DA+

Aufsatz : Gesetzgebungskompetenz(en) des Bundes für das IT-Sicherheitsrecht Kritischer Infrastrukturen – Teil I

Dem Grundgesetz ist eine spezifisch auf das IT-Sicherheitsrecht zugeschnittene Gesetzgebungskompetenz unbekannt. Der Bund sieht sich insofern einem Mosaik einzelner Befugnisse für unterschiedliche Branchen und Dienstleistungen gegenüber. Die Gesetzgebungsbefugnis des Bundes ist in der Praxis unterdessen nicht unwidersprochen geblieben. Es überwiegen jedoch gute Gründe für ein einheitliches Regelungskonzept der IT-Sicherheit sowie deren Durchsetzung auf Bundesebene.

Lesezeit 12 Min.

I. Überblick

Die IT-Sicherheitsgesetzgebung des Bundes – namentlich das ITSiG von 2015, das NIS Umsetzungsgesetz von 2017 sowie das jüngst vom Bundestag verabschiedete (1) ITSiG 2.0 – begründet wesentliche Pflichten für Betreiber sog. Kritischer Infrastrukturen (2) sowie korrespondierende Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Die Gesetzgebungskompetenz des Bundes wird dabei ausweislich der Gesetzgebungsmaterialien zum Teil aus speziellen Kompetenztiteln hergeleitet. (3) Soweit in der Verfassung keine eigenständige branchenbezogene Gesetzgebungskompetenz niedergelegt ist, wird auf die allgemeinere Befugnis des Art. 74 Abs. 1 Nr. 11 GG (Recht der Wirtschaft),4 auf eine ungeschriebene Kompetenz kraft Natur der Sache (5) bzw. auf eine Annexkompetenz abgestellt. (6)

Den Gesetzgebungsmaterialien ist zu entnehmen, dass „[e]ine bundesgesetzliche Regelung dieser Materie […] zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich“ sei. (7) Auch in der Literatur findet sich die Bestätigung, dass „das Bedürfnis einer einheitlichen bundesweiten Regelung […] auf der Hand“ liege. (8) Jedenfalls wird die Bundeskompetenz, soweit sie in der Literatur überhaupt thematisiert wird, hingenommen. (9)

Wie jedoch eine erste gerichtliche Auseinandersetzung zeigt, ist die Frage der Gesetzgebungskompetenz durchaus diskussionswürdig. Die Berliner Verkehrsbetriebe (BVG) wendeten sich jüngst gegen eine Maßnahme des BSI und gingen dabei unter anderem von einer teilweisen Unzuständigkeit des Bundesgesetzgebers für IT-Sicherheitsbelange des öffentlichen Nahverkehrs aus.10 Aus diesem Grunde lohnt es sich, die für die IT-Sicherheitsgesetzgebung einschlägigen Gesetzgebungskompetenzen im Einzelnen zu beleuchten.

II. Gesetzgebungskompetenzen von Bund und Ländern

Aufgabe der Verfassung ist unter anderem, die Gesetzgebungskompetenzen im föderalen System festzulegen. (11) Die Art. 70 ff. GG statuieren zu diesem Zweck ein mehrschichtiges Regelungsgefüge. Dabei sind gem. Art. 70 Abs. 1 GG grundsätzlich die Länder zuständig, soweit sich nicht aus der Verfassung etwas anderes ergibt.

Der Bund kann aufgrund ausschließlicher oder konkurrierender Gesetzgebungszuständigkeit handeln. Soweit ein ausschließlicher Kompetenztitel in den Katalogtatbeständen des Art. 73 GG (oder an anderer Stelle in Einzelnormen der Verfassung) enthalten ist, ergeben sich keine Schwierigkeiten. Agiert der Bund hingegen im Rahmen der konkurrierenden Gesetzgebung gem. Art. 74 GG, ist zu beachten: Auf sog. Bedarfskompetenzen im Sinne von Art. 72 Abs. 2 GG, darf sich der Bundesgesetzgeber nur berufen, wenn dies zur Herstellung gleichwertiger Lebensverhältnisse im Bundesgebiet oder zur Wahrung der Rechts- oder Wirtschaftseinheit im gesamtstaatlichen Interesse erforderlich ist.

Macht der Bundesgesetzgeber von einer konkurrierenden Kompetenz Gebrauch, erlischt gem. Art. 72 Abs. 1 GG zugleich die Länderkompetenz (sog. Sperrwirkung). Für einige abschließend aufgeführte Bereiche der konkurrierenden Gesetzgebung wird den Ländern gem. Art. 72 Abs. 3 Satz 1 GG unterdessen eine Abweichungskompetenz zugestanden.

Ebenfalls von Bedeutung sind die ungeschriebenen Gesetzgebungskompetenzen des Bundes. Gemeint sind die Gesetzgebungskompetenz kraft Sachzusammenhangs bzw. Annexkompetenz, welche äußerlich weitestgehend identische Wirkungen entfalten und daher hier nicht unterschieden werden müssen. (12) Diese ungeschriebene Kompetenz zugunsten des Bundes greift, wenn eine ausdrücklich zugewiesene Materie „verständigerweise nicht geregelt werden kann, ohne dass zugleich eine nicht ausdrücklich zugewiesene andere Materie mitgeregelt wird“. (13) Ordnungsbehördliche Befugnisse zur Durchsetzung und Gefahrenabwehr in der jeweiligen Rechtsmaterie sind typische Anwendungsfälle für eine derartige Kompetenzerweiterung.

Für Fragen im Zusammenhang mit der IT-Sicherheit (14) existiert mithin keine gesondert niedergelegte Gesetzgebungskompetenz in der Verfassung. (15) Stattdessen müssen je nach Regelungszusammenhang und einschlägiger Branche die im Grundgesetz angelegten Befugnisse auf ihre Stichhaltigkeit geprüft werden. Dabei ist davon auszugehen, dass sich konkrete Regelungen zur IT-Sicherheit stets unmittelbar aus der einschlägigen Gesetzgebungskompetenz für die Branche oder den Sektor ergeben. (16) Es handelt sich insoweit nicht etwa um eine thematisch verbundene Annexkompetenz zum eigentlichen Regelungskomplex. Vielmehr ist die IT-Sicherheit kraft ihrer betriebssichernden Funktion unauflöslich mit der Erbringung der in Rede stehenden Dienstleistung verknüpft.

III. Regelungsgegenstand IT-Sicherheit

1. Regelungsinhalte

a) Ausgangspunkt

Ein allgemeines IT-Sicherheitsrecht sollte die abzusichernden Systeme und Dienste spezifizieren und eingrenzen, Schutzziele verbindlich definieren, eine Handhabe für die Ermittlung und Bewertung von Risiken liefern und eine Bestimmung des sogenannten „Stands der Technik“ ermögli chen.17 Freilich fehlt es derzeit an einem solchen Allgemeinen Teil des IT-Sicherheitsrechts.

Immerhin definiert § 2 Abs. 2 Satz 4 BSIG die „Sicherheit in der Informationstechnik“ als die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit („Integrität“) oder Vertraulichkeit von Informationen betreffen. An mehreren Stellen im Gesetz tritt zudem das Schutzziel der Authentizität hinzu (vgl. etwa § 8a Abs. 1 Satz 1 bzw. § 8b Abs. 4 Satz 1 Nr. 1 BSIG). Art. 4 Nr. 2 NIS-RL beschreibt parallel hierzu die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Angriffe abzuwehren, welche die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit beeinträchtigen.

  • Verfügbarkeit = Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT Anwendungen, IT-Netzen oder Informationen ist gegeben, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. (18) Dazu gehören die Auffindbarkeit, Zugriffsmöglichkeit und Anwendbarkeit der vorgesehen Methoden.
  • Integrität = Sicherstellung der Korrektheit von Daten und der korrekten Funktionsweise von Systemen. Hierzu gehört, dass Daten vollständig und unverändert sind. (19)
  • Vertraulichkeit = Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein. (20)
  • Authentizität = Es ist sichergestellt, dass die Informationen von der angegebenen Quelle erstellt wurden. (21)

Diese allgemein anerkannten Schutzziele der Informationssicherheit können insofern als maßgebliche Stellschrauben des IT-Sicherheitsrechts angesehen werden. (22)

Aufgabe der aktuellen IT-Sicherheitsgesetzgebung ist es u.a., die Sicherheit Kritischer Infrastrukturen besonders zu schützen. (23) Gemäß § 2 Abs. 10 Satz 1 Nrn. 1 und 2 BSIG sind hierunter Einrichtungen und Anlagen zu verstehen, die den im Gesetz genannten Sektoren angehören und zugleich von hoher Bedeutung für das Funktionieren des Gemeinwesens sind.

Die Bedeutung einer Infrastruktur misst sich stets daran, ob durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Sektorenzugehörigkeit und Gemeinwichtigkeit müssen zwingend zusammentreffen. (24) Durch Rechtsverordnung (BSI-KritisV) wird bestimmt, welche genauen Anforderungen an die jeweiligen Einrichtungen zu stellen sind, um tatsächlich als Kritische Infrastrukturen angesehen zu werden

Bei der Betrachtung Kritischer Infrastrukturen steht immer die verlässliche Erbringung oder Nichterbringung der jeweiligen Dienstleistung im Fokus. Die Schutzziele Verfügbarkeit, Integrität und Authentizität hängen hiermit leicht fasslich zusammen. Beim Schutzziel der Vertraulichkeit ist dies hingegen nicht ganz so offensichtlich. Solange etwa die Versorgung der Allgemeinheit mit Energie oder Wasser gewährleistet ist, mag der Schutz vor Preisgabe von Informationen nachranging erscheinen. Eine solche Sichtweise greift jedoch zu kurz.

Erstens können Mängel in der Vertraulichkeit überhaupt erst den Weg ebnen für Angriffe Dritter. Dies ist der Fall, wenn anlagenbezogene Informationen nach außen dringen, die es Angreifern ermöglichen, vorhandene Schwachstellen auszunutzen oder diese leichter ausfindig zu machen. Spezifisches Sonderwissen kann zudem für Methoden des Social Engineering (25) eingesetzt werden, um einen Rapport zwischen Angreifer und Zielperson zu erzeugen.

Zweitens gehört die Vertraulichkeit in zahlreichen Branchen denknotwendigerweise zur Geschäftsgrundlage, etwa im Gesundheits-, Finanz-, Telekommunikations- oder IT-Bereich. Ohne Vertraulichkeit besteht kein Vertrauen in die ordnungsgemäße Erbringung der jeweiligen Dienstleistung, wodurch sich Teile der Bevölkerung gehindert sehen könnten, die Dienstleistung weiterhin in Anspruch zu nehmen.

Drittens sind die verfolgten Schutzziele der IT-Sicherheit nicht eineindeutig bestimmten technisch organisatorischen Sicherheitsmaßnahmen zuzuordnen. (26) Insofern vermag dieselbe Maßnahme verschiedene Schutzziele zu fördern. Eine Sicherheitslücke, die bei der einen Kritischen Infrastruktur zu einem Bruch der Vertraulichkeit geführt hat, kann bei der nächsten zu einer schwerwiegenden Störung im Betriebsablauf führen. Eine Aufspaltung der Gesetzgebungskompetenzen nach Schutzzielen erscheint daher nicht nur nicht sinnvoll, sondern ist nach hiesiger Auffassung gar nicht möglich.

b) Betreiberpflichten im Überblick

Betreiber Kritischer Infrastrukturen sind gem. § 8a Abs. 1 Satz 1 BSIG verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, die geeignet sind, Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Dabei soll gem. § 8a Abs. 1 Satz 2 BSIG der Stand der Technik eingehalten (und nicht nur berücksichtigt) werden. Die zu treffenden Vorkehrungen sind gem. § 8a Abs. 1 Satz 3 BSIG angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. (27)

Mindestens alle zwei Jahre ist ein Nachweis notwendig, was z.B. durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen kann. Die Ergebnisse einschließlich der dabei aufgedeckten Sicherheitsmängel sind dem BSI zu übermitteln (§ 8a Abs. 3 BSIG).

Gem. § 8b Abs. 3 BSIG ist eine Kontaktstelle einzurichten. Störungen sind gem. § 8b Abs. 4 unverzüglich über diese Kontaktstelle an das BSI zu melden. (28) Sofern sich ein Ausfall oder eine erhebliche Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur ereignet hat, ist diese Störung unter Angabe des Betreibers zu melden. Erhebliche Störungen, die potentiell zu einem Ausfall oder zu einer erheblichen Beeinträchtigung führen können, sind ohne Nennung des Betreibers zu melden.

Eine Störung liegt vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann bzw. versucht wurde, entsprechend auf sie einzuwirken. (29)

Mit Inkrafttreten des ITSiG 2.0 ist gem. § 8a Abs. 1a BSIG die Pflicht zur Implementierung eines Systems zur Angriffserkennung zwecks Störungsvermeidung statuiert worden.

Gemäß § 8d Abs. 2 Nr. 1 sowie Abs. 3 Nr. 1 BSIG gelten die oben genannten Vorgaben nicht für Betreiber Kritischer Infrastrukturen, soweit sie ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen. Insoweit trifft das TKG eigenständige Regelungen (vgl. § 109 TKG). (30)

Betreiber Kritischer Energieversorgungsnetze oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes sind gem. § 8d Abs. 2 Nr. 2 sowie Abs. 3 Nr. 2 BSIG ebenfalls vom Anwendungsbereich obiger Vorschriften ausgenommen. Entsprechende Regelungen sind stattdessen im EnWG enthalten (vgl. § 11 EnWG). (31)

Inhaber atomrechtlicher Genehmigungen unterliegen abermals nicht den genannten Vorschriften des BSIG (§ 8d Abs. 2 Nr. 4 sowie Abs. 3 Nr. 4 BSIG). Stattdessen haben diese gem. § 44b Satz 1 AtG Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einer Gefährdung oder Störung der nuklearen Sicherheit führen können, unverzüglich dem BSI zu melden. (32)

c) Befugnisse des BSI gegenüber Betreibern Kritischer Infrastrukturen

Das BSI ist die Cyber-Sicherheitsbehörde des Bundes. (33) Es sammelt gem. § 8b Abs. 2 BSIG  insbesondere Informationen zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen und zeichnet hieraus ein Lagebild. Es unterrichtet auf dessen Grundlage Betreiber Kritischer Infrastrukturen sowie andere Behörden.

Gem. § 8a Abs. 5 BSIG kann das BSI das Verfahren von Sicherheitsaudits, Prüfungen und Zertifizierungen für Kritische Infrastrukturen näher ausgestalten. Das BSI kann sodann gem. § 8a Abs. 4 BSIG die organisatorischen und technischen Vorkehrungen beim Betreiber der Kritischen Infrastruktur kontrollieren. Dies ermöglicht Vor-Ort-Prüfungen in den Geschäfts- und Betriebsräumen ebenso wie das Verlangen von Aufzeichnungen, Schriftstücken und sonstigen Unterlagen (siehe auch § 8a Abs. 3 Satz 4 BSIG). Gem. § 8a Abs. 3 Satz 5 BSIG kann das BSI im Einvernehmen mit der zuständigen Aufsichtsbehörde schließlich die Beseitigung von Sicherheitsmängeln anordnen. Soweit erforderlich, kann das BSI gem. § 8b Abs. 6 Satz 1 BSIG vom Hersteller betroffener informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer gemeldeten Störung beanspruchen. Gem. § 5b Abs. 1 Satz 1 BSIG kann das BSI u.U. Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind. Es kann auch hier gem. § 5b Abs. 6 BSIG vom Hersteller des informationstechnischen Systems verlangen, an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit mitzuwirken.

Portscans von Systemen Kritischer Infrastrukturen sind künftig gem. § 7b Abs. 1 Satz 1 BSIG ausdrücklich geregelt. Sofern in den oben skizzierten Konstellationen die Voraussetzungen vorliegen, besteht die Möglichkeit von Verwaltungszwangsmaßnahmen nach den allgemeinen Regeln der Verwaltungsvollstreckung (vgl. §§ 6 ff. VwVG).

Das BSI ist zudem Bußgeldstelle für Verstöße nach § 14 Abs. 1 BSIG, (34) § 95 Abs. 1 Nr. 2b EnWG sowie § 395 Abs. 2a SGB V. Für die Verhängung sonstiger bereichsspezifischer Bußgelder (35) ist das BSI dagegen nicht als zuständige Verwaltungsbehörde festgelegt.

2. Kompetenzübersicht

Die Übersicht zeigt, welche Sektoren mit ausschließlichen bzw. konkurrierenden Gesetzgebungskompetenzen korrespondieren und inwieweit es sich jeweils um Bedarfskompetenzen iSv Art. 72 Abs. 2 GG handelt.

Ausblick

Ausblick

Der Beitrag wird fortgesetzt. Teil II widmet sich detaillierter den einzelnen Sektoren sowie den BSI Befugnissen und erörtert Inhalt und Reichweite der einschlägigen Gesetzgebungskompetenzen. Im Hinblick auf die Bedarfskompetenzen werden in einem weiteren Schritt die in Art. 72 Abs. 2 GG niedergelegten Voraussetzungen („gleichwertige Lebensverhältnisse“; „Rechtseinheit“ „Wirtschafseinheit“) untersucht.

Prof. Dr. Lorenz Franck
Professor für IT-Recht mit öffentlich-rechtlichem Schwerpunkt an der Hochschule des Bundes für öffentliche Verwaltung, Brühl.

  • (1) BGBl. I 2021, S. 1122 ff. Zum ITSiG 2.0 insbesondere Kipker/Scholz, DuD 2021, 40 ff.; Müllmann/Ebert/Reissner, CR 2020, 584, 587 ff.; Atug, ICLR 2021, 7 ff.; Schallbruch, CR 2021, 516; Niemann/Karniyevich, K&R 2021, 441.
  • (2) Von den Kritischen Infrastrukturen sind die Anbieter digitaler Dienste (§ 2 Abs. 12 BSIG) und die Unternehmen von besonderem öffentlichen Interesse (§ 2 Abs. 14 BSIG) begrifflich zu unterscheiden.
  • (3) Vgl. im Einzelnen für das ITSiG BT-Drs. 18/4096 S. 19; für das NIS-Umsetzungsgesetz BT-Drs. 18/11242, S. 25 f.; für das ITSiG 2.0 BT-Drs. 19/26106, S. 31 f.
  • (4) BT-Drs. 18/4096 S. 19; BT-Drs. 18/11242, S. 25; BT-Drs. 19/26106, S. 31.
  • (5) BT-Drs. 19/26106, S. 32.
  • (6) BT-Drs. 19/26106, S. 31 f.
  • (7) BT-Drs. 18/4096, S. 19.
  • (8) Roth, ZD 2015, 17, 18.
  • (9) Roos, MMR 2014, 723, 724; Roßnagel, DVBl. 2015, 1206, 1207; Hornung, NJW 2015, 3334, 3335; Schallbruch, CR 2017, 648, 653; Buchberger, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2. Aufl. 2019, § 2 BSIG Rn. 12; Remy/Stettner, DuD 2021, 254, 255; Fischer, in: Hornung/Schallbruch, IT-Sicherheitsrecht, 2021, § 13 Rn. 40 f. Vgl. Rehbohm/Kalmbach, MMR-Aktuell 2021, 438461, welche die Länderzuständigkeit annehmen, wenn es um Einrichtungen geht, die nicht kritisch, aber dennoch dem Gemeinwohl dienlich sind (wohl als Folge von Art. 72 Abs. 1 GG).
  • (10) Siehe Stiebel, Behörden Spiegel vom 09.02.2021, online unter https://www.behoerden-spiegel.de/2021/02/09/bsi-nicht-zustaendig/. Die Klage wurde zwischenzeitlich zurückgenommen, s. Krempl, Heise Online vom 04.04.2021, online unter https://heise.de/-6005170.
  • (11) Überblick bei Jarass, NVwZ 2000, 1089 ff.; Hebeler, JA 2010, 688 ff.; Voßkuhle/Wischmeyer, JuS 2020, 315 ff
  • (12) So auch Jarass, NVwZ 2000, 1089, 1090.
  • (13) BVerfGE 3, 407, 421; BVerfGE 98, 265, 299.
  • (14) Kritisch hingegen Schallbruch, CR 2021, 516, 522, der für den Bereich der Gefahrenabwehr in der IT-Sicherheit eine Grundgesetzänderung erwägt.
  • (15) Eine solche Kompetenz befürwortend Poscher/Lassahn, in: Hornung/Schallbruch (Fn. 9), § 7 Rn. 52. Zum Regierungsvorschlag einer Gesetzgebungskompetenz hinsichtlich der Informationstechnik öffentlicher Stellen des Bundes und der Länder anlässlich der Föderalismuskommission II siehe Komm.-Drs 098, S. 7. Zur Gesetzgebungskompetenz für alle Fragen der Digitalisierung nach Vorbild von Art. 73 Abs. 1 Nr. 7 GG, worunter auch Belange der IT-Sicherheit fielen NeXT, Diskussionspapier Digitalministerium im Bund, 2021, S. 2 (online unter https://next-netz.de/aktuelles/unser-diskussionsbeitrag-zum-digitalministerium-im-bund).
  • (16) So auch Kipker, in: Kipker, Cybersecurity, 2020, § 1 Rn. 31; Poscher/Lassahn, in: Hornung/Schallbruch (Fn. 9), § 7 Rn. 52.
  • (17) Raabe/Schallbruch/Steinbrück, CR 2018, 706, 714 f.
  • (18) BSI, IT-Grundschutz-Kompendium, Ed. 2021, Glossar S. 8.
  • (19) BSI, IT-Grundschutz-Kompendium, Ed. 2021, Glossar S. 4.
  • (20) BSI, IT-Grundschutz-Kompendium, Ed. 2021, Glossar S. 9.
  • (21) BSI, IT-Grundschutz-Kompendium, Ed. 2021, Glossar S. 1.
  • (22) Schmidl, NJW 2010, 476, 477; Raabe/Schallbruch/Steinbrück, CR 2018, 706, 707.
  • (23) Einzelheiten bei Hornung, NJW 2015, 3334 ff.; Roßnagel, DVBl. 2015, 1206 ff.; Schallbruch, CR 2017, 648 ff.
  • (24) Zu Qualität und Quantität der Dienstleistung BT-Drs. 18/4096, S. 30 f.; näher Buchberger, GSZ 2019, 183, 185; Fischer in Hornung/Schallbruch (Fn. 9), § 13 Rn. 32 ff.
  • (25) Grundlegend Mitnick, The Art of Deception, 2002; ferner Sohr/Kemmerich, in: Kipker (Fn. 15), § 12 Rn. 68 ff.; Fischer, in: Hornung/Schallbruch (Fn. 9), § 2 Rn. 178 ff.
  • (26) Zu Mehrfachverknüpfungen von Schutzzielen und Maßnahmen am Beispiel des technischen Datenschutzes, Franck, in: Schwartmann/Pabst, DSG NRW, 2021, § 58 Rn. 27 ff.
  • (27) Überblick bei Buchberger, GSZ 2019, 183, 186; eingehend Beucher/Fromageau, in: Kipker (Fn. 15), § 12 Rn. 68 ff.; Fischer, in: Hornung/Schallbruch (Fn. 9), § 13 Rn. 65 ff.
  • (28) Überblick über die Meldepflichten bei Roos, MMR 2015, 636, 639 f.; Wimmer/Mechler, in: Gabel/Heinrich/Kiefner, Rechtshandbuch Cyber-Security, 2019, S. 149 ff.; Buchberger, GSZ 2019, 183, 186; Fischer, in: Hornung/Schallbruch (Fn. 9), § 13 Rn. 88. Eingehend zu den Meldepflichten Beucher/Fromageau, in: Kipker (Fn. 15), § 12 Rn. 84 ff. Synopse der unterschiedlichen Meldepflichten nach BSIG und DS-GVO bei Winter, CR 2020, 576 ff.
  • (29) BT-Drs. 18/4096, S. 27 f.
  • (30) Näher Wimmer/Mechler, in: Gabel/Heinrich/Kiefner (Fn. 27), S. 139 ff.
  • (31) Näher Wimmer/Mechler, in: Gabel/Heinrich/Kiefner (Fn. 27), S. 137 ff.
  • (32) Näher Wimmer/Mechler, in: Gabel/Heinrich/Kiefner (Fn. 27), S. 139.
  • (33) Zu den Aufgaben des BSI insgesamt Buchberger, GSZ 2019, 183 ff.; Schallbruch, DuD 2021, 229, 230; Gitter, in: Hornung/Schallbruch (Fn.9), § 15 Rn. 39 ff.
  • (34) Hierzu Beucher/Ehlen, in: Kipker (Fn 15), § 12 Rn. 153 ff. Die Bußgeldvorschrift wurde durch das ITSiG 2.0 verschärft, vgl. BT Drs. 19/26106, S. 24 f.
  • (35) Überblick bei Beucher/Ehlen, in: Kipker (Fn. 15), § 12 Rn. 165 ff.