Der Deutsche Bundestag hat in seiner 227. Sitzung am 18. Juni 2009 aufgrund der Beschlussempfehlung und des Berichts des Innenausschusses - Drucksache 016/13259 - den von der Bundesregierung eingebrachten Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes - Drucksachen 016/11967, 016/12225 - mit beigefügten Maßgaben, im Übrigen unverändert angenommen.
- 1. Artikel 1 wird wie folgt geändert:
- a) § 5 wird wie folgt geändert:
- aa) Absatz 2 wird wie folgt geändert:
- aaa) Nach Satz 2 wird folgender Satz eingefügt:
"Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist."
- bbb) Nach dem neuen Satz 4 werden folgende Sätze eingefügt:
"Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den Präsidenten des Bundesamtes angeordnet werden. Die Entscheidung ist zu protokollieren."
- aaa) Nach Satz 2 wird folgender Satz eingefügt:
- bb) Absatz 3 wird wie folgt gefasst:
(3) Eine uber die Absätze 1 und 2 hinausgehende Verwendung personenbezogener Daten ist nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass
- 1. diese ein Schadprogramm enthalten,
- 2. diese durch ein Schadprogramm übermittelt wurden oder
- 3. sich aus ihnen Hinweise auf ein Schadprogramm ergeben können, und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen.
Im Falle der Bestätigung ist die weitere Verarbeitung personenbezogener Daten zulässig soweit dies
- 1. Zur Abwehr des Schadprogramms,
- 2. zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen oder
- 3. Zur Erkennung und Abwehr anderer Schadprogramme erforderlich ist.
Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise gehindert werden. Die nicht automatisierte Verwendung der Daten nach den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden."
- cc) Nach Absatz 3 wird folgender Absatz eingefügt:
(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens nach dem Erkennen und der Abwehr eines Schadprogramms oder von Gefahren, die von einem Schadprogramm ausgehen zu benachrichtigen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnismäßige weitere Ermittlungen möglich ist und nicht überwiegende schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung kann unterbleiben, wenn die Person nur unerheblich betroffen wurde, und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse hat. Das Bundesamt legt Falle, in denen es von einer Benachrichtigung absieht, dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat zur Kontrolle vor. Der behördliche Datenschutzbeauftragte ist bei Ausübung dieser Aufgabe weisungsfrei und darf deswegen nicht benachteiligt werden ( § 4f Absatz 3 des Bundesdatenschutzgesetzes). Wenn der behördliche Datenschutzbeauftragte der Entscheidung des Bundesamtes widerspricht, ist die Benachrichtigung nachzuholen. Die Entscheidung über die Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist nach zwölf Monaten zu löschen. In den Fällen der Absätze 5 und 6 erfolgt die Benachrichtigung durch die dort genannten Behörden in entsprechender Anwendung der für diese Behörden geltenden Vorschriften. Enthalten diese keine Bestimmungen zu Benachrichtigungspflichten, sind die Vorschriften der Strafprozessordnung entsprechend anzuwenden.
- dd) In dem neuen Absatz 5 Satz 1 werden die Wörter "einer Straftat von erheblicher Bedeutung oder einer mittels Telekommunikation begangenen Straftat" durch die Wörter "einer mittels eines Schadprogramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b des Strafgesetzbuches" ersetzt.
- ee) Der neue Absatz 6 wird wie folgt gefasst:
(6) Für sonstige Zwecke kann das Bundesamt die Daten übermitteln
- 1. an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat,
- 2. an die Polizeien des Bundes und der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhalt im öffentlichen Interesse geboten ist,
- 3. an die Verfassungsschutzbehörden des Bundes und der Länder, wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundesrepublik Deutschland vorliegen, die durch Anwendung von Gewalt oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes genannten Schutzgüter gerichtet sind.
Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen gerichtlichen Zustimmung. Fur das Verfahren nach Satz 1 Nummer 1 und 2 gelten die Vorschriften des Gesetzes uber das Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen Gerichtsbarkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Nummer 3 erfolgt nach Zustimmung des Bundesministeriums des Innern; die §§ 9 bis 16 des Artikel 10-Gesetzes gelten entsprechend."
- ff) Der neue Absatz 7 wird wie folgt geändert:
- aaa) Nach Satz 1 wird folgender Satz eingefügt:
"Soweit möglich, ist technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden."
- bbb) Der neue Satz 5 wird wie folgt gefasst:
"Dies gilt auch in Zweifelsfällen."
- ccc) Folgender Satz wird angefügt:
"Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstände der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafprozessordnung genannten Personen übermittelt, auf die sich das Zeugnisverweigerungsrecht der genannten Personen erstreckt, ist die Verwertung dieser Daten zu Beweiszwecken in einem Strafverfahren nur insoweit zulässig als Gegenstand dieses Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindestens fünf Jahren Freiheitsstrafe bedroht ist."
- aaa) Nach Satz 1 wird folgender Satz eingefügt:
- gg) In dem neuen Absatz 8 wird nach Satz 2 folgender Satz eingefügt:
Die für die automatisierte Auswertung verwendeten Kriterien sind zu dokumentieren.
- hh) Folgende Absätze 9 und 10 werden angefügt:
- (9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über
- 1. die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wurden, aufgegliedert nach den einzelnen Übermittlungsbefugnissen,
- 2. die Anzahl der personenbezogenen Auswertungen nach Absatz 3 Satz 1, in denen der Verdacht widerlegt wurde,
- 3. die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat.
- (10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss des Deutschen Bundestages über die Anwendung dieser Vorschrift."
- (9) Das Bundesamt unterrichtet den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über
- aa) Absatz 2 wird wie folgt geändert:
- b) In § 6 Satz 3 wird die Angabe "6" durch die Angabe "7" ersetzt.
- c) In § 7 Absatz 1 wird nach Satz 1 folgender Satz eingefügt:
Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung von diese Produkte betreffenden Warnungen zu informieren, sofern hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks nicht gefährdet wird.
- d) § 8 Absatz 3 wird wie folgt geändert:
- aa) Nach Satz 1 wird folgender Satz eingefügt:
"IT-Sicherheitsprodukte können nur in begründeten Ausnahmefällen durch eine Eigenentwicklung des Bundesamtes zur Verfügung gestellt werden."
- bb) In dem neuen Satz 7 wird die Angabe "4 und 5" durch die Angabe "5 und 6" ersetzt.
- aa) Nach Satz 1 wird folgender Satz eingefügt:
- a) § 5 wird wie folgt geändert:
- 2. Artikel 3 wird aufgehoben.
- 3. Der bisherige Artikel 4 wird Artikel 3.
Fristablauf: 10.07.09
Erster Durchgang: Drucksache. 062/09 (PDF)