Innenausschuss: EU-Richtlinie zur Cybersicherheit soll in nationales Recht umgesetzt werden

Innenausschuss: EU-Richtlinie zur Cybersicherheit soll in nationales Recht umgesetzt werden

Mehrheit für erweiterte Befugnisse der Sicherheitsbehörden bei Durchsuchungen und Kontrollen

Aufgrund der seit Jahren rapide zunehmenden Bedeutung von Cybersicherheit hat die EU im Anschluss an vorausgegangene Rechtsakte zu diesem Bereichdie NIS-2-Richtlinie (Network an Information Security Directive) erlassen. Sie soll die Cyber- und Informationssicherheit von systemrelevanten Unternehmen und Institutionen unionsweit regeln und enthält Bestimmungen, wie sich diese auf potenzielle Cyberattacken vorzubereiten bzw. mit erfolgten Cybercrime-Vorfällen umzugehen haben. Die Richtlinie muss von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. ÖVP und Grüne haben daher einen Initiativantrag vorgelegt, mit dem das Informationssystemsicherheitsgesetz 2024 (NISG 2024) erlassen und das Telekommunikations- sowie das Gesundheitstelematikgesetz geändert werden sollen (4129/A).

Mit den Stimmen von ÖVP und Grünen und unter Einbeziehung eines von ihnen eingebrachten Abänderungsantrags passierte der Antrag heute mehrheitlich den Innenausschuss. In einem dazu abgehaltenen Expertenhearing zeigten sich Othmar Lendl von GovCert Austria und Sebastian Kneidinger von epicenter.works geteilter Meinung. Während Lendl trotz Kritikpunkten das Gesetz für notwendig hielt, sprach sich Kneidinger für eine Neuausarbeitung aus – unter anderem wegen der aus seiner Sicht überschießenden Befugnisse zur Datenverarbeitung. Ähnlich verhielt es sich zwischen der ÖVP, die die Bedeutung des Gesetzes für die Cybersicherheit herausstrich, und der Opposition, die ebenfalls Möglichkeiten zur „Massenüberwachung“ befürchtete. Innenminister Gerhard Karner hob die Relevanz hoher gemeinsamer Cybersicherheitsstandards hervor, bei deren Implementierung er dem Grundsatz „Beraten statt Strafen“ folgen wolle.

Eine Mehrheit von ÖVP und Grünen erhielt heute auch eine von den Koalitionsfraktionen initiierte Novelle des Sicherheitspolizeigesetzes (SPG). Damit sollen einerseits die Möglichkeiten der Sicherheitsbehörden für Durchsuchungen und Überwachungen erweitert und andererseits der behördeninterne und -externe Informationsaustausch zur Strafrechtspflege an die modernen Kommunikationsmöglichkeiten angepasst werden (4132/A).

KARNER SETZT AUF BEI CYBERSICHERHEIT AUF „BERATEN STATT STRAFEN“

In seiner einleitenden Stellungnahme betonte Innenminister Gerhard Karner die „intensive Vorarbeit“ für das Gesetzesvorhaben, in die zahlreiche Experte:innen und Stakeholder eingebunden gewesen seien – unter anderem von der Wirtschaftskammer und der Industriellenvereinigung. Wie notwendig es sei, im Bereich der Cybersecurity auch auf nationaler Ebene Fortschritte zu erzielen, demonstriere nicht zuletzt die Kriminalstatistik. Cybercrime sei einer der am stärksten im Steigen begriffenen Deliktsbereiche, berichtete Karner. Ziel müsse es sein, die Widerstandsfähigkeit im IKT-Bereich zu erhöhen und die Reaktionszeit bei Vorfällen zu verkürzen. Dafür benötige es EU-weit möglichst einheitliche Standards. Karner sei klar, dass dies für die 3.000 bis 4.000 betroffenen Organisationen einen erheblichen Aufwand bedeute. Daher sei auch schon früh etwa mit Informationsveranstaltungen zur NIS-2-Richtlinie gestartet worden. Bei der Umsetzung in österreichisches Recht habe nun die Devise „Beraten statt Strafen“ zu gelten und „Gold Plating“ (die unerwünschte Übererfüllung von EU-Mindeststandards) vermieden zu werden, so Karner.

EXPERTEN GETEILTER MEINUNG

Aufgrund ihrer heutigen Bedeutung für das gesellschaftliche Leben, müsse die Cybersicherheit ebenso ernsthaft wie der Brandschutz oder die Verkehrssicherheit betrieben werden, zeigte sich Othmar Lendl von GovCert Austria überzeugt. Der regulatorische Druck auf die Unternehmen werde zwar „initial ein Schnaufen“ erzeugen, jedoch längerfristig einen „Reifeprozess“ in vielen Unternehmen auslösen. Das Gesetz biete Anlass, sich zum Thema Cybersicherheit „Gedanken zu machen“ und jene Maßnahmen umzusetzen, die „schon längst“ hätten gesetzt werden sollen, erklärte Lendl. Kritik übte er am „engen Korsett“ der EU-Richtlinie, die kaum Spielraum lasse, etwa Anregungen aus Stellungnahmen einfließen zu lassen. Generell sprach er sich jedoch für das vorgeschlagene „nicht ganz perfekte“ Gesetz aus, da es besser sei als keines.

Anders sah dies Sebastian Kneidinger von epicenter.works, der eine Neuausarbeitung des Gesetzes empfahl. Auch er ortet einen „dringenden Nachholbedarf“ Österreichs beim Thema Cybersicherheit. Der Entwurf scheitere jedoch an einer „durchdachten und zielgerichteten“ Umsetzung. Kneidinger bemängelte insbesondere die Ansiedelung der gesamten Materie in Form einer Cybersicherheitsbehörde beim Innenministerium. Hier könnten Zielkonflikte zwischen den Ansprüchen der Cybersicherheit und jenen der Strafverfolgung entstehen. So sei es möglich, dass der „moralisch richtige Umgang mit Cybersicherheitslücken“ – deren Meldung – bestraft werde. Kneidinger schlug als Gegenmodell die Schaffung einer unabhängigen Stelle vor. Einer seiner zentralen Kritikpunkte war auch die aus seiner Sicht überschießende Möglichkeit zur Datenverarbeitung. Aufgrund der vorgeschlagenen gesetzlichen Ausgestaltung bestehe die Gefahr einer „anlasslosen Massenüberwachung“, so Kneidinger.

ÖVP BETONT NOTWENDIGKEIT DES GESETZES, OPPOSITION FÜRCHTET „MASSENÜBERWACHUNG“

Grundsätzliche Auffassungsunterschiede zeigten sich auch unter den Fraktionen. So betonte Eva-Maria Himmelbauer (ÖVP) die Bedeutung und die Notwendigkeit des vorgeschlagenen Gesetzes. Diese Einschätzung hätten auch zahlreiche Stakeholder geteilt, die in die Beratungen rund um das Gesetz eingebunden worden seien. Ein Experte des Ressorts führte ebenfalls die „intensiven Gespräche“ an, die etwa mit dem Datenschutzrat oder Betroffenen aus dem Gesundheitsbereich geführt worden seien.

Anders bewertete dies Katharina Kucharowits (SPÖ). Laut ihr seien weder die Zivilgesellschaft noch das Parlament – insbesondere die Opposition – wirklich miteinbezogen worden. Zudem kritisierte sie das „Superministerium“, das durch die Einrichtung der Cybersicherheitsbehörde im Innenressort kreiert werde und befürchtete im Zusammenhang mit der aus ihrer Sicht überbordenden Befugnis zur Datenverarbeitung eine „Vorratsdatenspeicherung durch die Hintertür“.

FPÖ-Mandatar Hannes Amesbauer teilte die Sorge vor einer „Massenüberwachung“. Ein Experte des Ministeriums bestritt dies und führte den „engen Austausch“ mit der Datenschutzbehörde ins Feld. Amesbauer stieß dich außerdem am bürokratischen Aufwand für die Unternehmen und sprach von einer „unausgegorenen Lösung“. Stephanie Krisper (NEOS) fragte nach etwaigen überschießenden Strafbestimmungen, die seitens des Ressorts ebenfalls in Abrede gestellt wurden.

NOVELLE DES SICHERHEITSPOLIZEIGESETZES

Die vorgeschlagene Novellierung des SPG sieht unter anderem die Wiedereinführung des Einsatzes von Kennzeichenerkennungsgeräten vor – mit angepassten datenschutzrechtlichen Bestimmungen. Ein Erkenntnis des Verfassungsgerichtshofs (VfGH) von 2019 hatte die damalige Ermächtigung zur Datenerfassung- und Speicherung als zu weitgehend eingestuft. Außerdem sollen die Befugnisse der Sicherheitsbehörden im Zusammenhang mit der besonderen Durchsuchungsanordnung erweitert werden. Diese soll künftig nicht mehr nur im Rahmen bestimmter Großveranstaltungen erlassen werden können, sondern auch bei „besonders gefahrengeneigten“ Einrichtungen.

Weiters ist eine von den Sicherheitsbehörden gemeinsam geführte Datenverarbeitung („Aktenindex“) geplant sowie die Schaffung einer Rechtsgrundlage für die sichere elektronische Kommunikation zwischen den Sicherheitsbehörden und unter anderem Gerichten, Staatsanwaltschaften und Vollzugsbehörden. Außerdem soll es etwa bei Geiselnahmen, Katastrophenfällen oder Staatsbesuchen möglich werden, Bild- und Tondaten in Echtzeit an die Landesleitzentralen und an das Lagezentrum des Innenministeriums (BMI) zu übermitteln.

Die Novelle habe eine „lange Vorgeschichte“, berichtete Georg Bürstmayr (Grüne) und erklärte, dass zahlreiche Kritikpunkte bei der Erarbeitung des Gesetzes aufgenommen worden seien. Der nun vorliegende Initiativantrag beinhalte eine „Serie vernünftiger Schritte“, um die „Polizeiarbeit ins 21. Jahrhundert zu tragen“ und gleichzeitig  die Grundrechte von Betroffenen zu schützen.

Stephanie Krisper (NEOS) signalisierte die Ablehnung ihrer Fraktion für den Antrag, da er aus ihrer Sicht den Erkenntnissen des VfGH nicht nachkomme und die darin enthaltenen Maßnahmen ein „generelles Gefühl der Überwachung“ in der Bevölkerung schaffen würden.

Während Christian Ries (FPÖ) zwar die Wiedereinführung der Kennzeichenerkennungsgeräte für sinnvoll hielt, zeigte er sich von der Neuregelung der besonderen Durchsuchungsanordnung nicht überzeugt. Der vorgeschlagene Gesetzestext weise Unklarheiten bezüglich der betroffenen Örtlichkeiten und Anlassfälle auf. Zudem bemängelte Ries, dass Plätze wie der Reumannplatz in Wien, wo es wiederholt zu Angriffen komme, nicht für die Durchsuchungsanordnung in Frage kämen.

Auch SPÖ-Abgeordneter Reinhold Einwallner sah das Gesetz als „legistisch nicht sauber gemacht“ an, da es „überschießende Überwachungsmaßnahmen“ ermögliche. Auch bezüglich der Kennzeichenerfassung ortete er noch Unklarheiten, was wieder den VfGH auf den Plan rufen könnte. (Schluss Innenausschuss) wit

————————-

Pressedienst der Parlamentsdirektion
Parlamentskorrespondenz
Tel. +43 1 40110/2272
pressedienst@parlament.gv.at
http://www.parlament.gv.at
www.facebook.com/OeParl
www.twitter.com/oeparl

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS. www.ots.at
© Copyright APA-OTS Originaltext-Service GmbH und der jeweilige Aussender