Tag Archives: BKA

Schicksalswoche für den Datenschutz

In dieser Woche beschäftigt sich der Deutsche Bundestag mit einer Reihe von Vorhaben, die große Bedeutung für den Schutz der Privatsphäre und die Gewährleistung des Rechts auf informationelle Selbstbestimmung haben. Gleich fünf gravierende Gesetzesänderungen stehen am 27 April 2017 zur Entscheidung an:

  • Das Datenschutz-Anpassungs- und -Umsetzungsgesetz (Drucksachen 18/11325, 18/11655, 18/11822) soll das deutsche Recht an die Vorgaben der europäischen Datenschutzgrundverordnung anpassen, deren Regelungen am 20. Mai 2018 wirksam werden. Neben einigen notwendigen Rechtsanpassungen enthält der Gesetzentwurf jedoch schwerwiegende Mängel, insbesondere im Hinblick auf die Aufweichung der strikten Zweckbindungsregelungen für öffentliche Stellen, hinsichtlich der Rechte der Betroffenen auf Auskunft und Löschung ihrer Daten und bezüglich der Kontrolle der Datenschutzbehörden bei Daten, die einem besonderen Berufsgeheimnis unterliegen.
  • Durch die Änderung des Bundeskriminalamtsgesetzes (Drucksache 18/11163) soll die polizeiliche Informationsverarbeitung grundlegend umgebaut werden. Formaler Ausgangspunkt ist dabei ein Urteil des Bundesverfassungsgerichts, das von der großen Koalition beschlossene Befugniserweiterungen für das BKA für verfassungswidrig erklärt hatte. Der Gesetzentwurf trägt diesen Bedenken zwar formell Rechnung, weitet die Datenerfassung und den Zugriff der Polizeibehörden allerdings erheblich aus. Im Mittelpunkt steht ein zentrales Datenbanksystem, bei dem bisherige strikte Zweckbindungsregelungen wegfallen oder abgesenkt werden.
  • Das neue Fluggastdatengesetz (Drucksache 18/11501) verpflichtet die Fluggesellschaften und Reiseveranstalter dazu, eine Vielzahl von Informationen (u.a. email-Adressen und Zahlungsinformationen) über ihre Kunden an eine staatliche „Fluggastdatenzentrale“ zu übermitteln, wo sie fünf Jahre lang gespeichert bleiben. Anders als das bisherige System zur obligatorischen Fluggastdatenübermittlung (Advanced Passenger Information System – APIS) beschränkt sich die Datensammlung nicht auf bestimmte Reiserouten oder Zielländer. Die Daten dienen zur Profilbildung, um mögliche Gefährder oder Straftäter zu erkennen. Im Grunde handelt es sich um eine permanente Rasterfahndung sämtlicher Flugpassagiere.
  • Mit dem Gesetz zur Ausweitung des Maßregelrechts bei extremistischen Straftätern (Drucksachen 18/11162 und 18/11584) soll die elektronische Fußfessel erstmals nicht als Alternative zu einer Inhaftierung eingesetzt werden, sondern als Maßnahme zur zur Aufenthaltskontrolle von „extremistischen Gefährdern“ nach einer Verurteilung wegen eines Vergehens im Zusammenhang mit extremistischen bzw. terroristischen Aktivitäten und deren Unterstützung.
  • Mit dem Gesetzes zur Förderung des elektronischen Identitätsnachweises (Drucksache 18/11279 ) sollen die entsprechenden (eID-)Funktionen bei der Ausstellung eines neuen Personalausweises nicht erst dann aktiviert werden, wenn der Ausweisinhaber dies wünscht, sondern grundsätzlich freigeschaltet sein, soweit der Ausweisinhaber nicht widerspricht. Damit soll darauf reagiert werden, dass bei zwei Dritteln der bisher rund 51 Millionen ausgegebenen Ausweise die eID-Funktion deaktiviert blieb.

Speziell die vorgesehenen Neuregelungen im Datenschutzanpassungsgesetz, die im BKA-Gesetz vorgesehene zentrale Datenbank mit umfassenden Nutzungsmöglichkeiten und die fünfjährige Vorratsdatenspeicherung von Daten über Flugpassagiere begegnen erheblichen verfassungsrechtlichen und datenschutzrechtlichen Bedenken. Sie sind sind Ausdruck einer Einstellung, dass Grund- und Freiheitsrechte weniger Wert haben als vermeintliche Sicherheitsgewinne. Es ist abzusehen, dass das Bundesverfassungsgericht und der Europäische Gerichtshof den Gesetzgeber erneut korrigieren müssen.

Mit freundlichen Grüßen, Peter Schaar

Update (27.4.2017) Der Bundestag hat die Abstimmung des Gesetzes zur Förderung des elektronischen Identitätsnachweises (Drucksache 18/11279 ) von der Tagesordnung der heutigen Plenarsitzung genommen. Offenbar waren Abgeordnete der Regierungsfraktionen von kritischen Kommentaren überrascht worden.

 

Bundesverfassungsgericht zum BKA-Gesetz: Grundrechte gelten auch angesichts terroristischer Gefahren

In Zeiten wie diesen, in denen grausame islamistisch oder rassistisch motivierte Anschläge die Berichterstattung dominieren, dringen diejenigen kaum durch, die sich für Grund- und Bürgerrechte einsetzen. Zu überwältigend sind die grausamen Bilder von Tatorten und Opfern, die uns immer wieder beunruhigen. Trotzdem darf nicht vergessen werden, dass sich der religiös oder nationalistisch begründete Terror vor allem gegen offene, rechtstaatlich organisierte Gesellschaften richtet.

Staatliche Überreaktionen

Allzu leicht werden bei der Reaktion auf Gefahren die verfassungsrechtlichen Dämme unterminiert, die uns vor Willkür schützen und damit unsere gesellschaftlichen Werte bewahren sollen. Bisweilen werden sie auch geschleift – wie nach dem 11. September 2001 in den USA – oder durchlöchert. Immer wieder haben Bundestagsmehrheiten die gesetzlichen Befugnisse der Sicherheitsbehörden ausgeweitet und dabei verfassungsrechtliche Grenzen nicht beachtet. Deshalb ist es folgerichtig, dass das Bundesverfassungsgericht hier wiederholt korrigierend eingegriffen hat, etwa bei dem „großen Lauschangriff“ (akustische Wohnraumüberwachung), bei der Vorratsdatenspeicherung oder auch beim heimlichen Ausspähen informationstechnischer Systeme.

Das höchste deutsche Gericht – und in den letzten Jahren auch der Europäische Gerichtshof – haben hier Grenzen aufgezeigt, die auch angesichts terroristischer Bedrohungen gewahrt werden müssen. Werte wie die Menschenwürde und die Wahrung des Kernbereichs privater Lebensgestaltung stehen nicht zu staatlicher Disposition. In seinem jüngsten Urteil vom 20. April 2016 zu den 2009 eingeführten neuen Befugnissen des Bundeskriminalsamts bestätigt das Bundesverfassungsgericht die von ihm aufgestellten Prinzipien. Auch ich sehe mich in meiner seinerzeit als Bundesbeauftragter für den Datenschutz geäußerten Kritik bestätigt.

Feststellungen des Bundesverfassungsgerichts zum BKA-Gesetz

Das Bundesverfassungsgericht stellt in seinem Urteil – 1 BvR 966/09 – insbesondere fest:

  • Viele der von der seinerzeitigen Großen Koalition eingeführten Regelungen zur Terrorabwehr sind unverhältnismäßig, insbesondere soweit sie dem BKA, tief in die Privatsphäre eingreifende Ermittlungs- und Überwachungsbefugnisse einräumen (etwa zur Wohnraum- und Telekommunikationsüberwachung und zur heimlichen Überwachung informationstechnischer Systeme – Stichworte: „Online-Durchsuchung“, „Bundestrojaner“).
  • Den Schutz des Kernbereichs privater Lebensgesetaltung ist auch bei heimlichen Maßnahmen außerhalb einer Wohnung zu beachten; dies ist nicht hinreichend gewährleistet.
  • Besonders kritisch beurteilt das höchste deutsche Gericht die Befugnis des Bundeskriminalamts zur heimlichen Sammlung von Unverdächtigen, die selbst nicht Zielpersonen sind („Kontakt- und Begleitpersonen“), weil gegen sie nicht wegen terrorristischer oder sonstiger schwerkrimineller Aktivitäten ermittelt wird.
    Bei der Übermittlung der heimlich erhobenen Daten an andere in- und ausländische Stellen, insbesondere an Nachrichtendienste, mangelt es an den erforderlichen datenschutzrechtlichen Sicherheitsvorkehrungen.
  • Auch wenn jede einzelne Maßnahme den verfassungsrechtlichen Anforderungen genügen muss, ist eine übergreifende Betrachtung kumolierter bzw. paralleler Überwachungsmaßnahmen erforderlich. Eigene verfassungsrechtliche Grenzen ergeben sich hinsichtlich des Zusammenwirkens der verschiedenen Überwachungsmaßnahmen. Insofern betont das Bundesverfassungsgericht erneut die Bedeutung einer Art „Überwachungsgesamtrechnung“, die der Verwaltungsrechtler Roßnagel schon vor Jahren angemahnt hatte.
  • Die Regelungen zur unabhängigen Kontrolle der Datenverarbeitung des BKA im Vorfeld der Überwachungsmaßnahmen mit hoher Eingriffsintensität – etwa durch Gerichte und durch den/die Bundesbeauftrate für den Datenschutz – ist unzureichend. Auch die Feststellung, ob eine Information dem „Kernbereich“ der Privatsphäre zuzurechnen ist, muss unabhängig erfolgen und darf nicht Mitarbeitern des BKA überlassen bleiben.

Das Bundesverfassungsgericht hat damit in Erinnerung gerufen, dass Verfassungsgrundsätze nicht angesichts politischer Stimmungsschwankungen – so verständlich sie sein mögen – unterminiert werden dürfen. Gerade in Zeiten gesellschaftlicher Krisen und terroristischer Risiken müssen wir Werte und Freiheitsrechte verteidigen. Nur so kann es gelingen, den Gegnern von Freiheit und Menschenwürde nachhaltig und wirksam entgegenzutreten. Es ist zu hoffen, dass diese Botschaft bei den Verantwortlichen in der Politik und in den Behörden auch verstanden wird.

Mit freundlichen Grüßen

Peter Schaar

Vom Staatstrojaner zum staatseigenen Bundestrojaner – die Evolution einer Überwachungssoftware

„C3PO-r2d2-POE“ – noch vor den Snowden-Veröffentlichungen stand diese Losung im Jahre 2011 sinnbildlich für unkontrollierte staatliche Überwachung mit tief verbundenen Eingriffen in die Privatsphäre des Bürgers. „C3PO-r2d2-POE“ war das zentrale Steuerkennwort des damals von verschiedenen Sicherheitsbehörden eingesetzten „Staatstrojaners“, entwickelt von der Firma „DigiTask“. Der Chaos Computer Club (CCC) analysierte damals den Quellcode der schon eingesetzten Überwachungssoftware und stellte fest, dass nicht nur das zentrale, aus Star Wars entlehnte Steuerpasswort hartkodiert und somit theoretisch für jeden frei auslesbar gewesen ist, womit die Kontrolle über den infiltrierten PC hätte erlangt werden können. Daneben wies die Software weitere erhebliche Mängel in Bezug auf die Datensicherheit auf. Der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, analysierte den Staatstrojaner technisch wie rechtlich in einem umfangreichen Bericht. Deutlich wurde dabei vor allem eines: Den das Programm einsetzenden Behörden war ihr eigenes Eingriffsinstrument völlig unbekannt. So bestand infolge des Outsourcings der Entwicklungsarbeiten weder eine Quellcodekenntnis, noch stand den einsetzenden Mitarbeitern eine hinreichende Programmdokumentation zur Verfügung. Die Entwicklerfirma mauerte – und das nicht unbedingt zu Unrecht: Schließlich unterlag der Quellcode ihrem Urheberrecht und im Rahmen des behördlichen Auftrags war zuvor nicht vereinbart worden, dass die Lieferung des fertigen Programms auch diejenige des Quellcodes umfassen sollte. Der genaue Funktionsumfang der eingesetzten Software war folglich nicht bestimmbar. Bekannt war aber zumindest, dass der damalige Staatstrojaner einen Modulcharakter besaß, der es ermöglichte, den Funktionsumfang der eingesetzten Software, die eigentlich lediglich die Quellen-Telekommunikationsüberwachung ermöglichen sollte, nahezu beliebig zu einer vollständigen Online-Durchsuchung hin zu erweitern, die einen Komplettzugriff auf das infiltrierte Computersystem erlaubt. Völlig unreguliert, verständlicherweise.

Doch damit soll nun endlich Schluss sein. Am 22.02.2016 bestätigte ein Sprecher des Bundesministeriums des Innern, dass der Einsatz eines neuen Trojaners für das Bundeskriminalamt freigegeben wurde. Auch mit diesem Programm soll es vorrangig möglich sein, die Quellen-Telekommunikationsüberwachung durchzuführen. Hierbei werden Gespräche, die über den PC beispielsweise mittels Skype geführt werden, noch vor ihrer Verschlüsselung abgehört. Entscheidender Unterschied zum alten Trojaner ist jedoch, dass es sich bei diesem Mal tatsächlich um eine staatseigene Entwicklung handelt, also so gesehen um einen wirklichen „Staatstrojaner“. Diese Erkenntnis kommt aber nicht unerwartet, denn schon seit den Veröffentlichungen des CCC im Jahre 2011 war bekannt, dass die Sicherheitsbehörden in Zukunft ein eigenes Überwachungsprogramm entwickeln würden. So wurden immer auch wieder entsprechende Programmierer in Stellenanzeigen gesucht.

Unabhängig davon, wie man zur Effektivität des Staatstrojaners steht, taugliche Beweismittel für die Ermittlungsarbeit zu erbringen, ist zumindest eines klar: Ein Trojaner, von dem der vollständige Quellcode bekannt ist, stellt einen großen Schritt in Richtung Rechtsstaatlichkeit dar. Dies vor allem auch deshalb, weil das Programm schwerwiegende Eingriffe in die enge Persönlichkeitssphäre ermöglicht. Ein jedweder anderer Zustand wäre unzumutbar, denn ist den einsetzenden Behörden mangels Kenntnis des Funktionsumfangs die grundrechtliche Eingriffstiefe nicht bekannt, so kann der Einsatz auch von Anfang an nicht verfassungsrechtlich legitimierbar sein. Sicherzustellen ist nun in jedem Falle, dass das Programm auch nur über diejenigen Funktionalitäten verfügt, die im Sinne des Schutzes der öffentlichen Sicherheit zwingend zu rechtfertigen sind. Zumindest den offiziellen Verlautbarungen nach soll es entsprechende Tests und eine externe Softwareüberprüfung gegeben haben, auch seien die Datenschutzbeauftragten von Bund und Ländern einbezogen worden. Offen ist aber, inwieweit die Einwände Dritter tatsächlich Einfluss auf die Ausgestaltung des neuen Staatstrojaners nehmen konnten.

Was somit bleibt, ist die Erkenntnis, dass das Repertoire staatlicher Ermittlungsmaßnahmen nun wieder um eine neue Technik bereichert wurde. Die Sicherheitsbehörden sind gehalten, den Einsatz der Maßnahme auf absolut notwendige Fälle zu beschränken und nur diejenigen Daten auszuwerten, für deren Kenntnis tatsächlich ein Erfordernis besteht. Ob das technisch möglich ist, bleibt aber äußerst fraglich. Vielleicht verhält es sich hier wie bei der klassischen Telekommunikationsüberwachung, wo erst nach Erlangung kernbereichsrelevanter Inhalte der Aufzeichnungsvorgang gestoppt werden kann? Fraglich bleibt auch, mit welchen Mitteln die Behörden das Spähprogramm auf den Computer eines Dritten aufbringen wollen: Wenn erst der physische Zugriff auf den PC dies ermöglicht, wäre damit ein weiterer Grundrechtseingriff verbunden. Und wenn die Software aus der Ferne aufgebracht wird, stellt sich wie schon beim alten Trojaner die Frage, wie mit der ausgenutzten Sicherheitslücke in Zukunft umzugehen sein wird, die auch für andere Angreifer von Interesse sein könnte. Und nicht zuletzt wurde diese Woche ebenso bekannt, dass das BMI quasi in Reserve die Lizenz für ein weiteres, von der hochumstrittenen Firma Elaman/Gamma entwickeltes Spähprogramm erworben hat. Wozu dies nötig sein soll, wenn in jahrelanger Arbeit zuvor schon ein eigenes Programm entwickelt und nach umfassenden Tests zur Nutzung freigegeben wurde, erschließt sich nicht wirklich.

Der neue Staatstrojaner lässt somit noch einige und nicht wenige Fragen offen. Ob dabei tatsächlich alle Beantwortung finden können, wird sich zeigen. Vermutlich aber nicht. Im Ergebnis bleibt dem Bürger ganz wie damals auch nur das Vertrauen darauf, dass die Sicherheitsbehörden nicht nur ein technisch sicheres Programm entwickelt haben, sondern dieses auch verantwortungsbewusst einsetzen. Hoffentlich wird dieses Vertrauen nicht – wie damals auch schon – enttäuscht.