Bundesregierung plant strengere Sicherheitsregeln für 5G-Netzkomponenten – wohl kein generelles Verbot ausländischer Hersteller

Mit der TKG-Novelle Ende 2021 wurden Betreiber öffentlicher Telekommunikationsnetze erstmals verpflichtet, anerkannte Sicherheitsnachweise für sicherheitsrelevante Komponenten eines Mobilfunknetzes zu erbringen. Ab dem 1. Januar 2026 muss eine Zertifizierung von sog. kritischen Komponenten bei ihrem erstmaligen Einsatz erfolgen. Bestandskomponenten, also solche, die bereits verbaut und genutzt werden, sollten laut BSI und Bundesnetzagentur bisher grundsätzlich nicht nachträglich zertifizierungspflichtig werden. Dies könnte sich nun ändern. Wie zahlreiche Medien in den letzten Tagen berichteten, plant die Bundesregierung, alle Ausrüster von 5G-Mobilfunknetzen strenger auf sicherheitsrelevante Aspekte zu prüfen. „Die wesentliche Neuerung ist, dass sich die strengen Überprüfungen auf etwaige Sicherheitsrisiken jetzt auch auf die Bestandskomponenten in den Telekommunikationsnetzen beziehen“, so die Aussage eines Sprechers des Bundesinnenministeriums. „Das wird unabhängig davon geprüft, woher ein einzelner Hersteller kommt.“

Somit sollen Netzkomponenten chinesischer Hersteller wie z. B. Huawei oder ZTE nun doch nicht explizit aus dem deutschen Markt verbannt werden, wie zuvor u. a. die Tagesschau berichtet hat. Jedoch wird in der Politik wieder vermehrt gefordert, nicht von bestimmten Anbietern abhängig zu sein, sowie nur solche Netzkomponenten einzusetzen, die besonders vor Spionage und Sabotage geschützt sind. Fraglich ist jedoch, wie dies rechtlich umgesetzt werden soll:

Der generelle und ausdrückliche Ausschluss bestimmter Anbieter ist bisher in den gesetzlichen Regelungen, insbesondere des TKG oder des BSI-Gesetzes, nicht vorgesehen. Im Gegenteil sieht der Wortlaut von § 165 TKG bisher einen Bestandsschutz für Bestandskomponenten vor, da lediglich der erstmalige Einsatz eine Überprüfung und Zertifizierungspflicht umfasst. Zwar hat das BSI bereits darauf hingewiesen, dass die Rechtslage nicht so eindeutig ist, wie es der Wortlaut zunächst vermuten lassen könnte: Auch bereits eingesetzte Komponenten können unter bestimmten Voraussetzungen zertifizierungspflichtig werden, z. B. nach einer umfassenden Aktualisierung (Update) der Komponente. Ergänzend hierzu sieht § 9b Abs. 1 BSI-Gesetz vor, dass der erstmalige Einsatz technischer Komponenten in Kritischen Infrastrukturen dem Bundesinnenministerium anzuzeigen ist, bevor sie eingesetzt werden dürfen. Sofern der Einsatz dieser Komponente die öffentliche Ordnung oder die Sicherheit beeinträchtigt, kann ihr Einsatz untersagt oder können Anordnungen erlassen werden. § 9b Abs. 4 BSI-Gesetz erfasst – anders als § 165 TKG – jedoch auch Bestandskomponenten. Danach kann auch der weitere Einsatz einer kritischen Komponente untersagt werden, wenn dieser die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt, insbesondere, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist.

„Ob aktuell bereits entsprechende Tatsachen vorliegen, die die Vertrauenswürdigkeit bestimmter Hersteller generell verneinen, wurde bisher nicht durch die Bundesregierung oder das BSI öffentlich gemacht“, so Rebecca Trampe-Berger, Expertin für Telekommunikationsrecht bei Pinsent Masons. „Ohne diese gibt es ohne konkrete Beeinträchtigung der öffentlichen Ordnung oder Sicherheit momentan keine gesetzliche Grundlage für eine erneute Prüfung von Bestandskomponenten. Es bleibt also fraglich, auf welcher gesetzlichen Grundlage eine solche erneute Prüfung erfolgen soll, insbesondere, wenn hiermit der Ausschluss bestimmter Hersteller bezweckt werden würde.“

Zum Schutz der immensen Investitionen der Telekommunikationsnetzbetreiber sowie des zügigen Netzausbaus werden Bestandsschutz- als auch Übergangsregelungen zu schaffen sein, sollte ein „rip and replace“ oder ein „phase out“ von Netzkomponenten tatsächlich erwogen werden.