Uns ist eine neue Entwurfsfassung des IT-Sicherheitsgesetzes zugeflogen, die wir an dieser Stelle veröffentlichen. Über vorige Fassungen haben wir schon berichtet, doch das Interessante am aktuellen Gesetzentwurf ist, …
… dass dieser Gesetzentwurf innerhalb der Bundesregierung noch nicht abgestimmt ist. Dies betrifft insbesondere auch die Frage, ob und in welchem Umfang und für welche Dauer eine Erhebung und Verwendung von Nutzungsdaten durch die Anbieter von Telemedien zur Abwehr von Angriffen auf die zugrunde liegenden IT-Systeme erforderlich ist (Problem einer neuen Form von Vorratsdatenspeicherung? – § 15 Absatz 9 des Telemediengesetzes neu).
Problem einer neuen Form von Vorratsdatenspeicherung? – deutlicher könnte man es kaum ausdrücken als in dem Schreiben, das dem Referentenentwurf für Länder, kommunale Spitzenverbände, Städtetag und Landkreistag angehängt wurde und in dem später davon berichtet wird, dass das Thema noch innerhalb der Bundesregierung erörtert wird.
[update]
Wir haben mal nachgefragt, wie die Position des Innenministeriums zu der Problematik ist und folgende Erklärung bekommen (ganze Stellungnahme unten):
Der Verweis in dem Anschreiben auf das Thema Vorratsdatenspeicherung wurde ganz bewusst mit einem Fragezeichen versehen. Der Grund ist, dass schon vor Einleitung der Länder- und Verbändebeteiligung vereinzelt auch öffentlich über diese Frage diskutiert wurde. Mit dem Verweis wird deutlich gemacht, dass die Fragestellung bei der weiteren Erörterung des Gesetzentwurfes einfließen wird.
[/update]
Mit der im akutellen Entwurf anvisierten Ergänzung von §15 des Telemediengesetzes könnte folgendes gelten:
(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum [Erkennen,] Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden. Eine Verwendung der Daten für andere Zwecke ist unzulässig. Störungen im Sinne des Satz 1 sind nur solche Einwirkungen auf die technischen Einrichtungen, bei denen eine Beeinträchtigung für die Verfügbarkeit, Vertraulichkeit oder Integrität der informationsverarbeitenden Systeme des Diensteanbieters selbst oder der Nutzerinnen und Nutzer des Telemedienangebotes droht. Werden die Nutzungsdaten für diesen Zweck nicht mehr benötigt, sind diese unverzüglich, spätestens aber nach 6 Monaten zu löschen. Der betroffene Nutzer ist über die Erhebung und Verwendung der Nutzungsdaten zu unterrichten.
In der Erläuterung findet sich folgende Begründung:
Ziel der Regelung ist es, Diensteanbietern die Möglichkeit zu geben, eine Infektion der von ihnen angebotenen Telemedien mit Schadprogrammen abwehren zu können. IT-Sicherheitskonzepte sehen in der Praxis eine gestufte Absicherung vor. Das bedeutet, dass nicht nur auf dem Webserver selbst Absicherungsmaßnahmen ergriffen werden, sondern dem Server z.B. auch ein sog. Intrusion-Detection-System vorgeschaltet wird, um ein versuchtes Eindringen in den Server rechtzeitig zu bemerken und dieses gegebenenfalls auch automatisch verhindern zu können.
In der vorigen Fassung fand sich von dieser 6-Monate-Frist nichts und es lässt sich beim besten Willen keine Begründung finden, weshalb beispielsweise ein Blogbetreiber – wie wir – sechs Monate lang Nutzerdaten speichern dürfen soll. Denn für eine Abwehr von Schadprogrammen hilft ein sechs Monate altes Logfile mit den IP-Adressen der Zugriffe kaum. Und zusammen mit §14 des Telemediengesetzes, das besagt, dass Bestandsdaten ausgehändigt werden können, wenn das für Zwecke der Strafverfolgung, zur Gefahrenabwehr, zur Abwehr von Gefahren des internationalen Terrorismus, zur Durchsetzung der Rechte am geistigen Eigentum, … erforderlich ist, hat man keine bessere Abwehr gegen Schadprogramme, sondern eine astreine Vorratsdatenspeicherung.
Die nun nicht mehr nur die Telekommunikationsanbieter durchführen – also Mailprovider, Internet- und Telefonanbieter – sondern praktisch alle. Denn das Telemediengesetz regelt die Nutzung von beinahe jeglichem Internetdienst. Wikipedia zählt auf: „Beispielsweise Webshops, Online-Auktionshäuser, Suchmaschinen, Webmail-Dienste, Informationsdienste (z. B. zu Wetter, Verkehrshinweisen), Podcasts, Chatrooms, Dating-Communitys und Webportale. Auch private Websites und Blogs gelten als Telemedien.“.
Bisher dürfen explizit Telekommunikationsanbieter bereits nach Telekommunikationsgesetz Daten zur Störungsbekämpfung erheben, „soweit dies erforderlich ist“, aber ohne konkreten Anhaltspunkt für das Vorliegen einer Störung ist die Speicherung der IP-Adressen nur 7 Tage zulässig – und nicht sechs Monate.
Hoffentlich verschwindet dieser schädliche Zusatz wieder aus dem Referentenentwurf. Dass er noch nicht abgestimmt ist und diskutiert wird, gibt Hoffnung. Und wenn das Innenministerium schon selbst vom „Problem einer neuen Form von Vorratsdatenspeicherung“ spricht, kann man sich kaum mehr herausreden, dass man von nichts wusste. Wir bleiben dran.
[update]
Wir haben gefragt, wie das Justiz- und Innenministerium die Problematik einer neuen Vorratsdatenspeicherung sehen. Das Justizministerium wollte sich noch nicht äußern, da sich der Gesetzesentwurf noch in der ressortinternen Abstimmung befindet. Das Innenministerium hat uns unten stehende Antwort zugesendet.
Antwort des Innenministeriums
Die vorgeschlagene Regelung in § 15 Abs. 9 TMG dient dazu, den Diensteanbietern die notwendigen Mittel in die Hand zu geben, um Angriffe auf die von ihnen betriebenen Systeme nach Möglichkeit zu erkennen und zu verhindern. Die Regelung zielt damit darauf ab, den (grundrechtlich gebotenen) Schutz der Vertraulichkeit und Integrität von Daten und informationstechnischer Systeme von Anbietern und Nutzern der Telemediendienste besser zu gewährleisten. So soll beispielsweise einer der Hauptverbreitungswege von Schadsoftware, das sog. Drive-by-download (unbemerktes Herunterladen allein durch das Anschauen einer dafür von Angreifern präparierten Webseite) eingedämmt werden.
Um entsprechende Schutzmaßnahmen ergreifen zu können, müssen Diensteanbieter allerdings die Möglichkeit haben, eine Infektion der von ihnen angebotenen Telemedien mit Schadprogrammen zu erkennen. Mit der vorgeschlagenen Regelung sollen daher die Diensteanbieter ermächtigt werden, Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Dienstes genutzten technischen Einrichtungen zu erheben und zu verwenden. Eine Verpflichtung zur Datenerhebung wird durch diese Regelung nicht geschaffen.
Eine über den oben genannten Zweck hinausgehende Verarbeitung oder Nutzung der erhobenen Daten ist nicht vorgesehen; die Diensteanbieter unterliegen insofern der strengen Zweckbindung des Telemediengesetzes und müssen insbesondere die erhobenen Daten umgehend löschen, wenn sie für die genannten Zwecke nicht mehr erforderlich sind. Ebenso wie bei den anderen (bestehenden) datenschutzrechtlichen Erlaubnistatbeständen steht dieser strenge Zweckbindungsgrundsatz sowohl einer Zweckänderung als auch einer unbegrenzten Speicherung entgegen.
Staatliche Eingriffsbefugnisse werden durch den Regelungsvorschlag nicht geschaffen. Ebenso wenig werden die Diensteanbieter dazu ermächtigt, Daten zum Zwecke der Gefahrenabwehr oder der Strafverfolgung zu erheben.
Der Verweis in dem Anschreiben auf das Thema Vorratsdatenspeicherung wurde ganz bewusst mit einem Fragezeichen versehen. Der Grund ist, dass schon vor Einleitung der Länder- und Verbändebeteiligung vereinzelt auch öffentlich über diese Frage diskutiert wurde. Mit dem Verweis wird deutlich gemacht, dass die Fragestellung bei der weiteren Erörterung des Gesetzentwurfes einfließen wird.
[/update]
Gut so, könnte man da nicht auch mit ner Aktion reingrätschen? Außerdem wäre vielleicht ein Statement von der SPD hilfreich.
Muss erst wieder ein Aufschrei passieren, muss erst wieder geklagt werden,
damit rechtswidrige Überwachungsmaßnahmen nicht umgesetzt werden?
Ich dachte der EuGh hätte eindeutig geurteilt?
Langsam wird man müde, kaum ist eine Gewahr vom Tisch,
kommt der nächste Hinterwäldler mit seiner Version von 1984.
Wiso geht das nicht in die Köpfe der Politiker rein,
dass Datenschutz, Menschenwürde und Totalüberwachung nicht kompatibel sind?
Pour votre sécurité, vous n’aurez plus de libértés !
… schönes Neuland haben wir da
Jetzt mal ernsthaft…?!
Die Provider nutzen doch noch nicht mal jetzt die vollen 7 Tage zur Speicherung von IP-Adressen und co zum Zwecke der „Sicherheitsanalyse“. Außerdem: Wenn überhaupt ist das oben geschilderte eine „Kann“ Vorschrift.
Die Firmen werden sich selbst entsprechende Investionen für eine sechsmonatige Speicherung gar erst auferlegen. Sonst würden sie ja jetzt auch die vollen 7 Tage ausnutzen, wenn überhaupt notwendig.
Denk doch mal bevor ihr so einen populistischen Schwachsinn raushaut. Das lenkt nur von den tatsächlichen Dingen ab.
Ich finde die Katze niedlich…
Oh ja, das ist wirklich gelungen *rofl* :’D
Ich verstehe nicht wiso man sich jetzt so aufregt. Jeder der ein Smartfon besitzt hat dem Auspionieren selbst zugestimmt. Fast alle App´s sind mit vollständigen Zugriff auf alle Daten, Fotos, Kontakte,Standorte usw. versehen. NSA und BND läßt grüßen. Danke Ihr dummen Bürger. Ihr merkt nicht mal wie Ihr verarscht werdet.
Die Politiker können nichts dafür, denn Sie haben nichts zu sagen und fassen ihre Kohle ab. Regiert werden wir von den USA. Nur glaubt es keiner so richtig. Bei den Montagsdemos auch in Chemnitz sind kaum Leute da. Sicher ist das noch nicht gut organisiert,aber sind die vielen Unzufriedenen einfach zu satt, um um ihre Rechte zu kämpfen????
VDS – ob erlaubt ohne nicht – es wird aufgezeichnet und ausgewertet – in den Server des USA. Die Unterseekabel gehen durch Frankfurt und an den Briten vorbei
iCH bIN gOLDmAN sACHs
iCH sAMMLE Gœld uND Daten