Es gibt einen neuen Referentenentwurf für eine Novelle des IT-Sicherheitsrechts. Dieser wurde heute von netzpolitik.org online veröffentlicht. Er enthält zahlreiche Änderungsvorschläge und rein objektiv wird sich das vormals eher überschaubare BSIG in seiner Textmasse erheblich vergrößern. Zwei Neuerungen sind für mich spontan besonders bemerkenswert:

  1. Die Aufnahme sogenannter „Unternehmen im besonderen öffentlichen Interesse“, legaldefiniert in § 2 Abs. 14 BSIG-E – hier gelegentlich frei abgekürzt als #UniböfI
  2. Die Überarbeitung der Bußgeldvorschriften in § 14 BSIG-E: mehr Bußgeldtatbestände, höhere Bußgelder an sich und zusätzliche Bußgeldbemessung nach dem Unternehmensumsatz

Was sind Unternehmen im besonderem öffentlichen Interesse?

Zunächst zu dem „neuen Begriff“ des Unternehmens im besonderen öffentlichen Interesse. Einfach gesagt handelt es sich dabei um eine Erweiterung des Adressatenkreises des BSIG. Das Gesetz verpflichtete bislang vor allem die Anbieter von kritischen Infrastrukturen. Daneben auch erfasst sind bereits die Anbieter digitaler Dienste. Diese müssen unter anderem Sicherheitskonzepte erstellen und bestimmte Meldepflichten einhalten. Daneben sollen zusätzlich die Unternehmen im besonderen öffentlichen Interesse treten. Hierzu die neue Legaldefinition dieses Personenkreises in § 2 Abs. 14 BSIG-E:

Unternehmen im besonderem öffentlichen Interesse sind Unternehmen, die nicht Betreiber Kritischer Infrastrukturen nach Absatz 10 sind,

1. deren Geschäftstätigkeit unter § 60 Absatz 1 Nummer 1 bis 5 der Außenwirtschaftsverordnung in der jeweils geltenden Fassung fällt,

2. die aufgrund ihrer volkswirtschaftlichen Bedeutung und insbesondere ihrer erbrachten Wertschöpfung von besonderem öffentlichen Interesse sind oder

3. die einer Regulierung nach der Verordnung zum Schutz vor Gefahrstoffen in der jeweils geltenden Fassung unterliegen

Die Unternehmen im besonderem öffentlichen Interesse nach Nummer 2 werden durch die Rechtsverordnung nach § 10 Absatz 5 näher bestimmt.

Es soll also vor allem drei Möglichkeiten geben, diese zu bestimmen. Entweder nach Nr. 1 oder Nr. 3, weil die Unternehmen bereits nach sektorspezifischen Regelungen der Außenwirtschaftsverordnung oder der Gefahrstoffverordnung erfasst sind. Brisanter ist allerdings der vorgeschlagene § 2 Abs. 14 Nr. 2 BSIG-E. Denn hiernach soll es auf das besondere öffentliche Interesse an dem jeweiligen Unternehmen ankommen – eine umgangssprachliche Beschreibung hierfür wird wahrscheinlich schnell die derzeit kursierende Systemrelevanz sein. Mit der Ausweitung des Anwendungsbereichs des BSIG gehen jedoch keine zusätzlichen Vorteile einher. Ich hatte hierzu bereits vor ein paar Wochen geschrieben, dass eine Einordnung als kritische Infrastruktur zu Pflichten führt, nicht aber Vorteilen. Dies gilt genauso auch für die Unternehmen in besonderem öffentlichen Interesse.

Dieses besondere öffentliche Interesse soll sich aus der jeweiligen volkswirtschaftlichen Bedeutung ergeben, „insbesondere“ aus ihrer erbrachten Wertschöpfung. Es scheint dabei um ein rein ökonomisches Verständnis zu gehen. Rein politische Bedeutung wäre also außen vor. Ähnlich wie bei den kritischen Infrastrukturen sollen die Unternehmen im besonderen öffentlichen Interesse näher durch eine Rechtsverordnung bestimmt werden. Hier dürfte die weitere Entwicklung noch spannend werden. Denn anders als bei der KritisVO gibt es hier keine Anbindung an eine Infrastruktur, sondern allein an das öffentliche Interesse. Möglicherweise wird es weniger um Schwellwerte an zu versorgenden Individuen gehen, sondern um ökonomische Kennzahlen. Jedoch muss aus diesen hervorgehen, dass es nicht nur überhaupt ein öffentliches Interesse an diesen Unternehmen gibt, sondern dieses „besonders“ ist. Es gibt also einen gewissen Begründungsdruck für den Verordnungsgeber.

Noch unklar ist, wer oder was im Sinne dieser Vorschriften „Unternehmen“ sein soll. Es käme einerseits eine formelle Anknüpfung an einen juristischen Unternehmensbegriff in Betracht, also einer jeweiligen natürlichen oder juristischen Person. Damit ließe sich jedenfalls ein Adressat besser feststellen. Andererseits liegt ein funktionaler Unternehmensbegriff hier näher. Denn die Vorschriften sollen IT-sicherheitsrechtliche Zwecke verfolgen. Ein formeller persönlicher Anwendungsbereich ließe sich durch gesellschaftliche Umstrukturierungen umgehen. Näher liegt deshalb ein Vorgehen, bei dem das Unternehmen funktional nach seiner wirtschaftlichen Tätigkeit betrachtet wird. Das kann dann allerdings auch bedeuten, dass Untereinheiten gemeinsam mit ihren Umsätzen bewertet werden, wenn sie nach außen hin von einem gemeinsamen wirtschaftlichen Willen gelenkt werden. In der Praxis wird es hier darauf ankommen, die jeweils betroffenen funktional tätigen Einheiten festzustellen.

Maßgebliche neue Pflichten sind in dem neuen § 8f BSIG-E vorgesehen:

(1) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Nummer 1 sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten dieses Gesetzes ein IT-Sicherheitskonzept beim Bundesamt vorzulegen, aus dem hervorgeht,

1. welche Informationstechnischen Systeme, Komponenten und Prozesse für die Erbringung der Wertschöpfung des Unternehmens maßgeblich sind,

2. welche organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ebendieser vorgenommen wurden,

3. inwieweit bei Vornahme der organisatorischen und technischen Vorkehrungen nach Nummer 2 der Stand der Technik eingehalten wurde.

(2) Unternehmen im besonderen öffentlichen Interesse nach § 2 Absatz 14 Nummer 2 sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 5 ein IT-Sicherheitskonzept beim Bundesamt vorzulegen, das den in Absatz 1 Nummer 1 bis 3 genannten Voraussetzungen genügt.

(3) Das Bundesamt kann auf Grundlage des IT-Sicherheitskonzepts und dessen Anforderungen nach Absatz 1 Hinweise zu angemessenen organisatorischen und technischen Vorkehrungen nach Nummer 3 zur Einhaltung des Stands der Technik geben.

(4) Unternehmen im besonderen öffentlichen Interesse gemäß § 2 Absatz 14 Nummer 1 und 2 haben das IT-Sicherheitskonzept nach Absatz 1 Nummer 1 bis 3 mindestens alle zwei Jahre vorzulegen.“

Diese Pflicht ist neu. Die in § 2 Abs. 14 Nr. 1 und Nr. 2 BSIG-E erfassten Unternehmen im besonderen öffentlichen Interesse müssen also ein IT-Sicherheitskonzept erstellen und vorlegen. Dafür haben sie grundsätzlich zwei Jahre Zeit. Unterschiedlich ist nur der Start der Vorlauffrist. Denn bei den Unternehmen, die aufgrund der dafür noch zu schaffenden Verordnung erfasst werden, verschiebt sich dieser auf das Inkrafttreten der UniböfiVO.

Neues Bußgeldrecht

In § 14 BSIG-E sollen die Bußgeldvorschriften neu geregelt werden:

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. entgegen § 5b Absatz 6 nicht an der Beseitigung einer Störung mitwirkt,

2. einer vollziehbaren Anordnung nach § 5b Absatz 6 zuwiderhandelt,

3. entgegen § 7a Absatz 2 Satz 1 und 2 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt,

4. entgegen § 8a Absatz 1 Satz 1 eine dort genannte Vorkehrung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft,

5. entgegen § 8a Absatz 3 Satz 1 einen Nachweis nicht richtig, nicht vollständig oder nicht rechtzeitig erbringt,

6. einer vollziehbaren Anordnung nach § 8a Absatz 3 Satz 5 zuwiderhandelt,

7. entgegen § 8a Absatz 4 Satz 2 den Zutritt nicht gestattet, in Betracht kommende Aufzeichnungen, Schriftstücke und sonstige Unterlagen nicht in geeigneter Weise vorlegt oder Auskunft nicht erteilt oder die sonst erforderliche Unterstützung nicht gewährt,

8. entgegen § 8b Absatz 3 Satz 1 oder Absatz 3b Satz 1 eine Kontaktstelle nicht oder nicht rechtzeitig benennt oder eine Registrierung nicht oder nicht rechtzeitig vornimmt,

9. entgegen § 8b Absatz 3 Satz 2 eine Erreichbarkeit nicht sicherstellt,

10. entgegen § 8b Absatz 3a dem Bundesamt die verlangten Unterlagen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt oder die verlangte Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt,

11. entgegen § 8b Absatz 4 Satz 1 Nummer 1 und Nummer 2 oder Absatz 4a Nummer 1 und 2 oder Absatz 4b Nummer 1 und 2 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,

12. entgegen § 8b Absatz 6 Satz 1 nicht an der Beseitigung oder Vermeidung einer Störung mitwirkt,

13. einer vollziehbaren Anordnung nach § 8b Absatz 6 zuwiderhandelt,

14. entgegen § 8c Absatz 1 Satz 1 eine dort genannte Maßnahme nicht trifft,

15. entgegen § 8c Absatz 3 Satz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vornimmt oder

16. einer vollziehbaren Anordnung nach § 8c Absatz 4

a. Nummer 1 oder

b. Nummer 2

zuwiderhandelt,

17. entgegen § 8f Absatz 1 oder 2 ein IT-Sicherheitskonzept nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorlegt,

18. als Hersteller oder Einführer (§ 2 Nummer 8 des Gesetzes über die Bereitstellung von Produkten auf dem Markt) eines Produktes das IT-Sicherheitskennzeichen nach § 9a

a. nach einem Widerruf nach § 9a Absatz 6 weiterhin für ein Produkt im geschäftlichen Verkehr nutzt oder damit wirbt oder

b. ohne vorherige Freigabe nach § 9a Absatz 3 durch das Bundesamt für ein Produkt im geschäftlichen Verkehr nutzt.

(2) Verstöße gegen die Bestimmungen des Absatzes 1 Nummer 2, 6, 13 und 16 können mit Geldbußen von bis zu 20 000 000 EURO oder von bis zu 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden. Verstöße gegen die übrigen Bestimmungen des Absatzes 1 können mit Geldbußen von bis zu 10 000 000 EURO oder von bis zu 2 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden.

(3) In den Fällen des Absatzes 1 Nummer 14 bis 16 wird die Ordnungswidrigkeit nur geahndet, wenn der Anbieter digitaler Dienste seine Hauptniederlassung nicht in einem anderen Mitgliedstaat der Europäischen Union hat oder, soweit er nicht in einem anderen Mitgliedstaat der Europäischen Union niedergelassen ist, dort einen Vertreter benannt hat und in diesem Mitgliedstaat dieselben digitalen Dienste anbietet.

(4) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt.

Hier wird es also länger. Zahlreiche neue Bußgeldtatbestände werden ergänzt. Unter anderem würden Strafen für UniböfI drohen, die sich nicht an die Pflicht zur Vorlage eines IT-Sicherheitskonzepts gemäß § 8f BSIG-E halten und dieses „nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig“ vorlegen. Also auch inhaltliche Mängel der Vorlage können bußgeldrelevant werden.

Neu sind auch die Vorschriften über die Bußgeldbemessung. So wird zum einen der abstrakte Bußgeldrahmen angehoben auf bis zu 20 Mio. € bzw. 10 Mio. €. Zum anderen und hier besonders bedeutsam wird auch die konkrete Berechnung nach dem jeweiligen weltweiten Vorjahresumsatz „des Unternehmens“. Dies ist bereits strukturell ähnlich zum europäischen Kartellrecht, das an dem wirtschaftlich funktionalen Unternehmensbegriff anknüpft. Hieran sich anschließend gibt es im Datenschutzrecht in Art. 83 DSGVO eine ähnliche Anknüpfung an den europäischen Unternehmensbegriff für die Bußgeldberechnung. Allerdings gibt es auch Einwände, dieses Vorgehen stehe im Widerspruch zu Art. 4 Nr. 18 DSGVO. Jedoch hat für die DSGVO der Verordnungsgeber in seinen Erwägungsgründen klargestellt, dass die Auslegung des Unternehmensbegriffs entsprechend dem europäischen Bußgeldrecht erfolgen soll.

Diese Maßstäbe des europäischen Bußgeldrechts sollen auch für das neue IT-Sicherheitsrecht gelten. Maßgeblich wäre deshalb erneut die Untersuchung der jeweiligen wirtschaftlich tätigen Einheiten und ihrer jeweiligen Umsätze. Aber auch in der Zweckrichtung läge dieses Vorgehen näher als eine Betrachtung anhand eines formalen Unternehmensbegriffs. Denn Bußgelder sollen gerade zur wirksamen Erziehung und Abschreckung dienen und das wirtschaftlich profitierende Unternehmen treffen. Es würde dem Zweck einer effektiven Durchsetzung der Vorschriften des BSIG nicht entsprechen, wenn sich Unternehmen allein durch strukturelle Besonderheiten einer Bußgeldhaftung entziehen könnten. Das darf jedoch nicht derart missverstanden werden, dass erstens Konzerne nun unbegrenzt für ihre Tochtergesellschaften haften oder die Höhe derart ausgereizt wird. Verhängte Bußgelder müssen als solche und in ihrer Höhe verhältnismäßig sein. Es gibt hier zahlreiche rechtliche Einwände, die Unternehmen geltend machen können und die von der Behörde beachtet werden müssten. Drakonische Strafen dürfen auch nicht mit diesen neuen Bußgeldvorschriften durchgesetzt werden.

Kommentar schreiben

Sebastian Louven

Rechtsanwalt Sebastian LouvenIch bin seit 2016 selbstständiger Rechtsanwalt und berate vorwiegend zum Kartellrecht und Telekommunikationsrecht. Weitere Schwerpunkte meiner Tätigkeit sind der gewerbliche Rechtsschutz sowie das Vertriebsrecht und IT-Recht.