ULD: Stellungnahme zum Entwurf des IT-Sicherheitsgesetzes

ZD-Aktuell 2015, 04547


Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mahnt in einer Stellungnahme zum geplanten IT-Sicherheitsgesetz (BR-Drs. 643/14) mehr Datenschutz an. Der Entwurf enthalte weder Befugnisnormen, die die Verarbeitung personenbezogener Daten im Zusammenhang mit IT-Sicherheitsmaßnahmen bei den verpflichteten Betreibern regelten, noch Vorgaben zur Datensparsamkeit. Außerdem verlangt die Behörde eine engere Einbindung der Datenschutzbehörden.

Angesichts der modernen Risiken für IT-Strukturen seien die in dem Gesetzentwurf vorgesehenen Maßnahmen, wie der Ausbau des BSI zu einer nationalen Zentrale für IT-Sicherheit, die Festlegung von Sicherheitsstandards, die Pflicht zur Sicherheitsvorsorge in Unternehmen und Melde- und Benachrichtigungspflichten bei sicherheitsrelevanten Vorfällen, wichtige Bausteine einer nationalen Strategie für mehr IT-Sicherheit.

IT-Sicherheitsmaßnahmen setzten oft aber die Verarbeitung personenbezogener Daten voraus und die damit verbundenen Eingriffe in das Recht auf informationelle Selbstbestimmung sowie in das TK-Geheimnis bedürften einer klaren, verfassungskonformen Grundlage, die für die Betroffenen erkennen lässt, wie welche Maßnahme durchgeführt werde.

Diesen Anforderungen genügt der vorliegende Entwurf nach Ansicht des ULD noch nicht. Verarbeitungsregeln für die verpflichteten Unternehmen fehlten vollständig. Zweckbindungsregeln seien nur für das BSI vorgesehen. Vorgaben zur Wahrung der Datensparsamkeit, etwa durch Anonymisierung, Pseudonymisierung, frühzeitige Löschung und Abschottung bei entsprechenden Maßnahmen, seien bisher nicht geplant. Vorkehrungen für die IT-Sicherheit sollten in gleicher Weise für TK- wie für Telemedienbetreiber gültig sein. Die Datenschutzaufsichtsbehörden müssten neben den zuständige Behörden bei der Festlegung von Sicherheitsstandards, bei den Meldewegen und bei der Beratung der Beteiligten rechtlich eingebunden werden. IT-Sicherheit dürfe nicht alleine Behörden im Direktionsbereich des BMI überlassen bleiben, die bei einer Abwägung zwischen IT-Sicherheit und klassischer Gefahrenabwehr und Strafverfolgung sich im Zweifelsfall einseitig entscheiden.

Zudem forderte das ULD u.a. Sanktionsmöglichkeiten für das BSI in dem Fall, dass Betreiber gegen ihre Pflichten verstoßen. Auch sei zur Verbesserung der IT-Sicherheit eine vertrauliche Ende-zu-Ende-Verschlüsselung erforderlich. Klärungsbedarf sieht das ULD auch bei der Frage, warum beim BfV ein Bedarf an weiteren Stellen vorgesehen sei.

# Vgl. auch Roth, ZD 2015, 17; Eckhardt, ZD 2014, 59 und ZD-Aktuell 2015, 04536.


IT-Anwaltsuche