IT-Sicherheit nicht zu Lasten des Datenschutzes
Datenschutzkonferenz fordert Nachbesserungen am BSI-Gesetz
Kritik am Gesetzentwurf der Bundesregierung zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz)
(23.02.09) - Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder kritisiert den Gesetzentwurf der Bundesregierung zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz). In einer einstimmig angenommenen Entschließung warnen sie davor, dass die zur Stärkung der IT-Sicherheit vorgesehenen Maßnahmen zu Lasten des Datenschutzes gehen. Für bedenklich halten die Datenschutzbeauftragten insbesondere die zusätzlichen Überwachungsbefugnisse, die dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeräumt werden sollen. Zu befürchten sei zudem, dass die Anbieter von Internetdiensten das Surfverhalten der Nutzer umfassend mit dem Argument registrieren, damit Sicherheitsrisiken zu begegnen.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Peter Schaar sagte:
"Der Gesetzentwurf ist unausgewogen und deshalb dringend verbesserungsbedürftig. Insbesondere muss der Gesetzgeber unmissverständlich klarstellen, dass die Erhebung und Auswertung personenbezogener Daten ultima ratio ist. Wir hoffen, dass unsere Argumente bei den jetzt anstehenden Beratungen im Bundesrat und Bundestag berücksichtigt werden."
Die Entschließung hat folgenden Wortlaut:
Entschließung
der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
am 18.02.2009
Stärkung der IT-Sicherheit - aber nicht zu Lasten des Datenschutzes!
Das Bundeskabinett hat am 14. Januar 2009 den Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes beschlossen (BR 62/09). Mit dem Gesetz sollen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) umfassende Befugnisse eingeräumt werden, um Gefahren für die Sicherheit der Informationstechnik des Bundes abzuwehren. Weiter sollen aber zugleich auch das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) geändert werden.
Angriffe auf die IT-Sicherheit können nicht nur die ordnungsgemäße Abwicklung von Verwaltungsaufgaben beeinträchtigen, sondern auch Gefahren für die Persönlichkeitsrechte der Bürgerinnen und Bürger mit sich bringen. Daher sind Konzepte zu entwickeln und umzusetzen, die sowohl die IT-Sicherheit stärken als auch den Schutz der Privatsphäre gewährleisten.
In weiten Bereichen wurden in der jüngsten Vergangenheit Maßnahmen zur Stärkung der IT-Sicherheit getroffen, die eine detaillierte Registrierung und Auswertung des Nutzerverhaltens und sogar der Inhalte der Kommunikation ermöglichen. Entsprechende Ansätze gibt es nun auch in der Bundesverwaltung. So sieht der Gesetzentwurf vor, dem BSI sehr weitgehende Befugnisse einzuräumen. Kritisch sind insbesondere
>> die Ermächtigung des BSI, die gesamte Sprach- und Datenkommunikation aller Unternehmen, Bürgerinnen und Bürger mit Bundesbehörden ohne Anonymisierung bzw. Pseudonymisierung zu überwachen und auszuwerten (§ 5),
>> die vorgesehene Datenübermittlung an Strafverfolgungsbehörden, insbesondere bei nicht erheblichen Straftaten, wenn sie mittels Telekommunikation begangen werden (§ 5 Abs. 4) und
>> die fehlende Verpflichtung des BSI, Informationen über ihm bekannt gewordene Sicherheitslücken und Schadprogramme zu veröffentlichen und damit Unternehmen, Bürgerinnen und Bürger vor (zu erwartenden) Angriffen (Spionage und Sabotage) zu warnen (§ 7).
Äußerst bedenklich ist darüber hinaus die Regelung, dass im Zweifelsfall allein das Bundesministerium des Innern entscheiden darf, ob Daten dem Kernbereich der privaten Lebensgestaltung zuzuordnen sind und wie damit weiter zu verfahren ist (§ 5 Abs. 6). In solchen Zweifelsfällen sollten diese Daten gelöscht oder einem Richter zur Entscheidung vorgelegt werden.
Die Datenschutzbeauftragten des Bundes und der Länder begrüßen zwar grundsätzlich alle Aktivitäten, in den gewachsenen, vernetzten IT-Strukturen des Bundes das Niveau der IT-Sicherheit zu erhöhen. Sie fordern aber auch, dass die zur Risikobegrenzung eingeführten Maßnahmen nicht den Datenschutz der Nutzerinnen und Nutzer beeinträchtigen. Deshalb ist schon bei der Konzeption von IT-Sicherheitsmaßnahmen vorzusehen, dass das erforderliche Sicherheitsniveau nur mit datenschutzgerechten Lösungen gewährleistet wird. Die Datenschutzbeauftragten fordern strengere Sicherheitsstandards und soweit möglich die Protokoll- und Inhaltsdaten vor der Auswertung durch das BSI zu anonymisieren bzw. zu pseudonymisieren. Damit ließen sich eine unnötige Registrierung des Nutzerverhaltens und Überwachung von Kommunikationsinhalten vermeiden. Die Auswertung der Daten durch das BSI muss revisionssicher ausgestaltet werden. Der vorgelegte Gesetzentwurf enthält keine solchen Regelungen.
Die Gesetzesänderung des Telemediengesetzes böte öffentlichen und privaten Anbietern von Telemedien die Möglichkeit einer umfassenden Protokollierung des Surfverhaltens ihrer Nutzer im Internet, da sie entsprechend der Gesetzesbegründung weit auslegbar ist. Der Gesetzgeber muss unmissverständlich klarstellen, dass die Erhebung und Auswertung personenbezogener Daten ultima ratio ist.
Sowohl die Betreiber der Netze des Bundes als auch die Verantwortlichen für die übergreifenden Netze der Verwaltung in Europa sind aufgefordert, bei allen Maßnahmen zur Stärkung der IT-Sicherheit auch die Privatsphäre und den Datenschutz der Nutzerinnen und Nutzer zu gewährleisten. (BfDI: ra)
Lesen Sie auch:
Gesetzentwurf zur Änderung des Telemediengesetzes
BSI soll Big Brother-Befugnisse erhalten
Bundeskriminalamt soll "online" durchsuchen dürfen
Artverwandte Themen
Zum Thema "Massenspeicherung von Telefon- und Internetverbindungsdaten per Eilentscheidung teilweise gestoppt" lesen Sie auch:
Vorratsdatenspeicherung bleibt zulässig
Eilantrag gegen Vorratsdatenspeicherung
Abkehr von ausufernder Präventionspolitik
Lesen Sie mehr zum Thema Vorratsdatenspeicherung:
DAFTA: Vorratsspeicherung und der Online-Zugriff
Vorratsdatenspeicherung nicht verfassungskonform
Verschlüsselung und Vorratsdatenspeicherung
Vorratsdatenspeicherung und Bundesrat
Demonstration gegen Vorratsdatenspeicherung
Einführung der Vorratsdatenspeicherung
Verdachtsunabhängige Vorratsdatenspeicherung
Lesen Sie auch zumThema Telekommunikationsüberwachung:
Überwachung der Telekommunikation
Quellen-Telekommunikationsüberwachung
Handy als tragbare "Wanze"
Schäubles Visionen Gegenstand im Innenausschuss
USA spioniert Mailverkehr aus
Lesen Sie auch:
Online-Durchsuchung - Das Urteil im Wortlaut: siehe http://www.bundesverfassungsgericht.de/entscheidungen/rs20080227_1bvr037007.html
Mehr zum Online-Durchsuchungsurteil aus Karlsruhe:
Online-Razzia: Behörden säen Klima der Angst
Justizministerin Merk riskiert Verfassungsbruch
Heimliche Online-Durchsuchungen durchführbar?
BVerfG kippt NRW-Gesetz zur Online-Durchsuchung
BVerfG-Urteil: Hohe Hürde für Online-Durchsuchung
Online-Durchsuchung in engen Grenzen möglich
Schäuble schürt bewusst ein Klima der Angst
Lesen Sie auch:
Online-Durchsuchung stark umstritten
Online-Durchsuchung: Mit dem Keylogger zum Ziel
LHG-BW-Veranstaltung: Online-Durchsuchung
Online-Durchsuchung ist erfolgreiches Hacking
Schutz sensibler persönlicher Daten
Datenschutz und Online-Durchsuchungen
Online-Durchsuchungen im BKA-Gesetz
Anti-Terror contra Datenschutz
Bundestrojaner schadet Made in Germany
Verdeckte Online-Durchsuchung rechtswidrig
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>