Author Archives: Dennis-Kenji Kipker

Indisches Datenschutzrecht: Aadhaar wird für verfassungskonform erklärt

In seinem Urteil vom 26.09.2018 befindet der Oberste indische Gerichtshof die Biometriedatenbank „Aadhaar“ für verfassungskonform. Vier von fünf Richtern stimmten für die Vereinbarkeit von Aadhaar mit der indischen Verfassung. Die Datennutzung durch private Unternehmen soll jedoch zukünftig eingeschränkt werden.

Die bisherige Rechtslage im indischen Datenschutz

In Indien existiert bisher kein einheitliches Datenschutzrecht, sondern es bestehen sektorspezifische Regelungen wie z.B. für den Finanz- und Telekommunikationsbereich. Daneben ist auf die Regelungen im Rahmen der Information Technology Rules von 2011 hinzuweisen, welche jedoch ausschließlich für private Unternehmen gelten und den Schutz besonders sensibler Daten umfassen. Für die Aadhaar Datenbank gilt der Aadhaar Act aus dem Jahr 2016, der die Sicherheit der in der Datenbank gespeicherten Daten sicherstellen soll. Ob Aadhaar mit der indischen Verfassung konform ist, wurde diesen September vom indischen Verfassungsgericht entschieden.

Was ist Aadhaar?

Aadhaar ist eine zwölfstellige Identifikationsnummer, die von der Unique Identification Authority of India (UIDAI) an die indischen Bürger vergeben wird. Unter der Aadhaar-Nummer werden in einer zentralen Datenbank (Central Identities Data Repository – CIDR) biometrische Merkmale (Fingerabdrücke aller zehn Finger, Iris-Scans beider Augen, Foto des Gesichtes) und demographische Informationen (Name, Geburtsdatum, Geschlecht, Adresse) erfasst. Mit 1,2 Milliarden registrierten Menschen ist Aadhaar die größte biometrische Datenbank der Welt. Ziel des Aadhaar-Programms ist die Verhinderung von Sozialbetrug, indem Sozialleistungen an die Identifizierung durch Aadhaar gebunden werden. Daneben sollen Bürokratie abgebaut, die Verwaltung digitalisiert und der Zugang zu Dienstleistungen auch den ärmeren Bevölkerungsschichten ermöglicht werden. Eingeführt wurde Aadhaar 2009 als freiwillige Identifikationsdatenbank. Obwohl diese offiziell immer noch als freiwillig bezeichnet wird, ist Aadhaar mittlerweile für die Inanspruchnahme zahlreicher Leistungen und Dienste faktisch verpflichtend – so müssen beispielsweise auch Bankkonten, Steuererklärungen und SIM-Karten zwingend mit der Aadhaar-Nummer verbunden werden. Aadhaar wurde von der konservativen BJP-Partei (Bharatiya Janata Party), die seit 2014 die Regierung bildet, über die Jahre stetig erweitert.

Was es mit der Kritik an Aadhaar sowie dem Urteil des Obersten indischen Gerichtshofes auf sich hat, kann an dieser Stelle im Beck-Blog nachgelesen werden.

Brauchen wir ein neues Verständnis von Datenschutz zum Bürgerrechtsschutz? Wie der Anti-Terror-Kampf die informationelle Selbstbestimmung zunehmend herausfordert

Jüngst am 11. August 2016 hat der Bundesinnenminister Thomas de Maizière weitere geplante Maßnahmen zur Erhöhung der Sicherheit in Deutschland angekündigt. Diese neuen Maßnahmenvorschläge reihen sich in die Sicherheitspolitik der letzten Jahre ein, wonach neue behördliche Eingriffsbefugnisse politisch nicht nur gefordert, sondern in zunehmenden Maße auch immer schneller umgesetzt werden. Es steht mehr und mehr zu befürchten, dass die Gesellschaft in eine Situation gerät, wohingegen die Sicherheitsrenaissance nach dem 11. September 2001 vergleichsweise und zunehmend harmlos wirkt. Angetrieben durch die in immer kürzeren Intervallen wiederkehrenden (terroristischen) Anschläge in der Öffentlichkeit wächst scheinbar auch das Bedürfnis nach neuen Lösungen, die ein Mehr an Sicherheit im öffentlichen Raum versprechen. Die Beweggründe von Taten rücken in den Hintergrund, denn aufbereitet durch die medialen Schreckensszenarien scheint die Bedrohung durch den internationalen Terrorismus allgegenwärtig zu sein. Als Ursache wird vor allem die Radikalisierung durch das Internet ausgemacht. Hieraus folgt die entsprechende Feststellung des Innenministers, dass das Internet ein Schutzraum für Cyberkriminelle sei. Dies sei eine fatale Entwicklung, der entgegengewirkt werden müsse. Verschiedene Maßnahmen werden deshalb vorgeschlagen, um dieser „Bedrohung aus dem Cyberraum“ Herr zu werden.

So wird beispielsweise zu Beginn des Jahres 2017 die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“ (ZITiS) eingerichtet. Diese soll als Forschungsstelle die Sicherheitsbehörden unterstützen und neue Methoden, Produkte und Strategien zur Bekämpfung von Kriminalität und Terrorismus im Internet erarbeiten und bereitstellen. In der finalen Ausbaustufe sollen bei ZITiS 400 Stellen eingerichtet werden, sodass davon auszugehen ist, dass die Forschungsstelle einen erheblichen Einfluss auf zukünftige sicherheitsbehördliche Überwachungsmaßnahmen im digitalen Raum haben wird. Neben der erstmalig in diesem geplanten Umfang stattfindenden bundeseigenen Forschung zur Entwicklung neuer staatlicher Überwachungstechnologien soll darüber hinaus auch die operative Arbeit der Sicherheitsbehörden einen weiteren Ausbau erfahren: So wird eine Gruppe spezialisierter verdeckter Ermittler (so genannte „Cyber-Ermittler“) aufgestellt, um speziell im Darknet rechtswidrige Geschäfte zu unterbinden und die Kommunikation zwischen Terroristen aufzuklären. Einen weiteren Schwerpunkt im neuen Sicherheitspaket bildet der Ausbau der Videoüberwachung, speziell der „intelligenten Videotechnik“, worunter wohl auch Maßnahmen der automatisierten Videoüberwachung fallen können. Daneben sollen die Befugnisse und technischen Fähigkeiten in den Bereichen der automatisierten Kennzeichenlesesysteme, der biometrischen Erkennung sowie der Datenvernetzung, -vereinheitlichung und -harmonisierung polizeilicher Informationsdienste vorangetrieben werden. Insbesondere für letztere ist ein umfassender Ausbau sowohl auf nationaler wie auf europäischer Ebene geplant, um personenbezogene Daten übergreifend zu analysieren und auszuwerten. Dies gilt sowohl für die kürzlich verabschiedete europäische Richtlinie über die Verwendung von Fluggastdaten (PNR) als auch für das geplante zentralisierte Europäische Ein- und Ausreiseregister. Die EU-weite Vernetzung von bestehenden Datenbanken wie dem SIS, VIS und Eurodac soll unter dem Stichwort der „Interoperabilität“ ebenso vorangetrieben werden. Ein verbesserter Informationsaustausch der Sicherheitsbehörden wird nicht nur durch die Vernetzung, sondern auch durch die Zentralisierung von Kompetenzen und Informationen vorangetrieben – man denke hier nur an die Verfassungsschutzreform aus dem vergangenen Jahr, die eine deutliche Stärkung der Zentralstellenfunktion des Bundesamtes für Verfassungsschutz (BfV) zur Folge hatte. Auf europäischer Ebene ist als Bestandteil der aktuellen Zentralisierungsstrategie zuvorderst das bei Europol angesiedelte Europäische Zentrum zur Terrorismusbekämpfung (ECTC) zu nennen, daneben spielen auch die europäische Counter Terrorism Group und das Radicalization Awareness Network eine Rolle, in dessen Rahmen ebenfalls Zentralisierungsbestrebungen stattfinden, um den Informationsaustausch und die Koordination von Maßnahmen in Europa zu vereinfachen. Neben die aktuell geplanten Überwachungs- und Vernetzungsinstrumente treten solche hinzu, die schon in den vergangenen Jahren geschaffen wurden und sich im Sicherheitsbetrieb mittlerweile mehr oder weniger etabliert haben, teils aber auch noch recht neu und erheblicher öffentlicher Kritik ausgesetzt sind: die präventive polizeiliche Rasterfahndung, die Einrichtung behördlicher Verbunddateien wie der Antiterror- und der Rechtsextremismusdatei, Maßnahmen zur Überwachung der digitalen Kommunikation und des Internetdatenverkehrs, die Ermittlung von Standortdaten für Mobilfunkendgeräte, die Funkzellenabfrage, die Infiltrierung von Heimcomputern als Online-Durchsuchung mittels des neuen Staatstrojaners, der Einsatz von Body-Cams bei der Vollzugspolizei, die Durchführung von technisch gestützten Wohnraumüberwachungen und die wieder eingeführte Vorratsdatenspeicherung von Verkehrsdaten für Telefon- und Internetzugangsdienste.

Der Deutsche Anwaltverein (DAV) kritisierte in einer Stellungnahme das neue Sicherheitspaket des Bundesinnenministers als hektischen Aktionismus. So offenbare der stetige und in immer kürzeren zeitlichen Abständen stattfindende Ausbau der Überwachungsmaßnahmen letztlich nur die Hilflosigkeit der Politik gegenüber der aktuellen Sicherheitslage. Allein durch immer neue und schärfere Gesetze könne die Situation nicht geändert werden, vielmehr bedürfe es eines sorgsamen, ruhigen und überlegten Vorgehens, verbunden mit einer Analyse der jeweiligen Gefahrenlagen. Dass dem aber nicht so ist, ist schon seit Längerem bekannt und es steht zu befürchten, dass in den kommenden Jahren der Konflikt zwischen dem Schutz der informationellen Persönlichkeitssphäre und den staatlichen Sicherheitsinteressen in Zukunft immer stärker in den Fokus rücken wird. Rechtspolitisch scheint es schon jetzt vertretbar, den Datenschutz in einem allgemeinen Klima der öffentlichen Unsicherheit gegenüber dem Interesse an einem funktionierenden Gemeinwesen signifikant zurückzustufen. Die informationelle Selbstbestimmung als Grund- und Bürgerrecht wird auf diese Weise argumentativ auf die Wahrnehmung eines vornehmlich egoistischen Interesses reduziert. Deutlich wird dies an der ebenfalls von de Maizière getroffenen Aussage in Bezug auf die Videoüberwachung der nicht-öffentlichen Stellen, die durch die Datenschutzaufsichtsbehörden reguliert wird: „Bei solchen Überprüfungsentscheidungen der Datenschützer [im Hinblick auf die Rechtmäßigkeit der Videoüberwachung durch Private, beispielsweise in Kaufhäusern] müssen aus meiner Sicht Sicherheitsbelange stärker aufgenommen und gewichtiger in die durchzuführende Abwägungsentscheidung eingehen. Bei einer kürzlich erfolgten Bombendrohung in einem Einkaufszentrum in Dortmund hätten dann auch Videoaufzeichnungen zur Aufklärung der Sachlage beitragen können, wenn diese von den Datenschützern nicht untersagt worden wären.“ Eine derart unmittelbar gegen den Datenschutz gerichtete öffentliche politische Äußerung wäre vor einigen Jahren noch undenkbar gewesen.

Wie geht es also weiter mit dem Verhältnis von Freiheit und Sicherheit? Wie können die Bürgerrechte auch in Zukunft noch geschützt werden, wenn wir uns in einer politischen Situation befinden, die der informationellen Freiheit immer weniger Raum belässt? In jedem Falle ist und wird es auf dem politischen Parkett immer schwieriger vertretbar sein, jedwede Form der staatlichen Überwachung abzulehnen, wenn selbst das Bundesverfassungsgericht die Vorratsdatenspeicherung für grundsätzlich zulässig hält. In jüngster Vergangenheit waren entsprechende Versuche der Bürgerrechtler (leider) immer häufiger zum Scheitern verurteilt. Die Moral, weiter am Ball zu bleiben, weitere Aktionen zu planen und durchzuführen, steht auf dem Spiel. Gerade in dieser Zeit wäre es aber fatal, den Glauben an das eigene Ziel zu verlieren. Beispiele wie die „Überwachungsgesamtrechnung“ zeigen ja gerade, dass die Sicherheit die Freiheit zunehmend verdrängt. Ein weiteres Problem liegt in der hohen Innovationsgeschwindigkeit stets neuer Überwachungsmethoden begründet, die dazu führen, dass „alte“ und bereits bestehende Technologien und Praktiken in der Öffentlichkeit zunehmend in Vergessenheit geraten, gleichwohl aber fortbestehen.

Vielleicht ist gerade jetzt aber auch der richtige Zeitpunkt, um ein Umdenken im Datenschutz anzustoßen, damit dieser auch in Zukunft noch angemessen die bürgerlichen Freiheiten schützen kann. Die aktuelle Situation sollte deshalb nicht als Krise, sondern vielmehr auch als Chance zur Innovation begriffen werden. Die EU-Datenschutzgrundverordnung (DS-GVO) führt mit ihren neuen Regelungen vor Augen, dass Datenschutz vornehmlich auch Kontrolle gegenüber den verantwortlichen Datenverarbeitern bedeutet – und eine solche Kontrolle ist gerade auch für die Sicherheitsbehörden verstärkt notwendig. Denn wo einerseits die Bürgerrechtler zunehmend auf verlorenem Posten stehen – nämlich in der vollständigen Verhinderung neuer Überwachungsmaßnahmen – bietet sich andererseits die Möglichkeit, nicht nur durch aktives Mitwirken im Gesetzgebungsverfahren, sondern auch nach der Schaffung weiterer behördlicher Befugnisse dafür zu sorgen, dass wenn schon zwingend neue Überwachungstechnologien eingeführt werden, deren Anwendung kontrolliert, reglementiert und hinreichend transparent erfolgt. Dass gerade hierfür ein erheblicher Bedarf besteht, wurde im Rahmen der Tätigkeit des NSA-Untersuchungsausschusses in den letzten Jahren mehr als deutlich: Eine Situation, in der einem legitimen parlamentarischen Kontrollorgan, dem von Seiten der Bundesregierung nur so wenig Vertrauen entgegengebracht wird, dass den Mitgliedern vornehmlich geschwärzte Dokumente und Zeitungsartikel als Grundlage ihrer Kontroll- und Aufklärungsarbeit zur Verfügung gestellt werden, kann nicht hinzunehmen sein. Der geringe Stellenwert, der dem Ausschuss vonseiten der Exekutive scheinbar eingeräumt wird, zeigt sich aber auch an Äußerungen wie denjenigen des Präsidenten des Bundesamtes für Verfassungsschutz (BVerfSch), Hans-Georg Maaßen, der noch im Juni dieses Jahres bei einer Anhörung feststellte, dass der Bundestagsausschuss die Arbeit seiner Behörde „behindere“. Was es in diesen Zeiten somit braucht, ist ein Daten- und Bürgerrechtsschutz, der vornehmlich auf der Kontrolle und damit auch der Transparenz der Überwachungsorgane basiert. Wo einerseits ständig neue eingriffsintensive Maßnahmen geschaffen werden, muss deren Nutzung andererseits auch mit der notwendigen Schärfe beschränkt und überwacht werden. Der althergebrachte staatsrechtliche Topos „Grundrechtsschutz durch Verfahren“ sollte zum Schutze der informationellen Selbstbestimmung wieder deutlich stärker belebt werden, als es zurzeit noch der Fall ist.

Das aktuelle Urteil des BVerfG zum BKA-Gesetz – eine Nachhilfe in Sachen Verfassungsrecht für Gesetzgeber und Sicherheitsbehörden

Das Urteil des Bundesverfassungsgerichts zum BKAG vom 20. April 2016 (1 BvR 966/09 und 1 BvR 1140/09), in welchem das Gesetz in erheblichen Teilen für verfassungswidrig erklärt wird, beschränkt nicht nur die künftige sicherheitsbehördliche Datenverarbeitung, sondern enthält zugleich auch ausführliche Vorgaben, wie eine solche Datenverarbeitung auf verfassungskonforme Weise zu realisieren ist. An der Entscheidung auffällig ist vor allem der recht lange theoretische Vorbau, in dem das Gericht seine über Jahre hinweg entwickelte Rechtsprechung zur Verhältnismäßigkeit von staatlichen Überwachungsmaßnahmen detailliert und mit zahlreichen Verweisen verbunden zusammenfasst sowie für den Bereich der Datenübermittlung an ausländische Behörden teils ergänzt. Diese Ausführungen kommen in ihrer Ausführlichkeit einer an den Gesetzgeber und an die Sicherheitsbehörden gerichteten Nachhilfe in Sachen Verfassungsrecht gleich. Sinnvoll ist es deshalb, die gemachten Vorgaben nochmals in aller Kürze zu rekapitulieren.

Ausgangspunkt der vom Bundesverfassungsgericht angestellten Erwägungen ist der aus dem Rechtsstaatsprinzip folgende Grundsatz der Verhältnismäßigkeit, aus dem sich verschiedene Anforderungen ableiten lassen, die für den Fall einer heimlich stattfindenden elektronischen Datenverarbeitung nochmals qualifiziert sind. Speziell für verdeckte Überwachungsmaßnahmen lassen sich darüber hinaus aus dem Menschenwürdegrundsatz des Art. 1 Abs. 1 GG besondere Anforderungen entwickeln, die durch das Bundesverfassungsgericht konkretisiert werden.

  1. Heimliche Überwachungsmaßnahmen, die mit einem erheblichen informationellen Grundrechtseingriff verbunden sind – wie die Wohnraumüberwachung und der Zugriff auf informationstechnische Systeme –, genügen nur dann dem Gebot der Verhältnismäßigkeit, wenn sie dem Schutz von gewichtigen Rechtsgütern dienen und für deren Gefährdung im Einzelfall belastbare tatsächliche Anhaltspunkte bestehen (BVerfGE 107, 299, 321 ff.; 110, 33, 56; 113, 348, 377 ff; 120, 274, 328; 125, 260, 330). Anknüpfungspunkte im Bereich der Strafverfolgung sind (besonders) schwere Straftaten bzw. solche von erheblicher Bedeutung. Im Bereich der Gefahrenabwehr hingegen kommt es auf das Gewicht der durch die Maßnahme zu schützenden Rechtsgüter an. Zu solchen gewichtigen Rechtsgütern zählen Leib, Leben und Freiheit der Person sowie der Bestand oder die Sicherheit des Bundes oder eines Landes. Verfassungsrechtliche Untergrenze für den staatlichen Eingriff ist das Vorliegen einer hinreichend konkreten Gefahr, sodass lediglich allgemeine Erfahrungssätze, geschweige denn bloße Vorfeldermittlungen für einen Datenzugriff nicht ausreichend sind.
  2. Eng verknüpft mit dem Gefahrenbegriff ist die Frage, gegen welche Personen Eingriffe in ihre informationellen Grundrechte durchgeführt werden dürfen. In besonderem Maße ist dies problematisch für solche Betroffenen, die nicht als Handlungs- oder Zustandsverantwortliche bzw. als Tatverdächtige im Polizei- und Strafrecht in besonderer Verantwortung stehen. Hier sind die rechtlichen Vorgaben gegenüber der Eingriffsschwelle eher weit gefasst. Grundsätzlich darf sich der Eingriff somit zwar nur unmittelbar gegen die verantwortliche Zielperson richten (BVerfGE 109, 279, 351 f.; 120, 274, 329 ff.). Soweit hierbei jedoch Dritte mit erfasst werden, ist dies verfassungsrechtlich zulässig. Ebenso ist die Durchführung einer heimlichen Überwachung auch unmittelbar gegenüber Dritten möglich. Voraussetzung hierfür ist, dass der betroffene Dritte über eine spezifische individuelle Nähe zur aufzuklärenden Gefahr oder Straftat verfügt. Die Nähe muss sich auf gewisse Weise verfestigt haben, so genügt nicht jedweder Austausch zwischen Zielperson und Betroffenem, sondern es bedarf Anhaltspunkte für einen tatsächlichen Kontakt zwischen beiden.
  3. Es muss eine effektive Vorabkontrolle von Überwachungsmaßnahmen durch eine unabhängige Stelle gegeben sein. Genannt wird in diesem Zusammenhang die richterliche Anordnung (BVerfGE 109, 279, 357 ff.; 120, 274, 331 ff.; 125, 260, 337 ff.). Pflicht der Landesjustizverwaltungen ist es dabei, die notwendigen sachlichen und personellen Voraussetzungen für eine solche Kontrolle zu schaffen. Spiegelbildlich trifft die maßnahmendurchführende Behörde ihrerseits die Verpflichtung, die effektive Überprüfung sicherzustellen, indem sie der unabhängigen Stelle alle hierfür benötigten Informationen zur Verfügung stellt.
  4. So wie es einer vorgelagerten Kontrolle bedarf, setzt jedwedes rechtsstaatliche Handeln ebenso Transparenz, Rechtsschutz und aufsichtsbehördliche Kontrolle voraus (BVerfGE 65, 1, 44; 100, 313, 361 ff.; 109, 279, 363 ff.; 125, 260, 334 ff.; 133, 277, 365 ff.). Rechtsschutz und aufsichtsbehördliche Kontrolle stehen dabei in einem engen Verhältnis, denn je weniger der subjektive Rechtsschutz gewährleistet werden kann, zum Beispiel aufgrund der heimlichen Natur einer Maßnahme, umso wichtiger ist deren externe, unabhängige Kontrolle. Diese Kontrolle muss durch eine mit wirksamen Befugnissen ausgestattete Stelle stattfinden; diesen Anforderungen genügt die Bundesdatenschutzbeauftragte, welcher die zur Erfüllung ihrer Aufgabe notwendigen Informationen von den Sicherheitsbehörden zur Verfügung gestellt werden müssen. Die entsprechende Kontrolle ist mindestens alle zwei Jahre durchzuführen. Auch hier ist der Gesetzgeber gefordert, tätig zu werden. Ebenso bedarf es bei heimlichen Ermittlungsmaßnahmen einer größeren öffentlichen Transparenz. Um Rechtsschutz und Transparenz gewährleisten zu können, gehört zuvorderst die nachträgliche Benachrichtigungspflicht des Betroffenen im Anschluss an die Überwachungsmaßnahme, die grundsätzlich vorzusehen ist und von der nur in engen Ausnahmefällen abgewichen werden kann, zum Pflichtenprogramm. Der Gesetzgeber ist hier gefordert, entsprechende Maßnahmen vorzusehen. Neben der Benachrichtigungspflicht sind ebenso Auskunftsrechte zu schaffen, die als Ergebnis einer wohl abgestimmten Interessenabwägung jedoch abbedungen werden können. Nicht zuletzt sind bei der Begründung heimlicher informationeller Eingriffsbefugnisse auch wirksame Sanktionen bei Rechtsverletzungen vorzusehen – hier verfügt der Gesetzgeber aber über einen weiten Gestaltungsspielraum. Abschließend ist zur Förderung von Transparenz und zur Kompensation der Heimlichkeit der Überwachungsmaßnahme durch den Gesetzgeber sicherzustellen, dass regelmäßige und ausreichend substanziierte Berichte zur Tätigkeit des BKA an Parlament und Öffentlichkeit erfolgen. So stellt der demokratische Diskurs über neue Überwachungsmaßnahmen auch eine entscheidende Voraussetzung für deren Legitimität dar.
  5. Durch den Gesetzgeber ist sicherzustellen, dass schon die Ermächtigungsgrundlagen eine Löschungsverpflichtung für die erhobenen Daten enthalten (BVerfGE 65, 1, 46; 133, 277, 366). Damit eng verbunden ist der Zweckbindungsgrundsatz, denn durch die Löschung wird sichergestellt, dass grundsätzlich keine Speicherung auf Vorrat für nicht weiter definierte Ermittlungszwecke stattfindet. Die Datenlöschung ist durch Protokollierung nachzuweisen.
  6. Besonders intensive Überwachungsmaßnahmen stellen auch besonders hohe Anforderungen an den Schutz des Kernbereichs privater Lebensgestaltung als den Bereich höchstpersönlicher Privatheit gegenüber Überwachung (BVerfGE 109, 279, 313; 113, 348, 391 f.; 120, 274, 335; 129, 208, 245 f.). Der Kernbereich beansprucht Geltung gegenüber jedweder Überwachungsmaßnahme durch den Staat, weshalb sein Schutz schon von Gesetzes wegen deutlich gewährleistet sein muss. Es ist verfassungsrechtlich in jedem Falle unzulässig, den Kernbereich als Ermittlungsziel zu definieren, d.h. gezielt Informationen aus der höchstprivaten Sphäre zu verwerten. Freilich ist es in verfahrenstechnischer Hinsicht nicht leicht, einen effektiven Kernbereichsschutz zu gewährleisten. Das Bundesverfassungsgericht verlangt deshalb ein zweistufiges Schutzverfahren, das bei Schaffung der Ermächtigungsgrundlagen schon vom Gesetzgeber zu beachten ist: Erstens ist so weit wie möglich zu verhindern, dass Kernbereichsinformationen den Ermittlern zur Kenntnis gelangen. Zweitens ist, falls dies doch einmal der Fall sein sollte, so weit wie möglich zu vermeiden, dass das unbefugte Eindringen in die Privatsphäre für den Betroffenen negative Folgen nach sich zieht. Speziell für letztgenannte Voraussetzung wird grundsätzlich eine Sichtung der Daten wieder durch eine unabhängige Stelle vorgesehen, um zu auszuschließen, dass die Daten den Sicherheitsbehörden zur Kenntnis gelangen.
  7. Der Menschenwürdegrundsatz bezieht sich nicht nur auf die Intensität der Überwachung, also auf den Kernbereichsschutz, sondern ebenso auf deren Dauer. Unzulässig sind deshalb staatliche Überwachungshandlungen, die sich über einen längeren Zeitraum erstrecken und den gesamten Lebensverlauf des Betroffenen erfassen, sodass hieraus ein umfassendes Persönlichkeitsprofil erstellt werden kann (BVerfGE 109, 279, 323; 112, 304, 319 f.; 130, 1, 24). Insoweit findet hier auch eine Überschneidung mit dem Kernbereichsschutz statt, da sich nicht nur aus einer hinreichend intensiven, sondern auch aus einer hinreichend langanhaltenden, unbemerkten Überwachung bedeutende Gefahren für die engere Persönlichkeitssphäre ergeben (vgl. beispielsweise auch das Verhältnis der Auswertung von Inhalts- und Verkehrsdaten). Das Bundesverfassungsgericht spricht in seinem Urteil zum BKAG von einem „additiven Grundrechtseingriff“.
  8. Der Schutz von besonderen Vertrauensbeziehungen muss durch den Gesetzgeber gewährleistet werden, da diese durch heimliche Informationsbeschaffungen des Staates in besonderer Weise belastet werden können (BVerfGE 129, 208, 262 ff.). Eine Verpflichtung, von vornherein bestimmte Personengruppen von Überwachungsmaßnahmen auszuschließen, besteht grundsätzlich nicht. Vielmehr besitzt der Gesetzgeber einen Gestaltungsspielraum, der aber gleichwohl eine angemessene Interessenabwägung zwischen Schutz- und Eingriffsgütern voraussetzt, die auch die Grundrechte der Berufsgeheimnisträger berücksichtigt.
  9. Entscheidend für die verfassungsrechtliche Beurteilung der sicherheitsbehördlichen Datenverarbeitung ist nicht zuletzt auch die Einhaltung des Zweckbindungsgrundsatzes, das heißt, dass die erhobenen Daten nur für diejenigen Aufgaben genutzt werden dürfen, die der ursprünglichen Erhebung zugrunde lagen. Hier stellt das Bundesverfassungsgericht zutreffend fest, dass die Übermittlung personenbezogener Daten an andere Staaten eine Zweckänderung ist, die der Zweckbindung grundsätzlich zuwiderläuft. Speziell für die Auslandsdatenübermittlung stellt sich daneben das Problem, dass die Gewährleistungen des Grundgesetzes für diese Daten nicht mehr zur Anwendung gebracht werden können. Hier ist der Gesetzgeber deshalb aufgefordert, flankierende Regelungen zu treffen, die dieser doppelten Gefährdungslage hinreichend Rechnung tragen. So ist eine Datenübermittlung in solche Empfängerstaaten untersagt, in denen elementare rechtsstaatliche Grundsätze verletzt werden (BVerfGE 108, 129, 136 f.). Das Bundesverfassungsgericht schreibt für die sicherheitsbehördliche Datenübermittlung in das Ausland vier Grundsätze fest:
  • Die Datenübermittlung ist nur zulässig zur Verfolgung hinreichend gewichtiger Zwecke.
  • Vor der Übermittlung hat eine Vergewisserung hinsichtlich des rechtsstaatlichen Umgangs mit den Daten stattzufinden.
  • Auch bei der Auslandsdatenübermittlung bedarf es einer wirksamen inländischen Kontrolle.
  • Der Gesetzgeber ist aufgefordert, die vorgenannten Anforderungen deutlich im nationalen Recht zu verankern.

Es bleibt zu hoffen, dass all diese detaillierten Vorgaben des Bundesverfassungsgerichts nicht nur im Hinblick auf die Novellierung des BKAG, sondern aufgrund ihres allgemeingültigen Charakters auch für künftige Sicherheitsgesetze berücksichtigt werden.

Digitale Souveränität durch Vertragsklauseln? – Die neuen EVB-IT des IT-Planungsrates

Den meisten Bürgern dürfte der Begriff der „EVB-IT“ wohl kaum geläufig sein, obwohl sie eine zentrale Rolle bei der Auftragsvergabe der öffentlichen Hand im IT-Bereich spielen. Die so genannten „Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen“ (EVB-IT) sind Musterverträge zur Standardisierung des Verwaltungshandelns, wenn es um die Beschaffung von Informationstechnik für den öffentlichen Sektor geht (IT-Vergabe). Da bei diesem fiskalischen Handeln die öffentliche Hand dem Bürger auf einer Ebene der rechtlichen Gleichordnung gegenüber tritt und deshalb das Privatrecht und damit das Bürgerliche Gesetzbuch (BGB) Anwendung findet, können im Rahmen der hier gewährleisteten Vertragsfreiheit Allgemeine Geschäftsbedingungen (AGB) genutzt werden – dies sowohl auf Seiten des IT-Anbieters wie auf Seiten der beschaffenden Behörde. Um die Standardisierung der vonseiten der Behörde vorgegebenen AGB zu gewährleisten, werden die EVB-IT als Vorlage für das Vertragswerk auf der Internetseite des Beauftragten der Bundesregierung für Informationstechnik (CIO Bund) zur Verfügung gestellt.

Ursprünglich hießen die EVB-IT „BVB“, das waren die „Besonderen Vertragsbedingungen für die Beschaffung von DV-Leistungen“, wobei „DV“ für Datenverarbeitung steht. Mittlerweile wurden die teils seit 1972 verwendeten BVB sukzessiv durch die EVB-IT abgelöst, sodass es nunmehr zehn EVB-IT- und noch zwei BVB-Musterverträge gibt, die in ihrer Gesamtheit alle nur denkbaren Konstellationen des IT-Beschaffungswesens der öffentlichen Hand abdecken sollen. So existieren beispielsweise Vertragsvorlagen für den Kauf sowie für die Miete von Hard- und Software, für die Instandhaltung von Hardware sowie für Softwarepflege und für die Planung und Erstellung ganzer IT-Systeme sowie deren Service. Für die Bundesbehörden ist die Anwendung der EVB-IT und BVB bei der Beschaffung ihrer Informationstechnik verbindlich, dies gilt zum großen Teil auch für die Länder. Die „EVB-IT System“ kamen zum Beispiel auch im Vertrag zwischen dem Bundesministerium des Innern (BMI) und der Firma Elaman/Gamma zustande, als es um die Lieferung des Bundestrojaners ging.

Was hat sich nunmehr aktuell im Bereich der EVB-IT getan? Am 16.03.2016 veröffentlichte der IT-Planungsrat die neuen Bedingungen der öffentlichen Hand für den Kauf und die Instandhaltung von Hardware. Aufgenommen wurde jetzt zusätzlich eine so genannte „technische No-spy-Klausel“. So heißt es in Punkt 2.4 der „EVB-IT Kauf“ unter anderem:

„Der Auftragnehmer gewährleistet […], dass die von ihm zu liefernde Hardware frei von Funktionen ist, die die Integrität, Vertraulichkeit und Verfügbarkeit der Hardware, anderer Hard- und/oder Software oder von Daten gefährden und dadurch den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen durch

  • Funktionen zum unerwünschten Absetzen/Ausleiten von Daten,
  • Funktionen zur unerwünschten Veränderung/Manipulation von Daten oder der Ablauflogik oder
  • Funktionen zum unerwünschten Einleiten von Daten oder unerwünschte Funktionserweiterungen.

Unerwünscht ist eine mögliche Aktivität einer Funktion, wenn die Aktivität so weder vom Auftraggeber in seiner Leistungsbeschreibung gefordert, noch vom Auftragnehmer unter konkreter Beschreibung der Aktivität und ihrer Auswirkungen angeboten, noch im Einzelfall vom Auftraggeber ausdrücklich autorisiert („opt-in“) wurde.“

Kurz gefasst machen diese Vertragsbedingungen letztlich deutlich, dass die an die Behörden zu liefernde Hardware frei von allen Funktionen sein muss, die nicht auf irgendeine Art und Weise vereinbart wurden und möglicherweise schadensstiftend sind. Fraglich ist aber, ob eine solche Regelung wirklich weiterhelfen kann, um beispielsweise den Einsatz von „back doors“ in Software, welche die gelieferten Hardwareprodukte steuert, zu verhindern. Dieser prominente Fall einer Sicherheitslücke wurde auch schon zu Zeiten des vom CCC untersuchten „Staatstrojaners“ im Jahre 2011 thematisiert, als es um die Lieferung eines wohl technisch unausgereiften Programmes der Firma DigiTask ging. Darauf kann letztlich nur die Antwort gegeben werden, dass eine „technische No-spy-Klausel“ schon begrifflich problematisch ist, weil mit juristischen Klauseln gerade nicht unmittelbar überprüft werden kann, ob beispielsweise eine eingesetzte Spähsoftware auch im technischen Sinne einwandfrei ist, denn es wird lediglich eine rechtliche Garantie abgegeben. Ein solches bloß vertragliches Versprechen mag sich somit zwar theoretisch – wenn man also von einem lauteren Vertragspartner ausgeht – gut anhören, in der Praxis besteht aber keine Nachprüfbarkeit, denn versprochen werden kann vieles. Letztlich steht und fällt die wirkliche Sinnhaftigkeit einer „No-spy-Klausel“ somit abermals mit der Möglichkeit zur Einsichtnahme in den Quellcode der Software, die das gekaufte Hardwareprodukt steuert.

Nicht zuletzt stellt sich auch das Problem, wie mit Zwischenhändlern wie IT-Systemhäusern umzugehen ist, die nicht zugleich Hersteller des Endproduktes sind, dieses aber gleichwohl vermarkten. In der Handreichung zur Klausel heißt es dazu:

„Berücksichtigen sollten Vergabestellen, dass Auftragnehmer, die nicht selbst Hersteller der Hard- oder Software sind, praktisch nur dann in der Lage sein werden, die geforderten Angaben zu machen, wenn sie ihrerseits von den Herstellern (bzw. von Vorlieferanten oder Subunternehmern) die erforderlichen Informationen oder Bestätigungen erhalten. […] Hersteller sollten sich auf derartige Anfragen von ihren Vertragspartnern in der Lieferkette einstellen und dementsprechend künftig die erforderlichen Informationen und Bestätigungen vorhalten bzw. bei neuen Produkten kurzfristig erstellen, damit ihre Produkte in Vergabeverfahren berücksichtigt werden können.“

Deutlich wird folglich, dass in der weiteren Vertragskette gleichermaßen die Vertrauenskette bis hin zur Auftrag erteilenden Behörde weiter gereicht wird und das, obwohl die eigentliche vertragliche Absprache und somit auch die „No-spy-Klausel“ nur im Verhältnis zwischen Vertriebsunternehmen und Besteller gegeben ist. Mit jedem weiteren Zwischenlieferanten oder Subunternehmer rückt demnach die lediglich gefühlte Verbindlichkeit der Klausel in immer größere Ferne – es sei denn, es sind auch in all diesen Verhältnissen entsprechende vertragliche Verpflichtungen mit einem eindeutigen Bezug zur „No-spy-Klausel“ vereinbart worden; die bloße soziale Verpflichtung reicht demgegenüber nicht aus. Auch stellt sich die Frage, ob es praktikabel und möglich ist, jedem einzelnen Zulieferer einer Hardware den Abschluss einer vertraglichen „No-spy-Klausel“ abzuverlangen – vor allen Dingen dann, wenn dieser im Ausland sitzt, was bei IT-Produkten nicht so selten vorkommt.

Im Ergebnis bleibt festzustellen, dass die neuen Ergänzungen der EVB-IT zwar ihrem Gedanken nach in die richtige Richtung abzielen, aber ohne zusätzliche vertragliche Ergänzungen tatsächlich nicht so „wasserdicht“ sind, wie sie auf den ersten Blick scheinen. „Digitale Souveränität“ im Sinne der zivilrechtlichen Vertragsfreiheit kann man damit sicherlich gut leben, aber eben noch keine technische Souveränität über die Vorgänge, die sich wirklich im gekauften Produkt abspielen.

Vom Staatstrojaner zum staatseigenen Bundestrojaner – die Evolution einer Überwachungssoftware

„C3PO-r2d2-POE“ – noch vor den Snowden-Veröffentlichungen stand diese Losung im Jahre 2011 sinnbildlich für unkontrollierte staatliche Überwachung mit tief verbundenen Eingriffen in die Privatsphäre des Bürgers. „C3PO-r2d2-POE“ war das zentrale Steuerkennwort des damals von verschiedenen Sicherheitsbehörden eingesetzten „Staatstrojaners“, entwickelt von der Firma „DigiTask“. Der Chaos Computer Club (CCC) analysierte damals den Quellcode der schon eingesetzten Überwachungssoftware und stellte fest, dass nicht nur das zentrale, aus Star Wars entlehnte Steuerpasswort hartkodiert und somit theoretisch für jeden frei auslesbar gewesen ist, womit die Kontrolle über den infiltrierten PC hätte erlangt werden können. Daneben wies die Software weitere erhebliche Mängel in Bezug auf die Datensicherheit auf. Der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, analysierte den Staatstrojaner technisch wie rechtlich in einem umfangreichen Bericht. Deutlich wurde dabei vor allem eines: Den das Programm einsetzenden Behörden war ihr eigenes Eingriffsinstrument völlig unbekannt. So bestand infolge des Outsourcings der Entwicklungsarbeiten weder eine Quellcodekenntnis, noch stand den einsetzenden Mitarbeitern eine hinreichende Programmdokumentation zur Verfügung. Die Entwicklerfirma mauerte – und das nicht unbedingt zu Unrecht: Schließlich unterlag der Quellcode ihrem Urheberrecht und im Rahmen des behördlichen Auftrags war zuvor nicht vereinbart worden, dass die Lieferung des fertigen Programms auch diejenige des Quellcodes umfassen sollte. Der genaue Funktionsumfang der eingesetzten Software war folglich nicht bestimmbar. Bekannt war aber zumindest, dass der damalige Staatstrojaner einen Modulcharakter besaß, der es ermöglichte, den Funktionsumfang der eingesetzten Software, die eigentlich lediglich die Quellen-Telekommunikationsüberwachung ermöglichen sollte, nahezu beliebig zu einer vollständigen Online-Durchsuchung hin zu erweitern, die einen Komplettzugriff auf das infiltrierte Computersystem erlaubt. Völlig unreguliert, verständlicherweise.

Doch damit soll nun endlich Schluss sein. Am 22.02.2016 bestätigte ein Sprecher des Bundesministeriums des Innern, dass der Einsatz eines neuen Trojaners für das Bundeskriminalamt freigegeben wurde. Auch mit diesem Programm soll es vorrangig möglich sein, die Quellen-Telekommunikationsüberwachung durchzuführen. Hierbei werden Gespräche, die über den PC beispielsweise mittels Skype geführt werden, noch vor ihrer Verschlüsselung abgehört. Entscheidender Unterschied zum alten Trojaner ist jedoch, dass es sich bei diesem Mal tatsächlich um eine staatseigene Entwicklung handelt, also so gesehen um einen wirklichen „Staatstrojaner“. Diese Erkenntnis kommt aber nicht unerwartet, denn schon seit den Veröffentlichungen des CCC im Jahre 2011 war bekannt, dass die Sicherheitsbehörden in Zukunft ein eigenes Überwachungsprogramm entwickeln würden. So wurden immer auch wieder entsprechende Programmierer in Stellenanzeigen gesucht.

Unabhängig davon, wie man zur Effektivität des Staatstrojaners steht, taugliche Beweismittel für die Ermittlungsarbeit zu erbringen, ist zumindest eines klar: Ein Trojaner, von dem der vollständige Quellcode bekannt ist, stellt einen großen Schritt in Richtung Rechtsstaatlichkeit dar. Dies vor allem auch deshalb, weil das Programm schwerwiegende Eingriffe in die enge Persönlichkeitssphäre ermöglicht. Ein jedweder anderer Zustand wäre unzumutbar, denn ist den einsetzenden Behörden mangels Kenntnis des Funktionsumfangs die grundrechtliche Eingriffstiefe nicht bekannt, so kann der Einsatz auch von Anfang an nicht verfassungsrechtlich legitimierbar sein. Sicherzustellen ist nun in jedem Falle, dass das Programm auch nur über diejenigen Funktionalitäten verfügt, die im Sinne des Schutzes der öffentlichen Sicherheit zwingend zu rechtfertigen sind. Zumindest den offiziellen Verlautbarungen nach soll es entsprechende Tests und eine externe Softwareüberprüfung gegeben haben, auch seien die Datenschutzbeauftragten von Bund und Ländern einbezogen worden. Offen ist aber, inwieweit die Einwände Dritter tatsächlich Einfluss auf die Ausgestaltung des neuen Staatstrojaners nehmen konnten.

Was somit bleibt, ist die Erkenntnis, dass das Repertoire staatlicher Ermittlungsmaßnahmen nun wieder um eine neue Technik bereichert wurde. Die Sicherheitsbehörden sind gehalten, den Einsatz der Maßnahme auf absolut notwendige Fälle zu beschränken und nur diejenigen Daten auszuwerten, für deren Kenntnis tatsächlich ein Erfordernis besteht. Ob das technisch möglich ist, bleibt aber äußerst fraglich. Vielleicht verhält es sich hier wie bei der klassischen Telekommunikationsüberwachung, wo erst nach Erlangung kernbereichsrelevanter Inhalte der Aufzeichnungsvorgang gestoppt werden kann? Fraglich bleibt auch, mit welchen Mitteln die Behörden das Spähprogramm auf den Computer eines Dritten aufbringen wollen: Wenn erst der physische Zugriff auf den PC dies ermöglicht, wäre damit ein weiterer Grundrechtseingriff verbunden. Und wenn die Software aus der Ferne aufgebracht wird, stellt sich wie schon beim alten Trojaner die Frage, wie mit der ausgenutzten Sicherheitslücke in Zukunft umzugehen sein wird, die auch für andere Angreifer von Interesse sein könnte. Und nicht zuletzt wurde diese Woche ebenso bekannt, dass das BMI quasi in Reserve die Lizenz für ein weiteres, von der hochumstrittenen Firma Elaman/Gamma entwickeltes Spähprogramm erworben hat. Wozu dies nötig sein soll, wenn in jahrelanger Arbeit zuvor schon ein eigenes Programm entwickelt und nach umfassenden Tests zur Nutzung freigegeben wurde, erschließt sich nicht wirklich.

Der neue Staatstrojaner lässt somit noch einige und nicht wenige Fragen offen. Ob dabei tatsächlich alle Beantwortung finden können, wird sich zeigen. Vermutlich aber nicht. Im Ergebnis bleibt dem Bürger ganz wie damals auch nur das Vertrauen darauf, dass die Sicherheitsbehörden nicht nur ein technisch sicheres Programm entwickelt haben, sondern dieses auch verantwortungsbewusst einsetzen. Hoffentlich wird dieses Vertrauen nicht – wie damals auch schon – enttäuscht.

Cybersicherheit und Datenschutz in den USA – der Cybersecurity Information Sharing Act (CISA)

Vor in etwa einem Monat – am 18. Dezember 2015 – unterzeichnete der US-amerikanische Präsident Barack Obama den Cybersecurity Information Sharing Act (CISA) als Bestandteil des US-Haushalts für 2016 (consolidated spending bill). Wie es der Name bereits vermuten lässt, handelt es sich beim CISA um ein Bundesgesetz, das sich der Förderung der Cybersicherheit in den USA verschrieben hat, vorrangig geschehen soll dies durch einen erweiterten Informationsaustausch über Bedrohungen der IT-Sicherheit. Soweit wenig Überraschendes – gerade wenn es um die Förderung der allgemeinen IT-Sicherheit geht, liegt nichts näher, als Informationen über aktuelle Gefahren- und Bedrohungslagen zu sammeln und auszuwerten. Insbesondere das deutsche IT-Sicherheitsgesetz sowie die europäische NIS-Richtlinie verfolgen einen ebensolchen Ansatz. Deutlich interessanter ist da schon der Verlauf des Gesetzgebungsverfahrens für den CISA: Ursprünglich im Juli 2014 dem Kongress vorgestellt, scheiterte er zunächst an ausreichenden Stimmen des Senats, weswegen der Entwurf des CISA im März 2015 erneut in den Kongress eingebracht wurde. Nachdem hierauf der Versuch scheiterte, das Gesetz als Zusatz zum „National Defense Authorization Act“ zu verabschieden, wurde es schließlich in den Bundeshaushalt für 2016 integriert – mit der Folge, dass für die Abgeordneten kaum mehr eine andere Möglichkeit bestand, als das Gesetz zu verabschieden, sollte der Haushalt für das neue Jahr nicht blockiert werden.

Dass ein Gesetz zur Förderung der Cybersicherheit – was ja grundsätzlich zu begrüßen ist – unter derart widrigen Umständen zustande kommen musste, ist darauf zurückzuführen, dass das Gesetz nicht allein das Ziel verfolgt, US-amerikanische IT-Systeme sicherer zu machen, sondern dem Gesetzgeber vorgeworfen wird, unter dem Deckmantel der IT-Sicherheit lediglich ein neues Überwachungsgesetz zu schaffen. So argumentiert die Bürgerrechtsorganisation „Electronic Frontier Foundation“ (EFF), dass es sich beim CISA letztlich gar nicht um ein Cybersicherheits-Gesetz handle, sondern lediglich erleichterte Voraussetzungen geschaffen werden sollen, um in die Privatsphäre der Bürger einzugreifen. Bei näherer Betrachtung der gesetzlichen Ermächtigungen liegt ein solcher Verdacht auch nahe: So können Angaben zu IT-Sicherheitsrisiken nicht nur an das Department of Homeland Security (DHS), sondern ebenso unmittelbar an den Nachrichtendienst NSA, die Bundespolizeibehörde FBI oder an das Verteidigungsministerium (Pentagon) übermittelt werden. Darüber hinaus soll es die Möglichkeit für Unternehmen geben, den Behörden über Datenrelaisstationen einen unmittelbaren Zugriff auf Datenbestände zu gewähren. Die Datennutzung soll dabei ohne zeitliche Einschränkungen erfolgen dürfen. Auch personenbezogene Daten dürfen zwischen den Sicherheitsbehörden übermittelt werden, um diese bei einem Verdacht auf die Begehung von Straftaten fruchtbar machen zu können. Doch nicht nur die Behörden sollen davon profitieren können, im Namen der IT-Sicherheit in großem Umfang personenbezogene Daten ohne vorherige richterliche Anordnung auswerten zu können – auch Unternehmen wird laut EFF die Möglichkeit gewährt, unter der Zwecksetzung der Cybersicherheit Einblick in Nutzerdaten zu nehmen.

Die US-amerikanische Gesetzgebung macht dabei vor allem eines deutlich: Wie überall müssen auch zur Gewährleistung der Cybersicherheit die behördlichen Kompetenzen, Verfahren und Ermächtigungsgrundlagen durch den Gesetzgeber transparent und normenklar schon im Vorfeld festgelegt werden. So kann es grundsätzlich auch möglich sein, dass für die Gewährleistung von IT-Sicherheit personenbezogene Daten ausgewertet werden müssen. Wenn dies jedoch geschieht, muss eine derartige Datennutzung stets auf gut begründete Ausnahmefälle begrenzt bleiben. Keinesfalls darf die Cybersecurity zu einem bloßen Vorwand werden, um die Überwachung zu Zwecken der allgemeinen Gefahrenabwehr weiter auszubauen. Ein solches Vorgehen schadet nicht nur den Bürgerrechten, sondern beeinträchtigt auch nachhaltig die Förderung der IT-Sicherheit – was ein mindestens genauso wichtiges Ziel darstellt, will man personenbezogene Daten effektiv schützen.

Sicherheitspolitik nach Paris – „Die Debatte über das Trennungsgebot muss geführt werden“

Der folgende Beitrag stellt eine Antwort des Verfassers auf die Argumente von Rainer Wendt, dem Bundesvorsitzenden der DPolG, im Rahmen der Tagesspiegel „Causa“ vom 04. Dezember 2015 dar.


 

Dass die jüngsten terroristischen Anschläge von Paris zu rechtspolitischen Überlegungen geführt haben, staatliche Sicherheitsmaßnahmen zu erweitern und zu „verbessern“, ist nicht neu. In diesem Sinne wird auch gerne argumentiert, wenn es um die Wiedereinführung der Vorratsdatenspeicherung in Deutschland geht: Die Aussage, dass die Vorratsdatenspeicherung in Frankreich nichts zur Verhinderung der Anschläge beigetragen hätte, sei sinnentleert, denn niemand hätte zuvor behauptet, dass dieses Ermittlungsinstrument jedweden Anschlag verhindert. Jedoch aber könnte mit der Vorratsdatenspeicherung zukünftigen Anschlägen besser entgegengewirkt werden, indem sie nach einem Terrorakt ermöglicht, die Kommunikationswege der vorherigen Täter aufzuklären. Dass diese Auffassung im Ergebnis nichts als ein sinnfreier Zirkelschluss ist, wenn man sich argumentativ stets nur auf einen nicht näher spezifizierten Ermittlungserfolg der Zukunft stützt, um die vergangenen und gegenwärtigen Unzulänglichkeiten eines Überwachungsinstruments zu verbergen, verwundert nicht mehr. Zu bekannt ist schon die sicherheitspopulistische Rhetorik, die in derlei Zusammenhängen in den vergangenen Jahren angeführt wurde.

Ganz neu und geradezu innovativ mutet es aber an, sich zu überlegen, das Trennungsgebot zwischen Polizei und Nachrichtendiensten aufzuheben. Wohlgemerkt: „Aufzuheben“ und nicht bloß „aufzuweichen“. Es liegt ja durchaus nicht fern, so zu argumentieren: Manchmal muss man sich einfach von „gewohnten Grundsätzen“ lösen, um auf neue Situationen angemessen reagieren zu können. „Was aus historischen Gründen in Deutschland wichtig und notwendig war, muss angesichts neuer, bisher nicht dagewesener Gefahren möglicherweise auf den Prüfstand.“ Einige wenige Sätze zuvor wird dann auch deutlich, wie diese neuen, bisher nicht dagewesenen Gefahren einzustufen sind: „Stellen die täglichen Anforderungen wie Kriminalitätsbekämpfung, Begleitung von Demonstrationen und Fußballspielen oder Verkehrssicherheit die Polizei ohnehin schon personell und ausstattungsbezogen auf die Probe, so bildet die Gefahr durch den Terrorismus eine völlig neue Kategorie.“ Das stimmt – eine neue Kategorie, die in einem Zuge mit der Kontrolle des Straßenverkehrs genannt werden kann. Bei einem auf diese Weise geführten Argumentationsbogen ist es dann auch nicht weiter überraschend, wenn zugunsten einer Aufhebung des Trennungsgebots argumentiert wird – es werden ja schließlich auch stärkere Verkehrskontrollen benötigt, um der Raserei und dem Alkoholkonsum am Steuer entgegenzutreten.

Im Ergebnis übersieht dieser jüngst in die sicherheitspolitische Debatte eingeführte Standpunkt, dass das Trennungsgebot eben nicht in eine Reihe mit anderen staatlichen Kontroll- und Überwachungsinstrumenten gestellt werden und deshalb gerade nicht ebenso leicht, wie man vor wenigen Wochen hierzulande die Vorratsdatenspeicherung wieder eingeführt hat, im Legislativprozess argumentativ beiseitegeschoben werden kann. Das Trennungsgebot ist – rechtlich betrachtet – nicht nur ein gewohnter Grundsatz, den man über die vergangenen Jahrzehnte liebgewonnen hat, sondern viel tiefer in den grundlegenden rechtlichen Überzeugungen unserer Gesellschaft verankert. Dies hat schon das Bundesverfassungsgericht in seinem Urteil zur Antiterrordatei vom 24. April 2013 (BVerfG, Urteil vom 24.04.2013 – 1 BvR 1215/07, siehe auch NJW 2013, S. 1499) festgestellt.

Das Trennungsgebot – teils synonym auch Trennungsprinzip genannt – wird zwar nicht explizit im Grundgesetz genannt, stellt aber einen Ausfluss aus dem „Polizeibrief“ dar, den die Alliierten nach dem Zweiten Weltkrieg für das besetzte Deutschland erließen. Basierend auf den jüngsten Erfahrungen aus der NS-Terrorherrschaft wurde hier bewusst zwischen solchen Behörden unterschieden, denen ausschließlich Befugnisse zur Informationssammlung zukamen und solchen, denen obrigkeitliche, typisch exekutivistische Eingriffsbefugnisse eingeräumt wurden. Es fand folglich eine Trennung zwischen den Nachrichtendiensten und der Polizei statt, womit zugleich auch der Grundstein des späteren Bundesamtes für Verfassungsschutz (BfV) gelegt wurde. Eine „Geheime Staatspolizei“ wie zur NS-Zeit sollte es hingegen nie wieder geben dürfen. Zwar hat der ursprüngliche Polizeibrief mittlerweile seine Geltung verloren. Dies ändert aber nichts daran, dass das Trennungsgebot weiterhin fort gilt: So hat es nicht nur Eingang in einfachgesetzliche Bestimmungen gefunden, sondern wird auch aus dem Grundgesetz als der nationalen Verfassungsordnung abgeleitet. Hier findet es sich beispielsweise im Rechtsstaats- und Bundesstaatsprinzip wieder, auch lässt es sich argumentativ aus den Grundrechten herleiten. So vielfältig die juristischen Auffassungen hier auch sind, ist doch eines aber unzweifelhaft: Das Trennungsgebot ist ein zentraler verfassungsrechtlicher Bestandteil und damit alles andere als bloß ein „gewohnter Grundsatz“, über den man einmal sprechen kann, wenn einem in der Situation eines informationellen Grundrechtseingriffs danach ist.

Zwar gilt das Trennungsgebot – wie bei so vielen Dingen im Recht – nicht absolut, das heißt also, dass die informationelle Zusammenarbeit zwischen der Polizei und den Staatsschutzbehörden in gut begründeten Einzelfällen auch zulässig sein kann, wo der Informationsaustausch einem öffentlichen Interesse von herausragender Bedeutung zu dienen bestimmt ist. Dies ist verfassungskonform und wurde vom BVerfG im Jahre 2013 zur Antiterrordatei entsprechend entschieden. Ein herausragendes öffentliches Interesse kann dabei durchaus auch die Abwehr von Gefahren durch den Terrorismus sein, der unter Angriff auf Leib und Leben beliebiger Personen eine Destabilisierung des Gemeinwesens zum Ziel hat (siehe BVerfG NJW 2013, 1499, 1506).

Soweit eine verfassungsrechtlich zulässige Durchbrechung des Trennungsgebots erfolgt, muss diese aber stets auf gesetzlich konkretisierte Einzelfälle begrenzt bleiben. Nur hierdurch kann dem Umstand Rechnung getragen werden, dass der Informationsaustausch zwischen Polizeibehörden und Nachrichtendiensten einen schwerwiegenden Grundrechtseingriff darstellt. Keinesfalls kann rechtlich somit aus der Möglichkeit zur Einschränkung des Trennungsgebots auf dessen generelle Aufhebung geschlossen werden. Und selbst wenn eine solche Debatte auch in rechtspolitischer Hinsicht einmal ernsthaft (!) geführt würde, müsste im Vorfeld genauestens abgewogen werden, ob propagierte Sicherheitsmaßnahmen überhaupt geeignet sind, ihre theoretisch angestrebte Zwecksetzung auszufüllen. Um es mit anderen Worten zu sagen: Steht der für die informationelle Freiheit zu zahlende Preis einer mindestens wertgleichen Gegenleistung im Bereich der staatlichen Sicherheitsinteressen gegenüber?

Und um eines zum Abschluss festzustellen – was in meinen Augen ebenso ein Missverständnis darstellt, wenn es um die Einführung staatlicher Ermittlungsinstrumente geht –: Bürgerrechte zu verteidigen bedeutet nicht, jegliches staatliche Eingriffshandeln verhindern zu wollen, sondern es nur genau zu hinterfragen und dafür zu sorgen, dass eingesetzte, grundrechtsbelastende Verfahren mit ebenjenen Bürgerrechten, die Bestandteil unserer Verfassungstradition sind, im Einklang stehen. Das kann entweder dazu führen, dass eine Maßnahme von vornherein mangels nachgewiesener Effektivität und damit Geeignetheit unzulässig ist oder aber, dass sie zwar zulässig ist, aber nicht grenzenlos eingesetzt werden kann. Oder wie Herr Wendt es sagt: „Grundsätzlich gilt – und das ist richtig so – dass die Einschränkungen von Grundrechten nur unter sehr strengen Voraussetzungen zulässig ist.“ Wir sollten die verfassungsrechtlichen Errungenschaften, die für eine sehr lange Zeit keine Selbstverständlichkeit gewesen sind, nicht einfach so aufgeben oder auch nur in Frage stellen, weil es uns momentan bequem erscheinen mag und gut in die Rhetorik passt – oder gar nur, um auf dem politischen Parkett gehört zu werden.

Der Traum vom autonomen und vernetzten Fahren – Segen oder Fluch?

Die Automobilindustrie gilt hierzulande als Innovationsträger, und das nicht umsonst: Schließlich steht kaum ein Industriezweig so sehr im Rampenlicht wie die Autohersteller – mit der Einführung eines jeden Modells werden bahnbrechende technische Neuerungen erwartet, die das Autofahren nicht nur sicherer und schneller, sondern mittlerweile vor allem auch umweltfreundlicher und komfortabler machen sollen.

Gerade der letztgenannte Aspekt betrifft zwei Innovationen, welche in der Automobilbranche schon seit Jahrzehnten diskutiert werden: Zum einen das autonome Fahren, zum anderen das vernetzte Automobil. Autonomes Fahren bedeutet im Großen und Ganzen, dass sich das Fahrzeug im fließenden Straßenverkehr komplett selbstständig fortbewegt, ohne dass der Fahrer irgendetwas dazutun müsste: Es wird automatisch beschleunigt und gebremst, Verkehrshindernisse werden erkannt und der Navigationscomputer übernimmt die Zielführung. Der frühere Fahrer und nunmehr allein Fahrgast muss lediglich wissen, welches Ziel er mit seinem Fahrzeug erreichen möchte.

Während die ersten Ideen vom „autonomen“ Fahren in den Vereinigten Staaten bereits in den 1940er Jahren wurzelten, als man sich noch in einer Reihe mit raketengetriebenen Fahrzeugen abenteuerliche Konzepte von Highways vorstellte, auf denen die Wagen in eine in der Fahrbahn eingelassene Führungsschiene eingekoppelt werden sollten, um dann über Hunderte von Kilometern bis zur gewünschten Ausfahrt gezogen zu werden, ist man technisch mittlerweile in der Lage, das Fahrzeug tatsächlich von sich aus autonom fahren zu lassen. Ermöglicht wird dies beispielsweise durch zahlreiche Ultraschall- und Lasersensoren, die über den Bordcomputer gesteuert den Pkw in eine Art von „Sensorblase“ einbinden.

So führt der Hersteller „Audi“ bereits Autobahnerprobungen des autonomen Fahrens mit Serienlimousinen des Typs „A7“ durch. Es wird zurzeit davon ausgegangen, dass die entsprechenden Technologien bis zum Jahre 2017 so weit entwickelt sind, dass sie in den Verkauf eingebracht werden können. Wenn das autonome Fahren tatsächlich wie angekündigt funktionieren sollte, wäre dies sicherlich ein automobiler Meilenstein, denn wer möchte nicht gerne ein Auto haben, das ihn bei Bedarf komplett selbsttätig fährt?

Die bald schon gegenwartsreife Zukunftsvision wäre wohl (einige datenschutzrechtliche Aspekte der Datenverarbeitung unter Privaten einmal bewusst ausgeblendet) vollkommen, würde nicht die neue Technologie auch das Interesse der (Sicherheits)behörden auf sich lenken. Hierbei kann man sich eine Szene vorstellen, die schon manch einer in Hollywoodproduktionen der 1990er Jahre gesehen hat: Ein Bürger setzt sich in sein Fahrzeug und hat es augenscheinlich eilig, betätigt die Zündung – und es passiert nichts. Woran das liegt? An einem behördlichen Fernzugriff auf die Computersteuerung des Fahrzeugs, die eine Abschaltung des Zündmechanismus zur Folge hat. Und spätestens an dieser Stelle kommt nicht mehr nur allein das autonome Fahren, sondern vor allem auch das vernetzte Automobil ins Spiel: In den vergangenen Jahren wurde bereits oft über die zunehmende Funktion des Autos als „rollendes Smartphone“ bzw. „mobiler Computer“ berichtet. Während in den 1980er Jahren der Fahrtenrechner bzw. Bordcomputer als technologische Innovation herausgehoben wurde, hat es mit dem technologischen Fortschritt ebenso einen immensen Ausbau der Informations- und Kommunikationstechnik gegeben, die in die Fahrzeuge integriert wird. Längst sind Bordcomputer und Navigationsgerät über den CAN-Bus miteinander vernetzt und mit enormer Leistungsfähigkeit ausgestattet zu einem kompletten fahrzeuginternen Multimediasystem avanciert, welches über das Mobilfunknetz den jederzeitigen Zugriff auf das Internet ermöglicht. Und eben jener Zugriff vom Auto auf das Internet ist nicht nur rein einseitiger Natur, sondern in beide Richtungen hin möglich. Im Fall des „Jeep Cherokee“ hat sich jüngst in den USA bereits gezeigt, dass der Einbruch in die Fahrzeug-EDV erhebliche Folgen nach sich ziehen kann, indem der Fernzugriff mangels hinreichender bordinterner Sicherheitsmechanismen nicht nur Aufschluss über die genaue Fahrzeugposition gibt, sondern sogar die volle Steuerkontrolle ermöglicht (siehe dazu auch die aktuelle c’t, Ausgabe vom 31.10.2015, S. 72 ff.; betroffen waren 1,4 Millionen Fahrzeuge). Der Begriff des Autos als „kritischer Infrastruktur“ gewinnt hierdurch eine gänzlich neue Bedeutung.

Die noch vor ein paar Jahren von Hollywood verkaufte sicherheitsbehördliche Fernabschaltung des Fahrzeugs (so genannte „Zwangsstilllegung“) ist folglich keine entfernte Zukunftsvision mehr, sondern liegt näher, als manch einer glauben mag. So hat in den USA die RAND-Corporation jüngst einen Bericht herausgegeben, der zukünftige Internet-Technologien in den Bereichen Strafverfolgung und Justiz thematisiert. Unter anderem wird hier neben besagter Zwangsstilllegung im Falle des Verdachts von strafbaren Handlungen oder einer Fluchtgefahr auch die Frage behandelt, auf welche weitere Weise sich die Sicherheitsbehörden die Technologie des autonomen, vernetzten Fahrens zunutze machen können. Vorgeschlagen wird für das autonome Fahren beispielsweise, dass der computergesteuerte Pkw der Zukunft auch in der Lage sein soll, unmittelbar auf optische Anweisungen und Gesten von Polizeivollzugsbeamten zu reagieren, die den Verkehr regulieren.

Vergleichsweise harmlos und auch noch sinnvoll mutet es an, wenn die Polizei dabei die Möglichkeit erhalten soll, ein falsch geparktes und führerloses Fahrzeug zwangszuversetzen, zum Beispiel, um einen Notweg zu schaffen oder den Weg zu einem benötigten Hydranten frei zu machen. Schwerwiegender sind hingegen solche Eingriffe, die unmittelbar auf den fließenden Verkehr Einfluss nehmen. Das wäre dann der Fall, wenn – wie ebenfalls angedacht – die computergesteuerte Anweisungserkennung des Pkw dazu führt, dass dieser unmittelbar aus dem Verkehr gelenkt oder zum Halten gebracht werden kann. Hier stellen sich bereits zahlreiche Fragen, wie ein solches Verfahren der Einflussnahme technisch, rechtlich und organisatorisch ausgestaltet werden soll, um einen Missbrauch der Anweisungserkennung zu verhindern, der je nach Verkehrssituation erhebliche Personen- und Vermögensschäden nach sich ziehen kann.

Die letzte der im RAND-Report vorgesehenen Möglichkeiten des sicherheitsbehördlichen Fernzugriffs auf die Fahrzeuginfrastruktur betrifft die Auswertung von gesammelten Fahrdaten. Angedacht wird hierbei, das Auto die Insassen sowie die zurückgelegte Fahrstrecke gegenüber der Polizei ausweisen zu lassen. Hierdurch wird den Sicherheitsbehörden nicht mehr nur die Kontrolle über die Fortbewegung an sich, sondern über das gesamte damit im Zusammenhang stehende Verhalten ermöglicht. Obgleich dieser Ansatz bisher nur in den USA diskutiert wird, scheint es naheliegend, dass dieser Gedanke auch den europäischen Raum erreichen wird, denn schon des Öfteren hat sich gezeigt, dass die Vereinigten Staaten in Sachen Sicherheitspolitik eine globale Vorreiterrolle einnehmen (neben weiteren Akteuren wie Großbritannien, Russland und China).

Für eine Gesellschaft, die auf dem Individualverkehr basiert, wäre eine derartige massenhafte Auswertung von Fahrdaten fatal – und das nicht nur in Bezug auf die informationelle Selbstbestimmung, sondern auch auf die Allgemeine Handlungsfreiheit. Bereits jetzt stellt sich für Rechtsverhältnisse unter Privaten die Frage, wie mit fahrzeugbezogenen Individualdaten umgegangen werden darf, beispielsweise in Bezug auf die Gestaltung von Versicherungspolicen. Der entscheidende Unterschied zur staatlichen Datenverarbeitung ist aber immer noch darin zu sehen, dass der Bürger hier im Regelfall die Möglichkeit hat, sich der Datenverarbeitung durch Privatunternehmen zu entziehen. Würden in ein bis zwei Jahrzehnten sämtliche Fahrzeuge vernetzt und hätten die Sicherheitsbehörden einen umfangreichen gesetzlichen Zugriff auf die entstehenden Insassen- und Fahrdaten, so wäre die Wiedereinführung der Vorratsdatenspeicherung hiergegen vergleichsweise harmlos. Auch die EAID hat sich bereits vor einigen Jahren mit der Thematik der in Kfz erfassten Daten einschließlich der damit verbundenen Überwachungsmöglichkeiten auseinandergesetzt mit dem Ergebnis, dass die Fahrdatenauswertung im Zuge der fortschreitenden Digitalisierung unserer Alltagsgegenstände („Internet of Things“) nicht außer Acht zu lassende Probleme für den Schutz der eigenen Daten aufwirft.

Zentrale Vorgabe und Ziel muss es mithin sein, bereits jetzt darauf einzuwirken, dass es nicht zu einem derartigen Zustand der Massenüberwachung kommt. Hierzu gehört zwangsläufig auch, der Öffentlichkeit möglichst frühzeitig nicht nur die augenscheinlichen Vorteile des autonomen und vernetzten Fahrens zu präsentieren, sondern ihr ebenso die dahinterstehenden und teils noch versteckten Risiken, welche die informationelle Selbstbestimmung aller betroffenen Bürger tangieren, vor Augen zu führen. Nur so lässt sich verhindern, dass der jahrzehntelang gehegte Traum vom intelligenten Automobil nicht letztlich doch zu einem Alptraum für alle wird.

Die Neue, die Unvollendete: Zur Wiedereinführung der Vorratsdatenspeicherung am 16.10.2015

Nachdem am 2. März 2010 das Bundesverfassungsgericht sein Urteil zur Vorratsdatenspeicherung in Deutschland gefällt hatte, herrschte große Erleichterung: Die staatliche Überwachungsmaßnahme wurde für verfassungswidrig erklärt, ebenso waren die entsprechenden Ermächtigungsgrundlagen in den §§ 113a, 113b TKG nichtig. Gleichwohl der Vorratsdatenspeicherung nunmehr die gesetzliche Grundlage fehlte, erachtete das Gericht die Maßnahme nicht für generell unzulässig: Besondere Voraussetzung zur Speicherung der Daten sei aber, dass erhöhte Anforderungen an die Datensicherheit eingehalten werden, eine dezentrale Speicherung stattfinde und die Datennutzung grundsätzlich auf Fälle von Schwerkriminalität beschränkt bleibe.

Der EuGH traf seine Entscheidung zur Vorratsdatenspeicherungsrichtlinie 2006/24/EG, auf welcher die nationale Umsetzungsgesetzgebung im Wesentlichen beruhte, vier Jahre später und erklärte die Richtlinie am 8. April 2014 für ungültig, da sie mit der EuGrCh nicht vereinbar sei. Spätestens seit dieser Entscheidung konnte man sich wohl relativ sicher sein, dass die Vorratsdatenspeicherung zumindest in Deutschland nie wiederkommen würde – und das trotz der Einschätzung des Bundesverfassungsgerichts, die Maßnahme nicht zur Gänze für mit dem Grundgesetz unvereinbar zu erklären.

Und nun ist die Vorratsdatenspeicherung auf einmal doch wieder da. Völlig unvorhergesehen? Sicherlich nicht, die Debatte um den neuen Gesetzentwurf bestand ja schon seit Längerem. Spätestens seit dem Zeitpunkt, als er vom BMJV Mitte Mai des Jahres 2015 an die Interessenverbände mit der Bitte um Stellungnahme herangetragen wurde, auch in aller Öffentlichkeit. Bei einer Betrachtung des gestrigen Abstimmungsergebnisses wird deutlich, dass der Gesetzentwurf zumindest im Bundestag nicht so umstritten war wie in der Diskussion unter den Bürgern, so stimmte eine große Mehrheit für das Gesetz: 404 Abgeordnete gaben dem Entwurf ihre Stimme, dies bei nur 148 Gegenstimmen und sieben Enthaltungen. Inhaltlich viel verändert wurde seit der Bekanntmachung des Entwurfs im Mai nicht, vielmehr wurde die allermeiste Kritik unberücksichtigt gelassen. Und das, obwohl es durchaus zahlreiche schwerwiegende Aspekte gab, die Zweifel an der Verfassungsmäßigkeit des Entwurfs aufkommen ließen, von der bisher nicht nachgewiesenen Effektivität der Ermittlungsmaßnahme ganz zu schweigen.

Deutlich wird für die neue Vorratsdatenspeicherung aber in jedem Falle eines: Es musste schnell gehen im Gesetzgebungsverfahren. Gerade einmal fünf Monate vergehen vom ersten Entwurf bis hin zum finalen Gesetzesbeschluss, inklusive der parlamentarischen Sommerpause. Benötigen die Ermittlungsbehörden so dringend die gespeicherten Verkehrsdaten, dass es an der Zeit für eine Gesetzgebung fehlt, die auch eine angemessene Auseinandersetzung mit der jedermann betreffenden Thematik ermöglicht? Das wird sicherlich nicht der Punkt sein. Die Vermutung geht vielmehr dahin, dass während sich Deutschland derweil in einer großen und ganz anders gelagerten politischen Diskussion befindet, ein unliebsames Vorhaben möglichst schnell und unauffällig auf den Weg gebracht werden soll. Kann das aber den Vorgaben an ein demokratisches und transparentes Gesetzgebungsverfahren gerecht werden, innerhalb dessen man sich intensiv mit den möglichen Grundrechtsbeeinträchtigungen auseinandersetzt? Wohl kaum. Oder ist es nicht vielmehr doch nur ein naives Wunschdenken, wenn man meint, dass berechtigte Interessen und Belange der Bürger im Gesetzgebungsverfahren angehört und gegebenenfalls auch berücksichtigt werden?

Fest steht jedenfalls eines mit Sicherheit: Die Vorratsdatenspeicherung ist da. Wieder einmal. Für wie lange? Das steht in den Sternen. Die ersten Verfassungsbeschwerden werden vorbereitet. Ebenso wieder einmal. Die Chancen dürften nicht schlecht stehen, dass auch diese Vorratsdatenspeicherung verfassungsgerichtlich wieder zu Fall gebracht wird, trotz aller gegenteiligen Behauptungen ihrer Macher. Bis dahin aber ist jeder wieder auf den schon so oft ausgesprochenen Selbstschutz angewiesen. Wer technisch hinreichend versiert ist, kann die Vorratsdatenspeicherung umgehen. Aber was ist mit all jenen, die es nicht sind und somit nicht können? Was ihnen zuletzt bleibt, ist die Hoffnung: Nämlich darauf, dass in künftigen Gesetzgebungsverfahren, welche die informationelle Selbstbestimmung der Bürger tangieren, zuvorderst auch deren Interessen mit einbezogen werden und nicht verfassungswidrige Gesetze zunächst so lange ausgeführt werden, bis sie wieder einmal vor dem Bundesverfassungsgericht enden.

Precobs – Polizeiarbeit zwischen Fähnchenabstecken und Minority Report

„Precobs“ steht für das so genannte „Pre-Crime-Observation-System“. Hierbei handelt es sich um eine Software, die prädiktive Polizeiarbeit ermöglichen soll, indem aus vergangenen Einsatzdaten mittels eines Algorithmus eine Prognose erstellt wird, in welchen Stadtvierteln eine erhöhte Wahrscheinlichkeit für kriminelle Vorfälle besteht. Auf dieser Einschätzung basierend können die Polizeibehörden bestimmte Maßnahmen ergreifen, beispielsweise die Anzahl der Streifengänge in einem Gebiet erhöhen oder auch Videoüberwachungssysteme installieren, die zur Gefahrenabwehr in den ermittelten Risikogebieten beitragen sollen. In der Schweiz ist Precobs schon länger in verschiedenen Städten im Einsatz, genauso in den USA. In Bayern und Baden-Württemberg befindet sich das Programm in der Pilotphase, Nordrhein-Westfalen plant wohl ebenso, die Software zu gegebener Zeit zu nutzen.
Statistiken von Gebieten, in denen Precobs eingesetzt wurde, zeigen zum Teil einen nicht unerheblichen Kriminalitätsrückgang. Freilich gibt es zahlreiche Kritiker der Software, die insbesondere bemängeln, dass es an einem kausalen Zusammenhang fehle, wodurch tatsächlich objektiv nachgewiesen werden könne, dass der Rückgang der Kriminalität tatsächlich auf den Einsatz der Prognosesoftware rückführbar sei. Daneben ist das Phänomen der prädiktiven Polizeiarbeit, wie sie durch die Innovationen von Big Data erst ermöglicht wurde, einer viel grundsätzlicheren Kritik ausgesetzt: So wird argumentiert, dass mittels der Prognosesoftware der Rechtsstaat außer Kraft gesetzt werde, indem potenzielle Straftäter schon für ein Handeln verantwortlich gemacht würden, das erst in der Zukunft liege. Gerne wird dabei auf den US-amerikanischen Spielfilm „Minority Report“ verwiesen, in dem Steven Spielberg dieses Szenario recht plastisch schilderte.
Eigentlich aber hat das „Predictive Policing“, wie es mit Precobs erfolgt, ziemlich wenig damit zu tun. Hier geht es nicht darum, dass mittels des Software-Einsatzes rechtsstaatliche Grundprinzipien außer Kraft gesetzt werden oder Personen einer strafrechtlichen Verurteilung zugeführt werden, ohne dass sie überhaupt eine Straftat begangen haben. Nein, genau genommen unterscheidet sich Precobs nicht wirklich von den Methoden klassischer Polizeiarbeit, die schon seit Jahrzehnten praktiziert wurde: Man hat einen Stadtplan an der Wand hängen und an jedem Ort, an welchem eine Straftat verübt wurde, wird ein kleines Fähnchen auf der Karte gesetzt. Jeder kann dann sehen, wo Verbrechensschwerpunkte liegen, auf die ein Augenmerk gelegt werden muss und wo eben weniger Kontrolle notwendig ist. Aber ist es tatsächlich so einfach, dass ein solcher Vergleich möglich wird?
Was bei der jüngeren Debatte um prädiktive Polizeiarbeit letztlich übersehen wird ist der Fakt, dass das Precobs-System kein Staatsbetrieb ist, sondern von privatwirtschaftlich tätigen Unternehmen entwickelt wird, die das Produkt auf dem freien Markt für Behörden gegen ein Nutzungsentgelt anbieten. Und somit stellt sich weitergehend die Frage, wer die Polizeiarbeit eigentlich steuert: Im Ergebnis gibt somit ein Algorithmus, der von dritter Stelle programmiert wurde und in welchen die Sicherheitsbehörden als Geschäftsgeheimnis im Regelfall keinen Einblick haben, vor, in welchen Stadtbezirken die Polizei stärkere Überwachungsmaßnahmen durchführt, beispielsweise häufiger Personenkontrollen erfolgen oder aber Videoüberwachungen stattfinden.
Daneben hat sich schon für den Staatstrojaner-Skandal im Jahre 2011 gezeigt, dass sich blindes Vertrauen in die Produkte von Fremdherstellern zu Überwachungszwecken als fatal erweisen kann, nachdem der CCC nachwies, dass die entwickelte Software zur Durchführung der Quellen-TKÜ gravierende Datensicherheitsmängel aufwies. So dürfte auch für den Betrieb von Precobs nicht klar sein, welche Datenverarbeitungsvorgänge und ggf. -übermittlungen bei der Nutzung des Systems im Einzelnen stattfinden, da auch hier wohl vor dem Einsatz weder eine Einsicht in den Quellcode stattfindet noch eine umfangreiche Programmdokumentation mit Kennzeichnung der Datenflüsse zur Verfügung gestellt werden dürfte.
Im Ergebnis muss man deshalb feststellen, dass die aktuelle Debatte um den Precobs-Einsatz zwar noch meilenweit von der Dystopie eines „Minority Reports“ entfernt ist, nichtsdestotrotz aber auch nicht einfach nur als die Neuaufmachung einer traditionellen Gefahrenabwehr- und Ermittlungsmethode des „Fähnchenabsteckens“ bezeichnet werden kann. Die Sicherheitsbehörden stehen hier in der Verantwortung, eine neue technologische Maßnahme vollständig zu verstehen und ihre Einsatzform inhaltlich zu durchdringen, bevor sie zu Kontroll- und Überwachungszwecken in der Öffentlichkeit herangezogen wird.

« Older Entries