02.11.2019 klo 3.23
Petitionsausschuss
Pet 1-18-12-9020-040394
52068 Aachen
Telekommunikationsinfrastruktur
Der Deutsche Bundestag hat die Petition am 17.10.2019 abschließend beraten und
beschlossen:
Das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen worden
ist.
Begründung
Mit der Petition wird gefordert, Anbieter von Telemedien gesetzlich zu verpflichten,
einen Rechenschaftsbericht über die von ihnen getroffenen Maßnahmen zum Datenschutz
und zur Datensicherheit zu erstellen und zu veröffentlichen. Zudem werden
rechtsverbindliche Mindeststandards zur kryptologischen Sicherung persönlicher Daten
und Passwörter begehrt.
Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass Webbetreibern
und Onlinedienstleistern bei der Registrierung bei einer Website sensible persönliche
Daten anvertraut würden. Der Nutzer habe ein Recht darauf zu erfahren, wie genau seine
Daten geschützt würden. Nur so könne er entscheiden, wem er seine Daten anvertrauen
könne und wem nicht. Bis heute gebe es jedoch keine rechtsverbindlichen Standards zur
sicheren Speicherung von Nutzerdaten und Passwörtern. In der Webentwicklung hätten
sich bestimmte kryptologische Verfahren zur Datensicherheit als „good practice“
etabliert, die ein Höchstmaß an Sicherheit garantierten. Diese seien quelloffen, würden
regelmäßig verbessert und von unabhängigen Experten überprüft. Die Konsequenzen bei
einem Verzicht auf solche Maßnahmen seien vielfältig und reichten von „lästigem“ Spam
bis zum Kreditkartenbetrug. Um das Internet sicherer zu machen, soll mit der Petition
daher erreicht werden, dass Webbetreiber und Onlinedienstleister einen offenen und
detaillierten Rechenschaftsbericht über die getroffenen physischen und softwareseitigen
Maßnahmen zum Schutz der erhobenen persönlichen Daten ablegen müssen. Weiterhin
Petitionsausschuss
sollten rechtsverbindliche Mindeststandards zur kryptologischen Sicherung persönlicher
Daten und Passwörter erarbeitet werden.
Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
Unterlagen verwiesen.
Zu der auf der Internetseite des Deutschen Bundestages veröffentlichten Eingabe liegen
53 Mitzeichnungen und neun Diskussionsbeiträge vor. Es wird um Verständnis gebeten,
dass nicht auf alle der vorgetragenen Aspekte im Einzelnen eingegangen werden kann.
Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht zu der
Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich unter
Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
zusammenfassen:
Der Petitionsausschuss stellt zunächst fest, dass die Petition die wichtigen Themenfelder
Datenschutz und Datensicherheit, insbesondere in der Onlinepräsentation und im
Onlinehandel, anspricht.
In diesem Zusammenhang weist der Ausschuss grundsätzlich darauf hin, dass in den
überwiegenden Fällen, in denen es zum Missbrauch personenbezogener Daten kommt,
kein Mangel an Schutzvorschriften, sondern ein Vollzugsdefizit der bereits existierenden
Vorschriften besteht. Hinzu kommt ein in der Breite fehlendes Bewusstsein für den
Datenschutz und die Datensicherheit, sowohl auf Seiten der Telemedienanbieter als auch
auf Seiten der Nutzer und Konsumenten. Insofern finden etwaige gesetzliche
Schutzmaßnahmen der Legislative regelmäßig dort die Grenzen ihrer Schutzwirkung, wo
der Faktor Mensch nicht bereit ist, den Aspekten des Datenschutzes und der
Datensicherheit die notwendige Aufmerksamkeit zu schenken und die erforderlichen
Schutzressourcen aufzubringen.
Ferner macht der Ausschuss darauf aufmerksam, dass der Gesetzgeber den hohen
Stellenwert der Datensicherheit erkannt hat. Mit § 109 Telekommunikationsgesetz (TKG)
gibt es bereits seit längerem gesetzliche sektorspezifische Vorgaben zur Erreichung eines
hohen Sicherheitsniveaus. Mit Inkrafttreten des IT-Sicherheitsgesetzes am 25. Juli 2015
wurde für den mit der Petition besonders adressierten Bereich der Telemedien mit § 13
Abs. 7 Telemediengesetz (TMG) eine weitere sektorspezifische Schutzvorschrift
geschaffen.
Petitionsausschuss
Zudem galt bis zum 24. Mai 2018 die Vorschrift des § 9 Bundesdatenschutzgesetz (BDSG)
a.F., die u. a. die Ergreifung von organisatorischen und technischen Maßnahmen zur
Sicherstellung der Datensicherheit vorsah.
Seit dem 25. Mai 2018 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments
und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung
– DSGVO) unmittelbar anwendbares Recht in allen EU-Mitgliedstaaten.
Artikel 24, 25, 32, 35 und 36 DSGVO statuieren zahlreiche Regelungen zur
Gewährleistung der Datensicherheit, u. a. die Regelung von Datenschutz durch
Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
Zwar sieht keine dieser Vorschriften die Erstellung und Veröffentlichung eines
Rechenschaftsberichts vor. Allerdings ist nach Auffassung des Ausschusses fraglich, ob
die Verpflichtung zu einem solchen Bericht tatsächlich der Zielerreichung dienlich wäre.
Durch eine Gesamtschau der rechtlichen Vorgaben wird deutlich, dass geschäftsmäßige
Anbieter von Telemedien ein hohes Schutzniveau etablieren und einhalten müssen.
So haben Telemedienanbieter regelmäßig technische und organisatorische Vorkehrungen
zu treffen, um den Schutz ihrer und dritter informationstechnischer Systeme und Netze
zu gewährleisten (siehe im Einzelnen § 13 TMG). Diese Sicherungspflichten sind zudem
gemäß § 16 Abs. 2 Nr. 3 TMG bußgeldbewehrt (Bußgeld bis zu 50.000 Euro möglich).
Organisatorische Vorkehrungen, die getroffen werden müssen, umfassen insbesondere
die Erstellung eines Konzepts, das Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-,
Auftrags- und Verfügbarkeitskontrolle gewährleistet und das Trennungsgebot sowie
ausdrücklich Verschlüsselungstechniken berücksichtigt. Bei den technischen
Maßnahmen sind Telemedienanbieter bereits verpflichtet, den Stand der Technik zu
berücksichtigen und etwa Sicherheitssoftware, Virenscanner, Firewalls und
Verwundbarkeits-Checks einzusetzen und durchzuführen.
Darüber hinaus trifft Telemedienanbieter die sogenannte
Datenschutz-Informationspflicht bei Datenpannen gemäß § 15a TMG und auch auf
Grundlage von Artikel 33 DSGVO. Der Telemedienanbieter hat mithin bei
unrechtmäßiger Verarbeitung von personenbezogenen Daten umgehend die zuständige
Aufsichtsbehörde bzw. den Betroffenen zu unterrichten.
Petitionsausschuss
Ergänzend merkt der Ausschuss an, dass Artikel 35 DSGVO eine
Datenschutz-Folgenabschätzung vorschreibt, die der Verantwortliche für seine
Verarbeitung vorab durchführen muss, sofern damit voraussichtlich ein hohes Risiko für
die Rechte und Freiheiten natürlicher Personen verbunden ist.
Abschließend hebt der Ausschuss hervor, dass im Koalitionsvertrag zwischen CDU, CSU
und SPD zum Thema Datensicherheit in Rn. 5886 ff. Folgendes ausgeführt wird:
[…] „Eine erfolgreiche Digitalisierungsstrategie setzt Datensicherheit voraus. Wir wollen,
dass gemeinsam zwischen Bund und Ländern, möglichst sogar in ganz Europa,
Sicherheitsstandards für die IT-Strukturen und den Schutz der kritischen Infrastruktur
entwickelt werden. Den mit dem IT-Sicherheitsgesetz eingeführten Ordnungsrahmen
werden wir in einem IT-Sicherheitsgesetz 2.0 weiterentwickeln und ausbauen. In diesem
Zusammenhang werden wir die Herstellerinnen und Hersteller sowie Anbieterinnen und
Anbieter von IT-Produkten, die neben den kritischen Infrastrukturen von besonderem
nationalem Interesse sind, stärker in die Pflicht nehmen […]“.
Vor diesem Hintergrund wird sich der Deutsche Bundestag in absehbarer Zeit mit den mit
der Petition aufgeworfenen Fragestellungen befassen. Die Bundesregierung hat zugesagt,
in künftigen Gesetzgebungsverfahren den Sachvortrag des Petenten angemessen zu
berücksichtigen.
Nach umfassender Prüfung der Sach- und Rechtslage empfiehlt der Petitionsausschuss
daher im Ergebnis, das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise
entsprochen worden ist.
Begründung (PDF)