WD 3 - 3000 - 416/18 (13. Dezember 2018) © 2018 Deutscher Bundestag Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Gefragt wird, ob in Schweden rechtliche Grundlagen existieren, nach denen systemrelevante Unternehmen, z. B. aus dem Energie- oder Gesundheitsbereich, verpflichtet sind, kritische Daten auf einer eigenen schwedischen Infrastruktur zu speichern. Weiter wird gefragt, ob im Falle einer Speicherpflicht diese nur für eine längerfristige Speicherung von Daten besteht oder auch schon für den Berechnungsprozess von Datensätzen. Das schwedische Parlament hat hierzu Folgendes mitgeteilt: Im August 2018 hat das schwedische Parlament das Informationssicherheitsgesetz für soziale und digitale Dienste (2018: 1174) verabschiedet und damit die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (NIS-Richtlinie) umgesetzt. Das Gesetz enthält für Anbieter wichtiger sozialer und digitaler Dienstleistungen Anforderungen an die Informationssicherheit in ihren Unternehmen und die Verpflichtung, die zuständigen schwedischen Sicherheitsbehörden über Ereignisse, die Auswirkungen auf die Netzwerksicherheit und Informationssysteme haben, zu informieren. Das Informationssicherheitsgesetz enthält keine Bestimmungen zur geografischen Festlegung des Speicherorts von Daten. Regelungen zum Schutz geheimer Informationen wurden mit dem Protective Security Act (1996: 627) und die Protective Security Regulation (1996: 633) erlassen. Unternehmen, die für die nationale Sicherheit Schwedens von Bedeutung sind, sind verpflichtet, vor dem Versenden geheimer Daten in ein Computernetzwerk außerhalb ihrer Kontrolle, diese Daten ausreichend zu sichern, § 13 Protective Security Regulation. Wollen Staat, Behörden und Kommunen einen Vertrag mit einem sicherheitsrelevanten Unternehmen abschließen, so sind sie verpflichtet, mit dem Unternehmen eine Sicherheitsvereinbarung zu unterzeichnen, § 8 Protective Security Act. Für ausländische Unternehmen gibt es kein ausdrückliches Verbot der Weitergabe von geheimen Daten in andere Staaten. Gemäß den Bestimmungen des schwedischen Sicherheitsdienstes sind eine Erlaubnis der Regierung und ein bi- oder multilaterales Sicherheitsabkommen erforderlich. Da keine Speicherpflicht für kritische Daten auf schwedischen Infrastrukturen besteht, wurde die Frage nach dem frühestmöglichen Speicherzeitpunkt nicht beantwortet. *** Wissenschaftliche Dienste Kurzinformation Datensicherheit in schwedischen Unternehmen