Bundesministerium für Wirtschaft und Energie Berlin, 10. Februar 2020
Parlamentarischer Staatssekretär
An den Präsidenten des Bundesrates
Herrn Ministerpräsidenten
Dr. Dietmar Woidke
Sehr geehrter Herr Präsident,
namens der Bundesregierung übersende ich Ihnen in der Anlage die Antwort zur Entschließung des Bundesrates vom 7. Juni 2019 im Zusammenhang mit dem Beschluss der Verordnung zur Einführung einer Verordnung über das Bewacherregister und zur Änderung der Bewachungsverordnung (BR-Drs. 191/19(B) 
.
Mit freundlichen Grüßen
Christian Hirte
Siehe Drucksache 191/19(B)
Antwort der Bundesregierung zur Entschließung des Bundesrates vom 7. Juni 2019 im Zusammenhang mit dem Beschluss der Verordnung zur Einführung einer Verordnung über das Bewacherregister und zur Änderung der Bewachungsverordnung (BR-Drs. 191/19(B)
Zu Ziff. 1 und 2:
Die von der Registerbehörde, dem Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA), bereitgestellte Webanwendung (Portal) läuft auf Servern beim ITZ-Bund, die den hohen IT-Schutzmaßnahmen des ITZ-Bund unterliegen. Bei der Datenübermittlung erfolgt die Verschlüsselung mit dem SSL-Protokoll. Zudem lässt das BAFA regelmäßig IT Security-Webchecks seitens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im ELAN-K2 durchführen und setzt die im Rahmen des Webchecks vorgeschlagenen Maßnahmen zeitnah um. Was die Verwendung der Internet-Protokolle (IPSec anstelle von SSL) betrifft ist darauf hinzuweisen, dass die Registerbehörde nicht sicherstellen kann, dass alle § 34a-Behörden bereits einen Zugang über die Netze des Bundes (NdB) haben, um die sichere Verbindung auch verwenden zu können. Ungeachtet dessen prüft die Bundesregierung fortlaufend, wie den Bedarfen der an das Register angeschlossenen Behörden und den rechtlichen Rahmenbedingungen unter besonderer Berücksichtigung der Sicherheit der technischen Übertragungswege im Hinblick auf Verschlüsselung und Schutz vor Störungen Rechnung getragen werden kann.
Zu Ziff. 3:
Die Formulierung in § 2 Absatz 3 BewachRV - nach dem jeweiligen Stand der Technik - beinhaltet den Auftrag der dauernden Wartung und Pflege des IT-Systems. Im Fall des Bewacherregisters für das ELAN-K2-System des BAFA wird der Grundschutz entsprechend dem BSI IT-Grundschutz umgesetzt. Auch der Betrieb des Portals durch das ITZ-Bund stellt die Einhaltung des BSI-Grundschutzes sicher.
Zu Ziff. 4:
Im Rahmen der Erstbefüllung des Bewacherregisters hat das BAFA
Listen mit den freizugebenden § 34a-Behörden von den Länderwirtschaftsministerien (Gewerberechtsreferenten) erhalten. Sobald sich eine Behörde beim Register registriert hatte, wurden die Daten mit den entsprechenden Listen abgeglichen. Im Falle von Abweichungen wurden diese in Abstimmung mit den Gewerberechtsreferenten gelöst. Eine Behörde, die sich registriert hatte und die zuvor nicht autorisiert wurde, wurde nicht freigegeben. Sollten sich zukünftig weitere Behörden registrieren, erfolgt dieser Abgleich ebenfalls.
Zu Ziff. 5:
Neben der Schnittstelle zum Bundesamt für Verfassungsschutz besteht die Schnittstelle zu den Industrie- und Handelskammern. Deren Entwicklung ist in Abstimmung mit den Kammern nach deren Erfordernissen erfolgt. Dabei werden Integrität, Vertraulichkeit und Verfügbarkeit der Daten sichergestellt. Bei der elektronischen Anforderung der Informationen zu der einzelnen Wachperson werden nur wenige und eindeutige Informationen übermittelt, der 1:1 Abgleich erfolgt bei der Kammer und muss im Falle von Unstimmigkeiten durch Änderung der Daten im Register und einer neuen elektronischen Anfrage bei der Kammer bereinigt werden. Auch diese Übertragung erfolgt mit Hilfe des SSL - Protokolls. Eine Konzeption für eine mögliche Schnittstelle zu den § 34a-Behörden und deren Fachanwendungen besteht derzeit noch nicht.
Zu Ziff. 6:
Die Regelung zur Verarbeitung von vollständig optisch digital erfassten Ausweiskopien gemäß § 11 Absatz 5 GewO und der Hinweis in der BewachRV auf "Vorkehrungen" bzgl. Artikel 9 DSGVO und § 22 Absatz 2 BDSG begegnet materiell keinen Bedenken. Die Vorkehrungen sollen die Daten der Ausweiskopie schützen, bis sie spätestens nach Bestands- oder Rechtskraft der Entscheidung über die Zuverlässigkeit von der Registerbehörde gelöscht werden. Jedoch erscheint die Kritik des Bundesrates an dem Begriff der "Vorkehrungen" und an der Verweisung auf Artikel 9 DSGVO und Artikel 22 Absatz 2 BDSG insofern nachvollziehbar als sie ohne nähere Konkretisierung und ohne Ausführungen in der Begründung erfolgt und daher nicht ganz leicht nachvollziehbar ist. Die Formulierung soll daher bei nächster Gelegenheit überprüft werden.