"Die Bedeutung der Informations- und Kommunikationstechnologie hat sich in den vergangenen Jahren stark gewandelt: Sie ist mittlerweile Voraussetzung für das Funktionieren des Gemeinwesens. [...] IT-Sicherheit ist damit ein wesentlicher Bestandteil der inneren und äußeren Sicherheit der Bundesrepublik Deutschland," heißt es einleitend in dem Gesetzesentwurf -  eine Behauptung, der viele IT-Spezialisten wohl zustimmen dürften. Ob sie allerdings die Lösungsvorschläge des BSI uneingeschränkt begrüßen, ist eher zweifelhaft.

Die Befugnisse, die das BSI nach dem neuen Gesetzesentwurf erhalten soll, sind teilweise sehr weitreichend. So soll die Behörde "zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes" unter anderem eine nicht zu vernachlässigende Datensammlung durchführen dürfen, nämlich "Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder Angriffen auf die Informationstechnik des Bundes erforderlich ist". Diese Beschreibung würde, je nach Auslegung, sehr viele Szenarien abdecken, berücksichtigt man die Vielzahl heutiger Bedrohungen beispielsweise durch Cyberkriminelle. So werden beinahe zwangsläufig auch die Daten Unschuldiger mit erhoben werden. Allerdings sollen die Daten, sofern sie "personenbezogen sind oder dem Fernmeldegeheimnis unterliegen" nach Verwendung unverzüglich gelöscht werden. Von dieser Regel gibt es jedoch einige Einschränkungen, so den Verdacht, "dass diese [Daten] für den Fall der Bestätigung eines Verdachts nach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können." Der letzte Satz dürfte von Kritikern als besonders problematisch empfunden werden: Die Formulierung legt nahe, dass unter Umständen auch eine Speicherung "auf Verdacht hin" möglich wäre, wenn man davon ausgeht, dass es möglicherweise weitere Angriffe geben wird, das aber nicht sicher weiß.

Die gespeicherten Daten dürfen nur automatisiert ausgewertet und nicht personenbezogen verwendet werden. Auch hierzu existieren jedoch Ausnahmen. Zu diesen zählt ein begründeter Verdacht, dass die personenbezogenen Daten "ein Schadprogramm enthalten", "durch ein Schadprogramm übermittelt wurden" oder "sich aus ihnen Hinweise auf ein Schadprogramm ergeben können". In diesem Fall dürfen die Daten "soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen" auch außerhalb der sonst geltenden Einschränkungen analysiert werden.

Nach Abschluss des Vorgangs besteht eine Informationspflicht gegenüber den Betroffenen. Auch hiervon gibt es jedoch eine Ausnahme: Die Betroffenen müssen nicht informiert werden, "wenn die Person nur unerheblich betroffen wurde und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat". Eine ähnliche Formulierung bei der im BKA-Gesetz enthaltenen heimlichen Online-Durchsuchung zog heftige Kritik auf sich, da die Formulierung sehr vage gehalten ist und somit zu großen Teilen dem Ermessen der zuständigen Ermittler unterliegt.

Ebenfalls kontrovers diskutiert werden dürfte eine weitere neue Befugnis des BSI, Paragraph 6, Absatz 4. Dort heißt es: "Das Bundesamt kann die nach Absatz 3 verwendeten personenbezogenen Daten an die Polizeien des Bundes und der Länder, an Strafverfolgungsbehörden und sonstige öffentliche Stellen übermitteln, soweit dies erforderlich ist zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist, oder, zur Verfolgung von Straftaten, wenn ein Auskunftsverlangen nach der Strafprozessordnung zulässig wäre." Auch diese Regelung ist wieder sehr weit gefasst - wer genau definiert "Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist"? Würde hier unter Umständen eine einfache Sachbeschädigung, wie etwa der vieldiskutierten Versuch, einen Bundeswehr-Lastwagen anzuzünden, für eine Weitergabe der Daten reichen? Fragen, die sich Kritiker in nächster Zeit stellen dürften.

Netzpolitik erwähnt außerdem unter anderem noch die Unterstützung des BND durch das BSI, die eine weitere Verwischung verschiedener Behörden und Aufgaben und möglicherweise auch einen wachsenden Einfluss der Geheimdienste begünstigen könnte, als potentiell problematische neue Befugnis.

Die anderen Aufgaben, die im neuen BSI-Errichtungsgesetz geplant sind, sind eher auf die IT-Sicherheit im engeren Sinne bezogen und dürften somit weniger direkte Auswirkungen auf die Grundrechte der Bundesbürger haben. Auch so jedoch ist es absehbar, dass das BSI-Errichtungsgesetz für weitere Kontroversen zwischen Regierung, Opposition und Kritikern innerhalb der Bevölkerung sorgen wird.  (Annika Kremer)

Update:

Das BSI-Errichtungsgesetz wurde am 14. Januar von der Bundesregierung beschlossen. Das ist in einer Pressemitteilung des Bundesinnenministeriums nachzulesen. Daneben wurden auch Änderungen am Telemediengesetz beschlossen.