Profiling von Hochrisikolieferanten – umstrittener Vorschlag eines völlig neuen Konzeptes zur Beurteilung von Marktteilnehmern im neuen TKG Entwurf
Die Bundesregierung hat knapp vor Weihnachten den überfälligen Entwurf eines neuen Telekommunikationsgesetztes (TKG) vorgelegt. Damit sollen ua die Bestimmungen des Europäischen Kodex für die elektronische Kommunikation (RL (EU) 2018/1972) ins nationale Recht umgesetzt werden. Im Reigen der Anpassungen und Neuregelungen sticht ein Regelungsbereich besonders hervor: Mit § 44a TKG wird ein der österreichischen Rechtsordnung in dieser Form bislang nicht bekanntes Regime für die Qualifikation von Hochrisikolieferanten eingeführt, das so im Europäischen Kodex für die elektronische Kommunikation nicht vorgesehen ist. Die Landwirtschaftsministerin soll Hersteller und Dienstleister für Netzwerkkomponenten aus Gründen der nationalen Sicherheit per Bescheid als Hochrisikolieferanten einstufen und in letzter Konsequenz auch vom Markt ausschließen können. Hintergrund der Regelung ist die Sicherstellung der Netzsicherheit und Absicherung der kritischen Infrastruktur. Diese Schutzziele sind absolut relevant. Die konkrete Regelung ist aber aus mehreren Gründen überschießend und rechtlich bedenklich:
Nach dem Vorschlag der Bundesregierung wird für die Einordnung als Hochrisikolieferant nicht auf konkretes Tun der Hersteller oder Bedenken an Komponenten abgestellt. Vielmehr soll die Qualifikation allein auf einer Wahrscheinlichkeitseinschätzung von möglichen Dritteinwirkungen erfolgen. Im Kernpunkt steht die Beurteilung, ob ein betroffener Hersteller oder Dienstleister potentiell nicht oder nicht ständig in der Lage ist, einschlägige EU-Normen einzuhalten. Dabei werden aber nicht einmal die Schutzgüter näher definiert. Auch die Kriterien, die potentiell schädliche Einwirkungen näher ausführen sollen, sind ungenügend bestimmt und schaffen keine ausreichende Klarheit.
Wo liegt das Problem konkret?
Für die Einordnung als Hochrisikolieferant ist es unerheblich, ob der Anbieter tatsächlich Maßnahmen gesetzt hat, die EU-Normen verletzen und die nationale Sicherheit gefährden. Die Einstufung und mögliche Folge des Marktausschlusses wird vielmehr rein auf Basis einer ex-ante Beurteilung von Wahrscheinlichkeiten gesetzt. Damit ist das Profiling in dieser Form unsachlich und stellt einen massiven Eingriff in Grundrechte der Betroffenen, weiteren Marktteilnehmern und letztlich dem gesamten Markt dar. Eine so weitgehende Maßnahme müsste umso mehr den rechtsstaatlichen Prinzipien wie Bestimmtheits- und Sachlichkeitsgebot genügen. Der derzeitige Gesetzesentwurf wird dem jedoch nicht annähernd gerecht.
1. Unklare Begrifflichkeiten
Nach Art 18 der Bundesverfassung müssen Gesetze klar und ausreichend bestimmt sein. Der derzeitige Vorschlag ist aber weit davon entfernt. Die Beurteilung von Hochrisikolieferanten erfolgt vielmehr ausschließlich auf Basis von unbestimmten Kriterien. So ist sogar unklar, was überhaupt unter dem Schutzgut "Gründe der nationalen Sicherheit" zu verstehen ist. Die für den Marktausschluss relevanten Kriterien wie das Potential einer "Einwirkung von Regierungsorganisationen" oder der "Möglichkeit der Einflussnahme durch gesetzgeberische Akte", "die Fähigkeit Druck auszuüben", "allgemeine Rechtsstaatlichkeitsprinzipien von Drittstaaten" sowie "bestimmte Charakteristika in der Eigentümerstruktur des Herstellers, die eine Einflussnahme ermöglichen" sind massiv auslegungsbedürftig und intransparent, daher iSd Art 18 B-VG zu unbestimmt. Sie erlauben nicht einmal ansatzweise eine objektive Einschätzung und geben keine tauglichen Leitlinien für die Entscheidung des Rechtsanwenders vor. Im Ergebnis ist daher unvorhersehbar, welches Verhalten zu einer Hochrisiko-Einstufung führen kann.
2. Unsachlich und diskriminierende Kriterien
Das angedachte Regime öffnet der Diskriminierung von Herstellern/Anbietern aus Drittstaaten Tür und Tor. Die vorgeschlagenen Beurteilungskriterien knüpfen vorwiegend an die Herkunft des Anbieters bzw Herstellers an und lassen objektiv nachprüfbare Aspekte, wie zB getroffene Sicherheitsmaßnahmen außer Acht. Im Ergebnis wird mit der Bestimmung nur auf Hersteller und Dienstleister von Netzkomponenten aus dem Ausland fokussiert und damit diskriminiert.[1] Durch die unklaren Bestimmungen ist dagegen nicht einmal sicher gestellt, dass Hersteller oder Dienstleister, die tatsächlich gegen EU-Vorgaben verstoßen erfasst und als Hochrisikolieferanten eingestuft werden.
3. Keine technischen Kriterien
Auch die auf den ersten Blick vermeintlichen "technischeren" Maßstäbe im Kriterienkatalog des § 44a Ab 3 TKG werden bei näherer Betrachtung ihrem Namen nicht gerecht. So bleibt etwa völlig offen, unter welchen Bedingungen "ein zu geringes Ausmaß an Kontrolle über die eigene Zulieferkette" vorliegen kann, oder welche Produkte und Dienstleistungen konkret in die Beurteilung einfließen (vgl Ziffer 1). "Alle bereitgestellten Produkte und Dienstleistungen" ist jedenfalls zu überschießend und nicht gerechtfertigt.
Auch das Abstellen auf etwaig fehlende Sicherheits- oder Datenschutzübereinkommen zwischen der EU und Drittstaaten (Ziffer 4) liegt nicht in der Sphäre der betroffenen Hersteller oder Dienstleister und sagt nichts über die Einhaltung entsprechender Standards aus. Das Kriterium ist zudem auch krass überschießend: So gibt es mit fast keinen Staaten weltweit entsprechende Vereinbarungen – sind diese nun alle auszuschließen oder wird hier am Ende des Tages mit unterschiedlichem Maß gemessen, je nachdem ob der Sitzstaat des Anbieters (politisch) bequem ist oder nicht?
Ohne Nennung relevanter Standards, kann auch aus dem Wortlaut "unzureichendes Ausmaß der Fähigkeit des Herstellers zur Gewährleistung einer durchgängigen Versorgung" keine Schlussfolgerung getroffen werden. Es ist vollkommen offen, was darunter zu subsumieren ist. Faktoren, die den Grad einer unzureichenden Kapazität bestimmen würden, werden nicht angeführt. Die entsprechenden Erläuternden Bemerkungen beziehen sich auf Hindernisse aufgrund nationaler oder internationaler Sanktionen. Ein Rechtsanwender kann jedoch nicht mit hinreichender Sicherheit feststellen, dass bei der Beurteilung dieses Kriteriums nur objektiv gerechtfertigte und nichtdiskriminierende Faktoren berücksichtigt werden. Zudem sind alle relevanten Komponentenhersteller auf globale Beschaffungs- und Lieferketten angewiesen. Die Tatsache, dass die Fertigung nicht vollständig im eigenen Haus erfolgen kann, lässt per se keine Rückschlüsse auf den angewandten Sicherheitsstandard zu und führt auch nicht automatisch zu Konsequenzen für die Sicherheit von Netzwerkkomponenten.
Zudem ist der in Abs 3 vorgeschlagene Kriterienkatalog nicht abschließend, sondern eine bloß deklarative Auflistung von Merkmalen. Damit wird der Behörde ein enormer Ermessensspielraum eingeräumt, der für die Marktteilnehmer nicht einschätzbar ist und keine fundierten Entscheidungen ermöglicht. Das widerspricht dem Rechtstaatlichkeitsprinzip.
Das Profiling von Hochrisikolieferanten ist ferner derzeit auf die gesamte Netzinfrastruktur anwendbar, ohne dass auf bestimmte Kategorien oder Funktionalitäten der Netzbestandteile abgestellt wird. Das ist eine überschießende Umsetzung der zugrundeliegenden EU-Vorgaben. Ein Blick auf den in Deutschland verfolgten Ansatz zur Netzwerk-Cybersicherheit zeigt einen sinnvolleres Modell: Dort wird ausschließlich auf kritische Komponenten abgestellt und anhand technischer Kriterien beurteilt.
Bescheide der Ministerin sollen nach dem österreichischen Entwurf auf Empfehlung des „Fachbeirats für Sicherheit in elektronischen Kommunikationsnetzen“ erteilt werden. Dieser wird aber mehrheitlich politisch besetzt. Es liegt auf der Hand, dass Entscheidungen dadurch gegebenenfalls nicht auf Basis sachlicher und technologie-orientierter, sondern politischer Argumente getroffen werden könnten.
Wer trägt das Risiko?
Die Konsequenzen einer Einstufung als Hochrisikolieferant sind weitreichend und haben Auswirkungen auf den gesamten Markt. Wird ein Anbieter ausgeschlossen, trifft das nicht nur ihn, sondern alle Telekommunikationsprovider, aber auch deren Kunden: Alleine die drohende Gefahr des Ausschlusses einzelner Anbieter wird zu einer stärkeren Marktkonzentration führen. So kann es sich kein Netzbetreiber erlauben, auf einen Lieferanten zu setzen, der später vielleicht nicht mehr opportun ist. Das würde dazu führen, dass das Telekomunternehmen über Nacht ohne gewartete Systeme dastehen würde und kurzfristig auf einen anderen Partner umsteigen müsste. Ohne klare gesetzliche Grundlage mit unmissverständlichen und definierten technischen Kriterien möglicher sicherheitsrelevanter Netzelemente, wird das Risiko der Qualifikation als Hochsicherheitslieferant somit auf die Betreiber übertragen. Tatsächlich hat allein der vorliegende, überschießende Gesetzesvorschlag bereits jetzt aus Vorsicht zu Ausschlüssen von Anbietern in laufenden Vergabeprozessen für Netzkomponenten geführt. Die angesichts des bereits sehr engen Marktes zwangsläufig folgenden monopolistischen Strukturen führen erfahrungsgemäß aber zu steigenden Kosten, die an Endkunden weitergegeben werden. Monopolistische Strukturen sind zudem innovationsfeindlich und führen so zu technischen Risiken für den gesamten Sektor. Das ist gerade im Hinblick auf den 5G-Netzwerkaufbau kontraproduktiv.
Auch die Langfristwirkungen von Entscheidungen dürfen nicht übersehen werden: Der Lebenszyklus von Komponenten kann bis zu 10-15 Jahren umfassen. Sollte ein Hersteller in diesem Zeitraum als Hochrisikolieferant vom Markt ausgeschlossen werden, stehen die Netzbetreiber im Regen: Auch wenn bereits verbaute Komponenten nicht aus dem Betreib genommen werden müssen, haben sie keinen Zugriff mehr auf notwendige Systemupdates. De facto erfordert das daher einen Ausbau der betroffenen Teile. Da hilft die zeitliche Befristung der Bescheide für jeweils zwei Jahre wenig.
Angesichts der dargestellten Schwächen des Gesetzeskonzepts und den weitreichenden Folgen eines Eingriffs ist es folglich sehr kritisch, dass dem vorliegenden Entwurf effektive Entschädigungsregelungen für zu Unrecht als Hochrisikolieferanten qualifizierte Anbieter völlig fehlen.
Was ist zu tun?
Angesichts der Eingriffsintensität des Hochrisikolieferantenregimes ist besonders darauf Bedacht zu nehmen, dass die Beurteilungskriterien sachlich begründet, verhältnismäßig und ausreichend bestimmt sind. Nur das stellt sicher, dass sie vorhersehbar und objektiv, nicht-diskriminierend angewendet werden.
Dabei wäre es sinnvoll, konkret an den kritischen Komponenten und deren Erfüllung der notwendigen technischen Anforderungen anzusetzen, anstatt das Unternehmen oder seinen Sitzstaat anhand nicht objektivierbarer Definitionen und Parameter einzuordnen. Deutschland zeigt vor, dass eine Einschätzung des Risikoprofils auf Basis technischer Kriterien der kritischen Komponenten möglich und sinnvoll ist. Die notwendigen Ressourcen für die Prüfung sind aufzuwenden, wenn man daran so weitreichende Konsequenzen wie den Marktausschluss knüpfen möchte. Sofern der Behörde das Know-how und die entsprechenden Kapazitäten fehlen, kann sie noch immer auf die deutsche Beurteilung zurück greifen, statt anhand von offenen, unsachgerechten Kriterien kritische Entscheidungen zu treffen.
[1] Mehrere EU-Parlamentarier sprechen in einem öffentlichen Brief an drei EU-Kommissare vom 10. Februar 2021 von "technologischem Rassismus". siehe https://www.brusselstimes.com/wp-content/uploads/2020/09/Letter%20regarding%20implementation%20of%20communications%20technology%20in%20the%20%20EU.pdf