Begründung zu § 40 BSIG

Begründung der Bundesregierung

§ 40 führt den bisherigen § 8b fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme wurden berücksichtigt.

Die geänderte Vorschrift dient der Umsetzung des Artikel 8 Absatz 3 bis 5 der NIS-2-Richtlinie. Um die Resilienz der Wirtschaft europaweit zu steigern, sieht die NIS-2-Richtlinie u.a. einen koordinierten Austausch von Informationen zwischen den Mitgliedstaaten untereinander und mit Stellen der Union vor. Dieser erfolgt für Deutschland zentral über das Bundesamt in seiner Eigenschaft als zentrale Stelle nach der NIS-2-Richtlinie.

Zu Absatz 1

Absatz 1 führt den bisherigen § 8b Absatz 1 fort. Die geänderte Vorschrift dient der Umsetzung des Artikel 8 Absatz 3 bis 5 der NIS-2-Richtlinie.

Zu Absatz 2

Absatz 2 dient der Umsetzung des Artikel 8 Absatz 4 und 5 der NIS-2-Richtlinie.

Zu Absatz 3

Absatz 3 führt den bisherigen § 8b Absatz 2 fort.

Zu Nummer 1

Nummer 1 führt den bisherigen § 8b Absatz 2 Nummer 1 fort.

Zu Nummer 2

Nummer 2 führt den bisherigen § 8b Absatz 2 Nummer 2 fort.

Zu Nummer 3

Nummer 3 führt den bisherigen § 8b Absatz 2 Nummer 3 fort.

Zu Nummer 4

Zu Buchstabe a

Buchstabe a führt den bisherigen § 8b Absatz 2 Nummer 4 Buchstabe a fort. Die Vorschrift wird an die neuen Kategorien angepasst.

Zu Buchstabe b

Buchstabe b führt den bisherigen § 8b Absatz 2 Nummer 4 Buchstabe d fort.

Zu Buchstabe c

Für die Erfüllung seiner Aufgaben ist das Auswärtige Amt auf Informationen zu Sicherheitsvorfällen, die von wichtigen und besonders wichtigen Einrichtungen sowie Einrichtungen der Bundesverwaltung gemeldet wurden, und die von außenpolitischer Bedeutung sind, angewiesen. Das Bundesamt ist verpflichtet, das Auswärtige Amt über Sicherheitsvorfälle mit internationalem Bezug unverzüglich zu unterrichten.

Zu Buchstabe d

Buchstabe d führt den bisherigen § 8b Absatz 2 Nummer 4, Buchstaben b und c fort. Der Anwendungsbereich erstreckt sich dabei auf wichtige und besonders wichtige Einrichtungen. Für die Übermittlung von Registrierungsdaten und Vorfallsmeldungen („Rot-Meldungen“) können dabei die bereits im Kontext der bisherigen Regelungen zwischen Bund und Ländern abgestimmten Übermittlungskonzepte weiter Anwendung finden.

Zu Absatz 4

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 8 Absatz 3-5 der NIS-2-Richtlinie.

Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 23 Absatz 8 der NIS-2-Richtlinie.

Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 23 Absatz 6 der NIS-2-Richtlinie.

Zu Absatz 5

Absatz 5 führt den bisherigen § 8b Absatz 4a fort.

Zu Absatz 6

Absatz 6 führt den bisherigen § 8b Absatz 7 fort.

Stellungnahme des Bundesrates

Zu § 40 Absatz 3 Nummer 5

Artikel 1 § 40 Absatz 3 ist wie folgt zu ändern:

  1. In Nummer 3 ist die Angabe „aktualisieren und“ durch die Angabe „aktualisieren,“ zu ersetzen.
  2. In Nummer 4 Buchstabe d ist die Angabe „unterrichten.“ durch die Angabe „unterrichten und“ zu ersetzen.
  3. Nach Nummer 4 ist die folgende Nummer 5 einzufügen:
    1. „5. besonders wichtigen und wichtigen Einrichtungen zur Erfüllung ihrer Meldepflicht nach Artikel 33 der Verordnung (EU) 2016/679 geeignete Online-Formulare zur Verfügung zu stellen, welche es ermöglichen, zeitgleich mit einer Meldung nach § 32 die in Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 angegebenen Informationen mitzuteilen und diese Informationen unverzüglich den zuständigen Datenschutzaufsichtsbehörden zur Verfügung zu stellen.“

Begründung

§ 40 BSIG-E regelt, dass das BSI zentrale Meldestelle ist und welche Aufgaben es insoweit zu erfüllen hat. Hierbei wird jedoch der Erwägungsgrund 106 der NIS2-Richtlinie (RL (EU) 2022/2555) nicht aufgegriffen. Danach soll der Verwaltungsaufwand für Einrichtungen verringert werden. Insbesondere wird den Mitgliedstaaten nahegelegt, die zentrale Anlaufstelle auch für Meldungen zu nutzen, die nach der DSGVO (VO (EU) 2016/679) erforderlich sind.

Durch die Verpflichtung des BSI, Online-Formulare für Meldungen nach Artikel 33 DSGVO zur Verfügung zu stellen, wird der Impuls aus Erwägungsgrund 106 aufgegriffen und den Einrichtungen die Möglichkeit eröffnet, ihre Meldeverpflichtungen durch Meldung an eine Stelle zu erfüllen. Diese Möglichkeit einer Meldung nach Artikel 33 DSGVO an das BSI besteht dann, wenn die Einrichtung eine Meldung nach § 32 BSIGE an das BSI vornimmt. Durch die Bündelung beider Meldungen an eine Stelle wird Bürokratieentlastung erreicht und ein Impuls zur Vereinheitlichung der Anforderungen für eine Meldung nach Artikel 33 DSGVO gegeben. Außerdem wird mit der neuen Nummer 5 auch Artikel 31 Absatz 3 der NIS2-Richtlinie Rechnung getragen, nach dem die Aufsichtsbehörden nach der NIS2-Richtlinie eng mit den Datenschutzaufsichtsbehörden zusammenarbeiten. Die Zurverfügungstellung der Online-Formulare lässt die Verpflichtungen des Bundesamts nach § 7 Absatz 8 und § 61 Absatz 11 BSIG-E unberührt. Die Bündelung der Meldung kann das BSI jedoch in der Prüfung seiner Verpflichtungen nach § 7 Absatz 8 und § 61 Absatz 11 BSIG-E unterstützen.

Die vorherige Bundesregierung hat diesen Vorschlag mit unzutreffenden Argumenten abgelehnt. Dabei hat sogar der für die DSGVO zuständige Referatsleiter bei der Europäischen Kommission in einer Veranstaltung explizit darauf hingewiesen, dass die Mitgliedstaaten diese Möglichkeit zur Verfahrensvereinfachung nutzen sollten. Anders als von der Bundesregierung damals in der Gegenäußerung (vgl. BT-Drucksache 20/13184, S. 200) behauptet, steht Artikel 33 DSGVO der hier vorgeschlagenen Änderung nicht entgegen. Die Änderung zielt vielmehr darauf ab, die Vorgaben von Artikel 33 DSGVO zu erfüllen. Eine Öffnungsklausel in Artikel 33 DSGVO ist für diese nationale Verfahrensregelung nicht erforderlich. Die Änderung ist daher nach wie vor dringend angezeigt. Sie würde einen echten Beitrag zu Verfahrensvereinfachung und Bürokratieabbau leisten.

Zu § 40 Absatz 3 Satz 2

Nach Artikel 1 § 40 Absatz 3 ist der folgende Satz einzufügen:

„Zu den Unterrichtungspflichten des Satzes 1 Nummer 4 Buchstabe d gehören insbesondere Meldungen nach § 32 von Einrichtungen in dem jeweiligen Land.“

Begründung

Gemäß der vorliegenden Entwurfsbegründung führt Buchstabe d den bisherigen § 8b Absatz 2 Nummer 4 Buchstabe b und c BSIG fort. Der Anwendungsbereich erstreckt sich dabei auf wichtige und besonders wichtige Einrichtungen. Für die Übermittlung von Registrierungsdaten und Vorfallsmeldungen („Rot-Meldungen“) können dabei die bereits im Kontext der bisherigen Regelungen zwischen Bund und Ländern abgestimmten Übermittlungskonzepte weiter Anwendung finden.

Aufgrund der Mehrzahl an Unternehmen, die durch den vorliegenden Gesetzentwurf reguliert werden sollen, ist zum Beispiel aus Sicht des Landes Bremen in den entsprechenden Gremien zu prüfen, inwieweit die bestehenden Übermittlungskonzepte der geänderten geopolitischen Lage noch gerecht werden. Dies betrifft beispielhaft die Häufigkeit der Übermittlung der Registrierungsdaten und deren Umsetzung (z. B. Art und Weise der Übermittlung). Der bisher gewählte Wortlaut des § 40 Absatz 3 Nummer 4 Buchstabe d BSIG-E könnte so ausgelegt werden, dass dem BSI ein gewisses Ermessen obliegt, welche Informationen für die Erfüllung der Aufgaben der zentralen Kontaktstellen der Länder erforderlich sind („Informationsmonopol“). Mit dieser Auslegung wären die Länderinteressen erheblich beeinträchtigt. Durch die Ergänzung des oben aufgeführten Satzes 2 wird dieses Ermessen zumindest für die Meldungen nach § 32 soweit eingeschränkt, dass die entsprechenden Meldungen auch den zentralen Kontaktstellen übermittelt werden müssen.

Daher ist § 40 Absatz 3 BSIG-E um den oben genannten Satz 2 zu ergänzen.

Gegenäußerung der Bundesregierung

Zu § 40 Absatz 3 Nummer 5

Die Bundesregierung lehnt den Vorschlag ab.

Vorliegend werden vorrangig die NIS-2 Vorgaben umgesetzt. Unbenommen dessen werden Vereinfachungsmaßnahmen – auch vor dem Hintergrund noch laufender europäischer Entwicklungen – in Bezug auf Meldepflichten für Sicherheitsvorfälle und Datenschutzverletzungen geprüft. Eine Konkretisierung der europäischen Abstimmung ist indes abzuwarten.

Zu § 40 Absatz 3 Satz 2

Die Bundesregierung lehnt den Vorschlag ab. Es wird insoweit auf den Wortlaut von § 40 Absatz 3 Nummer 4 Buchstabe d) BSIG-E hingewiesen, wonach das BSI zur Wahrnehmung seiner Aufgabe als zentrale Meldestelle die von den Ländern als zentrale Kontaktstellen benannten Behörden über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen zu unterrichten „hat“. Eine Beeinträchtigung der Länderinteressen ist insoweit nicht zu erkennen.