Regierung will Sicherheit in Informationstechnik des Bundes verbessern

Die Bundesregierung möchte dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Befugnisse einzuräumen, technische Vorgaben für die Sicherung der Informationstechnik (IT) in der Bundesverwaltung zu machen und Maßnahmen umzusetzen, um Gefahren für die IT-Sicherheit abzuwehren.

Der Gesetzentwurf ist hier zu finden und in vielerlei Hinsicht von großem Interesse:

1. Die eingeräumten Befugnisse sind natürlich aus Sicht der betroffenen Nutzer sicherlich mehr als nur einen Blick wert.
2. §2 des Entwurfes ist dogmatisch interessant: Hier wird erstmals ausdrücklich in Gesetzesform definiert, was Schadprogramme und Sicherheitslücken sind. Mit Blick z.B. auf die §§202aff. StGB ist das natürlich nicht verbindlich, aber eine interessante Auslegungshilfe.
3. Nach §7 darf das BSI die Öffentlichkeit über entdeckte Sicherheitslücken in Software – auch von Drittherstellern – unterrichten.
4. Ebenfalls interessant sind die umfassenden Regelungen zur Erteilung vin IT-Sicherheits-Zertifikaten.

Der Entwurf hatte schon vorher für Aufsehen gesorgt, weil Datenschützer teilweise bemerken, dass durch die in Artikel 3 vorgesehene Änderung des TMG eine Surf-Protokollierung erfolgen werden. Ich hatte dazu hier bereits Anmerkungen gegeben, die ich so auch aufrecht erhalte und um einen Punkt ergänzen möchte:

Die Erlaubnisnorm im TKG schafft am Ende mehr Probleme, als sie löst, wie ich ja schon dargestellt habe. Ein weiteres Problem könnte aber dazu kommen: Wer im Gesetzesentwurf auf Seite 23 und 24 die Anmerkung zur Änderung im TMG liest, merkt, dass “der Gesetzgeber” der Meinung ist, dass es keine vernünftigen Erlaubnistatbestände zum Speichern von Nutzungsdaten (also auch IPs, darum geht es hier ja konkret) gibt. Er möchte nun einen ausdrücklichen Erlaubnistatbestand schaffen, berücksichtigt aber ausdrücklich die prävention von “Störungen” – und sonst nichts. Insbesondere geht er gar nicht erst auf das Thema Statistiken ein.

Im Rahmen der Auslegung des TMG kann man somit formulieren, dass der Gesetzgeber (1) keine Erlaubnistatbestände zur Speicherung sieht und (2) gezielt nur die Behebung von Störungen vor sieht. Das schlägt der Speicherung von Daten für rein informative Statistiken, etwa via Google Analytics, natürlich den Boden unter den Füßen weg.

Selbst wenn man “Störung” weit versteht (auf Seite 24 wird es ausdrücklich formuliert), kann man beim besten Willen reine Marketing-Statistiken nicht darunter fassen. Einen Ausweg kann ich aber anbieten: Wenn etwa Statistik-Anbieter den Aspekt “Sicherheits-Analyse” aufnehmen und die Datenauswertung auch dazu vornehmen, dürfte es erfasst sein.

Im Ergebnis ist aber festzuhalten, dass letztlich keine Klarheit geschaffen wird – weder für die eine, noch für die andere Seite. Der Gesetzgeber sollte seiner Verantwortung gerecht werden und einen ausdrücklichen und abschliessenden Erlaubniskatalog zur Verwendung von Nutzungsdaten erstellen. Solange dies nicht geschieht, ist und bleibt es eine umstrittene Grauzone.