Anwendungsbereich des BSI-Gesetzes für „Unternehmen im besonderen öffentlichen Interesse“ (zu) weit

Das „IT-Sicherheitsgesetz 2.0“ aus der Federführung des Bundesinnenministeriums stellt ab Mai 2023 neue IT-Sicherheitsanforderungen für eine überraschend große Zahl deutscher Industrieunternehmen auf. Insbesondere könnte ein sehr weiter Kreis an Zulieferern für die Rüstungsindustrie betroffen sein.

Unverhofft – und bislang wenig diskutiert – wurden viele Unternehmen durch § 2 Abs. 14 Nr. 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik („BSIG“) zu „Unternehmen im besonderen öffentlichen Interesse“ erklärt. Diese Unternehmen müssen ab Mai 2023 den Anforderungen des § 8f BSIG gerecht werden. Im Einzelnen müssen sie sich (i) beim Bundesamt für Sicherheit in der Informationstechnik („BSI“) registrieren, (ii) zunächst eine initiale Selbsterklärung zur IT-Sicherheit, (iii) dann weitere Erklärungen mindestens alle zwei Jahre abgeben, (iv) eine Kontaktstelle für das BSI benennen und (v) schließlich fortan Meldepflichten gegenüber dem BSI nachkommen. Betroffen sind alle Unternehmen, die in § 60 Abs. 1 Nr. 1 und Nr. 3 der Außenwirtschaftsverordnung („AWV“) genannte Produkte herstellen oder entwickeln.

Zeitlich parallel zur Erweiterung des BSIG verkündete die Bundesregierung die 17. Verordnung zur Änderung der AWV vom 27.04.2021 aus der Federführung des Bundeswirtschaftsministeriums. Mit dieser Novelle wurde aber der im neuen BSIG in Bezug genommene § 60 Abs. 1 Nr. 1 AWV neugefasst. Er bezieht sich nunmehr nicht nur auf Güter aus Teil B der Kriegswaffenliste – wie zuvor –, sondern erfasst sehr viel weitergehend schlicht alle Güter des Teil I Abschnitt A der Ausfuhrliste der AWV (vgl. diese inoffizielle Synopse). Gemäß dieser Ausfuhrliste sind auch diverse Bestandteile von Rüstungsgütern erfasst. Dies können z. B. spezifisch gefertigte Bauteile für militärische Landfahrzeuge oder besonders schockfeste Komponenten für Schiffe sein. Wer diese „entwickelt“ oder „herstellt“, ist vom Anwendungsbereich des § 2 Abs. 14 Nr. 1 BSIG erfasst; insofern ist das BSIG enger als § 60 Abs. 1 Nr. 1 AWV, der auch Modifizierungen und den bloßen Besitz genügen lässt.

Weder die Gesetzesbegründung zur Änderung des BSIG noch die Begründung der Änderungsverordnung zur AWV setzen sich mit der letztlich eintretenden doppelten Ausweitung des Anwendungsbereichs auseinander. Auch in der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0 konnte eine Auseinandersetzung mit der parallel stattfindenden deutlichen Ausweitung des § 60 Abs. 1 Nr. 1 AWV nicht stattfinden. Die Sachverständigenanhörung fand nämlich schon am 01.03.2021 statt, vor Verkündung der AWV-Änderung. So richteten auch die Sachverständigen des Bundestages ihre Stellungnahmen nur auf eine Regulierung von Unternehmen der „Rüstungsindustrie“ aus bzw. solchen, die „Kriegswaffen“ herstellen.

Die doppelte Ausweitung des Anwendungsbereichs in zwei parallelen Gesetzgebungsverfahren betrifft eine Vielzahl deutscher Industrieunternehmen. Dies betrifft auch viele Unternehmen, die nach gängiger Auffassung nicht der „Rüstungsindustrie“ zugerechnet werden, sondern nur vereinzelt Komponenten zur Verbauung in Militärgütern zuliefern. Zu diesem Aspekt konnten Sachverständige und Interessenvertreter schlechterdings nicht gebührend Stellung beziehen.

Rechtstechnisch verbleibt derzeit nur der Weg einer teleologischen Reduktion des Anwendungsbereichs von § 2 Abs. 14 Nr. 1 BSIG. Da der Gesetzgeber hier auf die „jeweils geltende Fassung“ der AWV verweist, steht diese Argumentation jedoch auf eher tönernen Füßen. Es ist daher zu bezweifeln, dass der weite Anwendungsbereich rechtspolitisch tatsächlich gewollt ist. Mit Blick auf die umfassende Ausfuhrliste spricht vieles dafür, dass der Gesetzgeber hier eine Korrektur vorzunehmen hat.