IT-SiG 2.0: Kompetenzgerangel zwischen Bund und Ländern

Am 29. Januar 2021 veröffentlichte der Bundesrat in der Drucksache 16/1/21 die Empfehlungen der Ausschüsse zum Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0). Hierbei machte er mit Nachdruck deutlich, dass eine gesamtstaatlich verstandene Cybersicherheitsarchitektur auch die umfassende Einbeziehung der Länder erfordert. Eine Tatsache, die im föderalistischen Kompetenzgefüge des Grundgesetzes eigentlich selbstverständlich sein sollte. Gleichwohl weicht der Entwurf des IT-SiG 2.0 an verschiedenen Stellen hiervon ab. Der folgende Beitrag legt nicht nur die Verteilung der Gesetzgebungskompetenzen in Deutschland mit Blick auf die Cybersicherheit kursorisch dar, sondern erläutert auch, warum eine erzwungene Befugniszentralisierung an dieser Stelle wenig Sinn macht.

Die Gesetzgebungskompetenzen sind im Grundgesetz in den Art. 70 ff. GG geregelt. Hiernach gilt der Grundsatz, dass die Gesetzgebungskompetenz bei den Ländern liegt. „Ausnahme“ ist demgegenüber, dass die Kompetenz zur Gesetzgebung dann beim Bund liegt, soweit ihm diese durch das Grundgesetz verliehen wurde. Beim Bund kann die Gesetzgebungskompetenz liegen infolge der ausschließlichen Gesetzgebung (Artt. 71, 73 GG) oder der konkurrierenden Gesetzgebung (Artt. 72, 74 GG). Daraus folgt, dass soweit ein Themengebiet weder durch die ausschließliche noch durch die konkurrierende Gesetzgebung abgehandelt wird, die Gesetzgebung bei den Ländern liegt. Zu beachten sind außerdem noch ungeschriebene Gesetzgebungskompetenzen des Bundes. Dies sind solche, die auch ohne ausdrückliche Zuweisung durch das Grundgesetz gegeben sind. Hierzu gehören die Zuständigkeit Kraft Natur der Sache, die Zuständigkeit kraft Sachzusammenhangs und die Annexkompetenz. Trotz des Grundsatzes, dass die Gesetzgebungszuständigkeit an sich bei den Ländern liegt, wurde dieses Regel-Ausnahme-Verhältnis faktisch mittlerweile aber in das Gegenteil verkehrt. Dies wird vor allem mit Blick auf den umfassenden Katalog der ausschließlichen Gesetzgebungszuständigkeit nach Art. 73 GG deutlich, aber auch mit Blick auf die zahlreichen Tatbestände, die von der konkurrierenden Gesetzgebung gem. Art. 74 GG erfasst werden. Für die ausschließliche Gesetzgebung gilt gem. Art. 71 GG nämlich, dass für diese Bereiche die Länder die Befugnis zur Gesetzgebung nur dann haben, wenn und soweit sie hierzu in einem Bundesgesetz ausdrücklich ermächtigt wurden. Für die konkurrierende Gesetzgebung gilt gem. Art. 72 GG, dass die Länder hier nur dann über die Befugnis zur Gesetzgebung verfügen, solange und soweit der Bund von seiner Gesetzgebungszuständigkeit nicht durch Gesetz Gebrauch gemacht hat.

Für die Gewährleistung und Aufrechterhaltung der Cybersicherheit finden sich verschiedene thematische Anknüpfungspunkte, die im Rahmen der ausschließlichen und der konkurrierenden Gesetzgebung zunächst für eine Bundeskompetenz sprechen. So ist die Bundeskompetenz im Bereich der ausschließlichen Gesetzgebung beispielsweise einschlägig für alle auswärtigen Angelegenheiten sowie für die Verteidigung einschließlich des Schutzes der Zivilbevölkerung, den Luftverkehr, den Eisenbahnverkehr, das Postwesen und die Telekommunikation, die Abwehr von Gefahren des internationalen Terrorismus durch das BKA in Fällen, in denen eine länderübergreifende Gefahr erkennbar ist, die Zusammenarbeit des Bundes und der Länder in der Kriminalpolizei, aus verfassungsschutzrechtlichen Gründen, aus Gründen der Gefährdung von auswärtigen Belangen Deutschlands, zur internationalen Verbrechensbekämpfung sowie zur Erzeugung und Nutzung der Kernenergie zu friedlichen Zwecken und dem Schutz vor Gefahren, die durch solche Einrichtungen entstehen. Die Gesetzgebungskompetenzen auf dem Gebiet der konkurrierenden Gesetzgebung umfassen unter anderem das Wirtschaftsrecht, wozu auch bereichsspezifische Sektoren und Branchen wie die Industrie, die Energiewirtschaft, das Handwerk und Gewerbe, der Handel, das Bank- und Börsenwesen und Versicherungsunternehmen gehören. Auch die Förderung der wissenschaftlichen Forschung, der Straßenverkehr und die Abfallwirtschaft sind Bestandteil der konkurrierenden Gesetzgebung.

Aus dem eingangs gezogenen Schluss folgt jedoch, dass diejenigen Kompetenzbereiche mit einem Bezug zur Cybersicherheit, die nicht im Rahmen der ausschließlichen und konkurrierenden Gesetzgebungskompetenz benannt werden, trotz des Übergewichts der Bundesgesetzgebungskompetenz grundsätzlich bei den Ländern liegen. Insbesondere gehört hierzu auch das Recht der Gefahrenabwehr, das die Cybersicherheit mitumfasst. Als auf informationstechnische Systeme bezogener Anknüpfungspunkt einer Gesetzgebungskompetenz des Bundes könnte aber dennoch der Art. 91c GG angesehen werden. Dieser regelt, dass Bund und Länder zur Erfüllung ihrer Aufgaben bei den benötigten informationstechnischen Maßnahmen zusammenwirken dürfen. Allerdings bezieht sich dieses Zusammenwirken auf den Vollzug von Gesetzen, und nicht die Gesetzgebung. Auch hilft die ausschließliche Gesetzgebungskompetenz des Bundes gem. Art. 91c Abs. 5 GG nicht weiter, da diese nur zu solcher Gesetzgebung ermächtigt, die den informationstechnischen Zugang zu Verwaltungsleistungen betrifft. Als Ausnahme könnte hier die eingangs bereits angesprochene seltene Annexkompetenz zur Regelung der Cybersicherheit aus Art. 91c Abs. 5 GG herangezogen werden, da die Cybersicherheit einen engen funktionalen Bezug zur Bereitstellung von Verwaltungsleistungen aufweist. Allerdings gestattet auch diese Annexkompetenz nur die Regelung der Cybersicherheit im speziellen Anwendungsbereich des Art. 91c Abs. 5 GG, und nicht die Regelung allgemeiner Cybersicherheit, wie es durch den Entwurf zum IT-SiG 2.0 bezweckt wird. Argumentiert werden könnte zudem, dass sich eine ausschließliche Gesetzgebungskompetenz des Bundes aus der grundgesetzlichen Möglichkeit zur Regelung der Telekommunikation gem. Art. 73 Abs. 1 Nr. 7 Alt. 2 GG ergeben könnte. Der grundgesetzliche Begriff der Telekommunikation bezieht sich dabei allein auf die technische Seite der Errichtung einer Telekommunikationsinfrastruktur und der Informationsübermittlung, nicht jedoch auf Regelungen, die auf die Inhalte oder die Art der Nutzung von Telekommunikation ausgerichtet sind. Soweit in dem Zusammenhang die Gefahrenabwehr in Rede steht, werden nur solche Gefahren einbezogen, die von der Telekommunikation als solcher ausgehen, z.B. mit Blick auf deren elektromagnetische Verträglichkeit. Präventive Telekommunikationsüberwachung hingegen unterfällt nicht der Gesetzgebungskompetenz. Zur Cybersicherheit werden überdies keine klaren und eindeutigen Aussagen getroffen. An dieser Stelle lässt sich über die Kompetenzverteilung deshalb sicherlich ein juristischer Streit eröffnen, dennoch kann auch argumentiert werden, dass wenn eine Kompetenz nicht eindeutig dem Bund zugewiesen ist, diese dem allgemeinen Grundsatz zur Kompetenzverteilung folgend Ländersache ist.

Aus ebenjenen verfassungsrechtlichen Erwägungen heraus folgt im Wesentlichen auch die Kritik, die die Länder mit Blick auf die unzureichende Berücksichtigung ihrer Kompetenzen für den Entwurf des IT-SiG 2.0 geltend machen. So wird in den Empfehlungen der Ausschüsse für die Sitzung des Bundesrats am 12.02.2021 unter anderem festgestellt, dass die Kostenfolgen für Landesverwaltung und Kommunen, die sich durch Anforderungen des BSI und durch herzustellende Cybersicherheitsmaßnahmen ergeben können, keine ausreichende Berücksichtigung finden. Auch wird moniert, dass die bisher vorgeschlagenen Regelungen zur Zusammenarbeit zwischen Bund und Ländern unzureichend sind – dies vor allem mit Blick auf die Unterrichtungsverpflichtung des Bundes gegenüber den Ländern, soweit der Aufgabenbereich des Bundes eröffnet ist. Der Kern der Kritik des Bundesrats zielt jedoch auf die Ausweitung des bestehenden Ordnungsrahmens für die Cybersicherheit ab. Hierzu wird festgestellt, dass „soweit die Neuregelungen […] originäre Kompetenzen und Interessen der Länder berühren, insbesondere der Ermittlungs- und Sicherheitsbehörden im Bereich der digitalen Gefahrenabwehr“, ein Nachbesserungsbedarf für das IT-SiG 2.0 gegeben ist. In diesem Zusammenhang äußert der Bundesrat „grundsätzliche Zweifel, ob die Übertragung sämtlicher im Gesetzentwurf vorgesehener Gefahrenabwehrbefugnisse auf das Bundesamt für Sicherheit in der Informationstechnik im Einklang mit der grundgesetzlichen Kompetenzordnung steht. Während die Länder ihren Gefahrenabwehrbehörden umfassende Befugnisse im präventiven Bereich ermöglichen können, darf der Bund seinerseits Eingriffsmaßnahmen zur Gefahrenabwehr nur dann regeln und vollziehen, wenn eine Spezialkompetenz die Gefahrenabwehrkompetenz der Länder durchbricht. Eine solche spezialgesetzliche Regelung wird aus Sicht des Bundesrats im Hinblick auf die Behörden des Bundes, nicht aber im Bereich der Wirtschaft gesehen.“ Ein weiterer Kritikpunkt des Bundesrates mit Blick auf die Kompetenzordnung betrifft die Übertragung von Aufsichtskompetenzen über Telemedien auf den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Begründet wird dies damit, dass die Zuständigkeit für die Datenschutzaufsicht über nicht-öffentliche Stellen und öffentliche Stellen der Länder zu Telemedien bisher umfassend bei den Ländern und den entsprechenden Datenschutzaufsichtsbehörden liegt. Hier wird seitens des Bundesrates befürchtet, dass eine durch das IT-SiG 2.0 erfolgende Neuregelung von Teilzuständigkeiten des BfDI „ohne sachliche Notwendigkeit zu einer überschneidenden Kompetenzverteilung von Bundes- und Landesdatenschutzaufsichtsbehörden führen [würde], was in der Praxis zu erheblichen Abgrenzungs- und Abstimmungsschwierigkeiten führen dürfte. Außerdem würden dadurch sogar Aufsichtszuständigkeiten der Bundesaufsichtsbehörde über öffentliche Stellen der Länder, welche Telemedien als Zugangsmöglichkeiten zur Öffentlichkeit nutzen, entstehen. Dies wäre insbesondere bei Polizeibehörden sowie den Parlamenten der Länder nicht zuletzt verfassungsrechtlich problematisch.“ Weitere Kritikpunkte der Ausschüsse zielen neben den erheblichen kompetenzbezogenen Fragestellungen auch auf das Informationsgefälle zwischen Bund und Ländern bei der Gewährleistung von Cybersicherheit und auf die Befürchtung ab, dass Aufgabendopplungen und doppelte Koordinierungsaufwände entstehen könnten.

Die erhebliche kompetenzbezogene Kritik des Bundesrates, die im bisherigen Verlauf des Gesetzgebungsverfahrens zu kurz kam, verdeutlicht nicht nur, dass die Regulierung von Cybersicherheit eine domänenübergreifende Aufgabe ist, sondern es wird ebenso deutlich, dass die Betroffenheit verschiedener grundgesetzlicher Kompetenzbereiche dazu führt, dass die Gesetzgebungszuständigkeiten zwischen Bund und Ländern verschwimmen. Gleichwohl darf dies nicht dazu führen, dass originäre Landeskompetenzen, insbesondere auch im Bereich der Gefahrenabwehr, sukzessiv auf Bundeseinrichtungen übertragen werden. Eine derartige Entwicklung wäre nicht nur unter verfassungsrechtlichen Gesichtspunkten problematisch, sondern hätte ebenso wirtschaftliche Mehraufwände und Koordinierungsschwierigkeiten bei der effektiven Gewährleistung von Cybersicherheit zur Folge. Die vom Bund beabsichtigte, immer stärkere Zentralisierung von Behördenstrukturen birgt somit das Risiko, einen gegenteiligen Effekt für die Cybersicherheit auszulösen. Die Selbstverständlichkeit jedoch, mit welcher der Bund die Zentralisierung von Kompetenzen im IT-SiG 2.0 vornimmt, zeigt wieder einmal mehr die Tendenz hin zu einem zunehmend paternalistischen Ansatz beim Auf- und Ausbau der gesamtstaatlichen Cybersicherheitsarchitektur, die wenig auf bestehende Strukturen Rücksicht nimmt. Dies betrifft wohlgemerkt nicht nur das Verhältnis zwischen Bund und Ländern, sondern auch dasjenige zur Europäischen Union und den dortigen Strukturen, die zurzeit mit dem Cybersecurity Act (CSA) aufgebaut werden. Die Folgen sind Rechtsunsicherheit, zusätzliche Verwaltungsstrukturen, erhöhte Kosten, längere und doppelte Informationswege und damit im Ergebnis vielleicht sogar eine Schwächung der Cybersicherheit. Dass dies kein gangbarer Weg sein dürfte, sollte eigentlich auch dem Gesetzgeber einleuchten.

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben