Die Kritik am geplanten IT-Sicherheitsgesetz reißt nicht ab, vor allem aus der Wirtschaft, die bürokratische Auflagen und die Offenbarung von Geschäftsgeheimnissen befürchtet. In den Chor der Kritiker reiht sich nun auch Deutschlands umtriebigster Datenschützer ein: Thilo Weichert, Leiter des Unabhängigen Zentrums für Datenschutz Schleswig-Holstein.
Der Inhalt im Überblick
Neuer Entwurf nach Kritik aus der Wirtschaft
Hauptziel des Gesetzesvorhabens besteht darin, kritische Infrastrukturen wie Energie- oder Telekommunikationsnetze, die medizinische Versorgung, öffentliche Wasserversorgung sowie den Finanzsektor besser vor Cyber-Attacken zu schützen.
Wie wir bereits berichtet haben, stand ein Entwurf aus dem Vorjahr vor allem wegen der Meldepflicht in der Kritik, weil die betroffenen Unternehmen hohe Kosten und bürokratischen Aufwand fürchteten – aber auch eine geschäftsschädigende Blamage für angegriffene Unternehmen, falls ihre Nachricht an das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Öffentlichkeit durchsickert. Der neue Referentenentwurf vom August 2014 enthält daher einen Kompromiss, wonach Datendiebstähle und Computersabotage, Internetspionage und andere Fälle von Cyber-Kriminalität – von Ausnahmen abgesehen – anonym angezeigt werden dürfen.
Vorratsdatenspeicherung plus
Da sich die Kritiker auf die Meldepflicht eingeschossen hatten, blieben andere, sehr weitreichende Regelungen des Gesetzes zunächst unbeachtet. Diesen Regelungen widmet sich nun eine Stellungnahme des Unabhängigen Zentrums für Datenschutz Schleswig-Holstein, die Ende Oktober erschienen ist.
Im Gesetzesentwurf vorgesehen sind unter anderem Änderungen des Telemedien- und des Telekommunikationsgesetzes, wonach Online-Dienste künftig erfassen dürfen, wie sich ihre Nutzer im Internet bewegen – was sie anklicken, lesen oder im Netz schreiben. Um Angriffe auf ihre Systeme zu erkennen oder Störungen zu beseitigen, können sie diese Daten speichern und an Behörden weitergeben. Wie der Spiegel schon im August meldete, gehen diese Befugnisse nach Ansicht von Datenschutz-Experten und Netzaktivisten weit über das hinaus, was nach der umstrittenen Vorratsdatenspeicherung erlaubt ist. Daher empfiehlt Thilo Weichert, die entsprechende Bestimmung (insbesondere § 15 Abs. 9 TMG neu) zu streichen.
Offenbar grundlegende Vorgaben des Datenschutzes übersehen
Bemängelt wird die im Gesetz an verschiedenen Stellen geforderte Speicherung, Auswertung und Übermittlung von Daten, welche die Grundsätze der Zweckbindung, der Datensparsamkeit und der Datentrennung unberücksichtigt lässt und für die es an einer gesetzlichen Grundlage (bestimmte Befugnisnorm) fehlt. Überhaupt sei das Gesetz an vielen Stellen zu unbestimmt und führe daher nicht zur gewünschten Rechtssicherheit und Rechtsklarheit.
Bock zum Gärtner
Thilo Weichert hat es sich in seiner Stellungnahme nicht nehmen lassen, die Arbeit des Bundesverfassungsschutzes zu kritisieren. Bei der Erstellung der Sicherheitsstandards und anderen Maßnahmen sei nicht vorgesehen, Datenschutzbehörden einzubinden, obwohl es sich um deren ureigenstes Terrain handele. Stattdessen werden das Bundeskriminalamt und der Bundesverfassungsschutz herangezogen, deren Mittel dafür sogar aufgestockt werden sollen. Wörtlich heißt es in der Stellungnahme:
Der zusätzliche Ressourcenbedarf wird dadurch noch befremdlicher, dass das BfV eng mit Stellen zusammenarbeitet, die im Verdacht stehen, rechtswidrigen Einfluss auf kritische Infrastrukturen zu nehmen, namentlich die Geheimdienste Großbritanniens und der USA – Government Communications Headquarters (GCHQ) und National Security Agency (NSA).
Chapeau!
Thilo Gärtner?
Ist korrigiert. Danke.
Es wäre ja mal ein Anfang wenn eine EU Richtlinie folgendes für gewerbliche Diensteanbieter mit mehr als 1000 Kunden als auch für Hardwareprodukte (wie z.B. Fritzboxen) wenigstens die folgenden ausgereiften und ohne Mehraufwand, folgendes vorschreiben würde:
– Pflicht zur Verschlüsselung von Webseiten (z.B. per https)
– Pflicht zur Verschlüsselung von Emailverkehr (z.B. per TSL)
– Pflicht zur Verwendung von verschlüsselten FTP (z.B. SFTP)