Stellungnahme des Bundestages
Zum Gesetzesentwurf allgemein
Der Bundesrat erinnert an Ziffer 1 seiner Stellungnahme vom 27. September 2024 in BR-Drucksache 380/24 (Beschluss) und bittet, in den Entwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung insbesondere aufzunehmen:
- die Vorhaltung der genauen und vollständigen Domain-Namen-Registrierungsdaten in der Datenbank für die Abfrage von Zugriffsberechtigten sowie
- die Verpflichtung für Domain-Registrare und Registrierungsdienstleister, möglichst in Echtzeit einem berechtigten Zugangsnachfrager vollständige Registrierungsdaten zur Verfügung zu stellen.
Der Bundesrat bittet ferner darum im weiteren Gesetzgebungsverfahren Festlegungen zu treffen, unter welchen Voraussetzungen Domänen bei Missbrauch blockiert werden können.
Begründung
Der Bundesrat hat sich in Ziffer 1 seiner Stellungnahme vom 27. September 2024 in BR-Drs. 380/24 (Beschluss) anlässlich des Entwurfs für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für Regelungen ausgesprochen, mit denen zum Schutz von Verbraucherinnen und Verbrauchern die Hürden für sogenannte Fake-Shops mit „.de-Domains“ erhöht und Instrumente zur leichteren Aufdeckung und Unterbindung missbräuchlicher Aktivitäten geschaffen werden sollten. Die Bundesregierung hat in ihrer Gegenäußerung in BT-Drucksache 20/13184 zwar die Berechtigung der Anliegen anerkannt, jedoch diese nach nunmehr fast einem Jahr auch im vorliegenden Gesetzentwurf nicht berücksichtigt. Daher sollen sie wieder aufgegriffen werden.
Zu Buchstabe a:
Zur Fake-Shop-Bekämpfung bei Missbrauch sind die zeitnahe und vollständige Verfügbarkeit der Registrierungsdaten für die Erkennung von Vorfällen und die Reaktion darauf von wesentlicher Bedeutung. Bei gewerblichen Domänen-Anmeldungen sollten zu jedem Domänennamen alle Inhaberdaten frei zugänglich sein. Bei personenbezogenen Daten sollten alle Daten veröffentlicht werden, soweit dies von der DSGVO gedeckt ist. Besonders wichtig ist, dass berechtigte Zugriffsnachfrager auch Zugriff auf alle .de Neuregistrierungen erhalten können. Da Fake-Shops mit legitimer Adresse eines anderen Unternehmens besonders gefährlich sind, ist der DSGVO-unbedenkliche Abgleich des Ortes im Impressum des Fake-Shops mit dem in den DENIC-Registrierungsdaten hinterlegten Ort des Fake-Shop-Bertreibers zwingend erforderlich. Ein automatisiertes, digitales und datenschutzkonformes Zugriffsverfahren ist erforderlich, damit in Echtzeit auf die genauen und vollständigen Domain-Namen-Registrierungsdaten zugegriffen werden kann (z. B. über die sogenannte RDAP-Schnittstelle nach Vorbild der vorherigen Who-is-Abfrage der DENIC). Die Bekämpfung von missbräuchlichen Online-Angeboten erfordert Massenanalysen, die nach dem bisherigen Verfahren mit fallbezogenen und zeitversetzten Freigaben zeitnah nicht zu erreichen sind. Die Berechtigung sollte einmalig geprüft werden und nicht fallbezogen wie bisher mit pdf-Formularen. Als „berechtigte Zugangsnachfrager“ sollten Behörden, Verbraucherzentralen und beauftragte Sicherheitsunternehmen sowie Dienstleister, die nach einer Freischaltung generell Zugriff erhalten müssen (z. B. auch die IT-Verantwortlichen des von der Verbraucherzentrale Nordrhein-Westfalen mit finanzieller Unterstützung der Bundesländer weiterentwickelten „Fake-Shop-Finder“) gelten.
Zu Buchstabe b:
Um wirksam gegen Fake-Shops vorgehen zu können, sind effektive Werkzeuge wie die Blockierung von Domänen bei Missbrauch innerhalb weniger Tage notwendig. Hierfür ist ein entsprechender Regelungsrahmen zu schaffen. Dabei sind bestehende europarechtliche Regelungen zu beachten und wenn nötig zu ergänzen. Auch sollte geprüft werden, inwieweit automatisierte Verfahren zum Einsatz kommen können.
Gegenäußerung der Bundesregierung
Die Bundesregierung lehnt den Vorschlag für dieses Gesetzgebungsverfahren ab. Die Bundesregierung teilt die Einschätzung, dass die Bekämpfung von Fake-Shops im Interesse der Verbraucherinnen und Verbraucher wichtig ist. Maßnahmen sollten jedoch eingeordnet werden in die bestehenden Rechtsgrundlagen und Strategien nach Landesrecht, laufende Arbeitsprozesse auf internationaler Ebene und den Empfehlungen der NIS-Kooperationsgruppe. Insbesondere sollten neue Maßnahmen auf ihre Wirksamkeit hin im gesamten Kontext untersucht werden, bevor Regelungen hierzu beschlossen werden. Zu berücksichtigen sind dabei auch die wirtschaftlichen Folgen etwaiger nationaler Eingriffe in die grenzüberschreitenden Strukturen des Domainmarkts für Domaininhaber und die Einrichtungen im Zuständigkeitsbereich des BSI nach § 60 BSIG-E. Aus Sicht der Bundesregierung ist der Vorschlag insoweit noch nicht ausgereift und sollte noch entsprechend ergänzend ausgearbeitet, unter Einbeziehung kriminalistischer Erfahrung diskutiert und geprüft werden. Für den anschließenden Bund-Länder-Dialog kommen verschiedene Foren in Betracht und die Bundesregierung sieht einer entsprechenden Initiative der Länder entgegen. Das vorliegende Gesetzgebungsvorhaben gibt dafür leider keine Gelegenheit mehr, denn die Umsetzung der NIS-2-Richtlinie eilt sehr. §§ 49-51 BSIG-E dienen einer 1:1-Umsetzung des Artikels 28 der NIS-2-Richtlinie und sind unverzichtbar, auch um eine EU-weit möglichst harmonisierte Anwendung der Vorschriften des Artikel 28 NIS-2-Richtlinie entlang der Empfehlungen der NIS-Kooperationsgruppe zu gewährleisten.