DA+

Gesetzgebungskompetenz(en) des Bundes für das IT-Sicherheitsrecht Kritischer Infrastrukturen – Teil II

Lesezeit 23 Min.

Teil I dieses Beitrages

(Heft 1/2022, S. 3 ff.) bot einen allgemeinen Überblick über die Gesetzgebungskompetenzen und stellte den Regelungsgegenstand der IT-Sicherheit dar. Der Text schloss mit einer tabellarischen Übersicht der KRITIS-Sektoren bzw. BSI-Befugnisse sowie der korrespondierenden Gesetzgebungskompetenzen des Bundes.

Gliederung des ersten Teils:

I. Überblick
II. Gesetzgebungskompetenzen von Bund und Ländern
III. Regelungsgegenstand IT-Sicherheit

  1. Regelungsinhalte
    a) Ausgangspunkt
    b) Betreiberpflichten im Überblick
    c) Befugnisse des BSI gegenüber Betreibern Kritischer Infrastrukturen
  2. Kompetenzübersicht

Teil II widmet sich detaillierter den einzelnen Sektoren sowie BSI-Befugnissen und erörtert Inhalt und Reichweite der einschlägigen Gesetzgebungskompetenzen. Im Hinblick auf die Bedarfskompetenzen werden in einem weiteren Schritt die in Art. 72 Abs. 2 GG niedergelegten Voraussetzungen („gleichwertige Lebensverhältnisse“; „Rechtseinheit“; „Wirtschaftseinheit“) untersucht.

3. Sektoren und korrespondierende Kompetenztitel

§ 2 Abs. 10 Nr. 1 BSIG erfasste bislang Kritische Infrastrukturen, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören. Das ITSiG 2.0 fügt dem bestehenden Katalog die Siedlungsabfallentsorgung hinzu. Für die potentiellen Sektoren Medien und Kultur sowie Landes- und Kommunalverwaltung fehlt von vornherein die Bundeszuständigkeit.1 Welche konkreten Dienstleistungen in den jeweiligen Branchen als kritisch angesehen werden, wird in der Rechtsverordnung gem. § 10 Abs. 1 Satz 1 BSIG (BSI-KritisV) festgelegt.

a) Sektor Energie

Die Versorgung der Allgemeinheit mit Elektrizität, Gas, Kraftstoff und Heizöl sowie Fernwärme ist sicherzustellen (vgl. § 2 BSI-KritisV). Dies umfasst:
− die Erzeugung, Übertragung und Verteilung von Strom
− die Förderung, Transport und Verteilung von Gas
− die Rohölförderung und Produktherstellung
− den Öltransport sowie Kraftstoff- und Heizölverteilung
− die Erzeugung und Verteilung von Fernwärme.
Für den Bereich der Kernenergie existiert in Art. 73 Abs. 1 Nr. 14 GG eine ausschließliche Gesetzgebungskompetenz des Bundes.
Für alle übrigen Bereiche gilt die konkurrierende Gesetzgebung für das Recht der Wirtschaft gem. Art. 74 Abs. 1 Nr. 11 GG. Der Kompetenztitel führt dabei mittels Klammerzusatz mehrere Wirtschaftsbranchen gesondert auf.2 Zum Recht der Wirtschaft gehören alle Normen, die das wirtschaftliche Leben oder die wirtschaftliche Betätigung regeln.3 Hierzu gehört jede Form der Lenkung, Steuerung und Organisation wirtschaftlichen Handelns.4 Dies gilt auch für die wirtschaftliche Betätigung der öffentlichen Hand ungeachtet der gewählten Rechtsform.5
Die Gewinnung von Erdöl und Erdgas kann unter Bergbau im Sinne von Art. 74 Abs. 1 Nr. 11 GG subsumiert werden.6 Die ausdrücklich benannte Energiewirtschaft meint die Energieerzeugung in jeglicher Form, deren Weitergabe und insgesamt die Sicherung der Energieversorgung.7 Art. 74 Abs. 1 Nr. 11 GG statuiert eine Bedarfskompetenz im Sinne von Art. 72 Abs. 2 GG.
Die Energiegewinnung durch Wasserkraftwerke unterfällt ebenfalls der Energiewirtschaft iSv Art. 74 Abs. 1 Nr. 11 GG, nicht etwa dem Wasserhaushalt gem. Art. 74 Abs. 1 Nr. 32 GG (hierzu sogleich).

b) Sektor Wasser

Die Versorgung der Allgemeinheit mit Trinkwasser und die Beseitigung von Abwasser sind sicherzustellen (vgl. § 3 BSI-KritisV). Dies umfasst:
− die Gewinnung, Aufbereitung, Verteilung sowie Steuerung und Überwachung von Trinkwasser;
− die Siedlungsentwässerung, Abwasserbehandlung und Gewässereinleitung sowie Steuerung und Überwachung.
Das Recht der Wirtschaft gem. Art. 74 Abs. 1 Nr. 11 GG begründet nach dem Bundesverfassungsgericht die konkurrierende „Zuständigkeit des Bundes auch für solche Regelungen […], die sich auf die Verteilung von Trink[wasser], einem der elementarsten Güter des wirtschaftlichen Bedarfs in einem dichtbesiedelten Land, beziehen, ohne daß es auf die Rechtsform ankäme, in der diese Betätigung im Einzelnen stattfindet. Auch der Betrieb einer örtlichen Wasserversorgung durch eine Gemeinde in öffentlich-rechtlicher Form unter Erhebung von Benutzungsgebühren ist wirtschaftliche Betätigung in diesem weiteren Sinne“8 (Bedarfskompetenz).
Anderenorts hat das Bundesverfassungsgericht dagegen entschieden, dass die Versorgung der Bevölkerung mit Trink- und Brauchwasser der Sicherung der Ernährung gem. Art. 74 Abs. 1 Nr. 17 Var. 2 GG diene (konkurrierend, keine Bedarfskompetenz).9
Regelungen zum Wasserhaushalt als solchem ergehen gem. Art. 74 Abs. 1 Nr. 32 GG im Rahmen der konkurrierenden Gesetzgebung. Diese Kompetenz erstreckt sich auf das gesamte Wasserwirtschaftsrecht, also menschliche Einwirkungen auf Oberflächen- und Grundwasser.10 Dies meint insbesondere die Entnahme, Einleitung und Schutz vor Verschmutzungen.11
Eine Abweichungskompetenz der Länder besteht in Wasserhaushaltsfragen zwar prinzipiell, jedoch gem. Art. 72 Abs. 3 Satz 1 Nr. 5 GG expressis verbis nicht bei stoff- oder anlagenbezogenen Regelungen. Regelungen hinsichtlich der IT-Sicherheit sind dem Grunde nach stets anlagenbezogen (vgl. § 1 Abs. 1 Nr. 1 BSI-KritisV).12 Freilich standen dem Verfassungsgeber dabei vor allem stoffliche Belastungen oder von Anlagen ausgehende Gefährdungen der Gewässer und nicht die Sicherstellung der Trinkwassergewinnung vor Augen.13
IT-sicherheitsbedingte Störungen von Anlagen in diesem Sektor können jedoch unmittelbar zu einer Belastung oder Gefährdung von Gewässern führen. Bei Fehlfunktionen in Abwasser-, Aufbereitungs- oder Stauanlagen liegt dies besonders nahe. Folglich greift die Gegenausnahme in Art. 72 Abs. 3 Satz 1 Nr. 5 GG, eine Abweichungskompetenz der Länder besteht nicht.14

c) Sektor Ernährung

Die Lebensmittelversorgung (vgl. § 4 BSI-KritisV) wird erbracht in den Bereichen
− Lebensmittelproduktion und -verarbeitung;
− Lebensmittelhandel.
Die Sicherung der Ernährung unterliegt gem. Art. 74 Abs. 1 Nr. 17 Var. 2 GG der konkurrierenden Gesetzgebung. Der Kompetenztitel schließt alle Maßnahmen ein, welche die Versorgung der Bevölkerung mit Lebensmitteln sicherstellen,15 insbesondere die Agrarproduktion und Weiterverarbeitung.
Soweit darüber hinaus Aspekte der Lebensmittelsicherheit in den Blick genommen werden – etwa im Zusammenhang mit Herstellung und Behandlung i.S.v. Anlage 3 Teil I Nr. 2 litt a oder b BSI-KritisV –, können die sonstigen lebensmittelbezogenen Kompetenzen des Art. 74 Abs. 1 Nr. 20 GG für die konkurrierende Gesetzgebung herangezogen werden.16 Anders jedoch als bei der Sicherung der Ernährung handelt es sich hierbei um eine Bedarfskompetenz, weshalb Art. 72 Abs. 2 GG zu beachten ist.
Der Lebensmittelhandel als solcher ist eine Erscheinungsform des Handels (= erwerbsmäßiger Austausch von Waren17), welcher im Recht der Wirtschaft gem. Art. 74 Abs. 1 Nr. 11 GG gesondert aufgeführt ist. Insoweit besteht auch hier konkurrierende Gesetzgebung (Bedarfskompetenz).

d) Sektor Informationstechnik und Telekommunikation

Regelungsgegenstände dieses Sektors sind die Sprach- und Datenübertragung sowie die Datenspeicherung und -verarbeitung (vgl. § 5 BSI-KritisV). Dies umfasst
− Zugang, Übertragung, Vermittlung und Steuerung von Sprach- und Datenübertragung;
− Housing, IT-Hosting und Vertrauensdienste.
Im Bereich Telekommunikation gilt gem. Art. 73 Abs. 1 Nr. 7 Alt. 2 GG die ausschließliche Bundeskompetenz.18 Telekommunikation meint insofern die nicht körperliche Übermittlung von Informationen mittels technischer Einrichtungen.19 Erfasst ist dabei die technische Seite der Errichtung einer Telekommunikationsinfrastruktur und der Informationsübermittlung.20
Die Erbringung sonstiger informationstechnischer Dienstleistungen für Dritte ist demgegenüber als Gewerbe (=selbständige, erlaubte, auf Erwerb gerichtete Tätigkeit21) anzusehen. Da das Gewerbe als Teil des Rechts der Wirtschaft in Art. 74 Abs. 1 Nr. 11 GG normiert ist, greift die konkurrierende Gesetzgebung (Bedarfskompetenz).

e) Sektor Gesundheit

Sicherzustellen sind die stationäre medizinische Versorgung, die Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, welche Verbrauchsgüter sind, die Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper sowie die Laboratoriumsdiagnostik (vgl. § 6 BSI-KritisV). Dies umfasst:
− Aufnahme, Diagnose, Therapie, Unterbringung/Pflege und Entlassung bei der stationären medizinische Versorgung;
− Herstellung und Abgabe von unmittelbar lebenserhaltenden Medizinprodukten;
− Herstellung, Vertrieb und Abgabe von verschreibungspflichtigen Arzneimitteln sowie Blut- und Plasmakonzentraten;
− Transport und Analytik bei der Laboratoriumsdiagnostik.

Für das Gesundheitswesen als Ganzes gibt es keine einheitliche Gesetzgebungszuständigkeit.22 Art. 74 Abs. 1 Nr. 19 GG umfasst konkurrierend u.a. das Recht des Apothekenwesens, der Arzneien, der Medizinprodukte und der Heilmittel.
Blutprodukte sind Arzneimittel in diesem Sinne (vgl. § 4 Abs. 2 AMG). Herstellung, Vertrieb und Abgabe sind insoweit abgedeckt (keine Bedarfskompetenz).
Sämtliche Belange der Bundeswehrkrankenhäuser unterliegen der ausschließlichen Gesetzgebungskompetenz des Bundes nach Art. 73 Abs. 1 Nr. 1 GG.23 Die allgemeine Gesundheitsvorsorge fällt hingegen grundsätzlich in die Zuständigkeit der Länder.24 Insbesondere Art. 74 Abs. 1 Nr. 19a GG ist nur auf die wirtschaftliche Sicherung der Krankenhäuser gerichtet, keineswegs auf deren technische Absicherung. Soweit für Krankenhäuser, welche nicht zu den Kritischen Infrastrukturen gehören, in Bezug auf die IT-Sicherheitsvorgaben des § 75c SGB V auf das Recht der Sozialversicherung gem. Art. 74 Abs. 1 Nr. 12 GG abgestellt wurde, dürfte es sich um ein Versehen handeln.25
Die Maßgabe des verfassungsgebenden Gesetzgebers, dem Bund für das Gesundheitswesen nur eingeschränkte Gesetzgebungskompetenzen zuzuweisen, darf nicht durch eine erweiternde Auslegung anderer Kompetenztitel unterlaufen werden.26 In der Literatur wird gemahnt, dass Art. 74 Abs. 1 Nr. 11 GG keine uferlose Generalermächtigung zugunsten des Bundes darstelle für sämtliche Fragestellungen, welche nur irgendwie mit einem beliebigen Wirtschaftszweig in Verbindung gebracht werden können.27 Gleichwohl fällt auf, dass Krankenhäuser typischerweise wirtschaftliche Tätigkeit entfalten und insoweit auch in Wettbewerb zueinander treten. Eingedenk dessen ist etwa für Privatkrankenhäuser eine Konzession gem. § 30 GewO erforderlich. Auch Länder und Kommunen agieren unzweifelhaft als Teil der Wirtschaft, wenn Sie als Krankenhausträger in Erscheinung treten.28 Insofern sind IT-Sicherheitsvorgaben für Krankenhäuser im Recht der Wirtschaft gem. Art. 74 Abs. 1 Nr. 11 GG zu verorten.29
Das Bundesverfassungsgericht hat insoweit bereits entschieden, dass die gleichzeitige Verfolgung landeskompetentieller Zwecke durch den Bundesgesetzgeber „unschädlich [ist], solange der maßgebliche objektive Regelungsgegenstand und -gehalt in seinem Gesamtzusammenhang ein im Schwerpunkt wirtschaftsrechtlicher ist“.30 Das ist bei der hiesigen Regelung Kritischer Infrastrukturen der Fall. Vorgaben zur IT-Sicherheit steuern in erster Linie das wirtschaftliche Gebahren hinsichtlich Konzeption, Auswahl, Einkauf, Konfiguration, Überwachung, Wartung und Pflege der eingesetzten Systeme. Im Entwurf des ersten (gescheiterten) Entwurfs eines IT-SiG stellte der Gesetzgeber deswegen zutreffend fest, dass das BSI „in der Wirtschaft wettbewerbsrelevante außenwirksame Tätigkeiten entfalte“.31 Nur wenn auf dieser Ebene ein ausreichend hohes Niveau erreicht wird, bleibt in einem zweiten Schritt die Versorgung der Bevölkerung durch Kritische Infrastrukturen sichergestellt. Somit unterliegt die IT-Sicherheit im Zusammenhang mit der stationären medizinischen Versorgung als Recht der Wirtschaft der konkurrierenden Gesetzgebung gem. Art. 74 Abs. 1 Nr. 11 GG (Bedarfskompetenz).
Die identische Situation besteht zudem bei IT-Sicherheitsbelangen der Laboratoriumsdiagnostik.

f) Sektor Finanz- und Versicherungswesen

Sicherzustellen sind die Bargeldversorgung, der kartengestützte Zahlungsverkehr, der konventionelle Zahlungsverkehr, die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften sowie Versicherungsdienstleistungen (vgl. § 7 BSI-KritisV). Dies umfasst:
− Autorisierung von Bargeldabhebungen, Einbringen in den Zahlungsverkehr, Belastung von Kundenkonten und Bargeldlogistik;
− Autorisierung von kartengestützten Zahlungen, Einbringen in den Zahlungsverkehr sowie Belastung von Kundenkonten und Gutschrift auf dem Konto des Zahlungsempfängers;
− Annahme von Überweisungen oder Lastschriften, Einbringen in den Zahlungsverkehr sowie Belastung und Gutschrift auf Kundenkonten im konventionellen Zahlungsverkehr;
− Verrechnung von Wertpapiergeschäften und Derivaten, Verbuchung Wertpapiere und Verbuchung Geld;
− Inanspruchnahme von Versicherungsleistungen.
Art. 73 Abs. 1 Nr. 4 GG verleiht dem Bund die ausschließliche Gesetzgebungskompetenz für das Geld- und Münzwesen, wobei Geld in diesem Sinne sowohl Bargeld und Buchgeld sowie Papiergeld meint.32 Nach der Rechtsprechung des Bundesverfassungsgerichtes gehört hierzu bereits die Versorgung der Volkswirtschaft mit Geldmitteln an sich.33 Die Sicherstellung des bargeld- und kartengestützten sowie konventionellen Zahlungsverkehrs durch Kritische Infrastrukturen fällt deshalb insgesamt in die Bundeszuständigkeit.
Das Bank- und Börsenwesen sowie das privatrechtliche Versicherungswesen als Erscheinungsformen des Rechts der Wirtschaft unterliegen demgegenüber gem. Art. 74 Abs. 1 Nr. 11 GG der konkurrierenden Gesetzgebung (Bedarfskompetenz). Bankwesen in diesem Sinne meint jedenfalls die typische Geschäftstätigkeit privater Kreditinstitute.34 Die Belange der Bundesbank liegen gem. Art. 88 Abs. 1 bzw. Art 73 Abs. 1 Nr. 4 GG unmittelbar in der ausschließlichen Zuständigkeit des Bundes.35 Die Tätigkeit der Postbank ist nach vorzugswürdiger Ansicht Teil des Bankwesens, nicht des Postwesens im Sinne von Art. 73 Abs. 1 Nr. 7 Var. 1 GG.36 Die Organisationshoheit der öffentlich verfassten Sparkassen sowie Landesbanken mag nicht unter das Bankwesen im hiesigen Sinne fallen,37 wohl aber deren wirtschaftliche Tätigkeit (vgl. etwa § 40 Abs. 1 Nr. 1 KWG). Bausparkassen lassen sich entweder dem Banken- oder dem Versicherungsbereich zuordnen, eine Festlegung kann für hiesige Zwecke dahinstehen.38
Das Börsenwesen im Sinne von Art. 74 Abs. 1 Nr. 11 GG definiert sich als organisierte Zusammenkunft von Käufern, Verkäufern und Maklern zum Handel mit Wertpapieren oder Waren.39
Das private Versicherungswesen im Sinne von Art. 74 Abs. 1 Nr. 11 GG erfasst jene Unternehmen, die – im Wettbewerb mit anderen – durch privatrechtliche Verträge Risiken versichern und ihre Prämien grundsätzlich am versicherten Risiko orientieren.40
Die Sozialversicherung (= beitragspflichtige Versicherung bestimmter sozialer Risiken wie Krankheit, Alter, Invalidität, Unfall, Arbeitslosigkeit und Pflegebedürftigkeit41) wird demgegenüber durch Art. 74 Abs. 1 Nr. 12 GG abgedeckt und unterliegt somit ebenfalls der konkurrierenden Gesetzgebung.
Bei Art. 74 Abs. 1 Nr. 12 GG handelt es sich allerdings nicht um eine Bedarfskompetenz im Sinne von Art. 72 Abs. 2 GG.

g) Sektor Transport und Verkehr

Sicherzustellen ist der Personen- und Güterverkehr (vgl. § 8 BSI-KritisV). Dies umfasst:
− die Verkehrsträger Luftverkehr, Schienenverkehr, Binnen- und Seeschifffahrt, Straßenverkehr;
− verkehrsträgerübergreifend den öffentlichen Personennahverkehr (ÖPNV);
− die Logistik.
Für den gesamten Bereich des Luftverkehrs ergibt sich aus Art. 73 Abs. 1 Nr. 6 GG die ausschließliche Kompetenz des Bundes. Erfasst sind neben dem Flugverkehr im eigentlichen Sinne alle mit dem Flugwesen unmittelbar zusammenhängenden Tätigkeiten und Anlagen.42
Beim Schienenverkehr ist zu differenzieren: Eisenbahnen des Bundes richten sich nach der ausschließlichen Gesetzgebung gem. Art. 73 Abs. 1 Nr. 6a GG, sonstige Schienenbahnen unterliegen der konkurrierenden Gesetzgebung gem. Art. 74 Abs. 1 Nr. 23 GG (keine Bedarfskompetenz).
Hochsee-, Küsten- und Binnenschifffahrt richten sich nach der konkurrierenden Gesetzgebung gem. Art. 74 Abs. 1 Nr. 17 GG (keine Bedarfskompetenz).
Für den Straßenverkehr als solchen gilt die konkurrierende Gesetzgebung gem. Art. 74 Abs. 1 Nr. 22 GG (Bedarfskompetenz).
Der öffentliche Nahverkehr, der nicht bereits durch den Schienenverkehr getragen wird (Busverkehr), richtet sich nach der konkurrierenden Gesetzgebungskompetenz des Art. 74 Abs. 1 Nr. 11 GG (Bedarfskompetenz). Wie bereits für die Sektoren Energie, Wasser und Gesundheit dargelegt, kommt es für das Recht der Wirtschaft nicht darauf an, ob hier ein privater Träger oder die öffentliche Hand (wie im eingangs geschilderten BVG-Fall) die Nahverkehrsleistungen erbringt.
Soweit die Logistik durch Postdienstleister (= Beförderung von körperlichen Nachrichten und Kleingütern im Massenverkehr) sichergestellt wird, greift die ausschließliche Gesetzgebung für das Postwesen gem. Art. 73 Abs. 1 Nr. 7 Var. 1 GG. Andere Transportdienstleistungen unterfallen als Gewerbe der konkurrierenden Gesetzgebungsbefugnis für das Recht der Wirtschaft gem. Art. 74 Abs. 1 Nr. 11 GG (Bedarfskompetenz).

h) Künftig: Sektor Siedlungsabfallentsorgung

Die Siedlungsabfallentsorgung im Sinne des ITSiG 2.0 umfasst
− die Sammlung, Beseitigung und Verwertung von Abfällen.43
Die Abfallwirtschaft als der gesamte Bereich von Einsammlung, Lagerung, Behandlung und Beförderung von Abfall44 unterliegt der konkurrierenden Gesetzgebung gem. Art. 74 Abs. 1 Nr. 24 Var. 1 GG (keine Bedarfskompetenz).

4. Befugnisse des BSI und korrespondierende Kompetenztitel

Die Befugnisse des BSI gegenüber Betreibern Kritischer Infrastrukturen gestalten sich als gefahrenabwehrrechtliche Regelungen. Die Unterrichtung von Betreibern, die Ausgestaltung von Sicherheitsaudits, Prüfungen und Zertifizierungen und die Ersthilfe zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit stellen Leistungskomponenten dar. Die Kontrollrechte und Abhilfebefugnisse sind demgegenüber Erscheinungsformen der Eingriffsverwaltung.

Da es hier maßgeblich um die Durchsetzung der IT-sicherheitsrechtlichen Maßnahmen geht, greift die ungeschriebene Gesetzgebungskompetenz kraft Sachzusammenhangs.45 Im Vordergrund steht die Aufrechterhaltung der öffentlichen Sicherheit in Form der materiellen IT-Sicherheitsvorgaben. Hierbei handelt es sich nicht um einen selbständigen Sachbereich innerhalb der Gesetzgebungsbefugnisse, sondern um eine thematische Fortführung der eigentlichen Materie. Die Bußgeldregelungen ergehen unterdessen auf Grundlage der konkurrierenden Gesetzgebung für das Strafrecht, Art. 74 Abs. 1 Nr. 1 Var. 2 GG.46 Dieser Kompetenzbereich gehört nicht zum Bedarfskatalog des Art. 72 Abs. 2 GG.

5. Bewertung

Bei der Durchsicht der kritischen Sektoren und behördlichen Befugnisse offenbart sich ein Potpourri an ausschließlichen, konkurrierenden und ungeschriebenen Gesetzgebungskompetenzen des Bundes. Dass ein einheitliches, gleichwohl vielfältige Gegenstände betreffendes Gesetz auf mehrere Kompetenztitel gestützt wird (sog. Mosaikkompetenz47), ist an sich unschädlich.48 Allerdings ist die kompetenzielle Zuordnung stets getrennt für die jeweiligen Regelungskomplexe vorzunehmen.49

Mit dem bloßen Vorhandensein eines passenden Kompetenztitels ist es daher noch nicht getan. Sofern der Gesetzgeber in einer bestimmten sektoralen Materie von einer Bedarfskompetenz Gebrauch machen möchte – namentlich Art. 74 Abs. 1 Nrn. 11, 20, 22 und 24 GG –, sind in einem weiteren Schritt die in Art. 72 Abs. 2 GG niedergelegten Voraussetzungen zu prüfen.

Ein Tätigwerden des Bundesgesetzgebers ist demnach nur zulässig, wenn eine von drei tatbestandlichen Varianten erfüllt ist:

  • Erforderlichkeit zur Herstellung gleichwertiger Lebensverhältnisse im Bundesgebiet;
  • Erforderlichkeit zur Wahrung der Rechtseinheit im gesamtstaatlichen Interesse oder
  • Erforderlichkeit zur Wahrung der Wirtschaftseinheit im gesamtstaatlichen Interesse.50

Die Verwirklichung zumindest eines dieser drei Schutzgüter eröffnet den Handlungsspielraum des Bundes, wenn ohne das in Rede stehende Bundesgesetz die Zielerreichung nicht bzw. nicht hinreichend möglich ist.51

a) Gleichwertige Lebensverhältnisse

Das Bundesverfassungsgericht interpretiert die Vorgaben des Art. 72 Abs. 2 GG restriktiv zulasten des Bundesgesetzgebers. Das bundesstaatliche Rechtsgut gleichwertiger Lebensverhältnisse sei demnach erst dann bedroht, wenn sich die Lebensverhältnisse in den Ländern in erheblicher, das bundesstaatliche Sozialgefüge beeinträchtigender Weise auseinanderentwickelt haben oder sich eine derartige Entwicklung konkret abzeichnet.52 Daran fehlt es allerdings im Bereich der IT-Sicherheit Kritischer Infrastrukturen.

Gleichwertigkeit in diesem Sinne bedeutet keineswegs Einheitlichkeit.53 Unterschiede zwischen den Ländern sind dem föderalen System eigen und weitgehend hinzunehmen. Die Gesetzgebungskompetenz des Bundes soll insoweit spezifisch föderale Nachteile ausgleichen, welche den Bürgern der Länder drohen, soweit hierdurch zugleich das bundestaatliche Sozialgefüge gefährdet wird.54

Das IT-Sicherheitsrecht ist eine noch junge Materie. Es ist nicht ersichtlich, dass in der bisherigen Diskussion um die IT-Sicherheitsgesetzgebung vorgetragen worden sei, die Lebensverhältnisse in den Ländern hätten sich bis dato in erheblicher Weise auseinanderentwickelt. Art. 72 Abs. 2 Var. 1 GG lässt zwar eine dahingehende Prognose für die Zukunft zu, doch hierfür fehlen die nötigen konkreten Anhaltspunkte. Es obliegt dem Bundesgesetzgeber, die entsprechende Sachlage zu ermitteln.55 Solange dies nicht in fundierter Weise geschehen ist, scheidet Art. 72 Abs. 2 Var. 1 GG als Wegbereiter für die Nutzung entsprechender Bedarfskompetenzen aus.

Soll in zukünftigen Gesetzgebungsvorhaben eine derartige Prognose getroffen werden, hat das Bundesverfassungsgericht die hieran zu stellenden Anforderungen bereits formuliert:

  • Die Sachverhaltsannahmen müssen sorgfältig ermittelt sein (oder sich jedenfalls im Rahmen der gerichtlichen Prüfung bestätigen lassen);
  • die Prognose muss sich methodisch auf ein angemessenes Prognoseverfahren stützen lassen, und dieses muss konsequent verfolgt worden sein;
  • die eine prognostische Einschätzung tragenden Gesichtspunkte müssen mit hinreichender Deutlichkeit offengelegt worden sein (oder ihre Offenlegung jedenfalls im Normenkontrollverfahren möglich sein) und
  • in die Prognose dürfen keine sachfremden Erwägungen eingeflossen sein.

b) Rechtseinheit

Die Rechtseinheit werde nach der Rechtsprechung des Bundesverfassungsgerichts gefährdet durch eine Rechtszersplitterung mit problematischen Folgen, welche im Interesse sowohl des Bundes als auch der Länder nicht hingenommen werden kann.57 Zu vermeiden ist eine Zersplitterung rechtlicher Regelungszusammenhänge, die es dem Bürger erschweren, sich in zumutbarer Weise an dem jeweils zu beachtenden Recht zu orientieren.58 So liegt es im Bereich der IT-Sicherheit Kritischer Infrastrukturen.

Zwar genügt auch hier nicht allein die schlichte Regelungsdivergenz in den Ländern, um eine bundesgesetzliche Regelung zu rechtfertigen.59 Stattdessen liegt eine bundesgesetzliche Regelung im gesamtstaatlichen Interesse, wenn sie im Interesse der Gemeinwohlbelange der bundesstaatlichen Gesamtheit erfolgt.60 Diese Belange werden in Mitleidenschaft gezogen, wenn erhebliche Rechtsunsicherheiten und damit unzumutbare Behinderungen für den länderübergreifenden Rechtsverkehr erzeugt werden.61

Bliebe der Weg über die Bedarfskompetenz versperrt, drohten in Bund und Ländern divergierende Vorgaben hinsichtlich der Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität. Sofern hierbei auf den per se auslegungsbedürftigen Stand der Technik rekurriert würde, wären abweichende Interpretationen im gesamten Bundesgebiet durch die jeweiligen Behörden die unmittelbare Folge. Mehr noch, es bestünden von vornherein Abweichungen hinsichtlich der als kritisch eingestuften Sektoren bzw. Dienstleistungen sowie meldepflichtiger Vorfälle. Im Vergleich gleichgelagerter, aber in Bund und Ländern verschieden bewerteter Fallkonstellationen entstünde leicht der Eindruck der Beliebigkeit. Die Vorgaben des IT-Sicherheitsrechts werden hierdurch unglaubwürdig, was zu einem Absinken des Schutzniveaus insgesamt führen könnte.

All diese Rechtsunsicherheiten gilt es nach Maßgabe der verfassungsgerichtlichen Rechtsprechung zu vermeiden. Dass der Gesetzgeber bei seinem Gesetzesvorhaben nicht selbst mit der Wahrung der Rechtseinheit argumentiert, ist irrelevant. Es gibt dahingehend keine spezifische Begründungspflicht.62

c) Wirtschaftseinheit

Der Erlass von Bundesgesetzen zur Wahrung der Wirtschaftseinheit stehe schließlich im gesamtstaatlichen Interesse, wenn Landesregelungen oder das Untätigbleiben der Länder erhebliche Nachteile für die Gesamtwirtschaft mit sich brächten.63

Hiervon geht der Gesetzgeber aus. Ausweislich der Begründung zum ersten ITSiG sei eine „bundesgesetzliche Regelung dieser Materie […] zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Eine Regelung durch den Landesgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft führen, die sowohl im Interesse des Bundes als auch im Interesse der Länder nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass unterschiedliche landesrechtliche Behandlungen gleicher Lebenssachverhalte (zum Beispiel unterschiedliche Anforderungen an die von den Betreibern Kritischer Infrastrukturen zu treffenden Sicherheitsvorkehrungen) erhebliche Wettbewerbsverzerrungen und störende Schranken für die länderübergreifende Wirtschaftstätigkeit zur Folge hätten.“64 Mit den Neuregelungen des ITSiG 2.0 werden potentiell unterschiedliche Voraussetzungen für die Vergabe von Sicherheitszertifikaten mit derselben Stoßrichtung adressiert.65

Die Wirtschaftseinheit im Sinne von Art. 72 Abs. 2 Var. 3 GG ist nach hiesiger Ansicht betroffen. Der „Teilhabe an einer sich stetig weiterentwickelnden Informationsgesellschaft [kommt] eine wesentliche wirtschaftslenkende Bedeutung zu.“66 Dass die IT-Sicherheitsgesetzgebung Kritische Infrastrukturen in den Blick nimmt und nicht etwa anlagenbezogene Regelungen für die Gesamtwirtschaft aufstellt, steht dem nicht entgegen.

Störungen und Ausfälle bei Kritischen Infrastrukturen zeitigen allerdings Folgen für die Gesamtwirtschaft. So bestehen zahlreiche Interdependenzen zwischen den einzelnen Wirtschaftszweigen. Dies sowohl innerhalb kritischer Sektoren als auch sektorenübergreifend. Hier sind sog. Domino- oder Kaskadeneffekte möglich, welche neben dem unmittelbaren Schaden für die betroffenen Menschen enorme volkswirtschaftliche Schäden verursachen können.67

So ist die Nutzung von Fernverkehrsmitteln für die Bürgerinnen und Bürger nur zweckmäßig, wenn zugleich die Anbindung an den Nahverkehr gewährleistet ist. Der Einsatz eines Hosting-Dienstleisters ist nur sinnvoll, wenn die Telekommunikationsanbindung von und zum Dienstleister verlässlich besteht. Die Energieversorgung eines Krankenhauses mittels Notstromaggregat ist nur sichergestellt, wenn der Transport von Dieselkraftstoff zum Einsatzort reibungslos von statten geht.68

Die Gesamtwirtschaft wird hierdurch in zweierlei Hinsicht betroffen: Sofern der Ausfall innerhalb der Wertschöpfungskette eines Unternehmens auftritt, sei es nun kritisch oder nicht, kommen dessen Betriebsabläufe ggf. zum Erliegen. Wenn sich der Ausfall bei einem Konkurrenzunternehmen ereignet, verteilt sich die Last ggf. auf andere Branchenmitglieder, welche hierdurch mehr gefordert werden.

Unterschiedliche Regelungen auf Landesebene würden Schranken bzw. Hindernisse für den wirtschaftlichen Verkehr im Bundesgebiet errichten, indem Unternehmen ein Anreiz gesetzt würde, sich das Bundesland mit den laxesten IT-Sicherheitsregeln zu suchen. Einem etwaigen Wettbewerb der Landes-IT-Gesetze „nach unten“ ist dringend Einhalt zu gebieten.

Zum Vergleich: In der Schwesterdisziplin Datenschutzrecht war in der Zeit vor der Europäischen Reform die Tendenz großer Tech-Firmen zu beobachten, sich in EU-Staaten mit geringerem Datenschutzniveau niederzulassen.69 Umgekehrt hätten Unternehmen mit überobligatorisch hohem IT-Sicherheitsniveau automatisch einen unnötig schlechten Ruf, wenn sie in einem entsprechenden Bundesland beheimatet wären.

Zudem würde die Zuständigkeit für die Durchsetzung bei den jeweiligen Landesbehörden liegen. Hierdurch wird eine weitere Unwägbarkeit erzeugt, wenn möglicherweise materiell vergleichbare IT-Sicherheitsvorschriften von den Aufsichtsbehörden in unterschiedlicher Intensität vollzogen werden. Auch dies ist in der Schwesterdisziplin Datenschutz seit jeher Gegenstand der Kritik, eine Vereinheitlichung der Aufsicht für den nicht-öffentlichen Bereich auf Bundesebene ist zumindest im Gespräch.70

Dem Internet sind Ländergrenzen unbekannt. Die im IT-Sicherheitsrecht niedergelegten Meldepflichten dienen dazu, ein einheitliches Lagebild hinsichtlich bestehender Risiken und Bedrohungen an zentraler Stelle zu zeichnen und zu bewerten. Nur auf diese Weise wird sichergestellt, dass einerseits ein vollständiges Bild über die typischen Gefahrenquellen entsteht und andererseits neuartige Bedrohungen frühzeitig erkannt werden.

Der Weg hin zur bundeseinheitlichen Regelung der IT-Sicherheit Kritischer Infrastrukturen steht somit auch zur Wahrung der Wirtschaftseinheit gem. Art. 72 Abs. 2 Var. 3 GG offen.

d) Erforderlichkeit

Die Erforderlichkeit des in Rede stehenden Bundesgesetzes zur Förderung der Ziele gem. Art. 72 Abs. 2 GG ist ein eigenständiges Tatbestandsmerkmal. Der Verfassungsgeber bedient sich der hergebrachten Terminologie des grundrechtlich verankerten Verhältnismäßigkeitsgrundsatzes zwischen Bürger und Staat und transponiert diese auf die Ebene der Gesetzgebung.71 Dabei wird nicht der Inhalt des Gesetzes als solches mit dem verfolgten Zweck in Beziehung gesetzt, sondern das bloße Tätigwerden des Bundes.72 Ob die Voraussetzungen der Erforderlichkeit im Einzelfall vorliegen, unterliegt gem. Art. 93 Abs. 1 Nr. 2a GG der Nachprüfung durch das Bundesverfassungsgericht.

Die Regelung durch Bundesgesetz muss nicht zwingend unerlässlich für die Rechts- oder Wirtschaftseinheit sein. Es genügt vielmehr, dass ohne die in Rede stehende Regelung nicht unerhebliche problematische Entwicklungen in Bezug auf die Rechts- und Wirtschaftseinheit zu erwarten sind.73

Die Erforderlichkeit wird in der Regel bejaht werden können bei Regelungen für Gewerbe oder Berufe, welche landesüberschreitende Aufgaben in bundesweiten Infrastrukturen wahrnehmen.74

aa) Vorfrage: Geeignetheit

Eine bundesgesetzliche Regelung kann nicht erforderlich sein, wenn ihr bereits die Geeignetheit zur Zweckerreichung fehlt.75 Diesbezüglich ist zu beachten, dass § 2 Abs. 10 Satz 1 BSIG nur grob umreißt, welche Infrastrukturen nun wirklich als kritisch angesehen werden und welche nicht. Zwar ist den Gesetzgebungsmaterialien ein ungefährer Zuschnitt zu entnehmen,76 die wirkliche Festlegung der Kriterien erfolgt jedoch gem. § 2 Abs. 10 Satz 2, § 10 Abs. 1 Satz 1 BSIG erst im Wege der Rechtsverordnung. Solange die Rechtsverordnung fehlte, bestanden die Vorgaben für Kritische Infrastrukturen nur auf dem Papier.

Der Bundesgesetzgeber legt seinen Erwägungen also zunächst eine abstrakte Kritikalität der einzelnen Sektoren zugrunde. Erst durch die Rechtsverordnung wird die konkrete Kritikalität der einzelnen Dienstleistungen statuiert. Art. 80 Abs. 1 Satz 2 GG stellt derweil erhebliche Anforderungen an die zum Erlass von Rechtsverordnungen ermächtigenden Vorschriften. Demnach müssen Inhalt, Zweck und Ausmaß der erteilten Ermächtigung bestimmt sein (sog. Bestimmtheitsgebot). Die Exekutive ist dazu anzuhalten, die Grenzen der übertragenen Kompetenzen zu bedenken und diese nach Tendenz und Programm so genau zu umreißen, dass schon aus der Ermächtigung selbst erkennbar und vorhersehbar ist, was den Rechtsunterworfenen gegenüber zulässig sein soll.

§ 10 Abs. 1 Satz 1 und 2 BSIG erzeugt deswegen einen engen Korridor anhand der ausdrücklich vorgegebenen Sektoren, deren qualitativer Bedeutung sowie deren quantitativen Versorgungsgrads. Maßgeblich sind hierbei branchenspezifische Schwellenwerte, die durch den Verordnungsgeber zu ermitteln sind. Durch diese Zuspitzung genügt die gesetzliche Verordnungsermächtigung den Anforderungen des Art. 80 Abs. 1 Satz 2 GG.78 Die BSI-KritisV stellt folglich den notwendigen Konnex zwischen abstrakter und konkreter Kritikalität her, sodass bereits zum Zeitpunkt des Erlasses des Parlamentsgesetzes die Geeignetheit zur Zweckerreichung gegeben ist.

bb) Erforderlichkeit wegen unionaler Vorgaben

Auf europäischer Ebene wird das IT-Sicherheitsrecht wesentlich durch die NIS-RL79 sowie den Cyber Security Act (CSA)80 bestimmt. Eine NIS-2-RL ist derzeit in Vorbereitung.81
Es wäre leicht, die Erforderlichkeit einer bundeseinheitlichen Regelung schon allein deshalb anzunehmen, um unionalen Vorgaben insbesondere bei der Richtlinienumsetzung umfassend gerecht zu werden. Allerdings verhält sich der Unionsgesetzgeber agnostisch hinsichtlich föderaler Besonderheiten. Zwar mag eine bundeseinheitliche Regelung für die Umsetzung unionaler Vorgaben förderlich erscheinen, von einer Erforderlichkeit im Sinne von Art. 72 Abs. 2 GG kann hingegen nicht ohne weiteres ausgegangen werden.82

Zwar heißt es in den Gesetzgebungsmaterialien: „Internationale Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten setzen voraus, dass in jedem Staat nur eine hoheitliche Zertifizierungsstelle existiert“.83 Dem ist jedoch ausweislich Art. 58 Abs. 1 CSA ausdrücklich nicht so („eine oder mehrere“). Eine Kompetenzbündelung auf Bundesebene lediglich zugunsten der einheitlichen Umsetzung europäischer Vorgaben scheidet daher aus.

cc) Vergleichsfälle zur Erforderlichkeit

Es fehlt verfassungsgerichtliche Rechtsprechung mit spezifisch IT-sicherheitsrechtlichem Gehalt.84 Als Vergleichsmasse können jedoch Entscheidungen aus anderen Teilhabe- und Gefahrenabwehrbereichen herangezogen werden.

Das Bundesverfassungsgericht hat hinsichtlich Finanzierungsfragen im Gesundheitswesen bereits entschieden, dass eine bundesgesetzliche Regelung erforderlich sei, da ansonsten ein Wettbewerb der einzelnen Anbieter unter Hinnahme von Qualitätsabstrichen entstehe. Eine Versorgung der Versicherten auf gleichmäßig hohem Niveau könne so nicht mehr gewährleistet werden.85
Die bundeseinheitliche Regelung der Informationstätigkeit von Behörden im Bereich des Lebensmittel- und Futtermittelrechts entspreche ebenfalls Art. 72 Abs. 2 GG, da sie zur Wahrung der Wirtschaftseinheit erforderlich sei. Hierdurch werde die Einheitlichkeit und Verständlichkeit der Information für ein bundesweites Marktgeschehen sichert. Dies sei Voraussetzung für das Vertrauen in solche Informationen.86

Beide Entscheidungen sind unmittelbar auf den Bereich des IT-Sicherheitsrechts übertragbar. Auf der einen Seite ist die Versorgung von Bürgerinnen und Bürgern sowie der Gesamtwirtschaft mit Kritischen Dienstleistungen auf einem gleichbleibend hohen Niveau zu gewährleisten. Auf der anderen Seite ist die einheitliche Erhebung, Analyse und Veröffentlichung von IT-sicherheitsrelevanten Informationen für die gesamte Bundesrepublik von erheblicher Bedeutung. Eine bundeseinheitliche Regelung des IT-Sicherheitsrechts ist daher erforderlich iSv Art. 72 Abs. 2 GG.

IV. Zusammenfassung

Die Regelungen der IT-Sicherheitsgesetzgebung in Bezug auf Kritische Infrastrukturen dürfen vom Bundesgesetzgeber erlassen werden. Der Bund besitzt zahlreiche Gesetzgebungskompetenzen in diesem Bereich. Sie bilden ein Mosaik aus ausschließlichen, konkurrierenden und ungeschriebenen Kompetenztiteln. Einige konkurrierende Gesetzgebungsbefugnisse gestalten sich als Bedarfskompetenzen im Sinne von Art. 72 Abs. 2 GG. Der Bund darf auch hiervon Gebrauch machen, da dies zur Wahrung der Rechts- sowie Wirtschaftseinheit im gesamtstaatlichen Interesse erforderlich ist. Abweichungskompetenzen der Länder im Sinne von Art. 72 Abs. 3 GG bestehen nicht.87
Soweit der Bund von seiner konkurrierenden Gesetzgebungsbefugnis Gebrauch gemacht hat, sind die Länder gem. Art. 72 Abs. 1 GG fortan gehindert, eigenständige Regelungen zu erlassen.