Tag Archives: Verfassungsschutz

Das neue Big Brother-Gesetz (mit Nachtrag v. 18.5.2017)

Nachtrag v. 18. Mai 2017:

Inzwischen liegt der Bericht des Innenausschusses mit dem Beschlussantrag der Regierungsfraktionen CDU/CSU und SPD zum Online-Abruf der Passfotos aus den kommunalen Personalausweisregistern vor (Drs. 18/12417).

Die Regierungsparteien CDU/CSU und SPD wollen den Kreis der Behörden, die im Rahmen ihrer Aufgabenwahrnehmung die biometrische Lichtbilder jederzeit abrufen können, um die Steurfahndungs- und Zollfahndungsämter erweitern. Eine überzeugende Begründung hierfür wird nicht geliefert.

Auch die für die Verfolgung von Ordnungswidrigkeiten zuständigen Behörden sollen die Daten zeitlich unbeschränkt abrufen. Bedeutsam ist auch die Änderung in den Protokollierungsvorschriften: Nur die abrufenden Stellen haben die Abrufe zu protokollieren. Damit ist es etwa den für die Personalausweisregister zuständigen Datenschutzbehörden nicht mehr möglich nachzuvollziehen, welche Behörde in welchem Umfang Lichtbilder abgerufen haben.

Die vorgesehenen Änderungen senken auf ganzer Linie das Datenschutzniveau Beim Umgang mit biometrische Daten weiter ab.

Die Regelungen sollen nun wie folgt lauten:

§ 22a Absatz 2 wird wie folgt geändert:

a) Satz 1 wird wie folgt gefasst: „Im Fall der Übermittlung von Lichtbildern durch Passbehörden nach § 19 Absatz 1 Satz 1 an die Ordnungsbehörden im Rahmen der Verfolgung von Verkehrsordnungs- widrigkeiten kann der Abruf des Lichtbildes im automatisierten Verfahren erfolgen.

b) Nach Satz 4 werden die folgenden Sätze eingefügt: „Die Polizeibehörden des Bundes und der Länder, der Militärische Abschirmdienst, der Bundesnachrichtendienst, die Verfassungsschutzbehörden des Bundes und der Länder, Steuerfahndungsdienststellen der Länder, der Zollfahndungs- dienst und die Hauptzollämter dürfen das Lichtbild zur Erfül- lung ihrer Aufgaben im automatisierten Verfahren abrufen. Die abrufende Behörde trägt die Verantwortung dafür, dass die Voraussetzungen des Absatzes 1 vorliegen.“

c) Nach dem bisherigen Satz 5 wird folgender Satz eingefügt: „Abrufe nach Satz 5 werden nur von der abrufenden Behörde protokolliert.“

 


Originalbeitrag v. 15. Mai 2017:

In dieser Woche, am 18. Mai 2017 wird der Deutsche Bundestag unter Tagesordnungspunkt 23 über ein höchst problematisches Gesetz entscheiden, das am 27. April schon einmal auf der Tagesordnung stand, dann aber überraschend nicht behandelt wurde. In der Vorlage für ein „Gesetz zur Förderung des elektronischen Identitätsnachweises“ (Drucksache 18/11279 ) befindet sich eine datenschutzrechtliche Ungeheuerlichkeit. Offiziell geht es vor allem darum, dass die heute schon im neuen Personalausweis vorhandene (eID-)Funktion bei der Ausstellung eines neuen Personalausweises grundsätzlich freigeschaltet wird und nicht erst dann, wenn der Ausweisinhaber dies wünscht.

Viel gravierender ist jedoch eine Änderung, die im hinteren Teil des Artikelgesetzes versteckt ist:

Artikel 2 (Weitere Änderung des Personalausweisgesetzes zum 1. Mai 2021) sieht eine dramatische Änderung von § 25 des Personalausweisgesetzes vor. Die Vorschrift soll zukünftig so lauten:

„Die Polizeien des Bundes und der Länder, das Bundesamt für Verfassungsschutz, der Militärische Abschirmdienst, der Bundesnachrichtendienst sowie die Verfassungsschutzbehörden der Länder dürfen das Lichtbild zur Erfüllung ihrer Aufgaben im automatisierten Verfahren abrufen.“

Bisher ist der Online-Abruf der biometrische Lichtbilder gem. dem geltenden § 25 Abs. 2 Personalausweisgesetz nur ausnahmsweise zulässig:

„Die Polizei- und Ordnungsbehörden, die Steuerfahndungsstellen der Länder sowie die Behörden der Zollverwaltung dürfen das Lichtbild zum Zweck der Verfolgung von Straftaten und Verkehrsordnungswidrigkeiten im automatisierten Verfahren abrufen, wenn die Personalausweisbehörde auf andere Weise nicht erreichbar ist und ein weiteres Abwarten den Ermittlungszweck gefährden würde. Zuständig für den Abruf sind die Polizeivollzugsbehörden auf Ebene der Landkreise und kreisfreien Städte, die durch Landesrecht bestimmt werden.“

Diese Beschränkung des Online-Abrufs der Lichtbilder war seinerzeit eingeführt worden, um zu verhindern, dass die obligatorisch in Pässe und Personalausweise aufgenommenen biometrische Gesichtsbilder zur Massenüberwachung genutzt werden. Mit der von der Großen Koalition geplanten Gesetzesänderung fällt diese wichtige Restriktion. Nicht nur die Polizei, sondern praktisch alle Sicherheitsbehörden erhalten zukünftig einen unbeschränkten Zugriff auf die digitalisierten Gesichtsbilder. Einzige Bedingung für den Online-Zugriff auf die Lichtbilddateien ist, dass der Abruf „zur Erfüllung ihrer Aufgaben“ erfolgt. Zu diesen Aufgaben gehört nicht nur die Strafverfolgung oder die Abwehr konkreter Gefahren. Polizeibehörden führen Verkehrskontrollen aus und betreiben Videoüberwachungsanlagen. Nachrichtendienste sind sogar weit im Vorfeld des Vorfeldes einer Gefahr tätig und sind nicht unbedingt dafür bekannt, sich bei der Datenerfassung zurückzuhalten.

Es ist damit zu rechnen, dass die umfassenden Abrufmöglichkeiten längerfristig dazu verwendet werden, im Rahmen der „intelligenten Videoüberwachung“ alle Menschen zu identifizieren, die sich in einem Bahnhof, auf einem Flughafen, in einem Einkaufszentrum oder auf einem öffentlichen Platz aufhalten. Nicht umsonst hat die Große Koalition kürzlich die gesetzlichen Befugnisse zur Videoüberwachung so aufgebohrt, dass die Gewährleistung der Sicherheit grundsätzlich schwerer wiegt als die Wahrung der Persönlichkeitsrechte der Betroffenen. Zusammen mit denen neuen automatischen Zugriffsbefugnissen auf die biometrische Daten wird daraus ein Big Brother-Gesetz.

Mit freundlichen Grüßen

Peter Schaar

ABDSG-Entwurf: Gesetz zur Aufweichung des Bundesdatenschutzgesetzes?

Der Blog „Netzpolitik“ hat heute den Entwurf eines vom Bundesinnenministerium (BMI) erarbeiteten „ABDSG“ veröffentlicht. Schon vor Wochen geisterten entsprechende Meldungen durch Blogs wirtschaftsnaher Anwaltskanzleien und Unternehmensberatungen (etwa dem Hogan-Lovells-Blog v. 24. August 2016), denen der Entwurf offenbar schon sehr frühzeitig bekannt war. Es ist gut, dass nun auch die interessierte Öffentlichkeit den Entwurf kennt.

ABDSG steht für „Allgemeines Bundesdatenschutzgesetz“. Es geht um die Anpassung des Datenschutzrechts des Bundes an die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO), die in knapp zwei Jahren in Kraft tritt.

Während der Verhandlungen zur DSGVO hatte das BMI immer wieder für die Möglichkeit geworben, den Mitgliedstaaten weitgehende Regelungsmöglichkeiten zu belassen. Zur Begründung hatten die jeweiligen Bundesinnenminister Friedrich (CSU)  und de Maizière (CDU) angeführt, ihnen ginge es darum, das „hohe deutsche Datenschutzniveau“ zu erhalten.

Nach der Lektüre des Gesetzentwurfs drängt sich allerdings der Eindruck auf, dem Bundesinnenministerium gehe es weder um eine sinnvolle Umsetzung der EU-Vorgaben noch um die Nutzung von Regelungsspielräumen zum Erhalt eines hohen deutschen Datenschutzniveaus, sondern vorrangig um dessen Absenkung.

Drei Haupttendenzen ziehen sich durch den 79-seitigen Referentenentwurf:

Staatliche Stellen erhalten mehr Befugnisse zur Verarbeitung personenbezogener Daten.

An Stelle spezifischer Vorgaben für die Erhebung, Speicherung, Änderung und Nutzung sollen Generalermächtigungen zur Verarbeitung treten. Spezifische Zweckbindungsregeln sollen durch biegsame Verwendungsregeln abgelöst werden, die den Vorgaben des Bundesverfassungsgerichts (und der DSGVO) Hohn sprechen. Insbesondere bei den Nachrichtendiensten sollen die Schwellen zur Erhebung von Daten weiter abgesenkt werden.

Die Betroffenenrechte und die Kontrollbefungnisse der BfDI werden eingeschränkt, wo immer es die EU-Vorgaben zulassen und teils sogar dort, wo es solche Spielräume nicht gibt.

Gerupft werden sollen Auskunfts-, Informations- und Widerspruchsrechte und den Anspruch auf Löschung der Daten. Auch die Kontrollbefugnisse der Bundesdatenschutzbeauftragten sollen eingeschränkt werden, insbesondere gegenüber dem Verfassungsschutz und dem Bundesnachrichtendienst. Sie soll sich bei Angelegenheiten, welche die Nachrichtendienste betreffen, auch nicht mehr an den Bundestag oder an die parlamentarischen Kontrollgremien wenden dürfen.

Für die Datenverarbeitung durch die Wirtschaft erfindet das BMI neue Ausnahmen

Die Zweckbindung soll auch hier aufgeweicht werden. Zugleich sollen Unternehmen von lästigen Auskunfts- und Löschungspfichten entbunden werden, wenn damit ein „unverhältnismäßiger Aufwand“ verbunden wäre.

Sicher, es gibt auch einige Lichtblicke, aber diese muss man mit der Lupe suchen. So soll das bewährte deutsche System der betrieblichen Datenschutzbeauftragten erhalten bleiben. Zudem gesteht das BMI der Bundesdatenschutzbeauftragten einige neue Stellen zu. Das wars dann aber.

Vor diesem Hintergrund ist es zu begrüßen, dass – wie Netzpolitik berichtet – das Bundesjustizministerium aus verfassungsrechtlichen und handwerklichen Gründen die Notbremse gezogen und die offizielle Versendung des ABDSG-Referentenentwurfs gestoppt hat.

Um es auf den Punkt zu bringen: Ein solches Datenschutzabsenkungsgesetz brauchen wir überhaupt nicht!

Peter Schaar

Brauchen wir ein neues Verständnis von Datenschutz zum Bürgerrechtsschutz? Wie der Anti-Terror-Kampf die informationelle Selbstbestimmung zunehmend herausfordert

Jüngst am 11. August 2016 hat der Bundesinnenminister Thomas de Maizière weitere geplante Maßnahmen zur Erhöhung der Sicherheit in Deutschland angekündigt. Diese neuen Maßnahmenvorschläge reihen sich in die Sicherheitspolitik der letzten Jahre ein, wonach neue behördliche Eingriffsbefugnisse politisch nicht nur gefordert, sondern in zunehmenden Maße auch immer schneller umgesetzt werden. Es steht mehr und mehr zu befürchten, dass die Gesellschaft in eine Situation gerät, wohingegen die Sicherheitsrenaissance nach dem 11. September 2001 vergleichsweise und zunehmend harmlos wirkt. Angetrieben durch die in immer kürzeren Intervallen wiederkehrenden (terroristischen) Anschläge in der Öffentlichkeit wächst scheinbar auch das Bedürfnis nach neuen Lösungen, die ein Mehr an Sicherheit im öffentlichen Raum versprechen. Die Beweggründe von Taten rücken in den Hintergrund, denn aufbereitet durch die medialen Schreckensszenarien scheint die Bedrohung durch den internationalen Terrorismus allgegenwärtig zu sein. Als Ursache wird vor allem die Radikalisierung durch das Internet ausgemacht. Hieraus folgt die entsprechende Feststellung des Innenministers, dass das Internet ein Schutzraum für Cyberkriminelle sei. Dies sei eine fatale Entwicklung, der entgegengewirkt werden müsse. Verschiedene Maßnahmen werden deshalb vorgeschlagen, um dieser „Bedrohung aus dem Cyberraum“ Herr zu werden.

So wird beispielsweise zu Beginn des Jahres 2017 die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“ (ZITiS) eingerichtet. Diese soll als Forschungsstelle die Sicherheitsbehörden unterstützen und neue Methoden, Produkte und Strategien zur Bekämpfung von Kriminalität und Terrorismus im Internet erarbeiten und bereitstellen. In der finalen Ausbaustufe sollen bei ZITiS 400 Stellen eingerichtet werden, sodass davon auszugehen ist, dass die Forschungsstelle einen erheblichen Einfluss auf zukünftige sicherheitsbehördliche Überwachungsmaßnahmen im digitalen Raum haben wird. Neben der erstmalig in diesem geplanten Umfang stattfindenden bundeseigenen Forschung zur Entwicklung neuer staatlicher Überwachungstechnologien soll darüber hinaus auch die operative Arbeit der Sicherheitsbehörden einen weiteren Ausbau erfahren: So wird eine Gruppe spezialisierter verdeckter Ermittler (so genannte „Cyber-Ermittler“) aufgestellt, um speziell im Darknet rechtswidrige Geschäfte zu unterbinden und die Kommunikation zwischen Terroristen aufzuklären. Einen weiteren Schwerpunkt im neuen Sicherheitspaket bildet der Ausbau der Videoüberwachung, speziell der „intelligenten Videotechnik“, worunter wohl auch Maßnahmen der automatisierten Videoüberwachung fallen können. Daneben sollen die Befugnisse und technischen Fähigkeiten in den Bereichen der automatisierten Kennzeichenlesesysteme, der biometrischen Erkennung sowie der Datenvernetzung, -vereinheitlichung und -harmonisierung polizeilicher Informationsdienste vorangetrieben werden. Insbesondere für letztere ist ein umfassender Ausbau sowohl auf nationaler wie auf europäischer Ebene geplant, um personenbezogene Daten übergreifend zu analysieren und auszuwerten. Dies gilt sowohl für die kürzlich verabschiedete europäische Richtlinie über die Verwendung von Fluggastdaten (PNR) als auch für das geplante zentralisierte Europäische Ein- und Ausreiseregister. Die EU-weite Vernetzung von bestehenden Datenbanken wie dem SIS, VIS und Eurodac soll unter dem Stichwort der „Interoperabilität“ ebenso vorangetrieben werden. Ein verbesserter Informationsaustausch der Sicherheitsbehörden wird nicht nur durch die Vernetzung, sondern auch durch die Zentralisierung von Kompetenzen und Informationen vorangetrieben – man denke hier nur an die Verfassungsschutzreform aus dem vergangenen Jahr, die eine deutliche Stärkung der Zentralstellenfunktion des Bundesamtes für Verfassungsschutz (BfV) zur Folge hatte. Auf europäischer Ebene ist als Bestandteil der aktuellen Zentralisierungsstrategie zuvorderst das bei Europol angesiedelte Europäische Zentrum zur Terrorismusbekämpfung (ECTC) zu nennen, daneben spielen auch die europäische Counter Terrorism Group und das Radicalization Awareness Network eine Rolle, in dessen Rahmen ebenfalls Zentralisierungsbestrebungen stattfinden, um den Informationsaustausch und die Koordination von Maßnahmen in Europa zu vereinfachen. Neben die aktuell geplanten Überwachungs- und Vernetzungsinstrumente treten solche hinzu, die schon in den vergangenen Jahren geschaffen wurden und sich im Sicherheitsbetrieb mittlerweile mehr oder weniger etabliert haben, teils aber auch noch recht neu und erheblicher öffentlicher Kritik ausgesetzt sind: die präventive polizeiliche Rasterfahndung, die Einrichtung behördlicher Verbunddateien wie der Antiterror- und der Rechtsextremismusdatei, Maßnahmen zur Überwachung der digitalen Kommunikation und des Internetdatenverkehrs, die Ermittlung von Standortdaten für Mobilfunkendgeräte, die Funkzellenabfrage, die Infiltrierung von Heimcomputern als Online-Durchsuchung mittels des neuen Staatstrojaners, der Einsatz von Body-Cams bei der Vollzugspolizei, die Durchführung von technisch gestützten Wohnraumüberwachungen und die wieder eingeführte Vorratsdatenspeicherung von Verkehrsdaten für Telefon- und Internetzugangsdienste.

Der Deutsche Anwaltverein (DAV) kritisierte in einer Stellungnahme das neue Sicherheitspaket des Bundesinnenministers als hektischen Aktionismus. So offenbare der stetige und in immer kürzeren zeitlichen Abständen stattfindende Ausbau der Überwachungsmaßnahmen letztlich nur die Hilflosigkeit der Politik gegenüber der aktuellen Sicherheitslage. Allein durch immer neue und schärfere Gesetze könne die Situation nicht geändert werden, vielmehr bedürfe es eines sorgsamen, ruhigen und überlegten Vorgehens, verbunden mit einer Analyse der jeweiligen Gefahrenlagen. Dass dem aber nicht so ist, ist schon seit Längerem bekannt und es steht zu befürchten, dass in den kommenden Jahren der Konflikt zwischen dem Schutz der informationellen Persönlichkeitssphäre und den staatlichen Sicherheitsinteressen in Zukunft immer stärker in den Fokus rücken wird. Rechtspolitisch scheint es schon jetzt vertretbar, den Datenschutz in einem allgemeinen Klima der öffentlichen Unsicherheit gegenüber dem Interesse an einem funktionierenden Gemeinwesen signifikant zurückzustufen. Die informationelle Selbstbestimmung als Grund- und Bürgerrecht wird auf diese Weise argumentativ auf die Wahrnehmung eines vornehmlich egoistischen Interesses reduziert. Deutlich wird dies an der ebenfalls von de Maizière getroffenen Aussage in Bezug auf die Videoüberwachung der nicht-öffentlichen Stellen, die durch die Datenschutzaufsichtsbehörden reguliert wird: „Bei solchen Überprüfungsentscheidungen der Datenschützer [im Hinblick auf die Rechtmäßigkeit der Videoüberwachung durch Private, beispielsweise in Kaufhäusern] müssen aus meiner Sicht Sicherheitsbelange stärker aufgenommen und gewichtiger in die durchzuführende Abwägungsentscheidung eingehen. Bei einer kürzlich erfolgten Bombendrohung in einem Einkaufszentrum in Dortmund hätten dann auch Videoaufzeichnungen zur Aufklärung der Sachlage beitragen können, wenn diese von den Datenschützern nicht untersagt worden wären.“ Eine derart unmittelbar gegen den Datenschutz gerichtete öffentliche politische Äußerung wäre vor einigen Jahren noch undenkbar gewesen.

Wie geht es also weiter mit dem Verhältnis von Freiheit und Sicherheit? Wie können die Bürgerrechte auch in Zukunft noch geschützt werden, wenn wir uns in einer politischen Situation befinden, die der informationellen Freiheit immer weniger Raum belässt? In jedem Falle ist und wird es auf dem politischen Parkett immer schwieriger vertretbar sein, jedwede Form der staatlichen Überwachung abzulehnen, wenn selbst das Bundesverfassungsgericht die Vorratsdatenspeicherung für grundsätzlich zulässig hält. In jüngster Vergangenheit waren entsprechende Versuche der Bürgerrechtler (leider) immer häufiger zum Scheitern verurteilt. Die Moral, weiter am Ball zu bleiben, weitere Aktionen zu planen und durchzuführen, steht auf dem Spiel. Gerade in dieser Zeit wäre es aber fatal, den Glauben an das eigene Ziel zu verlieren. Beispiele wie die „Überwachungsgesamtrechnung“ zeigen ja gerade, dass die Sicherheit die Freiheit zunehmend verdrängt. Ein weiteres Problem liegt in der hohen Innovationsgeschwindigkeit stets neuer Überwachungsmethoden begründet, die dazu führen, dass „alte“ und bereits bestehende Technologien und Praktiken in der Öffentlichkeit zunehmend in Vergessenheit geraten, gleichwohl aber fortbestehen.

Vielleicht ist gerade jetzt aber auch der richtige Zeitpunkt, um ein Umdenken im Datenschutz anzustoßen, damit dieser auch in Zukunft noch angemessen die bürgerlichen Freiheiten schützen kann. Die aktuelle Situation sollte deshalb nicht als Krise, sondern vielmehr auch als Chance zur Innovation begriffen werden. Die EU-Datenschutzgrundverordnung (DS-GVO) führt mit ihren neuen Regelungen vor Augen, dass Datenschutz vornehmlich auch Kontrolle gegenüber den verantwortlichen Datenverarbeitern bedeutet – und eine solche Kontrolle ist gerade auch für die Sicherheitsbehörden verstärkt notwendig. Denn wo einerseits die Bürgerrechtler zunehmend auf verlorenem Posten stehen – nämlich in der vollständigen Verhinderung neuer Überwachungsmaßnahmen – bietet sich andererseits die Möglichkeit, nicht nur durch aktives Mitwirken im Gesetzgebungsverfahren, sondern auch nach der Schaffung weiterer behördlicher Befugnisse dafür zu sorgen, dass wenn schon zwingend neue Überwachungstechnologien eingeführt werden, deren Anwendung kontrolliert, reglementiert und hinreichend transparent erfolgt. Dass gerade hierfür ein erheblicher Bedarf besteht, wurde im Rahmen der Tätigkeit des NSA-Untersuchungsausschusses in den letzten Jahren mehr als deutlich: Eine Situation, in der einem legitimen parlamentarischen Kontrollorgan, dem von Seiten der Bundesregierung nur so wenig Vertrauen entgegengebracht wird, dass den Mitgliedern vornehmlich geschwärzte Dokumente und Zeitungsartikel als Grundlage ihrer Kontroll- und Aufklärungsarbeit zur Verfügung gestellt werden, kann nicht hinzunehmen sein. Der geringe Stellenwert, der dem Ausschuss vonseiten der Exekutive scheinbar eingeräumt wird, zeigt sich aber auch an Äußerungen wie denjenigen des Präsidenten des Bundesamtes für Verfassungsschutz (BVerfSch), Hans-Georg Maaßen, der noch im Juni dieses Jahres bei einer Anhörung feststellte, dass der Bundestagsausschuss die Arbeit seiner Behörde „behindere“. Was es in diesen Zeiten somit braucht, ist ein Daten- und Bürgerrechtsschutz, der vornehmlich auf der Kontrolle und damit auch der Transparenz der Überwachungsorgane basiert. Wo einerseits ständig neue eingriffsintensive Maßnahmen geschaffen werden, muss deren Nutzung andererseits auch mit der notwendigen Schärfe beschränkt und überwacht werden. Der althergebrachte staatsrechtliche Topos „Grundrechtsschutz durch Verfahren“ sollte zum Schutze der informationellen Selbstbestimmung wieder deutlich stärker belebt werden, als es zurzeit noch der Fall ist.

Soziale Netzwerke sind keine Hilfsorgane der Sicherheitsbehörden

Innenpolitiker verschiedener Parteien, Vertreter des Bundesinnenministeriums und der Chef des Bundesamts für Verfassungsschutz fordern dieser Tage einen verbesserten Zugriff auf Daten aus sozialen Netzwerken. Sie berufen sich dabei auf den Amoklauf in München und auf terroristisch motivierte Straftaten in den letzten Wochen.

Facebook – so der Vorwurf – arbeite nur zögerlich mit den deutschen Sicherheitsbehörden zusammen. Deshalb seien Gesetzesänderungen notwendig, um etwa das Unternehmen zur Herausgabe von Nutzerdaten zwingen zu können. Unklar bleibt dabei, worauf sich diese Forderung im einzelnen bezieht: Auf die Herausgabe der Bestands- und Nutzungsdaten des Netzwerks oder auf die dort verbreiteten Informationen? Oder geht es um die vertrauliche Kommunikation mittels Messenger-Diensten wie Skype oder WhatsApp und die dabei ausgetauschten Inhalte?

Manchmal erleichtert ja ein Blick in die Gesetze die Rechtsfindung. Denn selbstverständlich sind die Betreiber sozialer Netzwerke an Recht und Gesetz gebunden und sie dürfen bzw. müssen Daten an Ermittlungsbehörden herausgeben, wenn die rechtlichen Voraussetzungen dafür gegeben sind. Bei sozialen Netzwerken handelt es sich um so genannte „Telemedien“ oder „Teledienste“ – für sie ist das Telemediengesetz (TMG) einschlägig, das Regeln für die Datenherausgabe an Behörden enthält. Zudem brauchen die Behörden eine gesetzliche Befugnis, die den Rahmen für deren Auskunftsverlangen absteckt, denn jede Übermittlung dieser Daten ist ein Eingriff in das Grundrecht auf informationelle Selbstbestimmungsrecht. Das Bundesverfassungsgericht spricht in diesem Zusammenhang von einem „Doppeltürmodell“, denn es verlangt sowohl eine gesetzliche Erlaubnis zur Datenherausgabe durch die Unternehmen als auch eine entsprechende Befugnis zur behördlichen Datenabfrage.

In § 14 Abs. 2 und § 15 Abs. 5 TMG ist festgelegt, dass Diensteanbieter wie Facebook den Polizeibehörden und den Nachrichtendiensten im Einzelfall Auskunft über bestimmte Daten des Nutzers erteilen dürfen, soweit dies für die Erfüllung der Zwecke der Strafverfolgung, zur Gefahrenabwehr und zur Terrorismusabwehr erforderlich ist und eine entsprechende Anordnung vorliegt. Die Anordnungsbefugnis ist in den für die jeweiligen Behörden geltenden Gesetzen festgelegt, insbesondere in der Strafprozessordnung, den Polizeigesetzen des Bundes und der Länder und im Bundesverfassungsschutzgesetz.

Die Strafprozessordnung und die Polizeigesetze von Bund und Ländern enthalten bereits umfangreiche Befugnisse zur Erhebung personenbezogener Daten, soweit es um die Aufklärung und Verhütung von Straftaten geht. Eine Regelungslücke kann ich hier nicht erkennen.

Auch der Verfassungsschutz darf gem. § 8a Bundesverfassungsschutzgesetz im Einzelfall Merkmale zur Identifikation des Nutzers eines Teledienstes, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Teledienste verlangen. Die Auskünfte dürfen aber nur verlangt werden, soweit dies im Einzelfall für die Aufgabenwahrnehmung erforderlich ist. Sie dürfen sich nur gegen Personen richten, bei denen tatsächliche Anhaltspunktre vorliegen, dass von ihnen schwerwiegende Gefahren ausgehen. Auch hier sehe ich keinen Bedarf für das weitere Aufbohren der Überwachungsbefugnisse.

Soweit die Behörden die direkte, vertrauliche Kommunikation zwischen Nutzern sozialer Netzwerke bzw. Messenger-Diensten überwachen wollen, müssen sie sich an die Regeln zur Telekommunikationsüberwachung halten. Diese Kommunikationsvorgänge sind durch das Fernmeldegeheimnis (Art. 10 GG) geschützt. Deshalb sind die rechtlichen Hürden hier höher als bei den sozialen Medien. Gleichwohl ist der Zugriff auf Verkehrsdaten der Telekommunikation und sogar die Überwachung der übertragenen Inhalte zur Bekämpfung schwerer Straftaten oder zur Abwehr schwerwiegender Gefährdungen – etwa bei einem angekündigten Amoklauf – zulässig. Die Behörden müssen auch hier ein rechtsstaatliches Verfahren einhalten, was im konkreten Fall bedeuten kann, dass sie eine richterliche Überwachungsanordnung benötigen. Ein solches rechtsstaatliches Verfahren mag lästig sein, ist aber unverzichtbar, wenn man die Grundrechte ernst nimmt.

Die Forderung nach einer darüber hinausgehenden allgemeinen ‚Kooperationspflicht‘ der Internetunternehmen mit Geheimdiensten oder Polizeibehörden würde dazu führen, dass die sozialen Netzwerke zu einer Art Hilfsorgan der Sicherheitsbehörden würden. Keineswegs hinzunehmen wäre etwa die Weitergabe persönlicher Daten bloß auf „Zuruf“ oder die Auswertung und Weitergabe von Massendaten. Die Enthüllungen Edward Snowdens haben gezeigt, welche Konsequenzen ein solcher Kuschelkurs haben kann.

Dagegen halte ich die Forderung für sinnvoll, dass Facebook und andere international agierende soziale Netzwerke Ansprechpartner für Auskunftsersuchen der Sicherheitsbehörden zu bestellen haben. Allerdings wird damit nicht das Problem gelöst, dass beim Zugriff auf Daten, die ein soziales Netzwerk auf Servern außerhalb Deutschlands speichert, auch die gesetzlichen Vorgaben des jeweiligen Staates zu beachten sind. Eine ähnliche Frage – allerdings mit umgekehrten Vorzeichen – wird ja derzeit in den USA diskutiert. Dort fordern Sicherheitsbehörden von Microsoft die Herausgabe von Daten, die auf Servern außerhalb der USA gespeichert werden. Der Ausgang dieses Verfahrens ist bis heute offen. Auch und gerade für den Zugriff auf Daten bei transnationalen Internetangeboten müssen die Grundsätze der Rechtsstaatlichkeit und Verhältnismäßigkeit gelten.

Wer dies aus tagespolitischen Motiven ignoriert, könnte sich schon bald die Augen reiben. Mit welcher Begründung sollte ein Internetdienst etwa die Forderung einer türkischen Behörde nach der Herausgabe der Daten von Kritikern des türkischen Staatspräsidenten ablehnen, wenn andererseits eine sehr weitgehende Kooperation der Unternehmen mit den deutschen Behörden eingefordert wird? Und was sagen wir dem chinesischen Dissidenten, den ein Internetdienst den dortigen Behörden ausliefert?

Wir brauchen internationale Standards, die rechtsstaatlichen Grundsätzen entsprechen – bei der Strafverfolgung und auch beim Datenschutz im Internet. Was wir dagegen nicht brauchen, ist eine „lex München“ oder eine „lex Würzburg“, so schlimm die dortigen Amokläufe auch waren.

Mit freundlichen Grüßen

Peter Schaar

Nachtrag (16. August 2016)

In einer Stellungnahme betont eco, Verband der Internetwirtschaft e.V., er sehe keine Notwendigkeit, Telemediendienstanbieter, insbesondere Social Media Plattformen, dazu zu verpflichten, Nutzerdaten im Rahmen von Terror-Abwehr- oder –Ermittlungsmaßnahmen schneller an Behörden zu übergeben. Eine solche neue Herausgaberegelung sei „überflüssig und darüber hinaus aus datenschutzrechtlicher Perspektive problematisch“, betonte eco Vorstand Politik & Recht Oliver Süme.

Der Entwurf des Verfassungsschutz-Gesetzes: Licht und Schatten bei der Neuausrichtung der Datenverarbeitung des BfV

Was gemeinhin unter dem Entwurf des Verfassungsschutz-Gesetzes zusammengefasst wird, umfasst konkret betrachtet weit mehr als nur das: Der am vergangenen Mittwoch in Berlin beschlossene Gesetzentwurf der Bundesregierung zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes soll als Artikelgesetz nicht nur das Bundesverfassungsschutzgesetz (BVerfSchG) novellieren, sondern umfassend die informationelle Sicherheitsarchitektur in Deutschland umgestalten: So sind Änderungen im MAD-Gesetz, im BND-Gesetz, im Sicherheitsüberprüfungsgesetz, im VIS-Zugangsgesetz, im Artikel 10-Gesetz, im Bundesbeamtengesetz, im Bundesbesoldungsgesetz, in der Strafprozessordnung, in der Verordnung über den Betrieb des Zentralen Staatsanwaltschaftlichen Verfahrensregisters und im Bundeszentralregistergesetz vorgesehen. Obgleich zahlreiche dieser Änderungen aus datenschutzrechtlicher Perspektive heraus miteinander verknüpft sind, wird im Folgenden aus Gründen des Umfangs nur auf die wesentlichen Änderungen im Bereich des Bundesverfassungsschutzgesetzes eingegangen.
Generell verfolgt das gesetzgeberische Vorhaben die Zielsetzung, den Zuständigkeitsbereich des Bundesamtes für Verfassungsschutz (BfV) auszuweiten. Hierzu erfolgt die explizite Benennung des BfV als Zentralstelle im nachrichtendienstlichen Bereich ähnlich dem Bundeskriminalamt (BKA) als zentraler Stelle für das polizeiliche Auskunfts- und Nachrichtenwesen. Der Gesetzentwurf sieht vor, die Bedeutung des BfV innerhalb der nationalen Sicherheitsarchitektur zu erhöhen und ihm eine Koordinierungsfunktion einzuräumen, die zu einem höheren Maß an Vereinheitlichung, zur Verbesserung der Zusammenarbeitsfähigkeit zwischen den Landesämtern für Verfassungsschutz (LfV) und dem BfV und zu einer optimierten Regelung der Arbeitsteilung zwischen den einzelnen Sicherheitsbehörden führt.

Zur Erreichung dieses Ziels sind verschiedene Regelungen geplant, welche die Vernetzung der Verfassungsschutzbehörden untereinander fördern. Den Kern bildet dabei der Betrieb des nachrichtendienstlichen Informationssystems (NADIS) durch das BfV. Hierzu wird bestimmt, dass sich die LfV und das BfV unverzüglich die für ihre Aufgaben relevanten Informationen übermitteln. Zwar gibt es auch im geltenden BVerfSchG bereits einen Informationsaustausch zwischen Bund und Ländern in diesem Bereich, dieser wird aber durch die Neuregelungen konkretisiert und in der Form eines synallagmatischen Verhältnisses erweitert. Im Rahmen des Datenbankbetriebs werden zudem die Möglichkeiten der Datenspeicherung ausgedehnt, so brauchen beispielsweise die Dateien grundsätzlich nicht nur die Daten zu enthalten, die zum Auffinden von Akten und der dazu notwendigen Identifizierung von Personen erforderlich sind, sondern können inhaltlich auch darüber hinausgehen, ohne dass es einer gesonderten Rechtfertigung bedarf. Hier bedarf es einer weitergehenden gesetzlichen Konkretisierung, welche Datentypen innerhalb des NADIS gespeichert werden können, um einer Nutzung der Datenbank zu operativen Zwecken vorzubeugen. Ebenso besteht weiterer Konkretisierungsbedarf für den Kreis der auf das System zugriffsberechtigten Personen: Einerseits bestimmt der Gesetzentwurf zwar, dass eine Abfrage von Daten nur zulässig ist, soweit dies zur Erfüllung der Aufgaben, mit denen der Abfragende unmittelbar betraut ist, erforderlich ist. Andererseits jedoch wird die Zugriffsberechtigung auf Daten, die nicht zum Auffinden von Akten und der dazu notwendigen Identifizierung von Personen erforderlich sind, ausgedehnt. Für den entsprechenden Datenabruf wird nicht mehr wie bisher verlangt, dass dieser nur durch Personen stattfinden darf, die „unmittelbar mit Arbeiten in diesem Anwendungsgebiet“ betraut sind, sondern wird vielmehr solchen Ermittlungspersonen ermöglicht, die „mit der Erfassung von Daten oder Analysen betraut sind“. Das Unmittelbarkeitskriterium fällt in diesem Bereich folglich weg.

Für die Verarbeitung von personenbezogenen Daten in Akten sieht der Entwurf des Verfassungsschutz-Gesetzes ebenfalls eine Ausdehnung des Verwendungsumfangs vor, indem Akten oder Auszüge aus Akten ausdrücklich auch in elektronischer Form geführt werden dürfen und ein automatisierter Abgleich grundsätzlich möglich ist. Zugleich werden aber auch Beschränkungen und flankierende Verfahrensregelungen im Umgang mit den Daten getroffen: So wird beispielsweise eine explizite Vernichtungsverpflichtung normiert, wenn eine Akte insgesamt zur Erfüllung der Aufgaben des BfV nicht oder nicht mehr erforderlich ist. Darüber hinaus unterliegt der automatisierte Abgleich personenbezogener Daten aus Akten einer strengen Datenschutzkontrolle für jede Einzelabfrage.
Eine der Neuerungen im BVerfSchG, die sicherlich in Zukunft kontrovers diskutiert werden dürfte, ist die Möglichkeit des BfV, bei einer „Dringlichkeit der Aufgabenerfüllung“ vom gesetzlich vorgegebenen Verfahren der Festlegung von Dateianordnungen für automatisierte Dateien abzusehen und eine Sofortanordnung zu treffen. Die Besonderheit der Dateianordnung liegt darin, dass sie nicht nur der Zustimmung des Bundesministeriums des Innern (BMI) bedarf, sondern darüber hinaus auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) vor ihrem Erlass anzuhören ist. Durch die Sofortanordnung wird die Mitwirkung von BMI und BfDI auf eine unverzügliche Nachkontrolle im Anschluss an die Maßnahmendurchführung beschränkt. Damit von der gesetzlich eingeräumten Möglichkeit der Sofortanordnung kein übermäßiger Gebrauch gemacht wird, sollte diese Option des BfV klar auf konkret festgelegte Ausnahmefälle beschränkt werden. Insbesondere bedarf es einer gesetzlichen Konkretisierung des Dringlichkeitsbegriffes.
Die Stellung des BfV als vernetzte Zentralstelle nachrichtendienstlicher Datenverarbeitung wird ebenfalls deutlich im Hinblick auf die Ausdehnung der Übermittlungsverpflichtungen der übrigen Sicherheitsbehörden. So besteht für die Staatsanwaltschaften, die Polizeien und den Zollfahndungsdienst nach dem Gesetzentwurf nunmehr die Verpflichtung, alle ihnen bekanntgewordenen, auch personenbezogenen Informationen an das BfV oder die LfV zu übermitteln, wenn tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung zur Aufgabenerfüllung erforderlich ist. Ein behördliches Ermessen wie bisher soll folglich nicht mehr bestehen. Ebenso erhält der BND qua Gesetz die explizite Möglichkeit eingeräumt, personenbezogene Informationen an den Verfassungsschutz zu übermitteln.

Dieser und weiterer der vorgenannten Befugniserweiterungen des BfV stehen jedoch zugleich auch Aspekte der Transparenz und des Datenschutzes gegenüber, welche sich in den geltenden Vorschriften nicht finden. So soll die Tätigkeit des BfV in Zukunft mehr Bürgernähe gewinnen, was zu begrüßen ist. Dementsprechend hat das BfV nicht wie zurzeit noch eine Berichtspflicht ausschließlich gegenüber dem BMI, sondern unmittelbar gegenüber der Öffentlichkeit selbst, die sensibilisiert werden und für welche der Verfassungsschutz transparenter ausgestaltet werden soll. Im Gesetzentwurf unter anderem berücksichtigt wurden auch die Vorgaben, die das Bundesverfassungsgericht (BVerfG) unter dem Gesichtspunkt des Trennungsgebotes zwischen nachrichtendienstlicher Informationsbeschaffung und polizeilichem, operativen Tätigwerden im Rahmen seines Urteils zum Antiterrordateigesetz (ATDG) (1 BvR – 1215/07) im Jahre 2013 getroffen hat. So werden nunmehr teils verhältnismäßig detaillierte, einschränkende tatbestandliche Angaben getroffen, unter welchen Umständen und an wen das BfV personenbezogene Daten übermitteln darf, die mit Mitteln der heimlichen Informationsbeschaffung erlangt wurden. Gleichwohl belässt der Gesetzentwurf dem BfV auch hier eine „Hintertür“ in der Form einer zusätzlichen allgemeinen Auffangklausel zur Informationsübermittlung, wobei diese hier unter anderem auf „erhebliche“ Zwecke der öffentlichen Sicherheit beschränkt wird. Ob durch dieses Erheblichkeitskriterium allein aber die Weite der Auffangklausel in verfassungsrechtlich ausreichender Weise beschnitten wird, bleibt abzuwarten.
Generell sind für den Gesetzentwurf seine erhöhten Datensicherheitsanforderungen positiv hervorzuheben, die insbesondere die Nutzung des NADIS betreffen: Hier werden Protokollierungspflichten gesetzlich festgeschrieben, die bisher selbst bei den Bundesbehörden nicht immer selbstverständlich gewesen sind, man denke in der Vergangenheit nur an den Einsatz des Staatstrojaners. So hat das BfV für Zwecke der Datenschutzkontrolle bei jedem Zugriff den Zeitpunkt, die Angaben, welche die Feststellung der abgefragten Datensätze ermöglichen und die abfragende Stelle zu protokollieren. Dabei ist die Auswertung der Protokolldaten nach dem Stand der Technik zu gewährleisten.
Klargestellt wird im Entwurf des Verfassungsschutz-Gesetzes nunmehr ferner, dass das BfV, soweit es eine heimliche Informationsbeschaffung betreibt, in Individualrechte grundsätzlich nur nach Maßgabe besonderer Befugnisse eingreifen darf. Die Anwendung geheimer Ermittlungsinstrumente darf dabei zu keinem Nachteil führen, der erkennbar außer Verhältnis zur Bedeutung des aufzuklärenden Sachverhalts besteht. Durch diese eigentlich selbstverständliche Feststellung, die in Zukunft aber gesetzlich festgeschrieben werden soll, wird verdeutlicht, dass die Bedeutung des Schutzes der menschlichen Persönlichkeit auch im Zuge staatlicher Ermittlungen keine Werteinbußen erleiden darf. Im Gegenteil, gerade im Falle eines verdeckten nachrichtendienstlichen Tätigwerdens sind die Individualrechte in ihrer Qualität besonders zu berücksichtigen, da der Betroffene sich gegen ein solches Handeln mangels seiner Kenntnis im Regelfall nicht effektiv zur Wehr setzen kann.

Zusammenfassend betrachtet weist der aktuelle Entwurf des Verfassungsschutz-Gesetzes zahlreiche Regelungsintentionen auf, die geeignet sind, die informationellen Grundrechte in einem stärkeren Maße zu beschneiden, als dies bisher der Fall war. Gleichwohl sind die geplanten Vorschriften nicht ausschließlich unter kritischen Gesichtspunkten zu würdigen. Der NSU-Skandal hat gezeigt, dass das BfV in seiner derzeitigen institutionellen Ausgestaltung nicht in der Lage ist, angemessen auf aktuelle Bedrohungslagen zu reagieren. Gesetzliche Änderungen zur Verbesserung der Arbeit der Behörde sind somit zwingend notwendig, insbesondere auch deshalb, um die Verhältnismäßigkeit des Verfassungsschutzes überhaupt zu wahren: Eine staatliche Einrichtung, die teils intensive Eingriffe in Grundrechte durchführt, muss hinreichend effektiv arbeiten, um die Beschneidung verfassungsrechtlicher Freiheiten legitimieren zu können. Die Geeignetheit staatlichen Eingriffshandelns ist stets auch ein Bestandteil von dessen Verhältnismäßigkeitsbeurteilung. Dies berücksichtigt auch der am vergangenen Mittwoch vorgestellte Gesetzentwurf. Mit sicherheitsbehördlichen Befugniserweiterungen muss dennoch stets sparsam umgegangen werden, diese finden ihre Grenze in der zwingenden Erforderlichkeit des exekutiven Handelns. Hier geht der Gesetzentwurf streckenweise zu weit bzw. ist in seiner tatbestandlichen Ausgestaltung teils noch zu wenig konkret. Da das Gesetzgebungsverfahren aber noch nicht abgeschlossen ist, bleibt zu hoffen, dass diese Erwägungen in Zukunft Berücksichtigung finden.

Dennis-Kenji Kipker, 01.04.2015