„Gesetz zur Neuordnung der Informationssicherheit im Freistaat Sachsen“

Es gilt das gesprochene Wort!

Sehr geehrter Herr Präsident,

liebe Kolleginnen und Kollegen,

Der britische Science-Fiction-Autor John Brunner schrieb in seinem dystopischen Roman „Der Schockwellenreiter“ von 1975: „Es sind diese entsetzlich tüchtigen Leute, die mit ihren präzise funktionierenden Fischgehirnen Menschen auf Stückgut, auf Menschenmaterial, auf Zahlenkombinationen reduzieren, um sie in den Griff zu bekommen, um sie als numerische Größe in ihren Kalkülen handhaben zu können.“ In diesem Roman hat er unter anderem die digitale Welt von heute vorgeahnt: Dort tummeln sich Hacker, Computerwürmer, Computerviren und Online-Kummerkästen.

44 Jahre später gibt es das alles. Und nun soll es auch ein Sächsisches Informationssicherheitsgesetz geben. Unbestritten besteht Handlungsbedarf: Das Innenministerium erklärte am 8. Oktober 2017, dass die IT-Netze der sächsischen Verwaltung im ersten Halbjahr 2017 rund 1.000 Cyberangriffe erfolgreich abgewehrt hätten. Zudem seien mehr als 28.000 Schadprogramme aus dem Internet- und Mailverkehr gefiltert und knapp 38 Millionen SPAM-Mails abgewiesen worden. Im Jahr 2018 haben sich die Zahlen offensichtlich dramatisch weiterentwickelt, 80 Millionen Spam-Mails und 100.000 Viren in Emails. Die grundsätzliche Zielrichtung des Gesetzentwurfs unterstützen wir auch.

Der Teufel steckt wie immer im Detail: Welche konkreten Kosten entstehen? Was ist bei Daten von Berufs- und Amtsgeheimnisträgern? Was ist bei Zweckänderungen von Datenerhebungen? Können Daten von Abgeordneten an Verfassungsschutzbehörden übermittelt werden, wenn das Innenministerium zustimmt?

Zu den Kosten hat der Sächsische Normenkontrollrat umfassend Stellung genommen. Er kommt zu folgendem Ergebnis: Das Innenministerium habe den Erfüllungsaufwand nur teilweise dargestellt. Es ergebe sich ein lückenhaftes Bild der zu erwartenden Gesetzesfolgen.

In unserem Änderungsantrag haben wir uns ein Beispiel am Saarländischen Entwurf genommen und eine Regelung aufgenommen, nach der auch geschützte Träger von Berufs- oder besonderen Amtsgeheimnissen zu unterrichten sind, soweit deren Datenverarbeitung berührt ist. Dieser Entwurf stand auch Pate für die von uns vorgeschlagene Ergänzung, nach der die strenge Zweckbindung der Auswertung von Daten hervorzuheben ist und es insbesondere untersagt ist, dass die Daten für Leistungskontrollen oder Ähnliches verwendet werden dürfen.

Der gravierendste Mangel an dem vorliegenden Gesetzentwurf aber ist die nunmehr durch den Änderungsantrag der Koalition hineingenommene Befugnis zur Übermittlung von Abgeordnetendaten an das Landesamt für Verfassungsschutz in § 2 Absatz 2 Satz 2 SächsISichG iVm. § 13 Absatz 7 Nummer 3 SächsISichG, die lediglich unter den Vorbehalt einer Zustimmung des Staatsministeriums des Innern (§ 13 Absatz 7 Satz 5 Halbsatz 1 SächsISichG) gestellt ist.

Das Bundesverfassungsgericht hat durch Beschluss vom 17. September 2013[1] Fragen der Beobachtung von Abgeordneten durch Behörden des Verfassungsschutzes einer verfassungsrechtlichen Klärung zugeführt. Demzufolge ist dies überhaupt nur unter strengen Voraussetzungen, der strikten Einhaltung des Verhältnismäßigkeitsgrundsatzes und nur im Ausnahmefall denkbar. Die zu treffende Abwägung zwischen den Interessen des Parlaments und des gewählten Abgeordneten einerseits sowie der im Sinne der „streitbaren Demokratie“ agierenden Exekutive andererseits, die „Synthese aus ‚streitbarer Demokratie‘ und der Idee des auf gegenseitige Toleranz angelegten parlamentarisch-demokratischen Rechtsstaats“ bedürfen, auch soweit es um die Beobachtung von Abgeordneten durch Behörden des Verfassungsschutzes geht, einer Entscheidung des parlamentarischen Gesetzgebers. Das Parlament muss selbst die wesentliche Entscheidung treffen, ob es eine Beobachtung seiner Mitglieder – im Rahmen des verfassungsrechtlich Erlaubten – zulässt oder nicht und unter welchen Voraussetzungen dies der Fall sein soll.

Die Befugnis zur Übermittlung von Abgeordnetendaten an das Landesamt für Verfassungsschutz, die lediglich unter den Vorbehalt einer Zustimmung des Staatsministeriums des Innern gestellt ist, ist keine verfassungskonforme Ausgestaltung dieser Vorgaben des Bundesverfassungsgerichts, da hier keinerlei bestimmbare Kriterien zur Abwägung im Einzelfall unter Beachtung des Verhältnismäßigkeitsgrundsatzes normiert sind. Es handelt sich um einen landesgesetzgeberischen Abwägungstotalausfall, da weder das Gesetz selbst noch die in Bezug genommene Informationssicherheitsleitlinie – hier stellt sich ohnehin die Frage des Wesentlichkeitsgrundsatzes, ob der Landesgesetzgeber dies auf eine untergesetzliche Norm delegieren kann – irgendwelche wie auch immer geartete Voraussetzungen ausformuliert. Die Delegation einer Abwägung – wenn sie denn überhaupt erfolgt – auf das Staatsministerium des Innern stellt zudem einen Verstoß gegen den Grundsatz der Gewaltenteilung und das Rechtsstaatsprinzip dar, da in Bezug auf die Mitglieder des Landtags nur das betreffende Organ selbst und nicht die Exekutive eine Zustimmung im Einzelfall erteilen darf.

Die von uns bevorzugte Herausnahme des Sächsischen Landtags aus dem Anwendungsbereich des Gesetzes folgt dem Vorbild des § 2 Absatz 3 Satz 2 des BSI-Gesetzes und entspricht dem gegenwärtigen Stand der parlamentarischen Befassung über ein Informationssicherheitsgesetz im Saarland, das seit dem 6. März 2019 im Landtag des Saarlands beraten wird. Mit dieser erforderlichen Änderung wird das verfassungsmäßige Prinzip der Gewaltenteilung gewahrt sowie der Funktion und Rolle des Parlaments als eigenständigem Legislativorgan in der nach der Verfassung gebotenen Weise entsprochen, das insoweit ebenso wie beispielsweise der Sächsische Verfassungsgerichtshof als Verfassungsorgan vom Anwendungsbereich dieses Gesetzes ausgenommen wird. Und ja, wir können uns als Lösung der daraus entstehenden Herausforderung nähern, dass dann für die Abgrenzung der Landtag ein eigenständiges IT-Netz aufbauen müsste oder sollte mit allen Konsequenzen. Dass sich der Landtag eine eigenständige Informationssicherheitsleitlinie geben kann, bleibt ihm unbenommen und muss nicht gesondert im Wortlaut des Gesetzes verankert werden. Nach alledem bitten wir um Zustimmung zu unserem Änderungsantrag. Anderenfalls können wir diesem Gesetz in der vorliegenden Fassung unsere Zustimmung nicht geben.

Um Brunners Zitat vom Anfang aufzugreifen: Unklar ist, wer die Überhand gewinnt. Die Utopisten oder die Dystopisten. Wir werden es in jedem Fall mit den Perfektionisten zu tun haben, diesen entsetzlich tüchtigen Leuten.

Herzlichen Dank für Ihre Aufmerksamkeit!

[1] vgl. BVerfG, Beschluss vom 17. September 2013, – 2 BvE 6/08–, BVerfGE 134, 141-202 (Bodo Ramelow); https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2013/09/rs20130917_2bvr243610.html.