Sowohl in Deutschland als auch auf EU-Ebene stehen Änderungen des Rechts der Investitionsprüfung an (siehe auch: Further tightening of FDI screening (taylorwessing.com)). Die Bundesregierung plant die Überarbeitung und Konkretisierung der derzeit 27 Branchenfallgruppen, die eine Anmeldepflicht auslösen. Zudem sollen künftig auch Greenfield-Investments und Forschungskooperation der Investitionsprüfung unterliegen. Auf europäischer Ebene ist die Einführung eines Outbound-Control-Regimes geplant. Weitere Änderungen ergeben sich nun durch die Umsetzung der sog. NIS-2-Richtlinie.
Mit dieser Richtlinie möchte die EU einen EU-weit verbindlichen und ausreichend hohen Sicherheitsstandard vor Cyberangriffen und damit einhergehend die Aufrechterhaltung der Funktionsfähigkeit des Binnenmarkts der EU gewährleisten. Die Umsetzung der Richtlinie erfolgt in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (
„NIS2UmsuCG“), das derzeit das Gesetzgebungsverfahren auf Bundesebene durchläuft. Das NIS2UmsuCG führt auch zu Anpassungen der Außenwirtschaftsverordnung (
„AWV“) im Bereich der Investitionsprüfung. Im Folgenden geben wir einen kurzen Überblick über die Auswirkungen der neuen Begrifflichkeiten für die Investitionsprüfung:
Das NIS2UmsuCG
Durch das NIS2UmsuCG, insbesondere die darin enthaltene Anpassung des BSI-Gesetzes („BSIG-E“), wird der Kreis der vom IT-Sicherheitsregime betroffenen Unternehmen erheblich erweitert. Ein besonderes Augenmerk gilt dabei Unternehmen und Organisationen, denen durch Cyberangriffe besonders hohe monetäre Schäden entstehen können oder die im Falle eines Cyberangriffs weitreichende Auswirkungen, wie die Gefahr von Leib und Leben der Bevölkerung, mit sich ziehen. In erster Linie wird der Begriff der „kritischen Infrastrukturen“ angepasst bzw. erweitert. Unterschieden wird künftig zwischen „wichtigen“ und „besonders wichtigen Eirichtungen“ sowie „kritischen Anlagen“. Dazu wurden eine Reihe von Sektoren aufgenommen, in denen Unternehmen, die bestimmte Schwellenwerte (z.B. Unternehmensgröße, Anzahl der Mitarbeiter, Jahresumsatz) erreichen, verschiedene Pflichten auferlegt werden. Die Schwellenwerte für kritische Anlagen werden je nach Anlage individuell festgelegt.
Die betroffenen Unternehmen sind verpflichtet, je nach Einstufung verschiedene Pflichten zu erfüllen. Dazu zählen Melde- und Registrierungspflichten sowie Maßnahmen zum Risikomanagement und zur Sicherstellung der betrieblichen Kontinuität. Unternehmen, die als besonders wichtige oder wichtige Einrichtungen zu qualifizieren sind, müssen somit innerhalb von drei Monaten dem BSI die in § 33 BSIG-E genannten Angaben übermitteln. Die Meldepflichten werden künftig umfangreicher als bisher sein. Der neu eingeführte § 32 BSIG-E sieht ein mehrstufiges Meldeverfahren vor. Etwaige Sicherheitsvorfälle müssen innerhalb von 24 Stunden und mit Folgemeldungen dem BSI mitgeteilt werden. Auch ein Nachweis zur Erfüllung der Anforderungen zur Gewährleistung der Informationssicherheit muss erbracht werden. Durch die Verschärfung der Maßnahmen gegen Cyber Angriffe müssen Unternehmen das Risiko eines Cyberangriffs über ihre Lieferkette beurteilen können. Verstöße gegen die Vorgaben können zu erheblichen Geldstrafen und zu persönlicher Haftung der Geschäftsleitung führen. Dazu kann es bereits bei einer nicht vollständigen Erbringung von entsprechenden Nachweisen kommen.
Änderungen der AWV: Aus „kritischen Infrastrukturen“ werden „kritische Anlagen“
Das NIS2UmsuCG sieht bereits eine konkrete Änderung im Bereich der sektorübergreifenden Prüfung vor. Die Fallgruppen der § 55a Abs. 1 Nr. 1 und 2 AWV werden leicht angepasst. Erfasst werden künftig nicht mehr Betreiber „kritischer Infrastrukturen“, sondern Betreiber „kritischer Anlagen“ (§ 55a Abs. 1 Nr. 1 AWV). Entsprechendes gilt für branchenspezifische Software zum Betreib „kritischer Anlagen“ (§ 55a Abs. 1 Nr. 2 AWV). Anknüpfungskriterium wird daher der Begriff der Anlage. Der Anwendungsbereich der Investitionsprüfung wird dadurch jedoch nicht eingeschränkt oder gar erweitert, da auch jetzt schon auf den Begriff der Anlagen in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz („BSI-KritisV“) abgestellt wird. Die kritischen Infrastrukturen dienen aktuell nur als Oberbegriff. In § 1 Abs. 1 BSI-KritisV werden aktuell „Anlagen“ in den Begriffsbestimmungen als „Betriebsstätten und sonstige ortsfeste Einrichtungen; Maschinen, Geräte und sonstige ortsveränderliche Einrichtungen; oder Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind“ definiert. Einrichtungen werden hingegen separat in den Begriffsbestimmungen in der BSI-KritisV nicht erwähnt, da sie bereits durch die Anlagen und deren Definition miterfasst sind. Daher wird nach künftiger Rechtslage durch die Verwendung des Begriffs „Anlage“ statt „Infrastruktur“ „der sachliche Anwendungsbereich der Investitionsprüfung im Bereich „KRITIS“ nicht eingeschränkt oder erweitert.
Fallen auch „besonders wichtige Einrichtungen“ in den Anwendungsbereich der Investitionsprüfung?
Die neue übergeordnete Einrichtungskategorie der „besonders wichtigen Einrichtungen“ im Sinne des § 28 Abs. 1 BSIG-E findet keinen Einzug in die Investitionsprüfung. Zu den „besonders wichtigen Einrichtungen“ zählen neben Betreibern kritischer Anlagen auch Anbieter qualifizierter Vertrauensdienste, Anbieter öffentlicher Telekommunikationsdienste und -netze sowie zudem Unternehmen aus besonders sensiblen Sektoren (u.a. Energie, Transport, Finanzen und Gesundheit), die mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz über EUR 50 Mio. aufweisen. Eine eigene Fallgruppe im Rahmen des § 55a Abs. 1 AWV wird für „besonders wichtige Einrichtungen“ – jedenfalls vorerst – jedoch nicht geschaffen. Mit Blick auf die in den letzten Jahren stetig zunehmende Verschärfung des deutschen Investitionsprüfregimes ist eine zukünftige Aufnahme der „besonders wichtigen Einrichtungen“ als eigene Fallgruppe im Bereich der sektorübergreifenden Prüfung jedoch nicht gänzlich auszuschließen. Gerade vor dem Hintergrund, dass es sich bei dieser Einrichtungskategorie teilweise um Unternehmen handelt, die für das Funktionieren der deutschen Wirtschaft sowie der Versorgungssicherheit von erheblicher Bedeutung sind, ist eine weitere Anpassung der AWV zumindest denkbar. Der Gesetzgeber könnte auf diese Weise auch eine gewisse Stringenz in die Gesetzessystematik in Bezug auf Unternehmen im Bereich KRITIS bringen.
Auf der anderen Seite würde die Aufnahme der „besonders wichtigen Einrichtungen“ als eigene Fallgruppe des § 55a Abs. 1 AWV eine erhebliche Erweiterung des Anwendungsbereichs der Investitionsprüfung mit sich bringen. Denn die Liste der im BSI-E genannten Sektoren ist lang. Aus unserer Sicht wäre zudem zu bedenken, dass sich die Bedeutung der „besonders wichtigen Einrichtungen“ – anders als etwa die der „kritischen Anlagen“, für die tätigkeitsbezogene Schwellenwerte gelten – vielmehr aus der Unternehmensgröße, d.h. Mitarbeiterzahl und Jahresumsatz ergibt. Es stellt sich die Frage, ob der Erwerb eines „großen“ Unternehmens durch einen ausländischen Erwerber tatsächlich ebenso geeignet ist, die öffentliche Ordnung oder Sicherheit zu beeinträchtigen wie der eines Unternehmens, das de facto über eine besondere Bedeutung in einem kritischen Sektor verfügt.
Ausblick
Als auf das Außenwirtschaftsrecht spezialisierte Rechtsanwälte behalten die Änderungen im Bereich der Investitionsprüfung stets im Auge. Über relevante Änderungen informieren wir Sie weiterhin an dieser Stelle. Gerne unterstützen wir Sie bei allen Fragen in diesem Zusammenhang.