Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll durch das Gesetz in die Lage versetzt werden, technische Vorgaben für die Sicherung der Informationstechnik in der Bundesverwaltung zu machen. Dafür räumt der Entwurf dem BSI ein, das Nutzungsverhalten von Internetsurfern aufzuzeichnen, die auf Internetdienste des Bundes zugreifen. Der Entwurf erteilt diese Erlaubnis, um Systemstörungen, Angriffe und Schadprogramme zu erkennen - und damit nahezu uneingeschränkt. Nach dem Gesetzesentwurf dürfte das BSI "Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten" sowie "die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten" (§ 5).

Zusätzlich enthält der Entwurf hinter den eigentlichen Paragrafen einige Detail-Änderungen für bestehende Gesetze, zum Beispiel mit dem Artikel 3 eine Ergänzung des § 15 Telemediengesetz. In dieser Änderung heißt es, dass Internetdienstanbieter ebenfalls Nutzerdaten sammeln. Es bedürfe, so die Begründung, einer Ermächtigung, "die es Diensteanbietern ermöglicht, Nutzungsdaten zu erheben und zu verwenden, falls dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner technischen Einrichtungen erforderlich ist". Die Begründung des Artikel 3 schlüsselt die gemeinten Protokolldaten auf, die von freien und öffentlich-rechtlichen Internetdienstanbietern erhoben werden dürfen: die Kopfdaten der Kommunikationsprotokolle IP, ICMP, TCP, UDP, DNS, HTTP und SMTP. Das Bundesministerium bestätigte auf Anfrage von Linux-Magazin Online: "Richtig ist, dass Diensteanbietern ermöglicht werden soll, Nutzungsdaten, so genannte Protokolldaten oder Logfiles, zu erheben und zu verwenden, falls dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen ihrer technischen Einrichtungen erforderlich ist." Das Ministerium widerspricht jedoch, dass dies uneingeschränkt geschehen könne: "Die Zweckbindung und der Bezug auf die Erforderlichkeit der Speicherung stellen sicher, dass eine unbegrenzte Speicherung von Daten oder die Erstellung eines Surfprofils durch die Regelung nicht legalisiert wird."

Die Gesellschaft für Informatik (GI) entdeckt allein schon in der Protokollierung auf den Servern des Bundes "erhebliche Sicherheitslücken" für den Datenschutz und stellt fest: "Die hier vorgesehene Überwachung schafft den Überwachungsstaat." Der Arbeitskreis Vorratsdatenspeicherung geht noch einen Schritt weiter. Er rückt die Detail-Änderung des § 15 Telemediengesetz in den Vordergrund. Die Datenschützer weisen darauf hin, dass damit auch zum Beispiel Google und Amazon vollständige Nutzerprofile mit Personen- und Verhaltensdaten anlegen dürften. Der Arbeitskreis interpretiert, dass das Innenministerium hinterrücks die Vorratsdatenspeicherung ausweitet: Diese "ungeheuerliche" Änderung sei in einem anderen, sachfremden Gesetz "versteckt", wie es in der Pressemitteilung heißt. Der Entwurf, so Patrick Breyer vom Arbeitskreis zu Linux-Magazin Online, handle nur von den Netzwerken des Bundes. Da bestehen zwar datenschutzrechtliche Bedenken. Aber die angefügte Änderung des Telemediengesetzes geht in eine allgemeinere Richtung. Sie würde die Speicherung jeder Eingabe und jedes Mausklicks beim Lesen, Schreiben und Diskutieren im Internet legalisieren. Laut Breyer wäre zumindest nötig, dass diese Protokolldatensammlung auf Einzelfälle beschränkt würde.

Derzeit protokolliert das Innenministerium bereits, welche IP-Adresse die Internetsurfer auf seiner Webseite besitzen, welche Seiten sie aufrufen und an welchem Tag zu welcher Zeit. Das steht in den Datenschutz-Hinweisen auf der Impressum-Seite des Innenministeriums. Dass es das nicht darf, sagt ein Gerichtsurteil (Landgericht Berlin, 23 S 3/07) vom 6. September 2007. Das untersagte damals dem Justizministerium eben das Speichern von IP-Adressen und bestätigte damit in zweiter Instanz ein vorangegangenes Urteil vom Amtgericht. Die Klage gegen das Justizministerium hatte Patrick Breyer angestrengt.

Konkrete Stellungnahmen, etwa zu der Frage des IP-Aufzeichnung auf der BMI-Webseite, hat Linux-Magazin Online vom Bundesinnenministerium und vom Bundesministerium für Informationstechnik bereits angefragt.

Update: Das Bundesministerium für Inneres hat sich weiter gegenüber Linux-Magazin Online geäußert. Laut Telekommunikationesgesetz (TKG) § 100 dürfen Anbieter bereits Bestands- und Verkehrsdaten erheben, um Störungen oder Missbrauch zu erkennen und abzuwenden, so die Argumentation. Content-Provider fallen laut BMI jedoch nicht unter das TKG, weswegen das für diese Anbieter zuständige Telemediengesetz (TMG) geändert werden müsse. Störungen inhaltlicher Angebote seien zum Beispiel "Hackerangriffe": "Es dürfen nur Daten erhoben und zu diesem Zweck verwendet werden, die ein Provider tatsächlich benötigt, um Hackerangriffe zu erkennen und abzuwehren", sagte die Ministeriumsprecherin. Durch die Zweckbindung sieht sie keine Gefahr, dass Nutzungsdaten unbegrenzt erhoben werden. In der Frage der Nutzerdatenspeicherung auf der Ministeriumswebseite verweist die Sprecherin darauf, dass die Rechtsprechung nicht eindeutig sei: Manche Gerichte erkennen dynamischen IP-Adressen den Status persönlicher Daten ab.