Tag Archives: BND

Führt das Fehlen von Dateianordnungen beim BND zur Rechtswidrigkeit der Datenverarbeitung?

In der 130. Sitzung des NSA-Untersuchungsausschusses des Deutschen Bundestags am 15.2.2017 ist die Frage angesprochen worden, wie das Fehlen einer im BND-Gesetz vorgesehenen Dateianordnung zu bewerten sei. Der Bundestagsabgeordnete Schipanski wird in einem Beitrag des Blogs Netzpolitik mit der Aussage zitiert, ich hätte als ehemaliger Bundesbeauftragter für den Datenschutz die Auffassung vertreten, dass es sich beim Fehlen einer Dateianordnung bloß um einen „formalen“ Gesetzesverstoß handele, der keine materielle Rechtswidrigkeit der Datei zur Folge habe.

Richtig ist: Nicht jeder Verstoß gegen Verfahrensvorschriften des Datenschutzrechts führt automatisch zur Rechtswidrigkeit der entsprechenden Datei. Aus einem fahrlässigen „Versäumen“ einer gesetzlich vorgesehenen Verpflichtung allein ergibt sich nicht zwingend eine Löschungsverpflichtung der betreffenden Daten. Anders sieht es aber aus, wenn eine Dateianordnung – und damit auch die Meldung gegenüber dem/der Bundesdatenschutzbeauftragten willentlich oder sogar systematisch unterbleibt und somit eine datenschutzrechtliche Prüfung der Datei nicht möglich ist. Zudem muss berücksichtigt werden, dass die Dateianordnung, die von der zuständigen Fachaufsicht (beim BND übt das Bundeskanzleramt diese Funktion aus) zu genehmigen ist, die Zwecke der Verarbeitung und die Voraussetzungen der Speicherung, Übermittlung und Nutzung (betroffener Personenkreis, Arten der Daten) festzulegen hat. Ohne Dateianordnung fehlen diese zentralen verfahrensrechtlichen Sicherungen.

Eine solche Praxis – die es offenbar gegeben hat – ist nicht nur als „minder schwerer“ Formalverstoß zu bewerten, sondern als Aushebelung der unabhängigen Datenschutzkontrolle, die vom Bundesverfassungsgericht in seiner Rechtsprechung seit dem Volkszählungsurteil von 1983 als unabdingbar für die Wahrung der Grundrechte angesehen wird.

Das BVerfG führt dazu in Rz. 207 des Urteils des Ersten Senats vom 24. April 2013 – 1 BvR 1215/07 -(„Antiterrordatei“) aus:

„Die aufsichtliche Kontrolle flankiert die subjektivrechtliche Kontrolle durch die Gerichte objektivrechtlich. Sie dient – neben administrativen Zwecken – der Gewährleistung der Gesetzmäßigkeit der Verwaltung insgesamt und schließt dabei den Schutz der subjektiven Rechte der Betroffenen ein. Dass auch Anforderungen an die aufsichtliche Kontrolle zu den Voraussetzungen einer verhältnismäßigen Ausgestaltung der Datenverarbeitung gehören können (vgl. BVerfGE 100, 313 <361> unter Verweis auf BVerfGE 30, 1 <23 f., 30 f.>; 65, 1 <46>; 67, 157 <185>), trägt dem Umstand Rechnung, dass es sich bei der Speicherung und Verarbeitung von Daten um Eingriffe handelt, die für die Betreffenden oftmals nicht unmittelbar wahrnehmbar sind und deren freiheitsgefährdende Bedeutung vielfach nur mittelbar oder erst später im Zusammenwirken mit weiteren Maßnahmen zum Tragen kommt. Eingriffe in das Recht auf informationelle Selbstbestimmung können deshalb auch dann unverhältnismäßig sein, wenn sie nicht durch ein hinreichend wirksames aufsichtsrechtliches Kontrollregime flankiert sind. Dies hat umso größeres Gewicht, je weniger eine subjektivrechtliche Kontrolle sichergestellt werden kann.“

Die  Umgehung der gesetzlich vorgeschriebenen Kontrollmechanismen und sonstigen verfahrensrechtlichen Sicherungen führt also zur materiellen Rechtswidrigkeit.

ABDSG-Entwurf: Gesetz zur Aufweichung des Bundesdatenschutzgesetzes?

Der Blog „Netzpolitik“ hat heute den Entwurf eines vom Bundesinnenministerium (BMI) erarbeiteten „ABDSG“ veröffentlicht. Schon vor Wochen geisterten entsprechende Meldungen durch Blogs wirtschaftsnaher Anwaltskanzleien und Unternehmensberatungen (etwa dem Hogan-Lovells-Blog v. 24. August 2016), denen der Entwurf offenbar schon sehr frühzeitig bekannt war. Es ist gut, dass nun auch die interessierte Öffentlichkeit den Entwurf kennt.

ABDSG steht für „Allgemeines Bundesdatenschutzgesetz“. Es geht um die Anpassung des Datenschutzrechts des Bundes an die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO), die in knapp zwei Jahren in Kraft tritt.

Während der Verhandlungen zur DSGVO hatte das BMI immer wieder für die Möglichkeit geworben, den Mitgliedstaaten weitgehende Regelungsmöglichkeiten zu belassen. Zur Begründung hatten die jeweiligen Bundesinnenminister Friedrich (CSU)  und de Maizière (CDU) angeführt, ihnen ginge es darum, das „hohe deutsche Datenschutzniveau“ zu erhalten.

Nach der Lektüre des Gesetzentwurfs drängt sich allerdings der Eindruck auf, dem Bundesinnenministerium gehe es weder um eine sinnvolle Umsetzung der EU-Vorgaben noch um die Nutzung von Regelungsspielräumen zum Erhalt eines hohen deutschen Datenschutzniveaus, sondern vorrangig um dessen Absenkung.

Drei Haupttendenzen ziehen sich durch den 79-seitigen Referentenentwurf:

Staatliche Stellen erhalten mehr Befugnisse zur Verarbeitung personenbezogener Daten.

An Stelle spezifischer Vorgaben für die Erhebung, Speicherung, Änderung und Nutzung sollen Generalermächtigungen zur Verarbeitung treten. Spezifische Zweckbindungsregeln sollen durch biegsame Verwendungsregeln abgelöst werden, die den Vorgaben des Bundesverfassungsgerichts (und der DSGVO) Hohn sprechen. Insbesondere bei den Nachrichtendiensten sollen die Schwellen zur Erhebung von Daten weiter abgesenkt werden.

Die Betroffenenrechte und die Kontrollbefungnisse der BfDI werden eingeschränkt, wo immer es die EU-Vorgaben zulassen und teils sogar dort, wo es solche Spielräume nicht gibt.

Gerupft werden sollen Auskunfts-, Informations- und Widerspruchsrechte und den Anspruch auf Löschung der Daten. Auch die Kontrollbefugnisse der Bundesdatenschutzbeauftragten sollen eingeschränkt werden, insbesondere gegenüber dem Verfassungsschutz und dem Bundesnachrichtendienst. Sie soll sich bei Angelegenheiten, welche die Nachrichtendienste betreffen, auch nicht mehr an den Bundestag oder an die parlamentarischen Kontrollgremien wenden dürfen.

Für die Datenverarbeitung durch die Wirtschaft erfindet das BMI neue Ausnahmen

Die Zweckbindung soll auch hier aufgeweicht werden. Zugleich sollen Unternehmen von lästigen Auskunfts- und Löschungspfichten entbunden werden, wenn damit ein „unverhältnismäßiger Aufwand“ verbunden wäre.

Sicher, es gibt auch einige Lichtblicke, aber diese muss man mit der Lupe suchen. So soll das bewährte deutsche System der betrieblichen Datenschutzbeauftragten erhalten bleiben. Zudem gesteht das BMI der Bundesdatenschutzbeauftragten einige neue Stellen zu. Das wars dann aber.

Vor diesem Hintergrund ist es zu begrüßen, dass – wie Netzpolitik berichtet – das Bundesjustizministerium aus verfassungsrechtlichen und handwerklichen Gründen die Notbremse gezogen und die offizielle Versendung des ABDSG-Referentenentwurfs gestoppt hat.

Um es auf den Punkt zu bringen: Ein solches Datenschutzabsenkungsgesetz brauchen wir überhaupt nicht!

Peter Schaar

Tagungsbericht vom Steinmüller Workshop 2016: Informatisierung der Welt

Von Hansjürgen Garstka,
– Gründer und Ehrenvorsitzender der EAID,
Berliner Beauftragter für Datenschutz und Informationsfreiheit a.D. –

Informatisierung der Welt. Steinmüller Workshop 2016
Europäische Akademie für Informationsfreiheit und Datenschutz
Berlin, 19. Mai 2016

Link zur pdf-Version

Tagungsbericht

Im Gedenken an Wilhelm Steinmüller, den am 1. Februar 2013 verstorbenen Wegbereiter der Auseinandersetzung mit den gesellschaftlichen Auswirkungen der Elektronischen Datenverarbeitung in Deutschland, trafen sich im Rahmen der Europäischen Akademie für Informationsfreiheit und Datenschutz Berlin  am 19. Mai 2016 zum vierten Mal Weggefährten, Schüler und Freunde, um aktuelle Probleme der Informationsgesellschaft zu diskutieren. Das diesjährige Thema lehnte sich an den Wortgebrauch Steinmüllers an, der richtigerweise nicht von der Digitalisierung, sondern von der Informatisierung der Welt sprach. In seinem Lebenswerk „Informationstechnologie und Gesellschaft“  handelte er unter diesem Thema Probleme der „Informatisierten Wirtschaft und Sozialwelt“, des „Informierten Staates“, der „Informatisierten Arbeit“ und der „Informatisierten Weltgesellschaft“ ab (S. 547 ff.). Die Beiträge zu dem Workshop folgten diesem Schema.

Zu Beginn jedoch erinnerte Wolfgang Kilian an den im Oktober 2015 verstorbenen Herbert Fiedler, einem weiteren Protagonisten der juristischen Informatik, wie er, sich abgrenzend von Steinmüllers Rechtsinformatik, dieses Gebiet nannte. Kilian hob die Bedeutung der juristischen Logik und der mathematischen Betrachtungsweise in Fiedlers Werk hervor, die auch in seiner langjährigen Funktion als Leiter der Forschungsstelle für Juristische Informatik und Automation bei der vormaligen Gesellschaft für Mathematik und Datenverarbeitung in Sankt Augustin zum Ausdruck kam. Auch sein Engagement im Fachbereich Recht und Verwaltung der Gesellschaft für Informatik sowie in der Gesellschaft für Rechts- und Verwaltungsinformatik haben viel zur Fortentwicklung des Gebietes beigetragen.

Als Paradigma für die „Informatisierte Wirtschaft“ zeigte zunächst Joachim Rieß auf, wohin der Weg von „Industrie 4.0“ führt. Dieser nur in Deutschland gebräuchliche Begriff (Wolfgang Coy wird ihn in einem späteren Diskussionsbeitrag als zu einseitig bezeichnen) markiere die auf Mechanisierung, Elektrifizierung und Automatisierung folgende Autonomisierung und Vernetzung als nächste Stufe der ökonomischen Entwicklung. Nahe liegender Weise erläuterte der Konzerndatenschutzbeauftragte von Daimler-Benz diesen Schritt anhand der „Digitalen Transformation des Fahrzeugs“, die auf Miniaturisierung, Fließbandtechnik und Entwicklung hoher Sicherheitstechnik folge. Mobile, ständig im on-line-Modus befindliche Geräte, der Einsatz einer Vielzahl von Sensoren, simultane Lokalisierbarkeit, das Entstehen „cyber-physischer Systeme“ kennzeichneten die Entwicklung.  Hinzu komme die Individualilisierung der Produkte. Der „Datenmensch“ entstehe als „alter ego“, die Welt werde für unsere Bedürfnisse gefiltert, neue Erlebensräume würden eröffnet (z.B. durch 3-D-Visualisierung). Risiken sah Rieß im Hoheitsanspruch über die Filterprozesse, der nationalen Abschottung und der Nationalisierung des Internets, der Entstehung asymmetrischer Kriege, der anschwellenden digitalen Kriminalität. Neue Herausforderungen für den Datenschutz entstünden, wie die Frage des Eigentums an Daten und Informationen, neue Verantwortlichkeits- und Haftungsfragen.

Wolfgang Schimmel wandte sich dem Problem des „Bezahlens mit – anonymen? – Daten“ zu. Er wies darauf hin, dass Daten etwa im Adresshandel schon immer Handelsware waren. Das Kunsturhebergesetz kenne den Geldwert von Bildern. Schadensersatzforderungen beim Missbrauch von Informationen oder Lizenzgeschäfte seien weitere Beispiele für die Monetarisierung. Internetanbieter nutzten die Daten dagegen aufgrund Allgemeiner Geschäftsbedingungen gratis, Facebook lasse sich sogar eine „uneingeschränkte Lizenz“ erteilen. Die kostenlose Preisgabe der Daten werde durch die Drohung mit der Zurückweisung der Anmeldung erzwungen, die Nutzung der Daten bleibe im Dunkeln. Auf diese Weise verkauften die Nutzer „ihre Seele“ als „Schnäppchen“. An Hand der Sage vom Regensburger „Bruckmandl“ erläuterte Schimmel das Problem, seine Seele zurückzuholen – gegen die teuflischen Internetgiganten wie in der Sage zwei Hähne und einen Hund loszuschicken, wird wohl nicht ausreichen.

Der „Verfügungsbefugnis über marktfähige personenbezogene Daten“ widmete sich auch Wolfgang Kilian. Zunächst müsse die Frage gestellt werden, was informationelle Selbstbestimmung mit Marktprozessen zu tun hat. Jedenfalls sei eine unmittelbare Drittwirkung nicht möglich. International werde das deutsche Verständnis des Allgemeinen Persönlichkeitsrechts nicht verstanden. Kilian stellte sodann 13 Thesen zur Erstellung der Marktfähigkeit von Daten auf. Darunter: Zu berücksichtigen seien die Funktionsdefizite der Einwilligung, die Problematik müsse vielmehr auf die Vertragsebene übergeleitet werden. Zivilrechtliche Verfügungsbefugnisse setzten eine Zuordnung zu Eigentum bzw. property rights voraus. Parallelen zum Immaterialgüterrecht müssten gezogen werden. Das Immaterialgut müsste hierzu neu definiert werden, u.U. könnten aus dem Zollrecht Anregungen gewonnen werden. Der Lizenznehmer sei als Nießbraucher zu betrachten. Die Rechte müssten durch Privacy by design und Privacy by default durchgesetzt werden. Auch spezielle Verwertungsgesellschaften seien denkbar. Die Schranken der Rechte etwa im Hinblick auf Nutzung, Fairness, Forschung, öffentliche Sicherheit seien zu bestimmen, die Rolle von Anonymisierungspflichten sei zu bedenken.

Zur Informatisierung in der Sozialwelt steuerte Alexander Dix einen Beitrag zur „Entsolidarisierung durch die Digitalisierung des Menschen“ bei. Er verwies auf den wachsenden Markt von Gesundheitsapps und Trackinggeräten. Schlaf, Schweiß, Laufstrecken würden gemessen. Krankenkassen würden bei bestimmten Werten Prämien gewähren. Die Kfz-Versicherer interessierten sich mehr und mehr für den Fahrstil der versicherten Personen. Es stellten sich Fragen nach der Qualität und der Aussagekraft der gesammelten Daten, es könne zu Risikoverschiebungen kommen (beim Laufen Risiken für die Knochen statt für das Herz), es gebe Überlistungsmöglichkeiten. Vor allem liege in der Berücksichtigung der Daten bei der Prämengestaltung ein Verstoß gegen das Solidaritätsprinzip. So lasse das SGB V keine Bevorzugung gesund Lebender zu. Auch die Freiwilligkeit stehe in Frage, das Koppelungsverbot von Art. 7 Datenschutz-Grundverordnung sei zu beachten. Insgesamt könne  in der Sammlung dieser Gesundheitsdaten eine Vorstufe zur zentralen Gesundheitssteuerung gesehen werden, wie sie in China mit dem „citizen score“ derzeit aufgebaut wird.

Der informatisierte Staat wird vor allem durch die Sicherheitsbehörden mit ihren Überwachungsmaßnahmen repräsentiert. Hansjörg Geiger zeigte hierzu die „Verfassungsrechtlichen Grenzen der Überwachung der internationalen Telekommunikation durch den BND“ auf. Ausgangspunkt sei die Erkenntnis der Vorratsdatenspeicherungs-Entscheidung des Bundesverfassungsgerichts, nach der jede Kenntnisnahme, Auswertung und Verwendung von Kommunikationsdaten einen Grundrechtseingriff darstelle. Grenzen könnten nur ein Gesetz bestimmt werden, das besonderen Anforderungen an die Verhältnismäßigkeit und Normenklarheit genügen muss. Geiger erläuterte sodann die „strategischen“ Beschränkungen des G-10-Gesetzes, nach dem die Überwachungsbefugnisse auf den Telekommunikationsverkehr von und nach Deutschland beschränkt seien. Nur 20 % des Verkehrs dürfe einbezogen werden. Im Ergebnis sei eine flächendeckende Überwachung nach dem G-10-Gesetz nicht gestattet. In Diskussion sei die Frage nach der Zulässigkeit der Überwachung in einem Drittland oder zwischen Drittländern. Die Bundesregierung vertrete die These des „offenen Himmels“ und halte sie für zulässig. Dagegen sei zu halten, dass Art. 1 Absatz 3 Grundgesetz zwar keine Aussage zum räumlichen Geltungsbereich mache, aber Völkerrecht, v.a. die Allgemeine Erklärung der Menschenrechte zu beachten sei. Auch sei der Gebietskontakt durch Empfangs- und Auswertungsgeräte zu berücksichtigen. Das Bundesverfassungsgericht selbst lasse Art. 10 eingreifen, sobald Telekommunikationsdaten von deutschen Behörden in Deutschland erhoben, wie auch immer verarbeitet oder übermittelt werden. Im Ergebnis müsse Art. 10 daher auch für den „offenen Himmel“ grundsätzlich immer gelten. Allerdings könnten die Regelungen hier großzügiger ausgelegt werden. Jedenfalls dürfe der BND nicht weiterhin in einer Grauzone arbeiten.

Carl-Eugen Eberle befasste sich, angeregt durch einen Zeitungsbeitrag über die Nutzung der Sozialen Medien durch die Partei AfD, mit der allgemeinen Frage nach dem  Einfluss der Sozialen Medien auf die öffentliche Meinungsbildung. Dabei sei auffällig, dass der dort verbreitete Vorwurf der „Lügenpresse“, der sich auch gegen den Rundfunk richte, gerade in einem Medium erhoben werde, das selbst lügenanfällig ist. Die Selbstreferenzialität durch Likes bei Facebook spiele ebenso eine Rolle wie die Erzeugung von Entrüstungspotential durch Gerüchte und falsche Tatsachenbehauptungen. All dies werde noch begünstigt durch anonym oder gar automatisch generierte Beiträge. Im Gegensatz zum öffentlichen Rundfunk, der strengen journalistischen Regeln unterworfen ist, unterlägen diese Aktivitäten keinerlei Kontrolle. Das stelle die Frage, „ob wir nicht die falschen Türen überwachen“. Es sei notwendig, dass das Medienrecht auf diese Situation reagiere.

Im Rahmen des Bereichs „Informatisierte Arbeit“ trug Klaus Fuchs-Kittowski zur „Digitalisierung der Arbeitswelt – zur Stellung und Verantwortung des Menschen in hochkomplexen informationstechnologischen Systemen“ bei. Ausgangspunkt müsse sein, dass der Mensch im Mittelpunkt der Wirtschaftsinformatik stehen müsse. In der Auseinandersetzung mit den Propagandisten der Vollautomatisierung müsse die „technische Immunität“ angegriffen werden. Der Leitsatz müsse sein: „Gebt dem Automaten, was des Automaten ist, gebt dem Menschen, was des Menschen ist“ und nicht „…gebt dem Menschen, was übrig ist“. Die weitgehende Automatisierung führe zu einer Entwertung der menschlichen Arbeit. Der Druck, mit elektronischen Medien arbeiten zu müssen, führe zu einer immer stärkeren Arbeitsverdichtung. Die Bedeutung des Menschen sehe man besonders in riskanten Situationen, in denen der Mensch einen größeren Spielraum habe als eine Maschine. Dies sei wichtig besonders im Hinblick auf die Störanfälligkeit von Maschinen, die sich auch beim „ubiquitous computing“ zeigen werde: Je mehr Informationsquellen genutzt werden, desto größer werde die Störanfälligkeit („Paradoxie der Sicherheit“). Anzustreben sei nicht Vollautomation, sondern ein verantwortliches Zusammenwirken zwischen Mensch und Maschine.

Zum Themenbereich „Informatisierte Weltgesellschaft“ erläuterte Peter Schaar zunächst „Das regulatorische Territorialdilemma der globalen Informationsgesellschaft“.  Die Globalisierung habe seit 1995 deutliche Veränderungen hinsichtlich ihrer Auswirkungen auf die Datenverarbeitung verursacht. Während in jener Zeit umfangreiche Datenübermittlungen eher die Ausnahme und lokale Regelungen angemessen gewesen wären, seien dezentrale Verfahren heute eher die Ausnahme. Nicht nur von Institutionen wie dem US-Geheimdienst NSA, sondern auch von Wirtschaftsunternehmen gingen globale Bedrohungen aus. Unsere jetzigen Regelungen bezögen sich aber immer noch auf die frühere Situation. Die weltweit erhobene Forderung nach einer „digitalen Souveränität“ führe zu einer Daten-Relokalisierung, wie sie die USA bereits seit langem praktiziere. Erforderlich sei dagegen eine Globalisierung der rechtlichen Vorgaben. Durch UN-Aktivitäten seien deutliche Grenzen zu setzen. Die Menschenrechtsbindung müsse unabhängig von Hoheitsgebieten und der Nationalität der Betroffenen durchgesetzt werden. Schaar verwies auf den Bericht der Hohen Kommissarin für Menschenrechte der UN, Navi Pillay, nach dem Menschenrechte nur durchgesetzt werden könnten, wenn die einzelnen Staaten sich verpflichten, sie auch außerhalb ihrer eigenen Landesgrenzen zu beachten  (The Right to Privacy in the Digital Age, Juli 2014).

Schließlich beschrieb Klaus Lenk „Die Herausbildung einer weltweiten privaten Rechtsordnung: Akteure und ihre Gestaltungsspielräume“. Diese von zivilen Einrichtungen geschaffenen Rechtsordnungen, die in Konkurrenz zur staatlichen stehen,  würden Oberhand gewinnen. Kennzeichnend für sie sei die folgenreiche Nutzung von vier Steuerungsinstrumenten: (1) Imperatives Recht werde durch zwingende Technikregulierung abgelöst. (2) Eine unsichtbare Rekonfigurierung der physischen und informationellen Umgebung des Menschen führe zu einer „gebremsten Individuation“. (3) Entscheidungen beruhten auf einem „maschinellen“ Anfangsverdacht. (4) Diffuse, feingranulare nicht-staatliche Überwachungsszenarien entstünden. Dahinter stehe die „kalifornische Ideologie“, die geprägt sei durch Weltverbesserungsstreben, Technikgläubigkeit und Geschäftemacherei. Folgende staatliche Spielräume verblieben:  Entnetzung (Dinge müssen isoliert funktionieren), Resilienz (Gestaltung robuster, verantwortbarer Strukturen), Herstellung von Nachvollziehbarkeit. Insgesamt seien die Handlungsspielräume größer als vermutet. Hierzu müsse der „Enteignung des Willens durch Digitalisierung“ begegnet, der damit zusammenhängende Fatalismus überwunden und die Frage gestellt werden, „ob wir noch Alternativen denken können“.

Nichts gelernt: BND-Gesetzentwurf enthält verfassungswidrige Elemente

Der Blog netzpolitik.org hat am 6. Juni 2016 einen offenbar geleakten Entwurf eines geänderten BND-Gesetzes veröffentlicht.

Der Gesetzentwurf vermittelt den Eindruck, als sollten die   inzwischen aufgedeckten zweifelhaften Praktiken des BND nachträglich legalisiert werden. Insbesondere der Aufklärungsarbeit des BND-Untersuchungsausschusses des Deutschen Bundestags verdanken wir die Erkenntnis, dass der deutsche Auslandsgeheimdienst nicht nur bei seinen Aktivitäten im Ausland weitgehend in einem gesetz- und kontrollfreien Raum agiert, sondern auch bei der Erfassung von über deutsche Netzknoten geleiteter Telekommunikations- und Internetverbindungen. Parlamentarische und datenschutzrechtliche Aufsichts- und Kontrollmechanismen wurden systematisch umgangen, teilweise sogar unter Bruch gesetzlicher Vorgaben.

Statt sich ernsthaft mit den Problemen der offenbar außer Kontrolle geratenen Überwachung auseinanderzusetzen, wollen die Autoren des Gesetzentwurfs dem BND zusätzliche allgemeine Überwachungsbefugnisse gegeben. Die Erfassung der Telekommunikation soll sich erkennbar nicht auf terroristische Gefährder oder internationale Waffenhändler beschränken, sondern sämtliche nicht-deutschen Telekommunikationsteilnehmer und Internetnutzer betreffen.

Ignoriert werden dabei die durch die jüngste Rechtsprechung des Bundesverfassungsgerichts zum BKA-Gesetz festgelegten Grenzen bei der Erfassung unverdächtiger Personen. Ihre Daten sollen nach dem Gesetzentwurf nicht nur vom BND selbst erfasst, sondern – nicht nur im Einzelfall – auch automatisiert an ausländische Geheimdienste übermittelt werden, soweit ‚die sofortige Übermittlung erforderlich ist, um die Kooperationsziele zu erreichen‘. Dies wäre ein glatter Verstoß gegen das durch unser Grundgesetz geforderte Verhältnismäßigkeitsprinzip.

Skandalös ist die vorgesehene Einschränkung der Kontrollbefugnisse der Bundesbeauftragten für den Datenschutz, deren Kontrollrecht bei vom BND gemeinsam mit ausländischen Diensten geführten Dateien auf die durch den BND eingespeicherten Daten beschränkt werden soll. Daten ausländischer Geheimdienste, die der BND aus gemeinsamen Dateien erhält und nutzt, würden damit der datenschutzrechtlichen Kontrolle entzogen – ein evident verfassungswidriger Vorschlag.

Peter Schaar

Der Entwurf des Verfassungsschutz-Gesetzes: Licht und Schatten bei der Neuausrichtung der Datenverarbeitung des BfV

Was gemeinhin unter dem Entwurf des Verfassungsschutz-Gesetzes zusammengefasst wird, umfasst konkret betrachtet weit mehr als nur das: Der am vergangenen Mittwoch in Berlin beschlossene Gesetzentwurf der Bundesregierung zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes soll als Artikelgesetz nicht nur das Bundesverfassungsschutzgesetz (BVerfSchG) novellieren, sondern umfassend die informationelle Sicherheitsarchitektur in Deutschland umgestalten: So sind Änderungen im MAD-Gesetz, im BND-Gesetz, im Sicherheitsüberprüfungsgesetz, im VIS-Zugangsgesetz, im Artikel 10-Gesetz, im Bundesbeamtengesetz, im Bundesbesoldungsgesetz, in der Strafprozessordnung, in der Verordnung über den Betrieb des Zentralen Staatsanwaltschaftlichen Verfahrensregisters und im Bundeszentralregistergesetz vorgesehen. Obgleich zahlreiche dieser Änderungen aus datenschutzrechtlicher Perspektive heraus miteinander verknüpft sind, wird im Folgenden aus Gründen des Umfangs nur auf die wesentlichen Änderungen im Bereich des Bundesverfassungsschutzgesetzes eingegangen.
Generell verfolgt das gesetzgeberische Vorhaben die Zielsetzung, den Zuständigkeitsbereich des Bundesamtes für Verfassungsschutz (BfV) auszuweiten. Hierzu erfolgt die explizite Benennung des BfV als Zentralstelle im nachrichtendienstlichen Bereich ähnlich dem Bundeskriminalamt (BKA) als zentraler Stelle für das polizeiliche Auskunfts- und Nachrichtenwesen. Der Gesetzentwurf sieht vor, die Bedeutung des BfV innerhalb der nationalen Sicherheitsarchitektur zu erhöhen und ihm eine Koordinierungsfunktion einzuräumen, die zu einem höheren Maß an Vereinheitlichung, zur Verbesserung der Zusammenarbeitsfähigkeit zwischen den Landesämtern für Verfassungsschutz (LfV) und dem BfV und zu einer optimierten Regelung der Arbeitsteilung zwischen den einzelnen Sicherheitsbehörden führt.

Zur Erreichung dieses Ziels sind verschiedene Regelungen geplant, welche die Vernetzung der Verfassungsschutzbehörden untereinander fördern. Den Kern bildet dabei der Betrieb des nachrichtendienstlichen Informationssystems (NADIS) durch das BfV. Hierzu wird bestimmt, dass sich die LfV und das BfV unverzüglich die für ihre Aufgaben relevanten Informationen übermitteln. Zwar gibt es auch im geltenden BVerfSchG bereits einen Informationsaustausch zwischen Bund und Ländern in diesem Bereich, dieser wird aber durch die Neuregelungen konkretisiert und in der Form eines synallagmatischen Verhältnisses erweitert. Im Rahmen des Datenbankbetriebs werden zudem die Möglichkeiten der Datenspeicherung ausgedehnt, so brauchen beispielsweise die Dateien grundsätzlich nicht nur die Daten zu enthalten, die zum Auffinden von Akten und der dazu notwendigen Identifizierung von Personen erforderlich sind, sondern können inhaltlich auch darüber hinausgehen, ohne dass es einer gesonderten Rechtfertigung bedarf. Hier bedarf es einer weitergehenden gesetzlichen Konkretisierung, welche Datentypen innerhalb des NADIS gespeichert werden können, um einer Nutzung der Datenbank zu operativen Zwecken vorzubeugen. Ebenso besteht weiterer Konkretisierungsbedarf für den Kreis der auf das System zugriffsberechtigten Personen: Einerseits bestimmt der Gesetzentwurf zwar, dass eine Abfrage von Daten nur zulässig ist, soweit dies zur Erfüllung der Aufgaben, mit denen der Abfragende unmittelbar betraut ist, erforderlich ist. Andererseits jedoch wird die Zugriffsberechtigung auf Daten, die nicht zum Auffinden von Akten und der dazu notwendigen Identifizierung von Personen erforderlich sind, ausgedehnt. Für den entsprechenden Datenabruf wird nicht mehr wie bisher verlangt, dass dieser nur durch Personen stattfinden darf, die „unmittelbar mit Arbeiten in diesem Anwendungsgebiet“ betraut sind, sondern wird vielmehr solchen Ermittlungspersonen ermöglicht, die „mit der Erfassung von Daten oder Analysen betraut sind“. Das Unmittelbarkeitskriterium fällt in diesem Bereich folglich weg.

Für die Verarbeitung von personenbezogenen Daten in Akten sieht der Entwurf des Verfassungsschutz-Gesetzes ebenfalls eine Ausdehnung des Verwendungsumfangs vor, indem Akten oder Auszüge aus Akten ausdrücklich auch in elektronischer Form geführt werden dürfen und ein automatisierter Abgleich grundsätzlich möglich ist. Zugleich werden aber auch Beschränkungen und flankierende Verfahrensregelungen im Umgang mit den Daten getroffen: So wird beispielsweise eine explizite Vernichtungsverpflichtung normiert, wenn eine Akte insgesamt zur Erfüllung der Aufgaben des BfV nicht oder nicht mehr erforderlich ist. Darüber hinaus unterliegt der automatisierte Abgleich personenbezogener Daten aus Akten einer strengen Datenschutzkontrolle für jede Einzelabfrage.
Eine der Neuerungen im BVerfSchG, die sicherlich in Zukunft kontrovers diskutiert werden dürfte, ist die Möglichkeit des BfV, bei einer „Dringlichkeit der Aufgabenerfüllung“ vom gesetzlich vorgegebenen Verfahren der Festlegung von Dateianordnungen für automatisierte Dateien abzusehen und eine Sofortanordnung zu treffen. Die Besonderheit der Dateianordnung liegt darin, dass sie nicht nur der Zustimmung des Bundesministeriums des Innern (BMI) bedarf, sondern darüber hinaus auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) vor ihrem Erlass anzuhören ist. Durch die Sofortanordnung wird die Mitwirkung von BMI und BfDI auf eine unverzügliche Nachkontrolle im Anschluss an die Maßnahmendurchführung beschränkt. Damit von der gesetzlich eingeräumten Möglichkeit der Sofortanordnung kein übermäßiger Gebrauch gemacht wird, sollte diese Option des BfV klar auf konkret festgelegte Ausnahmefälle beschränkt werden. Insbesondere bedarf es einer gesetzlichen Konkretisierung des Dringlichkeitsbegriffes.
Die Stellung des BfV als vernetzte Zentralstelle nachrichtendienstlicher Datenverarbeitung wird ebenfalls deutlich im Hinblick auf die Ausdehnung der Übermittlungsverpflichtungen der übrigen Sicherheitsbehörden. So besteht für die Staatsanwaltschaften, die Polizeien und den Zollfahndungsdienst nach dem Gesetzentwurf nunmehr die Verpflichtung, alle ihnen bekanntgewordenen, auch personenbezogenen Informationen an das BfV oder die LfV zu übermitteln, wenn tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung zur Aufgabenerfüllung erforderlich ist. Ein behördliches Ermessen wie bisher soll folglich nicht mehr bestehen. Ebenso erhält der BND qua Gesetz die explizite Möglichkeit eingeräumt, personenbezogene Informationen an den Verfassungsschutz zu übermitteln.

Dieser und weiterer der vorgenannten Befugniserweiterungen des BfV stehen jedoch zugleich auch Aspekte der Transparenz und des Datenschutzes gegenüber, welche sich in den geltenden Vorschriften nicht finden. So soll die Tätigkeit des BfV in Zukunft mehr Bürgernähe gewinnen, was zu begrüßen ist. Dementsprechend hat das BfV nicht wie zurzeit noch eine Berichtspflicht ausschließlich gegenüber dem BMI, sondern unmittelbar gegenüber der Öffentlichkeit selbst, die sensibilisiert werden und für welche der Verfassungsschutz transparenter ausgestaltet werden soll. Im Gesetzentwurf unter anderem berücksichtigt wurden auch die Vorgaben, die das Bundesverfassungsgericht (BVerfG) unter dem Gesichtspunkt des Trennungsgebotes zwischen nachrichtendienstlicher Informationsbeschaffung und polizeilichem, operativen Tätigwerden im Rahmen seines Urteils zum Antiterrordateigesetz (ATDG) (1 BvR – 1215/07) im Jahre 2013 getroffen hat. So werden nunmehr teils verhältnismäßig detaillierte, einschränkende tatbestandliche Angaben getroffen, unter welchen Umständen und an wen das BfV personenbezogene Daten übermitteln darf, die mit Mitteln der heimlichen Informationsbeschaffung erlangt wurden. Gleichwohl belässt der Gesetzentwurf dem BfV auch hier eine „Hintertür“ in der Form einer zusätzlichen allgemeinen Auffangklausel zur Informationsübermittlung, wobei diese hier unter anderem auf „erhebliche“ Zwecke der öffentlichen Sicherheit beschränkt wird. Ob durch dieses Erheblichkeitskriterium allein aber die Weite der Auffangklausel in verfassungsrechtlich ausreichender Weise beschnitten wird, bleibt abzuwarten.
Generell sind für den Gesetzentwurf seine erhöhten Datensicherheitsanforderungen positiv hervorzuheben, die insbesondere die Nutzung des NADIS betreffen: Hier werden Protokollierungspflichten gesetzlich festgeschrieben, die bisher selbst bei den Bundesbehörden nicht immer selbstverständlich gewesen sind, man denke in der Vergangenheit nur an den Einsatz des Staatstrojaners. So hat das BfV für Zwecke der Datenschutzkontrolle bei jedem Zugriff den Zeitpunkt, die Angaben, welche die Feststellung der abgefragten Datensätze ermöglichen und die abfragende Stelle zu protokollieren. Dabei ist die Auswertung der Protokolldaten nach dem Stand der Technik zu gewährleisten.
Klargestellt wird im Entwurf des Verfassungsschutz-Gesetzes nunmehr ferner, dass das BfV, soweit es eine heimliche Informationsbeschaffung betreibt, in Individualrechte grundsätzlich nur nach Maßgabe besonderer Befugnisse eingreifen darf. Die Anwendung geheimer Ermittlungsinstrumente darf dabei zu keinem Nachteil führen, der erkennbar außer Verhältnis zur Bedeutung des aufzuklärenden Sachverhalts besteht. Durch diese eigentlich selbstverständliche Feststellung, die in Zukunft aber gesetzlich festgeschrieben werden soll, wird verdeutlicht, dass die Bedeutung des Schutzes der menschlichen Persönlichkeit auch im Zuge staatlicher Ermittlungen keine Werteinbußen erleiden darf. Im Gegenteil, gerade im Falle eines verdeckten nachrichtendienstlichen Tätigwerdens sind die Individualrechte in ihrer Qualität besonders zu berücksichtigen, da der Betroffene sich gegen ein solches Handeln mangels seiner Kenntnis im Regelfall nicht effektiv zur Wehr setzen kann.

Zusammenfassend betrachtet weist der aktuelle Entwurf des Verfassungsschutz-Gesetzes zahlreiche Regelungsintentionen auf, die geeignet sind, die informationellen Grundrechte in einem stärkeren Maße zu beschneiden, als dies bisher der Fall war. Gleichwohl sind die geplanten Vorschriften nicht ausschließlich unter kritischen Gesichtspunkten zu würdigen. Der NSU-Skandal hat gezeigt, dass das BfV in seiner derzeitigen institutionellen Ausgestaltung nicht in der Lage ist, angemessen auf aktuelle Bedrohungslagen zu reagieren. Gesetzliche Änderungen zur Verbesserung der Arbeit der Behörde sind somit zwingend notwendig, insbesondere auch deshalb, um die Verhältnismäßigkeit des Verfassungsschutzes überhaupt zu wahren: Eine staatliche Einrichtung, die teils intensive Eingriffe in Grundrechte durchführt, muss hinreichend effektiv arbeiten, um die Beschneidung verfassungsrechtlicher Freiheiten legitimieren zu können. Die Geeignetheit staatlichen Eingriffshandelns ist stets auch ein Bestandteil von dessen Verhältnismäßigkeitsbeurteilung. Dies berücksichtigt auch der am vergangenen Mittwoch vorgestellte Gesetzentwurf. Mit sicherheitsbehördlichen Befugniserweiterungen muss dennoch stets sparsam umgegangen werden, diese finden ihre Grenze in der zwingenden Erforderlichkeit des exekutiven Handelns. Hier geht der Gesetzentwurf streckenweise zu weit bzw. ist in seiner tatbestandlichen Ausgestaltung teils noch zu wenig konkret. Da das Gesetzgebungsverfahren aber noch nicht abgeschlossen ist, bleibt zu hoffen, dass diese Erwägungen in Zukunft Berücksichtigung finden.

Dennis-Kenji Kipker, 01.04.2015

Mehr Transparenz im Geheimen!

Das vom Deutschen Bundestag im Sommer 2005 kurz vor Toresschluss mit Mehrheit der seinerzeitigen rot-grünen Koalition beschlossene Informatinsfreiheitsgesetz enthält einen blinden Fleck: Die Geheimdienste. § 3 IFG nimmt die Nachrichtendienste ausdrücklich vom gegenüber allen Bundesbehörden bestehenden Anspruch auf Informationen aus. Während also jedermann – ohne Nachweis einer persönlichen Betroffenheit – vom Verkehrsministerium, dem Bundeskanzleramt und auch von der Bundespolizei Einblick in deren Akten oder den Zugang zu elektronisch gespeicherten Daten verlangen kann, besteht ein solcher Anspruch nicht gegenüber den Nachrichtendiensten. Sicher – auch ansonsten werden viele Anträge auf Informationszugang abgelehnt – aber jede Ablehnung muss begründet werden und die Antragsteller können die ablehnenden Entscheidungen gerichtlich überprüfen lassen – in vielen Fällen mit Erfolg. Bei den Nachrichtendiensten – dem Bundesamt für Verfassungsschutz, dem Bundesnachrichtendienst und dem Militärischen Abschirmdienst – hätten sie auch vor Gericht keinen Erfolg, denn hier greift die einzige „Bereichsausnahme“ des IFG: Hier und nur hier laufen Informationsbegehren stets gegen die Wand.

Warum enthält das deutsche Informationsfreiheitsgesetz – anders als etwa der US-amerikanische Freedom of Information Act – eine solche generelle Ausnahmebestimmung gegen die Transparenz von Geheimdiensten? Als das Gesetz formuliert wurde, bestanden das von Otto Schily geführte Bundesinnenministerium und das Bundeskanzleramt Gerhard Schröders darauf. Ohne den Welpenschutz für die Geheimdienste hätte es kein Informationsfreiheitsgesetz gegeben.

Es ist an der Zeit, diesen besonderen Schutzschirm für die Geheimdienste endlich einzuklappen. Seitdem der Bundestags-Untersuchungsausschuss zur NSA-Affäre immer mehr Einzelheiten über die Verwicklung deutscher Geheimdienste in die globalen Überwachungsaktivitäten ans Licht bringt, wird immer deutlicher, dass hier vor allem zwei Dinge nötig sind: Mehr Transparenz und bessere rechtsstaatliche Kontrolle. Ein erster Schritt könnte darin bestehen, endlich die generelle Ausnahmeregelung im IFG für die Geheimdienste zu streichen. Dort, wo vitale Sicherheitsinteressen entgegenstehen, müssten die Dienste auch dann keine Interna herausgeben – das mag man bedauern oder auch nicht. Trotzdem ginge von einer solchen Änderung das wichtige Signal aus, dass sich auch deutsche Geheimdienste innerhalb unserer Rechtsordnung bewegen. Es würde klargestellt, dass sie sich nicht mit irgendwelchen abstrusen Konstruktionen wie der „Weltraumtheorie“ der Geltung der Grundrechte des Grundgesetzes und der Gesetze entziehen können – nach dieser offenbar vom BND vertretenen Theorie gilt das Grundrecht auf Fernmeldegeheimnis nicht für im Ausland gesammelte Telekommunikationsdaten und für den Datentransit durch Deutschland, soweit keine deutschen Teilnehmer betroffen sind.

Der Bundestag hat es in der Hand, dieses Signal zu setzen, und er sollte dies tun.

Mit freundlichen Grüßen

Peter Schaar

No Spy – No Fun?

2012, kurz nach seiner Ernennung gab der Chef des Bundesnachrichtendienstes (BND) Gerhard Schindler einen Einblick in die Philosophie der Spionagewelt: „Wir müssen die guten operativen Fähigkeiten noch verbessern und ausbauen“, sagte er dem Magazin FOCUS. Dabei müssten „gut kalkulierte Risiken“ häufiger eingegangen werden: „Auch hier gilt: No risk, no fun.“ Schindler befreite damit – so die FAZ gut ein Jahr später – den Dienst von einer „angstvoll vorauseilenden Zurückhaltung“ – in welcher der BND nach diversen Affären erstarrt gewesen sei.

Sicherlich hatte Schindler seinerzeit nicht unbedingt an die Aufdeckung der weltweiten Spionageaktivitäten gedacht. Andererseits dürfte es ihn kaum überrascht haben, dass das „No-Spy-Abkommen“, das die Bundesregierung mit den USA anstrebte, nicht auf ungeteilte Gegenliebe in Washington stieß. Denn wer verzichtet schon freiwillig auf die „fun“, die mit dem weltweiten Spionieren angeblich verbunden ist?

Als Reaktion auf die Snowden-Veröffentlichungen hatte die Bundesregierung in einem Acht-Punkte-Plan versprochen, sich für ein „No Spy“-Abkommen mit Mindeststandards bei der nachrichtendienstlichen Arbeit einzusetzen.
Am 14. August 2013 wussten  das Bundeswirtschafts- und das Bundesinnenministerium zu berichten, man werde mit den Vereinigten Staaten von Amerika eine Vereinbarung schließen, die sicherstelle, dass es

  • keine Verletzung der jeweiligen nationalen Interessen,
  • keine gegenseitige Spionage,
  • keine wirtschaftsbezogene Ausspähung

gebe. Mit der  US-Seite – offensichtlich mit Vertretern der Nachrichtendienste – seien entsprechende Zusicherungen bereits mu?ndlich verabredet worden. Noch im Novermber letzten Jahres zeigte sich der damalige Kanzleramtschef Pofalla zuversichtlich, dass ein solches Abkommen zu Stande kommt.

Angesichts der aktuellen Berichte über das Scheitern der Bemühungen um ein No Spy-Abkommen wird zu Recht die Frage aufgeworfen, wie realistisch diese Bemühungen zur Selbstbegrenzung überhaupt waren. Nun zeigt sich, dass es einfach nicht ausreicht, gebetsmühlenartig zu wiederholen „Ausspähen unter Freunden – das geht gar nicht!“ und zugleich business as usual zu demonstrieren – schließlich wolle man die Beziehungen zu den Vereinigten Staaten nicht unnötig belasten.

Jeder, der sich etwas eingehender mit der amerikanischen Außenpolitik beschäftigt, wird bestätigen: Die USA reagieren auf moralische Vorhaltungen allein nicht, soweit eigene Interessen entgegenstehen. Deshalb ist es an der Zeit, dass Deutschland und Europa hier sehr viel deutlicher machen, dass gute Beziehungen keine Einbahnsstraße sind. Insofern bestehen durchaus Zusammenhänge zwischen den Spähaktivitäten der NSA einerseits und der den laufenden Verhandlungen über eine transatlantische Freihandelszone, dem Safe-Harbor-System zum Datenschutz und der Übermittlung von Daten über Finanztransaktionen (SWIFT) an US-Behörden anderseits. Europa darf nicht länger zögern, dies den Freunden auf der anderen Atlantikseite zu verdeutlichen.

Dabei darf nicht vergessen werden: So wünschenswert es ist, dass Politikerhandys nicht mehr gezielt überwacht werden, so unzureichend wären entsprechende Zusicherungen. Es geht um das massenweise Ausspähen unserer Alltagskommunikation – auch hier brauchen wir verbindliche Regeln, deren Einhaltung überprüft werden kann.

Bei alldem kann uns der Gemütszustand der Agenten reichlich egal sein, für wen sie auch tätig sind!

Ihr

Peter Schaar