Weg frei für Verabschiedung des BSI-Gesetzes

Die große Koalition hat im Innenausschuss einen Änderungsantrag beschlossen, wonach der Regierungsentwurf zur Aufrüstung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) teilweise entschärft werden soll.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 37 Beiträge
Von
  • Stefan Krempl

Die große Koalition hat sich darauf geeinigt, den umstrittenen Gesetzentwurf der Bundesregierung zur Aufrüstung des Bundesamt für Sicherheit in der Informationstechnik (BSI) in Kernpunkten zu entschärfen. Die Fraktionen von CDU/CSU und SPD haben dazu am gestrigen Mittwoch im Innenausschuss des Bundestags einen heise online vorliegenden Änderungsantrag beschlossen. Wie bereits angekündigt, soll vor allem die Erlaubnis für Anbieter von Telemedien gestrichen werden, Nutzerdaten wie IP-Adressen zum Zweck der Störungsbekämpfung zu speichern. Bürgerrechtler und Datenschützer hatten darin einen gefährlichen weiteren Ansatz zur Vorratsdatenspeicherung gesehen. Aufgrund der "besonderen Eilbedürftigkeit der übrigen Regelungen des Gesetzesentwurfs", schreibt Schwarz-Rot zur Begründung, werde die entsprechende Änderung des Telemedienrechts "nicht weiterverfolgt".

Korrekturen hat die Koalition auch an der geplanten Befugnis für das BSI beschlossen, "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen unbegrenzt erheben und automatisiert auswerten zu dürfen. So sollen insbesondere die in den Informationen enthaltenen E-Mail-Adressen in einem automatisierten Verfahren durch Pseudonyme ersetzt werden, um die Erstellung von Kommunikationsprofilen zu verhindern. Eine zu protokollierende "Entspseudonymisierung" dürfe aber erfolgen, wenn dies für die Weiterverarbeitung etwa bei bestätigten Verdachtsfällen hinsichtlich eines Schadprogramms oder zur Warnung der Betroffenen erforderlich sei.

Eine Filterung des Datenverkehrs an den Schnittstellen zu den IT-Netzen des Bundes und die Auswertung der Protokolldaten soll das BSI weiter im Einklang mit dem ursprünglichen Entwurf durch eine weitgehend automatisierte Suche nach technischen Schadfunktionen ohne richterliche Anordnung durchführen. Dafür haben Union und Sozialdemokraten aber die nachträgliche Kontrolle durch Benachrichtigungspflichten der Betroffenen erhöhen. Die Befugnis zur Übermittlung der Daten an Sicherheitsbehörden wird zudem eingeschränkt auf die umkämpften "Hackerparagraphen" in der Strafprozessordnung. Auch die Weitergabe von "Zufallsfunden" soll durch Einführung eines Richtervorbehalts höheren Schranken unterworfen werden.

Nachgebessert hat die Koalition ferner beim Schutz des Kernbereichs der privaten Lebensgestaltung. Sie hält es zwar für unwahrscheinlich, dass dem BSI bei der erlaubten Suche nach Schadprogrammen entsprechende Inhalte zur Kenntnis kommen. Um etwaige Eingriffe gleichwohl möglichst gering zu halten, sollten diese im Falle eines Falles "unverzüglich" gelöscht werden. Für die Kommunikation von zeugnsiverweigerungsberechtigten Berufsgruppen mit der Bundesverwaltung wird ein Beweisverwertungsverbot ähnlich Paragraph 108 Absatz 3 Strafprozessordnung (StPO) eingefügt. Dieses fällt aber schwächer aus als etwa bei den Bestimmungen zur Vorratsdatenspeicherung. So wäre der gesonderte Schutz auch für Abgeordnete oder Geistliche – und nicht nur für Journalisten, Ärzte, Anwälte oder andere Berufsgeheimnisträger ­ erst nach einer Verhältnismäßigkeitsprüfung anzuwenden.

Bei der Aufdeckung von Sicherheitslücken soll das BSI laut dem Kompromiss in der Regel zunächst die Hersteller betroffener Produkte informieren. Diesen will der Gesetzgeber so Gelegenheit geben, Sicherheits-Updates zu entwickeln und ihren Kunden zur Verfügung zu stellen. Abweichungen von diesem Prinzip seien aber geboten, wenn der Sicherheit durch eine Vorabinformation Dritter und der Öffentlichkeit besser gedient sei. Aus Gründen der Wirtschaftlichkeit sei bei der Bereitstellung von IT-Sicherheitslösungen ferner grundsätzlich auf Produkte abzustellen, die am Markt erworben werden können, geht Schwarz-Rot auf Bedenken der IT-Industrie weiter ein. Nur in begründeten Ausnahmefällen könne das Bundesamt entsprechende Werkzeuge selber entwickeln.

Der Opposition geht das Gesamtvorhaben nach wie vor zu weit, so dass sie geschlossen dagegen votierte. Bei der Abstimmung über den Änderungsantrag enthielten sich Linke und Grüne. Die FDP stemmte sich auch gegen die Korrekturen, da sie nur "marginale Verbesserungen" mit sich brächten. Es bleibe beim Grundprinzip, dass das BSI Berge von Daten anhäufen könne. Dies diene laut den bei einer Anhörung zu Wort gekommenen Experten nicht der Verbesserung der IT-Sicherheit. Die eingefügten Schutzmaßnahmen seien zudem "lächerlich". (Stefan Krempl) / (pmz)