Deutscher Bundestag – 17. Wahlperiode
– 59 –
betreffend, es kann hierzu Geschäftsräume eines Betreibers von Kommunikationstechnik des Bundes innerhalb der üblichen Betriebs- und Geschäftszeiten
betreten.
Einige dieser Vorschläge begegneten datenschutzrechtlicher Kritik, die ich während des Gesetzgebungsverfahrens – auch bei einer Anhörung des Innenausschusses des
Deutschen Bundestags am 11. Mai 2009 – einbrachte
(vgl. Kasten zu Nr. 5.2). Im Einzelnen sah ich folgende
Punkte kritisch:
1. Das BSI erhält die Ermächtigung „Protokolldaten, die
beim Betrieb von Kommunikationstechnik des Bundes anfallen“ zu erheben und zu verarbeiten. Der
Begriff der Protokolldaten war sehr weit gefasst und
umfasste auch Verkehrsdaten gemäß TKG und Nutzungsdaten gemäß TMG. Eine Anonymisierung bzw.
Pseudonymisierung dieser Daten vor der Auswertung
war im Gesetz nicht gefordert, ebenso wenig ein weitgehender Verzicht auf die Herstellung eines direkten
Personenbezugs. Die Aufgaben der Gefahrenabwehr
und Beseitigung von Störungen erfordern keinen Personenbezug der Daten, eine Gefahrenabwehr kann
auch durch ein weitgehend anonymes Scannen der
Datenverkehre geschehen. Erforderlich ist aus der
Sicht des Datenschutzes eine Verpflichtung zur Anonymisierung oder Pseudonymisierung. Eine Anonymisierung wäre zwar besser als eine Pseudonymisierung, aber es mag durchaus Fälle geben, in denen eine
Pseudonymisierung erst das Erkennen und Verhindern
von Angriffen ermöglicht. Gleichzeitig sollte nach
dem Scannen eine sofortige Löschung erfolgen, wenn
die Daten zur Erfüllung der Aufgabe – hier IT-Sicherheit, Abwehr von Angriffen – nicht mehr erforderlich
sind, d. h. wenn der Scannvorgang keinen Hinweis auf
eine Gefährdung erkennen lässt.
2. Das Gesetz sah von einer Benachrichtigungspflicht
gegenüber den Betroffenen ab. Ich habe deshalb vorgeschlagen, grundsätzlich eine Benachrichtigungspflicht vorzusehen, von der nur in begründeten Einzelfällen abgewichen werden darf. Bei Erkennen von
Angriffen oder Angriffsversuchen sollten grundsätzlich die davon Betroffenen unterrichtet werden.
3. Die Übermittlungsbefugnis des BSI war zu weit und
erstreckte sich generell auch auf Straftaten, die mittels Telekommunikation begangen werden. Hier habe
ich für die Einschränkung auf schwere Straftaten plädiert.
4. Die Erfassung und Auswertung von Daten aus dem
Kernbereich privater Lebensgestaltung war an einen
Prüfungsvorbehalt durch das BMI geknüpft. Dies entsprach nicht den Vorgaben des BVerfG. Daten aus dem
Kernbereich privater Lebensgestaltung sind – wegen
des hier einschlägigen verfassungsrechtlichen absoluten Verarbeitungsverbots – stets unverzüglich zu löschen, auch wenn anzunehmen ist, dass die Daten diesem Bereich zu zuordnen wären.
Drucksache 17/5200
K a s t e n zu Nr. 5.2
IT-Sicherheit darf den Datenschutz nicht
ausblenden
1. Stärkung der IT-Sicherheit darf nicht zu Lasten
des Datenschutzes gehen
Die Erhebung und Auswertung personenbezogener Daten muss ultima ratio sein. Angriffe auf die IT-Sicherheit können nicht nur die ordnungsgemäße Abwicklung
von Diensten der Verwaltung und Wirtschaft beeinträchtigen, sondern auch Gefahren für die Persönlichkeitsrechte der Bürgerinnen und Bürger mit sich bringen.
Daher sind Konzepte zu entwickeln und umzusetzen,
die sowohl die IT-Sicherheit stärken als auch den
Schutz der Privatsphäre gewährleisten.
In weiten Bereichen wurden in der jüngsten Vergangenheit
Maßnahmen zur Stärkung der IT-Sicherheit getroffen, die
eine detaillierte Registrierung und Auswertung des Nutzerverhaltens und sogar der Inhalte der Kommunikation ermöglichen. Die Datenschutzbeauftragten des Bundes und
der Länder begrüßen zwar grundsätzlich alle Aktivitäten,
um in den gewachsenen, vernetzten IT-Strukturen des
Bundes das Niveau der IT-Sicherheit zu erhöhen. Sie fordern aber auch, dass die zur Risiko begrenzung eingeführten Maßnahmen nicht den Datenschutz der Nutzerinnen und Nutzer beeinträchtigen. Deshalb ist schon bei
der Konzeption von IT-Sicherheitsmaßnahmen vorzusehen, dass das erforderliche Sicherheitsniveau nur mit datenschutzgerechten Lösungen gewährleistet wird. Ich
fordere daher neben den strengeren Sicherheitsstandards
zugleich die Möglichkeit, Protokoll- und Inhaltsdaten
vor der Auswertung durch das BSI zu anonymisieren
bzw. zu pseudonymisieren. Damit ließen sich eine unnötige
Registrierung des Nutzerverhaltens und Überwachung von
Kommunikationsinhalten vermeiden. Die Auswertung
der Daten durch das BSI muss revisionssicher ausgestaltet werden.
2. Anonymisierung und Pseudonymisierung bewusst
einsetzen
Anonymisierung und Pseudonymisierung können einen
erheblichen Beitrag zu mehr Datenschutz und mehr
IT-Sicherheit – nicht nur in den Netzen der Bundesverwaltung – leisten. Datenschutz und IT-Sicherheit stellen
damit keinen Widerspruch dar, sondern ergänzen sich
zum Wohle der Bürgerinnen und Bürger.
3. Sicherheitslücken veröffentlichen!
Bekannt gewordene Sicherheitslücken und Schadprogramme sind unverzüglich zu veröffentlichen, um damit
Unternehmen und Bürger vor zu erwartenden Angriffen
(Spionage und Sabotage) frühzeitig warnen zu können.
Insbesondere bei den parlamentarischen Verfahren fiel
meine Kritik, die während der Anhörung auch von anderen Fachleuten geteilt wurde, auf fruchtbaren Boden.
BfDI 23. Tätigkeitsbericht 2009-2010