Änderungen im BSI-Gesetz: IT-Sicherheit und Datenschutz wachsen zusammen

Lesezeit: ca. 3 Minuten

Das Bundesministerium des Inneren, für Bau und Heimat, hat mit Stand vom 21.06.2018 einen Referentenentwurf eines zweiten Gesetzes zur Anpassung des Datenschutzrechts an die VO (EU) 2016/679 und zur Umsetzung der RL (EU) 2016/680 vorgelegt. Mit diesem zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU werden insbesondere Änderungen im bereichsspezifischen Datenschutz vorgenommen. Außerdem soll die sogenannte „JI-Richtlinie“ umgesetzt werden, bei der es um die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung geht.

Der Referentenentwurf betrifft 153 Artikel und hat insgesamt 528 Seiten. Betroffen sind viele Gesetze, beispielsweise das Informationsfreiheitsgesetz, das Bundesmeldegesetz, das Strafgesetzbuch und eben auch das BSI-Gesetz (BSIG).

Durch die EU-Datenschutzgrundverordnung (DSGVO) war es notwendig, die Regelung des BSIG zum IT-Sicherheitsrecht mit den neuen datenschutzrechtlichen Anforderungen in Einklang zu bringen. Zwar haben Datenschutz und IT-Sicherheit nicht immer die gleiche Zielrichtung, eine Harmonisierung und ein Abgleich der Regelungen ist aber gesetzlich dringend notwendig, um letztendlich Abgrenzungsfragen und Klärung der unterschiedlichen Zielrichtungen nicht auf die Unternehmen und Behörden abzuwälzen, die letztendlich die gesetzlichen Regelungen anwenden müssen.

Tendenziell ist zu beobachten, dass der neue Gesetzentwurf eher der IT-Sicherheit den Vorzug gibt.

In den geplanten § 3a BSIG soll eine eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten aufgenommen werden. Gem. § 3a Abs. 1 BSIG neu, soll es für das Bundesamt (BSI) möglich sein, personenbezogene Daten zu verarbeiten, wenn dies zur Erfüllung der im öffentlichen Interesse liegenden Aufgaben erforderlich ist. So soll eine angemessene Netz- und Informationssicherheit gewährleistet werden und dem öffentlichen Interesse an einer entsprechenden Informationssicherheit Rechnung getragen werden. Der Gesetzgeber betont so auch die im öffentlichen Interesse liegende Aufgabe des BSI.

Der neue geplante § 3 Abs. 2 BSIG gestattet eine Datenverarbeitung auch zu anderen Zwecken als dem ursprünglichen Erhebungszweck, wenn dies für die Sammlung, Auswertung oder Untersuchung von Informationen über Sicherheitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik oder aus anderen Gründen erforderlich ist. Dies ist eine deutliche Durchbrechung des in der DSGVO festgelegten Zweckbindungsgrundsatzes. So soll das BSI in der Lage sei, sämtliche ihm zur Verfügung stehenden Daten zu nutzen, wenn es um Sicherheitsrisiken geht und wenn Sicherheitsvorkehrungen zu treffen sind. In der Regelung ist eine Interessenabwägung vorgesehen, die, nach Erwartung des Gesetzgebers, als beschränkendes Korrektiv dienen soll.

Gerade auch mit Blick auf die kritischen Infrastrukturen (KRITIS), die ebenfalls Adressat des BSIG sind, erscheint ein solcher Umgang mit personenbezogenen Daten im Zusammenhang mit Sicherheitsvorfällen angezeigt. Es gibt ein erhebliches öffentliches Interesse, dass kritische Infrastrukturen stabil funktionieren.

Der Gesetzgeber legt darüber hinaus fest, dass das BSI ausreichende und angemessene technische organisatorische Maßnahmen zur Wahrung der Datensicherheit treffen muss (§ 3a Abs. 4 BSIG neu).

Weiterhin ist festgelegt, dass gem. § 6 BSIG neu personenbezogene Daten zu löschen sind, wenn diese für die Aufgabenerfüllung nicht mehr benötigt werden. Auch sollen die betroffenen Rechte beschränkt werden. Dies betrifft sowohl die Informationspflicht bei der Erhebung von personenbezogenen Daten als auch das Auskunftsrecht sowie weitere Betroffenenrechte.

Der Gesetzentwurf zeigt deutlich, dass das IT-Sicherheitsrecht und das Datenschutzrecht zunehmend vernetzt sind. Die EU-Datenschutzgrundverordnung enthält unter anderem in Art. 32 DSGVO diverse IT-sicherheitsrechtliche Regelungen. Wir empfehlen Behörden und Unternehmen, intern für eine enge Zusammenarbeit zwischen den Bereichen IT-Sicherheit und Datenschutz zu sorgen. Dabei sind nicht nur die organisatorischen Aspekte zu bedenken, sondern es muss darüber hinaus, nach unserer Erfahrung, auch menschlich eine gute Zusammenarbeit zwischen den Datenschutzbeauftragten und den IT-Sicherheitsbeauftragten möglich sein. Anderenfalls können die gesetzlichen Anforderungen nicht erfolgreich umgesetzt werden.

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen