Aktuell häufen sich Fragen, unter welchen Umständen Unternehmen als systemrelevant eingestuft werden können. Dies hängt mit dem Bedürfnis zusammen, in Zeiten der Corona-Krise von Privilegien profitieren zu können. Dabei geht es zunächst um die grundsätzliche Möglichkeit, weiter produzieren zu können und den Betrieb nicht einstellen zu müssen. Aber auch mittelbar spielt diese Frage eine Rolle, etwa bei der Kinderbetreuung, wenn Eltern in systemrelevanten Berufen tätig sind. Für diese soll trotz allgemeiner Schließung von Schulen und Kinderbetreuungseinrichtungen eine sogenannte Notbetreuung aufrechterhalten werden, damit die Eltern ihrer Tätigkeit nachgehen können. Ich hatte bereits letzte Woche einen Beitrag dazu geschrieben, dass Anwälte wohl allgemein nicht zu den systemrelevanten Berufen zählen – auch wenn ihre Tätigkeit für das Funktionieren des Rechtsstaats wichtig ist.
Eine Idee, mit der Unternehmen ihre Systemrelevanz zu begründen versuchen, ist dabei der Verweis auf die sogenannte KritisVO (in lang Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, auch BSI-Kritisverordnung oder BSI-KritisV). Diese und das ihr zugrunde liegende BSIG sind immer mal wieder Gegenstand meiner Beratung, etwa wenn es um die sicherheitsrechtlichen Anforderungen von spezifischen Plattformen geht. Zentraler Begriff ist hier die kritische Infrastruktur. In anderen Rechtssystemen wird dieser sehr weit ausgelegt, weshalb sich auch die steigende Anzahl der Anfragen erklären lässt.
Doch ist dieses Argument überhaupt hilfreich für die Unternehmen? Zunächst ist der sachliche Anwendungsbereich der KritisVO sehr eng gezogen. Ganz grob lässt sich sagen, dass es auf spezifische Tätigkeiten ankommt, die für eine gewichtige Gruppe an Menschen bedeutsam ist und zu deren Wohlfahrtsfürsorge beiträgt. Bereits massemäßig fallen hierunter zahlreiche Betriebe nicht, die gleichwohl als systemrelevant angesehen werden können: eine Klinik mag nur einen geringen Einzugsbereich haben und für wenige Tausend Menschen tätig werden; sie ist in der Pandemie dennoch verantwortlich für deren Gesundheit. Was allgemein kritische Infrastrukturen sind, definiert § 2 Abs. 10 BSIG:
(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die
1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.
Hierzu ließe sich argumentieren, dass auch unabhängig von der KritisVO für einen Betrieb im konkreten Einzelfall dargelegt werden könnte, dieser entspreche den Voraussetzungen des § 2 Abs. 10 BSIG und sei deshalb kritische Infrastruktur. Hier kommt nun aber das nächste Argument: die Einordnung als kritische Infrastruktur wird einem Unternehmen deshalb in dieser Lage nicht helfen, weil die Rechtsfolge keine Privilegien oder sonstige Vorteile umfasst, sondern vielmehr Pflichten. Diese Pflichten sind nicht solche in der Krise, sondern vielmehr dienen sie überwiegend der Vermeidung von Krisen. Zum Beispiel muss der Betreiber gemäß § 8a BSIG organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit seiner informationstechnischen Systeme, Komponenten oder Prozesse treffen.
Kurz und heftig: es wäre für ein tatsächlich erfasstes systemrelevantes Unternehmen sehr schlecht, wenn es sich erst jetzt mit der KritisVO und seinen Pflichten aus dem BSIG auseinandersetzen würde.
Auch im weiteren Schutzbereich des BSIG hilft dieser Gedanke nicht weiter. Denn für die Betreiber kritischer Infrastrukturen gilt kein umfassender rechtlicher Schutz ihres gesamten Betriebes auf der Grundlage dieses Gesetzes. Vielmehr müssen sie Schutzmaßnahmen ihrer informationstechnischen Systeme sicherstellen und aufrechterhalten. Es kommt also nicht auf den Schutz eines konkreten Gesamtbetriebs an, sondern auf die Vermeidung von Ausfällen seines informationstechnischen Systems. Zu diesem Zweck könnten sogar durch das BSI Maßnahmen nach § 5a BSIG ergriffen werden, die sich ebensowenig auf den Gesamtbetrieb erstrecken dürfen.
tl;dr: Kritische Infrastruktur ist wichtig, aber nicht gleich systemrelevant. Eine Einordnung nach der KritisVO führt zu allgemeinen Pflichten, keinen Vorteilen in der aktuellen Krise.
