Einleitung: Cybersicherheit und die Kompetenzverteilung im EU-Verfassungsrecht
Der Vorschlag der Europäischen Kommission für ein zweites Cybersicherheitsgesetz ("CSA2" oder "CSA2-Vorschlag") stellt eine entscheidende Entwicklung im Ansatz der Europäischen Union zur Regulierung der digitalen Infrastruktur dar.
Im Zentrum von CSA2 steht die Idee eines Mechanismus auf Unionsebene, der in der Lage ist, IKT-Anbieter, Hersteller oder ganze Lieferketten als Sicherheitsrisiken einzustufen, verbunden mit verbindlichen Ausschlusswirkungen im gesamten Binnenmarkt.
Obwohl der Vorschlag formal als Maßnahme zur Stärkung des Binnenmarktes für IKT-Produkte und -Dienstleistungen präsentiert wird, geht er weit über eine technische Harmonisierung hinaus. Dies gilt insbesondere für die Vorschriften zu Hochrisiko-Lieferanten in Titel IV des CSA2-Vorschlags. Diese Vorschriften koordinieren nicht nur nationale Regulierungspraktiken, sondern ermächtigen die Europäische Kommission, Hochrisiko-Lieferanten einzustufen, insbesondere wenn sie aus einem Drittstaat stammen, der als Hochrisiko‑Staat gilt. Die Einstufung als Hochrisiko-Lieferant hat weitreichende Auswirkungen sowohl für das betroffene Unternehmen als auch für Kunden (wie Netzbetreiber), die Komponenten der betroffenen Einrichtung in ihre Systeme integriert haben.
Durch die Zentralisierung der Einstufung von Hochrisiko-Lieferanten wirkt sich der CSA2-Vorschlag auch unmittelbar auf die Aufteilung der Regulierungsbefugnisse zwischen der Europäischen Union und ihren Mitgliedstaaten aus. Der rechtliche Rahmen für diese Aufteilung wird durch das Zusammenspiel dreier zentraler Vertragsbestimmungen geprägt. Artikel 114 AEUV überträgt der Union die Zuständigkeit, die nationalen Rechtsvorschriften zum Zweck der Errichtung und des Funktionierens des Binnenmarkts zu harmonisieren. Artikel 4 Absatz 2 EUV weist die Gewährleistung der nationalen Sicherheit ausdrücklich der ausschließlichen Zuständigkeit der Mitgliedstaaten zu. Artikel 5 EUV wiederum schränkt die Ausübung der Zuständigkeiten der Union durch die Grundsätze der Subsidiarität und der Verhältnismäßigkeit ein.
Aus verfassungsrechtlicher Sicht der Europäischen Union ist daher nicht entscheidend, ob Cybersicherheit ein legitimes und wichtiges politisches Ziel ist. Vielmehr geht es darum, ob die EU-Verträge es der Union gestatten, die Verantwortung für die Feststellung von Sicherheitsrisiken als solche zu übernehmen, oder ob diese Feststellungen verfassungsrechtlich den Mitgliedstaaten vorbehalten bleiben.
Artikel 4 Absatz 2 EUV: Nationale Sicherheit als vorbehaltene Zuständigkeit
Der Gerichtshof hat die nationale Sicherheit als eine wesentliche staatliche Funktion charakterisiert, die eng mit der verfassungsrechtlichen Identität und den grundlegenden politischen Verantwortlichkeiten der Mitgliedstaaten verbunden ist (EuGH, Privacy International, C-623/17, Rn 44.). Vor diesem Hintergrund genießen nationale Sicherheitsinteressen seit langem Schutz nach EU-Recht und können insbesondere geltend gemacht werden, um Eingriffe der EU-Mitgliedstaaten in die von der Europäischen Union garantierten Rechte und Freiheiten zu rechtfertigen.
Artikel 4 Absatz 2 EUV, der 2009 durch den Vertrag von Lissabon eingeführt wurde, verankert diesen Schutz zusätzlich. Diese Bestimmung verpflichtet die Europäische Union, eine Reihe von Interessen zu "achten", wie beispielsweise die Gleichheit der Mitgliedstaaten und ihre nationale Identität. Darüber hinaus sieht Artikel 4 Absatz 2 ausdrücklich vor, dass die nationale Sicherheit in der "alleinigen Zuständigkeit" jedes Mitgliedstaats verbleibt. Diese Zuweisung der Alleinzuständigkeit wird nach herrschender Ansicht dahin verstanden, dass die Gesetzgebungskompetenz in Fragen der nationalen Sicherheit den Mitgliedstaaten vorbehalten ist; eine gesetzgeberische Tätigkeit der Europäischen Union in diesem Bereich ist ausgeschlossen.
Zwar haben die europäischen Gerichte noch nicht über den genauen Umfang der durch Artikel 4 Absatz 2 EUV auferlegten Zuständigkeitsgrenzen entschieden, doch lässt die Rechtsprechung aus anderen Bereichen gewisse Rückschlüsse auf den Umfang des Vorbehalts der nationalen Sicherheit zu. In Datenschutzfällen hat der EuGH entschieden, dass Tätigkeiten, die der Wahrung der nationalen Sicherheit dienen und auf die die DSGVO keine Anwendung findet, insbesondere Tätigkeiten umfassen, die dem Schutz wesentlicher staatlicher Funktionen und grundlegender gesellschaftlicher Interessen dienen (EuGH, Österreichische Datenschutzbehörde/WK, C-33/22, Rn 46.). Im Bereich der nationalen Sicherheit müssen die Gesetzgebungsbefugnisse der EU, insbesondere diejenigen horizontaler Art, so ausgelegt werden, dass sie nicht in die ausschließliche Zuständigkeit der Mitgliedstaaten gemäß Artikel 4 Absatz 2 EUV eingreifen.
In den letzten Jahren hat die Europäische Union Resilienz als ein zentrales politisches Ziel erkannt. Eine Reihe von Maßnahmen zur Stärkung der Resilienz, die auf der Grundlage der Binnenmarktkompetenz gemäß Artikel 114 AEUV erlassen wurden, sind eindeutig für die nationale Sicherheit relevant. Dies gilt beispielsweise für Rechtsvorschriften im Bereich der Cybersicherheit (NIS2-Richtlinie (EU) 2022/2555), zur Widerstandsfähigkeit kritischer Infrastrukturen (Richtlinie (EU) 2022/2557) sowie für den jüngsten Vorschlag zur verstärkten Harmonisierung im Bereich der Überprüfung ausländischer Direktinvestitionen (Rat der EU 6254/26). In diesen Bereichen zielt die EU-Gesetzgebung darauf ab, Mindeststandards festzulegen und sorgt für eine Koordinierung zwischen den Mitgliedstaaten, um eine einheitliche Anwendung zu gewährleisten.
Durch die Übertragung der Befugnis auf die Europäische Kommission, Drittstaaten und einzelne Anbieter als hochriskant einzustufen, geht der CSA2‑Vorschlag über diese Beispiele hinaus. Angesichts der ausdrücklichen Kompetenzvorbehalts für die nationale Sicherheit zugunsten der Mitgliedstaaten bleibt fraglich, ob Artikel 114 AEUV dahin ausgelegt werden kann, eine derartige Übertragung von Befugnissen auf die Kommission zu ermöglichen.
Artikel 114 AEUV: Binnenmarktzuständigkeit
CSA2 stützt sich formell auf Artikel 114 AEUV, auf den sich die Europäische Kommission als Rechtsgrundlage beruft, um nationale Vorschriften zu harmonisieren und so die Errichtung und das Funktionieren des Binnenmarkts für IKT‑Produkte, ‑Dienstleistungen und ‑Lieferketten zu gewährleisten.
Artikel 114 AEUV ermöglicht es der Union, nationale Rechtsvorschriften anzugleichen, sofern solche Maßnahmen tatsächlich der Errichtung und dem Funktionieren des Binnenmarkts dienen. Der Gerichtshof hat die Tragweite dieser Zuständigkeit fortlaufend anerkannt, insbesondere in Bereichen, die durch technologische Komplexität und regulatorische Zersplitterung geprägt sind (EuGH, Germany v Parliament and Council (Tobacco Advertising I), C-376/98, Rn 84–86.).
Innerhalb dieser Grenzen verfügt der Unionsgesetzgeber über einen weiten Ermessensspielraum, einschließlich der Befugnis, weitreichende regulatorische Beschränkungen oder sogar Vermarktungsverbote vorzusehen, sofern solche Maßnahmen tatsächliche Handelshemmnisse beseitigen oder erhebliche Wettbewerbsverzerrungen verhindern (EuGH, British American Tobacco, C-491/01, Rn 60-62.). Gleichzeitig stellt Artikel 114 AEUV keine Auffang- oder allgemeine Regelungskompetenz dar. Der Gerichtshof hat wiederholt hervorgehoben, dass er nicht herangezogen werden kann, wenn der wesentliche Regelungsgegenstand einer Maßnahme außerhalb der Marktintegration liegt.
Während Artikel 114 AEUV somit nicht verlangt, dass die Marktintegration das ausschließliche Ziel des Handelns der Europäischen Union ist, kann er nicht als Rechtsgrundlage dienen, wenn der wesentliche Regelungsgegenstand der Maßnahme in einem anderen Politikbereich liegt (EuGH, C-376/98, Germany v Parliament and Council, Rn 84-86; C-380/03, Germany v Parliament and Council, Rn 37-39.).
Sicherheitsrisiken sind keine objektiven Tatsachen, die unabhängig von einer rechtlichen Beurteilung bestehen. Sie sind das Ergebnis normativer, situationsbezogener und vorausschauender Bewertungen, die technische Merkmale, systemische Relevanz, Governance-Strukturen, geopolitische Abhängigkeiten und nationale Bedrohungswahrnehmungen einbeziehen.
Die Einstufung eines IKT-Anbieters, -Produkts oder einer Lieferkette als Sicherheitsrisiko stellt daher eine paradigmatische Ausübung nationaler Sicherheitsverantwortung dar. Sie beinhaltet zwangsläufig Entscheidungen über Wahrscheinlichkeit, Schweregrad und akzeptables Risiko vor dem Hintergrund des spezifischen nationalen Sicherheitsumfelds. Darüber hinaus zeigen die Kriterien für Risikobewertungen von Drittländern in Artikel 100 des CSA2-Vorschlags deutlich, dass die Einstufung nicht darauf abzielt, lediglich das Risiko technischer Schwachstellen widerzuspiegeln. Vielmehr werden Anbieter aufgrund ihres Herkunftslandes als Hochrisiko-Lieferant eingestuft, wenn dieses Land "ein ernsthaftes und strukturelles nichttechnisches Risiko für IKT-Lieferketten darstellt".
Ein unionsweiter Mechanismus, der außenpolitische und nachrichtendienstlich geprägte Risiken bestimmt, gleicht nationale Cybersicherheitsansätze nicht lediglich an. Er ersetzt sie. Es stellt sich daher die Frage, ob eine solche Maßnahme tatsächlich auf die Binnenmarktzuständigkeit des Artikels 114 AEUV gestützt werden kann oder ob sie vielmehr in die Zuständigkeiten des Europäischen Rates fällt, wie sie in Kapitel 2 EUV zur Gemeinsamen Außen- und Sicherheitspolitik festgelegt sind.
Artikel 5 EUV: Verhältnismäßigkeit und Subsidiarität als strukturelle Beschränkungen
Darüber hinaus unterliegt die Ausübung der Zuständigkeiten der Union weiterhin den in Artikel 5 EUV festgelegten allgemeinen Beschränkungen, insbesondere den Grundsätzen der Subsidiarität und der Verhältnismäßigkeit.
Nach ständiger Rechtsprechung müssen Maßnahmen der EU geeignet, erforderlich und verhältnismäßig im engeren Sinne sein. In Bereichen, die die öffentliche oder nationale Sicherheit berühren, hat der Gerichtshof entschieden, dass Ausnahmen und Abweichungen durch konkrete und kontextspezifische Erwägungen gerechtfertigt werden müssen und nicht auf abstrakter oder bloß vermutender Argumentation beruhen dürfen (EuGH, Commission v Finland, C-284/05, Rn 45-47; verbundene Rechtssachen C-203/15 und C-698/15, Tele2 Sverige, Rn 99-101; verbundene Rechtssachen C-511/18 ua, La Quadrature du Net, Rn 99).
Unionsweite Anbieterklassifizierungen schließen eine einzelfallbezogene Bewertung bereits auf Gesetzgebungsebene aus. Das daraus resultierende Defizit an Verhältnismäßigkeit entsteht somit schon im Stadium der gesetzgeberischen Ausgestaltung. Auch wenn es sich hierbei um eine dogmatische Ableitung und nicht um eine ausdrücklich vom Gerichtshof getroffene Feststellung handelt, ergibt sich dies aus dessen ständiger Forderung, dass wesentliche Elemente der Risikobewertung bei besonders sensiblen Schutzgütern nicht im Voraus ausgeschlossen werden dürfen (EuGH, verbundene Rechtssachen C‑203/15 und C‑698/15, Tele2 Sverige, Rn 99-101; verbundene Rechtssachen C‑511/18 ua, La Quadrature du Net, Rn 99).
Nach Artikel 5 Absatz 3 EUV ist ein Tätigwerden der Union nur zulässig, sofern die verfolgten Ziele von den Mitgliedstaaten nicht ausreichend verwirklicht werden können. Nationale Bedrohungslagen, Netzarchitekturen und Expositionsprofile unterscheiden sich jedoch erheblich. Eine Einebnung dieser Vielfalt durch zentralisierte Klassifizierungen birgt daher die Gefahr, eine wirksame Sicherheitssteuerung nicht zu stärken, sondern vielmehr zu untergraben.
Entscheidende Klarstellung durch Generalanwältin Ćapeta in der Rechtssache Elisa Eesti (C-354/24)
Die Schlussanträge der Generalanwältin Ćapeta in Elisa Eesti bieten eine dogmatisch präzise Ausarbeitung des Zusammenspiels zwischen dem Binnenmarktrecht und der nationalen Sicherheit im Unionsverfassungsrecht.
Die Generalanwältin bestätigt erstens, dass Maßnahmen, die aus Gründen der nationalen Sicherheit ergriffen werden, nicht allein aufgrund dieses Ziels vom Anwendungsbereich des EU-Rechts ausgenommen sind. Artikel 4 Absatz 2 EUV bewahrt die Zuständigkeit, nicht die rechtliche Isolation. Nationale Sicherheitsmaßnahmen unterliegen somit weiterhin der Verhältnismäßigkeitsprüfung nach EU-Recht, wenn sie harmonisierte Bereiche betreffen (Schlussanträge, Rn 54-57).
Zweitens stellt sie klar, dass der durch Artikel 4 Absatz 2 EUV gewährte Schutz von individualisierten, gerätespezifischen und kontextsensitiven Risikobewertungen abhängt (Rn 101-111). Es muss ein echtes, gegenwärtiges und hinreichend schwerwiegendes Risiko festgestellt werden, das mit der spezifischen Hardware oder Software, ihrer Funktion, ihrem Einsatz und ihrer Rolle innerhalb des Netzwerks zusammenhängt. Abstrakte, auf den Anbieter bezogene Vermutungen sind verfassungsrechtlich unzureichend (Rn 108-110).
Drittens erfordert die Verhältnismäßigkeit, dass die zuständigen Behörden ihre Risikobewertungen begründen und erläutern können, selbst wenn es um sensible Informationen geht (Rn 114–115). Die gerichtliche Überprüfung darf nicht auf eine bloße Zurückhaltung reduziert werden.
Die Logik von Elisa Eesti schließt daher kategorische Anbieterklassifizierungen auf Unionsebene aus. Solche Mechanismen machen eine individuelle Prüfung überflüssig, ersetzen die nationale Verantwortung und erfüllen nicht die in den Artikeln 4 Absatz 2 und 5 EUV verankerten Anforderungen an die Verhältnismäßigkeit.
Conclusio: Verfassungsrechtliche Fragen, die der CSA2-Vorschlag aufwirft
Gemessen an dem oben beschriebenen verfassungsrechtlichen Rahmen wirft CSA2 komplexe Fragen auf, die über Fragen der Regulierungsintensität oder der technischen Ausgestaltung hinausgehen.
Erstens: Welcher Art und welchen Umfangs ist die in Artikel 4 Absatz 2 EUV vorgesehene Vorbehaltsklausel, nach der die "nationale Sicherheit" in der Verantwortung der Mitgliedstaaten verbleibt? Zwar entbindet dieser Vorbehalt die Europäische Union nicht von ihrer Zuständigkeit, nationale Rechtsvorschriften auch dann zu harmonisieren, wenn diese für die nationale Sicherheit relevant sind; doch stellt sich die Frage, ob die EU die Risikobewertung und die Einstufung von Hochrisikoanbietern zentralisieren kann, indem sie diese Befugnis der Europäischen Kommission überträgt.
Indem der Europäischen Kommission die Befugnis eingeräumt wird, verbindliche Feststellungen zu geopolitischen und nachrichtendienstlichen Sicherheitsrisiken zu treffen, überschreitet der CSA2‑Vorschlag wohl die bloße Harmonisierung des Binnenmarkts und dringt in den verfassungsrechtlich sensiblen Bereich der staatlichen Sicherheitssteuerung vor, der den Mitgliedstaaten gemäß Artikel 4 Absatz 2 EUV vorbehalten ist.
Zweitens: Obwohl Artikel 114 AEUV bereits zuvor als Rechtsgrundlage für Rechtsakte im Bereich der Cybersicherheit herangezogen wurde, hängt seine Anwendbarkeit davon ab, dass der Schwerpunkt der Maßnahme tatsächlich in der Harmonisierung des Binnenmarkts liegt (EuGH, Digital Rights Ireland, C-293/12, Rn 65-69.). Artikel 114 AEUV wird daher typischerweise durch Erwägungen der Einheitlichkeit, der Effizienz oder der Vermeidung regulatorischer Zersplitterung ausgelöst. Solche Erwägungen können die Harmonisierung technischer Anforderungen oder die Koordinierung von Verfahren tragen.
Demgegenüber wird CSA2 nicht in erster Linie durch Marktfragmentierung oder divergierende nationale technische Standards ausgelöst. Seine operative Logik beruht vielmehr auf der Zuschreibung von Sicherheitsrisiken. Die primäre Funktion einer solchen Maßnahme besteht darin, Risiken für kritische Infrastrukturen auszuschließen. Die berücksichtigten Risiken sind nicht technischer Natur, sondern beziehen sich vor allem auf außenpolitische und nachrichtendienstliche Gefahren, die sich aus dem Herkunftsstaat des Anbieters ergeben. Es erscheint daher plausibel, dass der Schwerpunkt der Maßnahme nicht im Binnenmarkt, sondern im Bereich der nationalen Sicherheit liegt.
Drittens: Der CSA2‑Vorschlag wirft Fragen hinsichtlich der Grundsätze auf, an die die Europäische Union bei der Ausübung ihrer Zuständigkeiten gebunden ist, namentlich der in Artikel 5 EUV verankerten Grundsätze der Verhältnismäßigkeit und der Subsidiarität.
Insbesondere ergeben sich erhebliche Bedenken im Hinblick auf das Subsidiaritätsprinzip. Nach diesem Grundsatz wird die Union nur tätig, sofern und soweit die Ziele der in Betracht gezogenen Maßnahme von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr auf Unionsebene besser zu erreichen sind. Entsprechend diesem Grundsatz sollten Unionsmaßnahmen den nationalen Entscheidungen so viel Spielraum wie möglich belassen, soweit dies mit der Zielerreichung der Maßnahme und der Wahrung der Anforderungen des Unionsprimärrechts vereinbar ist (EuGH, Luxembourg v Parliament and Council, C-176/09, Rn 77.). Ob ein Tätigwerden auf Unionsebene tatsächlich besser geeignet wäre, das Ziel der Vermeidung von Abhängigkeiten von Hochrisikoanbietern zu erreichen, erscheint jedoch zweifelhaft, nicht zuletzt angesichts der bekannten Zurückhaltung der Nachrichtendienste der Mitgliedstaaten, ihre Erkenntnisse mit den Organen der Europäischen Union zu teilen.
Hinsichtlich der Verhältnismäßigkeit macht die jüngere Stellungnahme von Generalanwältin Ćapeta zu Einstufungen von Hochrisikoanbietern durch die Mitgliedstaaten deutlich, dass derartige Entscheidungen auf einer individualisierten Bewertung beruhen müssen, die die jeweils betroffene Ausrüstung, den Hersteller sowie dessen Herkunftsland berücksichtigt. Demgegenüber ist die Bewertung im Rahmen des CSA2‑Vorschlags primär länderbezogen ausgestaltet. Zwar verfügt der Unionsgesetzgeber im Rahmen der Verhältnismäßigkeitsprüfung nach Artikel 5 EUV über ein weites Ermessen; gleichwohl erscheint es zweifelhaft, ob ein Mechanismus zur sicherheitsrechtlichen Einstufung, der bei Erlass durch einen Mitgliedstaat am Maßstab der Verhältnismäßigkeit scheitern würde, von der Union wirksam eingeführt werden kann.