Stellungnahme zum Diskussionsentwurf vom 2. Dezember 2020 zum IT-SiG 2.0
Zu Artikel 3 – Änderung des Telemediengesetzes Neben den Anpassungen am BSIG und am TKG sieht das Zweite IT-Sicherheitsgesetz auch einige wenige Änderungen am Telemediengesetz vor. In diesem Zusammenhang sind die entsprechenden Ausführungen zum TKG jeweils mit zu berücksichtigen. Zu § 15d „Meldepflicht bei unrechtmäßiger Übermittlung oder unrechtmäßiger Kenntniserlangung von Daten“ Grundsätzlich ist die Aufnahme der Meldeverpflichtung für sogenannte Over-the-Top-Anbieter bei Sicherheitsvorfällen sinnvoll und zielführend, um das Sicherheitsniveau insgesamt zu heben. Um nicht jeden einzelnen Datenabfluss meldepflichtig zu machen, wurden richtigerweise Kriterien zum drohenden Schadensausmaß aufgenommen. Diese erscheinen allerdings wenig klar und werden zu Rechtsunsicherheit führen. Kritischer ist aber die Unterrichtungspflicht des Diensteanbieters an das BKA, da dies eine weitere Meldestelle bedeutet, die den Abstimmungsbedarf zur Erfüllung der Pflichten weiter komplexiert. Für Anbieter von TK- und Mediendiensten kann dabei im ungünstigsten Fall ein Schadensereignis unabhängige Meldungen an BSI, BNetzA und BKA bedeuten. Der hiermit verbundene Mehrfachaufwand wird erheblich sein und de facto die Ressource, die für die Behebung des Vorfalls benötigt wird, allein mit Reporting-Aufgaben binden. Der BDI spricht sich bei jedweder Meldepflicht die Umsetzung des one-stop-shop-Prinzips aus, um Meldungen für die betroffenen Unternehmen effizient durchzuführen. Im Unterschied zu der als Vorbild dienenden – und noch nicht in Kraft getretenen – Regelung des § 3a NetzDG enthält § 15d TMG-E keine Vorschrift zur Information des Betroffenen. Es muss deshalb davon ausgegangen werden, dass die Information des Betroffenen durch das BKA erfolgt. Wann und unter welchen Voraussetzungen ein Betroffener durch das BKA informiert wird, erschließt sich bisher nicht. Die Übermittlung an das BKA muss, sofern vorhanden, die für eine retrograde Identifizierung des jeweiligen Anschlussinhabers erforderlichen Daten, insbesondere die IP-Adresse einschließlich der Portnummer und des Zeitstempels enthalten. Die Pflicht zur Übermittlung der Portnummer erscheint allerdings fragwürdig, da sie keinen wesentlichen Mehrwert für die Identifizierung eines Internetnutzers bringt. So müssten die Internetzugangsprovider ihrerseits ebenfalls Portnummern speichern, um dem BKA einen Abgleich mit den vom Telemedienanbieter übermittelten Daten zu ermöglichen. Wie sich in der Diskussion um die Einführung der entsprechenden www.bdi.eu
Seite 53 von 58
