201515.06.

Bundestag beschließt IT-Sicherheitsgesetz

von RA Sebastian Schwiering Tags: Datenschutzrecht, IT-Sicherheit

Der Bundestag hat am 12.06.2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT Sicherheitsgesetz) verabschiedet. Das Gesetz schreibt Anforderungen an die IT-Sicherheit kritischer Infrastrukturen vor, die für das Gemeinwesen von zentraler Bedeutung sind (bspw. Banken, Energieversorger, Krankenhäuser).

Den Betreibern dieser Infrastrukturen wird die Verpflichtung auferlegt, einen Mindeststandard an IT-Sicherheit einzuhalten. Darüber hinaus sieht das Gesetz eine anonyme Meldepflicht für IT-Sicherheitsvorfälle in kritischen Infrastrukturen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Die beim BSI aggregierten Informationen sollen dort ausgewertet und den Betreibern kritischer Infrastrukturen zur Optimierung ihrer IT-Sicherheit zur Verfügung gestellt werden.

Ferner erhöht das Gesetz die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich. Dazu gehören insbesondere die Speicherpflichten bezüglich Verkehrsdaten nach § 100 TKG, die zur Erkennung von Angriffen auf Nutzer eines Telekommunikationsunternehmens genutzt werden sollen. Ziel soll sein, die IT-Sicherheit im Internet zu stärken. Deswegen werden Telekommunikationsunternehmen verpflichtet, die eigenen Kunden zu warnen, sofern der Verdacht besteht, dass der Anschluss des Kunden komprimtiert oder – etwa im Rahmen eines Botnetzes – für Angriffe missbraucht wird. Die dafür erforderliche Speicherung von Verkehrsdaten eröffnet natürlich auch die Möglichkeiten der Bestandsdatenabfrage zur Störungserkennung. Auf Umwegen wird also auch hier der Weg für eine Vorrats-, bzw. Verkehrsdatenspeicherung geebnet. Bei Verstößen gegen das Gesetz, insbesondere die Melde und Speicherpflichten, sind Bußgelder bis zu 100.000 EUR vorgesehen.

Vor dem Hintergrund der aktuell debattierten NIS-Richtlinie stellt sich indes die Frage nach der Notwendigkeit eines nationalen IT-Sicherheitsgesetzes. Die NIS-Richtlinie stellt das europäische Äquivalent zum IT-Sicherheitsgesetz dar; bei Widersprüchen bestünde insofern Anpassungsbedarf am IT-Sicherheitsgesetz.