Niederländische Kontrollkommission sieht Defizite in der europäischen Geheimdienstkooperation

Die Inlandsgeheimdienste der Schengen-Staaten tauschen Echtzeit-Daten über islamistischen Terrorismus und führen hierzu eine personenbezogene Datenbank. Eine niederländische Überprüfung der Zusammenarbeit fördert einige Mängel zutage. Die Datenschutzbeauftragten der beteiligten Mitgliedstaaten sollen sich deshalb zur Kontrolle zusammenschließen.

Das Bundesamt für Verfassungsschutz betriebt mit anderen ausländischen Diensten eine gemeinsame Datenbank. Aber wer ist dafür verantwortlich? CC-BY-SA 2.0 Links Unten Göttingen

Seit fast zwei Jahren kooperiert das Bundesamt für Verfassungsschutz (BfV) mit 29 europäischen Geheimdiensten in einer „operativen Plattform“ in Den Haag. Die Anlage gehört zur 2001 gegründeten „Counter Terrorism Group“ des sogenannten „Berner Club“, dem informellen Zusammenschluss von Inlandsgeheimdiensten der EU-Mitgliedstaaten sowie Norwegens und der Schweiz. Die beteiligten Dienste betreiben ein Echtzeit-Informationssystem und eine gemeinsame Datei. Der Schwerpunkt liegt auf islamistischen Terrorismus. Die Behörden kooperieren aber nicht nur virtuell, sondern entsenden VerbindungsbeamtInnen nach Den Haag.

Weder die CTG noch der „Berner Club“ gehören zur Europäischen Union, die kein Mandat für die Koordination der Geheimdienste hat. Alle Angaben zur Arbeit des „Berner Clubs“ bleiben geheim. Soweit bekannt traf der „Berner Club“ bis zur Gründung der „operativen Plattform“ nur strategische Verabredungen. In mehreren parlamentarischen Anfragen hatten sich Abgeordnete nach Einzelheiten erkundigt, darunter Arbeitsgruppen, Personal und Kosten der „operativen Plattform“. In keinem Fall hat die Bundesregierung wesentliche Informationen mitgeteilt oder wenigstens als Verschlusssache in der Geheimschutzstelle hinterlegt. Auch der konkrete Ort, die Beschaffenheit der CTG-Datenbank, dort geführte Datenfelder oder eingesetzte Such- und Analysewerkzeuge bleiben geheim. Als Grund gilt die „Third Party Rule“, eine gängige Absprache unter Geheimdiensten, wonach die Beteiligten Stillschweigen über Details vereinbaren.

Datenbank auf Server in den Niederlanden

Die „operative Plattform“ ist beim niederländischen Inlandsgeheimdienst AIVD angesiedelt. Ihm obliegt auch eine federführende Rolle bei der Errichtung und Führung der Datenbank, die offiziell erst im Januar 2017 in Betrieb genommen wurde und auf einem Server in den Niederlanden liegt. Weil dort sensible Personendaten gespeichert werden, greift das niederländische Datenschutzrecht. Mittlerweile hat die niederländische Kommission für die Überwachung der Nachrichten- und Sicherheitsdienste (CTIVD) die „operative Plattform“ kontrolliert (hier der Bericht auf englisch) Unter der gesetzlichen Schweigepflicht erhielt der Ausschuss dafür Einsicht in alle gewünschten Daten und kam unter anderem zu dem Ergebnis, dass in einigen Fällen die Bereitstellung von Informationen „sorglos“ gewesen sei.

Erstmals erfährt die Öffentlichkeit Details zum Datentausch: Wenn eine der beteiligten Stellen Daten einspeist, werden diese an alle anderen beteiligten Behörden verteilt. Für Deutschland wurde diese operative Zusammenarbeit des BfV erst im Sommer 2016 in einer eilig gezimmerten Vorschrift des Bundesverfassungsschutzgesetzes geregelt. Über die „operative Plattform“ ist auch die „multilaterale“ Teilung von Informationen unter einzelnen Geheimdiensten möglich. Vermutlich handelt es sich dabei um Echtzeit-Informationen, etwa wenn verdächtige „ausländische Kämpfer“ eine EU-Außengrenze übertreten oder im bei einer Kontrolle Schengen-Raum angetroffen werden. Hierzu nutzen die Geheimdienste immer öfter die Möglichkeit der verdeckten Fahndung im Rahmen des Schengener Informationssystems.

Niederländische Kommission sieht „gesamtschuldnerische Haftung“

Der AIVD agiere der Kontrollkommission zufolge als „faktischer Geschäftsführer“ der Datenbank, ihm oblägen daher Sorgfaltspflichten, etwa zur Gewährleistung des Schutzes personenbezogener Daten und zur Verhinderung von Sicherheitsverletzungen. Die Konzeption der „operativen Plattform“ müsse daher ausreichend Garantien und deren Überprüfung sicherstellen. Im August 2017 hatte der AlVD interne Regularien festgelegt, wonach nur Daten, von deren Richtigkeit ausgegangen werden kann, an die Datenbank weitergegeben werden können. Die Datenbank sei dann „im Herbst 2017 durch den AIVD umgebaut“ worden.

Für die Gewährleistung eines „angemessenen Datenschutzniveaus“ seien der CTIVD zufolge aber auch grundsätzlich alle anderen 29 Partner verantwortlich. Die gemeinsame Verantwortung für die Datenbank sei als „gesamtschuldnerische Haftung“ auszulegen. Deshalb müssten klare Vereinbarungen über den Datenaustausch und die Anwendung gemeinsamer Normen für jede Vertragspartei beschlossen werden. Damit wäre auch das deutsche Bundesinnenministerium für die Einhaltung des Datenschutzes im Boot, das bei allen Anfragen immer auf den AIVD als allein verantwortlichen Geheimdienst verwies.

Keine Kriterien für Aufnahme in die Datenbank

Die niederländische Kontrollkommission geht noch weiter und fordert, dass die in Den Haag geführte Datei bezüglich des Datenschutz der Europäischen Menschenrechtskonvention entsprechen müsse. Für die NutzerInnen soll beispielsweise hinreichend klar sein, auf welcher Grundlage und nach welchen Kriterien eine Person in die Datenbank aufgenommen wird. Es ist außerdem unklar, auf welche Weise Betroffene über eine Speicherung informiert werden oder hierüber Auskunft verlangen können.

Zu den Empfehlungen der CTIVD gehören eine Definition der Ziele der Datenbank und ihre Begrenzungen hinsichtlich einer Speicherung. Falsche oder nicht mehr relevante Daten müssten gelöscht werden. Zudem sollten Kriterien für den Austausch von Daten über Minderjährige definiert werden. Auch die Zugangsberechtigungen zu der Datenbank und die Vergabe von Schreibrechten seien nicht ausreichend eingeschränkt.

Wie kann die Geheimdienstkooperation kontrolliert werden?

Die „operative Plattform“ erwies sich bislang als parlamentarisch unkontrollierbar. Der Bericht der niederländischen Kommission für die Überwachung der Nachrichten- und Sicherheitsdienste könnte dafür sorgen, dass sich die Datenschutzbeauftragten der beteiligten Mitgliedstaaten mit der Zusammenarbeit befassen. Dadurch wäre es möglich, Licht ins zweijährige Dunkel der Geheimdienstkooperation in Den Haag zu bringen.

Die Kommission empfiehlt hierzu die engere Zusammenarbeit nationaler Aufsichtsbehörden. In nur einem Projekt arbeiteten diesbezüglich fünf zuständige Gremien zusammen, die sich jedoch wegen der gesetzlichen Schweigepflicht nicht untereinander über Angelegenheiten austauschen dürfen, die als Staatsgeheimnisse klassifiziert sind. Diese Einschränkungen müssten aufgehoben werden. Eine andere Option sei die explizite Zuweisung einzelner Kontrollaufgaben an eine oder mehrere Aufsichtsbehörden. Schließlich sei auch eine übergeordnete, internationale Aufsicht denkbar. Eine solche Stelle müsse jedoch erst eingerichtet werden und erfordere eine vertragliche Vereinbarung der 30 teilnehmenden Geheimdienste.

Auch der Wissenschaftliche Dienst des Bundestages hat sich in einem Gutachten mit der parlamentarischen Kontrolle der „operativen Plattform“ befasst. Die Heimlichtuerei ist demnach rechtlich bedenklich. Die Bundesregierung dürfe zwar ihre Geheimhaltungsinteressen wahren. Ein pauschales Auskunftsverweigerungsrecht gebe es aber nicht.

0 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.