Zugangssicherungen bei kritischen Infrastrukturen: Auch eine Compliancepflicht

In den letzten Jahren kam es in Deutschland vermehrt zu Sabotageakten gegen die sogenannte kritische Infrastruktur (KRITIS). So gab es wiederholte technische Sabotage an Bahntrassen. Brände in den Kabelschächten und Beschädigungen von Leitungen und Gleisen brachten den Zugverkehr teilweise tagelang zum Erliegen oder behinderten ihn zumindest (Ist die Bahn ausreichend gegen Sabotage gewappnet? | tagesschau.de). Die Bundeswehr entdeckte ein Loch im Zaun zum kaserneneigenen Wasserwerk. Die Vermutung, dass dies ein Sabotage-Akt war, mit dem die  Wasserversorgung der Bundeswehr verunreinigen werden sollte, war nicht fernliegend (Bundeswehr in Köln-Wahn: Was zum Sabotage-Verdacht bekannt ist | tagesschau.de). All diese Beispiele zeigen, wie vulnerabel die kritische Infrastruktur in Deutschland ist.

Zwei Perspektiven

Völlig klar ist: die Täter:innen aus den obigen Beispielen machen sich strafbar. Angriffe auf die Bahn sind regelmäßig als „Gefährliche Eingriffe in den Bahn-, Schiffs- und Luftverkehr“ (§ 315 Abs. 1 Nr.1 StGB) und Sachbeschädigung (§ 303 Abs. 1 StGB) strafbar. Ebenso denkbar ist eine Strafbarkeit nach den §§ 223 Abs. 1, 224 Abs. 1 StGB (Körperverletzung, gefährliche Körperverletzung, auch im Versuch) hinsichtlich der Verunreinigung des Wassers. Diese Straftatbestände können unter Umständen – und wie immer je nach Sachlage – empfindliche Höchststrafen von bis zu zehn Jahren bedeuten.

Neben der Täterseite muss man aber auch auf die Geschädigtenseite schauen. Juristisch stellt sich nämlich auch die Frage, was der oder die Geschädigte bzw. Betroffene getan oder unterlassen hat, damit es überhaupt erst zu einer solchen Störung kommen konnte. Haben die Betreiber:innen Fehler gemacht, können sie ebenfalls juristisch belangt werden – auch wenn wir hier im Regelfall nicht über Freiheitsstrafen reden werden.

Betreiberverantwortlichkeit

Die sog. Betreiber:innenpflichten [A1] ergeben sich aus verschiedenen Gesetzen und Verordnungen, die sowohl im öffentlichen Recht als auch im Zivilrecht verankert sind. Diese Pflichten können sich daher je nach Art und Umfang der betriebenen Anlage oder Einrichtung aus verschiedenen Rechtsgebiete ergeben. Zu unterscheiden sind technische und organisatorische Pflichten.. Wir wollen hier vor allem die organisatorischen Pflichten in den Blick nehmen. Damit ist insbesondere gemeint, dass betriebliche Abläufe und Prozesse ordnungsgemäß organisiert und durchgeführt werden sowie die gesetzlichen Vorgaben im Tagesgeschäft eingehalten werden. Hierzu zählt beispielsweise, dass Arbeitsschutzkonzepte erstellt werden müssen und Betriebsabläufe dokumentiert werden.

Und während das alles sehr abstrakt klingt, bedeutet es aber auch ganz konkrete Dinge wie die Absicherung des Betriebsgeländes. Es gehört zur Pflicht der Betreiber:innen dafür Sorge zu tragen, dass die Türen sicher genug sind und die Schlösser funktionieren. Es muss klar sein, wer wann die Türen öffnen und schließen darf. Wer darf denn den Serverraum überhaupt betreten? Und wer kann in die Netzleitwarte? Wer kontrolliert die Funktionsfähigkeit der Redundanzsysteme? Werden Externe auf dem Gelände immer begleitet? Sind Zugänge zu Lagern für Gefahrenstoffe gesichert? Gibt es ein Protokoll, wer wann diese Lager betreten hat? Gibt es einen Objektschutz in der Nacht? Wenn man einmal nachdenkt, fällt einem schnell auf, wie viele Schutz- und Schließpflichten sich für die Betreiber:innen ergeben.

Aufsichtspflichtverletzung nach den §§ 30, 130 OWiG

Wenn wir wieder zum Juristischen zurückkommen: Wen treffen denn diese Pflichten? Die einfache Antwort: Die Geschäftsleitung. Sie hat generell sicherzustellen, dass das betriebliche Geschehen ordnungsgemäß abläuft. Dazu gehört insbesondere, dass die Geschäftsleitung Verantwortlichkeiten und einzelne Ablauf- und Zusammenarbeitsprozesse festgelegt werden – inklusive von Sicherungs- und Schließkonzepten.

Das heißt natürlich nicht, dass alle Geschäftsleiter:innen nachts mit Taschenlampe alle Zäune des Betriebsgeländes ablaufen müssen. Es heißt aber, dass sie die Organisation so aufstellen, dass es jemand tut, wenn das wegen der Sensibilität des Geländes nötig ist. Organisiert die Geschäftsleitung den Betrieb unzureichend, haftet diese nach §§ 30, 130 OWiG. Bei Verstößen können durchaus empfindliche Geldbußen verhängt werden. Dies zu managen ist eine Compliance-Pflicht. Und aus der Perspektive der vielen Nutzer:innen von kritischer Infrastruktur – von Wasser und Transport bis zu Energie, Abfall, Lebensmittelhandel – möchte man sogar von einer elementaren Compliance-Pflicht reden.

Ansprechpartner:innen: Prof. Dr. Ines Zenke/Dr. Christian Dessau/Dr. Susana Campos Nave

Share
Weiterlesen

13 Januar

Neuregelung im BGB: Übertragbarkeit beschränkter persönlicher Dienstbarkeiten für Erneuerbare-Energien-Anlagen (Teil 2)

Wir haben in einem ersten Beitrag zu beschränkten persönlichen Dienstbarkeiten bei der Errichtung und dem Betrieb von Photovoltaik-Freiflächenanlagen und Windenergieanlagen erläutert, wie die Praxis bisher damit umgegangen ist. In diesem Beitrag klären wir, wie sich die Neuregelung durch das Gesetz...

10 Januar

Neuregelung im BGB: Übertragbarkeit beschränkter persönlicher Dienstbarkeiten für Erneuerbare-Energien-Anlagen (Teil 1)

Beschränkte persönliche Dienstbarkeiten spielen eine wichtige Rolle, wenn es darum geht, Photovoltaik-Freiflächenanlagen und Windenergieanlagen zu errichten und zu betreiben. Das hat auch der Gesetzgeber erkannt. Mit dem Gesetz zur Zulassung virtueller Wohnungseigentümerversammlungen, zur Erleichterung des Einsatzes von Steckersolargeräten und zur...