4.10. Mehr Befugnisse für das BSI
Durch den am 14. Januar 2009 vom Bundeskabinett beschlossenen Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BT-Drs. 16/11967) wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Lage versetzt, Angriffe auf Bundesbehörden abwehren zu können. Dem BSI wird damit ermöglicht, die Datenströme der Bundesbehörden zu scannen, aufzuzeichnen und gesammelte Daten an Verfassungsschutz sowie die Polizei weiterzureichen. Parallel dazu werden Änderungen des Telemediengesetzes und des Telekommunikationsgesetzes vorgenommen (vgl. Ziff. 24.4).

Der Entwurf des BSI-Gesetzes enthielt keine datenschutzgerechten Regelungen. Wenn es z. B. erlaubt werden soll, ein- und ausgehende Daten des Bundes auf Viren zu untersuchen, dann hätte dies auch im Gesetz formuliert werden müssen. Die Regelung, dass das BSI im Rahmen der Schadsoftwarebekämpfung "die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten" darf, ist zu allgemein formuliert, und so ist es nicht verwunderlich, dass dieses Gesetz weiterhin aus den Reihen der Internetgemeinschaft, von Datenschutzbeauftragten und auch Berufsverbänden kritisiert wird.
Auch die im Gesetzgebungsverfahren durch Berücksichtigung der Empfehlungen des Innenausschusses des Bundestages (BT-Drs. 16/13259 vom 29. Mai 2009) eingeflossenen leichten Verbesserungen u. a. wie:

• Möglichkeit der Pseudonymisierung erfasster Daten (§ 5 Abs. 2),
• Regelungen zur Benachrichtigung der von einer Datenübermittlung Betroffenen sowie Dokumentation bei Nichtbenachrichtigung (§ 5 Abs. 4),
• Einschränkung der Übermittlungsbefugnisse des BSI auf die Katalogstraftaten (§§ 202a, 202b, 303a, 303b StGB),
• Richtervorbehalt bei der Übermittlung von Daten zu sonstigen Zwecken (§ 5 Abs. 6) bei der Strafverfolgung und der Gefahrenabwehr,
• Beweisverwertungsverbot für zeugnisverweigerungsberechtigte Berufsgruppen sowie verbesserter Schutz des Kernbereichs privater Lebensgestaltung (§ 5 Abs. 7),
• Kalenderjährliche Benachrichtigungspflichten des BSI an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und den Innenausschuss des Bundestages (§ 5 Abs. 9) und
• Rechtzeitige Information zu Sicherheitslücken an Hersteller (§ 7 Abs. 1)

ändern nichts an der grundsätzlichen Kritik an diesem Gesetz.

Mögliche Eingriffe in die Grundrechte von Bürgerinnen und Bürgern durch zu umfangreiche Befugnisse für eine Behörde stellen eine Gefahr für Demokratie und Rechtsstaat dar. Die Datenschutzbeauftragten des Bundes und der Länder forderten deshalb in der Entschließung vom 18. Februar 2009 "Stärkung der IT-Sicherheit - Aber nicht zu Lasten des Datenschutzes!" (Anlage 26) konkrete Nachbesserungen für den damaligen Entwurf des BSI-Gesetzes.
Im Gesetz wurden leider nicht alle Forderungen dieser Entschließung umgesetzt, um bei Maßnahmen zur Stärkung der IT-Sicherheit auch die Privatsphäre und den Datenschutz der Nutzerinnen und Nutzer umfassend zu gewährleisten.

Der Bundesrat hat mit seinem Beschluss vom 10. Juli 2009 (BR-Drs. 578/09) den Gesetzentwurf gebilligt. Er will das Gesetzgebungsvorhaben nicht verzögern, gleichzeitig die Interessen der Länder wahren und erwartet eine Beteiligung in wichtigen Bereichen.