Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) vom 13.02.2015 zum

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 29.12.2014 (BR-Drs. 643/14)[1]

Für die Arbeit des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) als Datenschutzaufsichtsbehörde des Landes und für den Schutz der Grundrechte auf informationelle Selbstbestimmung und auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme hätte das vorgeschlagene Gesetz weitreichende Konsequenzen. Daher sollten die im Folgenden dargestellten Erwägungen bei der weiteren Gesetzgebung berücksichtigt werden. Es wird dabei Bezug genommen auf die Stellungnahme des ULD vom 20.10.2014[2] zum Referentenentwurf (Stand 18.08.2014) des Bundesministeriums des Innern (BMI).[3]

Vorbemerkung

Das mit dem Gesetzentwurf verfolgte Ziel einer Erhöhung der IT-Sicherheit insbesondere im Hinblick auf das Internet und Kritische Infrastrukturen ist aus Sicht des Datenschutzes zu unterstützen. Die Gewährleistung der Verfügbarkeit, der Integrität und der Vertraulichkeit informationstechnischer Systeme ist ein zentrales Anliegen des Datenschutzes.

Insofern ist es zu begrüßen, dass Betreibern von Kritischen Infrastrukturen, von Telekommunikationsdiensten und auch von Telemedien Pflichten auferlegt werden, effektive IT-Sicherheitsmaßnahmen zu implementieren. Entsprechendes gilt für die vorgesehenen Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die verbesserte Kommunikation von Vorfällen und gewonnenen Erkenntnissen nach außen.

Bei Maßnahmen zur Verbesserung der IT-Sicherheit ist es unter Umständen nötig, personenbezogene Daten von Nutzenden der informationstechnischen Infrastrukturen zu erheben, zu speichern, zu übermitteln und auszuwerten. Es ist darauf zu achten, dass die hierzu erlassenen Regelungen hinreichend bestimmt und verhältnismäßig sind.

Irritierend war insofern beim Referentenentwurf des BMI vom August 2014 (Fn. 3) die Aussage der Begründung, die nach dem geplanten IT-Sicherheitsgesetz zu übermittelnden Daten seien „üblicherweise rein technischer Natur und haben keinen Personenbezug“ (S. 40). Dies wurde im aktuellen Regierungsentwurf relativiert. § 8b Abs. 6 BSIG-E regelt die Zweckbindung der beim BSI erfassten Daten und verweist auf die allgemeinen Datenschutzregeln. Dies ist vom Ansatz zu begrüßen. Bei der Detektion von Sicherheitsvorfällen und deren aussagekräftiger Meldung an zentrale Stellen ist die Verarbeitung der relevanten Daten nicht nur technischer Natur. Zwar sind Einzeldaten wie gescannte Port-Nummer, IP-Adressen, URLs, Routing-Tabellen in BGP-Routern oder Zeitpunkte der Ereignisse zunächst technische Angaben. Handelt es sich jedoch hierbei nicht um aggregierte Daten, so enthalten diese Daten zugleich Angaben über die Nutzenden, bei denen es sich in der Regel oder zumindest sehr oft um natürliche Personen handelt. Auch bei Datensätzen von Institutionen lassen sich oft natürliche Personen, die beispielsweise dort tätig sind, zuordnen. In diesen Fällen handelt es sich dann um personenbezogene Daten i. S. d. Datenschutzrechts (vgl. § 3 Abs. 1 BDSG). Nicht zuletzt das mittlerweile durch die Werbeindustrie vorangetriebene Device-Fingerprinting ermöglicht es, aus „Meta-Daten“ des Internetverkehrs weitreichende Erkenntnisse über Personen abzuleiten. Da es das Ziel des IT-Sicherheitsgesetzes ist, Korrelation von Anomalien festzustellen, müssen zwangsläufig Daten verarbeitet werden, die vielfach einen Personenbezug haben.

Dass der Regelungsvorschlag personenbezogene Daten erfassen soll, ergibt sich z. B. zwingend aus dem geplanten § 7 Abs. 1 S. 1 b) BSIG-E, wonach sich das BSI bei der Warnung vor Sicherheitslücken und Schadprogrammen der Einschaltung Dritter bedienen kann. Im Interesse der Effektivität derartiger Warnungen wie auch im Interesse der Datensparsamkeit müssen solche Warnungen oft personenbezogen erfolgen.

Das ULD hat in dem vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Projekt „Monitoring durch Informationsfusion und Klassifikation zur Anomalieerkennung“ (MonIKA) mit Datum von 28.02.2014 eine umfangreiche Ausarbeitung erstellt, in der auf die Vorgängerversion des vorliegenden Gesetzentwurfs für ein IT-Sicherheitsgesetz (Stand März 2013)[4] Bezug genommen wird.[5] Darin kommt das ULD zu dem Ergebnis, dass bei der im Bereich von Datensicherheitsmaßnahmen üblichen Anomalieerkennung regelmäßig umfangreiche personenbezogene Daten verarbeitet werden. Datensätze haben nicht nur oft einen Personenbezug, wenn sie statische oder dynamische IP-Adressen enthalten, sondern auch durch die Speicherung von Portnummern, von AS-Nummern (Autonomous System Numbers) oder von URLs.

Zugleich hat sich gezeigt, dass die Konstruktion der Auftragsdatenverarbeitung bei komplexeren Sicherungssystemen kaum noch anwendbar ist und den Gegebenheiten verteilter Systeme nicht gerecht wird. Verantwortlichkeiten können mit diesem Instrument nicht mehr adäquat abgebildet werden (dazu näher s. u.).

Die vom ULD erstellte Studie kommt zu dem zentralen Ergebnis, dass derartige Sicherheitssysteme datenschutzkonform möglich sind, dass dies aber der konsequenten Anwendung des Grundsatzes der Datensparsamkeit (vgl. 3a BDSG) bedarf. Diese Erkenntnis wird im vorliegenden Gesetzentwurf ebenso wie in den Vorentwürfen nicht hinreichend reflektiert. Der Entwurf nimmt die Gelegenheit nicht wahr, die Fragen von verbundenen technisch komplexen Monitoring-Netzen tatsächlich und rechtlich anzugehen. Grundlegende Werkzeuge wie Pseudonymisierung und Anonymisierung werden nicht berücksichtigt, und die daraus folgenden Herausforderungen für die effiziente Umsetzung von derartigen datensparsamen Monitoring-Netzen bleiben ungelöst.

Der Regelungsvorschlag hat vorrangig die Datenverarbeitung bei dem BSI sowie möglicherweise weiteren eingebundenen Behörden (z. B. Bundesnetzagentur) im Blick. Zusätzlich sind Meldepflichten von Betreibern von IT-Systemen vorgesehen. Ausgeblendet wird von dem Entwurf die einer Meldung vorausgehende Datenverarbeitung beim Betreiber, weitgehend auch, welche Folgeverarbeitungen mit erlangten (personenbeziehbaren) Rückmeldungen zulässig sind. Praktisch alle Regelungen sind als Aufgabenbeschreibungen ausgestaltet, ohne die notwendige Bestimmtheit von Befugnisnormen aufzuweisen, wie sie für die Legitimation der Verarbeitung personenbezogener Daten nötig sind.

Ein genereller Mangel des Gesetzentwurfs besteht darin, dass zwar eine enge Verzahnung zwischen der Telekommunikationsaufsicht und dem BSI vorgesehen ist, nicht aber zwischen der Datenschutzaufsicht und dem BSI. Wegen der hohen Datenschutzrelevanz einer Vielzahl von Festlegungen und Verfahren ist eine Einbeziehung der Datenschutzbehörden unabdingbar, um keine Konflikte zwischen IT-Sicherheit und Datenschutz entstehen zu lassen. Die generelle Regelung in § 8b Abs. 6 BSIG-E genügt hierfür nicht.

Kritikwürdig ist des Weiteren, dass Betreibern von IT zwar eine Vielzahl sinnvoller Pflichten auferlegt wird, dass aber diese im Nichtbeachtensfall vom BSI nicht sanktioniert werden können. So sollten Sanktionsmöglichkeiten, etwa als Ordnungswidrigkeiten oder Anordnungsverfügungen, bei der Verletzung von Meldepflichten oder beim Versäumen der unverzüglichen Beseitigung von Sicherheitsmängeln vorgesehen werden. Der neue Entwurf enthält dieses immerhin für den Bereich der Telekommunikation (§ 149 Nr. 21a TKG-E).

Die im Entwurf vorgesehenen Maßnahmen zur Verbesserung der IT-Sicherheit sind weitgehend notwendig, aber bei weitem – angesichts der heute bestehenden technischen Möglichkeiten – nicht hinreichend. So könnten z. B. die Anbieter von Kommunikationsdiensten verpflichtet werden, eine vertrauliche Ende-zu-Ende-Verschlüsselung anzubieten.

Verblüffend ist, dass in der Begründung des Entwurfs neben der Notwendigkeit weiterer 48 bis 78 Stellen beim Bundeskriminalamt (BKA) ein „Bedarf von zwischen 26,5 und maximal 48,5 Planstellen/Stellen mit Personalkosten in Höhe von jährlich zwischen 1,836 und maximal 3,253 Millionen Euro“ zugunsten der „Fachabteilungen des Bundesamtes für Verfassungsschutz (BfV)“ angemeldet wird (Fn. 1, Vorblatt S. 7 f.). Hintergrund sei die zusätzliche Zuständigkeit des BfV für die Zusammenarbeit bei der Analyse der Verfügbarkeit der Kritischen Infrastrukturen (§ 8b Abs. 2 Nr. 4 BSIG-E). Eine solche Zuständigkeit ergibt sich aber weder aus dem Entwurf noch aus dem Bundesverfassungsschutzgesetz (§ 3 BVerfSchG). Der zusätzliche Ressourcenbedarf wird dadurch noch befremdlicher, dass das BfV eng mit Stellen zusammenarbeitet, die im Verdacht stehen, rechtswidrigen Einfluss auf Kritische Infrastrukturen zu nehmen, namentlich die Geheimdienste Großbritanniens und der USA – Government Communications Headquarters (GCHQ) und National Security Agency (NSA). Eine Stärkung der insofern vertrauenswürdigeren Datenschutzaufsichtsbehörden, denen gesetzlich explizit Aufgaben der Datensicherheit zugewiesen sind, wäre in diesem Umfang zweifellos zielführender.

Der Gesetzentwurf berücksichtigt überhaupt nicht, dass Personen und Institutionen in der Zivilgesellschaft schon heute einen wertvollen Beitrag der IT-Sicherheit leisten, indem diese Sicherheitslücken aufdecken, veröffentlichen, Schutzkonzepte entwickeln und damit zugleich ein Korrektiv bei behördlichem Versagen abgeben. Durch das Unterlassen einer Einbindung dieser Kräfte in das gesamtgesellschaftliche Bestreben nach IT-Sicherheit lässt der Entwurf die bestehenden Potenziale ungenutzt.

Als Adressat der gesetzlichen Regelungen werden „Betreiber Kritischer Infrastrukturen“ benannt, die als „Unternehmen“ gekennzeichnet werden. Diese Terminologie lässt den Eindruck entstehen, dass öffentliche Stellen als Betreiber nicht erfasst sein sollen. Hierfür gäbe es keine sachliche Rechtfertigung. Eine Klarstellung, dass diese mit erfasst sind, ist dringend erforderlich.

Im Entwurf werden insbesondere Betreiber Kritischer Infrastrukturen angesprochen und mit Pflichten und Aufgaben belegt. Diese Betreiber nehmen im Hinblick auf ihre Informationsverarbeitung generell und die Gewährleistung der IT-Sicherheit im Speziellen eine Vielzahl von Dienstleistern in Anspruch, die arbeitsteilig vorgehen und zueinander teilweise in komplexen technischen und rechtlichen Beziehungen stehen. Dabei nehmen diese Dienstleister nicht nur Aufgaben nach Weisung wahr, sondern sind in starkem Maße eigenverantwortlich tätig. Dies hat zur Folge, dass eine reine Verantwortungszuweisung, wie sie im Datenschutzrecht durch den Auftraggeber erfolgt (§§ 3 Abs. 7, 11 BDSG), nicht mehr sichergestellt werden kann. Dies gilt erst recht, wenn man der – nicht rechtskräftigen – Rechtsprechung des OVG Schleswig-Holstein[6] folgt, die für eine rechtliche Verantwortlichkeit für eine Datenverarbeitung verlangt, dass die tatsächliche Herrschaft über die Datenverarbeitung vorliegt. Es empfiehlt sich daher, die Adressaten der Regelung gemäß den tatsächlich ausgeübten Tätigkeiten im Interesse der Rechtssicherheit weit zu fassen und sicherheitstechnisch relevante Dienstleister mit einzuschließen (ausführlich hierzu siehe die oben zitierte MonIKA-Studie des ULD, Fn. 5).

Zu den einzelnen Regelungsvorschlägen

Artikel 1 – Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik

Zu 1. § 1 BSIG-E

Der Entwurf hält daran fest, dass das BSI als nationale Informationssicherheitsbehörde und Bundesoberbehörde dem Bundesministerium des Innern untersteht. Diese hierarchische Unterordnung hat zur Folge, dass das BSI im Zweifel gezwungen ist, sich dem Ressort unterzuordnen, das auch für die innere Sicherheit im weitesten Sinn zuständig ist und in seiner Politik hiervon bestimmt wird. Viele informationstechnische Sicherungsmaßnahmen sind damit verbunden, dass Daten vermieden werden (Pseudonymisierung, Anonymisierung, frühzeitige oder sofortige Datenlöschung, Verschlüsselung), die andernfalls als Ermittlungsansätze für Sicherheitsbehörden infrage kämen. Dadurch sind hausinterne Interessenkonflikte programmiert, die erfahrungsgemäß in der Vergangenheit im Zweifel für die „innere Sicherheit“ entschieden wurden. Es wäre daher wünschenswert, dem BSI eine weitergehende Selbstständigkeit zu geben. Auch eine andere Ressortzuordnung ist zu erwägen.

Zu 3. § 3 BSIG-E

Der derzeitige § 3 des BSI-Gesetzes wird dahingehend geändert, dass in Abs. 1 Satz 2 Nummer 2 die Wörter „zur Wahrung ihrer Sicherheitsinteressen erforderlich ist“ durch die Wörter „erforderlich ist, sowie für Dritte, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist;“ ersetzt werden. Damit wird der Empfängerkreis z. B. von Warnmeldungen noch unbestimmter. In der Begründung (S. 29) wird darauf verwiesen, dass sich dies insbesondere bezieht auf Betreiber Kritischer Infrastrukturen sowie „sonstige Einrichtungen oder Unternehmen […], die […] anerkanntermaßen zum Bereich der Kritischen Infrastrukturen im weiteren Sinne gehören oder die sonst ein berechtigtes Sicherheitsinteresse an den entsprechenden Informationen haben“. Es fehlt im Gesetz eine Klarstellung, die diese Dritten genauer bestimmt. Andernfalls besteht z. B. die Gefahr, dass beteiligte Stellen im Unklaren bleiben, wer im jeweiligen Fall gezielt informiert werden soll.

Zu 5. § 7 BSIG-E

In § 7 Abs. 1 soll ein neuer Satz 2 eingefügt werden, der es dem BSI erlaubt, sich zur Erfüllung seiner Warnaufgaben der Hilfe Dritter zu bedienen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist. Dabei wird allerdings nicht klar geregelt, wie dies erfolgen soll, wenn personenbezogene Daten aus den Warnungen ableitbar sind. Eine hinreichend bestimmte Rechtsgrundlage für die Weitergabe und eine spätere Veröffentlichung der in solchen Warnungen enthaltenen personenbezogenen Daten enthält der neue § 7 Abs. 1 S. 2 BSI-Gesetz nicht. Auch der möglicherweise hilfsweise heranzuziehende § 11 BDSG ist vor dem Hintergrund der evtl. sehr weit reichenden Verarbeitungen beim BSI nicht ausreichend konkret, um die „Hilfe Dritter“ normenklar zu erfassen. Eine klare Definition dessen, was durch Dritte in welcher Weise wahrgenommen werden darf und was ureigene Aufgabe des BSI bleiben muss, ist notwendig.

Zu Nr. 6 Einfügung eines § 7a BSIG-E – Unterstützung der IT-Sicherheit

Der Vorschlag erlaubt dem BSI die Untersuchung von informationstechnischen Produkten und Systemen. Es kann sich hierbei der Unterstützung Dritter bedienen, soweit berechtigte Interessen des Herstellers der betroffenen Produkte und Systeme dem nicht entgegenstehen. Erneut fehlt eine klare Regelung, welche Mittel eingesetzt werden dürfen, welche Aufgaben ausgelagert werden dürfen und wie die Unterstützung mit welchen Verantwortlichkeiten umgesetzt werden soll.

Hinsichtlich der Einbeziehung Dritter bei der Untersuchung der genannten Systeme werden nur die berechtigten Interessen des Herstellers der betroffenen Produkte und Systeme betrachtet. Aufgenommen werden sollten auch die Interessen der von der Datenverarbeitung Betroffenen. Soweit es sich bei den auf dem Markt bereitgestellten Systemen um automatisierte Verfahren oder technisch unterstützte Dienstleistungen handelt, können die Systeme personenbezogene Daten enthalten. In diesem Fall müssen auch diese Interessen der Betroffenen Beachtung finden, ggf. muss eine Einbindung Dritter unterbleiben. Zumindest ist ein der Auftragsdatenverarbeitung nachempfundenes Rechtsverhältnis mit dem Dritten notwendig.

Hinsichtlich der angemessenen Frist zur Stellungnahme in Abs. 2 sind Fälle denkbar, in denen sich aus der Untersuchung eine Gefahr in Verzug ergeben kann. Dann kann eine unverzügliche Weitergabe oder Veröffentlichung auch ohne Abwarten einer Stellungnahme des Herstellers erforderlich werden.

Zu Nr. 7 Einfügung von den §§ 8a, 8b, 8c und 8d BSIG-E

Es ist bedauerlich, dass die Festlegung von Mindeststandards nunmehr wieder aus dem Entwurf entfallen ist (siehe auch die früheren Anmerkungen in der ULD-Stellungnahme, Fn. 2). Die in § 8a Abs. 2 BSIG-E normierten branchenspezifischen Sicherheitsstandards werden von den Betreibern und Branchenverbänden vorgeschlagen. Wünschenswert wären jedoch Standards von einer neutralen Stelle. Diese können auch die Arbeit z. B. der Datenschutzaufsichtsbehörden bei ihren Prüfungen erleichtern.

Die neuen §§ 8a, 8b, 8c und 8d BSIG-E verlangen die Implementierung von angemessenen Schutzmechanismen nach dem Stand der Technik (§ 8a), weisen dem BSI die Funktion der zentralen Meldestelle zu (§ 8b), sehen Regelungen zum Anwendungsbereich vor (§ 8c) und schaffen ein Auskunftsrecht Dritter über die Teile der im Rahmen von §§ 8a und 8b erhaltenen Informationen (§ 8d).

Diese zentralen Normen des vorliegenden Entwurfs eines IT-Sicherheitsgesetzes sind im Ergebnis genauso kritikwürdig wie in den Entwürfen aus den Jahren 2013 und 2014. Es fehlt an einer klaren Rechtsgrundlage für die Erhebung der Daten bei den meldepflichtigen Stellen und an einer Auseinandersetzung mit dem Konflikt aus technisch möglicher IT-Überwachung und rechtlich zulässiger Verarbeitung personenbezogener Daten. Die §§ 8a, 8b, 8c und 8d enthalten keine Verfahrensvorgaben hinsichtlich der zentralen Datenfusion beim BSI. Die Zweckbindung wird unzureichend, eine Datentrennung wird nicht ausdrücklich festgelegt. Unklar bleiben auch die Rückmeldungen über die Warnungen und die Unterrichtung der betroffenen Stellen. Die Gefahr, dass personenbezogene Daten an Unberechtigte übermittelt werden, wird nicht berücksichtigt. Es wird nicht festgelegt, zu welchen Zwecken die so erhaltenen Daten genutzt werden dürfen.

§ 8a BSIG-E – Sicherheit in der Informationstechnik Kritischer Infrastrukturen

Anders als der frühe Entwurf aus dem Jahr 2013 verzichtet der aktuelle Entwurf im Rahmen des § 8a auf die Definition des „Standes der Technik“. Eine Definition etwa wie im Bundesimmissionsschutzgesetz (vgl. § 3 Abs. 6) erscheint angebracht. In der Regel dürfte der „Stand der Technik“ die obere Grenze des technisch Möglichen darstellen. Zumindest dürften die zum Prüfzeitpunkt geltenden „allgemein anerkannten Regeln der Technik“ als Mindestmaß gelten. Diese untere Schwelle sollte so auch in dem Gesetz benannt werden. Damit bleibt in einem noch stärkeren Maße als zuvor offen, welche Schutzmaßnahmen im Rahmen des § 8a verlangt werden können. Der aktuelle Entwurf versäumt es, die ungeklärten Fragen im Rahmen der Überwachung von informationstechnischen System zu beantworten. Es besteht das Risiko, dass Mittel als geeignet und erforderlich angesehen werden, bei denen Fragen des Datenschutzes nicht hinreichend berücksichtigt werden. Dies ermöglicht zwangsweise Vorgaben zum Einsatz von Firewalls, Spamfiltern, Intrusion Detection Systems u. Ä., ohne dass geklärt wird, wie mit den dabei anfallenden personenbezogenen Daten umgegangen werden muss und darf.

Es ist zu begrüßen, wenn die Betreiber Kritischer Infrastrukturen und deren Branchenverbände nach Absatz 2 spezifische Sicherheitsstandards vorschlagen können, die vom BSI anerkannt werden können. Es genügt dabei aber nicht, das Einvernehmen bzw. Benehmen mit den zuständigen Aufsichtsbehörden des Bundes, sonstigen zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenschutz zu suchen, wenn damit nur die fachliche und nicht auch die datenschutzrechtliche Aufsicht gemeint ist. Angesichts des Umstandes, dass diese Standards zugleich als technisch-organisatorische Maßnahmen nach § 9 BDSG Wirkung entfalten, muss das Einvernehmen mit der Datenschutzaufsicht zur Voraussetzung gemacht werden. Dies sollte klargestellt werden, da die Formulierung „Benehmen mit der sonst zuständigen Aufsichtsbehörde“ hierfür nicht die notwendige Eindeutigkeit aufweist.

Bei den in Absatz 3 vorgesehenen Audits, Prüfungen und Zertifizierungen wird auch eine Vielzahl datenschutzrelevanter Maßnahmen festgelegt oder gar vom BSI abverlangt. Daher sollte zumindest ein Austausch mit der jeweils nach § 38 BDSG zuständigen Datenschutzaufsicht gewährleistet werden. Besser noch wäre eine engere Abstimmung und Kooperation. Außerdem ist zu beachten, dass in diesem Bereich starker Wildwuchs herrscht und das Renommee der Audits bzw. Prüfungen stark voneinander abweicht. Um überhaupt Beachtung zu finden, sollte zumindest aufgenommen werden, dass die Prüfstellen unabhängig, zuverlässig und mit der erforderlichen Fachkunde ausgestattet sein müssen. Weitere Konkretisierungen der Auditverfahren wären sehr sinnvoll.

§ 8b BSIG-E – Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen

Der geplante § 8b sieht in Abs. 2 Nr. 1 die Sammlung von Daten aus tatsächlichen und versuchten Angriffen gegen informationstechnische Systeme vor. Dass dabei in großem Umfang personenbezogene Daten aus den Systemen der Meldestellen verarbeitet werden, wurde bereits angesprochen. Es stellt sich wie beim geplanten § 8a die Frage, wie der Konflikt aus Sicherheit der Systeme und Schutz der darüber geführten Kommunikation gelöst werden soll. Vor allem aber droht auf diesem Wege eine Speicherung dieser Daten auf Vorrat. Während die Rechtsprechung aktuell eine 7-Tagesfrist für die Speicherung der Verbindungsdaten nach § 100 Abs. 1 TKG akzeptiert[7], droht durch den neuen Entwurf eine ganz wesentliche Ausweitung der Verarbeitung dieser Daten. Der Verweis auf die Datenschutzgesetze und auf § 5 Abs. 7 Satz 3 bis 8 BSIG in Abs. 6 BSIG-E verdeutlicht zwar die Absicht des Gesetzgebers, den Schutz personenbezogener Daten zu gewährleisten. Allerdings sollte unter dem Gesichtspunkt eines proaktiven Datenschutzes schon im Vorfeld die Sammlung der Daten auf das erforderliche Maß beschränkt werden. Der Gesetzentwurf muss dabei davon ausgehen, dass bei Meldungen ein Personenbezug vorliegen kann, und gewährleisten, dass und wie in diesem Fall bei Meldungen Beeinträchtigungen der informationellen Selbstbestimmung von Betroffenen vermieden werden.

Mit der Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle an das BSI kann eine Meldeplicht von Datenpannen nach § 42a BDSG verbunden sein, etwa wenn bei dem Angriff sensiblen Betroffenendaten offenbart wurden (sog. Breach Notification). Während die BSI-Meldung der Struktursicherung dient, dient die Meldepflicht nach § 42a BDSG vorrangig dem Selbstschutz der Betroffenen. Durch die Einbeziehung der Datenschutzbehörden und wegen der Relevanz des Nutzerverhaltens für die Struktursicherheit von IT-Systemen ist eine Synchronisierung der beiden Regelungen sinnvoll. Diese muss zumindest vorsehen, dass im Fall des Vorliegens der Voraussetzungen des § 42a BDSG eine Unterrichtung der Datenschutzaufsicht durch das BSI erfolgt und umgekehrt die Datenschutzaufsicht das BSI informiert, wenn bei einer Meldung einer Datenpanne die Voraussetzungen einer Meldung nach § 8b BSIG-E gegeben sind.

In Abs. 2 Nr. 2 ist die Zusammenarbeit mit Aufsichtsbehörden bei der Analyse potenzieller Auswirkungen auf die Verfügbarkeit Kritischer Infrastrukturen vorgesehen. Es wird davon ausgegangen, dass hier nicht nur an das Bundesamt für Verfassungsschutz (BfV) und das Bundeskriminalamt (BKA) gedacht wird, sondern auch an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und den sonstigen Datenschutzaufsichtsbehörden. Dies muss in der Begründung klargestellt werden.

In § 8b Abs. 2 Nr. 4 ist ein Unterrichtungsrecht des BSI gegenüber den Betreibern Kritischer Infrastrukturen, den zuständigen Aufsichtsbehörden sowie den „sonst zuständigen Behörden des Bundes über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen nach den Nummern 1 bis 3“ sowie „die zuständigen Aufsichtsbehörden der Länder“ vorgesehen. Es bleibt unklar, ob mit Aufsichtsbehörden auch die für den Datenschutz zuständigen Aufsichtsbehörden in den Ländern gemeint sind. Sollen bei der Unterrichtung auch personenbezogene Daten übermittelt werden dürfen, so ist die Regelung zu unbestimmt, zumal sie keine datenschutzrechtlichen Schutzvorkehrungen enthält. Es ist weder eine Zweckbindung noch ein Gebot der Datensparsamkeit vorgesehen. Dies gilt auch, wenn die Formulierung „zur Erfüllung ihrer Aufgaben erforderlichen Informationen“ restriktiv in dem Sinne gemeint sein sollte, dass die Unterrichteten über sie betreffende Angriffe unterrichtet werden sollen.

Nach § 8b Abs. 4 ist eine Meldepflicht von Betreibern Kritischer Infrastrukturen über erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse vorgesehen, die zu einer Beeinträchtigung bzw. zum Ausfall (der Kritischen Infrastruktur) führen können. Gegenüber dem vorangegangenen Entwurf (Fn. 3) ist damit eine Präzisierung der Störung erfolgt. Neben Ausfall und Beeinträchtigung der Funktionsfähigkeit sollte jedoch auch die (ggf. zu erwartende) erhebliche Beeinträchtigung der Rechte Dritter aufgenommen werden, um eine Meldepflicht auszulösen. Dies ist zwar bzgl. personenbezogener Daten schon in § 42a BDSG vorgesehen, doch erscheint es sachgerecht, eine Querverbindung zwischen diesen Regelungen zu schaffen. Neben einem klarstellenden Verweis kann dieses auch eine gegenseitige Informationspflicht der beteiligten Stellen beinhalten.

Ergänzend ist bei der Ausgestaltung der Meldepflicht auch die „Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation)“[8] zu beachten. So heißt es dort in Erwägungsgrund Nr. 9: „Im Zuge der Durchführung dieser Verordnung sollten die zuständigen nationalen Behörden in Fällen grenzübergreifender Verletzungen des Schutzes personenbezogener Daten zusammenarbeiten.“ Zumindest wenn personenbezogene Daten betroffen sind, muss die Meldepflicht auch eine Weitergabe von Informationen an Behörden anderer EU-Länder ermöglichen.

Die Meldepflicht kommt in gewissem Maße einer Pflicht zur Selbstanzeige gleich. Diese mag – manchmal auch zu Recht – mit einem Imageverlust für das betroffene Unternehmen verbunden sein. Insofern ist die Intention des Entwurfs verständlich, die Meldeschwelle durch die Nichtnennung des Unternehmens auf die Fälle zu beschränken, in denen tatsächlich die Störung zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Es muss aber bezweifelt werden, ob die dadurch eingeschränkten Meldungen für eine adäquate Reaktion geeignet sind. Geeigneter dürfte es sein, die Meldebereitschaft durch eine rechtlich abgesicherte Zweckbindung der Meldungen für präventive Maßnahmen des BSI zu gewährleisten (vgl. ähnlich „Breach Notification“ gem. § 42a S. 6 BDSG). Auch ist zu beachten, dass im Fall einer noch nicht realisierten Störung diese ggf. dennoch noch eintreten kann, wenn die Kunden bzw. Nutzer des Dienstes nicht selber tätig werden. In diesen Fällen kann zur Vermeidung weiterer Folgen die Nennung des Unternehmens nötig und angemessen sein.

Der Entwurf beschreibt in Abs. 4 S. 2 ein Mindestmaß an zu übermittelnden Daten (Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, Ursache, eingesetzte Technik, Branche des Betreibers), ohne aber die Chance für eine klare Normierung zu nutzen, welche Datenkategorien und -arten übermittelt werden dürfen und müssen. Es ist damit programmiert, dass große Mengen an Informationen über Mitarbeiter, Kunden und Unbeteiligte aus den Protokolldaten der Überwachungssysteme an das BSI weitergegeben werden, ohne dass geklärt ist, ob diese Daten rechtmäßig erhoben und weitergegeben werden durften. Der Entwurf geht damit der zentralen Frage aus dem Weg, wie in Monitoring-Netzen die Effektivität der Erkennung von Bedrohungen einerseits und die Wahrung des Rechts auf informationelle Selbstbestimmung miteinander vereinbart werden können.

Auch bei den obligatorischen namentlichen Meldungen bei tatsächlich sich direkt auswirkenden Beeinträchtigungen nach Abs. 4 S. 3 kann ohne Beeinträchtigung des Meldezwecks durch eine strengere Zweckbindung bzw. durch ein Verbot darauf basierender Sanktionen die Meldebereitschaft erhöht werden.

§ 8c BSIG-E – Anwendungsbereich

Nach Abs. 1 sind die Kleinstunternehmen sowie kleinen und mittleren Unternehmen den Meldepflichten nicht unterworfen. Es bleibt dabei unbeachtet, dass gerade auch kleinere Unternehmen einen wesentlichen Beitrag zu Kritischen Infrastrukturen leisten können. Es ist nicht sachgerecht, etwa die angemessenen organisatorischen und technischen Vorkehrungen i. S. d. § 8a Abs. 1 BSIG-E diesen zu erlassen. Zudem ist nicht erkennbar, weshalb nicht auch diesen Stellen eine Meldepflicht i. S. d. § 8b BSIG-E zumutbar wäre. Sollte man zu dem Ergebnis kommen, dass dies derartigen Unternehmen nicht zumutbar ist, dann kann diesen auch nicht der Betrieb Kritischer Infrastrukturen anvertraut werden.

Der Europäische Datenschutzbeauftragte (EDPS) wies bereits in einer früheren Stellungnahme[9] vom 14.06.2013 zu Recht darauf hin, dass derartige Kleinstunternehmen in ihrem Marktsegment wesentliche Anbieter sind und damit wichtige Anbieter der Informationsgesellschaft sein können. Durch die Regelung werden kleine, aber wichtige Technologie-Unternehmen aus dem Fokus genommen und für Angriffe besonders geeignet gemacht, da dort minimale Verteidigungsfähigkeit auf maximales Schädigungspotenzial trifft.

§ 8d BSIG-E – Auskunftsverlangen Dritter

Begrüßenswert ist, dass in der Regelung der Schutz der personenbezogenen Daten nunmehr angesprochen wird. Die Regelung nimmt jedoch eine Auskunft vollständig aus, wenn schutzwürdige Interessen des betroffenen Betreibers Kritischer Infrastrukturen dem entgegenstehen. Es erfolgt keine Abwägung zwischen den Interessen des Betreibers und den Interessen der Öffentlichkeit bzw. des Dritten. Zur Klarstellung sollte vor der Formulierung „schutzwürdige Interesse“ das Wort „überwiegende“ gesetzt werden. Unklar bleibt, wie mit schutzwürdigen sonstigen Interessen, insbesondere von betroffenen Nutzenden, umgegangen werden soll. Gemäß der Formulierung bleiben diese unberücksichtigt.

Es fehlt die Möglichkeit, zumindest eine Teilauskunft hinsichtlich der Informationen zu geben, bei denen keine schutzwürdigen Interessen entgegenstehen. Letzteres könnte mit der Formulierung „… soweit schutzwürdige Interessen… entgegenstehen“ geheilt werden.

Nach Abs. 2 wird Zugang zu den Akten des BSI in Angelegenheiten nach §§ 8a, 8b nicht gewährt (Ausnahme: Verfahrensbeteiligte). Diese nahezu ausnahmslose Einschränkung des Informationszugangs, der grundsätzlich nach dem Informationsfreiheitsgesetz des Bundes besteht, kann nicht pauschal, wie in der Gesetzesbegründung (S. 42), damit gerechtfertigt werden, dass „es sich um hochsensible, kumulierte sicherheitskritische Informationen, die einem besonders hohen Schutzbedürfnis unterliegen“, handele. Statt sämtliche Akten vom Informationszugang auszunehmen, sollte die Auskunftsverweigerung auf die Fälle eingeschränkt werden, in denen die Offenlegung der IT-Sicherheit schaden kann. Angesichts der befriedigenden und differenzierenden Regelung des IFG kann und sollte auf die Norm vollständig verzichtet werden.

Zu Nr. 8 (§ 10 BSIG-E Ermächtigung zum Erlass von Rechtsverordnungen)

Das Bundesministerium des Innern soll gemäß dem Vorschlag nach Anhörung von Vertretern der Wissenschaft, betroffener Betreiber usw. und im Einvernehmen mit anderen Ministerien per Verordnung die Kritischen Infrastrukturen nach § 2 Abs. 10 BSIG-E näher bezeichnen. Da diese Präzisierung Konsequenzen für den Umfang und die Qualität personenbezogener Datenverarbeitung hat, sollte vor der genannten Anhörung in jedem Fall die Anhörung der betroffenen Datenschutzaufsicht gewährleistet werden.

Artikel 3 – Änderung des Energiewirtschaftsgesetzes

Zu Nr. 1 (Änderung des § 11 Energiewirtschaftsgesetz)

Nach dem ergänzten § 11 Abs. 1b Energiewirtschaftsgesetz-E muss die Einhaltung des Katalogs von Sicherheitsanforderungen nur von dem Betreiber der Kritischen Infrastruktur dokumentiert werden. Sinnvoll ist es jedoch, dass dieses regelmäßig auch durch unabhängige Stellen auditiert wird. In Anbetracht der Bedeutung dieser Infrastrukturen erscheint eine solche Verpflichtung angemessen.

Ein neuer § 11 Abs. 1c Energiewirtschaftsgesetz-E sieht auch für diesen Bereich eine Meldepflicht vor. Wie bereits zu § 8b BDSIG-E ausgeführt, sollte bei einer Meldung, die auch die Verletzung von Datenschutzvorgaben enthält, eine Information zusätzlich an die zuständige Datenschutzaufsichtsbehörde erfolgen. Ein entsprechender Querverweis erscheint sinnvoll und angemessen.

Artikel 4 – Änderung des Telemediengesetzes – TMG

Es ist zu begrüßen, dass die Einschränkung des neuen § 13 Abs. 7 TMG-E auf „in der Regel gegen Entgelt“ angebotene geschäftsmäßige Dienste entfallen ist. Zahlreiche (zunächst) kostenlose bzw. freie Dienste im Internet, die jedoch nennenswerte Nutzerzahlen aufweisen können, wären andernfalls aus dieser Regelung ausgenommen gewesen. Die wirtschaftliche Zumutbarkeit dürfte die bedarfsgerechte Einschränkung darstellen.

Die Forderung des Einsatzes von Verschlüsselungstechniken ist begrüßenswert. Hierbei ist jedoch zu beachten, dass im laufenden Betrieb z. B. eine Datenbank in der Regel unverschlüsselt vorliegt und eine vollständige Absicherung aufwändig sein kann. Dies dürfte zwar durch die weitere Formulierung „Stand der Technik“ (hier ebenfalls ohne Definition) eingefangen werden. Wenn aber schon Techniken genannt werden, dann sollten der Aufzählung noch mindestens zwei weitere Punkte angefügt werden, um klarzustellen, dass es sich lediglich um eine nicht abschließende Aufzählung von Beispielen handelt. Beispielsweise sollte auf „Hashing“ (insbesondere von in Datenbanken gespeicherten Passworten) und Datentrennung (z. B. von Nutzungsdaten und Bezahldaten) hingewiesen werden.

Entfallen ist in dem Entwurf der angedachte § 15 Abs. 9 TMG, so dass die Ausführungen hierzu in vorangegangenen ULD-Stellungnahme (Fn. 2) obsolet sind. Allerdings bleibt in der Praxis das Problem, dass keine dem § 100 Abs. 1 TKG entsprechende Regelung für Telemedienanbieter vorliegt, obwohl regelmäßig ein Bedarf besteht, z. B. um Angriffe auf Anmeldeverfahren auf Webseiten etc. über Protokollierung erkennen zu können. Allerdings sollte diese Regelung deutlich bestimmter sein, als es der Vorentwurf war.

Zu Artikel 5 – Änderung des Telekommunikationsgesetzes – TKG

Zu 1. Änderung des § 100 Abs. 1 TKG

§ 100 Abs. 1 TKG-E erlaubt die Erhebung und Speicherung von Verkehrsdaten, ohne dass hierfür im Einzelfall ein Anlass bestehen muss. Insofern gleicht die Vorschrift der so genannten Vorratsdatenspeicherung nach dem vom Bundesverfassungsgericht für nichtig erklärten § 113a TKG.[10] Die Erhebung und Speicherung nach § 100 Abs. 1 TKG-E erfolgt anders als nach dem früheren § 113a TKG für Zwecke der Diensteanbieter und nicht ausschließlich für Zwecke der Strafverfolgungs- und Gefahrenabwehrbehörden. Hierin liegt ein gewichtiger Unterschied.

Gleichwohl darf nicht unberücksichtigt bleiben, dass die nach § 100 Abs. 1 TKG-E gespeicherten Verkehrsdaten auch für Strafverfolgungs- und Gefahrenabwehrzwecke genutzt werden können. Sie sind z. B. vom Auskunftsanspruch der Strafverfolgungsbehörden nach § 100g StPO in Verbindung mit § 96 Abs. 1 TKG umfasst. Das Gesetz muss daher sicherstellen, dass die Speicherung nach § 100 Abs. 1 TKG-E nach ihrem Zweck und in ihrer Dauer eng auf das für die Diensteanbieter erforderliche Minimum begrenzt wird. In beiden Punkten ist die Regelung verbesserungsfähig; hinsichtlich der Zweckbestimmung ist der vorliegende Entwurf verbesserungsbedürftig.

In der Rechtsprechung wird eine Speicherdauer von sieben Tagen für die Zwecke des § 100 Abs. 1 TKG-E anerkannt.[11] Diese Frist sollte als Höchstspeicherfrist in das Gesetz aufgenommen werden.

Im Hinblick auf die Zwecke der Erhebung und Speicherung muss die Formulierung im vorliegenden Entwurf präzisiert werden. Durch die Änderung des § 100 Abs. 1 TKG-E soll die Rechtsgrundlage für die Verwendung personenbezogener Daten zur Störungsabwehr nach dem Willen des Entwurfsverfassers dahingehend konkretisiert werden, dass auch Einschränkungen der Verfügbarkeit als Störung eingeordnet werden. Laut der Begründung des Entwurfs (S. 52) sollen Bestands- und Verkehrsdaten zum Erkennen und Beseitigen von Störungen verwenden dürfen, die zu einer Einschränkung der Verfügbarkeit von Informations- und Kommunikationsdiensten oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können. Möglich sein sollen in diesem Zusammenhang beispielsweise Prüfungen des Netzwerkverkehrs, die Verwendung von sogenannten Honeypots (Fallen für Schadprogramme im Netz) oder Spamtraps (Blockieren der Versendung von Schadprogrammen). Unklar bleibt, in welchem Umfang auch Spam-Mail und damit zusammenhängend die Spam-Filterung von E-Mails auch außerhalb von der Erkennung von Schadprogrammen von der Konkretisierung erfasst werden soll. Gerade die Detektion von Spam-Kampagnen kann als Werkzeug zur Erkennung von z. B. Botnetzen genutzt werden, setzt aber die Verarbeitung gewaltiger Mengen an personenbezogenen Daten voraus. Unklar bleibt z. B., wie in Fällen zu entscheiden ist, in denen zwar Bots erkannt werden, diese aber die Verfügbarkeit der eigenen Netze und Anlagen nicht beeinträchtigen. Offen bleibt weiterhin, ob der Schutz von Netzen anderer Anbieter mit erfasst werden soll. Die vorgelegte Formulierung scheint diesen Schutz auszuschließen. Die Formulierung „führen können“ eröffnet einen sehr weiten Anwendungsspielraum, mit dem anlasslos die Aufzeichnung jedweden Netzverkehrs gerechtfertigt werden kann, ohne dass die Norm angemessene Grenzen aufzeigt.

Zu 3. § 109 Abs. 5 TKG-E

Auch hier ist es sinnvoll, bei Meldungen ggf. die zuständige Aufsichtsbehörde für den Datenschutz (im Bereich Telekommunikation also die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) zu informieren.

Zu 4. Einfügung eines § 109a Abs. 4 TKG-E – Daten- und Informationssicherheit

Der Regelungsvorschlag sieht eine Informationspflicht des Diensteanbieters gegenüber den Nutzern bei von seinen Datenverarbeitungssystemen ausgehenden Störungen vor. Soweit technisch möglich und zumutbar, sollen sie auf „angemessene, wirksame und zugängliche technische Mittel“ hingewiesen werden, mit denen sie diese Störungen erkennen und beseitigen können. Die Frage, wie dieser Informationspflicht entsprochen werden soll, beantwortet der Entwurf nicht. In der Begründung wird insofern auf mögliche Hinweisseiten verwiesen. Dies kann nur als ein Beispiel verstanden werden. Andere, möglichst wirksame Wege müssen vorgesehen und sollten im Zweifelfall verpflichtend sein (E-Mail, Post, Telefonanruf). Dies darf aber zugleich nicht dazu führen, dass vor Eintritt einer Störung präventiv zusätzliche Erreichbarkeitsdaten erhoben werden.

Die Informationspflicht trifft gemäß dem Wortlaut ausschließlich die Diensteanbieter, nicht aber deren Dienstleister, denen in der äußerst arbeitsteiligen Telekommunikation oft wesentliche Funktionen zukommen. Um diese mit zu erfassen, ist es sinnvoll, in § 109a Abs. 1 S. 1 (für den gesamten Paragraph geltend) hinter dem Wort „erbringt“ aufzunehmen: „oder an der Erbringung solcher Dienste mitwirkt“.

In der Praxis relevant sind auch Fälle, in denen Dritte über mögliche Störungsquellen im Verfügungsbereich von Nutzern informiert sind, bei denen die Nutzer nur im Zusammenwirken mit dem Diensteanbieter identifiziert und hierüber informiert werden können. So kann ein Routerhersteller ggf. erkennen, dass einzelne Nutzer seiner Router kein sicherheitskritisches Update eingespielt haben und dadurch sein eigenes Netz (aber ggf. auch das Netz des Diensteanbieters) gefährdet ist. Die Information der betroffenen Nutzer kann jedoch mangels sonstiger Registrierung nur über den Telekommunikationsdienstleister durch Mitteilung relevanter IP-Adressen erfolgen. Für den Zweck der Bewahrung von Nutzern vor eigenem Schaden sollte eine Rechtsgrundlage geschaffen werden, die ein Zusammenwirken bei der Meldung im Interesse der Nutzer ermöglicht. Hierbei ist jedoch eine strenge Zweckbindung erforderlich, und es darf keine andere mildere Möglichkeit bestehen, den akut bevorstehenden relevanten Schaden von den betroffenen Nutzern abzuwenden.