(C-193/18) kommt dieser Richtlinie für das TKG große
Bedeutung zu. Denn der EuGH hat entschieden, dass
ein internetbasierter E-Mail-Dienst wie Gmail kein
Telekommunikationsdienst i. S. d. TKG ist. Zumindest
vorübergehend fallen diese Dienste damit aus dem
Anwendungsbereich des TKG heraus. Der „Kodex“ wird
hier zu einer Klarstellung führen und den neuen Begriff
der „interpersonellen Kommunikationsdienste“ einführen. Ich empfehle nachdrücklich, dass der Gesetzgeber diese Anpassung fristgerecht vornimmt.
Im Rahmen der Diskussion zur Sicherheit von 5G-Mobilfunknetzen wurde eine Überarbeitung des Katalogs von
Sicherheitsanforderungen nach § 109 TKG beschlossen,
der von der BNetzA im Einvernehmen mit dem Bundesamt für die Sicherheit in der Informationstechnik (BSI)
und dem BfDI erstellt wird. Dabei geht es nicht nur um
die Wahrung des Fernmeldegeheimnisses, sondern auch
um eine sichere Verfügbarkeit der Netze. In dem aktuellen
Entwurf werden z. B. eine Zertifizierung von kritischen
Komponenten und Verpflichtungen der Bezugsquelle,
also dem Lieferanten, gefordert. Dies ist zwar zu begrüßen, jedoch muss sich die Praktikabilität noch erweisen.
Eine Zertifizierung von hochkomplexen Komponenten,
die häufig aktualisiert werden müssen, ist natürlich
alles andere als trivial. Eine weitere Anforderung ist ein
Monitoring im Netz. Dies halte ich für ein zweischneidiges
Schwert. Einerseits erfordert dies eine Monitoring-Infrastruktur, die – allerdings nur zur Erkennung von Störungen – den Verkehr teilweise überwachbar macht, andererseits würde ein Verzicht auf ein Monitoring den Anbieter
blind für Angriffe in seinem Netz machen. Hier sind die
rechtlichen Anforderungen aus § 100 Abs. 1 und 2 TKG zu
berücksichtigen. In weiteren Bereichen sehe ich deutliche
Verbesserungen, wie beispielsweise die Vorgabe, dass die
Daten bei Voice over IP verschlüsselt übertragen werden.
Diese Regelung war m. E. längst überfällig. Eine vergleichbare Forderung für E-Mail-Dienste ist jedoch nicht
vorgesehen, da es sich nach aktueller Rechtslage nicht um
Telekommunikation handelt.
Ich empfehle, das Telekommunikationsgesetz (TKG)
und das Telemediengesetz (TMG) an die DSGVO anzupassen.
5.3 Sicherheitsgesetzgebung
Gerade im Sicherheitsbereich gehen gesetzgeberische
Vorhaben in der Regel mit Eingriffen in die Rechte von
Bürgerinnen und Bürgern einher. Hier sollte allgemein
evaluiert werden, welche Kompetenzen tatsächlich
noch benötigt werden.
Wie schon in den letzten Jahren wurden auch in diesem
Berichtszeitraum erneut viele Gesetze auf den Weg
gebracht, die den Sicherheitsbehörden weitergehende
Eingriffsbefugnisse einräumen. Dieser Trend wird allerdings nicht von einer parallelen Evaluierung der bereits
bestehenden Kompetenzen der Behörden begleitet.
Gerade vor dem Hintergrund der bereits 2010 vom
Bundesverfassungsgericht thematisierten sogenannten
Überwachungsgesamtrechnung, sehe ich diese konstante Akkumulation sicherheitsbehördlicher Eingriffsmöglichkeiten äußerst kritisch. Deshalb appelliere ich
auch an die am Gesetzgebungsprozess Beteiligten, ein
Sicherheitsgesetzmoratorium auszusprechen.
Hiernach sollten vor der Einführung weiterer sicherheitsbehördlicher Kompetenzen zunächst in einer
Bestandsaufnahme überprüft werden, welche bereits bestehenden Befugnisse überhaupt noch benötigt werden.
Meine Erfahrungen aus Kontroll- und Informationsbesuchen legen nahe, dass bei weitem nicht sämtliche
Möglichkeiten zur Verarbeitung personenbezogener
Daten auch so genutzt werden, dass ihr Wegfall ein erhebliches Defizit bei der Arbeit der Sicherheitsbehörden
darstellen würde (vgl. 6.7.1). Losgelöst von der datenschutzrechtlichen Betrachtung würde ein entsprechender
Evaluierungsprozess auch das Vertrauen der Bevölkerung
dahingehend stärken, dass der Gesetzgeber tatsächlich
bestmöglich sicherstellt, die Eingriffsmöglichkeiten in
ihre Grundrechte so weit wie nötig aber gleichzeitig auch
so restriktiv wie möglich auszugestalten.
Ich empfehle, ein Sicherheitsgesetzmoratorium auszusprechen und einen Evaluationsprozess der sicherheitsbehördlichen Eingriffskompetenzen einzuleiten, um
mögliche Vollzugsdefizite zu identifizieren.
5.3.1 Zollfahndungsdienstgesetz
Bereits in meinem 27. TB (Nr. 9.1.4) habe ich über
die Novellierung des Zollfahndungsdienstgesetzes
(ZFdG) und über meine im Rahmen des Abstimmungsprozesses aufgeworfenen datenschutzrechtlichen
Bedenken im Einzelnen berichtet. Das vom Deutschen
Bundestag mittlerweile beschlossene Gesetz soll die
Vorgaben der Richtlinie für den Datenschutz im Polizeiund Justizbereich (JI-Richtlinie) und die Grundsatzentscheidung des Bundesverfassungsgerichts zum
Bundeskriminalamtgesetz umsetzen.
Das Gesetz sieht neue Eingriffsbefugnisse für die
Behörden der Zollfahndung, insbesondere im Bereich
der Gefahrenabwehr vor, und entspricht damit der
aktuellen politischen Tendenz, den Sicherheitsbehörden
immer weitere Befugnisse einzuräumen. Konnte sich die
Zollfahndung bisher lediglich im Bereich der Strafverfolgung eines verdeckten Ermittlers bedienen, so ist
dies künftig auch im Gefahrenabwehrbereich möglich.
Tätigkeitsbericht zum Datenschutz für 2019
41