Trotz Verzögerung der nationalen Umsetzung der NIS-2-Richtlinie und CER-Richtlinie bleiben arbeitsrechtliche Maßnahmen notwendig.
Wasser, Strom, Lebensmittel und der öffentliche Nahverkehr sind unverzichtbare Bestandteile des alltäglichen Lebens. Die Versorgung mit diesen und weiteren unentbehrlichen Gütern und Dienstleistungen ist Aufgabe der Unternehmen der Kritischen Infrastrukturen (KRITIS). Diese sind neben natürlichen Gefahren (Naturkatastrophen, Pandemien) angesichts der gegenwärtig dynamischen internationalen Sicherheitslage erheblichen Bedrohungen ausgesetzt. Abhängigkeiten zwischen verschiedenen KRITIS-Sektoren und Branchen erhöhen das Ausfallrisiko von systemrelevanten Anlagen. Die Digitalisierung verstärkt diese Abhängigkeiten sowie die Verletzlichkeit der Systeme. Im Einzelfall können Ausfälle in einem KRITIS-Sektor erhebliche Dominoeffekte auslösen.
Mit Blick auf diese Ausgangslange hatte das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie – trotz des Endes der Ampelkoalition – noch den Bundestag passieren sollen. Dies war aus Sicht der Wirtschaft sehr befürwortet worden. Leider geschah dies nicht.
Die Frist zur Umsetzung der NIS-2-Richtlinie (Details und Hintergründe) in nationales Recht endete am 17. Oktober 2024. Zwar befasste sich der (inzwischen alte) Bundestag am 11. Oktober 2024 im Rahmen einer ersten Lesung noch mit dem Gesetzentwurf der Bundesregierung zur Umsetzung der Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, 20/13184). Doch die Verhandlungen scheiterten.
Dasselbe Schicksal ereilte das zweite wichtige Umsetzungsgesetz in diesem Zusammenhang: Das KRITIS-Dachgesetz, durch das die europäische CER-Richtlinie bis zum 17. Oktober 2024 hätte umgesetzt werden müssen, scheiterte ebenfalls. Am 6. November 2024 brachte das Bundeskabinett noch den Entwurf eines Gesetzes zur Stärkung der Resilienz kritischer Anlagen auf den Weg. Doch der Entwurf fand im Parlament keine Mehrheit.
Grundsatz der Diskontinuität – wie es nun weitergeht
Nach dem Grundsatz der (sachlichen) Diskontinuität müssen alle Gesetzentwürfe und andere Vorlagen, die vom alten Bundestag nicht beschlossen wurden, neu eingebracht und verhandelt werden. Beide Gesetzgebungsverfahren müssen daher – angefangen bei der Gesetzesinitiative – in der neuen Legislaturperiode vollständig neu begonnen werden. Mit einem kurzfristigen Abschluss ist daher nicht zu rechnen.
Der Koalitionsvertrag von Union und SPD sieht den „zeitnahen“ Abschluss eines „guten KRITIS-Dachgesetzes“ ausdrücklich vor und erwähnt die „Novellierung des BSI-Gesetzes im Rahmen der Umsetzung der NIS-2-Richtlinie“. Mit Blick auf den Stellenwert der infrastrukturellen Sicherheit und des öffentlich kommunizierten Interesses der deutschen Wirtschaft an Rechtssicherheit und Planbarkeit ist davon auszugehen, dass die Thematik durch die schwarz-rote Koalition mit Priorität bearbeitet werden wird. Dennoch ist nicht vor Ende 2025 mit dem Inkrafttreten der Umsetzungsgesetze zu rechnen.
KRITIS-Betreiber – Abwarten oder Handeln?
Unternehmen könnten aufgrund der letzten Entwicklungen verleitet sein, vorerst keine Maßnahmen zu ergreifen. Davon ist ausdrücklich abzuraten. Denn klar ist schon jetzt: Die Betreiber kritischer Infrastruktur werden künftig Resilienzpläne erarbeiten und neue Schutzmaßnahmen treffen müssen, um die gesetzlichen Anforderungen zu erfüllen. Klar scheint zudem: Sobald das KRITIS-Dachgesetz in Kraft tritt, werden voraussichtlich deutlich mehr Betreiber zur Kritischen Infrastruktur zählen, als dies bisher der Fall ist.
Zu den erforderlichen Schutzmaßnahmen zählen nicht nur technische, sondern auch organisatorische Vorkehrungen. Hierzu gehören insbesondere auch arbeitsrechtliche Maßnahmen. Unternehmen, die kritische Infrastruktur betreiben, sollten daher nicht auf das Inkrafttreten der Gesetze zur Umsetzung der europäischen Richtlinien warten. Gegen ein weiteres Abwarten spricht auch, dass die erforderlichen Maßnahmen der Richtlinien bereits seit Jahren bekannt sind und zuletzt auch nicht mehr Gegenstand der politischen Diskussionen waren. Die Expertenkritik bezog sich vielmehr z.B. auf die behördliche Stellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder eine fehlende Harmonisierung mit Regelungen europäischer Nachbarstaaten.
Unabhängig von verbleibenden Diskussionspunkten ist den Verantwortlichen (insbesondere auch den Geschäftsführungen) – auch unter Berücksichtigung der Pflicht zur Einführung eines effektiven Risiko-Management-Systems – die kurzfristige Entwicklung eines umfassendes Sicherheitskonzeptes dringend zu empfehlen.
Arbeitsrechtliche Maßnahmen nach dem Phasen-Modell
§ 8a Abs. 1 BSIG verpflichtet KRITIS-Betreiber bereits heute,
angemessene organisatorische […] Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.
Organisatorische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. Im Hinblick auf arbeitsrechtliche Maßnahmen benennt der letzte Gesetzesentwurf für das KRITIS-Dachgesetz (wie auch einzelne branchenspezifische Sicherheitsstandards) z.B. folgende Aspekte ausdrücklich:
- Zugangskontrollen
- Angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeitenden
- Schulungen und Übungen für das Personal
Im arbeitsrechtlichen Kontext ist die Angemessenheit der Maßnahmen in allen vier Phasen eines Arbeitsverhältnisses sicherzustellen:
1. Bewerbungsphase
In der Bewerbungsphase ist vor allem das Fragerecht des Arbeitgebers relevant. Für KRITIS-Arbeitgeber bestehen diesbezüglich im Einzelfall andere Pflichten aber auch andere Rechte als für Nicht-KRITIS-Arbeitgeber. In diesem Zusammenhang sind Arbeitgeber im Grundsatz berechtigt Fragen zu stellen, die zur Beurteilung der Eignung, Befähigung und fachlichen Leistung des Bewerbers notwendig sind. Sofern die relevante Position besondere Sicherheitsanforderungen stellt, erweitert sich das Fragerecht des KRITIS-Arbeitgebers entsprechend.
Ähnliches gilt für „Backgroundchecks“ im Wege einer Internetrecherche, die sich ebenfalls am Fragerecht des Arbeitgebers orientieren muss und durch das allgemeine Persönlichkeitsrecht des Arbeitnehmers begrenzt wird. Gezielte Online-Suchanfragen sind rechtmäßig, wenn sie auf einem legitimen, berufsbezogenen Grund beruhen. Dabei ist stets abwägend zu berücksichtigen, ob der Arbeitgeber im Einzelfall ein berechtigtes Interesse daran hat, die Information zu erhalten oder ob das Interesse des Arbeitnehmers an seiner Privatsphäre als Teil seines Persönlichkeitsrechts im Einzelfall überwiegt. Insbesondere bei Recherchen in sozialen Netzwerken, die primär auf das Teilen privater Inhalte ausgerichtet sind, ist daher besondere Vorsicht geboten.
Darüber hinaus sind datenschutzrechtliche Vorgaben zu berücksichtigen. Auch öffentlich zugängliche Informationen unterliegen dem Schutz der Datenschutz-Grundverordnung (DSGVO). So ist beispielsweise nach Auffassung des LAG Düsseldorf (Urteil v. 10. April 2024 – 12 Sa 1007/23) der Arbeitgeber im Einzelfall verpflichtet, den Bewerber über die Datenerhebung (in Form einer Internetrecherche) zu informieren, wenn der Arbeitgeber eine Kategorie von Daten zur Grundlage der Auswahlentscheidung im Bewerbungsprozess macht.
2. Einstellungsphase – Überprüfung durch das Bundeswirtschaftsministerium und das Bundesamt für Verfassungsschutz
Im Einstellungsprozess für Arbeitnehmer mit Zugriff auf besonders sensible Informationen ist überdies die Anfrage eines polizeilichen Führungszeugnisses im Einzelfall möglich und auch erforderlich. Denkbar ist insofern der Abschluss eines aufschiebend bedingten Arbeitsvertrages.
Sofern für den KRITIS-Betreiber im Einzelfall auch der Anwendungsbereich des Sicherheitsüberprüfungsgesetzes (SÜG) eröffnet ist und es sich um eine „sicherheitsempfindliche Tätigkeit“ i.S.v. § 1 Abs. 2 SÜG handelt, kann der Arbeitgeber beim Bundeswirtschaftsministerium eine Sicherheitsüberprüfung des einzustellenden Arbeitnehmers durch das Bundesamt für Verfassungsschutz beantragen.
Eine „sicherheitsempfindliche Tätigkeit“ übt z.B. aus, wer Zugang zu Verschlusssachen hat, die als geheim oder vertraulich eingestuft sind, oder sich Zugang hierzu beschaffen kann. Auch wer an einer sicherheitsempfindlichen Stelle innerhalb einer lebens- oder verteidigungswichtigen Einrichtung oder im militärischen Sicherheitsbereich beschäftigt ist, fällt in den Anwendungsbereich der Sicherheitsüberprüfung. Sicherheitsempfindliche Tätigkeiten finden sich auch im Bereich der KRITIS. Die Sicherheitsüberprüfungsfeststellungsverordnung (SÜFV) definiert die betroffenen Unternehmen bzw. Branchen näher (z.B. Unternehmen, die Leitstellen für das Elektrizitätsübertragungsnetz betreiben oder Leitstellen von Unternehmen, die mit Eisenbahnen Personen oder Güter befördern).
Das Bundeswirtschaftsministerium prüft auf Antrag zunächst die vom Arbeitgeber einzureichenden Unterlagen, z.B. den Nachweis der sicherheitsempfindlichen Tätigkeit. Das Bundesamt für Verfassungsschutz wird dann vom Bundeswirtschaftsministerium mit der Durchführung der gesetzlichen Überprüfungsmaßnahmen beauftragt. Welche Maßnahmen genau zur Überprüfung getroffen werden, bestimmt sich nach der Art der Tätigkeit und deren „Schwere“ der Sicherheitsempfindlichkeit – dies wiederum hängt von der Branche und der Geheimhaltungsstufe der Informationen, zu denen der Arbeitnehmer Zugang hat oder sich verschaffen kann, ab.
Besonderheiten sind schließlich auch bei der Ausgestaltung der Arbeitsverträge zu beachten. So sind besondere Anforderungen an Geheimhaltungsklauseln erforderlich. Zudem sollten vertragliche Pflichten zur Einhaltung gesetzlicher Vorgaben, Meldepflichten sowie die Möglichkeit eines flexiblen Einsatzes der Arbeitnehmer geregelt werden.
3. Sensibilisierungs- und Durchführungsphase
In der Sensibilisierungs- und Durchführungsphase während des laufenden Arbeitsverhältnisses hat der KRITIS-Betreiber die Aufgabe, seine Arbeitnehmer zielgruppenorientiert zu allen sicherheitsrelevanten Aspekten (regelmäßig) zu schulen. Mitbestimmungsrechte bestehender Arbeitnehmervertretungsgremien sind im Einzelfall zu beachten, insbesondere im Hinblick auf Maßnahmen der Leistungs- und Verhaltenskontrolle (§ 87 Abs. 1 Nr. 6 BetrVG). Soweit arbeitgeberseitige Maßnahmen jedoch in Erfüllung gesetzlicher Verpflichtungen erfolgen, scheidet ein Mitbestimmungsrecht des Betriebsrates gemäß § 87 Abs. 1 Hs. 1 BetrVG aus, soweit das Gesetz die Pflichten abschließend regelt. Im Hinblick auf die Durchführung von Schulungen ist zudem das Mitbestimmungsrecht des Betriebsrates gemäß § 98 BetrVG zu beachten.
Auch externe Dienstleister und Lieferanten eines KRITIS-Betreibers, die zum Betrieb der Kritischen Dienstleistung beitragen, sind vertraglich zu verpflichten, ihre Mitarbeiter und Unterauftragnehmer auf die spezifischen Sicherheitsanforderungen des KRITIS-Betreibers hinzuweisen und sie zu schulen. Ebenso müssen Geschäftsleitungen künftig regelmäßig Cyber-Schulungen absolvieren, welche sich mit der Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik befassen.
Zugangskontrollen sind ein weiterer wichtiger Bestandteil (physischer) Sicherheitskonzepte. Hierbei sind diverse arbeitsrechtliche Implikationen zu beachten. Auch der Einsatz einer Videoüberwachung von Mitarbeitenden bedarf einer sorgfältigen rechtlichen Prüfung. Arbeitgeber müssen zwingend ein berechtigtes Interesse an der Überwachung aufweisen. Dieses Interesse muss im Einzelfall schwerer wiegen als der Schutz des Persönlichkeitsrechts des Arbeitnehmers. Zudem ist zu unterscheiden, ob die Überwachung in einem öffentlichen zugänglichen Bereich oder in nicht öffentlichen Räumen stattfindet. Besonders strengen Voraussetzungen unterliegt die heimliche Videoüberwachung, welche nur in engen Ausnahmefällen zulässig ist.
Ferner sollten KRITIS-Betreiber einen abstrakten Prozess für die Durchführung von arbeitsrechtlichen Disziplinarmaßnahmen implementieren. Darin sind die Konsequenzen von Verstößen gegen KRITIS-spezifische Arbeitnehmerpflichten transparent zu machen.
4. Beendigungsphase
Schon vor Beendigung des Arbeitsverhältnisses sind Arbeitnehmer darüber zu informieren, dass sie auch im Anschluss – oder bei einem Wechsel des Aufgabengebiets – zur Einhaltung einschlägiger Regelungen zur Informationssicherheit verpflichtet bleiben. Entsprechende nachvertragliche Pflichten sollten bereits beim Abschluss des Arbeitsvertrages vereinbart werden.
Insbesondere beim Abschluss von Trennungsvereinbarungen sollte zudem auf die Ausgestaltung von Geheimhaltungsklauseln großer Wert gelegt werden. Die gesetzlichen Vorgaben des Geheimnisschutzgesetzes sind dabei zu berücksichtigten.
Bei sicherheitsrelevanten Vorfällen und auftretenden Sicherheitsrisiken (z.B. Gefahr der Einflussnahme von ausländischen Nachrichtendiensten und kriminellen oder extremistischen Vereinigungen; begründete Zweifel am Bekenntnis zur freiheitlichen demokratischen Grundordnung) eröffnen sich KRITIS-Betreibern wiederum besondere Kündigungsoptionen, die im Einzelfall zu prüfen sind. Hierauf kann – je nach Schwere des Verstoßes – ggf. auch eine verhaltensbedingte (fristlose) Kündigung auch ohne vorherige Abmahnung gestützt werden. Auch für KRITIS-Betreiber gilt jedoch der Ultima-Ratio-Grundsatz, sodass im Einzelfall voranging zu prüfen ist, ob eine Versetzung auf einen nicht sicherheitsrelevanten Arbeitsplatz möglich und zumutbar ist.
Bestmögliche Aufstellung
In der öffentlichen Debatte über die Pflichten der KRITIS-Betreiber stehen oftmals technische Vorkehrungen im Fokus. Durch die Implementierung von Soft- und Hardware ist die Kritische Infrastruktur in Deutschland zu schützen. Daneben bieten u.a. auch arbeitsrechtliche Maßnahmen notwendige Bausteine eines Gesamtkonzepts.
Betreiber Kritischer Infrastruktur sollten dabei bei der Vorbereitung und Umsetzung solcher Schritte nicht auf das Inkrafttreten der nationalen Gesetze zur Umsetzung der NIS-2-Richtlinie und der CER-Richtlinie warten. Die erforderlichen Maßnahmen der Richtlinien sind bekannt. Die verbleibende Zeit bis zum Abschluss des Gesetzgebungsverfahrens sollte für die Umsetzung der bereits heute bekannten Pflichten (und bestehenden Pflichten, z.B. gemäß § 8a BSIG) genutzt werden. Dies gilt einerseits, weil die gesetzlichen Pflichten nach Inkrafttreten der Gesetze unmittelbar gelten werden und andererseits, weil die Einführung eines funktionierenden Gesamtsystems einige Zeit in Anspruch nehmen kann.
