Zum Inhalt springen Zur Navigation springen
IT-Sicherheitsgesetz: Kritik von unerwarteter Seite

IT-Sicherheitsgesetz: Kritik von unerwarteter Seite

Die Kritik am geplanten IT-Sicherheitsgesetz reißt nicht ab, vor allem aus der Wirtschaft, die bürokratische Auflagen und die Offenbarung von Geschäftsgeheimnissen befürchtet. In den Chor der Kritiker reiht sich nun auch Deutschlands umtriebigster Datenschützer ein: Thilo Weichert, Leiter des Unabhängigen Zentrums für Datenschutz Schleswig-Holstein.

Neuer Entwurf nach Kritik aus der Wirtschaft

Hauptziel des Gesetzesvorhabens besteht darin, kritische Infrastrukturen wie Energie- oder Telekommunikationsnetze, die medizinische Versorgung, öffentliche Wasserversorgung sowie den Finanzsektor besser vor Cyber-Attacken zu schützen.

Wie wir bereits berichtet haben, stand ein Entwurf aus dem Vorjahr vor allem wegen der Meldepflicht in der Kritik, weil die betroffenen Unternehmen hohe Kosten und bürokratischen Aufwand fürchteten – aber auch eine geschäftsschädigende Blamage für angegriffene Unternehmen, falls ihre Nachricht an das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Öffentlichkeit durchsickert. Der neue Referentenentwurf vom August 2014 enthält daher einen Kompromiss, wonach Datendiebstähle und Computersabotage, Internetspionage und andere Fälle von Cyber-Kriminalität – von Ausnahmen abgesehen – anonym angezeigt werden dürfen.

Vorratsdatenspeicherung plus

Da sich die Kritiker auf die Meldepflicht eingeschossen hatten, blieben andere, sehr weitreichende Regelungen des Gesetzes zunächst unbeachtet. Diesen Regelungen widmet sich nun eine Stellungnahme des Unabhängigen Zentrums für Datenschutz Schleswig-Holstein, die Ende Oktober erschienen ist.

Im Gesetzesentwurf vorgesehen sind unter anderem Änderungen des Telemedien- und des Telekommunikationsgesetzes, wonach Online-Dienste künftig erfassen dürfen, wie sich ihre Nutzer im Internet bewegen – was sie anklicken, lesen oder im Netz schreiben. Um Angriffe auf ihre Systeme zu erkennen oder Störungen zu beseitigen, können sie diese Daten speichern und an Behörden weitergeben. Wie der Spiegel schon im August meldete, gehen diese Befugnisse nach Ansicht von Datenschutz-Experten und Netzaktivisten weit über das hinaus, was nach der umstrittenen Vorratsdatenspeicherung erlaubt ist. Daher empfiehlt Thilo Weichert, die entsprechende Bestimmung (insbesondere § 15 Abs. 9 TMG neu) zu streichen.

Offenbar grundlegende Vorgaben des Datenschutzes übersehen

Bemängelt wird die im Gesetz an verschiedenen Stellen geforderte Speicherung, Auswertung und Übermittlung von Daten, welche die Grundsätze der Zweckbindung, der Datensparsamkeit und der Datentrennung unberücksichtigt lässt und für die es an einer gesetzlichen Grundlage (bestimmte Befugnisnorm) fehlt. Überhaupt sei das Gesetz an vielen Stellen zu unbestimmt und führe daher nicht zur gewünschten Rechtssicherheit und Rechtsklarheit.

Bock zum Gärtner

Thilo Weichert hat es sich in seiner Stellungnahme nicht nehmen lassen, die Arbeit des Bundesverfassungsschutzes zu kritisieren. Bei der Erstellung der Sicherheitsstandards und anderen Maßnahmen sei nicht vorgesehen, Datenschutzbehörden einzubinden, obwohl es sich um deren ureigenstes Terrain handele. Stattdessen werden das Bundeskriminalamt und der Bundesverfassungsschutz herangezogen, deren Mittel dafür sogar aufgestockt werden sollen. Wörtlich heißt es in der Stellungnahme:

Der zusätzliche Ressourcenbedarf wird dadurch noch befremdlicher, dass das BfV eng mit Stellen zusammenarbeitet, die im Verdacht stehen, rechtswidrigen Einfluss auf kritische Infrastrukturen zu nehmen, namentlich die Geheimdienste Großbritanniens und der USA – Government Communications Headquarters (GCHQ) und National Security Agency (NSA).

Chapeau!

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Thilo Gärtner?

  • Es wäre ja mal ein Anfang wenn eine EU Richtlinie folgendes für gewerbliche Diensteanbieter mit mehr als 1000 Kunden als auch für Hardwareprodukte (wie z.B. Fritzboxen) wenigstens die folgenden ausgereiften und ohne Mehraufwand, folgendes vorschreiben würde:
    – Pflicht zur Verschlüsselung von Webseiten (z.B. per https)
    – Pflicht zur Verschlüsselung von Emailverkehr (z.B. per TSL)
    – Pflicht zur Verwendung von verschlüsselten FTP (z.B. SFTP)

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.