News
Vom Abwasser bis zur IT — Eigenbetriebe als potenziell wichtige oder besonders wichtige Einrichtungen nach dem BSIG
Hinsichtlich öffentlicher Stellen der Länder verhält sich das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) sehr zurückhaltend. Nicht zuletzt aufgrund der Verteilung der Gesetzgebungskompetenzen zwischen Bund und Ländern finden sich zwar insbesondere in § 29 und Teil 3 Kapitel 3 BSIG Regelungen betreffend die Bundesverwaltung. Entsprechende Regelungen in Bezug auf Verwaltungen der Länder fehlen indes, sodass man auf die Idee kommen könnte, dass insbesondere Einrichtungen außerhalb der Bundes- und Landesverwaltung nicht vom BSIG adressiert werden.
Doch dieser Eindruck kann bisweilen trügen, wie das Beispiel des Eigenbetriebs zeigt.
Der Eigenbetrieb – das unbekannte Wesen
Der Eigenbetrieb ist eine wirtschaftliche Betätigungsform auf Landes- und Kommunalebene (es gibt aber auch Eigenbetriebe auf Bundesebene, die sog. Bundesbetriebe). Beispiele hierfür sind die Münchener Stadtentwässerung, das Klinikum Südstadt Rostock oder aber der Eigenbetrieb IT-Dienstleistungen der Stadt Dresden.
In Berlin werden Eigenbetriebe insbesondere durch das Gesetz über die Eigenbetriebe des Landes Berlin (Eigenbetriebsgesetz - EigG) geregelt. Dort heißt es in § 1 Abs. 1 und 2:
„(1) Das Land Berlin (Träger) kann bestimmte öffentliche Aufgaben der Berliner Verwaltung nach diesem Gesetz in der Rechtsform des nicht rechtsfähigen Betriebs (Eigenbetrieb) selbständig und mit eigenen Organen (Geschäftsleitung, Verwaltungsrat) wahrnehmen lassen, wenn die öffentlichen Aufgaben die Errichtung des Eigenbetriebs rechtfertigen und anders nicht besser und wirtschaftlicher erfüllt werden können.
(2) Der Eigenbetrieb erfüllt die vom Träger vorgegebenen Aufgaben nach kaufmännischen Grundsätzen kostengünstig, benutzer- und umweltfreundlich. Er beachtet gemeinwirtschaftliche und sozial-, umwelt- und strukturpolitische Gesichtspunkte.“
Kurz ausgedrückt handelt es sich bei einem Eigenbetrieb also um ein kommunales Unternehmen, das nach wirtschaftlichen Grundsätzen tätig wird.
Wie der vorstehende § 1 Abs. 1 EigG zeigt, können die Eigenbetriebe ebenfalls über eigene Organe, nämlich die Geschäftsleitung oder den Verwaltungsrat, verfügen.
Eigenbetriebe und das BSIG
Wenn Eigenbetriebe auch über eine Geschäftsleitung verfügen, dann müssten für sie in der Folge auch z. B. die Vorschriften zur „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“ aus § 38 BSIG gelten. So heißt es gemäß § 38 Abs. 3 Hs. 1 BSIG, dass die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen müssen. Demnach könnte man schlussfolgern, dass Eigenbetriebe auch die Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen treffen, wenn es sich bei dem jeweiligen Eigenbetrieb um eine besonders wichtige oder wichtige Einrichtung i. S. v. § 28 Abs. 1 oder Abs. 2 BSIG handelt.
Ob ein Eigenbetrieb oder sonstige außerhalb der Bundes- und Landesverwaltung agierende öffentliche Betätigungen überhaupt als besonders wichtige oder wichtige Einrichtung in Betracht kommen, sagt das BSIG nicht explizit, auch wenn der Wortlaut von § 28 Abs. 1 Nr. 4 und Abs. 2 Nr. 3 BSIG ohne Einschränkung „sonstige natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft“ erwähnt. Letzteres könnte also dafür sprechen, dass insbesondere auch Eigenbetriebe eine besonders wichtige oder wichtige Einrichtung i. S. d. BSIG darstellen könnten.
Deutlicher ist insoweit dagegen die Gesetzesbegründung zum BSIG, wo es auf S. 144 zur Reichweite von § 28 BSIG heißt: „Durch die Einbeziehung von rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft wird sichergestellt, dass Eigenbetriebe und Landesbetriebe, die entsprechende Dienste gemäß der Einrichtungsdefinitionen erbringen, adäquat adressiert werden können, auch wenn diese keine juristische oder natürliche Person sind“. Das heißt, Eigenbetriebe und ähnliche Organisationsformen können nach dem Willen der Gesetzesbegründung im Fall der Erfüllung der in § 28 Abs. 1 Nr. 4 oder Abs. 2 Nr. 3 BSIG definierten Schwellenwerte besonders wichtige oder wichtige Einrichtungen darstellen. Das bedeutet wiederum, dass Eigenbetriebe nicht nur die Pflichten zur Geschäftsleitungsschulung aus § 38 Abs. 3 BSIG, sondern – wie jede andere besonders wichtige oder wichtige Einrichtung – auch alle anderen relevanten Verpflichtungen aus dem BSIG einhalten muss. Zentral zu denken wäre dabei an die Risikomanagementmaßnahmen gemäß § 30 BSIG.
Fazit und Empfehlung
Eigenbetriebe, aber auch andere öffentlich-rechtliche Betriebsformen, sollten sich daher trotz der fehlenden ausdrücklichen Erwähnung im BSIG sicherheitshalber damit auseinandersetzen, ob sie die Schwellenwerte nach § 28 Abs. 1 Nr. 4 oder Abs. 2 Nr. 3 BSIG erfüllen sowie, ob sie in einen der vom BSIG in Anlage 1 oder 2 BSIG regulierten Sektoren fallen und daher die Vorgaben des Gesetzes zu beachten haben.
News
Erneut Auszeichnung von der WirtschaftsWoche
Wir freuen uns, dass wir erneut durch die WirtschaftsWoche ausgezeichnet wurden.
Längere Speicherdauer für Daten bei Wahrnehmung der Aufgabe der internen Meldestelle durch Syndikusrechtsanwälte
Viele deutsche Unternehmen sind entweder schon jetzt oder spätestens ab Mitte Dezember 2023 dazu verpflichtet, eine interne Meldestelle für Hinweisgeber einzurichten. In einigen Fällen werden die Aufgaben der internen Meldestelle von Mitarbeitern aus der Rechtsabteilung wahrgenommen, die als Syndikusrechtsanwälte zugelassen sind. Geht bei einem solchen Unternehmen eine Hinweismeldung ein, so ist diese von den Syndikusrechtsanwälten der internen Meldestelle zu dokumentieren.
Generalanwalt am EuGH: Zur Geeignetheit von technisch organisatorischen Schutzmaßnahmen und dem Ersatz immateriellen Schadens bei einem Hackerangriff
Der Generalanwalt am EuGH hat am 27.4.2023 seine Schlussanträge im Verfahren C-340/21 über die Voraussetzungen des Ersatzes eines immateriellen Schadens und der Beweislast für die Geeignetheit von technisch organisatorischen Maßnahmen nach Art. 32 DSGVO (TOMs) im Zusammenhang mit einem Hackerangriff veröffentlicht. Das Verfahren weist einen für die Praxis wichtigen Bezug zu den Themen Datenschutz und IT Security auf, sodass die künftige Entscheidung des EuGH für die Umsetzung der TOMs durch den Verantwortlichen relevant sein wird.
Das EU-US Data Privacy Framework – neue Grundlage für den Datentransfer in die USA
Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework („DPF“) erlassen. Damit stellt die Kommission nach Art. 45 Abs. 1 DSGVO fest, dass die USA (genauer: jene Unternehmen, die sich dem Selbstzertifizierungsmechanismus des DPF unterwerfen und in der noch zu veröffentlichenden Liste genannt werden) ein angemessenes Schutzniveau bieten.
Cybersecurity-Beratung von Piltz Legal - Nun auch mit zertifiziertem IT-Sicherheitsbeauftragten
Aufgrund unserer digitalisierungsaffinen Beratungsstrategie haben wir bei Piltz Legal immer wieder viele Berührungspunkte mit technischen Fragestellungen und arbeiten mit Personen aus IT- und IT-Security-Abteilungen zusammen. Gerade im Kontext des IT- und IT-Sicherheitsrechts setzt die Beratung deshalb voraus, dass man im Zweifel „die Sprache“ auch der IT-Mitarbeiter nicht nur versteht, sondern auch spricht. Die ist unser Anspruch und Teil unserer Beratung.
Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut ausgezeichnet
Wir freuen uns, dass Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut vom Handelsblatt ausgezeichnet wurden.