umwelt-online: Bundesrat 092/13: Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union

908. Sitzung des Bundesrates am 22. März 2013

Der federführende Ausschuss für Fragen der Europäischen Union (EU) und der Ausschuss für Innere Angelegenheiten (In) empfehlen dem Bundesrat, zu der Vorlage gemäß §§ 3 und 5 EUZBLG wie folgt Stellung zu nehmen:

1. Der Bundesrat begrüßt das Ziel der Richtlinie, durch eine Mindestharmonisierung zur Gewährleistung eines hohen Maßes an Netz- und Informationssicherheit (NIS) in der Union beizutragen. In Übereinstimmung mit den Zielen der Richtlinie ist der Bundesrat der Auffassung, dass gemeinsame Standards im Bereich der NIS zur Verbesserung des Binnenmarktes beitragen, da sie geeignet sind, Handelshemmnisse abzubauen und Wettbewerbsverzerrungen zu beseitigen. Im Bereich der NIS sind nach Auffassung des Bundesrates Maßnahmen auf zentraler, regionaler und lokaler Ebene allein nicht ausreichend, so dass die Ziele der Maßnahme eine unionsrechtliche Regelung der NIS grundsätzlich rechtfertigen.
2. Der Richtlinienvorschlag legt nicht hinreichend dar, dass für den Bereich der NIS eine verbindliche Regelung der Verwaltungszuständigkeiten innerhalb der Mitgliedstaaten auf europäischer Ebene erforderlich ist. Durch den Richtlinienvorschlag wird in Artikel 6 Absatz 1 festgelegt, dass in den Mitgliedstaaten eine für die NIS zuständige nationale Behörde zu benennen ist. Weiter sieht Artikel 7 Absatz 1 nur ein IT-Notfallteam (CERT) für jeden Mitgliedstaat vor. Durch diese Verpflichtung zur Benennung einer einzelnen zuständigen nationalen Behörde bzw. eines CERT erfolgt die Regelung der mitgliedstaatlichen Zuständigkeitsverteilung in mehrfacher Hinsicht. Einerseits wird eine inhaltliche Differenzierung der Zuständigkeit unterbunden, wie sie beispielsweise zwischen der Überwachung der Marktteilnehmer und der öffentlichen Verwaltung vorzunehmen wäre. Andererseits erfolgt hierdurch auch die verbindliche Verortung der Zuständigkeit auf die zentralstaatliche Ebene der Mitgliedstaaten.
3. Es ist nicht ersichtlich, dass die NIS nicht in gleichem Maße gewährleistet werden kann, wenn die Mitgliedstaaten die Zuständigkeit für deren Durchsetzung entsprechend ihrer eigenen Kompetenzverteilung regeln. Es findet sich kein Beleg, dass die Mitgliedstaaten nicht in der Lage wären, durch eigene Zuständigkeitsregelungen einen angemessenen Vollzug der Regelungen über die NIS zu gewährleisten.
4. Insoweit ist auch nicht ersichtlich, dass die NIS durch Zuständigkeitsregelungen auf europäischer Ebene besser durchzusetzen ist, als dies durch rein mitgliedstaatliche Regelungen der Fall wäre. Vorgaben auf europäischer Ebene über die Zuständigkeitsverteilung innerhalb der Mitgliedstaaten bergen vielmehr die Gefahr, dass die so geschaffenen Verwaltungsstrukturen nicht im Einklang mit der sonstigen Verwaltung der Mitgliedstaaten stehen. Hierdurch sind wiederum Kostensteigerungen sowie Effizienzverluste im Verwaltungshandeln zu befürchten. Daher sollte sich die Verwaltungszuständigkeit für die NIS an den allgemeinen mitgliedstaatlichen Verwaltungsstrukturen orientieren. Dies ist bei einer Regelung auf europäische Ebene nahezu ausgeschlossen, da diese bei einer verbindlichen Ausgestaltung nicht den Ausprägungen der Verwaltungsorganisation sämtlicher Mitgliedstaaten Rechnung tragen kann.
Von einem Mehrwert einer europäischen Regelung der Zuständigkeitsverteilung innerhalb der Mitgliedstaaten ist daher nicht auszugehen.
5. Der Richtlinienvorschlag genügt im Hinblick auf die Regelungen über die Verteilung der Verwaltungszuständigkeit ferner nicht dem Grundsatz der Verhältnismäßigkeit gemäß Artikel 5 Absatz 4 EUV.
6. Eine verbindliche Regelung der Zuständigkeit einer einheitlichen nationalen Behörde ist nicht erforderlich. Losgelöst von der Frage, ob überhaupt eine Zuständigkeitsregelung auf europäischer Ebene zu erfolgen hat, wäre eine effektive Gewährleistung der NIS in gleicher Weise sichergestellt, wenn den Mitgliedstaaten die Möglichkeit eingeräumt würde, eine oder mehrere zuständige Behörden zu benennen. Auf diese Weise könnte der mitgliedstaatlichen Kompetenzordnung bei der Gestaltung der Zuständigkeit dieser Behörden Rechnung getragen werden. Es würde ein zumindest gleichwertiger Maßnahmenvollzug erfolgen. Damit steht bei gleicher Eignung ein weitaus milderes Mittel zur Gestaltung der mitgliedstaatlichen Zuständigkeit zur Verfügung. Darüber hinaus ist die vorgesehene Regelung auch nicht angemessen. Mit der Benennung der zuständigen nationalen Behörde hat nach Artikel 6 Absatz 4 sowie nach Artikel 15 des Richtlinienvorschlags auch eine erhebliche Kompetenzzuweisung zu erfolgen. Darüber hinaus wird den Mitgliedstaaten gemäß Artikel 7 Absatz 3 und 4 in Bezug auf die CERT eine weitreichende technische, finanzielle und personelle Ausstattungsverantwortung sowie eine Infrastrukturverantwortung auferlegt. Damit beschränkt sich der Eingriff in die mitgliedstaatliche Kompetenzordnung nicht nur auf einen formalen Aspekt, sondern wäre mit erheblichen inhaltlichen, technischen, finanziellen und personellen Auswirkungen verbunden. Vor dem Hintergrund, dass die Informationstechnik inzwischen eine tragende Rolle in nahezu allen Bereichen der Wirtschaft und des Verwaltungshandelns hat, kann die Kompetenzzuweisung an eine zuständige nationale Behörde erhebliche Auswirkungen für die gesamte öffentliche Verwaltung nach sich ziehen.
7. Der Bundesrat weist in diesem Zusammenhang auch ausdrücklich darauf hin, dass der Unionsgesetzgeber in sachlich verwandten Bereichen des Unionsrechts bewusst auf Regelungen der Verwaltungszuständigkeiten auf mitgliedstaatlicher Ebene verzichtet und stattdessen föderalismusoffene Vollzugsregelungen vorgesehen hat, wie etwa in Artikel 28 der EG-Datenschutzrichtlinie 95/46/EG oder in Artikel 46 des Vorschlags zu einer EU-Datenschutzgrundverordnung vom 25. Januar 2012, (COM (2011) 11 final). In den genannten Beispielen wird der Vollzug nicht auf "eine Behörde", sondern auf "eine oder mehrere Behörden" übertragen. Weitergehend heißt es im Erwägungsgrund 92 und in Artikel 46 Absatz 1 des Entwurfs der Datenschutz-Grundverordnung ausdrücklich, dass "die neue Verordnung (...) den föderalen Staaten bessere Gestaltungsmöglichkeiten" einräumen soll.
8. Zur Gewährleistung der Vereinbarkeit des Vorschlags mit dem Subsidiaritätsprinzip erscheint es aus Sicht des Bundesrates erforderlich, die Artikel 6 und 7 des Richtlinienvorschlags in föderalismusoffener Weise neu zu fassen.
9. Zur besseren Vereinbarkeit des Vorschlags mit dem Subsidiaritätsprinzip erscheint es aus Sicht des Bundesrates erforderlich, die Artikel 6 und 7 des Richtlinienvorschlags in föderalismusoffener Weise neu zu fassen.
10. Als Orientierungshilfe kann der Entwurf zu Artikel 46 Absatz 1 der EU-Datenschutzgrundverordnung dienen, der an die Besonderheiten der Verwaltungszusammenarbeit im Bereich der NIS anzupassen wäre.
11. Der Richtlinienvorschlag ist in Bezug auf die Zuständigkeitsregelungen ferner nicht mit der Achtung der nationalen Identität der Mitgliedstaaten nach Artikel 4 Absatz 2 Satz 1 EUV vereinbar. Hierzu zählt ausdrücklich auch die regionale und lokale Selbstverwaltung. Die EU ist insoweit zu einem mitgliedstaatfreundlichen Verhalten verpflichtet. Durch die vorgesehene Regelung ist eine einheitliche zuständige Behörde zu benennen und es wird eine Umsetzung gemäß der mitgliedstaatlichen Kompetenzordnung in föderalen Mitgliedstaaten ausgeschlossen. Gleichzeitig besteht keine Erforderlichkeit für eine derartige Regelung, so dass ein unverhältnismäßiger Eingriff in die nationale Identität vorliegt.
12. Der Bundesrat ist weiter der Auffassung, dass Artikel 14 des Richtlinienvorschlags nicht durch die gewählte allgemeine Binnenmarktkompetenz des Artikels 114 Absatz 1 AEUV gedeckt ist, soweit Informationssysteme der öffentlichen Verwaltung generell in den Anwendungsbereich der Richtlinie einbezogen werden.
Artikel 14 Absatz 1 verpflichtet die öffentliche Verwaltung, für ihre Informationssysteme "geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu managen".

Artikel 14 Absatz 2 begründet Meldepflichten der öffentlichen Verwaltung bei Sicherheitsvorfällen, "die erhebliche Auswirkungen auf die Sicherheit der von ihnen bereitgestellten Kerndienste haben". Weiter wird die Kommission gemäß Artikel 14 Absatz 5 ermächtigt, "delegierte Rechtsakte zu erlassen, in denen festgelegt wird, unter welchen Umständen bei Sicherheitsvorfällen für öffentliche Verwaltungen und Marktteilnehmer die Meldepflicht gilt". Zudem ist die Kommission gemäß Artikel 14 Absatz 7 des Vorschlags befugt, "mittels Durchführungsrechtsakten die für die Zwecke des Absatzes 2 geltenden Formen und Verfahren festzulegen".
13. Die genannten Regelungen des Artikels 14 des Vorschlags erfassen die gesamte öffentliche Verwaltung in den Mitgliedstaaten, ohne dass der Richtlinienvorschlag den hierzu erforderlichen Binnenmarktbezug begründen würde. Auf die Binnenmarktkompetenz aus Artikel 114 Absatz 1 AEUV kann eine Maßnahme nur gestützt werden, wenn sie objektiv der Verbesserung des Funktionierens des Binnenmarktes dient, indem Handelshemmnisse abgebaut oder Wettbewerbsverzerrungen beseitigt werden. Soweit der Richtlinienvorschlag sämtliche Informationssysteme der öffentlichen Verwaltung in den Mitgliedstaaten erfasst, sind diese Voraussetzungen nicht gegeben.
14. So ist nicht ersichtlich, warum etwa Mitarbeiterportale der öffentlichen Verwaltung in den Mitgliedstaaten, die allein den internen Rechtsverkehr zwischen der Verwaltung und ihren Mitarbeiterinnen und Mitarbeitern zum Gegenstand haben, einen hinreichenden Binnenmarktbezug aufweisen sollten. Ebenso wie der interne Vollzug des Beamtenrechts damit nicht Gegenstand einer auf Artikel 114 Absatz 1 AEUV gestützten Richtlinie sein kann, gilt dies für eine breite Palette weiterer öffentlicher Verwaltungstätigkeiten. Exemplarisch ist in diesem Zusammenhang darauf hinzuweisen, dass der EuGH z.B. die Tätigkeit der öffentlichen allgemeinbildenden Schulen und der öffentlich finanzierten Hochschulen und Universitäten vom Anwendungsbereich der Warenverkehrs- und Dienstleistungsfreiheit und damit auch von der Binnenmarktkompetenz des Artikels 114 AEUV ausgenommen hat.
15. Auch in Bezug auf die nichtkommerzielle Forschungsverwaltung, die Steuerverwaltung, Teile der Sozialverwaltung (z.B. Sozialfürsorge und Jugendhilfe), die Justizverwaltung und die Verwaltungen des Bundestages, des Bundesrates und der Landtage sowie die Rechnungshöfe des Bundes und der Länder können die geplanten Harmonisierungsmaßnahmen nicht auf Artikel 114 Absatz 1 AEUV gestützt werden. Zweifelhaft ist die Binnenmarktkompetenz wegen mangelnden Binnenmarktbezugs bzw. speziellerer unionsrechtlicher Regelungen aber auch in weiten Teilen der Inneren Verwaltung z.B. beim Vollzugs des Versammlungsrechts, des Ausländerrechts und des Zivildienstrechts, des Raumordnungs- und Landesplanungsrechts sowie des Straßenverkehrsrechts, bei Teilen des Umwelt- und Abfallrechts und beim Vollzug des Atomrechts.
16. Ergänzend weist der Bundesrat darauf hin, dass in der vorgeschlagenen Richtlinie keine Ausnahmeregelungen für besonders sicherheitsrelevante Verwaltungsbereiche, wie Militär, Polizei, Strafvollzug oder Nachrichtendienste, vorgesehen sind. Auch in diesen Fällen erscheint der Binnenmarktbezug fraglich. Zudem erscheint es als naheliegend, dass im Bereich der NIS in bestimmten Sektoren auch aus sachlichen Gründen ein Sonderregelungsbedarf besteht.
Artikel 14 des Richtlinienvorschlags ist daher, soweit er die Informationssysteme der öffentlichen Verwaltung generell einbezieht, nicht durch Artikel 114 AEUV gedeckt und daher in binnenmarktkonformer Weise neu und enger zu fassen.
17. Der Bundesrat übermittelt diese Stellungnahme direkt an die Kommission

18. Der Ausschuss für Kulturfragen, der Rechtsausschuss und der Wirtschaftsausschuss empfehlen dem Bundesrat, von der Vorlage gemäß §§ 3 und 5 EUZBLG Kenntnis zu nehmen.