Nach dem Gesetzentwurf ist in keinem der geregelten Auswertungsfälle ein Richtervorbehalt vorgesehen. Wir haben es eben von Dr. Genthe gehört. Daten können also nicht nur automatisiert, sondern auch manuell ausgewertet werden, und dies bedarf selbst in besonders schwerwiegenden Fällen, also etwa in solchen, in denen der konkrete Kommunikationsinhalt manuell ausgewertet wird und die daher einen besonders tiefen Eingriff in die
Grundrechte der Betroffenen darstellen, lediglich der Anordnung der Behördenleitung und eines zum Richteramt befähigten Beschäftigten der Behörde bzw. der Aufsichtsbehörde.
Bestehen also bei der Auswertung von Verkehrsdaten schon verfassungsrechtliche Bedenken, so gilt dies erst recht, wenn es um den Kommunikationsinhalt geht. Es ist nicht nachvollziehbar, weshalb die verfassungsrechtlichen Bedenken nicht durch das Vorsehen eines Richtervorbehalts minimiert werden. Wir schließen uns der Kritik der Landesbeauftragten für den Datenschutz an und sehen ebenfalls zwingend die Notwendigkeit eines Richtervorbehalts. Nur so kann das Vertrauen der Bürger in eine digitale Verwaltung geschaffen und gestärkt werden und bestehenden Befürchtungen bezüglich eines Datenmissbrauchs entgegengewirkt werden.
Danke schön, Herr Kollege Ahrends. - Den Reigen der Fraktionsredner schließt der Kollege Sebastian Lechner, CDU-Fraktion. Bitte sehr!
Herr Präsident! Meine verehrten Kolleginnen und Kollegen! Erst einmal bin ich und ist die ganze CDU-Fraktion sehr froh, dass wir diesen Gesetzentwurf heute verabschieden. Er ist aus unserer Sicht ein Meilenstein, wenn es um die Förderung der Digitalisierung und der Verwaltung in Niedersachsen geht. Er ist insbesondere auch ein Meilenstein, wenn es darum geht, unsere eigenen Landesnetze - die IT-Infrastrukturen, die wir haben - tatsächlich vor Angriffen zu schützen.
Ich bedanke mich bei unserem Koalitionspartner und beim Innenminister, nicht nur für die Vorlage des Entwurfs, sondern auch dafür, dass sie bei dem Änderungsvorschlag, den wir eingebracht haben, der durchaus umfassend war und auch noch andere Änderungen eingepflegt hat, mitgemacht haben. Ich bin der festen Überzeugung, dass dieser gemeinsame Änderungsvorschlag der CDU und der SPD diesen Gesetzentwurf noch ein Stückchen besser gemacht hat.
Ja, wir führen sogenannte Intrusion Detection Systeme ein, und ja, diese Systeme werden den gesamten Datenverkehr an den Übergabeknotenpunkten scannen.
Wir führen auch sogenannte Security Incident and Event Management Systeme ein, die auch die Log-Verfahren auf den Arbeitsplatzrechnern scannen. Die Technik, die wir dort einführen, ist im privaten Bereich, in der Wirtschaft und auch bei kritischen Infrastrukturen mittlerweile Standard,
und die Datenschutz-Grundverordnung schreibt in Artikel 32 vor, dass private und personenbezogene Daten durch den aktuellen Stand der Technik geschützt werden sollen.
Das, was wir dort machen, ist gelebter Datenschutz im Sinne der Datenschutz-Grundverordnung und nichts anderes.
Sie haben gerade gesagt, die DatenschutzGrundverordnung schreibt vor, dass die Daten nach dem aktuellen Stand der Technik geschützt werden sollen, haben in diesem Zusammenhang
aber Verfahren dargestellt, die die Daten lediglich speichern. Inwiefern kann eine Speicherung von Daten automatisch zu deren Schutz dienen?
Herr Bode, ich habe gesagt, dass die Verfahren, die ich eben dargestellt habe, den Datenverkehr im Landesnetz scannen. Die Speicherung kommt später. Rein technisch funktioniert das so: Wenn ich z. B. eine Mail bekomme und sie öffne, wird sie nach bestimmten Signaturen bzw. mithilfe künstlicher Intelligenz nach Anomalien durchsucht. Die zweite Stufe, die Speicherung, kommt erst, wenn es Auffälligkeiten gibt. Wenn es keine Auffälligkeiten gibt, geht der Datenverkehr durch. Das heißt, diese Systeme sind Scanner, sie sind keine Speicher.
Das Schutzsystem, das wir einführen, ist also sehr differenziert. Es besteht aus mehreren Stufen. Gespeichert werden die Daten erst dann, wenn es tatsächliche Anhaltspunkte für Gefahren gibt. Ausgewertet werden diese gespeicherten Daten zunächst automatisiert. Zu einer manuellen Auswertung kommt es erst, wenn es tatsächlich weitere hinreichende Anhaltspunkte für Gefahren gibt.
Dieses Verfahren ist gelebte Praxis beim BSI. Das ist nichts Neues; das ist Standard. Dieses Verfahren ist notwendig, um unsere IT-Infrastrukturen zu schützen.
- Geschützt werden die Daten, wenn klar ist, dass eine Gefahr besteht. Dann kommen sie in Quarantäne, werden abgekapselt, und es werden weitere Untersuchungen vorgenommen. Zur Not werden die Inhalte gleich gelöscht, sodass sie nicht mehr das gesamte IT-System infiltrieren können.
Ich will Ihnen auch etwas zu der verfassungsrechtlichen Bewertung sagen. Der große Unterschied zu den Überwachungsmaßnahmen, die wir beim Polizeigesetz diskutiert haben und bei denen man tatsächlich auf das individuelle Verhalten des Einzelnen schließen kann, ist, dass wir mit den hier
vorgesehenen Maßnahmen gerade nicht auf das Verhalten des Einzelnen schließen wollen. Hier geht es um eine technische Auswertung der Inhaltsdaten und der Verkehrsdaten. Was die Inhaltsdaten betrifft, geht es darum, Schadsoftware zu erkennen; die kommunikative Bedeutung dieser Daten wird durch das Gesetz ja explizit ausgeschlossen. Praktisch geht es darum, zu verhindern, dass über die Öffnung eines E-Mail-Anhangs eine Infiltrierung stattfinden kann.
Ich will Ihnen ein Beispiel aus meiner Heimatstadt Neustadt am Rübenberge nennen. Dort haben wir diese Systeme nicht gehabt. Über einen Virus wurde ein Arbeitsplatzrechner infiltriert. Hätten wir diese Systeme gehabt, hätten wir das vielleicht gemerkt. Der Virus hat bestehende Sicherheitslücken ausfindig gemacht, einen Datenkanal nach außen aufgebaut und weitere Schadsoftware nachgeladen. Diese Schadsoftware hat sich über sechs Monate durch das System gefressen, bis sie irgendwann zum Server kam, und dort angekommen dann die gesamten Daten verschlüsselt.
So einen Angriff möchte ich in der Landesverwaltung nicht erleben. Das wäre eine Katastrophe. Das müssen wir mit allen Mitteln verhindern.
Weil Sie den vorliegenden Gesetzentwurf gerade mit einem Vergleich zum Polizeigesetz verteidigt und dabei ausdrücklich auf die Unterschiede zum Polizeigesetz hingewiesen haben, frage ich Sie: Darf ich das so verstehen, dass Sie die Verfassungswidrigkeit des Polizeigesetzes an der Stelle mittlerweile anerkennen?
Ich wollte Ihnen erläutern - und das werde ich auch noch -, was der qualitative Unterschied ist und warum es bei dem, was wir hier machen, keines Richtervorbehalts bedarf, während wir im Polizeigesetz bei allen notwendigen Maßnahmen, die wir dort eingeführt haben, einen Richtervorbehalt vorgesehen haben. Aus meiner Sicht sind dortige Verfahren und auch die Konsequenzen, die wir da haben, verfassungsgemäß und völlig richtig.