Wie sollte ein Stadtwerk mit 50.000 Zählpunkten den Prozess zur Beantwortung von IFG-Anfragen technisch und organisatorisch gestalten, um einerseits Transparenzpflichten zu erfüllen und andererseits das Haftungsrisiko der Geschäftsführung bei der Offenlegung potenzieller Sabotage-Blaupausen zu minimieren?

Das Stadtwerk sollte eine formale Schutzbedarfsfeststellung implementieren, die als fester Bestandteil in das ISMS nach ISO 27001 integriert ist. Anfragen müssen durch ein interdisziplinäres Gremium aus IT-Sicherheitsbeauftragten und der Rechtsabteilung geprüft werden, um sensible Netztopologien oder Anlagenverzeichnisse vor der Herausgabe zu aggregieren oder zu schwärzen. Eine lückenlose Dokumentation dieser Abwägung zwischen dem Informationsfreiheitsgesetz und der KRITIS-Sicherheit ist essenziell, um die im Artikel beschriebene Durchgriffshaftung bei etwaigen Vorfällen abzuwenden.

Welche wirtschaftliche Strategie empfiehlt sich für ein mittelgroßes Stadtwerk mit 100 Mitarbeitern, um die CAPEX für neue Videoüberwachungsanlagen an KRITIS-Standorten so zu deklarieren, dass sie trotz des Effizienzvergleichs nach § 12 ff. ARegV in der kommenden Regulierungsperiode als dauerhaft nicht beeinflussbare Kosten (dnbK) anerkannt werden?

Das Stadtwerk muss diese Investitionen explizit als regulatorisch induzierte Sicherheitsmaßnahmen zur Erfüllung der Schutzpflichten nach § 11 Abs. 1 EnWG und § 8a BSIG kennzeichnen. Es empfiehlt sich, die Kosten durch einen Verweis auf den IT-Sicherheitskatalog der Bundesnetzagentur und die spezifische Bedrohungslage der Kritischen Infrastruktur zu begründen. Ziel ist es, nachzuweisen, dass diese Ausgaben keine freiwilligen Effizienzentscheidungen sind, sondern notwendige Aufwendungen für die gesetzlich geforderte Resilienz, um eine Abstrafung im allgemeinen Effizienzvergleich zu verhindern.

Inwiefern muss ein Stadtwerk mit 20.000 Fernwärmekunden seine bestehende Datenschutz-Folgenabschätzung (DSFA) anpassen, wenn aufgrund der neuen Berliner Stoßrichtung die Videoüberwachung an physischen Übergabestationen und neuralgischen Netzpunkten massiv ausgeweitet wird?

Die DSFA muss gemäß Art. 35 DSGVO um eine neue, standortspezifische Verhältnismäßigkeitsprüfung ergänzt werden. Hierbei muss das Stadtwerk das öffentliche Interesse an der Versorgungssicherheit gegen die Eingriffsintensität in die Grundrechte der Bürger abwägen. Technisch bedeutet dies oft die Implementierung von 'Privacy by Design' (z.B. automatische Verpixelung von Passanten), während rechtlich die Notwendigkeit jeder Kamera im Rahmen des Gesamtsicherheitskonzepts (§ 11 EnWG) dokumentiert werden muss, um den steigenden Anforderungen der Datenschutzbehörden im KRITIS-Umfeld gerecht zu werden.

KRITIS-Schutz vs. Informationsfreiheit: Berlins Vorstoß und die Folgen für Stadtwerke

Der Schutz Kritischer Infrastrukturen (KRITIS) ist spätestens seit den physischen Sabotageakten auf die deutsche Energieversorgung kein rein theoretisches Szenario der Risikoanalyse mehr. In Berlin hat die Debatte nach den Anschlägen auf das Stromnetz eine neue, regulatorisch brisante Dynamik gewonnen. Die Koalition aus CDU und SPD plant signifikante Verschärfungen, die nicht nur die physische Überwachung betreffen, sondern tief in das Gefüge der Informationsfreiheit eingreifen.

Als Regulatorik-Expertin sehe ich hier eine Entwicklung, die weit über die Berliner Stadtgrenzen hinausstrahlt. Es geht um die fundamentale Frage: Wie viel Transparenz verträgt ein sicheres System? Und wo endet das berechtigte Informationsinteresse der Öffentlichkeit, wenn es zur Blaupause für Sabotage werden könnte?

Der regulatorische Kontext: Status Quo und Berliner Pläne

Bisher stützt sich der Schutz von Energieversorgungsnetzen primär auf zwei Säulen: Das Energiewirtschaftsgesetz (EnWG) und das BSI-Gesetz (BSIG). Gemäß § 11 Abs. 1 EnWG sind Betreiber von Energieversorgungsnetzen verpflichtet, ein sicheres, zuverlässiges und leistungsfähiges Energieversorgungssystem zu betreiben. Ergänzt wird dies durch den IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA) nach § 11 Abs. 1a EnWG, der die Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 vorschreibt.

Die Berliner Pläne gehen nun einen Schritt weiter und adressieren die physische Komponente sowie die Informationslage. Konkret stehen zwei Maßnahmen im Fokus:

Ausweitung der Videoüberwachung: Eine präventive Maßnahme zum Objektschutz an neuralgischen Punkten.
Änderung des Informationsfreiheitsgesetzes (IFG): Hier sollen neue Ausschlussgründe geschaffen werden, um Anfragen zu sensiblen Infrastrukturdaten ablehnen zu können.

Warum sollte ICH (von Stadtwerk XYZ) mich damit beschäftigen?

Als Verantwortlicher in einem Stadtwerk stellt man sich oft die Frage, ob solche landespolitischen Debatten den operativen Alltag berühren. Die Antwort lautet: Ja, und zwar massiv. Hier sind drei Gründe, warum dieses Thema auf Ihre Agenda gehört:

Compliance-Risiko bei Informationsanfragen: Wenn Sie als kommunales Unternehmen dem IFG oder entsprechenden Landesgesetzen unterliegen, befinden Sie sich in einem Dilemma. Einerseits verlangt das Transparenzgebot die Offenlegung von Daten. Andererseits verpflichtet Sie § 8a BSIG dazu, Vorkehrungen zum Schutz Ihrer KRITIS-Anlagen zu treffen. Eine falsche Auskunft könnte als Sicherheitslücke gewertet werden.
Haftung der Geschäftsführung: Die Umsetzung von Schutzmaßnahmen ist keine rein technische Aufgabe, sondern eine Organisationspflicht. Sollte es zu einem Vorfall kommen und nachgewiesen werden, dass Schutzlücken (z.B. durch zu weitreichende Informationen in öffentlichen Verzeichnissen) bekannt waren, greift die Durchgriffshaftung.
Zukünftige Standardsetzung: Berlin agiert hier oft als Testfeld. Die im Rahmen des geplanten KRITIS-Dachgesetzes auf Bundesebene geführten Diskussionen spiegeln genau diese Berliner Kontroverse wider. Wer heute versteht, wie die Abwägung zwischen Transparenz und Schutz erfolgt, kann seine ISMS-Strategie zukunftssicher ausrichten.

Die IFG-Debatte: Transparenz als Sicherheitsrisiko?

Kritiker und Opposition in Berlin werfen dem Senat vor, das IFG zu instrumentalisieren, um sich vor unliebsamen Anfragen zu schützen. Aus regulatorischer Sicht ist die Argumentation komplexer.

Das Informationsfreiheitsgesetz (IFG) dient der demokratischen Kontrolle. Doch im Bereich der leitungsgebundenen Energieversorgung sind Informationen über Netztopologien, Lastflüsse oder die genaue Verortung von Schaltanlagen hochsensibel. Die BNetzA hat bereits in verschiedenen Festlegungsverfahren (z.B. im Kontext der MaBiS oder GPKE) deutlich gemacht, dass Datenformate wie UTILMD oder MSCONS zwar standardisiert sind, der Zugriff auf aggregierte Netzdaten jedoch reglementiert bleiben muss, um Missbrauch zu verhindern.

Der neu ernannte Chief Digital Officer (CDO) Berlins, Matthias Hundt, fordert eine „Versachlichung der Debatte“. Rechtlich bedeutet das: Wir brauchen eine präzise Definition von „sicherheitsrelevanten Informationen“. Es darf nicht dazu führen, dass pauschal jede Anfrage abgelehnt wird. Vielmehr muss eine Schutzbedarfsfeststellung erfolgen, wie sie auch im Rahmen der BSI-KritisV für IT-Systeme vorgesehen ist.

Videoüberwachung: Datenschutzrechtliche Hürden

Die geplante Ausweitung der Videoüberwachung an KRITIS-Standorten kollidiert zwangsläufig mit der DSGVO und dem Berliner Datenschutzgesetz (BlnDSG).

Für Stadtwerke bedeutet dies: Eine Kamera allein ist kein Sicherheitskonzept. Gemäß Art. 35 DSGVO ist für solche Maßnahmen zwingend eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Der Zweck (Schutz der Energieversorgung nach § 11 EnWG) muss gegen die Eingriffe in die Grundrechte der Bürger abgewogen werden.

Interessanterweise zeigen die Recherche-Ergebnisse (z.B. [willi-netz]), dass selbst die Bundesregierung in Strategiepapieren einräumt, dass die praktische Umsetzung von Schutzkonzepten oft an mangelnden Details in der Gesetzgebung scheitert. Ein Verweis auf eine „Stromspeicher-Strategie“ oder allgemeine Netzmanagement-Vorgaben reicht nicht aus, um eine rechtssichere Überwachung zu begründen.

Die ökonomische Dimension: Effizienzvergleich und Netzentgelte

Ein oft übersehener regulatorischer Aspekt ist die Refinanzierung dieser Sicherheitsmaßnahmen. Investitionen in den Objektschutz oder in erweiterte IT-Sicherheitssysteme sind Kosten, die in die Netzkostenprüfung einfließen.

Nach der Anreizregulierungsverordnung (ARegV) müssen Netzbetreiber effizient arbeiten. Es besteht die Gefahr, dass notwendige Sicherheitsinvestitionen im Effizienzvergleich nach § 12 ff. ARegV als „ineffizient“ abgestraft werden, wenn sie über den Branchendurchschnitt hinausgehen. Hier ist die Politik gefordert, im Rahmen der anstehenden Reformen (Stichwort: 6. Regulierungsperiode) sicherzustellen, dass KRITIS-Schutz als „dauerhaft nicht beeinflussbarer Kostenanteil“ (dnbK) anerkannt wird.

Fazit: Was ist jetzt zu tun?

Die Berliner Debatte ist ein Weckruf für alle Stadtwerke. Wir bewegen uns weg von einer rein kaufmännisch-technischen Regulierung hin zu einer sicherheitspolitisch geprägten Regulierung.

Meine Handlungsempfehlungen für Stadtwerke:

Auditierung der Veröffentlichungspflichten: Prüfen Sie, welche Daten Sie aufgrund von § 20 EnWG (Veröffentlichungspflichten der Netzbetreiber) online stellen. Sind diese Informationen so detailliert, dass sie für Sabotagezwecke genutzt werden könnten? Nutzen Sie Spielräume zur Aggregation.
Harmonisierung von ISMS und physischem Schutz: Integrieren Sie die physische Sicherheit (Zutrittskontrollen, Überwachung) in Ihr ISMS nach ISO 27001. Dies erleichtert die Argumentation gegenüber Regulierungsbehörden und Versicherern.
IFG-Prozesse definieren: Erstellen Sie einen Leitfaden für Ihre Rechtsabteilung, wie mit Anfragen nach dem IFG umzugehen ist, wenn diese kritische Infrastruktur betreffen. Berufen Sie sich auf den Schutz öffentlicher Belange, sofern eine konkrete Gefährdung begründbar ist.

Regulatorik ist kein Selbstzweck. Sie ist der Rahmen, in dem wir die Versorgungssicherheit garantieren. Die Verschärfungen in Berlin mögen politisch umstritten sein, fachlich unterstreichen sie jedoch die steigende Verantwortung der Stadtwerke als Rückgrat der Gesellschaft.