Begründung der Bundesregierung
§ 8 führt den bisherigen § 5 fort.
Zu Absatz 1
Absatz 1 führt den bisherigen § 5 Absatz 1 fort. In Satz 3 erfolgt eine Begriffskonsolidierung zu „Einrichtungen der Bundesverwaltung“, diese Erweiterung des Anwendungsbereichs erfolgt zum Zweck des Schutzes der gesamten Kommunikationstechnik des Bundes.
Zu Absatz 2
Absatz 2 führt den bisherigen § 5 Absatz 2 fort.
Zu Absatz 3
Absatz 3 führt den bisherigen § 5 Absatz 2a fort.
Zu Absatz 4
Absatz 4 führt den bisherigen § 5 Absatz 3 fort.
Zu Absatz 5
Absatz 5 führt den bisherigen § 5 Absatz 4 fort.
Zu Absatz 6
Absatz 6 führt den bisherigen § 5 Absatz 5 fort. Sowohl Absatz 6 als auch Absatz 7 beziehen sich auf Daten im Sinne des Absatz 1, die dem Schutz des Fernmeldegeheimnisses und dem Schutz personenbezogener Daten unterfallen und bei denen eine Weiterverwendung nach Absatz 4 erforderlich ist. Da in Absatz 4 die Verwendung der Daten nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden darf, wird dies entsprechend auch in Absatz 6 ergänzt.
Zu Absatz 7
Absatz 7 führt den bisherigen § 5 Absatz 6 fort. Ergänzt wird die Möglichkeit, dass Bundesamt die nach Absatz 4 verwendeten personenbezogenen Daten an die Einrichtungen der Bundesverwaltung, für deren Schutz die Daten technisch erhoben wurden, übermitteln kann, soweit dies für die Verwendung nach Absatz 4 oder die Abwehr von sonstigen erheblichen Gefahren für die Informationssicherheit erforderlich ist. So wird gewährleistet, dass die Einrichtungen des Bundes alle relevanten Informationen zur Gewährleistung des Schutzes der Kommunikationstechnik des Bundes erhalten.
Zu Absatz 8
Absatz 8 führt den bisherigen § 5 Absatz 7 fort.
Zu Absatz 9
Absatz 9 führt den bisherigen § 5 Absatz 8 fort. Die Nennung des „Rat der IT-Beauftragten der Bundesregierung“ wird durch „Ressorts“ ersetzt, um die Gremienstruktur untergesetzlich regeln zu können.
Zu Absatz 10
Absatz 10 führt den bisherigen § 5 Absatz 9 fort.
Zu Absatz 11
Absatz 11 führt den bisherigen § 5 Absatz 10 fort.
Stellungnahme des Bundesrates
Zu § 8 Absatz 6 Satz 1, 2, Absatz 7 Satz 1
Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren eine Änderung der in § 8 Absatz 6 Satz 1 und 2 sowie in Absatz 7 Satz 1 BSIG-E enthaltenen Kann-Bestimmungen in Soll-Bestimmungen zu prüfen.
Begründung
Zu begrüßen ist, dass mit der Neufassung des BSIG die Voraussetzungen in § 8 Absatz 6 Satz 1 BSIG-E für eine Übermittlung der in § 8 Absatz 4 BSIG-E verwendeten personenbezogenen Daten an die Strafverfolgungsbehörden ausgeweitet werden, indem die Übermittlung nicht mehr wie bisher auf mittels eines Schadprogramms begangene Straftaten nach den §§ 202a, 202b, 303a oder 303b StGB beschränkt wird, sondern auch solche Straftaten nach den §§ 202a, 202b, 303a oder 303b StGB in Betracht kommen, die im Rahmen einer sonstigen erheblichen Gefahr für die Kommunikationstechnik des Bundes begangen werden.
Der Gesetzentwurf hält aber in § 8 Absatz 6 Satz 1 und 2 sowie in Absatz 7 Satz 1 BSIG-E daran fest, dass die Übermittlung in das Ermessen des BSI gestellt wird („kann“), obwohl Anhaltspunkte für Straftaten bzw. bestehende Gefahren vorhanden sind.
Es sollte im weiteren Gesetzgebungsverfahren geprüft werden, ob die Kann-Bestimmung in eine Soll-Bestimmung geändert wird, sodass bei Vorliegen entsprechender Erkenntnisse im Regelfall eine Information der Strafverfolgungsbehörden bzw. der genannten Nachrichtendienste erfolgt. Denn der Staat und staatliche Einrichtungen sollten mit gutem Beispiel vorangehen und bei Cyberangriffen im Regelfall die Strafverfolgungsbehörden- bzw. die genannten Nachrichtendienste informieren, so dass diese zur Strafverfolgung, Gefahrenabwehr bzw. im nachrichtendienstlichen Aufgabenbereich tätig werden können. Nur durch eine zuverlässige Weitergabe vorhandener Informationen kann sichergestellt werden, dass die Aufgabenerfüllung im Bereich der Strafverfolgung und der Gefahrenabwehr sowie die nachrichtendienstliche Aufgabenstellung vollständig wahrgenommen werden kann. Für den Bereich des Verfassungsschutzes würde die Regelungslage außerdem der Regelung in § 18 Absatz 1 Satz 1 BVerfSchG angenähert. Außerdem beinhaltet eine Soll-Vorschrift auch ein Signal gegenüber Unternehmen und Bürgerinnen und Bürgern, hier ebenso vorzugehen und die für die Strafverfolgung und Gefahrenabwehr zuständigen Behörden bzw. die Nachrichtendienste zu informieren. Dies sollte deshalb im Gesetzeswortlaut selbst zum Ausdruck kommen.
Gleiches gilt für die in § 8 Absatz 7 Satz 1 BSIG-E enthaltene Kann-Bestimmung. Wenn die in den Nummer 1 bis 4 der Vorschrift enthaltenen hohen Schwellen für eine Übermittlung der Daten nach § 8 Absatz 4 Satz 1 BSIG-E für sonstige Straftaten, Gefahren bzw. nachrichtendienstlich relevante Sachverhalte erreicht sind, sollte im Regelfall eine Übermittlung erfolgen und diese nicht in das Ermessen des BSI gestellt sein. Hierdurch wird auch der Richtervorbehalt bzw. die notwendige Anordnung des Bundesministeriums des Innern nicht tangiert, da sich die Änderung darauf bezieht, ob sich das BSI überhaupt für eine Übermittlung entscheidet und dann die notwendige Entscheidung hierfür herbeiführt.
Gegenäußerung der Bundesregierung
Zu § 8 Absatz 6 Satz 1, 2, Absatz 7 Satz 1
Die Bundesregierung lehnt den Vorschlag ab.
Bei § 8 Absatz 6 bzw. 7 BSIG-E handelt es sich um Bestandsvorschriften der § 5 Absatz 5 bzw. 6 BSIG. Dies sind ebenfalls Ermessensvorschriften mit der Formulierung „kann“. Das BSI benötigt in Abwägung gegenseitiger Interessen von beispielsweise Hinweisgebern maximale Flexibilität bzw. Ermessen zur Entscheidung der Weiterleitung.