Vorsicht, wenn sich bei einem Zusammenschluss der Wettbewerber freut!

Das Bundeskartellamt hat sich in einem interessanten Fallbericht zu den Umständen und Auswirkungen geäußert, die bei der Prüfung der wettbewerblichen Auswirkungen eines geplanten Zusammenschlusses herangezogen werden können.

Hintergrund

Gemäß § 36 Abs. 1 GWB ist ein Zusammenschluss, durch den wirksamer Wettbewerb erheblich behindert würde, insbesondere von dem zu erwarten ist, dass er eine marktbeherrschende Stellung begründet oder verstärkt, vom Bundeskartellamt zu untersagen. Intuitiv prüft der Rechtsanwender zunächst, ob die Marktstellung der Zusammenschlussbeteiligten verstärkt wird, insbesondere, ob ihre Marktanteile sich vergrößern. Nicht eindeutig geklärt war hingegen bislang, ob auch die Entstehung oder Verstärkung einer Marktbeherrschung eines nicht beteiligtes Unternehmen (sog. third party dominance) Anlass für eine Untersagung des Zusammenschlusses geben kann. Das Kartellamt hat insofern nun einen Hinweis geliefert.

Sachverhalt

In dem Verfahren ging es um den Zusammenschluss zweier Anbieter von Systemen und Lösungen für professionellen Mobilfunk. Das Zielunternehmen im Rahmen dieses Zusammenschluss war eines von nur zwei Unternehmen, deren Endgeräte über eine Zertifizierung der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben verfügten (sog. BOS-Zertifikat), sodass sie für den Digitalfunk BOS verwendet werden können.

Das Bundeskartellamt erwartete, dass das Zielunternehmen, dessen neue Konzernmutter in China ansässig ist, keine BOS-Zertifizierung mehr erhalten wird. Somit verbliebe nur noch ein Unternehmen als Anbieter von BOS-zertifizierten Mobilfunkendgeräten.

Erwägungen

Sachlich ging das Bundeskartellamt von einem eigenen Markt für Mobilfunkendgerichte aus, die über das BOS-Zertifikat verfügen. Die räumliche Marktabgrenzung konnte offen bleiben, weil es ohnehin keine weiteren Unternehmen gegeben hätte, die über das Zertifikat verfügten.

Das Bundeskartellamt beließ es zwar bei einer vorläufigen Einschätzung der wettbewerblichen Auswirkungen, weil die Zusammenschlussanmeldung mangels Erreichen der Umsatzschwellen wieder zurückgenommen wurde. Es betonte allerdings die Einschätzung, dass sich der Zusammenschluss negativ auf das digitale Sprach- und Datenfunknetz für Behörden und Organisationen mit Sicherheitsaufgaben und die Beschaffung der hierfür erforderlichen Endgeräte auswirkt, da jedenfalls zunächst nur ein Anbieter übrig bleibt. Andere Anbieter hatten bislang aus wirtschaftlichen Erwägungen keine geeigneten Endgeräte entwickelt. Kurzfristig war mit keinem Markteintritt eines neuen Wettbewerbers gerechnet.

Fazit

Die Ausführungen des Bundeskartellamts verdeutlichen, dass im Zweifel jegliche wirtschaftlichen Auswirkungen des Zusammenschlusses heranzuziehen sind. Dies gilt insbesondere auch für negative Auswirkungen für die Zusammenschlussbeteiligten selbst und für positive Auswirkungen für Wettbewerber. Die Auswirkungen können vor allem auch darin bestehen, dass die Stellung der Zusammenschlussbeteiligten auf einem bestimmten Markt geschwächt wird. Auch zu erwartende Reaktionen von Zulassungsbehörden auf den Zusammenschluss sind von Bedeutung.

Für Unternehmen, die einen Zusammenschluss planen, sowie für Rechtsanwender bedeutet dies, dass der Blick gegebenenfalls geweitet werden muss. Die Erwägungen des Bundeskartellamtes lassen sich auf jeden Bereich der Wirtschaft, insbesondere der Herstellung, übertragen.

„Brückenteilzeit“ geplant

Wie im Koalitionsvertrag vereinbart, hat der Arbeitsminister Mitte April 2018 den Entwurf eines Gesetzes zur Weiterentwicklung des Teilzeitrechts – Einführung einer Brückenteilzeit http://www.bmas.de/SharedDocs/Downloads/DE/PDF-Gesetze/Referentenentwuerfe/ref-brueckenteilzeit.pdf?__blob=publicationFile&v=1 fertigstellt, der derzeit mit den Ministerien abgestimmt wird und bereits am 01.01.2019 in Kraft treten soll.

Hier sind die wichtigsten geplanten Neuerungen:

1. Inhalt des Anspruches auf Brückenteilzeit

Ab dem 01.01.2019 sollen Arbeitnehmer und Arbeitnehmerinnen grundsätzlich einen Anspruch darauf haben, ihre Arbeitszeit zu verringern und nach einem zuvor festgelegten Zeitraum wieder auf die ursprüngliche Arbeitszeit zu erhöhen. Die sogenannte Brückenteilzeit kann für eine Zeit zwischen einem und fünf Jahren beantragt werden und muss nicht begründet werden.

2. Wer hat ein Recht auf befristete Teilzeit?

Voraussetzung für den Anspruch auf die Brückenteilzeit ist, dass das Arbeitsverhältnis bereits länger als sechs Monate besteht und der Arbeitgeber in der Regel mehr als 45 Arbeitnehmer beschäftigt. In Unternehmen, die mindestens 46 bis zu 200 Mitarbeiter beschäftigten, gilt eine Zumutbarkeitsgrenze. Danach soll pro angefangene 15 Mitarbeiter jeweils ein Mitarbeiter einen Anspruch auf Brückenteilzeit erhalten. D. h. zum Beispiel bei einer Beschäftigung von 125 Arbeitnehmern müssen nicht mehr als neun befristete Teilzeittätigkeiten vom Arbeitgeber akzeptiert werden.

In Unternehmen mit mehr als 200 Mitarbeitern soll jeder Mitarbeiter ein Recht auf eine befristete Teilzeit haben.

3. Kann der Arbeitgeber den Antrag auf befristete Teilzeit ablehnen?

Grundsätzlich besteht ein Ablehnungsrecht des Arbeitgebers, wie es auch bislang schon in § 8 Absatz 4 Teilzeit- und Befristungsgesetz https://www.gesetze-im-internet.de/tzbfg/__8.html vorgesehen ist. Ein Ablehnungsgrund liegt danach insbesondere vor, wenn die Verringerung der Arbeitszeit die Organisation, den Arbeitsablauf oder die Sicherheit im Betrieb wesentlich beeinträchtigt oder unverhältnismäßige Kosten verursacht. Diese Regelung soll unverändert bleiben, was bedeutet, dass die bestehende Rechtsprechung des Bundesarbeitsgerichts auch weiterhin Anwendung finden wird. In der Praxis sind hier die Anforderungen an den Arbeitgeber durchaus hoch.

4. Gilt der garantierte Anspruch auf Rückkehr in Vollzeit auch für Arbeitnehmer, die bereits jetzt in Teilzeit arbeiten?

Einen garantierten Anspruch auf Rückkehr in Vollzeit erhalten nur diejenigen Arbeitnehmer, die ab dem 01.01.2019 einen Antrag auf befristete Teilzeit stellen. Schon jetzt sieht das Teilzeit- und Befristungsgesetz aber vor, dass bei der Besetzung freier (Vollzeit-)Arbeitsplätze Teilzeitkräfte, die ihre Arbeitszeit verlängern wollen, bevorzugt zu berücksichtigen sind. Hier soll nach dem Gesetzentwurf zukünftig der Arbeitgeber in der Pflicht sein zu begründen, warum ein Teilzeitbeschäftigter seine Arbeitszeit nicht verlängern kann.

5. Fazit

Das vorhandene Arbeitszeitvolumen an den Arbeitskräftebedarf anzupassen, wird für Arbeitgeber schwieriger werden, wenn das neue Gesetz in Kraft tritt.

Das Ende der Verpflichtung auf das Datengeheimnis?

Zum 25.05.2018 lösen die Datenschutzgrundverordnung (DS-GVO) und das neue Bundesdatenschutzgesetz (BDSG 2018) die bisherigen datenschutzrechtlichen Regelungen des Bundesdatenschutzgesetzes ( BDSG alt) ab. Hierdurch kommt es zu einer bisher noch nicht sonderlich beachteten Änderung bei der Neubegründung von Arbeitsverhältnissen. So fehlt es in den neuen gesetzlichen Vorschriften an einer dem bisherigen § 5 BDSG alt entsprechenden Regelung zum Datengeheimnis. Wir klären, was dies für Arbeitgeber bedeutet.

Verpflichtung auf das Datengeheimnis

Bisher war jeder privatrechtlich organisierte Arbeitgeber dazu verpflichtet, seine Arbeitnehmer, die im Rahmen ihrer Tätigkeit mit personenbezogenen Daten in Kontakt kommen, bei Aufnahme ihrer Tätigkeit auf das so genannte Datengeheimnis zu verpflichten. Konkret ging es dabei darum, diesen Mitarbeitern deutlich zu machen, dass die unbefugte Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten untersagt ist und welche möglichen Konsequenzen bei einem Verstoß drohen. Vielfach haben Arbeitgeber diese Verpflichtung durch ein standardisiertes Formular erfüllt, das sie – oftmals auch als Anlage zum Arbeitsvertrag – vom Arbeitnehmer unterzeichnen ließen.

Die ab dem 25.05.2018 allein noch maßgeblichen Regelungen der DS-GVO sowie des BDSG 2018 sehen dagegen eine solche Pflicht des Arbeitgebers, seine bei der Datenverarbeitung beschäftigten Arbeitnehmer auf das Datengeheimnis zu verpflichten, nicht mehr vor. Damit entfällt also die Pflicht des Arbeitgebers, seine Mitarbeiter entsprechend zu verpflichten. Der Arbeitgeber könnte also das bisher verwandte Formular getrost vernichten.

Ist es so einfach?

Auch wenn es zutrifft, dass eine Verpflichtung auf das Datengeheimnis nunmehr nicht mehr vorgenommen werden muss, bietet sich die Beibehaltung dieses „Rituals“ gleichwohl auch weiterhin an. Denn auch die neuen gesetzlichen Regelungen verbieten es den Arbeitnehmern, im Rahmen der Datenverarbeitung personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. So dürfen die dem Arbeitgeber „unterstellten Personen“, zu Deutsch also seine Arbeitnehmer, die personenbezogenen Daten, zu denen sie Zugang haben, nur auf Weisung des Arbeitgebers, der wiederum solche Daten nur gesetzeskonform behandeln darf, verarbeiten (Art. 29 DS-GVO). Dabei muss der Arbeitgeber auch sicherstellen, dass seine Arbeitnehmer die personenbezogenen Daten tatsächlich nur nach seiner Anweisung verarbeiten (Art. 32 Abs. 4 DS-GVO). Auch insgesamt muss der Arbeitgeber „geeignete technische und organisatorische Maßnahmen“ treffen, um nachweisen zu können, dass die Verarbeitung von Daten entsprechend den gesetzlichen Regelungen erfolgt, wobei eine Überprüfung dessen explizit im Gesetz vorgesehen ist (Art. 24 Abs. 1 DS-GVO).

Diese gesetzlichen Pflichten des Arbeitgebers machen deutlich, dass er auch weiterhin seine Arbeitnehmer, sofern sie im Rahmen ihrer Tätigkeit mit personenbezogenen Daten zu tun haben, mit dem Datengeheimnis vertraut machen muss. Neben den auf der Hand liegenden Schulungen (analog oder digital), kommt hierfür auch eine der bisherigen Verpflichtung auf das Datengeheimnis entsprechende formularmäßige Erläuterung der datenschutzrechtlichen Grundsätze und Verpflichtung der Arbeitnehmer in Betracht. Der Vorteil eines solchen Formulars liegt naturgemäß auch in der für den Arbeitgeber günstigen Beweissituation – zumindest dann, wenn er den Arbeitnehmer den Erhalt und die inhaltliche Kenntnisnahme durch Gegenzeichnung bestätigen lässt.

Fazit

Die Verpflichtung auf das Datengeheimnis ist also – anders als auf den ersten Blick zu vermuten – keinesfalls ab dem 25.05.2018 „veraltet“. Vielmehr empfiehlt es sich, eine (inhaltlich allerdings angepasste) Version des bisherigen Formulars auch weiterhin zu verwenden, um insbesondere auch den Nachweis der Erfüllung der dem Arbeitgeber obliegenden datenschutzrechtlichen Verpflichtungen zu erleichtern.

Digitalisierung und Recht: Warum das Trolley-Problem keine Rolle spielt

Autonomes Fahren ist das große technische Versprechen der Automobilbranche für die nahe oder jedenfalls für die nicht mehr ferne Zukunft. Als Verkehrsteilnehmer ist man hin- und hergerissen, hält sich doch die Mehrzahl der Kraftfahrer für überdurchschnittlich gute Wagenlenker und schwankt deshalb zwischen Furcht vor Entmündigung durch das eigene Auto und Freude darüber, dass die schneller fahrenden Hasardeure ebenso wie die langsameren Schleicher endlich in die richtige Spur gebracht werden. Die ersten Schritte auf dem Weg sind bereits getan, denn Fahrassistenzsysteme sind so günstig geworden, dass sie mehr und mehr zum Einsatz kommen. Vom mehr oder weniger sanften Hinweis durch Spurhaltesysteme und Abstandswarner ist der Schritt zum automatischen Eingriff nicht mehr weit (und im Bereich von Notbremssystemen ebenso wie beim selbständigen Einparken bereits getan).

Bis zu einem vollständig autonom fahrenden Wagen dürften noch einige technische Schritte zu gehen sein, nicht zuletzt in der Kommunikation der Fahrzeuge untereinander über beabsichtigte Fahrmanöver und hinsichtlich des Umgangs mit nicht autonom gesteuerten Wagen. Solche Themen sind vermutlich auch deshalb anspruchsvoller als zum Beispiel der Autopilot im Flugzeug, weil im Luftverkehr zwar die Steuerung der Maschine selbständig erfolgt, die Piloten aber nichtsdestotrotz viel damit beschäftigt sind, deren Kurs auf andere Flugzeuge abzustimmen, gesteuert von Weisungen der Flugsicherung. Eine solche Aufsichtsfunktion des Fahrers dürfte im Bereich von Kraftfahrzeugen für eine Übergangszeit akzeptabel sein, aber früher oder später stellt sich die Frage nach dem Mehrwert eines Systems, das keine wirkliche Entlastung von der Fahraufgabe vermittelt.

Von diesen technisch-kaufmännischen Fragen abgesehen werden aber auch regulatorische Fragen gestellt. Mit zunehmender Leistungsfähigkeit von Assistenzsystemen rückt nämlich die juristische Frage ins Blickfeld, wer eigentlich haftet, wenn ein autonom fahrendes Auto einen Unfall verursacht. Das lässt sich grundsätzlich leicht beantworten, denn im deutschen Recht gilt die Halterhaftung: Wer ein Auto betreibt, muss für die so genannte Betriebsgefahr auch dann einstehen, wenn er den Unfall nicht verschuldet hat. Geregelt ist das im Straßenverkehrsgesetz. Wenn der Unfallgegner „schuld ist“, kommt es – natürlich – zu einer Quotelung des Schadens, ebenso wie ein eigenes Verschulden zu einer Haftung über die Betriebsgefahr hinaus führt. Damit liegt das Problem auf dem Tisch: Kann es Verschulden geben, wenn das Auto selbständig fährt? Und auch ein zweites Thema erscheint auf der Agenda: Kann der Halter beim Hersteller des Wagens Regress nehmen, wenn die autonome Steuerung einen Fehler macht?

Die Rolle der Hersteller ist intensiv am Beispiel der Bewertungsmaßstäbe diskutiert worden, welche den künstlichen Intelligenzen an die Hand gegeben werden sollen. Das immer wiederkehrende Beispiel lautet, was, wenn der Wagen in eine Situation kommt, in der er nur einen oder einen anderen Menschen überfahren kann? Soll dann eher die Mutter mit dem kleinen Kind oder der alte Greis geopfert werden? Solche Szenarien kann man unendlich verkomplizieren: Wie, wenn das Kind todkrank ist und der Rentner ein rüstiger Professor an der Spitze der Forschung? Soll nach Alter, Geschlecht, Zufall entschieden werden? Ist für solche Entscheidungen jemand rechtlich verantwortlich, und wenn ja, wer? Sogar eine Ethikkommission hat man gebildet, um Lösungen für das Problem zu finden, die allerdings in ihrem Abschlussbericht auch keine endgültigen Antworten finden konnte.

In solchen Fragen erkennt man das Trolley-Problem wieder, das in vielen Vorlesungen zur Ethik von Entscheidungsfindung behandelt wird: Sie sehen einen führerlosen Waggon auf ein Gleis zurollen, auf welchem fünf Menschen arbeiten, die nichts bemerken und mit Sicherheit getötet werden, wenn Sie nicht die Weiche umstellen, die greifbar nahe ist und den Zug auf ein anderes Gleis umleiten würde – auf dem allerdings ein einzelner Mensch arbeitet. Viele argumentieren in diesem Szenario mit den Kopfzahlen, geraten allerdings bei der leichten Abwandlung ins Schwimmen: Es gibt keine Weiche, Sie stehen vielmehr auf einer Brücke, sehen den Waggon und neben sich einen extrem dicken Mann, den Sie über das Geländer stoßen könnten – die Arbeiter würden dadurch gewarnt. Hier fällt die Abwägung nach Kopfzahl oft schwerer, weil wir das Herunterstoßen eher als Tötungshandlung verstehen denn das Weichestellen.

Rein juristisch gesehen ist die Sache klar und unklar zugleich: Eine Abwägung menschlichen Lebens nach Kopfzahlen ist unzulässig. Das hat das Bundesverfassungsgericht deutlich in seiner Entscheidung zu einer Regelung des Luftsicherheitsgesetzes festgehalten, die es für den Extremfall einer terroristischen Zweckentfremdung von Flugzeugen als Waffe gestatten sollte, vollbesetzte Maschinen abzuschießen. Die Regelung ist aufgehoben, aber das Problem bleibt natürlich. Es ist schlicht mit den Mitteln des Rechts nicht lösbar, denn es macht die unantastbare Menschenwürde aus, dass niemand zum Objekt einer solchen Abwägung werden darf. Die einzige Antwort der Rechtsordnung auf solche Fälle lautet letzten Endes, dass sie hofft, jemand möge das Tabu brechen. Aber kann man das den Herstellern von Automobilen auferlegen, oder noch schlimmer, den Programmierern des Algorithmus´? Oder ist es schlicht unverantwortbar, das autonome Fahren zuzulassen?

Wenn man auf eine Frage keine Antwort findet, hilft manchmal, einen Schritt zurückzutreten. Das hat der amerikanische Autor Bryan James Casey getan, der in einem Artikel schreibt: Dieses Problem werden nicht ethische Theoretiker lösen, sondern Gesetzgeber, Richter und Anwälte. Denn, so die These, Hersteller und Autofahrer werden das tun, was ihre Haftung minimiert, und zwar nicht im Elfenbeinturm, sondern in der realen Welt. Das trifft zu, aber mit diesem Ansatz lässt sich die Frage nicht beantworten, welche Richtung Gesetzgeber und Gerichte denn vorgeben sollen, welche Argumente Anwälten zur Verfügung stehen sollen. Denn Casey argumentiert sozusagen auf der operativen Ebene des Rechts, auf der es darum geht, welche Antwort eine konkrete Rechtsordnung in einem bestimmten Moment auf eine Frage gibt. Praktisch gesehen ist das die Ebene, die für alle Beteiligten unmittelbare Bedeutung hat, denn sie beantwortet, wie man sich aktuell am besten verhält, um die Balance zwischen eigenen rechtlichen (und daraus folgenden wirtschaftlichen) Risiken und Chancen zu optimieren. Diese Ebene kann aber keine Antwort auf die Frage geben, wie man das Recht an neue Entwicklungen anpassen soll, denn dabei geht es um die Gestaltung der operativen Regeln.

Entscheidend scheint mir etwas anderes zu sein: Das Trolley-Problem ist kein Thema autonomen Fahrens. In die Zwickmühlen, die auf einmal diskutiert werden, kann seit Jahrzehnten jeder menschliche Kraftfahrer kommen. Deshalb geht die Diskussion des Trolley-Problems am maßgeblichen Punkt vorbei. Es handelt sich um einen als „roter Hering“ bekannt gewordenen Fehlschluss (im klassischen Terminus: eine ignoratio elenchi). Das heißt natürlich nicht, dass man die Szenarien nicht ansprechen darf, nur stellt es kein Argument gegen autonomes Fahren dar, wenn es keine klare Lösung gibt. Die spannende Frage lautet allerdings nicht, wie ein autonomes Auto zwischen potentiellen Opfern auswählen, sondern wie es sich in einer ausweglosen Situation verhalten soll. Vorbeugen muss der Gesetzgeber einer Programmierung, die regelhaft nach unzulässigen Kriterien differenziert, also zum Beispiel nach Alter, Geschlecht oder eben Kopfzahlen. Ob man andererseits technisch ein überfordertes menschliches Individuum abbilden könnte und ob das wirklich die bessere Lösung wäre, erscheint diskutabel. Am Ende ist vielleicht die richtige Lösung der Frage, sich darüber zu vergewissern, dass ein Fahrzeug voller unermüdlicher und blitzschneller Piloten jedenfalls eines hat: Die deutlich größere Chance, ein unlösbares Szenario zu vermeiden.

7. Essener Gespräche zur Infrastruktur am 06.04.2017

Seit 2011 finden jährlich die Essener Gespräche zur Infrastruktur statt, die ein Forum für einen interdisziplinären Gedankenaustausch zu aktuellen rechtspolitischen Fragestellungen bieten. Praktiker unterschiedlicher Professionen und Sparten referieren zu aktuellen Themen, bevor die angesprochenen Aspekte im Plenum offen diskutiert werden können. In der Vergangenheit standen aktuelle Themen wie etwa

  • Infrastruktur und IT-Sicherheit,
  • Standortsuche und Trassenführung – Die Qual der Wahl,
  • Wasser – Quo vadis? oder
  • Herausforderungen der Energiewende

auf dem Programm. Die Inhalte der bisherigen Essener Gespräche zur Infrastruktur finden Sie auf unserer Homepage.

Nunmehr stehen Termin und Thema der 7. Essener Gespräche zur Infrastruktur fest. Am 06.04.2017 werden wir bei KÜMMERLEIN in Essen ab 14.30 Uhr unter dem Titel „Flächenentwicklung und Standortsuche – Chancen und Risiken“ über Herausforderungen und Lösungsmöglichkeiten sprechen, die bei der Entwicklung von Flächen und Projekten zu berücksichtigen sind. Nordrhein-Westfalen als industriell geprägtes Bundesland und insbesondere das Ruhrgebiet mit seiner Vielzahl industriell vorgenutzter Areale bieten reichhaltiges Anschauungsmaterial für eine Erörterung der sich bei der Flächenentwicklung stellenden praktischen und rechtlichen Fragen.

Die Teilnahme an den Essener Gesprächen zur Infrastruktur ist kostenlos.

Sie können hier weitere Informationen anfordern oder sich auch gern persönlich an uns wenden.

Digitale Wirtschaft NRW – wir sind beim 1. Summit dabei

Unser Kollege Dr. Kay Diedrich ist als Speaker beim 1. Summit der Digitalen Wirtschaft NRW mit von der Partie. Dabei geht es am 25.11.2016 im SANAA-Gebäude des Unesco-Welterbes Zollverein in Essen schwerpunktmäßig um die digitale Transformation. In diversen Panels, Pitches und Diskussionsrunden richten die Teilnehmer einen Blick auf die Zukunft der digitalen Branche. Unter der Schirmherrschaft von NRW-Wirtschaftsminister Garrelt Duin geht es unter anderem um Themen wie Suchmaschinenoptimierung und digitalen Bonuskarten, über Gesundheitsapps und Content Commerce, bis zum Citizen Score und Big Nudging. Vertreter aus Wirtschaft, Startup, Mittelstand und Wissenschaft diskutieren Trends, die das E-Commerce zukunftsfähig machen. Inklusive der Frage: Quo vadis, Datenschutz? KÜMMERLEIN Rechtsanwälte & Notare ist Mitsponsor der Veranstaltung.

Die Veranstaltung ist bereits jetzt ein großer Erfolg: Denn Tickets sind leider nicht mehr erhältlich.

IT-Sicherheit in der Industrie 4.0

Am 27.09.2016 findet der 6. Praxistag Wasserversorgungsnetze in Essen statt; ich werde dort zum Thema IT-Sicherheit sprechen. Dieses Thema steht im großen Zusammenhang der Veränderungen, welche wir als Industrie 4.0 oder digitale Disruption bezeichnen. Ganz abstrakt gesagt geht es um eine zunehmend vernetzte, von dezentralen Prozessen gekennzeichnete Wirtschaftslandschaft, in welcher immer mehr menschliche Bewertungen und Entscheidungen durch autonomes Verhalten von Maschinen unterstützt oder sogar ersetzt werden.

Auf diese Veränderung ist das Rechtssystem weltweit noch kaum vorbereitet, und daraus entstehen eine Menge neue Fragen. Welche, das konnte man beispielsweise kürzlich sehr plastisch im Zusammenhang mit Unfällen bei Tesla-Automobilen sehen, zu denen es im Selbstfahrmodus gekommen war: Welche Sorgfaltspflichten haben Anwender, welche Szenarien müssen Hersteller bedenken? Wie gehen wir juristisch mit atypischen Abweichungen von gewöhnlichen Geschehensabläufen um? Worauf darf man sich verlassen, was muss kontrolliert werden?

Auf dem Praxistag zur Wasserversorgung werde ich das Thema vor allem im Zusammenhang mit Fernwartungssystemen und automatisierter Zustandserfassung von Versorgungsnetzen behandeln, denn dies sind aktuell die technischen Trigger für „4.0“ in diesem Bereich. Auch dort tauchen spannende Fragen auf. Eine kleine Auswahl: Wer haftet, wenn ein Algorithmus fälschlich keine Leckwarnung ausgibt? Wie kann man solche Fehlurteile einer künstlichen Intelligenz beweisen? Oder auch (und das ist in anderen Industrien ebenfalls potentiell von großer Bedeutung): Wem gehört das Datenmaterial, welches der autonome Wartungsroboter eines Dienstleisters erhebt oder welches durch Rechenoperationen eines Computers entsteht? Welche Daten darf ein Wartungsroboter überhaupt erheben – ist ein Schutz vor heimlicher Datensammelei nötig und möglich?

Das IT-Sicherheitsgesetz

An dieser Stelle greife ich einen Gesichtspunkt heraus: Sicherheit. Im Juli 2015 hat der Gesetzgeber auf die zunehmende Bedeutung der IT-Sicherheit reagiert und fordert nun, den Blick über den bislang oft dominierenden Datenschutz auszuweiten und sogenannte Kritische Infrastrukturen gegen IT-bedingte Störungen abzusichern. Er hat dazu das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, BSIG) um mehrere Paragraphen mit recht weit reichenden Inhalten ergänzt.

Die zentrale Pflicht wird durch § 8a Abs. 1 BSIG aufgestellt:

Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Wer zu den angesprochenen Betreibern Kritischer Infrastrukturen gehört, ergibt sich aus § 2 Abs. 10 BSIG:

Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die

  1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.

Das Gesetz erfasst also Infrastrukturen, die zu ganz verschiedenen gesellschaftlichen Bereichen gehören, aber nur dann, wenn sie ein gewisses Gewicht haben. Das Wichtigste ist der letzte Satz. Demnach werden die von den neuen Regelungen erfassten Infrastrukturen durch eine Rechtsverordnung bestimmt. Das ist die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritis-Verordnung, BSI-KritisV). Diese Verordnung ist im Mai 2016 in Kraft getreten und stellt als entscheidende Messgröße auf Größenschwellen ab. Darüber, ob dieses Kriterium sich zuverlässig eignen wird, um die Bedeutung einer konkreten Einrichtung zu messen, wird man in den kommenden Jahren sicher diskutieren können.

Schon jetzt ist klar, dass nicht etwa auch die Betriebskantinen der entsprechenden Einrichtungen erfasst sein sollen. § 1 Nr. 1 Satz 2 KritisV schränkt nämlich ein:

Einer Anlage sind alle vorgesehenen Anlagenteile und Verfahrensschritte zuzurechnen, die zum Betrieb notwendig sind, sowie Nebeneinrichtungen, die mit den Anlagenteilen und Verfahrensschritten in einem betriebstechnischen Zusammenhang stehen und die für die Erbringung einer kritischen Dienstleistung notwendig sind.

Im Ergebnis gehören also innerhalb der erfassten Anlagen nur die betriebsnotwendigen Teile zur Kritischen Infrastruktur.

Die wesentlichen Pflichten

Wer eine Kritische Infrastruktur betreibt, ist im Wesentlichen von drei Pflichten betroffen:

  • Eine so genannte Kontaktstelle zu benennen, um für das BSI erreichbar zu sein, und zwar innerhalb von sechs Monaten nach Inkrafttreten der KritisV.
  • Dem BSI bestimmte IT-Störungen zu melden. Dies bezieht sich nicht auf jede IT-Störung, sondern nur auf erhebliche Störungen von Verfügbarkeit, Integrität, Authentizität und/oder Vertraulichkeit der IT handelt. Als Faustregel kann gelten, was das BSI auf seiner Internetseite darlegt: Störungen, die automatisiert abgewehrt werden können, sind gewöhnlich und damit nicht meldepflichtig.
  • Bei der IT-Sicherheit den so genannten Stand der Technik angemessen umzusetzen und dies gegenüber dem BSI zu belegen, etwa durch Audits oder Zertifizierungen.

Mittelbare Auswirkungen des IT-Sicherheitsgesetzes

Unmittelbar gelten diese Pflichten nur für die Betreiber der Kritischen Infrastrukturen. Man darf aber davon ausgehen, dass diese einen Teil davon an ihre eigenen Dienstleister durchreichen werden. Insbesondere dürfte dies bei der Forderung der Fall sein, den Stand der Technik einzuhalten. Abgesehen davon eröffnen sich auch neue Chancen für Anbieter von Sicherheitslösungen, denn nicht alle Betreiber Kritischer Infrastrukturen werden sich vollständig mit eigenen Ressourcen darum kümmern können. Insofern lohnt sich ein Blick auf die neuen Vorschriften vielleicht auch für Unternehmen, die nicht unmittelbar angesprochen sind.