Urteil des BVerwG vom 26.04.2006

Befehl, Elektronische Unterschrift, Abstrakte Normenkontrolle, Konzept

BUNDESVERWALTUNGSGERICHT

BESCHLUSS

BVerwG 1 WB 53.05

In dem Wehrbeschwerdeverfahren

des Hauptmanns …,

…,

hat der 1. Wehrdienstsenat des Bundesverwaltungsgerichts durch

die Richterin am Bundesverwaltungsgericht Dr. Frentz als Vorsitzende,

den Richter am Bundesverwaltungsgericht Prof. Dr. Widmaier,

den Richter am Bundesverwaltungsgericht Dr. Müller,

sowie

Major Scheid und

Stabshauptmann Hollnagel

als ehrenamtliche Richter

am 26. April 2006 beschlossen:

Der Antrag wird als unzulässig verworfen.

- 2 -

G r ü n d e :

Der 1965 geborene Antragsteller ist Berufssoldat in der Laufbahn der Offiziere

des militärfachlichen Dienstes, dessen Dienstzeit voraussichtlich mit Ablauf des

31. Oktober 2020 enden wird. Zum Hauptmann wurde er am 23. Juni 2003 er-

nannt. Zum 1. Juli 2002 wurde er vom L… in K. zum F… in K. versetzt, wo er

als Informationstechnik (IT)-Offizier und Datenverarbeitungsprogrammoffizier

verwendet wird.

Am 12. April 2005 erließ der IT-Direktor im Bundesministerium der Verteidigung

das IT-Sicherheitskonzept für den Kommunikationsverbund Lotus Notes Bun-

deswehr (KVLNBw) - IT 3 - Az.: 62-09-02-05/2354 -.

Mit Schreiben vom 22. April 2005 legte der Antragsteller gegen dieses IT-

Sicherheitskonzept Beschwerde ein. Er trug zur Begründung unter anderem

vor, ihm als Organisationsbereichs(OrgBer)-Administrator für den OrgBer der

Luftwaffe obliege die Umsetzung des IT-Sicherheitskonzepts. Diese Umsetzung

einschließlich der entsprechenden Überwachung und Durchsetzung sei ihm

nicht möglich. Insofern stelle das Sicherheitskonzept einen undurchführbaren

Befehl dar. Zentrale Vorgaben des IT-Sicherheitskonzepts, insbesondere die

Regelungen zu funktionalen Identitäten (ID) bzw. OrgEinheiten-ID ließen sich

weder überwachen noch durchsetzen. Hierbei sei die Einrede, dass das Kon-

zept eine „organisatorische Regelung“ vorsehe, nicht ausreichend, weil bei-

spielsweise Diebstahl auch verboten sei, trotzdem aber begangen werde. Im

Zusammenhang mit der Nutzung nicht personengebundener ID sei anzumer-

ken, dass es weder für den Versand noch für den Empfang einer E-Mail mög-

lich sei, zweifelsfrei die nutzende Person festzustellen. Dies bedeute faktisch

eine anonyme Nutzungsmöglichkeit. Das führe wiederum dazu, dass die Ver-

bindlichkeit der E-Mails nicht gegeben und auch keine Möglichkeit vorhanden

sei, Fehlverhalten zu ahnden, weil eine Zuordnung zu einer Person nicht mög-

lich sei. In der Anlage zu der Beschwerde habe er weitere Problemfelder des

- 3 -

IT-Sicherheitskonzepts aufgezeigt, die seine Umsetzung als Ganzes ebenfalls

unmöglich machten.

Zu der Beschwerde und deren Ergänzung im Schriftsatz des Antragstellers vom

30. Mai 2005 nahm auf Anforderung des Bundesministeriums der Verteidigung

- IT 3 - das Bundesamt für Informationsmanagement und Informationstechnik

der Bundeswehr (IT-AmtBw) mit Schreiben vom 21. Juni 2005 und vom

21. September 2005 Stellung. Es wies unter anderem darauf hin, das IT-

Sicherheitskonzept sei durch den zuständigen Projektbereich des IT-AmtBw in

enger Zusammenarbeit mit dem für IT-Sicherheit zuständigen Konzeptionsbe-

reich erstellt worden. Zuvor seien alle Bevollmächtigten Vertreter der OrgBer zu

einer Mitprüfung des IT-Sicherheitskonzepts aufgefordert worden. Mit Schrei-

ben vom 25. November 2004 habe der Bevollmächtigte Vertreter Luftwaffe die

Mitprüfbemerkungen des OrgBer der Luftwaffe übersandt, die mit einer Aus-

nahme vollständig in das IT-Sicherheitskonzept eingearbeitet worden seien. Die

vom Antragsteller als verletzt angesehene Nr. 150 ZDv 54/100 „IT-Sicherheit in

der Bundeswehr“ setze als Ziel einer Verschlüsselung von Daten unter ande-

rem die sichere Authentisierung/elektronische Unterschrift zum Schutz der Ver-

bindlichkeit. Die Authentisierung zum Schutz der Verbindlichkeit umfasse je-

doch nicht ausschließlich den Personenbezug; vielmehr sei hierunter auch der

Nachweis des Bezugs zu einer Stelle, also insbesondere einer OrgEinheit oder

auch einer Funktion, zu verstehen, der über die Verwendung von funktionalen

ID und OrgEinheiten-ID sichergestellt werde. Entgegen Nr. 507 und 508

ZDv 54/100 würden durch die rollenbezogenen Identifikationsdateien keine

personenbezogenen Zugangsrechte bereitgestellt. Um diesem Umstand Rech-

nung zu tragen, seien im IT-Sicherheitskonzept verschiedene Einschränkungen

im Umgang mit funktionalen ID bzw. OrgEinheiten-ID festgelegt. Über organisa-

torische Regelungen sei der vom Antragsteller geforderte Personenbezug auf-

grund der im IT-Sicherheitskonzept definierten Einschränkungen ebenfalls ge-

geben. Darüber hinaus stehe es im Ermessen der einzelnen Dienststellen, über

die durch das IT-Sicherheitskonzept vorgegebenen Einschränkungen hinaus

restriktivere Vorgaben für ihren Zuständigkeitsbereich zu machen. Hierauf wer-

de ausdrücklich in dem IT-Sicherheitskonzept hingewiesen. Das letztendlich

- 4 -

noch bestehende Restrisiko, dass Org-ID ohne Berücksichtigung der Ein-

schränkungen genutzt werden, sei im IT-Sicherheitskonzept bewertet und als

tolerierbar eingestuft worden. Eine endgültige technische Lösung werde erst mit

flächendeckender Einführung des Public Key Infrastructure Bundeswehr mög-

lich sein. Die Kritik an der mit dem IT-Sicherheitskonzept zusätzlich zu einer

Port-Verschlüsselung geforderten „Ende-zu-Ende-Verschlüsselung“ für den

KVLNBw werde seitens des IT-AmtBw nicht geteilt.

Die Beschwerde des Antragstellers hat der BMVg - PSZ I 7 - als Antrag auf ge-

richtliche Entscheidung gewertet und mit seiner Stellungnahme vom 2. Novem-

ber 2005 dem Senat vorgelegt.

Zur Begründung seines Antrags hat der Antragsteller mit Schriftsatz vom

22. November 2005 sein Beschwerdevorbringen vertieft und geltend gemacht,

er fühle sich dadurch beschwert, dass er einen Befehl ausführen und umsetzen

solle, dessen Einhaltung er aus den in der Beschwerde dargelegten Gründen

nicht überwachen könne und der aus seiner Sicht nicht rechtsmäßig sei, weil er

gegen bestehende Vorschriften verstoße.

Der Bundesminister der Verteidigung (BMVg) beantragt,

den Antrag zurückzuweisen.

Der Antrag sei unzulässig, weil dem Antragsteller die nach § 21 Abs. 2 i.V.m.

§ 17 Abs. 1 und 3 WBO erforderliche Antragsbefugnis fehle. Zwar scheitere die

Zulässigkeit des Antrags nicht daran, dass der Antragsteller unmittelbar einen

Erlass des BMVg angreife. Denn der Antragsteller sei als Administrator für die

Umsetzung des IT-Sicherheitskonzepts innerhalb des OrgBer der Luftwaffe zu-

ständig und damit ohne weiteren Umsetzungsakt verpflichtet, den fachlichen

Vorgaben des Sicherheitskonzeptes zu folgen. Das im Erlass vom 12. April

2005 festgelegte IT-Sicherheitskonzept für den KVLNBw verletze jedoch den

Antragsteller nicht in seinen Rechten. Es sei seiner Bestimmung nach eine in-

terne OrgMaßnahme der Bundeswehr, die allgemeine (Sicherheits-)Standards

- 5 -

für den Betrieb des KVLNBw setze. Damit richte sich der Erlass nicht unmittel-

bar gegen den Antragsteller und greife nicht in dessen durch das Wehrbe-

schwerderecht geschützte Rechtssphäre als Soldat ein. Soweit der Antragstel-

ler behaupte, für ihn stelle die Umsetzung des IT-Sicherheitskonzepts einen

undurchführbaren Befehl dar, fehle jede Substantiierung, in welcher Form die

Umsetzung des Konzepts von ihm ein unmögliches Handeln verlange. Das

Vorbringen des Antragstellers beinhalte vor allem fachliche Kritik an dem IT-

Sicherheitskonzept. Er bezweifele, dass das Ziel des Konzepts, eben die Si-

cherheitsinteressen der Bundeswehr im KVLNBw zu schützen, mit den im IT-

Sicherheitskonzept vorgesehenen organisatorischen und technischen Vorse-

hungen erreicht werden könne. Diese fachliche Kritik des Antragstellers, die

letztlich eine andere Risikobewertung der vorgesehenen organisatorischen und

technischen Sicherheitsmaßnahmen vornehme, begründe jedoch nicht in nach-

vollziehbarer Weise, dass von ihm im IT-Sicherheitskonzept etwas objektiv Un-

durchführbares verlangt werde. Vielmehr dokumentiere der Vortrag des An-

tragstellers lediglich seine subjektive Unzufriedenheit darüber, dass aus seiner

Sicht den Sicherheitsinteressen der Bundeswehr in dem streitbefangenen Kon-

zept nur unzureichend Rechnung getragen worden sei. Die Sicherheitsinteres-

sen der Bundeswehr berührten jedoch nicht den Rechtskreis des Soldaten.

Soweit ein Soldat eine fachliche Unzulänglichkeit von Maßnahmen, Erlassen

oder Weisungen durch Vorgesetzte erkenne, sei er auf die Meldung verwiesen.

Eine eigene Rechtsverletzung werde dadurch jedoch nicht impliziert. Soweit der

Antragsteller angeblich Widersprüche des IT-Sicherheitskonzepts insbesondere

zu Nr. 150, 151, 507 und 508 ZDv 54/100 geltend mache, sei sein Vorbringen

als Antrag auf abstrakte Normenkontrolle zu bewerten. Ein Beschwerderecht

diesen Inhalts sehe die Wehrbeschwerdeordnung jedoch nicht vor. Der An-

tragsteller habe im Übrigen keine beschwerderechtlich geschützte Rechtsposi-

tion, dem Erlassgeber die Setzung neuen Rechts mit bestimmten Inhalten vor-

zugeben. Der BMVg sei frei darin, seine im Erlasswege ergangenen Rechtsvor-

schriften durch neue abzuändern. Dies gelte auch für das IT-Sicherheitskonzept

vom 12. April 2005. Soweit der Antragsteller schließlich eine möglicherweise

unterbliebene Beteiligung von Personalvertretungen anspreche, folge hieraus

kein Eingriff in seine Rechtssphäre. Er maße sich Rechte der Betei-

- 6 -

ligungsorgane an, die für ihn nicht auf dem truppendienstlichen Rechtsweg gel-

tend zu machen seien.

Wegen des Vorbringens im Einzelnen wird auf den Inhalt der zwischen den Be-

teiligten gewechselten Schriftsätze und der Akten Bezug genommen. Die Ver-

fahrensakte des BMVg - PSZ I 7 - 388/05 -, das IT-Sicherheitskonzept für den

KVLNBw und die Personalgrundakte des Antragstellers, Hauptteile A bis D,

haben dem Senat bei der Beratung vorgelegen.

Das Rechtsschutzbegehren des Antragstellers, der keinen näher bezeichneten

Antrag gestellt hat, ist bei sachgerechter Auslegung darauf gerichtet, das IT-

Sicherheitskonzept des Bundesministeriums der Verteidigung - IT 3 - für den

KVLNBw vom 12. April 2005 aufzuheben. Nur auf diese Weise, nicht jedoch

durch die - subsidiäre - Feststellung der Rechtswidrigkeit dieses IT-Sicherheits-

konzepts, könnte der Antragsteller von der Pflicht zur Umsetzung und Anwen-

dung dieses IT-Sicherheitskonzepts befreit werden.

Dieser Aufhebungsantrag ist unzulässig.

Nach § 17 Abs. 1 WBO (i.V.m. § 21 Abs. 1, Abs. 2 Satz 1 WBO) kann der Sol-

dat die Wehrdienstgerichte anrufen, wenn seine Beschwerde eine Verletzung

seiner Rechte oder eine Verletzung von Vorgesetztenpflichten ihm gegenüber

zum Gegenstand hat, die im Zweiten Unterabschnitt des Ersten Abschnitts des

Soldatengesetzes mit Ausnahme der §§ 24, 25, 30 und 31 geregelt sind. Dar-

aus folgt, dass der Soldat nur solche Maßnahmen oder Unterlassungen (§ 17

Abs. 3 Satz 1 WBO) seiner militärischen Vorgesetzten einer gerichtlichen Prü-

fung unterziehen kann, die unmittelbar gegen ihn gerichtet sind oder die

- obwohl an andere Soldaten gerichtet - in Form einer Rechtsverletzung oder

eines Pflichtenverstoßes in seine Rechtssphäre hineinwirken (stRspr, vgl. u.a.

Beschlüsse vom 6. September 1990 - BVerwG 1 WB 109.89 - BVerwGE 86,

316 und vom 6. April 2005 - BVerwG 1 WB 67.04 - BVerwGE 123, 165 = Buch-

- 7 -

holz 236.1 § 15 SG Nr. 2 = NZWehrr 2005, 168 m.w.N.). Der Begriff der Maß-

nahme im Sinne des § 17 Abs. 3 Satz 1 WBO setzt dabei eine dem öffentlichen

Recht zugehörige Handlung eines Vorgesetzten oder einer Dienststelle der

Bundeswehr voraus, die im Verhältnis der Über- und Unterordnung getroffen

oder erbeten wird; dabei kommt es nicht darauf an, ob sie auch auf die Herbei-

führung von Rechtswirkungen abzielt (Beschluss vom 6. April 2005 - BVerwG

1 WB 67.04 - a.a.O. m.w.N.). Der Antragsteller muss insoweit die Möglichkeit

der Verletzung eigener Rechte oder ihm gegenüber bestehender Pflichten eines

Vorgesetzten substantiiert darlegen, um damit das Gericht in den Stand zu

versetzen, prüfen zu können, ob dies zutrifft. Wendet sich der Antragsteller je-

doch gegen eine Regelung des BMVg, die ausschließlich an seine Vorgesetz-

ten oder an andere Dienststellen der Bundeswehr gerichtet ist, ohne ihn konkret

und unmittelbar in seiner eigenen Rechtssphäre zu betreffen, ist dieser Antrag

auf gerichtliche Entscheidung unzulässig. Denn eine vom Einzelfall losgelöste

allgemeine Nachprüfung von Anordnungen, Erlassen oder Verwal-

tungsvorschriften des BMVg auf ihre Rechtmäßigkeit im Sinne eines Normen-

kontrollverfahrens ist der Wehrbeschwerdeordnung fremd (stRspr, vgl. u.a. Be-

schlüsse vom 8. Mai 2001 - BVerwG 1 WB 25.01 - Buchholz 311 § 17 WBO

Nr. 42 = NZWehrr 2001, 64 und vom 4. März 2004 - BVerwG 1 WB 51.03 -

m.w.N.). Das Wehrbeschwerdeverfahren dient nicht dazu, das Handeln oder die

Anordnungen bzw. Erlasse der zuständigen Vorgesetzten im Allgemeinen zu

überprüfen, sondern setzt vielmehr stets einen auf einer truppendienstlichen

Maßnahme oder Unterlassung beruhenden unmittelbaren Eingriff in die Rechte

des Soldaten voraus.

Unter Beachtung dieser Maßgaben stellt das IT-Sicherheitskonzept für den

KVLNBw vom 12. April 2005 zwar eine Maßnahme im vorgenannten Sinne dar,

weil es vom IT-Direktor im Bundesministerium der Verteidigung im Verhältnis

der Über- und Unterordnung erlassen wurde und sich (auch) an die unterstell-

ten OrgBerAdministrationen des KVLNBw richtet (Kapitel 2.1 am Ende des IT-

Sicherheitskonzepts). Zu diesen OrgBerAdministrationen gehört - vom BMVg

nicht in Frage gestellt - nach seinem Vorbringen auch der Antragsteller, der als

OrgBerAdministrator für den OrgBer der Luftwaffe verwendet wird und nach

- 8 -

seiner Darlegung in dieser dienstlichen Funktion als Adressat des IT-

Sicherheitskonzepts vom 12. April 2005 anzusehen ist.

Das IT-Sicherheitskonzept vom 12. April 2005 verletzt aber den Antragsteller

weder unmittelbar in dessen Rechten im Sinne des § 17 Abs. 1 Satz 1 WBO,

noch wirkt es in Form einer Rechtsverletzung oder eines Pflichtenverstoßes in

dessen Rechtssphäre hinein.

Das IT-Sicherheitskonzept löst - wie in Nr. 2.1 im Einzelnen dargelegt - die „IT-

Sicherheitsmaßnahmen für die Nutzung des Kommunikationsverbundes Lotus

Notes/Domino im Geschäftsbereich BMVg“ ab und dient als einheitliches und

organisationsbereichübergreifendes Konzept. Es enthält eine Vielzahl techni-

scher und datensicherheitsbezogener Bestimmungen, die - mit den in Kapi-

tel 11 enthaltenen Vorgaben zur Umsetzung - die Organisation und die Durch-

führung des Dienstbetriebes im KVLNBw unter Datensicherheitsaspekten

betreffen. Diese inhaltliche - vorrangig an militärischen Zweckmäßigkeitserwä-

gungen zu orientierende - Gestaltung der Organisation und der Durchführung

des Dienstbetriebes steht nicht zur Disposition des einzelnen Soldaten, der

deshalb insoweit auch keinen Rechtsanspruch geltend machen kann. Nach der

Rechtsprechung des Senats werden die die Organisationsgewalt betreffenden

Maßnahmen des Bundesministeriums der Verteidigung im öffentlichen Interes-

se getroffen; sie müssen sich jedoch nur insoweit an den Individualinteressen

des einzelnen Soldaten ausrichten, als dies rechtlich zwingend vorgegeben ist

(vgl. Beschluss vom 13. März 1990 - BVerwG 1 WB 29.89 -; vgl. auch Be-

schluss vom 12. Dezember 1978 - BVerwG 1 WB 141.76 - BVerwGE 63, 176).

Soweit der Antragsteller hinsichtlich des Inhalts der Sicherheitsanforderungen

im KVLNBw fachlich anderer Meinung als der Erlassgeber des IT-

Sicherheitskonzepts ist, kann er diese zwar seinen Vorgesetzten zur Kenntnis

bringen, jedoch nicht von Rechts wegen verlangen, dass seinen Bedenken

Rechnung getragen wird. Keine Rechtsvorschrift begründet einen solchen An-

spruch. Eine Möglichkeit zur Mitbestimmung bei Organisationsfragen wird dem

einzelnen Soldaten im Soldatengesetz nur nach Maßgabe der Regelungen der

§§ 35, 35a i.V.m. den darin genannten Gesetzen gewährt.

- 9 -

Eine organisatorische Regelung des Dienstbetriebes kann jedoch dann in die

Rechtssphäre eines Soldaten hineinwirken, wenn etwa die Anordnung des Vor-

gesetzten oder die Begleitumstände der Anordnung das allgemeine Persönlich-

keitsrecht (oder andere Grundrechte) des Soldaten verletzen (vgl. Beschluss

vom 12. Dezember 1978 - BVerwG 1 WB 141.76 - a.a.O.). Für eine derartige

mögliche Verletzung des allgemeinen Persönlichkeitsrechts (oder anderer

Grundrechte) des Antragstellers ergeben sich aus dem Sachverhalt und aus

dem Vorbringen des Antragstellers objektiv keinerlei Anhaltspunkte.

Etwas anderes folgt auch nicht aus der vom Antragsteller in seiner E-Mail vom

28. Juli 2005 angesprochenen möglichen Verletzung von Beteiligungsrechten

der zuständigen Personalvertretungen. Der Antragsteller kann diesbezüglich

mangels eigener Vertretungseigenschaft nach § 1 Abs. 2 SBG nicht in eigenen

Rechten verletzt sein. Er selbst sieht sich in diesem Punkt auch nicht in seinen

Rechten verletzt; dies hat er in seinem Schreiben vom 22. November 2005

ausdrücklich eingeräumt.

Ohne Erfolg rügt der Antragsteller eine Rechtsverletzung insoweit, als er das IT-

Sicherheitskonzept als einen „undurchführbaren Befehl“ bezeichnet, dessen

„Umsetzung als Ganzes“ unmöglich sei und der überdies nicht rechtmäßig sei,

weil er gegen bestehende Vorschriften verstoße.

In der Sache rügt der Antragsteller damit eine Verletzung seiner Rechte aus

§ 10 Abs. 3 und 4 SG. Im vorliegenden Fall kann der Senat die Frage der An-

wendbarkeit des § 10 Abs. 4 SG sowie ferner offen lassen, ob der Schutzbe-

reich des in § 10 Abs. 3 SG normierten Fürsorgegebotes sich auch darauf er-

streckt, den Soldaten vor Befehlen zu bewahren, die deshalb unverbindlich

sind, weil ihre Ausführung objektiv unmöglich ist (vgl. dazu im Einzelnen: Urteil

vom 21. Juni 2005 - BVerwG 2 WD 12.04 - NJW 2006, 77 = EuGRZ 2005, 636).

Denn das IT-Sicherheitskonzept für den KVLNBw vom 12. April 2005 stellt kei-

nen Befehl dar.

- 10 -

Nach der Legaldefinition des § 2 Nr. 2 WStG ist ein Befehl eine Anweisung zu

einem bestimmten Verhalten, die ein militärischer Vorgesetzter einem Unterge-

benen schriftlich, mündlich oder in anderer Weise allgemein oder für den Ein-

zelfall und mit dem Anspruch auf Gehorsam erteilt. Dieser Befehlsbegriff ist

auch im Wehrbeschwerdeverfahren maßgeblich (Beschlüsse vom 8. November

1990 - BVerwG 1 WB 88.89 -, vom 28. Mai 1991 - BVerwG 1 WB 87.90 -

NZWehrr 1991, 248 und vom 22. Dezember 2004 - BVerwG 1 WB 30.04 -). Ein

Befehl in diesem Sinne liegt hingegen nicht bei einer Anordnung vor, die sich

auf Empfehlungen oder Belehrungen beschränkt, oder bei Richtlinien, die noch

einer besonderen Konkretisierung im Einzelfall bedürfen oder den zuständigen

Adressaten bzw. Vorgesetzten einen eigenständigen Ermessensspielraum bei

der Anwendung belassen (Beschlüsse vom 8. November 1990 - BVerwG 1 WB

88.89 - und vom 22. Dezember 2004 - BVerwG 1 WB 30.04 - m.w.N.). Das IT-

Sicherheitskonzept „als Ganzes“, welches der Antragsteller mit seinem Antrag

angreift, stellt hiernach keinen Befehl, sondern eine verbindliche Richtlinie dar,

die jedoch für die einzelnen OrgBer bei der Umsetzung noch der Konkretisie-

rung bedarf und insoweit nicht eine zwingende Anweisung zu einem „bestimm-

ten“ Verhalten im Sinne des § 2 Nr. 2 WStG enthält. In maßgeblichen Bereichen

schreibt das IT-Sicherheitskonzept sogar ausdrücklich den einzelnen

Dienststellen und den in ihnen tätigen Anwendern des IT-Personals eine eigen-

ständige Verantwortung für zu definierende und einzuhaltende Sicherheitsan-

forderungen zu.

In Nr. 2.1 des IT-Sicherheitskonzepts ist festgelegt, dass dieses Konzept als

„einheitliches und organisationsbereichübergreifendes“ Konzept dient. Die Si-

cherheitsanalyse ist „aus der Gesamtsicht des KVLNBw und nicht aus der Sicht

einer einzelnen Dienststelle oder Organisationseinheit“ erfolgt. Die Nr. 11.2 be-

stimmt für die einzelnen Dienststellen die Umsetzung der Sicherheitsmaßnah-

men bzw. Vorgaben aus den Nr. 7.1 und 7.2; insoweit wird aber ausdrücklich

betont, dass es sich dabei um Mindestanforderungen handelt, die weiterfüh-

rende Regelungen und Detailkonzepte nicht entbehrlich machen. Insoweit wird

in den „Vorgaben für Dienststellen“ betont, dass weiterführende Regelungen

und Detailkonzepte aus Sicht der IT-Sicherheit erforderlich sind und dass die

- 11 -

detaillierte Beschreibung der Umsetzung in Form von Handlungsanweisungen

in zusätzlichen Detailkonzepten der einzelnen OrgBer bzw. Dienststellen erfol-

gen müsse; diese müssten durch die OrgBer oder Dienststellen erstellt werden,

wenn keine zentralen Vorgaben der Bundeswehr existieren. Schon an dieser

- für die Verbindlichkeit des Erlasses vom 12. April 2005 maßgeblichen - Stelle

betont der Erlassgeber die Eigenverantwortung der (nachgeordneten) OrgBer

oder Dienststellen bei zusätzlichen „Detailkonzepten“, die auf die Bedürfnisse

der einzelnen OrgBer bzw. Dienststellen zuzuschneiden sind. Diese eigene

Verantwortung der OrgBer für eventuelle weitergehende Sicherheitsmaßnah-

men und die Beschränkung lediglich auf Mindestanforderungen wird zusätzlich

in Nr. 6.3 des IT-Sicherheitskonzepts hervorgehoben.

In Übereinstimmung mit diesen Regelungen des IT-Sicherheitskonzepts hat das

IT-AmtBw in seiner Auskunft an den BMVg vom 21. Juni 2005 unterstrichen, es

stehe im Ermessen der einzelnen Dienststellen, über die durch das IT-

Sicherheitskonzept vorgegebenen Einschränkungen hinaus restriktivere Vorga-

ben für ihren Zuständigkeitsbereich zu machen; hierauf werde im IT-Sicher-

heitskonzept ausdrücklich hingewiesen.

Überdies folgt aus Nr. 1.7 des IT-Sicherheitskonzepts, dass fachliche oder

technische Probleme bei der Umsetzung des Konzepts durch eine fortlaufende

Kontrolle und entsprechende Initiativrechte behoben werden können. Dort wird

ausdrücklich die „Abhängigkeit von organisatorischen und technischen Struktu-

ren des KVLNBw“ betont und deshalb eine zwingende Fortschreibung des

Konzepts unter zehn - nicht abschließend formulierten - Voraussetzungen fest-

gelegt. Die entsprechenden Änderungsvorschläge können durch Verantwortli-

che vorgebracht werden, die das Bundesministerium der Verteidigung in Nr. 1.7

des IT-Sicherheitskonzepts (am Ende) im Einzelnen benannt hat. Indem der

Erlassgeber diese Initiativrechte für Änderungen im IT-Sicherheitskonzept aus-

drücklich den „Verantwortlichen/Ansprechpartnern bei Konzeptänderungen“

zuschreibt, dokumentiert er selbst, dass das IT-Sicherheitskonzept vom

12. April 2005 (lediglich) eine verbindliche Richtlinie, jedoch (noch) nicht einen

Befehl im Sinne des § 2 Nr. 2 WStG darstellt.

- 12 -

Nicht zuletzt ergibt sich ein eigenständiges Prüfungsrecht der Anwender des IT-

Sicherheitskonzepts in den Dienststellen aus Nr. 11.2 des IT-Sicherheitskon-

zepts in Verbindung mit Anhang 7. In Anhang 7.1 werden die „allgemeinen IT-

Sicherheitsanforderungen“ aufgeführt und vom Erlassgeber als „generelle An-

forderungen an das System bzw. Anforderungen an die Einsatz-Umgebung“

definiert. Ausdrücklich wird die Möglichkeit einer Bewertung im Rahmen einer

Restrisikobetrachtung eingeräumt, wenn „einzelne dieser Anforderungen durch

die Dienststellen bzw. Projekte nicht abgedeckt werden können“. An dieser

Stelle wird den zuständigen Adressaten des IT-Sicherheitskonzepts in den

Dienststellen ausdrücklich ein eigenständiger Prüfungs- und Ermessensspiel-

raum eingeräumt, ob die „generellen“ allgemeinen IT-Sicherheitsanforderungen

des IT-Sicherheitskonzepts durch die Dienststelle abgedeckt werden können.

Sofern das Vorbringen des Antragstellers auch dahin auszulegen sein sollte,

dass er die Vereinbarkeit des IT-Sicherheitskonzepts mit einzelnen Nummern

der ZDv 54/100 in Frage stellt, ist sein Antrag gleichfalls unzulässig. Denn nach

ständiger Rechtsprechung ist eine vom Einzelfall losgelöste allgemeine Nach-

prüfung von Erlassen nach Art eines Normenkontrollverfahrens - wie bereits

ausgeführt - im Wehrbeschwerderecht nicht möglich.

Der Senat hat davon abgesehen, den Antragsteller mit Verfahrenskosten zu

belasten, weil er die Voraussetzungen des § 20 Abs. 2 Satz 1 i.V.m. § 21 Abs. 2

Satz 1 WBO nicht als gegeben erachtet.

Dr. Frentz Prof. Dr. Widmaier Dr. Müller

Scheid Hollnagel