Sie sind hier: Home » Recht » Datenschutz und Compliance

IT-Sicherheit nicht zu Lasten des Datenschutzes


Datenschutzkonferenz fordert Nachbesserungen am BSI-Gesetz
Kritik am Gesetzentwurf der Bundesregierung zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz)


(23.02.09) - Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder kritisiert den Gesetzentwurf der Bundesregierung zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz). In einer einstimmig angenommenen Entschließung warnen sie davor, dass die zur Stärkung der IT-Sicherheit vorgesehenen Maßnahmen zu Lasten des Datenschutzes gehen. Für bedenklich halten die Datenschutzbeauftragten insbesondere die zusätzlichen Überwachungsbefugnisse, die dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeräumt werden sollen. Zu befürchten sei zudem, dass die Anbieter von Internetdiensten das Surfverhalten der Nutzer umfassend mit dem Argument registrieren, damit Sicherheitsrisiken zu begegnen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Peter Schaar sagte:

"Der Gesetzentwurf ist unausgewogen und deshalb dringend verbesserungsbedürftig. Insbesondere muss der Gesetzgeber unmissverständlich klarstellen, dass die Erhebung und Auswertung personenbezogener Daten ultima ratio ist. Wir hoffen, dass unsere Argumente bei den jetzt anstehenden Beratungen im Bundesrat und Bundestag berücksichtigt werden."

Die Entschließung hat folgenden Wortlaut:

Entschließung
der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
am 18.02.2009

Stärkung der IT-Sicherheit - aber nicht zu Lasten des Datenschutzes!

Das Bundeskabinett hat am 14. Januar 2009 den Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes beschlossen (BR 62/09). Mit dem Gesetz sollen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) umfassende Befugnisse eingeräumt werden, um Gefahren für die Sicherheit der Informationstechnik des Bundes abzuwehren. Weiter sollen aber zugleich auch das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) geändert werden.

Angriffe auf die IT-Sicherheit können nicht nur die ordnungsgemäße Abwicklung von Verwaltungsaufgaben beeinträchtigen, sondern auch Gefahren für die Persönlichkeitsrechte der Bürgerinnen und Bürger mit sich bringen. Daher sind Konzepte zu entwickeln und umzusetzen, die sowohl die IT-Sicherheit stärken als auch den Schutz der Privatsphäre gewährleisten.

In weiten Bereichen wurden in der jüngsten Vergangenheit Maßnahmen zur Stärkung der IT-Sicherheit getroffen, die eine detaillierte Registrierung und Auswertung des Nutzerverhaltens und sogar der Inhalte der Kommunikation ermöglichen. Entsprechende Ansätze gibt es nun auch in der Bundesverwaltung. So sieht der Gesetzentwurf vor, dem BSI sehr weitgehende Befugnisse einzuräumen. Kritisch sind insbesondere

>> die Ermächtigung des BSI, die gesamte Sprach- und Datenkommunikation aller Unternehmen, Bürgerinnen und Bürger mit Bundesbehörden ohne Anonymisierung bzw. Pseudonymisierung zu überwachen und auszuwerten (§ 5),

>> die vorgesehene Datenübermittlung an Strafverfolgungsbehörden, insbesondere bei nicht erheblichen Straftaten, wenn sie mittels Telekommunikation begangen werden (§ 5 Abs. 4) und

>> die fehlende Verpflichtung des BSI, Informationen über ihm bekannt gewordene Sicherheitslücken und Schadprogramme zu veröffentlichen und damit Unternehmen, Bürgerinnen und Bürger vor (zu erwartenden) Angriffen (Spionage und Sabotage) zu warnen (§ 7).

Äußerst bedenklich ist darüber hinaus die Regelung, dass im Zweifelsfall allein das Bundesministerium des Innern entscheiden darf, ob Daten dem Kernbereich der privaten Lebensgestaltung zuzuordnen sind und wie damit weiter zu verfahren ist (§ 5 Abs. 6). In solchen Zweifelsfällen sollten diese Daten gelöscht oder einem Richter zur Entscheidung vorgelegt werden.

Die Datenschutzbeauftragten des Bundes und der Länder begrüßen zwar grundsätzlich alle Aktivitäten, in den gewachsenen, vernetzten IT-Strukturen des Bundes das Niveau der IT-Sicherheit zu erhöhen. Sie fordern aber auch, dass die zur Risikobegrenzung eingeführten Maßnahmen nicht den Datenschutz der Nutzerinnen und Nutzer beeinträchtigen. Deshalb ist schon bei der Konzeption von IT-Sicherheitsmaßnahmen vorzusehen, dass das erforderliche Sicherheitsniveau nur mit datenschutzgerechten Lösungen gewährleistet wird. Die Datenschutzbeauftragten fordern strengere Sicherheitsstandards und soweit möglich die Protokoll- und Inhaltsdaten vor der Auswertung durch das BSI zu anonymisieren bzw. zu pseudonymisieren. Damit ließen sich eine unnötige Registrierung des Nutzerverhaltens und Überwachung von Kommunikationsinhalten vermeiden. Die Auswertung der Daten durch das BSI muss revisionssicher ausgestaltet werden. Der vorgelegte Gesetzentwurf enthält keine solchen Regelungen.

Die Gesetzesänderung des Telemediengesetzes böte öffentlichen und privaten Anbietern von Telemedien die Möglichkeit einer umfassenden Protokollierung des Surfverhaltens ihrer Nutzer im Internet, da sie entsprechend der Gesetzesbegründung weit auslegbar ist. Der Gesetzgeber muss unmissverständlich klarstellen, dass die Erhebung und Auswertung personenbezogener Daten ultima ratio ist.

Sowohl die Betreiber der Netze des Bundes als auch die Verantwortlichen für die übergreifenden Netze der Verwaltung in Europa sind aufgefordert, bei allen Maßnahmen zur Stärkung der IT-Sicherheit auch die Privatsphäre und den Datenschutz der Nutzerinnen und Nutzer zu gewährleisten. (BfDI: ra)

Lesen Sie auch:
Gesetzentwurf zur Änderung des Telemediengesetzes
BSI soll Big Brother-Befugnisse erhalten
Bundeskriminalamt soll "online" durchsuchen dürfen

Artverwandte Themen

Zum Thema "Massenspeicherung von Telefon- und Internetverbindungsdaten per Eilentscheidung teilweise gestoppt" lesen Sie auch:
Vorratsdatenspeicherung bleibt zulässig
Eilantrag gegen Vorratsdatenspeicherung
Abkehr von ausufernder Präventionspolitik

Lesen Sie mehr zum Thema Vorratsdatenspeicherung:
DAFTA: Vorratsspeicherung und der Online-Zugriff
Vorratsdatenspeicherung nicht verfassungskonform
Verschlüsselung und Vorratsdatenspeicherung
Vorratsdatenspeicherung und Bundesrat
Demonstration gegen Vorratsdatenspeicherung
Einführung der Vorratsdatenspeicherung
Verdachtsunabhängige Vorratsdatenspeicherung

Lesen Sie auch zumThema Telekommunikationsüberwachung:
Überwachung der Telekommunikation
Quellen-Telekommunikationsüberwachung
Handy als tragbare "Wanze"
Schäubles Visionen Gegenstand im Innenausschuss
USA spioniert Mailverkehr aus

Lesen Sie auch:
Online-Durchsuchung - Das Urteil im Wortlaut: siehe http://www.bundesverfassungsgericht.de/entscheidungen/rs20080227_1bvr037007.html

Mehr zum Online-Durchsuchungsurteil aus Karlsruhe:
Online-Razzia: Behörden säen Klima der Angst
Justizministerin Merk riskiert Verfassungsbruch
Heimliche Online-Durchsuchungen durchführbar?
BVerfG kippt NRW-Gesetz zur Online-Durchsuchung
BVerfG-Urteil: Hohe Hürde für Online-Durchsuchung
Online-Durchsuchung in engen Grenzen möglich
Schäuble schürt bewusst ein Klima der Angst

Lesen Sie auch:
Online-Durchsuchung stark umstritten
Online-Durchsuchung: Mit dem Keylogger zum Ziel
LHG-BW-Veranstaltung: Online-Durchsuchung
Online-Durchsuchung ist erfolgreiches Hacking
Schutz sensibler persönlicher Daten
Datenschutz und Online-Durchsuchungen
Online-Durchsuchungen im BKA-Gesetz
Anti-Terror contra Datenschutz
Bundestrojaner schadet Made in Germany
Verdeckte Online-Durchsuchung rechtswidrig


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Datenschutz versehentlich oder mutwillig ignoriert

    Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt - und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.

  • KI datenschutzkonform einsetzen

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) legt eine Orientierungshilfe mit datenschutz-rechtlichen Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor.

  • Möglichkeit von Geldbußen gegenüber Behörden

    Die Bundesregierung hat im Februar 2024 einen Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG) vorgelegt (BT-Drs. 20/10859). Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zu relevanten Punkten des Gesetzentwurfs und zu weitergehendem Regelungsbedarf Stellung genommen.

  • Internet-Nutzer dürfen nicht geschröpft werden

    In einem weiteren offenen Brief wendete sich die Deutsche Vereinigung für Datenschutz e.V. (DVD) gemeinsam mit zwölf Bürgerrechtsorganisationen am 07.03.2024 erneut an die Datenschutzaufsichtsbehörden in der Europäischen Union, um zu verhindern, dass eine datenschutzfreundliche Nutzung des Internets nur noch gegen Bezahlen hoher Gebühren möglich ist.

  • Einstieg in eine anlasslose Massenüberwachung

    Die Verhandlungen zum EU-Verordnungsentwurf zur Bekämpfung des sexuellen Online-Kindesmissbrauchs (CSA-Verordnung) sind in eine entscheidenden Phase. Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) haben anlässlich dessen in einer Gemeinsamen Stellungnahme den EU-Gesetzgeber dazu aufgerufen, die wesentlichen Änderungsvorschläge des Europäischen Parlaments (EP) zu unterstützen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen