Sign in Subscribe

Schwellenwertberechnung nach dem NIS2-Umsetzungsgesetz (Teil 2) - Konzernunternehmen

Schwellenwertberechnung nach dem NIS2-Umsetzungsgesetz (Teil 2) - Konzernunternehmen
Photo by kub liz / Unsplash
  • Ob ein Unternehmen Adressat des NIS2-Umsetzungsgesetzes ist, hängt ganz maßgeblich davon ab, ob die maßgeblichen Schwellenwerte erreicht werden
  • Die Berechnung der Schwellenwerte ist insbesondere in Konzernunternehmen schwierig
  • In Konzernunternehmen sind die Beteiligungsverhältnisse und der Einfluss auf die IT-Systeme von entscheidender Bedeutung

Adressaten des NIS2-Umsetzungsgesetzes sind insbesondere die besonders wichtigen Einrichtungen und die wichtigen Einrichtungen. Ob ein Unternehmen eine solche Einrichtung ist, hängt maßgeblich von den Antworten auf zwei Fragen ab:

  1. Ist mein Unternehmen in einem Sektor aus Anlage 1 oder Anlage 2 tätig?
  2. Erreicht mein Unternehmen die maßgeblichen Schwellenwerte?

Teil 1 dieses Blogeintrags beschäftigt sich mit der Berechnung der Schwellenwerte von Unternehmen / Einrichtungen bei Einzelunternehmen, also Unternehmen die nicht in einem Konzern aus mehreren Unternehmen eingebunden sind. Der sich hier anschließende Teil 2 des Blogeintrags geht auf die spezielle Berechnung in Konzernunternehmen ein.

Ausgangspunkt bei Konzernunternehmen

Auch für Konzernunternehmen gibt § 28 Abs. 3 BSIG vor, wie die Mitarbeiteranzahl, der Jahresumsatz und die Jahresbilanzsumme zu bestimmen ist.

Wortlaut § 28 Abs. 3 BSIG

(3) Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nach den Absätzen 1 und 2 ist auf

  1. die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen und
  2. außer für rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft die Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20. Mai 2003, S. 36) mit Ausnahme von Artikel 3 Absatz 4 des Anhangs anzuwen-den.

Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinen Partner- oder verbundenen Unternehmen ist.

Zunächst wird auch bei einem Konzernunternehmen jedes Unternehmen (im Sinne der juristischen Einheit) als Einzelunternehmen geprüft und nicht der Konzern insgesamt. Es wird also eine Prüfung des Einzelunternehmens so vorgenommen, wie in Teil 1 des Blogbeitrags beschrieben. Kommt man durch diese Prüfung dazu, dass die maßgeblichen Schwellenwerte erreicht / überschritten sind, so kann die weitere Prüfung an dieser Stelle bereits enden. Das einzelne Konzernunternehmen (nicht der Konzern insgesamt) ist dann vom NIS2-Umsetzungsgesetz erfasst und die Eigenschaft als Konzernunternehmen irrelevant.

Sind die Schwellenwerte beim Einzelunternehmen allerdings nicht erreicht, müssen die Sonderregeln für Konzerne (§ 28 Abs. 3 S. 1 Nr. 2; S. 3 BSIG) geprüft werden. Ausgangsfrage ist, ob durch die Anwendung dieser Sonderregeln die maßgeblichen Schwellen ggf. doch erreicht / überschritten werden. Hierbei geht man in zwei Schritten vor:

  1. Werden durch die Hinzurechnung von Daten anderer Konzernunternehmen ( Partnerunternehmen oder verbundene Unternehmen) die Schwellenwerte des betrachtenden einzelnen Konzernunternehmen überschritten? (§ 28 Abs. 3 S. 1 Nr. 2 BSIG)
  2. Sind die IT-Systeme des einzelnen Konzernunternehmens unabhängig von den anderen Konzernunternehmen, sodass ausnahmsweise doch keine Zurechnung der Daten erfolgt? (§28 Abs. 3 S. 3 BSIG)

Die Sonderregeln für Konzernunternehmen führen jedoch niemals dazu, dass ein einzelnes Konzernunternehmen, das die Schwellenwerte für sich erreicht, durch die Sonderregeln für Konzerne wieder unter die Schwellenwerte gedrückt wird.

Zurechnung der Daten von Konzernunternehmen

Die grundsätzlich mögliche Zurechnung der Daten von Konzernunternehmen ergibt sich aus dem Verweis auf die „Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20. Mai 2003, S. 36)“ in § 28 Abs. 3 S. 1 Nr. 2 BSIG. Dieser häufig auch als KMU-Empfehlung bezeichnet Rechtsakt ermöglicht eine solche Zurechnung.

Nicht angewendet wird diese KMU-Empfehlung ausweislich des ersten Satzteils von § 28 Abs. 3 S. 1 Nr. 2 BSIG auf rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, also insbesondere Regie- und Eigenbetriebe. Dies bedeutet, dass bei diesen Einrichtungsformen nicht die Daten der Mutterkommune hinzugerechnet werden und auch die Beteiligungsunternehmen der Mutterkommune nicht weiter betrachtet werden.

Vor der Zurechnung der Daten muss zunächst der Status des betrachteten Unternehmens nach der KMU-Empfehlung bestimmt werden. Hierbei werden drei verschiedene Unternehmenstypen unterschieden: eigenständige Unternehmen, Partnerunternehmen und verbundene Unternehmen.

Wann welche Form des Konzernunternehmens vorliegt und was die Konsequenzen für die Zurechnung sind, ist im Einzelfall äußerst kompliziert. Sehr hilfreich zum Verständnis ist hierbei der „Benutzerleitfaden zur Definition von KMU“ der Europäischen Kommission. Dort werden die Einzelheiten der KMU-Empfehlung erklärt, eine Vielzahl von Beispielen genannt, sowie sehr hilfreiche grafische Übersichten wiedergegeben. In äußerster Verkürzung gilt dabei folgendes:

  • Eigenständiges Unternehmen
    • Liegt vor, wenn das betrachtete Unternehmen weniger als 25% an einem anderen Unternehmen hält oder kein anderes Unternehmen mehr als 25% am betrachteten Unternehmen hält
    • Konsequenz: Nur die eigenen Daten des betrachteten Unternehmens sind maßgeblich
  • Partnerunternehmen
    • Liegt vor, wenn das betrachtete Unternehmen mehr als 25% an einem anderen Unternehmen hält (aber weniger als 50%) oder ein anderes Unternehmen mehr als 25% am betrachteten Unternehmen hält (aber weniger als 50%)
    • Konsequenz: Es werden zu den eigenen Daten des betrachteten Unternehmens anteilig die Daten, der mit diesem Unternehmen verpartnerten Unternehmens hinzugerechnet
  • Verbundene Unternehmen
    • Liegt vor, wenn das betrachtete Unternehmen mehr als 50% an einem anderen Unternehmen hält oder ein anderes Unternehmen mehr als 50% am betrachteten Unternehmen hält
    • Konsequenz: Es werden zu den eigenen Daten des betrachteten Unternehmens zu 100% die Daten der mit diesem Unternehmen verbundenen Unternehmen hinzugerechnet

Zugegendermaßen sind diese Ausführungen sehr abstrakt, weshalb der oben genannte Benutzerleitfaden unbedingt hinzugezogen werden sollte. Die Vielzahl der dort genannten Beispiele (siehe S. 15 ff. und S. 25 ff.) würden den Rahmen dieses Blog-Beitrags sprengen.

man in black sweater wearing eyeglasses
Photo by Jakayla Toney / Unsplash

Ausnahme: Die eigenen IT-Systeme sind unabhängig von anderen Konzernunternehmen

Als Ausnahme von der grundsätzlichen Zurechnung der Daten von Partnerunternehmen oder verbundenen Unternehmen nach der KMU-Empfehlung statuiert § 28 Abs. 3 S. 2 BSIG folgendes:

„Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinen Partner- oder verbundenen Unternehmen ist.“

Eine Unabhängigkeit besteht dann, wenn ein bestimmender Einfluss auf die eigenen IT-Systeme besteht. Zur Frage, wann ein bestimmender Einfluss vorliegt führt die Gesetzesbegründung auf S. 156 aus:

Ein bestimmender Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse liegt insbesondere vor, wenn grundsätzliche Entscheidungen zur Beschaffung, zum Betrieb und zur Konfiguration der informationstechnischen Systeme, Komponenten und Prozesse durch die Einrichtung eigenverantwortlich getroffen werden können. Dies ist beispielsweise regelmäßig zu verneinen, wenn die informationstechnischen Systeme, Komponenten und Prozesse vollständig durch eine Konzernmutter betrieben werden, und die Einrichtung selbst demnach tatsächlich keinerlei Einfluss auf die vorgenannten Eigenschaften nehmen kann. Ein bestimmender Einfluss liegt jedoch regelmäßig vor, wenn die informationstechnischen Systeme, Komponenten und Prozesse im Auftrag durch einen Dienstleister betrieben werden, da hier durch vertragliche Regelungen bestimmender Einfluss auf die vorgenannten Eigenschaften ausgeübt werden kann. Hierdurch wird sichergestellt, dass Partnerunternehmen oder Tochterunternehmen, die für sich alleine gesehen die vorgesehenen Schwellen für Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nicht erreichen oder überschreiten, nur in denjenigen Fällen als besonders wichtige Einrichtung gelten können, wenn sie keinen bestimmenden Einfluss auf ihre eigenen informationstechnischen Systeme, Komponenten und Prozesse ausüben, weil diese beispielsweise von einem Partnerunternehmen betrieben werden.“

Die genannte Unterscheidung von Konzernmutter und Dienstleister ist dabei missverständlich, weil auch innerhalb eines Konzerns die IT von einem konzerninternen Dienstleister erbracht werden kann. Hierbei handelt es sich dann jedoch nicht zwingend um die Konzernmutter noch um einen Dienstleister außerhalb des Konzerns.

Letztlich handelt es sich (ähnlich wie bei der Bestimmung der Betreibereigenschaft für eine Kritis-Anlage) um eine Abwägungsentscheidung auf Grund der rechtlichen, wirtschaftlichen und tatsächlichen Umstände im Einzelfall.