Immerhin sechs Minuten konnte die christdemokratisch-konservative EVP-Fraktion im Europarlament den Digitalen Euro noch verzögern. Denn als der Wirtschaftsausschuss (ECON) zum Digitalen Euro (D€) debattieren wollte, fehlte jemand: Fernando Navarrete Rojas, seines Zeichens spanischer EVP-Abgeordneter – und ausgerechnet Berichterstatter für den Digitalen Euro.

Auch wenn die mehrminütige Verspätung von Navarrete Zufall gewesen sein sollte, Freund:innen im Ausschuss wird er sich damit nicht gemacht haben. Schließlich bremste seine Fraktion den Digitalen Euro nicht zum ersten Mal. Und auch inhaltlich widersprachen die anderen Fraktionen von Linke bis Renew seinem Entwurf. Auf das Parlament dürften daher noch scharfe Debatten und intensive Verhandlungen zukommen, denn andere Institutionen machen beim Digitalen Euro Druck.

Seit mindestens 2020 denkt die Europäische Zentralbank (EZB) über den digitalen Euro nach. Seit 2023 gibt es auch ein Gesetzespaket der Europäischen Kommission, das sogenannte Single Currency Package. Dass das Parlament erst jetzt richtig darüber debattieren kann, liegt auch an der konservativen EVP-Fraktion, zu der auch CDU und CSU gehören.

EVP hatte den D€ immer wieder verzögert

Der zuständige Berichterstatter der letzten Legislatur, Stefan Berger (CDU), habe die Arbeit an einer gemeinsamen Parlamentsposition immer wieder verzögert, beschwerten sich die zuständigen Abgeordneten von S&D (Sozialdemokraten), Renew (Liberale) und Grünen.

Nun ist der Ex-Zentralbanker und spanische Abgeordnete Navarrete am Zug. Auch er ist ein Kritiker des Digitalen Euro, selbst wenn er das im Ausschuss abstritt. Seine Haltung spiegelt sich in seinem Bericht wieder. Er setzt nach wie vor auf eine private Lösung – und eine Aufteilung des Digitalen Euro.

Der Digitale Euro (D€) soll auch laut Vorschlag der EZB in zwei Systemen kommen. Ein Online-System, das mit dem eigenen Bankkonto verknüpft ist und das man etwa für Online-Einkäufe nutzen könnte. Und ein Offline-System, das nicht nur ohne Verbindung zum Zahlungssystem oder Internet funktioniert, sondern auch „Bargeld-ähnliche“ Anonymität garantieren soll.

Online-D€? Nur unter einer Bedingung!

Nur zu letzterem bekennt sich Navarrete. „Das Offline-System bringt eine zusätzliche Resilienz“, sagte er im Ausschuss. Der Online-€ solle nur unter einer Bedingung kommen: Wenn es bis zu seiner Einführung keine paneuropäische private Lösung gebe, die marktfähig ist. „Die EZB sollte nur dann einschreiten, wenn es hier ein Marktversagen gibt“, sagte Navarrete im Ausschuss.

Denn aus seiner Sicht ist „die einzige legitime Motivation“ für den D€ die digitale Souveränität und damit die Reduktion der Abhängigkeit des europäischen Zahlungsverkehrs von nicht-europäischen Dienstleistern. Aktuell funktioniert das grenzüberschreitende Bezahlen vor oft nur mit Mastercard und Visa oder Anbietern wie PayPal.

Wero aktuell nur in drei EU-Ländern

Aus Sicht von Navarrete sei man aktuell „näher als je zuvor“ an der Verwirklichung europäischer Souveränität im Zahlungsbereich. Navarrete spielte damit vermutlich auf „Wero“ an.
Wero ist der jüngste Versuch der European Payment Initiative (EPI), ein europäisches Zahlungssystem zu etablieren. Die EPI ist ein Zusammenschluss von europäischen Banken und Zahlungsdienstleistern, aus Deutschland sind unter anderem die Sparkassen, Volks- und Raiffeisenbanken sowie die Deutsche Bank an Bord.

Wero steckt jedoch noch in den Kinderschuhen. Es ist bisher nur 75 Prozent der privaten Bankkunden zugänglich und auch das nur in Belgien, Deutschland und Frankreich. Die Niederlande und Luxemburg sollen im kommenden Jahr folgen.

Das Hauptargument ist Souveränität

Navarretes Entwurf und sein Auftritt im Ausschuss stießen auf Kritik – nicht nur im Parlament, sondern auch in der Zivilgesellschaft. So sagte Carolina Melches, bei der NGO Finanzwende zuständig für den D€, zu netzpolitik.org: „Der Digitale Euro ist bisher unsere beste Chance, die bestehende Abhängigkeit von US-Konzernen im Zahlungsverkehr zu reduzieren und drohende Abhängigkeiten etwa von Big Tech-Konzernen im Zahlungsverkehr abzuwenden.“ Die Online-Variante des Digitalen Euros zu verzögern, sei eine riskante Wette auf Kosten von Europas Souveränität.

Das sehen die vier europäischen Fraktionen The LEFT (mit der deutschen Die Linke), Grüne (mit den Grünen und Volt), Renew (mit den deutschen Parteien FDP und Freie Wähler) und die Socialist&Democrats (SPD) genauso. So warnt Damian Boeselager (Volt) in einer Pressemitteilung: „Wenn Washington es will, könnte es unser Zahlungssystem lahmlegen – und zwölf Prozent des EU-Bruttoinlandsprodukts wären von einem Tag auf den anderen vernichtet.“

Private Lösung zu spät und zu teuer

Ähnlich sehen das die Sozialdemokrat:innen im EU-Parlament. „Milliarden Euro fließen jedes Jahr aus den Geldbeuteln der Bürger zu den Zahlungsdienstleistern außerhalb Europas – und mit ihnen die Zahlungsdaten“, sagte Nikos Papandreou, der den D€ für seine Fraktion verhandelt. „Wir haben 20 Jahre auf eine private Lösung gewartet – es gibt keine!“ Für ihn sei der Vorschlag von Navarrete „keine Strategie, sondern Paralyse“, sagte der Grieche unter Applaus im ECON-Ausschuss.

Eine privatwirtschaftliche Lösung birgt zudem die Gefahr, dass Händler unter hohen Abgaben leiden. Händler sollten von einem digitalen europäischen Zahlungssystem profitieren und nicht gleich schlecht dastehen, sagte etwa Damian Boeselager im Ausschuss.

Die vier progressiven Fraktionen betonen im Ausschuss unisono, dass die Online-Funktion das Kernstück des D€ sei, nicht seine Offline-Variante. „Es kann keinen Offline-D€ ohne die Online-Version geben“, sagte etwa der italienische Abgeordnete Gaetano Pedullà aus der Fraktion The Left. Ein reines Offline-System wäre etwa im Online-Handel nicht anwendbar. Aus Sicht von Boeselager (Volt) würde ein reiner Offline-D€ „viele Vorteile eines digitalen Euro verschenken, ihn für Nutzerinnen und Nutzer weniger attraktiv machen und weit hinter dem möglichen Potenzial zurückbleiben.“

Gilles Boyer aus der Renew-Fraktion sieht die stärkere Rolle der EZB bei digitalen Zahlungen positiv. In einer zunehmend digitalen Welt müsse es auch öffentliches Geld geben, forderte der französische Abgeordnete. „Öffentliches Geld“ meint: von der Zentralbank geschaffenes und garantiertes Geld wie Bargeld. „Privates Geld“, also Buch- oder Giralgeld, existiert hingegen nur auf den Konten der privaten Banken.

Rechtsextreme gegen den D€

Neben seiner eigenen Fraktion unterstützte auch die euroskeptisch-rechtspopulistische Fraktion ECR Navarretes Bericht. In dieser sind etwa die Mussolini-verehrende Partei von Giorgia Meloni, Fratelli die Italia, sowie die polnische PiS organisiert. Der kroatische Abgeordnete Stephen Bartulica sagte, er unterstütze den Vorschlag, dem Privatsektor mehr Zeit zu verschaffen. Die EZB würde in den Markt eingreifen und ihre Aufsichtsrolle verlassen. Die einzig andere existierende Digitale Zentralbankwährung gebe es in China. Auch in Europa werde die Digitale Währung „von oben oktroyiert“.

Die Erzählung von einer übergriffigen, alles überwachenden Zentralbank findet vor allem auf der rechtspopulistischen und rechtsextremen Seite großen Anklang. Rechtsextreme und Libertäre mobilisieren seit langem gegen den D€ und nutzen ihn für Verschwörungserzählungen, berichten etwa Tagesschau und Politico.

EU-Kommission, EZB und demokratische Parlamentarier:innen betonen immer wieder, dass der D€ Bargeld keinesfalls ersetzen solle. „Niemand wird verpflichtet, den Digitalen Euro zu nutzen.“ Weder die Kommission noch Parlament und Rat wollten das Bargeld abschaffen, betonte der Renew-Abgeordnete Boyers. Ein Teil des Gesetzgebungs-Pakets zum D€ ist deshalb auch die „Legal Tender“-Verordnung, die die gesetzliche Rolle von Bargeld als Zahlungsmittel festschreibt.

Viel Arbeit für den Ausschuss

Die Mehrheitsverhältnisse im EU-Parlament machen es den Befürworter:innen eines Digitalen Euros nicht leicht. Gemeinsam mit der euroskeptischen und rechtspopulistischen ECR-Fraktion sowie den beiden rechtsextremen Fraktionen PfE (unter anderem FPÖ, Front National sowie Vox aus Spanien) und ESN (unter anderem AfD) hat die EVP eine Mehrheit. Immer wieder stimmt die EVP mit den extrem rechten Parteien, etwa um Klima- und Umweltschutzregeln abzuschwächen.

Ob die EVP bei diesem Thema mit Rechtspopulisten oder Rechtsextremen kooperiert, ist bislang unklar. Im Unterschied zu den Parteien rechts seiner Fraktion betonte der EVP-Abgeordete Navarrete, sein Vorschlag sei nicht gegen den Digitalen Euro gerichtet, er würde dessen Einführung auch nicht verzögern. Sein Fraktionskollege Markus Ferber (CSU), der in der letzten Legislaturperiode ebenfalls als Verzögerer des D€ galt, will sich bei dem Projekt nicht zeitlich unter Druck setzen lassen: „Wir haben nur einen Schuss frei und der muss sitzen.“

Wollen sich EVP und die progressiven Fraktionen annähern, braucht es wohl noch viele Verhandlungen. Bis zum 12. Dezember müssen alle Änderungsanträge zum Entwurf von Navarrete feststehen, Ende Januar sollen diese im Ausschuss debattiert werden. Seine endgültige Verhandlungsposition will das Europäische Parlament im Mai 2026 beschließen. Danach geht es in den Trilog, also die Verhandlungen zwischen Parlament, EU-Kommission und Ministerrat.

Was macht der Ministerrat?

Letzterer ist die Vertretung der EU-Mitgliedstaaten. Die Regierungen haben zuletzt im Europäischen Rat ihre Unterstützung des Projekts betont. „Wir begrüßen die jüngsten Fortschritte bei der Weiterentwicklung des Projekts zum digitalen Euro und betonen, wie wichtig es ist, die Gesetzgebungsarbeiten zügig abzuschließen und andere vorbereitende Schritte zu beschleunigen“, hieß es in der Abschlusserklärung des Treffens.

Die EU-Finanzminister haben sich derweil schon mit der EZB geeinigt, dass sie das letzte Wort bei den Haltelimits für den Digitalen Euro haben. Solche Begrenzungen sollen die Menge der D€ begrenzen, die ein Mensch gleichzeitig halten kann. Das soll verhindern, dass zu viel Geld von den Konten der Geschäftsbanken verschwindet.

Im Gespräch sind Haltelimits von 500 bis 3000 D€. Laut Einigung soll die EZB die genaue Grenze festlegen, die Finanzminister sollen aber die Obergrenze dieser Limits gemeinsam entscheiden dürfen.

Die dänische Ratspräsidentschaft plant, die Einigung der Mitgliedstaaten auf eine Position bis Ende des Jahres auszuverhandeln.

EZB plant schon die Umsetzung

Während die Verhandlungen der EU-Gesetzgeber noch laufen, schreitet die Europäische Zentralbank mit der Umsetzung voran. Letzte Woche teilte die EZB mit, dass sie beim D€ in die nächste Phase übergehe.

In dieser will die EZB weiterhin die technischen Voraussetzungen für eine mögliche Einführung eines digitalen Euro vorbereiten. „Damit wollen wir sicherstellen, dass das Eurosystem bereit ist, die nächsten möglichen Schritte zu gehen, sobald die Rechtsvorschriften in Kraft sind“, sagte eine EZB-Sprecherin auf Anfrage von netzpolitik.org.

Der endgültige Beschluss des EZB-Rats darüber, ob und wann ein digitaler Euro ausgegeben wird, werde erst dann getroffen, wenn die Rechtsvorschriften angenommen worden sind, teilte die EZB weiter mit. „Unter der Annahme, dass die EU-Mitgesetzgeber die Verordnung zur Einführung des digitalen Euro im Jahr 2026 annehmen, könnten ein Pilotprojekt und erste Transaktionen ab Mitte 2027 stattfinden.“ Die Ausgabe des Digitalen Euro könnte dann im Jahr 2029 starten.

Vorausgesetzt, das Parlament spielt mit.

Am 19. November will die EU-Kommission einen Vorschlag für eine Generalüberholung ihrer Digitalregulierung vorstellen. Der „digitale Omnibus“, wie das Paket genannt wird, soll Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen. Derzeit verdichten sich die Hinweise, dass in diesem Rahmen auch die Datenschutzgrundverordnung (DSGVO) erheblich aufgebohrt werden könnte.

Freie Fahrt für pseudonymisierte Daten

So berichtet heise online von jüngsten Äußerungen der mächtigen Kommissionsbeamtin Renate Nikolay. Als stellvertretende Generaldirektorin der Generaldirektion Kommunikationsnetze, Inhalte und Technologien (DG Connect) verantwortet sie den digitalen Omnibus. Bei einer Veranstaltung des Bundesverbands Digitalwirtschaft (BVDW) habe sie unter anderem angekündigt, dass das Thema Online-Tracking künftig nicht mehr in der auch als „Cookie-Richtlinie“ bekannten ePrivacy-Richtlinie, sondern nur noch in der DSGVO geregelt werden soll. Bislang überschneiden sich die Regeln aus beiden Rechtsakten.

Welche inhaltliche Richtung die Kommission hierbei konkret einschlagen will, sagte Nikolay nicht. Aufhorchen lässt in diesem Zusammenhang jedoch eine zweite Ankündigung: So will die Kommission offenbar die Nutzungsmöglichkeiten pseudonymisierter Daten ausweiten. Der Europäische Gerichtshof habe den Spielraum hierfür in seiner Rechtsprechung kürzlich erweitert, so Nikolay laut heise online.

Das Thema ist deshalb brisant, weil die Datenindustrie seit langem versucht, pseudonymisierte Daten beispielsweise beim Online-Tracking als harmlos darzustellen. Datenhändler bewerben Datensätze mit pseudonymisierten personenbezogenen Daten irreführend als „anonym“. Pseudonymisierung bedeutet in der Regel jedoch, dass bei der Profilbildung statt eines direkten Identifikationsmerkmales wie eines Namens oder einer Telefonnummer etwa ein Zahlenschlüssel vergeben wird.

Erst in dieser Woche demonstrierte eine Recherche von netzpolitik.org und internationalen Partnermedien, wie leicht sich pseudonymisierte Daten aus der Online-Werbeindustrie nutzen lassen, um auch hochrangiges Personal der EU auszuspionieren. Die EU-Kommission zeigt sich „besorgt“. Sollte sie nun tatsächlich den Schutz für pseudonymisierte Daten einschränken, könnte sie die von uns aufgedeckte illegale Massenüberwachung durch Werbe-Tracking und Datenhandel legalisieren.

Weniger Schutz für sensible Daten

Mehrere Quellen bestätigten netzpolitik.org, dass die Generaldirektion Connect auch plane, den Schutz von sensiblen Daten einzuschränken. Nach Artikel 9 der DSGVO sind Daten besonders geschützt, aus denen die „ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“. Außerdem gehört dazu „die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Die Kommission will nun offenbar erreichen, dass sensible Daten enger definiert werden. Besonders geschützt wären dann nur noch jene Daten, aus denen oben genannte Informationen explizit hervorgehen. Als sensibel würde dann beispielsweise noch die Aussage einer Person gelten, dass sie sich wegen Suchtproblemen in Behandlung befinde. Standortdaten, aus denen Besuche in einer Suchtklinik ersichtlich sind, würden dann vermutlich nicht mehr darunterfallen.

Dies steht im Widerspruch zur Rechtsprechung des Europäischen Gerichtshofes, der in einem Urteil kürzlich eine weite Definition sensibler Daten bestätigt hatte. Explizit sagte das Gericht, dass auch abgeleitete Informationen unter Artikel 9 DSGVO fallen können.

KI-Training: Freifahrtschein für Tech-Konzerne

Auch bei anderen Themen deutet sich an, dass die Kommission Änderungen anstrebt, die einen Kahlschlag beim Datenschutz bedeuten könnten. So plane die EU-Kommission laut dem Nachrichtendienst MLex [hinter Paywall], die Verwendung personenbezogener Daten für das Training von KI-Modellen datenschutzrechtlich grundsätzlich zu erlauben.

Machine-Learning-Systeme, die heute hinter vielen KI-Anwendungen wie Chatbots oder Bildgeneratoren stehen, müssen mit großen Datenmengen trainiert werden. Milliardenschwere Tech-Unternehmen wie Google, Meta oder OpenAI sammeln hierfür massenweise Daten aus dem Internet oder bedienen sich an den Daten ihrer Nutzer:innen. Geht es nach der EU-Kommission, sollen sie Letzteres künftig tun können, ohne ihre Nutzer:innen vorab um Erlaubnis fragen zu müssen.

Erst vor wenigen Monaten hatte der Meta-Konzern für einen öffentlichen Aufschrei gesorgt, als er alle öffentlichen Daten seiner Nutzer:innen für das Training seiner Meta AI verwendet. Eine Widerspruchsmöglichkeit bot er nur versteckt an.

Als Rechtsgrundlage für ihr Vorgehen berufen sich Tech-Konzerne meist auf ihr „legitimes Interesse“. Diese Position ist rechtlich umstritten, wurde im Grundsatz jedoch von Datenschutzbehörden und in einem Eilverfahren auch von einem Verwaltungsgericht bestätigt. Um keinen Interpretationsspielraum mehr zu lassen, will die EU-Kommission nun offenbar gesetzlich festschreiben, dass das legitime Interesse als Rechtsgrundlage ausreicht.

„Vom Datenschutz wird nichts mehr übrigbleiben“, kommentiert der ehemalige Kommissionsdirektor Paul Nemitz den Bericht von MLex auf LinkedIn. Er ist einer der Gründerväter der Datenschutzgrundverordnung und lehrt heute Rechtswissenschaften am College of Europe. Das Vorhaben mache „das Leben von Menschen, ausgedrückt in personenbezogenen Daten, zum Gegenstand einer allgemeinen maschinellen Erfassung“ und verstoße gegen die Grundrechte-Charta der EU.

Bundesregierung will Auskunftsrecht einschränken

Laut MLex plant die EU-Kommission auch Betroffenenrechte einzuschränken. So sollen Menschen künftig weniger Möglichkeiten haben, bei Unternehmen oder Behörden zu erfragen, ob und für welche Zwecke diese ihre Daten verarbeiten.

Für die Beschneidung des Rechts auf Datenauskunft hatte sich kürzlich auch die deutsche Regierung ausgesprochen. In einem German Proposal for simplification of the GDPR, schlägt die Bundesregierung der EU-Kommission vor, Schutzmaßnahmen gegen „missbräuchliche Auskunftsersuchen“ einzurichten. So würden Einzelpersonen „ihre Unzufriedenheit mit dem Staat und seinen Institutionen zum Ausdruck bringen, indem sie Auskunftsverfahren nutzen, um künstlich langwierige und ressourcenintensive Streitigkeiten zu schaffen“.

Auch grundsätzliche Reformwünsche, die über den anstehenden digitalen Omnibus hinausgehen, richtet die Bundesregierung an die EU. So soll die Kommission überprüfen, ob die Datenschutzgrundverordnung tatsächlich einen Wettbewerbsvorteil für europäische Unternehmen biete oder ob sie nicht sogar „Chilling Effects“ habe. Damit sind abschreckende Effekte gemeint, die europäische Unternehmen davon abhalten könnten, Prozesse zu digitalisieren.

Bereits in ihrem Koalitionsvertrag hatten Union und SPD den Wunsch festgehalten, Ausnahmen der DSGVO für nicht-kommerzielle Akteure und für Datenverarbeitungen mit geringem Risiko zu schaffen. Diesen Wunsch wiederholt die Bundesregierung in dem Papier.

Gegen Ende des 19-seitigen Dokuments findet sich nur ein einziger Vorschlag, mit dem Schwarz-Rot den Datenschutz stärken will: Die Regierung regt an, auch Hersteller und Vertreiber von Software und Diensten haftbar zu machen, die bislang für Datenschutzverstöße ihrer Produkte keine Verantwortung übernehmen müssen.

Die Reformwelle rollt erst los

Ob und welche Ideen die Kommission tatsächlich zur Umsetzung vorschlagen wird, erfährt die Öffentlichkeit voraussichtlich erst am 19. November. In der Kommission kann die Generaldirektion Connect von Renate Nikolay nicht allein über den digitalen Omnibus entscheiden. Die Datenschutzgrundverordnung obliegt der Generaldirektion Justiz und Verbraucher.

Nach Veröffentlichung der Vorschläge werden das EU-Parlament und der Rat der Mitgliedstaaten dann eigene Positionen zum Gesetzespaket vorlegen. Später in diesem Jahr wird von der EU-Kommission ein weiteres Reformvorhaben, das sogenannte Digital Package, vorlegen. Auch dieses könnte gravierende Änderungen an der Datenschutzgrundverordnung enthalten.

Mitglieder der Unions- und SPD-Fraktion haben sich bei der Überarbeitung der Cybersicherheitsvorgaben für Kritische Infrastrukturen geeinigt. Kurz vor Ende kam noch einmal kräftig Bewegung in die Diskussionen zwischen den Beteiligten: Wie genau soll im Fall der Fälle der Betrieb einer betriebskritischen Komponente in den kritischen Anlagen verboten werden können? Bereits heute gibt es im BSI-Gesetz die Möglichkeit, dass der Einsatz kritischer Komponenten vom Bundesinnenministerium untersagt werden kann. Mit der Ausweitung der Betroffenen des dann überarbeiteten BSI-Gesetzes auf voraussichtlich etwa 30.000 Betreiber wird das wesentlich relevanter.

Künftig sollen in einer Kabinettsverordnung die jeweils als kritisch erachteten Komponenten aufgelistet werden, für die dann ein Verbot möglich wäre, wenn die Hersteller nicht als vertrauenswürdig gelten.

Zugleich wird aber die Reihenfolge geändert: Von einer Ex-Ante, also einer Prüfung im Vorhinein, wird dann auf Ex-Post umgestellt – die Betreiber können auf eigenes Risiko also Komponenten einsetzen, müssen deren Verwendung aber dem BSI anzeigen und im Nachgang bei einem Verbot auch wieder ausbauen. Da die Entscheidung über ein Verbot aber immer auch eine politische Dimension hat, muss dieses von der Hausleitung des Bundesinnenministeriums ausgesprochen werden. Dessen Staatssekretär Hans-Georg Engelke zeigte sich am Mittwochabend auch „ganz zufrieden“ mit der gefundenen Lösung.

Telekommunikationsanbieter fürchten Unsicherheit

Insbesondere die Telekommunikationsbranche fordert Planungssicherheit. „Wir brauchen an dieser Stelle Planungssicherheit und nicht ein Wiederaufmachen dieser Thematik im Jahresrhythmus“, forderte Telefonica Deutschland-Vorständin Valentina Daiber bei einer Veranstaltung des CDU-nahen Wirtschaftsrats am Mittwoch in Berlin.

Das sei zwar ein absolut legitimer Wunsch, erwiderte Klaus Müller, Präsident der Bundesnetzagentur. Ihm stehe aber eben eine sich schnell verändernde Welt entgegen. Die Bundesnetzagentur hatte erst am Montag den Entwurf neuer Sicherheitsrichtlinien im Telekommunikationsbereich veröffentlicht – im Vorgriff auf die NIS2-Regelungen.

Er sei zu den Notwendigkeiten mit der Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik Claudia Plattner regelmäßig im Dialog, sagte Müller bei der Veranstaltung: „Das sind keine schönen Gespräche.“ Tatsächlich dürften die Regelungen vor allem in anderen Kritis-Branchen Auswirkungen haben – der Telekommunikationssektor hat dank der Huawei-Debatte und dem bisherigen §9b BSI-Gesetz bereits vergleichsweise viel Erfahrung.

CISO Bund geht zum BSI

Auf Plattners Behörde kommen nun weitere Aufgaben zu: Die Rolle des „Chief Information Security Officer“ (CISO), also des IT-Sicherheitsbeauftragten der Bundesverwaltung, geht nach der Einigung im parlamentarischen Verfahren nun zur Bonner Behörde – dort soll die Stelle angesiedelt werden. Eine weitere relevante Änderung betrifft nicht nur das BSI, sondern auch die anderen nachgeordneten Bundesbehörden: Die sollen zumindest gewisse Sicherheitspflichten künftig auch erfüllen müssen. Eine Forderung, die auch der Bundesrechnungshof erhoben hat.

Mit der Einigung im Bundestag wird die Wahrscheinlichkeit von Strafzahlungen an die EU wegen der Nichtumsetzung von EU-Recht deutlich reduziert: Die EU-Kommission hatte zuletzt angekündigt, gegen jene Staaten, die die NIS2-Richtlinie nicht in nationales Recht umgesetzt haben, ein Vertragsverletzungsverfahren einzuleiten. Bislang haben erst 15 der 27 Mitgliedstaaten die Vorgaben für mehr Cybersicherheit in kritischen Infrastrukturen umgesetzt.

Die Strafe hätte zuständigkeitshalber aus dem Etat des Innenministeriums beglichen werden müssen, das den Entwurf kurz vor der Sommerpause mit einigen offenen Baustellen den Abgeordneten im Bundestag überantwortete. Der soll das Umsetzungsgesetz nach der Einigung aufgrund der vielfältigen Dringlichkeit schnellstmöglich verabschieden – kommende Woche soll das Gesetz den Bundestag passieren.

(wpl)