Tag Archives: Polizei

Das neue Big Brother-Gesetz (mit Nachtrag v. 18.5.2017)

Nachtrag v. 18. Mai 2017:

Inzwischen liegt der Bericht des Innenausschusses mit dem Beschlussantrag der Regierungsfraktionen CDU/CSU und SPD zum Online-Abruf der Passfotos aus den kommunalen Personalausweisregistern vor (Drs. 18/12417).

Die Regierungsparteien CDU/CSU und SPD wollen den Kreis der Behörden, die im Rahmen ihrer Aufgabenwahrnehmung die biometrische Lichtbilder jederzeit abrufen können, um die Steurfahndungs- und Zollfahndungsämter erweitern. Eine überzeugende Begründung hierfür wird nicht geliefert.

Auch die für die Verfolgung von Ordnungswidrigkeiten zuständigen Behörden sollen die Daten zeitlich unbeschränkt abrufen. Bedeutsam ist auch die Änderung in den Protokollierungsvorschriften: Nur die abrufenden Stellen haben die Abrufe zu protokollieren. Damit ist es etwa den für die Personalausweisregister zuständigen Datenschutzbehörden nicht mehr möglich nachzuvollziehen, welche Behörde in welchem Umfang Lichtbilder abgerufen haben.

Die vorgesehenen Änderungen senken auf ganzer Linie das Datenschutzniveau Beim Umgang mit biometrische Daten weiter ab.

Die Regelungen sollen nun wie folgt lauten:

§ 22a Absatz 2 wird wie folgt geändert:

a) Satz 1 wird wie folgt gefasst: „Im Fall der Übermittlung von Lichtbildern durch Passbehörden nach § 19 Absatz 1 Satz 1 an die Ordnungsbehörden im Rahmen der Verfolgung von Verkehrsordnungs- widrigkeiten kann der Abruf des Lichtbildes im automatisierten Verfahren erfolgen.

b) Nach Satz 4 werden die folgenden Sätze eingefügt: „Die Polizeibehörden des Bundes und der Länder, der Militärische Abschirmdienst, der Bundesnachrichtendienst, die Verfassungsschutzbehörden des Bundes und der Länder, Steuerfahndungsdienststellen der Länder, der Zollfahndungs- dienst und die Hauptzollämter dürfen das Lichtbild zur Erfül- lung ihrer Aufgaben im automatisierten Verfahren abrufen. Die abrufende Behörde trägt die Verantwortung dafür, dass die Voraussetzungen des Absatzes 1 vorliegen.“

c) Nach dem bisherigen Satz 5 wird folgender Satz eingefügt: „Abrufe nach Satz 5 werden nur von der abrufenden Behörde protokolliert.“

 


Originalbeitrag v. 15. Mai 2017:

In dieser Woche, am 18. Mai 2017 wird der Deutsche Bundestag unter Tagesordnungspunkt 23 über ein höchst problematisches Gesetz entscheiden, das am 27. April schon einmal auf der Tagesordnung stand, dann aber überraschend nicht behandelt wurde. In der Vorlage für ein „Gesetz zur Förderung des elektronischen Identitätsnachweises“ (Drucksache 18/11279 ) befindet sich eine datenschutzrechtliche Ungeheuerlichkeit. Offiziell geht es vor allem darum, dass die heute schon im neuen Personalausweis vorhandene (eID-)Funktion bei der Ausstellung eines neuen Personalausweises grundsätzlich freigeschaltet wird und nicht erst dann, wenn der Ausweisinhaber dies wünscht.

Viel gravierender ist jedoch eine Änderung, die im hinteren Teil des Artikelgesetzes versteckt ist:

Artikel 2 (Weitere Änderung des Personalausweisgesetzes zum 1. Mai 2021) sieht eine dramatische Änderung von § 25 des Personalausweisgesetzes vor. Die Vorschrift soll zukünftig so lauten:

„Die Polizeien des Bundes und der Länder, das Bundesamt für Verfassungsschutz, der Militärische Abschirmdienst, der Bundesnachrichtendienst sowie die Verfassungsschutzbehörden der Länder dürfen das Lichtbild zur Erfüllung ihrer Aufgaben im automatisierten Verfahren abrufen.“

Bisher ist der Online-Abruf der biometrische Lichtbilder gem. dem geltenden § 25 Abs. 2 Personalausweisgesetz nur ausnahmsweise zulässig:

„Die Polizei- und Ordnungsbehörden, die Steuerfahndungsstellen der Länder sowie die Behörden der Zollverwaltung dürfen das Lichtbild zum Zweck der Verfolgung von Straftaten und Verkehrsordnungswidrigkeiten im automatisierten Verfahren abrufen, wenn die Personalausweisbehörde auf andere Weise nicht erreichbar ist und ein weiteres Abwarten den Ermittlungszweck gefährden würde. Zuständig für den Abruf sind die Polizeivollzugsbehörden auf Ebene der Landkreise und kreisfreien Städte, die durch Landesrecht bestimmt werden.“

Diese Beschränkung des Online-Abrufs der Lichtbilder war seinerzeit eingeführt worden, um zu verhindern, dass die obligatorisch in Pässe und Personalausweise aufgenommenen biometrische Gesichtsbilder zur Massenüberwachung genutzt werden. Mit der von der Großen Koalition geplanten Gesetzesänderung fällt diese wichtige Restriktion. Nicht nur die Polizei, sondern praktisch alle Sicherheitsbehörden erhalten zukünftig einen unbeschränkten Zugriff auf die digitalisierten Gesichtsbilder. Einzige Bedingung für den Online-Zugriff auf die Lichtbilddateien ist, dass der Abruf „zur Erfüllung ihrer Aufgaben“ erfolgt. Zu diesen Aufgaben gehört nicht nur die Strafverfolgung oder die Abwehr konkreter Gefahren. Polizeibehörden führen Verkehrskontrollen aus und betreiben Videoüberwachungsanlagen. Nachrichtendienste sind sogar weit im Vorfeld des Vorfeldes einer Gefahr tätig und sind nicht unbedingt dafür bekannt, sich bei der Datenerfassung zurückzuhalten.

Es ist damit zu rechnen, dass die umfassenden Abrufmöglichkeiten längerfristig dazu verwendet werden, im Rahmen der „intelligenten Videoüberwachung“ alle Menschen zu identifizieren, die sich in einem Bahnhof, auf einem Flughafen, in einem Einkaufszentrum oder auf einem öffentlichen Platz aufhalten. Nicht umsonst hat die Große Koalition kürzlich die gesetzlichen Befugnisse zur Videoüberwachung so aufgebohrt, dass die Gewährleistung der Sicherheit grundsätzlich schwerer wiegt als die Wahrung der Persönlichkeitsrechte der Betroffenen. Zusammen mit denen neuen automatischen Zugriffsbefugnissen auf die biometrische Daten wird daraus ein Big Brother-Gesetz.

Mit freundlichen Grüßen

Peter Schaar

Soziale Netzwerke sind keine Hilfsorgane der Sicherheitsbehörden

Innenpolitiker verschiedener Parteien, Vertreter des Bundesinnenministeriums und der Chef des Bundesamts für Verfassungsschutz fordern dieser Tage einen verbesserten Zugriff auf Daten aus sozialen Netzwerken. Sie berufen sich dabei auf den Amoklauf in München und auf terroristisch motivierte Straftaten in den letzten Wochen.

Facebook – so der Vorwurf – arbeite nur zögerlich mit den deutschen Sicherheitsbehörden zusammen. Deshalb seien Gesetzesänderungen notwendig, um etwa das Unternehmen zur Herausgabe von Nutzerdaten zwingen zu können. Unklar bleibt dabei, worauf sich diese Forderung im einzelnen bezieht: Auf die Herausgabe der Bestands- und Nutzungsdaten des Netzwerks oder auf die dort verbreiteten Informationen? Oder geht es um die vertrauliche Kommunikation mittels Messenger-Diensten wie Skype oder WhatsApp und die dabei ausgetauschten Inhalte?

Manchmal erleichtert ja ein Blick in die Gesetze die Rechtsfindung. Denn selbstverständlich sind die Betreiber sozialer Netzwerke an Recht und Gesetz gebunden und sie dürfen bzw. müssen Daten an Ermittlungsbehörden herausgeben, wenn die rechtlichen Voraussetzungen dafür gegeben sind. Bei sozialen Netzwerken handelt es sich um so genannte „Telemedien“ oder „Teledienste“ – für sie ist das Telemediengesetz (TMG) einschlägig, das Regeln für die Datenherausgabe an Behörden enthält. Zudem brauchen die Behörden eine gesetzliche Befugnis, die den Rahmen für deren Auskunftsverlangen absteckt, denn jede Übermittlung dieser Daten ist ein Eingriff in das Grundrecht auf informationelle Selbstbestimmungsrecht. Das Bundesverfassungsgericht spricht in diesem Zusammenhang von einem „Doppeltürmodell“, denn es verlangt sowohl eine gesetzliche Erlaubnis zur Datenherausgabe durch die Unternehmen als auch eine entsprechende Befugnis zur behördlichen Datenabfrage.

In § 14 Abs. 2 und § 15 Abs. 5 TMG ist festgelegt, dass Diensteanbieter wie Facebook den Polizeibehörden und den Nachrichtendiensten im Einzelfall Auskunft über bestimmte Daten des Nutzers erteilen dürfen, soweit dies für die Erfüllung der Zwecke der Strafverfolgung, zur Gefahrenabwehr und zur Terrorismusabwehr erforderlich ist und eine entsprechende Anordnung vorliegt. Die Anordnungsbefugnis ist in den für die jeweiligen Behörden geltenden Gesetzen festgelegt, insbesondere in der Strafprozessordnung, den Polizeigesetzen des Bundes und der Länder und im Bundesverfassungsschutzgesetz.

Die Strafprozessordnung und die Polizeigesetze von Bund und Ländern enthalten bereits umfangreiche Befugnisse zur Erhebung personenbezogener Daten, soweit es um die Aufklärung und Verhütung von Straftaten geht. Eine Regelungslücke kann ich hier nicht erkennen.

Auch der Verfassungsschutz darf gem. § 8a Bundesverfassungsschutzgesetz im Einzelfall Merkmale zur Identifikation des Nutzers eines Teledienstes, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Teledienste verlangen. Die Auskünfte dürfen aber nur verlangt werden, soweit dies im Einzelfall für die Aufgabenwahrnehmung erforderlich ist. Sie dürfen sich nur gegen Personen richten, bei denen tatsächliche Anhaltspunktre vorliegen, dass von ihnen schwerwiegende Gefahren ausgehen. Auch hier sehe ich keinen Bedarf für das weitere Aufbohren der Überwachungsbefugnisse.

Soweit die Behörden die direkte, vertrauliche Kommunikation zwischen Nutzern sozialer Netzwerke bzw. Messenger-Diensten überwachen wollen, müssen sie sich an die Regeln zur Telekommunikationsüberwachung halten. Diese Kommunikationsvorgänge sind durch das Fernmeldegeheimnis (Art. 10 GG) geschützt. Deshalb sind die rechtlichen Hürden hier höher als bei den sozialen Medien. Gleichwohl ist der Zugriff auf Verkehrsdaten der Telekommunikation und sogar die Überwachung der übertragenen Inhalte zur Bekämpfung schwerer Straftaten oder zur Abwehr schwerwiegender Gefährdungen – etwa bei einem angekündigten Amoklauf – zulässig. Die Behörden müssen auch hier ein rechtsstaatliches Verfahren einhalten, was im konkreten Fall bedeuten kann, dass sie eine richterliche Überwachungsanordnung benötigen. Ein solches rechtsstaatliches Verfahren mag lästig sein, ist aber unverzichtbar, wenn man die Grundrechte ernst nimmt.

Die Forderung nach einer darüber hinausgehenden allgemeinen ‚Kooperationspflicht‘ der Internetunternehmen mit Geheimdiensten oder Polizeibehörden würde dazu führen, dass die sozialen Netzwerke zu einer Art Hilfsorgan der Sicherheitsbehörden würden. Keineswegs hinzunehmen wäre etwa die Weitergabe persönlicher Daten bloß auf „Zuruf“ oder die Auswertung und Weitergabe von Massendaten. Die Enthüllungen Edward Snowdens haben gezeigt, welche Konsequenzen ein solcher Kuschelkurs haben kann.

Dagegen halte ich die Forderung für sinnvoll, dass Facebook und andere international agierende soziale Netzwerke Ansprechpartner für Auskunftsersuchen der Sicherheitsbehörden zu bestellen haben. Allerdings wird damit nicht das Problem gelöst, dass beim Zugriff auf Daten, die ein soziales Netzwerk auf Servern außerhalb Deutschlands speichert, auch die gesetzlichen Vorgaben des jeweiligen Staates zu beachten sind. Eine ähnliche Frage – allerdings mit umgekehrten Vorzeichen – wird ja derzeit in den USA diskutiert. Dort fordern Sicherheitsbehörden von Microsoft die Herausgabe von Daten, die auf Servern außerhalb der USA gespeichert werden. Der Ausgang dieses Verfahrens ist bis heute offen. Auch und gerade für den Zugriff auf Daten bei transnationalen Internetangeboten müssen die Grundsätze der Rechtsstaatlichkeit und Verhältnismäßigkeit gelten.

Wer dies aus tagespolitischen Motiven ignoriert, könnte sich schon bald die Augen reiben. Mit welcher Begründung sollte ein Internetdienst etwa die Forderung einer türkischen Behörde nach der Herausgabe der Daten von Kritikern des türkischen Staatspräsidenten ablehnen, wenn andererseits eine sehr weitgehende Kooperation der Unternehmen mit den deutschen Behörden eingefordert wird? Und was sagen wir dem chinesischen Dissidenten, den ein Internetdienst den dortigen Behörden ausliefert?

Wir brauchen internationale Standards, die rechtsstaatlichen Grundsätzen entsprechen – bei der Strafverfolgung und auch beim Datenschutz im Internet. Was wir dagegen nicht brauchen, ist eine „lex München“ oder eine „lex Würzburg“, so schlimm die dortigen Amokläufe auch waren.

Mit freundlichen Grüßen

Peter Schaar

Nachtrag (16. August 2016)

In einer Stellungnahme betont eco, Verband der Internetwirtschaft e.V., er sehe keine Notwendigkeit, Telemediendienstanbieter, insbesondere Social Media Plattformen, dazu zu verpflichten, Nutzerdaten im Rahmen von Terror-Abwehr- oder –Ermittlungsmaßnahmen schneller an Behörden zu übergeben. Eine solche neue Herausgaberegelung sei „überflüssig und darüber hinaus aus datenschutzrechtlicher Perspektive problematisch“, betonte eco Vorstand Politik & Recht Oliver Süme.

Doppelschlag beim Europäischen Datenschutz

Europäisches Parlament beschließt Datenschutzreform – „Privacy Shield“ fällt bei Datenschützern durch

Um Europa ist es derzeit nicht besonders gut bestellt – so kann man es in den letzten Monaten fast täglich in der Presse lesen. Allerdings gibt es einen Bereich, für den dies derzeit nicht gilt: Den Schutz personenbezogener Daten. In diesen Tagen sind es gleich zwei große Themen, die – jedes für sich genommen – für die Zukunft des Europäischen Datenschutzes von großer Bedeutung sind.

Neuer EU-Datenschutz …

Mit seiner abschließenden Abstimmung wird das Europäische Parlament am 14. April den Weg frei machen für eine nahezu vollständige Überarbeitung des Datenschutzrechts in der Europäischen Union. Das zur Abstimmung stehende Datenschutzpaket besteht aus zwei Rechtsakten:

Die „Datenschutzgrundverordnung“ tritt an die Stelle der bisherigen Datenschutzgesetze der 28 EU-Mitgliedstaaten. Zukünftig gilt – nach einer Übergangsfrist von zwei Jahren – für die desamte EU ein gemeinsames Datenschutzgesetz. Beachten müssen es nicht nur die hier ansässigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung außerhalb der EU haben, aber hier geschäftlich tätig sind („Marktortprinzip“). Die Einhaltung der Regeln wird von unabhängigen Datenschutzbehörden überwacht, die sämtlich über dieselben, wirksamen Sanktionsmöglichkeiten verfügen. Bei schweren Verstößen können Sie Bußgelder in Höhe von bis zu 4% des Jahresumsatzes verhängen.

Die Datenschutzrichtlinie für Polizei und Justiz legt lediglich einen datenschutzrechtlichen Mindeststandard fest. Die Richtlinie entfaltet – anders als die Grundverordnung – keine direkte Wirkung auf die Mitgliedstaaten. Sie muss von diesen in nationales Recht umgesetzt werden. In Deutschland sind Bund und Länder gehalten, die gesetzlichen Bestimmungen für Polizei und Justiz den Vorgaben der JI-Richtlinie anzupassen. Dafür haben sie zwei Jahre Zeit.

Der Reformprozess ist mit dieser Entscheidung allerdings noch nicht abgeschlossen: Zum einen sind die Mitgliedstaaten gehalten, ihre Gesetze den neuen Vorgaben anzupassen und insbesondere an den Schnittstellen zu anderen Rechtsgebieten, etwa beim Sozialrecht, dafür zu sorgen, dass die neuen europarechtlichen Regelungen mit Leben gefüllt werden. Zum anderen verbleiben den nationalen Gesetzgebern auf wichtigen Feldern erhebliche Gestaltungsspielräume, nicht nur bei Polizei und Justz, sondern auch bei Arbeitnehmer- und Gesundheitsdaten und bei dem Balanceakt zwischen Datenschutz und Meinungsfreiheit.

Zweifel am Privacy Shield

Das zweite große Thema ist das sog. „Privacy Shield“, jenem Nachfolgesystem zu dem Safe Harbour Arrangement, das der Europäische Gerichtshof am 6. Oktober 2015 annulliert hat. Seither ist die Übermittlung von personenbezogenen Daten in die USA durch mehr als 4.500 Unternehmen, die in dem vermeintlich sicheren Hafen geankert hatten, ohne Rechtsgrundlage. Einen zeitlichen Aufschub genießen noch jene Unternehmen, die alternative Instrumente zum Nachweis eines angemessenen Datenschutzes beim Empfänger verwenden, sog. „Srtandardvertragsklauseln“ oder verbindliche Unternehmensregeln (Binding Corporate Rules – BCR).

Unmittelbar nach dem unerwartet harschen Urteil des höchsten EU-Gerichts begann die Europäische Kommission mit Verhandlungen mit der US-Regierung über ein Nachfolgeabkommen. Am 2. Februar 2016 meldeten die Verhandlungspartner Erfolg: Man habe eine politische Einigung erzielt. Das Nachfolgeabkommen solle „Privacy Shield“ heißen und sehr viel besseren Datenschutz garantieren als das einkassierte Safe Harbour-System. Die Erklärung hatte allerdings einen entscheidenden Haken: Außer den Verhandlungspartnern kannte niemand die vereinbarten Texte. Erst am 29. Februar bekamen die Öffentlichkeit und die zur fachlichen Beurteilung aufgerufene Artikel 29-Gruppe der Datenschutzbeauftragten der EU-Staaten die Gelegeneheit, die zwischen der Europäischen Kommission und dem US-Handelsministerium verhandelten Bedingungen zu prüfen.

Die Datenschützer äußerten sich am 13. April 2016 kritisch zu dem Privacy Shield: In ihrer umfänglichen, bisher lediglich in englisch vorliegenden Stellungnahme erklären sie, dass der Privacy Shield zwar in verschiedenen Bereichen deutliche Verbesserungen gegenüber dem Safe Harbour Arrangement enthalte. Andererseits gebe es aber auch erhebliche Defizite, verglichen mit den vom Europäischen Gerichtshof aufgestellten Maßstäben. Damit garantiere das Privacy-Shield derzeit kein Datenschutzniveau, das – entsprechend der Vorgaben des EuGH-Urteils vom 06.10.2015 – dem in der Europäischen Union »der Sache nach gleichwertig« sei.

Im Detail haben die amtlichen Datenschützer Zweifel and er Unabhängigkeit der für die Aufsicht über die US-Sicherheitsbehörden eingerichteten Ombudsperson, der unzureichenden Begrenzung der Speicherungsfristen für übermittelte Daten und der weiterhin möglichen Massenüberwachung europäischer Bürgerinnen und Bürger. Die Zweckbindungsregeln seien zu unscharf. Ein – im EU-Recht vorgesehenes – Widerspruchsrecht der Betroffenen gegen automatisierte Einzelentscheidungen fehle. Zudem seien die Regelungen zur Weiterübermittlung von in die USA transferierten Daten an Drittstatten unzulänglich.

Die Datenschutzgruppe fordert die Europäische Kommission auf, in diesen Punkten nachzuverhandeln. Die Kommission ist zwar nicht formell an dieses Votum der Datenschutzbeauftragten gebunden. Sie täte aber gut daran, deren Bewertung sehr ernst zu nehmen. Über kurz oder lang wird auch die neue Vereinbarung vor dem Europäischen Gerichtshof landen. Es wäre nicht bloß eine Blamage für die Kommission, wenn sie hier erneut von den Richtern korrigiert würde. Mehr noch: Dies wäre ein sehr schlechtes Signal für die EU insgesamt, die ja derzeit ohnehin ein gravierendes Glaubwürdigkeitsdefizit aufweist.

Mit freundlichen Grüßen, Peter Schaar

Sicherheitspolitik nach Paris – „Die Debatte über das Trennungsgebot muss geführt werden“

Der folgende Beitrag stellt eine Antwort des Verfassers auf die Argumente von Rainer Wendt, dem Bundesvorsitzenden der DPolG, im Rahmen der Tagesspiegel „Causa“ vom 04. Dezember 2015 dar.


 

Dass die jüngsten terroristischen Anschläge von Paris zu rechtspolitischen Überlegungen geführt haben, staatliche Sicherheitsmaßnahmen zu erweitern und zu „verbessern“, ist nicht neu. In diesem Sinne wird auch gerne argumentiert, wenn es um die Wiedereinführung der Vorratsdatenspeicherung in Deutschland geht: Die Aussage, dass die Vorratsdatenspeicherung in Frankreich nichts zur Verhinderung der Anschläge beigetragen hätte, sei sinnentleert, denn niemand hätte zuvor behauptet, dass dieses Ermittlungsinstrument jedweden Anschlag verhindert. Jedoch aber könnte mit der Vorratsdatenspeicherung zukünftigen Anschlägen besser entgegengewirkt werden, indem sie nach einem Terrorakt ermöglicht, die Kommunikationswege der vorherigen Täter aufzuklären. Dass diese Auffassung im Ergebnis nichts als ein sinnfreier Zirkelschluss ist, wenn man sich argumentativ stets nur auf einen nicht näher spezifizierten Ermittlungserfolg der Zukunft stützt, um die vergangenen und gegenwärtigen Unzulänglichkeiten eines Überwachungsinstruments zu verbergen, verwundert nicht mehr. Zu bekannt ist schon die sicherheitspopulistische Rhetorik, die in derlei Zusammenhängen in den vergangenen Jahren angeführt wurde.

Ganz neu und geradezu innovativ mutet es aber an, sich zu überlegen, das Trennungsgebot zwischen Polizei und Nachrichtendiensten aufzuheben. Wohlgemerkt: „Aufzuheben“ und nicht bloß „aufzuweichen“. Es liegt ja durchaus nicht fern, so zu argumentieren: Manchmal muss man sich einfach von „gewohnten Grundsätzen“ lösen, um auf neue Situationen angemessen reagieren zu können. „Was aus historischen Gründen in Deutschland wichtig und notwendig war, muss angesichts neuer, bisher nicht dagewesener Gefahren möglicherweise auf den Prüfstand.“ Einige wenige Sätze zuvor wird dann auch deutlich, wie diese neuen, bisher nicht dagewesenen Gefahren einzustufen sind: „Stellen die täglichen Anforderungen wie Kriminalitätsbekämpfung, Begleitung von Demonstrationen und Fußballspielen oder Verkehrssicherheit die Polizei ohnehin schon personell und ausstattungsbezogen auf die Probe, so bildet die Gefahr durch den Terrorismus eine völlig neue Kategorie.“ Das stimmt – eine neue Kategorie, die in einem Zuge mit der Kontrolle des Straßenverkehrs genannt werden kann. Bei einem auf diese Weise geführten Argumentationsbogen ist es dann auch nicht weiter überraschend, wenn zugunsten einer Aufhebung des Trennungsgebots argumentiert wird – es werden ja schließlich auch stärkere Verkehrskontrollen benötigt, um der Raserei und dem Alkoholkonsum am Steuer entgegenzutreten.

Im Ergebnis übersieht dieser jüngst in die sicherheitspolitische Debatte eingeführte Standpunkt, dass das Trennungsgebot eben nicht in eine Reihe mit anderen staatlichen Kontroll- und Überwachungsinstrumenten gestellt werden und deshalb gerade nicht ebenso leicht, wie man vor wenigen Wochen hierzulande die Vorratsdatenspeicherung wieder eingeführt hat, im Legislativprozess argumentativ beiseitegeschoben werden kann. Das Trennungsgebot ist – rechtlich betrachtet – nicht nur ein gewohnter Grundsatz, den man über die vergangenen Jahrzehnte liebgewonnen hat, sondern viel tiefer in den grundlegenden rechtlichen Überzeugungen unserer Gesellschaft verankert. Dies hat schon das Bundesverfassungsgericht in seinem Urteil zur Antiterrordatei vom 24. April 2013 (BVerfG, Urteil vom 24.04.2013 – 1 BvR 1215/07, siehe auch NJW 2013, S. 1499) festgestellt.

Das Trennungsgebot – teils synonym auch Trennungsprinzip genannt – wird zwar nicht explizit im Grundgesetz genannt, stellt aber einen Ausfluss aus dem „Polizeibrief“ dar, den die Alliierten nach dem Zweiten Weltkrieg für das besetzte Deutschland erließen. Basierend auf den jüngsten Erfahrungen aus der NS-Terrorherrschaft wurde hier bewusst zwischen solchen Behörden unterschieden, denen ausschließlich Befugnisse zur Informationssammlung zukamen und solchen, denen obrigkeitliche, typisch exekutivistische Eingriffsbefugnisse eingeräumt wurden. Es fand folglich eine Trennung zwischen den Nachrichtendiensten und der Polizei statt, womit zugleich auch der Grundstein des späteren Bundesamtes für Verfassungsschutz (BfV) gelegt wurde. Eine „Geheime Staatspolizei“ wie zur NS-Zeit sollte es hingegen nie wieder geben dürfen. Zwar hat der ursprüngliche Polizeibrief mittlerweile seine Geltung verloren. Dies ändert aber nichts daran, dass das Trennungsgebot weiterhin fort gilt: So hat es nicht nur Eingang in einfachgesetzliche Bestimmungen gefunden, sondern wird auch aus dem Grundgesetz als der nationalen Verfassungsordnung abgeleitet. Hier findet es sich beispielsweise im Rechtsstaats- und Bundesstaatsprinzip wieder, auch lässt es sich argumentativ aus den Grundrechten herleiten. So vielfältig die juristischen Auffassungen hier auch sind, ist doch eines aber unzweifelhaft: Das Trennungsgebot ist ein zentraler verfassungsrechtlicher Bestandteil und damit alles andere als bloß ein „gewohnter Grundsatz“, über den man einmal sprechen kann, wenn einem in der Situation eines informationellen Grundrechtseingriffs danach ist.

Zwar gilt das Trennungsgebot – wie bei so vielen Dingen im Recht – nicht absolut, das heißt also, dass die informationelle Zusammenarbeit zwischen der Polizei und den Staatsschutzbehörden in gut begründeten Einzelfällen auch zulässig sein kann, wo der Informationsaustausch einem öffentlichen Interesse von herausragender Bedeutung zu dienen bestimmt ist. Dies ist verfassungskonform und wurde vom BVerfG im Jahre 2013 zur Antiterrordatei entsprechend entschieden. Ein herausragendes öffentliches Interesse kann dabei durchaus auch die Abwehr von Gefahren durch den Terrorismus sein, der unter Angriff auf Leib und Leben beliebiger Personen eine Destabilisierung des Gemeinwesens zum Ziel hat (siehe BVerfG NJW 2013, 1499, 1506).

Soweit eine verfassungsrechtlich zulässige Durchbrechung des Trennungsgebots erfolgt, muss diese aber stets auf gesetzlich konkretisierte Einzelfälle begrenzt bleiben. Nur hierdurch kann dem Umstand Rechnung getragen werden, dass der Informationsaustausch zwischen Polizeibehörden und Nachrichtendiensten einen schwerwiegenden Grundrechtseingriff darstellt. Keinesfalls kann rechtlich somit aus der Möglichkeit zur Einschränkung des Trennungsgebots auf dessen generelle Aufhebung geschlossen werden. Und selbst wenn eine solche Debatte auch in rechtspolitischer Hinsicht einmal ernsthaft (!) geführt würde, müsste im Vorfeld genauestens abgewogen werden, ob propagierte Sicherheitsmaßnahmen überhaupt geeignet sind, ihre theoretisch angestrebte Zwecksetzung auszufüllen. Um es mit anderen Worten zu sagen: Steht der für die informationelle Freiheit zu zahlende Preis einer mindestens wertgleichen Gegenleistung im Bereich der staatlichen Sicherheitsinteressen gegenüber?

Und um eines zum Abschluss festzustellen – was in meinen Augen ebenso ein Missverständnis darstellt, wenn es um die Einführung staatlicher Ermittlungsinstrumente geht –: Bürgerrechte zu verteidigen bedeutet nicht, jegliches staatliche Eingriffshandeln verhindern zu wollen, sondern es nur genau zu hinterfragen und dafür zu sorgen, dass eingesetzte, grundrechtsbelastende Verfahren mit ebenjenen Bürgerrechten, die Bestandteil unserer Verfassungstradition sind, im Einklang stehen. Das kann entweder dazu führen, dass eine Maßnahme von vornherein mangels nachgewiesener Effektivität und damit Geeignetheit unzulässig ist oder aber, dass sie zwar zulässig ist, aber nicht grenzenlos eingesetzt werden kann. Oder wie Herr Wendt es sagt: „Grundsätzlich gilt – und das ist richtig so – dass die Einschränkungen von Grundrechten nur unter sehr strengen Voraussetzungen zulässig ist.“ Wir sollten die verfassungsrechtlichen Errungenschaften, die für eine sehr lange Zeit keine Selbstverständlichkeit gewesen sind, nicht einfach so aufgeben oder auch nur in Frage stellen, weil es uns momentan bequem erscheinen mag und gut in die Rhetorik passt – oder gar nur, um auf dem politischen Parkett gehört zu werden.

EU-Datenschutz: Nach der Reform beginnt die Arbeit

(Anm. d. Verf.: Die Ergebnisse des Trilogs und Synopse der Positionen der EU-Gremien  sind abrufbar unter  http://www.emeeting.europarl.europa.eu/committees/agenda/201512/LIBE/LIBE%282015%291217_1/sitt-1739884)

Das von den Vertretern der EU-Institutionen (Europäisches Parlament, Kommission und Rat) am 15. Dezember 2015 erzielte Verhandlungsergebnis zum Datenschutz-Reformpaket ist ein wichtiger Meilenstein auf dem Weg in die globale Informationsgesellschaft: Statt 28 unterschiedlicher Datenschutzgesetze der Mitgliedstaaten gibt es zukünftig ein gemeinsames Datenschutzgesetz, die „Datenschutzgrundverordnung“ (DSGVO). Beachten müssen es nicht nur die hier ansässigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung außerhalb der EU haben, aber hier geschäftlich tätig sind („Marktortprinzip“ – Art. 3 Abs. 2)). Die Einhaltung der Regeln wird von unabhängigen Datenschutzbehörden überwacht, die sämtlich über dieselben, wirksamen Sanktionsmöglichkeiten verfügen. Bei schweren Verstößen können Sie Bußgelder in Höhe von bis zu 4% des Jahresumsatzes verhängen (Art. 79) – das lässt sich nicht mehr aus der Portokasse bezahlen. Schließlich sind eine Reihe von Versuchen gescheitert, die Datenschutzvorgaben praktisch in letzter Minute in zentralen Punkten abzuschwächen, etwa beim Anwendungsbereich (im Hinblick auf die Definition personenbezogener Daten) oder bei der Zweckbindung. Hier bleibt es bei strengen Regelungen, die Zweckänderungen an sehr enge Bedingungen knüpfen.

Trotzdem gibt es auch Bereiche, in denen das Ergebnis weniger positiv ausfällt als erhofft. So hat sich das EP nicht mit seiner Forderung durchsetzen können, dass die Einwilligung in die Verarbeitung personenbezogener Daten generell explizit erklärt werden muss – lediglich bei den „besonderen Kategorien personenbezogener Daten“ (Art. 9) – etwa über die Gesundheit – wird eine ausdrückliche Einwilligung gefordert, und nicht bloß eine „zweifelsfreie“: (Definition in Art. 2: „’the data subject’s consent‘ means any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;“).

Auch die Regelungen zum Profiling bleiben hinter den Forderungen der Datenschützer zurück, denn die entsprechenden Vorgaben beschränken sich auf solche Profilbildungen, die zu verbindlichen automatisierten Entscheidungen zuungunsten der Betroffenen führen.

Grundsätzliche Kritik richtete sich in den letzten Monaten dagegen, dass durch die Datenschutzgrundverordnung das deutsche Datenschutzniveau abgesenkt werde. Diese Befürchtung trifft nur zum Teil zu, etwa im Hinblick auf die strengeren Datenschutzbestimmungen im Telemediengesetz. Andererseits ist das deutsche Datenschutzniveau gerade hier nur in der Theorie hoch, aber de facto nicht. Das zeigte sich etwa am Beispiel Facebook: Deutsche Datenschutzbehörden sind mit Klagen dagegen gescheitert, Facebook – dessen Europazentrale in Dublin liegt – zur Einhaltung der deutschen Datenschutzbestimmungen zu verpflichten. Das häufig beschworene „hohe deutsche Datenschutzniveau“ blieb hier also reine Theorie. In Zukunft gilt aber: Jedes Unternehmen, das in Europa Geschäfte macht, muss sich an die einheitlichen europäischen Datenschutzregeln halten. Das ist ein echter Fortschritt, auch wenn die gemeinsamen europäischen Regeln in bestimmten Bereichen hinter dem nationalen Recht zurückbleiben. Zudem gibt es andere Bereiche – etwa das Melderecht – in denen die neue EU-Regelung strenger ist als der deutsche Gesetzgeber. Die voraussetzungslose Datenweitergabe der zwangsweise erhobenen Melderegisterdaten an jedermann ist mit der Datenschutzgrundverordnung nicht vereinbar und muss beendet werden.

Licht und Schatten gibt es schließlich auch bei der Bestimmung über die betrieblichen bzw. behördlichen Datenschutzbeauftragten. Einerseits verpflichtet Art. 35 staatliche Stellen und solche Unternehmen, deren Kerngeschäft in der Überwachung oder der Bewertung personenbezogener Daten besteht – etwa Auskunfteien – oder in der Verarbeitung von sensiblen Daten (etwa Gesundheitsdaten oder genetischen Informationen), zu Bestellung eines internen Datenschutzbeauftragten. Allerdings wurden die deutlich strengeren Vorgaben des deutschen BDSG nicht in die DSGVO übernommen. Der beschlossene Text enthält aber eine Öffnungsklausel, die es dem deutschen Gesetzgeber ermöglicht, an der weitergehenden Bestellungspflicht betrieblicher Datenschutzbeauftragter festzuhalten. (Art. 35 (4): „In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. …“

Auch wenn, wie zu erwarten, die nun beschlossenen Bestimmungen – neben der Datenschutzgrundverordnung auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie) – demnächst das formelle EU-Gesetzgebungverfahren passieren, bleibt auf europäischer und auf nationaler Ebene bis zu deren Inkrafttreten 2018 viel zu tun: In der EU muss die Kompatibilität anderer europarechtlicher Vorschriften mit der Grundverordnung überprüft werden. Dies gilt insbesondere für die Datenschutzrichtlinie zur elektronischen Kommunikation („ePrivacy-Richtlinie“). Die Regierungen und Parlamente der Mitgliedstaaten sind gehalten, das nationale Recht zu durchforsten. Dies gilt insbesondere für Deutschland mit seinen vielen bereichsspezifischen Datenschutzbestimmungen. Viele müssen überarbeitet werden, manche müssen wegfallen. Eine besondere Aufgabe kommt auf den Bundestag in Sachen Beschäftigtendatenschutz zu. Art. 82 DSGVO enthält die Möglichkeit, den Umgang mit Beschäftigtendaten detailliert zu regeln. („Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, …“). Bund und Länder müssen sich zudem mit der Frage auseinandersetzen, inwieweit die gesetzlichen Bestimmungen für Polizei und Justiz den Vorgaben der JI-Richtlinie angepasst werden müssen. Schließlich müssen Unternehmen und öffentliche Stellen ihre Praxis an die neuen Bestimmungen anpassen. Neue Prozesse müssen initiiert, bestehende Verfahren müssen geändert werden …

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird sich in den kommenden Jahren schwerpunktmäßig mit den Auswirkungen der neuen EU-Datenschutzregelungen beschäftigen. Für 2016 planen wir Workshops für Entscheider in Wirtschaft, Politik und Verwaltung zur Umsetzung der EU-Bestimmungen und zur Identifizierung des Reformbedarfs im nationalen Recht.

Mit freundlichen Grüßen, Peter Schaar

Der Entwurf des Verfassungsschutz-Gesetzes: Licht und Schatten bei der Neuausrichtung der Datenverarbeitung des BfV

Was gemeinhin unter dem Entwurf des Verfassungsschutz-Gesetzes zusammengefasst wird, umfasst konkret betrachtet weit mehr als nur das: Der am vergangenen Mittwoch in Berlin beschlossene Gesetzentwurf der Bundesregierung zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes soll als Artikelgesetz nicht nur das Bundesverfassungsschutzgesetz (BVerfSchG) novellieren, sondern umfassend die informationelle Sicherheitsarchitektur in Deutschland umgestalten: So sind Änderungen im MAD-Gesetz, im BND-Gesetz, im Sicherheitsüberprüfungsgesetz, im VIS-Zugangsgesetz, im Artikel 10-Gesetz, im Bundesbeamtengesetz, im Bundesbesoldungsgesetz, in der Strafprozessordnung, in der Verordnung über den Betrieb des Zentralen Staatsanwaltschaftlichen Verfahrensregisters und im Bundeszentralregistergesetz vorgesehen. Obgleich zahlreiche dieser Änderungen aus datenschutzrechtlicher Perspektive heraus miteinander verknüpft sind, wird im Folgenden aus Gründen des Umfangs nur auf die wesentlichen Änderungen im Bereich des Bundesverfassungsschutzgesetzes eingegangen.
Generell verfolgt das gesetzgeberische Vorhaben die Zielsetzung, den Zuständigkeitsbereich des Bundesamtes für Verfassungsschutz (BfV) auszuweiten. Hierzu erfolgt die explizite Benennung des BfV als Zentralstelle im nachrichtendienstlichen Bereich ähnlich dem Bundeskriminalamt (BKA) als zentraler Stelle für das polizeiliche Auskunfts- und Nachrichtenwesen. Der Gesetzentwurf sieht vor, die Bedeutung des BfV innerhalb der nationalen Sicherheitsarchitektur zu erhöhen und ihm eine Koordinierungsfunktion einzuräumen, die zu einem höheren Maß an Vereinheitlichung, zur Verbesserung der Zusammenarbeitsfähigkeit zwischen den Landesämtern für Verfassungsschutz (LfV) und dem BfV und zu einer optimierten Regelung der Arbeitsteilung zwischen den einzelnen Sicherheitsbehörden führt.

Zur Erreichung dieses Ziels sind verschiedene Regelungen geplant, welche die Vernetzung der Verfassungsschutzbehörden untereinander fördern. Den Kern bildet dabei der Betrieb des nachrichtendienstlichen Informationssystems (NADIS) durch das BfV. Hierzu wird bestimmt, dass sich die LfV und das BfV unverzüglich die für ihre Aufgaben relevanten Informationen übermitteln. Zwar gibt es auch im geltenden BVerfSchG bereits einen Informationsaustausch zwischen Bund und Ländern in diesem Bereich, dieser wird aber durch die Neuregelungen konkretisiert und in der Form eines synallagmatischen Verhältnisses erweitert. Im Rahmen des Datenbankbetriebs werden zudem die Möglichkeiten der Datenspeicherung ausgedehnt, so brauchen beispielsweise die Dateien grundsätzlich nicht nur die Daten zu enthalten, die zum Auffinden von Akten und der dazu notwendigen Identifizierung von Personen erforderlich sind, sondern können inhaltlich auch darüber hinausgehen, ohne dass es einer gesonderten Rechtfertigung bedarf. Hier bedarf es einer weitergehenden gesetzlichen Konkretisierung, welche Datentypen innerhalb des NADIS gespeichert werden können, um einer Nutzung der Datenbank zu operativen Zwecken vorzubeugen. Ebenso besteht weiterer Konkretisierungsbedarf für den Kreis der auf das System zugriffsberechtigten Personen: Einerseits bestimmt der Gesetzentwurf zwar, dass eine Abfrage von Daten nur zulässig ist, soweit dies zur Erfüllung der Aufgaben, mit denen der Abfragende unmittelbar betraut ist, erforderlich ist. Andererseits jedoch wird die Zugriffsberechtigung auf Daten, die nicht zum Auffinden von Akten und der dazu notwendigen Identifizierung von Personen erforderlich sind, ausgedehnt. Für den entsprechenden Datenabruf wird nicht mehr wie bisher verlangt, dass dieser nur durch Personen stattfinden darf, die „unmittelbar mit Arbeiten in diesem Anwendungsgebiet“ betraut sind, sondern wird vielmehr solchen Ermittlungspersonen ermöglicht, die „mit der Erfassung von Daten oder Analysen betraut sind“. Das Unmittelbarkeitskriterium fällt in diesem Bereich folglich weg.

Für die Verarbeitung von personenbezogenen Daten in Akten sieht der Entwurf des Verfassungsschutz-Gesetzes ebenfalls eine Ausdehnung des Verwendungsumfangs vor, indem Akten oder Auszüge aus Akten ausdrücklich auch in elektronischer Form geführt werden dürfen und ein automatisierter Abgleich grundsätzlich möglich ist. Zugleich werden aber auch Beschränkungen und flankierende Verfahrensregelungen im Umgang mit den Daten getroffen: So wird beispielsweise eine explizite Vernichtungsverpflichtung normiert, wenn eine Akte insgesamt zur Erfüllung der Aufgaben des BfV nicht oder nicht mehr erforderlich ist. Darüber hinaus unterliegt der automatisierte Abgleich personenbezogener Daten aus Akten einer strengen Datenschutzkontrolle für jede Einzelabfrage.
Eine der Neuerungen im BVerfSchG, die sicherlich in Zukunft kontrovers diskutiert werden dürfte, ist die Möglichkeit des BfV, bei einer „Dringlichkeit der Aufgabenerfüllung“ vom gesetzlich vorgegebenen Verfahren der Festlegung von Dateianordnungen für automatisierte Dateien abzusehen und eine Sofortanordnung zu treffen. Die Besonderheit der Dateianordnung liegt darin, dass sie nicht nur der Zustimmung des Bundesministeriums des Innern (BMI) bedarf, sondern darüber hinaus auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) vor ihrem Erlass anzuhören ist. Durch die Sofortanordnung wird die Mitwirkung von BMI und BfDI auf eine unverzügliche Nachkontrolle im Anschluss an die Maßnahmendurchführung beschränkt. Damit von der gesetzlich eingeräumten Möglichkeit der Sofortanordnung kein übermäßiger Gebrauch gemacht wird, sollte diese Option des BfV klar auf konkret festgelegte Ausnahmefälle beschränkt werden. Insbesondere bedarf es einer gesetzlichen Konkretisierung des Dringlichkeitsbegriffes.
Die Stellung des BfV als vernetzte Zentralstelle nachrichtendienstlicher Datenverarbeitung wird ebenfalls deutlich im Hinblick auf die Ausdehnung der Übermittlungsverpflichtungen der übrigen Sicherheitsbehörden. So besteht für die Staatsanwaltschaften, die Polizeien und den Zollfahndungsdienst nach dem Gesetzentwurf nunmehr die Verpflichtung, alle ihnen bekanntgewordenen, auch personenbezogenen Informationen an das BfV oder die LfV zu übermitteln, wenn tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung zur Aufgabenerfüllung erforderlich ist. Ein behördliches Ermessen wie bisher soll folglich nicht mehr bestehen. Ebenso erhält der BND qua Gesetz die explizite Möglichkeit eingeräumt, personenbezogene Informationen an den Verfassungsschutz zu übermitteln.

Dieser und weiterer der vorgenannten Befugniserweiterungen des BfV stehen jedoch zugleich auch Aspekte der Transparenz und des Datenschutzes gegenüber, welche sich in den geltenden Vorschriften nicht finden. So soll die Tätigkeit des BfV in Zukunft mehr Bürgernähe gewinnen, was zu begrüßen ist. Dementsprechend hat das BfV nicht wie zurzeit noch eine Berichtspflicht ausschließlich gegenüber dem BMI, sondern unmittelbar gegenüber der Öffentlichkeit selbst, die sensibilisiert werden und für welche der Verfassungsschutz transparenter ausgestaltet werden soll. Im Gesetzentwurf unter anderem berücksichtigt wurden auch die Vorgaben, die das Bundesverfassungsgericht (BVerfG) unter dem Gesichtspunkt des Trennungsgebotes zwischen nachrichtendienstlicher Informationsbeschaffung und polizeilichem, operativen Tätigwerden im Rahmen seines Urteils zum Antiterrordateigesetz (ATDG) (1 BvR – 1215/07) im Jahre 2013 getroffen hat. So werden nunmehr teils verhältnismäßig detaillierte, einschränkende tatbestandliche Angaben getroffen, unter welchen Umständen und an wen das BfV personenbezogene Daten übermitteln darf, die mit Mitteln der heimlichen Informationsbeschaffung erlangt wurden. Gleichwohl belässt der Gesetzentwurf dem BfV auch hier eine „Hintertür“ in der Form einer zusätzlichen allgemeinen Auffangklausel zur Informationsübermittlung, wobei diese hier unter anderem auf „erhebliche“ Zwecke der öffentlichen Sicherheit beschränkt wird. Ob durch dieses Erheblichkeitskriterium allein aber die Weite der Auffangklausel in verfassungsrechtlich ausreichender Weise beschnitten wird, bleibt abzuwarten.
Generell sind für den Gesetzentwurf seine erhöhten Datensicherheitsanforderungen positiv hervorzuheben, die insbesondere die Nutzung des NADIS betreffen: Hier werden Protokollierungspflichten gesetzlich festgeschrieben, die bisher selbst bei den Bundesbehörden nicht immer selbstverständlich gewesen sind, man denke in der Vergangenheit nur an den Einsatz des Staatstrojaners. So hat das BfV für Zwecke der Datenschutzkontrolle bei jedem Zugriff den Zeitpunkt, die Angaben, welche die Feststellung der abgefragten Datensätze ermöglichen und die abfragende Stelle zu protokollieren. Dabei ist die Auswertung der Protokolldaten nach dem Stand der Technik zu gewährleisten.
Klargestellt wird im Entwurf des Verfassungsschutz-Gesetzes nunmehr ferner, dass das BfV, soweit es eine heimliche Informationsbeschaffung betreibt, in Individualrechte grundsätzlich nur nach Maßgabe besonderer Befugnisse eingreifen darf. Die Anwendung geheimer Ermittlungsinstrumente darf dabei zu keinem Nachteil führen, der erkennbar außer Verhältnis zur Bedeutung des aufzuklärenden Sachverhalts besteht. Durch diese eigentlich selbstverständliche Feststellung, die in Zukunft aber gesetzlich festgeschrieben werden soll, wird verdeutlicht, dass die Bedeutung des Schutzes der menschlichen Persönlichkeit auch im Zuge staatlicher Ermittlungen keine Werteinbußen erleiden darf. Im Gegenteil, gerade im Falle eines verdeckten nachrichtendienstlichen Tätigwerdens sind die Individualrechte in ihrer Qualität besonders zu berücksichtigen, da der Betroffene sich gegen ein solches Handeln mangels seiner Kenntnis im Regelfall nicht effektiv zur Wehr setzen kann.

Zusammenfassend betrachtet weist der aktuelle Entwurf des Verfassungsschutz-Gesetzes zahlreiche Regelungsintentionen auf, die geeignet sind, die informationellen Grundrechte in einem stärkeren Maße zu beschneiden, als dies bisher der Fall war. Gleichwohl sind die geplanten Vorschriften nicht ausschließlich unter kritischen Gesichtspunkten zu würdigen. Der NSU-Skandal hat gezeigt, dass das BfV in seiner derzeitigen institutionellen Ausgestaltung nicht in der Lage ist, angemessen auf aktuelle Bedrohungslagen zu reagieren. Gesetzliche Änderungen zur Verbesserung der Arbeit der Behörde sind somit zwingend notwendig, insbesondere auch deshalb, um die Verhältnismäßigkeit des Verfassungsschutzes überhaupt zu wahren: Eine staatliche Einrichtung, die teils intensive Eingriffe in Grundrechte durchführt, muss hinreichend effektiv arbeiten, um die Beschneidung verfassungsrechtlicher Freiheiten legitimieren zu können. Die Geeignetheit staatlichen Eingriffshandelns ist stets auch ein Bestandteil von dessen Verhältnismäßigkeitsbeurteilung. Dies berücksichtigt auch der am vergangenen Mittwoch vorgestellte Gesetzentwurf. Mit sicherheitsbehördlichen Befugniserweiterungen muss dennoch stets sparsam umgegangen werden, diese finden ihre Grenze in der zwingenden Erforderlichkeit des exekutiven Handelns. Hier geht der Gesetzentwurf streckenweise zu weit bzw. ist in seiner tatbestandlichen Ausgestaltung teils noch zu wenig konkret. Da das Gesetzgebungsverfahren aber noch nicht abgeschlossen ist, bleibt zu hoffen, dass diese Erwägungen in Zukunft Berücksichtigung finden.

Dennis-Kenji Kipker, 01.04.2015