News
Vom Abwasser bis zur IT — Eigenbetriebe als potenziell wichtige oder besonders wichtige Einrichtungen nach dem BSIG
Hinsichtlich öffentlicher Stellen der Länder verhält sich das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) sehr zurückhaltend. Nicht zuletzt aufgrund der Verteilung der Gesetzgebungskompetenzen zwischen Bund und Ländern finden sich zwar insbesondere in § 29 und Teil 3 Kapitel 3 BSIG Regelungen betreffend die Bundesverwaltung. Entsprechende Regelungen in Bezug auf Verwaltungen der Länder fehlen indes, sodass man auf die Idee kommen könnte, dass insbesondere Einrichtungen außerhalb der Bundes- und Landesverwaltung nicht vom BSIG adressiert werden.
Doch dieser Eindruck kann bisweilen trügen, wie das Beispiel des Eigenbetriebs zeigt.
Der Eigenbetrieb – das unbekannte Wesen
Der Eigenbetrieb ist eine wirtschaftliche Betätigungsform auf Landes- und Kommunalebene (es gibt aber auch Eigenbetriebe auf Bundesebene, die sog. Bundesbetriebe). Beispiele hierfür sind die Münchener Stadtentwässerung, das Klinikum Südstadt Rostock oder aber der Eigenbetrieb IT-Dienstleistungen der Stadt Dresden.
In Berlin werden Eigenbetriebe insbesondere durch das Gesetz über die Eigenbetriebe des Landes Berlin (Eigenbetriebsgesetz - EigG) geregelt. Dort heißt es in § 1 Abs. 1 und 2:
„(1) Das Land Berlin (Träger) kann bestimmte öffentliche Aufgaben der Berliner Verwaltung nach diesem Gesetz in der Rechtsform des nicht rechtsfähigen Betriebs (Eigenbetrieb) selbständig und mit eigenen Organen (Geschäftsleitung, Verwaltungsrat) wahrnehmen lassen, wenn die öffentlichen Aufgaben die Errichtung des Eigenbetriebs rechtfertigen und anders nicht besser und wirtschaftlicher erfüllt werden können.
(2) Der Eigenbetrieb erfüllt die vom Träger vorgegebenen Aufgaben nach kaufmännischen Grundsätzen kostengünstig, benutzer- und umweltfreundlich. Er beachtet gemeinwirtschaftliche und sozial-, umwelt- und strukturpolitische Gesichtspunkte.“
Kurz ausgedrückt handelt es sich bei einem Eigenbetrieb also um ein kommunales Unternehmen, das nach wirtschaftlichen Grundsätzen tätig wird.
Wie der vorstehende § 1 Abs. 1 EigG zeigt, können die Eigenbetriebe ebenfalls über eigene Organe, nämlich die Geschäftsleitung oder den Verwaltungsrat, verfügen.
Eigenbetriebe und das BSIG
Wenn Eigenbetriebe auch über eine Geschäftsleitung verfügen, dann müssten für sie in der Folge auch z. B. die Vorschriften zur „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“ aus § 38 BSIG gelten. So heißt es gemäß § 38 Abs. 3 Hs. 1 BSIG, dass die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen müssen. Demnach könnte man schlussfolgern, dass Eigenbetriebe auch die Umsetzungs-, Überwachungs- und Schulungspflichten für Geschäftsleitungen treffen, wenn es sich bei dem jeweiligen Eigenbetrieb um eine besonders wichtige oder wichtige Einrichtung i. S. v. § 28 Abs. 1 oder Abs. 2 BSIG handelt.
Ob ein Eigenbetrieb oder sonstige außerhalb der Bundes- und Landesverwaltung agierende öffentliche Betätigungen überhaupt als besonders wichtige oder wichtige Einrichtung in Betracht kommen, sagt das BSIG nicht explizit, auch wenn der Wortlaut von § 28 Abs. 1 Nr. 4 und Abs. 2 Nr. 3 BSIG ohne Einschränkung „sonstige natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft“ erwähnt. Letzteres könnte also dafür sprechen, dass insbesondere auch Eigenbetriebe eine besonders wichtige oder wichtige Einrichtung i. S. d. BSIG darstellen könnten.
Deutlicher ist insoweit dagegen die Gesetzesbegründung zum BSIG, wo es auf S. 144 zur Reichweite von § 28 BSIG heißt: „Durch die Einbeziehung von rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft wird sichergestellt, dass Eigenbetriebe und Landesbetriebe, die entsprechende Dienste gemäß der Einrichtungsdefinitionen erbringen, adäquat adressiert werden können, auch wenn diese keine juristische oder natürliche Person sind“. Das heißt, Eigenbetriebe und ähnliche Organisationsformen können nach dem Willen der Gesetzesbegründung im Fall der Erfüllung der in § 28 Abs. 1 Nr. 4 oder Abs. 2 Nr. 3 BSIG definierten Schwellenwerte besonders wichtige oder wichtige Einrichtungen darstellen. Das bedeutet wiederum, dass Eigenbetriebe nicht nur die Pflichten zur Geschäftsleitungsschulung aus § 38 Abs. 3 BSIG, sondern – wie jede andere besonders wichtige oder wichtige Einrichtung – auch alle anderen relevanten Verpflichtungen aus dem BSIG einhalten muss. Zentral zu denken wäre dabei an die Risikomanagementmaßnahmen gemäß § 30 BSIG.
Fazit und Empfehlung
Eigenbetriebe, aber auch andere öffentlich-rechtliche Betriebsformen, sollten sich daher trotz der fehlenden ausdrücklichen Erwähnung im BSIG sicherheitshalber damit auseinandersetzen, ob sie die Schwellenwerte nach § 28 Abs. 1 Nr. 4 oder Abs. 2 Nr. 3 BSIG erfüllen sowie, ob sie in einen der vom BSIG in Anlage 1 oder 2 BSIG regulierten Sektoren fallen und daher die Vorgaben des Gesetzes zu beachten haben.
News
OLG Frankfurt: Schmerzensgeld bei Cookie-Einsatz ohne Einwilligung – auch für Drittanbieter
Nach § 25 Abs. 1 TDDDG müssen Websitebetreiber grundsätzlich eine Einwilligung vom Nutzer einholen, wenn sie eigene oder Cookies von Drittanbietern einsetzen. Die Einwilligung wird über Cookie-Banner eingeholt, in denen Nutzer über den Einsatz der Cookies umfassend informiert werden müssen. Die konkrete Ausgestaltung der Banner und ob die Informationen ausreichend sind, um eine wirksame Einwilligung in das Speichern und die anschließende Verarbeitung personenbezogener Daten einzuholen, waren bereits Gegenstand zahlreicher Gerichtsentscheidungen. Nun hat sich das OLG Frankfurt (Urteil vom 11.12.2025 – Az. 6 U 81/23) in einem Fall mit der Haftung für eine nicht eingeholte Einwilligung beschäftigt und den Drittanbieter zu einem Unterlassen und Zahlung von Schadensersatz i.H.v. 100 EUR gegenüber dem Nutzer verurteilt.
Umsetzung von Risikomanagementmaßnahmen im Zusammenhang mit der NIS-2-Richtlinie und Rückgriff auf Maßnahmen nach Art. 32 DSGVO
Die Umsetzung der Risikomanagementmaßnahmen nach der NIS-2-Richtlinie und dem BSIG als Umsetzungsgesetz scheint für viele betroffene Organisationen im ersten Moment herausfordernd. Dies liegt häufig daran, dass die eher abstrakt wirkenden Vorgaben wie z.B. „Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen“ Organisationen abschrecken, da nicht auf Anhieb erkennbar ist, was konkret zu tun ist.
NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland
Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.
Territorialer Anwendungsbereich von NIS-2 – Wann gilt das BSIG für Managed Service Provider (MSP) aus Drittländern?
In einem früheren Beitrag haben wir uns mit der Frage auseinandergesetzt, wer nach dem geänderten Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) als Managed Service Provider (MSP) oder Managed Security Service Provider (MSSP) einzuordnen ist. Ist also ein Unternehmen eines Unternehmensverbundes zentral für den Betrieb der IT des Verbundes zuständig, kann es als MSP und damit als wichtige oder besonders wichtige Einrichtung i. S. v. § 28 Abs. 1 Nr. 4 und / oder § 28 Abs. 2 Nr. 3 BSIG einzuordnen sein – sofern es in den Anwendungsbereich des BSIG fällt.
Der CRA – Was sollten Unternehmen 2026 und darüber hinaus beachten?
Der Cyber Resilience Act (CRA) zielt darauf ab, dass auf dem europäischen Markt bereitgestellte Produkte mit digitalen Elementen ein einheitliches Cybersicherheitsniveau aufweisen. Zu diesem Zweck legt der CRA Pflichten für sämtliche Wirtschaftsakteure der Produktlieferkette fest, insbesondere für den Hersteller, aber auch für die Händler von Produkten mit digitalen Elementen.
Bestandskundenwerbung (nur) nach UWG: EuGH-Entscheidung Inteligo Media
Der EuGH hat in der Rechtssache C-654/23 (Inteligo Media) klargestellt, dass bei Bestandskundenwerbung nach Art. 13 Abs. 2 ePrivacy-RL die Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DSGVO nicht zur Anwendung kommen. Damit weicht das Urteil von der bislang vielfach vertretenen Behördenpraxis ab. Zugleich erweitert der EuGH durch seine Auslegung des Begriffs „Verkauf“ den Anwendungsbereich der Bestandskundenausnahme.