Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastruktur, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor eine Vielzahl von Herausforderungen gestellt. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit gegenüber externen, vielfach nicht steuerbaren Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zur Entsorgung von Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung gerade der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund gestiegenen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen. 2024 bestätigte sich die Erfahrung der Vorjahre, dass geopolitische und zwischenstaatliche Konflikte oftmals mit einer ganzen Bandbreite an Phänomenen im Cyberraum einhergehen: Desinformation, Hacktivismus, Spionage und Sabotage waren sowohl im russischen Angriffskrieg gegen die Ukraine als auch in der Folge des Terrorangriffs der Hamas auf Israel zu beobachten. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-SabotageAngriffen im Rahmen des Krieges. Zudem haben Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch in Folge der Zeitenwende zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind Teil des unternehmerischen Alltags geworden. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland und den Binnenmarkt der Europäischen Union insgesamt robust und leistungs- und funktionsfähig zu halten.
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Dieser Entwurf steht im Kontext der Bestrebungen der Europäischen Union und ihrer Mitgliedstaaten zur Erhöhung der Wirtschaftssicherheit und Verbesserung der Resilienz als Antwort auf neue geopolitische Rahmenbedingungen. Mit der am 20. Juni 2023 veröffentlichten Europäischen Strategie für wirtschaftliche Sicherheit identifiziert die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft.
Dieser Entwurf steht außerdem im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.
B. Lösung, Nutzen
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz auf den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:
– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro, im Jahr 2023 bei 205,9 Milliarden Euro und im Jahr 2024 bei 266,6 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigte. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.
Das VG Köln hat entschieden, dass der Ex-BSI-Präsident Schönbohm keinen Anspruch auf Schadensersatz wegen Mobbings bzw. Verletzung der Fürsorgepflicht gegen die Bundesrepublik Deutschland hat.
Die Pressemitteilung des Gerichts: VG Köln: Ex-BSI-Präsident Schönbohm unterliegt mit Klage gegen Bundesinnenministerium wegen Mobbings
Dem früheren Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm steht kein Anspruch auf Schadensersatz wegen Mobbings oder einer sonstigen Verletzung der Fürsorgepflicht durch seinen Dienstherrn zu. Dies hat das Verwaltungsgericht Köln mit einem heute verkündeten Urteil entschieden und damit eine Klage Schönbohms gegen die Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern und für Heimat (BMI), abgewiesen.
Der Kläger war seit 2016 Präsident des BSI. In der Sendung ZDF Magazin Royale vom 07.10.2022 wurde der Eindruck erweckt, er habe Verbindungen zu russischen Geheimdienstkreisen. Die Sendung löste ein erhebliches mediales Echo im Hinblick auf die Stellung des Klägers als Leiter einer großen sicherheitsrelevanten Bundesbehörde aus. Mitte Oktober 2022 stellte der Kläger einen Antrag auf Einleitung eines Disziplinarverfahrens, um die aus seiner Sicht haltlosen Vorwürfe gegen seine Person aufklären zu lassen. Kurz darauf untersagte das BMI dem Kläger vorläufig die Führung seiner Dienstgeschäfte. Gegen diese Maßnahme beantragte er beim Verwaltungsgericht Köln die Gewährung von Eilrechtsschutz. Noch während des Gerichtsverfahrens versetzte das BMI den Kläger zum BMI und übertrug ihm zum 01.01.2023 die Funktion des Präsidenten der Bundesakademie für öffentliche Verwaltung (BAköV). Damit erledigte sich das Verbot der Führung der Dienstgeschäfte. Die disziplinarrechtlichen Vorermittlungen stellte das BMI Ende April 2023 ein. Ende August 2023 erhob der Kläger Klage, mit der er Schadensersatz in Höhe von 5.000 Euro forderte, wobei er sich die Geltendmachung eines weitergehenden Schadens vorbehielt. Zur Begründung trug er im Wesentlichen vor, die Beklagte habe die ihm gegenüber bestehende Fürsorgepflicht in mehrfacher Hinsicht verletzt, um zielgerichtet seine Absetzung als Präsident des BSI zu betreiben. Das Verhalten sei angesichts der gesamten Umstände sogar als Mobbing zu bezeichnen.
Dem ist das Gericht nicht gefolgt. In der mündlichen Urteilsbegründung hat es ausgeführt: Zwar spricht vieles dafür, dass die Beklagte ihrer Fürsorgepflicht nicht hinreichend nachgekommen ist, indem sie sich nicht stärker schützend vor den Kläger gestellt hat. Es lässt sich aber nicht feststellen, dass gerade daraus eine für den geltend gemachten Anspruch erforderliche schwerwiegende Verletzung der Persönlichkeitsrechte des Klägers resultierte. Dieser stand aufgrund der ZDF-Sendung im Fokus der öffentlichen Auseinandersetzung mit den damit verbundenen negativen Folgen für seine Person. Dafür, dass das vom Kläger beanstandete Verhalten den Tatbestand des Mobbings erfüllt, gibt es ebenfalls keine hinreichenden Anhaltspunkte. Unter Mobbing ist nach gefestigter Rechtsprechung ein systematisches Anfeinden, Schikanieren und Diskriminieren zu verstehen. Dass derlei gegenüber dem Kläger stattgefunden hätte, lässt sich bei einer zusammenfassenden Würdigung der Ereignisse nicht feststellen. Ob das Verbot der Führung der Dienstgeschäfte rechtmäßig war, muss insoweit nicht entschieden werden. Es war jedenfalls nicht fernliegend, in der damaligen Situation mit dieser Personalmaßnahme auf die öffentliche Debatte zu reagieren. Dass das Verbot gezielt eingesetzt worden wäre, um den Kläger dauerhaft von seiner Position als Präsident des BSI zu entbinden, ist nicht erkennbar. Dagegen spricht auch, dass der Kläger als Beamter ohnehin jederzeit aus dienstlichen Gründen versetzbar war. Ein Beamter hat kein Recht auf Beibehaltung seines bisherigen Aufgabenbereichs. Die Versetzung zur BAköV noch während des laufenden Eilverfahrens vor dem Verwaltungsgericht Köln spricht vor diesem Hintergrund ebenfalls nicht für ein systematisches Anfeinden des Klägers, zumal das Amt des Präsidenten der BAköV der Besoldungsgruppe B 8 der Bundesbesoldungsordnung und damit derselben Besoldungsgruppe zugeordnet ist, wie auch das Amt des Präsidenten des BSI. In der Besoldung kommt zugleich zum Ausdruck, dass das Amt des Präsidenten des BSI mit einer exponierten Stellung und einer hohen Verantwortung verbunden ist. In einer solchen Position muss ein Beamter umso eher damit rechnen, in eine auch politisch aufgeladene Auseinandersetzung zu geraten. Dass die Stelle des Präsidenten der BAköV erst kurz vor der Versetzung des Klägers und, wie dieser geltend macht, unter Missbrauch von Steuergeldern von B 6 nach B 8 angehoben worden ist, mag angreifbar sein, lässt für eine Schädigungsabsicht aber ebenfalls nichts Hinreichendes erkennen. Im Ergebnis nichts anderes ergibt sich aus dem Umstand, dass die disziplinarrechtlichen Vorermittlungen gegen den Kläger erst Ende April 2023 eingestellt worden sind, obwohl die Fachebene des BMI bereits im Februar für eine Einstellung votiert hatte.
Soweit der Kläger neben dem Ausgleich immaterieller Nachteile den Ersatz materieller Schäden begehrt, hat die Klage ebenfalls keinen Erfolg. Die Kosten für seine anwaltliche Vertretung in dem verwaltungsgerichtlichen Eilverfahren sind nur in der Höhe der gesetzlich bestimmten Gebühren erstattungsfähig. In dieser Höhe sind die Anwaltskosten des Klägers aber bereits erstattet worden. Im Hinblick auf Kosten für eine vorgerichtliche Beratung fehlte es zum damaligen Zeitpunkt an einer Fürsorgepflichtverletzung, die einen solchen Anspruch begründen könnte.
Gegen das Urteil kann der Kläger einen Antrag auf Zulassung der Berufung stellen, über den das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in Münster entscheiden würde.
Aus dem Entwurf: A. Problem und Ziel
Der Schutz geografischer Angaben, garantiert traditioneller Spezialitäten und fakultativer Qualitätsangaben im Agrarbereich wird derzeit auf Unionsebene umfassend novelliert. Die entsprechenden Bestimmungen der Verordnungen zu Agrarerzeugnissen, Lebensmitteln, Wein und Spirituosen sind bereits zum Großteil in die neue Verordnung (EU) 2024/1143 des Europäischen Parlaments und des Rates vom 11. April 2024 über geografische Angaben für Wein, Spirituosen und landwirtschaftliche Erzeugnisse und über garantiert traditionelle Spezialitäten und fakultative Qualitätsangaben für landwirtschaftliche Erzeugnisse sowie zur Änderung der Verordnungen (EU) Nr. 1308/2013, (EU) 2019/787 und (EU) 2019/1753 und zur Aufhebung der Verordnung (EU) Nr. 1151/2012 (ABl. L 2024/1143, 23.4.2024; 2024/90374, 25.6.2024) überführt und dabei inhaltlich geändert worden. Unter anderem wurden die Regelungen zum Antragsverfahren zusammengefasst und vereinheitlicht, die Vorschriften über Kontrollverfahren und Erzeugervereinigungen überarbeitet sowie Bestimmungen zu Nachhaltigkeitsaspekten und zur Verwendung von geschützten Erzeugnissen als Zutat aufgenommen. Das entsprechende Recht der Europäischen Kommission soll bis Ende 2024 daran angepasst werden. Das zugehörige Bundesrecht, das aktuell im Marken-, Wein- und Lebensmittelspezialitätenrecht enthalten ist, bedarf einer Anpassung an das reformierte Unionsrecht.
Darüber hinaus wird durch die Verordnung (EU) 2023/2411 des Europäischen Parlaments und des Rates vom 18. Oktober 2023 über den Schutz geografischer Angaben für handwerkliche und industrielle Erzeugnisse und zur Änderung der Verordnungen (EU) 2017/1001 und (EU) 2019/1753 (ABl. L, 2023/2411, 27.10.2023) mit Wirkung zum 1. Dezember 2025 erstmals ein unionsweites Registrierungs- und Schutzsystem für geografische Angaben im handwerklichen und industriellen Bereich eingeführt.
Durch ihren Beitritt zur Genfer Akte des Lissabonner Abkommens über den Schutz von Ursprungsbezeichnungen hat sich die EU verpflichtet, international registrierte geografische Angaben unabhängig von der Art der Waren zu schützen. Die Verordnung (EU) 2023/2411 erfüllt diese Verpflichtung im Hinblick auf handwerkliche und industrielle Erzeugnisse, harmonisiert diesbezüglich den Schutz geistiger Eigentumsrechte und dient gleichzeitig der Verbraucherinformation, der Stärkung von traditionellen Betrieben sowie der Erhaltung von Erzeugungs- und Vermarktungstraditionen.
Nach der Verordnung (EU) 2023/2411 wird beim Amt der Europäischen Union für geistiges Eigentum (EUIPO) ein Register der genannten Angaben geführt. Anträge auf Eintragung und Löschung sowie Änderungsanträge sind wie bereits bislang im Bereich der Agrarerzeugnisse, Lebensmittel, des Weins und der Spirituosen (Agrarbereich) auch im Bereich handwerklicher und industrieller Erzeugnisse von den Behörden der Mitgliedstaaten zu prüfen. Zugleich haben Kontrollen im Hinblick auf eingetragene Angaben im Wege einer Marktüberwachung stattzufinden. Verstöße gegen den Schutz müssen hinreichend sanktioniert werden.
Dieser Entwurf dient der Durchführung der Verordnungen (EU) 2024/1143 und (EU) 2023/2411, insoweit diese den Mitgliedstaaten obliegt und eine Regelung durch Bundesrecht erforderlich ist. Er steht im Kontext der Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“ und trägt zur Sicherstellung nachhaltiger Konsum- und Produktionsmuster gemäß dem Ziel 12 der Agenda 2030 der Vereinten Nationen für nachhaltige Entwicklung bei.
B. Lösung
Zur Durchführung der Verordnung (EU) 2024/1143 wird ein neues Stammgesetz in Form eines Agrargeoschutz-Durchführungsgesetzes geschaffen, auf dessen Grundlage das erforderliche Verordnungsrecht ergehen kann. Dabei werden die in der Verordnung (EU) 2024/1143 enthaltenen Spielräume für die Mitgliedstaaten berücksichtigt. Das Lebensmittelspezialitätengesetz und die einschlägigen Bestimmungen des Markengesetzes und des Weingesetzes gehen in dem neuen Stammgesetz auf. Die zur Durchführung der Verordnung (EU) 2023/2411 auf Bundesebene erforderlichen Rechtsvorschriften treten im Markengesetz an der Stelle der bisherigen Regelungen zum Agrargeoschutz, wobei die bislang für derartige Regelungen bewährte Struktur des Markengesetzes beibehalten werden kann.
Dabei wird das Deutsche Patent- und Markenamt (DPMA) zur zuständigen Behörde für die nationale Prüfungsphase, im Bereich der Verordnung (EU) 2023/2411, die im Rahmen der Prüfung Ministerien, Körperschaften, Verbände und Wirtschaftsorganisationen beteiligt. Es werden ein nationales Einspruchsverfahren, ein öffentlicher Zugang zu Verfahrensinformationen und eine Beschwerdemöglichkeit auch für Dritte vorgesehen. Anträge betreffend die internationale Registrierung nach der Genfer Akte werden ebenfalls beim DPMA eingereicht und vom DPMA an das EUIPO übermittelt. Im Agrarbereich bleibt die Bundesanstalt für Ernährung und Landwirtschaft zuständige nationale Behörde für die Antragsverfahren. Sie erhält zusätzlich die Zuständigkeit für die bislang teilweise beim DPMA liegenden Antragsverfahren aus dem Agrarbereich sowie für die Verfahren nach der Genfer Akte.
Wie schon im Agrarbereich werden zum effektiven Schutz eingetragener geografischer Angaben im Bereich handwerklicher und industrieller Erzeugnisse Anspruchsgrundlagen und Klagebefugnisse eingeführt. Die effektive Durchführung der Kontrollen – die wie im Agrarbereich den Ländern und der Zollverwaltung obliegt – soll durch eine Verordnungsermächtigung zugunsten der Landesregierungen und durch Befugnisregelungen sichergestellt werden. Hierzu zählen beispielsweise die Entnahme von Stichproben, die Anordnung der Entfernung von Kennzeichnungen und die Verarbeitung personenbezogener Daten. Die Verletzung einer eingetragenen Angabe und das Inverkehrbringen von Erzeugnissen mit einer solchen Angabe ohne vorherige Kontrolle werden bußgeldbewehrt. Zudem wird ein vergleichbarer Schutz für aufgrund internationaler Übereinkünfte geschützte geografische Angaben eingeführt.
Die für die beschriebene Lösung erforderlichen Regelungen werden in einem Gesetz zur Durchführung der Reform und Erweiterung des Schutzes geografischer Angaben (Geoschutzreformgesetz) zusammengefasst.
Nachhaltigkeitsaspekte spielen in der Verbraucherkommunikation von Unternehmen eine wichtige Rolle. Kaufentscheidungen, die Verbraucherinnen und Verbraucher auf Grundlage der von den Unternehmen zur Verfügung gestellten Informationen treffen, tragen dazu bei, dass sich nachhaltige Produkte am Markt durchsetzen. Informierte und sachgerechte Kaufentscheidungen können jedoch nur getroffen werden, wenn Umweltaussagen, Nachhaltigkeitssiegel und Haltbarkeitsangaben von Unternehmen über ihre Produkte und über ihre Unternehmenstätigkeit hinreichend verlässlich sind. Dafür müssen die relevanten Informationen klar und verständlich bereitgestellt werden und irreführende Geschäftspraktiken müssen unterbleiben.
Dementsprechend ist es Ziel der Richtlinie (EU) 2024/825 des Europäischen Parlaments und des Rates vom 28. Februar 2024 zur Änderung der Richtlinien 2005/29/EG und 2011/83/EU hinsichtlich der Stärkung der Verbraucher für den ökologischen Wandel durch besseren Schutz gegen unlautere Praktiken und durch bessere Informationen (ABl. L, 2024/825, 6.3.2024), zu einem nachhaltigen Konsumverhalten beizutragen. Die Richtlinie ist bis zum 27. März 2026 in nationales Recht umzusetzen. Die neuen Regelungen müssen ab dem 27. September 2026 angewendet werden.
Mit diesem Gesetzentwurf wird Artikel 1 der Richtlinie (EU) 2024/825 umgesetzt, der Änderungen der Richtlinie 2005/29/EG enthält. Darüber hinaus wird auch eine Bestimmung der Richtlinie (EU) 2023/2673 des Europäischen Parlaments und des Rates vom 22. November 2023 zur Änderung der Richtlinie 2011/83/EU in Bezug auf im Fernabsatz geschlossene Finanzdienstleistungsverträge und zur Aufhebung der Richtlinie 2002/65/EG (ABl. L, 2023/2673, 28.11.2023) zum zusätzlichen Schutz von Verbraucherinnen und Verbrauchern auf Online-Schnittstellen umgesetzt.
Dieser Entwurf dient der Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UNAgenda 2030 für nachhaltige Entwicklung“ und trägt insbesondere zur Erreichung des Ziels 12 „Nachhaltige Konsum- und Produktionsmuster sicherstellen“, aber auch zur Erreichung von Ziel 16 bei, das in den Vorgaben 16.3 und 16.10 verlangt, die Rechtsstaatlichkeit zu fördern und den öffentlichen Zugang zu Informationen zu gewährleisten.
B. Lösung
Die Regelungen der Richtlinie (EU) 2024/825 werden im Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt. Die bestehende Generalklausel des § 5 Absatz 1 UWG zum Verbot irreführender Praktiken wird hierbei in § 5 Absatz 2 und 3 UWG, in § 5b Absatz 3a UWG sowie im Anhang zu § 3 Absatz 3 UWG konkretisiert. Umweltaussagen müssen entweder klar und in hervorgehobener Weise auf demselben Medium erläutert werden oder auf einer anerkannten hervorragenden Umweltleistung beruhen oder durch ein Nachhaltigkeitssiegel unterlegt werden. Aussagen über zukünftige Umweltleistungen dürfen nur auf Grundlage eines detaillierten und realistischen Umsetzungsplans mit messbaren und zeitgebundenen Zielen sowie mit klaren, objektiven und öffentlich einsehbaren Verpflichtungen getroffen werden. Nachhaltigkeitssiegel dürfen nur angebracht werden, wenn sie auf einem Zertifizierungssystem beruhen, das eine Überprüfung durch Dritte gewährleistet.
Der durch die Richtlinie (EU) 2023/2673 in die Richtlinie 2011/83/EU über die Rechte der Verbraucher eingefügte Artikel 16e wird im Anhang zu § 3 Absatz 3 UWG umgesetzt. Um die unlautere Beeinflussung von Verbraucherinnen und Verbrauchern beim Abschluss von Finanzdienstleistungsverträgen im Fernabsatz in Zukunft noch besser zu verhindern, wird klargestellt, dass die wiederholte Aufforderung, auf einer Online-Schnittstelle eine Auswahl zu treffen, unzulässig ist, wenn eine solche Auswahl bereits getroffen wurde.
Das Bundeskabinett hat das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) verabschiedet.
Die Gebühren des Rechtsanwaltsvergütungsgesetzes (RVG) sind zuletzt am 1. Januar 2021 erhöht worden. Seither verzeichnen Rechtsanwaltskanzleien einen erheblichen Anstieg der Personal- und Sachkosten. Damit die Anwaltschaft ihren wichtigen Beitrag für den Zugang der Bürgerinnen und Bürger zum Recht auch weiterhin leisten kann, sind die gesetzlichen Rechtsanwaltsgebühren an die geänderten wirtschaftlichen Rahmenbedingungen anzupassen.
Auch die Honorarsätze nach dem Justizvergütungs- und -entschädigungsgesetz (JVEG) für Sachverständige und Sprachmittler sind zuletzt im Januar 2021 an die wirtschaftliche Entwicklung angepasst worden. Inzwischen sind die marktüblichen Vergütungen in diesen Bereichen deutlich gestiegen. Um die vergütungsrechtlichen Voraussetzungen dafür zu erhalten, dass den Gerichten und Staatsanwaltschaften weiterhin qualifizierte Sachverständige und Sprachmittler in ausreichender Zahl zur Verfügung stehen, sind die diesbezüglichen Vergütungssätze des JVEG anzupassen. Zudem sind die Entschädigungsregelungen des JVEG für Telekommunikationsunternehmen, die Anordnungen zur Überwachung der Telekommunikation umsetzen, aus technischer Sicht zum Teil überholt und bedürfen einer Aktualisierung.
Mit der Erhöhung der Rechtsanwaltsgebühren sowie der Anpassung der Vergütungen und Entschädigungen nach dem JVEG sind höhere Ausgaben des Staates in Rechtssachen verbunden. Gleichzeitig sind auch die Sach- und Personalkosten der Justiz gestiegen. Daher sind auch die Gerichtsgebühren sowie die Gerichtsvollziehergebühren anzupassen. Die vorgeschlagenen Maßnahmen sollen auch zur Erreichung des Nachhaltigkeitsziels 16 der UN-Agenda 2030 beitragen, leistungsfähige, rechenschaftspflichtige und transparente Institutionen auf allen Ebenen aufzubauen und den gleichberechtigten Zugang aller zur Justiz zu gewährleisten.
Zur Anpassung der gesetzlichen Rechtsanwaltsvergütung wird eine Kombination aus strukturellen Verbesserungen im anwaltlichen Vergütungsrecht sowie einer linearen Erhöhung der Gebühren des RVG vorgeschlagen. Dabei sollen die Betragsrahmen- sowie die Festgebühren um 9 Prozent und die Wertgebühren um 6 Prozent steigen. Die Gerichtsgebühren sollen ebenfalls linear um 9 beziehungsweise 6 Prozent angehoben werden, die Gerichtsvollziehergebühren um 9 Prozent. Darüber hinaus sind einzelne weitere strukturelle Änderungen in den Justizkostengesetzen vorgesehen.
Auch die Honorarsätze der Sachverständigen und Sprachmittler sollen um 9 Prozent erhöht werden. Die Entschädigungstatbestände für die Telekommunikationsüberwachung sollen an die geänderten technischen Rahmenbedingungen und die Entschädigungssätze an die veränderten Personal- und Sachkosten angepasst werden.
Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastrukturen, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen.
In Folge des völkerrechtswidrigen russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicherheit in Deutschland 2022 die IT-Sicherheitslage insgesamt zugespitzt. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rahmen des Krieges. Zudem haben auch Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren der digitalen Welt ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Dieser Entwurf steht im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.
B. Lösung, Nutzen
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:
– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro und im Jahr 2023 voraussichtlich bei 205,9 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigten. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.
