2: Pressemitteilungen
IT-Sicherheitsgesetz: „Etwas zu kurz gesprungen“
In einem gestern vom Bundesinnenministerium vorgestellten Referentenentwurf zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ist vorgesehen, dass die Kompetenzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) dadurch ausgebaut werden, dass
- Betreiber kritischer Infrastrukturen, von Telekommunikations- und Telemediendiensten überprüfbar zu qualifizierten IT-Sicherheitsmaßnahmen verpflichtet werden,
- Telekommunikationsanbieter zur Meldung sowie zur Information und Warnung von Betroffenen bzgl. sog. Cybersicherheitsvorfälle verpflichtet werden und
- weitergehende Einflussmöglichkeiten bei eGovernment-Anwendungen geschaffen werden.
Auch die Bundesnetzagentur und das Bundeskriminalamt sollen zur Verbesserung der IT-Sicherheit zusätzlich Befugnisse erhalten. Die Intentionen des Gesetzentwurfs werden vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) unterstützt. Doch besteht gemäß dem ULD-Leiter Thilo Weichert noch wesentlicher Nachbesserungsbedarf:
„Das Manko des Gesetzentwurfs liegt darin, dass er zwischen IT-Sicherheit und den damit verfolgten Schutzzielen trennt. IT-Sicherheit dient nicht nur abstrakt dem Schutz von Infrastruktur, sondern konkret der Erbringung von staatlichen oder privaten Leistungen und der digitalen Verwirklichung individueller Freiheiten. Dem Gesetzentwurf ist nur beiläufig zu entnehmen, dass der Schutz des allgemeinen Persönlichkeitsrechts allgemein und des Datenschutzes speziell konkret ein zentrales Anliegen von IT-Sicherheit ist. Mehr IT-Sicherheit geht nicht ohne die Einbeziehung und Stärkung der unabhängigen Datenschutzbeauftragten. Dies gilt für die vom BSI vorzunehmende Überprüfung informationstechnischer Produkte, für die Festlegung von verbindlichen Mindeststandards und Sicherheitsregeln, für die Erkennung von Beseitigung von Sicherheitsstörungen oder für Warnmeldungen gegenüber betroffenen Bürgerinnen und Bürgern. Das BSI, die sonstigen einbezogenen Bundesbehörden und unabhängige Datenschutzbeauftragte arbeiten heute teilweise im Interesse einer umfassend verstandenen IT-Sicherheit schon informell besser zusammen, als dies von dem Entwurf geplant ist.
Der Entwurf geht davon aus, dass die Meldungen ´üblicherweise rein technischer Natur` sind und ´keinen Personenbezug` aufweisen. Dies wird im Hinblick auf die Praxis zu hinterfragen sein. Über technische Identifikatoren, die an Endgeräte oder Nutzungsvorgänge von Privatpersonen gebunden sind, lässt sich häufig ein Personenbezug herstellen. Der im Entwurf für diese Fälle erwähnte Grundsatz der Datensparsamkeit bedarf dringend einer weiteren Konkretisierung für den Einsatz in der Praxis. Bei der weiteren Erörterung des Entwurfes muss zudem sichergestellt werden, dass zugunsten der IT-Wirtschaft keine Regelungen Eingang finden, mit denen möglicherweise sogar Verschlechterungen des aktuellen Datenschutz- und Sicherheitsniveaus verbunden sind.“
Der Referentenentwurf ist im Netz abrufbar unter