Urteil des BVerwG, Az. 1 WB 53.05

Befehl, Elektronische Unterschrift, Abstrakte Normenkontrolle, Konzept
BUNDESVERWALTUNGSGERICHT
BESCHLUSS
BVerwG 1 WB 53.05
In dem Wehrbeschwerdeverfahren
des Hauptmanns …,
…,
hat der 1. Wehrdienstsenat des Bundesverwaltungsgerichts durch
die Richterin am Bundesverwaltungsgericht Dr. Frentz als Vorsitzende,
den Richter am Bundesverwaltungsgericht Prof. Dr. Widmaier,
den Richter am Bundesverwaltungsgericht Dr. Müller,
sowie
Major Scheid und
Stabshauptmann Hollnagel
als ehrenamtliche Richter
am 26. April 2006 beschlossen:
Der Antrag wird als unzulässig verworfen.
- 2 -
G r ü n d e :
I
Der 1965 geborene Antragsteller ist Berufssoldat in der Laufbahn der Offiziere
des militärfachlichen Dienstes, dessen Dienstzeit voraussichtlich mit Ablauf des
31. Oktober 2020 enden wird. Zum Hauptmann wurde er am 23. Juni 2003 er-
nannt. Zum 1. Juli 2002 wurde er vom L… in K. zum F… in K. versetzt, wo er
als Informationstechnik (IT)-Offizier und Datenverarbeitungsprogrammoffizier
verwendet wird.
Am 12. April 2005 erließ der IT-Direktor im Bundesministerium der Verteidigung
das IT-Sicherheitskonzept für den Kommunikationsverbund Lotus Notes Bun-
deswehr (KVLNBw) - IT 3 - Az.: 62-09-02-05/2354 -.
Mit Schreiben vom 22. April 2005 legte der Antragsteller gegen dieses IT-
Sicherheitskonzept Beschwerde ein. Er trug zur Begründung unter anderem
vor, ihm als Organisationsbereichs(OrgBer)-Administrator für den OrgBer der
Luftwaffe obliege die Umsetzung des IT-Sicherheitskonzepts. Diese Umsetzung
einschließlich der entsprechenden Überwachung und Durchsetzung sei ihm
nicht möglich. Insofern stelle das Sicherheitskonzept einen undurchführbaren
Befehl dar. Zentrale Vorgaben des IT-Sicherheitskonzepts, insbesondere die
Regelungen zu funktionalen Identitäten (ID) bzw. OrgEinheiten-ID ließen sich
weder überwachen noch durchsetzen. Hierbei sei die Einrede, dass das Kon-
zept eine „organisatorische Regelung“ vorsehe, nicht ausreichend, weil bei-
spielsweise Diebstahl auch verboten sei, trotzdem aber begangen werde. Im
Zusammenhang mit der Nutzung nicht personengebundener ID sei anzumer-
ken, dass es weder für den Versand noch für den Empfang einer E-Mail mög-
lich sei, zweifelsfrei die nutzende Person festzustellen. Dies bedeute faktisch
eine anonyme Nutzungsmöglichkeit. Das führe wiederum dazu, dass die Ver-
bindlichkeit der E-Mails nicht gegeben und auch keine Möglichkeit vorhanden
sei, Fehlverhalten zu ahnden, weil eine Zuordnung zu einer Person nicht mög-
lich sei. In der Anlage zu der Beschwerde habe er weitere Problemfelder des
1
2
3
- 3 -
IT-Sicherheitskonzepts aufgezeigt, die seine Umsetzung als Ganzes ebenfalls
unmöglich machten.
Zu der Beschwerde und deren Ergänzung im Schriftsatz des Antragstellers vom
30. Mai 2005 nahm auf Anforderung des Bundesministeriums der Verteidigung
- IT 3 - das Bundesamt für Informationsmanagement und Informationstechnik
der Bundeswehr (IT-AmtBw) mit Schreiben vom 21. Juni 2005 und vom
21. September 2005 Stellung. Es wies unter anderem darauf hin, das IT-
Sicherheitskonzept sei durch den zuständigen Projektbereich des IT-AmtBw in
enger Zusammenarbeit mit dem für IT-Sicherheit zuständigen Konzeptionsbe-
reich erstellt worden. Zuvor seien alle Bevollmächtigten Vertreter der OrgBer zu
einer Mitprüfung des IT-Sicherheitskonzepts aufgefordert worden. Mit Schrei-
ben vom 25. November 2004 habe der Bevollmächtigte Vertreter Luftwaffe die
Mitprüfbemerkungen des OrgBer der Luftwaffe übersandt, die mit einer Aus-
nahme vollständig in das IT-Sicherheitskonzept eingearbeitet worden seien. Die
vom Antragsteller als verletzt angesehene Nr. 150 ZDv 54/100 „IT-Sicherheit in
der Bundeswehr“ setze als Ziel einer Verschlüsselung von Daten unter ande-
rem die sichere Authentisierung/elektronische Unterschrift zum Schutz der Ver-
bindlichkeit. Die Authentisierung zum Schutz der Verbindlichkeit umfasse je-
doch nicht ausschließlich den Personenbezug; vielmehr sei hierunter auch der
Nachweis des Bezugs zu einer Stelle, also insbesondere einer OrgEinheit oder
auch einer Funktion, zu verstehen, der über die Verwendung von funktionalen
ID und OrgEinheiten-ID sichergestellt werde. Entgegen Nr. 507 und 508
ZDv 54/100 würden durch die rollenbezogenen Identifikationsdateien keine
personenbezogenen Zugangsrechte bereitgestellt. Um diesem Umstand Rech-
nung zu tragen, seien im IT-Sicherheitskonzept verschiedene Einschränkungen
im Umgang mit funktionalen ID bzw. OrgEinheiten-ID festgelegt. Über organisa-
torische Regelungen sei der vom Antragsteller geforderte Personenbezug auf-
grund der im IT-Sicherheitskonzept definierten Einschränkungen ebenfalls ge-
geben. Darüber hinaus stehe es im Ermessen der einzelnen Dienststellen, über
die durch das IT-Sicherheitskonzept vorgegebenen Einschränkungen hinaus
restriktivere Vorgaben für ihren Zuständigkeitsbereich zu machen. Hierauf wer-
de ausdrücklich in dem IT-Sicherheitskonzept hingewiesen. Das letztendlich
4
- 4 -
noch bestehende Restrisiko, dass Org-ID ohne Berücksichtigung der Ein-
schränkungen genutzt werden, sei im IT-Sicherheitskonzept bewertet und als
tolerierbar eingestuft worden. Eine endgültige technische Lösung werde erst mit
flächendeckender Einführung des Public Key Infrastructure Bundeswehr mög-
lich sein. Die Kritik an der mit dem IT-Sicherheitskonzept zusätzlich zu einer
Port-Verschlüsselung geforderten „Ende-zu-Ende-Verschlüsselung“ für den
KVLNBw werde seitens des IT-AmtBw nicht geteilt.
Die Beschwerde des Antragstellers hat der BMVg - PSZ I 7 - als Antrag auf ge-
richtliche Entscheidung gewertet und mit seiner Stellungnahme vom 2. Novem-
ber 2005 dem Senat vorgelegt.
Zur Begründung seines Antrags hat der Antragsteller mit Schriftsatz vom
22. November 2005 sein Beschwerdevorbringen vertieft und geltend gemacht,
er fühle sich dadurch beschwert, dass er einen Befehl ausführen und umsetzen
solle, dessen Einhaltung er aus den in der Beschwerde dargelegten Gründen
nicht überwachen könne und der aus seiner Sicht nicht rechtsmäßig sei, weil er
gegen bestehende Vorschriften verstoße.
Der Bundesminister der Verteidigung (BMVg) beantragt,
den Antrag zurückzuweisen.
Der Antrag sei unzulässig, weil dem Antragsteller die nach § 21 Abs. 2 i.V.m.
§ 17 Abs. 1 und 3 WBO erforderliche Antragsbefugnis fehle. Zwar scheitere die
Zulässigkeit des Antrags nicht daran, dass der Antragsteller unmittelbar einen
Erlass des BMVg angreife. Denn der Antragsteller sei als Administrator für die
Umsetzung des IT-Sicherheitskonzepts innerhalb des OrgBer der Luftwaffe zu-
ständig und damit ohne weiteren Umsetzungsakt verpflichtet, den fachlichen
Vorgaben des Sicherheitskonzeptes zu folgen. Das im Erlass vom 12. April
2005 festgelegte IT-Sicherheitskonzept für den KVLNBw verletze jedoch den
Antragsteller nicht in seinen Rechten. Es sei seiner Bestimmung nach eine in-
terne OrgMaßnahme der Bundeswehr, die allgemeine (Sicherheits-)Standards
5
6
7
8
- 5 -
für den Betrieb des KVLNBw setze. Damit richte sich der Erlass nicht unmittel-
bar gegen den Antragsteller und greife nicht in dessen durch das Wehrbe-
schwerderecht geschützte Rechtssphäre als Soldat ein. Soweit der Antragstel-
ler behaupte, für ihn stelle die Umsetzung des IT-Sicherheitskonzepts einen
undurchführbaren Befehl dar, fehle jede Substantiierung, in welcher Form die
Umsetzung des Konzepts von ihm ein unmögliches Handeln verlange. Das
Vorbringen des Antragstellers beinhalte vor allem fachliche Kritik an dem IT-
Sicherheitskonzept. Er bezweifele, dass das Ziel des Konzepts, eben die Si-
cherheitsinteressen der Bundeswehr im KVLNBw zu schützen, mit den im IT-
Sicherheitskonzept vorgesehenen organisatorischen und technischen Vorse-
hungen erreicht werden könne. Diese fachliche Kritik des Antragstellers, die
letztlich eine andere Risikobewertung der vorgesehenen organisatorischen und
technischen Sicherheitsmaßnahmen vornehme, begründe jedoch nicht in nach-
vollziehbarer Weise, dass von ihm im IT-Sicherheitskonzept etwas objektiv Un-
durchführbares verlangt werde. Vielmehr dokumentiere der Vortrag des An-
tragstellers lediglich seine subjektive Unzufriedenheit darüber, dass aus seiner
Sicht den Sicherheitsinteressen der Bundeswehr in dem streitbefangenen Kon-
zept nur unzureichend Rechnung getragen worden sei. Die Sicherheitsinteres-
sen der Bundeswehr berührten jedoch nicht den Rechtskreis des Soldaten.
Soweit ein Soldat eine fachliche Unzulänglichkeit von Maßnahmen, Erlassen
oder Weisungen durch Vorgesetzte erkenne, sei er auf die Meldung verwiesen.
Eine eigene Rechtsverletzung werde dadurch jedoch nicht impliziert. Soweit der
Antragsteller angeblich Widersprüche des IT-Sicherheitskonzepts insbesondere
zu Nr. 150, 151, 507 und 508 ZDv 54/100 geltend mache, sei sein Vorbringen
als Antrag auf abstrakte Normenkontrolle zu bewerten. Ein Beschwerderecht
diesen Inhalts sehe die Wehrbeschwerdeordnung jedoch nicht vor. Der An-
tragsteller habe im Übrigen keine beschwerderechtlich geschützte Rechtsposi-
tion, dem Erlassgeber die Setzung neuen Rechts mit bestimmten Inhalten vor-
zugeben. Der BMVg sei frei darin, seine im Erlasswege ergangenen Rechtsvor-
schriften durch neue abzuändern. Dies gelte auch für das IT-Sicherheitskonzept
vom 12. April 2005. Soweit der Antragsteller schließlich eine möglicherweise
unterbliebene Beteiligung von Personalvertretungen anspreche, folge hieraus
kein Eingriff in seine Rechtssphäre. Er maße sich Rechte der Betei-
- 6 -
ligungsorgane an, die für ihn nicht auf dem truppendienstlichen Rechtsweg gel-
tend zu machen seien.
Wegen des Vorbringens im Einzelnen wird auf den Inhalt der zwischen den Be-
teiligten gewechselten Schriftsätze und der Akten Bezug genommen. Die Ver-
fahrensakte des BMVg - PSZ I 7 - 388/05 -, das IT-Sicherheitskonzept für den
KVLNBw und die Personalgrundakte des Antragstellers, Hauptteile A bis D,
haben dem Senat bei der Beratung vorgelegen.
II
Das Rechtsschutzbegehren des Antragstellers, der keinen näher bezeichneten
Antrag gestellt hat, ist bei sachgerechter Auslegung darauf gerichtet, das IT-
Sicherheitskonzept des Bundesministeriums der Verteidigung - IT 3 - für den
KVLNBw vom 12. April 2005 aufzuheben. Nur auf diese Weise, nicht jedoch
durch die - subsidiäre - Feststellung der Rechtswidrigkeit dieses IT-Sicherheits-
konzepts, könnte der Antragsteller von der Pflicht zur Umsetzung und Anwen-
dung dieses IT-Sicherheitskonzepts befreit werden.
Dieser Aufhebungsantrag ist unzulässig.
Nach § 17 Abs. 1 WBO (i.V.m. § 21 Abs. 1, Abs. 2 Satz 1 WBO) kann der Sol-
dat die Wehrdienstgerichte anrufen, wenn seine Beschwerde eine Verletzung
seiner Rechte oder eine Verletzung von Vorgesetztenpflichten ihm gegenüber
zum Gegenstand hat, die im Zweiten Unterabschnitt des Ersten Abschnitts des
Soldatengesetzes mit Ausnahme der §§ 24, 25, 30 und 31 geregelt sind. Dar-
aus folgt, dass der Soldat nur solche Maßnahmen oder Unterlassungen (§ 17
Abs. 3 Satz 1 WBO) seiner militärischen Vorgesetzten einer gerichtlichen Prü-
fung unterziehen kann, die unmittelbar gegen ihn gerichtet sind oder die
- obwohl an andere Soldaten gerichtet - in Form einer Rechtsverletzung oder
eines Pflichtenverstoßes in seine Rechtssphäre hineinwirken (stRspr, vgl. u.a.
Beschlüsse vom 6. September 1990 - BVerwG 1 WB 109.89 - BVerwGE 86,
316 und vom 6. April 2005 - BVerwG 1 WB 67.04 - BVerwGE 123, 165 = Buch-
9
10
11
12
- 7 -
holz 236.1 § 15 SG Nr. 2 = NZWehrr 2005, 168 m.w.N.). Der Begriff der Maß-
nahme im Sinne des § 17 Abs. 3 Satz 1 WBO setzt dabei eine dem öffentlichen
Recht zugehörige Handlung eines Vorgesetzten oder einer Dienststelle der
Bundeswehr voraus, die im Verhältnis der Über- und Unterordnung getroffen
oder erbeten wird; dabei kommt es nicht darauf an, ob sie auch auf die Herbei-
führung von Rechtswirkungen abzielt (Beschluss vom 6. April 2005 - BVerwG
1 WB 67.04 - a.a.O. m.w.N.). Der Antragsteller muss insoweit die Möglichkeit
der Verletzung eigener Rechte oder ihm gegenüber bestehender Pflichten eines
Vorgesetzten substantiiert darlegen, um damit das Gericht in den Stand zu
versetzen, prüfen zu können, ob dies zutrifft. Wendet sich der Antragsteller je-
doch gegen eine Regelung des BMVg, die ausschließlich an seine Vorgesetz-
ten oder an andere Dienststellen der Bundeswehr gerichtet ist, ohne ihn konkret
und unmittelbar in seiner eigenen Rechtssphäre zu betreffen, ist dieser Antrag
auf gerichtliche Entscheidung unzulässig. Denn eine vom Einzelfall losgelöste
allgemeine Nachprüfung von Anordnungen, Erlassen oder Verwal-
tungsvorschriften des BMVg auf ihre Rechtmäßigkeit im Sinne eines Normen-
kontrollverfahrens ist der Wehrbeschwerdeordnung fremd (stRspr, vgl. u.a. Be-
schlüsse vom 8. Mai 2001 - BVerwG 1 WB 25.01 - Buchholz 311 § 17 WBO
Nr. 42 = NZWehrr 2001, 64 und vom 4. März 2004 - BVerwG 1 WB 51.03 -
m.w.N.). Das Wehrbeschwerdeverfahren dient nicht dazu, das Handeln oder die
Anordnungen bzw. Erlasse der zuständigen Vorgesetzten im Allgemeinen zu
überprüfen, sondern setzt vielmehr stets einen auf einer truppendienstlichen
Maßnahme oder Unterlassung beruhenden unmittelbaren Eingriff in die Rechte
des Soldaten voraus.
Unter Beachtung dieser Maßgaben stellt das IT-Sicherheitskonzept für den
KVLNBw vom 12. April 2005 zwar eine Maßnahme im vorgenannten Sinne dar,
weil es vom IT-Direktor im Bundesministerium der Verteidigung im Verhältnis
der Über- und Unterordnung erlassen wurde und sich (auch) an die unterstell-
ten OrgBerAdministrationen des KVLNBw richtet (Kapitel 2.1 am Ende des IT-
Sicherheitskonzepts). Zu diesen OrgBerAdministrationen gehört - vom BMVg
nicht in Frage gestellt - nach seinem Vorbringen auch der Antragsteller, der als
OrgBerAdministrator für den OrgBer der Luftwaffe verwendet wird und nach
13
- 8 -
seiner Darlegung in dieser dienstlichen Funktion als Adressat des IT-
Sicherheitskonzepts vom 12. April 2005 anzusehen ist.
Das IT-Sicherheitskonzept vom 12. April 2005 verletzt aber den Antragsteller
weder unmittelbar in dessen Rechten im Sinne des § 17 Abs. 1 Satz 1 WBO,
noch wirkt es in Form einer Rechtsverletzung oder eines Pflichtenverstoßes in
dessen Rechtssphäre hinein.
Das IT-Sicherheitskonzept löst - wie in Nr. 2.1 im Einzelnen dargelegt - die „IT-
Sicherheitsmaßnahmen für die Nutzung des Kommunikationsverbundes Lotus
Notes/Domino im Geschäftsbereich BMVg“ ab und dient als einheitliches und
organisationsbereichübergreifendes Konzept. Es enthält eine Vielzahl techni-
scher und datensicherheitsbezogener Bestimmungen, die - mit den in Kapi-
tel 11 enthaltenen Vorgaben zur Umsetzung - die Organisation und die Durch-
führung des Dienstbetriebes im KVLNBw unter Datensicherheitsaspekten
betreffen. Diese inhaltliche - vorrangig an militärischen Zweckmäßigkeitserwä-
gungen zu orientierende - Gestaltung der Organisation und der Durchführung
des Dienstbetriebes steht nicht zur Disposition des einzelnen Soldaten, der
deshalb insoweit auch keinen Rechtsanspruch geltend machen kann. Nach der
Rechtsprechung des Senats werden die die Organisationsgewalt betreffenden
Maßnahmen des Bundesministeriums der Verteidigung im öffentlichen Interes-
se getroffen; sie müssen sich jedoch nur insoweit an den Individualinteressen
des einzelnen Soldaten ausrichten, als dies rechtlich zwingend vorgegeben ist
(vgl. Beschluss vom 13. März 1990 - BVerwG 1 WB 29.89 -; vgl. auch Be-
schluss vom 12. Dezember 1978 - BVerwG 1 WB 141.76 - BVerwGE 63, 176).
Soweit der Antragsteller hinsichtlich des Inhalts der Sicherheitsanforderungen
im KVLNBw fachlich anderer Meinung als der Erlassgeber des IT-
Sicherheitskonzepts ist, kann er diese zwar seinen Vorgesetzten zur Kenntnis
bringen, jedoch nicht von Rechts wegen verlangen, dass seinen Bedenken
Rechnung getragen wird. Keine Rechtsvorschrift begründet einen solchen An-
spruch. Eine Möglichkeit zur Mitbestimmung bei Organisationsfragen wird dem
einzelnen Soldaten im Soldatengesetz nur nach Maßgabe der Regelungen der
§§ 35, 35a i.V.m. den darin genannten Gesetzen gewährt.
14
15
- 9 -
Eine organisatorische Regelung des Dienstbetriebes kann jedoch dann in die
Rechtssphäre eines Soldaten hineinwirken, wenn etwa die Anordnung des Vor-
gesetzten oder die Begleitumstände der Anordnung das allgemeine Persönlich-
keitsrecht (oder andere Grundrechte) des Soldaten verletzen (vgl. Beschluss
vom 12. Dezember 1978 - BVerwG 1 WB 141.76 - a.a.O.). Für eine derartige
mögliche Verletzung des allgemeinen Persönlichkeitsrechts (oder anderer
Grundrechte) des Antragstellers ergeben sich aus dem Sachverhalt und aus
dem Vorbringen des Antragstellers objektiv keinerlei Anhaltspunkte.
Etwas anderes folgt auch nicht aus der vom Antragsteller in seiner E-Mail vom
28. Juli 2005 angesprochenen möglichen Verletzung von Beteiligungsrechten
der zuständigen Personalvertretungen. Der Antragsteller kann diesbezüglich
mangels eigener Vertretungseigenschaft nach § 1 Abs. 2 SBG nicht in eigenen
Rechten verletzt sein. Er selbst sieht sich in diesem Punkt auch nicht in seinen
Rechten verletzt; dies hat er in seinem Schreiben vom 22. November 2005
ausdrücklich eingeräumt.
Ohne Erfolg rügt der Antragsteller eine Rechtsverletzung insoweit, als er das IT-
Sicherheitskonzept als einen „undurchführbaren Befehl“ bezeichnet, dessen
„Umsetzung als Ganzes“ unmöglich sei und der überdies nicht rechtmäßig sei,
weil er gegen bestehende Vorschriften verstoße.
In der Sache rügt der Antragsteller damit eine Verletzung seiner Rechte aus
§ 10 Abs. 3 und 4 SG. Im vorliegenden Fall kann der Senat die Frage der An-
wendbarkeit des § 10 Abs. 4 SG sowie ferner offen lassen, ob der Schutzbe-
reich des in § 10 Abs. 3 SG normierten Fürsorgegebotes sich auch darauf er-
streckt, den Soldaten vor Befehlen zu bewahren, die deshalb unverbindlich
sind, weil ihre Ausführung objektiv unmöglich ist (vgl. dazu im Einzelnen: Urteil
vom 21. Juni 2005 - BVerwG 2 WD 12.04 - NJW 2006, 77 = EuGRZ 2005, 636).
Denn das IT-Sicherheitskonzept für den KVLNBw vom 12. April 2005 stellt kei-
nen Befehl dar.
16
17
18
19
- 10 -
Nach der Legaldefinition des § 2 Nr. 2 WStG ist ein Befehl eine Anweisung zu
einem bestimmten Verhalten, die ein militärischer Vorgesetzter einem Unterge-
benen schriftlich, mündlich oder in anderer Weise allgemein oder für den Ein-
zelfall und mit dem Anspruch auf Gehorsam erteilt. Dieser Befehlsbegriff ist
auch im Wehrbeschwerdeverfahren maßgeblich (Beschlüsse vom 8. November
1990 - BVerwG 1 WB 88.89 -, vom 28. Mai 1991 - BVerwG 1 WB 87.90 -
NZWehrr 1991, 248 und vom 22. Dezember 2004 - BVerwG 1 WB 30.04 -). Ein
Befehl in diesem Sinne liegt hingegen nicht bei einer Anordnung vor, die sich
auf Empfehlungen oder Belehrungen beschränkt, oder bei Richtlinien, die noch
einer besonderen Konkretisierung im Einzelfall bedürfen oder den zuständigen
Adressaten bzw. Vorgesetzten einen eigenständigen Ermessensspielraum bei
der Anwendung belassen (Beschlüsse vom 8. November 1990 - BVerwG 1 WB
88.89 - und vom 22. Dezember 2004 - BVerwG 1 WB 30.04 - m.w.N.). Das IT-
Sicherheitskonzept „als Ganzes“, welches der Antragsteller mit seinem Antrag
angreift, stellt hiernach keinen Befehl, sondern eine verbindliche Richtlinie dar,
die jedoch für die einzelnen OrgBer bei der Umsetzung noch der Konkretisie-
rung bedarf und insoweit nicht eine zwingende Anweisung zu einem „bestimm-
ten“ Verhalten im Sinne des § 2 Nr. 2 WStG enthält. In maßgeblichen Bereichen
schreibt das IT-Sicherheitskonzept sogar ausdrücklich den einzelnen
Dienststellen und den in ihnen tätigen Anwendern des IT-Personals eine eigen-
ständige Verantwortung für zu definierende und einzuhaltende Sicherheitsan-
forderungen zu.
In Nr. 2.1 des IT-Sicherheitskonzepts ist festgelegt, dass dieses Konzept als
„einheitliches und organisationsbereichübergreifendes“ Konzept dient. Die Si-
cherheitsanalyse ist „aus der Gesamtsicht des KVLNBw und nicht aus der Sicht
einer einzelnen Dienststelle oder Organisationseinheit“ erfolgt. Die Nr. 11.2 be-
stimmt für die einzelnen Dienststellen die Umsetzung der Sicherheitsmaßnah-
men bzw. Vorgaben aus den Nr. 7.1 und 7.2; insoweit wird aber ausdrücklich
betont, dass es sich dabei um Mindestanforderungen handelt, die weiterfüh-
rende Regelungen und Detailkonzepte nicht entbehrlich machen. Insoweit wird
in den „Vorgaben für Dienststellen“ betont, dass weiterführende Regelungen
und Detailkonzepte aus Sicht der IT-Sicherheit erforderlich sind und dass die
20
21
- 11 -
detaillierte Beschreibung der Umsetzung in Form von Handlungsanweisungen
in zusätzlichen Detailkonzepten der einzelnen OrgBer bzw. Dienststellen erfol-
gen müsse; diese müssten durch die OrgBer oder Dienststellen erstellt werden,
wenn keine zentralen Vorgaben der Bundeswehr existieren. Schon an dieser
- für die Verbindlichkeit des Erlasses vom 12. April 2005 maßgeblichen - Stelle
betont der Erlassgeber die Eigenverantwortung der (nachgeordneten) OrgBer
oder Dienststellen bei zusätzlichen „Detailkonzepten“, die auf die Bedürfnisse
der einzelnen OrgBer bzw. Dienststellen zuzuschneiden sind. Diese eigene
Verantwortung der OrgBer für eventuelle weitergehende Sicherheitsmaßnah-
men und die Beschränkung lediglich auf Mindestanforderungen wird zusätzlich
in Nr. 6.3 des IT-Sicherheitskonzepts hervorgehoben.
In Übereinstimmung mit diesen Regelungen des IT-Sicherheitskonzepts hat das
IT-AmtBw in seiner Auskunft an den BMVg vom 21. Juni 2005 unterstrichen, es
stehe im Ermessen der einzelnen Dienststellen, über die durch das IT-
Sicherheitskonzept vorgegebenen Einschränkungen hinaus restriktivere Vorga-
ben für ihren Zuständigkeitsbereich zu machen; hierauf werde im IT-Sicher-
heitskonzept ausdrücklich hingewiesen.
Überdies folgt aus Nr. 1.7 des IT-Sicherheitskonzepts, dass fachliche oder
technische Probleme bei der Umsetzung des Konzepts durch eine fortlaufende
Kontrolle und entsprechende Initiativrechte behoben werden können. Dort wird
ausdrücklich die „Abhängigkeit von organisatorischen und technischen Struktu-
ren des KVLNBw“ betont und deshalb eine zwingende Fortschreibung des
Konzepts unter zehn - nicht abschließend formulierten - Voraussetzungen fest-
gelegt. Die entsprechenden Änderungsvorschläge können durch Verantwortli-
che vorgebracht werden, die das Bundesministerium der Verteidigung in Nr. 1.7
des IT-Sicherheitskonzepts (am Ende) im Einzelnen benannt hat. Indem der
Erlassgeber diese Initiativrechte für Änderungen im IT-Sicherheitskonzept aus-
drücklich den „Verantwortlichen/Ansprechpartnern bei Konzeptänderungen“
zuschreibt, dokumentiert er selbst, dass das IT-Sicherheitskonzept vom
12. April 2005 (lediglich) eine verbindliche Richtlinie, jedoch (noch) nicht einen
Befehl im Sinne des § 2 Nr. 2 WStG darstellt.
22
23
- 12 -
Nicht zuletzt ergibt sich ein eigenständiges Prüfungsrecht der Anwender des IT-
Sicherheitskonzepts in den Dienststellen aus Nr. 11.2 des IT-Sicherheitskon-
zepts in Verbindung mit Anhang 7. In Anhang 7.1 werden die „allgemeinen IT-
Sicherheitsanforderungen“ aufgeführt und vom Erlassgeber als „generelle An-
forderungen an das System bzw. Anforderungen an die Einsatz-Umgebung“
definiert. Ausdrücklich wird die Möglichkeit einer Bewertung im Rahmen einer
Restrisikobetrachtung eingeräumt, wenn „einzelne dieser Anforderungen durch
die Dienststellen bzw. Projekte nicht abgedeckt werden können“. An dieser
Stelle wird den zuständigen Adressaten des IT-Sicherheitskonzepts in den
Dienststellen ausdrücklich ein eigenständiger Prüfungs- und Ermessensspiel-
raum eingeräumt, ob die „generellen“ allgemeinen IT-Sicherheitsanforderungen
des IT-Sicherheitskonzepts durch die Dienststelle abgedeckt werden können.
Sofern das Vorbringen des Antragstellers auch dahin auszulegen sein sollte,
dass er die Vereinbarkeit des IT-Sicherheitskonzepts mit einzelnen Nummern
der ZDv 54/100 in Frage stellt, ist sein Antrag gleichfalls unzulässig. Denn nach
ständiger Rechtsprechung ist eine vom Einzelfall losgelöste allgemeine Nach-
prüfung von Erlassen nach Art eines Normenkontrollverfahrens - wie bereits
ausgeführt - im Wehrbeschwerderecht nicht möglich.
Der Senat hat davon abgesehen, den Antragsteller mit Verfahrenskosten zu
belasten, weil er die Voraussetzungen des § 20 Abs. 2 Satz 1 i.V.m. § 21 Abs. 2
Satz 1 WBO nicht als gegeben erachtet.
Dr. Frentz Prof. Dr. Widmaier Dr. Müller
Scheid Hollnagel
24
25
26