Zum Jahresanfang ging das neu geplante „Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes“ als neuer Ansatz zur Errichtung einer weiteren Vorratsdatenspeicherung negativ durch die Presse. Zu lange währt schon der stetige Abbau von Onlinerechten der Bürger, so dass inzwischen eigentlich jede netzbezogene Regulierungsaktivität des Staates auf harsche Kritik stößt.
Inhaltlich soll das BSI-Gesetz dazu dienen, das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Art Leitzentrale für die Analyse und Abwehr von Angriffen auf die IT-Infrastruktur von Bundesbehörden auszubauen. Dies ist auch Bestandteil des BSI-Programms zum Schutz Kritischer Infrastrukturen in Deutschland, zu denen auch Bundesbehörden zählen.
Gestern wurde nun im Bundesrat eine in wesentlichen Teilen entschärfte Version des Gesetzes beschlossen. Vor drei Wochen hatte bereits der Bundestag das neue BSI-Gesetz verabschiedet.
Auf Grundlage des neuen Gesetzes darf das BSI künftig zur Bekämpfung von Schadprogrammen alle Protokolldaten unbegrenzt speichern und auswerten, die bei Online-Kommunikation zwischen Bürgern und Bundesbehörden anfallen. Dazu zählen insbesondere identifizierende Verbindungsdaten wie IP-Adressen oder Mailadressen (auch wenn für Letztere eine Pseudonymisierung vorgesehen ist).
Grundsätzlich sollen so Schadprogramme aufgespürt und ausgefiltert werden. Waren denn die Behörden bisher ohne Firewall, Virenkiller, Spamfilter und IDS ans Internet angebunden?
Kritischer zu sehen waren andere Punkte des Gesetzes, so z.B. die allgemeine Befugnis des BSI zur Übermittlung der gefundenen Daten an Ermittlungsbehörden. Dafür sowie für die Weitergabe von „Zufallsfunden“ im Datenstrom wurde nun ein Richtervorbehalt ins Gesetz geschrieben. Hinzu kommen nachträgliche Benachrichtigungspflichten an betroffene Bürger.
Nachgebessert hatte das Parlament auch beim Schutz des sog. „Kernbereichs der privaten Lebensgestaltung“, den Verfassungsrichter regelmäßig als von staatlicher Überwachung freizuhalten reklamieren. Um etwaige Eingriffe durch die Gesamtspeicherung von Kommunikationsdaten möglichst gering zu halten, sollen die diesen Bereich betreffenden Erkenntnisse „unverzüglich“ (d.h. praktisch ohne schuldhafte Verzögerungen) wieder gelöscht werden.
Für die Kommunikation von zeugnisverweigerungsberechtigten Berufsgruppen mit der Bundesverwaltung wurde zudem ein Beweisverwertungsverbot eingefügt. Allerdings mit der Einschränkung einer „Verhältnismäßigkeitsprüfung“, durch die eine Hintertür entsteht, um auch Daten solcher Berufsgruppen letztlich doch auswerten zu können.
Eine weitere, besonders stark umstrittene, Absicht des ursprünglichen Gesetzesentwurfs, nämlich die Verpflichtung von Telemedienanbietern zur Speicherung von Nutzerdaten zum Zwecke der „Störungsbekämpfung“ wurde aufgegeben.
Wird so das BSI zu einer allmächtigen Kontrollbehörde? Tendenziell eher nicht. Das Behörden, ähnlich wie auch Unternehmen, erhaltene Kommunikationsdaten auf Gefahren für ihre Infrastruktur prüfen, ist an sich seit Jahren notwendiger Bestandteil jedes Sicherheitskonzepts. Zudem müssen in Unternehmen viele eingehende Daten und Dokumente zur Erfüllung von Nachweispflichten über Jahre hinweg revisionssicher langzeitarchivieret werden.
Dennoch bei einer Regierung, die in nahezu jedes Gesetz auch fachfremden Unsinn, handwerkliche Mängel sowie oft genug grobe Verletzungen der Grundrechte einbaut, kann man nicht vorsichtig genug sein. Der Widerstand der Datenschützer und Bürgerrechtler gegen die ursprüngliche Version des Gesetzes war erfolgreich.
Heise.de: Bundesrat billigt BSI-Gesetz
Gulli.de: abgesegnet, durchgewunken!
Heise.de: Bundestag beschließt neues BSI-Gesetz
Heise.de: Datenschützer protestieren gegen Ausweitung der Vorratsdatenspeicherung
