Der Bundesrat hat in seiner 908. Sitzung am 22. März 2013 gemäß §§ 3 und 5 EUZBLG die folgende Stellungnahme beschlossen:
- 1. Der Bundesrat begrüßt das Ziel der Richtlinie, durch eine Mindestharmonisierung zur Gewährleistung eines hohen Maßes an Netz- und Informationssicherheit (NIS) in der Union beizutragen. In Übereinstimmung mit den Zielen der Richtlinie ist der Bundesrat der Auffassung, dass gemeinsame Standards im Bereich der NIS zur Verbesserung des Binnenmarktes beitragen, da sie geeignet sind, Handelshemmnisse abzubauen und Wettbewerbsverzerrungen zu beseitigen. Im Bereich der NIS sind nach Auffassung des Bundesrates Maßnahmen auf zentraler, regionaler und lokaler Ebene allein nicht ausreichend, so dass die Ziele der Maßnahme eine unionsrechtliche Regelung der NIS grundsätzlich rechtfertigen.
- 2. Der Richtlinienvorschlag genügt im Hinblick auf die Regelungen über die Verteilung der Verwaltungszuständigkeit ferner nicht dem Grundsatz der Verhältnismäßigkeit gemäß Artikel 5 Absatz 4 EUV. Eine verbindliche Regelung der Zuständigkeit einer einheitlichen nationalen Behörde ist nicht erforderlich. Losgelöst von der Frage, ob überhaupt eine Zuständigkeitsregelung auf europäischer Ebene zu erfolgen hat, wäre eine effektive Gewährleistung der NIS in gleicher Weise sichergestellt, wenn den Mitgliedstaaten die Möglichkeit eingeräumt würde, eine oder mehrere zuständige Behörden zu benennen. Auf diese Weise könnte der mitgliedstaatlichen Kompetenzordnung bei der Gestaltung der Zuständigkeit dieser Behörden Rechnung getragen werden. Es würde ein zumindest gleichwertiger Maßnahmenvollzug erfolgen. Damit steht bei gleicher Eignung ein weitaus milderes Mittel zur Gestaltung der mitgliedstaatlichen Zuständigkeit zur Verfügung. Darüber hinaus ist die vorgesehene Regelung auch nicht angemessen. Mit der Benennung der zuständigen nationalen Behörde hat nach Artikel 6 Absatz 4 sowie nach Artikel 15 des Richtlinienvorschlags auch eine erhebliche Kompetenzzuweisung zu erfolgen. Darüber hinaus wird den Mitgliedstaaten gemäß Artikel 7 Absatz 3 und 4 in Bezug auf die CERT eine weitreichende technische, finanzielle und personelle Ausstattungsverantwortung sowie eine Infrastrukturverantwortung auferlegt. Damit beschränkt sich der Eingriff in die mitgliedstaatliche Kompetenzordnung nicht nur auf einen formalen Aspekt, sondern wäre mit erheblichen inhaltlichen, technischen, finanziellen und personellen Auswirkungen verbunden. Vor dem Hintergrund, dass die Informationstechnik inzwischen eine tragende Rolle in nahezu allen Bereichen der Wirtschaft und des Verwaltungshandelns hat, kann die Kompetenzzuweisung an eine zuständige nationale Behörde erhebliche Auswirkungen für die gesamte öffentliche Verwaltung nach sich ziehen.
- 3. Der Bundesrat weist in diesem Zusammenhang auch ausdrücklich darauf hin, dass der Unionsgesetzgeber in sachlich verwandten Bereichen des Unionsrechts bewusst auf Regelungen der Verwaltungszuständigkeiten auf mitgliedstaatlicher Ebene verzichtet und stattdessen föderalismusoffene Vollzugsregelungen vorgesehen hat, wie etwa in Artikel 28 der EG-Datenschutzrichtlinie 95/46/EG oder in Artikel 46 des Vorschlags zu einer EU-Datenschutzgrundverordnung vom 25. Januar 2012, (COM (2011) 11 final). In den genannten Beispielen wird der Vollzug nicht auf "eine Behörde", sondern auf "eine oder mehrere Behörden" übertragen. Weitergehend heißt es im Erwägungsgrund 92 und in Artikel 46 Absatz 1 des Entwurfs der Datenschutz-Grundverordnung ausdrücklich, dass "die neue Verordnung ( ... ) den föderalen Staaten bessere Gestaltungsmöglichkeiten" einräumen soll. Zur besseren Vereinbarkeit des Vorschlags mit dem Subsidiaritätsprinzip erscheint es aus Sicht des Bundesrates erforderlich, die Artikel 6 und 7 des Richtlinienvorschlags in föderalismusoffener Weise neu zu fassen. Als Orientierungshilfe kann der Entwurf zu Artikel 46 Absatz 1 der EU-Datenschutzgrundverordnung dienen, der an die Besonderheiten der Verwaltungszusammenarbeit im Bereich der NIS anzupassen wäre.
- 4. Der Richtlinienvorschlag ist in Bezug auf die Zuständigkeitsregelungen ferner nicht mit der Achtung der nationalen Identität der Mitgliedstaaten nach Artikel 4 Absatz 2 Satz 1 EUV vereinbar. Hierzu zählt ausdrücklich auch die regionale und lokale Selbstverwaltung. Die EU ist insoweit zu einem mitgliedstaatfreundlichen Verhalten verpflichtet. Durch die vorgesehene Regelung ist eine einheitliche zuständige Behörde zu benennen und es wird eine Umsetzung gemäß der mitgliedstaatlichen Kompetenzordnung in föderalen Mitgliedstaaten ausgeschlossen. Gleichzeitig besteht keine Erforderlichkeit für eine derartige Regelung, so dass ein unverhältnismäßiger Eingriff in die nationale Identität vorliegt.
- 5. Der Bundesrat ist weiter der Auffassung, dass Artikel 14 des Richtlinienvorschlags nicht durch die gewählte allgemeine Binnenmarktkompetenz des Artikels 114 Absatz 1 AEUV gedeckt ist, soweit Informationssysteme der öffentlichen Verwaltung generell in den Anwendungsbereich der Richtlinie einbezogen werden.
Artikel 14 Absatz 1 verpflichtet die öffentliche Verwaltung, für ihre Informationssysteme "geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu managen".
Artikel 14 Absatz 2 begründet Meldepflichten der öffentlichen Verwaltung bei Sicherheitsvorfällen, "die erhebliche Auswirkungen auf die Sicherheit der von ihnen bereitgestellten Kerndienste haben". Weiter wird die Kommission gemäß Artikel 14 Absatz 5 ermächtigt, "delegierte Rechtsakte zu erlassen, in denen festgelegt wird, unter welchen Umständen bei Sicherheitsvorfällen für öffentliche Verwaltungen und Marktteilnehmer die Meldepflicht gilt". Zudem ist die Kommission gemäß Artikel 14 Absatz 7 des Vorschlags befugt, "mittels Durchführungsrechtsakten die für die Zwecke des Absatzes 2 geltenden Formen und Verfahren festzulegen".
- 6. Die genannten Regelungen des Artikels 14 des Vorschlags erfassen die gesamte öffentliche Verwaltung in den Mitgliedstaaten, ohne dass der Richtlinienvorschlag den hierzu erforderlichen Binnenmarktbezug begründen würde. Auf die Binnenmarktkompetenz aus Artikel 114 Absatz 1 AEUV kann eine Maßnahme nur gestützt werden, wenn sie objektiv der Verbesserung des Funktionierens des Binnenmarktes dient, indem Handelshemmnisse abgebaut oder Wettbewerbsverzerrungen beseitigt werden. Soweit der Richtlinienvorschlag sämtliche Informationssysteme der öffentlichen Verwaltung in den Mitgliedstaaten erfasst, sind diese Voraussetzungen nicht gegeben.
- 7. So ist nicht ersichtlich, warum etwa Mitarbeiterportale der öffentlichen Verwaltung in den Mitgliedstaaten, die allein den internen Rechtsverkehr zwischen der Verwaltung und ihren Mitarbeiterinnen und Mitarbeitern zum Gegenstand haben, einen hinreichenden Binnenmarktbezug aufweisen sollten. Ebenso wie der interne Vollzug des Beamtenrechts damit nicht Gegenstand einer auf Artikel 114 Absatz 1 AEUV gestützten Richtlinie sein kann, gilt dies für eine breite Palette weiterer öffentlicher Verwaltungstätigkeiten. Exemplarisch ist in diesem Zusammenhang darauf hinzuweisen, dass der EuGH z.B. die Tätigkeit der öffentlichen allgemeinbildenden Schulen und der öffentlich finanzierten Hochschulen und Universitäten vom Anwendungsbereich der Warenverkehrs- und Dienstleistungsfreiheit und damit auch von der Binnenmarktkompetenz des Artikels 114 AEUV ausgenommen hat.
- 8. Auch in Bezug auf die nichtkommerzielle Forschungsverwaltung, die Steuerverwaltung, Teile der Sozialverwaltung (z.B. Sozialfürsorge und Jugendhilfe), die Justizverwaltung und die Verwaltungen des Bundestages, des Bundesrates und der Landtage sowie die Rechnungshöfe des Bundes und der Länder können die geplanten Harmonisierungsmaßnahmen nicht auf Artikel 114 Absatz 1 AEUV gestützt werden. Zweifelhaft ist die Binnenmarktkompetenz wegen mangelnden Binnenmarktbezugs bzw. speziellerer unionsrechtlicher Regelungen aber auch in weiten Teilen der Inneren Verwaltung z.B. beim Vollzugs des Versammlungsrechts, des Ausländerrechts und des Zivildienstrechts, des Raumordnungs- und Landesplanungsrechts sowie des Straßenverkehrsrechts, bei Teilen des Umwelt- und Abfallrechts und beim Vollzug des Atomrechts.
- 9. Ergänzend weist der Bundesrat darauf hin, dass in der vorgeschlagenen Richtlinie keine Ausnahmeregelungen für besonders sicherheitsrelevante Verwaltungsbereiche, wie Militär, Polizei, Strafvollzug oder Nachrichtendienste, vorgesehen sind. Auch in diesen Fällen erscheint der Binnenmarktbezug fraglich. Zudem erscheint es als naheliegend, dass im Bereich der NIS in bestimmten Sektoren auch aus sachlichen Gründen ein Sonderregelungsbedarf besteht.
Artikel 14 des Richtlinienvorschlags ist daher, soweit er die Informationssysteme der öffentlichen Verwaltung generell einbezieht, nicht durch Artikel 114 AEUV gedeckt und daher in binnenmarktkonformer Weise neu und enger zu fassen.
- 10. Der Bundesrat übermittelt diese Stellungnahme direkt an die Kommission