Tag Archives: BKAG

Schicksalswoche für den Datenschutz

In dieser Woche beschäftigt sich der Deutsche Bundestag mit einer Reihe von Vorhaben, die große Bedeutung für den Schutz der Privatsphäre und die Gewährleistung des Rechts auf informationelle Selbstbestimmung haben. Gleich fünf gravierende Gesetzesänderungen stehen am 27 April 2017 zur Entscheidung an:

  • Das Datenschutz-Anpassungs- und -Umsetzungsgesetz (Drucksachen 18/11325, 18/11655, 18/11822) soll das deutsche Recht an die Vorgaben der europäischen Datenschutzgrundverordnung anpassen, deren Regelungen am 20. Mai 2018 wirksam werden. Neben einigen notwendigen Rechtsanpassungen enthält der Gesetzentwurf jedoch schwerwiegende Mängel, insbesondere im Hinblick auf die Aufweichung der strikten Zweckbindungsregelungen für öffentliche Stellen, hinsichtlich der Rechte der Betroffenen auf Auskunft und Löschung ihrer Daten und bezüglich der Kontrolle der Datenschutzbehörden bei Daten, die einem besonderen Berufsgeheimnis unterliegen.
  • Durch die Änderung des Bundeskriminalamtsgesetzes (Drucksache 18/11163) soll die polizeiliche Informationsverarbeitung grundlegend umgebaut werden. Formaler Ausgangspunkt ist dabei ein Urteil des Bundesverfassungsgerichts, das von der großen Koalition beschlossene Befugniserweiterungen für das BKA für verfassungswidrig erklärt hatte. Der Gesetzentwurf trägt diesen Bedenken zwar formell Rechnung, weitet die Datenerfassung und den Zugriff der Polizeibehörden allerdings erheblich aus. Im Mittelpunkt steht ein zentrales Datenbanksystem, bei dem bisherige strikte Zweckbindungsregelungen wegfallen oder abgesenkt werden.
  • Das neue Fluggastdatengesetz (Drucksache 18/11501) verpflichtet die Fluggesellschaften und Reiseveranstalter dazu, eine Vielzahl von Informationen (u.a. email-Adressen und Zahlungsinformationen) über ihre Kunden an eine staatliche „Fluggastdatenzentrale“ zu übermitteln, wo sie fünf Jahre lang gespeichert bleiben. Anders als das bisherige System zur obligatorischen Fluggastdatenübermittlung (Advanced Passenger Information System – APIS) beschränkt sich die Datensammlung nicht auf bestimmte Reiserouten oder Zielländer. Die Daten dienen zur Profilbildung, um mögliche Gefährder oder Straftäter zu erkennen. Im Grunde handelt es sich um eine permanente Rasterfahndung sämtlicher Flugpassagiere.
  • Mit dem Gesetz zur Ausweitung des Maßregelrechts bei extremistischen Straftätern (Drucksachen 18/11162 und 18/11584) soll die elektronische Fußfessel erstmals nicht als Alternative zu einer Inhaftierung eingesetzt werden, sondern als Maßnahme zur zur Aufenthaltskontrolle von „extremistischen Gefährdern“ nach einer Verurteilung wegen eines Vergehens im Zusammenhang mit extremistischen bzw. terroristischen Aktivitäten und deren Unterstützung.
  • Mit dem Gesetzes zur Förderung des elektronischen Identitätsnachweises (Drucksache 18/11279 ) sollen die entsprechenden (eID-)Funktionen bei der Ausstellung eines neuen Personalausweises nicht erst dann aktiviert werden, wenn der Ausweisinhaber dies wünscht, sondern grundsätzlich freigeschaltet sein, soweit der Ausweisinhaber nicht widerspricht. Damit soll darauf reagiert werden, dass bei zwei Dritteln der bisher rund 51 Millionen ausgegebenen Ausweise die eID-Funktion deaktiviert blieb.

Speziell die vorgesehenen Neuregelungen im Datenschutzanpassungsgesetz, die im BKA-Gesetz vorgesehene zentrale Datenbank mit umfassenden Nutzungsmöglichkeiten und die fünfjährige Vorratsdatenspeicherung von Daten über Flugpassagiere begegnen erheblichen verfassungsrechtlichen und datenschutzrechtlichen Bedenken. Sie sind sind Ausdruck einer Einstellung, dass Grund- und Freiheitsrechte weniger Wert haben als vermeintliche Sicherheitsgewinne. Es ist abzusehen, dass das Bundesverfassungsgericht und der Europäische Gerichtshof den Gesetzgeber erneut korrigieren müssen.

Mit freundlichen Grüßen, Peter Schaar

Update (27.4.2017) Der Bundestag hat die Abstimmung des Gesetzes zur Förderung des elektronischen Identitätsnachweises (Drucksache 18/11279 ) von der Tagesordnung der heutigen Plenarsitzung genommen. Offenbar waren Abgeordnete der Regierungsfraktionen von kritischen Kommentaren überrascht worden.

 

Das aktuelle Urteil des BVerfG zum BKA-Gesetz – eine Nachhilfe in Sachen Verfassungsrecht für Gesetzgeber und Sicherheitsbehörden

Das Urteil des Bundesverfassungsgerichts zum BKAG vom 20. April 2016 (1 BvR 966/09 und 1 BvR 1140/09), in welchem das Gesetz in erheblichen Teilen für verfassungswidrig erklärt wird, beschränkt nicht nur die künftige sicherheitsbehördliche Datenverarbeitung, sondern enthält zugleich auch ausführliche Vorgaben, wie eine solche Datenverarbeitung auf verfassungskonforme Weise zu realisieren ist. An der Entscheidung auffällig ist vor allem der recht lange theoretische Vorbau, in dem das Gericht seine über Jahre hinweg entwickelte Rechtsprechung zur Verhältnismäßigkeit von staatlichen Überwachungsmaßnahmen detailliert und mit zahlreichen Verweisen verbunden zusammenfasst sowie für den Bereich der Datenübermittlung an ausländische Behörden teils ergänzt. Diese Ausführungen kommen in ihrer Ausführlichkeit einer an den Gesetzgeber und an die Sicherheitsbehörden gerichteten Nachhilfe in Sachen Verfassungsrecht gleich. Sinnvoll ist es deshalb, die gemachten Vorgaben nochmals in aller Kürze zu rekapitulieren.

Ausgangspunkt der vom Bundesverfassungsgericht angestellten Erwägungen ist der aus dem Rechtsstaatsprinzip folgende Grundsatz der Verhältnismäßigkeit, aus dem sich verschiedene Anforderungen ableiten lassen, die für den Fall einer heimlich stattfindenden elektronischen Datenverarbeitung nochmals qualifiziert sind. Speziell für verdeckte Überwachungsmaßnahmen lassen sich darüber hinaus aus dem Menschenwürdegrundsatz des Art. 1 Abs. 1 GG besondere Anforderungen entwickeln, die durch das Bundesverfassungsgericht konkretisiert werden.

  1. Heimliche Überwachungsmaßnahmen, die mit einem erheblichen informationellen Grundrechtseingriff verbunden sind – wie die Wohnraumüberwachung und der Zugriff auf informationstechnische Systeme –, genügen nur dann dem Gebot der Verhältnismäßigkeit, wenn sie dem Schutz von gewichtigen Rechtsgütern dienen und für deren Gefährdung im Einzelfall belastbare tatsächliche Anhaltspunkte bestehen (BVerfGE 107, 299, 321 ff.; 110, 33, 56; 113, 348, 377 ff; 120, 274, 328; 125, 260, 330). Anknüpfungspunkte im Bereich der Strafverfolgung sind (besonders) schwere Straftaten bzw. solche von erheblicher Bedeutung. Im Bereich der Gefahrenabwehr hingegen kommt es auf das Gewicht der durch die Maßnahme zu schützenden Rechtsgüter an. Zu solchen gewichtigen Rechtsgütern zählen Leib, Leben und Freiheit der Person sowie der Bestand oder die Sicherheit des Bundes oder eines Landes. Verfassungsrechtliche Untergrenze für den staatlichen Eingriff ist das Vorliegen einer hinreichend konkreten Gefahr, sodass lediglich allgemeine Erfahrungssätze, geschweige denn bloße Vorfeldermittlungen für einen Datenzugriff nicht ausreichend sind.
  2. Eng verknüpft mit dem Gefahrenbegriff ist die Frage, gegen welche Personen Eingriffe in ihre informationellen Grundrechte durchgeführt werden dürfen. In besonderem Maße ist dies problematisch für solche Betroffenen, die nicht als Handlungs- oder Zustandsverantwortliche bzw. als Tatverdächtige im Polizei- und Strafrecht in besonderer Verantwortung stehen. Hier sind die rechtlichen Vorgaben gegenüber der Eingriffsschwelle eher weit gefasst. Grundsätzlich darf sich der Eingriff somit zwar nur unmittelbar gegen die verantwortliche Zielperson richten (BVerfGE 109, 279, 351 f.; 120, 274, 329 ff.). Soweit hierbei jedoch Dritte mit erfasst werden, ist dies verfassungsrechtlich zulässig. Ebenso ist die Durchführung einer heimlichen Überwachung auch unmittelbar gegenüber Dritten möglich. Voraussetzung hierfür ist, dass der betroffene Dritte über eine spezifische individuelle Nähe zur aufzuklärenden Gefahr oder Straftat verfügt. Die Nähe muss sich auf gewisse Weise verfestigt haben, so genügt nicht jedweder Austausch zwischen Zielperson und Betroffenem, sondern es bedarf Anhaltspunkte für einen tatsächlichen Kontakt zwischen beiden.
  3. Es muss eine effektive Vorabkontrolle von Überwachungsmaßnahmen durch eine unabhängige Stelle gegeben sein. Genannt wird in diesem Zusammenhang die richterliche Anordnung (BVerfGE 109, 279, 357 ff.; 120, 274, 331 ff.; 125, 260, 337 ff.). Pflicht der Landesjustizverwaltungen ist es dabei, die notwendigen sachlichen und personellen Voraussetzungen für eine solche Kontrolle zu schaffen. Spiegelbildlich trifft die maßnahmendurchführende Behörde ihrerseits die Verpflichtung, die effektive Überprüfung sicherzustellen, indem sie der unabhängigen Stelle alle hierfür benötigten Informationen zur Verfügung stellt.
  4. So wie es einer vorgelagerten Kontrolle bedarf, setzt jedwedes rechtsstaatliche Handeln ebenso Transparenz, Rechtsschutz und aufsichtsbehördliche Kontrolle voraus (BVerfGE 65, 1, 44; 100, 313, 361 ff.; 109, 279, 363 ff.; 125, 260, 334 ff.; 133, 277, 365 ff.). Rechtsschutz und aufsichtsbehördliche Kontrolle stehen dabei in einem engen Verhältnis, denn je weniger der subjektive Rechtsschutz gewährleistet werden kann, zum Beispiel aufgrund der heimlichen Natur einer Maßnahme, umso wichtiger ist deren externe, unabhängige Kontrolle. Diese Kontrolle muss durch eine mit wirksamen Befugnissen ausgestattete Stelle stattfinden; diesen Anforderungen genügt die Bundesdatenschutzbeauftragte, welcher die zur Erfüllung ihrer Aufgabe notwendigen Informationen von den Sicherheitsbehörden zur Verfügung gestellt werden müssen. Die entsprechende Kontrolle ist mindestens alle zwei Jahre durchzuführen. Auch hier ist der Gesetzgeber gefordert, tätig zu werden. Ebenso bedarf es bei heimlichen Ermittlungsmaßnahmen einer größeren öffentlichen Transparenz. Um Rechtsschutz und Transparenz gewährleisten zu können, gehört zuvorderst die nachträgliche Benachrichtigungspflicht des Betroffenen im Anschluss an die Überwachungsmaßnahme, die grundsätzlich vorzusehen ist und von der nur in engen Ausnahmefällen abgewichen werden kann, zum Pflichtenprogramm. Der Gesetzgeber ist hier gefordert, entsprechende Maßnahmen vorzusehen. Neben der Benachrichtigungspflicht sind ebenso Auskunftsrechte zu schaffen, die als Ergebnis einer wohl abgestimmten Interessenabwägung jedoch abbedungen werden können. Nicht zuletzt sind bei der Begründung heimlicher informationeller Eingriffsbefugnisse auch wirksame Sanktionen bei Rechtsverletzungen vorzusehen – hier verfügt der Gesetzgeber aber über einen weiten Gestaltungsspielraum. Abschließend ist zur Förderung von Transparenz und zur Kompensation der Heimlichkeit der Überwachungsmaßnahme durch den Gesetzgeber sicherzustellen, dass regelmäßige und ausreichend substanziierte Berichte zur Tätigkeit des BKA an Parlament und Öffentlichkeit erfolgen. So stellt der demokratische Diskurs über neue Überwachungsmaßnahmen auch eine entscheidende Voraussetzung für deren Legitimität dar.
  5. Durch den Gesetzgeber ist sicherzustellen, dass schon die Ermächtigungsgrundlagen eine Löschungsverpflichtung für die erhobenen Daten enthalten (BVerfGE 65, 1, 46; 133, 277, 366). Damit eng verbunden ist der Zweckbindungsgrundsatz, denn durch die Löschung wird sichergestellt, dass grundsätzlich keine Speicherung auf Vorrat für nicht weiter definierte Ermittlungszwecke stattfindet. Die Datenlöschung ist durch Protokollierung nachzuweisen.
  6. Besonders intensive Überwachungsmaßnahmen stellen auch besonders hohe Anforderungen an den Schutz des Kernbereichs privater Lebensgestaltung als den Bereich höchstpersönlicher Privatheit gegenüber Überwachung (BVerfGE 109, 279, 313; 113, 348, 391 f.; 120, 274, 335; 129, 208, 245 f.). Der Kernbereich beansprucht Geltung gegenüber jedweder Überwachungsmaßnahme durch den Staat, weshalb sein Schutz schon von Gesetzes wegen deutlich gewährleistet sein muss. Es ist verfassungsrechtlich in jedem Falle unzulässig, den Kernbereich als Ermittlungsziel zu definieren, d.h. gezielt Informationen aus der höchstprivaten Sphäre zu verwerten. Freilich ist es in verfahrenstechnischer Hinsicht nicht leicht, einen effektiven Kernbereichsschutz zu gewährleisten. Das Bundesverfassungsgericht verlangt deshalb ein zweistufiges Schutzverfahren, das bei Schaffung der Ermächtigungsgrundlagen schon vom Gesetzgeber zu beachten ist: Erstens ist so weit wie möglich zu verhindern, dass Kernbereichsinformationen den Ermittlern zur Kenntnis gelangen. Zweitens ist, falls dies doch einmal der Fall sein sollte, so weit wie möglich zu vermeiden, dass das unbefugte Eindringen in die Privatsphäre für den Betroffenen negative Folgen nach sich zieht. Speziell für letztgenannte Voraussetzung wird grundsätzlich eine Sichtung der Daten wieder durch eine unabhängige Stelle vorgesehen, um zu auszuschließen, dass die Daten den Sicherheitsbehörden zur Kenntnis gelangen.
  7. Der Menschenwürdegrundsatz bezieht sich nicht nur auf die Intensität der Überwachung, also auf den Kernbereichsschutz, sondern ebenso auf deren Dauer. Unzulässig sind deshalb staatliche Überwachungshandlungen, die sich über einen längeren Zeitraum erstrecken und den gesamten Lebensverlauf des Betroffenen erfassen, sodass hieraus ein umfassendes Persönlichkeitsprofil erstellt werden kann (BVerfGE 109, 279, 323; 112, 304, 319 f.; 130, 1, 24). Insoweit findet hier auch eine Überschneidung mit dem Kernbereichsschutz statt, da sich nicht nur aus einer hinreichend intensiven, sondern auch aus einer hinreichend langanhaltenden, unbemerkten Überwachung bedeutende Gefahren für die engere Persönlichkeitssphäre ergeben (vgl. beispielsweise auch das Verhältnis der Auswertung von Inhalts- und Verkehrsdaten). Das Bundesverfassungsgericht spricht in seinem Urteil zum BKAG von einem „additiven Grundrechtseingriff“.
  8. Der Schutz von besonderen Vertrauensbeziehungen muss durch den Gesetzgeber gewährleistet werden, da diese durch heimliche Informationsbeschaffungen des Staates in besonderer Weise belastet werden können (BVerfGE 129, 208, 262 ff.). Eine Verpflichtung, von vornherein bestimmte Personengruppen von Überwachungsmaßnahmen auszuschließen, besteht grundsätzlich nicht. Vielmehr besitzt der Gesetzgeber einen Gestaltungsspielraum, der aber gleichwohl eine angemessene Interessenabwägung zwischen Schutz- und Eingriffsgütern voraussetzt, die auch die Grundrechte der Berufsgeheimnisträger berücksichtigt.
  9. Entscheidend für die verfassungsrechtliche Beurteilung der sicherheitsbehördlichen Datenverarbeitung ist nicht zuletzt auch die Einhaltung des Zweckbindungsgrundsatzes, das heißt, dass die erhobenen Daten nur für diejenigen Aufgaben genutzt werden dürfen, die der ursprünglichen Erhebung zugrunde lagen. Hier stellt das Bundesverfassungsgericht zutreffend fest, dass die Übermittlung personenbezogener Daten an andere Staaten eine Zweckänderung ist, die der Zweckbindung grundsätzlich zuwiderläuft. Speziell für die Auslandsdatenübermittlung stellt sich daneben das Problem, dass die Gewährleistungen des Grundgesetzes für diese Daten nicht mehr zur Anwendung gebracht werden können. Hier ist der Gesetzgeber deshalb aufgefordert, flankierende Regelungen zu treffen, die dieser doppelten Gefährdungslage hinreichend Rechnung tragen. So ist eine Datenübermittlung in solche Empfängerstaaten untersagt, in denen elementare rechtsstaatliche Grundsätze verletzt werden (BVerfGE 108, 129, 136 f.). Das Bundesverfassungsgericht schreibt für die sicherheitsbehördliche Datenübermittlung in das Ausland vier Grundsätze fest:
  • Die Datenübermittlung ist nur zulässig zur Verfolgung hinreichend gewichtiger Zwecke.
  • Vor der Übermittlung hat eine Vergewisserung hinsichtlich des rechtsstaatlichen Umgangs mit den Daten stattzufinden.
  • Auch bei der Auslandsdatenübermittlung bedarf es einer wirksamen inländischen Kontrolle.
  • Der Gesetzgeber ist aufgefordert, die vorgenannten Anforderungen deutlich im nationalen Recht zu verankern.

Es bleibt zu hoffen, dass all diese detaillierten Vorgaben des Bundesverfassungsgerichts nicht nur im Hinblick auf die Novellierung des BKAG, sondern aufgrund ihres allgemeingültigen Charakters auch für künftige Sicherheitsgesetze berücksichtigt werden.