Stellungnahme des Bundesrates
Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) Nr. 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union

Der Bundesrat hat in seiner 954. Sitzung am 10. März 2017 beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 Absatz 2 des Grundgesetzes wie folgt Stellung zu nehmen:

1. Zu Artikel 1 Nummer 2 Buchstabe

Begründung:

Gemäß § 5a Absatz 5 Satz 3 BSIG-E kann das Bundesamt für Sicherheit in der Informationstechnik - statt selbst tätig zu werden - die ersuchende Stelle auf qualifizierte Dritte verweisen.

Es sollte klargestellt werden, dass auch andere Einrichtungen als die in § 5a BSIG-E genannten eine Auswahl von geeigneten Dienstleistern oder qualifizierten Dritten zur Lösung von Sicherheitsproblemen genannt bekommen können.

2. Zu Artikel 1 Nummer 4 (§ 5a Absatz 3 Satz 6 BSIG)

In Artikel 1 Nummer 4 § 5a Absatz 3 Satz 6 sind nach dem Wort "Bundesdatenschutzgesetzes" die Wörter "und der landesdatenschutzrechtlichen Vorschriften" einzufügen.

Begründung:

Einrichtungen der Landesverwaltungen, sofern sie Betreiber einer kritischen Infrastruktur im Sinne des Gesetzentwurfs sind, unterfallen § 5a BSIG-E. Deswegen sind auch die landesdatenschutzrechtlichen Vorschriften zu erwähnen.

3. Zu Artikel 1 Nummer 4 (§ 5a Absatz 7 Satz 2 - neu - BSIG-E)

In Artikel 1 Nummer 4 ist dem § 5a Absatz 7 folgender Satz anzufügen:

"Die Absätze 3 bis 6 finden in diesen Fällen entsprechende Anwendung."

Begründung:

Es erscheint nicht ausgeschlossen, dass Einrichtungen der Landesverwaltung, die nicht bereits unter § 5a Absatz 1 BSIG-E fallen, unter die Ausnahmeregelung des § 5a Absatz 7 BSIG-E subsumiert werden können. In § 5a Absatz 7 BSIG-E sollte daher klarstellend festgeschrieben werden, dass auf diese Fälle § 5a Absatz 3 bis 6 BSIG-E entsprechend anzuwenden ist.

4. Zu Artikel 1 Nummer 6 Buchstabe a Doppelbuchstabe bb (§ 8a Absatz 3 Satz 4, 5 BSIG), Buchstabe b (§ 8a Absatz 4 BSIG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob die Ausübung der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik zur Vorlage von Dokumentationen und zur Durchführung von Überprüfungen von zusätzlichen einschränkenden Voraussetzungen abhängig gemacht werden sollte. Der Bundesrat bittet ferner um Prüfung, ob die Anforderungen an die Einschaltung eines qualifizierten unabhängigen Dritten präzisiert werden sollten.

Begründung:

§ 8a Absatz 3 Satz 4 und 5 und Absatz 4 BSIG-E räumt dem Bundesamt für Sicherheit in der Informationstechnik Ermessen bei der Ausübung seiner Befugnisse zur Vorlage von Dokumentationen und zur Durchführung von Überprüfungen ein, ohne dass dieses Ermessen an bestimmte Voraussetzungen geknüpft ist. Diese anlasslosen Überprüfungen widersprechen dem bisherigen kooperativen Ansatz, wonach sich Betreiber von kritischen Infrastrukturen in eigener Verantwortung nach dokumentierten Standards selbst schützen. Es sollte daher geprüft werden, ob die Ausübung der neuen Befugnisse von zusätzlichen einschränkenden Voraussetzungen abhängig gemacht werden sollte. Zur Wahrung der Geschäfts- und Firmengeheimnisse der Betreiber erscheint es zudem erforderlich zu prüfen, ob die Anforderungen an die Einschaltung eines qualifizierten unabhängigen Dritten präzisiert werden sollten, um der Gefahr zu begegnen, dass ein Mitbewerber des Betreibers zur Überprüfung herangezogen wird.

5. Zu Artikel 1 Nummer 8 (§ 8c BSIG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahrens zu prüfen, ob es Überschneidungen zwischen den Pflichten von Anbietern digitaler Dienste gemäß § 8c BSIG-E und von Diensteanbietern gemäß § 13 Absatz 7 TMG gibt, und gegebenenfalls eine klarstellende Regelung zu treffen.

Begründung:

Sowohl § 8c BSIG-E als auch § 13 Absatz 7 TMG statuieren Pflichten für "Anbieter digitaler Dienste" sowie für "Diensteanbieter". Beide Vorschriften ähneln sich nicht nur in Bezug auf die Begrifflichkeit, sondern auch in Bezug auf die darin geregelten Anforderungen, etwa die Pflicht zur Ergreifung geeigneter und verhältnismäßiger technischer und organisatorischer Maßnahmen (§ 8c Absatz 1 Satz 1 BSIG-E) und zum Schutz der geschäftsmäßig angebotenen Telemedien durch technische und organisatorische Vorkehrungen (§ 13 Absatz 7 TMG). Das Verhältnis der Regelungen zueinander sollte daher im weiteren Gesetzgebungsverfahren klargestellt werden.

6. Zu Artikel 1 Nummer 9 Buchstabe c Doppelbuchstabe bb (§ 8d Absatz 3 BSIG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob eine Regelung gefunden werden kann, die es ermöglicht, dass Unternehmen, die bereits auf Grund spezialgesetzlicher Normen eine Kontaktstelle benannt haben, von der durch § 8d Absatz 3 BSIG-E bewirkten Ausweitung der Verpflichtung zur Benennung einer Kontaktstelle ausgenommen werden können.

Begründung:

Bisher müssen keine Kontaktstellen von den in § 8d Absatz 3 BSIG-E genannten Betreibern benannt werden. Mit der vorgesehenen Änderung wird die Verpflichtung zur Benennung einer Kontaktstelle in § 8b Absatz 3 BSIG aus europarechtlichen Gründen hingegen auf diese Betreiber ausgedehnt. Da die betroffenen Unternehmen auf Grund spezialgesetzlicher Normen zumeist bereits Kontaktstellen unterhalten, etwa zur Bundesnetzagentur, sollte zur Vermeidung von Doppelregulierungen und Doppelzuständigkeiten im Interesse der Rechtssicherheit geprüft werden, ob von einer Ausdehnung der Kontaktstellenpflicht Abstand genommen werden kann.

7. Zu Artikel 1 Nummer 9 Buchstabe d (§ 8d Absatz 4 Satz 3 BSIG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob eine Regelung gefunden werden kann, die klarstellt, dass Anbieter gemäß § 8d Absatz 4 Satz 3 BSIG-E, die in der Bundesrepublik Deutschland Netz- und Informationsdienste betreiben, die sie zur Bereitstellung der Dienste innerhalb der Europäischen Union nutzen, nicht gegenüber mehreren Behörden berichtspflichtig sind.

Begründung:

Die Formulierung des § 8d Absatz 4 Satz 3 BSIG-E erscheint unklar. Danach soll § 8c Absatz 4 BSIG-E auch dann gelten, wenn Anbieter mit Hauptsitz in einem anderen Mitgliedstaat der Europäischen Union "in der Bundesrepublik Deutschland Netz- und Informationssysteme betreiben, die sie im Rahmen der Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen". Dies begegnet Bedenken, da das in der umzusetzenden Richtlinie (EU) Nr. 2016/1148 angelegte Sitzlandprinzip bei zu weitgehender Auslegung des § 8d Absatz 4 Satz 3 BSIG-E untergraben würde mit der Folge, dass die betroffenen Anbieter gegenüber mehreren Behörden berichtspflichtig wären. Der hierdurch entstehenden Rechtsunsicherheit für die Betreiber sollte durch eine entsprechende Klärung vorgebeugt werden.

8. Zu Artikel 2 Nummer 2 ( § 44b Satz 4 AtG)

In Artikel 2 ist Nummer 2 wie folgt zu fassen:

Begründung:

Bei einer Störung der nuklearen Sicherheit handelt es sich gerade unter dem Aspekt einer zeitnahen behördlichen Kenntnisnahme und Bewertung um eine reine Aufsichtsfrage und nicht um eine Genehmigungsfrage. Die Genehmigungsinhaber nach §§ 6, 7 und 9 AtG unterliegen der Aufsicht der Länder. Es ist auch allein Sache der Aufsichtsbehörden, die Sachverständigen nach § 20 AtG einzuschalten.

§ 44b AtG und §§ 8a ff. BSIG verfolgen im Schwerpunkt unterschiedliche Ziele. Bei den §§ 8a ff. BSIG geht es um die Sicherheit der Informationstechnik kritischer Infrastrukturen. Die in diesem Zusammenhang vorgesehenen Meldungen an das BSI dienen der Versorgungssicherheit in den Sektoren Energie, Wasser, Ernährung und Telekommunikation. Von den Meldepflichten nach § 8b BSIG sind Kernkraftwerke und sonstige Energieanlagen ausgenommen (§ 8c Absatz 3 Nummer 2 und 3 BSIG). Für Energieanlagen, die durch die BSI-Kritisverordnung als kritische Infrastruktur bestimmt worden sind, gilt jedoch dieselbe Meldepflicht nach § 11 Absatz 1c EnWG. Da es sich bei Kernkraftwerken nach der Definition der BSI-Kritisverordnung um kritische Infrastrukturen handelt, unterfallen sie in den Fällen, in denen die Störung der IT zu einer Beeinträchtigung der Funktionsfähigkeit der Anlage geführt hat oder hätte führen können, ohnehin der Meldepflicht an das BSI.