Der Rat verlangt in seinem Änderungsvorschlag zur Richtlinie zum Datenschutz in der elektronischen Kommunikation (2002/58/EG), dass Unternehmen Verkehrsdaten verarbeiten dürfen, wenn dies der Gewährleistung der Netz- und Informationssicherheit dient. In Zukunft sollen nicht nur staatliche Behörden, sondern auch Unternehmen nach dem Willen einiger Mitgliedstaaten einzelfallunabhängig Verkehrsdaten zur Gewährleistung der Netz- und Informationssicherheit, also etwa zur Verfolgung von Hackerangriffen, verarbeiten dürfen.

In Artikel 6 § 7 heißt es im Ratsentwurf: ” Verkehrsdaten können im strikt notwendigen Ausmaß verarbeitet werden, um die Netz- und Informationssicherheit gemäß der Definition in Artikel 4 Buchstabe c der Verordnung (EG) Nr. 460/2004 des Europäischen Parlaments und des Rates vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit zu gewährleisten.”

Der Europäische Datenschutzbeauftragte Peter Hustinx hat sich für die Streichung des entsprechenden Paragraphen ausgesprochen. Der Artikel erzeuge ein „Missbrauchsrisiko“ und könne „so ausgelegt werden, dass er die Erhebung und Verarbeitung von Verkehrsdaten für Sicherheitszwecke auf unbestimmte Zeit ermöglicht“.

Europäische Bürgerrechtsorganisationen lehnen mit Verweis auf den Europäischen Datenschutzbeauftragten den Änderungsvorschlag ebenfalls ab.

Was geschieht in Deutschland?

In Deutschland erlaubt § 100 Telekommunikationsgesetz auf der Grundlage der geltenden Richtlinie bereits den Telekommunikationsdiensteanbietern eine zielgerichtete, einzelfallbezogene Datenverarbeitung zur Fehlerbeseitigung und Missbrauchsbekämpfung. Diese Regelung hat sich in der Praxis bewährt. Außerdem sind Anbieter von Telekommunikationsdiensten aufgefordert, ihre Systeme so sicher zu gestalten, dass Angriffe von vornherein erfolglos bleiben.

Die vom Rat geforderte Änderung der Richtlinie ist jedoch auch im Zusammenhang mit dem „Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes“ zu sehen, das seit Mitte Januar im Entwurf vorliegt und noch vom Bundestag beraten werden muss. Anbieter von Telemediendiensten dürfen demnach zum Schutz ihrer Anlagen vor Angriffen mit Schadprogrammen oder vor Störungen der Erreichbarkeit von Telemedienangeboten auch Nutzungsdaten speichern und analysieren. Nach einem abgewehrten Angriff müssen sie die Daten löschen.

Datenschützer kritisieren die hierdurch ermöglichte „unbegrenzte und unbefristete Speicherung“ der Verbindungsdaten bzw. Surfprotokolle. Die Protokolle sollen an Polizei, Bundeskriminalamt, Geheimdienste sowie an die Unterhaltungsindustrie herausgegeben werden können. Eine richterliche Anordnung ist nicht vorgeschrieben, ebenso wenig beschränkt sich die Speicherermächtigung auf schwere Straftaten. Der Bundesbeauftragte für den Datenschutz, Peter Schaar, kritisiert, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) „die gesamte Sprach- und Datenkommunikation aller Unternehmen und Bürger mit Bundesbehörden ohne Anonymisierung beziehungsweise Pseudonymisierung abhören und auswerten“ können soll. Er hält auch die Datenübermittlung an den Verfassungsschutz sowie an Strafverfolgungsbehörden für zu weitgehend. Er vermisst andererseits eine Verpflichtung des BSI, die ihm auf diese Weise bekannt gewordenen Sicherheitslücken und Schadprogramme zu veröffentlichen.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder schließt sich diesen Kritikpunkten an. Sie hält es überdies für „äußerst bedenklich“, dass „im Zweifelsfall allein das Bundesministerium des Innern entscheiden darf, ob Daten dem Kernbereich der privaten Lebensgestaltung zuzuordnen sind und wie damit weiter zu verfahren ist“. In Zweifelsfällen sollten diese Daten gelöscht oder einem Richter zur Entscheidung vorgelegt werden.

Die Gesellschaft für Informatik kritisierte den Gesetzentwurf scharf mit den Worten: „Die vollständige Überwachung jeglicher Kommunikation mit der Bundesverwaltung ist eine untaugliche Sicherheitsmaßnahme. Die hier vorgesehene Überwachung schafft den Überwachungsstaat.“

Position von Erika Mann

Die niedersächsische SPD-Europaabgeordnete Erika Mann spricht sich gegen die freiwillige Speicherung und Auswertung von Verbindungsdaten für Sicherheitszwecke seitens Unternehmen aus: „Ich lehne den Vorschlag des EU-Telekommunikationsrats für eine freiwillige Speicherung von Verbindungsdaten für Sicherheitszwecke ab, da er zeitlich eine unbefristete Speicherung ermöglichen würde. Auch lehne ich die Weiterleitung der Daten an andere Unternehmen mangels entsprechender Kontrollmechanismen ab.“

Erika Mann betont jedoch, dass das Anliegen, mehr Sicherheit im Internet zu schaffen, unterstützenswert ist. Sie ist auch nicht generell gegen die Speicherung von Daten. Hierfür müssen aber datenschutzverträgliche Mechanismen entwickelt werden. Der Gesetzesrahmen muss eigenständig sein. Außerdem darf dieser nicht im Telekom-Paket „versteckt“ werden. Schließlich müssen bei Verletzung der Datenschutzstandards hohe Geld- und Haftstrafen vorgesehen werden.

Erika Mann weist darauf hin, dass eine Missbrauchsgefahr hier eindeutig gegeben sei, wie zahlreiche Datenschutzskandale in Deutschland und Großbritannien im vergangenen Jahr gezeigt haben. Erika Mann betont jedoch, dass das Anliegen, mehr Sicherheit im Internet zu schaffen, unterstützenswert ist. Hierfür müssten datenschutzverträgliche Mechanismen entwickelt werden, die es Unternehmen ermöglichen, effektiv gegen Sicherheitsbedrohungen vorzugehen.

Weiterführende Informationen:

Links:

• Gemeinsamer Standpunkt des Rates im Hinblick auf die Annahme einer Richtlinie des Europäischen Parlaments und des Rates zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im Verbraucherschutz, 9.2.2009
• Position des Europäischen Datenschutzbeauftragten
• Position der Bürgerrechtsorganisationen La Quadrature du Net, European Digital Rights (EDRi) und AK Vorrat 
• Entschließung der 76. Nationalen Datenschutz-Konferenz am 6./ 7. November 2008, Gegen Blankettbefugnisse für die Software-Industrie
• Entwurf für Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes
• Stärkung der IT-Sicherheit - aber nicht zu Lasten des Datenschutzes!
• Schaar hält vorgesehene Befugnisse für das BSI für zu weit gehend, 15.1.2009
• GI kritisiert BSI-Gesetzentwurf: Tiefgreifende Schwachstellen müssen beseitigt werden, 20.1.2009
• Datenschutzkonferenz fordert Nachbesserungen am BSI-Gesetz, 18.2.2009

Weiterführende Informationen auf dieser Website:

• Keine Vorratsdatenspeicherung für Unternehmen!, Pressemitteilung vom 26.11.2008
• Europäische Herausforderungen für den Datenschutz