3. Forum gegen Überwachung, 31. August 2014

Technologie

Wir haben uns auf folgende pressetaugliche Zusammenfassung geeinigt:

Wir treffen uns morgen (Montag) um 17 Uhr im Büro von Simon Kowalewski in der Crellestr. 33; Schöneberg um weitergehende Details eines potentiellen Gesetzesvorschlages zu besprechen, anschließend bringen wir die Debatte ins Netz (wastun-Listen etc).

————– Zusatzinfos vom 01.09.2014 ——————

Vorbemerkung: Es gibt mit Sicherheit viele Wege, ein 'Verschlüsselungsgesetz' zu implementieren. Das folgende ist nur ein Beispiel und steht hier in der Hoffnung, dass es für die Erarbeitung hilfreich ist. Wenn Ihr einen anderen Weg gehen wollt ist das auch OK.

Sichere Kommunikation - gesetzlich verpflichtend im EnWG

Die Art der Kommunikation ist für Smart Metering im EnWG gesetzlich geregelt - und zwar im §21e.

Hier der Link zu dem Gesetzestext: http://www.gesetze-im-internet.de/bundesrecht/enwg_2005/gesamt.pdf Die Passage ist auf Seite 56.

Zur Erläuterung des §21e:

In Absatz (2) wird festgelegt:

Absatz (3) führt den Stand der Technik ein, um

Absatz (4) legt fest, dass es ein Zertifizierungsverfahren gibt, um die oben definierten Standards (oder die Standards, auf die von oben verwiesen wird) im Markt umzusetzen

Absatz (5) legt fest, ab wann nur noch zertifizierte Geräte / Dienstleistungen verfügbar sein dürfen - mit evtl. Ausnahmen

Damit haben wir nun einen gesetzlichen Anker geschaffen, aber nun fehlt noch ein verbindlicher 'Stand der Technik'. Dazu verweist der §21e auf den §21i 'Rechtsverordnungen'. Dort kann man dann auf Seite 58 lesen:

„(1) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates“

heisst also, die Bundesregierung erteilt sich selber das Recht, einen Mindeststandard zu setzen.

Und wie wird dieser nun festgelegt? Da genügt ein Blick in Absatz (1) Punkt 12. Dort wird auf ein Schutzprofil und eine Technische Richtline verwiesen:

„12. im Sinne des § 21e Schutzprofile und Technische Richtlinien für Messsysteme im Sinne von § 21d Absatz 1 sowie für einzelne Komponenten und Verfahren zur Gewährleistung von Datenschutz, Datensicherheit und Anforderungen zur Gewährleistung der Interoperabilität von Messsystemen und ihrer Teile sowie Anforderungen für die sichere Einbindung nach § 21c Absatz 5 Satz 1 vorzugeben und die verfahrensmäßige Durchführung in Zertifizierungsverfahren zu regeln;“

Der Zwang zur Verschlüsselung nach Stand der Technik ist also über drei Dokumente hergestellt

Bleibt noch eine letzte Frage zu klären: Wer kümmert sich um Schutzprofil und Technische Richtlinie? Auch das steht in dem Gesetz, am Ende von §21i auf Seite 60: Die Bundesnetzagentur, das Bundesamt für Sicherheit in der Informationstechnik und die Physikalisch-Technische Bundesanstalt. Hier könnte jetzt auch der CCC, der AK Vorat oder sonst wer stehen - das wäre ja mal was innovatives ;-))

Ich persönlich halte dieses Konstrukt aus Gesetzt, Schutzprofil und technischer Richtlinie für einen guten Ansatz, da daurch zum einen eine gesetzliche Verbindlichkeit geschaffen wird, die propreitäre Lösungen verbietet, der aber gleichzeitig so flexibel ist, dass ohne Gesetzgebungsverfahren der Stand der Technik stetig nachgezogen werden kann.