NIS2-Umsetzung: Zugriffe auf Daten bei Providern

Im NIS2-Umsetzungsgesetz sind Regelungen vorgesehen, die gewährleisten sollen, dass das BSI in Fällen erheblicher Gefahren für die IT- und Kommunikationssicherheit auf die erforderlichen Daten zugreifen kann, um die Integrität, Verfügbarkeit und Vertraulichkeit der Kommunikationsdienste zu schützen.

Die Zugriffsrechte sind dabei durch strenge Bedingungen und Abstimmungsverfahren geregelt, um den Datenschutz und die Verhältnismäßigkeit der Maßnahmen sicherzustellen. Im Folgenden ein kurzer Überblick zur Orientierung.

Wichtige Zugriffsmöglichkeiten des BSI

§8 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

  • Bedingungen
    • Gefahrenabwehr: Das Bundesamt darf Protokolldaten erheben und automatisiert auswerten, um Gefahren für die Kommunikationstechnik des Bundes zu erkennen, einzugrenzen oder zu beseitigen.
    • Automatisierte Auswertung: Die Auswertung muss unverzüglich erfolgen und die Daten sind anschließend vollständig und unwiederbringlich zu löschen, sofern nicht eine weitere Verwendung zulässig ist.
  • Datenzugriff
    • Protokolldaten: Erhebung und automatisierte Auswertung von Protokolldaten, die beim Betrieb der Kommunikationstechnik des Bundes anfallen, um Störungen, Fehler oder Angriffe zu erkennen.
    • Schnittstellendaten: Automatisierte Auswertung von Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, zur Erkennung und Abwehr von Schadprogrammen.
  • Speicherung: Protokolldaten dürfen bis zu 18 Monate gespeichert werden, wenn tatsächliche Anhaltspunkte vorliegen, dass sie zur Abwehr von Gefahren erforderlich sein können. Zugriff auf länger als drei Monate gespeicherte Daten nur bei bestätigten Erkenntnissen über Gefahren.
  • Personenbezogene Daten: Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass die Daten ein Schadprogramm enthalten oder mit einer erheblichen Gefahr in Verbindung stehen.
  • Weitergabe: Daten dürfen an Strafverfolgungsbehörden zur Verfolgung von Straftaten übermittelt werden, an Polizeien zur Abwehr einer Gefahr für die öffentliche Sicherheit, an Verfassungsschutzbehörden bei sicherheitsgefährdenden Tätigkeiten und an den Bundesnachrichtendienst bei internationalen Angriffen.

§12 Bestandsdatenauskunft

  • Bedingungen:
    • Erforderlichkeit: Zugriff, wenn dies zur Erfüllung der gesetzlichen Aufgaben des BSI erforderlich ist.
    • Antrag und Anordnung: Schriftlicher Antrag des BSI beim jeweiligen Anbieter, der die Auskunftspflicht festlegt.
  • Datenzugriff:
    • Bestandsdaten: Informationen, die zur Identifizierung und Kontaktaufnahme mit Nutzern notwendig sind (z. B. Name, Anschrift, Telefonnummer).

§16 Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten

  • Bedingungen:
    • Gefahr für Schutzgüter: Erhebliche Gefahren für die Kommunikationssicherheit müssen vorliegen.
    • Technische und wirtschaftliche Zumutbarkeit: Maßnahmen müssen technisch machbar und wirtschaftlich zumutbar sein.
    • Abstimmung: Einvernehmen mit der Bundesnetzagentur und ggf. dem Datenschutzbeauftragten.
  • Datenzugriff:
    • Technische Maßnahmen: Anordnung zur Bereinigung von Schadprogrammen und zur Umleitung von Datenverkehr.
    • Verarbeitung von Daten: Umgeleitete Daten dürfen zur Identifikation von Sicherheitsrisiken verarbeitet werden.

§17 Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telemediendiensten

  • Bedingungen:
    • Gefahr für Schutzgüter: Sicherheitsrisiken müssen bestehen, die die Integrität oder Verfügbarkeit der Dienste gefährden.
    • Begründeter Anlass: Maßnahmen basieren auf einem begründeten Anlass.
  • Datenzugriff:
    • Ergreifen von Maßnahmen: Zur Detektion und Abwehr von Sicherheitsrisiken in den Netzen und Diensten.
    • Anweisungen zur Abwehr von Gefahren: Anordnungen an Anbieter zur Implementierung spezifischer Sicherheitsmaßnahmen.

Übermittlungen an Strafverfolger

Daten, die im Rahmen des BSI-Gesetzes erhoben werden, können an Strafverfolgungsbehörden wie Polizei oder Staatsanwaltschaft weitergeleitet werden. So kann das BSI die im Rahmen einer Bestandsdatenauskunft (§12) verwendeten personenbezogenen Daten an Strafverfolgungsbehörden zur Verfolgung von Straftaten übermitteln, die mittels Schadprogrammen oder im Rahmen einer erheblichen Gefahr für die Kommunikationstechnik des Bundes begangen wurden. Ebenso können Daten, die zur Abwehr konkreter Gefahren für die Kommunikationstechnik erhoben wurden (§16), bei einem erheblichen Sicherheitsvorfall mit strafbarem Hintergrund an Strafverfolgungsbehörden weitergeleitet werden. Weiterhin können entsprechend §8 Abs.7 Daten zur Verfolgung von Katalogtaten nach §100a Abs.2 StPO weitergereicht werden.

Interessant wird es bei Schadsoftware zulasten des Bundes: Die Übermittlung von Daten kann auch hier (§8) erfolgen zur Verfolgung von Straftaten gemäß §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches (StGB), die insbesondere mit Schadprogrammen in Zusammenhang stehen. Daten dürfen dabei ausdrücklich an die Polizei zur Abwehr einer Gefahr für die öffentliche Sicherheit, an das Bundesamt für Verfassungsschutz bei sicherheitsgefährdenden Tätigkeiten, und an den Bundesnachrichtendienst bei internationalen Angriffen auf IT-Systeme weitergeleitet werden. Eine einschränkende Klausel dahin, dass dies nur bei Verdacht einer Täterschaft geschehen darf, vermisst man allerdings! Es handelt sich also um eine verdachtsbezogene Erhebung und Übermittlung von Daten die schnell weitreichende Wirkung haben kann.

Fachanwalt für IT-Recht Jens Ferner