Januar 2026 Blog

Das KRITIS-Dachgesetz in der Immobilienwirtschaft

Mit der Umsetzung der CER-Richtlinie (EU) 2022/2557 durch das kommende KRITIS-Dachgesetz (KRITIS-DachG-E) verschiebt sich der Fokus des deutschen Sicherheitsrechts: Weg von der reinen IT-Sicherheit (Cyber Security), hin zur physischen Widerstandsfähigkeit (Physical Security) kritischer Anlagen. Für die Immobilienwirtschaft ist dies von hoher Relevanz, da die "kritische Anlage" physisch untrennbar mit dem Grundstück und dem Gebäude verbunden ist.

Überblick: Der Pflichtenkatalog des KRITIS-Dachgesetzes

Das Gesetz folgt einem All-Gefahren-Ansatz. Es schützt nicht vor einem spezifischen Szenario, sondern fordert Resilienz gegenüber Naturgefahren (Klimawandel), technischem Versagen und menschlichen Angriffen (Sabotage, Terrorismus). Adressat des Gesetzes ist der Betreiber einer kritischen Anlage.

Die zentralen Verpflichtungen lassen sich in vier Säulen gliedern:

  1. Registrierung und Identifikation (§ 16 KRITIS-DachG-E) Betreiber müssen ihre Anlagen eigenständig identifizieren und beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren. Dies schafft erstmals ein umfassendes Kataster kritischer Anlagen in Deutschland.
  2. Risikoanalyse (§ 12 KRITIS-DachG-E) Alle vier Jahre ist eine umfassende Risikoanalyse durchzuführen. Diese muss auf der Nationalen Risikoanalyse des Bundes aufbauen und lokale Gefährdungen bewerten. Hierbei sind Abhängigkeiten von anderen Sektoren (z.B. Strom, Wasser) explizit zu berücksichtigen.
  3. Resilienzmaßnahmen und Resilienzplan (§ 13 KRITIS-DachG-E) Herzstück des Gesetzes ist die Pflicht, "geeignete und verhältnismäßige" Maßnahmen zu treffen. Diese sind in einem Resilienzplan zu dokumentieren. Der Maßnahmenkatalog umfasst u.a.:
    • Baulich/Technisch: Zäune, Vereinzelungsanlagen, Härtung der Gebäudehülle, Notstromversorgung, Detektionstechnik.
    • Organisatorisch: Krisenmanagement, Business Continuity Management (BCM), Überprüfung von Personal.
  4. Meldewesen (§ 18 KRITIS-DachG-E) Störfälle, die die Erbringung der kritischen Dienstleistung erheblich beeinträchtigen können, sind unverzüglich (binnen 24 Stunden) an die gemeinsame Meldestelle von BBK und BSI zu melden.   

Auswirkung auf Immobilien

Betreiber einer kritischen Anlage ist, wer unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausübt. Da viele KRITIS-Betreiber (z.B. Logistiker, Rechenzentrumsbetreiber, Labore) ihre Flächen lediglich mieten, kollidiert die öffentlich-rechtliche Handlungspflicht des Mieters mit der zivilrechtlichen Eigentümerstellung des Vermieters. Aus dieser Konstellation ergeben sich spezifische Pflichten, Probleme und Regelungsbedarfe.

1. Das Kernproblem: Bauliche Härtung und Duldungspflichten

Das KRITIS-DachG verlangt Maßnahmen wie den Einbau von einbruchhemmenden Türen (RC4/RC5), die Installation von Pollern (Zufahrtsschutz) oder die Errichtung von Zäunen.

  • Rechtliche Ausgangslage: Grundsätzlich darf der Mieter ohne Erlaubnis des Vermieters keine baulichen Veränderungen vornehmen. Der Vermieter schuldet nur den vertragsgemäßen Gebrauch, der sich meist am Standard vergleichbarer Gewerberäume orientiert, nicht aber am Hochsicherheitsstandard einer KRITIS-Anlage (vorbehaltlich abweichender Vereinbarungen).
  • Die "KRITIS-Duldungspflicht": Es ist davon auszugehen, dass die Rechtsprechung eine Nebenpflicht zur Duldung (§ 242 BGB) herleiten wird, wenn die Maßnahme für den Mieter gesetzlich zwingend ist, um seinen Geschäftsbetrieb aufrechtzuerhalten.
    • Problem: Der Vermieter kann die Duldung verweigern, wenn die Maßnahme die Substanz des Gebäudes gefährdet oder das optische Erscheinungsbild ("Repräsentation") unzumutbar beeinträchtigt.
    • Lösung: Vertragliche Vorab-Regelung, die dem Mieter Umbauten gestattet, gekoppelt an eine Rückbauverpflichtung und eine Sicherheitsleistung (Kaution), da spezialisierte Einbauten (z.B. Schleusen) die Drittverwendungsfähigkeit der Mietfläche massiv einschränken. Auch können aus den Umbaumaßnahmen (u.a. Baulärm) Mietminderungen anderer Mieter folgen. Laufende Mietverträge sollten auf ein Anpassungserfordernis geprüft werden.

2. Betriebskosten und Facility Management (FM)

Das Gesetz fordert ein Sicherheitsmanagement auch für externes Personal (§ 13 KRITIS-DachG-E). Dies betrifft direkt u.a. die FM-Dienstleister des Vermieters (Reinigung, Wartung, Security), die Zugang zu Mietbereichen haben.

  • Zutrittskontrolle & Vetting: Der KRITIS-Mieter muss sicherstellen, dass nur überprüftes Personal Zutritt erhält.
    • Pflicht des Vermieters: Er muss dulden, dass sein FM-Personal Sicherheitsüberprüfungen durchläuft.
    • Kostenrisiko: Wenn der FM-Dienstleister aufgrund dieser Anforderungen höhere Löhne oder Erschwerniszulagen verlangt, stellt sich die Frage der Umlagefähigkeit. In Multi-Tenant-Objekten (Mischobjekten) dürfen diese spezifischen Mehrkosten nicht auf normale Büromieter umgelegt werden (Verstoß gegen das Gebot der Wirtschaftlichkeit und Kostengerechtigkeit). Sie müssen separiert und dem KRITIS-Mieter direkt zugeordnet werden (Vorwegabzug).
    • (Mit-)Mieter: Von den Zutrittskontrollen können je nach Lage des KRITIS-Mieters auch andere Mieter betroffen sein. Dies sollte sodann ebenfalls in den jeweiligen Mietverträgen berücksichtigt werden.

3. Haftungsfalle Verkehrssicherungspflicht

Immobilienrechtlich haftet der Eigentümer für Gefahren, die von seinem Grundstück ausgehen oder auf diesem entstehen (Verkehrssicherungspflicht).

  • Verschiebung des Sorgfaltsmaßstabs: Durch die Einstufung als "Kritische Anlage" werden Risiken wie Sabotage oder Stromausfall vorhersehbarer. Was früher "höhere Gewalt" war, ist nun ein "gemanagtes Risiko". Hinzutritt, dass sich so auch das Risiko auch für andere Mieter zumindest mittelbar erhöht.
  • Haftungsszenario: Versagt eine vom Vermieter gestellte Infrastruktur (z.B. die allgemeine Stromversorgung des Hauses oder der Zutrittsschutz zum Technikraum) und führt dies zu einem Ausfall der kritischen Anlage des Mieters, drohen Regressansprüche. Der Mieter muss Bußgelder zahlen und erleidet Ertragsausfälle; er wird versuchen, diese als Mangel der Mietsache (§ 536a BGB) beim Vermieter zu liquidieren.
  • Vermieter-Pflicht: Eigentümer müssen proaktiv prüfen, ob ihre Gebäude-Infrastruktur (TGA) den erhöhten Anforderungen genügt, oder vertraglich klarstellen, dass die Betreiberverantwortung für kritische Komponenten (z.B. USV, Notstrom) vollständig auf den Mieter übergeht.   

4. Notstrom und Umweltrecht

Das KRITIS-DachG fordert Autarkie (z.B. 72 Stunden Notstrom).

  • Konflikt: Die Aufstellung großer Diesel-Tanks oder Netzersatzanlagen (NEA) auf dem Grundstück erfordert genehmigungsrechtliche Prozesse (Immissionsschutz, Gewässerschutz/AwSV).
  • Vermieter-Thema: Der Vermieter muss Flächen (Außenbereich, Keller) zur Verfügung stellen, die für solche Lasten und Gefahrenstoffe geeignet sind. Mietverträge müssen Flächen für technische Redundanz vorhalten, die im Standard-Gewerbemietvertrag oft nicht berücksichtigt sind.   

Checkliste für Immobilieneigentümer

Um die Risiken zu minimieren, sollten Eigentümer und Asset Manager insbesondere folgende Punkte prüfen:

Themenfeld Maßnahme / Prüfung
Bestandsanalyse Identifikation: Welche Mieter fallen unter KRITIS? (Schwellenwerte prüfen).
Vertragsgestaltung Anpassung der Mietverträge: Aufnahme von "KRITIS-Klauseln" (Duldung von Umbauten, Kostentragungspflicht des Mieters für Security-Upgrades, Haftungsausschluss für leichte Fahrlässigkeit bei Versorgungsunterbrechung, Auswirkungen auf andere Mieter).
Zutrittsrechte Regelung der Zutrittsrechte für Vermieter/FM-Personal in sensiblen Bereichen (Sicherheitsüberprüfungsklauseln).
Versicherung Prüfung der Gebäudeversicherung: Sind Schäden durch Sabotage oder Terrorismus gedeckt? (Oft Ausschlussklauseln in Standardpolicen).
Duldung & Rückbau Schriftliche Vereinbarungen über alle baulichen Maßnahmen des Mieters inkl. detaillierter Rückbauverpflichtung (Sicherheitsleistung/Kaution ggf. erhöhen).

Fazit

Das KRITIS-Dachgesetz zwingt Eigentümer, ihre Immobilien nicht mehr nur als physische Hülle, sondern als Teil einer nationalen Sicherheitsarchitektur zu begreifen. Für Vermieter bedeutet dies konkret: Wer an KRITIS vermietet, muss "KRITIS-ready" verwalten. Die bloße Duldung reicht nicht; notwendig ist eine aktive vertragliche Steuerung der Schnittstellen zwischen Gebäudesicherheit (Vermietersphäre) und Anlagensicherheit (Mietersphäre), um nicht in die Haftungsfalle zu tappen.

Beitrag teilen
Christian Ertel
Senior Associate

T +49 40 35922-184
c.ertel@gvw.com

Aktuelles

Alle Blogeinträge anzeigen
Anmeldung zum GvW Newsletter

Melden Sie sich hier zu unserem GvW Newsletter an - und wir halten Sie über die aktuellen Rechtsentwicklungen informiert!