Der Gesetzentwurf der Bundesregierung zur „Stärkung der Sicherheit in der Informationstechnik des Bundes“ (BSI-Gesetz) sieht ausdrücklich eine Einschränkung des Fernmeldegeheimnisses vor. Doch wäre da nicht auch eine Hinweis auf das Recht auf Informelle Selbstbetsimmung (vom BVerfG aus Artt 1 und 2 GG abgeleitet) noch angebracht gewesen? Nachfolgend soll ein Auszug aus dem neuen BSI-Gesetz vorgestellt werden und dann die berechtigte Kritik der Datenschützer hierzu aufgezeigt werden.

I. Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes beschlossen (BR 62/09).

(Auszug | Volltext des Entwurfs als PDF auf den Seiten des BMI)

§ 5 BSI-G [Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes]

(1) Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes

1. Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist,
2. die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen erforderlich ist.

Sofern nicht die nachfolgenden Absätze eine weitere Verwendung gestatten, muss die automatisierte Auswertung dieser Daten unverzüglich erfolgen und müssen diese nach erfolgtem Abgleich sofort und spurenlos gelöscht werden. Die Verwendungsbeschränkungen gelten nicht für Protokolldaten, sofern diese weder personenbezogene noch dem Fernmeldegeheimnis unterliegende Daten beinhalten.
Behördeninterne Protokolldaten dürfen nur im Einvernehmen mit der jeweils betroffenen Behörde erhoben werden.

(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für drei Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass diese für den Fall der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig.

(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass

  1. diese ein Schadprogramm enthalten,
  2. diese durch ein Schadprogramm übermittelt wurden oder
  3. sich aus ihnen Hinweise auf ein Schadprogramm ergeben können,

und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogene Daten zulässig, soweit dies

  1. zur Abwehr des Schadprogramms,
  2. zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen oder
  3. zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.

Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamts mit der Befähigung zum Richteramt angeordnet werden. Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen, zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen.
Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. In den Fällen der Absätze 4 und 5 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.

(4) Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von erheblicher Bedeutung oder einer mittels Telekommunikation begangenen Straftat übermitteln.
Es kann diese Daten ferner übermitteln

  1. zur Abwehr einer Gefahr für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgeht, an die Polizeien des Bundes und der Länder,
  2. zur Unterrichtung über Tatsachen, die sicherheitsgefährdende oder geheimdienstliche Tätigkeiten für eine fremde Macht erkennen lassen, an das Bundesamt für Verfassungsschutz.

(5) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln

  1. an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
  2. an die Verfassungsschutzbehörden des Bundes und der Länder, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes genannten Schutzgüter gerichtet sind.

Die Übermittlung nach Satz 1 Nummer 1 bedarf der gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 gelten die Vorschriften des Gesetzes über die Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 2 erfolgt nach Zustimmung des Bundesministeriums des Innern; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend.

(6) Eine über die vorstehenden Absätze hinausgehende inhaltliche Auswertung zu anderen Zwecken und die Weitergabe von personenbezogenen Daten an Dritte sind unzulässig. Werden aufgrund der Maßnahmen der Absätze 1 bis 3 Erkenntnisse aus dem Kernbereich privater Lebensgestaltung oder Daten im Sinne des § 3 Absatz 9 des Bundesdatenschutzgesetzes erlangt, dürfen diese nicht verwendet werden. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung sind unverzüglich zu löschen. Bestehen Zweifel, ob Erkenntnisse dem Kernbereich privater Lebensgestaltung zuzurechnen sind, sind diese entweder ebenfalls zu löschen oder unverzüglich dem Bundesministerium des Innern zur Entscheidung über ihre Verwertbarkeit oder Löschung vorzulegen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist, spätestens jedoch am Ende des Kalenderjahres, das dem Jahr der Dokumentation folgt.

(7) Vor Aufnahme der Datenerhebung und -verwendung hat das Bundesamt ein Datenerhebungs- und -verwendungskonzept zu erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten.
Das Konzept hat dem besonderen Schutzbedürfnis der Regierungskommunikation Rechnung zu tragen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teilt das Ergebnis seiner Kontrollen nach § 24 des Bundesdatenschutzgesetzes auch dem Rat der IT-Beauftragten der Bundesregierung mit.

§ 6 BSI-G [Löschung]

Soweit das Bundesamt im Rahmen seiner Befugnisse personenbezogene Daten erhebt, sind diese unverzüglich zu löschen, sobald sie für die Erfüllung der Aufgaben, für die sie erhoben worden sind, oder für eine etwaige gerichtliche Überprüfung nicht mehr benötigt werden. Soweit die Löschung lediglich für eine etwaige gerichtliche Überprüfung von Maßnahmen nach § 5 Absatz 3 zurückgestellt ist, dürfen die Daten ohne Einwilligung des Betroffenen nur zu diesem Zweck verwendet werden; sie sind für andere Zwecke zu sperren. § 5 Absatz 6 bleibt unberührt.

(…)

§ 11 BSI-G [Einschränkung von Grundrechten]

Das Fernmeldegeheimnis (Artikel 10 des Grundgesetzes) wird durch § 5 eingeschränkt.

(Ende des Auszugs)

II. Datenschutzkonferenz fordert Nachbesserungen am BSI-Gesetz

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder kritisiert den Gesetzentwurf. In einer Entschließung warnen die Datenschützer davor, dass die zur Stärkung der IT-Sicherheit vorgesehenen Maßnahmen zu Lasten des Datenschutzes gehen. Für bedenklich halten die Datenschutzbeauftragten insbesondere die zusätzlichen Überwachungsbefugnisse, die dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeräumt werden sollen. (Zur Entschließung der Datenschutzkonferenz zum BSI-Gesetz vom 18.02.2009 auf der Seite des Bundesdatenschuztbeauftragten).

Hervorzuheben ist eine in der Erklärung erwähnte Unklarheit des Gesetzes, das ein Entweder/ Oder zwischen Löschung oder richterliche Überprüfung betrifft:

„Äußerst bedenklich ist darüber hinaus die Regelung, dass im Zweifelsfall allein das Bundesministerium des Innern entscheiden darf, ob Daten dem Kernbereich der privaten Lebensgestaltung zuzuordnen sind und wie damit weiter zu verfahren ist (§ 5 Abs. 6). In solchen Zweifelsfällen sollten diese Daten gelöscht oder einem Richter zur Entscheidung vorgelegt werden.“ (Hervorhebung durch den Verfasser)

Dem Ergebnis der Datenschützer ist zuzustimmen:

„Die Gesetzesänderung des Telemediengesetzes böte öffentlichen und privaten Anbietern von Telemedien die Möglichkeit einer umfassenden Protokollierung des Surfverhaltens ihrer Nutzer im Internet, da sie entsprechend der Gesetzesbegründung weit auslegbar ist. Der Gesetzgeber muss unmissverständlich klarstellen, dass die Erhebung und Auswertung personenbezogener Daten ultima ratio ist.“

Rechtsanwalt Siegfried Exner, Kiel – www.jur-blog.de

1 Kommentar zu „BSI-Gesetz: Grundrechtseinschränkung schon vorgesehen“

Kommentieren

Sie müssen angemeldet sein, um kommentieren zu können.

Rechtsanwalt
ra_exner_kiel.jpg

Siegfried Exner
Knooper Weg 175
24118 Kiel

Beratung
Terminabsprachen und Annahme von Mandaten unter
Tel. 0431 / 888 67-21
Mobil 0179 / 40 60 450.
Rechtsthemen
Gesetze
gesetzbuch24.de

Netzwerken
Trackbacks? Beim eigenen Artikel verlinken, indem nach der jur-blog-URL des Artikels ein ´trackback/´ eingegeben wird. Fertig!