Sicherheit beeinflusst.207 Die Faktoren der Bedrohungslage und der Exposition sind normativ nicht veränderbar. Sie werden durch äußere tatsächliche Umstände vorgegeben. Damit verbleiben als Anknüpfungspunkte die Senkung der Verletzbarkeit durch IT-Bedrohungen sowie die Erhöhung der Bewältigungskapazität. Dass sich die Maßnahmen auf beides richten, ist bei einer Gesamtbetrachtung des Wortlauts und in der bei der Auslegung heran202 Vgl. Gaycken / Karger, MMR 2011, S. 3, 4; vgl. Schiller, BT / InnenA-Drs. 18(4)284 C, S. 7; vgl. bzgl. der Datensicherheit Karg, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, § 9 BDSG, Rdnr. 39. 203 Enzinger / Skopik / Fiedler, DuD 2015, S. 723; vgl. den unionsrechtlichen Hintergrund des Art. 14 Abs. 1 RL (EU) 2016 / 1148. 204 Vgl. allgemein zur Vulnerabilität und Bewältigungskapazität Lenz, Vulnerabilität Kritischer Infrastrukturen, S. 41. 205 BT-Drs. 18 / 4096, S. 25. 206 Vgl. BT-Drs. 18 / 4096, S. 2; vgl. Erw.-Gr. 3 RL (EU) 2016 / 1148; Gadatsch / Mangiapane, IT-Sicherheit, S. 23. 207 Lenz, Vulnerabilität Kritischer Infrastrukturen, zum Konzept der Vulnerabilität S. 31 ff., zur Vulnerabilität als Risiko-Komponente S. 36 ff.; vgl. Eckert, IT-Sicherheit, S. 18.
264
Teil 3: Die normative Gewährleistung der IT-Sicherheit
zuziehenden Gesetzesbegründung angelegt. Folglich zielen die organisatorischen und technischen Vorkehrungen über den textlichen Wortlaut hinaus nicht nur auf die Vermeidung, sondern auch auf die Erkennung und Behebung als Maßnahmen einer sich immerwährend aktualisierenden Störungsvermeidung. cc) Zu gewährleistendes IT-Sicherheitsniveau Da die IT-Sicherheit kein Selbstzweck ist, sondern wie die IT eine dienende Funktion der Prozessbewältigung aufweist,208 müssen die Sicherungsvorkehrungen lediglich dasjenige Niveau an Verfügbarkeit, Integrität, Authentizität sowie Vertraulichkeit der IT gewährleisten, das für eine reibungslose Funktionstüchtigkeit der Kritischen Infrastruktur notwendig ist. Obwohl es Ziel des IT-Sicherheitsgesetzes ist, ein einheitliches IT-Sicherheitsniveau für die Kritischen Infrastrukturen zu schaffen,209 bedeutet dies nicht, dass sämtliche Betreiber aller Branchen die einzelnen Schutzziele auf dem gleichen Niveau zu schützen haben. Stattdessen bemisst sich das IT-Sicherheitsniveau der einzelnen Schutzziele anhand der möglichen Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur.210 So benötigen Energieversorgungsnetzbetreiber informationstechnisch übermittelte Informationen in Sekundenschnelle, um die Stabilität von Netzen zu gewährleisten.211 Gleiches trifft auf die Gesundheitsbranche im Bereich der Intensivmedizin zu.212 Dahingegen beeinträchtigt eine kurzzeitige Verzögerung oder Verlangsamung des Informationsflusses von wenigen Minuten im Lebensmittelhandel die Lagerung, Verteilung, Bestellung und den Verkauf von Lebensmitteln213 nicht. Auch bleibt eine Verletzung der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit ohne Auswirkungen, sofern der betroffene Informationsteil für die konkrete Erbringung der kritischen Infrastrukturdienstleistung nicht von Relevanz ist. Obwohl die einzelnen Schutzziele nicht im gleichen 208 Vgl. BT-Drs. 18 / 4096, S. 2; vgl. Erw.-Gr. 3 RL (EU) 2016 / 1148; Gadatsch / Mangiapane, IT-Sicherheit, S. 23. 209 BT-Drs. 18 / 4096, S. 2. 210 Vgl. den Wortlaut von § 8a Abs. 1 S. 1 BSIG, wonach nur diejenige IT zu schützen ist, „die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich“ ist; der Schutzbedarf orientiert sich an den einzelnen Schutzzielen der IT Sicherheit, vgl. Gadatsch / Mangiapane, IT-Sicherheit, S. 24. 211 Vgl. zu Auswirkungen vereinzelter Ausfälle der Datenübertagung BSI, Die Lage der IT-Sicherheit in Deutschland 2014, S. 34; vgl. zu kurzfristig nötigen Eingriffen zur Netzstabilität von Energienetzen BSI, KRITIS-Sektorstudie Energie, S. 22. 212 Kraaibeek, Sicherung kritischer Infrastrukturen im Gesundheitswesen, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 79, 81 f. 213 BVLH / HDE, BT / InnenA-Drs. 18(4)297, S. 2.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit265
Umfang durch die Mindestanforderungen geschützt werden, wird die IT-Sicherheit Kritischer Infrastrukturen dennoch auf ein einheitliches Niveau gehoben. Denn bei einer Gesamtbetrachtung und unter Berücksichtigung des divergierenden schutzzielspezifischen IT-Sicherheitsbedürfnisses ist deren Funktionsfähigkeit bei einer Beeinträchtigung der IT-Sicherheit auf vergleichbarem Niveau gewährleistet. dd) Sicherungsmaßnahmen im Einzelnen Nachdem die Grundstrukturen der Sicherungsvorkehrungen geklärt wurden, kann sich der Frage zugewandt werden, was unter „organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen“ der IT-Sicherheit im Einzelnen zu verstehen ist. Die nötigen organisatorischen und technischen Maßnahmen hängen von den betreiberspezifischen Gegebenheiten ab und können im Allgemeinen nicht benannt werden. Sie sind anhand des Einzelfalls zu ermitteln. Eine gesetzliche Normierung von Sicherungskategorien, wie sie in der Anlage zu § 9 BDSG erfolgt ist, bringt aufgrund der Abstimmung der Sicherungsmaßnahmen auf das divergierende Schutzniveau der einzelnen Schutzziele der IT-Sicherheit sowie infrastruktureller Besonderheiten keinen wirklichen Mehrwert für die Bestimmung konkreter Vorkehrungen.214 Nichtsdestotrotz können sie sich an denen nach der Anlage zu § 9 BDSG orientieren.215 Strukturell können die technischen und organisatorischen Vorkehrungen mittels eines Informations-Sicherheits-Management-Systems (ISMS) oder eines Business Continuity Managements (BCM)216 erfüllt werden.217 Hierbei ist zunächst die zu schützende IT einzubeziehen und eine Beurteilung des Risikos, dem sie ausgesetzt ist, vorzunehmen. Außerdem sind Reaktionsmöglichkeiten in Form von Sicherungsmaßnahmen zum Umgang mit diesen Risiken zu ermitteln. Anschließend müssen die hierfür notwendigen Maßnahmen geplant, umgesetzt sowie ständig verbessert werden.218 Dabei orientieren sich die inhaltlichen Anforderungen an ein ISMS am ISO-27001-Standard aber Bartels, ITRB 2015, S. 92, 93. zum Verhältnis der vergleichbaren Sicherungspflicht des § 109 TKG Karg, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, § 9 BDSG, Rdnr. 30. 216 In dieses kann ein ISMS eingebettet werden, indem auch Risiken für die ITSicherheit mit aufgenommen werden Gadatsch / Mangiapane, IT-Sicherheit, S. 39. 217 Vgl. BT-Drs. 18 / 4096, S. 27; Rath / Kuss / Bach, K&R 2015, S. 437, 439; Weise / Brühl, CR 2015, S. 290, 291 f.; Kersten / Klett / Reuter u. a., IT-Sicherheitsmanagement nach der neuen ISO 27001, S. 243 f. 218 Kersten / Klett / Reuter u. a., IT-Sicherheitsmanagement nach der neuen ISO 27001, S. 4–11; vgl. Bartels, Die praktische Umsetzung einer angemessenen Informationssicherheit, in: Möstl / Wolff, IT-Sicherheit als Herausforderung für Wirtschaft und Staat, S. 35, 37 f. 214 So
215 Vgl.
266
Teil 3: Die normative Gewährleistung der IT-Sicherheit
oder ähnlichen fachlichen IT-Sicherheits-Normwerken.219 Zu letzteren zählt der IT-Grundschutzkatalog des BSI.220 Diese strukturellen Maßnahmen müssen gegebenenfalls an die Anforderungen des § 8a Abs. 1 BSIG oder die entsprechenden Pflichten angepasst werden.221 Die organisatorischen und technischen Maßnahmen können sogar eine gänzliche Abschottung bestimmter IT-Einrichtungen beinhalten.222 Bis auf diese äußerste Maßnahme nennt die Gesetzesbegründung ebenfalls keine konkret zu treffenden Vorkehrungen. Dadurch verbleibt ein weiter Bereich für innovative, ihrer Struktur nach neuartige Sicherungsmaßnahmen.223 Selbst das ISMS ist nicht der einzig mögliche, derzeit jedoch überwiegend vorgeschlagene224 Weg, die Sicherungspflicht umzusetzen. Dieses ist selbst, wie das BCM, keine Maßnahme, sondern eine Methode, konkrete Sicherungsmaßnahmen zu treffen.225 Indem der Gesetzgeber lediglich einen strukturellen Rahmen vorgibt, trägt er durch die Offenheit für neue Methoden zu einer effektiven Sicherung bei. Organisatorische und technische Vorkehrungen müssen auch bei einem Outsourcing der IT getroffen werden.226 Denn die Pflichten zur Sicherung der IT wenden sich an die Betreiber der Kritischen Infrastruktur unabhängig davon, ob sie Betreiber der eingesetzten IT sind oder nicht.227 Im Falle eines Outsourcings muss der Betreiber der Kritischen Infrastruktur daher jedenfalls vertraglich sicherstellen, dass der IT-Dienstleister die eingesetzte IT entsprechend den Vorgaben der §§ 8a ff. BSIG sichert.228 219 BT-Drs. 18 / 4096,
S. 27. CR 2015, S. 665, 665; der IT-Grundschutz des BSI ist abrufbar unter https: / / www.bsi.bund.de / DE / Themen / ITGrundschutz / ITGrundschutzKataloge / it grundschutzkataloge_node.html (besucht am 12.06.2018). 221 Vgl. Kersten / Klett / Reuter u. a., IT-Sicherheitsmanagement nach der neuen ISO 27001, S. 244 ff. 222 BT-Drs. 18 / 4096, S. 26; vgl. Gaycken / Karger, MMR 2011, S. 3, 5. 223 Teil eines ISMS kann auch ein allgemeines BCM sein; BT-Drs. 18 / 4096, S. 27. 224 Kipker / Pfeil, DuD 2016, S. 810 ff.; Bartels, Die praktische Umsetzung einer angemessenen Informationssicherheit, in: Möstl / Wolff, IT-Sicherheit als Herausforderung für Wirtschaft und Staat, S. 35, 36; im Sektor Finanz- und Versicherungswesen finden sich aufgrund dessen besonderer Regulierung besondere Ausprägungen eines ISMS, vgl. Grudzien, DuD 40 (2015), S. 29, 33; vgl. bereits Capellaro, Die Berücksichtigung der Informationssicherheit im Unternehmen, in: Reinhard / Pohl / Capellaro, IT-Sicherheit und Recht, S. 351 (ohne Bezug auf § 8a Abs. 1 BSIG). 225 Vgl. Capellaro, Die Berücksichtigung der Informationssicherheit im Unternehmen, in: Reinhard / Pohl / Capellaro, IT-Sicherheit und Recht, S. 351, 358 f. 226 BT-Drs. 18 / 4096, S. 26; Roth, ZD 2015, S. 17, 20. 227 Vgl. § 6 A. I. 228 Schreibauer / Spittka, ITRB 2015, S. 240, 241; zu § 13 Abs. 7 TMG Michaelis, ITRB 2016, S. 118, 119. 220 Leisterer,
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit267
ee) Zwischenergebnis Der Gesetzgeber gibt mit den organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der IT keinen einheitlichen Mindeststandard oder konkret zu treffende Maßnahmen vor. Stattdessen steckt er mit den technischen und organisatorischen Vorkehrungen lediglich einen Ordnungsrahmen, in dem der einzelne Betreiber selbst entscheiden kann, welche Maßnahmen die IT-Sicherheit für seine Infrastruktur gewährleisten können. Die konkreten Sicherungsmaßnahmen nehmen die Betreiber eigenständig vor, wobei ihnen ein weiter Umsetzungsspielraum bleibt. Bezieht man das Ziel der Maßnahmen, Störungen der IT-Sicherheit zu vermeiden bzw. zu beheben, und das zu gewährleistende IT-Sicherheitsniveau mit ein, kann der Normadressat erkennen, welche Vorkehrungen er im Einzelnen vorzunehmen hat.229 b) Festlegung des angemessenen IT-Sicherheitsniveaus Die soeben beschriebenen organisatorischen und technischen Vorkehrungen müssen nur in angemessenem Umfang getroffen werden, § 8a Abs. 1 S. 1, 3 BSIG. Zusätzlich zur ausdrücklichen Nennung des Angemessenheitsmaßstabes zeigen dies bereits die einzelnen Schutzziele der IT-Sicherheit und ihr zu gewährleistendes IT-Sicherheitsniveau. Dieses ist nicht absolut und in vollem Umfang zu schützen.230 Stattdessen ist eine Beeinträchtigung eines der Ziele erst bei jedenfalls potentiellen Auswirkungen auf die Funktions fähigkeit der Kritischen Infrastruktur anzunehmen.231 Insofern muss mit den organisatorischen und technischen Maßnahmen lediglich ein angemessenes, der dienenden Funktion der IT entsprechendes IT-Sicherheitsniveau geschaffen werden.232 Das Angemessenheitserfordernis bezieht sich nicht direkt auf das zu gewährleistende IT-Sicherheitsniveau, sondern auf die organisatorischen und technischen Vorkehrungen als solche. Dabei stellt es den Aufwand hierfür in 229 Zu Sanktionsmöglichkeiten von Verstößen siehe sogleich unten bei § 7 A. I. 3.; zu den Durchsetzungsmechanismen der gesamten Sicherungspflicht siehe § 7 A. II. 230 Vgl. oben bei § 7 A. I. 2. a) aa)–cc). 231 Der Störungsbegriff der Meldepflicht in § 8b Abs. 4 BSIG ist noch weiter und erfasst auch Beeinträchtigungen ohne Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur, vgl. § 8b Abs. 4 S. 1 Nr. 2 BSIG. Siehe hierfür auch § 7 A. III. 1. a). 232 Insofern ist der Angemessenheitsmaßstab unionsrechtlich über das im Hinblick auf das Risiko angemessene IT-Sicherheitsniveau determiniert. Vgl. Art. 14 Abs. 1 S. 2 a. E. RL (EU) 2016 / 1148.
268
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Relation zum verfolgten Schutzzweck der Vermeidung eines Infrastrukturausfalls infolge einer Störung der IT-Sicherheit, § 8a Abs. 1 S. 3 BSIG.233 Für die Beurteilung der Angemessenheit der Maßnahmen müssen auf Seiten der Betreiber der Aufwand einschließlich der anfallenden Kosten berücksichtigt werden.234 Dem können nur die Ausfall- und Beeinträchtigungsfolgen der Kritischen Infrastruktur gegenübergestellt werden. Darüber hinausgehende Aspekte sind nicht berücksichtigungsfähig.235 Da Schutzzweck nicht die IT-Sicherheit für sich, sondern in ihrer dienenden Funktion zugunsten der mit der IT betriebenen Kritischen Infrastrukturen ist, muss mit den Maßnahmen nur dasjenige Niveau an IT-Sicherheit erreicht werden, das die Kritischen Infrastrukturen zu ihrer von der IT abhängigen Funktionsfähigkeit bedürfen.236 Hieraus folgt, dass die Bedeutung der zu schützenden IT in der Architektur der Infrastruktur sowie die Exposition gegenüber informationstechnischen Risiken237 von den Ausfall- und Beeinträchtigungsfolgen als Abwägungsposten mitumfasst sind. Aufgrund der Bedeutung der Kritischen Infrastrukturen für das Gemeinwesen sind sie allein deshalb ständig einem besonderen Risiko für zielgerichtete informationstechnische Bedrohungen ausgesetzt.238 Infolgedessen ist im Grundsatz von der Angemessenheit der zur Erhöhung der IT-Sicherheit notwendigen Maßnahmen auszugehen.239 Insoweit wird der Angemessenheitsmaßstab durch § 8a Abs. 1 S. 3 BSIG zu Lasten des Betreibers verschoben. Die Sicherungsmaßnahmen müssen und können aber nur gegen bekannte und nicht völlig ausgeschlossene Bedrohungen getroffen werden.240 Der Angemessenheitsvorbehalt 233 Vgl. Art. 14 Abs. 1 S. 2 a. E. RL (EU) 2016 / 1148; Roos, MMR 2014, S. 723, 725; Roth, ZD 2015, S. 17, 20; vgl. Eckhardt, in: Geppert / Schütz, Beck’scher TKGKommentar, § 109 TKG, Rdnr. 46. 234 BT-Drs. 18 / 4096, S. 26, 35. 235 Eckhardt, ZD 2014, S. 599, 600. 236 Siehe bereits oben zum divergierenden Niveau des nötigen Schutzes für die einzelnen IT-Sicherheits-Schutzziele § 7 A. I. 2. a) aa), cc). 237 Dolle / Lurz, Sicherheit von kritischen Infrastrukturen in Deutschland – sind wir mit dem IT-Sicherheitsgesetz auf dem richtigen Weg?, in: Paulsen, Sicherheit in vernetzten Systemen, H-3; vgl. Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 26. 238 Birkmann / Bach / Guhl u. a., State of the art der Forschung zur Verwundbarkeit kritischer Infrastrukturen am Beispiel Strom / Stromausfall, S. 44, 49; BSI, Die Lage der IT-Sicherheit in Deutschland 2014, S. 39; BSI, Die Lage der IT-Sicherheit in Deutschland 2015, S. 44. 239 In diese Richtung bzgl. der Telekommunikationsnetze und -dienste, „die für die Allgemeinheit von wesentlicher Bedeutung sind“ Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 26. 240 Vgl. zu § 109 TKG Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 46; Mozek, in: Säcker, Telekommunikationsgesetz, § 109,
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit269
schließt vielmehr nur diejenigen Vorkehrungen aus, die hohe Kosten verursachen und die IT-Sicherheit nur in geringem Maße ohne erheblichen Nutzen für die Versorgungssicherheit mit kritischen Dienstleistungen erhöhen. Dabei ist darauf zu achten, dass über den Angemessenheitsmaßstab das Ziel der IT-Sicherheit Kritischer Infrastrukturen nicht unterlaufen wird.241 Er lässt nicht zu, dass wegen hoher Kosten keinerlei Maßnahmen zur Gewährleistung der IT-Sicherheit getroffen werden.242 Stattdessen ist bei der Unangemessenheit einer Maßnahme auf diejenige zurückzufallen, die unter den angemessenen das höchste IT-Sicherheitsniveau herstellt. Infolge der Konkretisierung des Angemessenheitsmaßstabes durch § 8a Abs. 1 S. 3 BSIG und der Einbeziehung in das System der dogmatischen Bausteine der Sicherungspflicht, kann der Betreiber erkennen, welches IT-Sicherheitsniveau angemessen ist. c) Stand der Technik Die Sicherungsvorkehrungen sollen den Stand der Technik einhalten, § 8a Abs. 1 S. 2 BSIG.243 Unter dem Stand der Technik „ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Komponenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt“, zu verstehen.244 Bei dessen Bestimmung „sind insbesondere einschlägige internationale, europäische und nationale Normen und Standards heranzuziehen, aber auch vergleichbare Verfahren, Einrichtungen und Betriebsweisen, die mit Erfolg in der Praxis erprobt wurden. Die Verpflichtung zur Berücksichtigung des Standes der Technik schließt die Möglichkeit zum Einsatz solcher Vorkehrungen nicht aus, die einen ebenso effektiven Schutz wie die anerkannten Vorkehrungen nach dem Stand der Technik bieten“.245 Es wird deutlich, dass zwar nicht die neuesten wissenschaftlichen Erkenntnisse berücksichtigt werden müssen, aber auch nicht Vorkehrungen genügen, die sich bewährt und allgemein durchgesetzt haRdnr. 29; hier zeigt sich das Zusammenspiel der Sicherungspflicht mit der unter § 7 A. III. noch zu behandelnden Meldepflicht, die Informationsflüsse generiert. 241 Roth, ZD 2015, S. 17, 20; zu Sanktionsmöglichkeiten von Verstößen siehe sogleich unten bei § 7 A. I. 3.; zu den Durchsetzungsmechanismen der gesamten Sicherungspflicht siehe § 7 A. II. 242 Vgl. zum ähnlichen Angemessenheitsvorbehalt des § 9 BDSG Ernestus, in: Simitis, Bundesdatenschutzgesetz, § 9 BDSG, Rdnr. 24. 243 Die Einhaltung des Standes der Technik ist bereits in Art. 14 Abs. 1 S. 2 RL (EU) 2016 / 1148 vorgesehen. 244 BT-Drs. 18 / 4096, S. 26. 245 BT-Drs. 18 / 4096, S. 26.
270
Teil 3: Die normative Gewährleistung der IT-Sicherheit
ben.246 Dieser Mittelweg trägt der effektiven Sicherung der IT sowie der nötigen Erprobung der Praxistauglichkeit der Sicherungsvorkehrungen Rechnung. Hierdurch wird vermieden, dass durch eine nicht ausgereifte Praxistauglichkeit die jeweiligen Maßnahmen selbst eine Beeinträchtigung der ITSicherheit hervorrufen. Aus diesem Grund hat der Gesetzgeber nicht nur, wie ursprünglich vorgesehen, zur Berücksichtigung,247 aber auch nicht zur ausnahmslosen Einhaltung des Standes der Technik verpflichtet.248 Aus der Formulierung „soll (…) eingehalten werden“, § 8a Abs. 1 S. 2 BSIG, wird deutlich, dass der Stand der Technik im Grundsatz einzuhalten ist, eine Ausnahme im Einzelfall, insbesondere aufgrund von Problemen in der praxistauglichen Umsetzung, jedoch möglich bleibt. Nichtsdestotrotz ist die Einhaltung des Standes der Technik als typischer Fall vorgegebenen.249 Diese Abweichungsmöglichkeit wirkt sich auch auf die Ahndung von Verstößen gegen den Stand der Technik aus. Konsequenterweise fehlt eine Sanktionsbewehrung eines Verstoßes durch Bußgelder.250 Die Durchsetzung dieses dogmatischen Bausteins der dynamisierten Sicherheitsgewährleistung wird allein über die Instrumente der Nachweispflicht und der Überprüfungsbefugnis des BSI, § 8a Abs. 3, 4 BSIG, sichergestellt.251 Abschließend muss klargestellt werden, dass die Umsetzung der Maßnahmen nach dem Stand der Technik nicht dazu führt, dass diese dadurch lediglich dem niedrigeren Niveau der „allgemein anerkannten Regeln der Technik“252 entsprechen. Denn die ständige Dynamisierung und Anpassung der Sicherheitsmaßnahmen beschleunigt zwar die Erhöhung des IT-Sicherheitsniveaus, doch haben sich Maßnahmen, die allein im Bereich der Kritischen Infrastrukturen üblich sind, noch nicht allgemein durchgesetzt. Damit sind sie deshalb noch nicht als „allgemein anerkannte Regeln der Technik“ einzustufen.
246 Zur Abgrenzung vom „Stand von Wissenschaft und Technik“ sowie von den „allgemein anerkannten Regeln der Technik“ Holznagel, Recht der IT-Sicherheit, § 4, Rdnr. 19. 247 Roßnagel, DVBl. 2015, S. 1206, 1208; vgl. Hornung, BT / InnenA, ProtokollNr. 18 / 44, S. 14; Roßnagel, BT / InnenA, Protokoll-Nr. 18 / 44, S. 19. 248 Mit dieser Forderung aber Sitte, BT-Plenarprotokoll 18 / 110, S. 10575. 249 BT-Drs. 18 / 5121, S. 15; Roßnagel, DVBl. 2015, S. 1206, 1208. 250 Zur fehlenden Sanktionsmöglichkeit von Verstößen gegen den Stand der Technik siehe § 7 A. I. 3. 251 Siehe hierzu § 7 A. II. 252 Hierunter sind Maßnahmen zu verstehen, die sich in der Praxis bewährt und allgemein durchgesetzt haben, Holznagel, Recht der IT-Sicherheit, § 4, Rdnr. 19.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit271
Festgehalten werden kann, dass über den Baustein des Standes der Technik die dynamische Gestaltung der IT-Sicherheitsgewährleistung dogmatisch durch eine Verknüpfung mit (informations-)technischen Entwicklungen abgesichert wird. d) Die notwendige IT Die Sicherungspflicht des § 8a Abs. 1 S. 1 BSIG beschränkt sich auf die zum Betrieb einer Kritischen Infrastruktur notwendige IT. Unter der notwendigen IT ist diejenige zu verstehen, ohne die die kritischen Infrastrukturdienstleistungen nicht erbracht werden könnten. Als nicht notwendige IT ist nur solche zu qualifizieren, die lediglich dazu dient, eine besonders hohe Qualität der Infrastrukturdienstleistung zu gewährleisten, wenn bereits die mindere Qualität als ausreichende Erbringung einer kritischen Dienstleistung genügt. Darüber hinaus wird solche IT nicht erfasst, die zur Erbringung anderer unkritischer Nebendienstleistungen eingesetzt wird. Denn die IT Kritischer Infrastrukturen wird nur wegen der Ausfallfolgen der hiervon abhängigen Infrastrukturen erfasst.253 Daher ist lediglich diejenige IT notwendig, die Einfluss auf die Erbringung der kritischen Dienstleistung hat.254 Vor dem Hintergrund der Erhöhung der IT-Sicherheit und dem Schutz der Funktionsfähigkeit Kritischer Infrastrukturen führt die Beschränkung auf die notwendige IT sicherheitsrechtlich geprägte Aspekte der Schutzpflichten mit solchen der Infrastrukturgewährleistung auf einfachgesetzlicher Ebene zusammen. Nur so weit reicht auch die altruistisch begründete Pflichtigkeit der Betreiber255 und die auf Grundrechtsgehalten zugunsten der Nutzer beruhende staatliche Infrastrukturgewährleistungsverantwortung.256 Damit ist die Beschränkung auf die notwendige IT Ausdruck des Übermaßverbotes. e) Umsetzungsfrist Die Sicherungspflicht muss „spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Abs. 1“ BSIG, die den personellen Anwendungsbereich bestimmt, erfüllt werden. Da die Bestimmung des personellen Anwendungsbereiches sektorenbezogen in zwei Körben erfolgt, beginnt diese Frist für den einzelnen Betreiber erst dann, wenn die BSI-KritisV ihn 253 BT-Drs. 18 / 4096,
S. 2. S. 26. 255 Siehe hierzu § 5 B. II., C. 256 Siehe hierzu § 4 A. II., B. II. 254 BT-Drs. 18 / 4096,
272
Teil 3: Die normative Gewährleistung der IT-Sicherheit
als Kritische Infrastruktur qualifiziert.257 Die Frist von zwei Jahren wurde während des Gesetzgebungsverfahrens seitens der Vertreter der Betreiber als zu kurz,258 von anderer Seite als zu lange259 bezeichnet. Da das Bedürfnis nach einer möglichst schnellen effektiven Sicherung der IT mit dem Zeitraum, der für ihre Konzeption und Ausführung benötigt wird, in Ausgleich gebracht werden muss, ist eine Übergangsfrist von zwei Jahren als angemessen anzusehen. Betreiber Kritischer Infrastrukturen aus den Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation werden nach § 8a Abs. 1 BSIG seit 4. Mai 2018260 verpflichtet. Für die Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr erfolgte die Festlegung erst durch eine Änderungsverordnung. Die Erste Verordnung zur Änderung der BSI-Kritisverordnung ist seit dem 30. Juni 2017 in Kraft.261 Damit sind Betreiber dieser Sektoren erst ab dem 1. Juli 2019 nach § 8a Abs. 1 BSIG verpflichtet, Sicherungsmaßnahmen zu treffen. Mittels dieser zweijährigen Übergangsfrist soll eine Ausgestaltung der Sicherungspflicht in einem zeitlich akzeptablen Zeitrahmen sichergestellt werden und den Betreibern eine angemessene Vorbereitungszeit für die zu treffenden Maßnahmen eingeräumt werden. f) Unionsrechtskonforme Umsetzung Aufgrund der Determinierung der Sicherungspflicht durch Art. 14 Abs. 1, 2 RL (EU) 2016 / 1148, muss untersucht werden, ob die unionsrechtlichen Vorgaben richtlinienkonform umgesetzt wurden. Soweit der Gesetzgeber den abstrakten Wortlaut der technischen und organisatorischen Maßnahmen nach dem Stand der Technik übernimmt, ist hiervon auszugehen. Der Stand der Technik ist dabei nicht nur zu berücksichtigen, sondern er soll nach § 8a Abs. 1 S. 2 BSIG darüber hinausgehend eingehalten werden. Da Art. 3 RL (EU) 2016 / 1148 nur eine Mindestharmonisierung vorsieht, ist dies zulässig.262 Auch ist der Angemessenheitsvorbehalt bezüglich der Maßnahmen Gehrmann / Klett, K&R 2017, S. 372, 377. InnenA-Drs. 18(4)299, S. 7 f.; BDI, InnenA-Drs. 18(4)284 E, S. 9. 259 Roos, MMR 2015, S. 636, 638. 260 Denn die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz vom 22. April 2016 wurde am 2. Mai 2016 im BGBl. I, S. 958 verkündet und tritt nach § 7 am folgenden Tag, also am 3. Mai 2016 in Kraft. 261 Art. 2 Erste Verordnung zur Änderung der BSI-Kritisverordnung vom 21. Juni 2017, BGBl. I vom 29. Juni 2017, S. 1903. 262 Zur Zulässigkeit eines höheren IT-Sicherheitsniveaus wegen der Mindestharmonisierung Kipker, ZD-Aktuell 2016, 5261. 257 Vgl.
258 DIHK,
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit273
sowie dessen Konkretisierungsmaßstab in der RL enthalten.263 Im Übrigen kann die Sicherungspflicht zulässigerweise auf die notwendige IT beschränkt werden. Im Rahmen des Wortlauts des § 8a Abs. 1 BSIG fehlt jedoch die Geeignetheit der Maßnahmen und die Zielrichtung, dass sich diese nicht nur auf die Bewältigung der Risiken für die IT-Sicherheit, sondern auch auf die Vorbeugung und Begrenzung der Auswirkungen von IT-Sicherheitsvorfällen richten sollen. Beides ist indessen unschädlich, da die organisatorischen und technischen Maßnahmen i. S. d. § 8a Abs. 1 S. 1 BSIG bereits nach dem Normzweck, die IT-Sicherheit zu erhöhen und zu gewährleisten,264 die nötige Geeignetheit aufweisen müssen. Außerdem dienen die Maßnahmen neben der Risikobewältigung der IT-Sicherheit dazu, Auswirkungen auf die Funktionsfähigkeit Kritischer Infrastrukturen vorzubeugen und, sofern diese trotzdem auftreten, so gering wie möglich zu halten.265 Damit stellt § 8a Abs. 1 BSIG eine richtlinienkonforme Umsetzung der Vorgaben aus Art. 14 Abs. 1, 2 RL (EU) 2016 / 1148 dar.266 Obwohl § 8a Abs. 1 BSIG inhaltlich die Richtlinienvorgaben wirksam umsetzt, trifft dies in zeitlicher Hinsicht nicht zu. Es wird für Infrastrukturen, die erst mit der Ersten Verordnung zur Änderung der BSI-Kritisverordnung vom 21. Juni 2017 erfasst wurden, zu einem zeitlichen Umsetzungsdefizit kommen.267 Denn die Umsetzungsfrist hat nicht für sämtliche Sektoren i. S. v. § 2 Abs. 10 S. 1 Nr. 1 BSIG, die wesentliche Dienste enthalten, mit dem Inkrafttreten des ersten Teiles der BSI-KritisV am 3. Mai 2016 am 4. Mai 2016 zu laufen begonnen. Dem Sinn und Zweck nach, kann die Umsetzungsfrist für die jeweilige Infrastruktur erst dann zu laufen beginnen, sobald sie von der BSI-KritisV als Kritische Infrastruktur qualifiziert wird. Da die BSIKritisV vom 22. April 2016 nur die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation erfasst, läuft die Umsetzungsfrist für die wesentlichen Dienste i. S. v. Anhang II RL (EU) 2016 / 1148 in den Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr nicht ab 23. April 2016. Sie hat stattdessen erst mit der Ersten Verordnung zur Änderung der BSI-Kritisverordnung vom 21. Juni 2017 am 1. Juli 2017 zu laufen begonnen. Daher besteht seit dem 10. Mai 263 Mit Blick auf den Angemessenheitsvorbehalt und den Stand der Technik Seidl, jurisPR-ITR 15 / 2014 Anm. 2. 264 BT-Drs. 18 / 4096, S. 1 f. 265 Siehe hierzu § 7 A. I. 2. a) bb). 266 Voigt / Gehrmann, ZD 2016, S. 355, 357; Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263, 276; vgl. Witt / Freudenberg, CR 2016, S. 657, 663. 267 Vgl. zur unionsrechtlichen Pflicht zum Normerlass zur rechtzeitigen Richt linienumsetzung Calliess / Kahl / Puttler, in: Calliess / Ruffert, EUV / AEUV, Art. 4 EUV, Rdnr. 60.
274
Teil 3: Die normative Gewährleistung der IT-Sicherheit
2018 bis zum Ablauf der Umsetzungsfrist des § 8a Abs. 1 S. 1 BSIG am 30. Juni 2019 für diese Bereiche ein zeitlich begrenztes Umsetzungsdefizit. Dieses Umsetzungsdefizit wird im Bereich der wesentlichen Dienste des Bankwesens und der Finanzmarktinfrastrukturen, soweit sie § 25a KWG unterliegen, inhaltlich abgeschwächt werden. Denn § 25a Abs. 1 S. 3 Nr. 4, 5 KWG erfordert bereits i. V. m. dem „Rundschreiben 10 / 2012 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk“268 der BaFin sowie dem aktuellen, dieses ersetzende „Rundschreiben 09 / 2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk“269 eine angemessene technisch-organisatorische Ausstattung sowie die Festlegung eines die IT umfassenden Notfallkonzeptes. Dies genügt aber nicht, um die Anforderungen des Art. 14 Abs. 1, 2 RL (EU) 2016 / 1148 umfänglich in nationales Recht umzusetzen. Es fehlt insbesondere die Berücksichtigung des Standes der Technik.270 Zusammenfassend ist festzuhalten, dass für die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation mit § 8a Abs. 1 BSIG i. V. m. der BSI-KritisV eine unionskonforme Umsetzung erfolgte. In den Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr kommt es vom 10. Mai 2018 bis zum 30. Juni 2019 wegen der zweijährigen Umsetzungsfrist des § 8a Abs. 1 S. 1 BSIG zu einem zeitlich begrenzten Umsetzungsdefizit. g) Dogmatische Charakteristika Abschließend sollen noch die dogmatischen Charakteristika der Sicherungspflicht herausgearbeitet werden. Die Sicherungspflicht verpflichtet die Betreiber Kritischer Infrastrukturen zu einer Eigensicherung. Sie haben die organisatorischen und technischen Vorkehrungen in eigener Verantwortung271 in den Grenzen des § 8a Abs. 1 BSIG vorzunehmen. Damit fallen die konkret zu treffenden Maßnahmen zur Gewährleistung der IT-Sicherheit nicht in den 268 Hinweis auf das Rundschreiben 10 / 2012 unter https: / / www.bafin.de / Shared Docs / Veroeffentlichungen / DE / Rundschreiben / rs_1210_marisk_ba.html?nn=823619 2#doc7846544bodyText1 (besucht am 12.06.2018). 269 https: / / www.bafin.de / SharedDocs / Veroeffentlichungen / DE / Rundschreiben / 2017 / rs_1709_marisk_ba.html?nn=8236192 (besucht am 12.06.2018). 270 Siehe zum Vergleich von § 8a Abs. 1 BSIG und § 25a Abs. 1 S. 3 Nr. 4, 5 KWG § 7 A. I. 5. 271 Die Eigenverantwortlichkeit bereits vor der Diskussion um das IT-Sicherheitsgesetz betonend Wagner, Anforderungen und Möglichkeiten eines Rechtsrahmens für IT-Sicherheit: Bedarf es eines IT-Sicherheitsrahmengesetzes?, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer In frastrukturen, S. 144, 151; vgl. unten bei § 7 D.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit275
behördlichen Tätigkeitsbereich. Die unmittelbare Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen wird Privaten überlassen. Hierbei kann an der auf verfassungsrechtlicher und unionsprimärrechtlicher Ebene angelegten Eigensicherungspflichtigkeit der Betreiber Kritischer Infrastrukturen angeknüpft werden.272 Zur Gewährleistung der IT-Sicherheit wird nicht nur die Vornahme der konkreten Sicherungsmaßnahmen den Betreibern überlassen. Es wird auch das Wissen und die Erfahrung der Betreiber bei der Implementierung der Sicherungsmaßnahmen in die Architektur der Infrastruktur und ihrer Prozesse mobilisiert.273 Dass diese Potentiale genutzt werden können, ermöglichen die unbestimmten Rechtsbegriffe der angemessenen organisatorischen und technischen Maßnahmen nach dem Stand der Technik. Diese bewirken, dass die konkreten Sicherungsmaßnahmen an die jeweiligen infrastrukturellen Gegebenheiten, die Bedrohungslage für die IT-Sicherheit und (informations-) technische Entwicklungen angepasst werden können. So verhindert der Einsatz unbestimmter Rechtsbegriffe Lücken bei der Sicherung der IT. 3. Sanktionsmöglichkeiten Die Durchsetzung der Sicherungspflicht erfolgt über die sogleich zu erörternden Durchsetzungsmechanismen sowie den Ordnungswidrigkeitentatbestand des § 14 Abs. 1 Nr. 1 BSIG. Aufgrund des Letzteren können Betreiber, die die nach § 8a Abs. 1 S. 1 BSIG erforderlichen Maßnahmen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig treffen, mit einem Bußgeld i. H. v. bis zu 50.000 € belegt werden. Von § 14 Abs. 1 Nr. 1 BSIG wird durch den auf § 8a Abs. 1 S. 1 BSIG begrenzten Verweis der Stand der Technik ausgenommen. Obwohl die Sicherungspflicht sanktionsbewehrte unbestimmte Rechtsbegriffe wie die organisatorischen und technischen Vorkehrungen oder den Angemessenheitsvorbehalt enthält, sind diese Tatbestandsmerkmale von hinreichender Bestimmtheit. Für Art. 103 Abs. 2 GG genügt es, wenn sich die „Voraussetzungen der Strafbarkeit (…) jedenfalls durch Auslegung ermitteln lassen“.274 Dies ist für beide unbestimmte Rechtsbe272 Siehe zur Eigensicherungspflichtigkeit der Betreiber Kritischer Infrastrukturen § 5; die Auswirkungen dieser Anknüpfung an eine bestehende Eigensicherungspflichtigkeit zeigen sich nicht hier, sondern erst bei der Prüfung der verfassungs- und unionsrechtlichen Zulässigkeit der Pflichten am Maßstab der Grundrechte. Siehe hierzu unten § 9 B. 273 Vgl. Schmidt am Busch, Die Verwaltung 49 (2016), S. 205, 206. 274 BVerfGE 92, 1, 12 = NJW 1995, S. 1141; vgl. BVerfGE 47, 109, 120 = NJW 1978, S. 933, 934; BVerfGE 126, 170, 196 = NJW 2010, S. 3209, 3210; vgl. Radtke / Hagemeier, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 103 GG, Rdnr. 26.
276
Teil 3: Die normative Gewährleistung der IT-Sicherheit
griffe der Fall. Derjenige der organisatorischen und technischen Vorkehrungen kann durch Auslegung konkretisiert werden. Derjenige der Angemessenheit wurde bereits in § 8a Abs. 1 S. 3 BSIG durch eine Bestimmung des zugrunde zu legenden Maßstabes konkretisiert. Nur die fehlende Einhaltung des Standes der Technik kann nicht mit einem Bußgeld belegt werden. Dies stellt eine Lücke bei der Durchsetzung der Sicherungspflicht dar. Aus Sicht einer effektiven Gewährleistung der IT-Sicherheit ist dies zu kritisieren. Die fehlende Sanktionierungsmöglichkeit der Einhaltung des Standes der Technik ist zwar nicht Folge des Bestimmtheitsgebot des Art. 103 Abs. 2 GG. Denn auch der Stand der Technik kann durch Auslegung konkretisiert werden.275 Jedoch unterliegt der konkrete Stand der Technik ständigen Entwicklungen und ist nicht zwingend einzuhalten. Infolgedessen besteht nur ein eingeschränktes Bedürfnis nach repressiven Sank tionsmöglichkeiten. Stattdessen kann dieser mit der Nachweispflicht des § 8a Abs. 3 S. 1 BSIG, den hieran andockenden Befugnissen der § 8a Abs. 3 S. 4, 5 BSIG und der Überprüfungsbefugnis nach § 8a Abs. 4 BSIG durchgesetzt werden.276 Aufgrund der Herausnahme des „Standes der Technik“ i. S. v. § 8a Abs. 1 S. 2 BSIG aus dem Ordnungswidrigkeitentatbestand des § 14 Abs. 1 Nr. 1 BSIG, stellt sich die Frage, ob die unionsrechtlichen Vorgaben zu den Sank tionen ordnungsgemäß umgesetzt werden. Art. 15 RL (EU) 2016 / 1148 ist hierfür nicht einschlägig. Er enthält keine Vorgaben zur direkten Durchsetzung der Sicherungspflicht, sondern nur zur Informationsbeschaffung, um überprüfen zu können, ob die Sicherungspflicht eingehalten wurde. Der einschlägige Art. 21 RL (EU) 2016 / 1148 fordert nur, dass Sanktionen angemessen und abschreckend sein sollen. Sie müssen jedoch nicht unmittelbar auf einen Verstoß gegen die Sicherungspflicht folgen. Die unionsrechtlichen Vorgaben lassen daher zu, dass ein Verstoß gegen den Stand der Technik erst nach einem Verstoß gegen ein Verlangen zur Beseitigung der Sicherungsmängel nach § 8a Abs. 3 S. 5 BSIG über § 14 Abs. 1 Nr. 2 BSIG sanktioniert wird.277 Sanktionen i. H. v. bis zu 50.000 € sind hierzu geeignet.278 Damit werden die unionsrechtlichen Vorgaben des Art. 21 RL (EU) 2016 / 1148 zu den 275 Vgl. § 7 A. I. 2. c); vgl. zum vergleichbaren Begriff „Stand der wissenschaftlichen Erkenntnis“ BVerfG NJW 2000, S. 3417. 276 Vgl. hierzu unten § 7 A. II. 1., 2., 3. sowie insbesondere 6. 277 Vgl. zu § 8a Abs. 3 S. 5 BSIG und den Sanktionsmöglichkeiten unten § 7 A. II. 2. 278 A. A. im Hinblick auf einen Vergleich mit Art. 83 VO (EU) 2016 / 679 Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263, 277. Hierbei wird jedoch der ebenfalls der Durchsetzbarkeit dienende Nachweis der Einhaltung der Sicherungspflicht außer Acht gelassen. Im Übrigen ist ein Vergleich
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit277
Sanktionen im Falle einer Verletzung der Sicherungspflicht richtlinienkonform umgesetzt. 4. Verhältnis der Sicherungspflicht zu § 9 BDSG Bereits bei der Abgrenzung der Begriffe der IT-Sicherheit zur Datensicherheit nach § 9 BDSG wurde deutlich, dass sich Datensicherheit und IT-Sicherheit überschneiden, sofern personenbezogene Daten geschützt werden sollen. In diesem Bereich besteht aufgrund der Sicherungspflicht aus § 8a Abs. 1 BSIG und derjenigen aus § 9 BDSG i. V. m. der Anlage zu § 9 BDSG eine Doppelregulierung. Während § 8a BSIG „organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“ der IT normiert, sind nach § 9 BDSG diejenigen „technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um (…) die in der Anlage zu diesem Gesetz genannten Anforderungen (…) zu gewährleisten“. Die in der Anlage vorgeschriebenen Vorkehrungen der Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle sowie eine der Zweckbindung entsprechende getrennte Verarbeitung der Daten stellen die Verfügbarkeit, Integrität, Authentizität und die Vertraulichkeit der Daten und des Datensystems sicher.279 Damit stimmen die Anforderungen, des § 8a Abs. 1 BSIG und des § 9 BDSG in ihrem Überschneidungsbereich, dem Schutz personenbezogener Daten, sowohl in den Mitteln als auch in ihrer Schutzrichtung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit überein.280 Somit stellt sich die Frage nach dem Verhältnis des § 8a Abs. 1 BSIG zu § 9 BDSG. Beide Normen verfolgen divergierende Schutzziele. Während § 8a Abs. 1 BSIG die Funktionsfähigkeit der IT als Notwendigkeit für die Funktionsfähigkeit Kritischer Infrastrukturen gewährleisten soll,281 wird mit den in der VO (EU) 2016 / 679 vorgesehenen Höhen der Bußgelder in der RL (EU) 2016 / 1148 nicht angelegt. 279 Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 105; Gola / Schomerus, BDSG, § 9 BDSG, Rdnr. 2; vgl. Kramer / Meints, in: Auernhammer / Eßer / Kramer u. a., BDSG, § 9 BDSG, Rdnr. 23 ff.; Karg, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, § 9 BDSG, Rdnr. 44 ff. 280 Albers, § 22, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 105 m. w. N.; Federrath / Pfitzmann, Datensicherheit, in: Schulte / Schröder, Handbuch des Technikrechts, S. 857, 859 ff.; Gitter / Meißner / Spauschus, DuD 2015, S. 7, 8; anders Ernestus, in: Simitis, Bundesdatenschutzgesetz, § 9 BDSG, Rdnr. 1, 48, der jedenfalls eine begriffliche Anknüpfung ablehnt. Dies trifft zwar bei einer rein begrifflichen, nicht jedoch bei einer inhalt lichen Betrachtung zu. 281 BT-Drs. 18 / 4096, S. 1, 2.
278
Teil 3: Die normative Gewährleistung der IT-Sicherheit
durch § 9 BDSG das allgemeine Persönlichkeitsrecht geschützt.282 Beide Normen überschneiden sich lediglich bei einem personenbezogenen Datum, welches jeweiliger Anknüpfungspunkt ist. Aufgrund dieser unterschiedlichen Schutzrichtungen sind § 8a Abs. 1 BSIG und § 9 BDSG nebeneinander anwendbar. Auch auf Ebene der Umsetzung durch die Normadressaten fordert die Doppelregulierung nichts Widersprüchliches. Beide Sicherungspflichten unterstehen einem Angemessenheitsvorbehalt, der in beiden Fällen anhand des Schutzzwecks zu ermitteln ist.283 Hieraus und im Hinblick auf die Einhaltung des Standes der Technik, der in S. 3 der Anlage zu § 9 BDSG nur für einen Ausschnitt der Sicherungsvorkehrungen,284 bei § 8a Abs. 1 S. 2 BSIG aber als Grundsatz normiert wurde, kann sich ein divergierendes IT-Sicherheits niveau ergeben. Wegen der Anwendbarkeit beider Normen muss sich im Überschneidungsbereich am jeweils höheren Niveau orientiert werden.285 Eine Doppelregulierung der IT-Sicherheit im Verhältnis zu § 9 BDSG und seiner Anlage führt weder für die Betreiber zu besonderem Mehraufwand, noch folgen widersprüchliche Vorgaben zu den zu treffenden Vorkehrungen. Stattdessen verstärken sich die § 8a Abs. 1 BSIG und § 9 BDSG gegenseitig, indem das höhere IT-Sicherheitsniveau einzuhalten ist. 5. Verhältnis der Sicherungspflicht zu § 25a Abs. 1 S. 3 Nr. 4, 5 KWG Im Sektor Finanz- und Versicherungswesen besteht eine weitere Überschneidung mit § 25a KWG. Der Überschneidungsbereich betrifft Kreditinstitute nach § 1 Abs. 1 KWG286 und Finanzdienstleistungsinstitute nach § 1 Abs. 2 KWG,287 § 1 Abs. 1b KWG. Diese Institute haben nach § 25a Abs. 1 S. 3 Nr. 4, 5 KWG und dem diese Norm konkretisierenden288 „Rundschreiben 09 / 2017 (BA) – Mindestanforderungen an das Risikomanagement – 282 § 1
Abs. 1 BDSG. zu § 9 BDSG, S. 1; vgl. § 8a Abs. 1 S. 3 BSIG. 284 Eine Berücksichtigung des Standes der Technik kann nur eingeschränkt in den „erforderlichen Maßnahmen“ verankert werden. Dies bzgl. gewonnener Erkenntnisse andeutend Gaycken / Karger, MMR 2011, S. 3, 7. 285 Vgl. Gitter / Meißner / Spauschus, DuD 2015, S. 7, 8. 286 Dies sind Unternehmen, die Bankgeschäfte gewerbsmäßig oder in einem Umfang betreiben, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert. 287 Dies sind Unternehmen, die Finanzdienstleistungen für andere gewerbsmäßig oder in einem Umfang erbringen, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, und die keine Kreditinstitute sind. 288 Grudzien, DuD 40 (2015), S. 29, 32. 283 Anlage
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit279
MaRisk“289 der BaFin eine angemessene technisch-organisatorische Ausstattung vorzuweisen sowie ein die IT umfassendes Notfallkonzept festzulegen. Die IT-Systeme und Prozesse müssen die Verfügbarkeit, Integrität, Authentizität sowie Vertraulichkeit der Daten sicherstellen. Um dies zu gewährleisten, ist auf gängige Standards abzustellen.290 Dabei kann sich, ebenso wie bei den organisatorischen und technischen Maßnahmen des § 8a Abs. 1 S. 1 BSIG, an der ISO 2700X-Reihe und dem IT-Grundschutzkatalog des BSI orientiert werden.291 Ebenfalls unterliegen die vorzuhaltende Ausstattung sowie das Notfallkonzept einem Angemessenheitsvorbehalt, § 25a Abs. 1 S. 3 Nr. 4, 5 KWG. Die Angemessenheit ist ähnlich der Struktur des § 8a Abs. 1 S. 3 BSIG vom Risikoprofil des Instituts abhängig, das durch Art und Umfang der Geschäftstätigkeit geprägt wird.292 Damit ist auch hier der Schutzzweck maßgeblich. Jedoch fehlt in § 25a KWG und in der diesen konkretisierenden MaRisk die Verknüpfung mit dem Stand der Technik. Stattdessen ist mit MaRisk AT 7.2 Nr. 2 nur auf „gängige Standards“ abzustellen. Infolgedessen wird § 8a Abs. 1 BSIG in der Sache § 25a Abs. 1 S. 3 Nr. 4, 5 KWG entsprechende Sicherungsvorkehrungen der IT erfordern, wobei sich diese durch die Dynamisierung über den Stand der Technik auf einem höheren IT-Sicherheitsniveau bewegen. § 8a Abs. 1 BSIG und § 25a KWG sind nebeneinander anwendbar.293 § 8d Abs. 2 Nr. 5 BSIG greift nicht, da § 25a KWG wegen des niedrigeren IT-Sicherheitsniveaus nicht mit § 8a Abs. 1 BSIG vergleichbar ist. Keine kann die jeweils andere verdrängen, da sie unter verschiedenen Blickwinkeln leges speciales sind. § 8a Abs. 1 BSIG bezieht sich auf die Betreiber Kritischer Infrastrukturen, wohingegen § 25a KWG unabhängig von der Kritikalität Kredit- und Finanzdienstleistungsinstitute reguliert. 6. Branchenspezifische Sicherheitsstandards Nach § 8a Abs. 2 BSIG können die Betreiber Kritischer Infrastrukturen und ihre Branchenverbände branchenspezifische Sicherheitsstandards erarbeiten.294 Auf Antrag stellt das BSI fest, ob diese den Anforderungen des 289 Abrufbar unter https: / / www.bafin.de / SharedDocs / Veroeffentlichungen / DE / Rundschreiben / 2017 / rs_1709_marisk_ba.html?nn=8236192 (besucht am 12.06.2018). 290 MaRisk AT 7.2 Nr. 2; Repenthien, Kreditwesengesetz mit CRR, § 25a KWG, Rdnr. 188. 291 BaFin, Erläuterungen zu den MaRisk in der Fassung vom 27.10.2017, S. 28 f. 292 Braun / Wolfgarten, in: Boos / Fischer / Schulte-Mattler, Kreditwesengesetz, § 25a KWG, Rdnr. 109; vgl. Gaycken / Karger, MMR 2011, S. 3, 7. 293 Repenthien, Kreditwesengesetz mit CRR, § 25a KWG, Rdnr. 196a. 294 Diese als kooperativen Prozess „halbstaatlicher Standardsetzung“ bezeichnend Wischmeyer, Die Verwaltung 50 (2017), S. 155, 168.
280
Teil 3: Die normative Gewährleistung der IT-Sicherheit
§ 8a Abs. 1 BSIG entsprechen. Die Feststellung erfolgt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (Nr. 1) und im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde (Nr. 2). Die Möglichkeit, branchenspezifische Sicherheitsstandards vom BSI feststellen zu lassen, ist zwar nicht Teil der umzusetzenden Sicherungspflicht nach Art. 14 Abs. 1, 2 RL (EU) 2016 / 1148. Jedoch bewegt sich der Gesetzgeber hierbei im Rahmen seines Umsetzungsspielraumes, indem er eine Möglichkeit zur Konkretisierung der unbestimmten Rechtsbegriffe der Sicherungspflicht schafft.295 Derzeit existieren lediglich im Bereich der Öffentlichen Wasserversorgung bzw. Abwasserbeseitigung sowie im Bereich der Ernährung branchenspezifische Sicherheitsstandards, deren Eignung vom BSI bereits festgestellt wurde. Weitere befinden sich in der Ausarbeitung durch die jeweiligen Branchen.296 Die branchenspezifischen Sicherheitsstandards stellen einen besonderen Baustein der IT-Sicherheitsgewährleistung dar, der aus den Übrigen herausragt und dogmatische Fragen aufwirft. Da hier Private den Inhalt ausarbeiten und das BSI feststellt, ob er geeignet ist, die Anforderungen des § 8a Abs. 1 BSIG zu gewährleisten, stellt sich die Frage nach der Rechtsnatur und den Rechtswirkungen dieser branchenspezifischen Sicherheitsstandards. Um diese Fragen zu klären, muss sich zunächst mit dem Regelungsgehalt des § 8a Abs. 2 BSIG auseinandergesetzt werden. Hierbei ist zu untersuchen, welche inhaltlichen Anforderungen an die branchenspezifischen Sicherheitsstandards gestellt werden und wer berechtigt ist, eine solche Feststellung zu beantragen. a) Anforderungen an den Vorschlag eines branchenspezifischen Sicherheitsstandards Die Anforderungen, die ein branchenspezifischer Sicherheitsstandard erfüllen muss, damit er das IT-Sicherheitsniveau des § 8a Abs. 1 BSIG zu gewährleisten vermag, werden in § 8a Abs. 2 BSIG vorgegeben. aa) Materielle Anforderungen In § 8a Abs. 2 BSIG werden selbst keine materiellen Anforderungen normiert, die ein branchenspezifischer Sicherheitsstandard erfüllen muss. Erst 295 Eckhardt,
ZD 2014, S. 599, 600; Seidl, jurisPR-ITR 9 / 2014 Anm. 2. zu einer Liste, in welchen Branchenarbeitskreisen des UPKRITIS branchenspezifische Sicherheitsstandards ausgearbeitet werden https: / / www.bsi.bund. de / DE / Themen / Industrie_KRITIS / KRITIS / IT-SiG / Was_tun / Stand_der_Technik / B3S_BAKs / B3S_BAKs_node.html (besucht am 12.06.2018). 296 Siehe
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit
281
über den Verweis auf § 8a Abs. 1 BSIG werden die inhaltlichen Anforderungen deutlich. In ihm müssen angemessene organisatorische und technische Maßnahmen in abstrakter oder konkreter Weise beschrieben werden, die nach dem Stand der Technik Störungen der Schutzziele der IT-Sicherheit vermeiden oder beseitigen. Dafür müssen die hierin geforderten Maßnahmen Wirkung entfalten und dürfen keine unerwünschten Nebeneffekte zeitigen.297 Weitere Anforderungen bezüglich des Inhalts werden nicht normiert. Diese inhaltliche Offenheit soll den Betreibern und deren Branchenverbänden einen möglichst breiten Raum zur Selbstregulierung überlassen.298 Die Zurückhaltung des Gesetzgebers mit materiellen Anforderungen an den Vorschlag eines Sicherheitsstandards ist geboten. Denn die Betroffenen können selbst besser entscheiden, in welchen Punkten eine Zusammenarbeit mit anderen Privaten sinnvoll ist und in welchem Umfang gemeinsame Standards erarbeitet werden können.299 Der inhaltlichen Offenheit des § 8a Abs. 2 BSIG entspricht, dass die Antragsteller entscheiden, ob der branchenspezifische Sicherheitsstandard lediglich allgemeine Leitlinien oder konkret zu treffende Maßnahmen enthält.300 Die Beschreibung konkret zu treffender Maßnahmen darf jedoch nicht so weit reichen, dass die Versorgung mit kritischen Infrastrukturdienstleistungen durch identische und damit auch Sicherheitslücken übernehmende Sicherungsmaßnahmen gefährdet werden kann.301 Zwar deuten die Bezeichnung als „-standard“ sowie die in der Orientierungshilfe des BSI vorgeschlagene Orientierung der Detailtiefe an Normen der ISO / IEC 2700X-Reihe darauf hin, dass die branchenspezifischen Sicherheitsstandards im Grundsatz abstrakte Regelungen enthalten sollen.302 Nichtsdestotrotz schließt dies konkrete Vorgaben nicht aus. § 8a Abs. 2 BSIG normiert damit keine weitergehenden materiellen Vorgaben für einen branchenspezifischen Sicherheitsstandard, als sie bereits die Sicherungspflicht des § 8a Abs. 1 BSIG enthält.
297 BSI, Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, S. 4. 298 Vgl. BT-Drs. 18 / 4096, S. 26; Bartels, ITRB 2015, S. 92, 93. 299 Bundesministerium für Wirtschaft und Energie, IT-Sicherheit für die Industrie 4.0, S. 204. 300 Roos, MMR 2015, S. 636, 639. 301 Vgl. Gaycken / Karger, MMR 2011, S. 3, 5. 302 BSI, Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, S. 7.
282
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Damit diese zur Rechtssicherheit beitragen,303 wirkt das BSI auf eine hohe Detailtiefe hin,304 ohne dass identische Maßnahmen gefordert würden. Denn das Maß der Bestimmtheit beeinflusst die Reichweite der Rechtswirkungen der Feststellungsentscheidung des BSI.305 Da das BSI überprüft, ob sich der beantragte Standard eignet, die Anforderungen des § 8a Abs. 1 BSIG zu erfüllen, muss er jedenfalls soweit hinreichend bestimmt sein, dass eine derartige Prüfung möglich ist. bb) Formelle Anforderungen Antragsberechtigt sind Betreiber Kritischer Infrastrukturen und ihre Branchenverbände, § 8a Abs. 2 S. 1 BSIG. Probleme bereitet auf dieser Ebene weniger der Betreiber einer Kritischen Infrastruktur, da sich dieser aus der BSI-KritisV und der Auslegung des Betreiberbegriffes ergibt.306 Einer Thematisierung bedarf stattdessen die Antragsberechtigung der Branchenverbände.307 Dabei wird die Frage gestellt, wie eine Branche abzugrenzen sei308 oder wie repräsentativ ein Verband für eine Branche sein müsse.309 Aus der Gesetzesbegründung ergibt sich, dass sich die Sektoren Kritischer Infrastrukturen in verschiedene Branchen unterteilen.310 Damit könnte ein Branchenverband in diesem Sinne vorliegen, wenn er Betreiber aus einer der in der Gesetzesbegründung genannten Branchen vereint. Dafür spricht die Gesetzesbegründung, wonach sich „Betreiber Kritischer Infrastrukturen branchenintern zusammenfinden“.311 Gegen eine Beschränkung der Verbände auf eine einzige Branche spricht indessen der Zweck des branchenspezifischen Sicherheitsstandards. Denn die Sicherungspflichtigen sollen einen breiten Raum zur Selbstregulierung erhalten, um die Ausarbeitung der Sicherheits303 Heinickel / Feiler, CR 2014, S. 709, 712; vgl. Roos, MMR 2015, S. 636, 638; eine „Konkretisierungswirkung“ annehmend Eckhardt, ZD 2014, S. 599, 600; Seidl, jurisPR-ITR 9 / 2014 Anm. 2, der nicht ausdrücklich von der Rechtssicherheit, sondern nur von der Konkretisierung der unbestimmten Rechtsbegriffe spricht; vgl. Wischmeyer, Die Verwaltung 50 (2017), S. 155, 169. 304 Zur Detailtiefe nach ISO / IEC 27002 vgl. BSI, Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, S. 7. 305 Vgl. hierzu unten bei § 7 A. I. 6. c) aa) (1). 306 Vgl. § 6. 307 Vgl. Eckhardt, ZD 2014, S. 599, 600; vgl. Roßnagel, DVBl. 2015, S. 1206, 1209 (Fn. 32); vgl. Spindler, CR 2016, S. 297, 299. 308 Spindler, CR 2016, S. 297, 299; Bartels, ITRB 2015, S. 92, 93. 309 Roßnagel, DVBl. 2015, S. 1206, 1209 (Fn. 32); Roßnagel, BT / InnenA-Drs. 18(4)284 B. 310 BT-Drs. 18 / 4096, S. 31. 311 BT-Drs. 18 / 4096, S. 26.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit
283
standards gemeinsam vorzunehmen.312 Eine Selbstregulierung kann innerhalb einer Branche oder branchenübergreifend erfolgen, wenn die Beteiligten dies für sinnvoll erachten. Daher muss ein Branchenverband nicht auf eine Branche beschränkt sein, sondern kann mehrere vertreten. Damit ein Branchenverband antragsberechtigt ist, muss er für mindestens eine Branche einer Kritischen Infrastruktur tätig sein. Auch der Gesetzgeber geht selbst nicht davon aus, dass lediglich Verbände der in der Begründung genannten Branchen antragsberechtigt sind. Denn zur Ausarbeitung verweist er auf bereits vorhandene Strukturen im UP KRITIS und seinen Branchenarbeitskreisen,313 die sich nicht immer auf eine einzelne Branche beziehen, sondern teils mehrere Branchen zusammenfassen oder einen Sektor Kritischer Infrastrukturen umfassen.314 Darüber hinaus wird auf branchenübergreifende Strukturen wie das Deutsche Institut für Normung e. V. hingewiesen.315 An einen Branchenverband sind somit bezüglich der vertretenen Branchen nur geringe Anforderungen zu stellen. Ähnliches trifft auf die Frage zu, wie repräsentativ ein Branchenverband sein muss. Eine besondere Schwelle ist aufgrund der Selbstregulierung nicht notwendig. Im Übrigen ist der Sicherheitsstandard eines Branchenverbandes nicht für die betreffende Branche verbindlich.316 Stattdessen kann ein einzelner Betreiber direkt nach § 8a Abs. 1 BSIG die Sicherungsvorkehrung erfüllen oder selbst einen weiteren branchenspezifischen Sicherheitsstandard vorschlagen, § 8a Abs. 2 S. 1 BSIG. Für eine Branche können mehrere Sicherheitsstandards vorgeschlagen und vom BSI als geeignet beurteilt werden.317 Daher sind die formellen Anforderungen an den Antragsteller sehr niedrig zu halten. Es genügt, wenn er entweder selbst ein Betreiber einer Kritischen Infrastruktur ist oder für mehrere Betreiber Kritischer Infrastrukturen handelt. In letzterem Falle liegt ein Branchenverband i. S. d. § 8a Abs. 2 S. 1 BSIG vor.
312 Vgl.
BT-Drs. 18 / 4096, S. 26. S. 26. 314 Vgl. nur die Branchenarbeitskreise „Transport und Verkehr“ sowie „Kreditwirtschaft“ http: / / www.kritis.bund.de / SubSites / Kritis / DE / Aktivitaeten / Nationales / UPK / UPKOrganisation / UPKBAK / upk_bak_node.html (besucht am 12.06.2018). 315 BT-Drs. 18 / 4096, S. 26. 316 Vgl. BT-Drs. 18 / 4096, S. 26; vgl. unten bei § 7 A. I. 6. c) cc) (1). 317 Vgl. zum Verhältnis mehrerer branchenspezifischer Sicherheitsstandards zueinander Hornung, NJW 2015, S. 3334, 3336. 313 BT-Drs. 18 / 4096,
284
Teil 3: Die normative Gewährleistung der IT-Sicherheit
b) Verfahren der Feststellung Das BSI stellt auf Antrag die Eignung des branchenspezifischen Sicherheitsstandards zur Gewährleistung der Anforderungen des § 8a Abs. 1 S. 1 BSIG nach § 8a Abs. 2 S. 3 BSIG „1. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde“ fest. Da die Beteiligung der zuständigen Aufsichtsbehörden der Vereinbarkeit und Koordinierung mit anderen Belangen der Sicherheitsvorsorge318 und Infrastrukturgewährleistung dient, sind neben den fachlichen Aufsichtsbehörden auch Datenschutzbehörden319 einzubeziehen. Durch die Beteiligung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie der zuständigen Aufsichtsbehörden soll deren fachliche Expertise in die Beurteilung des branchenspezifischen Sicherheitsstandards einfließen. Um eine Mischverwaltung zwischen dem BSI als Bundesbehörde und einer Landesaufsichtsbehörde zu vermeiden, ist im Falle der Nr. 2 Alt. 2 nur ein Benehmenserfordernis und kein Einvernehmenserfordernis normiert.320 Durch die Beteiligung der Datenschutzbehörden wird es möglich, im Rahmen der branchenspezifischen Sicherheitsstandards Vorgaben des Datenschutzes und der IT-Sicherheit zusammenzuführen und sie aufeinander abzustimmen. Hierdurch können weitreichende Synergieeffekte geschaffen werden, da die Bereiche der Datensicherheit und der IT-Sicherheit erhebliche Überschneidungsräume aufweisen.321 Diese können damit für die Umsetzung der zu treffenden Sicherungsmaßnahmen nutzbar gemacht werden. Dem BSI kommt bei der Prüfung der vorgeschlagenen branchenspezifischen Sicherheitsstandards ein weiter Beurteilungsspielraum im Hinblick auf die Eignung, die Anforderungen des § 8a Abs. 1 BSIG zu gewährleisten, zu.322 Die Prüfung hat im Detail und nicht nur auf offensichtliche Ungeeignetheit hin zu erfolgen. Bezüglich der Prüfungstiefe kann sich an den Anforderungen der Nachweise des § 8a Abs. 3 BSIG oder der Überprüfungsbefugnis des § 8a Abs. 4 BSIG orientiert werden. Dadurch wird erreicht, dass das 318 BT-Drs. 18 / 4096,
S. 26. Landeszentrum für Datenschutz Schleswig-Holstein, ULDStellungnahme zum IT-Sicherheitsgesetz-Entwurf, https: / / www.datenschutzzentrum. de / artikel / 877-ULD-Stellungnahme-zum-IT-Sicherheitsgesetz-Entwurf.html#ex tended (besucht am 12.06.2018); Hornung, BT / InnenA-Drs. 18(4)284 G, S. 9. 320 BT-Drs. 18 / 4096, S. 26. 321 Vgl. bereits oben § 2 A. II. 3. sowie § 7 A. I. 4.; die Beteiligungserfordernisse als Hindernis für eine effektive Normsetzung sehend Wischmeyer, Die Verwaltung 50 (2017), S. 155, 169. 322 Roos, MMR 2014, S. 723, 726. 319 Unabhängiges
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit
285
Niveau eines branchenspezifischen Sicherheitsstandards § 8a Abs. 1 BSIG entspricht. Erfüllt der beantragte branchenspezifische Sicherheitsstandard die mate riellen und formellen Anforderungen, so hat der Antragsteller einen Anspruch auf Feststellung der Eignung, die Vorgaben des § 8a Abs. 1 BSIG einzuhalten. Dem BSI kommt bei der Feststellungsentscheidung auf Rechtsfolgenseite kein Ermessen zu. Auf Tatbestandsseite ist ihm hingegen ein weiter Beurteilungsspielraum bezüglich der Eignung, angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik sicherzustellen, eingeräumt. c) Rechtswirkungen und Rechtsnatur der Feststellungsentscheidung und des branchenspezifischen Sicherheitsstandards Das Prüfungsverfahren des BSI endet in einer Feststellungsentscheidung, ob der konkrete branchenspezifische Sicherheitsstandard geeignet ist, die Anforderungen des § 8a Abs. 1 BSIG zu gewährleisten. Aus dieser Entscheidung zieht der branchenspezifische Sicherheitsstandard seine Rechtswirkungen. Infolgedessen muss sie im Zentrum der Untersuchungen der Rechtswirkungen des branchenspezifischen Sicherheitsstandards stehen. Hiervon ausgehend wird die Rechtsnatur der Feststellungsentscheidung und des branchenspezifischen Sicherheitsstandards beurteilt. aa) Rechtswirkungen der Feststellungsentscheidung Die unmittelbare inhaltliche Rechtswirkung der Feststellungsentscheidung nach § 8a Abs. 2 S. 1 BSIG ist sehr begrenzt. Sie beschränkt sich auf die Feststellung, ob der vorgeschlagene branchenspezifische Sicherheitsstandard geeignet ist, die Vorgaben des § 8a Abs. 1 BSIG zu erfüllen. Die Ebene der Umsetzungsmaßnahmen wird dahingegen nicht unmittelbar berührt. Die Entscheidung enthält nicht die Feststellung, dass die konkreten Vorkehrungen die Sicherungspflicht des § 8a Abs. 1 BSIG erfüllen. Eine derartige gesetz liche Fiktion ist textlich nicht angelegt.323 Nichtsdestotrotz folgt aus der Feststellungsentscheidung eine faktische Fiktion für konkrete Vorkehrungen. Diese beruht dogmatisch auf einer Selbstbindungswirkung des BSI, die in der Feststellungsentscheidung wurzelt.324 Da die Eignung des branchenspezifischen Sicherheitsstandards bereits 323 Eine
gesetzliche Fiktion enthält hingegen § 11 Abs. 1a S. 4 EnWG. ZD 2014, S. 599, 600; insofern entspricht die Feststellungsentscheidung einer Zusicherung, dass die hierin vorgesehenen Maßnahmen geeignet sind, das 324 Eckhardt,
286
Teil 3: Die normative Gewährleistung der IT-Sicherheit
am Maßstab des § 8a Abs. 1 BSIG geprüft wurde, deutet dessen Einhaltung auf ein entsprechendes IT-Sicherheitsniveau hin.325 Hat das BSI festgestellt, dass Vorkehrungen gewisser Art geeignet sind die Sicherungspflicht zu erfüllen, so kann es nicht gegen Betreiber, die die Vorgaben dieser Entscheidung einhalten, wegen einer Nicht-Erfüllung der Sicherungspflicht vorgehen.326 Die Selbstbindung kann eine Erfüllung der Sicherungspflicht jedoch nur insoweit „fingieren“, als die sie begründende Rechtswirkung der Feststellungsentscheidung des BSI reicht. Die Rechtswirkungen der Feststellungsentscheidung können dabei in ihrer inhaltlichen, zeitlichen und personellen Reichweite unterschieden werden. (1) Inhaltliche Reichweite der Selbstbindung Inhaltlich kann die Feststellungsentscheidung nur soweit eine Selbstbindung des BSI bewirken, als der vorgeschlagene branchenspezifische Sicherheitsstandard auf seine Eignung zur Gewährleistung der Anforderungen des § 8a Abs. 1 BSIG geprüft wurde.327 Die Reichweite der Feststellungswirkung hängt von der Regelungstiefe des Vorschlages selbst ab. Sind in ihm detaillierte Vorgaben zu angemessenen organisatorischen und technischen Vorkehrungen zur Sicherung der IT nach dem Stand der Technik enthalten, so entfaltet die Feststellungsentscheidung eine umfassende Selbstbindungswirkung gegenüber dem BSI und zugunsten der Antragsteller. Enthält der Vorschlag lediglich Leitlinien, so ist die Selbstbindungswirkung auf diese beschränkt. In letzterer Konstellation kann sich der Antragsteller bezüglich konkreter organisatorischer und technischer Vorkehrungen nicht auf die Feststellungswirkung berufen. (2) Zeitliche Reichweite der Selbstbindung Auch in zeitlicher Hinsicht unterliegt die Feststellungswirkung und damit die Selbstbindung des BSI Grenzen. Die Begrenzung ergibt sich zwar nicht IT-Sicherheitsniveau des § 8a Abs. 1 BSIG zu erreichen; vgl. zu den Rechtswirkungen einer Zusicherung Gerhardt, in: Schoch / Schneider / Bier, Verwaltungsgerichtsordnung, § 114 VwGO, Rdnr. 22; Tiedemann, in: Bader / Ronellenfitsch, Beck’scher Online-Kommentar VwVfG, § 38 VwVfG, Rdnr. 2; siehe zur Frage, ob die Selbstbindungswirkung in der Feststellungsentscheidung selbst oder einer zugleich konkludent erlassenen Verwaltungsvorschrift wurzelt, § 7 A. I. 6. c) bb). 325 Roos, MMR 2015, S. 636, 639. 326 Vgl. zur Selbstbindungswirkung Spindler, CR 2016, S. 297, 299 f. 327 Vgl. die Rechtswirkungen einer Baugenehmigung als vergleichbarer feststellender Verwaltungsakt mit einer inhaltlich begrenzten Feststellungswirkung GreimDiroll, in: Spannowsky / Manssen, Beck’scher Online-Kommentar Bauordnungsrecht Bayern, Art. 68 BayBO, Rdnr. 5.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit
287
explizit aus dem Wortlaut des § 8a Abs. 2 BSIG. Sie folgt aber aus einer Gesamtbetrachtung des § 8a Abs. 1 und 2 BSIG. Die Einhaltung des geprüften und für tauglich befundenen branchenspezifischen Sicherheitsstandards führt aufgrund der Selbstbindung des BSI zu einer gesetzlich nicht angeordneten, aber faktisch bestehenden Fiktion328 der Einhaltung der Anforderungen des § 8a Abs. 1 BSIG. Diese Anforderungen sind dynamisch an den Stand der Technik und die Bedrohungslage gekoppelt, sodass sich die zu treffenden Maßnahmen bei Weiterentwicklungen ändern können. Die Feststellungsentscheidung des BSI bezieht sich hingegen statisch auf den Stand der Technik und die Bedrohungslage zum Entscheidungszeitpunkt. Eine später eintretende Entwicklung bleibt dadurch unberücksichtigt.329 Um eine effektive Durchsetzung der Sicherungspflicht nicht durch die Wirkungen der branchenspezifischen Sicherheitsstandards zu unterlaufen, müssen der Selbstbindung durch die Feststellungsentscheidung zeitliche Grenzen gesetzt werden. Dies hat auch der Gesetzgeber erkannt. So führt er in der Begründung zu § 8a Abs. 2 BSIG aus, dass die branchenspezifischen Sicherheitsstandards an den Stand der Technik angepasst werden müssen.330 Dadurch wird deutlich, dass die zeitliche Selbstbindungswirkung der Feststellungsentscheidung eine Grenze im Stand der Technik findet. Eine weitere zeitliche Grenze stellen veränderte Bedrohungslagen dar, die in den bisherigen branchenspezifischen Sicherheitsstandards keine Berücksichtigung gefunden haben. Aufgrund dessen kann die zeitliche Reichweite der Selbstbindungswirkung nur im Einzelfall und nicht abstrakt bestimmt werden.331 Wie lange eine Feststellung Selbstbindungswirkung entfalten kann, ist zum Entscheidungszeitpunkt nicht absehbar.332 328 Vgl.
zu ihrer Begründung im Detail sogleich § 7 A. I. 6. c) bb). zum Beurteilungsspielraum bei Prognoseentscheidungen Decker, in: Posser / Wolff, BeckOK VwGO, § 114 VwGO, Rdnr. 36f. 330 BT-Drs. 18 / 4096, S. 26. 331 Die vermeintlich hiermit zusammenhängende Frage, ob eine Nichteinhaltung des § 8a Abs. 1 S. 2 BSIG wegen veralteter Sicherungsvorkehrungen sanktioniert werden kann, entpuppt sich als nicht existent, da sich die Sanktionsbefugnis des § 14 Abs. 1 Nr. 1 BSIG nur auf § 8a Abs. 1 S. 1 BSIG und nicht auch auf § 14 Abs. 1 S. 2 BSIG bezieht. 332 Hieran kann auch die Tatsache nichts ändern, dass das BSI die Gültigkeit der Feststellungsentscheidung auf zwei Jahre begrenzt. Vgl. den Branchenstandard ITSicherheit Wasser / Abwasser, abrufbar unter https: / / www.bsi.bund.de / DE / Themen / Industrie_KRITIS / KRITIS / IT-SiG / Was_tun / Stand_der_Technik / B3S_BAKs / B3S_ BAKs_node.html (besucht am 12.06.2018). Diese Befristung ist als maximale zeit liche Grenze zu sehen. Die Rechtswirkungen könnten jedoch auch bereits vorher enden. Aus Gründen der Rechtssicherheit ist jedoch eine Begrenzung der maximalen Gültigkeit der Feststellung der Eignung auf zwei Jahre zu begrüßen. 329 Vgl.
288
Teil 3: Die normative Gewährleistung der IT-Sicherheit
(3) Personelle Reichweite der Selbstbindung Für die Qualifikation der Rechtsnatur der Feststellungsentscheidung ist neben der bereits beschriebenen inhaltlichen Reichweite der Selbstbindungswirkung vor allem die personelle Reichweite von Bedeutung. Klar ist, dass die Feststellungswirkung den antragstellenden Betreiber einer Kritischen Infrastruktur selbst umfasst. Schwieriger ist sie zu beurteilen, wenn ein Branchenverband den Antrag beim BSI stellt.333 Zugleich muss geklärt werden, ob die Selbstbindungswirkung auch Dritte umfasst, die selbst weder Antragsteller sind, noch durch einen Branchenverband bei der Antragstellung vertreten werden. Zunächst soll sich der Konstellation der Antragstellung durch einen Branchenverband zugewandt werden, da sich aus diesem, vom Gesetz selbst vorgesehenen Anwendungsfall allgemeine Schlüsse zur personellen Reichweite der Feststellungswirkung ziehen lassen. Ob ein branchenspezifischer Sicherheitsstandard ausreichende organisatorische und technische Vorkehrungen vorschreibt, kann nicht abstrakt sondern nur anhand der Merkmale der Kritischen Infrastruktur geprüft werden. So hängen die zu treffenden Maßnahmen nicht nur von der Struktur der zu schützenden Infrastruktur ab, sondern auch das zu gewährleistende IT- Sicherheitsniveau divergiert schutzzielspezifisch zwischen verschiedenen Infrastrukturen.334 Daher muss in die Prüfung der Eignung, die Anforderungen des § 8a Abs. 1 BSIG zu erfüllen, immer die zu schützende Struktur bzw. das zu schützende Objekt mit einbezogen werden. Um dies dem BSI zu ermög lichen, soll im Vorschlag eines branchenspezifischen Sicherheitsstandards dessen Geltungsbereich in Form einer kritischen Dienstleistung, einer Branche oder in anderer geeigneter Weise beschrieben werden.335 Dann reicht die Selbstbindungswirkung der Feststellungsentscheidung nur soweit wie der hierin beschriebene personelle Anwendungsbereich. Erfolgt eine solche Beschreibung nicht, so ist bei der Feststellung der Eignung als Schutzobjekt die Infrastruktur des Antragstellers zugrunde zu legen.336 Bei Branchenverbänden, die selbst keine Infrastruktur betreiben, sind daher nur die zum Zeit333 Dieses Problem nur implizit mit der Frage nach einer Definition eines „Branchenverbandes“ ansprechend Spindler, CR 2016, S. 297, 299. 334 Vgl. § 7 A. I. 2. a) aa), cc). 335 BSI, Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, S. 2. 336 Ist der Kreis der erfassten Betreiber Kritischer Infrastrukturen nicht hinreichend bestimmt genug, muss der Antragsteller seinen Vorschlag gegebenenfalls nachträglich um die vertretenen Betreiber Kritischer Infrastrukturen ergänzen oder das BSI konkretisiert im Wege einer Nebenbestimmung den personellen Geltungsbereich selbst, für den es eine Prüfung der Eignung vorgenommen hat.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit
289
punkt der Feststellungsentscheidung vom antragstellenden Branchenverband vertretenen Betreiber Kritischer Infrastrukturen von der Feststellungswirkung erfasst. Berücksichtigt man diese Aspekte, so lässt sich die Frage, ob sich unbeteiligte Dritte auf die Feststellungswirkung berufen können, verneinend beantworten. Denn diese können vom BSI nicht in die Prüfung der Eignung einbezogen werden.337 Die personelle Reichweite wird damit durch den personellen Prüfungsumfang des BSI und der Mitwirkung der Betreiber bestimmt. Nur soweit Infrastrukturen einbezogen wurden, kann die Feststellungswirkung reichen. bb) In der Feststellungsentscheidung enthaltene Rechtsakte Die Rechtsnatur der Feststellungsentscheidung des BSI zu den branchenspezifischen Sicherheitsstandards wird in der rechtswissenschaftlichen Literatur nur rudimentär und im Gesetzgebungsverfahren nicht thematisiert. Zum Teil wird, aufgrund der Selbstbindungswirkung gegenüber dem BSI, die Ähnlichkeit zur Verwaltungsvorschrift mit Außenwirkung herausgestellt,338 zum Teil eine Qualifikation als Verwaltungsakt in Form einer Allgemeinverfügung339 vorgeschlagen. Dabei ist zwischen der Feststellungsentscheidung als solcher und dem im Antrag enthaltenen Regelungswerk, dem branchenspezifischen Sicherheitsstandard im engeren Sinne, zu differenzieren. An dieser Stelle wird der Untersuchungsgegenstand auf die Feststellungsentscheidung beschränkt. Ausführungen zur Rechtsnatur des branchenspezifischen Sicherheitsstandards im engeren Sinne schließen sich an. Folgt man Spindler, wäre die Feststellungsentscheidung des BSI aufgrund ihrer Rechtswirkungen der Erlass einer Verwaltungsvorschrift.340 Zweck einer Verwaltungsvorschrift als innenrechtliche Norm ist es, den Verwaltungsvollzug einer Rechtsnorm einheitlich zu gestalten. Dritte können sich nur mittelbar über Art. 3 Abs. 1 GG auf den gleichmäßigen Vollzug berufen.341 337 Sofern Infrastrukturen Dritter eine äquivalente Struktur aufweisen und die Schutzziele auf einem äquivalenten IT-Sicherheitsniveau geschützt werden müssen, können die Dritten einen „vereinfachten“ Antrag für einen branchenspezifischen Sicherheitsstandard stellen. Denn sie können dann den festgestellten Sicherheitsstandard in Bezug nehmen und feststellen lassen, dass dieser auch für sie geeignet ist, ein § 8a Abs. 1 BSIG entsprechendes IT-Sicherheitsniveau zu gewährleisten. 338 Spindler, CR 2016, S. 297, 300. 339 Roos, MMR 2014, S. 723, 726; Roßnagel, DVBl. 2015, S. 1206, 1209. 340 Spindler, CR 2016, S. 297, 300. 341 Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 638; Ossenbühl, § 104, in: Isensee / Kirchhof, Handbuch des
290
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Doch vermengt diese Ansicht zu trennende Rechtsakte. Denn es ist nicht nur zwischen der Feststellungsentscheidung und den branchenspezifischen Sicherheitsstandards im engeren Sinne zu differenzieren. Bei der Feststellungsentscheidung kann weiter zwischen der Entscheidung über die Eignung selbst und einer hiermit möglicherweise zugleich erlassenen Verwaltungsvorschrift unterschieden werden. An dieser Stelle soll nur die Feststellungsentscheidung selbst untersucht werden. Auf die möglicherweise zugleich erlassene Verwaltungsvorschrift wird sodann eingegangen. (1) Die Feststellung der Eignung Die Feststellungsentscheidung ist zwingend konkreter Natur, da sie sich auf einen konkreten Vorschlag eines branchenspezifischen Sicherheitsstandards bezieht. Dahingegen ist eine Verwaltungsvorschrift abstrakt. Zudem hat die Feststellungsentscheidung eine unmittelbar nach außen gerichtete Rechtswirkung.342 Insofern liegt ein konkret-individueller bzw. ein konkret-genereller Rechtsakt vor, je nachdem inwieweit eine Konkretisierung des personellen Anwendungsbereiches erfolgte.343 Damit erscheint die Feststellungsentscheidung als Rechtsakt, auf dessen Rechtswirkungen sich ein bestimmter bzw. bestimmbarer Adressatenkreis berufen kann, dies aber nicht muss. Die Feststellungsentscheidung stellt sich im Falle: – eines nach allgemeinen Merkmalen bestimmten Adressatenkreises als begünstigende gebundene Allgemeinverfügung, § 35 S. 2 Var. 1 VwVfG,344 – eines einzelnen Adressaten oder mehrerer individuell benannter Adressaten als begünstigender gebundener Verwaltungsakt, § 35 S. 1 VwVfG, mit Feststellungswirkung, soweit die Selbstbindungswirkung reicht, dar.345
Staatsrechts Band V, Rdnr. 54; vgl. Seibert, Die Einwirkung des Gleichheitssatzes auf das Rechtsetzungs- und Rechtsanwendungsermessen der Verwaltung, in: SchmidtAßmann, Festgabe 50 Jahre Bundesverwaltungsgericht, S. 535, 542 f. 342 Vgl. zur Außenwirkung Neumann, BT / InnenA, Protokoll-Nr. 18 / 44, S. 16; zur Konkretisierung der „organisatorischen und technischen Vorkehrungen“ Wyl / Weise / Bartsch, N&R 2015, S. 23, 24. 343 Vgl. Alemann / Scheffczyk, in: Bader / Ronellenfitsch, Beck’scher Online-Kommentar VwVfG, § 35 VwVfG, Rdnr. 191, 250. 344 Verwaltungsverfahrensgesetz in der Fassung der Bekanntmachung vom 23. Januar 2003 (BGBl. I S. 102), das zuletzt durch Artikel 11 Absatz 2 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist. 345 Vgl. Roßnagel, BT / InnenA-Drs. 18(4)284 B.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit291
(2) Die konkludent erlassene Verwaltungsvorschrift Obwohl die Feststellungsentscheidung selbst nicht als Verwaltungsvorschrift eingeordnet werden kann, kann in ihr zugleich der konkludente Erlass einer Verwaltungsvorschrift gesehen werden. Insofern ist Spindler zuzustimmen, als aus dem einen Akt der Feststellungsentscheidung die Rechtswirkungen einer Verwaltungsvorschrift hervorgehen können.346 Die beiden Rechtsakte stimmen darin überein, als sie eine Selbstbindungswirkung347 des BSI entfalten. Jedoch ist diejenige der Verwaltungsvorschrift zur Selbstprogrammierung der Verwaltung nach innen gerichtet348 und wirkt nicht wie diejenige aus der Feststellungsentscheidung nach außen.349 Auch bedarf es der Konstruktion einer Außenwirkung der Verwaltungsvorschrift350 aufgrund der bereits im feststellenden Verwaltungsakt bzw. der feststellenden Allgemeinverfügung wurzelnden Selbstbindung des BSI mit Wirkung gegenüber den Betreibern nicht. Zweck der konkludent erlassenen Verwaltungsvorschrift ist nur, die nach außen gerichtete Selbstbindungswirkung der Feststellungsentscheidung in einen einheitlichen Verwaltungsvollzug umzusetzen. Die interne Vereinheitlichungswirkung bezieht sich jedoch gerade nicht auf die Antragsteller oder die durch diesen vertretenen Betreiber. Das Bedürfnis nach einer Vereinheitlichung der Verwaltungstätigkeit folgt aus anderen Bereichen. Nur soweit dieses Bedürfnis besteht, kann der konkludente Erlass einer Verwaltungsvorschrift angenommen werden. Der Grund des Bedürfnisses nach einer Vereinheitlichung des Verwaltungsvollzuges ist der Prüfungsmaßstab des § 8a Abs. 1 BSIG. Dieser liegt der Nachweispflicht und der Überprüfungsbefugnis, wenn kein branchenspezifischer Sicherheitsstandard existiert,351 sowie der Feststellung der Eignung weiterer branchenspezifischer Sicherheits346 Spindler, CR 2016, S. 297, 300, der im Akt der „Feststellungsentscheidung“ nicht zwischen der feststellenden Entscheidung bezüglich des Antrages und dem Erlass einer Verwaltungsvorschrift differenziert. 347 Vgl. zur Selbstbindungswirkung von Verwaltungsvorschriften Ossenbühl, § 104, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band V, Rdnr. 61; Seibert, Die Einwirkung des Gleichheitssatzes auf das Rechtsetzungs- und Rechtsanwendungsermessen der Verwaltung, in: Schmidt-Aßmann, Festgabe 50 Jahre Bundesverwaltungsgericht, S. 535, 541 ff. 348 Vgl. zur Innenwirkung Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 639; Guckelberger, Die Verwaltung 35 (2002), S. 61, 65. 349 Vgl. zur Außenwirkung Neumann, BT / InnenA, Protokoll-Nr. 18 / 44, S. 16; vgl. Wyl / Weise / Bartsch, N&R 2015, S. 23, 24 zur Konkretisierung der „organisatorischen und technischen Vorkehrungen“. 350 Vgl. zur Außenwirkung von Verwaltungsvorschriften kraft Selbstbindung der Verwaltung Ossenbühl, § 104, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band V, Rdnr. 53 ff., 71 ff. 351 Siehe § 7 A. II. 1. c), 3; vgl. BT-Drs. 18 / 4096, S. 26.
292
Teil 3: Die normative Gewährleistung der IT-Sicherheit
standards352 einheitlich zugrunde. Eine Vereinheitlichung kann allerdings nur insoweit erreicht werden, als der branchenspezifische Sicherheitsstandard die unbestimmten Rechtsbegriffe des § 8a Abs. 1 BSIG konkretisiert sowie eine vergleichbare IT-Bedrohungslage und vergleichbare Infrastrukturen vorliegen. Daher muss der branchenspezifische Sicherheitsstandard über eine hinreichende inhaltliche Regelungsdichte verfügen, die über abstrakte Leitlinien hinausgeht. Nur in diesem Fall kann ein konkludenter Erlass einer Verwaltungsvorschrift angenommen werden. Dies ändert auch das oben gefundene Ergebnis nicht, dass die personelle Selbstbindungswirkung nur soweit reicht, wie sie vom BSI geprüft wurde.353 Denn Dritte können sich nicht unmittelbar auf diese berufen und das BSI muss als Voraussetzung für die Anwendbarkeit der Verwaltungsvorschrift prüfen, ob eine vergleichbare Infrastruktur bei vergleichbarer IT-Bedrohungslage vorliegt.354 (3) Basis der Rechtswirkung zugunsten der Betreiber Zwar kann einer Verwaltungsvorschrift unter Umständen eine Außenwirkung zukommen.355 Doch wird bei einer Einbeziehung der Perspektive der Gerichte deutlich, dass die hier infrage stehende Außenwirkung in Form der Selbstbindungswirkung des BSI gegenüber den Antragstellern nicht aus der Verwaltungsvorschrift, sondern aus dem Verwaltungsakt bzw. der Allgemeinverfügung selbst stammt. Die branchenspezifischen Sicherheitsstandards sollen den Betreibern Rechtssicherheit verschaffen, dass ihre Sicherheitsmaßnahmen geeignet sind, das IT-Sicherheitsniveau des § 8a Abs. 1 BSIG zu erreichen.356 Dies kann aber nur bei einer Bindung der Gerichte an die 352 Siehe
§ 7 A. I. 6. a) aa). § 7 A. I. 6. c) aa) (3). 354 Nur aufgrund der vereinheitlichenden Wirkung für das Verwaltungshandeln kann hieraus gegebenenfalls mittelbar über Art. 3 Abs. 1 GG eine Außenwirkung der Verwaltungsvorschrift zugunsten Dritter folgen. Vgl. Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 638; vgl. Ossenbühl, § 103, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band V, Rdnr. 54. 355 Ossenbühl, § 104, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band V, Rdnr. 53 ff., 71 ff.; Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 640 ff.; zu normkonkretisierenden Verwaltungsvorschriften Guckelberger, Die Verwaltung 35 (2002), S. 61, 66 ff. 356 Heinickel / Feiler, CR 2014, S. 709, 712; vgl. Roos, MMR 2015, S. 636, 638; eine „Konkretisierungswirkung“ annehmend Eckhardt, ZD 2014, S. 599, 600; Seidl, jurisPR-ITR 9 / 2014 Anm. 2, der nicht ausdrücklich von der Rechtssicherheit, sondern nur von der Konkretisierung der unbestimmten Rechtsbegriffe spricht; vgl. zum branchenspezifischen Sicherheitsstandard als Prüfungsmaßstab der Nachweispflicht BT-Drs. 18 / 4096, S. 27; vgl. von einer „allgemeinen Gültigkeit“ sprechend Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263, 276. 353 Siehe
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit293
branchenspezifischen Sicherheitsstandards erreicht werden. Diese kann eine Verwaltungsvorschrift nicht leisten.357 Den Gerichten und nicht der Verwaltung steht die Befugnis zu, das objektive Recht rechtsverbindlich auszulegen.358 Dies läuft der Rechtssicherheit für Betreiber Kritischer Infrastrukturen zuwider, dass sie bei Einhaltung der branchenspezifischen Sicherheitsstandards die Verpflichtung aus § 8a Abs. 1 BSIG erfüllen. Nur wenn die Außenwirkung im Verwaltungsakt bzw. der Allgemeinverfügung der Feststellungsentscheidung direkt wurzelt, kann, soweit Bestandskraft eingetreten ist, Rechtssicherheit gewährleistet werden.359 Die Rechts sicherheit wird nur durch die inhaltliche, zeitliche und personelle Reichweite der Feststellungswirkung begrenzt. Daher kann die Selbstbindungswirkung zugunsten der Betreiber nur im Verwaltungsakt bzw. der Allgemeinverfügung und nicht in einer konkludent erlassenen Verwaltungsvorschrift wurzeln. cc) Rechtsnatur des branchenspezifischen Sicherheitsstandards i. e. S. Aus der Feststellungsentscheidung folgt eine Selbstbindungswirkung des BSI, die sich auf den branchenspezifischen Sicherheitsstandard bezieht und ihm so Rechtswirkungen verleiht. Daher muss geklärt werden, ob die in ihrer Eignung überprüften branchenspezifischen Sicherheitsstandards privates oder staatliches Recht sind. Entscheidendes Kriterium ist der Rechtsetzer.360 Stellen die branchenspezifischen Sicherheitsstandards privat gesetztes Recht dar, so bildet die Feststellungsentscheidung das Bindeglied der privaten Rechtsetzung zur staatlichen Rechtsordnung.361 357 Vgl. BVerwG NVwZ 2001, S. 1165, 1166, zur Überprüfung, ob die TA Luft noch dem Stand der Technik entspricht; die grundsätzliche Fähigkeit von Verwaltungsvorschriften, auch Gerichte zu binden, annehmend: BVerwGE 72, 300, 319, 321; 107, 338, 341; 110, 216, 218; 114, 342, 344 f.; 129, 209, 211; 143, 249, 255, 257; zu den Grenzen der Bindungswirkung von Verwaltungsvorschriften Gerichten gegenüber vgl. Ossenbühl, § 104, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band V, Rdnr. 73. Sie ist jedenfalls dann nicht mehr gegeben, wenn sie die von der Norm gesetzten Grenzen überschreitet. Dies wäre hier der Fall, wenn kein § 8a Abs. 1 BSIG entsprechendes IT-Sicherheitsniveau gewährleistet wird; Guckelberger, Die Verwaltung 35 (2002), S. 61 bejaht zunächst eine Bindung Gerichten gegenüber, S. 66; lehnt eine solche später aber ab, S. 79 f.; vgl. Sauerland, Die Verwaltungsvorschrift im System der Rechtsquellen zur Verwaltungsvorschrift als Kontrollmaßstab S. 363 ff. und als Kontrollgegenstand S. 375 ff. 358 Guckelberger, Die Verwaltung 35 (2002), S. 61, 79. 359 Vgl. OVG Münster, BeckRS 2016, 40861, Rdnr. 25; vgl. BVerwG, BeckRS 2015, 49463, Rdnr. 32. 360 Kirchhof, Private Rechtsetzung, S. 104. 361 Vgl. allgemein Kirchhof, Private Rechtsetzung, S. 138.
294
Teil 3: Die normative Gewährleistung der IT-Sicherheit
(1) Staatliches oder privates Recht Der branchenspezifische Sicherheitsstandard wird von Privaten ausgearbeitet und dem BSI zur Prüfung vorgelegt. Insofern beruht er auf der Autonomie Privater. Aufgrund der Abhängigkeit der Rechtswirkungen von der Feststellungsentscheidung des BSI als wesentlichem Verfahrensschritt gründet er aber nicht auf reiner Autonomie Privater.362 Ebenso lassen sich die branchenspezifischen Sicherheitsstandards nicht als Ausdruck reiner staat licher Fremdbestimmung beschreiben.363 Dadurch würden das Antragserfordernis sowie die Ausarbeitung des Vorschlages durch die Antragsteller nicht abgebildet. Stattdessen liegen die branchenspezifischen Sicherheitsstandards zwischen diesen beiden Polen. Sie sind im Feld der mittelbaren Autonomie364 anzusiedeln. Die Betonung der Selbstbestimmung spiegelt sich im Antragserfordernis sowie in der Möglichkeit der Betreiber wider, von den jeweiligen branchenspezifischen Sicherheitsstandards abzuweichen und andere Vorkehrungen zu treffen oder vorzuschlagen. Mittelbar ist die Autonomie, da die nötige hinreichende demokratische Legitimation und damit die öffentlichrechtlichen Rechtswirkungen erst nach einer behördlichen Prüfung über die Feststellungsentscheidung des BSI vermittelt werden.365 Des Weiteren unterliegen die Betreiber aufgrund der Sicherungspflicht des § 8a Abs. 1 BSIG dem Zwang, angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik zu treffen. Der branchenspezifische Sicherheitsstandard kann diese unbestimmten Rechtsbegriffe nur ausfüllen. Daher beruht er auf einer staatlich geleiteten Autonomie.366 Auch wenn diese Autonomie aufgrund der Feststellungsentscheidung des BSI den normativen Einflüssen des § 8a Abs. 1 BSIG unterliegt und die Rechtswirkungen erst durch die Entscheidung des BSI verliehen werden, sind die Privaten Rechtsetzer der branchenspezifischen Sicherheitsstandards. 362 Magen, Zur Legitimation privaten Rechts, in: Bumke / Röthel, Privates Recht, S. 229, 233. 363 Magen, Zur Legitimation privaten Rechts, in: Bumke / Röthel, Privates Recht, S. 229, 233. 364 Adomeit, Heteronome Gestaltungen im Zivilrecht?, in: Merkl / Marcic / Verdross u. a., Festschrift für Hans Kelsen zum 90. Geburtstag, S. 9, 18. 365 Vgl. zum Legitimationsbedürfnis Magen, Zur Legitimation privaten Rechts, in: Bumke / Röthel, Privates Recht, S. 229, 235; vgl. im Hinblick auf den staatlichen Geltungsbefehl und dessen Inhalt Kirchhof, Private Rechtsetzung, S. 134, 508. 366 Vgl. die Ausführungen von Adomeit, Heteronome Gestaltungen im Zivilrecht?, in: Merkl / Marcic / Verdross u. a., Festschrift für Hans Kelsen zum 90. Geburtstag, S. 9, 18, die sich zwar auf die Privatautonomie beziehen, jedoch in allgemeiner Form übertragbar sind.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit295
Diese sind damit als privat gesetztes Recht einzuordnen, das erst durch seine staatliche Legitimation mittels der Feststellungsentscheidung mit Rechtswirkungen ausgestattet wird. Damit schafft der Gesetzgeber für die Betreiber Kritischer Infrastrukturen ein „Instrument zur Rechtsetzung (…), das diese im Einzelfall zur Normierung nach ihren eigenen Interessen und Zielen verwenden können“.367 Nur die Grenzen des § 8a Abs. 1 BSIG müssen beachtet werden. (2) Einordnung in die Kategorien öffentlich-rechtlicher Handlungsformen? Wurde die Feststellungsentscheidung als Verwaltungsakt bzw. Allgemeinverfügung erkannt, so soll eine Einordnung des mit Rechtswirkungen ausgestatteten branchenspezifischen Sicherheitsstandards in Kategorien öffentlichrechtlicher Handlungsformen ebenfalls versucht werden. In der Literatur wird vorgeschlagen, ihn als Verwaltungsvorschrift368 oder als Allgemeinverfügung zu qualifizieren.369 Unabhängig von der Frage, ob sich der branchenspezifische Sicherheitsstandard seinem Charakter nach in eine der beiden Handlungsformen einordnen ließe,370 geht dieser Versuch fehl. Denn dieser widerspricht dem soeben 367 Allgemein zur Entstehung privaten Rechts Kirchhof, Private Rechtsetzung, S. 140. 368 Vgl. Spindler, CR 2016, S. 297, 300, der dies zwar in Bezug auf die Rechtsfolgen der Feststellungsentscheidung vorschlägt, hierbei jedoch nicht zwischen dieser und dem aus dieser Entscheidung hervorgehenden branchenspezifischen Sicherheitsstandard differenziert. 369 Eckhardt, ZD 2014, S. 599, 600. 370 Gegen eine Allgemeinverfügung spricht der im Grundsatz auf abstrakte Vorgaben zur Konkretisierung der organisatorischen und technischen Maßnahmen und nicht auf eine konkrete Benennung von Maßnahmen angelegte Charakter des branchenspezifischen Sicherheitsstandards. Vgl. BSI, Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, S. 7, so hat sich die Detailtiefe der Beschreibungen an einschlägigen ISO / IECNormenreihen zu orientieren, die ebenfalls abstrakter und nicht konkreter Natur sind; vgl. zum vergleichbaren Katalog von Sicherheitsanforderungen nach § 109 Abs. 6 TKG Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 49; vgl. hierzu in Abgrenzung die detaillierten Vorgaben in der Technischen Richtlinie zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation, Erteilung von Auskünften nach § 110 Abs. 3 TKG Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 110 TKG, Rdnr. 89. Dem ist aber nicht abträglich, dass der Sicherheitsstandard auch konkrete Inhalte enthalten kann, vgl. oben § 7 A. I. 6. a) aa), c) aa) (1). Gegen eine Einordnung als Verwaltungsvorschrift spricht die über die Feststellungsentscheidung vermittelte unmittelbare Außenwirkung. Nicht der branchenspezifische Sicherheitsstandard im engeren Sinne, sondern die konkludent erlassene Verwaltungsvorschrift ist auf eine behördeninterne Bindung zum gleichmäßigen Vollzug ausgerichtet.
296
Teil 3: Die normative Gewährleistung der IT-Sicherheit
gefundenen Ergebnis. Der branchenspezifische Sicherheitsstandard ist nicht staatliches, sondern privat gesetztes Recht.371 Dieses wird von der Feststellungsentscheidung in Bezug genommen und dadurch über die in der Feststellungsentscheidung enthaltene Selbstbindung des BSI mit Rechtswirkungen zugunsten der Betreiber Kritischer Infrastrukturen ausgestattet. Hierdurch ändert sich jedoch der Charakter des Sicherheitsstandards als privat gesetztes Recht nicht. Es muss zwischen den Rechtswirkungen, die aus der Feststellungsentscheidung folgen und sich inhaltlich nur auf den branchenspezifischen Sicherheitsstandard beziehen, und dem privaten Regelungswerk als solchem differenziert werden. Daher verbleibt der branchenspezifische Sicherheitsstandard als privates Regelungswerk außerhalb der Kategorien öffentlich-rechtlicher Handlungsformen. Er ist als privat gesetztes Recht nicht hinreichend legitimiert, um aus sich heraus Rechtswirkungen hervorzubringen.372 d) Folge der begrenzten zeitlichen Rechtswirkung: Die Aktualisierung des branchenspezifischen Sicherheitsstandards Eine Pflicht zur Aktualisierung der branchenspezifischen Sicherheitsstandards ist dem Wortlaut des § 8a Abs. 2 BSIG nicht zu entnehmen. Die Notwendigkeit einer Aktualisierung ergibt sich vielmehr aus einer systematischen Zusammenschau mit den Vorkehrungen nach dem „Stand der Technik“ sowie der sich ständig wandelnden Bedrohungslage. Da die Selbstbindungswirkung der Feststellungsentscheidung des BSI in zeitlicher Hinsicht durch Fortentwicklungen des Standes der Technik oder geänderte und nicht abgedeckte Bedrohungslagen für die IT begrenzt wird, müssen die branchenspezifischen Sicherheitsstandards hieran angepasst werden.373 Dabei genügt es aufgrund der in einem zweijährigen Turnus zu erfüllenden Nachweispflicht nicht, wenn die branchenspezifischen Sicherheitsstandards vor diesem Zeitpunkt im Hinblick auf den dann aktuellen Stand der Technik überarbeitet werden. Denn die Überprüfungsbefugnis des BSI, die weder zeit- noch anlassgebunden ausgeübt werden kann, bewirkt eine dauerhafte Dynamisierung der Durchsetzung der Sicherungspflicht.374 371 Den Rechtsnormcharakter technischer Regelwerke privater Organisationen ablehnend van Rienen / Wasser, in: Danner / Theobald, Energierecht, Technische Sicherheit, Rdnr. 15. 372 Spindler, CR 2016, S. 297, 299; vgl. allgemein bzgl. privat gesetztem Recht Schmidt-Preuß, VVDStRL 56 (1997), S. 160, 203; vgl. Stockhaus, Regulierte Selbstregulierung im europäischen Chemikalienrecht, S. 83 f. 373 Vgl. BT-Drs. 18 / 4096, S. 26. 374 Zur Dynamisierungswirkung der Überprüfungsbefugnis siehe unten bei § 7 A. II. 3.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit297
Ein besonderes Verfahren zur Aktualisierung der branchenspezifischen icherheitsstandards ist nicht vorgesehen. Da ein veralteter SicherheitsstanS dard seine Selbstbindungswirkung verliert, ist der überarbeitete, an den Stand der Technik angepasste branchenspezifische Sicherheitsstandard dem BSI als Antrag für das in § 8a Abs. 2 BSIG vorgesehene Verfahren zur erstmaligen Feststellung der Eignung vorzulegen. e) Rechtsschutz Der Frage des Rechtsschutzes kommt im Rahmen der branchenspezifischen Sicherheitsstandards nur eine untergeordnete Rolle zu. Nichtsdestotrotz muss auf sie eingegangen werden. Rechtsschutz gegen die Vorgaben eines branchenspezifischen Sicherheitsstandards zugunsten eines Betreibers Kritischer Infrastrukturen wird und braucht nicht gewährt werden. Dieser ist nicht verpflichtet, die enthaltenen Vorgaben zu erfüllen, sondern kann hiervon abweichen.375 Situationen, in denen Rechtsschutz zu gewähren ist, sind lediglich in zwei Konstellationen denkbar. Zum einen, indem über die Reichweite der Selbstbindungswirkung eines vom BSI anerkannten branchenspezifischen Sicherheitsstandards im Rahmen von auferlegten Bußgeldern gestritten wird und zum anderen gegen eine Ablehnung der Feststellung der Eignung, dass die Anforderungen des § 8a Abs. 1 BSIG erfüllt werden. Die Reichweite der Selbstbindungswirkung ist in der Praxis der behörd lichen Durchsetzung der Sicherungspflicht eine Vorfrage der Sanktionsbefugnis des BSI, § 14 Abs. 1 Nr. 1 BSIG. Obwohl sich § 14 Abs. 1 Nr. 1 BSIG allein auf § 8a Abs. 1 S. 1 BSIG, nicht aber auf S. 2 mit der soll-Einhaltung des Standes der Technik bezieht, kann auch die zeitliche Reichweite der Selbstbindung von streitgegenständlicher Bedeutung sein. Denn die zeitliche Reichweite begrenzt nicht nur der Stand der Technik, sondern auch eine veränderte Bedrohungslage.376 Soweit die Feststellungsentscheidung eines branchenspezifischen Sicherheitsstandards eine Selbstbindung des BSI bewirkt, sind auch die Gerichte hieran gebunden, sofern bereits Bestandskraft der Feststellungsentscheidung eingetreten ist.377 Die Reichweite dieser Feststellungswirkung kann aber im Wege einer vorbeugenden Feststellungsklage oder im Rahmen des Rechtsschutzes gegen ein verhängtes Bußgeld geklärt werden. 375 Vgl.
zu Abweichungsmöglichkeiten BT-Drs. 18 / 4096, S. 26. A. I. 6. c) aa) (2). 377 Vgl. OVG Münster, BeckRS 2016, 40861, Rdnr. 25; vgl. BVerwG, BeckRS 2015, 49463, Rdnr. 32. 376 § 7
298
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Da die Ablehnung der Feststellung der Eignung, ebenso wie die Feststellung der Eignung einen Verwaltungsakt bzw. eine Allgemeinverfügung darstellt, wird verwaltungsgerichtlicher Rechtsschutz mit der Verpflichtungsklage in Form der Versagungsgegenklage gewährt. Allerdings kann der Beurteilungsspielraum im Rahmen der Feststellung der Eignung, die Vorgaben des § 8a Abs. 1 BSIG zu erfüllen, nicht vollständig gerichtlich überprüft werden.378 Denn die Überprüfung der Eignung ist eine in die Zukunft wirkende Entscheidung, die durch neuartige bzw. geänderte Bedrohungslagen der IT ein hohes Maß an Unsicherheit kennzeichnet und maßgeblich auf technischem Sachverstand basiert.379 f) Kritische Würdigung der branchenspezifischen Sicherheitsstandards Das Instrument der branchenspezifischen Sicherheitsstandards wird vor dem Hintergrund des Gesetzesziels, die IT-Sicherheit Kritischer Infrastrukturen zu gewährleisten,380 einer kritischen Beurteilung unterzogen. Den Beurteilungsmaßstab bildet die strukturelle Eignung dieses Instruments, das ITSicherheitsniveau nach § 8a Abs. 1 BSIG sicherzustellen. Anschließend werden dessen dogmatische Bausteine, die eine innovative Gewährleistung der IT-Sicherheit ermöglichen, herausgearbeitet. aa) E ignung zur Gewährleistung des IT-Sicherheitsniveaus nach § 8a Abs. 1 BSIG Die branchenspezifischen Sicherheitsstandards dienen dazu, Rechtssicherheit für die Betreiber bei der Konkretisierung der unbestimmten Rechtsbegriffe des § 8a Abs. 1 BSIG zu schaffen.381 Dabei wird mit der Einbeziehung 378 Vgl. Gerhardt, in: Schoch / Schneider / Bier, Verwaltungsgerichtsordnung, § 114 VwGO, Rdnr. 62; vgl. Aschke, in: Bader / Ronellenfitsch, Beck’scher OnlineKommentar VwVfG, § 40 VwVfG, Rdnr. 103; Decker, in: Posser / Wolff, BeckOK VwGO, § 114 VwGO, Rdnr. 35, insbesondere 36 f. 379 Vgl. aus dem Atomrecht BVerfGE 49, 89, 139 f.; sowie BVerwG NVwZ 1986, S. 208, 212; vgl. zu den allgemeinen Merkmalen eines gerichtlich nur eingeschränkt überprüfbaren Beurteilungsspielraumes bei prognostischen Risikoentscheidungen Aschke, in: Bader / Ronellenfitsch, Beck’scher Online-Kommentar VwVfG, § 40 VwVfG, Rdnr. 121; vgl. allgemein zu Technikklauseln Schmidt-Aßmann, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 19 Abs. 4 GG, Rdnr. 204; vgl. BVerwG NVwZ-RR 2010, S. 271, 273. 380 BT-Drs. 18 / 4096, S. 2. 381 Heinickel / Feiler, CR 2014, S. 709, 712; vgl. Roos, MMR 2015, S. 636, 638; eine „Konkretisierungswirkung“ annehmend Eckhardt, ZD 2014, S. 599, 600; Seidl, jurisPR-ITR 9 / 2014 Anm. 2, der nicht ausdrücklich von der Rechtssicherheit, sondern nur von der Konkretisierung der unbestimmten Rechtsbegriffe spricht; vgl.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit299
der Betreiber ein kooperativer Ansatz verfolgt.382 Wie bereits gezeigt, können die Begriffe durch Auslegung eingegrenzt werden. Die branchenspezifischen Sicherheitsstandards bilden hierzu ein zusätzliches Instrument, dessen Einsatz von den Betreibern, den Normadressaten, abhängt. Grundsätzliche Kritik erfahren die branchenspezifischen Sicherheitsstandards allerdings in der Literatur. Es wird die Gefahr gesehen, dass hierdurch das nach § 8a Abs. 1 BSIG einzuhaltende IT-Sicherheitsniveau unterschritten wird. Die branchenspezifischen Sicherheitsstandards würden, wegen der wirtschaftlichen Interessen der Betreiber, nur möglichst geringe Investitionen zu tätigen, lediglich ein minimales Schutzniveau enthalten und daher dem Ziel der IT-Sicherheit zuwider laufen.383 Die Eignung eines branchenspezifischen Sicherheitsstandards wird aber nach denselben Maßstäben festgestellt, wie sie beim Nachweis nach § 8a Abs. 3 BSIG oder der Überprüfungsbefugnis nach § 8a Abs. 4 BSIG anzulegen sind. Die Feststellungsentscheidung stellt daher eine wirksame Vorkehrung dar, dass eine Absenkung des IT-Sicherheitsniveaus unter das von § 8a Abs. 1 BSIG geforderte verhindert wird.384 Außerdem wird durch die Einbeziehung der Betreiber bereits vorhandenes Wissen, das Erfahrungen zu infrastrukturspezifischen Besonderheiten einschließt, zu einer effektiven Sicherung nutzbar gemacht.385 Gerade die Mitwirkung der Betreiber trägt zu einer wirksamen Sicherung der IT bei. Nur sie haben die notwendige umfassende Kenntnis des Aufbaus der Infrastruktur und der IT-Architektur. Schließlich können durch die Vorabprüfung der Eignung durch das BSI die Maßnahmen eines international tätigen Betreibers Kritischer Infrastrukturen auf die Vorgaben in den verschiedenen Ländern abgestimmt und, soweit möglich, vereinheitlicht werden. Der Vorteil besteht darin, dass der Betreiber bereits vor Umsetzung der angedachten Maßnahmen durch die Feststellungsentscheidung Rechtssicherheit darüber erhalten kann, ob die Vorkehrungen das IT-Sicherheitsniveau des § 8a Abs. 1 BSIG erreichen.386 Wischmeyer, Die Verwaltung 50 (2017), S. 155, 169; vgl. zum branchenspezifischen Sicherheitsstandard als Prüfungsmaßstab der Nachweispflicht BT-Drs. 18 / 4096, S. 27. 382 BT-Drs. 18 / 4096, S. 26. 383 Neumann, BT / InnenA-Drs. 18(4)284 F, S. 9 f.; Neumann, BT / InnenA, Protokoll-Nr. 18 / 44, S. 16; vgl. Rath / Kuss / Bach, K&R 2015, S. 437, 439. 384 Roßnagel, BT / InnenA-Drs. 18(4)284 B; Schiller, BT / InnenA-Drs. 18(4)284 C, S. 6. 385 Hange, BT / InnenA-Drs. 18(4)284 D, S. 6; vgl. andeutend Roth, ZD 2015, S. 17, 21. 386 Vgl. KPMG, IT-Sicherheit in Deutschland, S. 42, wonach jedoch nationale Insellösungen zu vermeiden sind. Auch wenn die Anerkennung eines branchenspezi-
300
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Nicht nur international, sondern auch national können branchenspezifische Sicherheitsstandards dazu beitragen, einen erhöhten Aufwand für die Betreiber Kritischer Infrastrukturen durch ungeeignete Maßnahmen und Doppel regulierungen zu vermindern oder zu vermeiden. Zwar wird das Feststellungsverfahren eines branchenspezifischen Sicherheitsstandards durch die Beteiligung der zuständigen Aufsichtsbehörden, § 8a Abs. 2 S. 3 Nr. 2 BSIG, komplex. Indes können hierdurch Aspekte aus anderen Fachbereichen, die durch die IT-Sicherheit tangiert werden, in das Feststellungsverfahren einbezogen werden.387 Folge der umfassenden Beteiligung anderer Behörden ist aber keine Erstreckung der Selbstbindungswirkung auf diese. Nichtsdestotrotz kommt dem Verfahren eine Zentralisierungswirkung im Hinblick auf die IT-Sicherheit zu. Indem die Selbstbindungswirkung der Feststellung weiterhin auf das BSI beschränkt bleibt, spiegelt sich diese Zentralisierungswirkung nur auf Verfahrensseite, jedoch nicht in den Rechtswirkungen wider. bb) Instrument innovativer IT-Sicherheitsgewährleistung Die branchenspezifischen Sicherheitsstandards sind ein innovatives Ins trument, um unter Einbeziehung der Betreiber Kritischer Infrastrukturen in kooperativer Weise Maßstäbe für die IT-Sicherheit zu setzen. Es ist zwar partiell mit anderen Instrumenten des Risikorechts, die auf technische Normen Privater388 verweisen oder Verwaltungsvorschriften389 darstellen, verfischen Sicherheitsstandards mangels einer Prüfung und Feststellung der Eignung beispielsweise durch die ENISA oder der Anerkennung der Feststellungsentscheidung aus anderen EU-Mitgliedsstaaten nach derzeitiger Rechtslage zwingend eine nationale Insellösung nötig macht. Nichtsdestotrotz können Konflikte durch verschiedene nationale Vorgaben hierdurch bereits im Vorfeld verringert werden. 387 Dies kann zum einen dadurch geschehen, dass der Antragsteller seinen Vorschlag entsprechend modifiziert, oder das BSI die Eignung nur unter der Bedingung der Berücksichtigung dieser Aspekte feststellt. 388 Vgl. zu privaten Normen diejenigen der Internationalen Organisation für Normung (ISO), des Deutschen Instituts für Normung (DIN), des Vereins Deutscher Ingenieure (VDI), des Verbands Deutscher Elektrotechniker (VDE) und der Deutschen Vereinigung des Gas- und Wasserfaches (DVGW). Als privat gesetzte Normen entfalten sie aus sich heraus keine rechtliche Bindungswirkung (Schmidt-Preuß, VVDStRL 56 (1997), S. 160, 203); nichtsdestotrotz können sie zur Konkretisierung unbestimmter Rechtsbegriffe des Risikorechts herangezogen werden. Vgl. hierzu bereits oben die Konkretisierung der organisatorischen und technischen Vorkehrungen durch die ISO / IEC 27001, siehe § 7 A. I. 2. a) dd). Sie erhalten jedoch faktische Bindungswirkung, indem sie unbestimmte Rechtsbegriffe, wie den Stand der Technik, vgl. § 5 Abs. 1 Nr. 2 BImSchG, oder den Stand von Wissenschaft und Technik, § 7 Abs. 2 Nr. 3 AtG, konkretisieren (Bundesministerium der Justiz, Handbuch der Rechtsförmlichkeit, Rdnr. 252 ff.; Stockhaus, Regulierte Selbstregulierung im europäischen Chemikalienrecht, S. 84). Besonders deutlich wird dies in § 49 Abs. 2 EnWG. Dort wird die Einhaltung der „allgemein anerkannten Regeln der Technik“ vermutet, wenn die
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit301
gleichbar. Sie unterscheiden sich jedoch insofern, als die Eignung des Vorschlages durch das BSI nach § 8a Abs. 2 S. 2 BSIG festgestellt wird und den Normadressaten im Rahmen dieses Verwaltungsverfahrens eine bedeutende Rolle390 zukommt. Sie entscheiden, in welchen Bereichen ein branchenspezifischer Sicherheitsstandard sinnvoll ist391 und welche Maßnahmen er zur Erreichung des IT-Sicherheitsniveaus nach § 8a Abs. 1 BSIG enthalten soll. Infolgedessen sind die branchenspezifischen Sicherheitsstandards ein Instrument, mit dem auf das Bedürfnis der Betreiber nach Rechtssicherheit einfach und treffend reagiert werden kann392 und durch das die Potentiale der Normadressaten zur Regelsetzung nutzbar393 gemacht werden.394 Dies stellt nicht nur eine effektive Gewährleistung der IT-Sicherheit, sondern auch die Akzeptanz der Sicherheitsstandards bei den Betreibern sicher.395 Diese weitreichende selbstbestimmte Mitwirkung prägt die branchenspezifischen Sicherheitsstandards als innovatives Regulierungsinstrument.396 Es ist Ausdruck eines sich immer weiter zurückziehenden Gewähr entsprechenden Normen des VDI bzw. des DVGW eingehalten werden (van Rienen / Wasser, in: Danner / Theobald, Energierecht, Technische Sicherheit, Rdnr. 17, 20). Explizite starre Verweise auf private Regelwerke enthalten beispielsweise § 3 ff. der 10. BImSchV. 389 Vgl. hierzu die Verwaltungsvorschriften im Umweltrecht auf Basis des § 48 BImSchG: TA Lärm und TA Luft. 390 Vgl. die Ausarbeitung eines Vorschlages und das Antragserfordernis, § 8a Abs. 2 S. 1 BSIG. 391 BT-Drs. 18 / 4096, S. 26. 392 Vgl. BT-Drs. 18 / 4096, S. 26, dies ist jedoch nur dann möglich, wenn ein branchenspezifischer Sicherheitsstandard auch fachlich sinnvoll ist; vgl. Plöger, BT / InnenA, Protokoll-Nr. 18 / 44, S. 18, wonach die branchenspezifischen Sicherheitsstandards der Individualität der jeweiligen Branchen Rechnung tragen. 393 Vgl. Hange, BT / InnenA-Drs. 18(4)284 D, S. 6; nur andeutend Roth, ZD 2015, S. 17, 21. 394 Hiermit können die Normen des VDI bzw. des DVGW i. S. v. § 49 Abs. 2 EnWG verglichen werden. Aufgrund der Normierung einer bloßen Vermutung, kann, ähnlich wie bei den branchenspezifischen Sicherheitsstandards, von diesen abgewichen werden (van Rienen / Wasser, in: Danner / Theobald, Energierecht, § 49 EnWG, Rdnr. 43 ff.). Denn durch die Ausstattung der Regelungswerke dieser privaten Verbände mit Rechtswirkungen, werden die in der jeweiligen Branche vorhandenen Potentiale zur Normkonkretisierung nutzbar gemacht. Da diese Normen jedoch keine staatliche Legitimation durch eine Feststellung der Eignung erfahren haben, gewähren sie nur begrenzt Rechtssicherheit. Sie binden die Gerichte nicht (van Rienen / Wasser, in: Danner / Theobald, Energierecht, § 49 EnWG, Rdnr. 42). Dies unterscheidet sie wesentlich von den branchenspezifischen Sicherheitsstandards. 395 Nur andeutend Roth, ZD 2015, S. 17, 21, der die Möglichkeit der Mitwirkung der „nächsten Beteiligten“ befürwortet. 396 Dies als typisch für die regulierte Selbstregulierung bezeichnend Stockhaus, Regulierte Selbstregulierung im europäischen Chemikalienrecht, S. 84.
302
Teil 3: Die normative Gewährleistung der IT-Sicherheit
leistungsstaates,397 indem er dem privaten Regelungswerk der branchenspezifischen Sicherheitsstandards durch seine Feststellungsentscheidung Rechtswirkungen verleiht. Die branchenspezifischen Sicherheitsstandards sind daher Ausdruck einer regulierten Selbstregulierung.398 Die Begrenzung der inhaltlichen und personellen Rechtswirkungen der Feststellungsentscheidung des BSI ist Folge der Mitwirkung der Betreiber und spiegelt die kooperativen Verfahrenselemente wieder. Nur soweit diese sich personell beteiligen und nur soweit die Vorschläge eines branchenspezifischen Sicherheitsstandards inhaltliche Tiefe haben, reicht die Feststellungswirkung. Die zeitliche Grenze der Rechtswirkungen ist dahingegen der Fortentwicklung des Standes der Technik oder veränderten Bedrohungslagen geschuldet. Durch eine hieran geknüpfte Begrenzung der Feststellungswirkung, wird verhindert, dass die branchenspezifischen Sicherheitsstandards einer dynamischen und den Entwicklungen angepassten IT-Sicherheitsgewährleistung zuwiderlaufen.399 Die branchenspezifischen Sicherheitsstandards tragen als innovatives Instrument, das dogmatisch durch die Mitwirkung der Betreiber als Normadressaten des § 8a Abs. 1 BSIG geprägt wird, zu einem fruchtbaren Zusammenwirken von Staat und Wirtschaft bei und gewährleisten eine wirksame Sicherung der IT. II. Durchsetzungsmechanismen der Sicherungspflicht Um die Einhaltung der Sicherungspflicht nach § 8a Abs. 1 BSIG zu gewährleisten, hat der Gesetzgeber in § 8a Abs. 3 BSIG eine hierauf bezogene Nachweispflicht normiert.400 Betreiber Kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen des § 8a Abs. 1 BSIG in geeigneter Weise nachzuweisen. Auch die Nachweispflicht ist über Art. 15 Abs. 2 RL (EU) 2016 / 1148 unionsrechtlichen Vorgaben unterworfen. Die Betreiber müssen zum einen die zur Bewertung der IT-Sicherheit erfor397 Die Aufsicht über das Mitwirken Privater bei der Erfüllung von staatlichen Aufgaben als Gewährleistungsaufsicht bezeichnend Schmidt am Busch, Die Verwaltung 49 (2016), S. 205, 211; vgl. zur regulierten Selbstregulierung im Rahmen der Normkonkretisierung Stockhaus, Regulierte Selbstregulierung im europäischen Chemikalienrecht, S. 83 f. 398 Das Konzept der regulierten Selbstregulierung findet auch im Chemikalienrecht Anwendung. Vgl. hierfür die VO (EG) Nr. 1907 / 2006 („REACH-Verordnung“). Vgl. hierzu Stockhaus, Regulierte Selbstregulierung im europäischen Chemikalienrecht, S. 136 ff., 162 f. 399 Vgl. zu diesem Nachteil starrer Verweisungen Bundesministerium der Justiz, Handbuch der Rechtsförmlichkeit, Rdnr. 242; van Rienen / Wasser, in: Danner / Theobald, Energierecht, Technische Sicherheit, Rdnr. 19. 400 BT-Drs. 18 / 4096, S. 26.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit303
derlichen Informationen, einschließlich der dokumentierten Sicherheitsmaßnahmen, sowie Nachweise für die wirksame Umsetzung der Sicherheitsmaßnahmen zur Verfügung stellen. Ergänzend zur Nachweispflicht wurde mit § 8a Abs. 4 BSIG in Umsetzung der RL (EU) 2016 / 1148 eine Überprüfungsbefugnis des BSI eingefügt. 1. Der Nachweis nach § 8a Abs. 3 BSIG Mit dem Nachweis „in geeigneter Weise“ prägt § 8a Abs. 3 S. 1 BSIG ein unbestimmter Rechtsbegriff. Zum einen soll dies den Betreibern die Wahl der Art des Nachweises überlassen und eine Doppelbelastung des Betreibers verhindern, sofern bereits durch andere Vorschriften ein bestimmter geeigneter Nachweis zu erbringen ist.401 Zum anderen bleibt die Nachweispflicht offen für sich zukünftig entwickelnde neuartige Nachweismethoden. Als mögliche geeignete Nachweismethoden werden Sicherheitsaudits, Prüfungen oder Zertifizierungen genannt, § 8a Abs. 3 S. 2 BSIG. a) Sicherheitsaudits, Prüfungen oder Zertifizierungen Die Nachweismethoden werden gesetzlich nicht abschließend bestimmt. Sie sollen an branchenspezifische Sicherheitsstandards, vorhandene technische Gegebenheiten und bereits bestehende Nachweisverfahren anknüpfen können.402 Von den vorgeschlagenen Nachweismethoden ist lediglich die Zertifizierung in § 2 Abs. 7 BSIG näher konkretisiert. Hierunter ist die Feststellung einer Zertifizierungsstelle zu verstehen, dass der Zertifizierungsgegenstand bestimmte Anforderungen erfüllt. Für das Sicherheitsaudit und die Prüfung existiert keine Legaldefinition. Diese ist auch nicht nötig. Denn die Definition der Zertifizierung bezieht sich in ihrem allgemeinen Gehalt zugleich auf das Sicherheitsaudit und die Prüfung.403 Daher bedürfen das Sicherheitsaudit, die Prüfung und die Zertifizierung keiner weiteren Differenzierung.404 Ein Nachweis ist unabhängig von seiner konkreten Bezeichnung geeignet i. S. v. § 8a Abs. 3 S. 1 BSIG, wenn ein zulässiger Prüfer eine Prü401 BT-Drs. 18 / 4096,
S. 26. S. 26. 403 § 2 Abs. 7 BSIG war bereits vor den Änderungen durch das IT-Sicherheitsgesetz Teil des BSIG und hätte im Hinblick auf das Sicherheitsaudit und die Prüfung als weitere Nachweismethoden ergänzt werden sollen. 404 Vgl. BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 9, in dem die drei Begriffe durch den Begriff der „Prüfung“ ersetzt werden; anders Roßnagel, DVBl. 2015, S. 1206, 1209, der zwischen Audit, das vom Betreiber einer Kritischen Infrastruktur in Auftrag zu geben ist, und dem Zertifikat, das nur vom Hersteller eines IT-Produkts in Auftrag gegeben werden kann, unterscheidet. 402 BT-Drs. 18 / 4096,
304
Teil 3: Die normative Gewährleistung der IT-Sicherheit
fung im Hinblick auf die Anforderungen des § 8a Abs. 1 BSIG ordnungsgemäß durchgeführt hat.405 Nach § 8a Abs. 4 BSIG kann das BSI das Verfahren der Sicherheitsaudits, Prüfungen und Zertifizierungen sowie fachliche und organisatorische Anforderungen an die prüfende Stelle nach Anhörung von Vertretern der betroffenen Betreiber und Wirtschaftsverbände festlegen. Bisher hat das BSI hiervon keinen Gebrauch gemacht. Die veröffentlichte „Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG“ ist unverbindlich und keine Ausgestaltung des Verfahrens und der Anforderungen an die Prüfstelle i. S. d. § 8a Abs. 4 BSIG.406. Die Anforderungen an die Prüfer, die Prüfungstiefe, der Prüfungsgegenstand und das Verfahren können aus dem Gesetzeszweck des § 8a Abs. 3 BSIG abgeleitet werden. Die Orientierungshilfe des BSI kann als mögliche Leitlinie bei der Auslegung berücksichtigt werden. Wesentlich ist, dass effektive Tests durchgeführt werden und nicht lediglich Hersteller- oder Betreibererklärungen Basis des Nachweises sind.407 b) Prüfer Die Wirksamkeit der Nachweispflicht hängt von der Fachkompetenz des Prüfers ab. Obwohl § 8a Abs. 3 BSIG ausdrücklich keine Anforderungen an den Prüfer stellt, sind diese hieraus abzuleiten. Kann der Prüfer mangels Fachkompetenz IT-Sicherheitslücken nicht erkennen, so kann die Nachweispflicht ihre Durchsetzungsfunktion nicht erfüllen. Daher kann die Überprüfung nur von qualifizierten Personen durchgeführt werden, die ihre Qualifikation dem BSI gegenüber auf Verlangen formal glaubhaft machen können. Dies ist insbesondere durch ein Zertifikat über eine fachlich-technische Eignung des Prüfers möglich.408 In der Orientierungshilfe zu § 8a Abs. 3 BSIG bezeichnet das BSI Institutionen als prüfende Stellen mit ausreichender fachlicher Kompetenz, wenn sie – eine Akkreditierung bei der DAkkS409 zur ISO / IEC 27001-Zertifizierung, – eine Zertifizierung als IT-Sicherheitsdienstleister oder eine Anerkennung als Prüfstelle beim BSI, BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 16, 18 ff. Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 5. 407 Hornung, BT / InnenA-Drs. 18(4)284 G, S. 9. 408 BT-Drs. 18 / 4096, S. 27. 409 http: / / www.dakks.de / (besucht am 12.06.2018); die Deutsche Akkreditierungsstelle GmbH (DAkkS) ist die nationale Akkreditierungsstelle der Bundesrepu blik Deutschland nach VO (EG) Nr. 765 / 2008 und nach dem Akkreditierungsstellengesetz (AkkStelleG). 405 Vgl. 406 BSI,
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit305
– ein externes Quality Assessment gemäß „Internationalen Standards für die berufliche Praxis der Internen Revision“ (IIA) bzw. DIIR-Revisionsstandard Nr. 3 „Prüfung von Internen Revisionssystemen (Quality Assessments)“ (DIIR) oder – eine Zulassung als Wirtschaftsprüfer bei der IDW410 verbunden mit einer qualifizierten Selbsterklärung nach ethischen Grundsätzen vorweisen können. Darüber hinaus ist auch ein individueller Nachweis der Prüfkompetenz411 möglich.412 Zusätzlich zur fachlichen Eignung muss der Prüfer sicherstellen, dass die Überprüfung unabhängig, unparteilich, neutral und weisungsfrei sowie unter Beachtung der ethischen Grundsätze erfolgt. Letztere umfassen insbesondere die Rechtschaffenheit und Vertraulichkeit, Objektivität und Sorgfalt, die Pflicht zu sachlicher Darstellung sowie im Prüfungsverfahren die Führung von Nachweisen und ihre Nachvollziehbarkeit.413 Um die Unabhängigkeit und Neutralität zu gewährleisten, hat eine Prüfung durch ein Prüfteam mit mindestens zwei prüfenden Personen zu erfolgen.414 Dieses Prüfteam muss eine „Spezielle Prüfverfahrens-Kompetenz für § 8a BSIG“, eine „Audit-Kompetenz“, eine „IT-Sicherheits-Kompetenz“, sowie eine „Branchen-Kompetenz“ aufweisen. Dabei muss nicht jede einzelne Person, die als Prüfer beteiligt ist, sämtliche Kompetenzen erfüllen. Es genügt, wenn an jedem Prüfabschnitt Prüfer mit diesbezüglich ausreichender Kompetenz beteiligt sind.415 Sofern diese Vorgaben eingehalten werden und die Unabhängigkeit und Neutralität gewährleistet ist, können auch interne Prüfer mit der Nachweisführung betraut werden. Eine Pflicht, externe Dritte einzuschalten, besteht nicht. c) Prüfungsverfahren Doch nicht nur die Prüfer, sondern auch das Prüfverfahren trägt maßgeblich zu einer Wirksamkeit der Nachweispflicht bei.
410 Institut
der Wirtschaftsprüfer. zu den besonderen Anforderungen bei einem individuellem Nachweis BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 27. 412 BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 13 ff. 413 BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 12, 28. 414 BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 28. 415 BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 17 f.; zum Nachweis der jeweiligen Kompetenzen dem BSI gegenüber siehe BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 13 ff. 411 Siehe
306
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Prüfungsmaßstab sind die Anforderungen des § 8a Abs. 1 BSIG bzw., sofern ein gültiger branchenspezifischer Sicherheitsstandard vorliegt, dieser.416 Gegenstand ist die für die Erbringung der kritischen Infrastrukturdienstleistungen notwendige IT. Die Prüfung hat die Sicherungsvorkehrungen umfassend zu durchdringen.417 Im Grundsatz würde dies die Überprüfung jeder einzelnen notwendigen Hard- und Software einschließen. Da eine gesamte Prüfung, insbesondere der Software, in einem angemessenen Zeitraum nicht durchführbar ist und zu Kosten führt, die wirtschaftlich nicht tragbar sind und in keinem vertretbaren Verhältnis zu den Risiken für die IT-Sicherheit stehen, können Schwerpunkte gesetzt werden. Diese sind nach möglichen oder bestehenden Bedrohungen und den Auswirkungen entsprechend dem Schutzzweck der §§ 8a ff. BSIG auszuwählen.418 Bei Anhaltspunkten zu ITSicherheitslücken ist die Prüfungstiefe gegebenenfalls anzupassen. Aufgrund der Sicherung in technischer und organisatorischer Hinsicht, sind die Rollen der die IT beeinflussenden Person einzubeziehen.419 Der Prüfungsmaßstab fordert eine Bewertung der Wirksamkeit, der Angemessenheit und der Einhaltung des Standes der Technik der organisatorischen und technischen Vorkehrungen.420 Sofern ein umgesetzter einschlägiger branchenspezifischer Sicherheitsstandard Vorgaben zum Prüfverfahren enthält, sind diese einzuhalten. Im Übrigen kann ein geeignetes Verfahren selbst festgelegt werden. Dabei kann sich an der Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards,421 an festgestellten branchenspezifischen Sicher416 BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 19 f.; kritisch im Hinblick auf die Tauglichkeit des § 8a Abs. 1 BSIG als Prüfungsmaßstab, da eine „hinreichende gesetzliche Determinierung der Angemessenheit von Vorkehrungen“ fehle Heinickel / Feiler, CR 2014, S. 709, 712. 417 Vgl. Hornung, BT / InnenA-Drs. 18(4)284 G, S. 9; kritisch Heinickel / Feiler, CR 2014, S. 709, 712, die sowohl Prüfungsgegenstand als auch Prüfungsdichte in der Situation, dass kein branchenspezifischer Sicherheitsstandard umgesetzt wurde, als unklar bezeichnen. 418 Vgl. BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 23 f.; die Orientierungshilfe spricht anstatt von Schwerpunkten von Stichproben. Dies erweckt allerdings den unzutreffenden Eindruck, dass nur die ausgewählten Bereiche überprüft werden müssen, während die Sicherungsvorkehrungen als Gesamtheit unberücksichtigt bleiben können. Dies würde einer effektiven Durchsetzung der Sicherungspflicht widersprechen. Auch die Gesamtheit der Sicherungsvorkehrungen ist zu untersuchen. Es muss jedoch nicht jede einzelne Komponente bis ins Detail geprüft werden. Hier können Schwerpunkte gesetzt werden. 419 Vgl. Karg, in: Wolff / Brink, Datenschutzrecht in Bund und Ländern, § 9 BDSG, Rdnr. 40. 420 Vgl. BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 19 f. 421 BSI, Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit307
heitsstandards für andere Branchen oder Betreiber bzw. an Prüfungsverfahrensstandards der ISO / IEC 2700X-Reihe orientiert werden.422 Im Rahmen des Prüfverfahrens können anderweitig vorhandene Prüfungen berücksichtigt werden, sodass Bereiche, die bereits mit einer ausreichenden Prüfungstiefe an einem Prüfungsmaßstab mit dem Niveau des § 8a Abs. 1 BSIG gemessen wurden, keiner erneuten Prüfung bedürfen.423 Bei der Prüfung muss eine ausreichende Dokumentation und Nachvollziehbarkeit für den Nachweis dem BSI gegenüber eingehalten werden. Um dies zu gewährleisten, sind ein Prüfplan sowie ein Prüfbericht zu erstellen.424 d) Nachweis gegenüber dem BSI Der auf dieser Prüfung basierende Nachweis hat dem BSI gegenüber mindestens alle zwei Jahre zu erfolgen. Das BSI stellt hierfür Formulare zur Verfügung.425 Das Ergebnis des Prüfverfahrens, ob angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik getroffen wurden, muss übermittelt werden. Sicherungsmängel sind mitzuteilen.426 2. An den Nachweis andockende Befugnisse An die Nachweispflicht docken Befugnisse des BSI an, um auf die Einhaltung des § 8a Abs. 1 BSIG hinwirken zu können. Es kann verlangen, dass die der Überprüfung zugrunde liegende Dokumentation vorgelegt wird sowie im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde, dass aufgedeckte Sicherheitsmängel beseitigt werden, § 8a Abs. 3 S. 4, 5 BSIG. Die Pflicht zur Vorlage der Dokumentation auf Verlangen ist weit zu verstehen. Um eine effektive Erfüllung der Sicherungspflichten zu gewährleisten, müssen nicht nur die Ergebnisse in Form des Prüfberichts, sondern auch 422 BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 20, zu möglichen Methoden S. 22. 423 BT-Drs. 18 / 5121, S. 15; BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 20, wobei die Prüfung noch aktuell sein muss. Dies ist jedenfalls dann nicht der Fall, wenn sie zum Zeitpunkt der Einreichung des Nachweises gem. § 8a Abs. 3 BSIG älter als ein Jahr ist; vgl. Rath / Kuss / Bach, K&R 2015, S. 437, 439. 424 BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 23 f., 27; vgl. BT-Drs. 18 / 11242, S. 46. 425 Siehe https: / / www.bsi.bund.de / DE / Themen / Industrie_KRITIS / KRITIS / ITSiG / Was_tun / Nachweise / Nachweise_node.html (besucht am 12.06.2018). 426 Es ist jeder Sicherheitsmangel in den Nachweis für das BSI aufzunehmen unabhängig davon, ob er geringfügig oder erheblich ist BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 25 f.
308
Teil 3: Die normative Gewährleistung der IT-Sicherheit
die Zwischenschritte durch schlüssige Nachweise bzw. Aufzeichnungen zur Verfügung gestellt werden.427 Dies muss umfassend und nicht nur auf den Bereich eines Sicherungsmangels begrenzt erfolgen. Die Ausübung dieser Befugnis ist nicht vom Vorliegen eines Sicherungsmangels abhängig.428 Wird einer vollziehbaren Anordnung der Beseitigung des Sicherheitsmangels nicht Folge geleistet, kann ein Bußgeld gem. § 14 Abs. 1 Nr. 2 BSIG verhängt werden. Insoweit besteht ein Überschneidungsbereich mit § 14 Abs. 1 Nr. 1 BSIG, sodass das Verhältnis beider Normen zueinander geklärt werden muss. Da das BSI in der Situation des Nachweises primär die Beseitigung des Sicherheitsmangels nach § 8a Abs. 3 S. 5 BSIG verlangen kann und erst danach ein Bußgeld gem. § 14 Abs. 1 Nr. 2 BSIG verhängt werden soll, darf dieses vom Gesetzgeber vorgesehene abgestufte Vorgehen nicht durch ein sofortiges Bußgeld gem. § 14 Abs. 1 Nr. 1 BSIG unterlaufen werden. Insofern wird § 14 Abs. 1 Nr. 1 BSIG durch den spezielleren § 14 Abs. 1 Nr. 2 BSIG in Bezug auf im Nachweis festgestellte Mängel verdrängt. Für darüber hinausgehende Sicherheitsmängel bleibt § 14 Abs. 1 Nr. 1 BSIG anwendbar. Der Bußgeldrahmen beläuft sich grundsätzlich auf 50.000 €. Im Falle der Zuwiderhandlung gegen ein Beseitigungsverlangen von Sicherheitsmängeln, konnte ursprünglich ein Bußgeld bis i. H. v. 100.000 € verhängt werden. Im Zuge der Umsetzung der RL (EU) 2016 / 1148 wurde § 8a Abs. 3 S. 5 geändert. Zwar wurde der Verweis hierauf in § 14 Abs. 1 Nr. 2 BSIG, aber nicht in § 14 Abs. 2 S. 1 Hs. 2 BSIG angepasst. Infolgedessen kann das erhöhte Bußgeld auf einen Verstoß gegen § 8a Abs. 3 S. 5 BSIG wegen eines Normverweisungsfehlers nicht angewendet werden. Außerdem bezieht sich § 14 Abs. 1 Nr. 2 BSIG nicht mehr, wie in der alten Fassung, auf die Übermittlung der Ergebnisse nach § 8a Abs. 3 S. 3 BSIG n. F. Das hieraus resultierende Durchsetzungsdefizit muss durch eine Beseitigung des gesetzgeberischen Fehlers behoben werden. 3. Die Überprüfungsbefugnis nach § 8a Abs. 4 BSIG § 8a Abs. 4 BSIG räumt dem BSI die Befugnis ein, die Erfüllung der icherungspflicht beim Betreiber Kritischer Infrastrukturen zu überprüfen. S Dies schließt das Betreten der Geschäfts- und Betriebsräume und das Vorlegen entsprechender Dokumente ein. Das BSI muss die Überprüfung nicht selbst durchführen, sondern kann qualifizierte unabhängige Dritte damit beauftragen. 427 Vgl.
BT-Drs. 18 / 11242, S. 46. der Fassung des IT-Sicherheitsgesetzes war dies vom Vorliegen eines Sicherungsmangels abhängig. Im Zuge der Umsetzung des Art. 15 RL (EU) 2016 / 1148 ist diese Bedingung entfallen. BT-Drs. 18 / 11242, S. 45. 428 In
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit309
Die Überprüfungsbefugnis nimmt eine Komplementärfunktion zur periodischen Nachweisführung durch den Betreiber selbst ein.429 Denn damit kann unabhängig von einem Zeitablauf und unabhängig von etwaigen Hinweisen auf Mängel in der Umsetzung der Sicherungspflicht eine Prüfung vorgenommen werden.430 Dies gewährleistet, dass eine Anpassung der Sicherungspflicht an eine Fortentwicklung des Standes der Technik oder eine geänderte Bedrohungslage nicht erst im Zuge der Erbringung des Nachweises nach § 8a Abs. 3 BSIG, sondern fortwährend vorgenommen wird. Insofern dient die Überprüfungsbefugnis der Durchsetzung der Dynamisierung der IT- Sicherheitsmaßnahmen auf dem Niveau des § 8a Abs. 1 BSIG. Bei der Ausübung des Ermessens der Überprüfungsbefugnis muss das Verhältnismäßigkeitsprinzip gewahrt werden. § 8a Abs. 4 BSIG trägt keine dauerhafte Überprüfung. Auf der anderen Seite ist aber auch kein Anlass für die Überprüfung notwendig. Sofern ein solcher jedoch vorliegt, insbesondere wenn die Nachweise nicht in ausreichendem Umfang übermittelt oder Sicherheitsmängel aufgedeckt wurden, wesentliche Fortentwicklungen des Standes der Technik oder Änderungen der IT-Bedrohungslage stattgefunden haben, soll eine Überprüfung stattfinden.431 4. Unionsrechtskonforme Umsetzung der Kontrollmechanismen Die Nachweispflicht, die hieran anknüpfenden Befugnisse und die Überprüfungsbefugnis des BSI setzen die Vorgaben des Art. 15 Abs. 2 lit. a, b RL (EU) 2016 / 1148 richtlinienkonform um. Sie gewährleisten eine Verfügbarkeit der notwendigen Informationen, um die Vorkehrungen zur IT-Sicherheit bewerten zu können und das BSI erhält Nachweise bezüglich der wirksamen Umsetzung der Sicherheitsmaßnahmen. An den Prüfer werden hinreichende Anforderungen gestellt, um sicherzustellen, dass dieser qualifiziert ist.432 Dass die Pflicht, Nachweise zur Verfügung zu stellen, direkt aus dem Gesetzestext und nicht erst aus einem hierauf gestützten Nachweisverlangen folgt, wie es Art. 15 Abs. 2 lit. b RL (EU) 2016 / 1148 vorsieht, schadet einer richtlinienkonformen Umsetzung nicht. Insoweit besteht ein Umsetzungsspielraum in Form der erforderlichen „Befugnisse und Mittel“. Fraglich ist indessen, ob der zweijährige Überprüfungsturnus einer richtlinienkonformen Umsetzung entgegensteht. Denn ein sol429 Kipker, MMR 2017, S. 143, 145, wonach die Überprüfungsbefugnis dann ausgeübt werden soll, wenn die Nachweispflicht nicht ausreicht. 430 BT-Drs. 18 / 11242, S. 46. 431 Vgl. BT-Drs. 18 / 11242, S. 46. 432 Vgl. § 7 A. II. 1. b).
310
Teil 3: Die normative Gewährleistung der IT-Sicherheit
cher ist in Art. 15 Abs. 2 lit. b RL (EU) 2016 / 1148 nicht vorgesehen.433 Der zweijährige Turnus ist Ausdruck eines Verhältnismäßigkeitsgrundsatzes, dem auch Art. 15 Abs. 2 lit. b RL (EU) 2016 / 1148 unterliegt. So fordert dieser nach seinem Sinn und Zweck gerade keine andauernden Nachweise für die Einhaltung der Sicherungspflicht. Ansonsten würden die Betreiber, insbesondere wegen des geringen Nutzens von Nachweisen in geringen Zeitabständen, unverhältnismäßig belastet. Jedoch berücksichtigt die starre Turnusgebundenheit nicht, dass gegebenenfalls aufgrund technischer Änderungen oder einer besonderen Bedrohungslage ein Bedürfnis nach vorzeitigen Nachweisen entstehen kann. Damit ist die turnusgebundene Nachweispflicht des § 8a Abs. 3 BSIG ohne Öffnung für Nachweise bzw. behördliche Prüfungen während dieses Zeitraumes keine richtlinienkonforme Umsetzung des Art. 15 Abs. 2 lit. b RL (EU) 2016 / 1148.434 Dies hat auch der Gesetzgeber erkannt und hierfür die Überprüfungsbefugnis ergänzt.435 Im Zusammenwirken mit dieser wird die unionsrechtliche Vorgabe, die Behörden mit Befugnissen und Mitteln auszustatten, um bewerten zu können, ob die Sicherungspflicht erfüllt wird, Art. 15 Abs. 1, 2 RL (EU) 2016 / 1148, im nationalen Recht umgesetzt. Damit wurden im nationalen Recht wirksame Kontrollmechanismen für die Einhaltung der Sicherungspflicht geschaffen, die den unionsrechtlichen Vorgaben entsprechen. 5. Verhältnis zu § 25a Abs. 1 KWG Für den Bereich der Kritischen Kredit- und Finanzdienstleistungsinstitute ergibt sich nicht nur bei der Sicherungs-, sondern auch bei der Nachweispflicht ein Überschneidungsbereich. Bei dem von ihnen einzurichtenden Risikomanagement, das eine Sicherung der IT und ein IT-Notfallkonzept vorsieht,436 ist dessen Angemessenheit und Wirksamkeit vom Institut regelmäßig zu überprüfen, § 25a Abs. 1 S. 5 KWG. Darüber hinaus sind interne Kontrollverfahren im Rahmen des Risikomanagements einzurichten, § 25a Abs. 1 S. 3 Nr. 3 KWG. Diese Überprüfung ist ebenso wie das Kontrollverfahren intern angelegt437 und es bedarf keiner Meldung an die zuständige Aufsichtsbehörde. Damit bestehen erhebliche Differenzen im Vergleich zum 433 Voigt / Gehrmann,
ZD 2016, S. 355, 357. Seidl, jurisPR-ITR 15 / 2014 Anm. 2, der die turnusmäßige Nachweispflicht als strengere Regelung qualifiziert, als Art. 15 Abs. 2 RL (EU) 2016 / 1148 dies vorsieht. 435 BT-Drs. 18 / 11242, S. 46. 436 Vgl. zum Verhältnis zu § 25a Abs. 1 KWG § 7 A. I. 5. 437 Braun / Wolfgarten, in: Boos / Fischer / Schulte-Mattler, Kreditwesengesetz, § 25a KWG, Rdnr. 175 ff. 434 A. A.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit311
Nachweis nach § 8a Abs. 3 BSIG. Nichtsdestotrotz überschneiden sich die Prüfungen darin, ob angemessene technischorganisatorische Vorkehrungen zur Sicherung der IT und ein angemessenes IT-Notfallkonzept vorliegen. Sofern die Überprüfung dem Maßstab des § 8a Abs. 3 BSIG entspricht und die Vorgaben an die Prüfer und das Prüfverfahren eingehalten werden, kann diese Prüfung in die Nachweisführung gegenüber dem BSI einfließen.438 6. Funktion der Durchsetzungsmechanismen Um die dogmatische Struktur der Instrumente der Nachweispflicht, der hieran andockenden Befugnisse und der Überprüfungsbefugnis zu verstehen, müssen noch die ihnen zukommenden Funktionen betrachtet werden. Diese drei Instrumente stehen im engen Zusammenhang zur Sicherungspflicht. Sie dienen ihrer Durchsetzung. Zur Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen tragen sie daher nur mittelbar bei. Während mit der Nachweispflicht und der Überprüfungsbefugnis Kontrollfunktionen, die Voraussetzung für eine wirksame Durchsetzung sind, wahrgenommen werden, wird mit der an die Nachweispflicht andockenden Befugnis des BSI, § 8a Abs. 3 S. 5 BSIG, die Sicherungspflicht direkt durchgesetzt. Um auch einen Verstoß gegen die Anordnung des BSI nach § 8a Abs. 3 S. 5 BSIG selbst durchsetzen zu können, wurde mit § 14 Abs. 1 Nr. 2 BSIG ein entsprechender Ordnungswidrigkeitentatbestand geschaffen. Aufgrund eines Verweisungsfehlers bzgl. der Bußgeldhöhe in § 14 Abs. 2 S. 1 BSIG besteht hier jedoch derzeit ein Durchsetzungsdefizit.439 Damit wurden neben dem auf § 8a Abs. 1 S. 1 BSIG begrenzten Ordnungswidrigkeitentatbestand des § 14 Abs. 1 Nr. 1 BSIG weitere Durchsetzungsmechanismen geschaffen, die sich auf die gesamte Sicherungspflicht beziehen und auch den von § 14 Abs. 1 Nr. 1 BSIG ausgenommenen Stand der Technik nach § 8a Abs. 1 S. 2 BSIG erfassen. Sie ermöglichen es dem BSI, zusätzlich zu den Sanktionsbefugnissen des § 14 Abs. 1 BSIG auf die Einhaltung der Sicherungspflicht hinzuwirken. Im Zentrum der Durchsetzungsinstrumente steht die Nachweispflicht. Die Überprüfungsbefugnis des BSI ist zwar umfassend als eigenständiges Durchsetzungsinstrument neben der Nachweispflicht ausgestaltet,440 faktisch kommt ihr jedoch nur eine ergänzende Funktion zu. Sie soll die Einhaltung während des zweijährigen Nachweisturnus gewährleisten. Ähnlich wie bei 438 Vgl. BT-Drs. 18 / 4096, S. 27; vgl. BT-Drs. 18 / 5121, S. 15; BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, S. 20. 439 Siehe hierzu bereits § 7 A. II. 2. 440 BT-Drs. 18 / 11242, S. 46.
312
Teil 3: Die normative Gewährleistung der IT-Sicherheit
der Sicherungspflicht erfolgt auch bei der Nachweispflicht eine Einbindung der Betreiber. Anders als bei den branchenspezifischen Sicherheitsstandards werden hier zwar nicht Wissens- und Erfahrungspotentiale nutzbar gemacht. Stattdessen nehmen sie hier selbst Überprüfungstätigkeiten durch geeignete Prüfer vor, an deren Stelle ansonsten eine behördliche Aufsicht treten müsste.441 Damit wird die Nachweispflicht als Durchsetzungsinstrument der Sicherungspflicht durch die Mitwirkung der regulierten Betreiber geprägt.442 Die Nachweispflicht, die Überprüfungsbefugnis und die Befugnis des § 8a Abs. 3 S. 5 BSIG sind Instrumente mit gestufter Durchsetzungswirkung an deren Ende der Ordnungswidrigkeitentatbestand des § 14 Abs. 1 Nr. 2 BSIG steht. In ihrem Zusammenwirken gewährleisten sie trotz des Verweisungsfehlers in § 14 Abs. 2 S. 1 BSIG eine wirksame Durchsetzung der Sicherungspflicht des § 8a Abs. 1 BSIG, einschließlich des Standes der Technik. III. Die Meldepflicht Ist die Sicherungspflicht zentrales Instrument, das unmittelbar auf die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen hinwirkt, so trifft dies auf die Meldepflicht nur mittelbar zu. Nichtsdestotrotz ist sie notwendig. Durch sie wird Wissen generiert, auf dessen Basis Sicherungsmaßnahmen nach § 8a Abs. 1 BSIG getroffen werden. Sie bildet eine strukturelle „Voraussetzung für die nationale Handlungsfähigkeit und Grundlage für bundesweit abgestimmte Reaktionen“.443 Ohne die Meldepflicht würde die Sicherungspflicht kein angemessenes, den Bedrohungen angepasstes dynamisches IT-Sicherheitsniveau gewährleisten. Sie ermöglicht dem BSI, gemeldete Störungen zu analysieren und als Multiplikator gem. § 8b Abs. 2 BSIG zu wirken. Adressaten der Meldepflicht nach § 8b Abs. 4 BSIG sind die Betreiber Kritischer Infrastrukturen. Sie müssen Meldungen an das BSI absetzen, wenn die Voraussetzungen des § 8b Abs. 4 BSIG vorliegen, eine Kontaktstelle einrichten und dem BSI gegenüber benennen. Wie die Sicherungs- und Nachweispflicht weist die Meldepflicht eine unionsrechtliche Determinierung auf, die der nationale Gesetzgeber zu berücksichtigen hatte. Nach Art. 14 Abs. 3 RL (EU) 2016 / 1148 ist sicherzustellen, dass Sicherheitsvorfälle mit erheblichen Auswirkungen auf die Verfügbarkeit der von den Infrastrukturbetreibern bereitgestellten wesentlichen Dienste unverzüglich gemeldet werden. Diese Meldung soll inhaltliche Pflichtanga441 Vgl. zur Gemeinwohlsicherung durch Aufsicht Schmidt am Busch, Die Verwaltung 49 (2016), S. 205, 215 ff. 442 Vgl. zur Eigenüberwachung als Teil der regulierten Selbstregulierung Stockhaus, Regulierte Selbstregulierung im europäischen Chemikalienrecht, S. 87. 443 BT-Drs. 18 / 4096, S. 27.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit313
ben enthalten, die eine Beurteilung möglicher grenzüberschreitender Auswirkungen zulassen. Zusätzlich wird das Erheblichkeitskriterium der Auswirkungen in Art. 14 Abs. 4 RL (EU) 2016 / 1148 konkretisiert. Damit wird dem nationalen Gesetzgeber zwar die Struktur der Meldepflicht vorgegeben. Innerhalb dieser verbleibt ihm aber ein zum Teil weiter Umsetzungsspielraum. 1. Meldepflicht des § 8b Abs. 3, 4 BSIG Nach § 8b Abs. 4 S. 1 BSIG haben Betreiber Kritischer Infrastrukturen (erhebliche) Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder geführt haben, zu melden. a) Voraussetzungen Voraussetzung der Auslösung der Meldepflicht ist eine (erhebliche) Störung der Schutzziele der IT-Sicherheit. Da nur vor solchen Störungen geschützt werden braucht, die zu einem Ausfall der kritischen Infrastrukturdienstleistungen führen können, wird die Meldepflicht auf solche Störungen begrenzt, die zumindest potentiell derartige Folgen zeitigen können. Diese Beschränkung ist Ausfluss der dienenden Funktion der IT-Sicherheit. aa) Störung der IT-Sicherheit (1) Der Störungsbegriff der Meldepflicht Der Begriff der Störung wird nicht nur bei der Meldepflicht nach § 8b Abs. 4 BSIG, sondern bereits bei der Sicherungspflicht des § 8a Abs. 1 S. 1 BSIG verwendet.444 Dass beide Pflichten durch den Gesetzgebungsakt des ITSicherheitsgesetzes und dem Ziel der IT-Sicherheit Kritischer Infrastrukturen in engem Zusammenhang stehen, deutet auf ein identisches Begriffsverständnis hin. Dem ist aber nicht so. Obwohl in beiden Fällen im Kern jede Beeinträchtigung der IT-Sicherheit mit Auswirkungen auf die Funktionsfähigkeit der IT als Störung zu verstehen ist, reicht der Störungsbegriff des § 8b Abs. 4 BSIG weiter.445 Zweck der Meldepflicht ist die Generierung von spezifischem Wissen zur IT-Sicherheitslage, um die hierauf basierende Entwicklung ange444 Vgl.
zum Störungsbegriff der Sicherungspflicht § 7 A. I. 2. a) aa). S. 27.
445 BT-Drs. 18 / 4096,
314
Teil 3: Die normative Gewährleistung der IT-Sicherheit
passter Sicherungsmaßnahmen zu ermöglichen. Dies erfordert, dass nicht nur Vorfälle, die zu einer Beeinträchtigung der IT-Sicherheit geführt haben, gemeldet werden müssen, sondern auch solche, die nicht erfolgreich waren. Indem in der Gesetzesbegründung ausgeführt wird, dass zu melden ist, wenn „versucht wurde, entsprechend auf sie [die Funktionsfähigkeit der IT] einzuwirken“,446 betrachtet der Gesetzgeber zwar nur gezielte Angriffe auf die IT, da lediglich dann ein „versuchen“ vorliegt. Dies zeigt aber, dass eine Vorverlagerung der Meldepflicht in das Vorfeld der Beeinträchtigung der IT- Sicherheit nach dem gesetzgeberischen Willen vom Störungsbegriff des § 8b Abs. 4 BSIG abgedeckt wird. Ist die Störung funktional zu verstehen,447 kann die Vorverlagerung nicht auf eine bestimmte Ursache, den gezielten Angriff, begrenzt werden, sondern muss allgemein erfolgen.448 Damit sind Situationen, in denen es zu einer Beeinträchtigung der IT-Sicherheit gekommen ist, genauso wie solche, in denen es zu einer solchen hätte kommen können, Störungen i. S. v. § 8b Abs. 4 BSIG. Dies stellt eine erhebliche Ausweitung des Störungsbegriffs dar. Diese unterliegt den Korrekturfaktoren der Erheblichkeit und der jedenfalls potentiellen Auswirkung auf die Funktionsfähigkeit der Kritischen Infrastruktur. Sie sollen vermeiden, dass sämtliche IT-Sicherheitsvorfälle unabhängig von ihrer Relevanz gemeldet werden. Sicher trifft es zu, dass nicht erfolgreiche Beeinträchtigungen der IT-Sicherheit oftmals unerkannt bleiben.449 Dies kann jedoch einen engeren Störungsbegriff nicht rechtfertigen. Denn wird eine Bedrohung erkannt, die im Ergebnis zu keiner Beeinträchtigung der IT-Sicherheit geführt hat, so können aus ihr ebenfalls Rückschlüsse auf die IT-Sicherheitslage, auf das Vorgehen von Schadprogrammen und die Wirksamkeit der Sicherungsmaßnahmen sowie möglicher erforderlicher Anpassungen bzw. Ergänzungen gezogen werden. Dieses Wissen wird benötigt, um vor den Bedrohungen der IT-Sicherheit wirksam schützen zu können.450 446 BT-Drs. 18 / 4096,
S. 27. Kannenberg, in: Scheurle / Mayen / Albers, Telekommunikationsgesetz, § 100 TKG, Rdnr. 6 f.; vgl. Lutz, in: Arndt / Fetzer / Scherer u. a., TKG, § 100 TKG, Rdnr. 5. 448 Roos, MMR 2015, S. 636, 639. 449 Aus der Meldepflicht und insbesondere dem Merkmal der erheblichen Störung folgt keine Verpflichtung der Betreiber unerkannte Störungen der IT-Sicherheit zu suchen. Für unerkannte Störungen, die zukünftig weitere Beeinträchtigungen der IT-Sicherheitsziele bewirken können, folgt aus § 8a Abs. 1 BSIG eine Pflicht diese mit angemessenen Maßnahmen nach dem Stand der Technik zu unterbinden. Dies beinhaltet allerdings nicht die Pflicht eine unerkannte Störung durch entsprechende Maßnahmen als Störung zu erkennen und zu qualifizieren. Es genügt, wenn zukünftig hieraus nach dem geforderten IT-Sicherheitsniveau keine Beeinträchtigungen mehr erwachsen können. 450 Vgl. zur Rolle des BSI Gitter / Meißner / Spauschus, DuD 2015, S. 7, 9. 447 Vgl.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit315
Als Störung i. S. v. § 8b Abs. 4 BSIG ist somit jede Sachlage zu qualifizieren, die die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit einer IT beeinträchtigt oder hierzu zumindest geeignet ist.451 (2) Erheblichkeitsschwelle für die pseudonyme Meldung Es sind nur erhebliche Störungen zu melden.452 Funktion der Erheblichkeitsschwelle ist es, für die IT-Sicherheitslage bedeutende von unbedeutenden Vorfällen zu unterscheiden. Ursprünglich war die Erheblichkeitsschwelle sowohl für die namentliche wie auch für die pseudonyme Meldung enthalten. Im Zuge der Umsetzung der RL (EU) 2016 / 1148 wurde ihr Bezug dem Wortlaut des Art. 14 Abs. 3 RL (EU) 2016 / 1148 folgend von der Störung auf die Auswirkung verlagert.453 Im Rahmen der pseudonymen Meldung nach § 8b Abs. 4 S. 1 Nr. 2 BSIG wurde das Erfordernis einer erheblichen Störung aber beibehalten. Dadurch sollen zum einen die Betreiber Kritischer Infrastrukturen vor dem Aufwand, eine Meldung für eine Störung ohne Bedeutung erstellen zu müssen, geschützt werden. Insofern ist die Erheblichkeitsschwelle eine Ausprägung des Verhältnismäßigkeitsgrundsatzes.454 Zum anderen dient sie der Gewährleistung einer effektiven Aufgabenwahrnehmung des BSI. Würde die Meldepflicht bei einem weiten Störungsbegriff keinen Filtern unterliegen, könnte das BSI seine Multiplikatorrolle nicht mehr effektiv wahrnehmen. Aus vielen Meldungen müssten die wenigen relevanten ermittelt werden. Dafür fehlt dem BSI einerseits mangels Kenntnis der konkreten IT das Wissen, andererseits sind die hierfür erforderlichen Ressourcen nicht vorhanden. Die Vorauswahl der relevanten Meldungen wird daher über die Begrenzung der Meldepflicht auf erhebliche Störungen auf die Betreiber verlagert. Bezüglich des Erheblichkeitskriteriums besteht jedoch Konkretisierungsbedarf. 451 BT-Drs. 18 / 4096,
S. 28. BSI differenziert hingegen im Rahmen seiner Information über die Meldepflicht entgegen dem Gesetzeswortlaut nicht zwischen erheblichen und unerheblichen, sondern zwischen gewöhnlichen und außergewöhnlichen Störungen. Zwar werden sich die Ergebnisse der Einordnung als (nicht) meldepflichtig decken. Nichtsdestotrotz ordnet es einen Hardwareausfall beispielhaft unzutreffend als nicht meldepflichtig ein. Vgl. https: / / www.bsi.bund.de / DE / Themen / Industrie_KRITIS / KRITIS / IT-SiG / Neuregelungen_KRITIS / Meldepflicht / meldepflicht_node.html#[ANKER_ stoerungen (besucht am 12.06.2018). 453 BT-Drs. 18 / 11242, S. 47. 454 Guckelberger, DVBl. 2015, S. 1213, 1221; vgl. Hornung, BT / InnenA-Drs. 18(4)284 G, S. 3; der Aufwand für eine Meldung wird in der Gesetzesbegründung mit 660 € beziffert, BT-Drs. 18 / 4096, S. 4. 452 Das
316
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Das Überschreiten der Erheblichkeitsschwelle kann nur anhand des Einzelfalles festgestellt werden. Abstrakt kann nur der zugrunde liegende Maßstab konkretisiert werden. Dieser Maßstab wird in der Gesetzesbegründung genannt und anhand von Beispielen beschrieben. Eine Erheblichkeit besteht, wenn die Störungen „nicht bereits automatisiert oder mit wenig Aufwand mithilfe der nach § 8a als Stand der Technik beschriebenen Maßnahmen abgewehrt werden können. Dies ist beispielsweise der Fall bei neuartigen oder außergewöhnlichen IT-Vorfällen, bei gezielten Angriffen, für neue Modi Operandi sowie für unerwartete Vorkommnisse. Insbesondere gilt dies aber auch für Vorfälle, die nur mit deutlich erhöhtem Ressourcenaufwand bewältigt werden können (erhöhter Koordinierungsaufwand, Hinzuziehen zusätzlicher Experten, Nutzung einer besonderen Aufbauorganisation, Einberufung eines Krisenstabs). IT-Störungen sind hingegen nicht erheblich, wenn es sich um tagtäglich vorkommende Ereignisse (Spam, übliche Schadsoftware, die standardmäßig im Virenscanner abgefangen wird, Hardwareausfälle im üblichen Rahmen) handelt und die mit den nach Stand der Technik nach § 8a des BSI-Gesetzes zu ergreifenden Maßnahmen ohne nennenswerte Probleme bewältigt wer den.“455 Gegen diese Konkretisierung wird eingewandt, dass sie die Grenzfälle nicht erfasse456 und die Formulierung nicht bestimmt genug sei.457 Doch verkennt letzterer Einwand, dass eine abstrakt-generelle Vorgabe immer der Auslegung bedarf. Die Beurteilung der Erheblichkeit ist stets eine Wertungsfrage,458 die vom Gesetzgeber nicht volZlständig übernommen werden kann. Um dieser näher zu kommen, ist der Zweck des Erheblichkeitskriteriums zu berücksichtigen. Es sollen diejenigen Störungen keine Meldepflicht auslösen, die die Kenntnis und das Tätigwerden des BSI nicht erfordern und dadurch das Erkennen der relevanten Störungen erschweren würden.459 Dies ist der Fall, wenn aus einer Meldung kein Nutzen für die Erhöhung der IT-Sicherheit Kritischer Infrastrukturen gezogen werden kann. Ein Nutzen besteht hingegen, wenn die Störung nicht automatisiert oder 455 BT-Drs. 18 / 4096,
S. 28. ZRP 2015, S. 38, 40. 457 Seidl, jurisPR-ITR 9 / 2014 Anm. 2. 458 Vgl. zur Kritik an einer aus dem Wertungsspielraum folgenden Rechtsunsicherheit Roßnagel, BT / InnenA-Drs. 18(4)284 B; Roßnagel, DVBl. 2015, S. 1206, 1210; Bräutigam / Wilmer, ZRP 2015, S. 38, 40; mit einer Forderung nach Regelbeispielen Roos, K&R 2013, S. 769, 770; Seidl, jurisPR-ITR 9 / 2014 Anm. 2. 459 Zu zu bewältigenden Problemen der Datenanalyse Hornung / Schindler, Zivile Sicherheit als Gegenstand und Ziel der Informations- und Kommunikationsverarbeitung, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 247, 267. 456 Bräutigam / Wilmer,
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit317
mit wenig Aufwand beseitigt werden kann und das Wissen über die Störung möglicherweise für andere Betreiber Kritischer Infrastrukturen relevant ist. Dabei ist das von § 8a Abs. 1 BSIG geforderte IT-Sicherheitsniveau zugrunde zu legen. Stellt sich eine Störung nur aufgrund zusätzlicher, über § 8a Abs. 1 BSIG hinausgehender IT-Sicherungsmaßnahmen als leicht zu beseitigen dar, liegt trotzdem eine erhebliche Störung vor, da gerade auf dem von § 8a Abs. 1 BSIG vorgegebenen IT-Sicherheitsniveau die Meldung von Nutzen zur Beseitigung oder Vermeidung der Störung ist. Um dies zu beurteilen, ist Fachwissen nötig, das bei den Betreibern Kritischer Infrastrukturen selbst vorhanden ist.460 Mit der Einschätzung der Erheblichkeit durch die Betreiber, wird dieses Fachwissen nutzbar gemacht und es wird den Betreibern in Grenzfällen ein Wertungsspielraum übertragen.461 Dies wurde vor Umsetzung der RL (EU) 2016 / 1148 auch darin deutlich, dass in § 14 Abs. 1 Nr. 4 BSIG nur ein Verstoß gegen die Meldung von Störungen, die zu einem Ausfall der IT geführt haben, § 8b Abs. 4 Nr. 2 BSIG a. F., eine Ordnungswidrigkeit darstellte. In diesem Fall konnte aufgrund der Auswirkungen auf das Funktionieren der Kritischen Infrastrukturen keine Unerheblichkeit mehr gegeben sein. Daher ist die Filterfunktion des auf die Störung bezogenen Erheblichkeitskriteriums des § 8b Abs. 4 Nr. 1 BSIG n. F. entbehrlich. Denn die tatsächlichen Auswirkungen auf die Infrastruktur zeigen, dass die Sicherungsvorkehrungen nach § 8a Abs. 1 BSIG nicht ausreichend waren. Da § 14 Abs. 1 Nr. 4 BSIG n. F. statt der namentlichen, die pseudonyme Meldepflicht erfasst,462 muss die Sanktionsbefugnis in Grenzfällen, in denen es auf den Wertungsspielraum der Betreiber ankommt, restriktiv ausgelegt werden. Sie greift bereits dann nicht, wenn ein IT-Sicherheitsvorfall vertretbar als unerheblich eingestuft wurde. Im Rahmen der Erheblichkeit der Störung der IT-Sicherheit sind die Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur nicht zu berücksichtigen.463 Nichtsdestotrotz impliziert diese Folge, dass zugleich eine erhebliche Störung vorliegt, die nicht automatisiert und ohne erheblichen Aufwand beseitigt werden konnte. Damit ist im Ergebnis durch den Wegfall des Erheblichkeitskriteriums im Rahmen der Störung, die Auswir460 Denn sie müssen die Sicherungsmaßnahmen der IT treffen und können daher erkennen, welche Bedrohungen Sicherungsvorkehrungen keine oder nur unerhebliche bzw. erhebliche Auswirkungen auf die IT-Sicherheit haben können. 461 Vgl. Gehrmann / Klett, K&R 2017, S. 372, 376. 462 Siehe zu Sanktionsmöglichkeiten von Verstößen gegen die Meldepflicht unten § 7 A. III. 3. 463 So aber Gerling, RDV 2015, S. 167, 168; vgl. ebenfalls Seidl, jurisPR-ITR 9 / 2014 Anm. 2; zum Entwurf vom 5. März 2013 Roos, K&R 2013, S. 769, 770.
318
Teil 3: Die normative Gewährleistung der IT-Sicherheit
kungen auf die Funktionsfähigkeit Kritischer Infrastrukturen hat, keine Änderung erfolgt. Denn Störungen mit Auswirkungen auf die Funktionsfähigkeit der Infrastruktur sind zwingend erheblich. Diese zeigen gerade, dass die Störung nicht automatisiert und mit wenig Aufwand beseitigt werden konnte. Die Einbeziehung der Auswirkungen auf die Kritische Infrastruktur erfolgt erst in einem weiteren Schritt.464 Die Begrenzung auf erhebliche Störungen ist in Art. 14 Abs. 3 RL (EU) 2016 / 1148 nicht enthalten. Nichtsdestotrotz hindert die Begrenzung auf erhebliche Störungen eine unionskonforme Umsetzung nicht. Denn Art. 14 Abs. 3 RL (EU) erfasst nur den Fall von tatsächlichen Auswirkungen. Diesbezüglich ist in § 8b Abs. 4 S. 1 Nr. 1 BSIG kein Erhzeblichkeitskriterium enthalten. Zudem sind Störungen mit tatsächlichen Auswirkungen ohnehin stets erheblich. bb) Auswirkungen auf die betriebene Infrastruktur Die Störung der IT-Sicherheit muss sich auf die damit betriebene Kritische Infrastruktur auswirken können. Dafür muss die Störung zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur führen können oder geführt haben, § 8b Abs. 4 S. 1 Nr. 1, 2 BSIG. Hierüber wird der Kreis der meldepflichtigen Vorfälle eingeschränkt und an das Ziel der Funktionsfähigkeit der Versorgung mit kritischen Infrastrukturdienstleistungen rückgekoppelt. Anders als der Ausfall, unterliegt die meldepflichtige Beeinträchtigung einer weiteren Erheblichkeitsschwelle.465 Ein Ausfall der Kritischen Infrastrukturdienstleistung liegt vor, wenn die Infrastrukturdienstleistungen nicht mehr erbracht werden können. Eine Beeinträchtigung, wenn die Menge oder die Qualität der erbrachten Infrastrukturdienstleistung herabgesetzt wird. Eine Minderung der Qualität ist erst dann zu berücksichtigen, wenn die In frastrukturdienstleistung unbrauchbar ist.466 Der Ausfall stellt eine Steigerung der Beeinträchtigung dar. Die Normierung der Erheblichkeitsschwelle bei einem Ausfall war daher nicht nötig, da ein solcher diese immer überschreitet. Bei den Beeinträchtigungen dient sie der Begrenzung des Aufwandes für die meldepflichtigen Betreiber und ist 464 Zur Differenzierung der beiden Funktionen des Erheblichkeitskriteriums vgl. Eckhardt, ZD 2014, S. 599, 601. 465 BT-Drs. 18 / 11242, S. 47. 466 Vgl. https: / / www.bsi.bund.de / DE / Themen / Industrie_KRITIS / KRITIS / IT-SiG / Neuregelungen_KRITIS / Meldepflicht / meldepflicht_node.html#[ANKER_stoerungen (besucht am 12.06.2018).
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit319
Ausdruck des Verhältnismäßigkeitsgrundsatzes. Die Begrenzung der meldepflichtigen Beeinträchtigungen auf Erhebliche geht auf die Vorgaben des Art. 14 Abs. 3 S. 1 RL (EU) 2016 / 1148 zurück.467 Aus unionsrechtlicher Sicht hätte es dieser Ergänzung zur Umsetzung der Richtlinie allerdings nicht bedurft. Denn diese erfordert lediglich eine Mindestharmonisierung. Eine weiter reichende Meldepflicht ohne das einschränkende Erheblichkeitskriterium wäre zulässig gewesen. Dieser zusätzlichen Erheblichkeitsschwelle muss vor dem Ziel der IT-Sicherheit kritisch gegenüber gestanden werden. Denn jede durch eine Bedrohung der IT verursachte Auswirkung auf den Betrieb einer Kritischen Infrastruktur zeigt, unabhängig davon, ob sie erheblich ist oder nicht, dass eine Schutzlücke besteht. Die Begrenzung auf erhebliche Auswirkungen geht indes auf Einflüsse des Zivil- und Katastrophenschutzes zurück. Denn es soll nicht vor jeglicher Beeinträchtigung geschützt werden, sondern nur vor solchen mit systemischer Relevanz.468 Daher hat das Erheblichkeitskriterium im Rahmen der Auswirkungen auf die Infrastruktur trotzdem seine Berechtigung. Es macht deutlich, dass sich die Pflichten nicht nur zwischen Sicherheitsund Infrastruktureinflüssen, sondern auch solchen des Bevölkerungsschutzes bewegen.469 Wann eine Beeinträchtigung der Funktionsfähigkeit einer Kritischen Infrastruktur erheblich ist, bedarf als unbestimmter Rechtsbegriff einer Konkretisierung.470 Dabei kann nicht auf den Erheblichkeitsmaßstab der Störung der IT-Sicherheit zurückgegriffen werden. Denn dieser bezieht sich gerade nicht auf die Auswirkungen für die Funktionsfähigkeit der Kritischen Infrastruktur. Weder im Gesetzestext noch in der Gesetzesbegründung sind Vorgaben zur Konkretisierung dieses Erheblichkeitsmaßstabes enthalten. Wegen des damit verfolgten Zieles, Art. 14 Abs. 3 S. 1 RL (EU) 2016 / 1148 umzusetzen, kann auf den in Art. 14 Abs. 4 RL (EU) 2016 / 1148 enthaltenen Maßstab zurückgegriffen werden.471 Demnach richtet sich die Erheblichkeit nach der Zahl der von der Beeinträchtigung betroffenen Nutzer, lit. a, der Dauer der Aus467 BT-Drs. 18 / 11242,
S. 47. systemischen Charakter der Kritikalität Schmidt, Kritische Infrastrukturen, in: Bundesakademie für Sicherheitspolitik, Sicherheitspolitik in neuen Dimensionen, S. 403, 407. 469 Vgl. bereits oben § 3 B. II. 470 Eine Konkretisierung sämtlicher Meldekriterien fordernd bitkom, Stellungnahme zum Entwurf eines Gesetzes zur Umsetzung der NIS-Richtlinie (EU) 2016 / 1148, S. 3. 471 Gehrmann / Klett, K&R 2017, S. 372, 376, ohne jedoch zwischen der „erheb lichen Störung“ und den „erheblichen Beeinträchtigungen“ als Auswirkungen der Störung zu differenzieren. 468 Zum
320
Teil 3: Die normative Gewährleistung der IT-Sicherheit
wirkungen, lit b,472 sowie der geografischen Ausbereitung des von den Auswirkungen betroffenen Gebietes, lit. c.473 Unklar bleibt, in welchem Verhältnis diese drei Kriterien zueinander stehen und ab welchem Wert eine Beeinträchtigung als erheblich anzusehen ist. Eine Festlegung durch den Gesetzgeber fehlt.474 Die Möglichkeit der Festlegung eines Werts über eine Rechtsverordnung ist hier, anders als bei der Bestimmung der Kritischen Infrastrukturen, nicht vorgesehen. Wann eine Beeinträchtigung erheblich ist, muss daher durch Auslegung ermittelt werden. Zudem ist ein Rückgriff auf derzeit noch nicht existierende Durchführungsakte der Kommission nach Art. 16 Abs. 9 RL (EU) 2016 / 1148, auf die § 8c Abs. 3 BSIG verweist, nicht möglich, da sich Kritische Infrastrukturen und Anbieter digitaler Dienste wesentlich unterscheiden. Das BSI geht davon aus, dass jedenfalls bei einer Minderung der Quantität der erbrachten Dienstleistungen unter 50 % der in der BSI-KritisV angegebenen Schwelle eine meldewürdige und damit erhebliche Beeinträchtigung vorliegt.475 Dies berücksichtigt allerdings keine der drei im Unionsrecht vorgesehenen Kriterien. Lediglich mittelbar kann die Zahl der Nutzer und mit Einschränkungen die geografische Ausbreitung abgebildet werden. Berücksichtigt man die auf 500.000 Personen bezogenen Schwellenwerte und den Zweck der Meldepflicht, Wissen zur IT-Sicherheitslage beim BSI zu konzentrieren, ist der Wert von 50 % des Schwellenwerts wohl zu hoch angesetzt. Wird die 50 %-Grenze des Schwellenwerts überschritten, liegt in jedem Fall eine erhebliche Beeinträchtigung vor. Sie kann indessen schon unterhalb dieser Schwelle erreicht sein, wenn ein IT-Sicherheitsvorfall langfristige Beeinträchtigungen hervorruft.
472 Art. 14 Abs. 4 lit. b RL (EU) 2016 / 1148 bezieht sich dem Wortlaut nach zwar auf Sicherheitsvorfälle. Da sich die Dauer auf die Konkretisierung der Auswirkungen auf die Funktionsfähigkeit wesentlicher Dienste bezieht, ist dieser Bezug im Rahmen der Auslegung des nationalen Erheblichkeitsbegriffs entgegen dem Wortlaut der RL (EU) 2016 / 1148 zugrunde zu legen. Der Sicherheitsvorfall ist lediglich mittelbar von Bedeutung, als die Auswirkung auf ihm beruhen muss. Jedoch kann es Situationen geben, in denen die Störung der IT-Sicherheit bereits beseitigt ist, deren Auswirkungen aber möglicherweise noch weiterwirken. Vgl. zu Ungenauigkeiten in Bezügen von Konkretisierungsvorgaben in der RL (EU) 2016 / 1148 bereits § 6 B. I., insbesondere die Fn. 473 Auch hier ist der Bezug der geografischen Ausbreitung entgegen dem Wortlaut nicht auf den Sicherheitsvorfall, sondern auf dessen Auswirkungen für die Funktionsfähigkeit der betroffenen Infrastruktur zu beziehen. 474 Dies bei § 109 TKG kritisierend Selk / Gierschmann, CR 2015, S. 273, 276. 475 https: / / www.bsi.bund.de / DE / Themen / Industrie_KRITIS / KRITIS / ITSiG / Neuregelungen_KRITIS / Meldepflicht / meldepflicht_node.html#[ANKER_mel dung (besucht am 12.06.2018).
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit321
Daher ist die Erheblichkeit einer Beeinträchtigung der Kritischen Infrastruktur im Einzelfall anhand der in Art. 14 Abs. 4 RL (EU) 2016 / 1148 enthaltenen Kriterien durch Auslegung zu ermitteln. Traf die Kritik wegen fehlender Bestimmtheit im Rahmen der Bestimmung des personellen Anwendungsbereiches der Pflichten nicht zu, so wäre sie an dieser Stelle aus rechtlicher Sicht sehr wohl berechtigt. Tatsächlich trifft das Kriterium der „erheblichen Beeinträchtigung“ im Rahmen der Meldepflicht nur auf geringen Widerstand476 oder wird nicht thematisiert.477 Nichtsdestotrotz kann durch Auslegung unter Zuhilfenahme der unionsrechtlichen Kriterien die Erheblichkeit hinreichend bestimmt werden.478 In Grenzfällen ist jedoch die Sanktionsbefugnis des § 14 Abs. 1 Nr. 4 BSIG gesperrt. Ihre verfassungskonforme Auslegung vor dem Hintergrund des Bestimmtheitsgebots des Art. 103 Abs. 2 GG beschränkt sie damit auf Fälle, in denen nach jeder vertretbaren wertenden Entscheidung nur zur Beurteilung der Auswirkungen als erheblich gelangt werden konnte.479 Im Übrigen wirft weniger der Tatbestand des tatsächlichen Ausfalles oder der erheblichen Beeinträchtigung (Nr. 1) Fragen auf, als derjenige, dass bereits potentielle Auswirkungen genügen (Nr. 2). Funktioniert eine Infrastruktur nicht mehr oder kann sie im Vergleich zum Normalbetrieb nicht mehr das gleiche quantitative Maß an kritischen Infrastrukturdienstleistungen erbringen, liegt jedenfalls ein Ausfall oder eine Beeinträchtigung vor. Dahingegen 476 Vgl. allgemein bzgl. der Meldepflicht bitkom, Stellungnahme zum Entwurf eines Gesetzes zur Umsetzung der NIS-Richtlinie (EU) 2016 / 1148, S. 3; bzgl. § 109 TKG Selk / Gierschmann, CR 2015, S. 273, 276. 477 Vgl. DVGW Deutscher Verein des Gas- und Wasserfaches e. V., Stellungnahme vom 21. Dezember 2016 zu Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-RLUmsetzungsgesetz); vgl. BDEW Bundesverband der Energie- und Wasserwirtschaft e. V., Stellungnahme Referentenentwurf des Bundesministeriums des Innern Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016 / 1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, S. 5. 478 Vgl. bzgl. der erheblichen Störung der IT-Sicherheit Guckelberger, DVBl. 2015, S. 1213, 1221. Jedoch kann die Konkretisierungsfähigkeit des Erheblichkeitsbegriffs auf die „erhebliche Beeinträchtigung“ der Kritischen Infrastruktur übertragen werden. 479 § 14 Abs. 1 Nr. 4 BSIG ist nach Art. 103 Abs. 2 GG hinreichend bestimmt. Denn die Grenzen dieses Ordnungswidrigkeitentatbestandes können, wie gezeigt aus einer Auslegung in Zusammenschau mit der Meldepflicht und der Funktion des Erheblichkeitskriteriums ermittelt werden. Vgl. zur Zulässigkeit der Verwendung unbestimmter Rechtsbegriffe, soweit sie durch Auslegung konkretisiert werden können BVerfG NJW 2003, S. 1030, 1031; BVerfGE 126, 170, 195 f. = NJW 2010, S. 3209, 3210 f.; Radtke / Hagemeier, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 103 GG, Rdnr. 24.
322
Teil 3: Die normative Gewährleistung der IT-Sicherheit
kann ein möglicher Ausfall oder eine mögliche Beeinträchtigung nicht entsprechend leicht erkannt werden. Der IT-Sicherheitsvorfall muss hierfür auf mögliche Folgen untersucht werden. Zusätzlich ist ein IT-Sicherheitsvorfall mit nur potentiellen Auswirkungen als Ausgangspunkt für diese Folgenanalyse nicht offensichtlich. Mit der auf potentielle Beeinträchtigungen der Funktionsfähigkeit der Kritischen Infrastruktur bezogenen Meldepflicht legt der Gesetzgeber den Betreibern Kritischer Infrastrukturen somit eine nicht ausdrücklich normierte Untersuchungspflicht als Teil der Meldepflicht auf. Dass die Untersuchungspflicht potentielle wie tatsächliche Auswirkungen betrifft, zeigt sich in den zu meldenden Inhalten wieder. Für potentielle Auswirkungen ist sie nur ausgeprägter, da selbst mögliche infrastrukturinterne Folgen als tatbestandliche Voraussetzung ermittelt werden müssen, während sie bei tatsächlichen Auswirkungen erst die Rechtsfolgenseite betrifft. Für die potentielle Beeinträchtigung der Funktionsfähigkeit einer Kritischen Infrastruktur müssen zum einen die Struktur der infrastruktureigenen IT sowie die Wirkweise der Störung untersucht werden. Ist eine zum Betrieb der Kritischen Infrastruktur nicht notwendige IT betroffen, so greift keine Meldepflicht.480 Die potentiellen Auswirkungen auf die Funktionsfähigkeit einer Kritischen Infrastruktur sind weit zu fassen. Unerheblich ist, ob diese unmittelbar oder mittelbar sind. Sie müssen lediglich im Einzelfall kausal möglich sein.481 Potentielle Auswirkungen sind damit gegeben, wenn Wirkzusammenhänge, die zu einem Ausfall der Kritischen Infrastruktur führen, nicht ausgeschlossen werden können. Aufgrund der sämtliche Bereiche erfassenden Prozessfunktion der IT kann sich nahezu jede Störung auf die Funktionsfähigkeit Kritischer Infrastrukturen auswirken.482 Dass die Meldepflicht eines IT-Sicherheitsvorfalles am Kausalitätskriterium scheitert, muss der Betreiber einen umfangreichen Begründungsaufwand betreiben.483 Dieser tatbestandlichen Weite der Meldepflicht von potentiellen Auswirkungen stehen auf Rechtsfolgenseite nur die Pflichtangaben des § 8b Abs. 4 S. 2, nicht jedoch des S. 3 BSIG gegenüber.
480 Vgl. bereits bei § 8a Abs. 1 S. 1 BSIG, wonach nur die IT-Einrichtungen gesichert werden müssen, „die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind“. 481 Eckhardt, ZD 2014, S. 599, 602. 482 Bräutigam / Wilmer, ZRP 2015, S. 38, 40. 483 Vgl. Roos, MMR 2014, S. 723, 726, der vom Credo „im Zweifel Meldung“ ausgeht; vgl. ebenso Freund, ITRB 2014, S. 256, 259.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit323
cc) Zwischenergebnis Die Meldepflicht lösen nur erhebliche Störungen mit jedenfalls potentiellen erheblichen Auswirkungen auf die Funktionsfähigkeit der Infrastruktur aus. Sie bilden die prägenden dogmatischen Bausteine. Der doppelten Erheblichkeitsschwelle kommt eine Filterfunktion zu. Sie ist zugleich eine Aus prägung des Verhältnismäßigkeitsgrundsatzes. Im Wortlaut des § 8b Abs. 4 BSIG kommt sie aber nur eingeschränkt zum Ausdruck, als nur Störungen der IT-Sicherheit, die potentiell Auswirkungen auf die Infrastruktur haben können, und Beeinträchtigungen der Funktionsfähigkeit der Infrastruktur erheblich sein müssen. Störungen mit tatsächlichen Auswirkungen auf die In frastruktur und Ausfälle der Infrastruktur müssen dies dem Wortlaut nach nicht. In diesen Fällen wäre die Erheblichkeitsschwelle ohnehin immer überschritten. Der Ausfall oder die Beeinträchtigung der Infrastruktur müssen kausal auf der (erheblichen) Störung der IT-Sicherheit beruhen. Lediglich potentielle Auswirkungen genügen als Störungsfolgen. Diese liegen bereits dann vor, wenn sie nicht ausgeschlossen werden können. b) Rechtsfolge Liegt eine (erhebliche) Störung der IT-Sicherheit vor, die kausal zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur führen kann oder geführt hat, muss dies unverzüglich über die Kontaktstelle an das BSI gemeldet werden. aa) Unverzügliche Meldung Die Meldung hat unverzüglich zu erfolgen. Zur Bestimmung des „unverzüglichen“ Zeitraumes kann auf die Legaldefinition des § 121 Abs. 1 S. 1 BGB zurückgegriffen werden.484 Die Meldung muss ohne schuldhaftes Zögern abgesetzt werden. Dies ist nötig, um eine frühzeitige Information anderer möglicherweise betroffener Betreiber Kritischer Infrastrukturen zu ermöglichen.485 Da nicht sämtliche nach § 8b Abs. 4 S. 2 BSIG zu meldenden Inhalte dem von der Störung betroffenen Betreiber sofort verfügbar sind, kann und hat eine Meldung stufenweise zu erfolgen. Die ihm ohne Ermittlungsaufwand zur Verfügung stehenden Informationen sind so schnell wie möglich zu melden. Sie sind anschließend ebenfalls ohne schuldhaftes Zö484 Eckhardt,
ZD 2014, S. 599, 602. S. 28.
485 BT-Drs. 18 / 4096,
324
Teil 3: Die normative Gewährleistung der IT-Sicherheit
gern zu ergänzen, sobald weitere meldepflichtige Informationen ermittelt sind.486 bb) Allgemeine inhaltliche Anforderungen Inhaltlich muss die Meldung nach § 8b Abs. 4 S. 2 BSIG „Angaben zu der Störung, zu möglichen grenzüberschreitenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur erbrachten kritischen Dienstleistung und zu den Auswirkungen der Störung auf diese Dienstleistung enthalten“. Diese Informationen dienen dazu, die Störung, ihre Ursache und Auswirkungen analysieren zu können. Durch eine Einordnung in einen größeren Gesamtkontext der betroffenen Infrastruktureinrichtung und -branche werden Schlüsse für das IT-Sicherheitslagebild sowie die Weitergabe relevanter Informationen an andere Betreiber Kritischer Infrastrukturen und deren Aufsichtsbehörden, § 8b Abs. 2 Nr. 4 BSIG, möglich. Indem das BSI ein Meldeformular mit den relevanten Fragen zur Verfügung stellt,487 wird auf die Gewährleistung qualitativ hochwertiger Meldungen hingewirkt.488 Die Pflichtangaben sind Folge einer mit der Meldepflicht zugleich auferlegten Untersuchungspflicht.489 Der Betreiber muss jeden meldepflichtigen IT- Sicherheitsvorfall auf die zu meldenden Inhalte hin analysieren. cc) Pseudonyme oder namentliche Meldung Die Unterscheidung, ob eine Störung der IT zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen geführt hat oder lediglich führen kann, wirkt sich weniger auf Tatbestandsebene als auf Rechtsfolgenseite aus. Ist ein Ausfall oder eine Beeinträchtigung der Infrastruktur durch die Störung der IT-Sicherheit zu verzeichnen, muss eine namentliche Meldung erfolgen, § 8b Abs. 4 S. 3 BSIG. Anderenfalls genügt eine pseudonyme Meldung.
486 BT-Drs. 18 / 4096,
S. 28. Musterformular ist abrufbar unter: https: / / www.bsi.bund.de / SharedDocs / Downloads / DE / BSI / IT_SiG / Meldeformular_BSIG8b_Muster.pdf?__blob=publica tionFile&v=3 (besucht am 12.06.2018). 488 Vgl. Roßnagel, BT / InnenA-Drs. 18(4)284 B. 489 Vgl. bereits § 7 A. III. 1. a) bb). 487 Ein
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit325
Diese Pflicht zur namentlichen Meldung wird von der Wirtschaft, insbesondere den Betreibern Kritischer Infrastrukturen, sehr kritisch gesehen.490 Denn sie birgt ein hohes Risikopotential für ihren wirtschaftlichen Unternehmenswert. Wird bekannt, welcher Betreiber von einer gewissen Störung der IT-Sicherheit betroffen ist, vor allem wenn sensible personenbezogene Daten der Infrastrukturnutzer tangiert sind, kann das Vertrauen der Nutzer in den Infrastrukturbetreiber gefährdet sein. (1) A bgrenzung der Pflicht einer namentlichen von der Möglichkeit einer pseudonymen Meldung Da der (erheblichen) Störung der IT-Sicherheit mit tatsächlichen oder lediglich potentiellen Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur ein unterschiedliches Gewicht einzuräumen ist, wird auch hinsichtlich der Rechtsfolge, dem inhaltlichen Umfang der Meldepflicht, differenziert. Entscheidendes Kriterium ist, ob eine erhebliche Störung der IT- Sicherheit tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Da bei einer potentiellen Beeinträchtigung die Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen nicht unmittelbar gefährdet wird, ist eine sofortige und direkte Kommunikation des BSI mit dem Betreiber nicht zwingend erforderlich. In diesem Fall kann dem Interesse der Betreiber an einer pseudonymen Meldung und der Minimierung der Risiken wirtschaftlich negativer Auswirkungen Rechnung getragen werden.491 Indem die Betreiber lediglich betrachten müssen, ob durch die Störung der IT-Sicherheit die Menge der erbrachten Infrastrukturdienstleistungen vermindert ist, wird eine klare Differenzierung vorgegeben. Diese erlaubt es ihnen, ihre wirtschaftlichen Interessen wirksam zu schützen, sofern sie das Interesse der Allgemeinheit an der Versorgungssicherheit kritischer Infrastrukturdienstleistungen überwiegen. Dies ist der Fall, wenn ein IT-Sicherheitsvorfall keine tatsächlichen Auswirkungen zeitigt. Durch diese klare Trennung von tatsächlichen und potentiellen Auswirkungen auf die Funktionsfähigkeit können die Betreiber einfach und rechtssicher entscheiden, ob eine namentliche Meldung abgesetzt werden muss oder ob eine pseudonyme genügt.
490 DIHK, InnenA-Drs. 18(4)299, S. 3 f.; vgl. BDI, InnenA-Drs. 18(4)284 E, S. 7; vgl. BVLH / HDE, BT / InnenA-Drs. 18(4)297, S. 5; vgl. Tschersich, BT / InnenA-Drs. 18(4)284 A(27.03.15), S. 2; vgl. Heinickel / Feiler, CR 2014, S. 709, 714. 491 BT-Drs. 18 / 4096, S. 28; Hornung, BT / InnenA-Drs. 18(4)284 G, S. 13.
326
Teil 3: Die normative Gewährleistung der IT-Sicherheit
(2) Die pseudonyme Meldung Zweck der pseudonymen Meldung492 ist die wirksame Wissensgenerierung beim BSI und der Aufbau einer Vertrauensbasis mit den meldepflichtigen Betreibern. Betreiber gehen bei der Gewährleistung der Pseudonymität ein geringeres Risiko ein, wirtschaftliche Schäden zu erleiden.493 Zugleich profitieren sie von der Wissensakkumulation beim BSI durch dessen Multiplikator- und Beratungsfunktion. Daher ist die pseudonyme Meldung ein wesentliches Instrument zur Vertrauensbildung.494 Voraussetzung ist die Wahrung der Pseudonymität. Ein diesbezügliches Risiko bilden die Pflichtangaben des § 8b Abs. 4 S. 2 BSIG. Über diese können Rückschlüsse auf den konkreten Betreiber möglich sein.495 Da das wirtschaftliche Interesse der Betreiber nicht durch eine Rückverfolgbarkeit durch das BSI sondern allein durch die Öffentlichkeit beeinträchtigt wird, stehen die inhaltlichen Pflichtangaben nicht im Widerspruch zur Vertrauensbildung durch die pseudonyme Meldung. Denn durch diese wird die Vertrauensbildung nicht gefährdet, wenn sichergestellt ist, dass deren Vertraulichkeit gegen Zugriffe unbefugter Dritter wirksam geschützt ist und eine Rückverfolgbarkeit für Dritte hin zu einem einzelnen betroffenen Betreiber verhindert 492 Obwohl in der rechtswissenschaftlichen Literatur die Meldung nach § 8b Abs. 4 S. 1 Nr. 2, S. 3 BSIG und der entsprechenden Normen im EnWG, AtG und TKG teilweise als „anonym“ bezeichnet wird, ist dies nicht zutreffend. Auch in der Gesetzesbegründung wird nicht von der Wahrung der Anonymität, sondern von der Pseudonymität ausgegangen, BT-Drs. 18 / 4096, S. 28. Dies erkennend Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, S. 602; Roos, MMR 2014, S. 723, 726; Roos, MMR 2015, S. 636, 639; Gitter / Meißner / Spauschus, DuD 2015, S. 7, 9. Die Meldung als anonym bezeichnend: Bräutigam / Wilmer, ZRP 2015, S. 38, 40; Roßnagel, DVBl. 2015, S. 1206, 1208; Freund, ITRB 2014, S. 256; Guckelberger, DVBl. 2015, S. 1213, 1220. Unter einer Anonymisierung ist das Verändern der personenbezogenen Daten in derartiger Weise zu verstehen, dass der Personenbezug nicht mehr oder nur mit unverhältnismäßigem Aufwand hergestellt werden kann, vgl. § 3 Abs. 6 BDSG, Erw.-Gr. 26 DSGVO; mit einer Pseudonymisierung wird hingegen das Ersetzen des Namens durch ein Kennzeichen, um die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren, bezeichnet, vgl. § 3 Abs. 6a BDSG, Art. 4 Nr. 5 DSGVO. Nachdem nur der Name des Betreibers nicht genannt werden braucht, liegt eine Pseudonymisierung vor. Zur Differenzierung von anonymen und pseudonymen Daten Albers, Informationelle Selbstbestimmung, S. 495, 555 f. 493 Auf dieses Risiko hinweisend Roßnagel, BT / InnenA-Drs. 18(4)284 B; Roßnagel, DVBl. 2015, S. 1206, 1210. 494 Die geschaffene, als anonyme Meldung bezeichnete Möglichkeit pseudonymer Meldungen für ein vertrauensvolles kooperatives Informationssystem als sinnvoll erachtend Roßnagel, BT / InnenA-Drs. 18(4)284 B; Roßnagel, DVBl. 2015, S. 1206, 1210. 495 Vgl. Guckelberger, DVBl. 2015, S. 1213, 1221.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit327
wird.496 Vor diesem Hintergrund ist die Unterrichtung der übrigen Betreiber Kritischer Infrastrukturen nach § 8b Abs. 2 Nr. 4 lit. a) BSIG inhaltlich so zu gestalten, dass ein Rückschluss auf den betroffenen Betreiber ausgeschlossen ist. Den schutzwürdigen Interessen des betroffenen Betreibers muss auch im Rahmen eines Auskunftsverlangens Dritter nach § 8e Abs. 1 BSIG wirksam Rechnung getragen werden.497 Eine pseudonyme Meldung nach § 8b Abs. 4 S. 1 Nr. 2, S. 2 BSIG kann nicht allein dadurch gewährleistet werden, dass der meldende Betreiber unter einem Pseudonym direkt eine Meldung an das BSI absetzt. Da bei der pseudonymen Meldung Rückfragen des BSI an den Meldenden möglich sein sollen,498 ist die Gewährleistung der Pseudonymität nur durch das Zwischenschalten einer dritten Stelle möglich.499 Hierfür bieten sich die gemeinsamen übergeordneten Ansprechstellen nach § 8b Abs. 5 BSIG an.500 Sofern für eine Branche eine solche nicht existiert, kann sich hilfsweise einer solchen für eine andere Branche oder der Meldestelle der Allianz für Cyber sicherheit501 bedient werden. Darüber hinaus kann die Pseudonymität durch pseudonyme E-Mail-Postfächer etc. gewährleistet werden. Der meldende Betreiber kann das Mittel der Pseudonymisierung frei wählen, solange gewährleistet ist, dass Rückfragen durch das BSI möglich sind. (3) Die namentliche Meldung Obwohl im Rahmen der namentlichen Meldung nach § 8b Abs. 4 S. 1 Nr. 1, S. 3 BSIG der Vertrauensbasis ein geringerer Stellenwert als bei der pseudonymen Meldung zukommt, ist der Vertrauensaspekt nicht zu vernachlässigen. Selbst hier muss die Vertraulichkeit des betroffenen Betreibers gegenüber der Öffentlichkeit und den übrigen Betreibern Kritischer Infrastruk496 Vgl. Roßnagel, BT / InnenA-Drs. 18(4)284 B, der das Problem des Reputa tionsverlustes bei pseudonymen Meldungen nur am Rande anspricht; die Möglichkeit eines Reputationsverlustes bei erfolgreicher Abwehr eines Vorfalles der Störung der IT-Sicherheit (entspricht dem Fall des § 8b Abs. 4 S. 1 Nr. 2 BSIG) und bei fehlender Rückverfolgbarkeit aufgrund der inhaltlichen Pflichtangaben verneinend Hornung, BT / InnenA-Drs. 18(4)284 G, S. 14. 497 Damit ist Dritten lediglich dann nach § 8e Abs. 1 BSIG eine Auskunft über eine pseudonyme Meldung zu erteilen, wenn eine Gefährdung der Vertrauensbildung ausgeschlossen werden kann. Hierzu wird in der Regel eine Anhörung des betroffenen Betreibers nötig sein. 498 BT-Drs. 18 / 4096, S. 28. 499 Vgl. Roos, MMR 2014, S. 723, 726. 500 Roßnagel, BT / InnenA-Drs. 18(4)284 B. 501 https: / / www.allianz-fuer-cybersicherheit.de / ACS / DE / Meldestelle / melde stelle.html (besucht am 12.06.2018).
328
Teil 3: Die normative Gewährleistung der IT-Sicherheit
turen gewahrt bleiben. Anderenfalls kann die Vertrauensbasis für einen effektiven Informationsaustausch zur Erhöhung der IT-Sicherheit zerstört werden.502 Im Falle tatsächlicher Auswirkungen ist jedoch eine namentliche Meldung zumutbar, da in der Beeinträchtigung der Erbringung der Infrastrukturdienstleistungen Anzeichen bereits nach außen getreten sind und Dritte hiervon Kenntnis erlangen konnten. c) Dogmatische Bausteine Nachdem nun die Meldepflicht nach § 8b Abs. 4 BSIG im Detail dargestellt wurde, können ihre dogmatischen Bausteine herausgearbeitet werden. Ähnlich wie bei der Sicherungspflicht bestehen diese aus unbestimmten Rechtsbegriffen, die der Konkretisierung zugänglich sind. Zunächst setzt die Meldepflicht eine Störung der IT-Sicherheit voraus. Diese bildet den Grundbaustein der Meldepflicht. Von der Tatsache, ob tatsächliche oder lediglich potentielle Auswirkungen auf die Funktionsfähigkeit der Infrastruktur existieren, hängt ab, ob die Störung zusätzlich erheblich sein muss. Die Auswirkungen auf die Funktionsfähigkeit der Infrastruktur bilden einen weiteren Baustein. Er ist im Gesetzestext als Ausfall oder erhebliche Beeinträchtigung der Funktionsfähigkeit angelegt. In ihm wird die Wissensgenerierung bezüglich aufgetretener Störungen der IT-Sicherheit mit der zum Infrastrukturbetrieb dienenden Funktion der IT verknüpft. Auf Rechtsfolgenseite ist die Differenzierung zwischen der Pflicht zu einer namentlichen und pseudonymen Meldung kennzeichnend. Sie knüpft an der Differenzierung zwischen tatsächlichen und lediglich potentiellen Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastrukturen an. 2. Die Kontaktstelle nach § 8b Abs. 3, 5 BSIG Um die Kommunikation mit dem BSI zu erleichtern, haben die Betreiber Kritischer Infrastrukturen nach § 8b Abs. 3 eine „Kontaktstelle für die von ihnen betriebenen Kritischen Infrastrukturen“503 zu benennen. Mit der Einrichtung einer Kontaktstelle soll dem BSI ein kompetenter Ansprechpartner auf Seiten der Infrastrukturbetreiber zur Seite gestellt werden, damit im Zusammenwirken von Privaten und Behörden schnell und fachbezogen Informationen über die Bedrohungen der IT-Sicherheit ausgetauscht werden können.504 Umgekehrt müssen die Meldungen von Störungen der IT-Sicherheit 502 Dies schließt insbesondere effektive Maßnahmen zur Datensicherheit aller erlangten Informationen ein. 503 Im Folgenden: Kontaktstelle. 504 BT-Drs. 18 / 4096, S. 28; Seidl, jurisPR-ITR 9 / 2014 Anm. 2.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit329
über die Kontaktstelle abgesetzt werden. Sie muss deshalb jederzeit besetzt sein.505 Die Kontaktstelle bildet den institutionellen Rahmen beim Betreiber für die Informationsflüsse der Meldepflicht. Dieser stellt sicher, dass die Meldepflicht in Krisensituationen erfüllt werden kann und Meldungen an das BSI abgesetzt werden bzw. der Betreiber die Informationen des BSI erhält. Die Kontaktstelle muss nicht zwingend im Unternehmen selbst angesiedelt sein. Dafür spricht der Gesetzeswortlaut, wonach eine Kontaktstelle lediglich „zu benennen“ ist. Im Falle der Auslagerung an Dritte müssen besondere Anforderungen erfüllt werden, sodass die Kommunikation mit dem externen Dienstleister äquivalent zu der mit dem Betreiber selbst ist. Der externe Dienstleister, der die Kontaktstelle betreibt, muss daher dieselben Informa tionen sowie Beobachtungs- und Eingriffsmöglichkeiten wie eine unternehmenseigene Stelle haben.506 Darüber hinaus können Betreiber Kritischer Infrastrukturen aus dem gleichen Sektor eine gemeinsame übergeordnete Ansprechstelle, § 8b Abs. 5 BSIG, benennen. Diese macht die Einrichtung einer unternehmenseigenen Kontaktstelle nach § 8b Abs. 4 BSIG nicht entbehrlich. Indem die Kommunikation zwischen den Kontaktstellen und dem BSI dann in der Regel über die gemeinsame Ansprechstelle erfolgt,507 kann der einzelne Betreiber im Aufwand für die eigene Kontaktstelle entlastet werden. Es können Synergie effekte durch die Zusammenarbeit mit anderen Infrastrukturbetreibern genutzt werden. Um den zusätzlichen Aufwand möglichst gering zu halten und Dopplungen zu vermeiden, können hierfür „Single Points of Contact“ im Rahmen des UP KRITIS oder anderer bereits bestehender Strukturen angepasst und erweitert werden.508 Ein wesentlicher Vorteil der gemeinsamen Ansprechstelle ist die Vereinfachung von pseudonymen Meldungen. 3. Umsetzungsfrist und Sanktionen Die Betreiber haben sechs Monate ab Inkrafttreten der BSI-KritisV509 zur Einrichtung einer Kontaktstelle Zeit. Für die Meldepflicht selbst wurde keine Umsetzungsfrist eingeräumt. Da Meldungen an das BSI über die Kontaktstelle abzusetzen sind, muss diese aber ebenfalls erst mit Ablauf der sechs505 Eckhardt,
ZD 2014, S. 599, 601; Gerling, RDV 2015, S. 167, 168. Roos, MMR 2014, S. 723, 726. 507 § 8b Abs. 5 S. 2 BSIG. 508 BT-Drs. 18 / 4096, S. 28. 509 Vgl. zu den jeweiligen Zeitpunkten, des Inkrafttretens der BSI-KritisV § 7 A. I. 2. e). 506 Vgl.
330
Teil 3: Die normative Gewährleistung der IT-Sicherheit
monatigen Umsetzungsfrist erfüllt werden. Für Betreiber, die mit dem ersten Teil der BSI-KritisV erfasst wurden, lief diese Frist am 3. November 2016 ab. Für diejenigen, die erst vom zweiten Teil der BSI-KritisV betroffen sind, lief die Frist am 1. Januar 2018 ab. Auch wenn der Zeitraum von sechs Monaten für die Einrichtung einer Kontaktstelle und Umsetzung der Meldefrist knapp bemessen ist, muss berücksichtigt werden, dass Meldungen eines weit geringeren Aufwandes als die Maßnahmen zur Erfüllung der Sicherungspflicht bedürfen. Im Übrigen ist schon im Vorfeld der Umsetzung der Sicherungspflicht eine verstärkte Wissensgenerierung nötig, um auf Bedrohungen hinweisen und bereits mit den erstmalig zu treffenden Sicherungsvorkehrungen hierauf reagieren zu können. Dies trägt dazu bei, dass bereits mit Ablauf der Umsetzungsfrist der Sicherungspflicht eine effektive Sicherung der IT möglich ist und nicht sukzessive nachgebessert werden muss. Daher erscheint eine Umsetzungsfrist von sechs Monaten für die Benennung einer Kontaktstelle als angemessen. Wird die Kontaktstelle entgegen § 8b Abs. 3 S. 1 BSIG nicht oder nicht rechtzeitig bis zum Ablauf der Einrichtungsfrist dem BSI gegenüber benannt, stellt dies eine Ordnungswidrigkeit nach § 14 Abs. 1 Nr. 3 BSIG dar. Gleiches galt nach § 14 Abs. 1 Nr. 4 BSIG, wenn die namentlichen Meldungen nach § 8b Abs. 4 S. 1 Nr. 2 BSIG a. F. nicht ordnungsgemäß an das BSI übermittelt wurden. Im Zuge der Umsetzung der RL (EU) 2016 / 1148 wurden jedoch die § 8b Abs. 4 S. 1 Nr. 1 und 2 BSIG vertauscht, sodass jetzt die Voraussetzungen für die pseudonyme Meldung in der Nr. 2 geregelt werden. Der Verweis des Ordnungswidrigkeitentatbestandes blieb indessen unverändert, sodass derzeit zwar die Einhaltung der pseudonymen, nicht aber der namentlichen Meldepflicht sanktioniert werden kann. Dies stellt sich als gesetzgeberischer Fehler dar, da eine Sanktionierung der pseudonymen Meldepflicht weder mit ihren Funktionen vereinbar ist, noch aufgrund der tatsächlichen Gegebenheiten zu erwarten ist. Zweck der pseudonymen Meldung ist neben der Wissensgenerierung der Aufbau einer Vertrauensbasis für die Zusammenarbeit mit dem BSI. Die Betreiber Kritischer Infrastrukturen sollen bereits durch eigene Maßnahmen der Pseudonymisierung ausschließen können, möglicherweise durch das Bekanntwerden von IT-Sicherheitsvorfällen einen wirtschaftlichen Schaden zu erleiden. Daher ist in diesem Fall auch dem BSI nicht bekannt, wer Urheber einer nicht ordnungsgemäßen Meldung ist. Infolgedessen kann das BSI dies nach den gegebenen Umständen nicht sanktionieren. Ohnehin kann nur schwer überprüft werden, ob dem BSI sämtliche nach § 8b Abs. 4 S. 1 Nr. 2 BSIG meldepflichtigen IT-Sicherheitsvorfälle gemeldet wurden. Anders sieht es bei der namentlichen Meldung aus. In diesem Fall kommt der Vertrauensbasis im Vergleich zur bereits beeinträchtigten Versorgung mit
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit331
kritischen Infrastrukturdienstleistungen ein geringeres Gewicht zu. Da diese IT-Sicherheitsvorfälle nicht nur potentielle, sondern tatsächliche Auswirkungen auf die Funktionsfähigkeit der Kritischen Infrastruktur haben, sind sie als besonders „gefährlich“ zu qualifizieren und es muss sichergestellt werden, dass das BSI hiervon unverzüglich erfährt. Dieser Fehler muss durch eine Korrektur des § 14 BSIG beseitigt werden. Aufgrund des Art. 103 Abs. 2 GG ist wegen des eindeutigen Verweises auf § 8b Abs. 4 S. 1 Nr. 2 BSIG keine andere Auslegung möglich. Auch eine analoge Anwendung scheitert an Art. 103 Abs. 2 GG, der es Gerichten verbietet, eine Entscheidung des Gesetzgebers nachträglich zu korrigieren.510 Derzeit sind daher die Pflicht zur Einrichtung einer Kontaktstelle und die pseudonyme Meldepflicht bußgeldbewehrt. In beiden Fällen kann ein Bußgeld von bis zu 50.000 € verhängt werden. Diese ist zwar grundsätzlich eine der Höhe nach ausreichende Sanktion i. S. v. Art. 21 RL (EU) 2016 / 1148. Allerdings besteht für die namentliche Meldepflicht ein Umsetzungsdefizit. Da nach Art. 14 Abs. 3 RL (EU) 2016 / 1148 nur diese unionsrechtlich determiniert ist und deren Durchsetzung sicherzustellen ist. 4. Das Verhältnis zu § 42a BDSG511 Es existieren verschiedene datenschutzrechtliche Meldepflichten. Eine solche ist unter anderem die allgemeine des § 42a BDSG. Datenschutzrechtliche Meldepflichten greifen, wenn gewisse personenbezogene Daten „unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind (…) und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ drohen, § 42a S. 1 BDSG. In diesem Falle hat eine Meldung an die zuständige Datenschutzaufsichtsbehörde und an den Betroffenen zu erfolgen.512 Zweck dieser Meldepflicht ist neben der Transparenz die Schadensbegrenzung.513 Zentrales, die Meldepflicht auslösendes Tatbestandsmerkmal ist die unrechtmäßige Übermittlung oder sonstige Kenntniserlangung Dritter. Damit löst eine Verletzung 510 Zur Wortlautgrenze BVerfGE 126, 170, 197 = NJW 2010, S. 3209, 3211; Radtke / Hagemeier, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 103 GG, Rdnr. 26. 511 Dies gilt entsprechend für die Nachfolgenorm Art. 33 VO (EU) 2016 / 679. 512 Nach § 83a S. 1 SGB X muss dies zusätzlich an die nach § 90 SGB IV zuständige Aufsichtsbehörde gemeldet werden. 513 Dix, in: Simitis, Bundesdatenschutzgesetz, § 42a BDSG, Rdnr. 1; Gola / Schomerus, BDSG, 42a BDSG, Rdnr. 1; Hullen, BDSG / DSGVO, § 42a BDSG, Rdnr. 1; Scheffczyk, in: Wolff / Brink, Beck’scher Online-Kommentar Datenschutzrecht, § 42a BDSG, Rdnr. 2.
332
Teil 3: Die normative Gewährleistung der IT-Sicherheit
der Vertraulichkeit die Meldepflicht aus. Sofern dies durch einen unberechtigten Zugriff auf eine in der IT vorhandene Information geschieht, besteht ein Überschneidungsbereich zur Meldepflicht des § 8b Abs. 4 BSIG.514 Nichtsdestotrotz stehen beide Meldepflichten unabhängig nebeneinander und sind jeweils für sich einzuhalten. Denn die datenschutzrechtlichen Meldepflichten haben eine andere Ausrichtung als § 8b Abs. 4 BSIG. Sie verfolgen mit der Transparenz auf der einen und der Wissensgenerierung auf der anderen Seite verschiedene Ziele und sind gegenüber verschiedenen Stellen zu erfüllen. Sofern ein IT-Sicherheitsvorfall sowohl die Voraussetzungen des § 8b Abs. 4 BSIG als auch diejenigen des § 42a BDSG erfüllt, hat daher eine doppelte Meldung zu erfolgen. 5. Kritische Betrachtung der Meldepflicht Angesichts der erheblichen Kritik,515 die die Meldepflicht während des Gesetzgebungsverfahrens erfahren hat,516 ist zu untersuchen, ob diese auch auf den endgültigen Gesetzestext zutrifft. Dafür ist die Wirksamkeit der Meldepflicht vor dem Hintergrund des Zwecks der Wissensakkumulation beim BSI zu beurteilen. Ob sie die Interessen der Betreiber in ausreichendem Maße berücksichtigt, wird sich bei der Prüfung ihrer verfassungsrechtlichen Zulässigkeit bei § 9 B. zeigen. Um eine Wissensakkumulation zu erreichen, wurde neben der namentlichen eine pseudonyme Meldepflicht eingeführt. Da mit jeder Meldung die technischen Rahmenbedingungen und mögliche grenzübergreifende Auswirkungen mitzuteilen sind, ist die Meldepflicht im Grundsatz geeignet, eine Wissensakkumulation beim BSI zu leisten. Richtigerweise wurden die Meldepflichten nicht allein für IT-Sicherheitsvorfälle mit Auswirkungen auf den Betrieb der Kritischen Infrastruktur, sondern auch für solche mit nur potentiellen Auswirkungen normiert. Indem auf potentielle Folgewirkungen für den Infrastrukturbetrieb abgestellt wird, wird die Meldepflicht erheblich ausgeweitet. Dies trägt dazu bei, dass dem BSI möglichst viele relevante IT-Si514 Die Frage nach dem Verhältnis von § 8b Abs. 4 BSIG zu § 42a BDSG aufwerfend Roos, MMR 2014, S. 723, 727; mit der Forderung der Vermeidung von Doppelmeldungen Roos, K&R 2013, S. 769, 775; ebenfalls Beucher / Utzerath, MMR 2013, S. 362, 367. 515 Die Meldepflicht als unverhältnismäßig charakterisierend Heinickel / Feiler, CR 2014, S. 709, 714. 516 DIHK, InnenA-Drs. 18(4)299, S. 3 f.; vgl. BDI, InnenA-Drs. 18(4)284 E, S. 7; vgl. BVLH / HDE, BT / InnenA-Drs. 18(4)297, S. 5; vgl. Tschersich, BT / InnenA-Drs. 18(4)284 A(27.03.15), S. 2.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit333
cherheitsvorfälle Kritischer Infrastrukturen mitgeteilt werden, selbst wenn sie die Versorgung mit kritischen Infrastrukturdienstleistungen derzeit nicht beeinträchtigen. Erst durch diese weite Meldepflicht wird es dem BSI möglich, ein umfassendes Bild der IT-Sicherheitslage Kritischer Infrastrukturen zu erhalten und auf mögliche IT-Sicherheitsschwachstellen hinzuweisen.517 In ihrem Ansatz ist die Meldepflicht ein geeignetes Instrument, um beim BSI spezifisches Fachwissen zu IT-Sicherheitsvorfällen Kritischer Infrastrukturen zu generieren. Schwierigkeiten ergeben sich vielmehr auf Ebene ihrer Durchsetzung. Die Meldepflicht kennt zwar bei einer Verletzung Sanktionen in Form von Bußgeldern. Diese Sanktionsbefugnisse sind aber nur schwach ausgestaltet und mit einem gesetzgeberischen Fehlverweis auf die pseudonyme Meldepflicht belastet. Insbesondere fehlen dem BSI Nachforschungsbefugnisse, ob die Betreiber ihre Pflicht im Einzelfall ordnungsgemäß erfüllen und nicht allein IT-Sicherheitsvorfälle melden, die nur ein geringes wirtschaftliches Risiko für einen Imageverlust darstellen. Stattdessen wird bei der Umsetzung der Meldepflicht maßgeblich auf eine vertrauensvolle Zusammenarbeit von BSI und den Betreibern Kritischer Infrastrukturen gesetzt. Um dies zu fördern, wurde neben der namentlichen Meldung die Möglichkeit der pseudonymen Meldung und ein von den Interessen des betroffenen Betreibers abhängiges Informationsrecht Dritter in § 8e Abs. 1 BSIG geschaffen. Die wirksame Erfüllung der Meldepflicht hängt von der Erwartung und der tatsächlichen Weitergabe hilfreicher Hinweise des BSI an Betreiber Kritischer Infrastrukturen ab.518 Darüber hinaus muss das BSI bei der Weitergabe von Hinweisen gewährleisten, dass die wirtschaftlichen Interessen des meldenden Betreibers nicht beeinträchtigt werden und er keine Imageschäden erleidet. Ansonsten wird die vertrauensvolle Zusammenarbeit und Wirksamkeit der Meldepflicht gefährdet.519 Indem das BSI ein verständliches Formular zur Meldung von IT-Sicherheitsvorfällen zur Verfügung stellt, wird das Meldeverfahren vereinfacht und bestehende Verfahrenshürden werden abgesenkt.520 517 Vgl. zur Wissensgenerierung durch Private Spieker gen. Döhmann, Rechtliche Begleitung der Technikentwicklung im Bereich moderner Infrastrukturen und Informationstechnologien, in: Hill, Die Vermessung des virtuellen Raums, S. 137, 144. 518 Seidl, jurisPR-ITR 9 / 2014 Anm. 2 weist auf die bereits bestehende Beteiligung des BSI am Informationsaustausch über CERTs sowie die Allianz für Cybersicherheit hin. 519 Freund, ITRB 2014, S. 256, 259. 520 Musterbeispiel eines ausgefüllten Meldeformulars: https: / / www.bsi.bund.de / SharedDocs / Downloads / DE / BSI / IT_SiG / Meldeformular_BSIG8b_Muster.pdf?__ blob=publicationFile&v=3 (besucht am 12.06.2018).
334
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Obwohl die Sanktionsbefugnisse zu einer hoheitlichen Durchsetzung der Meldepflicht nur schwach ausgestaltet sind, ist der Ordnungsrahmen für eine wirksame Meldepflicht angelegt. Ob die Pflicht zur Zusammenarbeit mit dem BSI in der praktischen Umsetzung der Meldepflicht eingehalten wird, muss die Praxis zeigen. Die Sanktionsbefugnisse für die Meldepflicht bauen vielmehr auf einer symbolischen Wirkung auf, als dass sie tatsächlich zu einer wirksamen Durchsetzung beitragen. IV. Ausnahmen Die Pflichten der §§ 8a f. BSIG greifen nicht für jeden Betreiber einer Kritischen Infrastruktur. In § 8d BSIG werden Ausnahmen für Kleinstunternehmen sowie speziell regulierte Infrastrukturen vorgesehen. 1. Kleinstunternehmen, § 8d Abs. 1 BSIG Nach § 8d Abs. 1 BSIG sind die §§ 8a, b BSIG nicht auf Kleinstunternehmen anzuwenden. Dass diese Norm scheinbar unter unionsrechtlichem Einfluss steht, folgt aus dem Verweis auf die Bestimmung der „Kleinstunternehmen“ in der Empfehlung 2003 / 361 / EC. Ein Kleinstunternehmen liegt demnach vor, wenn es weniger als 10 Personen beschäftigt und der Jahresumsatz bzw. die Jahresbilanz zwei Mio. € nicht überschreitet. Über diese Ausnahme von den Pflichten zur Sicherung der IT sollen Kleinstunternehmen von den hierdurch anfallenden Kosten befreit werden. Denn für sie stellen der wirtschaftliche Aufwand für die Vornahme der Sicherungsmaßnahmen und den Nachweis hierüber sowie die Erfüllung der Meldepflicht mit einem geschätzten Aufwand von durchschnittlich 660 € pro Meldung521 erhebliche Belastungen dar. Die Ausnahme für Kleinstunternehmen ist daher Ausprägung des Verhältnismäßigkeitsgrundsatzes. Sie soll der finanziellen Überforderung eines Unternehmens aufgrund der Pflichten der §§ 8a f. BSIG vorbeugen. Der soeben angesprochene scheinbare unionsrechtliche Hintergrund der Ausnahme für Kleinstunternehmer existiert tatsächlich nicht. Denn eine derartige Ausnahme ist in Art. 16 Abs. 11 RL (EU) 2016 / 1148 nur für Anbieter digitaler Dienste, aber nicht in Art. 14 f. RL (EU) 2016 / 1148 für Betreiber wesentlicher Dienste vorgesehen. Damit steht die Ausnahme für Kleinst unternehmen im Widerspruch zum Unionsrecht. Ihr zwingend zu gewährleistendes IT-Sicherheitsniveau fällt unter das in Art. 14 f. RL (EU) 2016 / 1148 geforderte Mindestmaß. 521 BT-Drs. 18 / 4096,
S. 3 f.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit335
In der praktischen Umsetzung der RL (EU) 2016 / 1148 dürfte sich aus § 8d Abs. 1 BSIG trotz des Normwiderspruches kein Spannungsfeld mit tatsächlichen Auswirkungen ergeben. Denn der Norm fehlt ein praktischer Anwendungsbereich. Da sich die Schwellenwerte für Betreiber Kritischer Infrastrukturen an der Versorgung von 500.000 Personen orientieren, überschreitet ein Betreiber einer Kritischen Infrastruktur in der Regel die Schwelle der 10 Mitarbeiter,522 jedenfalls aber diejenige der zwei Mio. € Umsatz. Sollte ein Kleinstunternehmen dennoch ausnahmsweise eine Kritische Infrastruktur betreiben, deren IT-Sicherheit unionsrechtlich determiniert ist, kann § 8d Abs. 1 BSIG aufgrund des unionsrechtlichen Anwendungsvorranges die Pflichten der §§ 8a f. BSIG nicht ausschließen. Soweit keine Determinierung als wesentlicher Dienst vorliegt, bleibt die Ausnahme für Kleinstunternehmen umfänglich anwendbar. Sind spezialgesetzliche Pflichten für speziell regulierte Infrastrukturen zur Gewährleistung der IT-Sicherheit vorgesehen, greift die Ausnahme für Kleinstunternehmen ohnehin nicht. 2. Speziell regulierte Infrastrukturen Darüber hinaus werden Betreiber Kritischer Infrastrukturen nach § 8d Abs. 2, 3 BSIG von den §§ 8a, b Abs. 4 BSIG ausgenommen, sofern sie spezielleren Normen zur Gewährleistung der IT-Sicherheit unterliegen. Dies trifft auf Betreiber eines öffentlichen Telekommunikationsnetzes und Erbringer öffentlich zugänglicher Telekommunikationsdienste aufgrund des § 109 TKG, auf Betreiber von Energieversorgungsnetzen und Energieanlagen mit den Pflichten nach § 11 Abs. 1a–c EnWG sowie auf Genehmigungsinhaber nach § 7 Abs. 1 AtG aufgrund § 44b AtG zu. Für diese wurden die Pflichten in die vorrangigen, bereits bestehenden infrastrukturspezifischen Regulierungsregime integriert. Aus diesem Rahmen fällt auch die in § 8d Abs. 2 Nr. 3, Abs. 3 Nr. 3 BSIG ebenfalls von den Pflichten der §§ 8a f. BSIG ausgenommene Telematikinfrastruktur.523 Die §§ 291a, b SGB V legen die Aufgaben und Befugnisse der Gesellschaft für Telematik und keine Pflichten in der Struktur der §§ 8a f. 522 Anderes könnte sich lediglich im Sektor der Informationstechnik und Telekommunikation ergeben. 523 So waren die Änderungen nicht bereits im IT-Sicherheitsgesetz vom 17. Juli 2015 enthalten, sondern wurden mit dem Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen sowie zur Änderung weiterer Gesetze vom 21. Dezember 2015, BGBl. I S. 2408, eingefügt; ohne explizite Nennung wäre die Telematikinfrastruktur § 8d Abs. 2 Nr. 5, Abs. 3 Nr. 5 BSIG unterfallen, vgl. BTDrs. 18 / 4096, S. 29.
336
Teil 3: Die normative Gewährleistung der IT-Sicherheit
BSIG fest.524 Daher können diese Normen trotz der gesetzgeberischen Einordnung der Gesellschaft für Telematik und der Betreiber von Diensten der Telematikinfrastruktur als Kritische Infrastruktur in der folgenden Betrachtung unberücksichtigt bleiben.
B. Pflichten in gesondert regulierten Bereichen Die speziellen Pflichten im EnWG, AtG und TKG orientieren sich an denjenigen der § 8a Abs. 1 und § 8b Abs. 4 BSIG und gehen den allgemeinen Regelungen vor. Da sie ihren allgemeinen Gehalt in den Pflichten des BSIG finden, kann auf die dort anzutreffenden dogmatischen Bausteine zurückgegriffen werden, sofern keine Abweichungen vorgesehen sind. I. Energiesektor Für Betreiber von Energieanlagen, die Kritische Infrastrukturen i. S. d. BSI-KritisV betreiben und an ein Energieversorgungsnetz angeschlossen sind, sowie für Energieversorgungsnetzbetreiber wurden in § 11 Abs. 1a–c EnWG besondere Sicherungspflichten für ihre Telekommunikations- und elektronischen Datenverarbeitungssysteme sowie Meldepflichten normiert. Auch wenn sich die leges speciales selbst in ihrer Regelungsstruktur eng an derjenigen der §§ 8a f. BSIG orientieren, wird die Sicherungspflicht nicht einheitlich, sondern für Betreiber von Energieversorgungsnetzen in § 11 Abs. 1a EnWG und für Betreiber von Energieanlagen, die Kritische Infrastrukturen darstellen, in § 11 Abs. 1b EnWG getrennt normiert. Beide Absätze decken sich aber inhaltlich.525 Diese Trennung beruht gerade nicht auf wesentlichen inhaltlichen Abweichungen, sondern ist Ausfluss der historischen Entwicklung des EnWG. § 11 Abs. 1a EnWG war bereits Teil der Novelle aus dem Jahr 2011. Darin wurde eine in weiten Teilen den aktuellen Pflichten entsprechende Regelung getroffen. Infolgedessen wurden für Energieversorgungsnetze bereits bestehende Pflichten angepasst und diejenigen für Energieanlagen in einem gesonderten Absatz neu eingefügt. Die Meldepflicht findet sich für beide Adressaten gemeinsam in § 11 Abs. 1c EnWG wieder. Eine spezielle Meldepflicht für Genehmigungsinhaber nach § 7 Abs. 1 AtG existiert in § 44b AtG.
524 Scholz, in: Rolfs / Giesen / Kreikebohm u. a., Beck’scher Online-Kommentar Sozialrecht, § 291b SGB V, vor Rdnr. 1, Rdnr. 1. 525 Vgl. BT-Drs. 18 / 4096, S. 33.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit337
1. Die Sicherungspflicht nach § 11 Abs. 1a, 1b EnWG Die Sicherungspflicht für Energieversorgungsnetze und Energieanlagen nach § 11 Abs. 1a, Abs. 1b EnWG entspricht in seinen dogmatischen Kernbausteinen derjenigen des § 8a Abs. 1 BSIG. Nichtsdestotrotz bestehen vor allem im Hinblick auf den Katalog der Sicherheitsanforderungen als Äquivalent zu den branchenspezifischen Sicherheitsstandards i. S. v. § 8a Abs. 2 BSIG Abweichungen. a) Angemessene Sicherungsvorkehrungen Die Sicherungspflicht erfordert, dass Vorkehrungen zu einem angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, § 11 Abs. 1a S. 1, Abs. 1b S. 1 EnWG, getroffen werden. Das Datenverarbeitungssystem ist ein Synonym zur IT und begriffliches Relikt aus den 1990er Jahren.526 Zu schützendes Objekt sind die Telekommunikations- und elektronischen Datenverarbeitungssysteme. Dies stellt trotz der begrifflichen, nur eine unwesentliche inhaltliche Abweichung zu § 8a Abs. 1 S. 1 BSIG dar, da unter den Telekommunikations- und Datenverarbeitungssystemen sämt liche IT-Systeme zu verstehen sind. Als Telekommunikations- und elektronisches Datenverarbeitungssystem ist allerdings lediglich eine vernetzte IT zu verstehen.527 Nur sie weist einen Systemcharakter auf. Dies wird sich nur in geringem Umfang auf die konkret erfassten IT-Einrichtungen auswirken, da diese in der Regel vernetzt sind, um ihr Potential auszuschöpfen. Die Bedrohung der IT ist mit der Störung i. S. v. § 8a Abs. 1 BSIG gleichzusetzen. Zwar werden hier die Mittel, mit denen der Schutz verwirklicht wird, anders als bei § 8a Abs. 1 S. 1 BSIG nicht näher auf organisatorische und technische Maßnahmen eingegrenzt. Die erforderlichen Schutzmaßnahmen werden jedoch immer organisatorischer oder technischer Art sein oder einen engen Bezug hierzu haben. Angesichts der angestrebten Gleichwertigkeit des IT-Sicherheitsniveaus für sämtliche Kritische Infrastrukturen528 haben die Schutzmaßnahmen nach § 11 Abs. 1a S. 1, Abs. 1b S. 1 EnWG den organisatorischen und technischen Maßnahmen529 i. S. d. § 8a Abs. 1 S. 1 BSIG zu 526 Vgl. Liedtke, Die Entwicklung der IT-Sicherheit aus dem Blickwinkel der Telekommunikationsbranche, in: Möstl / Wolff, IT-Sicherheit als Herausforderung für Wirtschaft und Staat, S. 47, 50. 527 Vgl. zur Abgrenzung von IT und IT-System § 1 B. I. 528 BT-Drs. 18 / 4096, S. 2. 529 Hierunter werden auch bauliche und personelle Maßnahmen gefasst, sofern sie nicht einen völlig untergeordneten Bezug zur Organisation oder Technik haben. Vgl. oben § 7 A. I. 2. a) bei den organisatorischen und technischen Vorkehrungen.
338
Teil 3: Die normative Gewährleistung der IT-Sicherheit
entsprechen.530 Welche Maßnahmen vorzunehmen sind, wird durch den Katalog von Sicherheitsanforderungen mit abschließender Wirkung konkretisiert. Daher bedarf es einer genaueren Bestimmung des Angemessenheitsmaßstabes bzw. einer Einschränkung auf wirtschaftlich Zumutbares auf gesetzlicher Ebene nicht. Im Rahmen der Erstellung des Katalogs an Sicherheitsanforderungen dürfen lediglich verhältnismäßige Sicherungsmaßnahmen gefordert werden. Hierbei sind insbesondere Aufwand, Nutzen und wirtschaftliche Zumutbarkeit zu berücksichtigen.531 Aufgrund der Fiktionswirkung der Einhaltung des Kataloges der Sicherungsanforderungen ist neben der expliziten Normierung eines Angemessenheitsmaßstabes die Verpflichtung, dass die Sicherungsmaßnahmen den Stand der Technik einhalten sollen, entbehrlich.532 Denn dies kann über eine Aktua lisierung des Kataloges der Sicherungsanforderungen auf den Stand der Technik gewährleistet werden. b) Der Katalog der Sicherheitsanforderungen Wie bereits deutlich wurde, kommt dem Katalog der Sicherheitsanforderungen im Rahmen der Sicherungspflichten der § 11 Abs. 1a, 1b EnWG eine hervorgehobene, über einen branchenspezifischen Sicherheitsstandard hi nausreichende Bedeutung zu. Der Katalog an Sicherheitsanforderungen wird von der Regulierungsbehörde, der Bundesnetzagentur, § 54 Abs. 1 EnWG,533 im Benehmen mit dem BSI ausgearbeitet. Dieses Zusammenwirken der beiden Behörden ist sinnvoll, um das Fachwissen aus der Regulierung des Energiesektors und der IT-Sicherheit für eine effektive Sicherung der IT nutzen zu können. Außerdem wird dadurch gewährleistet, dass die vorgegebenen IT-Sicherheitsanforderungen denjenigen der §§ 8a f. BSIG entsprechen.534 Bisher existiert lediglich ein Katalog mit Sicherheitsanforderungen für die Betreiber von Energieversorgungsnetzen nach § 11 Abs. 1a EnWG.535 Er befindet sich auf dem 530 Guckelberger,
DVBl. 2015, S. 1213, 1218. Guckelberger, DVBl. 2015, S. 1213, 1219; vgl. zu § 11 Abs. 1a EnWG Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 5. 532 Guckelberger, DVBl. 2015, S. 1213, 1218. 533 BT-Drs. 18 / 4096, S. 32 f. 534 Vgl. zum Entwurf eines IT-Sicherheitsgesetzes aus dem Jahre 2013 Beucher / Utzerath, MMR 2013, S. 362, 365. 535 Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz. Dieser berücksichtigt bereits die Neuerungen durch das IT-Sicherheitsgesetz; ein Katalog nach § 11 Abs. 1b EnWG befindet sich derzeit in Ausarbeitung. Es wurde bereits ein Entwurf veröffentlicht https: / / www.bundesnetzagentur.de / 531 Vgl.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit339
Stand vom August 2015 und berücksichtigt bereits die Änderungen des ITSicherheitsgesetzes. aa) Inhalt Der IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG sieht verschiedene Sicherheitsanforderungen vor. Im Wesentlichen werden die Betreiber zur Einführung eines ISMS, einschließlich der Erstellung eines Netzstrukturplanes mit notwendiger IT, der Vornahme einer Risikoeinschätzung und -behandlung, sowie zur Benennung eines Ansprechpartners für die IT-Sicherheit verpflichtet.536 Dabei müssen sie nur angemessene Sicherungsvorkehrungen erfüllen. In dieser Abwägung sind der technische und wirtschaftliche Aufwand sowie die Folgen eines Ausfalls oder einer Beeinträchtigung des Energieversorgungsnetzbetriebes zu berücksichtigen.537 Dies entspricht dem Abwägungsmaßstab des § 8a Abs. 1 S. 3 BSIG. Auch wenn der Stand der Technik nicht ausdrücklich als einzuhaltendes Niveau in § 11 Abs. 1a EnWG normiert ist, ergibt er sich doch zum einen aus der Angemessenheit der Sicherungsvorkehrungen. Denn vor dem Hintergrund der erheblichen IT-Bedrohungen und der Ausfallfolgen von Energieversorgungsnetzen und kritischen Energieanlagen für die Allgemeinheit folgt bereits aus der Angemessenheit der Sicherungsvorkehrungen, dass der Stand der Technik eingehalten werden muss, um eine effektive Sicherung der IT zu erreichen.538 Zum anderen sieht der Katalog von Sicherheitsanforderungen im Wege der Konkretisierung des angemessenen Schutzes ausdrücklich die Einhaltung des Standes der Technik vor.539 Darüber hinaus werden nähere Vorgaben zum Nachweis der Einhaltung dieser Vorgaben durch ein Zertifizierungsverfahren festgelegt.540 Zwar entSharedDocs / Downloads / DE / Sachgebiete / Energie / Unternehmen_Institutionen / Ver sorgungssicherheit / IT_Sicherheit / IT_Sicherheitskatalog_Konsultationsfassung2018. pdf;jsessionid=006CEE4B709A25229BC11DC0FDAEC1E1?__blob=publicationFile &v=2 (besucht am 12.06.2018). 536 Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 8 ff. 537 Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 14. 538 Vgl. Guckelberger, DVBl. 2015, S. 1213, 1218 f. 539 Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 4, 5, 14. 540 Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 8 ff.
340
Teil 3: Die normative Gewährleistung der IT-Sicherheit
hält der Katalog als Teil des ISMS mit dem „Plan-Do-Check-Act-Modell“ ein Verfahren zur regelmäßigen internen Überprüfung der getroffenen Sicherungsvorkehrungen.541 § 11 Abs. 1a S. 3 EnWG fordert darüber hinaus eine regelmäßige Überprüfung der Erfüllung des Kataloges an Sicherheitsanforderungen. Diese soll auf dem Niveau des § 8a Abs. 3 BSIG stattfinden.542 Hierfür genügt diejenige Überprüfung im Rahmen des „Plan-Do-Check-AktModells“ nicht, da sie das Niveau des § 8a Abs. 3 BSIG nicht erreicht. Denn es werden keine § 8a Abs. 3 BSIG entsprechenden Anforderungen an die Prüfer gestellt.543 Nur die erstmalige Prüfung, die in ihrer Struktur der Nachweispflicht entspricht, erreicht dieses Niveau. Sie hat durch eine unabhängige zertifizierte Stelle zu erfolgen.544 Stattdessen ist die Bundesnetzagentur befugt das ISMS regelmäßig zu überprüfen, § 11 Abs. 1a S. 5 EnWG. Nichtsdestotrotz wäre eine Festlegung eines bestimmten Zeitraumes, nach dem spätestens eine erneute Zertifizierung oder Prüfung zu erfolgen hat, wünschenswert gewesen.545 Anders als bei § 8a Abs. 3 BSIG ist die Bestimmung eines festen Zeitraumes wegen der Überprüfungsbefugnis zu einer effektiven Sicherung indes nicht zwingend nötig. Zwar existiert mit dem „Plan-Do-Check-Act-Modell“ auch im Energiesektor ein Instrument zur Führung von Nachweisen. Dies ist jedoch nicht auf gesetzlicher Ebene, sondern erst auf Ebene des Sicherheitskataloges angelegt und für einen wirksamen Durchsetzungsmechanismus nur unzureichend ausgestaltet. Die Durchsetzung der Sicherungspflicht der § 11 Abs. 1a, b EnWG erfolgt im Schwerpunkt über die Überprüfungsbefugnis der Bundesnetzagentur. Das ISMS ist auf Basis von DIN ISO / IEC 27001 durch eine akkreditierte Stelle bis 31. Januar 2018546 zu zertifizieren.547 Darüber hinausge541 Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 8 f. 542 BT-Drs. 18 / 4096, S. 33. 543 Vgl. zu Prüfelementen des einzuführenden ISMS Bundesnetzagentur, IT- Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 8 f. 544 Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 15. 545 Dahingegen nehmen Wyl / Weise / Bartsch, N&R 2015, S. 23, 25 einen zweijährigen Überprüfungsturnus an, da sie von einer entsprechenden Anwendbarkeit des § 8a Abs. 3 BSIG ausgehen. Diese ist jedoch abzulehnen, da sie im Ziel eines mit § 8a Abs. 3 BSIG vergleichbaren Niveaus keine Stütze finden kann. Vgl. für eine Norm, die einen im Grundsatz einzuhaltenden Zeitraum vorschreibt, nach dem eine Überprüfung stattzufinden hat, § 109 Abs. 4 S. 7, 8 TKG. 546 § 11 Abs. 1a EnWG unterliegt anders als Abs. 1b selbst keiner Umsetzungsfrist, da die Betreiber von Energieversorgungsnetzen bereits seit der EnWG-Novelle 2011 zu einem angemessenen Schutz ihrer IT verpflichtet sind.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit341
hende Dokumentationsvorgaben nach § 11 Abs. 1a S. 6 EnWG wurden nicht getroffen. Bereits bis zum 30. November 2015 war der Bundesnetzagentur ein Ansprechpartner für die IT-Sicherheit mitzuteilen. Dieser dient als fachlich kompetenter Kommunikationspartner auf Seiten des verpflichteten Energieversorgungsnetzbetreibers. Er soll über: – „Umsetzungsstand der Anforderungen aus dem vorliegenden IT-Sicherheitskatalog – Aufgetretene Sicherheitsvorfälle sowie Art und Umfang evtl. hierdurch hervorgerufener Auswirkungen – Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung“548 unverzüglich Auskunft geben können. Um dies zu ermöglichen, muss eine organisatorische Einbeziehung des Ansprechpartners in die unternehmensinternen Informationsflüsse zur IT-Sicherheit sichergestellt werden. Nichtsdestotrotz verpflichtet der IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG nur zur Benennung, nicht aber zur organisatorischen Einbindung. Denn der Ansprechpartner „soll“ nur über die benannten Themenbereiche Auskunft geben können, muss es aber nicht.549 Damit folgt hieraus keine über die Benennung hinausgehende Rechtspflicht. Seiner Funktion nach ist der Ansprechpartner mit der Kontaktstelle i. S. v. § 8b Abs. 3 BSIG vergleichbar.550 Anders als die Kontaktstelle muss der Ansprechpartner nicht ständig verfügbar sein. Denn er dient nur dazu der Bundesnetzagentur Informationen mitzuteilen und soll selbst keine empfangen. Andererseits soll er nicht nur über IT-Sicherheitsvorfälle, sondern auch über die Umsetzung der Sicherungsmaßnahmen Auskunft geben können. Sinnvoll wäre es, dass der Ansprechpartner dem BSI mitgeteilt wird oder er den Betreiber im Rahmen des UP KRITIS vertritt.551 Hiernach besteht jedoch kein Bedürfnis, wenn das Energieversorgungsnetz eine Kritische Infrastruk547 Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 15. 548 Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 14 f. 549 Ansonsten entspräche der Ansprechpartner seiner Struktur nach der Kontaktstelle im Rahmen der Meldepflicht. Dies würde die Rechtsgrundlage des Sicherheitskataloges, § 11 Abs. 1a S. 2 ff. EnWG, die auf die Sicherungspflicht bezogen ist, nicht tragen. 550 Vgl. zur Kontaktstelle nach § 8b Abs. 3 BSIG BT-Drs. 18 / 4096, S. 27. 551 Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 15.
342
Teil 3: Die normative Gewährleistung der IT-Sicherheit
tur i. S. d. BSI-KritisV darstellt. Denn in diesem Fall ist der Betreiber ohnehin verpflichtet, eine Kontaktstelle nach § 8d Abs. 2, § 8b Abs. 3 BSIG einzurichten.552 Diese kann zugleich Ansprechpartner sein. Der Katalog der Sicherheitsanforderungen konkretisiert damit die zu treffenden Sicherungsvorkehrungen und verknüpft sie über den Angemessenheitsvorbehalt mit dem Stand der Technik. Außerdem enthält er Regelungen zur Kontrolle der Einhaltung der Sicherungspflicht und der Benennung eines Ansprechpartners für die Bundesnetzagentur. bb) Rechtswirkungen Wird der Katalog an Sicherheitsanforderungen eingehalten, wird gesetzlich fingiert, dass ein angemessener Schutz der IT-Sicherheit des Betriebs der Infrastruktur vorliegt. Rechtstechnisch unterscheidet sich die Wirkung des IT-Sicherheitskataloges von derjenigen der branchenspezifischen Sicherheitsstandards dadurch, dass aus letzteren lediglich eine Selbstbindungswirkung und keine gesetzliche Fiktion folgt.553 Infolgedessen unterliegt die Fiktionswirkung keinen personellen, zeitlichen und inhaltlichen Einschränkungen. Anders als bei den branchenspezifischen Sicherheitsstandards können die Betreiber nicht abweichen und alternative, im IT-Sicherheitsniveau äquivalente Maßnahmen treffen.554 Da der IT-Sicherheitskatalog lediglich ein zu gewährleistendes Mindestniveau festlegt, ist weiterhin eine Abweichung nach oben möglich. Zusätzliche Maßnahmen für ein höheres IT-Sicherheitsniveau dürfen getroffen werden.555 cc) Rechtsnatur und Zulässigkeit der Fiktionswirkung Basierend auf diesen Erkenntnissen soll eine Bestimmung der Rechtsnatur des Kataloges an Sicherheitsanforderungen vorgenommen werden. Die Einordnung als Rechtsverordnung scheitert bereits an einer tauglichen Er552 Die Pflicht zur Einrichtung einer Kontaktstelle ist im Zuge der Umsetzung der RL (EU) 2016 / 1148 durch eine Öffnung der Rückgriffsmöglichkeit auf § 8b Abs. 3 BSIG eingefügt worden. 553 Köhler, EnWZ 2015, S. 407, 408; vgl. Wyl / Weise / Bartsch, N&R 2015, S. 23, 25; vgl. Guckelberger, DVBl. 2015, S. 1213, 1219. 554 So ausdrücklich BT-Drs. 18 / 4096, S. 33; Guckelberger, DVBl. 2015, S. 1213, 1219; andere Ansicht Wyl / Weise / Bartsch, N&R 2015, S. 23, 26; Thomale, Versorgungswirtschaft 2015, S. 301, 302. 555 Guckelberger, DVBl. 2015, S. 1213, 1219.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit343
mächtigungsgrundlage.556 Ebenso stellt der Katalog keine Allgemeinver fügung i. S. v. § 29 EnWG dar.557 Zum einen ist der Katalog keine Entscheidung über Bedingungen und Methoden für den Netzanschluss oder den Netzzugang nach einer der genannten Rechtsverordnungen, sondern betrifft den von der IT abhängigen Betrieb eines Energieversorgungsnetzes.558 Zum anderen enthält der Katalog keine konkreten, sondern abstrakte Regelungen.559 Es ist daher zu untersuchen, ob er als Verwaltungsvorschrift einzustufen ist. Hierfür müsste er der Selbstprogrammierung der Verwaltung zu einem einheitlichen Verwaltungsvollzug dienen und dafür eine verwaltungsinterne Wirkung enthalten. Hiergegen sprechen die Umsetzungsvorgaben, die sich unmittelbar an die Netzbetreiber richten.560 Auch die Fiktion des § 11 Abs. 1a S. 4 EnWG bestätigt das Bestehen einer Außenwirkung. Doch folgt aus ihr nicht, dass diese Außenwirkung im Sicherheitskatalog selbst wurzelt. Sie kann daher die Qualifikation als Verwaltungsvorschrift nicht ausschließen. Die gesetzliche Fiktion zeigt aber, dass der Katalog der Sicherheitsanforderungen die Sicherungspflicht des § 11 Abs. 1a S. 1 EnWG konkretisiert. Denn ansonsten könnte die Fiktion nicht zur Gewährleistung der IT-Sicherheit auf dem Niveau des § 11 Abs. 1a S. 1 EnWG beitragen.561 Damit konnte jedoch noch nicht geklärt werden, ob der Sicherheitskatalog als Verwaltungsvorschrift einzuordnen ist. Die Konkretisierungswirkung des Sicherheitskataloges kann als exekutiv gesetztes Recht außerhalb der Handlungsform der Rechtsverordnung zunächst nur nach innen wirken.562 § 11 Abs. 1 S. 2 EnWG stellt keine taugliche Rechtsgrundlage für außenwirksames Recht dar. Er enthält vielmehr nur die Verpflichtung des BSI einen entsprechenden Katalog zu erstellen und zu veröffentlichen. Der Sicherheitskatalog als Regelungswerk selbst hat damit nur eine Innenwirkung. Erst durch die Anknüpfung der Fiktion des § 11 Abs. 1a S. 4 EnWG entsteht eine Au-
556 Zum einen ist in § 11 Abs. 1a S. 1 EnWG nicht normiert, dass der Katalog in Form einer Rechtsverordnung erlassen werden solle. Zum anderen hätte sonst keine Notwendigkeit bestanden, ein Veröffentlichungserfordernis zu normieren. 557 So aber Köhler, EnWZ 2015, S. 407, 410. 558 Im Falle des § 11 Abs. 1b EnWG den Betrieb von Energieanlagen. 559 Vgl. Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 8 ff.; vgl. zu insoweit vergleichbaren branchenspezifischen Sicherheitsstandards § 7 A. I. 6. a) aa). 560 Siehe hierzu Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 15. 561 Vgl. BT-Drs. 18 / 4096, S. 32 f. 562 Vgl. Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 637.
344
Teil 3: Die normative Gewährleistung der IT-Sicherheit
ßenwirkung.563 Diese folgt somit nicht aus dem Sicherheitskatalog selbst, sondern aus dem mit einer Fiktionswirkung ausgestatteten Verweis auf diesen. Damit stellt sich der Katalog an Sicherheitsanforderungen als Verwaltungsvorschrift dar. Die Außenwirkung folgt nicht aus der Verwaltungsvorschrift, sondern aus der hieran anknüpfenden gesetzlichen Fiktion. Folglich stellt sich die Frage nach der Zulässigkeit dieser Gesetzgebungstechnik. Es dürfen die Vorgaben des Art. 80 Abs. 1 S. 2 GG als Ausprägungen des allgemeinen rechtsstaatlichen Parlamentsvorbehalts564 nicht umgangen werden, indem der Gesetzgeber Inhalte von Verwaltungsvorschriften durch Verweise zu vollwirksamen Außenrecht erhebt. In § 11 Abs. 1a S. 2, 3 und 6 EnWG gibt der Gesetzgeber selbst vor, dass der Sicherheitskatalog dazu dient, einen angemessenen Schutz zu erreichen, dass er Regelungen zur regelmäßigen Überprüfung der Sicherheitsvorkehrungen zu enthalten hat und gegebenenfalls solche zur Dokumentation mit aufgenommen werden können. Somit legt der Parlamentsgesetzgeber selbst die inhaltlichen Grundzüge sowie das Ausmaß und den Zweck der enthaltenen Regelungen fest. Es werden die rechtsstaatlichen Anforderungen, die eine hinreichende demokratische Legitimation vermitteln können, eingehalten. Damit ist die Regelungstechnik, eine Verwaltungsvorschrift durch gesetzliche Verweise mit Außenwirkung auszustatten, hier als zulässig zu erachten. c) Besonderheiten für Betreiber von Energieanlagen Die Sicherungspflicht für Betreiber von Energieanlagen in § 11 Abs. 1b EnWG weicht nur in wenigen Punkten von derjenigen des Abs. 1a ab. Ihre Sicherungspflicht müssen die Betreiber kritischer Energieanlagen in einer von der Bundesnetzagentur bestimmten und im Katalog an Sicherheitsanforderungen aufgenommenen Frist umsetzen.565 Denn diese trifft die Sicherungspflicht mit der Ergänzung des § 11 Abs. 1b EnWG erstmals. 563 Vgl. zum Gedanken der Notwendigkeit einer Übertragung der Rechtssetzungsgewalt durch den Gesetzgeber für die exekutivische Setzung außenwirksamen abstrakt-generellen Rechts Möstl, Normative Handlungsformen, in: Ehlers / Pünder, Allgemeines Verwaltungsrecht, S. 595, 599. 564 Vgl. Remmert, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 80 GG, Rdnr. 68 f.; Wallrabenstein, in: Münch / Kunig, Grundgesetz, Art. 80 GG, Rdnr. 38 f.; Mößle, Inhalt, Zweck und Ausmaß, S. 35 f.; Brenner, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 80 GG, S. 32 f. 565 In dieser Erwartung ebenfalls Wyl / Weise / Bartsch, N&R 2015, S. 23, 26; a. A. eine zweijährige Umsetzungsfrist vermutlich in Bezug auf § 8a Abs. 1 S. 1 BSIG annehmend Köhler, EnWZ 2015, S. 407, 408. Hierfür führt er an, dass eine untergesetzliche Norm, die Wirkung des § 11 Abs. 1a EnWG nicht aufschieben kann. Jedoch ist in § 11 Abs. 1b S. 1, 2 EnWG angelegt, dass im Katalog eine Umsetzungsfrist zu bestimmen ist.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit345
Da Anlagen nach § 7 Abs. 1 AtG ebenfalls Energieanlagen darstellen können, wird in § 11 Abs. 1b S. 3, 4 EnWG ein Vorrang spezieller Regelungen zur IT-Sicherheit des AtG normiert. Die IT-Sicherheit erfassenden Regelungen im AtG sind insbesondere § 7 Abs. 2 Nr. 5, § 7c, § 19 AtG. Sie normieren die Pflicht der Betreiber, die nukleare Sicherheit zu gewährleisten.566 Dies schließt mittelbar die Sicherung der IT ein. Soweit die atomrechtlichen Vorschriften keine Vorgaben zur IT-Sicherheit enthalten, ist auf § 11 Abs. 1b EnWG zurückzugreifen. Da die Vorschriften des AtG die IT-Sicherheit nur mittelbar über unbestimmte Rechtsbegriffe erfassen, stellen § 11 Abs. 1b EnWG und der hierauf basierende Sicherheitskatalog in der Regel eine spezialgesetzliche Konkretisierung dar. Laufen die Maßnahmen zur IT-Sicherheit und der Versorgungssicherheit der Gewährleistung der nuklearen Sicherheit zuwider, wird der nuklearen Sicherheit Vorrang eingeräumt.567 Aufgrund dessen sind die atomrechtlichen Genehmigungs- und Aufsichtsbehörden an der Ausarbeitung des Sicherheitskatalogs zu beteiligen, § 11 Abs. 1b S. 4 EnWG, um etwaige Konflikte zwischen Maßnahmen zur Versorgungssicherheit und der nuklearen Sicherheit zu vermeiden.568 Ein Katalog von Sicherheitsanforderungen nach § 11 Abs. 1b EnWG wurde bisher durch die Bundesnetzagentur noch nicht erarbeitet und veröffentlicht.569 Dieser wird sich aber wohl an dem bereits bestehenden für Energieversorgungsnetze orientieren, obwohl dies nicht zwingend ist.570 Lediglich für Anlagen nach § 7 Abs. 1 AtG sind Abweichungen zu erwarten. Für die Rechtswirkungen und die Rechtsnatur des Kataloges, die sich bereits aus § 11 Abs. 1b EnWG direkt ergeben, gelten die Ausführungen zu demjenigen des § 11 Abs. 1a EnWG entsprechend.571 Derzeit existiert für § 11 Abs. 1b EnWG noch kein Katalog von Sicherheitsanforderungen. Daher stellt sich die Folgefrage, was dies für die Anwendbarkeit des § 11 Abs. 1b EnWG bedeutet. Die Frist für die Umsetzung der Maßnahmen zur Sicherung der IT ist Teil des Kataloges von Sicherheitsanforderungen, § 11 Abs. 1b S. 1, 2 EnWG. Zudem ergibt sich aus der Fik 566 Vgl.
BT-Drs. 18 / 4096, S. 29. BT-Drs. 18 / 4096, S. 45. 568 BT-Drs. 18 / 4096, S. 50. 569 Ein Katalog nach § 11 Abs. 1b EnWG befindet sich derzeit in Ausarbeitung. 570 Wyl / Weise / Bartsch, N&R 2015, S. 23, 26; Guckelberger, DVBl. 2015, S. 1213, 1220; vgl. den Entwurf eines Kataloges nach § 11 Abs. 1b EnWG mit Stand Januar 2018 https: / / www.bundesnetzagentur.de / SharedDocs / Downloads / DE / Sach gebiete / Energie / Unternehmen_Institutionen / Versorgungssicherheit / IT_Sicher heit / IT_Sicherheitskatalog_Konsultationsfassung2018.pdf;jsessionid=006CEE4B 709A25229BC11DC0FDAEC1E1?__blob=publicationFile&v=2 (besucht am 12.06. 2018). 571 Vgl. BT-Drs. 18 / 4096, S. 33. 567 Vgl.
346
Teil 3: Die normative Gewährleistung der IT-Sicherheit
tionswirkung des § 11 Abs. 1b S. 6 EnWG, dass angemessene Sicherungsvorkehrungen nur bei Einhaltung des Kataloges von Sicherheitsanforderungen vorliegen. Die Fiktionswirkung schließt abweichende572 Maßnahmen aus, weshalb die Umsetzbarkeit der Pflicht von der Existenz eines Sicherheitskataloges abhängt. Damit ist die Umsetzbarkeit der Sicherungspflicht vom Erlass des Kataloges von Sicherheitsanforderungen abhängig. Betreiber von Energieanlagen nach der BSI-KritisV müssen bis zum Erlass des Kataloges von Sicherheitsanforderungen keine Sicherungsmaßnahmen nach § 11 Abs. 1b EnWG treffen. Auch ist eine Anwendbarkeit des § 8a Abs. 1 BSIG bis zum Erlass des Kataloges von Sicherheitsanforderungen zu verneinen. Denn § 8d Abs. 2 Nr. 2 BSIG normiert ausdrücklich einen Vorrang des EnWG für Energieanlagen i. S. d. BSI-KritisV. Dieser greift zwar nur „soweit sie den Regelungen des § 11 des Energiewirtschaftsgesetzes unterliegen“. Dies ist jedoch in personeller und nicht in inhaltlicher Hinsicht zu verstehen.573 Im Übrigen unterliegen bereits vor Erlass des Sicherheitskataloges die adressierten Betreiber von Energieanlagen § 11 Abs. 1b EnWG. Dessen Rechtswirkungen sind bezüglich der Verpflichtung der konkret umzusetzenden Vorkehrungen wegen der vom Sicherheitskatalog abhängigen Fiktionswirkung nur aufgeschoben. Im Übrigen erfordert die RL (EU) 2016 / 1148 keine Umsetzung von Sicherungsmaßnahmen zur IT-Sicherheit durch Betreiber von Energieanlagen, da sie auf diese wegen der Begrenzung der wesentlichen Dienste nach Anhang II Nr. 1 lit. a RL (EU) 2016 / 1148 auf Netzbetreiber keine Anwendung findet. d) Dogmatische Charakteristika Vergleicht man die dogmatischen Strukturen der Sicherungspflicht und des Sicherheitskataloges nach § 11 Abs. 1a EnWG574 mit § 8a BSIG, so sind ihnen zwar die Grundzüge gemeinsam, in der Ausgestaltung der einzelnen Bausteine unterscheiden sie sich allerdings. Da der Sicherheitskatalog mit einer gesetz lichen Fiktion ausgestattet und verbindlich ist, prägt er die Sicherungspflicht. Auch die Sicherungspflicht des EnWG kennt die Bausteine der organisatorischen und technischen Vorkehrungen, des Angemessenheitsvorbehaltes und
§ 11 Abs. 1a EnWG; Köhler, EnWZ 2015, S. 407, 408. BT-Drs. 18 / 11242, S. 49, denn mit der Ergänzung sollte nur eine redaktionelle Klarstellung erfolgen. Würde man im „soweit“ einen inhaltlichen Wirkungsvorbehalt bezüglich § 11 Abs. 1b EnWG verstehen, so würde die Änderung über eine redaktionelle Klarstellung hinausgehen. 574 Die dogmatischen Charakteristika kennzeichnen nicht nur den Sicherheits katalog nach § 11 Abs. 1a EnWG, sondern werden auch auf den noch nicht erlassenen nach § 11 Abs. 1b EnWG zutreffen. 572 Vgl. 573 Vgl.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit347
des Standes der Technik. Diese sind zwar nicht gänzlich in § 11 Abs. 1a, b EnWG enthalten, werden aber durch den Sicherheitskatalog ergänzt.575 Der Sicherheitskatalog unterscheidet sich vom branchenspezifischen Sicherheitsstandard erheblich. Er wird nicht durch die Infrastrukturbetreiber, sondern durch die Bundesnetzagentur ausgearbeitet. Infolgedessen erfährt er keine Prägung durch ein kooperatives Element. Er ist als staatlich gesetztes Recht einzuordnen.576 Betrachtet man die gesamte Sicherungspflicht ist ihr dennoch ein Zusammenwirken von Staat und Privaten nicht fremd. Die Sicherungsvorkehrungen sind weiterhin in Form der Eigensicherung von den Betreibern eigenverantwortlich umzusetzen. Aufgrund des erheblichen Einflusses des Sicherheitskataloges unterliegen die Sicherungsvorkehrungen nach dem EnWG indes einer intensiveren hoheitlichen Regulierung als diejenigen nach § 8a BSIG. 2. Die Meldepflicht nach § 11 Abs. 1c EnWG Die Meldepflicht für Betreiber von Energieversorgungsnetzen und Kritischen Energieanlagen577 entspricht derjenigen des § 8b Abs. 4 BSIG und weist in weiten Teilen einen identischen Wortlaut auf.578 Abgewichen wird von § 8b Abs. 4 BSIG scheinbar, als keine spezialgesetzliche Pflicht zur Einrichtung einer Kontaktstelle besteht. Dennoch müssen Meldungen über diese erfolgen, § 11 Abs. 1c S. 1 a. E. EnWG. Dies erscheint widersprüchlich. Jedoch kann auf die allgemeine Norm des § 8b Abs. 3 BSIG zurückgegriffen werden, da § 8d Abs. 3 Nr. 2 BSIG den Rückgriff nur mehr für die Meldepflicht im engeren Sinne, nicht aber für die Kontaktstelle i. S. v. § 8b Abs. 3 BSIG sperrt.579 Ein Rückgriff ist nur dann möglich, wenn die jeweilige Anlage des Betreibers eine Kritische Infrastruktur darstellt. Ist dies nicht der Fall, bietet es sich an, dass der einzurichtende Ansprechpartner als Kon-
575 § 11 Abs. 1a, b EnWG enthält mit dem „angemessenen Schutz“ nur den Angemessenheitsvorbehalt und die organisatorischen und technischen Vorkehrungen; die Verpflichtung zur Beachtung des Standes der Technik ergibt sich aus dem Sicherheitskatalog; Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 4, 5, 14. 576 Vgl. zum Kriterium des Rechtsetzers Kirchhof, Private Rechtsetzung, S. 104; infolgedessen war auch eine Einordnung als Verwaltungsvorschrift möglich, siehe § 7 B. I. 1. b) cc). 577 Vgl. zum alleinigen Bezug der Kritikalität auf die Energieanlagen Guckelberger, DVBl. 2015, S. 1213, 1220. 578 Wyl / Weise / Bartsch, N&R 2015, S. 23, 26. 579 bitkom, Stellungnahme zum Entwurf eines Gesetzes zur Umsetzung der NISRichtlinie (EU) 2016 / 1148, S. 5.
348
Teil 3: Die normative Gewährleistung der IT-Sicherheit
taktstelle die Meldungen absetzt.580 Gesetzlich ist dies aber nicht vorgegeben. Die inhaltlichen Anforderungen an die Meldung entsprechen denjenigen des § 8b Abs. 4 S. 2 BSIG.581 Lediglich die Pflicht zur Benennung der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers bzw. der erbrachten Dienstleistung fehlt. Dienstleistung und Anlage ergeben sich allerdings in Grundzügen bereits aus dem Zusammenhang. Obwohl die Regulierungsbehörde die Bundesnetzagentur ist, sind die Meldungen an das BSI zu richten,582 das die für die IT-Sicherheit zentrale Meldestelle ist. Dieses leitet die Meldung dann an die Bundesnetzagentur unverzüglich weiter.583 Ein weiterer Unterschied, der ohne inhaltliche Auswirkungen bleibt, liegt in der besonderen Normierung des Vertraulichkeitsschutzes der durch eine Meldung erhaltenen Daten beim BSI und der Bundesnetzagentur, § 11 Abs. 1c S. 5, 6 EnWG. Denn eine effektive Sicherung der IT kann nur bei einem vertrauensvollen Zusammenwirken von Verpflichtetem und Behörde verwirklicht werden. Die dogmatischen Bausteine der erheblichen Störung der IT-Sicherheit, die Berücksichtigung tatsächlicher und potentieller Auswirkungen auf die Infrastruktur sowie die Differenzierung von namentlicher und pseudonymer Meldung finden sich damit auch im Rahmen der Meldepflicht des § 11 Abs. 1c EnWG wieder. 3. Die Meldepflicht nach § 44b AtG Für Genehmigungsinhaber nach §§ 6, 7 und 9 AtG besteht eine gesonderte atomrechtliche Meldepflicht. Sie weicht im Kern nur in wenigen Punkten von den allgemeineren im EnWG584 und BSIG ab und verdrängt diese bei580 Vgl. zu den Aufgaben des Ansprechpartners Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 14 f.; diese Konstellation kann nur bei Energieversorgungsnetzen entstehen, da Energieanlagen nur vorbehaltlich einer Qualifikation als Kritische Infrastruktur nach der BSI-KritisV erfasst werden. 581 BT-Drs. 18 / 4096, S. 33. 582 § 8b Abs. 1 BSIG; BT-Drs. 18 / 4096, S. 33. 583 Dadurch wird zwar der Aufwand für den Meldenden verringert, indem er nur eine Meldung absetzen muss. Jedoch wird durch das Zwischenschalten des BSI die Zeitspanne verlängert, bis die Bundesnetzagentur von dem IT-Sicherheitsvorfall erfährt. Um die Versorgungssicherheit mit Energie auch durch ein Zusammenwirken von Bundesnetzagentur und BSI zu gewährleisten, muss das BSI die unverzügliche Weiterleitung sicherstellen. 584 Soweit im Sicherheitskatalog des § 11 Abs. 1b EnWG entsprechend dem § 11 Abs. 1a EnWG eine Pflicht zur Benennung eines Ansprechpartners aufgenommen wird, müssen diese auch Energieanlagenbetreiber erfüllen, die der Meldepflicht des § 44b AtG unterfallen.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit349
den, soweit ihr personeller Anwendungsbereich reicht. Eine Abweichung besteht darin, dass es keiner erheblichen Störung der IT-Sicherheit bedarf, um die Meldepflicht auszulösen. Jede Beeinträchtigung genügt. Angesichts der weitgehenden terminologischen Anlehnung an die § 11 Abs. 1c EnWG und § 8b Abs. 4 BSIG soll die gesetzgeberische Wortwahl als gewollt einzustufen sein.585 Zwar lassen sich die „Störung“ und „Beeinträchtigung“ synonym verstehen,586 jedoch wird durch das Fehlen des Erheblichkeitskriteriums deutlich, dass die Meldepflicht des § 44b S. 1 AtG bereits bei einem niedrigeren Störungsniveau ansetzt. Zusätzlich fehlt das Erheblichkeitskriterium bei den Auswirkungen einer Störung der IT-Sicherheit auf die nukleare Sicherheit. Dies lässt sich mit dem hohen Schadenspotential und der Risikominimierung im Umgang mit Kernbrennstoffen rechtfertigen. Legt man eine niedrigere Schwelle an, die die Meldepflicht auslöst, müssen die Folgen einer solchen Auslegung berücksichtigt werden. Es ist jeder IT-Sicherheitsvorfall mit potentiellen Auswirkungen auf die nukleare Sicherheit zu melden, selbst wenn die Beeinträchtigung der IT-Sicherheit automatisiert oder mit wenig Aufwand beseitigt werden kann. Damit wird die Meldepflicht erheblich ausgeweitet. Der Filter, um Vorfälle ohne wirkliche Bedeutung für die IT-Sicherheit auszusondern, entfällt. In diesem Fall wird die Prognose des Gesetz gebers von lediglich sieben meldepflichtigen IT-Sicherheitsvorfällen pro Jahr587 wohl nicht zutreffen. Ziel der Meldepflicht ist nicht die Gewährleistung der Funktionsfähigkeit der Anlage, sondern die Gewährleistung der nuklearen Sicherheit. Diese Besonderheit beruht auf dem über Energieanlagen und damit über Kritische Infrastrukturen i. S. d. § 2 Abs. 10 BSIG hinausgehenden Anwendungsbereich in § 6 und § 9 AtG und dem Vorrang der nuklearen Sicherheit vor der Versorgungssicherheit.588 Angesichts des rückläufigen, aber noch beachtenswerten Anteils der Energieerzeugung aus der Spaltung von Kernbrennstoffen589 wäre für Genehmigungsinhaber nach § 7 AtG, die eine Energieanlage betrei585 Roos,
MMR 2015, S. 636, 643. zu einem synonymen Verständnis bereits § 7 B. I. 1. a). Bei einem synonymen Verständnis bereitet die Vertauschung der „Beeinträchtigung“ und „Störung“ in der begrifflichen Struktur im Vergleich zu § 8b Abs. 4 S. 1 BSIG keine Probleme. Die begriffliche Struktur kritisierend Hornung, NJW 2015, S. 3334, 3337; für den Bereich der Telekommunikation a. A. Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 47b. 587 BT-Drs. 18 / 4096, S. 5; die Prognose bezieht sich aber auf die durchschnittliche Zahl an Meldungen pro Betreiber einer Kritischen Infrastruktur. 588 BT-Drs. 18 / 4096, S. 33, 49. 589 Zur Entwicklung des Anteils der Kernenergie an der Stromerzeugung in Deutschland in den Jahren 2000 bis 2016 https: / / de.statista.com / statistik / daten / stu die / 29295 / umfrage / anteil-der-atomenergie-an-der-stromerzeugung-in-deutschland / (besucht am 12.06.2018). 586 Vgl.
350
Teil 3: Die normative Gewährleistung der IT-Sicherheit
ben, eine zusätzliche an der Versorgungssicherheit orientierte Meldepflicht logisch gewesen. Diesbezüglich kann nicht auf § 11 Abs. 1c EnWG zurückgegriffen werden, da dieser von § 44b AtG verdrängt wird. Die inhaltlichen Anforderungen des § 44b AtG an die Meldung stimmen mit denjenigen aus § 11 Abs. 1c S. 2 EnWG überein. Ebenfalls ist in § 44b S. 1 AtG mit den Beeinträchtigungen, „die zu einer Gefährdung oder Störung der nuklearen Sicherheit (…) führen können oder bereits geführt haben“, eine Differenzierung zwischen namentlicher und pseudonymer Meldung angelegt. Sie wird jedoch nicht als solche ausgestaltet, da Regelungen fehlen, ob der Betreiber genannt werden muss.590 Aus dem Sinn und Zweck sowie aus einem Vergleich mit § 11 Abs. 1c S. 2 EnWG folgt hieraus stets eine namentliche Meldepflicht. Schließlich kennt § 44b AtG keine Pflicht zur Einrichtung einer Kontaktstelle. Eine solche besteht nur für Genehmigungsinhaber nach § 7 Abs. 1 AtG, die einer Kritische Infrastruktur betreiben, aus § 8a Abs. 3 BSIG, jedoch nicht für Genehmigungsinhaber nach §§ 6 und 9 AtG oder nach § 7 Abs. 1 AtG, soweit sie keine Kritische Infrastruktur betreiben. Letzteren bleibt die betriebsinterne Organisation der die Meldepflicht erfüllenden Stellen selbst überlassen. Die atomrechtliche Meldepflicht ist umfassender als die entsprechende Sicherungspflicht, da nicht nur Energieanlagenbetreiber, die Genehmigungsinhaber zur Spaltung von Kernbrennstoffen i. S. v. § 7 Abs. 1 S. 1 Var. 4 AtG sind, sondern auch alle anderen Genehmigungsinhaber nach § 7 Abs. 1 AtG und nach §§ 6 und 9 AtG erfasst werden. In diesen über § 11 Abs. 1b EnWG hinausreichenden Bereich wird die IT-Sicherheit über allgemeine atomrechtliche Normen durch die Verpflichtung zu Sicherungsmaßnahmen gewährleistet.591 Nichtsdestotrotz wäre es sinnvoll, von einer Beschränkung der speziellen Sicherungspflicht auf Energieanlagenbetreiber abzusehen, um einen Gleichlauf des personellen Anwendungsbereiches von Sicherungs- und Melde pflicht zu erreichen. So wäre es für diesen nicht vom EnWG bzw. von § 8a Abs. 1 BSIG erfassten Bereich möglich gewesen, der außerdem mit der nuklearen Sicherheit besonders schutzwürdig ist und eine mit Kritischen Infrastrukturen vergleichbare Exposition aufweist, die IT-Sicherheit auf ein einheitliches Niveau zu heben. Die Meldepflicht des § 44b AtG setzt sich aus den gleichen dogmatischen Bausteinen wie diejenigen nach § 11 Abs. 1c EnWG und § 8b Abs. 4 BSIG zusammen. Abweichungen existieren nur im Detail. So existiert die Möglich590 Vgl. 591 Vgl.
§ 11 Abs. 1c S. 2, 3 EnWG, § 8b Abs. 4 S. 2, 3 BSIG. § 6 Abs. 2 Nr. 2, 4, § 7c Abs. 2 Nr. 1, 3, § 7d, § 9 Abs. 2 Nr. 3, 5 AtG.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit351
keit einer pseudonymen Meldung nicht. Einzige Abweichung von struktureller Bedeutung ist, dass sich Auswirkungen der Störung der IT-Sicherheit auf die nukleare Sicherheit beziehen müssen. 4. Sanktionen In den ursprünglichen Pflichten, wie sie durch das IT-Sicherheitsgesetz geschaffen wurden, waren keine Sanktionsmöglichkeiten für die Einhaltung der Sicherungs- bzw. der Meldepflicht vorgesehen.592 Für § 44b AtG fehlt diese weiterhin.593 Dies bedingt die Gefahr eines Durchsetzungsdefizits. Im Zuge der Umsetzung der RL (EU) 2016 / 1148 wurden diese für das EnWG ergänzt, um den unionsrechtlichen Vorgaben in Art. 14 f. RL (EU) 2016 / 1148 für Betreiber wesentlicher Dienste im Energiesektor Genüge zu tun, soweit sie dem unionsrechtlichen Einfluss unterfallen. In § 95 Abs. 1 Nr. 2a, b EnWG wurden Ordnungswidrigkeitentatbestände geschaffen für den Fall, dass der Katalog von Sicherheitsanforderungen nach § 11 Abs. 1a, b EnWG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig eingehalten wird. Gleiches gilt für die Meldepflicht. Bußgelder können bis zu einer Höhe von 100.000 € verhängt werden, § 95 Abs. 2 S. 1 a. E. EnWG. Im Vergleich zu § 14 Abs. 2 S. 1 Hs. 2 BSIG wurde die Höhe verdoppelt. Außerdem existieren Ausnahmen von der grundsätzlichen Zuständigkeit der Bundesnetzagentur als Regulierungsbehörde, vgl. § 95 Abs. 5 Hs. 2, § 54 Abs. 1, 2 S. 1 Hs. 2 EnWG. Für die Sanktionsbefugnisse im Zusammenhang der IT-Sicherheit in § 95 Abs. 5 Hs. 1 EnWG ist die Zuständigkeit zwischen dem BSI und der Bundesnetzagentur geteilt. Hierin spiegelt sich die Rolle der jeweiligen Behörde im Rahmen der jeweiligen Pflicht wider. Kommt dem BSI aufgrund des von der Bundesnetzagentur zu erlassenden bzw. erlassenen Kataloges von Sicherheitsanforderungen bei der Sicherungspflicht nur eine nachrangige Bedeutung zu, ist dieses Verhältnis bzgl. der Meldepflicht umgekehrt. Infolgedessen sanktioniert die Bundesnetzagentur nach § 95 Abs. 1 Nr. 2a EnWG Verstöße gegen den Katalog von Sicherheitsanforderungen, während das BSI nach § 95 Abs. 1 Nr. 2b EnWG für solche gegen die Meldepflicht zuständig ist.
592 Vgl.
410.
Guckelberger, DVBl. 2015, S. 1213, 1222; Köhler, EnWZ 2015, S. 407,
593 Für die Umsetzung der Art. 14 f. RL (EU) 2016 / 1148 ist dies jedoch unschädlich, da Genehmigungsinhaber nach § 7 AtG keine wesentlichen Dienste i. S. v. Anhang II Nr. 1 a) RL (EU) 2016 / 1148 betreiben.
352
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Auffällig ist, dass die Sanktionsbefugnis des § 95 Abs. 1 Nr. 2b EnWG über das allgemeine Pendant des § 14 Abs. 1 Nr. 4 BSIG hinausreicht. Sie erfasst IT-Sicherheitsvorfälle mit tatsächlichen oder potentiellen Auswirkungen auf die jeweilige Anlage. Es wird auf den gesamten § 11 Abs. 1c EnWG verwiesen. 5. Charakteristika der Regulierung der IT-Sicherheit im Energiesektor Die Maßnahmen zur Erhöhung und Gewährleistung der IT-Sicherheit sind im Bereich des Energiesektors durch einen im Vergleich zu § 8a BSIG zurückgenommenen Raum der Selbstregulierung der Betreiber geprägt. Der Bundesnetzagentur kommen als zuständiger Fachregulierungsbehörde die Überprüfungsbefugnisse zu. Ebenfalls erlässt es den IT-Sicherheitskatalog, der die Sicherungspflicht ausgestaltet. Durch die Rolle der Bundesnetzagentur als Fachregulierungsbehörde schrumpft die Bedeutung des BSI auf Ebene der Sicherheitspflicht erheblich. Lediglich die Ausarbeitung des IT-Sicherheitskataloges erfolgt im Benehmen mit dem BSI. Anstelle einer Nachweispflicht594 existiert eine Überprüfungsbefugnis der Bundesnetzagentur. Meldepflichten bestehen im Energiesektor für Energieversorgungsnetz- und Energieanlagenbetreiber und für Genehmigungsinhaber nach §§ 6, 7, 9 AtG. Beide Meldepflichten ähneln ihrer Struktur nach derjenigen des § 8b Abs. 4 BSIG und unterscheiden sich mit Ausnahme der Ausrichtung des § 44b AtG auf die nukleare Sicherheit nur in geringem Maße. II. TKG Die besonderen Pflichten für den Telekommunikationssektor ähneln denjenigen der §§ 8a f. BSIG ebenfalls. Zu einem erheblichen Teil bildeten sie in ihrer alten Fassung bereits das spezialgesetzliche Vorbild für die in einer allgemeinen Form im BSIG normierten Pflichten. Die öffentlichen Telekommunikationsnetze und öffentlich zugänglichen Telekommunikationsdienste unterliegen nur einer sehr eingeschränkten unionsrechtlichen Determinierung, die im Rahmen der Auslegung der Pflichten zu berücksichtigen ist. Sie beschränkt sich auf die digitale Infrastruktur.595 594 Eine Eigenkontrolle der Betreiber bezüglich der Einhaltung der Sicherungspflicht ist im Rahmen des ISMS nur rudimentär mit dem „Plan-Do-Check-Act-Modell“ angelegt, siehe hierzu § 7 B. I. 1. b) aa). 595 Vgl. § 6 B. II. Obwohl das Telekommunikationsnetz nach Art. 4 Nr. 1 lit. a RL (EU) 2016 / 1148 als elektronisches Kommunikationsnetz Teil der Netz- und Informationssysteme ist, sind die Vorgaben zur IT-Sicherheit nicht zwangsläufig umfassend auf dieses anwendbar. Denn diese wenden sich nur an die Betreiber wesentlicher Dienste. Zwar mag das Telekommunikationsnetz als Netz- und Informationssystem
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit353
1. Die Sicherungspflicht Die Sicherungspflicht für öffentliche Telekommunikationsnetze und öffentlich zugängliche Telekommunikationsdienste in § 109 Abs. 2 TKG bestand bereits vor dem IT-Sicherheitsgesetz und wurde nur abgeändert.596 a) Vorgaben des § 109 Abs. 2 TKG Der Kern der Regelungen zur Sicherung der „Telekommunikations- und Datenverarbeitungssysteme“, wie in S. 1 die IT-Systeme in veralteter Begrifflichkeit benannt werden,597 wurde nicht angetastet. Diese IT-Systeme,598 die dem Betrieb der Telekommunikationsnetze und -dienste dienen, sind durch angemessene599 technische Vorkehrungen und sonstige Maßnahmen zu sichern. Unter den sonstigen Maßnahmen sind insbesondere solche organisatorischer Art zu verstehen.600 Abweichend von § 8a Abs. 1 S. 1 BSIG richten sich die Maßnahmen nicht explizit gegen die Vermeidung von Störungen der IT-Sicherheit der für den Infrastrukturbetrieb notwendigen IT. Sie zielen stattdessen auf den Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen und -diensten führen (Nr. 1), sowie auf die Beherrschung der Risiken für die Sicherheit von Telekommunika tionsnetzen und -diensten (Nr. 2). Damit werden nicht nur Störungen der IT-Sicherheit erfasst, sondern umfassend sämtliche unmittelbaren oder mittelbaren Ursachen mit Auswirkungen auf den Infrastrukturbetrieb601 sowie möglicherweise sogar einem anderen wesentlichen Dienst zuzurechnen sein. Jedoch betreibt der Betreiber des anderen wesentlichen Dienstes das Telekommunikationsnetz nicht. 596 Eckhardt, ZD 2014, S. 599, 604. 597 Liedtke, Die Entwicklung der IT-Sicherheit aus dem Blickwinkel der Telekommunikationsbranche, in: Möstl / Wolff, IT-Sicherheit als Herausforderung für Wirtschaft und Staat, S. 47, 50. 598 Wegen der Bezeichnung als Telekommunikations- und elektronische Datenverarbeitungssysteme werden nur IT-Systeme erfasst. In der Regel wird jedoch sämtliche notwendige IT eine entsprechende Vernetzung aufweisen und kann als IT-System eingeordnet werden. Vgl. hierzu bereits den parallelen Wortlaut im Rahmen des § 11 Abs. 1c EnWG, § 7 B. I. 1. a). 599 Der Angemessenheitsmaßstab wird in § 109 Abs. 2 S. 5 TKG so bestimmt, dass der wirtschaftliche und technische Aufwand nicht außer Verhältnis zur Bedeutung der Telekommunikationsnetze oder -dienste stehen darf. Dies entspricht demjenigen des § 8a Abs. 1 S. 3 BSIG, da sich die Bedeutung über die Ausfall- bzw. Beeinträchtigungsfolgen bemisst. 600 Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 19. 601 Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 42.
354
Teil 3: Die normative Gewährleistung der IT-Sicherheit
sämtliche Risiken für die Sicherheit dieser Infrastruktur.602 Über § 109 Abs. 2 S. 2 TKG soll nicht nur die Infrastruktur selbst geschützt werden, sondern es sollen auch Auswirkungen für Nutzer oder für zusammengeschaltete Netze so gering wie möglich gehalten werden.603 Mit der Sicherungspflicht werden sämtliche Ursachen abgedeckt, die Auswirkungen auf die Telekommunikationsinfrastruktur oder Dritte haben können. Obwohl die Maßnahmen nicht explizit auf die Gewährleistung der IT-Sicherheit gerichtet sind,604 erfassen sie diese doch. Denn Objekt der Maßnahmen sind IT-Systeme, womit zugleich die Gewährleistung ihrer IT-Sicherheit605 als Voraussetzung für den Schutz vor Störungen der Telekommunikationsnetze und -dienste sowie der Beherrschung der Risiken für Telekommunikationsnetze und -dienste benannt wird. Bei den Sicherungsmaßnahmen ist der Stand der Technik zu berücksichtigen. Dies stellt eine Absenkung des Niveaus im Vergleich zu § 8a Abs. 1 S. 2 BSIG dar, wonach dieser eingehalten werden soll. Angesichts der zentralen Bedeutung der Telekommunika tionsnetze und -dienste ist dieses abgesenkte IT-Sicherheitsniveau nicht verständlich. Um die IT-Sicherheit wirksam zu gewährleisten, hätte es hier ebenfalls einer grundsätzlichen Pflicht zur Einhaltung des Standes der Technik bedurft. Trotz ihres teils abweichenden Wortlautes entspricht die Sicherungspflicht des § 109 Abs. 2 TKG in ihrer dogmatischen Struktur derjenigen des § 8a Abs. 1 BSIG. Eine mit der Sicherungspflicht verbundene Nachweispflicht der Betreiber existiert, wie schon im Energiesektor, nicht. Stattdessen ist die Bundesnetzagentur als zuständige Fachregulierungsbehörde befugt, die Umsetzung des Sicherheitskonzepts zu überprüfen, wobei ein zweijähriger Turnus eingehalten werden soll.606
602 Vgl. den § 109 Abs. 2 S. 1 TKG konkretisierenden § 109 Abs. 2 S. 4 TKG, wonach „Maßnahmen zu treffen [sind], um den ordnungsgemäßen Betrieb seiner Netze zu gewährleisten und dadurch die fortlaufende Verfügbarkeit der über diese Netze erbrachten Dienste sicherzustellen“. 603 Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 22 f., der den Schutz Dritter bereits in § 109 Abs. 2 S. 1 Nr. 2 TKG verankert sieht. 604 Eckhardt, ZD 2014, S. 599, 604. 605 Vgl. BT-Drs. 18 / 4096, S. 35. 606 § 109 Abs. 4 S. 7, 8 TKG.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit355
b) Sicherheitsbeauftragter, Sicherheitskonzept und Sicherheitskatalog Über § 109 Abs. 4 TKG werden die zu treffenden Sicherungsmaßnahmen dahingehend konkretisiert, dass ein Sicherheitsbeauftragter benannt und ein Sicherheitskonzept607 erstellt werden muss. Der Sicherheitsbeauftragte ist mit dem betrieblichen Datenschutzbeauftragten nicht zu vergleichen,608 da weder fachliche, persönliche noch institutionelle Anforderungen gesetzlich vorgegeben werden.609 Dem Sinn und Zweck nach muss er jedoch eine ausreichende fachliche Eignung aufweisen610 und kann im Rahmen der Meldepflicht zugleich die Rolle einer Kontaktstelle einnehmen. Seine Aufgaben werden in § 109 Abs. 4 S. 1 TKG indes nicht festgelegt oder eingegrenzt.611 Im Sicherheitskonzept müssen das betriebene öffentliche Telekommunikationsnetz bzw. die erbrachten öffentlich zugänglichen Telekommunikationsdienste bezeichnet, von welchen Gefährdungen auszugehen ist, benannt und getroffene und geplante technische und sonstige Vorkehrungen nach § 109 Abs. 1, 2 TKG aufgeführt werden. Es basiert auf einem nach § 109 Abs. 6 TKG von der Bundesnetzagentur im Einvernehmen mit dem BSI erstellten Sicherheitskatalog.612 Dieser Katalog ist mit demjenigen des § 11 Abs. 1a, b EnWG insofern vergleichbar, als in ihm abstrakte Anforderungen zum sicheren Betrieb von IT-Systemen sowie darüber hinaus für die Verarbeitung personenbezogener Daten enthalten sind.613 Abweichend von § 11 Abs. 1a, b EnWG und von den branchenspezifischen Sicherheitsstandards folgt aus der Einhaltung des Katalogs von Sicherheitsanforderungen weder die gesetzliche Fiktion, dass die Sicherungspflicht nach § 109 Abs. 2 TKG erfüllt wurde, 607 Vgl. zu den Anforderungen an das Sicherheitskonzept Bundesnetzagentur, Amtsblatt der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 2016, S. 247, 262 ff. 608 Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 52. 609 Zur fehlenden Konkretisierung Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 31. 610 Vgl. Bock, in: Geppert / Piepenbrock / Schütz u. a., Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 42 f. 611 Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 52; Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 31. 612 Bundesnetzagentur, Amtsblatt der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 2016, S. 247 ff. 613 Vgl. zu Sicherheitsanforderungen zum Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von Telekommunikationsnetzen oder Diensten führen Bundesnetzagentur, Amtsblatt der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 2016, S. 247, 290 ff.
356
Teil 3: Die normative Gewährleistung der IT-Sicherheit
noch eine entsprechende Selbstbindungswirkung der Bundesnetzagentur als zuständiger Aufsichtsbehörde.614 Damit kommt dem Baustein des Sicherheitskataloges nach § 109 Abs. 6 TKG im Vergleich zu denjenigen nach § 11 Abs. 1a, b EnWG und den branchenspezifischen Sicherheitsstandards nur eine stark reduzierte Bedeutung zu. Zwar wird er von der Bundesnetzagentur ausgearbeitet, jedoch werden hieran keine Rechtsfolgen geknüpft.615 Er bildet lediglich die Grundlage für das Sicherheitskonzept und ist als Leitlinie zu sehen, von der abgewichen werden kann. Da er keine Rechtswirkungen zeitigt,616 kann er nicht als Rechtsnorm qualifiziert werden. Er stellt stattdessen eine rechtlich unverbindliche Handreichung dar. Das Sicherheitskonzept nach § 109 Abs. 4 TKG ist in seiner Funktion nicht mit den branchenspezifischen Sicherheitsstandards vergleichbar. Es erscheint vielmehr als Instrument, das dazu dienen kann, die Sicherungsvorgaben nach § 109 Abs. 2 und 1 TKG strukturiert umzusetzen.617 Ihm kommen keinerlei öffentlich-rechtliche Rechtswirkungen zu, da es von den Betreibern als Private ausgearbeitet und anders als die branchenspezifischen Sicherheitsstandards nicht durch einen Legitimationsakt mit Rechtswirkungen ausgestattet wird. Es erleichtert nur der Bundesnetzagentur die Kontrolltätigkeit.618 c) Dogmatische Bausteine Die Sicherungspflicht des § 109 Abs. 2 TKG kann anhand einiger prägender dogmatischen Bausteine charakterisiert werden. Sie fordert angemessene organisatorische und technische Maßnahmen nach dem Stand der Technik und kennt damit ebenfalls die Grundbausteine der weiteren Sicherungspflichten. Diese richten sich jedoch nicht gegen Störungen der IT-Sicherheit sondern allgemein gegen Störungen und Beherrschung der Risiken der Sicherheit. Dadurch wird der Baustein der organisatorischen und technischen Maßnahmen geweitet. 614 Vgl. Pokutnev / Schmid, CR 2012, S. 360, 363, die dem Katalog keine recht liche Verbindlichkeit zubilligen. 615 Hierdurch unterscheidet sich der Katalog an Sicherheitsanforderungen nach § 109 Abs. 6 TKG von denjenigen nach § 11 Abs. 1a, b EnWG. An diese werden über die Fiktionswirkung Rechtsfolgen geknüpft. 616 Pokutnev / Schmid, CR 2012, S. 360, 363; vgl. zum vergleichbaren Katalog von Sicherheitsanforderungen nach § 87 Abs. 1 S. 3 TKG 1996 Bock, in: Geppert / Piepenbrock / Schütz u. a., Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 48. 617 Vgl. Bock, in: Geppert / Piepenbrock / Schütz u. a., Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 49. 618 Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 59; vgl. Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 37.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit357
Zwar existiert auch für diesen Bereich ein Sicherheitskatalog. Dieser ist allerdings rechtlich unverbindlich. Daneben existiert ein hierauf basierendes Sicherheitskonzept, das durch den Betreiber zu erstellen ist. Dieses strukturiert die Sicherungsvorkehrungen und erleichtert die aufsichtliche Kontrolle ihrer Umsetzung. Zusätzlich wird mit dem Sicherheitsbeauftragten ein In strument normiert, das den sonstigen Sicherungspflichten fremd ist. Es ist jedoch sehr schwach ausgestaltet, da weder Rechte noch Aufgaben eines Sicherheitsbeauftragten gesetzlich festgelegt werden. Obwohl mit dem Sicherheitskatalog und dem Sicherheitskonzept im Ansatz Instrumente bestehen, die die Sicherungsvorkehrungen konkretisieren, kommt ihnen keine mit den Sicherheitskatalogen nach § 11 Abs. 1a, b EnWG oder den branchenspezifischen Sicherheitsstandards vergleichbare Bedeutung zu. 2. Das Verhältnis von § 109 Abs. 2 TKG zum PTSG § 5 PTSG behandelt mit der Telekommunikationssicherstellungspflicht eine sich mit § 109 Abs. 2 TKG überschneidende Pflicht der Telekommunikationsdiensteanbieter, die Verfügbarkeit ihrer Dienste sicherzustellen. Zwar wird in § 5 PTSG keine Sicherungspflicht einer zur Diensteerbringung notwendigen konkreten Einrichtung in der Form beschrieben, dass dem Unternehmen Maßnahmen zum Schutz dieser vorgeschrieben werden. Stattdessen verpflichtet § 5 PTSG allgemein Telekommunikationsunternehmen ihre näher beschriebenen Dienste auf einem Mindestniveau619 aufrechtzuerhalten und zu gewährleisten, sodass diese erbracht werden können. Diese Sicherungspflicht umfasst auch die IT-Sicherheit der notwendigen IT. Insoweit besteht ein Überschneidungsbereich zur Sicherungspflicht des § 109 Abs. 2 TKG,620 für den das Verhältnis der beiden Normen zu klären ist. Nach § 1 Abs. 2 PTSG soll eine Mindestversorgung im Falle von Naturkatastrophen, besonders schweren Unglücksfällen, Sabotagehandlungen, terroristischen Anschlägen, sonstigen hiermit vergleichbaren Ereignissen oder 619 Das Mindestniveau wurde nur für Datenübertragungswege mit einer Datenübertragungsrate von über 50 Mbit / s auf mindestens 50 Mbit / s festgelegt. Im Übrigen erfolgte keine weitere gesetzliche Konkretisierung des Mindestniveaus. 620 Spindler, IT-Sicherheit und kritische Infrastrukturen – Öffentlich-rechtliche und zivilrechtliche Regulierungsmodelle, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 85, 92; Arenz, Der Schutz der öffentlichen Sicherheit in Next Generation Networks am Beispiel von Internet-Telefonie-Diensten (VoIP), S. 153; von einem geringen Überschneidungsbereich ausgehend Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 11; Schommertz, in: Scheurle / Mayen / Albers, Telekommunikationsgesetz, § 109, Rdnr. 2; einen deutlichen Überschneidungsbereich annehmend Bock, in: Geppert / Piepenbrock / Schütz u. a., Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 12.
358
Teil 3: Die normative Gewährleistung der IT-Sicherheit
im Verteidigungsfall sowie im Rahmen internationaler Verpflichtungen der Bundesrepublik Deutschland gesichert werden. Dabei wird deutlich, dass § 5 PTSG einen situationsbezogenen Anwendungsbereich aufweist. In einer derartigen Situation stellt § 5 PTSG die lex specialis dar.621 Im Übrigen bleibt § 109 Abs. 2 TKG mit seinem weiteren situationsungebundenen Anwendungsbereich anwendbar.622 3. Die Meldepflicht nach § 109 Abs. 5 TKG Ähnlich wie die Sicherungspflicht existierte eine Meldepflicht623 für Telekommunikationsnetzbetreiber und Erbringer von Telekommunikationsdiensten bereits vor dem IT-Sicherheitsgesetz in § 109 Abs. 5 TKG a. F.624 Diese Meldepflicht wurde durch das IT-Sicherheitsgesetz neu gefasst und ergänzt. Obwohl der Gesetzgebungszusammenhang zu § 8b Abs. 4 BSIG besteht, weist § 109 Abs. 5 TKG in Wortwahl und Struktur Abweichungen und Besonderheiten auf. Daher soll zunächst der Wortlaut von § 109 Abs. 5 S. 1, 2 TKG betrachtet werden: „Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, hat der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik unverzüglich Beeinträchtigungen von Telekommunikationsnetzen und -diensten mitzuteilen, die 1. zu beträchtlichen Sicherheitsverletzungen führen oder 2. zu beträchtlichen Sicherheitsverletzungen führen können. Dies schließt Störungen ein, die zu einer Einschränkung der Verfügbarkeit der über diese Netze erbrachten Dienste oder einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können.“
Meldungen müssen also an das BSI und an die Bundesnetzagentur übermittelt werden. Diese doppelte Meldung wurde im Zuge der Umsetzung der 621 Spindler, IT-Sicherheit und kritische Infrastrukturen – Öffentlich-rechtliche und zivilrechtliche Regulierungsmodelle, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 85, 92; Schommertz, in: Scheurle / Mayen / Albers, Telekommunikationsgesetz, § 109, Rdnr. 2; Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 11, 44. 622 Vgl. Spindler, IT-Sicherheit und kritische Infrastrukturen – Öffentlich-recht liche und zivilrechtliche Regulierungsmodelle, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 85, 92; eine ergänzende Regelung zu den inzwischen aufgehobenen Verordnungen TKSiV und PTZSV aufgrund des PTSG a. F. in § 109 Abs. 2 TKG sehend Arenz, Der Schutz der öffentlichen Sicherheit in Next Generation Networks am Beispiel von Internet-Telefonie-Diensten (VoIP), S. 154 f. 623 Zwar spricht § 109 Abs. 5 S. 1 TKG anstatt von „zu melden“ von „mitzuteilen“, jedoch sind beide Begriffe synonym zu verstehen, weshalb auch die Pflicht aus § 109 Abs. 5 TKG als Meldepflicht bezeichnet werden kann. 624 § 109 Abs. 5 TKG in der Fassung vom 10. Mai 2012.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit359
RL (EU) 2016 / 1148 ergänzt. Ursprünglich waren Meldungen nur an die Bundesnetzagentur zu richten, die diese dann an das BSI weitergeleitet hat.625 Im Übrigen scheint S. 1, insbesondere mit seiner zweistufigen Struktur und den Nummern, die tatsächliche oder potentielle Folgen erfassen, § 8b Abs. 4 S. 1 BSIG entnommen zu sein. Betrachtet man die Norm im Detail, fällt auf, dass die Meldepflicht an einer Vertauschung des Ursache-Wirkung Zusammenhangs leiden würde, wenn man die „Beeinträchtigungen von Telekommunikationsnetzen und -diensten“ als „Beeinträchtigung der Funktionsfähigkeit der (…) Kritischen Infrastrukturen“ i. S. v. § 8b Abs. 4 S. 1 BSIG versteht sowie der „Sicherheitsverletzung“ das bisherige Verständnis i. S. v. § 109 Abs. 5 TKG a. F.626 als Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit von Telekommunikationsnetzen und -diensten627 zugrunde legt.628 Demnach müsste eine gestörte Funktionsfähigkeit der Telekommunikationsnetze und -dienste zu einer Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit der Telekommunikationsnetze und -dienste führen. Da vielmehr eine Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit der Telekommunika tionsnetze und -dienste zu einer Beeinträchtigung ihrer Funktionsfähigkeit führt und nicht umgekehrt, muss der Beeinträchtigung ein anderes Verständnis zugrunde liegen. Zu der Erkenntnis, dass die Begriffsbedeutung der „Beeinträchtigung“ unzutreffend sein muss, trägt eine Einbeziehung des § 109 Abs. 5 S. 2 TKG bei. Die Störungen in diesem Sinne beziehen sich, wie schon in § 109 Abs. 5 TKG a. F.,629 weiterhin auf die Sicherheitsverletzung. § 109 Abs. 5 S. 1, 2 TKG würde dann zu folgendem Regelungsgehalt führen: Beeinträchtigungen der Funktionsfähigkeit von Telekommunikationsnetzen und -diensten, die zu Einschränkungen der Verfügbarkeit der über diese Netze erbrachten Dienste (also Beeinträchtigungen der Funktionsfähigkeit) führen können, sind zu melden. Dies ist ein Zirkelschluss. Für ein abweichendes Verständnis der Beeinträchtigung findet sich in der Gesetzesbegründung ein Anhaltspunkt. So sind „bekannt gewordene Vorfälle zu melden, die zu beträchtlichen Sicherheitsverletzungen (…) führen können (Nummer 2)“.630 Damit wird deutlich, dass unter einer Beeinträchtigung der Telekommunikationsnetze und -dienste allgemein ein Vorfall zu verstehen 625 § 109
Abs. 5 S. 5 TKG in der Fassung vom 25. Juli 2015. Abs. 5 TKG in der Fassung vom 10. Mai 2012. 627 Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 43. 628 Vgl. Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 47b. 629 In § 109 Abs. 5 TKG in der Fassung vom 10. Mai 2012 war von einer „Sicherheitsverletzung einschließlich Störungen von Telekommunikationsnetzen oder -diensten“ die Rede. 630 BT-Drs. 18 / 4096, S. 36. 626 § 109
360
Teil 3: Die normative Gewährleistung der IT-Sicherheit
ist. Dies schließt IT-Sicherheitsvorfälle ein.631 Doch dürften aufgrund der Sicherungspflicht in § 109 Abs. 2 TKG und der erheblichen Bedeutung der IT beim Betrieb von Telekommunikationsnetzen und der Erbringung von Telekommunikationsdiensten in der Regel IT-Sicherheitsvorfälle632 die Meldepflicht auslösen. Im Rahmen des § 109 Abs. 5 S. 1 TKG bleibt bei der Sicherheitsverletzung jedoch unklar, wessen Verfügbarkeit, Integrität und Vertraulichkeit beeinträchtigt werden muss. Das Bezugsobjekt wird erst in § 109 Abs. 5 S. 2 TKG benannt. Insofern hat § 109 Abs. 5 S. 1 TKG keinen eigenständigen Regelungsgehalt, sondern bedarf immer einer Zusammenschau mit S. 2. Außerdem wird die Sicherheitsverletzung durch die eingeschlossenen beiden Störungstypen konkretisiert.633 Damit ergibt sich für ITSicherheitsvorfälle eine Meldepflicht, die zu einer beträchtlichen Einschränkung der Verfügbarkeit von Telekommunikationsdiensten, § 109 Abs. 5 S. 1, 2 Hs. 1 TKG, sowie zu beträchtlichen unerlaubten Zugriffen auf IT-Systeme der Nutzer führen oder führen können, § 109 Abs. 5, S. 1, 2 Hs. 2 TKG.634 Ähnlich wie bei § 44b AtG bedarf es zwar keines erheblichen Sicherheitsvorfalles.635 Im TKG lösen aber nur beträchtliche Folgen die Meldepflicht aus. Diese Schwelle, die die Auswirkungen überschreiten müssen, ist bereits aus § 8b Abs. 4 S. 1 BSIG bekannt.636 Die Beträchtlichkeitsschwelle ist überschritten, wenn eine nicht zu vernachlässigende Zahl an Telekommunika tionsdienstenutzern bzw. deren IT-Systeme betroffen sind. Hierbei kommt den Unternehmen ein mit der „erheblichen Beeinträchtigung“637 i. S. v. § 8b Abs. 4 BSIG vergleichbarer Einschätzungsspielraum zu.638 Fraglich ist allerdings, wann diese Beträchtlichkeitsschwelle überschritten ist.639 Jedenfalls 631 Liedtke, Die Entwicklung der IT-Sicherheit aus dem Blickwinkel der Telekommunikationsbranche, in: Möstl / Wolff, IT-Sicherheit als Herausforderung für Wirtschaft und Staat, S. 47, 55. 632 Denn IT-Sicherheitsvorfälle sind denkbar weit zu verstehen und sämtliche Ereignisse, die sich auf die Verfügbarkeit, Integrität, Unversehrtheit und Vertraulichkeit von Informationen in der IT auswirken. 633 Vgl. Hornung, BT / InnenA-Drs. 18(4)284 G, S. 12. 634 Zur Ausweitung der Meldepflicht im Vergleich zu § 109 Abs. 5 TKG in der Fassung vom 10. Mai 2012 Roos, MMR 2014, S. 723, 727. 635 Anders bei § 8b Abs. 4 S. 1 BSIG. 636 Siehe hierzu § 7 A. III. 1. a) bb); sie entspricht der Erheblichkeitsschwelle. 637 Diese nicht auf Ursachen, sondern auf Folgenseite begrenzende Schwelle ist kritisch zu sehen, da sie den Zweck der Wissensgenerierung über die IT-Sicherheitslage partiell unterläuft. Sie ist den Pflichten zur IT-Sicherheit aber auch nicht wesensfremd, da diese nicht Selbstzweck sind, sondern das Ziel der Versorgung der Bevölkerung mit kritischen Infrastrukturdienstleistungen verfolgen. 638 Dies kritisierend Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 47b. 639 Die fehlende quantitative Schwelle kritisierend Selk / Gierschmann, CR 2015, S. 273, 276.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit361
soll sie überschritten sein, wenn weniger als 50 % der Dienstleistungen der Schwelle i. S. d. BSI-KritisV erbracht werden können.640 Nach anderer Ansicht soll sie überschritten sein, wenn der Grenzwert von drei Mio. betroffenen Nutzerstunden erreicht ist.641 Zur Ermittlung ob eine beträchtliche Auswirkung vorliegt, kann auf die der lex generalis des § 8b Abs. 4 BSIG zugrundeliegenden Kriterien des Art. 14 Abs. 4 RL (EU) 2016 / 1148 zurückgegriffen werden. So ist durch Auslegung im Einzelfall eine zu einer hinreichenden Bestimmtheit führende Konkretisierung möglich.642 Darüber hinaus erfasst die telekommunikationsrechtliche Meldepflicht anders als § 8b Abs. 4 BSIG neben der Beeinträchtigung der Verfügbarkeit der Telekommunikationsdienste auch Sicherheitsverletzungen der IT-Systeme der Nutzer. Zweck dieser erweiterten Meldepflicht ist die Akkumulation von Wissen über Gefahrenpotentiale für die Telekommunikationsnetze und ihre -dienste als Kritische Infrastrukturen sowie bezüglich der Funktionsfähigkeit und Verlässlichkeit der IT der Nutzer.643 Insofern tragen die Meldepflicht und die Sicherungspflicht nicht nur dem Schutz der IT-Sicherheit der Kritischen Telekommunikationsinfrastruktur, sondern auch der Bürger Rechnung.644 Die inhaltlichen Anforderungen an die Meldepflicht entsprechen denjenigen des Energiesektors, wobei wie bei § 44b AtG keine pseudonyme Meldung möglich ist.645 Über § 8b Abs. 4 BSIG und die bereits dargestellten speziellen Meldepflichten hinausgehend kann die Bundesnetzagentur einen Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen verlangen.646 Betrachtet man die Meldepflicht des § 109 Abs. 5 TKG vor dem Hintergrund einer Angleichung für sämtliche Kritische Infrastrukturen, ist diese als missglückt zu qualifizieren. Die teilweise Anpassung der Normstruktur an § 8b Abs. 4 BSIG und der Versuch, diese bei möglichst weitgehender Beibehaltung der bisherigen Terminologie in die bereits bestehende Meldepflicht 640 https: / / www.bsi.bund.de / DE / Themen / Industrie_KRITIS / KRITIS / IT-SiG / Neuregelungen_KRITIS / Meldepflicht / meldepflicht_node.html (besucht am 12.06. 2018). 641 Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 43. 642 Vgl. Dekker / Karsberg, Technical Guideline on Incident Reporting, S. 5 f.; vgl. Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109 TKG, Rdnr. 72; vgl. Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109, Rdnr. 43. 643 BT-Drs. 18 / 4096, S. 36; Roos, MMR 2014, S. 723, 727. 644 Vgl. BT-Drs. 18 / 4096, S. 2. 645 § 109 Abs. 5 S. 3 TKG; das Fehlen der pseudonymen Meldung kritisierend Hornung, BT / InnenA-Drs. 18(4)284 G, S. 12; Hornung, NJW 2015, S. 3334, 3337. 646 § 109 Abs. 5 S. 4 TKG.
362
Teil 3: Die normative Gewährleistung der IT-Sicherheit
zu implementieren, erschwert das Verständnis der Norm erheblich.647 Stattdessen wäre eine vollständige Anpassung an die Terminologie des § 8b Abs. 4 BSIG wünschenswert gewesen und hätte zur Normklarheit beigetragen. Die Meldepflicht für Auswirkungen auf die Nutzer-IT hätte entsprechend der Struktur des § 8b Abs. 4 BSIG mitaufgenommen werden können. Zwar normiert § 109 Abs. 5 TKG die Pflicht zur Meldung über eine Kontaktstelle nicht ausdrücklich. Da § 8b Abs. 3 BSIG aber für Betreiber Kritischer Infrastrukturen i. S. d. BSI-KritisV greift, müssen diese dennoch eine Kontaktstelle einrichten. Über diese sind dann die Meldungen an das BSI abzusetzen. Die Meldepflicht nach § 109 Abs. 5 TKG weicht zwar in ihrem Wortlaut erheblich von den sonstigen Meldepflichten ab. Sie basiert nichtsdestotrotz auf den gleichen dogmatischen Grundbausteinen. Es müssen (IT-)Sicherheitsvorfälle gemeldet werden, die erhebliche Auswirkungen auf die Funk tionsfähigkeit der Infrastruktur haben. Zusätzlich werden Zugriffe auf ITSysteme der Nutzer erfasst. Obwohl zwischen tatsächlichen und potentiellen Auswirkungen unterschieden wird, knüpft hieran keine Differenzierung zwischen namentlicher und pseudonymer Meldung an. Die Möglichkeit einer pseudonymen Meldung existiert nicht. 4. Sanktionen Die Sicherungspflicht kann, anders als die Meldepflicht nicht mit einem Bußgeld sanktioniert werden. Ein Bußgeld für einen Verstoß gegen § 109 Abs. 2 TKG fehlt im Ordnungswidrigkeitenkanon der § 149 Abs. 1 Nr. 21 ff. TKG. Lediglich wenn ein Sicherheitskonzept nicht oder nicht rechtzeitig vorgelegt wird, stellt dies nach § 149 Abs. 1 Nr. 21 TKG eine Ordnungswidrigkeit dar. Die Durchsetzung der Sicherungspflicht des § 109 Abs. 2 TKG selbst wird nach § 115 Abs. 2 Nr. 2 TKG allein über die Möglichkeit der Verhängung eines Zwangsgeldes i. H. v. bis zu 100.000 € sichergestellt. Dies genügt für eine unionskonforme Umsetzung von Art. 21 RL (EU) 2016 / 1148, der wirksame, angemessene und abschreckende Sanktionen fordert.648 Ein Verstoß gegen die Meldepflicht nach § 109 Abs. 5 S. 1 Nr. 1 TKG ist hingegen nach § 149 Abs. 1 Nr. 21a TKG bußgeldbewehrt. Parallel zu § 14 Abs. 1 Nr. 4 BSIG a. F. verwirklicht nur ein Verstoß gegen die Meldepflicht bei tatsächlichen Auswirkungen, § 109 Abs. 5 S. 1 Nr. 1 TKG, jedoch nicht bei potentiellen den Ordnungswidrigkeitentatbestand des § 149 Abs. 1 Nr. 21a TKG. 647 Vgl.
S. 12.
zur „Sicherheitsverletzung“ Hornung, BT / InnenA-Drs. 18(4)284 G,
648 A. A. ohne expliziten Bezug zum TKG Gehrmann, IT-Sicherheit in Unternehmen, in: Taeger, Smart World – Smart Law?, S. 263, 277.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit363
5. Abgrenzung zu datenschutzrechtlichen Benachrichtigungspflichten des § 109a TKG Die Meldepflicht des § 109 Abs. 5 TKG muss von § 109a TKG abgegrenzt werden. § 109a TKG enthält mehrere Benachrichtigungspflichten an verschiedene Adressaten, die zunächst darzustellen sind. Bei einer Verletzung des Schutzes personenbezogener Daten sind von den Erbringern der Telekommunikationsdienste unverzüglich die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz und die Informa tionsfreiheit zu benachrichtigen, § 109a Abs. 1 S. 1 TKG. Sofern anzunehmen ist, dass Teilnehmer der Telekommunikationsdienste oder andere Personen schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtigt werden, sind auch diese zu benachrichtigen. Dies ist nicht nötig, wenn das Sicherheitskonzept der Erbringer geeignete technische Sicherungsmaßnahmen vorsieht, § 109a Abs. 1 S. 2, 3 TKG. Diese Pflichten bestanden bereits nach der bisherigen Gesetzeslage. Mit dem IT-Sicherheitsgesetz wurde zusätzlich eine Pflicht der Diensteanbieter neu eingeführt, die Nutzer, soweit sie bekannt sind, unverzüglich zu benachrichtigen, wenn dem Diensteanbieter eine von den IT-Systemen des Nutzers ausgehende Verletzung des Schutzes personenbezogener Daten bekannt wird.649 Dabei ist der Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinzuweisen, mit denen die Verletzung erkannt und beseitigt werden kann, § 109 Abs. 4 TKG. Es wird deutlich, dass die Benachrichtigungspflichten des § 109a TKG speziell auf Verletzungen des Schutzes personenbezogener Daten ausgerichtet sind und eine lex specialis zu § 42a BDSG darstellen.650 Auch bei einem (IT-Sicherheits-)Vorfall, sofern hierdurch personenbezogene Daten betroffen sind, können sowohl § 109 Abs. 5 TKG wie auch § 109a TKG tatbestandlich einschlägig sein. § 109a TKG stellt insofern keine verdrängende lex specialis dar.651 Denn § 109a TKG dient der Transparenz von Verletzungen des Schutzes personenbezogener Daten,652 wohingegen § 109 Abs. 5 TKG zu einer Wissensakkumulation über Vorfälle bei der Bundesnetzagentur bzw. beim BSI beiträgt. 649 Die Gesetzesbegründung geht hier von einer Verletzung der IT-Sicherheit aus. BT-Drs. 18 / 4096, S. 36. 650 Vgl. Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109a TKG, Rdnr. 13; Jenny, BDSG / DSGVO, § 109a TKG, Rdnr. 1. 651 Vgl. Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109a TKG, Rdnr. 15. 652 Vgl. Graulich, in: Arndt / Fetzer / Scherer u. a., TKG, § 109a TKG, Rdnr. 7; vgl. Eckhardt, in: Geppert / Schütz, Beck’scher TKG-Kommentar, § 109a TKG, Rdnr. 7; Jenny, BDSG / DSGVO, § 109a TKG, Rdnr. 2 ff.
364
Teil 3: Die normative Gewährleistung der IT-Sicherheit
6. Charakteristika der Regulierung der IT-Sicherheit im Telekommunikationssektor Die Regulierung der IT-Sicherheit im Telekommunikationssektor weicht im Gesetzeswortlaut erheblich von den entsprechenden Normen des EnWG und BSIG ab. Zwar war dieser Sektor Teil des IT-Sicherheitsgesetzes, jedoch konnte im Telekommunikationssektor weitgehend an bereits vorhandene Pflichten angeknüpft werden. Deren Regelungen wurden im Kern beibehalten und nur ergänzt. Infolgedessen sind die Sicherungspflicht sowie im besonderen Maße die Meldepflicht im Vergleich zu den anderen Pflichten zur IT-Sicherheit nur schwer verständlich. Daher wäre eine Anpassung der Wortwahl wünschenswert gewesen. Nichtsdestotrotz beruhen auch die Pflichten im Telekommunikationssektor auf den gleichen dogmatischen Bausteinen. Die Sicherungspflicht baut auf angemessenen organisatorischen und technischen Maßnahmen nach dem Stand der Technik auf. Die Meldepflicht basiert auf (IT-)Sicherheitsvorfällen, die erhebliche Auswirkungen auf den Infrastrukturbetrieb hervorrufen oder diese jedenfalls hervorrufen können. Eine Besonderheit besteht darin, dass der Schutz durch die Sicherungs- und Meldepflicht auf Auswirkungen von Sicherheitsvorfällen auf Dritte erweitert wird. Anders als in den sonstigen Bereichen existiert weder mit dem Sicherheitskatalog der Bundesnetzagentur nach § 109 Abs. 6 TKG noch mit dem Sicherheitskonzept der Betreiber nach § 109 Abs. 4 TKG ein mit den branchenspezifischen Sicherheitsstandards i. S. v. § 8a Abs. 2 BSIG oder dem Katalog von Sicherheitsanforderungen nach § 11 Abs. 1a, b EnWG vergleichbares Instrument.
C. Wesentliche dogmatische Bausteine des Pflichtenkanons Die einzelnen Pflichten des Pflichtenkanons zur Gewährleistung der ITSicherheit Kritischer Infrastrukturen setzen sich aus verschiedenen dogmatischen Bausteinen zusammen. Einzelne Bausteine finden nicht nur im Rahmen der jeweiligen Pflichtenart Anwendung, sondern sind von übergreifender Bedeutung. Daher sollen die wesentlichen dogmatischen Bausteine des Pflichtenkanons zusammengeführt werden. Sämtlichen Pflichten ist gemein, dass sie durch unbestimmte Rechtsbegriffe geprägt werden, die einzeln oder in ihrem Zusammenwirken verschiedenen Funktionen dienen. Übergreifend sind dies die Dynamisierung der IT-Sicherheitsgewährleistung und die Einbeziehung von Ressourcen Privater. In diese beiden Wirkziele werden die wesentlichen Bausteine des Pflichtenkanons eingeordnet. Eine Dynamisierung der IT-Sicherheitsgewährleistung erfolgt explizit durch den sämtlichen Sicherungspflichten immanenten Baustein des Standes
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit365
der Technik. Darüber hinaus dienen ihr die organisatorischen und technischen Maßnahmen, indem sie die konkreten Sicherungsvorkehrungen entwicklungsoffen beschreiben. Nur auf diese Weise kann neben dem (informations-) technischen Fortschritt eine dynamische Anpassung an eine veränderte Bedrohungslage der IT-Sicherheit sichergestellt werden. Daneben unterstützt die Meldepflicht als Instrument zur Generierung von Informationsflüssen eine Dynamisierung der IT-Sicherheitsgewährleistung.653 Denn sie garantiert als institutioneller Rahmen mit der Kontaktstelle, dass Veränderungen der Bedrohungslage dem BSI mitgeteilt und zentral analysiert werden. Auf dieser Analyse basierend können die Betreiber nötige Anpassungen ihrer Sicherungsvorkehrungen vornehmen.654 Damit tragen die Bausteine der Meldepflichten in Form der Störung der IT-Sicherheit, die Differenzierung zwischen tatsächlichen und potentiellen Auswirkungen und die hieran anknüpfenden Rechtsfolgen der namentlichen oder pseudonymen Meldung zu effektiven, an die jeweiligen Entwicklungen angepassten Sicherungsvorkehrungen unter Einbeziehung des BSI bei. Weitere Bausteine prägen den Pflichtenkanon durch kooperative Elemente, indem sie die Betreiber als Normadressaten auf verschiedene Weisen einbeziehen. Dies beginnt bei der Sicherungspflicht mit der eigenverantwortlichen Umsetzung der geforderten Sicherungsvorkehrungen und den branchenspezifischen Sicherheitsstandards, reicht über die Nachweispflicht als aufsicht liches Instrument der Durchsetzung der Sicherungspflicht bis hin zur Meldepflicht, die Informationsflüsse von den Betreibern hin zum BSI schafft. Hierdurch werden Ressourcen Privater für die Erfüllung der staatlichen Gewährleistungsverantwortung genutzt. Die eigenverantwortliche655 Umsetzung der Sicherungsmaßnahmen wird durch den weiten Begriff der organisatorischen und technischen Vorkehrungen ermöglicht und nur durch das Ziel der Vermeidung und Beseitigung von Störungen der IT-Sicherheit, den Angemessenheitsvorbehalt und die Einhaltung des Stands der Technik begrenzt. Nicht nur hier, sondern auch im Rahmen der Konkretisierung dieser Bausteine durch die branchenspezifischen Sicherheitsstandards trägt das Wissen und die Erfahrung der Betreiber zu einer effektiven Sicherung der IT bei.656 Die branchenspezifischen Sicherheitsstandards prägen als privat gesetztes Regelungswerk die allgemeine Sicherungspflicht durch ihre konkretisierende Wirkung. Sie sind dabei selbst durch starke kooperative Elemente beeinflusst, die sich in den Wischmeyer, Die Verwaltung 50 (2017), S. 155, 168. hierfür die Rolle des BSI als zentrale Stelle für die IT-Sicherheit § 8 A. II. 655 Vgl. zur einfachgesetzlichen Normierung einer Verantwortlichkeit der Betreiber sogleich § 7 D. 656 Vgl. Wischmeyer, Die Verwaltung 50 (2017), S. 155, 163. 653 Vgl. 654 Vgl.
366
Teil 3: Die normative Gewährleistung der IT-Sicherheit
von der Reichweite der Mitwirkung der Betreiber abhängigen Rechtsfolgen widerspiegeln. Die Sicherheitsstandards stellen jedoch eine Besonderheit dar, die im EnWG und TKG nicht existiert. Während im EnWG kein privat gesetztes Recht, sondern ein staatlicher Sicherheitskatalog konkretisierende Rechtsfolgen zeitigt, existiert im TKG nur eine rechtlich unverbindliche Leitlinie. Mit der Nachweispflicht des § 8a Abs. 3 BSIG wird die Kontrolle der Durchsetzung der Sicherungspflicht den privaten Betreibern aufgebürdet. Als aufsichtliches Instrument existiert sie allerdings nur als Teil des allgemeinen Pflichtenkanons des BSIG und wird durch eine Überprüfungsbefugnis ergänzt bzw. im EnWG und TKG durch eine solche ersetzt. Ohne die durch die Meldepflicht zentral zusammengeführten Informa tionsressourcen der einzelnen Betreiber könnte keine effektive Sicherung der IT erfolgen. Somit charakterisiert sie ein Element, das auf eine kooperative IT-Sicherheitsgewährleistung ausgelegt ist, und auch ihren Bausteinen immanent ist. Bei der Beurteilung der erheblichen Störung der IT-Sicherheit bzw. der erheblichen Beeinträchtigungen der Funktionsfähigkeit der Infrastruktur kommt ihnen ein Wertungsspielraum zu. Dadurch wird bereits von den Betreibern eine Selektion der zu meldenden Vorfälle vorgenommen.
D. Einfachgesetzliche Normierung einer privaten Verantwortlichkeit und Inpflichtnahme Mit den Pflichten zur Sicherung der IT, wird auf einfachgesetzlicher Ebene der Schutz der IT-Sicherheit den Betreibern Kritischer Infrastrukturen zugewiesen. Damit wird eine private Verantwortlichkeit der Betreiber für die ITSicherheit normiert, die auf verfassungsrechtlicher Ebene nicht existierte, für die aber an der Pflichtigkeit der Betreiber angeknüpft werden kann.657 Die Pflichtigkeit folgt begrenzt für Risiken, die aus dem Betrieb der IT selbst resultieren, aus dem Verursacherprinzip. Eine umfassende Pflichtigkeit folgt aus einer altruistisch begründeten Einschränkbarkeit grundrechtlicher Freiheit. Sie findet ihre Basis speziell für Kritische Infrastrukturen in sozialstaatlichen Gehalten, die die IT-Sicherheit erfassen. Die sozialstaatlichen Gehalte sind zum Teil in Art. 14 Abs. 2 GG für das Eigentumsgrundrecht bzw. in Artt. 87e, f GG für die Bereiche der Eisenbahn, Post und Telekommunikation besonders angelegt. Auf unionsprimärrechtlicher Ebene existiert lediglich eine allgemeine Gemeinwohlpflichtigkeit, an die angeknüpft werden konnte. Mit dem Pflichtenkanon wird diese Pflichtigkeit zu einer Verantwortlichkeit
657 Vgl.
§ 5 B. I., II. 2. b), C.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit367
der Betreiber für die Gewährleistung der IT-Sicherheit auf einfachgesetz licher Ebene ausgestaltet.658 Diese Ausgestaltung als Bereich privater Verantwortlichkeit basiert auf den ermittelten dogmatischen Bausteinen. Sie enthalten kooperative Elemente und bezwecken eine Mitwirkung der Betreiber Kritischer Infrastrukturen bei der Gewährleistung ihrer IT-Sicherheit.659 Sämtliche Pflichten richten sich auf eine Einbeziehung der Betreiber, um deren Ressourcen nutzen zu können. Auf Ebene der Umsetzung der Maßnahmen zur IT-Sicherheit Kritischer Infrastrukturen wird dafür ein Raum der Verantwortlichkeit der Betreiber normiert. Hierdurch erfüllt der Staat durch die Inpflichtnahme der Betreiber Kritischer Infrastrukturen660 einen wesentlichen Teil seiner Gewährleistungsverantwortung für die IT-Sicherheit dieser Infrastrukturen.661 Die auf Mitwirkung angelegten Bausteine des Pflichtenkanons erlauben es den Betreibern, innerhalb der gesetzlich eingeräumten Umsetzungsspielräume eigenverantwortlich zu handeln. Dass lediglich auf das Ergebnis verpflichtet wird, ist ein Grundbaustein der Gewährleistungsverwaltung.662 Der auf Inpflichtnahme der Betreiber angelegte Pflichtenkanon kann somit in die Kategorie der staatlichen Aufgabenerfüllung durch Gewährleistungsverwaltung eingeordnet werden. Mit dem Pflichtenkanon wird damit der grundrechtlich angelegte Bereich für private Beiträge zur IT-Sicherheit Kritischer Infrastrukturen von einer bloßen Pflichtigkeit zu einer Verantwortlichkeit ausgestaltet. Aufgrund dessen trifft die adressierten Betreiber eine eigene Verantwortlichkeit für die Erfüllung der Verpflichtungen zur IT-Sicherheit. Zugleich werden die Betreiber hierdurch für die staatliche Aufgabe der Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen in die Pflicht genommen.
658 Zur verfassungsrechtlichen Zulässigkeit dieser Ausgestaltung als Bereich privater Verantwortlichkeit vgl. § 9 B. 659 Siehe hierzu § 7 C.; bzgl. der Nachweispflicht Könen, DuD 2016, S. 12, 14; vgl. zur Verlagerung der Kontrollverantwortung auf Private im Rahmen der Gewährleistungsaufsicht Edelbluth, Gewährleistungsaufsicht, S. 41; vgl. Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 5, wonach der Betreiber die Verantwortung für die Erfüllung der Schutzziele durch die Sicherungsvorkehrungen trägt. 660 Vgl. allgemein zur Eigenüberwachung Burgi, Funktionale Privatisierung und Verwaltungshilfe, S. 92 f.; vgl. Manssen, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 12 GG, Rdnr. 202. 661 Siehe zur staatlichen Gewährleistungsverantwortung für Kritische Infrastrukturen § 4 B. 662 Vgl. Voßkuhle, VVDStRL 62 (2003), S. 268, 311.
368
Teil 3: Die normative Gewährleistung der IT-Sicherheit
E. Wirksamkeit und Einheitlichkeit der Pflichten? Vor dem Hintergrund des Zieles, mit den dargestellten Pflichten Defizite im Bereich der IT-Sicherheit abzubauen, muss untersucht werden, ob hierdurch tatsächlich eine Erhöhung und Vereinheitlichung663 des IT-Sicherheitsniveaus zu erwarten ist. I. Wirksamkeit Zur Beurteilung der Wirksamkeit kann bisher nicht auf belastbares Erfahrungswissen, wie auf Erhebungen zu erfolgreichen IT-Angriffen oder Ausfallzeiten der Kritischen Infrastrukturen infolge von IT-Sicherheitsvorfällen, zurückgegriffen werden. Für weite Teile der Kritischen Infrastrukturen läuft derzeit die Umsetzungsfrist noch.664 Daher kann die Wirksamkeit der Pflichten nur strukturell am Ziel der Erhöhung der IT-Sicherheit gemessen werden. 1. Sicherungspflichten und ihre Durchsetzungsmechanismen Einer wirksamen Sicherung der IT durch die Sicherungspflicht könnten die unbestimmten Rechtsbegriffe entgegenstehen. Die wesentlichen Begrifflichkeiten der organisatorischen und technischen Maßnahmen,665 der Vorbehalt der Angemessenheit666 sowie die Pflicht, dass der Stand der Technik eingehalten werden soll oder berücksichtigt wird,667 bedürfen einer inhaltlichen Ausfüllung durch Auslegung. Doch erschwert oder verhindert diese Konkretisierungsbedürftigkeit, die in einem Spannungsfeld zur Rechtssicherheit steht, aber rechtsstaatlich nicht zu beanstanden ist, keine wirksame Sicherung der IT, sondern ermöglicht diese gerade.668 Angesichts der sich ständig wandelnden IT-Sicherheitslage, müssen die Maßnahmen zur Sicherung der IT anpassungsfähig sein. Würde der Gesetzgeber konkrete Maßnahmen vorschreiben, wären diese zwangsläufig nach 663 Siehe
hierzu unten § 7 E. II. bzgl. der Meldepflicht BSI, Die Lage der IT-Sicherheit in Deutschland 2016, S. 41. 665 § 8a Abs. 1 S. 1 BSIG; leicht abweichend § 109 Abs. 2 S. 1 TKG; noch allgemeiner § 11 Abs. 1a, b EnWG mit dem „Schutz gegen Bedrohungen für Telekommunikations- und Datenverarbeitungssysteme“. 666 § 8a Abs. 1 S. 1 BSIG; § 11 Abs. 1a, b EnWG; § 109 Abs. 2 S. 1 TKG. 667 § 8a Abs. 1 S. 2 BSIG; § 109 Abs. 2 S. 3 TKG; bei § 11 Abs. 1a, b EnWG wird der Stand der Technik nicht einfachgesetzlich, sondern über den Sicherheitskatalog normiert. 668 Vgl. zur Nutzung der Ressourcen der privaten Betreiber zu einer effektiven Sicherung der IT § 7 C. 664 Vgl.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit369
kurzer Zeit wegen des technischen Fortschritts und einer gewandelten Bedrohungslage veraltet. Damit können konkret normierte Maßnahmen keinen wirksamen Schutz der IT-Sicherheit gewährleisten. Stattdessen ist eine abstrakte Normierung der geforderten Maßnahmen nötig, um mit einem statischen Gesetz der sich dynamisch ändernden IT-Sicherheitslage und fortentwickelnden Technik entgegentreten zu können. Der Notwendigkeit, dass die getroffenen Maßnahmen an diese Dynamik angepasst werden, trägt der dogmatische Baustein des Stands der Technik und das weite Begriffspaar der organisatorischen und technischen Vorkehrungen Rechnung. Der Angemessenheitsvorbehalt bildet eine individuelle Grenze der erforderlichen Sicherungsmaßnahmen und steht im Verhältnis zum Ziel der Erhöhung der IT- Sicherheit in einem Spannungsverhältnis. Dass hierdurch die Erhöhung der IT-Sicherheit unterlaufen wird, verhindert der Gesetzgeber durch eine Konkretisierung dieser Grenze. Sie ist erst dann überschritten, wenn der Aufwand zum Risiko eines durch eine Verletzung der IT-Sicherheit bedingten Infrastrukturausfalles außer Verhältnis steht.669 Damit ist im Grundsatz von einer Angemessenheit der Sicherungsmaßnahmen auszugehen. Um die unbestimmten Rechtsbegriffe für eine wirksame Verpflichtung zur Sicherung der IT auszufüllen, wurden mit dem branchenspezifischen Sicherheitsstandard bzw. den Sicherheitskatalogen im Energie- und Telekommunikationssektor Konkretisierungsmöglichkeiten geschaffen.670 Zwar sind diese statisch und stehen in Konflikt zur dynamisierten Gewährleistung der IT- Sicherheit. Doch tragen sie der Rechtssicherheit Rechnung und schaffen einen angemessenen Ausgleich. Denn den Verpflichteten wird eine Konkretisierung zur Hand gegeben, die jederzeit an die gewandelten Umstände angepasst werden kann,671 ihre Rechtswirkung bei Veränderungen verliert,672 oder nur eine unverbindliche Leitlinie ist.673 Damit ist die Sicherungspflicht mit ihrer der Einbeziehung der Betreiber und der Dynamisierung der Sicherungsmaßnahmen dienenden dogmatischen Struktur ein geeignetes Instrument, um die IT-Sicherheit durch rechtliche Regulierung sicherzustellen. Im Spannungsfeld von Rechtssicherheit und dynamischer Gewährleistung der IT-Sicherheit stehen auch die Nachweispflicht674 bzw. die Überprü669 § 8a Abs. 1 S. 3 BSIG; Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 5; § 109 Abs. 2 S. 5 TKG. 670 Vgl. § 8a Abs. 2 BSIG, § 11 Abs. 1a, b EnWG, § 109 Abs. 6 TKG. 671 Vgl. § 11 Abs. 1a, b EnWG. 672 Vgl. § 8a Abs. 2 BSIG, sowie die Ausführungen zu den branchenspezifischen Sicherheitsstandards unter § 7 A. I. 6. 673 Vgl. § 109 Abs. 6 TKG; § 7 B. II. 1. b). 674 § 8a Abs. 3 BSIG.
370
Teil 3: Die normative Gewährleistung der IT-Sicherheit
fungsbefugnisse675 zur Einhaltung der geforderten Sicherungsmaßnahmen. Zwar sind beide Instrumente in ihrem Ausgangspunkt statisch. Die Erfüllung der Sicherungsmaßnahmen wird nur zu einem gewissen Zeitpunkt festgestellt, jedoch erfolgt eine Dynamisierung über den zweijährigen Turnus bzw. eine regelmäßige Überprüfung, die sich hieran anlehnt. Hierüber wird sichergestellt, dass die Sicherungspflicht ständig erfüllt wird und die getroffenen Vorkehrungen an den Stand der Technik sowie die Bedrohungslage angepasst werden. Indessen kann ein festgesetzter Turnuszeitraum die Erfüllung der Sicherungspflicht bei schnellen technischen Fortschritten oder einer geänderten IT-Sicherheitslage nicht wirksam gewährleisten. Hier kommt der Überprüfungsbefugnis des BSI bzw. der Bundesnetzagentur eine ergänzende Funktion zu. Sie gewährleistet, dass auch während des zweijährigen Turnuszeitraumes die Einhaltung der Sicherungspflicht überprüft und durchgesetzt werden kann.676 Abhängig davon, ob neben der Überprüfungsbefugnis des BSI eine Nachweispflicht normiert ist, kommt dieser oder der Überprüfungsbefugnis zur Durchsetzung der Sicherungspflicht die Hauptrolle zu. Die Nachweispflicht beugt einer Überlastung des BSI mit Überprüfungstätigkeiten bei den Betreibern vor. Sofern das BSI feststellt, dass die Nachweise qualitative Mängel aufweisen, kann über verbindliche, konkretisierende Vorgaben zum Prüfungsverfahren und den Anforderungen an die prüfende Stelle über § 8a Abs. 5 BSIG nachgesteuert werden. Während der Überprüfungsbefugnis des BSIG neben der Nachweispflicht nur eine komplementäre Funktion zukommt, leistet sie im Bereich des EnWG und des TKG allein die Kontrolle der Einhaltung der Sicherungspflicht. Um die infrastrukturspezifischen Besonderheiten im Rahmen einer behördlichen Überprüfung zu berücksichtigen, nimmt diese im Bereich des EnWG und TKG die Bundesnetzagentur als Fachregulierungsbehörde vor. Die Überprüfungsbefugnis gewährleistet gemeinsam mit der Nachweispflicht oder alleine eine effektive Kontrolle der Einhaltung der Sicherungspflicht.677
675 § 8a Abs. 4 BSIG; § 11 Abs. 1a S. 3, 5, Abs. 1b S. 5, 7 EnWG; § 109 Abs. 4 S. 7, 8 TKG. 676 BT-Drs. 18 / 11242, S. 46. 677 Die Nachweispflicht als „scharfes (…) Durchsetzungsinstrument“ bezeichnend Bundesministerium für Wirtschaft und Energie, IT-Sicherheit für die Industrie 4.0, S. 204.
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit371
2. Meldepflichten Zweck der Meldepflicht ist es, das zur aktuellen Bedrohungslage der ITSicherheit nötige Wissen beim BSI zu sammeln, damit dieses seinen Aufgaben im Zusammenhang der IT-Sicherheit Kritischer Infrastrukturen nachkommen kann. Dies geschieht, indem dem BSI erhebliche Störungen der IT-Sicherheit678 mitgeteilt werden und die Meldungen den gesetzlich vorgeschriebenen Mindestinhalt besitzen.679 Die Erheblichkeitsschwellen sind im Hinblick auf die Erreichung des Zieles der Meldepflicht kritisch zu hinterfragen. Denn sie schränken den Informationsfluss zum BSI ein. Das Erheblichkeitskriterium bezüglich der Störung der IT-Sicherheit680 läuft dem aber nicht zuwider. Zwar kommt den Betreibern aufgrund dessen in Grenzbereichen ein Wertungsspielraum zu.681 Doch ist ein solcher notwendig, um die Filterfunktion für relevante Meldungen erfüllen zu können. Dahingegen ist die weitere Erheblichkeitsschwelle bezüglich der Auswirkungen auf die Kritische Infrastruktur682 einer Wirksamkeit der Meldepflicht zur Wissensakkumulation abträglich. Denn es werden IT-Sicherheitsvorfälle von der Meldepflicht ausgenommen, obwohl sie zu einer Störung der IT-Sicherheit geführt haben und sich diese auf die Funktionsfähigkeit der Infrastruktur ausgewirkt haben. Unerhebliche Auswirkungen rechtfertigen eine Ausnahme von der Meldepflicht nicht. Denn der Umfang der Auswirkungen muss nicht auf dem IT-Sicherheitsvorfall beruhen, sondern kann auch auf anderen zufälligen Umständen basieren.683 In einer Gesamtbetrachtung ist die Meldepflicht indessen aufgrund der Einbeziehung der Betreiber als Opfer von IT-Sicherheitsvorfällen ein wirksames Instrument zur Wissensgenerierung.684
678 § 8b Abs. 4 S. 1 BSIG; § 11 Abs. 1c EnWG; mit einer niedrigeren Schwelle § 109 Abs. 5 S. 1 TKG; § 44b AtG: Jede Beeinträchtigung i. S. e. (IT-Sicherheits-) Vorfalles genügt. 679 Vgl. die pseudonyme Meldepflicht nicht als gänzlich untauglich zur Zielerreichung einstufend Leisterer / Schneider, CR 2014, S. 574, 577; Guckelberger, DVBl. 2015, S. 1213, 1222. 680 Vgl. § 8b Abs. 4 S. 1 Nr. 2, § 11 Abs. 1c Nr. 2 EnWG. 681 Vgl. § 7 A. III. 1. a) aa) (2). 682 Diese enthalten § 8b Abs. 4 BSIG, § 11 Abs. 1c EnWG und § 109 Abs. 5 TKG; nicht enthalten ist sie in § 44b AtG. 683 Vgl. zur zufälligen Eindämmung der Malware „Wanna Cry“ https: / / www. heise.de / tp / features / Weltweiter-Erpressungstrojaner-Angriff-auf-Computernetzwer ke-3713480.html (besucht am 12.06.2018). 684 Wischmeyer, Die Verwaltung 50 (2017), S. 155, 171.
372
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Doch leidet die allgemeine Meldepflicht des § 8b Abs. 4 BSIG an einem Durchsetzungsdefizit. Denn aufgrund eines Fehlers bei der Normverweisung, nimmt der Ordnungswidrigkeitentatbestand des § 14 Abs. 1 Nr. 4 BSIG anstatt der namentlichen die pseudonyme Meldepflicht in Bezug. Diese kann jedoch mangels Kenntnis des BSI von IT-Sicherheitsvorfällen, die keine nach außen hin erkennbaren Auswirkungen zeitigen, nicht wirksam sanktioniert werden.685 Nur bei der namentlichen Meldepflicht wäre dies möglich. Dieses auf einem Verweisungsfehler beruhende Durchsetzungsdefizit besteht im Rahmen der Meldepflichten des Energie- und Telekommunikationssektors nicht. Denn § 95 Abs. 1 Nr. 2b EnWG verweist auf die gesamte Meldepflicht, während § 149 Abs. 1 Nr. 21a TKG richtigerweise nur auf die namentliche Meldepflicht verweist. Soweit eine Qualifikation als Ordnungswidrigkeit fehlt, ist die Erfüllung der Meldepflicht, von der Rechtstreue, einer Vertrauensbasis zwischen BSI und Betreibern686 und einem überwiegenden Eigeninteresse an einer Beratung und Unterstützung durch das BSI, § 3 Abs. 3 BSIG, abhängig. Darauf, dass die Vertrauensbasis besteht, deutet die Zusammenarbeit im UP KRITIS und der Allianz für Cyber-Sicherheit hin. Die Meldepflicht ist als Instrument geeignet, Informationsflüsse zum BSI zu generieren. Jedoch leidet ihre Durchsetzung an Mängeln. Diese beruhen zum Teil auf dem unionsrechtlichem Vorbild mit der Erheblichkeitsschwelle bezüglich der erheblichen Auswirkungen auf die Infrastruktur, sind zum Teil aber auch Folge eines gesetzgeberischen Fehlers bei der Umsetzung der RL (EU) 2016 / 1148, da Normverweise nicht auf die Änderungen angepasst wurden. 3. Teilergebnis Die Sicherungs- und Meldepflichten werden zu einer Erhöhung der IT-Sicherheit beitragen. Doch bestehen Risiken für die wirksame Durchsetzung der Meldepflicht. Diese sind struktureller Art. Im Rahmen der Meldepflicht treten sie aufgrund der eingeschränkten Wirksamkeit der Bußgeldbewehrung und konträrer wirtschaftlicher Interessen der Betreiber auf. Denn die Durchsetzung der Meldepflicht kann nur eingeschränkt mittels hoheitlichen Zwanges sichergestellt werden. Stattdessen beruht deren Erfüllung maßgeblich auf der Vertrauensbasis zwischen BSI und Betreibern. Die Sicherungspflicht
685 Vgl.
686 Eine
S. 12 f.
Leisterer / Schneider, CR 2014, S. 574, 577. solche generell verneinend Neumann, BT / InnenA-Drs. 18(4)284 F,
§ 7 Die Pflichten zur Gewährleistung der IT-Sicherheit373
kann hingegen mit den Instrumenten der Nachweispflicht und / oder der Überprüfungsbefugnis wirksam kontrolliert und durchgesetzt werden. II. Einheitlichkeit Nicht allein die Erhöhung der IT-Sicherheit, sondern auch die Angleichung des IT-Sicherheitsniveaus in verschiedenen Bereichen Kritischer Infrastrukturen stellt ein wesentliches Ziel der untersuchten Pflichten dar.687 Dafür wird zunächst die Vereinheitlichung der Pflichten untersucht, um hiervon ausgehend Rückschlüsse auf eine Vereinheitlichung des IT-Sicherheitsniveaus zu ziehen. 1. Sicherungspflichten und ihre Durchsetzungsmechanismen Maßnahmen zur Sicherung der IT wurden durchweg einheitlich als organisatorische und technische Maßnahmen688 oder mit im Wortlaut abweichender, aber inhaltlich vergleichbarer Begrifflichkeit689 normiert. Sie gewährleisten die IT-Sicherheit auf einem Niveau, das für den Betrieb der jeweiligen Kritischen Infrastruktur notwendig ist und orientieren sich am Stand der Technik. Insofern trägt dieser dogmatische Baustein der Sicherungspflicht zu einer Angleichung des IT-Sicherheitsniveaus bei. Nichtsdestotrotz werden keine identischen Sicherungsmaßnahmen gefordert. Denn die Maßnahmen haben sich jeweils am konkreten Umfeld und der Funktion der IT zu orientieren. Im Übrigen unterliegen sie einem die jeweilige Situation berücksichtigenden Angemessenheitsvorbehalt. Während der Stand der Technik im Rahmen des § 8a Abs. 1 S. 2 BSIG eingehalten werden soll, genügt bei § 109 Abs. 2 S. 3 TKG dessen Berücksichtigung. § 11 Abs. 1a, b EnWG verknüpft die erforderlichen Maßnahmen im Gesetzeswortlaut selbst nicht mit dem Stand der Technik. Eine Verknüpfung mit dem Stand der Technik erfolgt erst durch den Sicherheitskatalog nach § 11 Abs. 1a EnWG.690
687 BT-Drs. 18 / 4096,
S. 1 f. Abs. 1 S. 1 BSIG; § 109 Abs. 2 S. 1 TKG. 689 § 11 Abs. 1a, b EnWG. 690 Für § 11 Abs. 1b EnWG existiert ein solcher derzeit noch nicht, befindet sich derzeit aber in Ausarbeitung. Es wurde bereits ein Entwurf veröffentlicht https: / / www. bundesnetzagentur.de / SharedDocs / Downloads / DE / Sachgebiete / Energie / Unterneh men_Institutionen / Versorgungssicherheit / IT_Sicherheit / IT_Sicherheitskatalog_Kon sultationsfassung2018.pdf;jsessionid=006CEE4B709A25229BC11DC0FDAE C1E1?__blob=publicationFile&v=2 (besucht am 12.06.2018). 688 § 8a
374
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Durch die Sicherungspflichten entsteht ein im Wesentlichen einheitliches, aber geringfügige Abweichungen zulassendes dynamisches IT-Sicherheits niveau für Kritische Infrastrukturen. Stellt sich die Sicherungspflicht als weitgehend vereinheitlicht dar, so trifft dies auf die ihre Durchsetzung bezweckenden Instrumente nicht zu. Eine Pflicht der Betreiber die Erfüllung der Sicherungspflicht nachzuweisen, existiert lediglich in § 8a Abs. 3 BSIG. Ergänzend wurde mit der Umsetzung der RL (EU) 2016 / 1148 eine Überprüfungsbefugnis des BSI eingeführt. Die speziellen Vorschriften des Energie- und Telekommunikationsrechts räumen der Bundesnetzagentur statt einer Nachweispflicht Überprüfungsbefugnisse ein. Hier muss also die Regulierungsbehörde und nicht der Betreiber tätig werden. Damit hängen die Durchsetzungsmechanismen vom jeweiligen sachlichen Zusammenhang ab. Soweit wie im Energie- und Telekommunikationssektor ohnehin ein Regulierungsregime besteht, wird hieran angeknüpft und die Kontrolle der Einhaltung mit einer Überprüfungsbefugnis sichergestellt. In den sonstigen Bereichen wird die Einhaltung im Kern über die Nachweispflicht und eine ergänzende Überprüfungsbefugnis kontrolliert. 2. Meldepflichten Die Meldepflichten der § 8b Abs. 4 BSIG, § 11 Abs. 1c EnWG und § 44b AtG gleichen sich erheblich und weisen weitgehend einen identischen Wortlaut auf. Lediglich § 44b AtG stellt anstatt auf die Verfügbarkeit der Infrastrukturdienstleistung, was auch nur für die Energieerzeugung aus spaltbarem Kernbrennstoff sinnvoll wäre, auf die nukleare Sicherheit ab. Zwar führen im Grundsatz nur erhebliche Störungen der Schutzziele der IT-Sicherheit zu einer Meldepflicht. Sofern jedoch die nukleare Sicherheit oder Telekommunikationsdienste tangiert werden, genügt jede Störung. In dieser Hinsicht sind die Meldepflichten des § 109 Abs. 5 TKG und des § 44b AtG strenger. § 109 Abs. 5 TKG weist noch weitere über einen abweichenden Wortlaut hinausgehende wesentliche Abweichungen auf. Sie ist nicht auf eine Beeinträchtigung der IT-Sicherheit zugeschnitten, sondern erfasst auch sonstige Vorfälle. Darüber hinaus beschränkt sie sich nicht auf Meldungen mit tatsächlichen oder jedenfalls potentiellen Auswirkungen auf die Erbringung kritischer Infrastrukturdienstleistungen, sondern ergreift auch Vorfälle mit Auswirkungen auf die IT-Systeme der Nutzer der Telekommunikationsdienste.
§ 8 Die Rolle des BSI375
Die Pflicht zur Einrichtung einer Kontaktstelle ist nur Teil des § 8b Abs. 3 BSIG. Die leges speciales des EnWG, TKG und AtG sperren diesen aber nicht.691 Infolgedessen ist ein Rückgriff auf diese lex generalis zulässig und es werden einheitliche Informationsstrukturen für Informationsflüsse zwischen BSI und Betreibern Kritischer Infrastrukturen geschaffen. Die Meldepflichten lassen sich, trotz der Abweichungen in § 109 Abs. 5 TKG und § 44b AtG als „einheitliches Informationsmodell“692 bezeichnen. 3. Vereinheitlichung des IT-Sicherheitsniveaus Die Sicherungspflichten können zu divergierenden Sicherungsmaßnahmen verpflichten, gewährleisten aber im Wesentlichen ein äquivalentes IT-Sicherheitsniveau. Dieses besteht nicht darin, dass jedes Schutzziel der IT-Sicherheit auf einem gleichen Niveau geschützt wird. Stattdessen erfolgt ein bedarfsorientierter Schutz.693 Insofern werden die einzelnen Schutzziele der IT-Sicherheit nur auf dem jeweils nötigen Niveau geschützt und divergieren daher. In der Gesamtbetrachtung ergibt sich hieraus ein am Schutzbedarf orientiertes einheitliches IT-Sicherheitsniveau. Lediglich die Nachweispflicht existiert nur im Rahmen des BSIG. Für die speziell regulierten Energie- und Telekommunikationsinfrastrukturen wurden stattdessen Überprüfungsbefugnisse der Bundesnetzagentur normiert. Die Meldepflichten sind bis auf das TKG und das AtG sogar im Wortlaut vereinheitlicht. Sicherungs- und Meldepflicht gewährleisten in ihrem Zusammenwirken ein einheitliches Schutz niveau.
§ 8 Die Rolle des BSI Die Rolle des BSI ist bereits in der Gewährleistungsverantwortung des Staates694 angelegt. Im Zusammenspiel mit der Ausgestaltung der Pflichtigkeit der Betreiber Kritischer Infrastrukturen durch den Pflichtenkanon695 spiegeln sich die staatlichen und privaten Bereiche für Beiträge zur IT-
691 § 8d Abs. 3 BSIG; bitkom, Stellungnahme zum Entwurf eines Gesetzes zur Umsetzung der NIS-Richtlinie (EU) 2016 / 1148, S. 5. 692 Hornung / Schindler, Zivile Sicherheit als Gegenstand und Ziel der Informationsund Kommunikationsverarbeitung, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 247, 262. 693 Vgl. bereits § 7 A. I. 2. a) cc). 694 Siehe § 4 B. 695 Siehe zur Pflichtigkeit § 5 B. und zu ihrer Ausgestaltung durch den Pflichtenkanon § 7, insbesondere C. und D.
376
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Sicherheit in der Rolle des BSI wider, die es für Kritische Infrastrukturen einnimmt.
A. Behördliche Aufgaben Um die IT-Sicherheit zu erhöhen und zu gewährleisten, stehen zwar die Pflichten der Betreiber Kritischer Infrastrukturen im Zentrum, doch werden diese nicht unabhängig von staatlicher Einflussnahme wahrgenommen. Wie es bereits bei der Nachweispflicht des § 8a Abs. 3 BSIG sowie bei den Meldepflichten angeklungen ist, kommen dem BSI diverse Funktionen bei der Erhöhung und Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen zu. Das BSI ist der staatliche Beitrag zur Erfüllung der Gewährleistungsverantwortung zugunsten der IT-Sicherheit Kritischer Infrastrukturen.696 Welche Rolle dem BSI bei der Erhöhung und Gewährleistung der IT-Sicherheit im Einzelnen zukommt, soll anhand seiner Aufgaben untersucht werden. Hierbei bleiben die Aufgaben bezüglich der staatlichen IT-Infrastruktur und der digitalen Dienste außer Betracht. Fokussiert wird sich lediglich auf diejenigen im Zusammenhang mit Kritischen Infrastrukturen. Diese Aufgaben sind vor dem unionsrechtlichen Hintergrund der RL (EU) 2016 / 1148 zu sehen. I. IT-Wirtschaftsaufsichtsbehörde Das BSI nimmt Funktionen einer klassischen Wirtschaftsaufsichtsbehörde wahr.697 Es überwacht die Einhaltung der Sicherungs- und Meldepflichten. Diese Aufgabe beschränkt sich auf die unmittelbar §§ 8a, b BSIG unterfallenden Kritischen Infrastrukturen. Im Energie- und Telekommunikationssektor kommt der Bundesnetzagentur im Grundsatz die behördliche Aufsichtsfunktion zu.698 Die Durchsetzung der Meldepflicht des § 11 Abs. 1c EnWG ist aber weiterhin Aufgabe des BSI, § 95 Abs. 1 Nr. 2b EnWG. Als Wirtschaftsaufsichtsbehörde wacht das BSI über die Einhaltung der Betreiberpflichten und gewährleistet deren Durchsetzung. Im Rahmen der Sicherungspflicht werden die aufsichtlichen Aufgaben über die Überprüfungsbefugnis, die Nachweispflicht und hieran andockende Befugnisse sowie durch Sanktionsmöglichkeiten mittels Bußgeldern erfüllt.
696 Engels, Zivile Sicherheit in Kritischen Infrastrukturen – Öffentliche Netze, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 273, 275. 697 Vgl. Wischmeyer, Die Verwaltung 50 (2017), S. 155, 166; vgl. zum unionsrechtlichen Hintergrund Art. 15 Abs. 1 RL (EU) 2016 / 1148, Art. 8 Abs. 2 RL (EU) 2016 / 1148. 698 § 11 Abs. 1a S. 5, Abs. 1b S. 7 EnWG, § 109 Abs. 4 S. 7 TKG.
§ 8 Die Rolle des BSI377
Sind diese Befugnisse sowie die Ordnungswidrigkeitentatbestände des § 14 Abs. 1 BSIG Ausdruck hoheitlicher Rechtsdurchsetzung, so trifft dies auf die Nachweispflicht nur eingeschränkt zu. Zwar dient die Nachweispflicht dazu, die Erfüllung der Sicherungspflicht sicherzustellen. Jedoch müssen die sicherungspflichtigen Betreiber selbständig tätig werden und dem BSI gegenüber durch die Übermittlung der Überprüfungsergebnisse nachweisen, dass sie die Sicherungsanforderungen des § 8a Abs. 1 BSIG erfüllen. Die Überprüfung erfolgt durch geeignete private Stellen.699 Dadurch, dass dem BSI die Prüfungsergebnisse zu übermitteln sind, fungiert das BSI als Aufsichtsbehörde. Zur Übermittlung der Ergebnisse wurde verpflichtet, um bei Verstößen gegen die Sicherungspflicht tätig werden zu können. Daher greifen die Befugnisse des § 8a Abs. 3 S. 4, 5 BSIG erst im Anschluss. Ergänzend zur Nachweispflicht bzw. in den Anwendungsbereichen der § 109 Abs. 2, 4 TKG und § 11 Abs. 1a, b EnWG anstelle der Nachweispflicht existiert eine Überprüfungsbefugnis. Für diejenige aus § 109 Abs. 4 S. 7, 8 TKG und § 11 Abs. 1a S. 5, Abs. 1b S. 7 EnWG ist nicht das BSI, sondern die Bundesnetzagentur zuständig. Diese wird als Fachregulierungsbehörde tätig, sodass beide Bereiche bei der Betrachtung der Rolle des BSI unberücksichtigt bleiben können. Dem BSI kommt nur die in § 8a Abs. 4 BSIG normierte Überprüfungsbefugnis zu. Sie soll eine Kontrolle der Betreiber bei der Erfüllung der Sicherungspflicht gewährleisten. Neben der Nachweispflicht nimmt sie nur eine komplementäre Funktion ein. Zwar könnte die Befugnis die Nachweispflicht ersetzen.700 Indessen soll mit ihr nur sichergestellt werden, dass zwischen den Nachweiszeiträumen die Sicherungspflicht eingehalten wird, indem die getroffenen Vorkehrungen an den Stand der Technik bzw. eine geänderte Bedrohungslage für die IT-Sicherheit angepasst werden. Außerdem soll hierdurch eine ordnungsgemäße Erfüllung der Nachweispflicht überwacht werden. Da eine Nachweispflicht oder eine Überprüfungsbefugnis hinsichtlich der Meldepflicht, anders als bei der Sicherungspflicht, nicht existiert, ist die aufsichtliche Funktion des BSI diesbezüglich zurückgenommen. Lediglich Verletzungen der pseudonymen Meldepflicht können über Ordnungswidrigkeiten sanktioniert werden, § 14 Abs. 1 Nr. 4 BSIG. Dahingegen erfasst § 95 Abs. 1 Nr. 2b EnWG die namentliche und die pseudonyme Meldepflicht.701 Ermittlungsbefugnisse, um eine wirksame Sanktionierung der Nichteinhaltung der Meldepflicht zu ermöglichen, bestehen nicht. Stattdessen soll die Einhaltung 699 Vgl. 700 Vgl.
zu den geeigneten Prüfern § 7 A. II. 1. b). insoweit § 109 Abs. 4 S. 7, 8 TKG und § 11 Abs. 1a S. 5, Abs. 1b S. 7
EnWG. 701 Die Sanktionsbefugnis kommt im Anwendungsbereich des TKG der Bundesnetzagentur zu, § 149 Abs. 3 TKG.
378
Teil 3: Die normative Gewährleistung der IT-Sicherheit
der Meldepflicht vornehmlich nicht aufsichtlich, sondern im Eigeninteresse, ebenfalls Hinweise vom BSI zu erhalten, und im Wege einer vertrauensvollen Zusammenarbeit erfolgen. Faktisch wird das BSI durch die Abhängigkeit von einer vertrauensvollen Zusammenarbeit dahin gedrängt, auch von den vorhandenen hoheitlichen Aufsichtsbefugnissen nur restriktiv Gebrauch zu machen. Ansonsten droht ein Durchsetzungsdefizit bei der Meldepflicht.702 Bereits im Pflichtenkanon der §§ 8a f. BSIG selbst ist mit der Nachweispflicht die Charakterisierung des BSI als Aufsichtsbehörde für den Bereich der IT-Sicherheit angelegt. Untermauert wird er durch die ergänzende Überprüfungsbefugnis und die hieran andockenden Befugnisse des § 8a Abs. 3 S. 4, 5 BSIG. Doch nur letztere Befugnisse sind Ausdruck einer klassischen Wirtschaftsaufsicht.703 Mit den Sanktionsbefugnissen erhält das BSI die Möglichkeit repressiv gegen Betreiber vorzugehen. Beim BSI ist damit die Aufsicht für die IT-Sicherheit Kritischer Infrastrukturen vereint.704 Schon die Nachweispflicht lässt sich nicht in die klassischen auf Gefahrenabwehr und Risikosteuerung angelegten Instrumente der Wirtschaftsaufsicht einordnen. Es ist stattdessen ein Instrumentarium der Gewährleistungsaufsicht.705 Denn es bezieht den Betreiber als verpflichteten Privaten mit ein und garantiert die aufsichtliche Kontrolle, indem dem BSI die Ergebnisse der Überprüfung zu übermitteln sind. Die Kontrollverantwortung wird damit zunächst auf die Betreiber übertragen. Erst die auf dem Nachweis aufbauenden Befugnisse des § 8a Abs. 3 S. 4, 5 BSIG bzw. die Überprüfungsbefugnis nach § 8a Abs. 4 BSIG fallen wieder in den Bereich der Kontrollverantwortung des BSI.706 Das BSI vereint als Aufsichtsbehörde für die IT-Sicherheit Kritischer In frastrukturen Instrumente verschiedener dogmatischer Ansätze der Aufsicht. Seine hoheitlichen Befugnisse der klassischen Wirtschaftsaufsicht werden mit der Nachweispflicht als Instrument der Gewährleistungsaufsicht kombiniert.707 702 Vgl.
§ 7 E. I. 2. Schmidt am Busch, Die Verwaltung 49 (2016), S. 205, 209 f.; vgl. Edelbluth, Gewährleistungsaufsicht, S. 30 f. 704 Abweichungen ergeben sich lediglich für Betreiber, die von den leges speciales des EnWG und TKG erfasst werden. Hier kommt der Bundesnetzagentur die Aufgabe der Wirtschaftsaufsicht zu. Eine Ausnahme besteht nach § 95 Abs. 1 Nr. 2b EnWG, als hier partiell die repressive Aufsicht über die Einhaltung der Meldepflicht dem BSI zugeordnet ist. 705 Vgl. Voßkuhle, VVDStRL 62 (2003), S. 268, 322 f. 706 Vgl. zur Verlagerung der Kontrollverantwortung auf Private und hierauf aufbauender behördlicher Kontrolle als Instrument der Gewährleistungsaufsicht Edelbluth, Gewährleistungsaufsicht, S. 41. 707 Wischmeyer, Die Verwaltung 50 (2017), S. 155, 157. 703 Vgl.
§ 8 Die Rolle des BSI379
II. Zentrale Stelle für die IT-Sicherheit Kritischer Infrastrukturen Zusätzlich zu Aufsichtsfunktionen im Bereich der IT-Sicherheit nimmt das BSI die Aufgabe als zentrale Stelle für die IT-Sicherheit Kritischer Infrastrukturen wahr, § 8b Abs. 1, § 3 Abs. 1 S. 2 Nr. 16, 17 BSIG.708 Dies schließt verschiedene durch Zusammenarbeit mit den Betreibern geprägte Funktionen bei der Erhöhung und Gewährleistung der IT-Sicherheit Kritischer Infrastruktu ren ein. 1. Wissensakkumulation und Analyse Ohne ausreichendes Fachwissen und Kenntnis der Entwicklung der Bedrohungslage kann die IT-Sicherheit weder erhöht noch gewährleistet werden.709 Daher wurde mit dem BSI eine zentrale Fachbehörde für den Bereich der IT-Sicherheit Kritischer Infrastrukturen geschaffen. Bei ihr soll Wissen über IT-Sicherheitsvorfälle, Ursachen und mögliche Gegenmaßnahmen zentriert werden.710 Sämtliche Meldungen zu IT-Sicherheitsvorfällen laufen beim BSI zusammen. Mit der Einrichtung einer zentralen Stelle wird ein notwendiger institutioneller Rahmen geschaffen, der sicherstellt, dass die gemeldeten Informationen mit der nötigen fachlichen Expertise ausgewertet werden können. Denn eine dynamische Gewährleistung der IT-Sicherheit ist nur bei fortwährender Analyse der IT-Sicherheitslage möglich.711 Dass das BSI mit einem für die Bewertung der IT-Sicherheitslage ausreichendem Informationszufluss ausgestattet ist, wird durch das Instrument der Meldepflicht gewährleistet. Die Analyse der erhaltenen Informationen hat im Hinblick auf Sicherheitslücken, Schadprogramme, erfolgreiche oder versuchte Angriffe auf die IT-Sicherheit und die hierfür zugrunde gelegte Vorgehensweise, § 8b Abs. 2 Nr. 1 BSIG, wie auch potentielle Auswirkungen auf die Verfügbarkeit Kritischer Infra708 Vgl.
zum unionsrechtlichen Hintergrund Art. 8 RL (EU) 2016 / 1148. DVBl. 2015, S. 1213, 1221 f.; Leisterer, Das Informationsverwaltungsrecht als Beitrag zur Netz- und Informationssicherheit am Beispiel von ITSicherheitslücken, in: Kugelmann, Migration, Datenübermittlung und Cybersicherheit, S. 135, 138. 710 Vgl. BT-Drs. 18 / 4096, S. 28; Leisterer, Das Informationsverwaltungsrecht als Beitrag zur Netz- und Informationssicherheit am Beispiel von IT-Sicherheitslücken, in: Kugelmann, Migration, Datenübermittlung und Cybersicherheit, S. 135, 144; vgl. Guckelberger, DVBl. 2015, S. 1213, 1221; vgl. zum unionsrechtlichen Hintergrund Art. 9 RL (EU) 2016 / 1148 i. V. m. Anhang I, II. 711 Vgl. zur IT-Sicherheit als Voraussetzung der zivilen Sicherheit Hornung / Schindler, Zivile Sicherheit als Gegenstand und Ziel der Informations- und Kommunikationsverarbeitung, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 247, 248. 709 Guckelberger,
380
Teil 3: Die normative Gewährleistung der IT-Sicherheit
strukturen zu erfolgen, § 8b Abs. 2 Nr. 2 BSIG. Hieraus ist ein Lagebild zur IT-Sicherheit der Kritischen Infrastrukturen zu ermitteln und kontinuierlich zu aktualisieren, § 8b Abs. 2 Nr. 3 BSIG.712 Informationen über Bedrohungen der IT-Sicherheit werden dem BSI nicht nur durch die Meldepflicht übermittelt, sondern von diesem auch aktiv durch Untersuchungen der IT gesammelt. Um IT-Produkte auf fehlende oder unzureichende Sicherheitsvorkehrungen, die ein Risiko für die IT-Sicherheit darstellen, untersuchen zu können, wird das BSI mit den entsprechenden Befugnissen ausgestattet.713 Zudem erhält es durch die Wiederherstellung der Sicherheit oder Funktionsfähigkeit von IT-Systemen in herausgehobenen Fällen nach § 5a BSIG entsprechendes Erfahrungswissen. Die Aufgaben der Anhäufung und Analyse von Informationen zur IT-Sicherheit lassen beim BSI zentral Erfahrungswissen zu aktuellen IT-Sicherheitsbedrohungen und möglichen präventiven Abwehrmaßnahmen bzw. Beseitigungsmöglichkeiten von Störungen der IT-Sicherheit anwachsen. 2. Internationale Vernetzung Da Bedrohungen der IT nicht an nationalstaatlichen Grenzen stoppen, sondern in einem darüber hinausgehenden Zusammenhang gesehen werden müssen, kommt dem BSI die Aufgabe der Zusammenarbeit mit Stellen im Ausland zu, § 3 Abs. 1 S. 2 Nr. 16 BSIG. Hierin ist die Aufgabe, im EUweiten Behördenverbund für die IT-Sicherheit Kritischer Infrastrukturen entsprechend den Vorgaben des Art. 8, 9 und 12 RL (EU) 2016 / 1148 mitzuwirken, bereits angelegt.714 In nationales Recht wurde dies für Kritische Infrastrukturen gesondert mit § 8b Abs. 2 Nr. 4 lit. d BSIG umgesetzt. Demnach wird dem BSI die Befugnis eingeräumt, andere Mitgliedstaaten der EU über gemeldete IT-Sicherheitsvorfälle zu unterrichten. Auf diese Weise gewährleistet das BSI eine Anknüpfung an die internationalen Informationsflüsse zur Warnung vor Bedrohungen der IT-Sicherheit. 3. Multiplikator International wie national nimmt das BSI eine bedeutende Rolle im Rahmen der Weiterleitung und dem Aufbau von Informationsflüssen mit Bezug zur IT-Sicherheit ein.715 Die Multiplikatorfunktion des BSI beschränkt sich 712 Lurz / Scheben / Dolle,
BB 2015, S. 2755, 2758. § 7a Abs. 1 S. 1 i. V. m. § 3 Abs. 1 S. 1 Nr. 14 und 17 BSIG. 714 Vgl. Hornung, NJW 2015, S. 3334, 3339; Roos, MMR 2014, S. 723, 728. 715 Vgl. zum unionsrechtlichen Hintergrund Art. 14 Abs. 5 RL (EU) 2016 / 1148. 713 Vgl.
§ 8 Die Rolle des BSI
381
nicht allein auf Betreiber Kritischer Infrastrukturen, ist bezüglich dieser jedoch besonders ausgeprägt.716 Betreiber Kritischer Infrastrukturen werden unverzüglich über Erkenntnisse zu Bedrohungen der IT-Sicherheit und der Abwehr dieser, potentiellen Auswirkungen auf die Verfügbarkeit der Kritischen Infrastrukturen und ein verändertes IT-Sicherheitslagebild durch das BSI informiert, § 8b Abs. 2 Nr. 4 lit. a BSIG. Dies schließt Informationen ein, die aus der Auswertung gemeldeter IT-Sicherheitsvorfälle stammen.717 Um eine reibungslose und schnelle Kommunikation mit dem BSI zu ermöglichen, hatten die Betreiber eine Kontaktstelle nach § 8b Abs. 3 BSIG einzurichten. In diesen vom BSI verbreiteten Hinweisen zur IT-Sicherheit besteht der erhebliche Mehrwert für Unternehmen, wodurch die Anreize zur Einhaltung der Meldepflicht geschaffen werden sollen. Denn sie profitieren von den Meldungen anderer Betreiber und der Analyse durch das BSI. Hierdurch haben sie einen erheblichen Rückfluss an Informationen und Know-how.718 § 8e BSIG sperrt diesen Informationsrückfluss nicht, da die Norm ein Auskunftsverlangen voraussetzt und für den vom BSI initiierten Informationsfluss hin zu den Betreibern, die keine Dritten in diesem Sinne sind, keine Anwendung findet. Wie die Allgemeinheit erhalten auch die Betreiber Kritischer Infrastrukturen aus den Untersuchungen von IT-Produkten durch das BSI gewonnenen Erkenntnisse, § 7a Abs. 2 BSIG, genauso wie Warnungen nach § 7 BSIG.719 Im Rahmen der Wiederherstellung der Sicherheit oder Funktionsfähigkeit von IT-Systemen in herausgehobenen Fällen, können Informationen in anonymer Weise weitergegeben werden, § 5a Abs. 4 BSIG. Dadurch bündelt das BSI die Informationsflüsse mit Gegenstand der ITSicherheit und unterrichtet unverzüglich Betreiber Kritischer Infrastrukturen über sie betreffende Erkenntnisse. Die Rolle des BSI lässt sich für diesen Ausschnitt des behördlichen Tätigkeitsfeldes als Multiplikator von Informa tionen zur IT-Sicherheit charakterisieren. 716 Zur grundgesetzlichen Basis der Multiplikatorrolle in der Gewährleistungsverantwortung und den grundrechtlichen Gewährleistungsgehalten Leisterer, Das Informationsverwaltungsrecht als Beitrag zur Netz- und Informationssicherheit am Beispiel von IT-Sicherheitslücken, in: Kugelmann, Migration, Datenübermittlung und Cybersicherheit, S. 135, 140. 717 Leisterer / Schneider, K&R 2015, S. 681, 685; Hornung / Schindler, Zivile Sicherheit als Gegenstand und Ziel der Informations- und Kommunikationsverarbeitung, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 247, 266. 718 BT-Drs. 18 / 4096, S. 27. 719 Leisterer / Schneider, K&R 2015, S. 681, 683 f.
382
Teil 3: Die normative Gewährleistung der IT-Sicherheit
4. IT-Sicherheitsdienstleister Hatte das BSI vor der Erweiterung des Aufgabenspektrums auf die IT- Sicherheit Kritischer Infrastrukturen im Kern die Funktion eines IT-Dienstleisters für den Bund, vgl. § 3 Abs. 1 S. 2 Nr. 1, 7, 8, 11, 12, 14 BSIG, so ist diese dienstleistende Funktion, wenn auch in weit geringerem Maße, auf die Betreiber Kritischer Infrastrukturen ausgeweitet worden.720 Sie erschöpft sich nicht darin, dass das BSI Hinweise zu IT-Sicherheitslücken und Bedrohungen mit der Empfehlung zu wirksamen Gegenmaßnahmen verbindet.721 Nach § 3 Abs. 3 BSIG kann das BSI Betreiber Kritischer Infrastrukturen auf deren Ersuchen hin bei der Sicherung ihrer IT und damit bei den nach § 8a Abs. 1 BSIG zu treffenden organisatorischen und technischen Maßnahmen beraten.722 Darüber hinaus darf das BSI sogar unterstützend tätig werden. Dies birgt nicht nur einen Mehrwert für die Betreiber bei der Erhöhung der Sicherheit ihrer IT, sondern trägt auch zur wirksamen Erfüllung der staatlichen Gewährleistungsverantwortung bei. Von Bedeutung ist in diesem Zusammenhang die Befugnis des BSI, die Hersteller der betroffenen IT zu verpflichten, an der Beseitigung und Vermeidung einer Verletzung der IT-Sicherheit mitzuwirken, § 8b Abs. 6 BSIG. Aus Sicht der Infrastrukturbetreiber wird das BSI hierdurch ebenfalls unterstützend tätig. Denn diese werden zum Teil mangels ausreichenden Wissens, insbesondere wenn IT-Sicherheitslücken den Quellcode einer Software betreffen, nicht im Stande sein, die Sicherheit der eingesetzten IT selbst durch eigene Maßnahmen zu gewährleisten.723 Selbst wenn der Betreiber Möglichkeiten hat, Sicherheitslücken der eingesetzten IT-Produkte zu schließen, kann die verpflichtende Beseitigung dieser aufgrund des hohen Aufwandes am Angemessenheitsvorbehalt des § 8a Abs. 1 S. 3 BSIG scheitern. Hierüber hilft die Möglichkeit der Verpflichtung der Hersteller zur Mitwirkung hinweg. Prägte die unterstützende Funktion schon die Rolle des BSI im IT-Sicherheitsgesetz, wurde sie im Zuge der Umsetzung der RL (EU) 2016 / 1148 nochmals verstärkt. Die bereits bestehende Aufgabe aus § 3 Abs. 3 BSIG wurde im Hinblick auf Kritische Infrastrukturen724 in § 5a Abs. 1, 2 BSIG 720 Wischmeyer, Die Verwaltung 50 (2017), S. 155, 166; vgl. zum unionsrecht lichen Hintergrund Art. 9 RL (EU) 2016 / 1148 i. V. m. Anhang I, II. 721 Vgl. Lurz / Scheben / Dolle, BB 2015, S. 2755, 2758. 722 Wolff, Das IT-Sicherheitsgesetz als Teil der jüngeren Entwicklung der Sicherheitsarchitektur, in: Möstl / Wolff, IT-Sicherheit als Herausforderung für Wirtschaft und Staat, S. 83, 94; Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 1. 723 Rath / Kuss / Bach, K&R 2015, S. 437, 439, die Wirksamkeit dieser Befugnis bei Herstellern aus dem Ausland kritisch hinterfragend. 724 Darüber hinaus greift § 5a BSIG auch für Stellen des Bundes.
§ 8 Die Rolle des BSI
383
erweitert. Das BSI kann auf Ersuchen des betroffenen Betreibers nicht nur beratend und unterstützend tätig werden, sondern selbst die Führung bei der Beseitigung von Störungen der IT-Sicherheit übernehmen und die nötigen Maßnahmen treffen. Hierbei kann es sich nach § 5a Abs. 5 BSIG unter Umständen auch Dritter bedienen. Das BSI nimmt dabei die Rolle eines externen Notfallteams zur IT-Sicherheit ein.725 Dieses kann jedoch nicht aus eigener Initiative tätig werden. Die Übernahme der Maßnahmen zur Beseitigung der Störung der IT-Sicherheit erfolgen nur auf Ersuchen und der Einsatz Dritter nur mit Einwilligung des Betreibers.726 Das BSI ist insofern mit einem externen IT-Sicherheitsdienstleister vergleichbar, der engagiert wird, um in federführender Funktion die IT-Sicherheit wieder herzustellen. Von einem privaten Dienstleister unterscheidet sich das BSI dadurch, dass seine Befugnisse gegenüber dem Infrastrukturbetreiber nicht vertraglich, sondern gesetzlich durch § 5a BSIG abgesteckt werden. Zusätzlich wird ihm als wesentliches Merkmal seiner Rolle die Befugnis eingeräumt, von den Herstellern der betroffenen IT Mitwirkung verlangen zu können.727 Aufgrund dessen und wegen seiner Funktion als zentrale Meldestelle wird durch das BSI sichergestellt, dass sämtliches verfügbares Wissen zur Beseitigung einer Störung der IT-Sicherheit eingesetzt werden kann. Das BSI tritt dabei nicht in wettbewerbliche Konkurrenz mit privaten I T-Sicherheitsdienstleistern. Denn das Eingreifen auf Basis des § 5a Abs. 1, 5 BSIG ist auf herausgehobene Fälle i. S. v. § 5a Abs. 2 BSIG begrenzt.728 Auch richtet sich die Tätigkeit des BSI in diesem Zusammenhang nicht auf 725 Vgl. BT-Drs. 18 / 11242, S. 40, § 5a BSIG ist nur auf einen kurzfristigen Zeitraum und eine subsidiäre Tätigkeit ausgelegt, wenn der Betreiber eine Störung der IT-Sicherheit nicht mit eigenen Mitteln beheben kann. 726 Sofern genehmigungsbedürftige Anlagen nach dem AtG betroffen sind, ist zusätzlich das Benehmen mit der zuständigen atomrechtlichen Aufsichtsbehörde herzustellen und die Vorgaben aufgrund des AtG haben Vorrang, § 5a Abs. 8 BSIG; der Vorrang atomrechtlicher Vorgaben und die Beteiligung der diesbezüglichen Aufsichtsbehörde findet sich auch im Rahmen der Sicherungspflicht nach § 11 Abs. 1b S. 3, 4 EnWG, vgl. § 7 B. I. 1 b), und der speziellen Meldepflicht des § 44b AtG, vgl. § 7 B. I. 3., wieder. 727 Vgl. hierzu § 5a Abs. 6 BSIG und § 8b Abs. 6 BSIG. § 8b Abs. 6 BSIG ist nicht nur bei informationstechnischen Systemen, sondern auch bei informationstechnischen Produkten anwendbar. § 5a Abs. 6 BSIG greift daher nur dann, wenn das System von einem Hersteller stammt. Liegt kein Fall des § 5a Abs. 1, 5 BSIG vor oder wurden die einzelnen IT-Komponenten vom Infrastrukturbetreiber selbst zu einem System verbunden, so greift weiterhin die Befugnis des § 8b Abs. 6 BSIG. § 5a Abs. 6 BSIG stellt insoweit eine lex specialis zu § 8b Abs. 6 BSIG dar. 728 Da für die IT-Sicherheit Kritischer Infrastrukturen zwangsläufig ein besonderes öffentliches Interesse besteht, BT-Drs. 18 / 11242, S. 41, liegt ein solcher heraus-
384
Teil 3: Die normative Gewährleistung der IT-Sicherheit
die Erfüllung der Sicherungspflichten durch den Betreiber, sondern auf das Sicherstellen eines kurzfristigen Notbetriebes, wenn der Betreiber dies nicht mehr mit eigenen Mitteln garantieren kann.729 Die unterstützenden und beratenden Tätigkeiten sowie die eigenständige Vornahme der erforderlichen Maßnahmen auf Ersuchen des Betreibers lassen das BSI als behördlichen Dienstleister für die Betreiber Kritischer Infrastrukturen erscheinen. III. Behördlicher IT-Sicherheitsexperte Betrachtet man die Funktionen als IT-Aufsichtsbehörde und als zentrale Stelle für die IT-Sicherheit Kritischer Infrastrukturen, ist das BSI als behördlicher Sicherheitsexperte zu qualifizieren. Das BSI ist zwar (IT-)Sicherheitsbehörde, jedoch sind seine hoheitlichen Befugnisse gegenüber den Betreibern Kritischer Infrastrukturen auf eine Gewährleistungsverwaltung ausgelegt. Daher kann es weder als IT-Sicherheitspartner, noch als klassische Sicherheitsbehörde eingeordnet werden. Zur Erhöhung und Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen tritt es den Betreibern Kritischer In frastrukturen häufig nicht hoheitlich, sondern informell helfend zur Seite. Es nimmt Aufgaben im Bereich der Wissensakkumulation und Analyse, der internationalen Vernetzung, als Multiplikator von Hinweisen zu Bedrohungen der IT-Sicherheit und als IT-Sicherheitsdienstleister wahr. Das BSI bildet zur Erfüllung dieser Aufgaben den nötigen staatlichen institutionellen Rahmen und leistet in bedeutendem Umfang Hilfe zur Selbsthilfe.
B. Verantwortungsteilung zwischen Staat und Privaten Im Gefüge der staatlichen Gewährleistungsverantwortung und privaten Verantwortlichkeit zugunsten der IT-Sicherheit Kritischer Infrastrukturen steht auch das BSI als (IT-Sicherheits-)Behörde. Zum einen nimmt es gewisse Aufsichtsfunktionen über die Betreiber Kritischer Infrastrukturen wahr. Diese dienen dazu die in der Verantwortlichkeit der Betreiber stehende Umsetzung des Pflichtenkanons sicherzustellen. Zum anderen ist die Wissensgenerierung, Analyse und Weitergabe sowie die Beratung und Unterstützung Ausdruck der bestehenden staatlichen Gewährleistungsverantwortung für Kritische Infrastrukturen. Denn erstere können wegen konträrer wirtschaft licher Interessen in Wettbewerbssituationen nicht in effektiver Weise durch gehobener Fall immer dann vor, wenn ein IT-Sicherheitsvorfall eine besondere technische Qualität aufweist. 729 BT-Drs. 18 / 11242, S. 40.
§ 8 Die Rolle des BSI
385
die Betreiber selbständig wahrgenommen werden,730 sind jedoch zur Gewährleistung der IT-Sicherheit unabdingbar. Letztere Aufgaben stellen die IT-Sicherheit sicher, sofern sich der Betreiber nicht in der Lage sieht, die IT-Sicherheit der zum Infrastrukturbetrieb notwendigen IT selbständig zu gewährleisten. Indem das BSI die ihm zugeteilten Aufgaben wahrnimmt, wird staatlicherseits sichergestellt, dass Beeinträchtigungen und Ausfälle Kritischer Infrastrukturen aufgrund von IT-Sicherheitsvorfällen auf dem Niveau des Standes der Technik durch angemessene Maßnahmen vermieden werden. Das BSI füllt den mit den Betreiberpflichten nicht abgedeckten Bereich der staatlichen Gewährleistungsverantwortung für Kritische Infrastrukturen im Bereich der IT-Sicherheit aus.731 In der Rolle des BSI und im Zusammenspiel mit den Pflichten der Betreiber Kritischer Infrastrukturen spiegeln sich die Verantwortungsteilung732 und das hierauf basierende Zusammenwirken bei der Sicherung der IT wider. I. Kooperation oder bloßes Zusammenwirken Betrachtet man die Pflichten im Detail, so sind vielfältige kooperative Elemente enthalten.733 Zu nennen sind zum einen die branchenspezifischen Sicherheitsstandards, § 8a Abs. 2 BSIG,734 oder die Meldepflichten, § 8b Abs. 4 BSIG.735 Bei den branchenspezifischen Sicherheitsstandards schlagen die Betreiber Kritischer Infrastrukturen oder ihre Branchenverbände einen solchen vor und können so Einfluss auf die erforderlichen Sicherungsvorkeh-
730 Vgl. zum Interesse keine Reputationsschäden zu erleiden Wyl / Weise / Bartsch, N&R 2015, S. 23, 25; BDI, InnenA-Drs. 18(4)284 E, S. 8; BVLH / HDE, BT / InnenADrs. 18(4)297, S. 5. 731 Engels, Zivile Sicherheit in Kritischen Infrastrukturen – Öffentliche Netze, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 273, 275; zur Erfüllung der Gewährleistungsverantwortung durch staatliche Stellen Schmidt am Busch, Die Verwaltung 49 (2016), S. 205, 208; vgl. auch Schulze-Fielitz, § 12, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band I, Rdnr. 157. 732 König / Popescu-Zeletin / Schliesky u. a., IT und Internet als kritische Infrastruktur, S. 9. 733 Zur Notwendigkeit eines kooperativen Ansatzes Engels, Zivile Sicherheit in Kritischen Infrastrukturen – Öffentliche Netze, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 273, 274 f. 734 Roos, MMR 2015, S. 636, 638; Roth, ZD 2015, S. 17, 20; Könen, DuD 2016, S. 12, 15. 735 Vgl. Könen, DuD 2016, S. 12, 15.
386
Teil 3: Die normative Gewährleistung der IT-Sicherheit
rungen nehmen.736 Insofern lässt sich von einer staatlich ermöglichten und veranlassten Selbstregulierung der IT-Sicherheit Kritischer Infrastrukturen sprechen.737 Der kooperative Charakter der Meldepflicht ist weniger offensichtlich. Erst in Verbindung mit der Befugnis in § 3 Abs. 3 BSIG, wonach das BSI „Betreiber Kritischer Infrastrukturen auf deren Ersuchen bei der Sicherung ihrer Informationstechnik beraten und unterstützen“ kann, kann ein kooperativer Umriss erkannt werden. Indem die Betreiber Kritischer In frastrukturen dem BSI Meldungen über Sicherheitsvorfälle mitteilen und diese zentral für sämtliche Kritischen Infrastrukturen ausgewertet werden, generiert das BSI Wissen, das über eine entsprechende Beratung und Unterstützung der Betreiber wieder an diese zurückfließt. Selbst die Nachweispflicht des § 8a Abs. 3 BSIG enthält Elemente des Zusammenwirkens.738 Denn die Einhaltung der Sicherungspflicht wird nicht einseitig hoheitlich vom BSI überprüft, sondern der Betreiber weist dem BSI gegenüber nach, dass er diese eingehalten hat. Doch nicht nur bei den materiellen Pflichten sind kooperative Elemente enthalten. Sie sind auch bei der Bestimmung des personellen Anwendungsbereichs anzutreffen, indem die Rechtsverordnung zur Bestimmung erst „nach Anhörung (…) der betroffenen Betreiber und der Wirtschaftsverbände“, § 10 Abs. 1 S. 1 BSIG, erlassen wird. Nichtsdestotrotz liegt weder bei den materiellen Pflichten noch bei der Bestimmung des personellen Anwendungsbereiches eine Kooperation im strengen Sinne vor. Betreiber und BSI stehen sich nicht gleichberechtigt gegenüber. Denn eine Entscheidungsfindung erfolgt nicht im Wege einer dialogischen Kommunikation und durch eine freiwillige Einigung.739 Die Betreiber sind sowohl aufgrund der auferlegten Pflichten als auch institutionell dem BSI untergeordnet. Das BSI kommuniziert zwar bei der Beratung teils dialogisch, ihm steht jedoch eine Letztentscheidungskompetenz zu, indem die Betreiber nur angehört werden, dem BSI die Erfüllung der Siche736 Engels, Zivile Sicherheit in Kritischen Infrastrukturen – Öffentliche Netze, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 273, 278 f.; Dürig, Verantwortung zwischen Gesetzgebung und Wirtschaft, in: Bub / Deleski / Wolfenstetter, Sicherheit im Wandel von Technologien und Märkten, S. 5, 8 f. 737 Wischmeyer, Die Verwaltung 50 (2017), S. 155, 163; Bundesministerium für Wirtschaft und Energie, IT-Sicherheit für die Industrie 4.0, S. 204; vgl. zu Formen der staatlich veranlassten Selbstregulierung Trute, DVBl. 1996, S. 950, 954; vgl. SchulzeFielitz, § 12, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band I, Rdnr. 156. 738 Zur Gewährleistungsaufsicht unter Mitwirkung des Beaufsichtigten Schmidt am Busch, Die Verwaltung 49 (2016), S. 205, 222. 739 Benz, Kooperative Verwaltung, S. 38 f.
§ 8 Die Rolle des BSI
387
rungspflicht nachzuweisen ist und es eine Eignung der branchenspezifischen Sicherheitsstandards zu einer angemessenen Sicherung feststellt. Diese Letzt entscheidungskompetenz schließt zugleich die Notwendigkeit einer freiwilligen Einigung aus. Insofern sind die auf Mitwirkung angelegten dogmatischen Bausteine des Pflichtenkanons nicht Ausdruck einer gleichberechtigten Kooperation, sondern eines Zusammenwirkens in einem Stufenverhältnis zu einer effektiven Aufgabenerfüllung. Eine echte Kooperation, wie sie im UP KRITIS erfolgt, war wegen der gewollten gesetzlichen Verpflichtung der Betreiber, die IT-Sicherheit zu erhöhen, nicht angestrebt.740 II. Das BSI als staatlicher Garant der IT-Sicherheit Kritischer Infrastrukturen Bei der Ausgestaltung des Zusammenwirkens hält sich der Gesetzgeber mit der Vorgabe konkret bezeichneter Maßnahmen zur Sicherung der IT und diesbezüglichen Nachweisen zurück. Er setzt nur den Rahmen der Sicherung der IT und überwacht die einzuhaltenden Grenzen.741 Innerhalb dieses Raumes unterliegen die Betreiber für die konkreten Vorkehrungen keiner staat lichen Einflussnahme, sondern nehmen die Sicherungsmaßnahmen eigenverantwortlich vor.742 Der Staat überlässt die Auswahl der konkreten Mittel den Betreibern selbst und verpflichtet sie lediglich auf das Ziel der angemessenen organisatorischen und technischen Vorkehrungen und den Nachweis in geeigneter Weise.743 Insoweit werden die Betreiber dazu verpflichtet, Leistungen, an denen
740 BT-Drs. 18 / 4096,
S. 2. Aufgabe der Rahmensetzung des Staates bei einer Zusammenführung von staatlicher und gesellschaftlicher Problemlösungskompetenz Hill / Martini, § 34, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 73. 742 Die Notwendigkeit der Eigenverantwortlichkeit bei der Sicherung der IT betonend Wagner, Anforderungen und Möglichkeiten eines Rechtsrahmens für IT-Sicherheit: Bedarf es eines IT-Sicherheitsrahmengesetzes?, in: Holznagel / Hanßmann / Sonntag, IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, S. 144, 151; Stockhaus, Regulierte Selbstregulierung im europäischen Chemikalienrecht, zu den Charakteristika der „regulierten Selbstregulierung“ S. 75 sowie zur hierdurch erfüllten Gewährleistungsverantwortung am Beispiel des Umweltschutzes vgl. S. 78 f.; vgl. Ronellenfitsch, Selbstverantwortung und Deregulierung im Ordnungs- und Umweltrecht, S. 30 f. 743 Siehe für das Bestehen einer Verantwortlichkeit der Betreiber auf einfachgesetzlicher Ebene § 7 D.; nur für die Nachweise Könen, DuD 2016, S. 12, 14. 741 Zur
388
Teil 3: Die normative Gewährleistung der IT-Sicherheit
ein öffentliches Interesse besteht,744 in Form der Vorkehrungen zur Erhöhung der IT-Sicherheit zu erbringen.745 Diese Inpflichtnahme ist Ausdruck einer Neuordnung der Rollenverteilung zwischen Bürger und Staat im Wege einer Stärkung der Eigenverantwortung der Betreiber Kritischer Infrastrukturen für den Bereich der IT-Sicherheit.746 Dadurch dass staatliche Behörden die einzuhaltenden Grenzen überwachen, ist die Rolle der staatlichen Akteure gegenüber derjenigen der Privaten in der praxisgerechten Umsetzung des ITSicherheitsgesetzes stark zurückgenommen.747 Das BSI ist bei der Erfüllung der Sicherungs-, Nachweis- und Meldepflicht vornehmlich unterstützend und beratend tätig. Aufsichtliche Funktionen stehen im Hintergrund.748 Daher erfolgt die Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen in arbeitsteiliger Weise zwischen dem Staat und Privaten.749 Diese Regelungsstruktur ist Ausdruck staatlicher Gewährleistungsverwaltung.750 Der Staat zieht sich mit dem Pflichtenkanon auf eine Garantiefunktion zurück. Er steuert weder durch die eigene Vornahme von Sicherungsvorkehrungen die Risiken für die IT-Sicherheit Kritischer Infrastrukturen noch sammelt er hierfür selbst die notwendigen Informationen. Dies wird den Betreibern überlassen. Selbst die Durchsetzung der Sicherungspflicht erfolgt im Wesentlichen über das Instrument der Nachweispflicht durch die Betreiber selbst.751 Aufsichtliche Funktionen werden nur ergänzend durch die 744 Vgl. Burgi, Funktionale Privatisierung und Verwaltungshilfe, S. 87; zur Nutzbarkeit von Potentialen der Gesellschaft zu öffentlichen Zwecken Voßkuhle, VVDStRL 62 (2003), S. 268, 307. 745 Vgl. zu einfachgesetzlich ausgestalteten Verantwortungsbeiträgen Burgi, Funktionale Privatisierung und Verwaltungshilfe, S. 93 f. 746 Ronellenfitsch, Selbstverantwortung und Deregulierung im Ordnungs- und Umweltrecht, S. 25 ff., 30 f.; Burgi, Funktionale Privatisierung und Verwaltungshilfe, S. 88; vgl. zu einem entstehenden Spielraum unternehmerischer Disposition Badura, Sozialstaatliche Daseinsvorsorge und Infrastruktursicherung durch Leistungsverwaltung und Gewährleistungsverantwortung, in: Bultmann / Grigoleit / Gusy u. a., Allgemeines Verwaltungsrecht, S. 319, 321; zur Notwendigkeit der Einbeziehung gesellschaftlicher Problemlösungskompetenzen und der damit einhergehenden Verantwortungsteilung Hill / Martini, § 34, in: Hoffmann-Riem / Schmidt-Aßmann / Voßkuhle, Grundlagen des Verwaltungsrechts Band II, Rdnr. 72. 747 Vgl. allgemein Di Fabio, VVDStRL 56 (1997), S. 235, 243. 748 Siehe hierzu die Aufgaben des BSI im Bereich der Kritischen Infrastrukturen § 8 A. 749 Vgl. allgemein Schmidt am Busch, Die Verwaltung 49 (2016), S. 205, 206; zu einer Gewährleistungsstruktur mit staatlichen und privaten Beiträgen Voßkuhle, VVDStRL 62 (2003), S. 268, 307 f. 750 Vgl. bereits § 7 C.; vgl. zu Grundbausteinen des Gewährleistungsverwaltungsrechts Voßkuhle, VVDStRL 62 (2003), S. 268, 310 ff. 751 Vgl. zur Verlagerung der Kontrollverantwortung auf Private als Form der Gewährleistungsaufsicht Edelbluth, Gewährleistungsaufsicht, S. 41.
§ 9 Zulässigkeit der Inpflichtnahme Privater
389
Überprüfungsbefugnis des BSI als staatliche Behörde wahrgenommen. Der Pflichtenkanon ist eine Form der staatlichen Gewährleistungsverwaltung. Sie lässt den Privaten weite Freiräume bei der Zielerreichung, verpflichtet sie nur auf das Ziel und kontrolliert die Privaten bei ihrer eigenverantwortlichen Aufgabenerledigung.752 Der Staat wird durch das BSI nur dort selbst tätig, wo die Inpflichtnahme der Privaten die Zielerreichung nicht garantieren kann.753 Damit ist das BSI Garant der Erfüllung der staatlichen Gewährleistungsverantwortung für die IT-Sicherheit Kritischer Infrastrukturen.
§ 9 Verfassungs- und unionsrechtliche Zulässigkeit der Inpflichtnahme Privater Den Betreibern Kritischer Infrastrukturen wurden Sicherungs-, Nachweisund Meldepflichten auferlegt, ohne dass sie Verursacher der relevanten Bedrohungen der IT-Sicherheit sind. Lediglich für Risiken die aus dem Betrieb einer IT selbst folgen, können sie als Verursacher ermittelt werden. Damit werden für den Schutz gegen Bedrohungen mit den Pflichten nicht die Verursacher, sondern „Opfer“ adressiert. Dies wirft die Frage auf, ob eine derartige Belastung der „Opfer“ durch eine Inpflichtnahme verfassungs- und unionsrechtlich zulässig ist. Um dies zu klären, muss ein Ausgleich zwischen staatlicher Verantwortlichkeit754 und privater Pflichtigkeit der Betreiber755 gefunden werden. Nachdem geklärt wurde, inwieweit dem Bundesgesetzgeber für die Rechtsmaterie der IT-Sicherheit Kritischer Infrastrukturen eine Gesetzgebungskompetenz zusteht, wird untersucht, ob dieses Spannungsverhältnis der staatlichen und privaten Beiträge, am Maßstab der Grundrechte des GG und der EUGRCH gemessen, in zulässiger Weise aufgelöst wurde.
752 Vgl. Schmidt am Busch, Die Verwaltung 49 (2016), S. 205, 208 f.; vgl. Voßkuhle, VVDStRL 62 (2003), S. 268, 311. 753 Vgl. hierzu die Feststellung der Eignung der branchenspezifischen Sicherheitsstandards, um ein Absinken des IT-Sicherheitsniveaus zu verhindern. Siehe § 7 A. I. 6. f) aa). Vgl. auch die Rolle des BSI als zentrale Stelle für die IT-Sicherheit Kritischer Infrastrukturen § 8 A. II. Nur das BSI als staatliche Stelle wird nicht durch eigene wirtschaftliche Interessen beeinflusst und kann sich bei der Wahrnehmung seiner Aufgaben allein am Gemeinwohlziel der Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen zur Absicherung der Versorgungssicherheit orientieren. Vgl. zum „Staat als Wissensverwalter“ Spieker gen. Döhmann, Rechtliche Begleitung der Technikentwicklung im Bereich moderner Infrastrukturen und Informationstechnologien, in: Hill, Die Vermessung des virtuellen Raums, S. 137, 141. 754 Vgl. § 4. 755 Vgl. § 5.
390
Teil 3: Die normative Gewährleistung der IT-Sicherheit
A. Kompetenz des Bundes Der Bund hat mit den Regelungen des IT-Sicherheitsgesetzes und des Gesetzes zur Umsetzung der RL (EU) 2016 / 1148 seine Gesetzgebungsmacht ausgeübt. Auch hat er mit dem BSI eine besondere Fachbehörde errichtet. Daher ist zu klären, inwieweit dem Bund die Gesetzgebungs- sowie die Verwaltungskompetenz zusteht. I. Gesetzgebungskompetenz Die beschriebenen Pflichten der §§ 8a ff. BSIG, § 11 EnWG, § 44b AtG und § 109 TKG fallen aufgrund der betroffenen Kritischen Infrastrukturen gänzlich in die Gesetzgebungskompetenz des Bundes. Da der teilweise als Kritische Infrastruktur bezeichnete Sektor Medien und Kultur756 in die Landesgesetzgebungskompetenz fällt, konnte er nicht mitgeregelt werden. Er ist keine Kritische Infrastruktur i. S. d. § 2 Abs. 10 BSIG. Zwar ist das Sicherheitsrecht eine Materie, die in die Gesetzgebungskompetenz der Länder fällt, und es existiert keine gesonderte Bundeszuständigkeit zur IT-Sicherheit. Die Pflichten zur Erhöhung und Gewährleistung der IT-Sicherheit sind aber gleichwohl kein klassisches Sicherheitsrecht. Stattdessen bilden die Pflichten ein System der Risikosteuerung für Kritische Infrastrukturen, das durch die Sicherstellung der Versorgung mit kritischen Infrastrukturdienstleistungen geprägt ist.757 Diese Qualifikation als der Gefahrenabwehr vorgelagertes Risikosteuerungsrecht schließt dennoch die Landesgesetzgebungskompetenz nicht aus.758 Da die Kritischen Infrastrukturen auf die Bereiche Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen kraft gesetzlicher Definition in § 2 Abs. 10 S. 1 Nr. 1 BSIG beschränkt sind, ergeben sich Gesetzgebungskompetenzen des Bundes vielmehr aus dem sektorspezifischen Zusammenhang.759 Sektorspezifische Kompetenzen ergeben sich für den Luftverkehr, Art. 73 Abs. 1 Nr. 6 GG,760 die Eisenbahnen, Art. 73 Abs. 1 Nr. 6a, Art. 74 Abs. 1 756 Zu den Sektoren Kritischer Infrastrukturen nach dem UP KRITIS siehe UP KRITIS, UP-KRITIS: Öffentlich-rechtliche Partnerschaft zum Schutz Kritischer Infrastrukturen, S. 5. 757 Vgl. § 2 A. II. 4.; § 3 B. II. 758 Vgl. Möllers / Pflug, Verfassungsrechtliche Rahmenbedingungen des Schutzes kritischer IT-Infrastrukturen, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 47, 55. 759 Zu den im Gesetzgebungsverfahren zugrunde gelegten Kompetenzen BTDrs. 18 / 4096, S. 19; BT-Drs. 18 / 11242, S. 25 f.
§ 9 Zulässigkeit der Inpflichtnahme Privater 391
Nr. 23 GG,761 die Schifffahrt, Art. 74 Abs. 1 Nr. 21 GG,762 und das Postwesen, Art. 73 Abs. 1 Nr. 7 GG, als Branchen des Sektors Transport und Verkehr. Für die Telekommunikation als Teil des Sektors Informationstechnik und Telekommunikation folgt eine Bundesgesetzgebungskompetenz aus Art. 73 Abs. 1 Nr. 7 GG,763 für den Sektor Gesundheit teilweise aus Art. 74 Abs. 1 Nr. 19 GG764 und einen Ausschnitt des Energiesektors, der Nutzung von Atomenergie, aus Art. 73 Abs. 1 Nr. 14 GG. Sofern Sektoren oder Teile hiervon nicht in einem dieser spezifischen Kompetenztitel enthalten sind, können die Pflichten auf das Recht der Wirtschaft aus Art. 74 Abs. 1 Nr. 11 GG gestützt werden. Die Regulierung der IT-Sicherheit wird von diesen Kompetenztiteln bei einem weiten Verständnis unmittelbar, jedenfalls aber als Annex gedeckt.765 Auf diesen Kompetenztitel können auch sicherheitsrechtliche Regelungen basieren, die das Wirtschaftsleben ordnen und lenken.766 Neben Infrastrukturen aus dem Informations760 Zur Gefahrenabwehr im Luftverkehr Seiler, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 73 GG, Rdnr. 25; Degenhart, in: Sachs, Grundgesetz, Art. 73 GG, Rdnr. 26. 761 Zur Gefahrenabwehr bei den Eisenbahnen des Bundes BVerfG NVwZ 1998, S. 495; Seiler, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 73 GG, Rdnr. 29; Degenhart, in: Sachs, Grundgesetz, Art. 73 GG, Rdnr. 27. 762 Zur umfassenden Kompetenz für den Schiffsverkehr Maunz, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 74 GG, Rdnr. 233. 763 Andere Ansicht Möllers / Pflug, Verfassungsrechtliche Rahmenbedingungen des Schutzes kritischer IT-Infrastrukturen, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 47, 54, da dieser unzutreffend davon ausgeht, dass Sicherungspflichten, die der IT-Sicherheit dienen, keine Voraussetzung für die notwendige Übertragung von Informationen sind. Dennoch zeigt der Zweck der Pflichten, die Verfügbarkeit der Telekommunikationsdienste sicherzustellen, dass IT-Sicherheit eine Voraussetzung für die Informationsübertragung ist; vor dem Hintergrund des Art. 87f Abs. 1 GG muss die Gesetzgebungskompetenz so ausgelegt werden, dass technische Maßnahmen zur Sicherstellung der Funktionsfähigkeit der Telekommunikationsinfrastruktur hierunter fallen. Vgl. im Hinblick auf das PTSG Uhle, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 73 GG, Rdnr. 179. 764 Seiler, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 74 GG, Rdnr. 70 bzgl. Impfungen, Rdnr. 72 bzgl. Arzneimitteln; Maunz, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 74 GG, Rdnr. 213 bzgl. Impfungen, Rdnr. 219 bzgl. Arzneimitteln; von Art. 74 Abs. 1 Nr. 19 GG sind die medizinische Versorgung sowie die Labore nicht umfasst. 765 Vgl. Möllers / Pflug, Verfassungsrechtliche Rahmenbedingungen des Schutzes kritischer IT-Infrastrukturen, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 47, 55; im Hinblick auf das IT-Sicherheitsgesetz eine Annexkompetenz zu Art. 74 Abs. 1 Nr. 11 GG annehmend Engels, Zivile Sicherheit in Kritischen Infrastrukturen – Öffentliche Netze, in: Gusy / Kugelmann / Würtenberger, Rechtshandbuch Zivile Sicherheit, S. 273, 278. 766 Maunz, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 74 GG, Rdnr. 132 f., 151; Degenhart, in: Sachs, Grundgesetz, Art. 74 GG, Rdnr. 52.
392
Teil 3: Die normative Gewährleistung der IT-Sicherheit
technik- und Telekommunikations-, dem Gesundheits- und dem Energie sektor,767 fallen hierunter die Sektoren Finanz- und Versicherungswesen,768 Wasser und Ernährung. Denn mit den Pflichten wird eine wirtschaftliche Betätigung769 geregelt. Angesichts der nicht landesbezogenen, sondern im Hinblick auf das gesamte Bundesgebiet gewachsenen Infrastruktur, lässt die weitgehende Vernetzung landesrechtliche Regelungen untauglich erscheinen. Darüber hinaus verdeutlicht der Bereich der IT-Sicherheit, der sogar ein staatenübergreifendes Vorgehen auf europäischer Ebene erfordert,770 das Bedürfnis nach einer Bundesgesetzgebung zur Wahrung der Rechts- und Wirtschaftseinheit.771 Die Pflichten zur Erhöhung und Gewährleistung der IT-Sicherheit können im EnWG und im TKG jeweils auf eine konkrete Gesetzgebungskompetenz gestützt werden. Für diejenigen der §§ 8a f. BSIG ist hingegen ein Zusammenziehen verschiedener Gesetzgebungskompetenzen nötig, die nur in ihrer Gesamtheit die allgemeinen Regelungen zur IT-Sicherheit Kritischer Infrastrukturen tragen. Insofern liegen die „Regelungen zum Schutz von [Kritischen] IT-Infrastrukturen (…) quer zur Kompetenzverteilung des GG.“772 II. Exkurs: Verwaltungskompetenz für das BSI Das BSI durchbricht als Behörde des Bundes die grundsätzliche Verwaltungskompetenz der Länder für Bundesgesetze, Art. 83 GG.773 Dies ist bemerkenswert, da es eine „Sicherheitsbehörde“774 ist, der besondere Aufgaben 767 Zum Energiesektor Maunz, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 74 GG, Rdnr. 144; Seiler, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 74 GG, Rdnr. 36. 768 Maunz, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 74 GG, Rdnr. 145 ff.; Seiler, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 74 GG, Rdnr. 40 ff.; bei Versicherungen nur das privatrechtliche Versicherungswesen. 769 BVerfGE 8, 143, 149; 116, 202, 215 f.; Seiler, in: Epping / Hillgruber, Beck’ scher Online-Kommentar Grundgesetz, Art. 74 GG, Rdnr. 32; Maunz, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 74 GG, Rdnr. 131; vgl. sogleich beim Eingriff in Art. 12 GG § 9 B. I. 1. b). 770 Vgl. Erw.-Gr. 6 RL (EU) 2016 / 1148. 771 BT-Drs. 18 / 4096, S. 19. 772 Möllers / Pflug, Verfassungsrechtliche Rahmenbedingungen des Schutzes kritischer IT-Infrastrukturen, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 47, 53. 773 Suerbaum, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 83 GG, Rdnr. 12. 774 Vgl. zum BSI als „Sicherheitsbehörde besonderer Art“ Wolff, Das IT-Sicherheitsgesetz als Teil der jüngeren Entwicklung der Sicherheitsarchitektur, in: Möstl / Wolff, IT-Sicherheit als Herausforderung für Wirtschaft und Staat, S. 83, 94 f.
§ 9 Zulässigkeit der Inpflichtnahme Privater 393
im Bereich der IT-Sicherheit zukommen.775 Aus Art. 87 Abs. 3 S. 1 Alt. 1 GG folgt jedoch eine auf Bundesoberbehörden begrenzte Verwaltungskompetenz des Bundes, soweit ihm die Gesetzgebungskompetenz zusteht. Da die Regelungen zur IT-Sicherheit Kritischer Infrastrukturen in die Gesetzgebungskompetenz des Bundes776 fallen, kann der Bund eine selbständige Bundesoberbehörde errichten. Dies hat er mit dem BSI getan, § 1 S. 1 BSIG. Denn mit diesem werden die Aufgaben für die IT-Sicherheit Kritischer Infrastrukturen für das gesamte Bundesgebiet ohne behördlichen Unterbau durch das BSI selbst wahrgenommen. Das BSI ist als zuständige Bundesoberbehörde für die IT-Sicherheit Kritischer Infrastrukturen von der Verwaltungskompetenz des Bundes gedeckt.
B. Grundrechte Die Betreiber Kritischer Infrastrukturen werden mit der Sicherungs-, Nachweis- und Meldepflicht zur Sicherstellung der öffentlichen Aufgabe der Gewährleistung der Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen in die Pflicht genommen. Inwieweit dies zulässig ist, beurteilt sich am Maßstab der Grundrechte.777 Die betreffenden Pflichten zur Sicherung der IT waren bereits im IT-Sicherheitsgesetz vom 24. Juli 2015 enthalten. Die RL (EU) 2016 / 1148 folgte fast ein Jahr später erst am 6. Juli 2016. Die Regelungen des IT-Sicherheitsgesetzes wurden durch das Gesetz zur Umsetzung der RL (EU) 2016 / 1148 vom 23. Juni 2017 an die Richtlinienvorgaben angepasst.778 Sie unterliegen daher einer unionsrechtlichen Determinierung,779 soweit der personelle Anwendungsbereich der RL (EU) 2016 / 1148 reicht.780 Dem nationalen Gesetzgeber kam sowohl bei der Bestimmung der Kritischen Infrastrukturen im Bereich der wesentlichen Dienste wie auch bei der Ausgestaltung der einzelnen Pflichten ein auszufüllender Umsetzungsspielraum zu. Deshalb können in diesem Bereich nationale und unionsrechtliche Grundrechte Anwendung finden.781 Der Anwendungsbereich der Grundrechte der EUGRCH erstreckt 775 Siehe
zu den behördlichen Aufgaben des BSI § 8 A. in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 87 GG, Rdnr. 30. 777 BVerfGE 30, 392, 310 bzgl. der Mineralölbevorratungspflicht zur Sicherung der Energieversorgung. 778 BGBl. I, S. 1885. 779 Vgl. Frenz, Handbuch Europarecht, Rdnr. 245. 780 Siehe hierzu § 6 B. II. 781 Vgl. BVerfGE 118, 79, 95; 121, 1, 15; 125, 260, 306 f.; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 53 EUGRCH, Rdnr. 28; Dederer, in: Maunz / Dü776 Suerbaum,
394
Teil 3: Die normative Gewährleistung der IT-Sicherheit
sich aber nicht nur auf Sachverhalte, die der Durchführung von Unionsrecht dienen. Es genügt, wenn mitgliedsstaatliches Handeln in den Geltungsbereich des Unionsrechts fällt.782 Dies ist auch dann der Fall, wenn Grundfreiheiten betroffen sind.783 Somit könnten die Unionsgrundrechte umfassend anwendbar sein. Die Betreiberpflichten bewegen sich, soweit sie nicht durch die RL (EU) 2016 / 1148 determiniert sind, an sich nicht im Anwendungsbereich der Grundfreiheiten. Zum einen liegt bereits kein grenzüberschreitender784 Sachverhalt vor. Anlagen werden als Kritische Infrastrukturen nur erfasst, wenn sie sich in Deutschland befinden. Zum anderen werden keine Anforderungen an die Infrastrukturdienstleistung normiert, die deren Verkehrsfähigkeit einschränken785 würden, noch wird hierdurch der Marktzugang786 erschwert.787 Damit schränken die Betreiberpflichten die Grundfreiheiten nicht ein. Eine noch weitergehende Anwendbarkeit der Unionsgrundrechte wurde in der Entscheidung Åkerberg Fransson des EuGH angenommen. Es genügt rig, Grundgesetz Kommentar, Art. 100 GG, Rdnr. 124; Jarass, NVwZ 2012, S. 457, 460; Stern / Hamacher, in: Stern / Sachs, Europäische Grundrechte-Charta, Einführung und Grundlagen, Rdnr. 100; Classen, EuR 2017, S. 347, 357; die verschiedenen Ansichten bzgl. der Bindung der Mitgliedsstaaten an die nationalen und / oder an die unionsrechtlichen Grundrechte darstellend Starke, DVBl. 2017, S. 721, 725. 782 EuGH Rs. C-617 / 10, ECLI:EU:C:2013:105, Rdnr. 21 – Åkerberg Fransson; EuGH Rs. C-276 / 01, Slg. 2003, I-3756, 3777 – Steffensen. 783 EuGH Rs. C-260 / 89, Slg. 1991, I-2951, 2964 – ERT / DEP; EuGH Rs. C-368 / 95, Slg. 1997, I-3709, 3717 – Vereinigte Familiapress Zeitungsverlags- und vertriebs GmbH / Bauer Verlag; EuGH Rs. C-60 / 00, Slg. 2002, I-6305, 6321 – Carpenter; EuGH C-390 / 12, ECLI:EU:C:2014:281, Rdnr. 31 ff. – Pfleger u. a.; Jarass, NVwZ 2012, S. 457, 460; Stern / Hamacher, in: Stern / Sachs, Europäische Grundrechte-Charta, Einführung und Grundlagen, Rdnr. 97 f.; in dieser Situation eine Bindung an die Grundrechte der EUGRCH hingegen ablehnend Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 51 EU-GRCharta, Rdnr. 13 ff., 16 ff. insbes. 19; die Rechtsprechung und die Kritik hieran darstellend Starke, DVBl. 2017, S. 721, 727. 784 Zum grenzüberschreitenden Bezug als Voraussetzung der Warenverkehrsfreiheit Leible / Streinz, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 34 AEUV, Rdnr. 33; zur Dienstleistungsfreiheit Randelzhofer / Forsthoff, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 57 AEUV, Rdnr. 49 f. 785 Die Pflichten zur IT-Sicherheit erfassen nur die Infrastruktur und die eingesetzte IT selbst, wirken sich jedoch nicht auf Eigenschaften der erbrachten Dienstleistungen aus; zum Ziel des Art. 34 AEUV Beschränkungen der Verkehrsfähigkeit zu verhindern Müller-Graff, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 34 AEUV, Rdnr. 2. 786 EuGH Rs. C-463 / 00, Slg. 2003, I-4606, 4631 – Kommission / Spanien. 787 Die Pflichten zur IT-Sicherheit knüpfen nämlich nicht an den Marktzugang, sondern an das Überschreiten einer Schwelle an erbrachten Dienstleistungen an. Vgl. zur Bestimmung der Kritischen Infrastrukturen § 6 A. II.
§ 9 Zulässigkeit der Inpflichtnahme Privater 395
demnach bereits, wenn Mitgliedsstaaten im Kontext des Unionsrechts handeln, ohne dass eine eindeutige Umsetzungs- oder Durchführungsverpflichtung besteht.788 Doch auch dies trifft auf die Betreiberpflichten Kritischer Infrastrukturen zur IT-Sicherheit nicht zu. Die Regelungen fallen, soweit sie über die wesentlichen Dienste i. S. d. RL (EU) 2016 / 1148 hinausreichen, in keinen unionsrechtlichen Kontext. Dies steht auch nicht in einem Widerspruch zur erkannten unionsrechtlichen Infrastrukturverantwortung für die IT-Sicherheit Kritischer Infrastrukturen.789 Zwar enthält diese einen objektiven Auftrag, im Rahmen ihrer Befugnisse dem Funktionieren der Dienste von allgemeinem wirtschaftlichen Interesse Rechnung zu tragen. Allein das Bestehen einer unionsrechtlichen Verantwortung aus Art. 14 S. 1 AEUV genügt für eine Anwendbarkeit der Unionsgrundrechte nicht.790 Sie müsste auch ausgestaltet worden sein.791 Dies ist mit der RL (EU) 2016 / 1148 indes nur für wesentliche Dienste aber nicht darüber hinausgehend erfolgt. Infolgedessen können nur die Pflichten für die wesentlichen Dienste an den unionsrechtlichen Grundrechten gemessen werden. Für die Pflichten zur IT-Sicherheit Kritischer Infrastrukturen, die nicht der Umsetzung der RL (EU) 2016 / 1148 dienen, greifen allein die nationalen Grundrechte.792 Untersuchungsgegenstand sind zwar allein die Betreiberpflichten. Deren grundrechtliche Zulässigkeit kann jedoch nicht ohne eine Berücksichtigung der Einbettung in das Zusammenwirken mit den staatlichen Beiträgen zur Gewährleistung der IT-Sicherheit durch das BSI beurteilt werden. Erst eine Gesamtbetrachtung kann ein umfassendes Bild ergeben, mit welcher Intensität die Betreiberpflichten in die Freiheitsgewährleistungen eingreifen.
788 EuGH Rs. C-617 / 10, ECLI:EU:C:2013:105, Rdnr. 21 ff. – Åkerberg Fransson; wonach mittelbare Einflüsse des Unionsrechts nicht genügen EuGH C-206 / 13, ECLI:EU:C:2014:126, Rdnr. 25 – Siragusa; Terhechte, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 51 GRC, Rdnr. 10 ff.; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 51 EUGRCH, S. 26. 789 Siehe § 4 C. II. 790 Bzgl. nicht ausgeübter Kompetenzen EuGH Rs. C-427 / 06, ECLI:EU:C: 2008:517, Rdnr. 18 – Bartsch; EuGH Rs. C-198 / 13, ECLI:EU:C:2014:2055, Rdnr. 34 ff., insbesondere Rdnr. 36 – Julian Hernández u. a. 791 Vgl. EuGH C-206 / 13, ECLI:EU:C:2014:126, Rdnr. 24 f. – Siragusa; Starke, DVBl. 2017, S. 721, 724 f. 792 Unterliegt ein Rechtsakt keiner unionsrechtlichen Determinierung, sind die Grundrechte der EUGRCH nicht anwendbar EuGH Rs. C-355 / 85, Slg. 1986, I-3238, 3242 – Driancourt / Cognet bzgl. des allgemeinen Diskriminierungsverbots; bzgl. der Anwendbarkeit der Grundrechte der EMRK EuGH Rs. C-60 und 61 / 84, Slg. 1985, I-2618, 2627 – Cinéthèque / Fédération nationale des cinémas français.
396
Teil 3: Die normative Gewährleistung der IT-Sicherheit
I. Grundrechtskanon des Grundgesetzes Da die nationalen Grundrechte umfassend greifen, sollen die Pflichten zunächst an ihnen gemessen werden. Die Pflichten sind darauf zu untersuchen, ob sie gegen die Berufsfreiheit, Art. 12 GG, das Eigentumsgrundrecht, Art. 14 GG, gegen das Fernmeldegeheimnis, Art. 10 GG, oder gegen die Ausprägungen des Art. 2 Abs. 1 GG in Form des Rechts auf informationelle Selbstbestimmung oder des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme verstoßen. 1. Art. 12 Abs. 1 GG a) Schutzbereich Art. 12 Abs. 1 GG schützt als einheitliches Grundrecht sowohl die Berufsausübung wie auch die Berufswahl.793 Wie bereits im Rahmen der objektiven Gewährleistungsgehalte der Grundrechte dargestellt werden konnte, ist der Betrieb einer Kritischen Infrastruktur von der Berufsfreiheit umfasst.794 Sie ist nach Art. 19 Abs. 3 GG auf juristische Personen wesensmäßig anwendbar. Die Betreiber Kritischer Infrastrukturen verlieren ihre Grundrechtsberechtigung nicht dadurch, dass sie an der Erfüllung der staatlichen Gewährleistungsverantwortung bezüglich ihrer IT-Sicherheit beteiligt sind.795 Denn der Betreiber wird hierdurch nicht zu einem grundrechtsverpflichteten Teil des Staates, sondern steht diesem weiterhin als Träger von Grundrechten gegenüber. Sie werden stattdessen für die Sicherstellung öffentlicher Auf gaben in die Pflicht genommen. Dies ist wegen der Anknüpfung an die wirtschaftliche Tätigkeit796 als Betreiber der Kritischen Infrastrukturen an Art. 12 Abs. 1 GG zu messen. b) Eingriff Indem die Betreiber verpflichtet werden, gesetzliche Vorgaben zur Erhöhung der IT-Sicherheit zu erfüllen, liegt ein klassischer Eingriff797 in die Berufsfreiheit vor. Er besitzt eine berufsregelnde Tendenz. Da die Siche793 Mann,
in: Sachs, Grundgesetz, Art. 12 GG, Rdnr. 14. § 4 A. I. 2. 795 Zur Beteiligung Privater bei der Erfüllung öffentlicher Aufgaben Heintzen, VVDStRL 62 (2003), S. 222, 256. 796 BVerfGE 30, 392, 312 = NJW 1971, S. 1255; BVerfGE 22, 380, 383 f. = NJW 1968, S. 347. 797 Mann, in: Sachs, Grundgesetz, Art. 12 GG, Rdnr. 93. 794 Siehe
§ 9 Zulässigkeit der Inpflichtnahme Privater 397
rungs-, Nachweis- und Meldepflichten nicht die Berufswahl, sondern lediglich die Berufsausübung tangieren, stellen sie Berufsausübungsregelungen dar.798 Inwiefern die Pflichten in die Berufsausübung eingreifen, wird anhand der einzelnen Pflichten untersucht. aa) Sicherungspflicht Eingreifende Sicherungspflichten stellen § 8a Abs. 1 BSIG, § 11 Abs. 1a, b EnWG sowie § 109 Abs. 2 TKG dar. Demnach müssen die Verpflichteten Vorkehrungen organisatorischer und technischer Art zur Erhöhung und Gewährleistung der IT-Sicherheit treffen. Die Pflicht zur Vornahme organisatorischer bzw. technischer Maßnahmen betrifft verschiedene Aspekte der Berufsfreiheit. Zunächst wird durch sie in die unternehmerische Organisationsfreiheit799 eingegriffen.800 Sie gewährleistet, dass der Unternehmensinhaber die betriebliche Organisation im Rahmen der gewählten Rechtsform eigenverantwortlich gestalten darf.801 Die Berufsausübungsfreiheit umfasst auch den Schutz der Auswahl der eingesetzten technischen Mittel. In diese Teilfreiheit wird durch die Verpflichtung zur technischen Sicherung der IT eingegriffen. Organisatorische und technische Maßnahmen stellen darüber hinaus eine wirtschaftliche Belastung dar.802 bb) Nachweispflicht Eine Nachweispflicht existiert lediglich in § 8a Abs. 3 BSIG. In speziell normierten Bereichen steht an deren Stelle eine Überprüfungsbefugnis.803 In § 8a Abs. 4 BSIG wurde eine die Nachweispflicht ergänzende Überprüfungsbefugnis eingefügt. Diese verfolgen mit der Nachweispflicht parallele Ziele. Da sie Private jedoch nicht in die Pflicht nimmt, wird ihre verfassungsrechtliche Zulässigkeit nicht vertieft.
798 Zur Inpflichtnahme Privater vgl. BVerfGE 22, 380, 383 f. = NJW 1968, S. 347; vgl. BVerfGE 30, 292, 315 = NJW 1971, S. 1255, 1256. 799 Mann, in: Sachs, Grundgesetz, Art. 12 GG, Rdnr. 79. 800 Guckelberger, DVBl. 2015, S. 1213, 1221; Bräutigam / Wilmer, ZRP 2015, S. 38. 801 Breuer, § 170, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band VIII, Rdnr. 88. 802 Vgl. bereits den Angemessenheitsvorbehalt exemplarisch in § 8a Abs. 1 S. 3 BSIG; BT-Drs. 18 / 4096, S. 3. 803 § 11 Abs. 1a S. 4, Abs. 1b S. 7 EnWG sowie § 109 Abs. 4 S. 7 TKG.
398
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Der Betreiber muss im Rahmen des Nachweises selbst aktiv die Einhaltung der Sicherungspflicht darlegen. Die Belastung für den Betreiber liegt darin, dass er selbst tätig werden und die wirtschaftlichen Kosten für die Erbringung des Nachweises tragen804 muss. Hierdurch greift sie in die Berufsausübungsfreiheit des Infrastrukturbetreibers ein. cc) Meldepflicht Die einem IT-Sicherheitsvorfall nachgelagerte Meldepflicht greift ebenfalls in verschiedene Teilaspekte der Berufsausübung ein. Die Meldepflicht umfasst zum einen die Pflicht zur Einrichtung einer Kontaktstelle nach § 8b Abs. 3 BSIG sowie die Erfüllung der Meldepflicht im engeren Sinne, § 8a Abs. 4 BSIG, § 11 Abs. 1c EnWG, § 44b AtG, § 109 Abs. 5 TKG. (1) Die Pflicht zur Meldung von IT-Sicherheitsvorfällen Die Meldepflicht im engeren Sinne, die Mitteilung von IT-Sicherheitsvorfällen, greift in die Berufsausübungsfreiheit ein. Zum einen entsteht für jede Meldung ein nicht unerheblicher Aufwand, der bereits während des Gesetzgebungsverfahrens prognostisch mit 660 € pro Meldung veranschlagt wurde.805 Zum anderen ist aufgrund des Risikos von Reputationsschäden möglicherweise ein Eingriff in das Recht der Außendarstellung806 gegeben. Dieses gewährleistet die Möglichkeit, im wirtschaftlichen Verkehr auf die eigene Außendarstellung insbesondere durch werbewirksame Maßnahmen einwirken zu können.807 Doch die Meldepflicht berührt dieses Recht nicht. Denn die Möglichkeit auf die eigene Außendarstellung einzuwirken, wird durch die Meldepflicht nicht beschränkt. Sie beinhaltet ebenfalls keine Pflicht, die eigene Außendarstellung selbst negativ zu beeinflussen. Denn diese wird nur bei der beruflichen, also der auf Erwerb ausgerichteten Tätigkeit im Wettbewerb, aber nicht gegenüber Behörden geschützt.808 Dass aus der Meldepflicht auch mittelbar oder faktisch keine Pflicht zur negativen Beeinflussung der eigenen Außendarstellung folgt, wird durch die 804 BT-Drs. 18 / 4096,
S. 3. S. 4 f. 806 Mann, in: Sachs, Grundgesetz, Art. 12 GG, Rdnr. 79. 807 BVerfGE 112, 255, 262 = NJW 2005, S. 1483; BVerfGE 94, 372, 389 = NJW 1996, S. 3067; BVerfGE 95, 173, 181 = NJW 1997, S. 2871. 808 Vgl. die Herleitung des Schutzes des Rechts der Außendarstellung über die berufsbezogenen Handlungen BVerfGE 112, 255, 262 = NJW 2005, S. 1483; BVerfGE 85, 248, 256 = NJW 1996, S. 2341. 805 BT-Drs. 18 / 4096,
§ 9 Zulässigkeit der Inpflichtnahme Privater 399
Pflicht des BSI sichergestellt, nur restriktiv Auskünfte nach § 8e Abs. 1 BSIG zu erteilen und den Datenschutz für gemeldete Daten zu gewährleisten, § 8b Abs. 7 BSIG. Nichtsdestotrotz könnte mittelbar aus den Hinweisen nach § 8b Abs. 2 Nr. 4 BSIG ein Grundrechtseingriff durch staatliche Informationstätigkeit folgen. Art. 12 Abs. 1 GG „schützt aber nicht vor der Verbreitung zutreffender und sachlich gehaltener Informationen am Markt, [wie sie diejenigen der § 8b Abs. 4 S. 2 BSIG darstellen,] die für das wettbewerbliche Verhalten der Marktteilnehmer von Bedeutung sein können, selbst wenn die Inhalte sich auf einzelne Wettbewerbspositionen nachteilig auswirken.“809 Doch selbst wenn man entgegen dieser Rechtsprechungslinie staatliche Informationstätigkeit als Grundrechtseingriff qualifiziert, so trifft dies auf die Meldepflicht selbst nicht zu. Denn diese stellt selbst keine staatliche Informationstätigkeit dar, sondern generiert lediglich einen Informationsfluss hin zum Staat. Erst die auf § 8b Abs. 2 Nr. 4 BSIG beruhenden Hinweise würden einen Eingriff in Art. 12 Abs. 1 GG darstellen. Diese sind jedoch nicht Gegenstand der Untersuchung. Die Meldepflicht greift aber insoweit in die Berufsfreiheit ein, als durch sie Betriebsgeheimnisse betroffen werden.810 Dies ist gerade nicht auszuschließen, da die inhaltlichen Pflichtangaben im Rahmen einer Meldung die Mitteilung der Ursache, der betroffenen IT und der Art der betroffenen Infrastruktureinrichtung811 verlangen. Hierunter können insbesondere technische Geheimnisse fallen.812 Den Eingriff stellt somit die Pflicht zur Verletzung der Vertraulichkeit des Betriebsgeheimnisses dar.813 Durch die Meldepflicht darf der Betriebsinhaber, sofern ein IT-Sicherheitsvorfall ein Betriebsgeheimnis betrifft, dieses nicht vor dem BSI geheim halten, sondern muss es ihm mitteilen. 809 BVerfGE 105, 252, 266 = NJW 2002, S. 2621, 2622; diese Entscheidung des BVerfG ist dahingehend zu kritisieren, dass Grundrechtseingriff und Rechtfertigungselemente vermengt wurden; Ruffert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 12 GG, Rdnr. 50, 61 m. w. N.; Murswiek, NVwZ 2003, S. 1, 2 ff. 810 Vgl. BVerfGE 128, 1, 56 ff. = NVwZ 2011, S. 94, 103 f.; BVerfGE 115, 205, 230 = NVwZ 2006, S. 1041, 1042; ausführlich Beyerbach, Die geheime Unternehmensinformation, S. 175 ff. 811 § 8b Abs. 4 S. 2 BSIG. 812 Zur Möglichkeit Informationen mit Bezug zur IT als Betriebsgeheimnisse einzuordnen Beyerbach, Die geheime Unternehmensinformation, S. 95; vgl. BayObLG, GRUR 1991, S. 694, 695. 813 Betriebsgeheimnisse sind Informationen, die einen Zusammenhang zum Betrieb aufweisen, nur einem bestimmten Personenkreis bekannt sind und nach dem Willen des Betriebsinhabers aufgrund eines berechtigten Interesses geheim gehalten werden sollen; vgl. § 4 A. I. 1. c) bb) (1).
400
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Damit greift die Pflicht, dem BSI IT-Sicherheitsvorfälle zu melden, in die Berufsfreiheit ein. (2) Die Kontaktstelle nach § 8b Abs. 3 BSIG Eine Pflicht zur Einrichtung einer Kontaktstelle ergibt sich aus § 8b Abs. 3 BSIG. Mit den organisatorischen Strukturen geht eine wirtschaftliche Belastung814 und eine Beschränkung der unternehmerischen Organisationsfreiheit einher.815 Hierdurch wird in die Berufsausübungsfreiheit eingegriffen. c) Rechtfertigung Zu untersuchen ist nun, ob und inwieweit die Eingriffe durch die verschiedenen Pflichten gerechtfertigt werden können. Der gesamte einheitliche Schutzbereich unterliegt dem Gesetzesvorbehalt in Art. 12 Abs. 1 S. 2 GG.816 Die im BSIG, EnWG, AtG und TKG normierten Pflichten halten den Gesetzesvorbehalt des Art. 12 Abs. 1 S. 2 GG ein. Die Zulässigkeit der Inpflichtnahme der Betreiber Kritischer Infrastrukturen über Sicherungs- und Meldepflichten, sowie die der Durchsetzung der Sicherungspflicht dienende Nachweispflicht hängt damit von ihrer Verhältnismäßigkeit ab. aa) Legitimes Ziel Mit den in die Berufsfreiheit eingreifenden Normen zielt der Gesetzgeber auf die Erhöhung der IT-Sicherheit Kritischer Infrastrukturen ab. Damit dient die Inpflichtnahme der Betreiber zum einen dem Schutz der öffentlichen Sicherheit817 und des Rechtsgutes der Vertraulichkeit und Integrität informa tionstechnischer Systeme,818 aber auch der Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen.819 Diese allgemeinen Ziele treffen auf die Sicherungs-, Nachweis- und Meldepflicht zu. Heinickel / Feiler, CR 2014, S. 709, 713. § 170, in: Isensee / Kirchhof, Handbuch des Staatsrechts Band VIII, Rdnr. 88; Mann, in: Sachs, Grundgesetz, Art. 12 GG, Rdnr. 79; Bräutigam / Wilmer, ZRP 2015, S. 38; Guckelberger, DVBl. 2015, S. 1213, 1219, 1221. 816 Siehe nur Scholz, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 12 GG, Rdnr. 312; Ruffert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 12 GG, Rdnr. 74. 817 Vgl. § 2 A. II. 1. 818 Vgl. § 4 A. I. 6. c), § 2 A. II. 1. c). 819 BT-Drs. 18 / 4096, S. 1 f. 814 Vgl.
815 Breuer,
§ 9 Zulässigkeit der Inpflichtnahme Privater 401
Bei der Nachweispflicht tritt hinzu, dass damit die Durchsetzung der Sicherungspflicht gewährleistet werden soll.820 Mit der Meldepflicht soll durch den Aufbau von Informationsflüssen hin zum BSI eine zentrale staatliche IT-Sicherheits-Expertise geschaffen werden, um mit dieser der Gewährleistungsverantwortung für die IT-Sicherheit Kritischer Infrastrukturen nachkommen zu können.821 Hiermit werden am Gemeinwohl orientierte und parallel zu grundrecht lichen Schutzpflichten822 laufende Interessen verfolgt, die ein legitimes Ziel darstellen. bb) Geeignetheit und Erforderlichkeit Dass die Pflichten geeignet sind, die IT-Sicherheit, die Versorgung mit kritischen Infrastrukturdienstleistungen sowie eine wirksame Durchsetzung zu gewährleisten und einer Akkumulation von Wissen zur IT-Sicherheit beim BSI zu dienen, konnte bereits im Rahmen der Untersuchung der Wirksamkeit der Pflichten in § 7 E. I. gezeigt werden. Die Verpflichtung zur Eigensicherung der notwendigen IT und der Meldung von IT-Sicherheitsvorfällen ist im Vergleich zur staatlichen Vornahme von Sicherungsmaßnahmen oder Erfassung von IT-Sicherheitsvorfällen im Unternehmen ein milderes und wirksameres Mittel. Es muss lediglich deren Durchsetzung wirksam gewährleistet werden. Im Vergleich zu einer behördlichen Überprüfungsbefugnis kommt der Nachweispflicht eine geringere Eingriffsintensität zu. Sie ist jedoch auch von geringerer Wirksamkeit823 und damit erforderlich. cc) Angemessenheit Ob die Pflichten angemessen sind, zeigt sich im Wege einer Abwägung der widerstreitenden Interessen und Rechtsgüter. Hierbei stehen die im Rahmen des legitimen Ziels aufgezeigten Interessen und Rechtsgüter der Berufsfreiheit des Infrastrukturbetreibers gegenüber. Je intensiver in die Berufsausübungsfreiheit eingegriffen wird, desto schwerer müssen die Gemeinwohl 820 Vgl.
§ 7 E. I. 1. DVBl. 2015, S. 1206, 1207. 822 Vgl. § 4 A. 823 Infolgedessen wurde sie durch eine komplementäre Überprüfungsbefugnis ergänzt. Vgl. zu sonst möglicherweise entstehenden Durchsetzungsdefiziten § 7 A. II. 3. 821 Roßnagel,
402
Teil 3: Die normative Gewährleistung der IT-Sicherheit
interessen wiegen, die hiermit verfolgt werden.824 Für eine Zulässigkeit der Inpflichtnahme Privater spricht, wenn diese eine sachliche Nähe zu den auferlegten Pflichten besitzen.825 Da die Pflichten in die Berufsausübung und nicht in die Berufswahl eingreifen, können nach der Drei-Stufen-Lehre vernünftige Allgemeinwohl erwägungen zu einer Rechtfertigung beitragen.826 Sollten die Berufsausübungsregelungen die Wirkung einer Berufswahlregelung entfalten, sind zu einer Rechtfertigung Gemeinwohlbelange von hoher Bedeutung nötig, die die berufliche Beeinträchtigung überwiegen.827, 828 Keine der auferlegten Pflichten ist aber geeignet die Wirkung einer Berufswahlregelung zu entfalten. Damit genügen vernünftige Gemeinwohlerwägungen.829 Im Rahmen der Abwägung muss beachtet werden, dass die Berufsfreiheit von Betreibern Kritischer Infrastrukturen in Zusammenschau mit dem Sozialstaatsgebot des Art. 20 Abs. 1 GG und aufgrund überwiegender Gemein824 BVerfGE 30, 392, 316 zu Kriterien bzgl. der Zulässigkeit der Inpflichtnahme Privater zur Mineralölbevorratung. 825 BVerfGE 22, 380, 385; 30, 392, 312. 826 BVerfGE 7, 377, 405, Ls. 6 a; Ruffert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 12 GG, Rdnr. 94. 827 BVerfGE 32, 1, 34 f. = NJW 1971, S. 2259, 2262; BVerfGE 82, 209, 229 f. = NJW 1990, S. 2306, 2308; vgl. BVerfGE 7, 377, 405, Ls. 6 b; Ruffert, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 12 GG, Rdnr. 95. 828 Diese Ausnahme von der Drei-Stufen-Lehre zeigt besonders, dass sie nicht streng als gesonderte Verhältnismäßigkeitsdogmatik zu Art. 12 Abs. 1 GG zu verstehen ist, sondern im Grunde eine normale Verhältnismäßigkeitsabwägung darstellt, die durch bestimmte Kategorien vorstrukturiert wurde und eine Folge des einheitlichen Schutzbereiches für Berufswahl und -ausübung ist. Dies wird in den Ausführungen in BVerfGE 32, 1, 34 f. = NJW 1971, S. 2259, 2262 deutlich: „Aber auch Regelungen der Berufsausübung sind an die Wahrung des Verhältnismäßigkeitsgrundsatzes gebunden. Je empfindlicher der Einzelne in seiner freien Betätigung im Beruf beeinträchtigt wird, desto gewichtiger müssen die Interessen des Gemeinwohls sein, denen diese Regelung zu dienen bestimmt ist. Da die vom Bundesgesetzgeber gesetzte Regelung in die Freiheit der Berufsausübung der (…) [Grundrechtsberechtigten] sehr empfindlich eingreift – die Ausübungsregelung kommt einer Berufsaufgabe zumindest sehr nahe –, kann der Eingriff nicht mehr mit jeder vernünftigen Erwägung des Gemeinwohls gerechtfertigt werden, sondern nur mit Interessen des Gemeinwohls, die so schwer wiegen, daß sie den Vorrang vor der erheblichen Berufsbehinderung der Vorexaminierten verdienen“. (Die Nachweise im Original wurden entfernt.) Vgl. ebenso BVerfGE 102, 197, 214 f., die deutlich werden lässt, dass eine strenge, nicht lediglich als Vorstrukturierung des Verhältnismäßigkeitsgrundsatzes und im Rahmen der Abwägung als überwindbar verstandene Drei-Stufen-Lehre einen Systembruch darstellt; vgl. Scholz, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 12 GG, Rdnr. 335 f.; Manssen, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 12 GG, Rdnr. 139. 829 Vgl. zur insoweit vergleichbaren Situation der Mineralölbevorratungspflicht BVerfGE 30, 392, 314 f., zur Verpflichtung der Banken die Kapitalertragssteuer einzubehalten und abzuführen BVerfGE 22, 380, 383 f. = NJW 1968, S. 347.
§ 9 Zulässigkeit der Inpflichtnahme Privater 403
wohlbelange einer altruistischen Pflichtigkeit für die IT-Sicherheit unterliegt.830 Darüber hinaus trifft die Betreiber für Bedrohungen der IT-Sicherheit, die aus dem Betrieb der IT selbst resultieren, eine entsprechende Pflichtigkeit, diese zu vermeiden bzw. zu beseitigen.831 Diese altruistische Pflichtigkeit ist aufgrund der hohen Bedeutung der kritischen Infrastrukturdienstleistungen geeignet, den grundrechtlichen Freiheitsraum der Betreiber zu beschränken. Insoweit sind private Beiträge zur IT-Sicherheit bereits auf verfassungsrechtlicher Ebene angelegt und den Betreibern kommt eine sachliche Nähe zur IT-Sicherheit der eingesetzten IT zu, an die mit den Pflichten angeknüpft werden kann. Nur begrenzt für Bedrohungen, die der Betrieb von IT-Einrichtungen selbst mit sich bringt, besteht eine Verursachungspflichtigkeit. Dies zeigt, dass die IT-Sicherheit Kritischer Infrastrukturen zwar eine öffentliche Aufgabe sein mag, diese jedoch auch durch private Beiträge im Wege einer Inpflichtnahme der Betreiber erfüllt werden kann. Inwieweit die Pflichten im Konkreten Ausprägungen dieser Pflichtigkeit sind und die einfachgesetzliche Ausgestaltung dieser vor dem Hintergrund des Spannungsverhältnisses staatlicher und privater Beiträge einen angemessenen Ausgleich erreicht, soll anhand der einzelnen Pflichten untersucht werden. (1) Sicherungspflicht Die Sicherungspflicht ist unmittelbare Voraussetzung für die Erhöhung und Gewährleistung der IT-Sicherheit und der damit verbundenen Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen. Auf Seite der Betreiber führt sie zu einem unter Umständen erheblichen, vom derzeitigen IT-Sicherheitsniveau abhängigen und in der Allgemeinheit nicht prognostizierbaren Kostenaufwand.832 Darüber hinaus werden der unternehmerischen Organisationsfreiheit zur Gewährleistung der IT-Sicherheit Grenzen gesetzt. Der Eingriff in die durch Art. 12 Abs. 1 GG gewährte grundrechtliche Freiheit muss in einen angemessenen Ausgleich mit den verfolgten Allgemein interessen gebracht werden. Die Allgemeininteressen haben ihren besonderen Niederschlag in der Pflichtigkeit der Betreiber Kritischer Infrastrukturen für die IT-Sicherheit gefunden.833 Sie begrenzt die grundrechtliche Freiheit und markiert einen Raum für Beiträge der privaten Betreiber.834 830 § 5
B. II. 2. b). B. I. 3. 832 BT-Drs. 18 / 4096, S. 4. 833 Vgl. zu den Begründungsansätzen dieser Pflichtigkeit § 5 B. I. 3, II. 2. b), III. 834 Die sozialstaatliche Pflichtigkeit der Betreiber Kritischer Infrastrukturen aus der Freiheitsgewährleistung der Vertraulichkeit und Integrität informationstechnischer 831 § 5
404
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Zwischen diesen beiden Polen hat eine Abwägung zu erfolgen. Dabei ist zu berücksichtigen, dass ein gewisses Maß an IT-Sicherheit im unternehmenseigenen Interesse ist, da die Infrastrukturdienstleistungen ansonsten bei Beeinträchtigungen der IT-Sicherheit nicht erbracht werden können.835 Dieses Eigeninteresse kann aber von Sektor zu Sektor und von Betreiber zu Betreiber divergieren.836 Teilweise wird das im Eigeninteresse gewährleistete IT-Sicherheitsniveau weit unterhalb des durch die Sicherungspflicht geforderten, teilweise auch darüber liegen. Nichtsdestotrotz zeigt es eine Sachnähe der Betreiber zur Sicherung ihrer IT.837 Die Erhöhung und Gewährleistung der IT-Sicherheit ist kein Selbstzweck, sondern mit dem Ziel der Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen verbunden. Dies zeigt sich im auf Kritische Infrastrukturen begrenzten Anwendungsbereich, vgl. § 2 Abs. 10 BSIG. Damit adressiert die untersuchte Sicherungspflicht nur diejenigen, die eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben.838 Diese spiegelt sich in der besonderen sozialstaatlichen Rückbindung der Berufsfreiheit von Betreibern Kritischer Infrastrukturen wider. Aufgrund dessen kommt der Gemeinwohlbindung der Infrastrukturtätigkeit ein erhöhtes Gewicht zu.839 Diese besondere Pflichtigkeit bringt der Gesetzgeber mit der grundrechtlichen Freiheitsgewährleistung der Betreiber durch die Sicherungspflichten in einen angemessenen Ausgleich. Dieser basiert auf den dogmatischen Bausteinen der einfachrechtlichen Ausgestaltung. Zum einen wird den Betreibern mit den organisatorischen und technischen Maßnahmen ein weiter Umsetzungsraum der konkret zu treffenden Vorkehrungen belassen. Zum anderen wird durch die Orientierung am Stand der Technik sichergestellt, dass die Systeme, Art. 2 Abs. 1 GG, kann im Rahmen der Berufsfreiheit gerade nicht berücksichtigt werden, da sie sich nur auf das Grundrecht, das diese Freiheit gewährt, bezieht. Daher kann sie nicht zur Rechtfertigung von Eingriffen in andere Grundrechte herangezogen werden. 835 Vgl. Neumann, BT / InnenA-Drs. 18(4)284 F, S. 2 f.; vgl. zur vergleichbaren Situation bei der Mineralölbevorratung BVerfGE 30, 392, 324 f. 836 Vgl. zur freiwilligen Beteiligung am UP KRITIS, in der das Eigeninteresse deutlich wird, Liedtke, Die Entwicklung der IT-Sicherheit aus dem Blickwinkel der Telekommunikationsbranche, in: Möstl / Wolff, IT-Sicherheit als Herausforderung für Wirtschaft und Staat, S. 47, 58; Wischmeyer, Die Verwaltung 50 (2017), S. 155, 164; vgl. zum fehlenden Erfolg freiwilliger Maßnahmen Friedrich, MMR 2013, S. 273, 273; vgl. BT-Drs. 18 / 4096, S. 2; Könen, DuD 2016, S. 12. 837 Vgl. Schäuble, Schutz kritischer Infrastrukturen als Aufgabe der Politik, in: Kloepfer, Schutz kritischer Infrastrukturen, S. 21, 24. 838 Nur bezüglich der Stromversorgung Altenschmidt, NVwZ 2015, S. 559, 561. 839 Dolle / Lurz, Sicherheit von kritischen Infrastrukturen in Deutschland – sind wir mit dem IT-Sicherheitsgesetz auf dem richtigen Weg?, in: Paulsen, Sicherheit in vernetzten Systemen, H-3.
§ 9 Zulässigkeit der Inpflichtnahme Privater 405
Sicherung der IT in effektiver Weise vorgenommen wird. Indem im Grundsatz zu einer Sicherung der IT Kritischer Infrastrukturen verpflichtet wird, bewegt sich der Gesetzgeber im Rahmen der grundrechtlichen Pflichtigkeit der Betreiber. Um zu verhindern, dass die Sicherungspflicht zu schärferen Sicherungsmaßnahmen verpflichtet, als sie die Pflichtigkeit der Betreiber tragen würde, werden unangemessene Maßnahmen, die anhand des KostenNutzen-Maßstabes zu ermitteln sind,840 von der Sicherungspflicht ausgenommen. Zudem ist die Sicherungspflicht nur auf diejenige IT begrenzt, ohne die ein Infrastrukturbetrieb nicht möglich ist.841 Auch in zeitlicher Hinsicht wird ein angemessener Ausgleich geschaffen. Für Bereiche, in denen bereits zuvor Sicherungspflichten bestanden, die nur angepasst wurden, greifen die neuen Pflichten sofort.842 Für Infrastrukturen, die erstmals von einer Sicherungspflicht zur IT-Sicherheit erfasst werden, bestehen Übergangsfristen.843 Zudem nimmt das BSI eine unterstützende Funktion bei der Umsetzung der Sicherungspflicht ein. Zwar sind die Sicherungsvorkehrungen durch die Betreiber vorzunehmen. Diese können sich aber bei Bedarf durch das BSI beraten lassen.844 Die Sicherungspflicht kann daher nicht für sich gesehen beurteilt werden. Es muss das Zusammenwirken mit den staatlichen Beiträgen durch das BSI berücksichtigt werden. Durch die Sicherungspflicht werden die Betreiber nicht nur wirtschaftlich belastet. Sie profitieren auch hiervon. Denn indem das BSI die Betreiber bei der Umsetzung der Sicherungspflicht berät, erfolgt ein Transfer vermögenswerten Wissens hin zum Betreiber. Außerdem können durch die Sicherungsvorkehrungen erfasste Risiken besser gesteuert werden. Die Sicherungspflicht gestaltet damit die in der Berufsfreiheit der Betreiber Kritischer Infrastrukturen angelegte Pflichtigkeit in angemessener Weise aus.845
840 Vgl. § 8a Abs. 1 S. 3 BSIG; § 11 Abs. 1a S. 1, Abs. 1b S. 1 EnWG; § 109 Abs. 2 S. 5 TKG. 841 Vgl. § 8a Abs. 1 S. 1 BSIG („die für die Funktionsfähigkeit der (…) Kritischen Infrastrukturen maßgeblich sind“); § 11 Abs. 1a S. 1, Abs. 1b S. 1 EnWG (ITSysteme, „die für einen sicheren Netzbetrieb notwendig sind“); § 109 Abs. 2 S. 1 TKG („hierfür betriebenen“ IT). 842 § 11 Abs. 1a EnWG und § 109 Abs. 2 TKG. 843 Im Falle des § 8a Abs. 1 BSIG beträgt diese zwei Jahre ab Inkrafttreten der BSI-KritisV, vgl. hierzu § 7 A. I. 2. e); im Falle des § 11 Abs. 1b EnWG ist eine Umsetzungsfrist in den Katalog an Sicherungsanforderungen aufzunehmen. 844 Vgl. zum BSI als IT-Sicherheitsdienstleister § 8 A. II. 4. 845 Roßnagel, DVBl. 2015, S. 1206, 1207 f.
406
Teil 3: Die normative Gewährleistung der IT-Sicherheit
(2) Nachweispflicht Die Nachweispflicht dient der Durchsetzung der Sicherungspflicht. Sie verfolgt mit der Sicherungspflicht identische Gemeinwohlziele, die mit dem wirtschaftlichen Aufwand für die Erbringung des Nachweises abzuwägen sind. Da sie der Durchsetzung der Sicherungspflicht dient, ist sie ebenso von der diesbezüglichen grundrechtlichen Pflichtigkeit der privaten Betreiber gedeckt.846 Zwar kann der wirtschaftliche Aufwand für die Nachweise prognostisch nicht abgeschätzt werden, andererseits wird er vom Betreiber beeinflusst, da er von den zu prüfenden Strukturen und dem gewählten Prüfverfahren abhängt.847 Der Nachweis ist nur alle zwei Jahre periodisch zu erbringen. Im Übrigen stellt § 8a Abs. 3 BSIG mangels textlicher Aufnahme einzuhaltender Vorgaben nur aufgrund einer teleologischen Auslegung Mindestanforderungen, die für die Eignung des Nachweises nötig sind. Daher erscheint auch die Nachweispflicht des § 8a Abs. 3 BSIG als angemessene Ausgestaltung der Pflichtigkeit der Betreiber, die deren Interessen ausreichend berücksichtigt. (3) Meldepflicht Im Rahmen der Meldepflicht müssten die Verpflichtung zur Einrichtung einer Kontaktstelle sowie diejenige, Meldungen abzusetzen, angemessen sein. Zweck der Meldepflicht ist nicht unmittelbar die IT-Sicherheit zu gewährleisten oder die Verfügbarkeit von Infrastrukturdienstleistungen sicherzustellen. Daher muss geklärt werden, inwieweit diese die grundrechtliche Pflichtigkeit ausgestaltet und damit von dieser getragen werden kann. (a) Die Pflicht zur Meldung von IT-Sicherheitsvorfällen Die Pflicht zur Meldung von IT-Sicherheitsvorfällen dient dem Aufbau einer Expertise über die IT-Sicherheit Kritischer Infrastrukturen, ohne die eine wirksame Sicherung der IT Kritischer Infrastrukturen nicht möglich ist.848 Insofern trägt die Meldepflicht zwar nicht unmittelbar, aber doch mittelbar zur Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen bei. Aufgrund dieses mittelbaren Zusammenhanges gestaltet auch die Meldepflicht die grundrechtliche Pflichtigkeit der Betreiber aus. Diese ist mit den Interessen der Betreiber abzuwägen. Roßnagel, DVBl. 2015, S. 1206, 1207. BT-Drs. 18 / 4096, S. 4. 848 Roßnagel, DVBl. 2015, S. 1206, 1209. 846 Vgl. 847 Vgl.
§ 9 Zulässigkeit der Inpflichtnahme Privater 407
Die Betreiber werden durch die Meldepflicht mit einem Aufwand von geschätzten 660 € pro Meldung849 belastet. Angesichts des Nutzens durch die Wissensakkumulation und die Weiterverbreitung durch Hinweise des BSI an Betreiber anderer Kritischer Infrastrukturen für die IT-Sicherheit Kritischer Infrastrukturen und vermiedener Schäden, erscheint die wirtschaftliche Belastung als zumutbar. Diese wurde zudem durch die doppelte Erheblichkeitsschwelle abgemildert, die ein IT-Sicherheitsvorfall überschreiten muss, um die Meldepflicht auszulösen. Jedoch wiegen eine mögliche Verbreitung von Betriebsgeheimnissen auf diesem Wege oder hierdurch verursachte Reputationsschäden weit schwerer, da sie den Meldepflichtigen in seiner beruflichen Existenz bedrohen können. Die Verletzung von Betriebsgeheimnissen und mögliche Reputationsschäden durch die Veröffentlichung gemeldeter Inhalte sind indes keine zwangsläufige Folge der Meldepflicht, sondern stellen einen eigenen Grundrechtseingriff dar.850 Daher können sie im Rahmen der Abwägung der Angemessenheit der Meldepflicht nicht berücksichtigt werden. Wie bereits angedeutet, dient die Meldepflicht auch dazu, präventiv Schäden beim verpflichteten Betreiber zu vermeiden. Insofern belastet die Meldepflicht den Betreiber nicht nur, sondern enthält in Verbindung mit der Multiplikatorfunktion des BSI einen wirtschaftlichen Vorteil. Denn der verpflich-
849 BT-Drs. 18 / 4096,
S. 4. bereits § 9 B. I. 1. b) cc) (2). Um dies zu vermeiden, wurden auf einfachgesetzlicher Ebene Vorkehrungen getroffen. So dürfen die Hinweise an die Betreiber Kritischer Infrastrukturen nur Informationen über den Sicherheitsvorfall und mögliche Auswirkungen auf die Kritische Infrastruktur enthalten, § 8b Abs. 2 Nr. 1, 2 BSIG. Dabei ist die Unterrichtungspflicht des BSI in § 8b Abs. 2 Nr. 4 lit. a BSIG so allgemein gehalten, dass die Hinweise, sollten sie in detaillierter Form Betriebsgeheimnisse enthalten, auch in einer allgemeinen Fassung an die Betreiber Kritischer Infrastrukturen herausgegeben werden können. Gleiches gilt für Reputationsschäden. Dadurch kann die Möglichkeit eines Rückschlusses vom Hinweis auf den betroffenen Betreiber vermieden werden. Aus diesem Grund ist eine zwischen potentiellen und tatsächlichen Auswirkungen auf die Kritische Infrastruktur abgestufte Meldung möglich. Dies wird zusätzlich durch § 8b Abs. 7 BSIG abgesichert, wonach die datenschutzrechtlichen Vorgaben vom BSI einzuhalten sind. Vgl. zu § 8b Abs. 7 BSIG in der wirksam gewordenen Gesetzesfassung Hornung, BT / InnenA-Drs. 18(4)284 G, S. 13 f. Durch diese normativen Schutzvorkehrungen wird dem Schutz des Betriebsgeheimnisses bzw. Reputationsschäden vorgebeugt. Sollte jedoch eine Veröffentlichung eines Betriebsgeheimnisses unabdingbar bzw. ein Rückschluss auf den betroffenen Betreiber aufgrund allgemein gehaltener Hinweise möglich sein, kann das besonders hohe Interesse der Allgemeinheit an der Funktionsfähigkeit der Kritischen Infrastrukturen möglicherweise selbst dies überwiegen. Denn dann betrifft der IT-Sicherheitsvorfall gerade das Betriebsgeheimnis und es geht von diesem ein Risiko für die Funktionsfähigkeit der Kritischen Infrastruktur aus. 850 Vgl.
408
Teil 3: Die normative Gewährleistung der IT-Sicherheit
tete Betreiber profitiert von Meldungen anderer und der Analyse durch das BSI.851 Aufgrund der Notwendigkeit aktueller Informationen zur IT-Sicherheitsgewährleistung sowie der Erheblichkeitsschwellen, die die Eingriffsintensität vermindern, wird mit der Meldepflicht ein angemessener Ausgleich zwischen den Interessen der Betreiber und ihrer Funktion im Pflichtenkanon zur ITSicherheit gefunden. (b) Die Kontaktstelle nach § 8b Abs. 3 BSIG Ebenfalls wie die Pflicht zur Meldung von IT-Sicherheitsvorfällen, dient die Pflicht zur Einrichtung einer Kontaktstelle nach § 8b Abs. 3 BSIG nur mittelbar der IT-Sicherheit Kritischer Infrastrukturen. Denn die Kontaktstelle schafft für die Meldepflicht sowie für die Informationsflüsse vom BSI zu den Betreibern einen institutionellen Rahmen. Daher ist auch sie von der grundrechtlichen Pflichtigkeit der Betreiber gedeckt. Doch auch hier muss die Belastung der grundrechtlichen Freiheit durch Allgemeininteressen mit dem wirtschaftlichen Aufwand und der damit einhergehenden Determinierung der unternehmensinternen Organisation abgewogen werden. Dabei muss beachtet werden, dass ein institutioneller Rahmen, der Vertrauen schafft, für reibungslose Informationsflüsse zwischen dem BSI und den Betreibern nötig ist. Die Kontaktstelle ist damit eine wichtige Voraussetzung, dass die Meldepflicht sowie die Multiplikatorfunktion des BSI852 ihre Wirkung zugunsten der ITSicherheit entfalten können. Den Betreibern Kritischer Infrastrukturen wurde zur Einrichtung einer Kontaktstelle ein Zeitraum von sechs Monaten eingeräumt, um die entsprechenden Vorkehrungen vornehmen zu können.853 Da die Kontaktstelle im Gefüge der Informationsflüsse zur Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen einen wesentlichen institutionellen Baustein darstellt, ohne die die Zweckerreichung der Meldepflicht gefährdet wäre, ist § 8b Abs. 3 BSIG das Ergebnis eines angemessenen Ausgleichs. dd) Zwischenergebnis Sicherungspflicht, Nachweispflicht und Meldepflicht greifen in die von Art. 12 Abs. 1 GG geschützte Berufsausübung ein. Die Eingriffe lassen sich 851 Siehe zur Wissensakkumulation beim BSI und zur Analyse durch das BSI § 8 A. II. 1. 852 Siehe zur Kontaktstelle § 7 A. III. 2. sowie zur Multiplikatorfunktion des BSI § 8 A. II. 3. 853 Siehe zur Umsetzungsfrist § 7 A. III. 3.
§ 9 Zulässigkeit der Inpflichtnahme Privater 409
jedoch rechtfertigen. Die Pflichten bewegen sich im Rahmen der grundrechtlichen Pflichtigkeit der Betreiber. Die Bausteine der einzelnen Pflichten ermöglichen einen angemessenen Ausgleich zwischen den Interessen der Allgemeinheit, die im Kern auf der altruistisch begründeten Pflichtigkeit beruhen, und den Betreiberinteressen. 2. Art. 14 Abs. 1 GG a) Schutzbereich Das Eigentumsgrundrecht aus Art. 14 Abs. 1 GG schützt die rechtliche Zuordnung eines vermögenswerten Gutes zu einem Rechtsträger.854 Wie bereits in § 4 A. I. 1. gezeigt werden konnte, umfasst der Eigentumsschutz Infrastruktureinrichtungen genauso wie IT-Einrichtungen als Hardware. Informationen werden mangels normativer Zuordnung im Grundsatz nicht erfasst. Eine im Zusammenhang der IT-Sicherheit relevante Ausnahme besteht jedoch für Software, an der Rechte des geistigen Eigentums bestehen, und dem schuldrechtlichen Nutzungsrecht hieran. Auch Letzteres ordnet die Software dem Berechtigten zu einer privatnützigen vertragsgemäßen vermögenswerten Verwendung normativ zu.855 Sie ist damit Teil des Gewährleistungsgehalts des Eigentumsgrundrechts. Nicht umfasst werden hingegen bloße Betriebsgeheimnisse, es sei denn, diese sind zugleich als geistiges Eigentum geschützt.856 Der eingerichtete und ausgeübte Gewerbebetrieb ist mangels normativer Zuordnung nicht Teil des eigentumsgrundrechtlichen Schutzgehalts.857 Als normgeprägtes Grundrecht schützt Art. 14 Abs. 1 GG die jeweilige normative Zuordnung vor Veränderungen.858
854 Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 42. 855 Allgemein zu obligatorischen Rechten Papier, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 14 GG, Rdnr. 201; Axer, in: Epping / Hillgruber, Beck’scher OnlineKommentar Grundgesetz, Art. 14 GG, Rdnr. 48. 856 Beyerbach, Die geheime Unternehmensinformation, S. 222 f.; differenzierend Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 50; Wolff, NJW 1997, S. 98, 100 f. 857 Siehe zur verfassungsrechtlichen Anerkennung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb § 4 A. I. 1. c) bb) (2). 858 Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 7 f.
410
Teil 3: Die normative Gewährleistung der IT-Sicherheit
b) Inhalts- und Schrankenbestimmung Eine Veränderung der normativen Zuordnung erfolgt entweder über die hier nicht relevante Enteignung oder über Inhalts- und Schrankenbestimmungen. In Abgrenzung zur Enteignung sind Inhalts- und Schrankenbestimmungen nicht auf den Entzug von Eigentum gerichtet, sondern legen abstraktgenerell Rechte und Pflichten in Bezug auf vom Eigentumsgrundrecht erfasste Rechtsgüter fest. Zu untersuchen ist, inwieweit Sicherungs-, Nachweis- und Meldepflichten Inhalts- und Schrankenbestimmungen darstellen. Mit der Sicherungspflicht werden die Betreiber Kritischer Infrastrukturen verpflichtet, organisatorische und technische Maßnahmen zur Sicherung der IT zu treffen. Dies beinhaltet, dass diejenige IT, die dem geforderten IT-Sicherheitsniveau nicht genügt, modifiziert oder ausgetauscht werden muss. Davon sind sowohl die Software als auch die Hardware betroffen. Sofern die Sicherungsmaßnahmen der IT eine Veränderung oder einen Austausch der Infrastruktureinrichtungen fordern und deren Nutzungsmöglichkeiten einschränken, werden diese von der Sicherungspflicht als eigentumsrechtliche Schrankenregelung erfasst. Eingesetzte Software, Hardware und Infrastruktureinrichtungen können, sofern sie kein § 8a Abs. 1 BSIG entsprechendes ITSicherheitsniveau aufweisen, in der derzeitigen Form nicht mehr weitergenutzt werden. Es wird in den Bestand der von Art. 14 Abs. 1 GG umfassten Rechte an der IT und den Infrastruktureinrichtungen eingegriffen. Die Nachweispflicht verändert die Rechte und Pflichten des Bestandes an eigentumsrechtlichen Positionen nicht. Gleiches gilt für die Meldepflicht. Sie kann zwar in Ausnahmefällen zur Mitteilung von Betriebsgeheimnissen bzw. vom Recht des geistigen Eigentums geschützten Informationen verpflichten. Jedoch sind erstere nicht vom grundrechtlichen Eigentumsschutz umfasst und letztere werden hierdurch in ihrer eigentumsrechtlichen Position nicht berührt. Denn der Bestand an eigentumsrechtlichen Rechten und Pflichten in Bezug auf das geistige Eigentum an einer Information bleibt hiervon unberührt. c) Rechtfertigung Inhalts- und Schrankenbestimmungen unterliegen dem Gesetzesvorbehalt des Art. 14 Abs. 1 S. 2 GG.859 Diesem genügen die in den parlamentsgesetzlichen Normen der § 8a Abs. 1 BSIG, § 11 Abs. 1a, 1b EnWG und § 109 Abs. 2 TKG enthaltenen Sicherungspflichten. Der Kernbereich der Eigentumsgarantie ist von der Sicherungspflicht nicht betroffen, da die Privatnüt859 Vgl.
Ehlers, VVDStRL 51 (1992), S. 211, 224.
§ 9 Zulässigkeit der Inpflichtnahme Privater 411
zigkeit des Eigentums860 an der Soft- und Hardware sowie an den Infrastruktureinrichtungen nicht angetastet wird. Eine anderweitige privatnützige Verwendung ist weiterhin möglich. Der Gesetzgeber hat bei der Ausgestaltung des Eigentums einen angemessenen Ausgleich zwischen der Gewährleistung eines individuellen eigentumsgrundrechtlichen Freiheitsraumes der Grundrechtsberechtigten und der Sozialpflichtigkeit des Eigentums zu finden.861 Ob die Sicherungspflicht eine angemessene Regelung in diesem Spannungsfeld darstellt, muss sich im Wege einer Abwägung zeigen. Allgemein ist festzuhalten, dass die Befugnis des Gesetzgebers zur Inhalts- und Schrankenbestimmung umso weiter reicht, je mehr das Eigentumsobjekt in einem Gemeinwohlbezug oder einer der Allgemeinheit dienenden Funktion steht.862 Wie bereits festgestellt werden konnte, unterliegt das Eigentum der Betreiber an den Infrastrukturen und der IT, wegen seiner Funktion im Rahmen der Erbringung kritischer Infrastrukturdienstleistungen einer besonders starken Gemeinwohlbindung durch die Sozialpflichtigkeit.863 Hier steht das Interesse der Betreiber, ihr Eigentum an den Software-, Hardware- und Infrastruktureinrichtungen zum Infrastrukturbetrieb weiterhin unverändert nutzen zu können, einer in der Versorgungssicherheit mit kri tischen Infrastrukturdienstleistungen wurzelnden Pflichtigkeit gegenüber. Diese kann wegen der bestehenden Abhängigkeiten nur durch eine Gewährleistung der IT-Sicherheit der eingesetzten IT sichergestellt werden. Insofern kann sich die Sicherungspflicht auf die Sozialpflichtigkeit des Eigentums stützen. Weiter muss jedoch untersucht werden, ob die Bausteine der Sicherungspflicht einen angemessenen Ausgleich zwischen der Sozialpflichtigkeit und der Eigentumsgewährleistung zugunsten der Betreiber gefunden haben. Die Infrastrukturbetreiber müssen aufgrund der Sicherungspflicht ihre Sicherungsmaßnahmen in und an der Software, der Hardware und den Infrastruktureinrichtungen, sofern sie nicht dem Stand der Technik im Hinblick auf die IT-Sicherheit entsprechen, anpassen bzw. erstmals treffen. Falls sich eine entsprechende Anhebung des IT-Sicherheitsniveaus bewerkstelligen lässt, kann die betroffene IT weitergenutzt werden. Lediglich in Ausnahme860 Zum Kernbereichsschutz der Privatnützigkeit BVerfGE 100, 226, 243 = NJW 1999, S. 2877, 2878; Axer, in: Epping / Hillgruber, Beck’scher Online-Kommentar Grundgesetz, Art. 14 GG, Rdnr. 87. 861 BVerfGE 115, 97, 114 = NJW 2006, S. 1191, 1193 f.; Wendt, in: Sachs, Grundgesetz, Art. 14 GG, Rdnr. 70. 862 BVerfGE 70, 191, 200 = NVwZ 1986, S. 113, 114; BVerfGE 102, 1, 17 = NJW 2000, S. 2573, 2574; BVerfG NVwZ 2012, S. 429, 430; Wendt, in: Sachs, Grundgesetz, Art. 14 GG, Rdnr. 97. 863 Siehe § 5 B. II. 2. b) aa).
412
Teil 3: Die normative Gewährleistung der IT-Sicherheit
fällen ist ein gänzlicher Austausch der Software, Hardware bzw. der Infrastruktureinrichtungen nötig, sollten sie strukturell keine Anhebung des ITSicherheitsniveaus zulassen. Dem nimmt indes die zweijährige Übergangsfrist die Eingriffshärte, da Soft- und Hardware in regelmäßigen Abständen aufgrund des technischen Fortschritts ohnehin auszutauschen sind und sich auf die zum Infrastrukturbetrieb notwendige IT beschränkt wird. Zudem gewährleistet der Baustein der angemessenen organisatorischen und technischen Vorkehrungen nach dem Stand der Technik, dass den Betreibern bei der Umsetzung der Sicherungsvorkehrungen in der Praxis ein weiter Spielraum verbleibt. Auch wird durch den Angemessenheitsvorbehalt vermieden, dass in besonderer Härte in das Eigentumsrecht eingegriffen wird, wenn Einrichtungen zwar das geforderte IT-Sicherheitsniveau nicht erreichen, aber der Aufwand außer Verhältnis zum Nutzen steht. Durch diese dogmatischen Bausteine gelingt es der Sicherungspflicht, einen angemessenen Ausgleich zwischen den mit einer Sozialpflichtigkeit belegten Eigentumsinteressen der Betreiber und einer wirksamen Erhöhung der IT-Sicherheit mit dem Ziel der Sicherung der Versorgung mit kritischen In frastrukturdienstleitungen zu finden. 3. Art. 2 Abs. 1 GG, Recht auf informationelle Selbstbestimmung Das Recht auf informationelle Selbstbestimmung ist als Ausprägung des allgemeinen Persönlichkeitsrechts mit seinen eigenständigen Freiheitsgewährleistungen neben Art. 12 Abs. 1 GG und Art. 14 Abs. 1 GG anwendbar.864 a) Schutzbereich Mit dem Recht auf informationelle Selbstbestimmung wird die Befugnis des Einzelnen geschützt, über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.865 Da dieses Grundrecht aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG abgeleitet wird, reicht dessen Anwendbarkeit auf juristische Personen nach Art. 19 Abs. 3 GG nur soweit, als es seinem Wesen nach auf diese angewendet werden kann. Dies ist für die Menschenwürde nicht möglich. Jedoch findet das Recht auf informationelle Selbstbestimmung seine wesentliche Wurzel nicht in Art. 1 Abs. 1 GG, sondern in Art. 2 Abs. 1 GG und wird durch die Menschenwürdegarantie lediglich in 864 Zur Subsidiarität vgl. Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 138 m. w. N. zur Rechtsprechung; allgemein Di Fabio, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 2 GG, Rdnr. 25. 865 BVerfGE 65, 1, 43 = NJW 1984, S. 419 Ls. 1, 422.
§ 9 Zulässigkeit der Inpflichtnahme Privater 413
seinem Schutz verstärkt.866 Ob sich juristische Personen auf Ausprägungen des allgemeinen Persönlichkeitsrechts berufen können, ist anhand der jeweiligen Ausprägung zu beurteilen. Im Hinblick auf staatliche informationelle Maßnahmen unterliegen sie einer mit natürlichen Personen vergleichbaren Gefahrenlage. Jedoch ist der Tätigkeitskreis juristischer Personen durch eine Zwecksetzung begrenzt.867 Damit folgt nur ein beschränkter und abgeschwächter Schutz über das Recht auf informationelle Selbstbestimmung für juristische Personen allein aus Art. 2 Abs. 1 GG.868 Der Schutz personenbezogener Daten juristischer Personen, die eine Kritische Infrastruktur betreiben, ist wegen der nur wesensmäßigen Anwendbarkeit auf die Zwecksetzung des Infrastrukturbetriebs begrenzt. Als personenbezogene Daten sind damit lediglich solche zu sehen, die einen Bezug zum Betrieb einer Infrastruktur aufweisen. Zusätzlich muss der Bezug zu einer bestimmten juristischen Person deutlich sein oder jedenfalls hergestellt werden können.869 b) Eingriff Greifen nun Sicherungs-, Nachweis- und Meldepflichten in das Recht auf informationelle Selbstbestimmung ein? Hierfür ist es notwendig, dass Informationen mit Bezug zum Betrieb der Infrastruktur betroffen sind und der Betreiber zur Preisgabe dieser gezwungen wird. Gegenstand der Sicherungspflicht sind organisatorische und technische Vorkehrungen. Diese betreffen die Befugnis des Einzelnen, über die Weitergabe von Informationen selbst zu entscheiden, nicht. Damit greift die Sicherungspflicht nicht in das Recht auf informationelle Selbstbestimmung ein. Durch die Nachweis- und Meldepflicht werden indes Informationsflüsse generiert. Sie beziehen sich auf die organisatorischen und technischen Maßnahmen bzw. IT-Sicherheitsvorfälle, die jedenfalls potentiell Auswirkungen auf den Infrastrukturbetrieb zeitigen können. Die Pflichten zwingen die Betreiber selbst zur Preisgabe der jeweiligen Informationen. Nachweis- und Meldepflicht greifen damit in das Recht auf informationelle Selbstbestimmung der Betreiber ein.
866 Im Hinblick auf das allgemeine Persönlichkeitsrecht Di Fabio, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 2 GG, Rdnr. 224. 867 Vgl. BVerfGE 118, 168, 204 = NJW 2007, S. 2464, 2471. 868 Vgl. hierzu bereits § 4 A. I. 5.; zu einer Verortung des Rechts auf informationelle Selbstbestimmung für juristische Personen in Art. 12 GG BVerfG NJW 2010, S. 3501, 3502. 869 Vgl. Starck, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 2 GG, Rdnr. 114 mit Verweis auf § 3 Abs. 1 BDSG.
414
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Sofern eine pseudonyme Meldung möglich ist und die inhaltlichen Pflichtangaben unter keinen Umständen Rückschlüsse auf den Betreiber zulassen, greift die Meldepflicht in das Recht auf informationelle Selbstbestimmung nicht ein.870 Können die Inhalte der Meldung durch die Pseudonymisierung keiner (juristischen oder natürlichen) Person zugeordnet werden, liegt bereits kein personenbezogenes Datum vor.871 In diesem Fall verpflichtet die Pflicht zur pseudonymen Meldung nur zur Weitergabe von Daten, die nicht von der informationellen Selbstbestimmung geschützt sind. Kann dagegen der Personenbezug wiederhergestellt werden, selbst wenn dies nur unter erschwerten Voraussetzungen möglich ist,872 liegt weiterhin ein personenbezogenes Datum vor.873 Letzteres wird in der Position des BSI bei Betreibern Kritischer Infrastrukturen der Regelfall sein, da in einer Branche nur wenige Infrastrukturbetreiber erfasst sind874 und Angaben zur betroffenen Anlage und Dienstleistung gemacht werden müssen.875 Zum anderen besitzt das BSI aufgrund der Nachweispflicht Informationen zu den getroffenen Maßnahmen, sodass über die Angaben zur Ursache der Störung und der betroffenen IT im Einzelfall Rückschlüsse auf den pseudonym meldenden Betreiber möglich sein können. Damit liegt auch bei der Pflicht zur pseudonymen Meldung, soweit ein Personenbezug herstellbar ist, ein Eingriff in das Recht auf informationelle Selbstbestimmung vor. Die Pflicht zur pseudonymen Meldung greift jedoch nur mit geringerer Intensität ein, als diejenige einer namentlichen.876 Die weitere Verwendung der auf diese Weise enthaltenen Informationen und der hierin zu sehende selbständige Eingriff in die informationelle Selbstbestimmung beruht nicht auf der Meldepflicht, sondern auf § 8b Abs. 2 BSIG.
870 Guckelberger,
DVBl. 2015, S. 1213, 1221. Informationelle Selbstbestimmung, S. 495, 555 f. 872 Vgl. die Definitionen in Art. 4 Nr. 5 VO (EU) 2016 / 679, § 3 Nr. 6a BDSG. 873 Albers, Informationelle Selbstbestimmung, S. 495, 555. 874 Vgl. Bundesministerium des Innern, Begründung BSI – Kritisverordnung, S. 3 f.; vgl. BMI, Referentenentwurf Erste Verordnung zur Änderung der BSI-Kritisverordnung, Stand 24.05.2017, S. 38 ff. 875 Dieses Erfordernis ist zwar explizit nur in § 8b Abs. 4 S. 2 BSIG vorgesehen und fehlt in § 11 Abs. 1c EnWG, § 44b AtG sowie § 109 Abs. 5 TKG. Jedoch ergibt sich dies bei letzteren Normen bereits aus den Auswirkungen auf das Energieversorgungsnetz, die Energieanlage, die nukleare Sicherheit oder die über das Telekommunikationsnetz erbrachten Telekommunikationsdienste und damit aus dem Tatbestand der Meldepflicht selbst. Allgemein Guckelberger, DVBl. 2015, S. 1213, 1221. 876 Vgl. Starck, in: Mangoldt / Klein / Starck, Kommentar zum Grundgesetz, Art. 2 GG, Rdnr. 117. 871 Albers,
§ 9 Zulässigkeit der Inpflichtnahme Privater 415
c) Rechtfertigung Der Eingriff in das aus Art. 2 Abs. 1 GG folgende Recht auf informationelle Selbstbestimmung kann gerechtfertigt werden. Die parlamentsgesetz liche Normierung der Nachweis- und Meldepflicht erfüllt die Schrankentrias des Art. 2 Abs. 1 S. 2 GG.877 Die Eingriffe in den grundrechtlich geschützten Bereich sind dann rechtmäßig, wenn ein angemessener Ausgleich zwischen der grundrechtlich geschützten informationellen Selbstbestimmung und den mit der Nachweis- und Meldepflicht verfolgten Allgemeininteressen gefunden werden konnte. Auch die Gewährleistung der informationellen Selbstbestimmung unterliegt einer grundrechtlichen Pflichtigkeit. Diese folgt im Besonderen aus der sozialstaatlichen Rückbindung an Art. 20 Abs. 1 GG und im Allgemeinen aus der Gemeinwohlpflichtigkeit.878 Zwar weist die informationelle Selbstbestimmung, anders als die Berufsfreiheit keinen unmittelbaren Bezug zur Erbringung Kritischer Infrastrukturdienstleistungen auf. Dennoch unterliegt sie, sofern die geschützten Informationen einen entsprechenden Sozialstaatsbezug aufweisen, einer sozialstaatlichen Rückbindung.879 Diese liegt der Nachweis- und der Meldepflicht zugrunde. Denn die betreffenden Informationen dienen dem Schutz der Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen. Für die Nachweispflicht sind dies Informationen bezüglich der Überprüfung der Einhaltung der Sicherungspflicht.880 Die von der Meldepflicht betroffenen Informationen dienen dem Aufbau einer IT-Sicherheitsexpertise, um wirksam zur Gewährleistung der IT-Sicherheit beitragen zu können.881 In die informationelle Selbstbestimmung wird aus Gründen der Daseinsvorsorgegewährleistung eingegriffen. Folglich basieren die Nachweis- und die Meldepflicht auf einer grundrechtlichen Pflichtigkeit zugunsten dieser, die dem Interesse an der Gewährleistung der IT-Sicherheit Kritischer Infrastrukturen zusätzliches Gewicht verleiht. Dies kann jedoch dann eine Rechtfertigung nicht tragen, wenn die einfachgesetzliche Ausgestaltung die widerstreitenden Interessen nicht in einen angemessenen Ausgleich bringt. Mit den Pflichten werden lediglich solche Informationen abgefragt, die im unmittelbaren Zusammenhang mit den zu treffenden IT-Sicherungsvorkehrungen oder mit IT-Sicherheitsvorfällen stehen, die jedenfalls potentiell Aus877 Vgl. BVerwG NVwZ 2002, S. 1522, 1524; vgl. Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 100 f. 878 Siehe hierzu § 5 B. II. 2. b) bb), dd). 879 Siehe § 5 B. II. 2. b) bb). 880 Vgl. zur Wirksamkeit der Pflichten § 7 E. I. 881 Roßnagel, DVBl. 2015, S. 1206, 1207.
416
Teil 3: Die normative Gewährleistung der IT-Sicherheit
wirkungen auf die Funktionsfähigkeit Kritischer Infrastrukturen zeitigen. Ohne diese Informationen kann die Sicherungspflicht nicht wirksam durchgesetzt werden und kein Wissenspool zur IT-Sicherheit beim BSI aufgebaut werden.882 Zudem weist die Meldepflicht mit der Möglichkeit einer pseudonymisierten Meldung bei IT-Sicherheitsvorfällen, in denen die Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen nicht tatsächlich, sondern nur potentiell gefährdet ist, eine verminderte Eingriffsintensität auf. Dies trägt zu einem Ausgleich der widerstreitenden Interessen bei, da in dieser Konstellation auch das Interesse einer Gewährleistung der Daseinsvorsorge weniger gewichtig ist als bei tatsächlichen Beeinträchtigungen. Dann überwiegt das Interesse der Betreiber nicht Gefahr zu laufen, Reputationsschäden zu erleiden.883 Gab es hingegen tatsächliche Auswirkungen, so ist das Allgemeininteresse an Informationen zum verursachenden IT-Sicherheitsvorfall gesteigert. Zudem sind die Auswirkungen ohnehin bereits nach außen hervorgetreten, sodass die namentliche Meldepflicht keine weiteren gänzlich neuen Risiken für Reputationsschäden schafft. Auch die Nachweispflicht nimmt eine angemessene Ausgestaltung der Pflichtigkeit vor. Sie verpflichtet nur periodisch zu einem Nachweis und fordert nur die Übermittlung der Prüfungsergebnisse sowie aufgedeckte Sicherungsmängel. Nur diese begrenzten Informationen werden vom Allgemeininteresse einer Kontrolle der Einhaltung der Sicherungspflicht als Voraussetzung für eine wirksame Gewährleistung der IT-Sicherheit getragen. Die Nachweis- und Meldepflicht reichen nicht weiter als die grundrecht liche Pflichtigkeit aufgrund einer sozialstaatlichen Rückbindung grundrechtlicher Freiheit sowie überwiegenden Gemeinwohlinteressen. Sie beschränken sich auf die Informationen, die notwendig sind, um die IT-Sicherheit Kritischer Infrastrukturen zu gewährleisten. Beide kommen in ihrer einfachgesetzlichen Ausgestaltung zu einem angemessenen Ausgleich.884 4. Art. 2 Abs. 1 GG, Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Eine weitere Ausprägung des allgemeinen Persönlichkeitsrechts stellt das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informa tionstechnischer Systeme dar.885 Bereits der Grundrechtstitel bezeichnet den Roßnagel, DVBl. 2015, S. 1206, 1207, 1209. BT / InnenA-Drs. 18(4)284 G, S. 13; Guckelberger, DVBl. 2015, S. 1213, 1222; vgl. KPMG, IT-Sicherheit in Deutschland, S. 39 f. 884 So auch Guckelberger, DVBl. 2015, S. 1213, 1222 bzgl. der Meldepflicht des § 11 Abs. 1c EnWG. 882 Vgl.
883 Hornung,
§ 9 Zulässigkeit der Inpflichtnahme Privater 417
Schutzbereich. Die Vertraulichkeit ist darauf gerichtet, dass die im „informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten“ und Informationen keinen unberechtigten Zugriffen Dritter ausgesetzt sind.886 Mit der Integrität wird Schutz vor Zugriffen auf das informationstechnische System gewährt, durch die dessen Leistungen, Funktionen und Speicherinhalte durch Dritte nutzbar sind.887 Das Grundrecht ist auch auf juristische Personen wesensmäßig anwendbar.888 Im Verhältnis zu Art. 12 Abs. 1 GG und Art. 14 Abs. 1 GG wird das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nicht verdrängt. Im Verhältnis zum Recht auf informationelle Selbstbestimmung wird es mit Verweis auf dessen Herleitung, dass beim Recht auf informationelle Selbstbestimmung eine Schutzlücke verbleibe, als subsidiär zu diesem angesehen.889 Anders als das Recht auf informationelle Selbstbestimmung, folgt aus dieser weiteren Ausprägung des allgemeinen Persönlichkeitsrechts aber ein weiter reichender Systemschutz,890 in den mit der Sicherungs-, Nachweis- und Meldepflicht eingegriffen worden sein könnte. Insofern ist es neben dem Recht auf informationelle Selbstbestimmung anwendbar. Zunächst sollen Eingriffe in die Schutzrichtung der Vertraulichkeit informationstechnischer Systeme untersucht werden. Die Sicherungspflicht setzt das IT-System keinen Zugriffen Dritter aus, sondern richtet sich im Hinblick auf das Schutzziel „Vertraulichkeit“ der IT-Sicherheit sogar gegen unberechtigte Zugriffe, indem die zu treffenden Sicherungsmaßnahmen hiergegen Schutz gewähren sollen. Melde- und Nachweispflicht beschaffen dem Staat zwar punktuelle Informationen über die IT der Infrastrukturbetreiber, doch wird hiermit gerade nicht auf das System als solches zugegriffen. Beide Pflichten ermöglichen keine Ausforschung der im IT-System enthaltenen Informationen. Stattdessen sollen mit ihnen lediglich Informationen über die IT-Sicherheitsvorkehrungen und IT-Sicherheitsvorfälle zum Ziel der Gewährleistung der IT-Sicherheit beschafft werden. Werden die erlangten Informa tionen über Sicherungsvorkehrungen entgegen dem Gesetzeszweck missbraucht, um die IT-Sicherheit zu stören, stellt dies einen eigenständigen 885 Zur Herleitung aus dem allgemeinen Persönlichkeitsrecht, sowie zum Gewährleistungsgehalt und einer kritischen Würdigung des Bedürfnisses eines weiteren Grundrechts siehe § 4 A. I. 6. a) und b). 886 BVerfGE 120, 274, 314. 887 BVerfGE 120, 274, 314; Britz, DÖV 2008, S. 411, 412 sieht die Integrität als Schutzziel „eher am Rande“. 888 Siehe hierzu § 4 A. I. 6. d) bb). 889 BVerfGE 120, 274, 302 f., 313; Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 138. 890 Vgl. Murswiek, in: Sachs, Grundgesetz, Art. 2 GG, Rdnr. 73d.
418
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Grundrechtseingriff dar. Die Möglichkeit einer dem Gesetzeszweck zuwiderlaufenden Verwendung indiziert keinen Grundrechtseingriff durch die Meldeoder Nachweispflicht. Im Hinblick auf die Integrität informationstechnischer Systeme könnte die Sicherungspflicht mit den zu treffenden organisatorischen und technischen Maßnahmen einen Eingriff darstellen. Doch sind die Maßnahmen gerade darauf ausgerichtet, Zugriffe Dritter zu verhindern. Auch stellen sie selbst keinen Eingriff dar, da sie nicht durch den Staat, sondern durch den Betreiber eigenverantwortlich vorgenommen werden. Nachweis- und Meldepflichten greifen ebenfalls nicht ein. Sie ermöglichen keinen technischen Zugriff auf das IT-System, sondern generieren Informationsflüsse. Damit greifen Sicherungs-, Nachweis- oder Meldepflicht nicht in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ein. Im Zusammenhang der Eigensicherung gegen Bedrohungen der IT-Sicherheit liegt die Bedeutung dieses Grundrechts weniger in der Abwehrfunktion, sondern vielmehr in der Schutzpflichtendimension. II. Unionsrechtliche Grundrechte Parallel zu den Grundrechten des GG sind von den Sicherungs-, Nachweis- und Meldepflichten auf unionsrechtlicher Ebene die Unternehmerfreiheit, Art. 16 EUGRCH, das Eigentumsgrundrecht, Art. 17 EUGRCH, sowie Art. 8 EUGRCH mit dem Schutz personenbezogener Daten betroffen. Die Schutzbereiche der einzelnen Grundrechte sind bezüglich ihrer Schutzgehalte mit denjenigen der verwandten nationalen Grundrechte vergleichbar. Bevor untersucht werden kann, inwieweit die Auferlegung der Pflichten die Unionsgrundrechte beeinträchtigen, sollen die gewährleisteten Grundrechtsgehalte verdeutlicht werden.891 Diese finden jedoch nur insoweit auf Betreiber Kritischer Infrastrukturen Anwendung, als sie sich auf die Pflichten für wesentliche Dienste i. S. d. RL (EU) 2016 / 1148 beziehen.892 1. Schutzbereiche Die Unternehmerfreiheit, Art. 16 EUGRCH, schützt die auf Dauer angelegte und von einer Erwerbsabsicht getragene Tätigkeit am Markt.893 Hiervon 891 Vgl.
hierzu bereits ausführlich § 4 C. I. zum Vergleich der Kritischen Infrastrukturen mit den wesentlichen Diensten § 6 B. II. 893 Frenz, Handbuch Europarecht, Rdnr. 2684; Wollenschläger, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 GRC, Rdnr. 7. 892 Vgl.
§ 9 Zulässigkeit der Inpflichtnahme Privater 419
sind insbesondere die unternehmerische interne Organisationsfreiheit, das Recht der Außendarstellung wie auch Betriebsgeheimnisse erfasst.894 Das Eigentumsgrundrecht des Art. 17 EUGRCH gewährleistet das auf einer rechtlichen Zuordnung und Anerkennung beruhende Eigentumsrecht.895 Beide Grundrechte sind unstreitig auf juristische Personen als Betreiber wesentlicher Dienste anwendbar.896 Das Recht, selbst über die Verwendung personenbezogener Daten zu bestimmen, wird mit Art. 8 EUGRCH gewährleistet.897 Ob dieses Grundrecht auf juristische Personen Anwendung finden kann, wird teilweise bezweifelt, ist jedoch richtigerweise zu bejahen.898 2. Beeinträchtigungen a) Sicherungspflicht Die auferlegten Sicherungspflichten betreffen die wirtschaftlichen Grundrechte der Unternehmerfreiheit und des Eigentumsrechts. Indem zur Vornahme organisatorischer und technischer Sicherungsmaßnahmen der IT verpflichtet wird, stellt dies eine Nutzungsregelung dar, die die Ausübung des Eigentumsrechts an der Hard- und Software sowie den Infrastruktureinrichtungen beeinträchtigt. Zugleich greift diese Pflicht in die Organisationsfreiheit als Teilgewährleistung der Unternehmerfreiheit und die ebenfalls von dieser umfassten Freiheit der Wahl der Produktionsmittel ein. Eine Beeinträchtigung des Schutzes personenbezogener Daten ist hingegen nicht ersichtlich. b) Nachweispflicht Die Nachweispflicht beeinträchtigt Art. 16 EUGRCH, da die Betreiber wesentlicher Dienste die wirtschaftlichen Kosten der Nachweisführung tragen müssen. Außerdem greift sie in den Schutz personenbezogener Daten durch Art. 8 EUGRCH ein, soweit sie zur Übermittlung personenbezogener Daten als Teil des Nachweises verpflichtet. 894 Frenz, Handbuch Europarecht, zur Organisationsfreiheit Rdnr. 2696, zur als Werbefreiheit bezeichnetem Recht auf Außendarstellung Rdnr. 2718, zu Betriebs- und Geschäftsgeheimnissen Rdnr. 2722. 895 Wollenschläger, in: Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 17 GRC, Rdnr. 9; Frenz, Handbuch Europarecht, Rdnr. 2864. 896 Ruffert, in: Calliess / Ruffert, EUV / AEUV, Art. 16 EU-GRCharta, Rdnr. 3; Calliess, in: Calliess / Ruffert, EUV / AEUV, Art. 17 EU-GRCharta, Rdnr. 5. 897 Kingreen, in: Calliess / Ruffert, EUV / AEUV, Art. 8 EU-GRCharta, Rdnr. 9. 898 Vgl. § 4 C. I. 1. m. w. N.; Jarass, in: Jarass, Charta der Grundrechte der EU, Art 8 EUGRCH, Rdnr. 7, 15.
420
Teil 3: Die normative Gewährleistung der IT-Sicherheit
c) Meldepflicht Die Meldepflichten greifen in die Unternehmensfreiheit ein, indem sie zum einen den Unternehmen die wirtschaftlichen Lasten einer Meldung auferlegen und gegebenenfalls zur Preisgabe von Betriebsgeheimnissen verpflichten können. Darüber hinaus ist Art. 16 EUGRCH mit der Pflicht zur Einrichtung einer Kontaktstelle die Teilgewährleistung der Organisationsfreiheit und mit den wirtschaftlichen Aufwendungen für diese beeinträchtigt. Art. 8 EUGRCH wird insofern eingeschränkt, als in Erfüllung der Meldepflicht personenbezogene Daten übermittelt werden müssen.899 3. Rechtfertigung Die Rechtfertigung der Grundrechtsbeeinträchtigungen richtet sich nach Art. 52 Abs. 1 S. 1 EUGRCH sowie den besonderen Vorgaben in Art. 8 EUGRCH. Die Grundrechte unterliegen einem allgemeinen Gesetzesvorbehalt,900 der durch Art. 8 Abs. 2 S. 1 EUGRCH für den Schutz personenbezogener Daten im Hinblick auf die Festlegung des Zwecks der Verarbeitung ergänzt wird.901 Die §§ 8a f. BSIG, § 11 Abs. 1a–c EnWG und § 109 TKG stellen dementsprechende gesetzliche Regelungen dar. Zwar legen die in Art. 8 EUGRCH eingreifenden Nachweis- und Meldepflichten nur zum Teil selbst den Zweck fest, für den die Übermittlung der Informationen an das BSI erfolgt. Dies trifft auf die Nachweispflicht zu, da die hieraus gewonnenen Informationen der Überprüfung der Einhaltung der jeweiligen Sicherungspflicht dienen. Für sämtliche Meldepflichten wird die Zweckbestimmung in § 8b Abs. 2 BSIG konkretisiert, der den Umgang des BSI mit diesen erhaltenen Informationen zur Wahrnehmung seiner Aufgaben bestimmt. Darüber hinaus müssen die Pflichten den Verhältnismäßigkeitsgrundsatz wahren. Textlich wird dies bei Art. 17 Abs. 1 S. 3 EUGRCH deutlich, wonach Nutzungsregelungen nur soweit zulässig sind, als sie das Wohl der Allgemeinheit erfordert. Die Pflichten verfolgen mit der Sicherstellung der Verlässlichkeit und Sicherheit der IT-Systeme, um die Funktionsfähigkeit wesentlicher Dienste mit transnationalem Charakter und damit das Funktionieren des Binnenmarktes 899 Vgl. hierzu bereits § 9 B. I. 3. b), insbesondere zur Frage, ob bei pseudonymen Meldungen noch ein personenbezogenes Datum vorliegt. 900 Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 17 EUGRCH, Rdnr. 31; Jarass, in: Jarass, Charta der Grundrechte der EU, Art. 16 EUGRCH, Rdnr. 18 f. 901 Jarass, in: Jarass, Charta der Grundrechte der EU, Art 8 EUGRCH, Rdnr. 12.
§ 9 Zulässigkeit der Inpflichtnahme Privater 421
zu gewährleisten,902 ein legitimes Ziel. Die Sicherungspflicht ist unmittelbar auf die Vornahme der Maßnahmen zur IT-Sicherheit gerichtet, während den Nachweis- und Meldepflichten lediglich eine dienende und damit mittelbar auf die IT-Sicherheit wesentlicher Dienste abzielende Funktion zukommt. Da der Funktionsfähigkeit wesentlicher Dienste eine hohe wirtschaftliche und gesellschaftliche Bedeutung zukommt, werden legitime Ziele des Allgemeinwohls verfolgt. Um diese zu erreichen, sind die Pflichten geeignet und erforderlich. Die Beschränkungen der Grundrechte aus Artt. 8, 16, 17 EUGRCH dürfen ein zumutbares Maß an Beeinträchtigung der grundrechtlichen Schutzbereiche nicht überschreiten. Aufgrund der hohen Bedeutung der Dienstleistungen wesentlicher Dienste verbleiben in einer Abwägung mit den Grundrechtspositionen der betroffenen Betreiber wesentlicher Dienste die Pflichten im zumutbaren Rahmen. Denn die Pflichten verschaffen den grundrechtlichen Schutzgewährleistungen der Nutzer wesentlicher Dienste wirksame Geltung, die am Ausgleich zwischen Freiheitsgewährleistung und -beschränkung der verschiedenen Grundrechtspositionen teilnehmen.903 Insoweit unterliegen die grundrechtlichen Freiheitsräume der Betreiber wesentlicher Dienste aufgrund ihrer besonderen Bedeutung für die Allgemeinheit einer weitreichenden Einschränkbarkeit. Da die Sicherungspflicht die Wahl der Mittel dem Betreiber überlässt und nur zur Einhaltung eines angemessenen Niveaus verpflichtet, die Nachweispflicht nur in einem zweijährigen Turnus zu erfüllen ist und die Meldepflicht zwischen namentlichen und pseudonymen Meldungen je nach Schwere der Auswirkungen eines IT-Sicherheitsvorfalles differenziert, bewegen sie sich im Rahmen der Gemeinwohlpflichtigkeit der Betreiber. Insoweit überwiegen die Gemeinwohlbelange. Die Sicherungs-, Nachweis- und Meldepflicht verstoßen, da sie dem Schutz unionsgrundrechtlicher Schutzgewährleistungen dienen, nicht gegen den Verhältnismäßigkeitsgrundsatz. Sie schränken die unionsgrundrechtlichen Freiheitsräume in zulässiger Weise ein. III. Teilergebnis Die Pflichten zur Sicherung der IT unterliegen dem Spannungsfeld zwischen grundrechtlichen Schutzgewährleistungen zugunsten der Nutzer und Abwehrrechten der Betreiber. Mittels der einzelnen Pflichten werden sie in einen angemessenen Ausgleich gebracht. Dabei können die Eingriffe in wirt902 Erw.-Gr. 1,
3 RL (EU) 2016 / 1148. zur Abwägung im Einzelnen die parallelen Erwägungen im Rahmen der Angemessenheit bei Art. 12 Abs. 1 GG, Art. 14 Abs. 1 GG sowie bei Art. 2 Abs. 1 GG, dem Recht auf informationelle Selbstbestimmung, § 9 B. I. 1. c), 2. c), 3. c). 903 Vgl.
422
Teil 3: Die normative Gewährleistung der IT-Sicherheit
schaftliche und von Persönlichkeitsaspekten geprägte Grundrechte aufgrund der altruistisch begründeten Pflichtigkeit sowohl auf nationaler als auch auf unionsrechtlicher Ebene gerechtfertigt werden.
C. Verstoß gegen den nemo tenetur se ipsum accusare-Grundsatz Verstöße gegen den nemo tenetur se ipsum accusare-Grundsatz können aus den beiden Informationsflüsse generierenden Nachweis- und Meldepflichten folgen. Die Verankerung dieses Grundsatzes wird teils in Art. 20 Abs. 3 GG, teils aber auch in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG904 gesehen.905 Da dessen Verankerung nicht Kern dieser Arbeit ist, soll sich mit der Feststellung begnügt werden, dass dieser Grundsatz Teil des Verfassungsrechts ist.906 Er schützt vor staatlichem Zwang, sich selbst einer strafbaren Handlung zu bezichtigen oder Informationen preiszugeben, die selbstbelastend sind.907 Dabei bezieht er sich gleichermaßen auf Straftaten und Ordnungswidrigkeiten.908 Ein Konflikt der Meldepflicht mit dem nemo tenetur-Grundsatz setzt jedoch voraus, dass sich der Betreiber hierauf berufen kann909 und der die Meldepflicht auslösende Umstand tatsächlich eine Ordnungswidrigkeit verwirklicht.910 Da Betreiber Kritischer Infrastrukturen in der Regel juristische Personen sind und der nemo tenetur-Grundsatz auf diese nicht anwendbar ist,911 ent904 BVerfGE 38, 105, 114 = NJW 1975, S. 103, 104; BVerfGE 56, 37, 43 = NJW 1981, S. 1431; BVerfGE 55, 144, 150; BVerfG NJW 2002, S. 1411, 1412; Di Fabio, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 2 GG, Rdnr. 187; Bosch, Aspekte des nemo-tenetur-Prinzips aus verfassungsrechtlicher und strafprozessualer Sicht, S. 27 ff., 37 ff., 69 ff. 905 Zu weiteren Verankerungsansätzen im Grundgesetz in Grundrechten bzw. Art. 6 Abs. 1 S. 1 EMRK siehe Wolff, Selbstbelastung und Verfahrenstrennung, S. 30 ff.; Fink, wistra 2014, S. 457, 461 f.; Leitmeier, JR 2014, S. 372 f. 906 Bosch, Aspekte des nemo-tenetur-Prinzips aus verfassungsrechtlicher und strafprozessualer Sicht, S. 30; den Verfassungsrang dieses Grundsatzes bestreitend Leitmeier, JR 2014, S. 372, 375 f. 907 BVerfGE 56, 37, 43 = NJW 1981, S. 1431; Di Fabio, in: Maunz / Dürig, Grundgesetz Kommentar, Art. 2 GG, Rdnr. 187. 908 Wolff, Selbstbelastung und Verfahrenstrennung, S. 65 f. 909 Roßnagel, DVBl. 2015, S. 1206, 1210. 910 Eckhardt, ZD 2014, S. 599, 602. 911 BVerfGE 95, 220, 242 = NJW 1997, S. 1841, 1843 f.; denn dieser betrifft letztlich Gehalte der Menschenwürde, Art. 1 Abs. 1 GG, auf die sich juristische Personen mangels wesensmäßiger Anwendbarkeit i. S. v. Art. 19 Abs. 3 GG nicht berufen können, Fink, wistra 2014, S. 457, 459 f.
§ 9 Zulässigkeit der Inpflichtnahme Privater 423
steht eine derartige Konfliktsituation nicht.912 Es kann allerdings nicht ausgeschlossen werden, dass auch natürliche Personen als Infrastrukturbetreiber von der Nachweis- und Meldepflicht betroffen werden. I. Nachweispflicht Die des § 8a Abs. 3 BSIG verpflichtet den Betreiber einer Kritischen Infrastruktur, eine Prüfung zu veranlassen, ob er die Sicherungspflicht erfüllt. Verstöße gegen die Sicherungspflicht sind nach § 14 Abs. 1 Nr. 1 BSIG bußgeldbewehrt. Da der Betreiber die Ergebnisse der Prüfung dem BSI vorlegen muss, könnte hierin ein Verstoß gegen das Verbot des Zwangs zur Selbstbeschuldigung gesehen werden. Für durch einen Nachweis aufgedeckte Mängel bei der Umsetzung der Sicherungspflicht ist jedoch § 14 Abs. 1 Nr. 2 BSIG lex specialis. Dieser Ordnungswidrigkeitentatbestand dockt speziell an Befugnisse zur Beseitigung eines aufgedeckten Sicherungsmangels an. Insoweit wird § 14 Abs. 1 Nr. 1 BSIG durch § 14 Abs. 1 Nr. 2 BSIG verdrängt.913 Durch die Nachweispflicht aufgedeckte Sicherungsmängel sind keine Ordnungswidrigkeiten. Erst wenn der Betreiber dem Beseitigungsverlangen des BSI nicht nachkommt, wird ein Ordnungswidrigkeitentatbestand verwirklicht. Damit verstößt die Nachweispflicht des § 8a Abs. 3 BSIG nicht gegen den nemo tenetur se ipsum accusare-Grundsatz. II. Meldepflichten Indem sich die Betreiber dem BSI zu erkennen geben müssen oder trotz einer pseudonymen Meldung Rückschlüsse auf den Meldenden möglich sind, könnte die Pflicht zur Meldung von IT-Sicherheitsvorfällen gegen das Verbot des Zwangs zur Selbstbeschuldigung verstoßen.914 Dies wäre der Fall, wenn sich der Betreiber durch die Meldung einer erheblichen Störung der IT-Sicherheit, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat oder führen könnte, selbst einer Straftat oder Ordnungswidrigkeit bezichtigen müsste. Die Meldung tritt nur dann in Konflikt mit dem nemo tenetur-Grundsatz, wenn der die Meldepflicht auslösende Umstand eine Ordnungswidrigkeit darstellt. Ein IT-Sicherheitsvorfall an sich stellt keine Ordnungswidrigkeit dar. Da der Betreiber aber die Ursache für die Störung der IT-Sicherheit benennen muss, kann sich ein Konflikt zur Sicherungspflicht ergeben. Liegt die 912 Roßnagel,
BT / InnenA-Drs. 18(4)284 B. vom Verhältnis von § 14 Abs. 1 Nr. 1 zu Nr. 2 BSIG § 7 A. II. 2. 914 Vgl. Roßnagel, DVBl. 2015, S. 1206, 1210; vgl. Eckhardt, ZD 2014, S. 599, 602. 913 Siehe
424
Teil 3: Die normative Gewährleistung der IT-Sicherheit
Ursache für die Störung der IT-Sicherheit darin, dass der Betreiber die Sicherungspflicht nach § 8a Abs. 1 BSIG oder § 11 Abs. 1a, Abs. 1b EnWG nicht ordnungsgemäß umgesetzt hat und nach § 14 Abs. 1 Nr. 1 BSIG oder § 95 Abs. 1 Nr. 2a EnWG ordnungswidrig handelt,915 steht die Meldepflicht im Konflikt zum Verbot der Selbstbeschuldigung. Dies ist dahingehend zu lösen, dass auf Basis von Kenntnissen, die Teil einer Meldung waren, kein Bußgeld gegen den meldenden Betreiber wegen mangelnder oder fehlerhafter Erfüllung der Sicherungspflicht verhängt werden kann. Die aus der Meldung erlangte Kenntnis unterliegt insofern einem Verwertungsverbot.916 Dieses folgt nicht aus § 8b Abs. 7 BSIG, da die Sanktionierung gerade auch Teil der Meldepflicht ist, sondern aus einer verfassungskonformen Auslegung unter Berücksichtigung des nemo tenetur se ipsum accusare-Grundsatzes. Damit verstößt auch die Meldepflicht nicht gegen das Verbot der Selbstbeschuldigung.
915 Dass eine Meldung nach § 109 Abs. 5 TKG einen Rückschluss auf einen Verstoß gegen die Sicherungspflicht nach § 109 Abs. 2 TKG zulässt, verstößt nicht gegen den nemo tenetur se ipsum accusare-Grundsatz. Denn nach § 149 Abs. 1 Nr. 21 ff. TKG ist im Zusammenhang der Sicherungspflicht nur ein Verstoß gegen § 109 Abs. 4 S. 2, 6 TKG bußgeldbewehrt, nicht jedoch ein Verstoß gegen die Sicherungspflicht aus § 109 Abs. 2 TKG. Damit stellt ein Verstoß gegen die Sicherungspflicht des § 109 Abs. 2 TKG keine Ordnungswidrigkeit dar. Die Durchsetzung dieser kann nach § 115 Abs. 2 S. 1 Nr. 2 TKG lediglich mit einem Zwangsgeld i. H. v. bis zu 100.000 € sichergestellt werden. 916 Mit Verweis auf § 42a Abs. 6 BDSG wohl ein Verwendungsverbot fordernd Roßnagel, BT / InnenA-Drs. 18(4)284 B; vgl. bereits Art. 14 Abs. 3 S. 3 RL (EU) 2016 / 1148, wonach durch die Meldung „keine höhere Haftung der meldenden Partei begründet“ wird.
Teil 4
Schlussbetrachtung § 10 Zusammenführung A. Die Pflichten zur Gewährleistung der IT-Sicherheit als modernes infrastrukturbezogenes Sicherheitsrecht Die Rechtsmaterie der IT-Sicherheit Kritischer Infrastrukturen ist ein „melt ing pot“ verschiedenster Einflüsse. Sie ist zwischen Sicherheits- und Infrastrukturrecht sowie zwischen der durch Bevölkerungsschutzaspekte geprägten Versorgungssicherheit und dem Datenschutz anzusiedeln. In Teilbereichen unterliegen die Pflichten unionsrechtlichen Vorgaben der RL (EU) 2016 / 1148, wurden im Übrigen vom nationalen Gesetzgeber aber autonom ausgestaltet. Mit dem Ansatz des IT-Sicherheitsgesetzes, nicht an der Gefahr anzusetzen, sondern strukturell das Risiko von Angriffen auf die IT-Sicherheit rechtlich zu steuern, wird ein richtiger Ansatz verfolgt, um gegenüber den Herausforderungen, die der IT-Einsatz mit sich bringt, bestehen zu können. Bedrohungen der IT-Sicherheit werden in weitem Umfang nicht vor Schadenseintritt erkannt. Daher können Risiken der IT-Sicherheit nicht im Einzelfall erfasst werden. Dies muss strukturell erfolgen. Mit den Pflichten zur IT-Sicherheit wählt der Gesetzgeber für diese Herausforderung Instrumente der Risikosteuerung. Dadurch gelingt es, die IT-Sicherheit Kritischer Infrastrukturen einheitlich auf ein angemessenes, zugleich aber auch variables Niveau zu heben. Insofern wird mit den Pflichten zur Gewährleistung der IT-Sicherheit eine atmende Rechtsstruktur geschaffen, die sich an die jeweiligen Sicherungsbedürfnisse und -herausforderungen anpasst und wirksam zur ITSicherheit Kritischer Infrastrukturen beiträgt.1 Dass der Gesetzgeber den Weg wählt, eine altruistisch begründete Pflichtigkeit der Betreiber Kritischer Infrastrukturen2 durch Pflichten zur Gewährleis1 Vgl. zu einem rechtlich belastbaren Umgang mit fehlendem Wissen durch „Unsicherheitsregeln“ Spieker gen. Döhmann, Rechtliche Begleitung der Technikentwicklung im Bereich moderner Infrastrukturen und Informationstechnologien, in: Hill, Die Vermessung des virtuellen Raums, S. 137, 149. Die Pflichten zur IT-Sicherheit sind solche „Unsicherheitsregeln“. 2 Siehe § 5 B., C.
426
Teil 4: Schlussbetrachtung
tung der IT-Sicherheit zu aktivieren, ist nicht zuletzt dem Umstand geschuldet, dass der Staat selbst nicht in der Lage ist, die Sicherung der IT vorzunehmen. Denn zum einen ist die zu sichernde IT für einen externen Dritten, wie es der Staat wäre, aufgrund ihres umfangreichen Einsatzes quantitativ nicht abschließend zu ermitteln. Zum anderen muss eine staatliche Vornahme der Sicherungsmaßnahmen qualitativ hinter derjenigen durch die Betreiber zurückbleiben, da nur diese auf die Funktion der IT in der Infrastrukturarchitektur zugeschnittene Sicherungsmaßnahmen vornehmen können.3 Aus dem gleichen Grund sind der rechtlichen Ausgestaltung der Umsetzung der Pflichten faktische Grenzen gesetzt. Eine gesetzgeberische Regelung kann nur die Grundstrukturen, jedoch aufgrund der unterschiedlichen Einsatzgebiete und Bedrohungslagen der IT keine Detailregelungen vorgeben.4 In diesem Raum können die Betreiber die Sicherung ihrer IT selbst gestalten, sodass der Eigenverantwortlichkeit der Betreiber eine erhebliche Bedeutung zukommt.5 Um dabei die Betreiber wirksam zu unterstützen, wird das BSI informell über Beratungsleistungen und als dienstleistender behördlicher IT-Experte tätig. Hierfür wird es über die Meldepflichten mit einem notwendigen Zufluss an Informa tionen über aktuelle Bedrohungen für die IT-Sicherheit versorgt. Diese Rolle des BSI ist Ausfluss der bestehenden staatlichen Gewährleistungsverantwortung für die IT-Sicherheit Kritischer Infrastrukturen.6 Basis dieser Rollenverteilung zwischen den Betreibern und dem BSI ist das Zusammenspiel der altruistisch begründeten Pflichtigkeit der Betreiber mit der staatlichen Gewährleistungsverantwortung. Soweit es die private Pflichtigkeit zulässt, überlässt der Staat den Bereich der Gewährleistung der IT-Sicherheit Privaten und beschränkt sich nur auf seine Garantiefunktion zur Erfüllung der Gewährleistungsverantwortung. Dabei belassen die private Pflichtigkeit und die staatliche Gewährleistungsverantwortung dem Gesetzgeber einen weiten Gestaltungsspielraum.7 Sie geben nur dessen verfassungsund unionsprimärrechtliche Grenzen vor. Diese fordern keine Inpflichtnahme der Betreiber zur Eigensicherung. Eine Erfüllung der Gewährleistungsverantwortung für die IT-Sicherheit Kritischer Infrastrukturen wäre auch mit einer abweichenden dogmatischen Struktur möglich. Mit dem Pflichtenkanon ist es aber gelungen, Instrumente der Gewährleistungsverwaltung, die durch ein Zusammenwirken von Privaten mit dem Staat geprägt sind, in das IT-Sicherheitsgesetz zu implementieren. Es werden mit Hange, BT / InnenA-Drs. 18(4)284 D, S. 6. Dürig, Verantwortung zwischen Gesetzgebung und Wirtschaft, in: Bub / Deleski / Wolfenstetter, Sicherheit im Wandel von Technologien und Märkten, S. 5, 8. 5 Siehe zur Verantwortlichkeit der Betreiber § 7 D. 6 Siehe hierzu § 4 B., C. II. 7 Wischmeyer, Die Verwaltung 50 (2017), S. 155, 162. 3 Vgl. 4 Vgl.
§ 10 Zusammenführung427
der Risikosteuerung in Form von anpassungsfähigen Betreiberpflichten innovative dogmatische Instrumente für die Regulierung technisch geprägter Bereiche geschaffen.8 Diese werden zur effektiven Gewährleistung der ITSicherheit auf den begrenzten Bereich der Kritischen Infrastrukturen angewandt.9 Die dogmatischen Bausteine des Pflichtenkanons10 sind ihrer Struktur nach nicht nur auf die Regulierung Kritischer Infrastrukturen beschränkt, sondern können auch für eine Regulierung weiterer IT-geprägter Bereiche in Wirtschaft und Gesellschaft herangezogen werden.11
B. Entwicklungstendenzen Die Gewährleistung der IT-Sicherheit ist keine gefestigte Rechtsmaterie, die in ihrer derzeitigen Fassung Bestand haben wird. Zum einen steht sie noch am Anfang ihrer rechtlichen Durchdringung.12 Zum anderen erfordern technische Entwicklungen veränderte Ansätze oder lassen diese erst zu. Dies beginnt strukturell bei der Gewährleistung der IT-Sicherheit über die Gefahrenabwehr oder das Risikosteuerungsrecht, reicht über den präventiven Bereich hinaus und erfasst auch repressives Handeln. Doch nicht nur strukturell, sondern auch innerhalb der jeweiligen Ausgestaltungen sind Anpassungen und Veränderungen zu erwarten, was den Pflichtenkanon zur IT-Sicherheit Kritischer Infrastrukturen einschließt. Personell werden die Pflichten zur Gewährleistung der IT-Sicherheit ausgeweitet werden.13 Existierten entsprechende gesetzliche Pflichten zunächst nur im TKG und EnWG, so erfolgte mit dem IT-Sicherheitsgesetz eine Erstreckung auf Kritische Infrastrukturen i. S. d. § 2 Abs. 10 BSIG.14 Diese 8 Siehe zur Risikosteuerung § 3 A. II.; zu den dogmatischen Bausteinen § 7 C.; mit gleichem Ergebnis Wischmeyer, Die Verwaltung 50 (2017), S. 155, 157. 9 Siehe zur Wirksamkeit der Pflichten § 7 E. I.; zur Begrenzung auf Kritische Infrastrukturen § 2 B., § 6. 10 Siehe § 7 C. 11 Vgl. hierzu die Übernahme der dogmatischen Instrumente der Sicherungspflicht und der Meldepflicht zur Gewährleistung der IT-Sicherheit digitaler Dienste durch § 8c BSIG, der durch das Gesetz zur Umsetzung der RL (EU) 2016 / 1148 vom 23. Juni 2017 geschaffen wurde. 12 Bundesministerium für Wirtschaft und Energie, IT-Sicherheit für die Industrie 4.0, S. 216; zum Entstehen eines Rechtsgebiets „Informationssicherheit“ Wischmeyer, Die Verwaltung 50 (2017), S. 155, 156. 13 Mit der Forderung umfassender Regelungen zur IT-Sicherheit Bundesministerium für Wirtschaft und Energie, IT-Sicherheit für die Industrie 4.0, S. 202, 220; eine Ausweitung der Meldepflicht fordernd Linke, DÖV 2015, S. 128, 131. 14 Darüber hinausgehend erfasst das IT-Sicherheitsgesetz auch Anbieter von Telemediendiensten, § 13 TMG, sowie Genehmigungsinhaber nach §§ 6, 7, 9 AtG, § 44b AtG, Energieversorgungsnetz- und -anlagenbetreiber, § 11 Abs. 1a–c EnWG,
428
Teil 4: Schlussbetrachtung
wurde im Rahmen der Umsetzung der RL (EU) 2016 / 1148 bereits auf digitale Dienste erweitert. Sie unterliegen vergleichbar den Kritischen Infrastrukturen einer auf die IT-Sicherheit bezogenen Sicherungs- und Meldepflicht sowie einer eingeschränkten Nachweispflicht, § 8c BSIG. Um die IT-Sicherheit wirksam zu gewährleisten muss ein vielseitiger Ansatz verfolgt werden. Derzeit wird der Ansatz der Eigensicherung als Methode der IT-Sicherheitsgewährleistung in der Diskussion um offensive Aspekte ergänzt. Die IT-Sicherheit soll nicht nur durch Sicherungsmaßnahmen, sondern auch durch Gegenangriffe geschützt werden können. Die (IT-)Sicherheitsarchitektur soll nicht mehr nur darauf beschränkt sein, auf konkrete Bedrohungen defensiv zu reagieren, sondern um Instrumente erweitert werden, mit denen aktiv offensive Gegenmaßnahmen ergriffen werden können.15 Auf eine Forderung des Bundesamtes für Verfassungsschutz hin,16 hat der Bundessicherheitsrat Studien in Auftrag gegeben, um das Bedürfnis hiernach und die rechtlichen Möglichkeiten auszuloten.17 Ob dieser Ansatz weiter verfolgt werden wird, bleibt abzuwarten. Bei derartigen Gegenangriffen bestehen jedoch erhebliche Risiken für ungewollte Kollateralschäden, die das Schadenspotential des ursprünglichen Angriffs weit übersteigen können. Auch wenn die Gewährleistung der IT-Sicherheit den Einsatz innovativer Instrumente erfordert, dürfen klassische nicht vernachlässigt werden. Ein wirksamer strafrechtlicher Schutz der IT-Sicherheit, wie er bereits in weitem Umfang besteht, sowie eine wirksame Verfolgung dieser Straftaten sind weiterhin nötig. Hierfür muss ständig überprüft werden, ob ein geeigneter institutioneller Rahmen besteht18 und die zuständigen Einrichtungen mit geeigneten Befugnissen ausgestattet sind. Doch kann die Bedeutung klassischer Instrumente mangels Erkennbarkeit und Rückverfolgbarkeit der Bedrohungen nicht über eine ergänzende Funktion hinausgehen. und Betreiber von Telekommunikationsnetzen und Anbieter von Telekommunika tionsdiensten, § 109 TKG, sofern sie keine Betreiber Kritischer Infrastrukturen sind. 15 Maizière, Leitlinien für einen starken Staat in schwierigen Zeiten, 03.01.2017, https: / / www.bmi.bund.de / SharedDocs / Interviews / DE / 2017 / 01 / namensartikel-faz. html?nn=3314802 (besucht am 12.06.2018). 16 http: / / www.spiegel.de / netzwelt / netzpolitik / bundesamt-fuer-verfassungsschutzplant-cyber-gegenangriffe-a-1129273.html (besucht am 12.06.2018). 17 https: / / www.heise.de / newsticker / meldung / Cyberschlaege-Bundesregierungprueft-Hack-Back-Strategie-mit-digitalem-Rettungsschuss-3689279.html (besucht am 12.06.2018). 18 Einen solchen kann beispielsweise die Zentralstelle Cybercrime Bayern bei der Generalstaatsanwaltschaft Bamberg bilden. Vgl. https: / / www.justiz.bayern.de / gerichte-und-behoerden / generalstaatsanwaltschaft / bamberg / spezial_1.php (besucht am 12.06.2018).
§ 10 Zusammenführung429
Der Fortentwicklung des institutionellen Rahmens, insbesondere der Rolle des BSI, kommt erhebliche Bedeutung zu. Es müssen nicht nur vertiefte Strukturen für einen behördlichen Informationsaustausch und Kooperationsformen bei IT-Sicherheitsvorfällen geschaffen werden,19 sondern das Informationssystem auch auf die Gesellschaft und Wirtschaft erstreckt werden. Dafür wird es nötig sein, die internationale Vernetzung zu stärken und auf ein krisenfestes Fundament zu stellen.20 Auf Ebene der EU könnte die bereits bestehende ENISA eine ähnliche Funktion wie das BSI auf nationaler Ebene einnehmen. Innere und äußere Sicherheit wachsen im Bereich der IT-Sicherheit zusammen. Eine Differenzierung zwischen staatlichen und privaten, inländischen oder ausländischen Bedrohungen ist weder sinnvoll noch praktikabel. Zum einen kennen Bedrohungen der IT-Sicherheit keine Staatsgrenzen, zum anderen ist ihr Verursacher in der Regel zunächst unbekannt. Die Instrumente der IT-Sicherheitsgewähr-leistung müssen innere wie äußere Sicherheit gleichermaßen schützen können. Daher sind nicht nur im sicherheitsbehördlichen, sondern auch im militärischen Bereich geeignete Strukturen zu schaffen. Ansätze sind hier bereits erkennbar. Bei der Bundeswehr wurde Anfang April 2017 das „Kommando Cyber- und Informationsraum“ in Dienst gestellt.21 Von Beginn an sollte beim Aufbau dieser Strukturen auf eine klare Aufgabenabgrenzung und eine informationelle Vernetzung geachtet werden. Denn eine effektive IT-Sicherheitsgewährleistung kann weder durch das BSI, noch durch die Bundeswehr oder Strafverfolgungsbehörden allein geleistet werden. Schließlich müssen im Falle von IT-Sicherheitsvorfällen, die staatliches Eingreifen erforderlich machen, klare Zuständigkeiten bestehen und die Ressourcen gebündelt und zielgerichtet zum Einsatz kommen. Bundesinnenminister Thomas De Mai zière schlägt daher vor, dem Cyber-Abwehrzentrum beim BSI eine federführende Rolle zukommen zu lassen.22 19 Wischmeyer, Die Verwaltung 50 (2017), S. 155, 167 zu Bedenken gegenüber einer Ausweitung der behördlichen Kooperation, S. 167, zur zukünftigen Notwendigkeit der Kooperation und Vernetzung, S. 185. 20 Vgl. zum Bedürfnis nach einer Vertiefung der Vernetzung und des Informationsaustausches auf Ebene der EU Wischmeyer, Die Verwaltung 50 (2017), S. 155, 175. 21 Vgl. https: / / www.bmvg.de / resource / blob / 10780 / c868d16eae69008e936b6da22 7518020 / 30-03-17-bundesministerin-der-verteidigung-stellt-neues-kommando-cy ber--und-informationsraum-auf-data.pdf (besucht am 12.06.2018); vgl. ebenso https: / / www.bundesregierung.de / Content / DE / Artikel / 2017 / 04 / 2017-04-05-bmvg-cyber. html?nn=1261110 (besucht am 12.06.2018). 22 Maizière, Leitlinien für einen starken Staat in schwierigen Zeiten, 03.01.2017, https: / / www.bmi.bund.de / SharedDocs / Interviews / DE / 2017 / 01 / namensartikel-faz. html?nn=3314802 (besucht am 12.06.2018).
430
Teil 4: Schlussbetrachtung
Die Entwicklung des Rechtsrahmens der IT-Sicherheit ist im Fluss. Der Endpunkt dieser Entwicklung kann derzeit noch nicht abgesehen werden, da die Regulierungsansätze ständigen Umwälzungen und Anpassungen an die technischen Voraussetzungen und die Bedrohungslage der IT-Sicherheit unterliegen. Die IT-Sicherheitsarchitektur wird um weitere Aspekte der Sicherheitsgewährleistung ergänzt werden. Eine wirksame Gewährleistung der ITSicherheit muss aber im Gefahrenvorfeld ansetzen und die Struktur einer Risikosteuerung aufweisen.23 Kern wird daher die Eigensicherung der bedrohten IT bleiben. Die Analyse dieser zentralen Struktur der IT-Sicherheitsarchitektur in Form des Pflichtenkanons zur IT-Sicherheit für Betreiber Kritischer Infrastrukturen war Ziel dieser Arbeit.
§ 11 Thesen 1. Der IT-Einsatz und die IT-Abhängigkeit durchdringt nicht nur die wirtschaftliche Tätigkeit, die Erbringung kritischer Infrastrukturdienstleistungen eingeschlossen, und den Staat, sondern auch den gesellschaftlichen Lebensbereich. IT-Sicherheit ist eine Grundvoraussetzung der Informationsgesellschaft. (§ 1 A.) 2. Wegen der vielfältigen, dienenden Einsetzbarkeit der IT haben Angriffe auf diese nicht abschätzbare Folgen, was ihre Attraktivität für potentielle Angreifer erhöht. Der IT-Einsatz birgt erhebliche Sicherheitsherausforderungen für die gesamte Informationsgesellschaft. Mangels Erkennbarkeit der Bedrohungen fehlt regelmäßig der Ausgangspunkt, um mit klassischen sicherheitsrechtlichen Instrumenten gegen diese vorgehen zu können. Mangels ausreichender Rückverfolgbarkeit von sich verwirklichenden Bedrohungen stoßen Zurechnungsinstrumente wie die Verursachungsverantwortlichkeit bezüglich der Angreifer an ihre Grenzen. (§ 1 B. II., V.) 3. Kritische Infrastrukturen sind für Bedrohungen der IT-Sicherheit wegen der weitreichenden Auswirkungen besonders attraktiv und einer erhöhten Bedrohungslage ausgesetzt. (§ 1 B. III.) 4. Die staatlichen Reaktionen auf die Bedrohungslage für die IT-Sicherheit weisen auf nationaler Ebene wie auf Ebene der EU ein breites Spektrum auf. Sie reichen von institutionellen Maßnahmen, wie der Einrichtung besonderer Behörden und informellen Maßnahmen der Sensibilisierung, bis hin zur Aktivierung von Eigeninitiativen auf freiwilliger Basis. Neuerdings sind mit dem IT-Sicherheitsgesetz und der RL (EU) 2016 / 1148 Ansätze eines recht 23 Hierin fügt sich auch die Ergänzung des bayerischen Polizeirechts um eine neue Schicht der „drohenden Gefahr“ ein. Vgl. zu dieser Entwicklung Waechter, NVwZ 2018, 458 ff.; Möstl, BayVBl. 2018, 156 ff.
§ 11 Thesen431
lichen Regulierungsrahmens erkennbar. Freiwillige Initiativen der Wirtschaft reichen nur soweit, wie der erkannte und erwartete eigene Vorteil die Kosten überwiegt. Aus der Entwicklung des wachsenden Marktes für Dienstleistungen der IT-Sicherheit geht hervor, dass Einzelpersonen und Unternehmen aufgrund eines überwiegenden Eigeninteresses Lösungen am Markt nachfragen und hierfür immer mehr Kapital zur Verfügung stellen. (§ 1 B. IV., V.) 5. Schutzobjekt der IT-Sicherheit ist die Information, nicht die IT. Erst über die Sicherheitsvorkehrungen in der IT wird der spezifische Bezug der IT-Sicherheit zur IT hergestellt, sodass die Begrenzung auf Sicherungsvorkehrungen in IT-Systemen und bei deren Anwendung den sachlichen Anwendungsbereich umgrenzt. Somit werden nicht sämtliche Informationen erfasst, sondern lediglich solche, die einer Verarbeitung durch IT zugänglich sind. (§ 2 A. I.) 6. Der Begriff der IT-Sicherheit beschreibt einen Zustand, in dem die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informationen gewährleistet ist. Obwohl die IT-Sicherheit selbst nicht die IT, sondern die Information zum Schutzgegenstand hat, erfordert sie mittelbar einen Systemschutz. Die Information besteht aus zwei Elementen, dem bloßen Datum und seiner Deutung. Nach dem hier zugrunde gelegten Verständnis stellt sie kein Synonym zum Datum dar. Die Schutzziele der IT-Sicherheit unterliegen gegenseitigen Wechselwirkungen, indem sie sich teils wechselseitig verstärken, teils auch in einem Spannungsverhältnis stehen, das bei der Umsetzung der Sicherungsmaßnahmen aufgelöst werden muss. Infolgedessen ist das zu gewährleistende IT-Sicherheitsniveau der Schutzziele nicht einheitlich, sondern schutzzielspezifisch zu ermitteln. In ihrer Gesamtheit wirken die Schutzziele auf ein Funktionieren der IT hin. (§ 2 A. I.) 7. Der über die Rechtsordnung vermittelte Schutz der IT-Sicherheit durch die öffentliche Sicherheit basiert auf einem weitreichenden strafrechtlichen Schutz der IT-Sicherheit. Die Rechtsgüter des Eigentums und der informa tionellen Selbstbestimmung erfassen die IT-Sicherheit nur partiell. (§ 2 A. II. 1. a)) 8. Die Vertraulichkeit und Integrität informationstechnischer Systeme ist ein Rechtsgut der öffentlichen Sicherheit, das die IT-Sicherheit in weiten Teilen abdeckt. (§ 2 A. II. 1. b)) 9. Die äußere Sicherheit reicht bezüglich der erfassten Schutzgüter über die IT-Sicherheit hinaus. Die IT-Sicherheit weist wiederum eine Offenheit bezüglich des Verursachers auf. Äußere und IT-Sicherheit überschneiden sich bei Bedrohungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von Informationen durch Drittstaaten. (§ 2 A. II. 2.)
432
Teil 4: Schlussbetrachtung
10. Die IT-Sicherheit zielt auf ein Funktionieren der IT und nicht wie die Datensicherheit auf einen technischen Schutz des Selbstbestimmungsrechts. Soweit personenbezogene Daten vorliegen, überschneiden sich beide Begriffe in den Schutzzielen. Der Schutz erfolgt aber jeweils vor einem anderen Hintergrund. (§ 2 A. II. 3.) 11. Die IT-Sicherheit ist eine Voraussetzung der Versorgungssicherheit. Ist die IT-Sicherheit gegeben, so ist die Versorgungssicherheit nicht durch Risiken, die aus dem Einsatz von IT resultieren, bedroht. (§ 2 A. II. 4.) 12. Der Begriff Cybersicherheit beschreibt die Sicherheit des Internets und im Internet. Er wird durch die enge Verbindung zu einer vernetzten IT geprägt. Anders als der Begriff der IT-Sicherheit ist der Bedeutungsgehalt der Cybersicherheit nicht endgültig geklärt. Er bleibt daher unscharf. Überschneidungen bestehen jedenfalls insoweit, als Bedrohungen für die Schutzziele der IT-Sicherheit Vernetzungen des Internets nutzen. (§ 2 A. II. 5.) 13. Die IT-Sicherheit ist ein Sicherheitsbegriff, der als Teilmenge bereits bekannter Sicherheitsbegriffe eine effektive Gewährleistung der Sicherheit in der digitalen Welt ermöglicht. Er ist als passgenauer Begriff für Bedrohungen in der digitalen Welt rechtlicher Ausgangspunkt für neuartige Formen der Sicherheitsgewährleistung. (§ 2 A. III.) 14. Die Netz- und Informationssicherheit ist das unionsrechtliche Pendant zum nationalrechtlichen Begriff der IT-Sicherheit. (§ 2 A. IV.) 15. Für den Begriff Infrastruktur hat sich keine einheitliche Definition mit Konkretisierungswert etabliert. Eine Infrastruktur kann erst durch eine Kombination von Kriterien und eine Gesamtbetrachtung des Einzelfalles als solche erkannt werden. Aufgrund einer empirischen Betrachtung können die Merkmale Konsumgut und die Notwendigkeit hoher Investitionen als typisch herausgearbeitet werden. Sie sind aber keine zwingenden Voraussetzungen. Abschließende oder zwingende Merkmale existieren nicht. Der Bedeutungsgehalt der gesetzlichen Infrastrukturbegriffe ist aus dem jeweiligen Zusammenhang zu ermitteln. In der Rechtsprechung und rechtswissenschaftlichen Literatur erfolgt daher anstelle einer Begriffsbestimmung nur eine Beschreibung der Bereiche, in denen eine Infrastruktur vorhanden ist, oder ein Definitionsversuch in großer Abstraktheit, um der Entwicklungsoffenheit des Begriffs Rechnung zu tragen. (§ 2 B. I. 1.) 16. Vom Begriff der Kritischen Infrastrukturen werden lediglich Infrastrukturen materieller Art erfasst. Solche institutioneller oder personeller Art bleiben unberücksichtigt. (§ 2 B. I. 2.) 17. Die Kritikalität ist ein relatives Maß der gesellschaftlichen Bedeutung einer Infrastruktur bezogen auf die Folgen einer Störung oder eines Funk tionsausfalls für die Versorgung mit wichtigen Gütern und Dienstleistungen. Die Bestimmung der Kritischen Infrastrukturen erfolgt über zwei Ebenen,
§ 11 Thesen433
der sektorspezifischen Eingrenzung und der hohen Bedeutung für das Gemeinwesen. Bezugspunkt der Beurteilung der Kritikalität ist das Gemeinwesen im gesamten Bundesgebiet. Maßstab für die Ermittlung der hohen Bedeutung sind die Kriterien der Qualität und Quantität. Kritische Dienstleistungen sind ihrer Qualität nach kritisch, wenn ohne sie Leib, Leben, Gesundheit sowie wirtschaftliche Rechtsgüter wie das Eigentum beeinträchtigt würden. Über die Quantität wird ermittelt, wann ein Ausfall einer kritischen Dienstleistung einen derartigen Umfang hat, dass er als erheblich eingestuft werden muss. (§ 2 B. II.) 18. Der Begriff der Kritischen Infrastrukturen unterliegt unionsrechtlichen Einflüssen der RL (EU) 2016 / 1148. Die unionsrechtliche Begrifflichkeit der wesentlichen Dienste wird über mehrere Ebenen definiert. Zunächst wird eine sektorenbezogene Eingrenzung vorgenommen, in der Anlagen wesent licher Dienste benannt werden. Diese müssen dann die Kriterien der Unerlässlichkeit für kritische Tätigkeiten, der Abhängigkeit von Netz- und Informationssystemen und der Bewirkung erheblicher Störungen im Falle eines Sicherheitsvorfalles erfüllen. (§ 2 B. III.) 19. Die Grenzlinie der Regelungsstrukturen von Gefahrenabwehr- und Risikosteuerungsrecht verläuft dort, wo eine faktische Grenze der Erkenntnismöglichkeiten bezüglich der hinreichenden Wahrscheinlichkeit und gegebenen Zurechnungszusammenhängen eines Geschehensablaufs hin zu einem Schaden erreicht ist. Das Risikosteuerungsrecht ist daher geeignet, eine Verletzung der geschützten Rechtsgüter in Lagen der Ungewissheit und Unkenntnis durch Maßnahmen im Gefahrenvorfeld in abstrakter Weise zu verhindern. Für die Einordnung als Risikosteuerungsrecht ist es ohne Bedeutung, ob den Adressaten der Pflichten eine korrespondierende Verursachungsverantwortlichkeit trifft. Die Betreiberpflichten zur IT-Sicherheit sind als Risikosteuerungsrecht zu charakterisieren. Sie kennen jedoch auch Elemente der Gefahrenabwehr, die zu einer effektiven Gewährleistung der IT-Sicherheit und der Funktionsfähigkeit Kritischer Infrastrukturen nötig sind. (§ 3 A.) 20. Die Pflichten zur Sicherung der IT und das Datenschutzrecht können als verwandte Materien angesehen werden, schützen die Vertraulichkeit aber vor einem anderen Hintergrund und weichen daher in der Reichweite des gewährten Schutzes voneinander ab. (§ 3 B. I.) 21. Im Verhältnis zum Katastrophen- und Zivilschutzrecht können die Pflichten zur IT-Sicherheit als spezielles Risikosteuerungsrecht zur Vermeidung von Katastrophen- und Zivilschutzfällen qualifiziert werden, die durch Angriffe auf die zum Betrieb einer Kritischen Infrastruktur notwendige IT ausgelöst werden können. Sie dienen durch die Gewährleistung der Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen einem präventiven Zivil- und Katastrophenschutz. (§ 3 B. II.)
434
Teil 4: Schlussbetrachtung
22. Die Pflichten des IT-Sicherheitsgesetzes können, anders als es sein Gesetzestitel vermuten ließe, nicht als reines Sicherheitsrecht qualifiziert werden. Sie sind eine Rechtsmasse, die sich als Schmelztiegel ihrem Normcharakter nach verschiedener Rechtsgebiete darstellt. Im Hinblick auf die Herausforderungen der Gewährleistung der IT-Sicherheit werden sie jedoch sinnvoll in einem gesetzgeberischen Akt der Risikosteuerung zusammengeführt. (§ 3 B. III.) 23. Der grundrechtlichen Schutzpflichtendimension kommt bei der Gewährleistung der IT-Sicherheit eine besondere Bedeutung zu. Nur wenn diese gegeben ist, können die Infrastruktureinrichtungen in ihrer vom Betreiber zugedachten Funktion genutzt und die durch das Eigentumsgrundrecht gewährten Freiheiten ausgeübt werden. Zeitigt eine Beeinträchtigung der ITSicherheit keine Folgen für die Funktionsfähigkeit der Hardware selbst, so wird über Art. 14 Abs. 1 GG grundsätzlich kein Schutz gewährt. Mangels normativer Zuordnung unterfällt die Information dem verfassungsrechtlichen Eigentumsbegriff nicht. Lediglich Informationen, an denen Rechte des geistigen Eigentums bestehen, werden vom objektiven Schutzgehalt des Eigentumsgrundrechts erfasst. (§ 4 A. I. 1. a), b), c) aa)) 24. Das Recht am eingerichteten und ausgeübten Gewerbebetrieb erfasst die IT-Sicherheit von Betriebsgeheimnissen. Mangels normativer Prägung ist das Recht am eingerichteten und ausgeübten Gewerbebetrieb aber nicht Teil des verfassungsrechtlich geschützten Eigentums. Eine Schutzpflicht zugunsten der IT-Sicherheit von Betriebsgeheimnissen kann sich daher nicht aus Art. 14 Abs. 1 GG ergeben. (§ 4 A. I. 1. c) bb)) 25. Die IT-Sicherheit sämtlicher Informationen, die zum Betrieb einer Kritischen Infrastruktur notwendig sind, ist Teil des objektiven Schutzgehaltes der Berufsfreiheit. (§ 4 A. I. 2.) 26. Mangels Bestimmung zur Veröffentlichung und Bedeutung für den Meinungsbildungsprozess der von der IT-Sicherheit erfassten Informationen ergibt sich aus der Informationsfreiheit keine diesbezügliche Schutzpflicht. (§ 4 A. I. 3.) 27. Das Fernmeldegeheimnis kann das Schutzziel der Vertraulichkeit von Informationen für sämtliche individuellen Kommunikationsvorgänge grundrechtlich verankern. Es wirkt jeweils zugunsten des Kommunizierenden. Dies kann sowohl ein Infrastrukturbetreiber als auch ein Infrastrukturnutzer sein. (§ 4 A. I. 4., II. 5.) 28. Eine Schutzpflicht aus dem Recht auf informationelle Selbstbestimmung kann zugunsten juristischer Personen allein aus Art. 2 Abs. 1 GG abgeleitet und nicht durch Menschenwürdegehalte verstärkt werden. Folglich werden nur Informationen, die Teil des Tätigkeitsfeldes Betrieb einer Kriti-
§ 11 Thesen435
schen Infrastruktur sind, von den Gewährleistungsgehalten der informationellen Selbstbestimmung erfasst. Dies trifft gerade auf die von der IT-Sicherheit Kritischer Infrastrukturen erfassten Informationen zu. Sie schützt Informationen zwar unabhängig von ihrem Bedeutungsgehalt. Der Schutz bezieht sich jedoch gerade auf betriebliche Informationen, da diese für den Betreiberzweck des Infrastrukturbetriebes notwendig sind. Für diese ergibt sich hieraus eine objektiv-rechtliche Schutzgewährleistung im Hinblick auf ihre Vertraulichkeit. (§ 4 A. I. 5.) 29. Der objektive Grundrechtsgehalt des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme enthält nicht nur eine Abwehr-, sondern auch eine Schutzpflichtendimension. (§ 4 A. I. 6. d)) 30. Die IT-Sicherheit findet in ihrem Kern ihre verfassungsrechtliche Basis im objektiven Gewährleistungsgehalt des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Beide weisen parallele Schutzrichtungen auf, obwohl das Grundrecht mit der Anknüpfung an das informationstechnische System einen Systemschutz anstelle eines Informationsschutzes etabliert. (§ 4 A. I. 6. d) aa)) 31. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ist auch auf juristische Personen anwendbar. Da juristische Personen keine mehrdimensionale Persönlichkeit besitzen, beschränkt sich der Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme auf diejenige IT, die Teil ihrer Zwecksetzung ist. Hierzu gehört die zum Infrastrukturbetrieb notwendige IT. Mangels Untermauerung durch die Menschenwürde kommt juristischen Personen allerdings nur ein vermindertes Schutzniveau zugute. (§ 4 A. I. 6. d) bb)) 32. Aus dem Grundrecht auf informationelle Selbstbestimmung folgt eine Schutzgewährleistung zugunsten der Infrastrukturnutzer bezüglich der Vertraulichkeit ihrer personenbezogenen Daten in der IT der Betreiber Kritischer Infrastrukturen. (§ 4 A. II. 1.) 33. Grundsätzlich folgt für die Nutzer der Kritischen Infrastrukturen keine Schutzpflicht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme der Kritischen Infrastrukturen. Eine Ausnahme ergibt sich für Nutzer des Infrastruktursektors Informationstechnik und Telekommunikation aufgrund seiner besonderen technischen Gegebenheiten. Dort existiert wegen des Rückgriffs der Nutzer auf die IT der Infrastruktur eine grundrechtliche Schutzgewährleistung zugunsten der Vertraulichkeit und Integrität dieser. (§ 4 A. II. 2.) 34. Über die Versorgungssicherheit mit zur Berufsausübung notwendigen Infrastrukturdienstleistungen erfasst der objektive Gehalt der Berufsfreiheit
436
Teil 4: Schlussbetrachtung
zugunsten der Infrastrukturnutzer auch die IT-Sicherheit Kritischer Infrastrukturen. (§ 4 A. II. 3.) 35. Aus Art. 2 Abs. 2 S. 1 GG folgt über das Vehikel der lebensnotwendigen Infrastrukturdienstleistungen eine auf die IT-Sicherheit Kritischer Infrastrukturen bezogene Schutzgewährleistung zugunsten der Nutzer. (§ 4 A. II. 4.) 36. Der Gesetzgeber bewegt sich mit den Betreiberpflichten im Bereich des in den grundrechtlichen Schutzgewährleistungen enthaltenen objektiven Verfassungsauftrages, die IT-Sicherheit Kritischer Infrastrukturen zu gewährleisten. Eine hieraus folgende rechtfertigende Wirkung bezüglich der Betreiberpflichten wurzelt allein in den Schutzgewährleistungen zugunsten der Infrastrukturnutzer. Die Schutzgewährleistungen zugunsten der Betreiber legen bereits auf verfassungsrechtlicher Ebene an, dass die Gewährleistung ihrer IT-Sicherheit den Betreibern nicht vollständig alleine überlassen werden kann. (§ 4 A. III.) 37. Aus Art. 87e Abs. 4 GG resultiert eine Gewährleistungsverantwortung für die Eisenbahnen des Bundes. Für Telekomunikations- und Logistikdienstleistungen des Postwesens folgt aus Art. 87f Abs. 1 GG eine sich den technischen Entwicklungen und Nutzerbedürfnissen anpassende Gewährleistungsverantwortung. Sie schließt jeweils die IT-Sicherheit mit ein. (§ 4 B. I.) 38. Aus einer Gesamtschau der grundrechtlichen Schutzgehalte zugunsten der Betreiber Kritischer Infrastrukturen und solchen zugunsten der Infrastrukturnutzer folgt eine umfassende Gewährleistungsverantwortung des Staates für die IT-Sicherheit Kritischer Infrastrukturen. Die Kritischen Infrastrukturen erbringen Dienstleistungen, die für das menschliche Dasein von existenzieller Bedeutung sind. Deshalb umfasst die sozialstaatliche Gewährleistungsverantwortung zugunsten der Daseinsvorsorge gerade im Kern die Funktionsfähigkeit der Kritischen Infrastrukturen. Die Art. 87e Abs. 4 und Art. 87f Abs. 1 GG enthalten hingegen keine allgemeine Infrastrukturgewährleistungsverantwortung. Sie sind spezielle Ausprägungen dieser, für deren Normierung aufgrund der Privatisierung dieser Infrastrukturen ein Bedürfnis gesehen wurde. (§ 4 B. II.) 39. Aufgrund des Menschenwürdekerns der einzelnen Grundrechte und der Entwicklungsgeschichte der europäischen Grundrechte enthalten auch die Grundrechte der EUGRCH eine aus ihrem jeweiligen objektiven Gewährleistungsgehalt abgeleitete Schutzpflichtendimension. (§ 4 C. I.) 40. Die Unionsgrundrechte gewährleisten in ihren Wirkungen zugunsten der Betreiber einen im Vergleich zu den grundgesetzlichen Schutzgewährleistungen im Wesentlichen äquivalenten Schutz der IT-Sicherheit. Im Unionsrecht kumuliert dieser aber nicht in einem besonderen grundrechtlichen
§ 11 Thesen437
Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme. Auch eine altruistisch fundierte Schutzdimension zugunsten der Nutzer fordert eine Gewährleistung der IT-Sicherheit wesentlicher Dienste. Kann diese nicht sichergestellt werden, würden die Schutzgüter des Rechts auf Leben und Unversehrtheit, Artt. 2 f. EUGRCH, der Berufsfreiheit und unternehmerischen Freiheit, Artt. 15 f. EUGRCH, sowie der Schutz personenbezogener Daten und der Schutz der Kommunikation, Artt. 7 f. EUGRCH, verletzt. (§ 4 C. I.) 41. Eine unionsrechtliche Infrastrukturverantwortung folgt für die IT-Sicherheit Kritischer Infrastrukturen aus Art. 14 S. 1 AEUV nur bezüglich eines unionsrechtlichen Ordnungsrahmens, nicht aber für die Umsetzung im nationalen Recht. (§ 4 C. II.) 42. Die Pflichtigkeit der Betreiber beschreibt eine Abgrenzung der grundrechtlichen Freiheitsräume, indem wichtige Gemeinwohlinteressen oder Grundrechtspositionen Dritter den grundrechtlich gewährleisteten Freiheitsraum einschränken. Für eine Bindungswirkung gegenüber Privaten bedarf sie einer einfachgesetzlichen Ausgestaltung. (§ 5) 43. Die Betreiber Kritischer Infrastrukturen sind Opfer von Bedrohungen der IT-Sicherheit durch Dritte. Sie trifft für Bedrohungen durch Dritte keine aus dem Verursacherprinzip folgende Verantwortlichkeit. Eine Verursachungsverantwortlichkeit besteht lediglich für Risiken, die durch den Betrieb der jeweiligen IT selbst verursacht werden. (§ 5 B. I.) 44. Die Pflicht der Grundrechtsberechtigten, Risiken unterhalb der Schwelle des Untermaßverbotes zu tragen, beschränkt den grundrechtlichen Schutzgehalt. Er kann insoweit keine staatliche Schutzgewährleistung verlangen. Die Risikotragungspflichtigkeit kann, da sie dem Betreiber die Entscheidung überlässt, ob Sicherungsmaßnahmen getroffen werden sollen, nicht gegenüber den in Grundrechte eingreifenden Betreiberpflichten in Stellung gebracht werden. Aus dem gleichen Grund kann eine Herleitung aus dem Subsidiaritätsprinzip nicht gelingen, soweit es in Art. 20 Abs. 3 GG angelegt ist. (§ 5 B. II. 2. a)) 45. Das Eigentum an der IT und den Kritischen Infrastrukturen ist aufgrund der sozialstaatlichen Rückbindung durch Art. 14 Abs. 2 GG mit einer hieraus folgenden Pflichtigkeit bezüglich der IT-Sicherheit belastet. Aus Art. 14 Abs. 2 GG folgt aber lediglich eine eigentumsspezifische und keine allgemeine Eigensicherungspflichtigkeit der Betreiber Kritischer Infrastrukturen in Bezug auf die IT-Sicherheit. (§ 5 B. II. 2. b) aa)) 46. Aus der sozialstaatsgebundenen grundrechtlichen Freiheit folgt eine Pflichtigkeit zur Eigensicherung der IT. Durch diese sozialstaatliche Rückbindung wird die jeweilige Freiheitsgewährleistung zu einer dienenden Frei-
438
Teil 4: Schlussbetrachtung
heit, ohne aber ihren Charakter als Freiheitsgrundrecht zu verlieren. (§ 5 B. II. 2. b) bb)) 47. Da sich Art. 87e Abs. 4 GG in seinen rechtlichen Wirkungen allein auf die Eisenbahnen des Bundes bezieht, kann hieraus für private Eisenbahnbetreiber keine Pflichtigkeit abgeleitet werden. Nur insoweit, als die Eisenbahnen des Bundes als grundrechtsfähig angesehen werden, folgt hieraus eine grundrechtliche Pflichtigkeit. Für Betreiber von Post- und Telekommunika tionsinfrastrukturen wurzelt in Art. 87f Abs. 1 GG eine Pflichtigkeit zur Gewährleistung der IT-Sicherheit. (§ 5 B. II. 2. b) cc)) 48. Im Verhältnismäßigkeitsgrundsatz ist eine grundrechtliche Pflichtigkeit des Einzelnen angelegt. Der grundrechtlich gewährte Freiheitsraum kann bei überwiegenden Individual- oder Allgemeininteressen beschnitten werden. In dieser Abstraktheit liegt der wesentliche Vorteil dieser Pflichtigkeit. Sie wirkt nicht auf ein konkretes Sachziel hin, sodass sie universell anwendbar auch die IT-Sicherheit Kritischer Infrastrukturen erfasst. (§ 5 B. II. 2. b) dd)) 49. Anders als das Grundgesetz, kennt das Unionsprimärrecht keine besondere Pflichtigkeit wesentlicher Dienste, auf die sich die IT-Sicherheit stützen könnte. Es kann lediglich auf die allgemeine Pflichtigkeit grundrechtlicher Freiheit zurückgegriffen werden, Eingriffe bei überwiegenden Individual- oder Allgemeininteressen hinnehmen zu müssen. (§ 5 C.) 50. Betreiber i. S. d. BSIG sind natürliche oder juristische Personen, die eine rechtliche oder tatsächliche Funktionsherrschaft über eine als Kritische Infrastruktur qualifizierte Einrichtung ausüben. (§ 6 A. I.) 51. Nur eine ausschließliche und abschließende Festlegung der Kritischen Infrastrukturen durch die BSI-KritisV entspricht rechtsstaatlichen Grundsätzen der Rechtssicherheit. Ohne eine abschließende Festlegung der Kritikalität einer Infrastruktur über Schwellenwerte können mögliche Adressaten die Rechtslage nicht mit der gebotenen Rechtssicherheit erkennen. Die BSI-KritisV wirkt daher konstitutiv. Als Ermächtigungsgrundlage für die BSI-KritisV genügt § 10 Abs. 1 i. V. m. § 2 Abs. 10 S. 2 BSIG den Anforderungen des Art. 80 Abs. 1 S. 2 GG an die Regelungsdichte nach Inhalt, Zweck und Ausmaß. Rechtspolitisch sinnvoll wäre es gewesen, die BSI-KritisV in vollem Umfang kurze Zeit nach dem IT-Sicherheitsgesetz zu erlassen, damit der Pflichtenkanon möglichst schnell zur IT-Sicherheit Kritischer Infrastrukturen beiträgt und um möglichen Betreibern Klarheit über ihre Betroffenheit zu verschaffen. (§ 6 A. II.) 52. § 11 EnWG, § 44b AtG und § 109 TKG fingieren die hiervon erfassten Anlagen nicht als Kritische Infrastrukturen. Diese Einordnung nimmt auch für die spezialgesetzlich erfassten Bereiche die BSI-KritisV vor. Betreiber von Anlagen nach §§ 6, 9 AtG und Telemediendiensteanbieter sind keine
§ 11 Thesen439
Betreiber Kritischer Infrastrukturen. Die Einordnung der Telematikinfrastruktur als Kritische Infrastruktur ergibt sich aus einem Umkehrschluss der Ausnahmen des § 8d Abs. 2 Nr. 3, Abs. 3 Nr. 3 BSIG. (§ 6 A. IV.) 53. Eine Festlegung der Kritischen Infrastrukturen über kritische Dienstleistungen und einen Schwellenwert ist im Grundsatz zulässig. Bis auf den Faktor der Abhängigkeiten anderer wesentlicher Dienste wurden bei der Ermittlung des Schwellenwerts die unionsrechtlich vorgegebenen Kriterien des Art. 6 Abs. 1 RL (EU) 2016 / 1148 berücksichtigt. Soweit keine Nebeneinrichtung besteht und keine speziellen Pflichten normiert sind, kann der Umsetzungsmangel des Kriteriums der Abhängigkeit anderer wesentlicher Dienste nicht aufgefangen werden. Damit ist der Gesetz- bzw. Verordnungsgeber angehalten, den Faktor der Abhängigkeiten bei der Ermittlung der Kritischen Infrastrukturen, sofern sie unionsrechtlich determiniert sind, zu ergänzen. (§ 6 B. I.) 54. Die in der BSI-KritisV und in Anhang II der RL (EU) 2016 / 1148 genannten Infrastrukturen sind nicht gänzlich deckungsgleich. Die kritischen Dienstleistungen der BSI-KritisV gehen zum Teil über die wesentlichen Dienste hinaus. Bei den als wesentliche Dienste eingeordneten Anlagen scheinen indes die Einrichtungen in Anhang II der RL (EU) 2016 / 1148 punktuell weiter zu reichen. Dies hat jedoch kein Umsetzungsdefizit zur Folge. Zum Teil sind diese Anlagen für das Funktionieren des deutschen Gemeinwesens nicht von erheblicher Bedeutung, zum Teil werden die Infrastrukturen, denen eine derartige Bedeutung zukommt, in der BSI-KritisV unter anderer Bezeichnung aufgeführt. (§ 6 B. II.) 55. Die Sicherungspflicht ist in weitem Umfang durch unionsrechtliche Vorgaben der RL (EU) 2016 / 1148 determiniert. Dem nationalen Gesetzgeber wird die wesentliche Struktur der Sicherungspflicht vorgegeben. Ein erheb licher Umsetzungsspielraum besteht aber aufgrund der unbestimmten Rechtsbegriffe „geeignete und verhältnismäßige technische und organisatorische Maßnahmen“, „Stand der Technik“ und des in Bezug auf das Risiko „angemessenen“ IT-Sicherheitsniveaus. (§ 7 A. I. 1.) 56. Die organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der IT-Sicherheit bilden den dogmatischen Kernbaustein der Sicherungspflicht. Eine Störung der IT-Sicherheit ist gegeben, wenn eines der Schutzziele der IT-Sicherheit nicht im nötigen Umfang gewährleistet wird. Das Vorliegen einer Störung ist unabhängig von der Ursache allein anhand der Auswirkungen zu beurteilen. Die IT-Sicherheit ist nicht absolut zu gewährleisten. Das IT-Sicherheitsniveau der einzelnen Schutzziele bemisst sich anhand der jeweiligen Bedürfnisse für das Funktionieren der IT sowie der möglichen Auswirkungen auf die Funktionsfähigkeit der Kritischen In frastruktur. Die organisatorischen und technischen Vorkehrungen zielen über
440
Teil 4: Schlussbetrachtung
den textlichen Wortlaut hinaus nicht nur auf die Vermeidung, sondern auch auf die Erkennung und Behebung als Maßnahmen einer sich immerwährend aktualisierenden Störungsvermeidung. Strukturell können die technischen und organisatorischen Vorkehrungen mittels eines Informations-SicherheitsManagement-Systems (ISMS) oder eines Business Continuity Managements (BCM) erfüllt werden. (§ 7 A. I. 2. a)) 57. Im Grundsatz ist von der Angemessenheit der zur Erhöhung der ITSicherheit notwendigen Maßnahmen auszugehen. Der normierte Angemessenheitsvorbehalt schließt vielmehr nur diejenigen Vorkehrungen aus, die hohe Kosten verursachen und die IT-Sicherheit nur in geringem Maße ohne erheblichen Nutzen für die Versorgungssicherheit mit kritischen Dienstleistungen erhöhen. (§ 7 A. I. 2. b)) 58. Der Stand der Technik ist im Grundsatz einzuhalten, eine Ausnahme im Einzelfall, insbesondere aufgrund von Problemen in der praxistauglichen Umsetzung, bleibt jedoch möglich. Über den Stand der Technik wird die dynamische Gestaltung der IT-Sicherheitsgewährleistung dogmatisch durch eine Verknüpfung mit (informations-)technischen Entwicklungen abgesichert. (§ 7 A. I. 2. c)) 59. Nur insoweit als die IT zur Dienstleistungserbringung notwendig ist, kann sich ihre verpflichtende Sicherung auf eine die grundrechtliche Freiheit der Betreiber beschränkende Pflichtigkeit stützen. Die Beschränkung auf die notwendige IT ist Ausdruck des Übermaßverbotes. (§ 7 A. I. 2. d)) 60. Obwohl § 8a Abs. 1 BSIG inhaltlich die Richtlinienvorgaben wirksam umsetzt, trifft dies in zeitlicher Hinsicht nicht zu. Für die Sektoren Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation erfolgte mit § 8a Abs. 1 BSIG i. V. m. der BSI-KritisV auch zeitlich eine unionskonforme Umsetzung. In den Sektoren Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr kommt es vom 10. Mai 2018 bis zum 30. Juni 2019 wegen der zweijährigen Umsetzungsfrist des § 8a Abs. 1 S. 1 BSIG zu einem zeitlich begrenzten Umsetzungsdefizit. (§ 7 A. I. 2. f)) 61. Die Sicherungspflicht verpflichtet die Betreiber Kritischer Infrastrukturen zu einer Eigensicherung. Hierbei kann an der auf verfassungsrechtlicher und unionsprimärrechtlicher Ebene angelegten Eigensicherungspflichtigkeit der Betreiber Kritischer Infrastrukturen angeknüpft werden. Die unbestimmten Rechtsbegriffe bewirken, dass die konkreten Sicherungsmaßnahmen an die jeweiligen infrastrukturellen Gegebenheiten, die Bedrohungslage für die IT-Sicherheit und die (informations-)technischen Entwicklungen angepasst werden können. (§ 7 A. I. 2. g)) 62. Die Durchsetzung der Sicherungspflicht erfolgt über die Nachweispflicht, hieran anknüpfende bzw. ergänzende Befugnisse sowie den Ord-
§ 11 Thesen441
nungswidrigkeitentatbestand des § 14 Abs. 1 Nr. 1 BSIG. Vom Ordnungswidrigkeitentatbestand des § 14 Abs. 1 Nr. 1 BSIG wird durch den auf § 8a Abs. 1 S. 1 BSIG begrenzten Verweis der Stand der Technik ausgenommen. Die unionsrechtlichen Vorgaben des Art. 21 RL (EU) 2016 / 1148 zu den Sanktionen im Falle der Verletzung der Sicherungspflicht werden richtlinienkonform umgesetzt. (§ 7 A. I. 3.) 63. Erfüllt ein beantragter branchenspezifischer Sicherheitsstandard die materiellen und formellen Anforderungen, so hat der Antragsteller einen Anspruch auf Feststellung der Eignung, die Vorgaben des § 8a Abs. 1 BSIG einzuhalten. Dem BSI kommt bei der Feststellungsentscheidung kein Ermessen zu. Auf Tatbestandsseite ist ihm hingegen ein weiter Beurteilungsspielraum bezüglich der Eignung, angemessene organisatorische und technische Vorkehrungen nach dem Stand der Technik sicherzustellen, eingeräumt. (§ 7 A. I. 6. a), b)) 64. Aus der Feststellungsentscheidung folgt eine faktische Fiktion hinsichtlich der Erfüllung der Sicherungsanforderungen durch konkrete Vorkehrungen in der IT, die dieser Feststellungsentscheidung entsprechen. Diese Fiktion beruht dogmatisch auf einer Selbstbindungswirkung des BSI, die in der Feststellungsentscheidung wurzelt. Die Selbstbindung kann eine Erfüllung der Sicherungspflicht nur insoweit „fingieren“, als die Rechtswirkung der Feststellungsentscheidung des BSI reicht. Inhaltlich kann die Feststellungsentscheidung nur soweit eine Selbstbindung des BSI bewirken, als der vorgeschlagene branchenspezifische Sicherheitsstandard auf die Eignung der Gewährleistung der Anforderungen des § 8a Abs. 1 BSIG geprüft wurde. Die zeitliche Reichweite der Feststellungswirkung, dass ein branchenspezifischer Sicherheitsstandard die Anforderungen des § 8a Abs. 1 BSIG erfüllt, hängt von einem Vergleich dessen inhaltlicher Vorgaben mit dem jeweils aktuellen Stand der Technik und einer möglicherweise veränderten Bedrohungslage ab. Die Feststellungswirkung umfasst in personeller Hinsicht den Antragsteller selbst; bei Branchenverbänden sind nur die zum Zeitpunkt der Feststellungsentscheidung vom antragstellenden Branchenverband vertretenen Betreiber erfasst. Unbeteiligte Dritte können sich nicht auf die Feststellungswirkung berufen. Die personelle Reichweite wird durch den personellen Prüfungsumfang des BSI und der Mitwirkung der Betreiber bestimmt. (§ 7 A. I. 6. c) aa)) 65. Die Feststellungsentscheidung stellt sich im Falle eines nach allgemeinen Merkmalen bestimmten Adressatenkreises als begünstigende gebundene Allgemeinverfügung, § 35 S. 2 Var. 1 VwVfG, bzw. eines einzelnen Adressaten oder mehrerer individuell benannter Adressaten als begünstigender gebundener Verwaltungsakt, § 35 S. 1 VwVfG, mit Feststellungswirkung, soweit die Selbstbindungswirkung reicht, dar. In der Feststellungsentscheidung ist zugleich der konkludente Erlass einer Verwaltungsvorschrift zu sehen.
442
Teil 4: Schlussbetrachtung
Zweck der konkludent erlassenen Verwaltungsvorschrift ist, die Vereinheitlichung des Verwaltungsvollzuges bei der Nachweispflicht und der Überprüfungsbefugnis, wenn kein branchenspezifischer Sicherheitsstandard existiert, sowie bei der Feststellung der Eignung weiterer branchenspezifischer Sicherheitsstandards abzusichern. Die Außenwirkung in Form der Selbstbindungswirkung des BSI gegenüber den Antragstellern wurzelt im Verwaltungsakt bzw. der Allgemeinverfügung und nicht in einer konkludent erlassenen Verwaltungsvorschrift. (§ 7 A. I. 6. c) bb)) 66. Die branchenspezifischen Sicherheitsstandards sind als privat gesetztes Recht einzuordnen, das erst durch seine staatliche Legitimation mittels der Feststellungsentscheidung mit Rechtswirkungen ausgestattet wird. Sie verbleiben daher auch außerhalb der Kategorien öffentlich-rechtlicher Handlungsformen. (§ 7 A. I. 6. c) cc)) 67. Soweit die Feststellungsentscheidung eines branchenspezifischen Sicherheitsstandards eine Selbstbindung des BSI bewirkt, sind auch die Gerichte hieran gebunden, wenn bereits Bestandskraft der Feststellungsentscheidung eingetreten ist. Der Beurteilungsspielraum im Rahmen der Feststellung der Eignung, die Vorgaben des § 8a Abs. 1 BSIG zu erfüllen, kann nicht vollständig gerichtlich überprüft werden. (§ 7 A. I. 6. e)) 68. Die branchenspezifischen Sicherheitsstandards sind ein innovatives Instrument, um unter Einbeziehung der Betreiber Kritischer Infrastrukturen in kooperativer Weise Maßstäbe für die IT-Sicherheit zu setzen und zu einer wirksamen Sicherung der IT beizutragen. Sie sind ein Instrument, mit dem auf das Bedürfnis der Betreiber nach Rechtssicherheit einfach und treffend reagiert werden kann und das zugleich die Potentiale der Normadressaten zur Regelsetzung nutzbar macht. (§ 7 A. I. 6. f)) 69. Die Wirksamkeit der Nachweispflicht hängt von der Fachkompetenz des Prüfers ab. Obwohl § 8a Abs. 3 BSIG ausdrücklich keine Anforderungen an den Prüfer stellt, sind diese bei einer teleologischen Betrachtung hieraus abzuleiten. Die Überprüfung kann nur von qualifizierten Personen durchgeführt werden. Prüfungsmaßstab sind die Anforderungen des § 8a Abs. 1 BSIG bzw., sofern ein gültiger branchenspezifischer Sicherheitsstandard vorliegt, dieser. Gegenstand ist die für die Erbringung der kritischen Infrastrukturdienstleistungen notwendige IT. (§ 7 A. II. 1.) 70. Infolge eines Normverweisungsfehlers kann das erhöhte Bußgeld nach § 14 Abs. 2 S. 1 Hs. 2 BSIG auf einen Verstoß gegen § 8a Abs. 3 S. 5 BSIG nicht angewendet werden. § 14 Abs. 1 Nr. 2 BSIG bezieht sich nicht mehr, wie in der alten Fassung, auf die Übermittlung der Ergebnisse nach § 8a Abs. 3 S. 3 BSIG n. F. (§ 7 A. II. 2.)
§ 11 Thesen443
71. Die Überprüfungsbefugnis nimmt eine Komplementärfunktion zur periodischen Nachweisführung durch den Betreiber ein. Sie trägt keine dauerhafte Überprüfung. Es ist aber auch kein Anlass für die Überprüfung notwendig. (§ 7 A. II. 3.) 72. Die Nachweispflicht des § 8a Abs. 3 BSIG wurde richtlinienkonform entsprechend den Vorgaben des Art. 15 Abs. 2 lit. a, b RL (EU) 2016 / 1148 umgesetzt. Die turnusgebundene Nachweispflicht des § 8a Abs. 3 BSIG setzt nur i. V. m. der Überprüfungsbefugnis die Vorgaben des Art. 15 Abs. 1, 2 RL (EU) 2016 / 1148 richtlinienkonform um. (§ 7 A. II. 4.) 73. Die Nachweispflicht, die Überprüfungsbefugnis und die Befugnis des § 8a Abs. 3 S. 5 BSIG sind Instrumente mit gestufter Durchsetzungswirkung an deren Ende der Ordnungswidrigkeitentatbestand des § 14 Abs. 1 Nr. 2 BSIG stehen sollte. In ihrem Zusammenwirken gewährleisten sie trotz des Verweisungsfehlers in § 14 Abs. 2 S. 1 BSIG eine wirksame Durchsetzung der Sicherungspflicht des § 8a Abs. 1 BSIG einschließlich des Standes der Technik. (§ 7 A. II. 6.) 74. Der Störungsbegriff der Meldepflicht reicht weiter als derjenige des § 8a Abs. 1 BSIG. Es müssen nicht nur Vorfälle, die zu einer Beeinträchtigung der IT-Sicherheit geführt haben, sondern auch solche, die nicht erfolgreich waren, gemeldet werden. Die Meldepflicht unterliegt im Gegenzug aber einer doppelten Erheblichkeitsschwelle, der eine Filterfunktion zukommt. Zum einen sind nur erhebliche Störungen der IT-Sicherheit zu melden. Zum anderen muss ein IT-Sicherheitsvorfall erhebliche Auswirkungen auf die Infrastruktur haben können. Beiden Erheblichkeitsschwellen liegen verschiedene Maßstäbe zugrunde. Ausfall oder Beeinträchtigung der Infrastruktur müssen kausal auf der (erheblichen) Störung der IT-Sicherheit beruhen; es genügen bereits potentielle Auswirkungen als Störungsfolgen. (§ 7 A. III. 1. a)) 75. Mit der Meldepflicht wurde den Betreibern zugleich eine Untersuchungspflicht auferlegt. Der Betreiber muss jeden meldepflichtigen IT-Sicherheitsvorfall auf potentielle Auswirkungen auf die Infrastruktur und auf die zu meldenden Inhalte hin analysieren. (§ 7 A. III. 2. a) bb), b) bb)) 76. Die Differenzierung zwischen namentlicher und pseudonymer Meldung erlaubt es den Betreibern, ihre wirtschaftlichen Interessen wirksam zu schützen, sofern diese das Interesse der Allgemeinheit an der namentlichen Meldung überwiegen. (§ 7 A. III. 2. b) cc)) 77. Die Kontaktstelle bildet den institutionellen Rahmen beim Betreiber für die Informationsflüsse der Meldepflicht. Dieser stellt sicher, dass die Meldepflicht auch in Krisensituationen erfüllt werden kann und Meldungen an das BSI abgesetzt werden bzw. der Betreiber Informationen des BSI erhält. (§ 7 A. III. 2.)
444
Teil 4: Schlussbetrachtung
78. Derzeit kann nur die Einhaltung der pseudonymen, nicht aber der namentlichen Meldepflicht sanktioniert werden. Dieser gesetzgeberische Fehler muss durch eine Korrektur des § 14 BSIG beseitigt werden. Insoweit besteht ein Umsetzungsdefizit des Art. 14 Abs. 3 RL (EU) 2016 / 1148. (§ 7 A. III. 3.) 79. In ihrem Ansatz ist die Meldepflicht ein geeignetes Instrument, um beim BSI spezifisches Fachwissen zu IT-Sicherheitsvorfällen Kritischer Infrastrukturen zu generieren. Die wirksame Erfüllung der Meldepflicht hängt von der Erwartung der Betreiber und der Weitergabe hilfreicher Hinweise des BSI an andere Betreiber sowie der Gewährleistung der wirtschaftlichen Interessen der Betreiber ab. Die Sanktionsbefugnisse für die Meldepflicht bauen vielmehr auf einer symbolischen Wirkung auf, als dass sie tatsächlich zu einer wirksamen hoheitlichen Durchsetzung beitragen. (§ 7 A. III. 5.) 80. Die Sicherungspflichten für Energieversorgungsnetze und Energieanlagen nach § 11 Abs. 1a, Abs. 1b EnWG entsprechen in ihren dogmatischen Kernbausteinen derjenigen des § 8a Abs. 1 BSIG. Dem Katalog der Sicherungsanforderungen kommt im Rahmen der Sicherungspflichten der § 11 Abs. 1a, 1b EnWG eine hervorgehobene, über einen branchenspezifischen Sicherheitsstandard hinausreichende Bedeutung zu. Wird der Katalog an Sicherheitsanforderungen eingehalten, so wird gesetzlich fingiert, dass ein angemessener Schutz der IT-Sicherheit des Betriebs der Infrastruktur vorliegt. Die Fiktionswirkung unterliegt keinen personellen, zeitlichen und inhaltlichen Einschränkungen. Der Sicherheitskatalog nach § 11 Abs. 1a EnWG ist als Verwaltungsvorschrift zu qualifizieren. Er erhält erst durch die Fiktion des § 11 Abs. 1a S. 4 EnWG eine Außenwirkung. Betreiber von Energieanlagen nach der BSI-KritisV müssen bis zum Erlass des Kataloges von Sicherheitsanforderungen keine Sicherungsmaßnahmen nach § 11 Abs. 1b EnWG treffen. Diese Lücke wird wegen des in § 8d Abs. 2 Nr. 2 BSIG explizit normierten Vorranges von § 11 EnWG nicht von § 8a BSIG geschlossen. (§ 7 A., B. I. 1.) 81. Die Meldepflicht für Betreiber von Energieversorgungsnetzen und Kritischen Energieanlagen entspricht derjenigen des § 8b Abs. 4 BSIG und weist in weiten Teilen einen identischen Wortlaut auf. Die Meldepflicht des § 44b AtG setzt sich ebenfalls aus den gleichen dogmatischen Bausteinen zusammen. Es existieren jedoch Abweichungen. So existiert die Möglichkeit einer pseudonymen Meldung nicht. Von struktureller Bedeutung ist, dass sich tatsächliche oder potentielle Auswirkungen der Störung der IT-Sicherheit auf die nukleare Sicherheit beziehen müssen. (§ 7 B. I. 2., 3.) 82. Mit der Sicherungspflicht nach § 109 Abs. 2 TKG sollen sämtliche Ursachen erfasst werden, die Auswirkungen auf die Telekommunikationsinfrastruktur oder Dritte haben können. Objekt der Sicherungsvorkehrungen sind IT-Systeme, womit zugleich die Gewährleistung ihrer IT-Sicherheit als
§ 11 Thesen445
Voraussetzung für den Schutz der Infrastruktur benannt wird. Trotz ihres teils abweichenden Wortlautes entspricht die Sicherungspflicht des § 109 Abs. 2 TKG in ihrer dogmatischen Struktur derjenigen des § 8a Abs. 1 BSIG. Zusätzlich ist ein Sicherheitsbeauftragter nach § 109 Abs. 4 S. 1 TKG zu benennen und ein Sicherheitskonzept auf Basis des Sicherheitskataloges nach § 109 Abs. 6 TKG zu erstellen. Der Sicherheitskatalog kann nicht als Rechtsnorm qualifiziert werden, da er nur eine rechtlich unverbindliche Handreichung ist. Obwohl mit dem Sicherheitskatalog und dem Sicherheitskonzept Instrumente existieren, die die Sicherungsvorkehrungen konkretisieren, kommt ihnen keine mit den Sicherheitskatalogen nach § 11 Abs. 1a, b EnWG oder den branchenspezifischen Sicherheitsstandards vergleichbare Bedeutung zu. (§ 7 B. II. 1.) 83. Die Meldepflicht nach § 109 Abs. 5 TKG weicht zwar in ihrem Wortlaut erheblich von den sonstigen Meldepflichten ab. Sie basiert trotzdem auf den gleichen dogmatischen Grundbausteinen. (§ 7 B. II. 3.) 84. Der Pflichtenkanon wird durch unbestimmte Rechtsbegriffe geprägt, die einzeln oder in ihrem Zusammenwirken der Dynamisierung der IT-Sicherheitsgewährleistung und der Einbeziehung von Ressourcen Privater dienen. (§ 7 C.) 85. Mit dem Pflichtenkanon wird auf einfachgesetzlicher Ebene der Schutz der IT-Sicherheit den Betreibern Kritischer Infrastrukturen zugewiesen. Damit wird eine private Verantwortlichkeit der Betreiber für die IT-Sicherheit normiert, die auf verfassungsrechtlicher Ebene nicht existierte, für die aber an der Pflichtigkeit der Betreiber angeknüpft werden kann. Der auf eine Inpflichtnahme der Betreiber angelegte Pflichtenkanon kann in die Kategorie der staatlichen Aufgabenerfüllung durch Gewährleistungsverwaltung eingeordnet werden. (§ 7 D.) 86. Die Sicherungspflicht mit ihrer der Einbeziehung der Betreiber und der Dynamisierung der Sicherungsmaßnahmen dienenden dogmatischen Struktur ist ein geeignetes Instrument, um die IT-Sicherheit durch rechtliche Regulierung sicherzustellen. Die Überprüfungsbefugnis gewährleistet alleine oder gemeinsam mit der Nachweispflicht eine effektive Kontrolle der Einhaltung der Sicherungspflicht. Die dogmatische Struktur qualifiziert die Meldepflicht als wirksames Instrument zur Wissensgenerierung. Jedoch leidet ihre Durchsetzung an erheblichen Mängeln. Diese beruhen zum Teil auf dem unionsrechtlichen Vorbild mit der Erheblichkeitsschwelle bezüglich der Auswirkungen auf die Infrastruktur, sind zum Teil aber auch Folge eines gesetzgeberischen Fehlers bei der Umsetzung der RL (EU) 2016 / 1148. (§ 7 E. I.) 87. Durch die Sicherungspflichten entsteht aus verschiedenen Maßnahmen ein im Wesentlichen einheitliches, aber geringfügige Abweichungen zulas-
446
Teil 4: Schlussbetrachtung
sendes dynamisches IT-Sicherheitsniveau für Kritische Infrastrukturen. Nicht jedes Schutzziel der IT-Sicherheit muss auf einem identischen Niveau geschützt werden. Stattdessen erfolgt ein bedarfsorientierter Schutz. Die anwendbaren Durchsetzungsmechanismen hängen vom jeweiligen Infrastrukturzusammenhang ab. Soweit wie im Energie- und Telekommunikationssektor ohnehin ein Regulierungsregime besteht, wird hieran angeknüpft und die Kontrolle der Einhaltung mit einer Überprüfungsbefugnis sichergestellt. In den sonstigen Bereichen wird die Einhaltung im Kern über die Nachweispflicht und eine ergänzende Überprüfungsbefugnis kontrolliert. Die Meldepflichten lassen sich, trotz der Abweichungen in § 109 Abs. 5 TKG und § 44b AtG, als „einheitliches Informationsmodell“ bezeichnen. (§ 7 E. II.) 88. Das BSI ist der staatliche Beitrag zur Erfüllung der Gewährleistungsverantwortung für die IT-Sicherheit Kritischer Infrastrukturen. Es vereint als Wirtschaftsaufsichtsbehörde Instrumente verschiedener dogmatischer Ansätze der Aufsicht. Seine hoheitlichen Befugnisse der klassischen Wirtschaftsaufsicht werden mit der Nachweispflicht als Instrument der Gewährleistungsaufsicht kombiniert. Das BSI nimmt als zentrale Stelle für die IT-Sicherheit Kritischer Infrastrukturen auch Aufgaben im Bereich der Wissensakkumulation und Analyse, der internationalen Vernetzung, als Multiplikator von Hinweisen zu Bedrohungen der IT-Sicherheit und als IT-Sicherheitsdienstleister wahr. Hierfür bildet das BSI den institutionellen Rahmen und leistet in bedeutendem Umfang Hilfe zur Selbsthilfe. (§ 8 A.) 89. In der Rolle des BSI und im Zusammenspiel mit den Pflichten der Betreiber Kritischer Infrastrukturen spiegeln sich die Verantwortungsteilung und das hierauf basierende Zusammenwirken bei der Gewährleistung der ITSicherheit wider. Die auf Mitwirkung angelegten dogmatischen Bausteine des Pflichtenkanons sind nicht Ausdruck einer gleichberechtigten Kooperation, sondern eines Zusammenwirkens Privater mit dem BSI in einem Stufenverhältnis. Der Pflichtenkanon ist eine Form staatlicher Gewährleistungsverwaltung. Er lässt den Privaten weite Freiräume bei der Zielerreichung, verpflichtet sie nur auf das Ziel und kontrolliert die Privaten bei ihrer eigenverantwortlichen Aufgabenerledigung. Der Staat wird nur dort selbst tätig, wo die Inpflichtnahme der Privaten die Zielerreichung nicht garantieren kann. Damit ist das BSI Garant der Erfüllung der staatlichen Gewährleistungsverantwortung für die IT-Sicherheit Kritischer Infrastrukturen. (§ 8 B.) 90. Die Pflichten zur IT-Sicherheit fallen aufgrund der betroffenen (Kritischen) Infrastrukturen gänzlich in die Gesetzgebungskompetenz des Bundes. Sie liegen quer zur Kompetenzverteilung des GG. (§ 9 A. I.) 91. Sicherungs-, Nachweis- und Meldepflicht greifen in die Berufsfreiheit der Infrastrukturbetreiber ein. Der Eingriff ist in einen angemessenen Ausgleich mit den verfolgten Allgemeininteressen zu bringen. Diese haben ihren
§ 11 Thesen447
besonderen Niederschlag in einer Pflichtigkeit der Betreiber Kritischer Infrastrukturen für die IT-Sicherheit gefunden. Sie begrenzt die grundrechtliche Freiheit und markiert einen Raum für Beiträge der privaten Betreiber. Dem Gesetzgeber gelingt es, die Pflichtigkeit der Betreiber mit den Eingriffen in die grundrechtliche Freiheitsgewährleistung in einen angemessenen Ausgleich zu bringen. Dieser basiert auf den dogmatischen Bausteinen der einfachrechtlichen Ausgestaltung. (§ 9 B. I. 1.) 92. Die Sicherungspflicht greift in den Bestand der von Art. 14 Abs. 1 GG umfassten Rechte an der IT und den Infrastruktureinrichtungen ein. Nachweis- und Meldepflicht berühren eigentumsrechtliche Positionen nicht. Die Versorgungssicherheit mit kritischen Infrastrukturdienstleistungen kann wegen der bestehenden Abhängigkeiten nur durch eine Gewährleistung der ITSicherheit der eingesetzten IT sichergestellt werden. Insofern kann sich die Sicherungspflicht auf die Sozialpflichtigkeit des Eigentums stützen. Auch im Rahmen des Eigentumsgrundrechts gelingt es den dogmatischen Bausteinen der Sicherungspflicht, einen angemessenen Ausgleich zwischen den widerstreitenden Interessen zu finden. (§ 9 B. I. 2.) 93. Nachweis- und Meldepflicht greifen in das Recht auf informationelle Selbstbestimmung der Betreiber ein, die Sicherungspflicht nicht. Sofern eine pseudonyme Meldung möglich ist und die inhaltlichen Pflichtangaben unter keinen Umständen Rückschlüsse auf den Betreiber zulassen, liegt ausnahmsweise kein Eingriff vor. Häufig wird jedoch für das BSI ein Personenbezug herstellbar sein. Dann stellt die pseudonyme Meldung einen Eingriff von geringerer Intensität dar, als die namentliche. Die Nachweis- und Meldepflicht reichen nicht weiter als die grundrechtliche Pflichtigkeit. Sie beschränken sich auf Informationen, die notwendig sind, um die IT-Sicherheit Kritischer Infrastrukturen zu gewährleisten. Beide kommen in ihrer einfachgesetzlichen Ausgestaltung zu einem angemessenen Ausgleich mit der informationellen Selbstbestimmung. (§ 9 B. I. 3.) 94. Sicherungs-, Nachweis- oder Meldepflicht greifen nicht in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ein. (§ 9 B. I. 4.) 95. Parallel zu den Grundrechten des GG sind von den Sicherungs-, Nachweis- und Meldepflichten auf unionsrechtlicher Ebene die Unternehmerfreiheit, Art. 16 EUGRCH, das Eigentumsgrundrecht, Art. 17 EUGRCH, sowie Art. 8 EUGRCH mit dem Schutz personenbezogener Daten betroffen. Die Pflichten schränken die unionsgrundrechtlichen Freiheitsräume aber in zulässiger Weise ein. (§ 9 B. II.) 96. Weder die Nachweis- noch die Meldepflicht verstoßen gegen den nemo tenetur se ipsum accusare-Grundsatz. Die durch die Nachweispflicht
448
Teil 4: Schlussbetrachtung
aufgedeckten Sicherungsmängel sind keine Ordnungswidrigkeiten. Liegt die Ursache für einen meldepflichtigen IT-Sicherheitsvorfall darin, dass der Betreiber die Sicherungspflicht nach § 8a Abs. 1 BSIG oder § 11 Abs. 1a, Abs. 1b EnWG nicht ordnungsgemäß umgesetzt hat und nach § 14 Abs. 1 Nr. 1 BSIG oder § 95 Abs. 1 Nr. 2a EnWG ordnungswidrig handelt, steht die Meldepflicht im Konflikt zum Verbot der Selbstbeschuldigung. Dieser ist dahingehend zu lösen, dass aufgrund der durch Meldung erlangten Kenntnisse kein Bußgeld gegen den meldenden Betreiber wegen dieses Sicherungsmangels verhängt werden kann. Die aus der Meldung erlangte Kenntnis unterliegt insofern einem Verwertungsverbot. (§ 9 C.)
Literaturverzeichnis Adomeit, Klaus, Heteronome Gestaltungen im Zivilrecht?, (Stellvertretung, Weisungsbefugnis, Verbandsgewalt), in: Merkl, Adolf J. / Marcic, René / Verdross, Alfred u. a. (Hrsg.), Festschrift für Hans Kelsen zum 90. Geburtstag, Wien 1971, S. 9–21. Albers, Marion, Informationelle Selbstbestimmung, Baden-Baden 2005. Albers, Marion, § 22, Umgang mit personenbezogenen Informationen und Daten, in: Hoffmann-Riem, Wolfgang / Schmidt-Aßmann, Eberhard / Voßkuhle, Andreas (Hrsg.), Grundlagen des Verwaltungsrechts Band II, 2. Aufl., München 2012. Albers, Willi / Born, Karl Erich / Dürr, Ernst / Hesse, Helmut / Kraft, Alfons / Lampert, Heinz / Rose, Klaus / Rupp, Hans-Heinrich / Scherf, Harald / Schmidt, Kurt / Wittmann, Waldemar (Hrsg.), Handwörterbuch der Wirtschaftswissenschaft (HdWW), Zugleich Neuauflage des „Handwörterbuchs der Sozialwissenschaften“, Stuttgart / New York / Tübingen / Göttingen / Zürich 1978. Altenschmidt, Stefan, Die Versorgungssicherheit im Lichte des Verfassungsrechts, NVwZ 2015, S. 559–562. Ammann, Thorsten, „Michael, darf ich fahren?“, Das „Autonomobil“ aus IT-Sicherheits-rechtlicher Perspektive, in: Taeger, Jürgen (Hrsg.), Smart World – Smart Law?, Weltweite Netze mit regionaler Regulierung, Edewecht 2016, S. 299–308. Arenz, Stefan, Der Schutz der öffentlichen Sicherheit in Next Generation Networks am Beispiel von Internet-Telefonie-Diensten (VoIP), Zugleich eine Einordnung von Internet-Telefonie-Diensten in telekommunikationsrechtliche Kategorien unter Berücksichtigung europarechtlicher Vorgaben, Berlin 2010. Arndt, Hans-Wolfgang / Fetzer, Thomas / Scherer, Joachim / Graulich, Kurt (Hrsg.), TKG, Telekommunikationsgesetz Kommentar, 2. Aufl., Berlin 2015 (zitiert: Arndt / Fetzer / Scherer / Graulich). Arndt, Helmut / Swatek, Dieter (Hrsg.), Grundfragen der Infrastrukturplanung für wachsende Wirtschaften, Verhandlungen auf der Tagung des Vereins für Socialpolitik, Gesellschaft für Wirtschafts- und Sozialwissenschaften in Innsbruck 1970, Berlin 1971. Auernhammer, Herbert / Eßer, Martin / Kramer, Philipp / Lewinski, Kai von (Hrsg.), BDSG, Kommentar zum Bundesdatenschutzgesetz – Nebengesetze, 4. Aufl., Köln 2014 (zitiert: Auernhammer / Eßer / Kramer / Lewinski). Aulehner, Josef, Polizeiliche Gefahren- und Informationsvorsorge, Grundlagen, Rechts- und Vollzugsstrukturen, dargestellt auch im Hinblick auf die deutsche Beteiligung an einem Europäischen Polizeiamt (EUROPOL), Berlin 1998. Aulehner, Josef, Grundrechte und Gesetzgebung, Tübingen 2011. Bäcker, Matthias, Die Vertraulichkeit der Internetkommunikation, in: Rensen, Hartmut / Brink, Stefan (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsge-
450
Literaturverzeichnis
richts, Erörtert von den wissenschaftlichen Mitarbeitern, Berlin / New York 2009, S. 99–136. Bader, Johann / Ronellenfitsch, Michael (Hrsg.), Beck’scher Online-Kommentar Vw VfG, mit VwVG und VwZG, 36. Ed., München 2017 (zitiert: Bader / Ronellenfitsch). Badura, Peter, Der Eigentumsschutz des eingerichteten und ausgeübten Gewerbebetriebes, AöR 98 (1973), S. 153–173. Badura, Peter, Grundpflichten als verfassungsrechtliche Dimension, DVBl. 1982, S. 861–872. Badura, Peter, § 10, Eigentum, in: Benda, Ernst / Maihofer, Werner / Vogel, Hans-Jochen (Hrsg.), Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, 2. Aufl., Berlin / New York 1994. Badura, Peter, Das Unternehmenseigentum unter den Bedingungen der staatlichen Wachstumsvorsorge und der sozialen Arbeitsordnung, Ein Grundriss der Fragestellungen, in: Durner, Wolfgang / Peine, Franz-Joseph / Shirvani, Foroud (Hrsg.), Freiheit und Sicherheit in Deutschland und Europa, Festschrift für Hans-Jürgen Papier zum 70. Geburtstag, Berlin 2013, S. 207–222. Badura, Peter, Sozialstaatliche Daseinsvorsorge und Infrastruktursicherung durch Leistungsverwaltung und Gewährleistungsverantwortung, in: Bultmann, Peter Friedrich / Grigoleit, Klaus Joachim / Gusy, Christoph u. a. (Hrsg.), Allgemeines Verwaltungsrecht, Institute, Kontexte, System, München 2014, S. 319–327. BaFin, Erläuterungen zu den MaRisk in der Fassung vom 27.10.2017, https: / / www. bafin.de / SharedDocs / Downloads / DE / Rundschreiben / dl_rs0917_marisk_Endfas sung_2017_pdf_ba.pdf?__blob=publicationFile&v=5 (besucht am 12.06.2018). Bamberger, Heins Georg / Roth, Herbert (Hrsg.), Beck’scher Online-Kommentar BGB, 43. Ed., München 2017 (zitiert: Bamberger / Roth). Bartels, Dina, Die praktische Umsetzung einer angemessenen Informationssicherheit, in: Möstl, Markus / Wolff, Heinrich Amadeus (Hrsg.), IT-Sicherheit als Herausforderung für Wirtschaft und Staat, Jena 2017, S. 35–45. Bartels, Karsten U., Bezugspunkte des IT-Sicherheitsgesetzes, Weichenstellungen einer nationalen Gesetzesinitiative, ITRB 2015, S. 92–94. Bartels, Karsten U. / Backer, Merlin, ITSiG-konforme Telemedien, DuD 2015, S. 22– 28. Bartsch, Michael, Die „Vertraulichkeit und Integrität informationstechnischer Systeme“ als sonstiges Recht nach § 823 Abs. 1 BGB, CR 2008, S. 613–617. Bartsch, Michael, Software als Schutzgegenstand absoluter Rechte, in: Leible, Stefan (Hrsg.), Unkörperliche Güter im Zivilrecht, Tübingen 2011, S. 247–260. Bastl, Martin / Mares, Miroslav / Trvdá, Katerina, Politik der Cybersicherheit auf nationaler, europäischer und internationaler Ebene: Eine Rahmenanalyse, in: Lange, Hans-Jürgen / Bötticher, Astrid (Hrsg.), Cyber-Sicherheit, Wiesbaden 2015, S. 45– 67.
Literaturverzeichnis451
Bayertz, Kurt, Eine kurze Geschichte der Herkunft der Verantwortung, in: Bayertz, Kurt (Hrsg.), Verantwortung, Prinzip oder Problem?, Darmstadt 1995, S. 3–71. Bayertz, Kurt (Hrsg.), Verantwortung, Prinzip oder Problem?, Darmstadt 1995. BDEW Bundesverband der Energie- und Wasserwirtschaft e. V., Stellungnahme Referentenentwurf des Bundesministeriums des Innern Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016 / 1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, 16.12.2016, https: / / www.bdew.de / internet.nsf / id / 348F6B5F4CF5D981C125808 F003312C7 / $file / BDEW-Stellungnahme_NIS-RL-Umsetzungsgesetz_ohne_AP. pdf (besucht am 12.10.2017). Beck, Heinz / Samm, Carl-Theodor / Kokemoor, Axel (Begr.), Kreditwesengesetz mit CRR, 195. EL, Heidelberg 2017. Becker, Florian, Verfassungs- und unionsrechtliche Aspekte der Novelle von VIG und § 40 LFGB, ZLR 2011, S. 391–424. Benda, Ernst / Maihofer, Werner / Vogel, Hans-Jochen (Hrsg.), Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, 2. Aufl., Berlin / New York 1994. Bendiek, Annegret, Europäische Cybersicherheitspolitik, 01.07.2012, https: / / www. swp-berlin.org / fileadmin / contents / products / studien / 2012_S15_bdk.pdf (besucht am 12.06.2018). Benz, Arthur, Kooperative Verwaltung, Funktionen, Voraussetzungen und Folgen, Baden-Baden 1994. Berger, Heinz (Hrsg.), Wettbewerb und Infrastruktur in Post- und Telekommunika tionsmärkten, Baden-Baden 1996. Berner, Georg / Köhler, Gerd Michael / Käß, Robert, Polizeiaufgabengesetz, Handkommentar, 20. Aufl., Heidelberg 2010. Beucher, Klaus / Utzerath, Julia, Cybersicherheit – Nationale und Internationale Regulierungsinitiativen, MMR 2013, S. 362–367. Beyerbach, Hannes, Die geheime Unternehmensinformation, Grundrechtlich geschützte Betriebs- und Geschäftsgeheimnisse als Schranke einfachrechtlicher Informationsansprüche, Tübingen 2012. Biernat, Stanislaw / Hendler, Reinhard / Schoch, Friedrich / Wasilewski, Andrzej (Hrsg.), Grundfragen des Verwaltungsrechts und der Privatisierung, Referate und Diskussionsbeiträge des achten deutsch-polnischen Verwaltungskolloquiums vom 7.– 11. September 1992 in Krakau, Stuttgart, München [u. a.] 1994. Birkmann, Jörn / Bach, Claudia / Guhl, Silvie / Witting, Maximilian / Welle, Torsten / Schmude, Miron, State of the art der Forschung zur Verwundbarkeit kritischer Infrastrukturen am Beispiel Strom / Stromausfall, Berlin 2010. bitkom, Stellungnahme zum Entwurf eines Gesetzes zur Umsetzung der NIS-Richt linie (EU) 2016 / 1148, 16. Dezember 2016, https: / / www.bitkom.org / noindex / Pu blikationen / 2016 / Positionspapiere / Entwurf-eines-Gesetzes-zur-Umsetzung-derNIS-Richtlinie / Stellungnahme-NIS-final.pdf (besucht am 12.06.2018).
452
Literaturverzeichnis
Blattner-Zimmermann, Marit, Die sicherheitspolitische Dimension neuer Informa tionstechnologien, in: Holznagel, Bernd / Hanßmann, Anika / Sonntag, Matthias (Hrsg.), IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, Münster 2001, S. 8–21. Böckenförde, Thomas, Auf dem Weg zur elektronischen Privatsphäre, JZ 2008, S. 925–939. Boos, Karl-Heinz / Fischer, Reinfrid / Schulte-Mattler, Hermann (Hrsg.), Kreditwesengesetz, Kommentar zu KWG und Ausführungsvorschriften, 5. Aufl., München 2016 (zitiert: Boos / Fischer / Schulte-Mattler). Borchert, Heiko (Hrsg.), Wettbewerbsfaktor Sicherheit, Staat und Wirtschaft im Grand Pas de Deux für Sicherheit und Prosperität, Baden-Baden 2008. Bosch, Nikolaus, Aspekte des nemo-tenetur-Prinzips aus verfassungsrechtlicher und strafprozessualer Sicht, Ein Beitrag zur funktionsorientierten Auslegung des Grundsatzes „nemo tenetur se ipsum accusare“, Berlin 1998. Bräutigam, Peter / Wilmer, Stefan, Big brother is watching you – Meldepflichten im geplanten IT-Sicherheitsgesetz, ZRP 2015, S. 38–42. Brenner, Michael / Huber, Peter Michael / Möstl, Markus (Hrsg.), Der Staat des Grundgesetzes – Kontinuität und Wandel, Festschrift für Peter Badura zum siebzigsten Geburtstag, Tübingen 2004. Breuer, Rüdiger, Gefahrenabwehr und Risikovorsorge im Atomrecht, DVBl. 1978, S. 829–839. Breuer, Rüdiger, Der Störfall im Atom- und Immissionsschutzrecht, WiVerw 1981, S. 219–240. Breuer, Rüdiger, § 170, Freiheit des Berufs, in: Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band VIII, 3. Aufl., Heidelberg 2010. Britz, Gabriele, Vertraulichkeit und Integrität informationstechnischer Systeme, Einige Fragen zu einem „neuen Grundrecht“, DÖV 2008, S. 411–415. BSI, Die Lage der IT-Sicherheit in Deutschland 2005, 01.06.2005, https: / / www.bsi. bund.de / SharedDocs / Downloads / DE / BSI / Publikationen / Lageberichte / lagebe richt2005_pdf.pdf?__blob=publicationFile (besucht am 12.06.2018). BSI, Die Lage der IT-Sicherheit in Deutschland 2007, 01.04.2007, https: / / www.bsi. bund.de / SharedDocs / Downloads / DE / BSI / Publikationen / Lageberichte / lagebe richt2007_pdf.pdf?__blob=publicationFile&v=1 (besucht am 12.06.2018). BSI, Die Lage der IT-Sicherheit in Deutschland 2009, 01.01.2009, https: / / www.bsi. bund.de / SharedDocs / Downloads / DE / BSI / Publikationen / Lageberichte / Lagebe richt2009_pdf.pdf?__blob=publicationFile&v=1 (besucht am 12.06.2018). BSI, Die Lage der IT-Sicherheit in Deutschland 2011, 01.05.2011, https: / / www.bsi. bund.de / SharedDocs / Downloads / DE / BSI / Publikationen / Lageberichte / Lagebe richt2011.pdf?__blob=publicationFile&v=1 (besucht am 12.06.2018). BSI, Die Lage der IT-Sicherheit in Deutschland 2014, 01.11.2014, https: / / www.bsi. bund.de / SharedDocs / Downloads / DE / BSI / Publikationen / Lageberichte / Lagebe
Literaturverzeichnis453 richt2014.pdf;jsessionid=6FD6134ABFB16C5F5C028C71584B8D70.2_cid368? __blob=publicationFile&v=1 (besucht am 12.06.2018).
BSI, KRITIS-Sektorstudie Energie, 05.02.2015, https: / / www.kritis.bund.de / Shared Docs / Downloads / Kritis / DE / Sektorstudie_Energie.pdf?__blob=publicationFile (besucht am 12.06.2018). BSI, KRITIS-Sektorstudie Ernährung und Wasser, 05.02.2015, http: / / www.kritis. bund.de / SharedDocs / Downloads / Kritis / DE / Sektorstudie_Ern %C3 %A4hrung_ Wasser.pdf?__blob=publicationFile (besucht am 12.06.2018). BSI, KRITIS-Sektorstudie Finanz- und Versicherungswesen, 18.12.2015, http: / / www. kritis.bund.de / SharedDocs / Downloads / Kritis / DE / Sektorstudie_Finanzen_Versi cherungen.pdf?__blob=publicationFile (besucht am 12.06.2018). BSI, KRITIS-Sektorstudie Logistik, 18.12.2015, http: / / www.kritis.bund.de / Shared Docs / Downloads / Kritis / DE / Sektorstudie_Logistik.pdf?__blob=publicationFile (besucht am 12.06.2018). BSI, KRITIS-Sektorstudie Informationstechnik und Telekommunikation, 05.02.2015, http: / / www.kritis.bund.de / SharedDocs / Downloads / Kritis / DE / Sektorstudie_IKT. pdf?__blob=publicationFile (besucht am 12.06.2018). BSI, KRITIS-Sektorstudie Transport und Verkehr, 05.02.2015, http: / / www.kritis. bund.de / SharedDocs / Downloads / Kritis / DE / Sektorstudie_TuV.pdf;jsessionid=01 A7E5CA7CB35BCBD14F8F13B262FEE3.2_cid34 5?__blob=publicationFile (besucht am 12.06.2018). BSI, Die Lage der IT-Sicherheit in Deutschland 2015, 01.11.2015, https: / / www.bsi. bund.de / SharedDocs / Downloads / DE / BSI / Publikationen / Lageberichte / Lagebe richt2015.pdf?__blob=publicationFile&v=3 (besucht am 12.06.2018). BSI, KRITIS-Sektorstudie Gesundheit, 01.05.2016, http: / / www.kritis.bund.de /Shared Docs / Downloads / Kritis / DE / Sektorstudie_Gesundheit.pdf?__blob=publication File (besucht am 12.06.2018). BSI, Die Lage der IT-Sicherheit in Deutschland 2016, 01.10.2016, https: / / www.bsi. bund.de / SharedDocs / Downloads / DE / BSI / Publikationen / Lageberichte / Lagebe richt2016.pdf;jsessionid=D519B397677490330A E331C028318FD9.1_cid090?__ blob=publicationFile&v=4 (besucht am 12.06.2018). BSI, Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, 05.10.2016, https: / / www.bsi. bund.de / SharedDocs / Downloads / DE / BSI / IT_SiG / b3s_Orientierungshilfe.pdf? __blob=publicationFile&v=5 (besucht am 12.06.2018). BSI, Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG, 30.06.2017, https: / / www.bsi.bund.de / SharedDocs / Downloads / DE / BSI / IT_SiG / Orientierungs hilfe_8a_3.pdf?__blob=publicationFile&v=4 (besucht am 12.06.2018). Bub, Udo / Deleski, Viktor / Wolfenstetter, Klaus-Dieter (Hrsg.), Sicherheit im Wandel von Technologien und Märkten, Tagungsband zur vierten EIT ICT Labs-Konferenz zur IT-Sicherheit, Wiesbaden 2015. Buchner, Herbert, Die Bedeutung des Rechts am eingerichteten und ausgeübten Gewerbebetrieb für den deliktsrechtlichen Unternehmensschutz, München 1971.
454
Literaturverzeichnis
Büchner, Wolfgang / Ehmer, Jörg / Kerkhoff, Bärbel / Piepenbrock, Hermann-Josef / Schütz, Raimund / Schuster, Fabian (Hrsg.), Beck’scher TKG-Kommentar, 2. Aufl., München 2000 (zitiert: Büchner / Ehmer / Kerkhoff / Piepenbrock / Schütz / Schuster). Bull, Hans Peter, Die Staatsaufgaben nach dem Grundgesetz, 2. Aufl., Kronberg 1977. Bultmann, Peter Friedrich / Grigoleit, Klaus Joachim / Gusy, Christoph / Kersten, Jens / Otto, Christian-W. / Preschel, Christina (Hrsg.), Allgemeines Verwaltungsrecht, Institute, Kontexte, System, München 2014. Bumke, Christian / Röthel, Anne (Hrsg.), Privates Recht, Tübingen 2012. Bundesakademie für Sicherheitspolitik (Hrsg.), Sicherheitspolitik in neuen Dimensionen, Ergänzungsband II, Hamburg 2009. Bundesministerium der Justiz, Handbuch der Rechtsförmlichkeit, Berlin 2008. Bundesministerium des Innern, Begründung BSI – Kritisverordnung, https: / / www. bsi.bund.de / SharedDocs / Downloads / DE / BSI / IT_SiG / BSI_Kritis_VO.pdf?__ blob=publicationFile&v=4 (besucht am 12.06.2018). Bundesministerium des Innern, Rahmenkonzept zur Gewährleistung der Sicherheit bei der Anwendung der Informationstechnik (IT), IT-Sicherheitsrahmenkonzept, DuD 1989, S. 291–299. Bundesministerium des Innern, Nationaler Plan zum Schutz der Informationsinfrastrukturen (NPSI), 01.07.2005, http: / / www.bmi.bund.de / cae / servlet / contentblob / 121734 / publicationFile / 13577 / Nationaler_Plan_Schutz_Informationsinfrastruktu ren.pdf (besucht am 02.08.2017). Bundesministerium des Innern, Schutz Kritischer Infrastrukturen – Basisschutzkonzept, Empfehlungen für Unternehmen, 01.11.2005, https: / / www.kritis.bund.de / SharedDocs / Downloads / BBK / DE / Publikationen / PublikationenKritis / Basis schutzkonzept_Kritis.pdf;jsessionid=9ED3E319D1374B465E8738FC930928C7. 1_cid355?__blob=publicationFile (besucht am 12.06.2018). Bundesministerium des Innern, Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie), 17.06.2009, https: / / www.bbk.bund.de / SharedDocs / Downloads / BBK / DE / Publikationen / PublikationenKritis / Nat-Strategie-Kritis_ PDF.pdf?__blob=publicationFile (besucht am 12.06.2018). Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2011, 01.02.2011, http: / / www.cio.bund.de / SharedDocs / Publikationen / DE / StrategischeThemen / css_download.pdf?__blob=publicationFile (besucht am 12.06.2018). Bundesministerium des Innern, Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement, Leitfaden für Unternehmen und Behörden, 01.05.2011, http: / / www.bbk.bund.de / SharedDocs / Downloads / BBK / DE / Publikationen / Publikatio nenKritis / Leitfaden_Schutz-Kritis.pdf?__blob=publicationFile (besucht am 12.06. 2018). Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2016, 01.11.2016, https: / / www.bmi.bund.de / cybersicherheitsstrategie / BMI_CyberSicher heitsStrategie.pdf (besucht am 12.06.2018).
Literaturverzeichnis455
Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit, Entwurf des Umweltgesetzbuch (UGB) Erstes Buch (I), 20.05.2008, http: / / www.bmub.bund.de / file admin / bmu-import / files / pdfs / allgemein / application / pdf / ugb1_allgem_vorschrif ten_mai08.pdf (besucht am 12.06.2018). Bundesministerium für Wirtschaft und Energie, IT-Sicherheit für die Industrie 4.0, 01.01.2016, http: / / www.bmwi.de / Redaktion / DE / Publikationen / Studien / it-sicher heit-fuer-industrie-4-0.pdf?__blob=publicationFile&v=4 (besucht am 12.06.2018). Bundesministerium für Wirtschaft und Energie, Der IT-Sicherheitsmarkt in Deutschland, 01.11.2014, https: / / www.it-sicherheit-in-der-wirtschaft.de / IT-Sicherheit / Re daktion / PDF / it-sicherheitsmarkt-in-deutschland,property=pdf,bereich=itsicherheit ,sprache=de,rwb=true.pdf (besucht am 12.06.2018). Bundesnetzagentur, IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, 01.08.2015, https: / / www.bundesnetzagentur.de / SharedDocs / Downloads / DE / Sachgebiete / Energie / Unternehmen_Institutionen / Versorgungssicherheit / IT_ Sicherheit / IT_Sicherheitskatalog_08-2015.pdf?__blob=publicationFile&v=1 (besucht am 12.06.2018). Bundesnetzagentur, Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten nach § 109 Telekommunikationsgesetz (TKG), Amtsblatt der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen 2016, S. 247–299. Burgi, Martin, Funktionale Privatisierung und Verwaltungshilfe, Staatsaufgabendogmatik, Phänomenologie, Verfassungsrecht, Tübingen 1999. Butzer, Hermann, § 74, Sicherstellungsauftrag, in: Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band IV, 3. Aufl., Heidelberg 2006. Calliess, Christian, Rechtsstaat und Umweltstaat, Zugleich ein Beitrag zur Grundrechtsdogmatik im Rahmen mehrpoliger Verfassungsrechtsverhältnisse, Tübingen 2001. Calliess, Christian, Europa als Wertegemeinschaft – Integration und Identität durch europäisches Verfassungsrecht?, JZ 2004, S. 1033–1045. Calliess, Christian, § 44, Schutzpflichten, in: Merten, Detlef / Papier, Hans-Jürgen (Hrsg.), Handbuch der Grundrechte Band II, Heidelberg 2006. Calliess, Christian / Ruffert, Matthias (Hrsg.), EUV / AEUV, 5. Aufl., München 2016 (zitiert: Calliess / Ruffert). Capellaro, Hans-Christoph, Die Berücksichtigung der Informationssicherheit im Unternehmen, in: Reinhard, Tim / Pohl, Lorenz / Capellaro, Hans-Christoph (Hrsg.), IT-Sicherheit und Recht, Rechtliche und technisch-organisatorische Aspekte für Unternehmen, Berlin 2007, S. 351–360. CDU Deutschlands / CSU-Landesleitung / SPD, Deutschlands Zukunft gestalten, Koalitionsvertrag zwischen CDU, CSU und SPD: 18. Legislaturperiode, 14.12.2013, https: / / www.cdu.de / sites / default / files / media / dokumente / koalitionsvertrag.pdf (besucht am 12.06.2018).
456
Literaturverzeichnis
Cerny, Dietrich, Schutz kritischer Infrastrukturen in Wirtschaft und Verwaltung, in: Geiger, Gebhard (Hrsg.), Sicherheit der Informationsgesellschaft, Gefährdung und Schutz informationsabhängiger Infrastrukturen, Baden-Baden 2000, S. 21–42. Cerny, Dietrich, Schutz kritischer Infrastrukturen – Überlegungen zu einer Konzep tion, in: Holznagel, Bernd / Hanßmann, Anika / Sonntag, Matthias (Hrsg.), IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, Münster 2001, S. 48–67. Classen, Claus Dieter, Schwierigkeiten eines harmonischen Miteinanders von nationalem und europäischem Grundrechtsschutz, EuR 2017, S. 347–366. Czaja, Frank, Eigensicherungspflichten von Verkehrsflughäfen, Die Beteiligung der Verkehrsflughäfen an der Abwehr äusserer Gefahren für die Sicherheit des Luftverkehrs, Köln 1995. Danner, Wolfgang / Theobald, Christian (Hrsg.), Energierecht, Kommentar, 93. EL, München 2017 (zitiert: Danner / Theobald). Danwitz, Thomas von, Rechtsverordnungen, Jura 2002, S. 93–102. Darnstädt, Thomas, Gefahrenabwehr und Gefahrenvorsorge, Eine Untersuchung über Struktur und Bedeutung der Prognose-Tatbestände im Recht der öffentlichen Sicherheit und Ordnung, Frankfurt am Main 1983. Darnstädt, Thomas, Ein personenbezogener Gefahrbegriff, Analyse der Bedingungen des Bundesverfassungsgerichts an Vorfeld-Ermächtigungen im BKA-Gesetz, DVBl. 2017, S. 88–96. Dekker, Marnix / Karsberg, Christoffer, Technical Guideline on Incident Reporting, 01.10. 2014, https: / / www.enisa.europa.eu / publications / technical-guideline-on-incident-reporting (besucht am 12.06.2018). Der Bundesminister für Forschung und Technologie / Der Bundesminister für Wirtschaft, Zukunftskonzept Informationstechnik, Bonn 1989. Di Fabio, Udo, Risikoentscheidungen im Rechtsstaat, Zum Wandel der Dogmatik im öffentlichen Recht, insbesondere am Beispiel der Arzneimittelüberwachung, Tübingen 1994. Di Fabio, Udo, Verwaltung und Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steuerung, VVDStRL 56 (1997), S. 235–282. Dirnberger, Franz, Recht auf Naturgenuss und Eingriffsregelung, Zugleich ein Beitrag zur Bedeutung grundrechtlicher Achtungs- und Schutzpflichten für das subjektiv öffentliche Recht, Berlin 1991. Dittmann, Armin, Die Rechtsverordnung als Handlungsinstrument der Verwaltung, in: Biernat, Stanislaw / Hendler, Reinhard / Schoch, Friedrich u. a. (Hrsg.), Grundfragen des Verwaltungsrechts und der Privatisierung, Referate und Diskussionsbeiträge des achten deutsch-polnischen Verwaltungskolloquiums vom 7.–11. September 1992 in Krakau, Stuttgart, München [u. a.] 1994, S. 107–122. Djeffal, Christian, Neue Sicherungspflicht für Telemediendiensteanbieter, MMR 2015, S. 716–720.
Literaturverzeichnis457
Dolle, Wilhelm / Lurz, Hanna, Sicherheit von kritischen Infrastrukturen in Deutschland – sind wir mit dem IT-Sicherheitsgesetz auf dem richtigen Weg?, in: Paulsen, Christian (Hrsg.), Sicherheit in vernetzten Systemen, 23. DFN-Konferenz, Norderstedt 2016. Dörr, Oliver, Anforderungen an ein zukunftsfähiges Infrastrukturrecht, VVDStRL 73 (2014), S. 323–361. Dreier, Horst (Hrsg.), Grundgesetz, Kommentar, Band I Artikel 1 – 19, 3. Aufl., Tübingen 2013 (zitiert: Dreier). Dreier, Horst (Hrsg.), Grundgesetz, Kommentar, Band II Artikel 20 – 82, 3. Aufl., Tübingen 2015 (zitiert: Dreier). Dreier, Thomas, Sinnvolle Reichweite des Patentschutzes – Software, in: Eifert, Martin / Hoffmann-Riem, Wolfgang (Hrsg.), Geistiges Eigentum und Innovation, Berlin 2008, S. 245–265. Drews, Bill / Wacke, Gerhard / Vogel, Klaus / Martens, Wolfgang, Gefahrenabwehr, Allgemeines Polizeirecht (Ordnungsrecht) des Bundes und der Länder, 9. Aufl., Köln 1986. Druey, Jean Nicolas, Information als Gegenstand des Rechts, Entwurf einer Grundlegung, Zürich 1995. Dürig, Markus, Verantwortung zwischen Gesetzgebung und Wirtschaft, in: Bub, Udo / Deleski, Viktor / Wolfenstetter, Klaus-Dieter (Hrsg.), Sicherheit im Wandel von Technologien und Märkten, Tagungsband zur vierten EIT ICT Labs-Konferenz zur IT-Sicherheit, Wiesbaden 2015, S. 5–11. Durner, Wolfgang / Peine, Franz-Joseph / Shirvani, Foroud (Hrsg.), Freiheit und Sicherheit in Deutschland und Europa, Festschrift für Hans-Jürgen Papier zum 70. Geburtstag, Berlin 2013. DVGW Deutscher Verein des Gas- und Wasserfaches e. V., Stellungnahme vom 21. Dezember 2016 zu Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NISRL-Umsetzungsgesetz), 21.12.2016, https: / / www.dvgw.de / medien / dvgw / sicher heit / dvgw-stellungnahme-referentenentwurf-nis-richtlinie.pdf (besucht am 12.06. 2018). Ebeling, Christoph, Zivile Sicherheit in Kritischen Infrastrukturen – Private Infrastrukturen, in: Gusy, Christoph / Kugelmann, Dieter / Würtenberger, Thomas (Hrsg.), Rechtshandbuch Zivile Sicherheit, Berlin 2016, S. 303–317. Eckert, Claudia, IT-Sicherheit, Konzepte, Verfahren, Protokolle, 9. Aufl., München, Berlin 2014. Eckhardt, Jens, Der Referentenentwurf zum IT-Sicherheitsgesetz – Schutz der digitalen Zukunft, ZD 2014, S. 599–605. Edelbluth, Markus, Gewährleistungsaufsicht, Zur Verlagerung von Kontrollverantwortung in den gesellschaftlichen Bereich am Beispiel des Abfallrechts, BadenBaden 2008. Ehlers, Dirk, Eigentumsschutz, Sozialbindung und Enteignung bei der Nutzung von Boden und Umwelt, VVDStRL 51 (1992), S. 211–251.
458
Literaturverzeichnis
Ehlers, Dirk / Pünder, Hermann (Hrsg.), Allgemeines Verwaltungsrecht, 15. Aufl., Berlin 2015. Eifert, Martin, Informationelle Selbstbestimmung im Internet, Das BVerfG und die Online-Durchsuchungen, NVwZ 2008, S. 521–523. Eifert, Martin / Hoffmann-Riem, Wolfgang (Hrsg.), Geistiges Eigentum und Innova tion, Berlin 2008. Engel, Christoph, Eigentumsschutz für Unternehmen, AöR 118 (1993), S. 169–236. Engels, Andreas, Zivile Sicherheit in Kritischen Infrastrukturen – Öffentliche Netze, in: Gusy, Christoph / Kugelmann, Dieter / Würtenberger, Thomas (Hrsg.), Rechtshandbuch Zivile Sicherheit, Berlin 2016, S. 273–302. Ennuschat, Jörg, Staatlicher Infrastrukturgewährleistungsauftrag im Energiebereich, in: Pielow, Johann-Christian (Hrsg.), Sicherheit in der Energiewirtschaft, Stuttgart / München / Hannover / Berlin / Weimar / Dresden 2007, S. 151–164. Enzinger, Kurt / Skopik, Florian / Fiedler, Roman, Keine Cyber-Sicherheit ohne Datenschutz, Datenschutzrechtliche Herausforderungen bei der Etablierung von nationalen CERTs, DuD 2015, S. 723–729. Epping, Volker / Hillgruber, Christian (Hrsg.), Beck’scher Online-Kommentar Grundgesetz, 34. Ed., München 2017 (zitiert: Epping / Hillgruber). Federrath, Hannes / Pfitzmann, Andreas, Datensicherheit, in: Schulte, Martin / Schröder, Rainer (Hrsg.), Handbuch des Technikrechts, Allgemeine Grundlagen – Umweltrecht – Gentechnikrecht – Energierecht – Telekommunikations- und Medienrecht – Patentrecht – Computerrecht, Berlin / Heidelberg 2011, S. 857–886. Fehling, Michael (Hrsg.), Regulierungsrecht, Tübingen 2010. Fekete, Alexander, Ziele im Umgang mit „kritischen“ Infrastrukturen im staatlichen Bevölkerungsschutz, in: Stober, Rolf / Olschok, Harald / Gundel, Stephan u. a. (Hrsg.), Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit, Stuttgart / München / Hannover / Berlin / Weimar / Dresden 2012, S. 1103–1124. Fekete, Alexander, Schlüsselbegriffe im Bevölkerungsschutz zur Untersuchung der Bedeutsamkeit von Infrastrukturen – von Gefährdung und Kritikalität zu Resilienz und persönlichen Infrastrukturen, in: Unger, Christoph / Mitschke, Thomas / Freudenberg, Dirk (Hrsg.), Krisenmanagement – Notfallplanung – Bevölkerungsschutz, Festschrift anlässlich 60 Jahre Ausbildung im Bevölkerungsschutz, dargebracht von Partnern, Freunden und Mitarbeitern des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, Berlin 2013, S. 327–340. Fink, Gudrun, Gilt nemo tenetur se ipsum accusare auch für juristische Personen, wistra 2014, S. 457–463. Forsthoff, Ernst, Die Verwaltung als Leistungsträger, Stuttgart, Berlin 1938. Forsthoff, Ernst, Die Daseinsvorsorge und die Kommunen, Köln-Marienburg 1958. Frank, Götz, Lokaler Infrastrukturmangel und kommunale Finanzausstattung, Funk tionen der kommunalen Selbstverwaltung am Beispiel des öffentlichen Personennahverkehrs, Baden-Baden 1982.
Literaturverzeichnis459
Freiling, Felix / Grimm, Rüdiger / Großpietsch, Karl-Erwin / Keller, Hubert B. / Mottok, Jürgen / Münch, Isabel / Rannenberg, Kai / Saglietti, Francesca, Technische Sicherheit und Informationssicherheit, Unterschiede und Gemeinsamkeiten, Informatik Spektrum 2014, S. 14–24. Frenz, Walter, Das Verursacherprinzip im Öffentlichen Recht, Zur Verteilung von individueller und staatlicher Verantwortung, Berlin 1997. Frenz, Walter, Handbuch Europarecht, Band 4 Europäische Grundrechte, Berlin / Heidelberg 2009. Freund, Bernhard, IT-Sicherheitsgesetz, Zum neuen Entwurf eines Gesetzes gegen Cyberattacken, ITRB 2014, S. 256–260. Frey, René L., Infrastruktur, in: Albers, Willi / Born, Karl Erich / Dürr, Ernst u. a. (Hrsg.), Handwörterbuch der Wirtschaftswissenschaft (HdWW), Zugleich Neuauflage des „Handwörterbuchs der Sozialwissenschaften“, Stuttgart / New York / Tübingen / Göttingen / Zürich 1978, S. 200–215. Friedrich, Hans-Peter, IT-Sicherheitsgesetz: Maßvolle Regulierung als Standortvorteil, MMR 2013, S. 273–274. Fuhrmann, Heiner, IT-Sicherheit und Verletzlichkeit aus rechtlicher Sicht, Sicherheit im staatlichen Interessengefüge, DuD 2000, S. 144–149. Gadatsch, Andreas / Mangiapane, Markus, IT-Sicherheit, Digitalisierung der Geschäftsprozesse und Informationssicherheit, Wiesbaden 2017. Gallwas, Hans-Ullrich / Lindner, Josef Franz / Wolff, Heinrich Amadeus, Bayerisches Polizei- und Sicherheitsrecht, 4. Aufl., Stuttgart 2015. Gaycken, Sandro / Karger, Michael, Entnetzung statt Vernetzung, MMR 2011, S. 3–8. Gehrmann, Mareike / Klett, Detlef, IT-Sicherheit in Unternehmen – Weiterhin viel Unsicherheit bei der Umsetzung des IT-Sicherheitsgesetzes, K&R 2017, S. 372– 378. Gehrmann, Mareike Christine, IT-Sicherheit in Unternehmen, Anforderungen der NIS-Richtlinie und des IT-Sicherheitsgesetzes, in: Taeger, Jürgen (Hrsg.), Smart World – Smart Law?, Weltweite Netze mit regionaler Regulierung, Edewecht 2016, S. 263–278. Geiger, Gebhard, Internationale Sicherheit, in: Geiger, Gebhard (Hrsg.), Sicherheit der Informationsgesellschaft, Gefährdung und Schutz informationsabhängiger In frastrukturen, Baden-Baden 2000, S. 145–195. Geiger, Gebhard (Hrsg.), Sicherheit der Informationsgesellschaft, Gefährdung und Schutz informationsabhängiger Infrastrukturen, Baden-Baden 2000. Geiger, Gebhard, Internationale Ansätze und Kooperationen, in: Holznagel, Bernd / Hanßmann, Anika / Sonntag, Matthias (Hrsg.), IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, Münster 2001, S. 32–47. Geppert, Martin / Piepenbrock, Hermann-Josef / Schütz, Raimund / Schuster, Fabian (Hrsg.), Beck’scher TKG-Kommentar, 3. Aufl., München 2006 (zitiert: Geppert / Piepenbrock / Schütz / Schuster).
460
Literaturverzeichnis
Geppert, Martin / Schütz, Raimund (Hrsg.), Beck’scher TKG-Kommentar, 4. Aufl., München 2013 (zitiert: Geppert / Schütz). Gerling, Rainer W., Das IT-Sicherheitsgesetz – purer Aktionismus oder doch mehr IT-Sicherheit, RDV 2015, S. 167–170. Gersdorf, Hubertus / Paal, Boris P. (Hrsg.), Beck’scher Online-Kommentar Informations- und Medienrecht, 17. Ed., München 2017 (zitiert: Gersdorf / Paal). Giesberts, Ludger / Reinhardt, Michael (Hrsg.), BeckOK Umweltrecht, 44. Ed., München 2017 (zitiert: Giesberts / Reinhardt). Gitter, Rotraud / Meißner, Alexander / Spauschus, Philipp, Das IT-Sicherheitsgesetz, DuD 2015, S. 7–11. Glöckner, Arne, Kommunale Infrastrukturverantwortung und Konzessionsmodelle, Ein Beitrag zum Recht der Gewährleistungsverwaltung und öffentlich-privater Partnerschaften unter besonderer Berücksichtigung der Wasserversorgung, München 2009. Gola, Peter / Schomerus, Rudolf, BDSG, Bundesdatenschutzgesetz, Kommentar, 12. Aufl., München 2015. Götz, Volkmar, Grundpflichten als verfassungsrechtliche Dimension, VVDStRL 41 (1983), S. 7–41. Grabitz, Eberhard / Hilf, Meinhard / Nettesheim, Martin (Hrsg.), Das Recht der Europäi schen Union, München 2016 (zitiert: Grabitz / Hilf / Nettesheim). Gravenreuth, Günter Freiherr von, Computerviren, Hacker, Datenspione, Crasher und Cracker – Überblick und rechtliche Einordnung, NStZ 1989, S. 201–207. Grimm, Dieter (Hrsg.), Staatsaufgaben, Baden-Baden 1994. Groeben, Hans von der / Schwarze, Jürgen / Hatje, Armin (Hrsg.), Europäisches Unionsrecht, 7. Aufl., Baden-Baden 2015 (zitiert: Groeben / Schwarze / Hatje). Grudzien, Waldemar, IT-Sicherheitsgesetz – Gedanken zur Implementierung, DuD 40 (2015), S. 29–33. Grützmacher, Malte, Dateneigentum – ein Flickenteppich, Wem gehören die Daten bei Industrie 4.0, Internet der Dinge und Connected Cars?, CR 2016, S. 485–495. Gsell, Beate / Krüger, Wolfgang / Lorenz, Stephan / Mayer, Jörg (Hrsg.), BeckOGK-Zivilrecht, München 2017 (zitiert: Gsell / Krüger / Lorenz / Mayer). Guckelberger, Annette, Zum methodischen Umgang mit Verwaltungsvorschriften, Die Verwaltung 35 (2002), S. 61–89. Guckelberger, Annette, Energie als kritische Infrastruktur, DVBl. 2015, S. 1213–1222. Gusy, Christoph, Grundpflichten und Grundgesetz, JZ 1982, S. 657–663. Gusy, Christoph / Kugelmann, Dieter / Würtenberger, Thomas (Hrsg.), Rechtshandbuch Zivile Sicherheit, Berlin 2016. Häberle, Peter, VVDStRL 35 (1997), S. 306–307. Hammer, Volker, Kritische IT-Infrastrukturen, DuD 2003, S. 240.
Literaturverzeichnis461
Hansen, Marit, Vertraulichkeit und Integrität von Daten und IT-Systemen im CloudZeitalter, DuD 2012, S. 407–412. Hatje, Armin, Art. 14 AEUV, in: Schwarze, Jürgen / Becker, Ulrich / Hatje, Armin u. a. (Hrsg.), EU-Kommentar, 3. Aufl., Baden-Baden / Wien / Basel 2012. Hauser, Markus, Das IT-Grundrecht, Schnittfelder und Auswirkungen, Berlin 2014. Heckmann, Dirk, Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen, Maßstäbe für ein IT-Sicherheitsrecht, MMR 2006, S. 280–285. Heckmann, Dirk, Das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme und seine Auswirkungen auf das IT-(Sicherheits-)Recht, jurisPRITR 5 / 2008 Anm. 1. Heckmann, Dirk, Staatliche Schutz- und Förderpflichten zur Gewährleistung von ITSicherheit, Erste Folgerungen aus dem Urteil des Bundesverfassungsgerichts zur „Online-Durchsuchung“, in: Rüßmann, Helmut (Hrsg.), Festschrift für Gerhard Käfer, Saarbrücken 2009, S. 129–164. Heckmann, Dirk, IT-Sicherheit auf Raten, Editorial, MMR 2015, S. 289–290. Heinemann, Marcus, Grundrechtlicher Schutz informationstechnischer Systeme, Unter besonderer Berücksichtigung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, Berlin 2015. Heinickel, Caroline / Feiler, Lukas, Der Entwurf für ein IT-Sicherheitsgesetz – europarechtlicher Kontext und die (eigentlichen) Bedürfnisse der Praxis, CR 2014, S. 709–715. Heintschel-Heinegg, Bernd von (Hrsg.), Beck’scher Online Kommentar StGB, 35. Ed., München 2017 (zitiert: Heintschel-Heinegg). Heintzen, Markus, Beteiligung Privater an der Wahrnehmung öffentlicher Aufgaben und staatlicher Verantwortung, VVDStRL 62 (2003), S. 222–258. Heißl, Gregor, Können juristische Personen in ihrem Grundrecht auf Datenschutz verletzt sein? Persönlicher Schutzbereich von Art. 8 GRC, EuR 2017, S. 561–570. Helm, Thorsten Matthias, Rechtspflicht zur Privatisierung, Privatisierungsgebote im deutschen und europäischen Recht, Baden-Baden 1999. Hermes, Georg, Das Grundrecht auf Schutz von Leben und Gesundheit, Schutzpflicht und Schutzanspruch aus Art. 2 Abs. 2 Satz 1 GG, Heidelberg 1987. Hermes, Georg, Staatliche Infrastrukturverantwortung, Rechtliche Grundstrukturen netzgebundener Transport- und Übertragungssysteme zwischen Daseinsvorsorge und Wettbewerbsregulierung am Beispiel der leitungsgebundenen Energieversorgung in Europa, Tübingen 1998. Hill, Hermann (Hrsg.), Die Vermessung des virtuellen Raums, E-Volution des Rechtsund Verwaltungssystems III, Baden-Baden 2012. Hill, Hermann / Martini, Mario, § 34, Normsetzung und andere Formen exekutivischer Selbstprogrammierung, in: Hoffmann-Riem, Wolfgang / Schmidt-Aßmann, Eberhard / Voßkuhle, Andreas (Hrsg.), Grundlagen des Verwaltungsrechts Band II, 2. Aufl., München 2012.
462
Literaturverzeichnis
Hillgruber, Christian, § 201, Grundrechtsschranken, in: Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band IX, 3. Aufl., Heidelberg 2011. Hoeren, Thomas / Sieber, Ulrich / Holznagel, Bernd (Hrsg.), Handbuch MultimediaRecht, Rechtsfragen des elektronischen Geschäftsverkehrs, 44. EL, München 2017 (zitiert: Hoeren / Sieber / Holznagel). Hoffmann-Riem, Wolfgang, Informationelle Selbstbestimmung in der Informationsgesellschaft, Auf dem Wege zu einem neuen Konzept des Datenschutzes, AöR 123 (1998), S. 513–540. Hoffmann-Riem, Wolfgang, Der Staat als Garant von Sicherheit und Freiheit, in: Papier, Hans-Jürgen / Münch, Ursula / Kellermann, Gero (Hrsg.), Freiheit und Sicherheit, Verfassungspolitik, Grundrechtsschutz, Sicherheitsgesetze, Baden-Baden 2016, S. 19–37. Hoffmann-Riem, Wolfgang / Schmidt-Aßmann, Eberhard / Voßkuhle, Andreas (Hrsg.), Grundlagen des Verwaltungsrechts Band I, 2. Aufl., München 2012. Hoffmann-Riem, Wolfgang / Schmidt-Aßmann, Eberhard / Voßkuhle, Andreas (Hrsg.), Grundlagen des Verwaltungsrechts Band II, 2. Aufl., München 2012. Hofmann, Hasso, § 195, Grundpflichten und Grundrechte, in: Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band IX, 3. Aufl., Heidelberg 2011. Höhne, Focke / Pöhls, Henrich C., Grund und Grenzen staatlicher Schutzpflichten für die IT-Infrastruktur, in: Taeger, Jürgen (Hrsg.), Digitale Evolution, Herausforderungen für das Informations- und Medienrecht, Edewecht 2010, S. 827–844. Höltge, Julia, Telemedien nach dem IT-Sicherheitsgesetz, ITRB 2016, S. 47–48. Holznagel, Bernd, Recht der IT-Sicherheit, München 2003. Holznagel, Bernd / Hanßmann, Anika / Sonntag, Matthias (Hrsg.), IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, Münster 2001. Holznagel, Bernd / Sonntag, Matthias, Staatliche Verantwortung für den Schutz ziviler Infrastrukturen, in: Holznagel, Bernd / Hanßmann, Anika / Sonntag, Matthias (Hrsg.), IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, Münster 2001, S. 125–143. Hömig, Dieter, „Neues“ Grundrecht, neue Fragen?, Zum Urteil des BVerfG zur Online Durchsuchung, Jura 2009, S. 207–213. Hornung, Gerrit, Ein neues Grundrecht, Der verfassungsrechtliche Schutz der „Vertraulichkeit und Integrität informationstechnischer Systeme“, CR 2008, S. 299– 306. Hornung, Gerrit, Neue Plichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, S. 3334–3340. Hornung, Gerrit / Schindler, Stephan, Zivile Sicherheit als Gegenstand und Ziel der Informations- und Kommunikationsverarbeitung, in: Gusy, Christoph / Kugelmann, Dieter / Würtenberger, Thomas (Hrsg.), Rechtshandbuch Zivile Sicherheit, Berlin 2016, S. 247–271. Hösch, Ulrich, Wirtschaftliche Betätigung von gemeindlichen Unternehmen und von Privaten – ein Vergleich, WiVerw 2000, S. 159–183.
Literaturverzeichnis463
Hünnekens, Georg, Rechtsfragen der wirtschaftlichen Infrastruktur, Köln, Berlin, Bonn, München 1995. Hutter, Reinhard, Angriffe auf Informationstechnik und Infrastrukturen, Realität oder Science Fiction?, APuZ B 41-42 2000, S. 31–38. Hutter, Reinhard / Neubecker, Adolf, Kritische IT-Infrastrukturen, DuD 2003, S. 211– 217. Isensee, Josef, Das Grundrecht auf Sicherheit, Zu den Schutzpflichten des freiheit lichen Verfassungsstaates, Berlin 1983. Isensee, Josef, Schutz des staatsabhängigen Unternehmens vor Sonderbelastungen, Inpflichtnahme der Deutschen Bahn für die bahnpolizeilichen Kosten des Bundesgrenzschutzes, in: Kirchhof, Paul / Lehner, Moris / Raupach, Arndt u. a. (Hrsg.), Staaten und Steuern, Festschrift für Klaus Vogel zum 70. Geburtstag, Heidelberg 2000, S. 93–114. Isensee, Josef, § 191, Das Grundrecht als Abwehrrecht und als staatliche Schutzpflicht, in: Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band IX, 3. Aufl., Heidelberg 2011. Isensee, Josef, § 199, Anwendung der Grundrechte auf juristische Personen, in: Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band IX, 3. Aufl., Heidelberg 2011. Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band III, Heidelberg 1988. Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band IV, 3. Aufl., Heidelberg 2006. Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band V, 3. Aufl., Heidelberg 2007. Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band VIII, 3. Aufl., Heidelberg 2010. Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band IX, 3. Aufl., Heidelberg 2011. Jaeckel, Liv, Risiko-Signaturen im Recht, Zur Unterscheidbarkeit von Gefahr und Risiko, JZ 2011, S. 116–124. Jarass, Hans D., Die Bindung der Mitgliedsstaaten an die EU-Grundrechte, NVwZ 2012, S. 457–461. Jarass, Hans D. (Hrsg.), Bundesimmissionsschutzgesetz, Kommentar, 11. Aufl., München 2015 (zitiert: Jarass). Jarass, Hans D. (Hrsg.), Charta der Grundrechte der EU, 3. Aufl., München 2016 (zitiert: Jarass). Jochimsen, Reimut, Theorie der Infrastruktur, Grundlagen der marktwirtschaftlichen Entwicklung, Tübingen 1966. Jonas, Hans, Das Prinzip Verantwortung, Versuch einer Ethik für die technologische Zivilisation, Frankfurt am Main 1979.
464
Literaturverzeichnis
Kahle, Christian, Die Elektrizitätsversorgung zwischen Versorgungssicherheit und Umweltverträglichkeit, Baden-Baden 2009. Kappes, Martin, Netzwerk- und Datensicherheit, Eine praktische Einführung, 2. Aufl., Wiesbaden 2013. Kersten, Heinrich / Klett, Gerhard / Reuter, Jürgen / Schröder, Klaus-Werner, IT-Sicherheitsmanagement nach der neuen ISO 27001, ISMS, Risiken, Kennziffern, Con trols, Wiesbaden 2016. Kipker, Dennis-Kenji, Die NIS-RL der EU im Vergleich zum deutschen IT-Sicherheitsgesetz, ZD-Aktuell 2016, 5261. Kipker, Dennis-Kenji, Der BMI-Referentenentwurf zur Umsetzung der NIS-RL, Was dürfen Betreiber von Kritischen Infrastrukturen und Anbieter von digitalen Diensten erwarten?, MMR 2017, S. 143–147. Kipker, Dennis-Kenji / Pfeil, David, IT-Sicherheitsgesetz in Theorie und Praxis, Was Betreiber (wirklich) beachten müssen – Eine interdisziplinäre Fallstudie, DuD 2016, S. 810–814. Kirchhof, Ferdinand, Private Rechtsetzung, Berlin 1987. Kirchhof, Paul / Lehner, Moris / Raupach, Arndt / Rodi, Michael (Hrsg.), Staaten und Steuern, Festschrift für Klaus Vogel zum 70. Geburtstag, Heidelberg 2000. Klett, Detlef / Ammann, Thorsten, Gesetzliche Initiativen zur Cybersicherheit, CR 2014, S. 93–99. Kloepfer, Michael, Einleitung, in: Kloepfer, Michael (Hrsg.), Schutz kritischer Infrastrukturen, IT und Energie, Baden-Baden 2010, S. 9–19. Kloepfer, Michael (Hrsg.), Schutz kritischer Infrastrukturen, IT und Energie, BadenBaden 2010. Kloepfer, Michael, Handbuch des Katastrophenrechts, Bevölkerungsschutzrecht, Brandschutzrecht, Katastrophenschutzrecht, Katastrophenvermeidungsrecht, Rettungsdienstrecht, Zivilschutzrecht, Baden-Baden 2015. Kloepfer, Michael / Neun, Andreas, Informationsrecht, München 2002. Kluth, Winfried / Krings, Günter (Hrsg.), Gesetzgebung, Rechtsetzung durch Parlamente und Verwaltungen sowie ihre gerichtliche Kontrolle, Heidelberg / Hamburg [u. a.] 2014. Knauff, Matthias, Der Gewährleistungsstaat: Reform der Daseinsvorsorge, Eine rechtswissenschaftliche Untersuchung unter besonderer Berücksichtigung des ÖPNV, Berlin 2004. Knelangen, Wilhelm, Das Zusammenwachsen von innerer und äußerer Sicherheit, 15.10.2014, http: / / www.bpb.de / politik / innenpolitik / innere-sicherheit / 190542 / das-zusammenwachsen-von-innerer-und-aeusserer-sicherheit (besucht am 12.06. 2018). Koenig, Christian (Hrsg.), Recht der Infrastrukturförderung, Ein Leitfaden für die Praxis, München 2004.
Literaturverzeichnis465
Köhler, Markus, IT-Sicherheit in der vernetzten Energiewirtschaft, EnWZ 2015, S. 407–410. Könen, Andreas, IT-Sicherheit gesetzlich geregelt, DuD 2016, S. 12–16. König, Wolfgang / Popescu-Zeletin, Radu / Schliesky, Utz / Beck, Roman, IT und Internet als kritische Infrastruktur, Vernetzte Sicherheit zum Schutz kritischer Infrastrukturen, Kiel 2014. KPMG, IT-Sicherheit in Deutschland, Handlungsempfehlungen für eine zielorientierte Umsetzung des IT-Sicherheitsgesetzes, http: / / bdi.eu / media / presse / publikationen / KPMG_IT-Sicherheit_in_Deutschland.pdf (besucht am 12.06.2018). Kraaibeek, Peter, Sicherung kritischer Infrastrukturen im Gesundheitswesen, in: Holznagel, Bernd / Hanßmann, Anika / Sonntag, Matthias (Hrsg.), IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, Münster 2001, S. 79–88. Kugelmann, Dieter, Polizei- und Ordnungsrecht, Berlin / Heidelberg 2012. Kugelmann, Dieter (Hrsg.), Migration, Datenübermittlung und Cybersicherheit, Grundfragen und ausgewählte Handlungsfelder der Zusammenarbeit von Sicherheits- und Strafverfolgungsbehörden in der EU, Baden-Baden 2016. Kühling, Jürgen, Sektorspezifische Regulierung in den Netzwirtschaften, Typologie, Wirtschaftsverwaltungsrecht, Wirtschaftsverfassungsrecht, München 2004. Kühling, Jürgen, Anforderungen an ein zukunftsfähiges Infrastrukturrecht, DVBl. 2013, S. 1093–1103. Kutscha, Martin, Mehr Schutz von Computerdaten durch ein neues Grundrecht?, NJW 2008, S. 1042–1044. Landmann / Rohmer (Hrsg.), Umweltrecht, 83. EL, München 2017 (zitiert: Landmann / Rohmer). Lang, Markus, Die Grundrechtsberechtigung der Nachfolgeunternehmen im Eisenbahn-, Post- und Telekommunikationswesen, NJW 2004, S. 3601–3605. Lange, Hans-Jürgen / Bötticher, Astrid (Hrsg.), Cyber-Sicherheit, Wiesbaden 2015. Leible, Stefan (Hrsg.), Verbraucherschutz durch Information im Lebensmittelrecht, Bayreuth 2010. Leible, Stefan (Hrsg.), Unkörperliche Güter im Zivilrecht, Tübingen 2011. Leisner, Walter Georg, § 173, Eigentum, in: Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band VIII, 3. Aufl., Heidelberg 2010. Leisterer, Hannfried, Die neuen Pflichten zur Netz- und Informationssicherheit und die Verarbeitung personenbezogener Daten zur Gefahrenabwehr, CR 2015, S. 665–670. Leisterer, Hannfried, Das Informationsverwaltungsrecht als Beitrag zur Netz- und Informationssicherheit am Beispiel von IT-Sicherheitslücken, in: Kugelmann, Dieter (Hrsg.), Migration, Datenübermittlung und Cybersicherheit, Grundfragen und ausgewählte Handlungsfelder der Zusammenarbeit von Sicherheits- und Strafverfolgungsbehörden in der EU, Baden-Baden 2016, S. 135–149.
466
Literaturverzeichnis
Leisterer, Hannfried, Zivile Cybersicherheit in Europa: Entwicklung des Bereichs der Netz- und Informationssicherheit im Unionsrecht, in: Gusy, Christoph / Kugelmann, Dieter / Würtenberger, Thomas (Hrsg.), Rechtshandbuch Zivile Sicherheit, Berlin 2016, S. 101–111. Leisterer, Hannfried / Schneider, Florian, Der überarbeitete Entwurf für ein IT-Sicherheitsgesetz, CR 2014, S. 574–578. Leisterer, Hannfried / Schneider, Florian, Staatliches Informationshandeln im Bereich der IT-Sicherheit, K&R 2015, S. 681–688. Leitmeier, Lorenz, Nemo tenetur – ein nachteiliges Verfassungsrecht, JR 2014, S. 372–377. Lenz, Susanne, Vulnerabilität Kritischer Infrastrukturen, Bonn 2009. Lepsius, Oliver, Risikosteuerung durch Verwaltungsrecht: Ermöglichung oder Begrenzung von Innovationen, VVDStRL 63 (2004), S. 266–308. Lepsius, Oliver, Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, in: Roggan, Fredrik (Hrsg.), Online-Durchsuchungen, Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berlin 2008, S. 21–56. Lepsius, Oliver, § 4, Verfassungsrechtlicher Rahmen der Regulierung, in: Fehling, Michael (Hrsg.), Regulierungsrecht, Tübingen 2010. Lerche, Peter, Infrastrukturelle Verfassungsaufträge (zu Nachrichtenverkehr, Eisenbahnen), in: Wendt, Rudolf / Höfling, Wolfram / Karpen, Ulrich u. a. (Hrsg.), Staat, Wirtschaft, Steuern, Festschrift für Karl Heinrich Friauf zum 65. Geburtstag, Heidelberg 1996, S. 251–260. Liedtke, Rainer, Die Entwicklung der IT-Sicherheit aus dem Blickwinkel der Telekommunikationsbranche, in: Möstl, Markus / Wolff, Heinrich Amadeus (Hrsg.), IT-Sicherheit als Herausforderung für Wirtschaft und Staat, Jena 2017, S. 47–62. Lindner, Josef Franz, Die verfassungsrechtliche Dimension der allgemeinen polizeirechtlichen Adressatenpflichten, Zugleich ein Beitrag zur Entwicklung einer funktionalen Adressatendogmatik, München 1997. Lindner, Josef Franz / Möstl, Markus / Wolff, Heinrich Amadeus (Hrsg.), Verfassung des Freistaates Bayern, Kommentar, 2. Aufl., München 2017 (zitiert: Lindner / Möstl / Wolff). Linke, Tobias, Rechtsfragen der Einrichtung und des Betriebs eines Nationalen CyberAbwehrzentrums als informelle institutionalisierte Sicherheitskooperation, DÖV 2015, S. 128–139. Luch, Anika Dorthe, Das neue „IT-Grundrecht“, Grundbedingung einer „OnlineHandlungsfreiheit“, MMR 2011, S. 75–79. Luch, Anika Dorthe / Schulz, Sönke E., Das Recht auf Internet als Grundlage der Online-Grundrechte, Kiel 2013. Lurz, Hanna / Scheben, Barbara / Dolle, Wilhelm, Das IT-Sicherheitsgesetz: Herausforderungen und Chancen für Unternehmen – vor allem für KMU, BB 2015, S. 2755–2766.
Literaturverzeichnis467
Magen, Stefan, Zur Legitimation privaten Rechts, in: Bumke, Christian / Röthel, Anne (Hrsg.), Privates Recht, Tübingen 2012, S. 229–246. Mangoldt, Hermann von / Klein, Friedrich / Starck, Christian (Hrsg.), Kommentar zum Grundgesetz, Band 1: Artikel 1 bis 19, München 2010 (zitiert: Mangoldt / Klein / Starck). Mangoldt, Hermann von / Klein, Friedrich / Starck, Christian (Hrsg.), Kommentar zum Grundgesetz, Band 2: Artikel 20 bis 82, München 2010 (zitiert: Mangoldt / Klein / Starck). Martini, Mario, Normsetzungsdelegation zwischen parlamentarischer Steuerung und legislativer Effizienz, AöR 133 (2008), S. 156–189. Maunz, Theodor / Dürig, Günter (Hrsg.), Grundgesetz Kommentar, 79. EL, München 2016 (zitiert: Maunz / Dürig). Menk, Thomas, Sicherheit als strategischer Erfolgsfaktor im globalen Wettbewerb, in: Borchert, Heiko (Hrsg.), Wettbewerbsfaktor Sicherheit, Staat und Wirtschaft im Grand Pas de Deux für Sicherheit und Prosperität, Baden-Baden 2008, S. 47–58. Merkl, Adolf J. / Marcic, René / Verdross, Alfred / Walter, Robert (Hrsg.), Festschrift für Hans Kelsen zum 90. Geburtstag, Wien 1971. Merten, Detlef / Papier, Hans-Jürgen (Hrsg.), Handbuch der Grundrechte Band II, Heidelberg 2006. Merten, Detlef / Papier, Hans-Jürgen (Hrsg.), Handbuch der Grundrechte Band IV, Heidelberg 2011. Michaelis, Patrick, Cybersecurity: Technische Voraussetzungen der „Maßnahme“ nach § 13 Abs. 7 TMG – Herausforderung „Stand der Technik“, ITRB 2016, S. 118–119. Möllers, Christoph / Pflug, Ludger, Verfassungsrechtliche Rahmenbedingungen des Schutzes kritischer IT-Infrastrukturen, in: Kloepfer, Michael (Hrsg.), Schutz kritischer Infrastrukturen, IT und Energie, Baden-Baden 2010, S. 47–65. Mößle, Wilhelm, Inhalt, Zweck und Ausmaß, Zur Verfassungsgeschichte der Verordnungsermächtigung, Berlin 1990. Möstl, Markus, Grundrechtsbindung öffentlicher Wirtschaftstätigkeit, Insbesondere die Bindung der Nachfolgeunternehmen der Deutschen Bundespost an Art. 10 GG nach der Postreform II, München 1999. Möstl, Markus, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, Sicherheitsgewährleistung im Verfassungsstaat, im Bundesstaat und in der Europäischen Union, Tübingen 2002. Möstl, Markus, Renaissance und Rekonstruktion des Daseinsvorsorgebegriffs unter dem Europarecht, in: Brenner, Michael / Huber, Peter Michael / Möstl, Markus (Hrsg.), Der Staat des Grundgesetzes – Kontinuität und Wandel, Festschrift für Peter Badura zum siebzigsten Geburtstag, Tübingen 2004, S. 951–973. Möstl, Markus, Informationsinteresse und Geheimhaltungsbedürfnis als Antipoden im Verbraucherinformationsgesetz?, in: Leible, Stefan (Hrsg.), Verbraucherschutz durch Information im Lebensmittelrecht, Bayreuth 2010, S. 149–167.
468
Literaturverzeichnis
Möstl, Markus, Normative Handlungsformen, in: Ehlers, Dirk / Pünder, Hermann (Hrsg.), Allgemeines Verwaltungsrecht. 15. Aufl., Berlin 2015, S. 595–645. Möstl, Markus / Schwabenbauer, Thomas (Hrsg.), Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, 5. Ed., München 2017 (zitiert: Möstl / Schwabenbauer). Möstl, Markus / Trurnit, Christoph (Hrsg.), Beck’scher Online-Kommentar Polizeirecht Baden-Württemberg, 8. Ed., München 2017 (zitiert: Möstl / Trurnit). Möstl, Markus / Wolff, Heinrich Amadeus (Hrsg.), IT-Sicherheit als Herausforderung für Wirtschaft und Staat, Jena 2017. Münch, Ingo von / Kunig, Philip (Hrsg.), Grundgesetz, Kommentar, Band 1: Art. 1 bis 69, 6. Aufl., München 2012 (zitiert: Münch / Kunig). Münch, Ingo von / Kunig, Philip (Hrsg.), Grundgesetz, Kommentar, Band 2: Art. 70 bis 146, 6. Aufl., München 2012 (zitiert: Münch / Kunig). Murswiek, Dietrich, Das Bundesverfassungsgericht und die Dogmatik mittelbarer Grundrechtseingriffe, Zu der Glykol- und der Osho-Entscheidung vom 26.6.2002, NVwZ 2003, S. 1–8. Nitz, Gerhard, Private und öffentliche Sicherheit, Berlin 2000. Ossenbühl, Fritz, § 103, Rechtsverordnung, in: Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band V, 3. Aufl., Heidelberg 2007. Ossenbühl, Fritz, § 104, Autonome Rechtsetzung der Verwaltung, in: Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band V, 3. Aufl., Heidelberg 2007. Otten, Wolfgang, Eigensicherung, Möglichkeiten und Grenzen einer Verpflichtung Privater zur Sicherung gegen Einwirkung Dritter unter besonderer Berücksichtigung des Atomrechts, Köln, München [u. a.] 2006. Papier, Hans-Jürgen / Münch, Ursula / Kellermann, Gero (Hrsg.), Freiheit und Sicherheit, Verfassungspolitik, Grundrechtsschutz, Sicherheitsgesetze, Baden-Baden 2016. Paulsen, Christian (Hrsg.), Sicherheit in vernetzten Systemen, 23. DFN-Konferenz, Norderstedt 2016. Petermann, Thomas / Bradke, Harald / Lüllmann, Arne / Poetzsch, Maik / Riehm, Ulrich, Was bei einem Blackout geschieht, Folgen eines langandauernden und großflächigen Stromausfalls, Berlin 2011. Pielow, Johann-Christian, Grundstrukturen öffentlicher Versorgung, Vorgaben des Europäischen Gemeinschaftsrechts sowie des französischen und des deutschen Rechts unter besonderer Berücksichtigung der Elektrizitätswirtschaft, Tübingen 2001. Pielow, Johann-Christian (Hrsg.), Sicherheit in der Energiewirtschaft, Stuttgart / München / Hannover / Berlin / Weimar / Dresden 2007. Pitschas, Rainer, § 42, Maßstäbe des Verwaltungshandelns, in: Hoffmann-Riem, Wolfgang / Schmidt-Aßmann, Eberhard / Voßkuhle, Andreas (Hrsg.), Grundlagen des Verwaltungsrechts Band II, 2. Aufl., München 2012.
Literaturverzeichnis469
Plath, Kai-Uwe (Begr.), BDSG / DSGVO, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen von TMG und TKG, 2. Aufl., Köln 2016. Pohlmann, Kristine, Rechtliche Rahmenbedingungen der Katastrophenbewältigung, Frankfurt am Main 2012. Pokutnev, Anna / Schmid, Uwe Frank, Die TKG-Novelle 2012 aus datenschutzrecht licher Sicht, CR 2012, S. 360–366. Posser, Herbert / Wolff, Heinrich Amadeus (Hrsg.), BeckOK VwGO, 42. Ed., München 2017 (zitiert: Posser / Wolff). President’s Commission on Critical Infrastructure Protection, Critical Foundations, Protecting America’s Infrastructures: The Report of the President’s Commission on Critical Infrastructure Protection, 01.10.1997, https: / / www.fas.org / sgp / libra ry / pccip.pdf (besucht am 12.06.2018). Preuß, Ulrich K., Risikovorsorge als Staatsaufgabe, in: Grimm, Dieter (Hrsg.), Staatsaufgaben, Baden-Baden 1994, S. 523–551. Randelzhofer, Albrecht, § 37, Grundrechte und Grundpflichten, in: Merten, Detlef / Papier, Hans-Jürgen (Hrsg.), Handbuch der Grundrechte Band II, Heidelberg 2006. Rath, Michael / Kuss, Christian / Bach, Simone, Das neue IT-Sicherheitsgesetz, K&R 2015, S. 437–440. Reimer, Franz, § 9, Das Parlamentsgesetz als Steuerungsmittel und Kontrollmaßstab, in: Hoffmann-Riem, Wolfgang / Schmidt-Aßmann, Eberhard / Voßkuhle, Andreas (Hrsg.), Grundlagen des Verwaltungsrechts Band I, 2. Aufl., München 2012. Reinhard, Tim / Pohl, Lorenz / Capellaro, Hans-Christoph (Hrsg.), IT-Sicherheit und Recht, Rechtliche und technisch-organisatorische Aspekte für Unternehmen, Berlin 2007. Rensen, Hartmut / Brink, Stefan (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts, Erörtert von den wissenschaftlichen Mitarbeitern, Berlin / New York 2009. Ritter, Stefan, Information Warfare: Die Dimension der Bedrohung – ein Szenario, in: Holznagel, Bernd / Hanßmann, Anika / Sonntag, Matthias (Hrsg.), IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, Münster 2001, S. 101–112. Roggan, Fredrik (Hrsg.), Online-Durchsuchungen, Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berlin 2008. Rolfs, Christian / Giesen, Richard / Kreikebohm, Ralf / Udsching, Peter (Hrsg.), Beck’ scher Online-Kommentar Sozialrecht, 45. Ed., München 2017 (zitiert: Rolfs / Giesen / Kreikebohm / Udsching). Ronellenfitsch, Michael, Selbstverantwortung und Deregulierung im Ordnungs- und Umweltrecht, Berlin 1995. Roos, Philipp, Der Entwurf eines IT-Sicherheitsgesetzes, K&R 2013, S. 769–775. Roos, Philipp, Der neue Entwurf eines IT-Sicherheitsgesetzes, Bewegung oder Stillstand?, MMR 2014, S. 723–730. Roos, Philipp, Das IT-Sicherheitsgesetz, MMR 2015, S. 636–645.
470
Literaturverzeichnis
Roßnagel, Alexander, Das IT-Sicherheitsgesetz, DVBl. 2015, S. 1206–1212. Roth, Hans-Peter, Neuer Referentenentwurf zum IT-Sicherheitsgesetz, ZD 2015, S. 17–22. Rudolf, Walter, § 90, Recht auf informationelle Selbstbestimmung, in: Merten, Detlef / Papier, Hans-Jürgen (Hrsg.), Handbuch der Grundrechte Band IV, Heidelberg 2011. Rüfner, Wolfgang, § 80, Daseinsvorsorge und soziale Sicherheit, in: Isensee, Josef / Kirchhof, Paul (Hrsg.), Handbuch des Staatsrechts Band III, Heidelberg 1988. Rüßmann, Helmut (Hrsg.), Festschrift für Gerhard Käfer, Saarbrücken 2009. Rusteberg, Benjamin, Zivile Sicherheit in der Sicherheitsarchitektur des deutschen Bundesstaates, in: Gusy, Christoph / Kugelmann, Dieter / Würtenberger, Thomas (Hrsg.), Rechtshandbuch Zivile Sicherheit, Berlin 2016, S. 113–136. Sachs, Michael (Hrsg.), Grundgesetz, Kommentar, 7. Aufl., München 2014 (zitiert: Sachs). Sachs, Michael / Krings, Thomas, Das neue „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“, JuS 2008, S. 481– 486. Säcker, Franz Jürgen (Hrsg.), Berliner Kommentar zum Telekommunikationsgesetz, 2. Aufl., Frankfurt am Main 2009 (zitiert: Säcker). Säcker, Franz Jürgen (Hrsg.), Telekommunikationsgesetz, Kommentar, 3. Aufl., Frankfurt am Main 2013 (zitiert: Säcker). Sauerland, Thomas, Die Verwaltungsvorschrift im System der Rechtsquellen, Berlin 2005. Saurer, Johannes, Die Funktionen der Rechtsverordnung, Der gesetzgeberische Zuschnitt des Aufgaben- und Leistungsprofils exekutiver Rechtsetzung als Problem des Verfassungsrechts, ausgehend vom Referenzgebiet des Umweltrechts, Berlin 2005. Schatz, Klaus-Werner, Zur Entwicklung des Begriffs Infrastruktur, in: Berger, Heinz (Hrsg.), Wettbewerb und Infrastruktur in Post- und Telekommunikationsmärkten, Baden-Baden 1996, S. 122–136. Schäuble, Wolfgang, Schutz kritischer Infrastrukturen als Aufgabe der Politik, in: Kloepfer, Michael (Hrsg.), Schutz kritischer Infrastrukturen, IT und Energie, Baden-Baden 2010, S. 21–25. Schenke, Wolf-Rüdiger, Anm. zu BVerwG, Urt. v. 4.10.1985 – 4 C 76.82, DVBl. 1986, S. 362–364. Schenke, Wolf-Rüdiger / Graulich, Kurt / Ruthig, Josef (Hrsg.), Sicherheitsrecht des Bundes, München 2014 (zitiert: Schenke / Graulich / Ruthig). Scherzberg, Arno, Risiko als Rechtsproblem, Ein neues Paradigma für das technische Sicherheitsrecht, VerwArch 84 (1993), S. 484–513. Scherzberg, Arno, Risikosteuerung durch Verwaltungsrecht: Ermöglichung oder Begrenzung von Innovationen, VVDStRL 63 (2004), S. 216–258.
Literaturverzeichnis471
Scheurle, Klaus-Dieter / Mayen, Thomas / Albers, Heinz (Hrsg.), Telekommunikationsgesetz, Kommentar, 2. Aufl., München 2008 (zitiert: Scheurle / Mayen / Albers). Schmidbauer, Wilhelm / Steiner, Udo (Hrsg.), Bayerisches Polizeiaufgabengesetz und Polizeiorganisationsgesetz, 4. Aufl., München 2014 (zitiert: Schmidbauer / Steiner). Schmidl, Michael, Aspekte des Rechts der IT-Sicherheit, NJW 2010, S. 476–481. Schmidt, Manfred, Kritische Infrastrukturen, Wie anfällig sind wir?, in: Bundesakademie für Sicherheitspolitik (Hrsg.), Sicherheitspolitik in neuen Dimensionen, Ergänzungsband II, Hamburg 2009, S. 403–418. Schmidt am Busch, Birgit, Gewährleistungsaufsicht zur Sicherstellung privater Aufgabenerledigung, Eine dritte Kategorie zwischen Staatsaufsicht und Wirtschaftsaufsicht, Die Verwaltung 49 (2016), S. 205–232. Schmidt-Aßmann, Eberhard (Hrsg.), Festgabe 50 Jahre Bundesverwaltungsgericht, Köln 2003. Schmidt-Bleibtreu, Bruno / Hofmann, Hans / Henneke, Hans-Günter (Hrsg.), GG, Kommentar zum Grundgesetz, 13. Aufl., Köln 2014 (zitiert: Schmidt-Bleibtreu / Hofmann / Henneke). Schmidt-Preuß, Matthias, Verwaltung und Verwaltungsrecht zwischen gesellschaft licher Selbstregulierung und staatlicher Steuerung, VVDStRL 56 (1997), S. 160– 234. Schneider, Hans, Gesetzgebung, Ein Lehr- und Handbuch, 3. Aufl., Heidelberg 2002. Schoch, Friedrich / Schneider, Jens-Peter / Bier, Wolfgang (Hrsg.), Verwaltungsgerichtsordnung, 32. EL, München 2016 (zitiert: Schoch / Schneider / Bier). Schönke, Adolf / Schröder, Horst (Hrsg.), Strafgesetzbuch, Kommentar, 29. Aufl., München 2014 (zitiert: Schönke / Schröder). Schreibauer, Marcus / Spittka, Jan, IT-Sicherheitsgesetz: neue Anforderungen für Unternehmen, ITRB 2015, S. 240–245. Schulte, Martin / Schröder, Rainer (Hrsg.), Handbuch des Technikrechts, Allgemeine Grundlagen – Umweltrecht – Gentechnikrecht – Energierecht – Telekommunikations- und Medienrecht – Patentrecht – Computerrecht, Berlin / Heidelberg 2011. Schulz, Gabriel, Das neue IT-Grundrecht – staatliche Schutzpflicht und Infrastrukturverantwortung, DuD 2012, S. 395–400. Schulz, Sönke E. / Tischer, Jakob, Das Internet als kritische Infrastruktur, ZG 2013, S. 339–357. Schulze, Sven-Hendrik, Cyber-„War“ – Testfall der Staatenverantwortlichkeit, Tübingen 2015. Schulze-Fielitz, Helmuth, Risikosteuerung von Hochrisikoanlagen als Verfassungsproblem, Notfallschutz bei Kernkraftanlagen, DÖV 2011, S. 785–794. Schulze-Fielitz, Helmuth, § 12, Grundmodi der Aufgabenwahrnehmung, in: Hoffmann-Riem, Wolfgang / Schmidt-Aßmann, Eberhard / Voßkuhle, Andreas (Hrsg.), Grundlagen des Verwaltungsrechts Band I, 2. Aufl., München 2012.
472
Literaturverzeichnis
Schwarze, Jürgen, Art. 15 GRC, in: Schwarze, Jürgen / Becker, Ulrich / Hatje, Armin u. a. (Hrsg.), EU-Kommentar, 3. Aufl., Baden-Baden, Wien, Basel 2012. Schwarze, Jürgen / Becker, Ulrich / Hatje, Armin / Schoo, Johann (Hrsg.), EU-Kommentar, 3. Aufl., Baden-Baden / Wien / Basel 2012. Seibert, Max-Jürgen, Die Einwirkung des Gleichheitssatzes auf das Rechtsetzungsund Rechtsanwendungsermessen der Verwaltung, in: Schmidt-Aßmann, Eberhard (Hrsg.), Festgabe 50 Jahre Bundesverwaltungsgericht, Köln 2003, S. 535–550. Seidl, Alexander, Mehr Cybersicherheit durch ein IT-Sicherheitsgesetz? (Teil 5), Stellungnahme zum Entwurf eines IT-Sicherheitsgesetzes unter Berücksichtigung des Vorschlags der Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL), jurisPR-ITR 15 / 2014 Anm. 2. Seidl, Alexander, Mehr Cybersicherheit durch ein IT-Sicherheitsgesetz? (Teil 1), Stellungnahme zum Entwurf eines IT-Sicherheitsgesetzes unter Berücksichtigung des Vorschlags der Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL), jurisPR-ITR 7 / 2014 Anm. 2. Seidl, Alexander, Mehr Cybersicherheit durch ein IT-Sicherheitsgesetz? (Teil 2), Stellungnahme zum Entwurf eines IT-Sicherheitsgesetzes unter Berücksichtigung des Vorschlags der Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union (NIS-RL), jurisPR-ITR 9 / 2014 Anm. 2. Selk, Robert / Gierschmann, Sibylle, Stellungnahme der DGRI zum Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), CR 2015, S. 273–276. Simitis, Spiros, Die informationelle Selbstbestimmung – Grundbedingung einer verfassungskonformen Informationsordnung, NJW 1984, S. 398–405. Simitis, Spiros (Hrsg.), Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014 (zitiert: Simitis). Simonis, Udo Ernst, Zur inhaltlich-systematischen Deutung des Begriffes „Infrastruktur“, Zeitschrift für Ganzheitsforschung 1993, S. 119–125. Sommer, Stephan, Staatliche Gewährleistung im Verkehrs-, Post- und Telekommunikationsbereich, Zur Interpretation der Gewährleistungsnormen der Art. 87e IV und 87f I GG im System verfassungsrechtlicher Leistungspflichten, Berlin 2000. Sonntag, Matthias, IT-Sicherheit kritischer Infrastrukturen, Von der Staatsaufgabe zur rechtlichen Ausgestaltung, Hachenburg 2003. Spannowsky, Willy / Manssen, Gerrit (Hrsg.), Beck’scher Online-Kommentar Bauordnungsrecht Bayern, 4. Ed., München 2017 (zitiert: Spannowsky / Manssen). Spannowsky, Willy / Runkel, Peter / Goppel, Konrad (Hrsg.), Raumordnungsgesetz (ROG), München 2010 (zitiert: Spannowsky / Runkel / Goppel). Spieker gen. Döhmann, Indra, Rechtliche Begleitung der Technikentwicklung im Bereich moderner Infrastrukturen und Informationstechnologien, in: Hill, Hermann (Hrsg.), Die Vermessung des virtuellen Raums, E-Volution des Rechts- und Verwaltungssystems III, Baden-Baden 2012, S. 137–161.
Literaturverzeichnis473
Spindler, Gerald, IT-Sicherheit und kritische Infrastrukturen – Öffentlich-rechtliche und zivilrechtliche Regulierungsmodelle, in: Kloepfer, Michael (Hrsg.), Schutz kritischer Infrastrukturen, IT und Energie, Baden-Baden 2010, S. 85–119. Spindler, Gerald, IT-Sicherheitsgesetz und zivilrechtliche Haftung, Auswirkungen des IT-Sicherheitsgesetzes im Zusammenspiel mit der endgültigen EU-NIS-Richtline auf die zivilrechtliche Haftung, CR 2016, S. 297–312. Spindler, Gerald / Schuster, Fabian (Hrsg.), Recht der elektronischen Medien, Kommentar, 3. Aufl., München 2015 (zitiert: Spindler / Schuster). Starke, Christian Paul, Die Anwendbarkeit der Europäischen Grundrechtecharta auf rein nationale Gesetzgebungsakte, DVBl. 2017, S. 721–731. Staupe, Jürgen, Parlamentsvorbehalt und Delegationsbefugnis, Zur „Wesentlichkeitstheorie“ und zur Reichweite legislativer Regelungskompetenz, insbesondere im Schulrecht, Berlin 1986. Stern, Klaus, Rationale Infrastrukturpolitik und Regierungs- und Verwaltungsorganisation, in: Arndt, Helmut / Swatek, Dieter (Hrsg.), Grundfragen der Infrastrukturplanung für wachsende Wirtschaften, Verhandlungen auf der Tagung des Vereins für Socialpolitik, Gesellschaft für Wirtschafts- und Sozialwissenschaften in Innsbruck 1970, Berlin 1971, S. 69–88. Stern, Klaus, Staatsrecht der Bundesrepublik Deutschland Band I, 2. Aufl., München 1984. Stern, Klaus / Sachs, Michael (Hrsg.), Europäische Grundrechte-Charta, München 2016 (zitiert: Stern / Sachs). Stober, Rolf, Grundpflichten als verfassungsrechtliche Dimension, NVwZ 1982, S. 473–479. Stober, Rolf, Grundlagen der öffentlichen und der privaten Sicherheit, in: Stober, Rolf / Olschok, Harald / Gundel, Stephan u. a. (Hrsg.), Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit, Stuttgart / München / Hannover / Berlin / Weimar / Dresden 2012, S. 3–47. Stober, Rolf / Olschok, Harald / Gundel, Stephan / Buhl, Manfred (Hrsg.), Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit, Stuttgart / München / Hannover / Berlin / Weimar / Dresden 2012. Stockhaus, Heidi, Regulierte Selbstregulierung im europäischen Chemikalienrecht, Eine Untersuchung der kontrollierten Eigenverantwortung für den Schutz der Umwelt unter der REACH-Verordnung, Tübingen 2015. Stohler, Jacques, Zur rationalen Planung der Infrastruktur, Konjunkturpolitik 11 (1965), S. 279–308. Streinz, Rudolf (Hrsg.), EUV / AEUV, Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union, 2. Aufl., München 2012. Suerbaum, Joachim, Die Schutzpflichtendimension der Gemeinschaftsgrundrechte, EuR 2003, S. 390–416. Taeger, Jürgen (Hrsg.), Digitale Evolution, Herausforderungen für das Informationsund Medienrecht, Edewecht 2010.
474
Literaturverzeichnis
Taeger, Jürgen (Hrsg.), Smart World – Smart Law?, Weltweite Netze mit regionaler Regulierung, Edewecht 2016. Taeger, Jürgen / Wiebe, Andreas (Hrsg.), Informatik – Wirtschaft – Recht, Regulierung in der Wissensgesellschaft; Festschrift für Wolfgang Kilian zum 65. Geburtstag, Baden-Baden 2004. Thiel, Markus, Die „Entgrenzung“ der Gefahrenabwehr, Grundfragen von Freiheit und Sicherheit im Zeitalter der Globalisierung, Tübingen 2011. Thomale, Hans-Christoph, Fokus IT-Sicherheitsgesetz – Rechtliche Rahmenbedingungen und Auswirkungen für die Energieversorger, Versorgungswirtschaft 2015, S. 301–304. Trute, Hans-Heinrich, Die Verwaltung und das Verwaltungsrecht zwischen gesellschaftlicher Selbstregulierung und staatlicher Steuerung, DVBl. 1996, S. 950–964. Uhle, Arnd, § 24, Die Rechtsverordnung, in: Kluth, Winfried / Krings, Günter (Hrsg.), Gesetzgebung, Rechtsetzung durch Parlamente und Verwaltungen sowie ihre gerichtliche Kontrolle, Heidelberg / Hamburg [u. a.] 2014. Unger, Christoph / Mitschke, Thomas / Freudenberg, Dirk (Hrsg.), Krisenmanagement – Notfallplanung – Bevölkerungsschutz, Festschrift anlässlich 60 Jahre Ausbildung im Bevölkerungsschutz, dargebracht von Partnern, Freunden und Mitarbeitern des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, Berlin 2013. UP KRITIS, UP-KRITIS: Öffentlich-rechtliche Partnerschaft zum Schutz Kritischer Infrastrukturen, Grundlagen und Ziele, 01.02.2014, http: / / www.kritis.bund.de / SharedDocs / Downloads / Kritis / DE / UP_KRITIS_Fortschreibungsdokument. pdf?__blob=publicationFile (besucht am 12.06.2018). van Laak, Dirk, Der Begriff „Infrastruktur“ und was er vor seiner Erfindung besagte, Archiv für Begriffsgeschichte 41 (1999), S. 280–299. van Laak, Dirk, Infra-Strukturgeschichte, Geschichte und Gesellschaft 27 (2001), S. 367–393. Voigt, Paul / Gehrmann, Mareike, Die europäische NIS-Richtlinie, Neue Vorgaben zur Netz- und IT-Sicherheit, ZD 2016, S. 355–358. Volkmann, Uwe, Anmerkung zu BVerfG DVBl. 2008, 582, DVBl. 2008, S. 590–593. Voßkuhle, Andreas, Beteiligung Privater an der Wahrnehmung öffentlicher Aufgaben und staatlicher Verantwortung, VVDStRL 62 (2003), S. 268–328. Wagner, Jörg, Anforderungen und Möglichkeiten eines Rechtsrahmens für IT-Sicherheit: Bedarf es eines IT-Sicherheitsrahmengesetzes?, in: Holznagel, Bernd / Hanßmann, Anika / Sonntag, Matthias (Hrsg.), IT-Sicherheit in der Informationsgesellschaft – Schutz kritischer Infrastrukturen, Münster 2001, S. 144–153. Wehrmann, Michael / Bluhm, Sebastian / Rink, Daniel, IT-Sicherheit, Rechtsentwicklung, Bedrohungslage und Schutzkonzepte, in: Taeger, Jürgen (Hrsg.), Smart World – Smart Law?, Weltweite Netze mit regionaler Regulierung, Edewecht 2016, S. 247–261. Weichert, Thilo, Wem gehören die privaten Daten, in: Taeger, Jürgen / Wiebe, Andreas (Hrsg.), Informatik – Wirtschaft – Recht, Regulierung in der Wissensgesellschaft;
Literaturverzeichnis475 Festschrift für Wolfgang Kilian zum 65. Geburtstag, Baden-Baden 2004, S. 281– 298.
Weise, Michael / Brühl, Stefan, Auswirkungen eines künftigen IT-Sicherheitsgesetzes auf Betreiber Kritischer Infrastrukturen, CR 2015, S. 290–294. Wendt, Rudolf / Höfling, Wolfram / Karpen, Ulrich / Oldiges, Martin (Hrsg.), Staat, Wirtschaft, Steuern, Festschrift für Karl Heinrich Friauf zum 65. Geburtstag, Heidelberg 1996. Will, Thomas, Denkanstöße – die Informationsgesellschaft als sicherheitspolitische Herausforderung, in: Geiger, Gebhard (Hrsg.), Sicherheit der Informationsgesellschaft, Gefährdung und Schutz informationsabhängiger Infrastrukturen, BadenBaden 2000, S. 119–126. Winkel, Olaf, Sicherheit in der digitalen Informationsgesellschaft, IT-Sicherheit als politisches, ökonomisches und gesellschaftliches Problem, APuZ B 41-42 2000, S. 19–30. Wischmeyer, Thomas, Informationssicherheitsrecht, IT-Sicherheitsgesetz und NISRichtlinie als Bausteine eines Ordnungsrechts für die Informationsgesellschaft, Die Verwaltung 50 (2017), S. 155–188. Wißmann, Hinnerk, Anforderungen an ein zukunftsfähiges Infrastrukturrecht, VVDStRL 73 (2014), S. 370–421. Witt, Bernhard C., IT-Sicherheit kompakt und verständlich, Eine praxisorientierte Einführung, Wiesbaden 2006. Witt, Thorsten / Freudenberg, Philipp, NIS-Richtlinie, Die Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit (NIS) in der Union, CR 2016, S. 657–663. Wolff, Heinrich Amadeus, Der verfassungsrechtliche Schutz der Betriebs- und Geschäftsgeheimnisse, NJW 1997, S. 98–101. Wolff, Heinrich Amadeus, Selbstbelastung und Verfahrenstrennung, Das Verbot des Zwangs zur aktiven Mitwirkung am eigenen Strafverfahren und seine Ausstrahlungswirkung auf die gesetzlichen Mitwirkungspflichten des Verwaltungsrechts, Berlin 1997. Wolff, Heinrich Amadeus, Das IT-Sicherheitsgesetz als Teil der jüngeren Entwicklung der Sicherheitsarchitektur, in: Möstl, Markus / Wolff, Heinrich Amadeus (Hrsg.), IT-Sicherheit als Herausforderung für Wirtschaft und Staat, Jena 2017, S. 83–95. Wolff, Heinrich Amadeus / Brink, Stefan (Hrsg.), Datenschutzrecht in Bund und Ländern, Grundlagen, Bereichsspezifischer Datenschutz, BDSG, Kommentar, München 2013 (zitiert: Wolff / Brink). Wolff, Heinrich Amadeus / Brink, Stefan (Hrsg.), Beck’scher Online-Kommentar Datenschutzrecht, 20. Ed., München 2017 (zitiert: Wolff / Brink). Wollenschläger, Ferdinand, Staatliche Verbraucherinformation als neues Instrument des Verbraucherschutzes, VerwArch 102 (2011), S. 20–50. Wyl, Christian de / Weise, Michael / Bartsch, Alexander, Neue Sicherheitsanforderungen für Netzbetreiber, N&R 2015, S. 23–28. Zech, Herbert, Information als Schutzgegenstand, Tübingen 2012.
Sachregister Anlage 242 Ansprechpartner 341, 347 atomrechtliche Meldepflicht 348 Aufsichtsbehörde 376 Ausfallfolgen –– als Maßstab für die Kritikalität 100 äußere Sicherheit 78, 429 Authentizität 63 Bedrohung der IT 337 Bedrohungslage 39, 42, 44, 48, 263 –– Grenze der Wirkung branchenspezifischer Sicherheitsstandards 287, 296 –– Reaktionen 51 Berufsfreiheit 142, 166, 184, 187, 396 Bestimmtheitsgebot 226, 236, 276, 321 Betreiber –– Begriff 217 –– Betreiberpflichten 120 –– branchenspezifischer Sicherheitsstandard 282 –– Kriterien zur Bestimmung 218 –– Schutzpflichten zugunsten der 130 Betriebsgeheimnis 138 –– Schutz durch Art. 12 GG 399 –– Schutz durch Art. 14 GG 409 Bevölkerungsschutz 125 branchenspezifischer Sicherheitsstandard 279 –– formelle Anforderungen 282 –– materielle Anforderungen 280 –– Rechtsnatur 293 –– Rechtswirkungen 285 Branchenverband 282 BSI 375 –– Gewährleistungsverwaltung 388
–– internationale Vernetzung 380 –– IT-Sicherheitsdienstleister 382 –– Multiplikatorfunktion 380 –– Wirtschaftsaufsicht 376 –– Wissensakkumulation und Analyse 379 BSI-KritisV –– Betreiberbegriff 218 –– Struktur der 240 Cybersicherheit 84 Daseinsvorsorge 91, 177, 189 –– als Aufgabe des Staates 211 –– Bindung grundrechtlicher Freiheit 208 Daten 65 Datenschutz 81, 123 –– datenschutzrechtliche Benachrichtigungspflicht 363 –– Verhältnis zur Meldepflicht 331 –– Verhältnis zur Sicherungspflicht 277 Datenschutzgrundrecht 184, 187, 419 Datensicherheit 79, 277 Delegatar 237 dienende Funktion der IT 169, 218, 262, 328 –– Risiken durch die 45 dienende Funktion der IT-Sicherheit 68, 83, 253, 263, 264, 313 dienende grundrechtliche Freiheit 210, 213 dienende Nachweis- und Meldepflicht 210, 421 Durchsetzung –– der Meldepflicht 329, 333 –– der Sicherungspflicht 275, 302
Sachregister477
–– Einheitlichkeit der 373 –– Funktion der Instrumente 311 –– im EnWG 351 –– im TKG 362 –– Rolle des BSI 376 –– Wirksamkeit der 370 Durchsetzungsdefizit –– Meldepflicht 330, 372 –– Nachweispflicht 308 Eigensicherung 274, 347 Eigensicherungspflichtigkeit 191, 201, 202, 206, 207, 403 –– Abgrenzung vom Verursacherprinzip 201 Eigenverantwortung der Betreiber 388 Energieanlage 336, 344 Energiesektor 336 Energieversorgungsnetz 336 Exposition 263, 268, 350 Fernmeldegeheimnis 144, 169 Gefahr 115, 116 Gefahrenabwehr 115 –– Defizite der 42, 46 –– Einordnung der Pflichten zur ITSicherheit 120 Geheimnisschutz 124 Gesetzgebungskompetenz 390 Gewährleistungsverantwortung 192 –– aus dem Sozialstaatsprinzip 177 –– im Unionsrecht 215 Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 149, 164, 416 –– Begründung 149 –– Rechtsgut der IT-Sicherheit 75 –– Schutzgegenstand 154 –– Schutzpflichtendimension 157 Grundrecht auf Leben und körperliche Unversehrtheit 166
Information –– als Schutzobjekt der IT-Sicherheit 65 –– Begriff der 65 –– Eigentumsfähigkeit 134 –– Schutz über die Rechtsordnung 73 Informationsfreiheit 143 Informationstechnisches System –– im verfassungsrechtlichen Sinne 155 Infrastruktur 88 –– Schutz über Art. 14 GG 133 Infrastrukturgewährleistungsverantwortung 171, 210 –– allgemeine 175 –– aus Art. 87e GG 172 –– aus Art. 87f GG 174 –– aus Schutzpflichten 175 Infrastruktursektor 100, 109 Inpflichtnahme der Betreiber 170, 214, 367, 388 –– Zulässigkeit der 402 Integrität –– als grundrechtliche Gewährleistung 155 –– Schutzziel der IT-Sicherheit 62 ISMS 265, 339 IT 36 –– Bedrohungen für die 41 –– Begriff der 40 IT-Sicherheit 48, 60, 85 –– absolute 262, 267 –– als Rechtsgut 75 –– unionsrechtlich 86 IT-Sicherheitsdienstleister 382 IT-Sicherheitsniveau –– angemessenes 267 –– branchenspezifischer Sicherheitsstandards 280 –– dynamisch 68, 121, 270 –– einheitliches 373 –– Energiesektor 337 –– infrastrukturspezifisches 288 –– schutzzielspezifisches 65
478
Sachregister
–– Telekommunikationssektor 354 –– zu gewährleistendes 264 Katalog der Sicherheitsanforderungen 337, 338, 345 –– Rechtsnatur 342 –– Rechtswirkungen 342 Kleinstunternehmen 334 Kontaktstelle 328 –– grundrechtliche Rechtfertigung 400, 408 –– im EnWG siehe Ansprechpartner –– im TKG 362 siehe Sicherheitsbeauftragter –– institutioneller Rahmen 121, 365 –– Umsetzungsfrist 329 Kooperation 365 –– branchenspezifische Sicherheitsstandards 299 –– im Rahmen der Pflichten 385 –– informell 50 Kritikalität 97 –– Kriterien zur Bestimmung der 102 –– nach unionsrechtlichem Verständnis 109 kritische Dienstleistung 241 Kritische Infrastruktur 48, 88, 107, 240 –– Bestimmung durch Rechtsverordnung 221 –– Vergleich mit wesentlichen Diensten 255 Meldepflicht 312, 347, 348, 358, 365, 371, 374, 379, 398, 406, 410, 415, 420, 423 –– Auswirkung auf den Infrastrukturbetrieb 318 –– Begriff der Störung der IT-Sicherheit 313 –– Erheblichkeitsschwelle - Auswirkung auf den Infrastrukturbetrieb 318, 321 –– Erheblichkeitsschwelle - Störung der IT-Sicherheit 315
–– namentliche Meldung 327 –– Pflichtangaben 322, 324 –– potentielle Auswirkungen 325 –– potentielle Auswirkungen auf den Infrastrukturbetrieb 322 –– pseudonyme Meldung 326 –– pseudonyme oder namentliche Meldung 324 –– tatsächliche Auswirkungen 325 –– Vertraulichkeitsschutz nach EnWG 348 –– Wissensgenerierung 312, 313 Menschenwürde –– Prägung der Schutzpflichtendimension im Unionsrecht 182 –– Prägung des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 160 –– Prägung des Rechts auf informationelle Selbstbestimmung 146 Nachweismethoden 303 Nachweispflicht 303, 369, 374, 397, 406, 410, 414, 415, 419, 420, 423 nemo tenetur se ipsum accusare-Grundsatz 422 notwendige IT 271 nukleare Sicherheit 349 öffentliche Sicherheit –– als Kriterium zur Bestimmung der Kritikalität 100, 111 –– Schutz der IT-Sicherheit 71, 73, 76 Öffentliche Sicherheit 69 organisatorische und technische Vorkehrungen 260 Outsourcing 219, 266 Parlamentsvorbehalt 223, 230, 344 Pflichtigkeit 128, 190, 192, 194, 199, 200, 215, 403, 415 –– altruistische 205 Plan-Do-Check-Act-Modell 340
Sachregister479
Prüfer, Nachweispflicht 304 Prüfungsverfahren, Nachweispflicht 305 Qualität 103 –– Meldepflicht 318 Quantität 106 –– Meldepflicht 320 –– Schwellenwert 245 Recht am eingerichteten und ausgeübten Gewerbebetrieb 137 –– Schutz der Information 137 –– verfassungsrechtliche Anerkennung 139 Recht auf informationelle Selbstbestimmung 146, 163, 412 Risiko 116 Risikosteuerung 115, 117 –– Einordnung der Pflichten zur ITSicherheit 122 –– IT-Sicherheitsgesetz als Recht der 126 Risikotragungspflichtigkeit 202, 204 Rollenverteilung zwischen Betreiber und Staat –– Neuordnung 388 –– Pflichtigkeit und Gewährleistungsverantwortung 426 Sanktion siehe Durchsetzung Schutzpflicht –– Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme 158 –– Infrastrukturgewährleistungsverantwortung 175 –– Unionsgrundrechte 181 –– Verhältnis zur Eigensicherungspflichtigkeit 202, 206, 215 –– zugunsten der Betreiber 130, 183 –– zugunsten der Nutzer 163, 186 Schwellenwert 245
–– Kleinstunternehmen 335 Sicherheitsbeauftragter 355 Sicherheitsherausforderung 36 Sicherheitskatalog 355 Sicherheitskonzept 355 Sicherungspflicht 69, 259, 337, 353, 368, 373, 397, 403, 410, 419 Sozialpflichtigkeit 207, 209, 411 Sozialstaatsprinzip 177 –– Bindung grundrechtlicher Freiheit 208 Stand der Technik 269 Störung der IT-Sicherheit 261 Telekommunikationssektor 352 Telematikinfrastruktur 251 Überprüfungsbefugnis 308, 370, 374 –– EnWG 340 Umsetzungsdefizit –– Meldepflicht 331 –– Sicherungspflicht 273 Umsetzungsfrist –– der Meldepflicht 329 –– der Sicherungspflicht 271 unbestimmter Rechtsbegriff 364 –– Funktion ihres Einsatzes 275 –– Infrastruktur 93 –– Konkretisierung durch branchenspezifische Sicherheitsstandards 280, 298 –– Kritikalität 97, 99 –– Meldepflicht 317, 319 –– Nachweispflicht 303 –– Sicherungspflicht 260 unionsrechtliche Determinierung –– der Kritischen Infrastrukturen 252 –– der Meldepflicht 312 –– der Sicherungspflicht 260 Untersuchungspflicht –– als Teil der Meldepflicht 322, 324 Verfügbarkeit 62 Verletzbarkeit 263
480
Sachregister
Versorgungssicherheit 82, 126, 165, 400, 403, 411, 415 Vertraulichkeit –– als grundrechtliche Gewährleistung 155 –– Schutzziel der IT-Sicherheit 63, 86 Verursachungsverantwortlichkeit 194
Wertungsspielraum –– Meldepflicht, Auswirkungen 321 –– Meldepflicht, Störung der IT-Sicherheit 317 wesentlicher Dienst 109 zentrale Stelle für die IT-Sicherheit 379