Referat 27 - IT-Sicherheitsbehörden
Das Referat 27 ist für die datenschutzrechtliche Beratung und Kontrolle der IT-Sicherheitsbehörden des Bundes zuständig. Für die Aufrechterhaltung der gesellschaftlichen, wirtschaftlichen und politischen Prozesse einer digitalisierten Gesellschaft bedarf es eines hohen Maßes an Cyber- und Informationssicherheit. Um diese zu erreichen müssen u.a. IT-Sicherheitsbehörden eine zunehmende Menge personenbezogener Daten, wie z.B. IP-Adressen von Angreifern und Opfern, verarbeiten. Trotz des fraglos wichtigen Ziels dieser Datenverarbeitungen muss auch den Interessen der Betroffenen hinreichend Rechnung getragen werden. Dies gilt umso mehr, als diese nicht immer Kenntnis von der Verarbeitung ihrer Daten durch IT-Sicherheitsbehörden erlangen. Aus diesem Grund hat der Gesetzgeber intensivere Kontrollen durch die Datenschutzaufsicht und entsprechende Berichtspflichten der IT-Sicherheitsbehörden vorgesehen.
So muss z.B. das BSI die BfDI jährlich zum 30. Juni über die Anwendung seiner Befugnisse aus §§ 5, 7b und 7c BSIG unterrichten. Es muss etwa darlegen, in wie vielen Fällen es personenbezogene Daten aus der Angriffserkennung an die Strafverfolgungsbehörden übermittelt hat (§ 5 BSIG) oder welche Maßnahmen zur Detektion von Sicherheitslücken es an den Schnittstellen öffentlich erreichbarer informationstechnischer Systeme bestimmter Einrichtungen durchgeführt hat. Das Referat 27 wertet diese Berichte aus und wirkt durch Beratung, Kontrolle und im Bedarfsfall auch durch Aufsichtsmaßnahmen im Sinne der Betroffenen auf eine datenschutzkonforme Anwendung der jeweiligen Befugnisse hin.
Bei bestimmten Befugnissen ist die Eingriffstiefe durch Maßnahmen von IT-Sicherheitsbehörden so gravierend, dass diese nicht ohne das Einvernehmen der Datenschutzaufsicht tätig werden dürfen. Das betrifft z.B. die Möglichkeit nach § 7c BSIG, gegenüber bestimmten Telekommunikationsdiensten anzuordnen, Befehle zur Bereinigung von Schadprogrammen an die informationstechnischen Systeme ihrer Kunden zu verteilen. Referat 27 wird hier im Sinne der Grundrechtsträger als operative Kontrollinstanz tätig und gewährleistet den verfassungsrechtlich garantierten Schutz des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme.
Zudem werden Hinweise und Beschwerden von Bürgerinnen und Bürgern zu datenschutzrechtlichen Problemstellungen im Zusammenhang mit den IT-Sicherheitsbehörden bearbeitet.
Kontakt
Referatsleitung: Herr Ritter
Telefon: +49 (0)228-997799-2700
E-Mail: Referat27@bfdi.bund.de
Zur verschlüsselten Kommunikation mit Referat 27 können Sie von einem Schlüsselserver (z. B. https://keys.openpgp.org) den aktuellsten PGP-Key dieses Referats herunterladen. Zum Abgleich finden Sie hier den zugehörigen Fingerabdruck dieses öffentlichen Schlüssels:
66D88D8378EB7582AEAD9CDF0D258EE8FE53E7FC