+++ Sachverhalt (reduziert auf das Wesentliche)
Das Unternehmen Kaspersky (K) vertreibt Virenschutzsoftware. Kaspersky ist ein deutsches Unternehmen das in 100 % der russischen Muttergesellschaft ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt öffentlich vor der Verwendung der Virenschutzsoftware der K. Hintergrund ist die Sorge vor Cyberangriffen Russlands im Zuge des Ukraine-Krieges.
Einordnung des Falls
Warnung des Bundesamts für die Sicherheit in der Informationstechnik (BSI) vor Virenschutzprogramm („Kaspersky“)
Die Jurafuchs-Methode schichtet ab: Das sind die 10 wichtigsten Rechtsfragen, die es zu diesem Fall zu verstehen gilt
1. K begehrt einen Widerruf der Warnung und ein zukünftiges Unterlassen ähnlicher Warnungen. Ist der Erlass einer einstweiligen Anordnung (§ 123 Abs. 1 S. 2 VwGO) der statthafte Rechtsbehelf?
Diese Rechtsfrage lösen [...Wird geladen] der Jurist:innen
in Studium und Referendariat richtig.
...Wird geladen
Genau, so ist das!
Der Erlass einer einstweiligen Anordnung nach § 123 Abs. 1 VwGO ist statthaft, wenn in der Hauptsache keine Anfechtungsklage (§ 42 Abs. 1 Alt. 1 VwGO) statthaft wäre (§ 123 Abs. 5 VwGO). Zu prüfen ist also, ob die Klagebegehr gerichtet ist auf die Aufhebung eines Verwaltungsakts.
Die Warnung des BSI ist mangels Regelungswirkung kein Verwaltungsakt (§ 35 S. 1 VwVfG), sondern ein Realakt. Hier wäre in der Hauptsache die allgemeine Leistungsklage zu erheben. Demnach ist im Eilrechtsschutz der Antrag nach § 123 Abs. 1, konkret nach § 123 Abs. 1 S. 2 VwGO statthaft, da eine einstweilige Anordnung zur Regelung eines vorläufigen Zustands in Bezug auf ein streitiges Rechtsverhältnis erlassen werden soll.
Die Abgrenzung zwischen dem Eilrechtsschutz nach § 123 Abs. 1 VwGO und nach § 80 Abs. 5 VwGO solltest Du können
2. Ist der Antrag auf Erlass einer einstweiligen Anordnung begründet, wenn der geltend gemachte Anspruch besteht?
Diese Rechtsfrage lösen [...Wird geladen] der Jurist:innen
in Studium und Referendariat richtig.
...Wird geladen
Nein, das trifft nicht zu!
Der Antrag auf Erlass einer einstweiligen Anordnung ist begründet, soweit der Antragsteller einen Anordnungsanspruch und einen Anordnungsgrund glaubhaft macht (§ 123 Abs. 3 VwGO i.V.m. §§ 920 Abs. 2, 294 ZPO).
Der Anordnungsanspruch meint den materiell-rechtlichen Anspruch, um den in der Hauptsache gestritten wird und der durch die einstweilige Anordnung gesichert bzw. vorläufig realisiert werden soll. Insoweit prüft das Verwaltungsgericht summarisch die Erfolgsaussichten der Hauptsache.
Ein Anordnungsgrund besteht, wenn unter Berücksichtigung der Interessen des Antragstellers und dem öffentlichen Interesse das Abwarten der Hauptsacheentscheidung unzumutbar ist (Eilbedürftigkeit). Anordnungsanspruch und -grund sind glaubhaft gemacht, wenn dargelegt wird, dass sie überwiegend wahrscheinlich vorliegen; es muss nicht lückenlos feststehen, dass der Anspruch besteht. Gemäß §§ 920 Abs. 2, 294 ZPO dürfen zur Glaubhaftmachung nur präsente Beweismittel herangezogen werden.
3. Als Anordnungsanspruch müsste K einen Anspruch auf Unterlassung der amtlichen Warnung des BSI haben. Könnte sich dieser Anspruch aus dem öffentlich-rechtlichen Unterlassungsanspruch ergeben?
Diese Rechtsfrage lösen [...Wird geladen] der Jurist:innen
in Studium und Referendariat richtig.
...Wird geladen
Ja!
Der öffentlich-rechtliche Unterlassungsanspruch - hier gerichtet auf Unterlassung der Wiederholung einer amtlichen Warnung - setzt voraus, dass (1) eine hoheitliche Maßnahme (2) in subjektive Rechte des Betroffenen eingreift, (3) die konkrete Gefahr ihrer Wiederholung besteht und (4) der Betroffene nicht verpflichtet ist, den Eingriff zu dulden. Eine Duldungspflicht besteht, wenn der Eingriff rechtmäßig ist.
Der öffentlich-rechtliche Unterlassungsanspruch wird wahlweise hergeleitet aus dem Rechtsstaatsprinzip (Art. 20 Abs. 3 GG), aus den Grundrechte oder analog §§ 12, 862, 1004 BGB. Er ist jedenfalls allgemein anerkannt.
In der Klausur musst Du den öffentlich-rechtlichen Unterlassungsanspruch immer knapp - so wie im voranstellenden Vertiefungshinweis - herleiten.
4. Die Warnung des BSI ist eine hoheitliche Maßnahme. Ist hier ein Eingriff in die subjektiven Rechte von K - konkret Ks Berufsfreiheit (Art. 12 Abs. 1 GG i.V.m. Art. 19 Abs. 3 GG) - ausgeschlossen, weil die Warnung keinen klassischen Eingriff in die Berufstätigkeit darstellt?
Diese Rechtsfrage lösen [...Wird geladen] der Jurist:innen
in Studium und Referendariat richtig.
...Wird geladen
Nein, das ist nicht der Fall!
Ein Eingriff in Art. 12 Abs. 1 GG liegt bereits vor, wenn das staatliche Handeln Rahmenbedingungen der Berufsausübung verändert und in Zielsetzung und mittelbar-faktischen Wirkungen einem Grundrechtseingriff als funktionales Äquivalent gleichkommt. Von einem solchen funktionalen Äquivalent ist jedenfalls dann auszugehen, wenn eine amtliche Information direkt auf die Marktbedingungen konkret individualisierter Unternehmen zielt, indem sie die Grundlagen der Entscheidungen am Markt zweckgerichtet beeinflusst und so die Markt- und Wettbewerbssituation zum wirtschaftlichen Nachteil der betroffenen Unternehmen verändert (RdNr. 41). Die Warnung des BSI ist ihrem Inhalt nach darauf gerichtet, die Öffentlichkeit vor Gefahren zu warnen, die aus Sicht des BSI mit der Nutzung der von K vertriebenen Virenschutzsoftware verbunden sind, und empfiehlt ausdrücklich, Ks Software durch andere Produkte zu ersetzen. Die Warnung ist somit gezielt darauf ausgerichtet, das Marktverhalten der Adressaten zu beeinflussen, und erschwert K faktisch das Agieren am Markt (VG Köln, RdNr. 26). Hier musst Du in der Klausur sauber den Sachverhalt ausschlachten.
5. Damit Ks Anspruch besteht, müsste der Eingriff in Ks Grundrecht auch rechtswidrig sein (= keine Duldungspflicht). Kommt als gesetzliche Ermächtigungsgrundlage, derer der mittelbar-faktische Eingriff in jedem Fall bedarf, hier § 7 Abs. 2 S. 1 BSIG in Betracht?
Diese Rechtsfrage lösen [...Wird geladen] der Jurist:innen
in Studium und Referendariat richtig.
...Wird geladen
Ja, in der Tat!
Für Warnungen enthält das BSIG zwei Rechtsgrundlagen: Gemäß § 7 Abs. 1 S. 1 BSIG kann das BSI allgemeine Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten an die Öffentlichkeit richten und Sicherheitsmaßnahmen empfehlen. Gemäß § 7 Abs. 2 S. 1 BSIG darf das BSI auch den Hersteller des betroffenen Produkts nennen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass hiervon Gefahren für die Sicherheit in der Informationstechnik ausgehen.
Inwieweit staatliches Informationshandeln einer gesetzlichen Regelung zugänglich ist und einer solchen Bedarf, ist streitig. Wenn eine solche – wie hier – vorliegt, musst Du diesen Streit aber nicht ansprechen.
6. Nach § 7 Abs. 2 S. 1 BSIG muss zunächst eine Sicherheitslücke vorliegen. Der Begriff der Sicherheitslücke ist in § 2 Abs. 6 BSIG legaldefiniert. Ist der Begriff der Sicherheitslücke weit zu verstehen?
Diese Rechtsfrage lösen [...Wird geladen] der Jurist:innen
in Studium und Referendariat richtig.
...Wird geladen
Ja!
Gemäß § 2 Abs. 6 BSIG sind Sicherheitslücken Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können. Nach seinem offenen Wortlaut - z.B. die offenen Worte „beeinflussen können“ - ist der Begriff der Sicherheitslücke weit zu verstehen. OVG: Der Begriff wurde vom Gesetzgeber weit gefasst, um bislang unvorhersehbare Fallgestaltungen abzudecken, die in Anbetracht der Vielgestaltigkeit möglicher Risiken für die Sicherheit in der Informationstechnik auftreten können (Telos) (RdNr. 53). Nach Ansicht des OVG lag bei Kasperskys Virenschutzsoftware eine solche Sicherheitslücke vor (RdNr. 68ff.). In der Klausur wird von Dir hier sauberes methodisches Arbeiten erwartet, nicht das „richtige“ Ergebnis.
7. Neben der Sicherheitslücke müssen gemäß § 7 Abs. 2 S. 1 BSIG hinreichende Anhaltspunkte dafür vorliegen, dass von der Sicherheitslücke Gefahren für die Sicherheit in der Informationstechnik ausgehen.
Diese Rechtsfrage lösen [...Wird geladen] der Jurist:innen
in Studium und Referendariat richtig.
...Wird geladen
Genau, so ist das!
„Informationstechnik“ umfasst alle technischen Mittel zur Verarbeitung von Informationen (legaldefiniert in § 2 Abs. 1 BSIG). Wann hinreichende Anhaltspunkte dafür vorliegen, dass von einer Sicherheitslücke Gefahren für die Sicherheit in der Informationstechnik ausgehen, ist nicht legaldefiniert. Das Tatbestandsmerkmal des § 7 Abs. 2 S. 1 BSIG ist auszulegen. Es erinnert an polizeigesetzliche Eingriffsermächtigungen. „Hinreichende Anhaltspunkte“ deutet dabei auf eine vergleichsweise hohe Hürde hin. Nach § 1 S. 3 BSIG führt das BSI seine Aufgaben „auf Grundlage wissenschaftlich-technischer Erkenntnisse“ durch. Das würde für eine Auslegung von § 7 Abs. 2 S. 1 BSIG sprechen, wonach aufgrund wissenschaftlich-technischer Erkenntnisse hinreichend wahrscheinlich feststehen muss, dass von der Sicherheitslücke Gefahren für die Sicherheit in der Informationstechnik ausgehen. Anders das OVG: Auch sicherheitspolitische Erwägungen seien ausschlaggebend. Es reiche aus, dass eine Einflussnahme Russlands auf Kaspersky und der Missbrauch von Kasperskys Software durch den russischen Staat gegen Ziele in Deutschland in Anbetracht des russischen Angriffskriegs nicht ausgeschlossen werden könne (RdNr. 77ff.).
Diese Annahme des OVG ist äußerst dürftig und findet im Tatbestand kaum Anknüpfungspunkte. Mit dieser Begründung müsste das BSI andauernd Warnungen gegen zahlreiche - nicht nur russische - Anbieter von IT-Sicherheitssoftware - auch aus Israel oder den USA - aussprechen.
8. Zudem müsste die Warnung des BSI verhältnismäßig gewesen
sein.
Diese Rechtsfrage lösen [...Wird geladen] der Jurist:innen
in Studium und Referendariat richtig.
...Wird geladen
Ja, in der Tat!
Jeder Grundrechtseingriff muss verhältnismäßig sein, d.h. er muss einen legitimen Zweck verfolgen und zu dessen Erreichung geeignet, erforderlich und angemessen sein.
Die Warnung diente dem Zweck, das Risiko von Angriffsmöglichkeiten auf die Sicherheit in der Informationstechnik zu reduzieren. Hierzu war sie geeignet und auch erforderlich (RdNr. 156ff.).
Wenn Du - wie wir - Zweifel am Vorliegen der Tatbestandsvoraussetzungen der Warnung nach § 7 Abs. 2 S. 1 BSIG hast, darfst Du die Prüfung dort trotzdem nicht abbrechen. Prüfe konsequent weiter. Zweifel an der Erforderlichkeit könnten ebenfalls formuliert werden.
Die Verhältnismäßigkeit musst du bei Grundrechtseingriffen immer prüfen. Bei verwaltungsrechtlichen Klausuren ist dieser Punkt im Rahmen des behördlichen Ermessens anzusprechen.
9. Im Rahmen der Prüfung der Angemessenheit müssen die Grundrechte des Antragstellers mit dem Interesse der Allgemeinheit abgewogen und zu einem möglichst schonenden Ausgleich gebracht werden.
Diese Rechtsfrage lösen [...Wird geladen] der Jurist:innen
in Studium und Referendariat richtig.
...Wird geladen
Ja!
OVG: Einerseits ist hier zu berücksichtigen, dass eine produktbezogene Warnung deutlich spürbare Folgen auf Ks wirtschaftliche Tätigkeit und damit auf Ks Recht auf freie Gewerbeausübung (Art. 12 Abs. 1 GG) hat. Zudem bestehen Ungewissheiten, ob es zu einem Cyberangriff unter Nutzung von Ks Virenschutzprogramme kommen wird. Auf der anderen Seite steht der Schutz der Allgemeinheit, da bei einem möglichen Cyberangriff eine Vielzahl von zu schützenden Rechtsgütern betroffen sein kann, insbesondere Einrichtungen des Staates und kritische Infrastrukturen, durch deren Ausfall erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Ausgehend hiervon habe das BSI in rechtlich nicht zu beanstandender Weise dem Schutz der Allgemeinheit den Vorrang gegeben (RdNr. 164).
Die Begründung des OVG legt ihre eigene Inkonsequenz offen: Es gab keine tatsächlichen technisch-wissenschaftlichen Anhaltspunkte, dass Ks Virenschutzprogramme für Cyberangriffe missbraucht werden, lediglich die latente Gefahr, die aber letztlich für alle Virenschutzprogramme gilt. Diese vom OVG erkannten „Ungewissheiten“ rechtfertigen tatbestandlich bereits keine Warnung. Zum Schutz der staatlichen und kritischen Infrastruktur bedurfte es ebenfalls keiner öffentlichen Warnung.
10. Hat K nach Ansicht des OVG seinen Anordnungsanspruch glaubhaft gemacht?
Diese Rechtsfrage lösen [...Wird geladen] der Jurist:innen
in Studium und Referendariat richtig.
...Wird geladen
Nein, das ist nicht der Fall!
Im Rahmen des Antrags nach § 123 Abs. 1 VwGO muss der Antragsteller einen Anordnungsanspruch und einen Anordnungsgrund glaubhaft machen.OVG: Die Warnung des BSI gemäß § 7 Abs. 2 S. 1 BSGI war rechtmäßig. Demnach war der Eingriff in Ks Berufsfreiheit gerechtfertigt. K hat keinen öffentlich-rechtlichen Unterlassungsanspruch gegen das BSI und demnach auch keinen Anordnungsanspruch.
Die Entscheidung des OVG ist aus den genannten Gründen materiell-rechtlich höchst zweifelhaft. Es spricht viel dafür, dass es sich um eine politische Entscheidung handelte. Ks gegen die Entscheidung des OVG erhobene Verfassungsbeschwerde hat das BVerfG wegen Subsidiarität als unzulässig abgelehnt: Das vorherige Bestreiten des fachgerichtlichen Rechtswegs in der Hauptsache sei K zumutbar (BVerfG, Beschl. v. 02.06.2022 - 1 BvR 1071/22).
