Begründung zu § 16 BSIG

Begründung der Bundesregierung

§ 16 führt den bisherigen § 7c fort.

Zu Absatz 1

Absatz 1 führt den bisherigen § 7c Absatz 1 fort. Da der Begriff „Diensteanbieter“ aufgrund der Umsetzung der NIS-2-Richtlinie nun im Gesetz auch mit anderer Bedeutung genutzt wird, war eine Anpassung der Legaldefinition erforderlich, die nur für die Zwecke dieser Vorschrift erfolgte. Das in der bisherigen Vorschrift enthaltene Wort „konkreter“ ist im Wege einer redaktionellen Klarstellung entfallen.

Zu Absatz 2

Absatz 2 führt den bisherigen § 7c Absatz 2 fort. In Nummer 1 erfolgt eine Folgeänderung aufgrund der neuen Kategoriebezeichnungen.

Zu Absatz 3

Absatz 3 führt den bisherigen § 7c Absatz 3 fort.

Zu Absatz 4

Absatz 4 führt den bisherigen § 7c Absatz 4 fort.

Beschlussempfehlung und Bericht des Innenausschusses

Zu § 16:

§ 16 wird durch den folgenden § 16 ersetzt:

㤠16

Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern
von Telekommunikationsdiensten

  1. Zur Abwehr erheblicher Gefahren für die in Absatz 3 genannten Schutzgüter kann das Bundesamt anordnen, dass ein Anbieter von öffentlich zugänglichen Telekommunikationsdiensten im Sinne des Telekommunikationsgesetzes
    1. Die in § 169 Absatz 6 und 7 des Telekommunikationsgesetzes bezeichneten Maßnahmen trifft oder
    2. technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme verteilt,
    3. sofern und soweit der Anbieter von öffentlich zugänglichen Telekommunikationsdiensten dazu technisch in der Lage und es ihm wirtschaftlich zumutbar ist. Vor der Anordnung der Maßnahmen nach Satz 1 Nummer 1 oder 2 durch das Bundesamt ist die Bundesnetzagentur ins Benehmen zu setzen. Vor der Anordnung der Maßnahme nach Satz 1 Nummer 2 durch das Bundesamt ist zusätzlich Einvernehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit herzustellen. Die Daten, auf die mit der Maßnahme nach Satz 1 Nummer 2 zugegriffen werden soll, sind in der Anordnung zu benennen. § 8 Absatz 8 Satz 2 bis 8 gilt entsprechend. Widerspruch und Anfechtungsklage gegen die Anordnungen nach Satz 1 haben keine aufschiebende Wirkung.
  2. Zur Abwehr erheblicher Gefahren für die in Absatz 3 genannten Schutzgüter kann das Bundesamt technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme verteilen. Absatz 1 Satz 2 und 3 gilt entsprechend. Der betroffene Diensteanbieter ist verpflichtet, das Bundesamt bei der Umsetzung nach Satz 1 zu unterstützen und insbesondere alle notwendigen Auskünfte zu erteilen, die zur Erstellung und Verteilung des Befehls notwendig sind.
  3. Schutzgüter gemäß Absatz 1 Satz 1 sind die Verfügbarkeit, Integrität oder Vertraulichkeit
    1. Der Kommunikationstechnik des Bundes, einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung,
    2. von Informations- oder Kommunikationsdiensten oder
    3. von Informationen, sofern deren Verfügbarkeit, Unversehrtheit oder Vertraulichkeit durch unerlaubte Zugriffe auf eine erhebliche Anzahl von telekommunikations- oder informationstechnischen Systemen von Nutzern eingeschränkt wird.
  4. Ordnet das Bundesamt eine Maßnahme nach Absatz 1 Satz 1 Nummer 1 an, so kann es gegenüber dem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten auch anordnen, den Datenverkehr an eine vom Bundesamt benannte Anschlusskennung umzuleiten.
  5. Das Bundesamt darf Daten, die von einem Anbieter von öffentlich zugänglichen Telekommunikationsdiensten nach Absatz 1 Satz 1 Nummer 1 und Absatz 4 umgeleitet wurden, verarbeiten, um Informationen über Schadprogramme oder andere Sicherheitsrisiken in informationstechnischen Systemen zu erlangen. Die übermittelten Daten dürfen durch das Bundesamt so lange gespeichert werden, wie dies für die Erfüllung des in Satz 1 genannten Zwecks erforderlich ist, längstens jedoch für drei Monate. § 8 Absatz 8 Satz 2 bis 8 gilt entsprechend. Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Gesamtzahl der angeordneten Datenumleitungen.“

Begründung

Zu § 16 Absatz 1:

Mit den Änderungen in Absatz 1 Satz 1 wird dem Bundesamt ermöglicht, gegenüber bisher von der Regelung nicht erfassten Anbietern (Telekommunikationsdienste mit 100 000 oder weniger Kunden) öffentlich zugänglicher Telekommunikationsdienste Anordnungen zur Abwehr erheblicher Gefahren der in Absatz 3 genannten Schutzgüter auszusprechen. Die Erweiterung ist notwendig, da andernfalls eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden können. Zugleich wird wie bisher sichergestellt, dass die jeweiligen Anbieter technisch zu den angeordneten Maßnahmen in der Lage sein und ihnen diese wirtschaftlich zumutbar sein müssen. Dabei ist zu berücksichtigen, dass sich der Stand der Technik seit Einführung der ursprünglichen Regelung (s. Drucksache 19/26106) fortentwickelt hat und zumindest auch Anbieter, die verpflichtenden Regelungen für den Betrieb von DNS-Diensten im jeweiligen Sicherheitskatalog nach § 167 TKG unterliegen, diese Voraussetzungen erfüllen.

Mit der Änderung in Absatz 1 Satz 2 wird vorgegeben, dass das Bundesamt sich mit der Bundesnetzagentur vor Anordnung von Maßnahmen ins Benehmen setzt. Das Bundesamt tauscht sich regelmäßig mit der Bundesnetzagentur auf verschiedenen Ebenen zur IT-Sicherheit von Telekommunikationsdiensten aus. Auch hat die bisherige Umsetzung der Regelung in Absatz 1 gezeigt, dass zwischen BNetzA und BSI ein gemeinsames Verständnis über dessen Anwendung und die zu begegnende Gefahr besteht. Auf das bisherige Erfordernis des Einvernehmens in Satz 2 kann daher verzichtet werden.

Zu § 16 Absatz:

Mit dem neuen Absatz 2 wird es dem Bundesamt ermöglicht, selbst Bereinigungsbefehle an von einem konkret benannten Schadprogramm betroffenes informationstechnisches System auszusenden. Damit wird die bestehende Regelung in § 7c Absatz 1 Nummer 2 des BSI-Gesetzes (alt) die dem Bundesamt bereits eine entsprechende Anordnungsbefugnis gegenüber Anbietern öffentlicher Telekommunikationsdienstleistungen einräumt, durch die Möglichkeit zur Selbstvornahme unter gleichen Voraussetzungen ergänzt. Bereits nach der bestehenden Regelung in § 7c Absatz 1 Nummer 2 des BSI-Gesetzes (alt) obliegt es regelmäßig dem BSI, die technischen Möglichkeiten zur Bereinigung zu analysieren und technische Befehle dem Diensteanbieter zuzuliefern (vgl. Drucksache 19/26106, 74). Mit der Neuregelung wird auch sichergestellt, dass entsprechende Maßnahmen auch dann durchgeführt werden können, wenn diese einem Diensteanbieter technisch nicht möglich ist, weil als vorausgegangene Maßnahmen nach Absatz 1 Satz 1 Nummer 1 eine Umleitung des Datenverkehrs auf informationstechnische Systeme des Bundesamts nach Absatz 4 erfolgt ist und deshalb nur das Bundesamt Bereinigungsbefehle an das jeweils betroffen System aussenden kann.