Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder kritisiert den Gesetzentwurf der Bundesregierung zur Stärkung der Sicherheit in der Informationstechnik des Bundes (BSI-Gesetz). In einer einstimmig angenommenen Entschließung warnen sie davor, dass die zur Stärkung der IT-Sicherheit vorgesehenen Maßnahmen zu Lasten des Datenschutzes gehen.
Das Bundeskabinett hatte am 14. Januar 2009 den Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes beschlossen (BR 62/09). Mit dem Gesetz sollen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) umfassende Befugnisse eingeräumt werden, um Gefahren für die Sicherheit der Informationstechnik des Bundes abzuwehren. Weiter sollen aber zugleich auch das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG) geändert werden.
Der Bundesdatenschutzbeauftragte Peter Schaar sagt dazu: „Der Gesetzentwurf ist unausgewogen und deshalb dringend verbesserungsbedürftig. Insbesondere muss der Gesetzgeber unmissverständlich klarstellen, dass die Erhebung und Auswertung personenbezogener Daten ultima ratio ist. …“
Bemängelt wird, dass die Stärkung der IT Sicherheit durch Maßnahmen erreicht werden soll, die eine detaillierte Registrierung und Auswertung des Nutzerverhaltens und sogar der Inhalte der Kommunikation ermöglichen. Entsprechende Ansätze gibt es nun auch in der Bundesverwaltung. So sieht der Gesetzentwurf vor, dem BSI sehr weitgehende Befugnisse einzuräumen. Kritisch sei nach Ansicht der Aufsichtsbehörden insbesondere
1. die Ermächtigung des BSI, die gesamte Sprach- und Datenkommunikation aller Unternehmen, Bürgerinnen und Bürger mit Bundesbehörden ohne Anonymisierung bzw. Pseudonymisierung zu überwachen und auszuwerten (§ 5),
2. die vorgesehene Datenübermittlung an Strafverfolgungsbehörden, insbesondere bei nicht erheblichen Straftaten, wenn sie mittels Telekommunikation begangen werden (§ 5 Abs. 4) und
3. die fehlende Verpflichtung des BSI, Informationen über ihm bekannt gewordene Sicherheitslücken und Schadprogramme zu veröffentlichen und damit Unternehmen, Bürgerinnen und Bürger vor (zu erwartenden) Angriffen (Spionage und Sabotage) zu warnen (§ 7).

Äußerst bedenklich sei darüber hinaus die Regelung, dass im Zweifelsfall allein das Bundesministerium des Innern entscheiden darf, ob Daten dem Kernbereich der privaten Lebensgestaltung zuzuordnen sind und wie damit weiter zu verfahren ist (§ 5 Abs. 6). In solchen Zweifelsfällen seien diese Daten besser zu löschen oder einem Richter zur Entscheidung vorzulegen.