Ab 14:30 Uhr ging am Montagmittag erst einmal nichts mehr im Deutschen Bundestag – das Netzwerk, E-Mail, gemeinsame Laufwerke und die Drucker waren offline. Die bestätigte ein Sprecher auf Anfrage von heise online.

Parallel zu den Waffenstillstands-Verhandlungen, die wenige Meter weiter im Bundeskanzleramt mit dem ukrainisichen Präsidenten Wolodimir Selenskyj, Donald Trumps Schwiegersohn Jared Kushner und dem US-Sondergesandten Steve Witkoff stattfinden, ein gezielter Angriff auf die Bundestags-IT? Und das, nachdem erst am vergangenen Freitag das Auswärtige Amt die Bundesregierung den russischen Botschafter einbestellt hatte – wegen Desinfomations- und IT-Sicherheitsvorfällen, welche die Nachrichtendienste der Bundesrepublik klar russischen Akteuren zuschreiben? Sollte es sich um eine Machtdemonstration, etwa der Fancy Bear getauften, und auch als Advanced Persistent Threat 28 (APT28) identifizierten Einheit des russischen Militärgeheimdienstes GRU handeln? Der sich schon in der Vergangenheit im Bundestagsnetzwerk zu schaffen gemacht haben soll?

Systeme laufen wieder, Ausfallursache unklar

Die Aufregung jedenfalls war unter Abgeordneten, Mitarbeitern und Medien am Montagnachmittag ausgesprochen groß. Erst nach mehreren Stunden kamen die Netze wieder ans Laufen. Was genau passiert ist, darüber herrscht derzeit noch keine Klarheit, betont ein Sprecher der Verwaltung des Bundestags. „Routinemäßig“ sei das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinzugezogen worden – was in der Vergangenheit nicht immer der Fall war, da das BSI als Exekutivbehörde eigentlich nicht für die gesetzgebende Gewalt, das Parlament, zuständig ist. Am frühen Abend, so der Sprecher, seien die Systeme nach und nach wieder in Betrieb genommen worden. Er betonte: „Die Ursache für die Störung ist aktuell weiter offen.“ Allerdings spricht die schnelle Wiederinbetriebnahme gegen den Verdacht, dass diese nachhaltig kompromittiert sein könnten.

Der Bundestag steht immer wieder im Fokus von Angriffen. Das Parlament verfügt dabei über gleich mehrere, voneinander teilweise unabhängige IT-Infrastrukturen. Die Methoden schwanken dabei von manipulierten USB-Sticks über gestreute Attacken auf Office-Produkt bis hin zu gezieltem Spearphishing gegen einzeln Akteure. Der Bundestag selbst betreibt ein Netzwerk für die Arbeitsplatzrechner und Drucker der Abgeordneten und Mitarbeiter sowie der Parlamentsverwaltung. Die Bundestagsfraktionen wiederum nutzen teils eigene IT-Infrastruktur. Dazu kommt ein WLAN im Bundestag, das weitgehend vom Rest der Netze separiert ist – und auch vom heutigen Ausfall nicht betroffen gewesen sein soll.

(nie)

Eine große Zahl von Vereinen und Politiker:innen hat das geplante Digitalpaket der EU-Kommission bereits scharf kritisiert. Nun meldet sich auch die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) zu Wort – und reiht sich in die Liste der Kritiker:innen des sogenannten „Digitalen Omnibus“ ein. Vergangene Woche hatte die Konferenz in Berlin die geplanten Änderungen an mehreren EU-Digitalgesetzen diskutiert und zwei eigene Reformvorschläge gemacht.

Die Berliner Datenschutzbeauftragte und amtierende DSK-Vorsitzende Meike Kamp bezeichnet die Änderungsvorschläge als „an vielen Stellen nicht bis zu Ende gedacht“. Mit dem Sammelgesetz drohten neue Unklarheiten im Datenschutzrecht. Einfache Änderungen, die kleine und mittlere Unternehmen tatsächlich entlasten würden, lasse die Kommission liegen, so der Vorwurf. „Das selbst gesetzte Ziel des Bürokratieabbaus erfüllt die EU-Kommission damit nicht“, so Kamp weiter.

Anders als von der Kommission dargestellt, handelt es sich nach Ansicht der DSK bei den Vorschlägen nicht nur um kleinere oder technische Anpassungen. Die Änderung der Definition von personenbezogenen Daten gehe beispielsweise an das Fundament der DSGVO.

„Unangemessener“ Zeitdruck

Entsprechend kritisch sehen die Behörden das gewählte Omnibusverfahren, das auf schnelle Gesetzesänderungen abzielt. Der Zeitdruck sei „unangemessen“, warnen sie. Reformen dieser Tragweite müssten sorgfältig durchdacht und auch mit den Aufsichtsbehörden abgestimmt werden.

Die DSK bringt daher eigene Reformideen als Alternative zu den Kommissionsplänen ein, so etwa zu Datenschutz und sogenannter KI (PDF). Mit Blick auf die Verarbeitung personenbezogener Daten brauche es spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systemen. Diese sollen einerseits zeigen, unter welchen Voraussetzungen die Daten verarbeitet werden dürfen, und andererseits, was klar verboten ist.

Außerdem fordert die DSK die Europäische Union dazu auf, die Betroffenenrechte beim KI-Einsatz in der DSGVO verankern. Das heißt konkret: Die betroffenen Personen müssen darüber informiert werden, wenn ihre personenbezogenen Daten in einem KI-System verarbeitet werden. Außerdem sollen sie Auskunft darüber erhalten können, ob und wie ein KI-System ihre Daten verarbeitet. Hier gebe es bislang eine Regelungslücke.

Gleichzeitig betont die DSK, dass es in der Praxis Schwierigkeiten bei der Verwirklichung von Betroffenenrechten gebe. Für Fälle, in denen die Rechte nur mit „unverhältnismäßigem Aufwand“ umgesetzt werden können, brauche es daher alternative, gleichwertige Schutzmechanismen.

Mehr Verantwortung für Hersteller und Anbieter

Zudem will die DSK die Hersteller und Anbieter von IT-Produkten und -Diensten stärker in die datenschutzrechtliche Verantwortung nehmen (PDF). Diese sollen künftig darauf achten, dass der Datenschutz bereits bei der Gestaltung ihrer Produkte berücksichtigt wird. Aktuell liegt die rechtliche Verantwortung allein bei denjenigen, die die Produkte nutzen. Kamp zufolge seien insbesondere kleine und mittlere Unternehmen (KMU) oft nicht dazu in der Lage, gegenüber großen Herstellern datenschutzkonforme Prozesse durchzusetzen. Eine Haftung der Hersteller würde sie entlasten.

Damit unterstützt die DSK nach eigenen Aussagen ein Ziel des Bundeskanzlers und der Regierungschefs der Länder aus der föderalen Modernisierungsagenda. Doch die Idee der Herstellerhaftung ist nicht neu. Bereits in ihrer ersten Evaluation der DSGVO vor sechs Jahren hatte die DSK einen solchen Vorschlag gemacht (PDF).

In den kommenden Wochen will die Datenschutzkonferenz den Vorschlag der Kommission weiter im Detail analysieren und eine ausführlichere Stellungnahme abgeben, kündigt Kamp an. Dazu werde sie mit anderen europäischen Datenschutzbehörden zusammenarbeiten.