Von Thomas Voland und Michel Petite *)Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat jüngst einen überarbeiteten Gesetzentwurf zum sogenannten IT-Sicherheitsgesetz 2.0 vorgelegt. Das Haus von Horst Seehofer arbeitet seit über einem Jahr an erweiterten Regelungen, die der zunehmenden Gefahr von Cyberangriffen wirksam vorbeugen sollen. Unter anderem hatten Kompetenzstreitigkeiten mit dem Bundesjustizministerium über die Einführung neuer Straftatbestände zu Verzögerungen geführt, woraufhin die entsprechenden Regelungen im aktuellen Entwurf gestrichen wurden. Vor allem aber hatte die Frage, inwiefern Hersteller von Komponenten für das 5G-Netz kontrolliert und gegebenenfalls ausgeschlossen werden können, für intensive politische Diskussionen gesorgt.Das IT-Sicherheitsgesetz 2.0 verfolgt dazu einen zweigliedrigen Ansatz: Zum einen verlangt es, dass sicherheitsrelevante Netz- und Systemkomponenten, die kritische Funktionen erfüllen (sogenannte kritische Komponenten), nur zum Einsatz kommen, wenn sie von anerkannten Stellen überprüft und zertifiziert wurden. Zum anderen dürfen nur kritische Komponenten von Herstellern eingesetzt werden, die eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber eines 5G-Netzes abgegeben haben (sogenannte Garantieerklärung). Zur Begründung dieses zweigliedrigen Ansatzes führt das BMI aus, dass Zertifikate nur eine Momentaufnahme darstellten und zu stark auf technische Fragen beschränkt seien. Zudem müsse die Bundesrepublik ihre eigene Entscheidungsfähigkeit wahren. Bei einer reinen Zertifizierungslösung wäre sie hingegen unter Umständen europarechtlich verpflichtet, in einem anderen Mitgliedstaat ausgestellte Produktzertifikate anzuerkennen, ohne die dahinterstehenden Hersteller berücksichtigen zu können. Diese sehr aufschlussreichen Ausführungen des BMI verdeutlichen, dass eine Fragmentierung des europäischen Marktes droht – obwohl es politisch und wirtschaftlich sinnvoller wäre, einheitliche europäische Lösungen zu verfolgen.Nach den EU-Verträgen fällt die Materie jedoch zu großen Teilen in die Zuständigkeit der Mitgliedstaaten, weil sie deren nationale Sicherheit betrifft. Dementsprechend hat die EU-Kommission im März 2019 nur eine “Empfehlung” zur Cybersicherheit von 5G-Netzen vorgelegt. Auf dieser Basis haben die EU-Mitgliedstaaten gemeinsam mit der Europäischen Agentur für Internetsicherheit einen “Werkzeugkasten” entwickelt, der strategische und technische Instrumente zur Gewährleistung einer sicheren 5G-Technologie enthält. Die Maßnahmen sind aber rechtlich unverbindlich, und es obliegt der Bundesrepublik und den anderen EU-Mitgliedern, jeweils selbst Pflichten zur Absicherung der 5G-Netze einzuführen. Dabei wäre ein vollständig koordiniertes und übereinstimmendes Handeln der Mitgliedstaaten zu begrüßen, weil Cyberangriffe typischerweise nicht an Landesgrenzen stoppen. Darüber hinaus hätte ein konzertiertes Vorgehen auch auf internationaler Ebene, die derzeit von dem Kräftemessen zwischen den USA und China geprägt ist, ein größeres Gewicht, als wenn jeder Staat individuelle Ziele verfolgt und dazu eigene Maßnahmen anwendet.In der Praxis sind die Unterschiede im Umgang mit 5G-Anbietern aber erheblich, und nicht jeder Mitgliedstaat hat bereits eine klare Linie gefunden. Nationale Maßnahmen können jedoch den Handel auf dem europäischen Binnenmarkt beschränken und die Grundrechte von Unternehmen beeinträchtigen. Daher verlangt das EU-Recht, dass diese Maßnahmen tatsächlich der Sicherheit dienen, ausreichend klar sowie verhältnismäßig sein müssen und keine unnötigen Handelshindernisse errichten dürfen.Aus diesen europarechtlichen Vorgaben – die auch im deutschen Verfassungsrecht entsprechend gelten – folgt beispielsweise, dass die Verweigerung der Vertrauenswürdigkeit auf klare Kriterien zu stützen wäre, die für die Gewährleistung von Cybersicherheit geeignet, erforderlich und angemessen sind. Denn eine solche Entscheidung hätte weitreichende Folgen für die betroffenen Hersteller und deren Kunden, namentlich die Telekommunikationsunternehmen. Das alleinige Abstellen auf die “Herkunft” der Hersteller würde hierbei zu kurz greifen. Vielmehr ist für die Vertrauenswürdigkeit eine Einzelfallbetrachtung anhand verschiedener, im Vorfeld definierter, risikoerhöhender und risikomindernder Kriterien erforderlich. Zudem muss es Herstellern möglich sein, eine eventuelle Einordnung als “nicht vertrauenswürdig” gerichtlich überprüfen zu lassen.Der Ansatz des IT-SiG 2.0, die Vertrauenswürdigkeit an spezifische Garantien zu knüpfen und konkrete Verhaltensanforderungen für alle Hersteller zu etablieren, greift die rechtlichen Vorgaben zutreffend auf. Bei einer europa- und verfassungskonformen Ausgestaltung der Details, insbesondere des Inhalts der Garantieerklärung, bietet sich damit die Chance, eine Regelung mit Vorbildcharakter zu schaffen. Diese könnte als Grundlage für eine weitere Rechtsangleichung auf dem EU-Binnenmarkt dienen. *) Dr. Thomas Voland ist Partner von Clifford Chance in Düsseldorf, Michel Petite ist ehemaliger Generaldirektor des Juristischen Dienstes der EU- Kommission und Of Counsel der Kanzlei in Paris.