Atomgesetz

Das Atomgesetz (genauer: Gesetz über die friedliche Verwendung der Kernenergie und den Schutz gegen ihre Gefahren) beschäftigt sich mit der Nutzung von Kernenergie – insbesondere zur gewerblichen Elektrizitätserzeugung – und der durch ihre Verwendung entstehenden Gefahren, § 1 AtG. Aufgrund dieser Gefahrgeneigtheit wird daher insbesondere zur Aufbewahrung von Kernbrennstoffen (§ 6 AtG), zum Umgang mit letzteren nach § 7 AtG und zum Betrieb einer ortsfesten Atomanlage (§ 7 AtG) eine behördliche Genehmigung benötigt. Der neue § 44b AtG nimmt die Inhaber solcher Genehmigungen daher in die Pflicht etwaige Beeinträchtigungen ihrer Informationstechnik, die zu einer Gefährdung oder Störung der nuklearen Sicherheit führen können, unverzüglich an das BSI zu melden, das auch hier wieder als zentrale Meldestelle in allen Angelegenheiten der Informationssicherheit fungiert.

Der § 44b AtG rekurriert ausdrücklich auf den § 8b Abs. 1, 2 und 7 BSIG. Gerade aufgrund der Verweisung ist der unterschiedliche Sprachgebrauch im Hinblick auf die Begriffe „Störungen“ und „Beeinträchtigungen“ bemerkenswert. Während bei § 44b AtG Beeinträchtigungen, die  zu Störungen führen können, gemeldet werden sollen, ist es bei § 8b Abs. 4 BSIG genau umgekehrt. Hornung kritisiert daher, die neuen Vorschriften in BSIG und AtG (und TKG) seien zu wenig aufeinander abgestimmt.1Hornung, Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, 3334 (3337). Dieser Kritik muss man im Hinblick auf das AtG insofern zustimmen, als der Gesetzgeber es versäumt hat, eine mit § 14 BSIG vergleichbare Bußgeldvorschrift in Ergänzung zu § 46 AtG zu schaffen. Ein Verstoß gegen die Meldepflichten aus § 44b AtG löst nach diesem Gesetz mithin keine konkreten Rechtsfolgen aus. Die Nachlässigkeit des Gesetzgebers in diesem Punkt bedeutet einen nicht zu rechtfertigenden Verstoß gegen Art. 3 GG.2Hornung, Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, 3334 (3336); Roos, Das ...continue Die unterschiedliche Verwendung der Termini „Beeinträchtigungen“ und „Störungen“ muss jedoch nicht zwangsläufig ein Redaktionsversehen sein. Dies könnte auch so zu verstehen sein, dass nach § 44b AtG – allein schon auf Grund der atomaren Gefahr – niedrigere Anforderungen an die Meldepflicht gelten sollen.3Roos, Das IT-Sicherheitsgesetz – Wegbereiter oder Tropfen auf den heißen Stein?, MMR 2015, 636 (643). Für die letztgenannte Begriffsinterpretation streitet, dass nach dem ersten Referentenentwurf für das IT-Sicherheitsgesetz vom 18.08.2014 die Meldung nach § 8b BSIG auch noch bei Beeinträchtigungen hätte erfolgen müssen.4http://www.computerundrecht.de/Entwurd_IT-Sicherheitsgesetz_1808.pdf (aufgerufen am 10.05.2016). Diese im Entwurf als „umfassend“ bezeichnete Meldepflicht wollte der Gesetzgeber dann wohl nicht mehr bei jeder Kritischen Infrastruktur beibehalten.5Roos, Das IT-Sicherheitsgesetz – Wegbereiter oder Tropfen auf den heißen Stein?, MMR 2015, 636 (643).

Allerdings wurde im AtG der Begriff „Beeinträchtigung“ nicht legaldefiniert, und auch die Gesetzgebungsunterlagen bieten hierzu keinerlei Anhaltspunkte. Aus § 109 Abs. 5 S. 2 TKG lässt sich gleichwohl der Gedanke ziehen, dass eine Beeinträchtigung bereits bei einer Einschränkung der Verfügbarkeit und dem unerlaubten Zugriff auf das System vorliegt.

Auch wenn das AtG wie oben angegeben (noch) keine Sanktionen bei Nichtbeachtung vorsieht, sollten die vorbezeichneten Genehmigungsinhaber eine Beeinträchtigung immer melden. Denn einerseits kann das BSI den Genehmigungsinhabern mit Rat und Tat zur Seite stehen, und andererseits gehen sie so Haftungsrisiken aus dem Weg. Denn ob es sich bei den Meldepflichten nach dem IT-sicherheitsrechtlichen Meldepflichten um Schutzgesetze im Sinne von § 823 Abs. 2 S. 1 BGB handelt, bedarf erst noch einer Klärung durch die Gerichte.6Hornung, Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, 3334 (3340) lehnt dies ab.

Referenzen   [ + ]

1. Hornung, Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, 3334 (3337).
2. Hornung, Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, 3334 (3336); Roos, Das IT-Sicherheitsgesetz – Wegbereiter oder Tropfen auf den heißen Stein?, MMR 2015, 636 (644).
3. Roos, Das IT-Sicherheitsgesetz – Wegbereiter oder Tropfen auf den heißen Stein?, MMR 2015, 636 (643).
4. http://www.computerundrecht.de/Entwurd_IT-Sicherheitsgesetz_1808.pdf (aufgerufen am 10.05.2016).
5. Roos, Das IT-Sicherheitsgesetz – Wegbereiter oder Tropfen auf den heißen Stein?, MMR 2015, 636 (643).
6. Hornung, Neue Pflichten für Betreiber kritischer Infrastrukturen: Das IT-Sicherheitsgesetz des Bundes, NJW 2015, 3334 (3340) lehnt dies ab.