IT-Sicherheitsgesetz: Kritik von unerwarteter Seite

gesetz 06
News

Die Kritik am geplanten IT-Sicherheitsgesetz reißt nicht ab, vor allem aus der Wirtschaft, die bürokratische Auflagen und die Offenbarung von Geschäftsgeheimnissen befürchtet. In den Chor der Kritiker reiht sich nun auch Deutschlands umtriebigster Datenschützer ein: Thilo Weichert, Leiter des Unabhängigen Zentrums für Datenschutz Schleswig-Holstein.

Neuer Entwurf nach Kritik aus der Wirtschaft

Hauptziel des Gesetzesvorhabens besteht darin, kritische Infrastrukturen wie Energie- oder Telekommunikationsnetze, die medizinische Versorgung, öffentliche Wasserversorgung sowie den Finanzsektor besser vor Cyber-Attacken zu schützen.

Wie wir bereits berichtet haben, stand ein Entwurf aus dem Vorjahr vor allem wegen der Meldepflicht in der Kritik, weil die betroffenen Unternehmen hohe Kosten und bürokratischen Aufwand fürchteten – aber auch eine geschäftsschädigende Blamage für angegriffene Unternehmen, falls ihre Nachricht an das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Öffentlichkeit durchsickert. Der neue Referentenentwurf vom August 2014 enthält daher einen Kompromiss, wonach Datendiebstähle und Computersabotage, Internetspionage und andere Fälle von Cyber-Kriminalität – von Ausnahmen abgesehen – anonym angezeigt werden dürfen.

Vorratsdatenspeicherung plus

Da sich die Kritiker auf die Meldepflicht eingeschossen hatten, blieben andere, sehr weitreichende Regelungen des Gesetzes zunächst unbeachtet. Diesen Regelungen widmet sich nun eine Stellungnahme des Unabhängigen Zentrums für Datenschutz Schleswig-Holstein, die Ende Oktober erschienen ist.

Im Gesetzesentwurf vorgesehen sind unter anderem Änderungen des Telemedien- und des Telekommunikationsgesetzes, wonach Online-Dienste künftig erfassen dürfen, wie sich ihre Nutzer im Internet bewegen – was sie anklicken, lesen oder im Netz schreiben. Um Angriffe auf ihre Systeme zu erkennen oder Störungen zu beseitigen, können sie diese Daten speichern und an Behörden weitergeben. Wie der Spiegel schon im August meldete, gehen diese Befugnisse nach Ansicht von Datenschutz-Experten und Netzaktivisten weit über das hinaus, was nach der umstrittenen Vorratsdatenspeicherung erlaubt ist. Daher empfiehlt Thilo Weichert, die entsprechende Bestimmung (insbesondere § 15 Abs. 9 TMG neu) zu streichen.

Offenbar grundlegende Vorgaben des Datenschutzes übersehen

Bemängelt wird die im Gesetz an verschiedenen Stellen geforderte Speicherung, Auswertung und Übermittlung von Daten, welche die Grundsätze der Zweckbindung, der Datensparsamkeit und der Datentrennung unberücksichtigt lässt und für die es an einer gesetzlichen Grundlage (bestimmte Befugnisnorm) fehlt. Überhaupt sei das Gesetz an vielen Stellen zu unbestimmt und führe daher nicht zur gewünschten Rechtssicherheit und Rechtsklarheit.

Bock zum Gärtner

Thilo Weichert hat es sich in seiner Stellungnahme nicht nehmen lassen, die Arbeit des Bundesverfassungsschutzes zu kritisieren. Bei der Erstellung der Sicherheitsstandards und anderen Maßnahmen sei nicht vorgesehen, Datenschutzbehörden einzubinden, obwohl es sich um deren ureigenstes Terrain handele. Stattdessen werden das Bundeskriminalamt und der Bundesverfassungsschutz herangezogen, deren Mittel dafür sogar aufgestockt werden sollen. Wörtlich heißt es in der Stellungnahme:

Der zusätzliche Ressourcenbedarf wird dadurch noch befremdlicher, dass das BfV eng mit Stellen zusammenarbeitet, die im Verdacht stehen, rechtswidrigen Einfluss auf kritische Infrastrukturen zu nehmen, namentlich die Geheimdienste Großbritanniens und der USA – Government Communications Headquarters (GCHQ) und National Security Agency (NSA).

Chapeau!

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

3 Kommentare zu diesem Beitrag

  1. Es wäre ja mal ein Anfang wenn eine EU Richtlinie folgendes für gewerbliche Diensteanbieter mit mehr als 1000 Kunden als auch für Hardwareprodukte (wie z.B. Fritzboxen) wenigstens die folgenden ausgereiften und ohne Mehraufwand, folgendes vorschreiben würde:
    – Pflicht zur Verschlüsselung von Webseiten (z.B. per https)
    – Pflicht zur Verschlüsselung von Emailverkehr (z.B. per TSL)
    – Pflicht zur Verwendung von verschlüsselten FTP (z.B. SFTP)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.