Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Europäischen Union.
Kritische Infrastrukturen sind Einrichtungen in solchen Sektoren, die eine wichtige Bedeutung für das Funktio nieren des Gemeinwesens haben und durch deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten (z. B. Energieversorgung, Telekommunikation, Ernährung oder etwa Finanzwesen).
Das Gesetz trägt auch dazu bei, das BSI und das BKA rechtlich so aufzustellen, dass sie der steigenden Bedrohungslage durch Cyber-Angriffe angemessen begegnen können.
Das mit dem Gesetzentwurf verfolgte Ziel, das Sicherheitsniveau in Deutschland bei kritischen Infrastrukturen
zu stärken, unterstütze ich. Meine Kritikpunkte betrafen Änderungen im Telemedien- und Telekommunikationsgesetz. Die hier ursprünglich für Telemedienanbieter vorgesehene Befugnis, Daten zu Analysezwecken für
sechs Monate zu speichern, wurde im Laufe der Beratungen zurückgenommen. Kritisch sehe ich aber weiterhin
folgende Punkte: Es muss im Gesetz klar geregelt werden, welche personenbezogenen Daten im Rahmen der
IT-Sicherheitsmaßnahmen von wem für welche Zwecke erhoben, verarbeitet und gespeichert werden dürfen.
Zweckbindungsregelungen müssen für alle Behörden gelten, die nach dem IT-Sicherheitsgesetz Datenerhebungs- und verarbeitungsbefugnisse erhalten. Derzeit sind sie nur für das BSI vorgesehen. Im Zusammenhang
mit den Maßnahmen zur Verbesserung der Informationssicherheit bedarf es zudem gesetzlicher Vorgaben zur
Datensparsamkeit etwa durch Anonymisierung, Pseudonymisierung, frühzeitiges Löschen und Abschotten.
Schließlich müssen die Datenschutzaufsichtsbehörden an der Festlegung von Informationssicherheitsstandards
beteiligt und in die Informationswege bei der Meldung von IT-Sicherheitsvorfällen mit einbezogen werden, zu mal diese häufig auch mit Datenpannen verbunden sein werden.
Mit dem Kabinettbeschluss vom 17. Dezember 2014 und der Zuleitung an den Bundesrat hat die Bundesregierung das Vorhaben auf den Weg gebracht; ich werde den Gesetzentwurf weiter begleiten.
5.15 Das neue Melderecht
Meldedaten sind personenbezogene Pflichtangaben der Bürgerinnen und Bürger gegenüber dem Staat, deren
Übermittlung und Nutzung zu besonderer Sorgfalt verpflichtet.
Auf der Grundlage der Föderalismusreform des Jahres 2006, durch die dem Bund die ausschließliche Gesetzgebungskompetenz für das Meldewesen übertragen worden ist, hat der Deutsche Bundestag am 28. Juni 2012 erstmals ein Bundesmeldegesetz (BMG) beschlossen. Auf Vorschlag des Innenausschusses waren darin allerdings
Änderungen vorgesehen, die die im Regierungsentwurf enthaltenen Datenschutzbestimmungen deutlich verschlechterten und so das Datenschutzniveau zum Teil sogar hinter das geltende Recht zurückfallen ließen (vgl.
24. TB Nr. 8.2).
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder wies, auch auf meine Initiative, in einer
Entschließung vom 22. August 2012 (vgl. 24. TB Kasten zu Nr. 8.2) sowie in einer Stellungnahme an den Bundesrat auf die erheblichen datenschutzrechtlichen Defizite hin und forderte diesen auf, dem Gesetz nicht zuzu stimmen, um über das Vermittlungsverfahren die erforderlichen datenschutzrechtlichen Nachbesserungen doch
noch umsetzen zu können.
Der Bundesrat ist dieser Initiative gefolgt. Eine daraufhin vom Vermittlungsausschuss eingesetzte Arbeitsgruppe, in der ich angehört wurde, erarbeitete folgende Veränderungen des BMG:
– 104 –
BfDI 25. Tätigkeitsbericht 2013-2014