Urteil des BVerwG vom 26.04.2006, 1 WB 53.05

Entschieden
26.04.2006
Schlagworte
Befehl, Elektronische Unterschrift, Abstrakte Normenkontrolle, Konzept, Luftwaffe, Verbindlichkeit, Soldat, Rechtsverletzung, Kritik, Sicherheit
Urteil herunterladen

BUNDESVERWALTUNGSGERICHT

BESCHLUSS

BVerwG 1 WB 53.05

In dem Wehrbeschwerdeverfahren

des Hauptmanns …, …,

hat der 1. Wehrdienstsenat des Bundesverwaltungsgerichts durch

die Richterin am Bundesverwaltungsgericht Dr. Frentz als Vorsitzende, den Richter am Bundesverwaltungsgericht Prof. Dr. Widmaier, den Richter am Bundesverwaltungsgericht Dr. Müller,

sowie

Major Scheid und Stabshauptmann Hollnagel als ehrenamtliche Richter

am 26. April 2006 beschlossen:

Der Antrag wird als unzulässig verworfen.

Gründe:

I

1Der 1965 geborene Antragsteller ist Berufssoldat in der Laufbahn der Offiziere

des militärfachlichen Dienstes, dessen Dienstzeit voraussichtlich mit Ablauf des

31. Oktober 2020 enden wird. Zum Hauptmann wurde er am 23. Juni 2003 ernannt. Zum 1. Juli 2002 wurde er vom L… in K. zum F… in K. versetzt, wo er

als Informationstechnik (IT)-Offizier und Datenverarbeitungsprogrammoffizier

verwendet wird.

2Am 12. April 2005 erließ der IT-Direktor im Bundesministerium der Verteidigung

das IT-Sicherheitskonzept für den Kommunikationsverbund Lotus Notes Bundeswehr (KVLNBw) - IT 3 - Az.: 62-09-02-05/2354 -.

3Mit Schreiben vom 22. April 2005 legte der Antragsteller gegen dieses IT-

Sicherheitskonzept Beschwerde ein. Er trug zur Begründung unter anderem

vor, ihm als Organisationsbereichs(OrgBer)-Administrator für den OrgBer der

Luftwaffe obliege die Umsetzung des IT-Sicherheitskonzepts. Diese Umsetzung

einschließlich der entsprechenden Überwachung und Durchsetzung sei ihm

nicht möglich. Insofern stelle das Sicherheitskonzept einen undurchführbaren

Befehl dar. Zentrale Vorgaben des IT-Sicherheitskonzepts, insbesondere die

Regelungen zu funktionalen Identitäten (ID) bzw. OrgEinheiten-ID ließen sich

weder überwachen noch durchsetzen. Hierbei sei die Einrede, dass das Konzept eine „organisatorische Regelung“ vorsehe, nicht ausreichend, weil beispielsweise Diebstahl auch verboten sei, trotzdem aber begangen werde. Im

Zusammenhang mit der Nutzung nicht personengebundener ID sei anzumerken, dass es weder für den Versand noch für den Empfang einer E-Mail möglich sei, zweifelsfrei die nutzende Person festzustellen. Dies bedeute faktisch

eine anonyme Nutzungsmöglichkeit. Das führe wiederum dazu, dass die Verbindlichkeit der E-Mails nicht gegeben und auch keine Möglichkeit vorhanden

sei, Fehlverhalten zu ahnden, weil eine Zuordnung zu einer Person nicht möglich sei. In der Anlage zu der Beschwerde habe er weitere Problemfelder des

IT-Sicherheitskonzepts aufgezeigt, die seine Umsetzung als Ganzes ebenfalls

unmöglich machten.

4Zu der Beschwerde und deren Ergänzung im Schriftsatz des Antragstellers vom

30. Mai 2005 nahm auf Anforderung des Bundesministeriums der Verteidigung

- IT 3 - das Bundesamt für Informationsmanagement und Informationstechnik

der Bundeswehr (IT-AmtBw) mit Schreiben vom 21. Juni 2005 und vom

21. September 2005 Stellung. Es wies unter anderem darauf hin, das IT-

Sicherheitskonzept sei durch den zuständigen Projektbereich des IT-AmtBw in

enger Zusammenarbeit mit dem für IT-Sicherheit zuständigen Konzeptionsbereich erstellt worden. Zuvor seien alle Bevollmächtigten Vertreter der OrgBer zu

einer Mitprüfung des IT-Sicherheitskonzepts aufgefordert worden. Mit Schreiben vom 25. November 2004 habe der Bevollmächtigte Vertreter Luftwaffe die

Mitprüfbemerkungen des OrgBer der Luftwaffe übersandt, die mit einer Ausnahme vollständig in das IT-Sicherheitskonzept eingearbeitet worden seien. Die

vom Antragsteller als verletzt angesehene Nr. 150 ZDv 54/100 „IT-Sicherheit in

der Bundeswehr“ setze als Ziel einer Verschlüsselung von Daten unter anderem die sichere Authentisierung/elektronische Unterschrift zum Schutz der Verbindlichkeit. Die Authentisierung zum Schutz der Verbindlichkeit umfasse jedoch nicht ausschließlich den Personenbezug; vielmehr sei hierunter auch der

Nachweis des Bezugs zu einer Stelle, also insbesondere einer OrgEinheit oder

auch einer Funktion, zu verstehen, der über die Verwendung von funktionalen

ID und OrgEinheiten-ID sichergestellt werde. Entgegen Nr. 507 und 508

ZDv 54/100 würden durch die rollenbezogenen Identifikationsdateien keine

personenbezogenen Zugangsrechte bereitgestellt. Um diesem Umstand Rechnung zu tragen, seien im IT-Sicherheitskonzept verschiedene Einschränkungen

im Umgang mit funktionalen ID bzw. OrgEinheiten-ID festgelegt. Über organisatorische Regelungen sei der vom Antragsteller geforderte Personenbezug aufgrund der im IT-Sicherheitskonzept definierten Einschränkungen ebenfalls gegeben. Darüber hinaus stehe es im Ermessen der einzelnen Dienststellen, über

die durch das IT-Sicherheitskonzept vorgegebenen Einschränkungen hinaus

restriktivere Vorgaben für ihren Zuständigkeitsbereich zu machen. Hierauf werde ausdrücklich in dem IT-Sicherheitskonzept hingewiesen. Das letztendlich

noch bestehende Restrisiko, dass Org-ID ohne Berücksichtigung der Einschränkungen genutzt werden, sei im IT-Sicherheitskonzept bewertet und als

tolerierbar eingestuft worden. Eine endgültige technische Lösung werde erst mit

flächendeckender Einführung des Public Key Infrastructure Bundeswehr möglich sein. Die Kritik an der mit dem IT-Sicherheitskonzept zusätzlich zu einer

Port-Verschlüsselung geforderten „Ende-zu-Ende-Verschlüsselung“ für den

KVLNBw werde seitens des IT-AmtBw nicht geteilt.

5Die Beschwerde des Antragstellers hat der BMVg - PSZ I 7 - als Antrag auf gerichtliche Entscheidung gewertet und mit seiner Stellungnahme vom 2. November 2005 dem Senat vorgelegt.

6Zur Begründung seines Antrags hat der Antragsteller mit Schriftsatz vom

22. November 2005 sein Beschwerdevorbringen vertieft und geltend gemacht,

er fühle sich dadurch beschwert, dass er einen Befehl ausführen und umsetzen

solle, dessen Einhaltung er aus den in der Beschwerde dargelegten Gründen

nicht überwachen könne und der aus seiner Sicht nicht rechtsmäßig sei, weil er

gegen bestehende Vorschriften verstoße.

7Der Bundesminister der Verteidigung (BMVg) beantragt,

den Antrag zurückzuweisen.

8Der Antrag sei unzulässig, weil dem Antragsteller die nach § 21 Abs. 2 i.V.m.

§ 17 Abs. 1 und 3 WBO erforderliche Antragsbefugnis fehle. Zwar scheitere die

Zulässigkeit des Antrags nicht daran, dass der Antragsteller unmittelbar einen

Erlass des BMVg angreife. Denn der Antragsteller sei als Administrator für die

Umsetzung des IT-Sicherheitskonzepts innerhalb des OrgBer der Luftwaffe zuständig und damit ohne weiteren Umsetzungsakt verpflichtet, den fachlichen

Vorgaben des Sicherheitskonzeptes zu folgen. Das im Erlass vom 12. April

2005 festgelegte IT-Sicherheitskonzept für den KVLNBw verletze jedoch den

Antragsteller nicht in seinen Rechten. Es sei seiner Bestimmung nach eine interne OrgMaßnahme der Bundeswehr, die allgemeine (Sicherheits-)Standards

für den Betrieb des KVLNBw setze. Damit richte sich der Erlass nicht unmittelbar gegen den Antragsteller und greife nicht in dessen durch das Wehrbeschwerderecht geschützte Rechtssphäre als Soldat ein. Soweit der Antragsteller behaupte, für ihn stelle die Umsetzung des IT-Sicherheitskonzepts einen

undurchführbaren Befehl dar, fehle jede Substantiierung, in welcher Form die

Umsetzung des Konzepts von ihm ein unmögliches Handeln verlange. Das

Vorbringen des Antragstellers beinhalte vor allem fachliche Kritik an dem IT-

Sicherheitskonzept. Er bezweifele, dass das Ziel des Konzepts, eben die Sicherheitsinteressen der Bundeswehr im KVLNBw zu schützen, mit den im IT-

Sicherheitskonzept vorgesehenen organisatorischen und technischen Vorsehungen erreicht werden könne. Diese fachliche Kritik des Antragstellers, die

letztlich eine andere Risikobewertung der vorgesehenen organisatorischen und

technischen Sicherheitsmaßnahmen vornehme, begründe jedoch nicht in nachvollziehbarer Weise, dass von ihm im IT-Sicherheitskonzept etwas objektiv Undurchführbares verlangt werde. Vielmehr dokumentiere der Vortrag des Antragstellers lediglich seine subjektive Unzufriedenheit darüber, dass aus seiner

Sicht den Sicherheitsinteressen der Bundeswehr in dem streitbefangenen Konzept nur unzureichend Rechnung getragen worden sei. Die Sicherheitsinteressen der Bundeswehr berührten jedoch nicht den Rechtskreis des Soldaten.

Soweit ein Soldat eine fachliche Unzulänglichkeit von Maßnahmen, Erlassen

oder Weisungen durch Vorgesetzte erkenne, sei er auf die Meldung verwiesen.

Eine eigene Rechtsverletzung werde dadurch jedoch nicht impliziert. Soweit der

Antragsteller angeblich Widersprüche des IT-Sicherheitskonzepts insbesondere

zu Nr. 150, 151, 507 und 508 ZDv 54/100 geltend mache, sei sein Vorbringen

als Antrag auf abstrakte Normenkontrolle zu bewerten. Ein Beschwerderecht

diesen Inhalts sehe die Wehrbeschwerdeordnung jedoch nicht vor. Der Antragsteller habe im Übrigen keine beschwerderechtlich geschützte Rechtsposition, dem Erlassgeber die Setzung neuen Rechts mit bestimmten Inhalten vorzugeben. Der BMVg sei frei darin, seine im Erlasswege ergangenen Rechtsvorschriften durch neue abzuändern. Dies gelte auch für das IT-Sicherheitskonzept

vom 12. April 2005. Soweit der Antragsteller schließlich eine möglicherweise

unterbliebene Beteiligung von Personalvertretungen anspreche, folge hieraus

kein Eingriff in seine Rechtssphäre. Er maße sich Rechte der Betei-

ligungsorgane an, die für ihn nicht auf dem truppendienstlichen Rechtsweg geltend zu machen seien.

9Wegen des Vorbringens im Einzelnen wird auf den Inhalt der zwischen den Beteiligten gewechselten Schriftsätze und der Akten Bezug genommen. Die Verfahrensakte des BMVg - PSZ I 7 - 388/05 -, das IT-Sicherheitskonzept für den

KVLNBw und die Personalgrundakte des Antragstellers, Hauptteile A bis D,

haben dem Senat bei der Beratung vorgelegen.

II

10Das Rechtsschutzbegehren des Antragstellers, der keinen näher bezeichneten

Antrag gestellt hat, ist bei sachgerechter Auslegung darauf gerichtet, das IT-

Sicherheitskonzept des Bundesministeriums der Verteidigung - IT 3 - für den

KVLNBw vom 12. April 2005 aufzuheben. Nur auf diese Weise, nicht jedoch

durch die - subsidiäre - Feststellung der Rechtswidrigkeit dieses IT-Sicherheitskonzepts, könnte der Antragsteller von der Pflicht zur Umsetzung und Anwendung dieses IT-Sicherheitskonzepts befreit werden.

11Dieser Aufhebungsantrag ist unzulässig.

12Nach § 17 Abs. 1 WBO (i.V.m. § 21 Abs. 1, Abs. 2 Satz 1 WBO) kann der Soldat die Wehrdienstgerichte anrufen, wenn seine Beschwerde eine Verletzung

seiner Rechte oder eine Verletzung von Vorgesetztenpflichten ihm gegenüber

zum Gegenstand hat, die im Zweiten Unterabschnitt des Ersten Abschnitts des

Soldatengesetzes mit Ausnahme der §§ 24, 25, 30 und 31 geregelt sind. Daraus folgt, dass der Soldat nur solche Maßnahmen oder Unterlassungen 17

Abs. 3 Satz 1 WBO) seiner militärischen Vorgesetzten einer gerichtlichen Prüfung unterziehen kann, die unmittelbar gegen ihn gerichtet sind oder die

- obwohl an andere Soldaten gerichtet - in Form einer Rechtsverletzung oder

eines Pflichtenverstoßes in seine Rechtssphäre hineinwirken (stRspr, vgl. u.a.

Beschlüsse vom 6. September 1990 - BVerwG 1 WB 109.89 - BVerwGE 86,

316 und vom 6. April 2005 - BVerwG 1 WB 67.04 - BVerwGE 123, 165 = Buch-

holz 236.1 § 15 SG Nr. 2 = NZWehrr 2005, 168 m.w.N.). Der Begriff der Maßnahme im Sinne des § 17 Abs. 3 Satz 1 WBO setzt dabei eine dem öffentlichen

Recht zugehörige Handlung eines Vorgesetzten oder einer Dienststelle der

Bundeswehr voraus, die im Verhältnis der Über- und Unterordnung getroffen

oder erbeten wird; dabei kommt es nicht darauf an, ob sie auch auf die Herbeiführung von Rechtswirkungen abzielt (Beschluss vom 6. April 2005 - BVerwG

1 WB 67.04 - a.a.O. m.w.N.). Der Antragsteller muss insoweit die Möglichkeit

der Verletzung eigener Rechte oder ihm gegenüber bestehender Pflichten eines

Vorgesetzten substantiiert darlegen, um damit das Gericht in den Stand zu

versetzen, prüfen zu können, ob dies zutrifft. Wendet sich der Antragsteller jedoch gegen eine Regelung des BMVg, die ausschließlich an seine Vorgesetzten oder an andere Dienststellen der Bundeswehr gerichtet ist, ohne ihn konkret

und unmittelbar in seiner eigenen Rechtssphäre zu betreffen, ist dieser Antrag

auf gerichtliche Entscheidung unzulässig. Denn eine vom Einzelfall losgelöste

allgemeine Nachprüfung von Anordnungen, Erlassen oder Verwaltungsvorschriften des BMVg auf ihre Rechtmäßigkeit im Sinne eines Normenkontrollverfahrens ist der Wehrbeschwerdeordnung fremd (stRspr, vgl. u.a. Beschlüsse vom 8. Mai 2001 - BVerwG 1 WB 25.01 - Buchholz 311 § 17 WBO

Nr. 42 = NZWehrr 2001, 64 und vom 4. März 2004 - BVerwG 1 WB 51.03 -

m.w.N.). Das Wehrbeschwerdeverfahren dient nicht dazu, das Handeln oder die

Anordnungen bzw. Erlasse der zuständigen Vorgesetzten im Allgemeinen zu

überprüfen, sondern setzt vielmehr stets einen auf einer truppendienstlichen

Maßnahme oder Unterlassung beruhenden unmittelbaren Eingriff in die Rechte

des Soldaten voraus.

13Unter Beachtung dieser Maßgaben stellt das IT-Sicherheitskonzept für den

KVLNBw vom 12. April 2005 zwar eine Maßnahme im vorgenannten Sinne dar,

weil es vom IT-Direktor im Bundesministerium der Verteidigung im Verhältnis

der Über- und Unterordnung erlassen wurde und sich (auch) an die unterstellten OrgBerAdministrationen des KVLNBw richtet (Kapitel 2.1 am Ende des IT-

Sicherheitskonzepts). Zu diesen OrgBerAdministrationen gehört - vom BMVg

nicht in Frage gestellt - nach seinem Vorbringen auch der Antragsteller, der als

OrgBerAdministrator für den OrgBer der Luftwaffe verwendet wird und nach

seiner Darlegung in dieser dienstlichen Funktion als Adressat des IT-

Sicherheitskonzepts vom 12. April 2005 anzusehen ist.

14Das IT-Sicherheitskonzept vom 12. April 2005 verletzt aber den Antragsteller

weder unmittelbar in dessen Rechten im Sinne des § 17 Abs. 1 Satz 1 WBO,

noch wirkt es in Form einer Rechtsverletzung oder eines Pflichtenverstoßes in

dessen Rechtssphäre hinein.

15Das IT-Sicherheitskonzept löst - wie in Nr. 2.1 im Einzelnen dargelegt - die „IT-

Sicherheitsmaßnahmen für die Nutzung des Kommunikationsverbundes Lotus

Notes/Domino im Geschäftsbereich BMVg“ ab und dient als einheitliches und

organisationsbereichübergreifendes Konzept. Es enthält eine Vielzahl technischer und datensicherheitsbezogener Bestimmungen, die - mit den in Kapitel 11 enthaltenen Vorgaben zur Umsetzung - die Organisation und die Durchführung des Dienstbetriebes im KVLNBw unter Datensicherheitsaspekten

betreffen. Diese inhaltliche - vorrangig an militärischen Zweckmäßigkeitserwägungen zu orientierende - Gestaltung der Organisation und der Durchführung

des Dienstbetriebes steht nicht zur Disposition des einzelnen Soldaten, der

deshalb insoweit auch keinen Rechtsanspruch geltend machen kann. Nach der

Rechtsprechung des Senats werden die die Organisationsgewalt betreffenden

Maßnahmen des Bundesministeriums der Verteidigung im öffentlichen Interesse getroffen; sie müssen sich jedoch nur insoweit an den Individualinteressen

des einzelnen Soldaten ausrichten, als dies rechtlich zwingend vorgegeben ist

(vgl. Beschluss vom 13. März 1990 - BVerwG 1 WB 29.89 -; vgl. auch Beschluss vom 12. Dezember 1978 - BVerwG 1 WB 141.76 - BVerwGE 63, 176).

Soweit der Antragsteller hinsichtlich des Inhalts der Sicherheitsanforderungen

im KVLNBw fachlich anderer Meinung als der Erlassgeber des IT-

Sicherheitskonzepts ist, kann er diese zwar seinen Vorgesetzten zur Kenntnis

bringen, jedoch nicht von Rechts wegen verlangen, dass seinen Bedenken

Rechnung getragen wird. Keine Rechtsvorschrift begründet einen solchen Anspruch. Eine Möglichkeit zur Mitbestimmung bei Organisationsfragen wird dem

einzelnen Soldaten im Soldatengesetz nur nach Maßgabe der Regelungen der

§§ 35, 35a i.V.m. den darin genannten Gesetzen gewährt.

16Eine organisatorische Regelung des Dienstbetriebes kann jedoch dann in die

Rechtssphäre eines Soldaten hineinwirken, wenn etwa die Anordnung des Vorgesetzten oder die Begleitumstände der Anordnung das allgemeine Persönlichkeitsrecht (oder andere Grundrechte) des Soldaten verletzen (vgl. Beschluss

vom 12. Dezember 1978 - BVerwG 1 WB 141.76 - a.a.O.). Für eine derartige

mögliche Verletzung des allgemeinen Persönlichkeitsrechts (oder anderer

Grundrechte) des Antragstellers ergeben sich aus dem Sachverhalt und aus

dem Vorbringen des Antragstellers objektiv keinerlei Anhaltspunkte.

17Etwas anderes folgt auch nicht aus der vom Antragsteller in seiner E-Mail vom

28. Juli 2005 angesprochenen möglichen Verletzung von Beteiligungsrechten

der zuständigen Personalvertretungen. Der Antragsteller kann diesbezüglich

mangels eigener Vertretungseigenschaft nach § 1 Abs. 2 SBG nicht in eigenen

Rechten verletzt sein. Er selbst sieht sich in diesem Punkt auch nicht in seinen

Rechten verletzt; dies hat er in seinem Schreiben vom 22. November 2005

ausdrücklich eingeräumt.

18Ohne Erfolg rügt der Antragsteller eine Rechtsverletzung insoweit, als er das IT-

Sicherheitskonzept als einen „undurchführbaren Befehl“ bezeichnet, dessen

„Umsetzung als Ganzes“ unmöglich sei und der überdies nicht rechtmäßig sei,

weil er gegen bestehende Vorschriften verstoße.

19In der Sache rügt der Antragsteller damit eine Verletzung seiner Rechte aus

§ 10 Abs. 3 und 4 SG. Im vorliegenden Fall kann der Senat die Frage der Anwendbarkeit des § 10 Abs. 4 SG sowie ferner offen lassen, ob der Schutzbereich des in § 10 Abs. 3 SG normierten Fürsorgegebotes sich auch darauf erstreckt, den Soldaten vor Befehlen zu bewahren, die deshalb unverbindlich

sind, weil ihre Ausführung objektiv unmöglich ist (vgl. dazu im Einzelnen: Urteil

vom 21. Juni 2005 - BVerwG 2 WD 12.04 - NJW 2006, 77 = EuGRZ 2005, 636).

Denn das IT-Sicherheitskonzept für den KVLNBw vom 12. April 2005 stellt keinen Befehl dar.

20Nach der Legaldefinition des § 2 Nr. 2 WStG ist ein Befehl eine Anweisung zu

einem bestimmten Verhalten, die ein militärischer Vorgesetzter einem Untergebenen schriftlich, mündlich oder in anderer Weise allgemein oder für den Einzelfall und mit dem Anspruch auf Gehorsam erteilt. Dieser Befehlsbegriff ist

auch im Wehrbeschwerdeverfahren maßgeblich (Beschlüsse vom 8. November

1990 - BVerwG 1 WB 88.89 -, vom 28. Mai 1991 - BVerwG 1 WB 87.90 -

NZWehrr 1991, 248 und vom 22. Dezember 2004 - BVerwG 1 WB 30.04 -). Ein

Befehl in diesem Sinne liegt hingegen nicht bei einer Anordnung vor, die sich

auf Empfehlungen oder Belehrungen beschränkt, oder bei Richtlinien, die noch

einer besonderen Konkretisierung im Einzelfall bedürfen oder den zuständigen

Adressaten bzw. Vorgesetzten einen eigenständigen Ermessensspielraum bei

der Anwendung belassen (Beschlüsse vom 8. November 1990 - BVerwG 1 WB

88.89 - und vom 22. Dezember 2004 - BVerwG 1 WB 30.04 - m.w.N.). Das IT-

Sicherheitskonzept „als Ganzes“, welches der Antragsteller mit seinem Antrag

angreift, stellt hiernach keinen Befehl, sondern eine verbindliche Richtlinie dar,

die jedoch für die einzelnen OrgBer bei der Umsetzung noch der Konkretisierung bedarf und insoweit nicht eine zwingende Anweisung zu einem „bestimmten“ Verhalten im Sinne des § 2 Nr. 2 WStG enthält. In maßgeblichen Bereichen

schreibt das IT-Sicherheitskonzept sogar ausdrücklich den einzelnen

Dienststellen und den in ihnen tätigen Anwendern des IT-Personals eine eigenständige Verantwortung für zu definierende und einzuhaltende Sicherheitsanforderungen zu.

21In Nr. 2.1 des IT-Sicherheitskonzepts ist festgelegt, dass dieses Konzept als

„einheitliches und organisationsbereichübergreifendes“ Konzept dient. Die Sicherheitsanalyse ist „aus der Gesamtsicht des KVLNBw und nicht aus der Sicht

einer einzelnen Dienststelle oder Organisationseinheit“ erfolgt. Die Nr. 11.2 bestimmt für die einzelnen Dienststellen die Umsetzung der Sicherheitsmaßnahmen bzw. Vorgaben aus den Nr. 7.1 und 7.2; insoweit wird aber ausdrücklich

betont, dass es sich dabei um Mindestanforderungen handelt, die weiterführende Regelungen und Detailkonzepte nicht entbehrlich machen. Insoweit wird

in den „Vorgaben für Dienststellen“ betont, dass weiterführende Regelungen

und Detailkonzepte aus Sicht der IT-Sicherheit erforderlich sind und dass die

detaillierte Beschreibung der Umsetzung in Form von Handlungsanweisungen

in zusätzlichen Detailkonzepten der einzelnen OrgBer bzw. Dienststellen erfolgen müsse; diese müssten durch die OrgBer oder Dienststellen erstellt werden,

wenn keine zentralen Vorgaben der Bundeswehr existieren. Schon an dieser

- für die Verbindlichkeit des Erlasses vom 12. April 2005 maßgeblichen - Stelle

betont der Erlassgeber die Eigenverantwortung der (nachgeordneten) OrgBer

oder Dienststellen bei zusätzlichen „Detailkonzepten“, die auf die Bedürfnisse

der einzelnen OrgBer bzw. Dienststellen zuzuschneiden sind. Diese eigene

Verantwortung der OrgBer für eventuelle weitergehende Sicherheitsmaßnahmen und die Beschränkung lediglich auf Mindestanforderungen wird zusätzlich

in Nr. 6.3 des IT-Sicherheitskonzepts hervorgehoben.

22In Übereinstimmung mit diesen Regelungen des IT-Sicherheitskonzepts hat das

IT-AmtBw in seiner Auskunft an den BMVg vom 21. Juni 2005 unterstrichen, es

stehe im Ermessen der einzelnen Dienststellen, über die durch das IT-

Sicherheitskonzept vorgegebenen Einschränkungen hinaus restriktivere Vorgaben für ihren Zuständigkeitsbereich zu machen; hierauf werde im IT-Sicherheitskonzept ausdrücklich hingewiesen.

23Überdies folgt aus Nr. 1.7 des IT-Sicherheitskonzepts, dass fachliche oder

technische Probleme bei der Umsetzung des Konzepts durch eine fortlaufende

Kontrolle und entsprechende Initiativrechte behoben werden können. Dort wird

ausdrücklich die „Abhängigkeit von organisatorischen und technischen Strukturen des KVLNBw“ betont und deshalb eine zwingende Fortschreibung des

Konzepts unter zehn - nicht abschließend formulierten - Voraussetzungen festgelegt. Die entsprechenden Änderungsvorschläge können durch Verantwortliche vorgebracht werden, die das Bundesministerium der Verteidigung in Nr. 1.7

des IT-Sicherheitskonzepts (am Ende) im Einzelnen benannt hat. Indem der

Erlassgeber diese Initiativrechte für Änderungen im IT-Sicherheitskonzept ausdrücklich den „Verantwortlichen/Ansprechpartnern bei Konzeptänderungen“

zuschreibt, dokumentiert er selbst, dass das IT-Sicherheitskonzept vom

12. April 2005 (lediglich) eine verbindliche Richtlinie, jedoch (noch) nicht einen

Befehl im Sinne des § 2 Nr. 2 WStG darstellt.

24Nicht zuletzt ergibt sich ein eigenständiges Prüfungsrecht der Anwender des IT-

Sicherheitskonzepts in den Dienststellen aus Nr. 11.2 des IT-Sicherheitskonzepts in Verbindung mit Anhang 7. In Anhang 7.1 werden die „allgemeinen IT-

Sicherheitsanforderungen“ aufgeführt und vom Erlassgeber als „generelle Anforderungen an das System bzw. Anforderungen an die Einsatz-Umgebung“

definiert. Ausdrücklich wird die Möglichkeit einer Bewertung im Rahmen einer

Restrisikobetrachtung eingeräumt, wenn „einzelne dieser Anforderungen durch

die Dienststellen bzw. Projekte nicht abgedeckt werden können“. An dieser

Stelle wird den zuständigen Adressaten des IT-Sicherheitskonzepts in den

Dienststellen ausdrücklich ein eigenständiger Prüfungs- und Ermessensspielraum eingeräumt, ob die „generellen“ allgemeinen IT-Sicherheitsanforderungen

des IT-Sicherheitskonzepts durch die Dienststelle abgedeckt werden können.

25Sofern das Vorbringen des Antragstellers auch dahin auszulegen sein sollte,

dass er die Vereinbarkeit des IT-Sicherheitskonzepts mit einzelnen Nummern

der ZDv 54/100 in Frage stellt, ist sein Antrag gleichfalls unzulässig. Denn nach

ständiger Rechtsprechung ist eine vom Einzelfall losgelöste allgemeine Nachprüfung von Erlassen nach Art eines Normenkontrollverfahrens - wie bereits

ausgeführt - im Wehrbeschwerderecht nicht möglich.

26Der Senat hat davon abgesehen, den Antragsteller mit Verfahrenskosten zu

belasten, weil er die Voraussetzungen des § 20 Abs. 2 Satz 1 i.V.m. § 21 Abs. 2

Satz 1 WBO nicht als gegeben erachtet.

Dr. Frentz Prof. Dr. Widmaier Dr. Müller

Scheid Hollnagel

BVerwG: wohnsitz in der schweiz, wohnsitz im ausland, ausbildung, liechtenstein, aeuv, ohne erwerbstätigkeit, subjektives recht, besuch, unzumutbarkeit, anwendungsbereich

5 C 19.11 vom 10.01.2013

BVerwG: vollziehung, gebärdensprache, kunst, aussetzung, verfahrenskosten, download, link, ermessen, presse

9 VR 4.13 vom 28.05.2013

BVerwG (treu und glauben, rechtliches gehör, zivildienst, verwaltungsgericht, rechtssatz, bundesverwaltungsgericht, einberufung, beschwerde, ausbildung, zdg)

6 B 107.08 vom 22.08.2007

Anmerkungen zum Urteil