• Beschluss des Petitionsausschuss des Deutschen Bundestags

    at 02 Nov 2019 02:23

    Petitionsausschuss

    Pet 1-18-12-9020-040394
    52068 Aachen
    Telekommunikationsinfrastruktur

    Der Deutsche Bundestag hat die Petition am 17.10.2019 abschließend beraten und
    beschlossen:

    Das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen worden
    ist.

    Begründung

    Mit der Petition wird gefordert, Anbieter von Telemedien gesetzlich zu verpflichten,
    einen Rechenschaftsbericht über die von ihnen getroffenen Maßnahmen zum Datenschutz
    und zur Datensicherheit zu erstellen und zu veröffentlichen. Zudem werden
    rechtsverbindliche Mindeststandards zur kryptologischen Sicherung persönlicher Daten
    und Passwörter begehrt.
    Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass Webbetreibern
    und Onlinedienstleistern bei der Registrierung bei einer Website sensible persönliche
    Daten anvertraut würden. Der Nutzer habe ein Recht darauf zu erfahren, wie genau seine
    Daten geschützt würden. Nur so könne er entscheiden, wem er seine Daten anvertrauen
    könne und wem nicht. Bis heute gebe es jedoch keine rechtsverbindlichen Standards zur
    sicheren Speicherung von Nutzerdaten und Passwörtern. In der Webentwicklung hätten
    sich bestimmte kryptologische Verfahren zur Datensicherheit als „good practice“
    etabliert, die ein Höchstmaß an Sicherheit garantierten. Diese seien quelloffen, würden
    regelmäßig verbessert und von unabhängigen Experten überprüft. Die Konsequenzen bei
    einem Verzicht auf solche Maßnahmen seien vielfältig und reichten von „lästigem“ Spam
    bis zum Kreditkartenbetrug. Um das Internet sicherer zu machen, soll mit der Petition
    daher erreicht werden, dass Webbetreiber und Onlinedienstleister einen offenen und
    detaillierten Rechenschaftsbericht über die getroffenen physischen und softwareseitigen
    Maßnahmen zum Schutz der erhobenen persönlichen Daten ablegen müssen. Weiterhin
    Petitionsausschuss

    sollten rechtsverbindliche Mindeststandards zur kryptologischen Sicherung persönlicher
    Daten und Passwörter erarbeitet werden.
    Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
    Unterlagen verwiesen.
    Zu der auf der Internetseite des Deutschen Bundestages veröffentlichten Eingabe liegen
    53 Mitzeichnungen und neun Diskussionsbeiträge vor. Es wird um Verständnis gebeten,
    dass nicht auf alle der vorgetragenen Aspekte im Einzelnen eingegangen werden kann.
    Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht zu der
    Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich unter
    Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
    zusammenfassen:
    Der Petitionsausschuss stellt zunächst fest, dass die Petition die wichtigen Themenfelder
    Datenschutz und Datensicherheit, insbesondere in der Onlinepräsentation und im
    Onlinehandel, anspricht.
    In diesem Zusammenhang weist der Ausschuss grundsätzlich darauf hin, dass in den
    überwiegenden Fällen, in denen es zum Missbrauch personenbezogener Daten kommt,
    kein Mangel an Schutzvorschriften, sondern ein Vollzugsdefizit der bereits existierenden
    Vorschriften besteht. Hinzu kommt ein in der Breite fehlendes Bewusstsein für den
    Datenschutz und die Datensicherheit, sowohl auf Seiten der Telemedienanbieter als auch
    auf Seiten der Nutzer und Konsumenten. Insofern finden etwaige gesetzliche
    Schutzmaßnahmen der Legislative regelmäßig dort die Grenzen ihrer Schutzwirkung, wo
    der Faktor Mensch nicht bereit ist, den Aspekten des Datenschutzes und der
    Datensicherheit die notwendige Aufmerksamkeit zu schenken und die erforderlichen
    Schutzressourcen aufzubringen.
    Ferner macht der Ausschuss darauf aufmerksam, dass der Gesetzgeber den hohen
    Stellenwert der Datensicherheit erkannt hat. Mit § 109 Telekommunikationsgesetz (TKG)
    gibt es bereits seit längerem gesetzliche sektorspezifische Vorgaben zur Erreichung eines
    hohen Sicherheitsniveaus. Mit Inkrafttreten des IT-Sicherheitsgesetzes am 25. Juli 2015
    wurde für den mit der Petition besonders adressierten Bereich der Telemedien mit § 13
    Abs. 7 Telemediengesetz (TMG) eine weitere sektorspezifische Schutzvorschrift
    geschaffen.
    Petitionsausschuss

    Zudem galt bis zum 24. Mai 2018 die Vorschrift des § 9 Bundesdatenschutzgesetz (BDSG)
    a.F., die u. a. die Ergreifung von organisatorischen und technischen Maßnahmen zur
    Sicherstellung der Datensicherheit vorsah.
    Seit dem 25. Mai 2018 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments
    und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
    personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung
    – DSGVO) unmittelbar anwendbares Recht in allen EU-Mitgliedstaaten.
    Artikel 24, 25, 32, 35 und 36 DSGVO statuieren zahlreiche Regelungen zur
    Gewährleistung der Datensicherheit, u. a. die Regelung von Datenschutz durch
    Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
    Zwar sieht keine dieser Vorschriften die Erstellung und Veröffentlichung eines
    Rechenschaftsberichts vor. Allerdings ist nach Auffassung des Ausschusses fraglich, ob
    die Verpflichtung zu einem solchen Bericht tatsächlich der Zielerreichung dienlich wäre.
    Durch eine Gesamtschau der rechtlichen Vorgaben wird deutlich, dass geschäftsmäßige
    Anbieter von Telemedien ein hohes Schutzniveau etablieren und einhalten müssen.
    So haben Telemedienanbieter regelmäßig technische und organisatorische Vorkehrungen
    zu treffen, um den Schutz ihrer und dritter informationstechnischer Systeme und Netze
    zu gewährleisten (siehe im Einzelnen § 13 TMG). Diese Sicherungspflichten sind zudem
    gemäß § 16 Abs. 2 Nr. 3 TMG bußgeldbewehrt (Bußgeld bis zu 50.000 Euro möglich).
    Organisatorische Vorkehrungen, die getroffen werden müssen, umfassen insbesondere
    die Erstellung eines Konzepts, das Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-,
    Auftrags- und Verfügbarkeitskontrolle gewährleistet und das Trennungsgebot sowie
    ausdrücklich Verschlüsselungstechniken berücksichtigt. Bei den technischen
    Maßnahmen sind Telemedienanbieter bereits verpflichtet, den Stand der Technik zu
    berücksichtigen und etwa Sicherheitssoftware, Virenscanner, Firewalls und
    Verwundbarkeits-Checks einzusetzen und durchzuführen.
    Darüber hinaus trifft Telemedienanbieter die sogenannte
    Datenschutz-Informationspflicht bei Datenpannen gemäß § 15a TMG und auch auf
    Grundlage von Artikel 33 DSGVO. Der Telemedienanbieter hat mithin bei
    unrechtmäßiger Verarbeitung von personenbezogenen Daten umgehend die zuständige
    Aufsichtsbehörde bzw. den Betroffenen zu unterrichten.
    Petitionsausschuss

    Ergänzend merkt der Ausschuss an, dass Artikel 35 DSGVO eine
    Datenschutz-Folgenabschätzung vorschreibt, die der Verantwortliche für seine
    Verarbeitung vorab durchführen muss, sofern damit voraussichtlich ein hohes Risiko für
    die Rechte und Freiheiten natürlicher Personen verbunden ist.
    Abschließend hebt der Ausschuss hervor, dass im Koalitionsvertrag zwischen CDU, CSU
    und SPD zum Thema Datensicherheit in Rn. 5886 ff. Folgendes ausgeführt wird:
    […] „Eine erfolgreiche Digitalisierungsstrategie setzt Datensicherheit voraus. Wir wollen,
    dass gemeinsam zwischen Bund und Ländern, möglichst sogar in ganz Europa,
    Sicherheitsstandards für die IT-Strukturen und den Schutz der kritischen Infrastruktur
    entwickelt werden. Den mit dem IT-Sicherheitsgesetz eingeführten Ordnungsrahmen
    werden wir in einem IT-Sicherheitsgesetz 2.0 weiterentwickeln und ausbauen. In diesem
    Zusammenhang werden wir die Herstellerinnen und Hersteller sowie Anbieterinnen und
    Anbieter von IT-Produkten, die neben den kritischen Infrastrukturen von besonderem
    nationalem Interesse sind, stärker in die Pflicht nehmen […]“.
    Vor diesem Hintergrund wird sich der Deutsche Bundestag in absehbarer Zeit mit den mit
    der Petition aufgeworfenen Fragestellungen befassen. Die Bundesregierung hat zugesagt,
    in künftigen Gesetzgebungsverfahren den Sachvortrag des Petenten angemessen zu
    berücksichtigen.
    Nach umfassender Prüfung der Sach- und Rechtslage empfiehlt der Petitionsausschuss
    daher im Ergebnis, das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise
    entsprochen worden ist.

    Begründung (PDF)

Help us to strengthen citizen participation. We want your petition to get attention and stay independent.

Donate now