Der Bundesdatenschutzbeauftragte Peter Schaar sieht die Gesetzespläne zum besseren Schutz vor Cyber-Angriffen skeptisch. "Grundsätzlich habe ich nichts dagegen, wenn Unternehmen und staatliche Stellen mehr für die IT-Sicherheit tun. Aber das darf nicht zulasten des Datenschutzes gehen", sagte Schaar. IT-Sicherheit dürfe nicht als Rechtfertigung für eine ungebremste Datenspeicherung herhalten. "Das wäre eine Vorratsdatenspeicherung durch die Hintertür." Der Kampf gegen Hacker-Angriffe werde allmählich zum Argument, um immer mehr Daten anzusammeln. "Das darf nicht sein." Mit dem geplanten IT-Sicherheitsgesetz will die Bundesregierung besonders gefährdete Infrastrukturen - wie Energie- oder Telekommunikationsnetze - besser vor Hackern schützen. Ziel sind Mindeststandards für die IT-Sicherheit bei den Betreibern solcher Netze. Geplant ist auch, dass diese Unternehmen verpflichtend melden müssen, wenn sie Opfer einer größeren Cyber-Attacke werden.

Schaar: Möglichst wenig personenbezogene Daten speichern
Schaar forderte, rechtlich klarzustellen, dass auch für Zwecke der IT-Sicherheit möglichst wenig personenbezogene Daten gespeichert werden. "Vorgaben zur Datensparsamkeit und dem Vorrang der Verwendung anonymer oder pseudonymisierter Daten fehlen in dem Gesetzentwurf." Er habe dem Bundesinnenministerium seine Bedenken mitgeteilt, aber bisher keine Rückmeldung bekommen. Angesichts der vielfältigen Aktivitäten zur Cyber-Sicherheit in Europa und bei deutschen Behörden dränge sich der Eindruck auf, dass auf verschiedenen Ebenen "einfach Fakten geschaffen werden", kritisierte Schaar. Derzeit liegt der Entwurf bei den betroffenen Branchenverbänden, die dazu Stellung nehmen sollen. Anschließend soll das Vorhaben im Bundeskabinett beraten werden. Es ist aber unwahrscheinlich, dass das Gesetz noch in der laufenden Legislaturperiode in Kraft tritt.

"Es gibt Unternehmen, die die Debatte befeuern"
Schaar warnte vor einem beschleunigten parlamentarischen Verfahren. "Bei einem Gesetz mit solch gravierenden Auswirkungen für den Datenschutz wäre das falsch", sagte er. "Ich rate sehr dazu, dass sich der Bundestag genügend Zeit für die Beratung lässt - nur bitte kein Verfahren im Schnellwaschgang." Der oberste Datenschützer beklagte, beim Kampf gegen Cyber-Angriffe zeige sich "ein gewisser Aktionismus". Dauernd gebe es im In- und Ausland neue Vorkehrungen und Zentren zur Cyber-Abwehr. Eine abgestimmte Strategie sei dabei aber nicht erkennbar. "Das scheint mir nicht sehr koordiniert zu sein." Schaar stellte klar, dass die Gefahr von Cyber-Attacken ohne Zweifel bestehe. "Aber sie wird ziemlich dramatisiert." Er rief zu einer sachlichen Debatte über das Thema auf. "Es gibt auch Wirtschaftsunternehmen, die mit Cyber-Sicherheit ihr Geld verdienen und die Debatte befeuern." Das sei nicht immer hilfreich.

Die deutschen Sicherheitsbehörden sehen eine wachsende Gefahr durch Cyber-Attacken. Laut Innenressort gibt es pro Tag mindestens fünf gezielte Angriffe auf die Netze des Bundes. Ein besonderes Risiko bergen Cyber-Schläge gegen Kraftwerke, Stromnetze oder Krankenhäuser. Auch Angriffe auf Börsen und Banken sind kritisch: Sie könnten das Finanzsystem eines Landes lähmen oder mattsetzen.