2 minute read
Zu Artikel 3 Änderung des Telemediengesetzes
Zu Artikel 3 – Änderung des Telemediengesetzes
Neben den Anpassungen am BSIG und am TKG sieht das Zweite IT-Sicherheitsgesetz auch einige wenige Änderungen am Telemediengesetz vor. In diesem Zusammenhang sind die entsprechenden Ausführungen zum TKG jeweils mit zu berücksichtigen.
Zu § 15d „Meldepflicht bei unrechtmäßiger Übermittlung oder unrechtmäßiger Kenntniserlangung von Daten“
Grundsätzlich ist die Aufnahme der Meldeverpflichtung für sogenannte Over-the-Top-Anbieter bei Sicherheitsvorfällen sinnvoll und zielführend, um das Sicherheitsniveau insgesamt zu heben. Um nicht jeden einzelnen Datenabfluss meldepflichtig zu machen, wurden richtigerweise Kriterien zum drohenden Schadensausmaß aufgenommen. Diese erscheinen allerdings wenig klar und werden zu Rechtsunsicherheit führen.
Kritischer ist aber die Unterrichtungspflicht des Diensteanbieters an das BKA, da dies eine weitere Meldestelle bedeutet, die den Abstimmungsbedarf zur Erfüllung der Pflichten weiter komplexiert. Für Anbieter von TK- und Mediendiensten kann dabei im ungünstigsten Fall ein Schadensereignis unabhängige Meldungen an BSI, BNetzA und BKA bedeuten. Der hiermit verbundene Mehrfachaufwand wird erheblich sein und de facto die Ressource, die für die Behebung des Vorfalls benötigt wird, allein mit Reporting-Aufgaben binden. Der BDI spricht sich bei jedweder Meldepflicht die Umsetzung des one-stop-shop-Prinzips aus, um Meldungen für die betroffenen Unternehmen effizient durchzuführen.
Im Unterschied zu der als Vorbild dienenden – und noch nicht in Kraft getretenen – Regelung des § 3a NetzDG enthält § 15d TMG-E keine Vorschrift zur Information des Betroffenen. Es muss deshalb davon ausgegangen werden, dass die Information des Betroffenen durch das BKA erfolgt. Wann und unter welchen Voraussetzungen ein Betroffener durch das BKA informiert wird, erschließt sich bisher nicht.
Die Übermittlung an das BKA muss, sofern vorhanden, die für eine retrograde Identifizierung des jeweiligen Anschlussinhabers erforderlichen Daten, insbesondere die IP-Adresse einschließlich der Portnummer und des Zeitstempels enthalten. Die Pflicht zur Übermittlung der Portnummer erscheint allerdings fragwürdig, da sie keinen wesentlichen Mehrwert für die Identifizierung eines Internetnutzers bringt. So müssten die Internetzugangsprovider ihrerseits ebenfalls Portnummern speichern, um dem BKA einen Abgleich mit den vom Telemedienanbieter übermittelten Daten zu ermöglichen. Wie sich in der Diskussion um die Einführung der entsprechenden
Meldepflicht nach dem NetzDG gezeigt hat, ist dies zumindest bei den großen Internetzugangsdiensteanbietern nicht der Fall. Damit ist die Übermittlung eventuell vorhandener Portnummern weder sinnvoll noch verhältnismäßig.
Wer mehr als 100.000 Kunden hat, hat für die Übermittlung der Benachrichtigung an das BKA eine gesicherte, elektronische Schnittstelle bereitzuhalten und zu nutzen. Die Ausgestaltung der Schnittstelle soll sich nach den Anforderungen des BKA richten. Es wäre wünschenswert, wenn dabei bereits andere vorhandene elektronische Kommunikationswege berücksichtigt werden könnten. So dürften einige der nach § 15d TMG Verpflichteten bereits über eine Schnittstelle zur Übermittlung und zum Empfang elektronischer Dokumente im Bereich der Telekommunikationsüberwachung verfügen. Ebenso verfügt das BKA über eine solche ETSI-ESB. Zur Vermeidung unnötiger Investitionen auf Seiten der Provider sollte die Nutzung dieser alternativen sicheren Kommunikationskanäle in jedem Fall erlaubt werden. Zudem braucht es eine klarere Definition des Begriffs „Kunde“. Aktuell ist unklar, ob darunter sowohl private als auch juristische Personen fallen.
