Im aktualisierten Entwurf des IT-Sicherheitsgesetzes ist eine Änderung von § 15 Telemediengesetz (TMG) vorgesehen, mit der sich Betreiber von Webservern vor Schadprogrammen schützen können sollen. Künftig soll es heißen: „Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum [Erkennen,] Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden.“

In einem Begleitbrief des Innenministeriums (!) an diverse Behörden in Bund und Ländern, den netzpolitik.org veröffentlicht hat, wird darauf hingewiesen, „…dass dieser Gesetzentwurf innerhalb der Bundesregierung noch nicht abgestimmt ist. Dies betrifft insbesondere auch die Frage, ob und in welchem Umfang und für welche Dauer eine Erhebung und Verwendung von Nutzungsdaten durch die Anbieter von Telemedien zur Abwehr von Angriffen auf die zugrunde liegenden IT-Systeme erforderlich ist (Problem einer neuen Form von Vorratsdatenspeicherung? – § 15 Absatz 9 des Telemediengesetzes neu).“

Kurz danach wurde bekannt, dass der BND in den Handel mit Software-Schwachstellen einsteigen will. Hartmut Pohl, Informatik-Professor und Sprecher des Arbeitskreises „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik ist der Ansicht: „Die Regierung hat das Ziel der völligen Überwachung“. Völlig abwegig ist Pohls Ansicht dabei nicht: Unser Schwester-Portal Security-Insider hatte bereits im Frühjahr auf ein Dokument europäischer Innen- und Justizminister hingewiesen, das 2007 auf Initiative des damaligen Innenministers Wolfgang Schäuble entstanden sein soll.

In dem Text heißt es: „Die Bürger hinterlassen bereits viele digitale Spuren mit ihren Bewegungen. Eins jedoch ist klar: Die Anzahl dieser Spuren (und die detaillierten Informationen, die sie enthalten) wird sich höchstwahrscheinlich innerhalb der nächsten zehn Jahre um ein Zigfaches steigern. Von jedem Objekt, das eine Person benutzt, jede Transaktion, die sie unternimmt, und nahezu überall, wo sie hingeht, wird es digitale Aufzeichnungen geben. Das bedeutet für die Sicherheitsorgane reichlich Information und liefert riesige Möglichkeiten für effektive und produktive Sicherheitsanstrengungen.“

Zur Erinnerung: Das Bundesverfassungsgericht hat die Onlinedurchsuchung unter Hinweis auf die Menschenwürde für verfassungswidrig und nichtig erklärt. Jetzt gibt es Hinweise darauf, dass die Bundesregierung (ähnlich wie Facebook) versucht, die Bürger zur freiwilligen Herausgabe ihrer personenbezogenen Daten zu bewegen. Die Wahrscheinlichkeit, dass diese Daten von Sicherheitsbehörden und Geheimdiensten wie dem Bundesnachrichtendienst (BND) ausgewertet werden, ist groß.

So scheinen die Schlapphüte der Auffassung zu sein, dass ein Deutscher Spionagesatellit nicht deutschem Recht unterliegt, nur weil er sich im Weltraum befindet. Metadaten sollen nach Ansicht des Dienstes nur dann personenbezogen sein, wenn man sofort erkennen könne, um wen es sich handele, wenn man also „einen Personenbezug herstellen kann“. Ohne diesen seien es „Sachdaten“. Hinzu kommt: Die Verarbeitung der Massendaten durch die Behörden soll nicht unter das IT-Sicherheitsgesetz fallen – eine Lizenz zur Zweitklassigkeit, wie eGovernment Computing berichtete.

Prof. Dr. Johannes Caspar

Der Hamburger Datenschutzbeauftragte und Jura-Professor der Universität Hamburg Johannes Caspar ist der Ansicht: „Das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Dienste ist zunächst einmal ein Abwehrrecht gegenüber staatlichen Eingriffen. Darüber hinaus resultiert gerade mit Blick auf die staatlich vorgehaltenen Bürgerdaten nicht zuletzt auch aus diesem Grundrecht, aber auch aus der informationellen Selbstbestimmung eine Schutzpflicht, aus der sich eine Verpflichtung ergibt, die technisch-organisatorischen Maßnahmen zur Optimierung der Sicherheit der eigenen informationstechnischen Systeme zu treffen. Eine „Lizenz zur Zweitklassigkeit“ ist damit nicht vereinbar. Der Aufbau einer datensicheren Infrastruktur ist dem Staat als Datensammler nicht minder vorgegeben als den vom IT-Sicherheitsgesetz künftig betroffenen Unternehmen.“