Frau Präsidentin! Meine sehr verehrten Damen und Herren! Liebe Kolleginnen und Kollegen! Lieber Jimmy Schulz! Mit der zunehmenden Digitalisierung, Datafizierung und Vernetzung unserer Welt gerät die Privatsphäre gehörig unter Druck. Dazu kommt die Gefahr durch unsichere Software und Geräte. Der Mensch und die Informationsgesellschaft sind verletzlich geworden. Sie brauchen unseren Schutz. Zu Recht – das haben der Kollege Schulz und viele andere deutlich gemacht – machen wir uns dabei Gedanken über den allzu neugierigen Staat.

Aber auch im privaten Bereich gibt es mittlerweile viel über uns zu wissen. Was immer wir online erledigen, ob wir etwas suchen, kaufen oder Serien schauen: Wir hinterlassen Spuren im Netz. Privatsphäre ade? Die Menschen sind eher hilflos, als dass sie sorglos wären. Sie erwarten, dass der Staat ihre Grundrechte nicht nur wahrt, sondern auch schützt und durchsetzt. Zum Postgeheimnis, das heute eigentlich Kommunikationsgeheimnis heißen müsste, sind das Recht auf informationelle Selbstbestimmung und das Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen hinzugekommen; einige Redner haben bereits darauf hingewiesen. Ein Recht auf Verschlüsselung ist dafür unerlässlich, liebe Kolleginnen und Kollegen, und zwar ohne Hintertüren oder Zweitschlüssel. Wer wollte uns denn garantieren, dass die nicht auch von Unbefugten missbraucht werden, von Kriminellen, von Wirtschaftsspionen oder von fremden Mächten?

Die europäische Datenschutz-Grundverordnung enthält kein Recht auf Verschlüsselung, aber die Pflicht, personenbezogene Daten vor fremdem Zugriff zu schützen. Wenn ich personenbezogene Daten in einer verschlüsselten E-Mail versende und irgendwer greift mithilfe eines Trojaners darauf zu, vielleicht sogar mithilfe eines Staatstrojaners, habe ich dann die DSGVO verletzt, eine meldepflichtige Datenpanne erlitten? Das ist eine Frage, die wir einmal im Innenausschuss diskutieren sollten.

Die ePrivacy-Verordnung in der Fassung des Europäischen Parlaments wäre da wahrlich ein großer Fortschritt. Sie definiert das Recht auf verschlüsselte Kommunikation und setzt auf Privacy by Default, also auf privatsphärenfreundliche Voreinstellungen. Der Nutzer soll so verhindern können, dass sein Surfverhalten verfolgt wird und die verschiedensten Tracker ein lückenloses Profil anlegen können, sei es nun für gezielt personalisierte Werbung, zur politischen Manipulation oder für einen Score, wenn nach dem Willen der Konzerne smarte Tarife in unser Solidarsystem einbrechen. Leider ist es der Bundesregierung nicht gelungen, die Ratseinigung zur ePrivacy-Verordnung voranzubringen. Nun ist damit in der laufenden Legislatur kaum mehr zu rechnen. Eine verpasste Chance, die wir womöglich bald mit einer Novelle von TMG und TKG heilen müssen!

Datenschutz, Verschlüsselung und Privatsphäre also! Was aber, wenn sich Cyberkriminelle in die Systeme hacken und all diese Schutzrechte umgehen? Gilt das Recht auf die Integrität der IT-Systeme eigentlich nur gegenüber dem Staat, oder ist ein Cyberangriff so etwas wie ein digitaler Hausfriedensbruch? Gibt es eigentlich ein Recht auf IT-Sicherheit? Die Sozialdemokraten sind zumindest der Überzeugung, dass es eine staatliche Verantwortung und Pflicht dafür gibt.

Die Bundesregierung hat in der vergangenen Legislatur das IT-Sicherheitsgesetz mit seinen Melde- und Grundschutzpflichten für Institutionen der kritischen Infrastruktur entsprechend der europäischen NIS-Richtlinie umgesetzt. In der aktuellen Legislatur steht eine Weiterentwicklung an, ebenso wie der weitere Ausbau des BSI, das sich von einer feinen, aber ziemlich kleinen Behörde zum großen Dienstleister für IT-Sicherheit gemausert hat.

Weil auch die Kompetenzen des BSI immer weiter ausgebaut werden, auch in den Verbraucherschutz hinein, sind wir der Auffassung, dass die Behörde, wie es der Kollege Movassat angesprochen hat, nach dem Muster der Bundesdatenschutzbeauftragten unabhängig sein sollte. Ich würde mir von dieser Behörde auch ein Höchstmaß an Unabhängigkeit von der Wirtschaft wünschen.

Auf Herstellerseite wollen wir die Unternehmen durch ein IT-Sicherheitskennzeichen in die Verantwortung nehmen; der Cybersecurity Act der EU-Kommission weist ja auch in diese Richtung. Damit diese Verantwortung wirksam wird, wollen wir zu klaren Haftungsregeln bei Schäden durch mangelhafte IT-Sicherheit kommen. IT-Sicherheit muss vom „nice to have“ zur Pflicht werden – by design. Wir brauchen also sichere Geräte, damit aus dem Internet of Things kein Internet of Silly Things wird. Wir brauchen aber auch unseren gesunden Menschenverstand, der uns davon abhält, alles und jeden zu vernetzen und das Netz zu einem Internet of Everything zu machen. Braucht irgendjemand einen vernetzten Toaster oder Staubsaugerroboter? Ich glaube kaum.

Damit IT-Sicherheitslücken erkannt werden, haben wir Meldepflichten eingeführt. Jetzt braucht es ein Schwachstellenmanagement, aber eines, das der staatlichen Verantwortung für die IT-Sicherheit gerecht wird und dafür sorgt, dass die Lücken schnellstmöglich geschlossen werden. Die Offenhaltung und Nutzung von Schwachstellen durch den Staat lehnen wir ab.

Viel wird darüber diskutiert, wie wir auf Cyberangriffe aus dem Ausland reagieren sollen, Stichwort „Hackback“. Angriffe im Cyberraum lassen sich nicht durch einen Gegenschlag heilen oder gar vergelten, und gestohlene Daten kann man nicht zurückholen. Statt den Weg einer neuen, jetzt digitalen Aufrüstungsspirale zu beschreiten, sollten wir Cyberangriffen auf diplomatischem Weg begegnen. Die Cyber Diplomacy Toolbox der Europäischen Union weist da in eine gute Richtung. Wenn ein solcher Angriff von einem fremden Territorium ausgeht, dann muss der Staat des Angreifers, notfalls unter Androhung von Sanktionen, dazu verpflichtet werden, dafür zu sorgen, dass dieser Angriff schnellstens unschädlich gemacht wird.

Insgesamt will ich Jimmy Schulz und der FDP gerne danken, dass sie die Regierung in den Fragen von Verschlüsselung, Privatheit und IT-Sicherheit vorantreiben. Mit der Umsetzung des Koalitionsvertrages und seiner Vorhaben in enger Kooperation mit der europäischen Ebene sind wir auf einem guten Weg. Die SPD-Bundestagsfraktion wird sich dabei für eine strikt defensive Ausrichtung unserer Cybersicherheitsstrategie einsetzen.

Vielen Dank.

(Beifall bei der SPD)

Vielen Dank, Saskia Esken. – Nächste Rednerin: Tabea Rößner für Bündnis 90/Die Grünen.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN)