Tag Archives: Überwachung

11. September: Der Kampf gegen den Terrorismus wird im Kopf gewonnen!

Die Anschläge am 11. September 2001 in New York und Washington haben sich in unser kollektives Gedächtnis eingebrannt. Auch wenn seither 16 Jahre vergangen sind, prägen sie unsere Welt bis heute. Der wenige Tage nach den Anschlägen vom damaligen US-Präsidenten George W. Bush ausgerufene „Global War on Terror“ hält bis heute an.
Viele Menschen trieb angesichts der schrecklichen Bilder der einstürzenden Türme des World Trade Centers nicht nur die Frage um, wie man die Anstifter dieses Massenmords zur Verantwortung ziehen könnte. Zugleich befürchteten sie, dass die westlichen Demokratien in Reaktion auf die Herausforderung des islamistischen Terrorismus ihre Grundwerte verraten könnten. Leider hat sich inzwischen bestätigt, wie berechtigt diese Befürchtung war.

Regierungen und Parlamente reagierten – und reagieren bis heute – vielfach genau so auf Anschläge, wie von den Drahtziehern des Terrors beabsichtigt. Polizeibehörden, Geheimdienste und das Militär bekamen den Auftrag, mit nahezu allen Mitteln gegen den Terrorismus vorzugehen. Ihre Befugnisse wurden massiv ausgeweitet und bei Befugnisüberschreitungen wurde Straffreiheit zugesichert. Rechtsstaatliche Sicherungen wurden beiseite geschoben, unterlaufen und gelockert, Menschenrechte spielen im Kampf gegen den Terror eine untergeordnete Rolle. Maßnahmen, die in „normalen“ Zeiten zu Proteststürmen geführt hätten, werden von Parlamenten ohne gründliche Prüfung und kritische Debatte durchgewunken und auch von der Öffentlichkeit weitgehend akzeptiert. Je unsicherer die Zeiten sind, desto eher sind wir bereit, unser Leben nach Regeln zu gestalten, die unseren individuellen Wünschen, Bedürfnissen und Interessen entgegenstehen.

Staatliche und nichtstaatliche Trittbrettfahrer nutzen die Terrorangst: Praktisch jeder Krieg wird heute mit der Terrorbekämpfung gerechtfertigt. Kritiker der jeweiligen Staatsführungen und Journalisten werden unter Terrorismusverdacht gefangen gehalten. Kriminelle nutzen die Terrorangst, um private Geschäfte zu machen, etwa beim Anschlag auf den Mannschaftsbus des Fußballvereins Borussia Dortmund. Auch Rechtsradikale setzen auf diesen Wirkungszusammenhang und versuchen, ihn weiter zu befeuern – etwa indem sie Attentate vorbereiteten, die sie Asylbewerbern zuschreiben wollten, wie eine inzwischen enttarnte rechtsextremistische Zelle in der Bundeswehr. Terroristen beabsichtigen, durch entsprechend terminierte Anschläge Wahlergebnisse zu beeinflussen, zum Glück nicht durchgängig mit dem erwünschten Ergebnis. Es ist aber zu befürchten, dass letztlich diejenigen politischen Strömungen vom Terrorismus profitieren, die einseitig auf „Law and Order” setzen, nationalistische und fremdenfeindliche Parolen propagieren.

Die Terrorangst verschiebt das politische Koordinatensystem in Richtung autoritärer Lösungen und entzieht der Demokratie die Luft zum Atmen. Weil spektakuläre, medial verstärkte terroristische Aktionen ein Gefühl allgemeiner Unsicherheit erzeugen, sehen sich selbst moderate Regierungen einem erheblichen Handlungsdruck ausgesetzt. Parlamente und Regierungen beschließen Programme und Gesetze, die nicht wirklich mehr Sicherheit bringen, um dem Eindruck des Kontrollverlustes entgegenzuwirken. Der nur in wenigen Ländern offiziell erklärte Ausnahmezustand wird auf diese Weise schleichend zur bedrohlichen Normalität.

Ist die Erosion des liberalen Rechtsstaats, die im Ausnahmezustand ihren Kulminationspunkt erreicht, tatsächlich vorgezeichnet? Auch wenn es viele Belege für diese fatale Entwicklung gibt, ist in der Geschichte nichts alternativlos. Die Stärke der Demokratie bemisst sich nicht nach der Größe der Überwachungsapparate oder der Feuerkraft des Militärs. Entscheidend ist, in welchem Maße sie in den Köpfen der Bürgerinnen und Bürger verankert ist. Gerade in diesem Sinne sind die Herausforderungen durch den internationalen Terrorismus besonders gefährlich, denen die liberalen Gesellschaften des Westens wohl noch über Jahre ausgesetzt sind.

Unmittelbar nach Terrorattacken kann man immer wieder feststellen, dass die meisten Menschen zunächst überwiegend gelassen bleiben. Man lasse sich durch ein paar Terroristen den eigenen Lebensstil nicht zerstören. Natürlich sind sie entsetzt, reagieren aber nicht mit Panik und Hass. Wie sich Anschläge längerfristig auf die Gesellschaft auswirken, hängt maßgeblich mit der politischen und medialen Aufarbeitung und Reaktion zusammen. Weil der Terror nur in einer Atmosphäre der Angst wirkt, kommt es darauf an, dass wir uns wieder stärker darauf besinnen, was die Stärke des rechtsstaatlichen Demokratiemodells ausmacht: Gelassenheit und Toleranz sind bei der Bekämpfung des Terrorismus nicht weniger wichtig als effektive behördliche Ermittlungsarbeit.

Auch um letztere scheint es nicht besonders gut bestellt zu sein. Die seit 2001 mit Waffen, Personal und immer neuen Befugnissen aufgerüsteten Sicherheitsbehörden haben es häufig nicht vermocht, Attentatspläne zu erkennen und zu unterbinden. Die meisten terroristischen Attentäter waren den Sicherheitsbehörden bekannt – aber Konsequenzen wurden daraus offensichtlich nicht gezogen. Die unklaren, vielfach parallelen Strukturen und die sich überschneidenden Zuständigkeiten haben in der Vergangenheit immer wieder dazu beigetragen, dass wichtige Spuren und Erkenntnisse nicht zusammengeführt wurden, obwohl die rechtlichen Voraussetzungen dafür durchaus gegeben waren. Die Ermittlungsinstrumente müssen neu justiert werden, und zwar unter Wahrung rechtsstaatlicher Anforderungen. Polizeibehörden und Geheimdienste setzen in aller Welt auf die massenhafte Erhebung und Speicherung von Daten – Vorratsdatenspeicherung von Telefon- Internet- und Reisedaten, umfassende globale Kommunikationsüberwachung. Die Massenregistrierung völlig unverdächtigen Verhaltens und die anlasslose Überwachung sind nicht nur rechtlich höchst problematisch, sie binden auch viele Kapazitäten, die bei der gezielten Strafverfolgung und Gefahrenabwehr besser eingesetzt werden könnten.

Zudem müssen wir den Ursachen des globalen Terrorismus wieder mehr Beachtung widmen. Die zunehmend ungleiche Wohlstandsverteilung im globalen Maßstab und der damit verbundene Verlust der Glaubwürdigkeit der westlichen Staatengemeinschaft ist eine fast unerschöpfliche Quelle des internationalen Terrorismus. Statt auf Entwicklungszusammenarbeit setzen viele Staaten – allen voran die US-Administration unter Donald Trump – auf militärische Mittel und schränken die Entwicklungszusammenarbeit ein. Statt dessen Aufrüstungsforderungen nachzukommen, sollte Deutschland weitaus stärker in Entwicklungszusammenarbeit und Armutsbekämpfung investieren.

Wir müssen der durch Terrorgefahr und Terrorangst bewirkten Erosion der offenen Gesellschaft selbstbewusst entgegentreten, ohne dabei unsere Grundwerte zu verraten. Die mit der Begründung des Kampfes gegen den Terrorismus bis zur Unkenntlichkeit eingeschränkten Grundrechte müssen wieder hergestellt werden. Die Auseinandesetzung mit dem Terrorismus kann nur im Kopf gewonnen werden. Rechtsstaatlichkeit und Grundrechtsschutz sind dabei von entscheidender Bedeutung.

Tagungsbericht vom Steinmüller Workshop 2016: Informatisierung der Welt

Von Hansjürgen Garstka,
– Gründer und Ehrenvorsitzender der EAID,
Berliner Beauftragter für Datenschutz und Informationsfreiheit a.D. –

Informatisierung der Welt. Steinmüller Workshop 2016
Europäische Akademie für Informationsfreiheit und Datenschutz
Berlin, 19. Mai 2016

Link zur pdf-Version

Tagungsbericht

Im Gedenken an Wilhelm Steinmüller, den am 1. Februar 2013 verstorbenen Wegbereiter der Auseinandersetzung mit den gesellschaftlichen Auswirkungen der Elektronischen Datenverarbeitung in Deutschland, trafen sich im Rahmen der Europäischen Akademie für Informationsfreiheit und Datenschutz Berlin  am 19. Mai 2016 zum vierten Mal Weggefährten, Schüler und Freunde, um aktuelle Probleme der Informationsgesellschaft zu diskutieren. Das diesjährige Thema lehnte sich an den Wortgebrauch Steinmüllers an, der richtigerweise nicht von der Digitalisierung, sondern von der Informatisierung der Welt sprach. In seinem Lebenswerk „Informationstechnologie und Gesellschaft“  handelte er unter diesem Thema Probleme der „Informatisierten Wirtschaft und Sozialwelt“, des „Informierten Staates“, der „Informatisierten Arbeit“ und der „Informatisierten Weltgesellschaft“ ab (S. 547 ff.). Die Beiträge zu dem Workshop folgten diesem Schema.

Zu Beginn jedoch erinnerte Wolfgang Kilian an den im Oktober 2015 verstorbenen Herbert Fiedler, einem weiteren Protagonisten der juristischen Informatik, wie er, sich abgrenzend von Steinmüllers Rechtsinformatik, dieses Gebiet nannte. Kilian hob die Bedeutung der juristischen Logik und der mathematischen Betrachtungsweise in Fiedlers Werk hervor, die auch in seiner langjährigen Funktion als Leiter der Forschungsstelle für Juristische Informatik und Automation bei der vormaligen Gesellschaft für Mathematik und Datenverarbeitung in Sankt Augustin zum Ausdruck kam. Auch sein Engagement im Fachbereich Recht und Verwaltung der Gesellschaft für Informatik sowie in der Gesellschaft für Rechts- und Verwaltungsinformatik haben viel zur Fortentwicklung des Gebietes beigetragen.

Als Paradigma für die „Informatisierte Wirtschaft“ zeigte zunächst Joachim Rieß auf, wohin der Weg von „Industrie 4.0“ führt. Dieser nur in Deutschland gebräuchliche Begriff (Wolfgang Coy wird ihn in einem späteren Diskussionsbeitrag als zu einseitig bezeichnen) markiere die auf Mechanisierung, Elektrifizierung und Automatisierung folgende Autonomisierung und Vernetzung als nächste Stufe der ökonomischen Entwicklung. Nahe liegender Weise erläuterte der Konzerndatenschutzbeauftragte von Daimler-Benz diesen Schritt anhand der „Digitalen Transformation des Fahrzeugs“, die auf Miniaturisierung, Fließbandtechnik und Entwicklung hoher Sicherheitstechnik folge. Mobile, ständig im on-line-Modus befindliche Geräte, der Einsatz einer Vielzahl von Sensoren, simultane Lokalisierbarkeit, das Entstehen „cyber-physischer Systeme“ kennzeichneten die Entwicklung.  Hinzu komme die Individualilisierung der Produkte. Der „Datenmensch“ entstehe als „alter ego“, die Welt werde für unsere Bedürfnisse gefiltert, neue Erlebensräume würden eröffnet (z.B. durch 3-D-Visualisierung). Risiken sah Rieß im Hoheitsanspruch über die Filterprozesse, der nationalen Abschottung und der Nationalisierung des Internets, der Entstehung asymmetrischer Kriege, der anschwellenden digitalen Kriminalität. Neue Herausforderungen für den Datenschutz entstünden, wie die Frage des Eigentums an Daten und Informationen, neue Verantwortlichkeits- und Haftungsfragen.

Wolfgang Schimmel wandte sich dem Problem des „Bezahlens mit – anonymen? – Daten“ zu. Er wies darauf hin, dass Daten etwa im Adresshandel schon immer Handelsware waren. Das Kunsturhebergesetz kenne den Geldwert von Bildern. Schadensersatzforderungen beim Missbrauch von Informationen oder Lizenzgeschäfte seien weitere Beispiele für die Monetarisierung. Internetanbieter nutzten die Daten dagegen aufgrund Allgemeiner Geschäftsbedingungen gratis, Facebook lasse sich sogar eine „uneingeschränkte Lizenz“ erteilen. Die kostenlose Preisgabe der Daten werde durch die Drohung mit der Zurückweisung der Anmeldung erzwungen, die Nutzung der Daten bleibe im Dunkeln. Auf diese Weise verkauften die Nutzer „ihre Seele“ als „Schnäppchen“. An Hand der Sage vom Regensburger „Bruckmandl“ erläuterte Schimmel das Problem, seine Seele zurückzuholen – gegen die teuflischen Internetgiganten wie in der Sage zwei Hähne und einen Hund loszuschicken, wird wohl nicht ausreichen.

Der „Verfügungsbefugnis über marktfähige personenbezogene Daten“ widmete sich auch Wolfgang Kilian. Zunächst müsse die Frage gestellt werden, was informationelle Selbstbestimmung mit Marktprozessen zu tun hat. Jedenfalls sei eine unmittelbare Drittwirkung nicht möglich. International werde das deutsche Verständnis des Allgemeinen Persönlichkeitsrechts nicht verstanden. Kilian stellte sodann 13 Thesen zur Erstellung der Marktfähigkeit von Daten auf. Darunter: Zu berücksichtigen seien die Funktionsdefizite der Einwilligung, die Problematik müsse vielmehr auf die Vertragsebene übergeleitet werden. Zivilrechtliche Verfügungsbefugnisse setzten eine Zuordnung zu Eigentum bzw. property rights voraus. Parallelen zum Immaterialgüterrecht müssten gezogen werden. Das Immaterialgut müsste hierzu neu definiert werden, u.U. könnten aus dem Zollrecht Anregungen gewonnen werden. Der Lizenznehmer sei als Nießbraucher zu betrachten. Die Rechte müssten durch Privacy by design und Privacy by default durchgesetzt werden. Auch spezielle Verwertungsgesellschaften seien denkbar. Die Schranken der Rechte etwa im Hinblick auf Nutzung, Fairness, Forschung, öffentliche Sicherheit seien zu bestimmen, die Rolle von Anonymisierungspflichten sei zu bedenken.

Zur Informatisierung in der Sozialwelt steuerte Alexander Dix einen Beitrag zur „Entsolidarisierung durch die Digitalisierung des Menschen“ bei. Er verwies auf den wachsenden Markt von Gesundheitsapps und Trackinggeräten. Schlaf, Schweiß, Laufstrecken würden gemessen. Krankenkassen würden bei bestimmten Werten Prämien gewähren. Die Kfz-Versicherer interessierten sich mehr und mehr für den Fahrstil der versicherten Personen. Es stellten sich Fragen nach der Qualität und der Aussagekraft der gesammelten Daten, es könne zu Risikoverschiebungen kommen (beim Laufen Risiken für die Knochen statt für das Herz), es gebe Überlistungsmöglichkeiten. Vor allem liege in der Berücksichtigung der Daten bei der Prämengestaltung ein Verstoß gegen das Solidaritätsprinzip. So lasse das SGB V keine Bevorzugung gesund Lebender zu. Auch die Freiwilligkeit stehe in Frage, das Koppelungsverbot von Art. 7 Datenschutz-Grundverordnung sei zu beachten. Insgesamt könne  in der Sammlung dieser Gesundheitsdaten eine Vorstufe zur zentralen Gesundheitssteuerung gesehen werden, wie sie in China mit dem „citizen score“ derzeit aufgebaut wird.

Der informatisierte Staat wird vor allem durch die Sicherheitsbehörden mit ihren Überwachungsmaßnahmen repräsentiert. Hansjörg Geiger zeigte hierzu die „Verfassungsrechtlichen Grenzen der Überwachung der internationalen Telekommunikation durch den BND“ auf. Ausgangspunkt sei die Erkenntnis der Vorratsdatenspeicherungs-Entscheidung des Bundesverfassungsgerichts, nach der jede Kenntnisnahme, Auswertung und Verwendung von Kommunikationsdaten einen Grundrechtseingriff darstelle. Grenzen könnten nur ein Gesetz bestimmt werden, das besonderen Anforderungen an die Verhältnismäßigkeit und Normenklarheit genügen muss. Geiger erläuterte sodann die „strategischen“ Beschränkungen des G-10-Gesetzes, nach dem die Überwachungsbefugnisse auf den Telekommunikationsverkehr von und nach Deutschland beschränkt seien. Nur 20 % des Verkehrs dürfe einbezogen werden. Im Ergebnis sei eine flächendeckende Überwachung nach dem G-10-Gesetz nicht gestattet. In Diskussion sei die Frage nach der Zulässigkeit der Überwachung in einem Drittland oder zwischen Drittländern. Die Bundesregierung vertrete die These des „offenen Himmels“ und halte sie für zulässig. Dagegen sei zu halten, dass Art. 1 Absatz 3 Grundgesetz zwar keine Aussage zum räumlichen Geltungsbereich mache, aber Völkerrecht, v.a. die Allgemeine Erklärung der Menschenrechte zu beachten sei. Auch sei der Gebietskontakt durch Empfangs- und Auswertungsgeräte zu berücksichtigen. Das Bundesverfassungsgericht selbst lasse Art. 10 eingreifen, sobald Telekommunikationsdaten von deutschen Behörden in Deutschland erhoben, wie auch immer verarbeitet oder übermittelt werden. Im Ergebnis müsse Art. 10 daher auch für den „offenen Himmel“ grundsätzlich immer gelten. Allerdings könnten die Regelungen hier großzügiger ausgelegt werden. Jedenfalls dürfe der BND nicht weiterhin in einer Grauzone arbeiten.

Carl-Eugen Eberle befasste sich, angeregt durch einen Zeitungsbeitrag über die Nutzung der Sozialen Medien durch die Partei AfD, mit der allgemeinen Frage nach dem  Einfluss der Sozialen Medien auf die öffentliche Meinungsbildung. Dabei sei auffällig, dass der dort verbreitete Vorwurf der „Lügenpresse“, der sich auch gegen den Rundfunk richte, gerade in einem Medium erhoben werde, das selbst lügenanfällig ist. Die Selbstreferenzialität durch Likes bei Facebook spiele ebenso eine Rolle wie die Erzeugung von Entrüstungspotential durch Gerüchte und falsche Tatsachenbehauptungen. All dies werde noch begünstigt durch anonym oder gar automatisch generierte Beiträge. Im Gegensatz zum öffentlichen Rundfunk, der strengen journalistischen Regeln unterworfen ist, unterlägen diese Aktivitäten keinerlei Kontrolle. Das stelle die Frage, „ob wir nicht die falschen Türen überwachen“. Es sei notwendig, dass das Medienrecht auf diese Situation reagiere.

Im Rahmen des Bereichs „Informatisierte Arbeit“ trug Klaus Fuchs-Kittowski zur „Digitalisierung der Arbeitswelt – zur Stellung und Verantwortung des Menschen in hochkomplexen informationstechnologischen Systemen“ bei. Ausgangspunkt müsse sein, dass der Mensch im Mittelpunkt der Wirtschaftsinformatik stehen müsse. In der Auseinandersetzung mit den Propagandisten der Vollautomatisierung müsse die „technische Immunität“ angegriffen werden. Der Leitsatz müsse sein: „Gebt dem Automaten, was des Automaten ist, gebt dem Menschen, was des Menschen ist“ und nicht „…gebt dem Menschen, was übrig ist“. Die weitgehende Automatisierung führe zu einer Entwertung der menschlichen Arbeit. Der Druck, mit elektronischen Medien arbeiten zu müssen, führe zu einer immer stärkeren Arbeitsverdichtung. Die Bedeutung des Menschen sehe man besonders in riskanten Situationen, in denen der Mensch einen größeren Spielraum habe als eine Maschine. Dies sei wichtig besonders im Hinblick auf die Störanfälligkeit von Maschinen, die sich auch beim „ubiquitous computing“ zeigen werde: Je mehr Informationsquellen genutzt werden, desto größer werde die Störanfälligkeit („Paradoxie der Sicherheit“). Anzustreben sei nicht Vollautomation, sondern ein verantwortliches Zusammenwirken zwischen Mensch und Maschine.

Zum Themenbereich „Informatisierte Weltgesellschaft“ erläuterte Peter Schaar zunächst „Das regulatorische Territorialdilemma der globalen Informationsgesellschaft“.  Die Globalisierung habe seit 1995 deutliche Veränderungen hinsichtlich ihrer Auswirkungen auf die Datenverarbeitung verursacht. Während in jener Zeit umfangreiche Datenübermittlungen eher die Ausnahme und lokale Regelungen angemessen gewesen wären, seien dezentrale Verfahren heute eher die Ausnahme. Nicht nur von Institutionen wie dem US-Geheimdienst NSA, sondern auch von Wirtschaftsunternehmen gingen globale Bedrohungen aus. Unsere jetzigen Regelungen bezögen sich aber immer noch auf die frühere Situation. Die weltweit erhobene Forderung nach einer „digitalen Souveränität“ führe zu einer Daten-Relokalisierung, wie sie die USA bereits seit langem praktiziere. Erforderlich sei dagegen eine Globalisierung der rechtlichen Vorgaben. Durch UN-Aktivitäten seien deutliche Grenzen zu setzen. Die Menschenrechtsbindung müsse unabhängig von Hoheitsgebieten und der Nationalität der Betroffenen durchgesetzt werden. Schaar verwies auf den Bericht der Hohen Kommissarin für Menschenrechte der UN, Navi Pillay, nach dem Menschenrechte nur durchgesetzt werden könnten, wenn die einzelnen Staaten sich verpflichten, sie auch außerhalb ihrer eigenen Landesgrenzen zu beachten  (The Right to Privacy in the Digital Age, Juli 2014).

Schließlich beschrieb Klaus Lenk „Die Herausbildung einer weltweiten privaten Rechtsordnung: Akteure und ihre Gestaltungsspielräume“. Diese von zivilen Einrichtungen geschaffenen Rechtsordnungen, die in Konkurrenz zur staatlichen stehen,  würden Oberhand gewinnen. Kennzeichnend für sie sei die folgenreiche Nutzung von vier Steuerungsinstrumenten: (1) Imperatives Recht werde durch zwingende Technikregulierung abgelöst. (2) Eine unsichtbare Rekonfigurierung der physischen und informationellen Umgebung des Menschen führe zu einer „gebremsten Individuation“. (3) Entscheidungen beruhten auf einem „maschinellen“ Anfangsverdacht. (4) Diffuse, feingranulare nicht-staatliche Überwachungsszenarien entstünden. Dahinter stehe die „kalifornische Ideologie“, die geprägt sei durch Weltverbesserungsstreben, Technikgläubigkeit und Geschäftemacherei. Folgende staatliche Spielräume verblieben:  Entnetzung (Dinge müssen isoliert funktionieren), Resilienz (Gestaltung robuster, verantwortbarer Strukturen), Herstellung von Nachvollziehbarkeit. Insgesamt seien die Handlungsspielräume größer als vermutet. Hierzu müsse der „Enteignung des Willens durch Digitalisierung“ begegnet, der damit zusammenhängende Fatalismus überwunden und die Frage gestellt werden, „ob wir noch Alternativen denken können“.

Nichts gelernt: BND-Gesetzentwurf enthält verfassungswidrige Elemente

Der Blog netzpolitik.org hat am 6. Juni 2016 einen offenbar geleakten Entwurf eines geänderten BND-Gesetzes veröffentlicht.

Der Gesetzentwurf vermittelt den Eindruck, als sollten die   inzwischen aufgedeckten zweifelhaften Praktiken des BND nachträglich legalisiert werden. Insbesondere der Aufklärungsarbeit des BND-Untersuchungsausschusses des Deutschen Bundestags verdanken wir die Erkenntnis, dass der deutsche Auslandsgeheimdienst nicht nur bei seinen Aktivitäten im Ausland weitgehend in einem gesetz- und kontrollfreien Raum agiert, sondern auch bei der Erfassung von über deutsche Netzknoten geleiteter Telekommunikations- und Internetverbindungen. Parlamentarische und datenschutzrechtliche Aufsichts- und Kontrollmechanismen wurden systematisch umgangen, teilweise sogar unter Bruch gesetzlicher Vorgaben.

Statt sich ernsthaft mit den Problemen der offenbar außer Kontrolle geratenen Überwachung auseinanderzusetzen, wollen die Autoren des Gesetzentwurfs dem BND zusätzliche allgemeine Überwachungsbefugnisse gegeben. Die Erfassung der Telekommunikation soll sich erkennbar nicht auf terroristische Gefährder oder internationale Waffenhändler beschränken, sondern sämtliche nicht-deutschen Telekommunikationsteilnehmer und Internetnutzer betreffen.

Ignoriert werden dabei die durch die jüngste Rechtsprechung des Bundesverfassungsgerichts zum BKA-Gesetz festgelegten Grenzen bei der Erfassung unverdächtiger Personen. Ihre Daten sollen nach dem Gesetzentwurf nicht nur vom BND selbst erfasst, sondern – nicht nur im Einzelfall – auch automatisiert an ausländische Geheimdienste übermittelt werden, soweit ‚die sofortige Übermittlung erforderlich ist, um die Kooperationsziele zu erreichen‘. Dies wäre ein glatter Verstoß gegen das durch unser Grundgesetz geforderte Verhältnismäßigkeitsprinzip.

Skandalös ist die vorgesehene Einschränkung der Kontrollbefugnisse der Bundesbeauftragten für den Datenschutz, deren Kontrollrecht bei vom BND gemeinsam mit ausländischen Diensten geführten Dateien auf die durch den BND eingespeicherten Daten beschränkt werden soll. Daten ausländischer Geheimdienste, die der BND aus gemeinsamen Dateien erhält und nutzt, würden damit der datenschutzrechtlichen Kontrolle entzogen – ein evident verfassungswidriger Vorschlag.

Peter Schaar

Das aktuelle Urteil des BVerfG zum BKA-Gesetz – eine Nachhilfe in Sachen Verfassungsrecht für Gesetzgeber und Sicherheitsbehörden

Das Urteil des Bundesverfassungsgerichts zum BKAG vom 20. April 2016 (1 BvR 966/09 und 1 BvR 1140/09), in welchem das Gesetz in erheblichen Teilen für verfassungswidrig erklärt wird, beschränkt nicht nur die künftige sicherheitsbehördliche Datenverarbeitung, sondern enthält zugleich auch ausführliche Vorgaben, wie eine solche Datenverarbeitung auf verfassungskonforme Weise zu realisieren ist. An der Entscheidung auffällig ist vor allem der recht lange theoretische Vorbau, in dem das Gericht seine über Jahre hinweg entwickelte Rechtsprechung zur Verhältnismäßigkeit von staatlichen Überwachungsmaßnahmen detailliert und mit zahlreichen Verweisen verbunden zusammenfasst sowie für den Bereich der Datenübermittlung an ausländische Behörden teils ergänzt. Diese Ausführungen kommen in ihrer Ausführlichkeit einer an den Gesetzgeber und an die Sicherheitsbehörden gerichteten Nachhilfe in Sachen Verfassungsrecht gleich. Sinnvoll ist es deshalb, die gemachten Vorgaben nochmals in aller Kürze zu rekapitulieren.

Ausgangspunkt der vom Bundesverfassungsgericht angestellten Erwägungen ist der aus dem Rechtsstaatsprinzip folgende Grundsatz der Verhältnismäßigkeit, aus dem sich verschiedene Anforderungen ableiten lassen, die für den Fall einer heimlich stattfindenden elektronischen Datenverarbeitung nochmals qualifiziert sind. Speziell für verdeckte Überwachungsmaßnahmen lassen sich darüber hinaus aus dem Menschenwürdegrundsatz des Art. 1 Abs. 1 GG besondere Anforderungen entwickeln, die durch das Bundesverfassungsgericht konkretisiert werden.

  1. Heimliche Überwachungsmaßnahmen, die mit einem erheblichen informationellen Grundrechtseingriff verbunden sind – wie die Wohnraumüberwachung und der Zugriff auf informationstechnische Systeme –, genügen nur dann dem Gebot der Verhältnismäßigkeit, wenn sie dem Schutz von gewichtigen Rechtsgütern dienen und für deren Gefährdung im Einzelfall belastbare tatsächliche Anhaltspunkte bestehen (BVerfGE 107, 299, 321 ff.; 110, 33, 56; 113, 348, 377 ff; 120, 274, 328; 125, 260, 330). Anknüpfungspunkte im Bereich der Strafverfolgung sind (besonders) schwere Straftaten bzw. solche von erheblicher Bedeutung. Im Bereich der Gefahrenabwehr hingegen kommt es auf das Gewicht der durch die Maßnahme zu schützenden Rechtsgüter an. Zu solchen gewichtigen Rechtsgütern zählen Leib, Leben und Freiheit der Person sowie der Bestand oder die Sicherheit des Bundes oder eines Landes. Verfassungsrechtliche Untergrenze für den staatlichen Eingriff ist das Vorliegen einer hinreichend konkreten Gefahr, sodass lediglich allgemeine Erfahrungssätze, geschweige denn bloße Vorfeldermittlungen für einen Datenzugriff nicht ausreichend sind.
  2. Eng verknüpft mit dem Gefahrenbegriff ist die Frage, gegen welche Personen Eingriffe in ihre informationellen Grundrechte durchgeführt werden dürfen. In besonderem Maße ist dies problematisch für solche Betroffenen, die nicht als Handlungs- oder Zustandsverantwortliche bzw. als Tatverdächtige im Polizei- und Strafrecht in besonderer Verantwortung stehen. Hier sind die rechtlichen Vorgaben gegenüber der Eingriffsschwelle eher weit gefasst. Grundsätzlich darf sich der Eingriff somit zwar nur unmittelbar gegen die verantwortliche Zielperson richten (BVerfGE 109, 279, 351 f.; 120, 274, 329 ff.). Soweit hierbei jedoch Dritte mit erfasst werden, ist dies verfassungsrechtlich zulässig. Ebenso ist die Durchführung einer heimlichen Überwachung auch unmittelbar gegenüber Dritten möglich. Voraussetzung hierfür ist, dass der betroffene Dritte über eine spezifische individuelle Nähe zur aufzuklärenden Gefahr oder Straftat verfügt. Die Nähe muss sich auf gewisse Weise verfestigt haben, so genügt nicht jedweder Austausch zwischen Zielperson und Betroffenem, sondern es bedarf Anhaltspunkte für einen tatsächlichen Kontakt zwischen beiden.
  3. Es muss eine effektive Vorabkontrolle von Überwachungsmaßnahmen durch eine unabhängige Stelle gegeben sein. Genannt wird in diesem Zusammenhang die richterliche Anordnung (BVerfGE 109, 279, 357 ff.; 120, 274, 331 ff.; 125, 260, 337 ff.). Pflicht der Landesjustizverwaltungen ist es dabei, die notwendigen sachlichen und personellen Voraussetzungen für eine solche Kontrolle zu schaffen. Spiegelbildlich trifft die maßnahmendurchführende Behörde ihrerseits die Verpflichtung, die effektive Überprüfung sicherzustellen, indem sie der unabhängigen Stelle alle hierfür benötigten Informationen zur Verfügung stellt.
  4. So wie es einer vorgelagerten Kontrolle bedarf, setzt jedwedes rechtsstaatliche Handeln ebenso Transparenz, Rechtsschutz und aufsichtsbehördliche Kontrolle voraus (BVerfGE 65, 1, 44; 100, 313, 361 ff.; 109, 279, 363 ff.; 125, 260, 334 ff.; 133, 277, 365 ff.). Rechtsschutz und aufsichtsbehördliche Kontrolle stehen dabei in einem engen Verhältnis, denn je weniger der subjektive Rechtsschutz gewährleistet werden kann, zum Beispiel aufgrund der heimlichen Natur einer Maßnahme, umso wichtiger ist deren externe, unabhängige Kontrolle. Diese Kontrolle muss durch eine mit wirksamen Befugnissen ausgestattete Stelle stattfinden; diesen Anforderungen genügt die Bundesdatenschutzbeauftragte, welcher die zur Erfüllung ihrer Aufgabe notwendigen Informationen von den Sicherheitsbehörden zur Verfügung gestellt werden müssen. Die entsprechende Kontrolle ist mindestens alle zwei Jahre durchzuführen. Auch hier ist der Gesetzgeber gefordert, tätig zu werden. Ebenso bedarf es bei heimlichen Ermittlungsmaßnahmen einer größeren öffentlichen Transparenz. Um Rechtsschutz und Transparenz gewährleisten zu können, gehört zuvorderst die nachträgliche Benachrichtigungspflicht des Betroffenen im Anschluss an die Überwachungsmaßnahme, die grundsätzlich vorzusehen ist und von der nur in engen Ausnahmefällen abgewichen werden kann, zum Pflichtenprogramm. Der Gesetzgeber ist hier gefordert, entsprechende Maßnahmen vorzusehen. Neben der Benachrichtigungspflicht sind ebenso Auskunftsrechte zu schaffen, die als Ergebnis einer wohl abgestimmten Interessenabwägung jedoch abbedungen werden können. Nicht zuletzt sind bei der Begründung heimlicher informationeller Eingriffsbefugnisse auch wirksame Sanktionen bei Rechtsverletzungen vorzusehen – hier verfügt der Gesetzgeber aber über einen weiten Gestaltungsspielraum. Abschließend ist zur Förderung von Transparenz und zur Kompensation der Heimlichkeit der Überwachungsmaßnahme durch den Gesetzgeber sicherzustellen, dass regelmäßige und ausreichend substanziierte Berichte zur Tätigkeit des BKA an Parlament und Öffentlichkeit erfolgen. So stellt der demokratische Diskurs über neue Überwachungsmaßnahmen auch eine entscheidende Voraussetzung für deren Legitimität dar.
  5. Durch den Gesetzgeber ist sicherzustellen, dass schon die Ermächtigungsgrundlagen eine Löschungsverpflichtung für die erhobenen Daten enthalten (BVerfGE 65, 1, 46; 133, 277, 366). Damit eng verbunden ist der Zweckbindungsgrundsatz, denn durch die Löschung wird sichergestellt, dass grundsätzlich keine Speicherung auf Vorrat für nicht weiter definierte Ermittlungszwecke stattfindet. Die Datenlöschung ist durch Protokollierung nachzuweisen.
  6. Besonders intensive Überwachungsmaßnahmen stellen auch besonders hohe Anforderungen an den Schutz des Kernbereichs privater Lebensgestaltung als den Bereich höchstpersönlicher Privatheit gegenüber Überwachung (BVerfGE 109, 279, 313; 113, 348, 391 f.; 120, 274, 335; 129, 208, 245 f.). Der Kernbereich beansprucht Geltung gegenüber jedweder Überwachungsmaßnahme durch den Staat, weshalb sein Schutz schon von Gesetzes wegen deutlich gewährleistet sein muss. Es ist verfassungsrechtlich in jedem Falle unzulässig, den Kernbereich als Ermittlungsziel zu definieren, d.h. gezielt Informationen aus der höchstprivaten Sphäre zu verwerten. Freilich ist es in verfahrenstechnischer Hinsicht nicht leicht, einen effektiven Kernbereichsschutz zu gewährleisten. Das Bundesverfassungsgericht verlangt deshalb ein zweistufiges Schutzverfahren, das bei Schaffung der Ermächtigungsgrundlagen schon vom Gesetzgeber zu beachten ist: Erstens ist so weit wie möglich zu verhindern, dass Kernbereichsinformationen den Ermittlern zur Kenntnis gelangen. Zweitens ist, falls dies doch einmal der Fall sein sollte, so weit wie möglich zu vermeiden, dass das unbefugte Eindringen in die Privatsphäre für den Betroffenen negative Folgen nach sich zieht. Speziell für letztgenannte Voraussetzung wird grundsätzlich eine Sichtung der Daten wieder durch eine unabhängige Stelle vorgesehen, um zu auszuschließen, dass die Daten den Sicherheitsbehörden zur Kenntnis gelangen.
  7. Der Menschenwürdegrundsatz bezieht sich nicht nur auf die Intensität der Überwachung, also auf den Kernbereichsschutz, sondern ebenso auf deren Dauer. Unzulässig sind deshalb staatliche Überwachungshandlungen, die sich über einen längeren Zeitraum erstrecken und den gesamten Lebensverlauf des Betroffenen erfassen, sodass hieraus ein umfassendes Persönlichkeitsprofil erstellt werden kann (BVerfGE 109, 279, 323; 112, 304, 319 f.; 130, 1, 24). Insoweit findet hier auch eine Überschneidung mit dem Kernbereichsschutz statt, da sich nicht nur aus einer hinreichend intensiven, sondern auch aus einer hinreichend langanhaltenden, unbemerkten Überwachung bedeutende Gefahren für die engere Persönlichkeitssphäre ergeben (vgl. beispielsweise auch das Verhältnis der Auswertung von Inhalts- und Verkehrsdaten). Das Bundesverfassungsgericht spricht in seinem Urteil zum BKAG von einem „additiven Grundrechtseingriff“.
  8. Der Schutz von besonderen Vertrauensbeziehungen muss durch den Gesetzgeber gewährleistet werden, da diese durch heimliche Informationsbeschaffungen des Staates in besonderer Weise belastet werden können (BVerfGE 129, 208, 262 ff.). Eine Verpflichtung, von vornherein bestimmte Personengruppen von Überwachungsmaßnahmen auszuschließen, besteht grundsätzlich nicht. Vielmehr besitzt der Gesetzgeber einen Gestaltungsspielraum, der aber gleichwohl eine angemessene Interessenabwägung zwischen Schutz- und Eingriffsgütern voraussetzt, die auch die Grundrechte der Berufsgeheimnisträger berücksichtigt.
  9. Entscheidend für die verfassungsrechtliche Beurteilung der sicherheitsbehördlichen Datenverarbeitung ist nicht zuletzt auch die Einhaltung des Zweckbindungsgrundsatzes, das heißt, dass die erhobenen Daten nur für diejenigen Aufgaben genutzt werden dürfen, die der ursprünglichen Erhebung zugrunde lagen. Hier stellt das Bundesverfassungsgericht zutreffend fest, dass die Übermittlung personenbezogener Daten an andere Staaten eine Zweckänderung ist, die der Zweckbindung grundsätzlich zuwiderläuft. Speziell für die Auslandsdatenübermittlung stellt sich daneben das Problem, dass die Gewährleistungen des Grundgesetzes für diese Daten nicht mehr zur Anwendung gebracht werden können. Hier ist der Gesetzgeber deshalb aufgefordert, flankierende Regelungen zu treffen, die dieser doppelten Gefährdungslage hinreichend Rechnung tragen. So ist eine Datenübermittlung in solche Empfängerstaaten untersagt, in denen elementare rechtsstaatliche Grundsätze verletzt werden (BVerfGE 108, 129, 136 f.). Das Bundesverfassungsgericht schreibt für die sicherheitsbehördliche Datenübermittlung in das Ausland vier Grundsätze fest:
  • Die Datenübermittlung ist nur zulässig zur Verfolgung hinreichend gewichtiger Zwecke.
  • Vor der Übermittlung hat eine Vergewisserung hinsichtlich des rechtsstaatlichen Umgangs mit den Daten stattzufinden.
  • Auch bei der Auslandsdatenübermittlung bedarf es einer wirksamen inländischen Kontrolle.
  • Der Gesetzgeber ist aufgefordert, die vorgenannten Anforderungen deutlich im nationalen Recht zu verankern.

Es bleibt zu hoffen, dass all diese detaillierten Vorgaben des Bundesverfassungsgerichts nicht nur im Hinblick auf die Novellierung des BKAG, sondern aufgrund ihres allgemeingültigen Charakters auch für künftige Sicherheitsgesetze berücksichtigt werden.

Bundesverfassungsgericht zum BKA-Gesetz: Grundrechte gelten auch angesichts terroristischer Gefahren

In Zeiten wie diesen, in denen grausame islamistisch oder rassistisch motivierte Anschläge die Berichterstattung dominieren, dringen diejenigen kaum durch, die sich für Grund- und Bürgerrechte einsetzen. Zu überwältigend sind die grausamen Bilder von Tatorten und Opfern, die uns immer wieder beunruhigen. Trotzdem darf nicht vergessen werden, dass sich der religiös oder nationalistisch begründete Terror vor allem gegen offene, rechtstaatlich organisierte Gesellschaften richtet.

Staatliche Überreaktionen

Allzu leicht werden bei der Reaktion auf Gefahren die verfassungsrechtlichen Dämme unterminiert, die uns vor Willkür schützen und damit unsere gesellschaftlichen Werte bewahren sollen. Bisweilen werden sie auch geschleift – wie nach dem 11. September 2001 in den USA – oder durchlöchert. Immer wieder haben Bundestagsmehrheiten die gesetzlichen Befugnisse der Sicherheitsbehörden ausgeweitet und dabei verfassungsrechtliche Grenzen nicht beachtet. Deshalb ist es folgerichtig, dass das Bundesverfassungsgericht hier wiederholt korrigierend eingegriffen hat, etwa bei dem „großen Lauschangriff“ (akustische Wohnraumüberwachung), bei der Vorratsdatenspeicherung oder auch beim heimlichen Ausspähen informationstechnischer Systeme.

Das höchste deutsche Gericht – und in den letzten Jahren auch der Europäische Gerichtshof – haben hier Grenzen aufgezeigt, die auch angesichts terroristischer Bedrohungen gewahrt werden müssen. Werte wie die Menschenwürde und die Wahrung des Kernbereichs privater Lebensgestaltung stehen nicht zu staatlicher Disposition. In seinem jüngsten Urteil vom 20. April 2016 zu den 2009 eingeführten neuen Befugnissen des Bundeskriminalsamts bestätigt das Bundesverfassungsgericht die von ihm aufgestellten Prinzipien. Auch ich sehe mich in meiner seinerzeit als Bundesbeauftragter für den Datenschutz geäußerten Kritik bestätigt.

Feststellungen des Bundesverfassungsgerichts zum BKA-Gesetz

Das Bundesverfassungsgericht stellt in seinem Urteil – 1 BvR 966/09 – insbesondere fest:

  • Viele der von der seinerzeitigen Großen Koalition eingeführten Regelungen zur Terrorabwehr sind unverhältnismäßig, insbesondere soweit sie dem BKA, tief in die Privatsphäre eingreifende Ermittlungs- und Überwachungsbefugnisse einräumen (etwa zur Wohnraum- und Telekommunikationsüberwachung und zur heimlichen Überwachung informationstechnischer Systeme – Stichworte: „Online-Durchsuchung“, „Bundestrojaner“).
  • Den Schutz des Kernbereichs privater Lebensgesetaltung ist auch bei heimlichen Maßnahmen außerhalb einer Wohnung zu beachten; dies ist nicht hinreichend gewährleistet.
  • Besonders kritisch beurteilt das höchste deutsche Gericht die Befugnis des Bundeskriminalamts zur heimlichen Sammlung von Unverdächtigen, die selbst nicht Zielpersonen sind („Kontakt- und Begleitpersonen“), weil gegen sie nicht wegen terrorristischer oder sonstiger schwerkrimineller Aktivitäten ermittelt wird.
    Bei der Übermittlung der heimlich erhobenen Daten an andere in- und ausländische Stellen, insbesondere an Nachrichtendienste, mangelt es an den erforderlichen datenschutzrechtlichen Sicherheitsvorkehrungen.
  • Auch wenn jede einzelne Maßnahme den verfassungsrechtlichen Anforderungen genügen muss, ist eine übergreifende Betrachtung kumolierter bzw. paralleler Überwachungsmaßnahmen erforderlich. Eigene verfassungsrechtliche Grenzen ergeben sich hinsichtlich des Zusammenwirkens der verschiedenen Überwachungsmaßnahmen. Insofern betont das Bundesverfassungsgericht erneut die Bedeutung einer Art „Überwachungsgesamtrechnung“, die der Verwaltungsrechtler Roßnagel schon vor Jahren angemahnt hatte.
  • Die Regelungen zur unabhängigen Kontrolle der Datenverarbeitung des BKA im Vorfeld der Überwachungsmaßnahmen mit hoher Eingriffsintensität – etwa durch Gerichte und durch den/die Bundesbeauftrate für den Datenschutz – ist unzureichend. Auch die Feststellung, ob eine Information dem „Kernbereich“ der Privatsphäre zuzurechnen ist, muss unabhängig erfolgen und darf nicht Mitarbeitern des BKA überlassen bleiben.

Das Bundesverfassungsgericht hat damit in Erinnerung gerufen, dass Verfassungsgrundsätze nicht angesichts politischer Stimmungsschwankungen – so verständlich sie sein mögen – unterminiert werden dürfen. Gerade in Zeiten gesellschaftlicher Krisen und terroristischer Risiken müssen wir Werte und Freiheitsrechte verteidigen. Nur so kann es gelingen, den Gegnern von Freiheit und Menschenwürde nachhaltig und wirksam entgegenzutreten. Es ist zu hoffen, dass diese Botschaft bei den Verantwortlichen in der Politik und in den Behörden auch verstanden wird.

Mit freundlichen Grüßen

Peter Schaar

Hintertür ins iPhone?

In den Medien wird derzeit über einen Streit zwischen dem FBI  und der Firma Apple berichtet, in dem es um den Zugang zu auf dem iPhone eines Verdächtigen gespeicherten verschlüsselt gespeicherten Daten geht. Die US-Bundespolizei erhofft sich aus ihnen Erkenntnisse, die zur Aufklärung schwerster Straftaten beitragen könnten. Das Technologieunternehmen ist (bisher) nicht bereit, das für das iPhone verwendete Betriebssystem so umzuschreiben, dass Sicherheitsbehörden die kryptographischen an die geschützten Daten kommen.

Wenn es nur um den Zugang zu diesen spezifischen Daten gehen würde, wäre die Angelegenheit nicht besonders brisant. Schon heute haben Strafverfolgungbehörden  – nicht nur in den USA, sondern auch in Deutschland –  die Befugnis, zur Aufklärung schwerer Straftaten auf gespeicherte Daten zuzugreifen.

Der Ausgang des aktuellen Streits ist aber über den konkreten Fall hinaus äußerst bedeutsam. Sollte Apple der Forderung nachgeben und eine Hintertür zu den Daten einbauen, wäre damit die Sicherheit sämtlicher iPhones in aller Welt infrage gestellt. Mehr noch: Es geht es nicht nur um das iPhone, sondern um sämtliche informationstechnischen Systeme, denn natürlich richten sich entsprechende Forderungen auch an deren Hersteller und Betreiber. Deshalb ist es auch nicht verwunderlich, dass andere  Technologieunternehmen, die sich nach den Enthüllungen von Edward Snowden viele Millionen US-Dollar in den verbesserten Schutz der gespeicherten Daten investiert haben, an die Seite ihres Konkurrenten Apple stellen.

Niemand kann heute bezweifeln, dass Geheimdienste aus aller Welt die ihnen zur Verfügung stehenden Überwachungsmöglichkeiten einsetzen. Deshalb wäre es auch naiv anzunehmen, dass sie die neuen Chancen, die ein Hintereingang zu unseren Daten ihnen bietet, ungenutzt verstreichen lassen würden. Schließlich wäre es nur eine Frage der Zeit, bis auch Kriminelle die vorprogrammierten Schwachstellen kennen und für ihre Zwecke verwenden – zu unser aller Schaden.

Angesichts dieser weitreichenden Folgen bleibt zu hoffen, dass sich die US Behörden nicht gegen Apple durchsetzen. Denn es geht nicht nur um eine einzelne Hintertür, sondern um die Aushändigung eines Generalsschlüssels zu vertraulichen Daten. Der damit verbundene Vertrauensschaden wäre unabsehbar.

 

Mit freundlichen Grüßen

Peter Schaar

Doch (k)ein sicherer Hafen? (mit Update vom 02.02.2016, 17:15)

Bis zum vergangenen Wochenende hielten sich Gerüchte, dass die Verhandlungen zwischen der Europäischen Kommission und der US-Regierung über eine Nachfolgevereinbarung für das vom Europäischen Gerichtshof am 6. Oktober 2015 annullierte Safe Harbour-Abkommen kurz vor einem erfolgreichen Abschluss stünden. Inzwischen ist die von den Datenschutzbehörden der EU-Mitgliedstaaten in der Art. 29-Gruppe mehrheitlich beschlossene „Stillhaltefrist“ bis Ende Januar 2016 verstrichen, ohne dass eine Einigung erzielt wurde.

Einen aktuellen Einblick in den Stand der Verhandlungen gab EU-Justizkommissarin Vera Jourová bei der Sitzung des Ausschusses für bürgerliche Freiheitsrechte, Justiz und Inneres des europäischen Parlaments (LIBE-Ausschuss) am 1. Februar 2016. Der Kommission gehe es in erster Linie darum, das Grundrecht auf Datenschutz auch für den Fall zu sichern, dass personenbezogene Daten ins Ausland transferiert werden und zugleich die Voraussetzungen dafür zu schaffen, dass die transatlantischen Datenflüsse mit entsprechenden Sicherheitsvorkehrungen fortgesetzt werden können. Die Kommission habe sich unmittelbar nach der EuGH-Entscheidung vorgenommen, innerhalb von drei Monaten nach dem EuGH-Urteil einen entsprechenden robusten Rahmen zu schaffen. Eine solche Neuregelung müsse sich fundamental von dem durch den EuGH annullierten Safe Harbour-System unterscheiden. Inzwischen ist es sehr unwahrscheinlich, das sich dieses Ziel in dieser Frist erreichen lässt.

Zur Erinnerung: Kernstück des Safe Harbour-Systems war eine Entscheidung der EU-Kommission aus dem Jahr 2000, dass Unternehmen, die sich zur Einhaltung der mit dem US-Handelsministerium ausgehandelten „Safe Harbour-Prinzipien“ bekennen, ein angemessenes Schutzniveau für die in die USA übermittelten personenbezogenen Daten garantieren. Der EuGH hat in seinem Urteil, mit dem er diese Angemessenheitsentscheidung annullierte, deutlich gemacht, dass die durch die EU Grundrechte-Charta garantierten Grundfreiheiten, insbesondere die Grundrechte auf Gewährleistung der Privatsphäre (Art. 7), auf Datenschutz (Art. 8) und die Rechtsschutzgarantie (Art. 47) den entscheidenden Maßstab für die Angemessenheit des Schutzniveaus im Empfängerland bilden.

Fraglich ist bis heute, ob auf US-Seite wirklich die Bereitschaft besteht, sowohl die materiellen Datenschutzanforderungen für die aus Europa übermittelten Daten zu gewährleisten als auch einen diskriminierungsfreien Rechtsschutz für diejenigen Personen garantieren, deren Daten transferiert werden.

So muss eine rechtlich belastbare Beschränkung der Überwachungsaktivitäten der US-Sicherheitsbehörden erfolgen; eine anlasslose Überwachung der grenzüberschreitenden Kommunikation und ein umfassender Zugriff auf personenbezogene Daten von Personen, die weder US-Bürger sind, noch sich dauerhaft in den Vereinigten Staaten aufhalten („US persons“) darf es nach den Vorgaben des EuGH nicht geben, denn eine solche umfassende Überwachung würde den Wesensgehalt der Grundrechte verletzen. Ob diese  Anforderungen durch die inzwischen erfolgten Gesetzesänderungen in den USA (US Freedom-Act)  erfüllt werden, ist mehr als zweifelhaft, denn im wesentlichen beschränken sich dessen Regelungen auf die Daten amerikanischer Bürger.

Hinsichtlich der ebenfalls durch den EuGH eingeforderten unabhängigen Datenschutz-Kontrollstellen, die individuellen Beschwerden gegen die Verwendung personenbezogener Daten durch Unternehmen und durch US-Behörden nachzugehen, scheinen sich die Positionen zwar angenähert zu haben. Auch in der Frage des gerichtlichen Rechtsschutzes hat es in den letzten Monaten durchaus Bewegung gegeben. Ob die geplanten Änderungen des US-Rechts indes ausreichen, wird zu Recht infrage gestellt (etwa durch die US-Privacy Gruppe EPIC). Von einer rechtlichen Gleichstellung der EU-Bürgerinnen und -Bürger mit US-Bürgern kann nicht die Rede sein, wie ein Blick in den noch nicht abschließend vom US-Kongress gebilligten Entwurf des Judicial Redress Act (JRA) zeigt. So müssen EU-Bürger – anders als US-Personen – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem sind die vorgesehenen Klagemöglichkeiten auf die Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten beschränkt. EU-Bürger sollen – anders als US-Bürger – weiterhin keine Möglichkeiten haben, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.

Der JRA garantiert den EU-Bürgern zudem nicht einmal diese Datenschutzrechte, sondern er ermächtigt den US-Generalstaatsanwalt (zugl. Justizminister, PSch) lediglich dazu, im Einvernehmen mit anderen Ministerien den Bürgern eines Staates oder eines Wirtschaftsraums, die beschriebenen Rechte einzuräumen. Der Justizminister kann die Entscheidung jederzeit widerrufen, etwa wenn der jeweilige Staat die Datenweitergabe an US-Behörden verweigert oder diese erschwert.

Schließlich werden selbst diese unzureichenden Rechte durch eine in der letzten Woche durch den Rechtsausschuss des US-Senats verabschiedete Änderung weiter relativiert. Danach sollen nur solche Staaten die durch den JRA formulierten Ansprüche erhalten können, die den kommerziellen Datentransfer in die USA erlauben und deren nationalen Sicherheitsinteressen nicht behindern („in order to qualify as a covered country, a foreign country must permit commercial data transfers with the United States and may not impede the national security interests of the United States”). Letztlich bleibt es – mit oder ohne die im Senat vorgeschlagene Änderung – dabei, dass die US-Administration darüber entscheidet, ob und welche Bürger Anspruch auf rechtliches Gehör bekommen. Ein robuster Grundrechtsschutz sieht anders aus.

Sollte die Europäische Kommission auf dieser Basis gleichwohl eine neue Angemessenheitsentscheidung für den Datentransfer in die USA treffen, würde sie ein großes Risiko eingehen, dass auch dieser neue Rahmen für die Datenübermittlung in die USA  die Prüfung durch den Europäischen Gerichtshof nicht übersteht. Ein derartiges, nur leicht angereichertes Safe Harbour-System würde den erforderlichen Grundrechtsschutz der Bürgerinnen und Bürger nicht gewährleisten und wäre letztlich auch nicht im Interesse der europäischen oder amerikanischen Wirtschaft.

Update (02.02.2016, 17:15):

Die Europäische Kommission hat auf einer Pressekonferenz in Brüssel den erfolgreichen Abschluss der Verhandlungen mit der US-Regierung bekanntgegeben. Nach den Worten der Justizkommissarin Vera Jourová soll die neue Vereinbarung belastbare Garantien der US-Seite enthalten, sowohl im Hinblick auf den Umgang der Unternehmen mit personenbezogenen Daten aus der EU als auch zum Zugriff von US-Sicherheitsbehörden. EU-Bürger bekämen das Recht, gegen jede Art der Datenschutzverletzung rechtlich vorzugehen. Die Kommission werde in den nächsten Wochen eine neue Angemessenheitsentscheidung vorlegen. Nach den Worten von EU-Vizepräsident Ansip soll das neue Arrangement wesentlich besser sein als das Safe Harbor System aus dem Jahr 2000. Durch eine jährliche „Joint Review“, an der auch die Datenschutzbehörden beteiligt würden, soll die Umsetzung der Vereinbarung überprüft werden.

Nach dem Pariser Massaker: Totalüberwachung wäre die falsche Antwort

Die Anschläge von Paris haben uns alle fassungslos gemacht. Dabei war eigentlich allen klar, dass eine offene Gesellschaft ihre „weichen Ziele“ nicht umfassend vor solchen Anschlägen schützen kann. Niemand darf sich der falschen Gewissheit hingeben, dass solche Aktionen zukünftig mit 100%iger Sicherheit ausgeschlossen werden können, durch welche Maßnahmen auch immer. Selbst wenn erneute Überwachungsgesetze unsere Freiheit weiter einschränken sollten, wie einige es jetzt wohlfeil fordern, würde dies unsere Sicherheit nicht unbedingt verbessern. Wer – wie einige Polizeigewerkschaftler – vor dem Hintergrund der Anschläge für die Ausweitung der in Deutschland gerade erst wiedereingeführten Vorratsdatenspeicherung eintritt, macht es sich zu leicht. Bekanntlich hat die seit 2006 in Frankreich praktizierte 12-monatige umfassende Speicherung von Telekommunikationsdaten auf Vorrat den Anschlag auf Charly Hebdo im Januar d. J. nicht verhindern können. Und die daraufhin vom französischen Parlament im Frühjahr erweiterten polizeilichen und geheimdienstlichen Überwachungsbefugnisse haben nichts gegen das Massaker vom 13. November 2015 gebracht.

Wer sich ernsthaft mit der Bekämpfung des islamistischen Terrors befasst, darf diese Fakten nicht ignorieren. Offenbar liegen die Ursachen sehr viel tiefer und die Sicherheitsbehörden sind trotz der seit den Terroranschlägen von 9/11/2001 massiv ausgeweiteten globalen Überwachung vor den jüngsten Terroranschlägen in Europa offenbar völlig ahnungslos gewesen. Der Eindruck drängt sich auf, dass die schrittweise vorangetriebene Totalüberwachung ein Holzweg ist. Nicht nur deshalb, weil dadurch unsere Bürgerrechte immer weiter ausgehöhlt werden. Sondern auch deshalb, weil durch die Registrierung und Überwachung völlig Unverdächtiger in großem Umfang Ressourcen gebunden wurden, die bei der gezielten Bekämpfung – ja, auch Überwachung! – terroristischer Aktivitäten besser investiert gewesen wären. Notwendig ist jetzt eine schonungslose Analyse dessen, was falsch gelaufen ist, wo die Schwachstellen lagen und wie sie zu beheben sind.

Angela Merkel hat in Ihrer eindrucksvollen Ansprache nach den Pariser Anschlägen ausgeführt:
„Lassen Sie uns den Terroristen die Antwort geben, indem wir unsere Werte selbstbewusst leben. Und indem wir diese Werte für ganz Europa bekräftigen. Jetzt mehr denn je.“

Genau darum geht es. Was wir jetzt als letztes brauchen, sind wohlfeilen Akte symbolischer Politik, denn nichts anderes wäre es, wenn jetzt erneut – zum wievielten Male eigentlich? – die allgemeine Überwachungsschraube weiter angezogen würde.

Peter Schaar

Totgesagte leben länger – heute: Das Kryptoverbot

Der britische Premier David Cameron hat kürzlich – nach den Anschlägen von Paris – gefordert, die Verwendung sicherer Verschlüsselungsmethoden zu verbieten. Den Sicherheitsbehörden sei es bisher möglich gewesen, die Kommunikation zu überwachen. Damit kommt – nach der Vorratsdatenspeicherung – ein weiterer alter Bekannter aus der Versenkung auf, dem viele bereits seit Jahren totgesagt hatten. Dies werde durch sichere Verschlüsselungsverfahren unmöglich. Der Guardian zitiert Cameron mit den Sätzen:

“… it has been possible to read someone’s letter, to listen to someone’s call, to mobile communications …The question remains: Are we going to allow a means of communications where it simply is not possible to do that? My answer to that question is: no, we must not. The first duty of any government is to keep our country and our people safe…The next government will have to legislate again in 2016. If I am prime minister, I will make sure that it is a comprehensive piece of legislation that makes sure we do not allow terrorists safe space to communicate with each other. That is the key principle: do we allow safe spaces for them to talk to each other? I say no, we don’t, and we should legislate accordingly.”

 

Für diesen Vorstoß erhielt der britische Premier Unterstützung aus dem Kreis der EU-Innenminister, auch von Thomas de Maizière. Den Befürwortern eines Verschlüsselungsverbots oder anderer Maßnahmen, die eine sichere Kommunikation beeinträchtigen, sei die Beschäftigung mit der „Kryptodebatte“ empfohlen, die in den 1990er Jahren stattgefunden und mit einer – wie wir jetzt wissen vorläufigen – Beerdigung dieser Idee geendet hat. Bei aller Kuzfristigkeit in der Politik sollte es den Verantwortlichen doch noch möglich sein, nicht hinter bereits gewonnene Erkenntnisse zurückzufallen.

Auch damals  ging es um die Frage Frage, inwieweit die Möglichkeiten zur Verschlüsselung gesetzlich beschränkt oder verboten werden sollen, um die Versendung unzulässiger Inhalte über das Internet zu verhindern bzw. den Strafverfolgungsbehörden und Nachrichtendiensten zumindest eine nachträgliche Kontrolle zu ermöglichen.
Die Befürworter der Regulierung argumentierten, dass dem Staat bislang gegebene Kontrollmöglichkeiten bei Verdacht auf kriminellen Missbrauch erhalten werden müssten. Im Vordergrund stand dabei die Befürchtung, dass die gesetzlich vorgesehenen Befugnisse von Strafverfolgungsbehörden zur Überwachung des Telekommunikationsverkehrs leer laufen könnten, wenn sich Kriminelle effektiver Verschlüsselungsverfahren bedienen. Ohne Regulierung, so die Argumentation, seien Strafverfolgungsbehörden (und Geheimdienste) nicht mehr in der Lage, mit modernen Verfahren verschlüsselte Nachrichten zu mitzulesen.

Als mögliche Maßnahmen wurden neben einem generellen Verbot der verschlüsselten Kommunikation Vorgaben zur Verwendung „schwacher“ Verschlüsselung durch Begrenzung der Schlüssellänge und das Gebot zur Hinterlegung von Schlüsseln in einer weltweiten Infrastruktur von sogenannten Key Recovery Centers (KRC) diskutiert.

Die Gegner der Krypto-Regulierung wiesen darauf hin, dass diese Maßnahmen dem mit Verschlüsselung angestrebten Schutzzweck – einer sicheren und beweisbaren Kommunikation im Internet – widersprechen würden. Das Verbot der Verschlüsselung von Nachrichten widerspreche diesem Grundsatz. Derartige Verbote behinderten die Bürger nicht nur bei der Wahrnehmung ihres Menschenrechts auf unbeobachtbare Kommunikation, sondern förderten sogar den Missbrauch der Telekommunikation für illegale Zwecke (etwa durch Abhören der Kommunikationsinhalte) nicht nur durch staatliche Stellen. Ein solches Verbot könne zudem von denjenigen, die über entsprechende technische und finanzielle Mittel verfügen, jederzeit umgangen werden, so dass ein Verbot nur den arglosen Bürger treffe.  Auch eine Beschränkung der Möglichkeiten zur Verschlüsselung zum Beispiel durch Lizensierung der erforderlichen Software hätte diesen Effekt. Sie sei deshalb insbesondere nicht geeignet, die organisierte Kriminalität zu bekämpfen.

Die Krypto-Regulierung würde zudem ins Leere stoßen, weil

  • sie leicht umgangen werden können, insbesondere dann, wenn die notwendigen Fachkenntnisse und finanziellen Mittel zur Verfügung stehen (z. B. in Kreisen des organisierten Verbrechens),
  • sie kaum kontrollierbar sind, weder aus technischer noch aus finanzieller Sicht,
  • sie anderen staatlichen und wirtschaftlichen Interessen an der Sicherung von Daten gegen Risiken der Vertraulichkeit, Integrität (Unversehrtheit) und Zurechenbarkeit (Authentizität) bei der Übertragung und Speicherung zuwiderlaufen,
  • sich bei den dann eventuell realisierten Stichprobenkontrollen die unbefugte Kenntnisnahme übermittelter oder gespeicherter Daten nicht verhindern lässt.

Aus diesen Gründen haben sich Datenschutzkontrollinstitutionen auf deutscher und internationaler Ebene immer wieder für verbesserte Möglichkeiten zur Verschlüsselung von Daten ausgesprochen. die Forderung bekräftigt, dass jeder Teilnehmer elektronischer Telekommunikationsdienste die Möglichkeit haben müsse, seine Nachrichten auf einem von ihm selbst zu frei wählenden Niveau zu verschlüsseln.
Die Debatte um ein Verschlüsselungsverbot wurde in Deutschland (vorläufig) beendet durch die von der Bundesregierung beschlossenen Eckpunkte der Kryptopolitik vom 2. Juni 1999. Darin wurde festgestellt, dass die Bundesregierung nicht beabsichtige, die freie Verfügbarkeit von Verschlüsselungsprodukten in Deutschland einzuschränken. Sie sehe in der Anwendung sicherer Verschlüsselung eine entscheidende Voraussetzung für den Datenschutz der Bürger, für die Entwicklung des elektronischen Geschäftsverkehrs sowie für den Schutz von Unternehmensgeheimnissen. Die Bundesregierung werde deshalb die Verbreitung sicherer Verschlüsselung in Deutschland aktiv unterstützten. Dazu zähle insbesondere die Förderung des Sicherheitsbewusstseins bei den Bürgern, der Wirtschaft und der Verwaltung. Die Bundesregierung strebe an, das Vertrauen der Nutzer in die Sicherheit der Verschlüsselung zu stärken. Sie halte aus Gründen der Sicherheit von Staat, Wirtschaft und Gesellschaft die Fähigkeit deutscher Hersteller zur Entwicklung und Herstellung von sicheren und leistungsfähigen Verschlüsselungsprodukten für unverzichtbar und werde Maßnahmen ergreifen, um die internationale Wettbewerbsfähigkeit dieses Sektors zu stärken.

Die Argumente gegen ein Krypto-Verbot sind heute aktueller denn je. Sowohl die private als auch die geschäftliche Kommunikation ist aktuell stärker als in den 1990er Jahren bedroht. Wer trotz dieser Argumente – die bis ins letzte Jahr hinein die offizielle Linie der Bundesregierung waren – jetzt ein Verschlüsselungsverbot fordert, macht sich künstlich dümmer als er ist. Man nennt dies „Populismus“ – und er beschädigt sowohl den Datenschutz und das Telekommunikationsgeheimnis als auch das Interesse der Wirtschaft an vertraulicher Kommunikation.

Mit freundlichen Grüßen

Peter Schaar

Vorratsdatenspeicherung reloaded

Kaum waren die Schüsse bei den schrecklichen Anschlägen von Paris verhallt, wurde von etlichen Politikern lautstark für die Wiedereinführung der Vorratsdatenspeicherung für Telekommunikationsdaten geworben. Nachdem der Europäische Gerichtshof (EuGH) am 8. April 2014 die Vorratsdatenspeicherungs-Richtlinie (2006/24/EG) annulliert hatte, war es zunächst ziemlich still um dieses Strafverfolgungsinstrument geworden. Der EuGH annullierte die Richtlinie von 2006, weil sie eklatant gegen die EU-Grundrechte-Charta (GrCH) verstieß, und zwar gleichermaßen gegen den in Art. 7 garantierten Schutz der Privatsphäre und den durch Art. 8 verbrieften Schutz personenbezogener Daten. Legitime Zwecke der Strafverfolgung, der Gefahrenabwehr und der Terrorismusbekämpfung rechtfertigen die umfangreichen, mit einer anlasslosen, regional unbegrenzten, langfristigen und umfangreichen Speicherung personenbezogener Daten verbundenen Grundrechtseingriffe nicht. Entscheidend dabei ist, dass von einer solchen Maßnahme ganz überwiegend Unverdächtige betroffen sind.

Vier Jahre zuvor hatte bereits das Bundesverfassungsgericht (BVerfG – Urteil vom 2. März 2010) die deutschen Vorschriften zur Vorratsdatenspeicherung für verfassungswidrig und erklärt. Während das BVerfG den Befürwortern der Vorratsspeicherung die Hoffnung ließ, doch noch zu einer verfassungsmäßigen gesetzlichen Regelung zu kommen, mit der die EU-Richtlinie umgesetzt werden könnte, hat die EuGH-Entscheidung den dafür vorhandenen Spielraum fast auf Null verringert. Insbesondere der Hinweis des EuGH auf die Unverhältnismäßigkeit einer Maßnahme, mit der ganz überwiegend völlig Unverdächtige erfasst werden, widerspricht dem mit der VDS verfolgten Ansatz diametral.

Ein Revival erlebten nach den Mordanschlägen von Paris auch andere von Sicherheitspolitikern immer wieder geforderte Maßnahmen, vor allem die Einführung der Vorratsdatenspeicherung von Fluggastdaten. In diesem Zusammenhang ist der Hinweis des Bundesverfassungsgerichts zu beachten, dass das Verbot einer Totalüberwachung zur „verfassungsrechtlichen Identität der Bundesrepublik Deutschland“ gehört, mit der es nicht zu vereinbaren wäre, wenn neben einer (eingeschränkten) Vorratsdatenspeicherung von Telefondaten auf europäischer Ebene noch weitere Vorgaben zur Vorratsdatenspeicherung eingeführt würden.

Die reflexhaften Forderungen nach neuen Gesetzen und Datensammlungen sind Ausdruck eines Aktionismus, der meint, so Handlungsfähigkeit zu demonstrieren. Das Reaktionsmuster kennen wir bereits seit den Terroranschlägen vom 11. September 2001, die weltweit eine Welle von Überwachungsmaßnahmen auslösten, von denen wir heute wissen, dass sie die Welt nicht sicherer gemacht haben. Dies gilt auch für die Vorratsdatenspeicherung, die ja in Frankreich – auch nach dem EuGH-Urteil – praktiziert wurde. Selbst die dortige 12-monatige Vorratsdatenspeicherung von Telekommunikations- und Internetdaten hat die schrecklichen Mordattentate nicht verhindern können. Zudem waren die Attentäter auf dem Schirm der Sicherheitsbehörden und ihre Namen fanden sich in diversen Dateien und Anti-Terrorlisten. Es bereitete es der französischen Polizei offenbar auch keine Schwierigkeiten, die Identität der Attentäter und ihr soziales Umfeld auszuleuchten – ob die auf Vorrat gesammelten Telekommunikationsdaten hierzu einen wesentlichen Beitrag leisteten, darf angesichts der Geschwindigkeit der Aufklärung zumindest bezweifelt werden.

Wer angesichts dieser Fakten und der durch die EU-Grundrechtecharta und das Grundgesetz gezogenen Grenzen die Wiedereinführung der VDS fordert, muss den Nachweis ihrer Notwendigkeit führen. Davon ist aber weit und breit nichts zu sehen – obwohl doch mittlerweile umfangreiche Erfahrungen in Europa und aus den USA vorliegen. Im Gegenteil: Es mehren sich die Untersuchungen, welche die Nutzlosigkeit der undifferenzierten Datenspeicherung bei Terrorismusbekämpfung belegen, etwa der Anfang 2014 vorgelegte Bericht des US-amerikanischen Civivil Liberties Oversight Boards. Diese amerikanische Datenschutzbehörde kam zum Ergebnis, dass die umfassende, seit 2001 von der NSA betriebene Metadatensammlung weder konkrete Ermittlungen gegen den Terrorismus vorangebracht noch zur Aufklärung bisher unbekannter Anschlagsplanungen beigetragen habe (PCLOB – Report on the Telephone Records Program).

Diejenigen, die Bürgerrechte einschränken wollen, seien daran erinnert, dass sie begründungspflichtig sind und nicht die Grundrechtsverteidiger. Massive Grundrechtseinschränkungen nach dem Motto „es könnte ja doch helfen“ darf es nicht geben – jedenfalls nicht in einer Demokratie.

Mit freundlichen Grüßen

Peter Schaar

« Older Entries