BND-Gesetz

Datenschutzbeauftragter kritisiert Staatstrojaner für Geheimdienste

Das Kanzleramt will die Befugnisse des Bundesnachrichtendiensts ausweiten und dessen Kontrolle schwächen. Das kritisiert der Bundesbeauftragte für den Datenschutz in einem Papier, das wir veröffentlichen. Massenüberwachung und Staatstrojaner bezeichnet er als „massiven Eingriff in die Privatsphäre“.

Ulrich Kelber
Kritisiert den Gesetzentwurf des Kanzleramts: Datenschutzbeauftragter Kelber. CC-BY-NC-ND 2.0 Stuart Isett, Fortune Global Forum

Nach einen Urteil des Bundesverfassungsgerichts will das Bundeskanzleramt die Befugnisse des Bundesnachrichtendiensts neu regeln. Vor einem Monat haben wir den Entwurf für ein neues BND-Gesetz veröffentlicht. Mehrere Autor:innen haben den Entwurf kritisiert: mangelhafte Kontrolle, Überwachung von Medien und Gefahr für die Pressefreiheit.

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber arbeitet an einer Stellungnahme zum Gesetzentwurf. Wir haben jetzt eine „erste Positionierung“ des obersten Datenschützers erhalten, die wir an dieser Stelle im Volltext veröffentlichen. Zuerst berichtete das ARD-Magazin Monitor über das Papier.

Kritische Befugniserweiterungen

Die Datenschutz-Behörde bewertet in dieser ersten Einschätzung des Gesetzentwurfs viele Regelungen als „kritisch“. Wie berichtet, soll der Geheimdienst künftig ganz legal Mobilfunk- und Internetanbieter hacken dürfen. Der BfDI hält diese Hacking-Befugnis für eine Kompetenzerweiterung, die „unklar und unbestimmt geregelt“ ist.

Wenn Geheimdienste hacken, ist das eine „hohe Eingriffsqualität im Einzelfall“, der Eingriff in Grundrechte ist noch tiefer als bei der „strategischen“ anlasslosen Massenüberwachung. „Insofern müssten mindestens die Vorgaben des Bundesverfassungsgerichts zur strategischen Telekommunikationsüberwachung beachtet werden, was nicht geschieht.“

Mit einem zweiten Gesetz sollen neben dem BND auch alle anderen 18 Geheimdienste hacken dürfen. Auch diese Staatstrojaner bezeichnet der Datenschutzbeauftragte in einer Pressemitteilung als „massiven Eingriff in die Privatsphäre“ und als Verstoß „gegen das verfassungsrechtliche Trennungsgebot zwischen Polizeibehörden und Nachrichtendiensten“. Diese Kritik an den Hacking-Befugnissen für den Verfassungsschutz gilt auch für den Bundesnachrichtendienst.

Weitreichende Erfassungsvolumina

Seit Edward Snowden und dem Geheimdienst-Untersuchungsausschuss ist öffentlich belegt, wie weitreichend die Geheimdienste das Internet überwachen. Damals durfte der BND nur einzelne Leitungen abhören, und davon eigentlich nur 20 Prozent. Seit 2016 darf der BND ganze Telekommunikationsnetze abhören, ganz ohne Beschränkung.

Das Bundesverfassungsgericht kippte dieses Gesetz. Jetzt will das Kanzleramt eine „Beschränkung auf maximal 50 Prozent aller bestehenden Telekommunikationsnetze weltweit“. In der Praxis kann der BND gar nicht die Hälfte der weltweiten Kommunikation abhören, selbst die NSA schaffte nur 75 Prozent der US-Kommunikation.

Der BfDI sieht in der 50-Prozent-Regelung keine wirksame Beschränkung. Er bezeichnet die Datenmassen, die der Geheimdienst damit abhören darf, als zu weitreichend und bedenklich. Das Ausmaß der Überwachung sei nicht im Einklang mit dem höchstrichterlichen Urteil.

Umgehung der Beschränkungen

Der BND darf Daten nicht nur erheben, speichern und auswerten, sondern auch an andere Behörden im In- und Ausland weitergeben. Der BfDI kritisiert, dass der Gesetzentwurf die „essenziellen Übermittlungsbeschränkungen“ umgeht und damit neue Datenweitergaben erlaubt.

Beispielsweise kann der BND Daten aus seiner anlasslosen Massenüberwachung aus Telekommunikationsnetzen auch an das Bundesamt für Verfassungsschutz weiterleiten. Dabei muss der BND nicht ranschreiben, wo er die Daten herhat. Sind die Daten einmal ohne Kennzeichnung „im ‚zentralen Datentopf‘ der Inlandsnachrichtendienste“, kann die Herkunft „nicht mehr nachvollzogen werden“. Dann sieht der Verfassungsschutz nicht mehr, dass er die Daten nicht weitergegeben darf.

Darüber hinaus kritisiert der BfDI die „Verarbeitung erheblicher Volumina von Verkehrsdaten deutscher Staatsangehöriger und Personen im Inland“. Eigentlich darf der Auslandsgeheimdienst nur Ausländer abhören. Das Gesetz erlaubt aber das Abhören von „Maschine-zu-Maschine-Kommunikation“, wenn beispielsweise ein Smartphone mit einem Mobilfunknetz kommuniziert. „Dies generiert mitunter tiefgreifendere Erkenntnisse als die Telefonüberwachung.“ Das erinnert an Rechtsakrobatik wie die Weltraumtheorie.

Schwächung der Kontrolle

Am ausführlichsten kritisiert der BfDI die Aufsicht über den BND. Das Bundesverfassungsgericht hatte kritisiert, dass es keine „ausgebaute unabhängige objektivrechtliche Kontrolle“ des Geheimdiensts gibt. Stattdessen gibt es einen Flickenteppich aus acht verschiedenen Institutionen, die einzelne Teile der BND-Aktivitäten kontrollieren sollen.

Das Kanzleramt will dieses Potpourri nicht straffen, sondern ein neues Gremium schaffen: den „Unabhängigen Kontrollrat“. Der BfDI urteilt kritisch: „Der Vorschlag des Bundeskanzleramts versäumt es, bestehende Zuständigkeit zu nutzen und verschenkt Synergien für die Effektivität der Kontrolle. Im Ergebnis droht eine Schwächung der [Geheimdienst]-Kontrolle durch Parallelstrukturen.“

Der BfDI kritisiert weiter, dass der „unabhängige“ Kontrollrat eine „faktische Nähe“ zu Kanzleramt und BND hat, obwohl er diese kontrollieren soll. Die neuen Kontrolleure müssen das Kanzleramt anhören, bevor sie eine Geschäftsordnung erlassen oder den Bundestag unterrichten können. Der Kontrollrat kann dem Kanzleramt sogar „die Personalverwaltung und Personalwirtschaft übertragen“. Der BfDI geht davon aus, dass er aus Zeitgründen sogar dazu gezwungen sein wird.

Kontrolle durch Datenschutzbeauftragte

Der Bundesdatenschutzbeauftragte ist der Auffassung, dass seine Behörde am besten geeignet ist, die vom Bundesverfassungsgericht verlangte Kontrolle durchzuführen. In zehn Punkten führt das Papier aus, was für den BfDI spricht: demokratische Legitimation, Effektivität, Kompetenzen, Einsparungs- und Synergieeffekte, Erfahrung und Vertrauen.

In der Tat hat die Datenschutz-Oberbehörde seit vielen Jahren eine eigene Abteilung „Polizei und Nachrichtendienste“ mit sechs Referaten, darunter Verfassungsschutz und MAD sowie BND, Militärisches Nachrichtenwesen, Nachrichtendienstliche Kooperationen.

Die Öffentlichkeit bekommt davon wenig mit, im letzten Tätigkeitsbericht zum Datenschutz gibt es nur einen kurzen Absatz über Beratungs- und Informationsbesuche beim BND: „Aufgrund der strengen Vorgaben der Verschlusssachenanweisung kann ich an dieser Stelle allerdings nur sehr eingeschränkt hierüber berichten.“

Ein einziges Mal wurde öffentlich bekannt, wie der BfDI den BND geprüft hat. Nach den Snowden-Enthüllungen besuchten die Datenschützer die BND-Abhörstation in Bad Aibling. Daraus entstand ein geheimer Prüfbericht, den wir veröffentlichten. Die oberste Datenschutzbehörde stellte 18 schwerwiegende Rechtsverstöße fest und sprach zwölf offizielle Beanstandungen aus. Der Bericht war ein Paukenschlag, führte aber nicht zu ernsthaften Konsequenzen.

Sorgfalt und Tiefe ausgeschlossen

Das Papier ist noch keine offizielle Stellungnahme des Datenschutzbeauftragten, sondern nur eine „erste Positionierung“. Der Gesetzentwurf des Kanzleramts ist 111 Seiten lang, die Materie ist komplex. Eine vollständige Prüfung mit der „geforderten Sorgfalt und Tiefe“ hält die Behörde in der kurzen Zeitspanne für „ausgeschlossen“.

Die Bundesregierung drückt trotzdem auf’s Tempo. Eigentlich wollte sie den Gesetzentwurf schon am Mittwoch im Kabinett beschließen, doch die Ministerien verhandeln noch. Das Bundesverfassungsgericht hat eine großzügige Übergangsfrist bis Ende nächstes Jahr erlaubt. Doch die Große Koalition will das leidige Thema Geheimdienst-Überwachung offenbar aus dem anstehenden Wahlkampf halten, vor allem die SPD.


Erste Positionierung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zum

Entwurf eines Gesetzes zur Änderung des Gesetzes über den Bundesnachrichtendienst zur Umsetzung der Vorgaben aus dem Urteil des Bundesverfassungsgerichts vom 19. Mai 2020 (BNDG-E)

I. Einleitung

Das BVerfG hat dem BND zur Erfüllung seiner besonderen Funktion die Möglichkeit, tiefer Grundrechtseingriffe durch eine Datenerhebung bei der strategischen Telekommunikationsüberwachung im Ausland zugestanden, wenn diese verfassungsrechtlich durch Eingriffsgrenzen, Übermittlungsbeschränkungen und eine effektive aufsichtliche Kontrolle abgesichert wird.

Beim vorliegenden Gesetzentwurf sind aus Sicht des verfassungsgerichtlich geforderten Grundrechtsschutzes die Übermittlungs- und Kennzeichnungsvorschriften für Daten aus der strategischen TKÜ, die schon vom Gericht als bedenklich eingestuften Volumina der Datenerfassungen, die weitreichende Verarbeitung von Verkehrsdaten von Deutschen und Inländern (§ 28 BNDG-E), die Rechtsgrundlage für den Eingriff in informationstechnische Systeme im Ausland (Hacking) und die Befugniserweiterungen im Licht des informationellen Trennungsprinzips als kritisch einzustufen.

Der Gesetzentwurf ermöglicht insbesondere Umgehungen der essenziellen Übermittlungsbeschränkungen des BVerfG und enthält undefinierte Kompetenzerweiterungen. Die Übertragung der administrativen Kontrolle auf eine neue oberste Bundesbehörde mit faktischer Nähe zum BKAmt bzw. zum BND schwächt die Vorgabe einer tatsächlichen Unabhängigkeit. Erstmals wird für die Kontrolle der Datenverarbeitung einer Einrichtung des Bundes eine zweite Behörde neben dem BfDI geschaffen, damit nimmt die Zerstückelung der Kontrolllandschaft zu statt ab.

Das BKAmt plant, den konsolidierten Gesetzentwurf am 28.10.2020 ins Kabinett einzubringen. Es erscheint ausgeschlossen, dass das komplexe Regelwerk innerhalb dieser Fristen mit der in Bezug auf die von der Materie geforderten Sorgfalt und Tiefe geprüft werden kann.

II. Überblick

Nach dem Gesetzentwurf ist in Bezug auf die Tätigkeit des BND folgende Kontrolllandschaft vorgesehen:

  1. Neue Einrichtung einer gerichtsähnlichen Kontrolle der Maßnahmen der strategischen TKÜ.
  2. Aufbau einer ebenfalls neuen administrativen Kontrolle für eine datenschutzrechtliche Kontrolle, inklusive der technischen Verarbeitungsprozesse, die der Datenverarbeitung zugrunde liegen.
  3. Zusammenfassung beider Kontrollstränge unter einem Dach zu einer neu zu schaffenden obersten Bundesbehörde [1].
  4. Beibehaltung der umfassenden datenschutzrechtlichen Kontrolle des BND durch den BfDI.
  5. Kontrolle des BND durch die G10-Kommission flankierend für Erfassung von G10-geschützen Inhaltsdaten.

Der Vorschlag des BKAmts versäumt es, bestehende Zuständigkeit zu nutzen und verschenkt Synergien für die Effektivität der Kontrolle. Im Ergebnis droht eine Schwächung der ND-Kontrolle durch Parallelstrukturen.

III. Vorteile einer Wahrnehmung der Kontrolle durch den BfDI

Warum im Gesetzentwurf die vom BVerfG ausdrücklich angesprochene Übertragung der administrativen Kontrolle über den BND auf den BfDI nicht übernommen wurde, ist nicht ersichtlich. Der BfDI nimmt aufgrund seines gesetzlichen Auftrages die Datenschutzkontrolle und die damit verbundene Kontrolle der zugrunde liegenden technischen Prozesse der strategischen TKÜ bereits wahr und sollte diese aus guten Gründen fortsetzen:

  • Der BfDI ist die von parlamentarischer Seite legitimierte Behörde zur Datenschutzkontrolle aller Bundesbehörden (inkl. des BND und des BKAmts als Aufsichtsbehörde des BND).
  • Datenschutzkontrolle ist Nachrichtendienstkontrolle. Die Kontrolle von Erhebung und Verarbeitung von personenbezogenen Daten und Metadaten, also der Gegenstand der strategischen TKÜ, unterfällt dem Zuständigkeitsbereich des BfDI.
  • Nach Vorstellung des BKAmts sollen Prüfkompetenzen des BfDI unangetastet bleiben. Hieraus resultiert eine parallele Prüfarchitektur, die den BND der doppelten Belastung einer zusätzlichen administrativen Kontrolle aussetzt, die der gerichtsähnlichen in weiten Teilen auch zuarbeitet und nicht lediglich Stichprobenkontrollen durchführt.
  • Es ist nicht ersichtlich, wie angesichts dieser Doppelung der Zerstückelung der Kontrolllandschaft begegnet wird, die Effektivität der Kontrollen durch reibungsloses Zusammenspiel der hierzu berufenen Organe erleichtert und damit die Glaubwürdigkeit der Kontrolle aus Sicht des Bürgers erhalten bleibt. Dazu enthält der Gesetzentwurf keinerlei Regelung.
  • Der BfDI hält als unabhängige oberste Bundesbehörde bereits die im Urteil geforderten Kompetenzen, Expertise, vollumfassende Unabhängigkeit und einen entsprechenden Kontrollansatz.
  • Durch die Übernahme der administrativen Kontrolle durch den BfDI müsste mit der unabhängigen gerichtsähnlichen Kontrolle lediglich dieser eine Strang neu errichtet werden. Durch den Aufbau nur der gerichtsähnlichen Kontrolle entstehen Einsparungs- und Synergieeffekte:
    • Es werden keine Prüfstrukturen mit dem BfDI gedoppelt.
    • BND sieht sich nicht einer weiteren Kontrollstelle („need to know-Basis“) gegenüber, die im Ergebnis dasselbe prüft, ohne dass hierdurch ein Mehrwert für die Wahrung der Grundrechte erzielt würde.
    • Eine administrative Kontrolle durch den BfDI erfolgt mit bereits vorhandener Expertise und Kenntnis der technischen Systemlandschaft des BND.
  • Der BfDI erfüllt aufgrund der langjährigen Kontrolle des BND bereits nachweislich die höchst möglichen gesetzlichen Geheimhaltungspflichten. Das Fachpersonal des BfDI wird in gleicher Weise wie das Personal des BND sicherheitsüberprüft, hausinterne Sicherheitsstandards sind identisch. In der Praxis zeigt der BfDI mit seinem in sich abgeschlossenem Kontrollsystem seit Jahren, dass dieser nicht nur ein effektives, sondern auch verlässliches Kontrollorgan ist, der den notwendigen Geheimschutz gewährleistet. Dies erkennen auch BND und BKAmt an.
  • Um den Anforderungen des BVerfG an die Kontrolle zu entsprechen, sind lediglich die erforderlichen Personalmaßnahmen zu ergreifen und die Kontrolldichte anzupassen.
  • Der BfDI genießt hohes Maß an Vertrauen durch das Wahlverfahren und die Unabhängigkeit in Parlament und Bevölkerung. Die Novelle nutzt dieses Potential nicht.
  • Der BfDI genießt als langjähriges Kontrollorgan das Vertrauen sämtlicher deutscher Nachrichtendienste. Der BND hat keinen Vertrauensverlust bei Partnerdiensten zu befürchten.

Problematische Regelungen zur Unabhängigkeit des Kontrollrates in Bezug auf das BKAmt als der dem BND vorgesetzten Behörde:

  • Gem. § 43 Abs. 7 BNDG-E ist BKAmt vor Erlass einer Geschäftsordnung/Verfahrensordnung des unabhängigen Kontrollrats anzuhören.
  • Gem. § 44 Abs. 5 BNDG-E ist das BKAmt vor Veröffentlichung einer abstrakten Unterrichtung des Bundestages anzuhören.
  • Gem. § 42 Abs. 4 BNDG-E darf der unabhängigen Kontrollrat dem BKAmt die Personalverwaltung und Personalwirtschaft übertragen. Schon aufgrund der Herausforderung die gerichtsähnliche Kontrolle von Grund auf in kürzester Zeit aufbauen zu müssen, ist davon auszugehen, dass dem unabhängigen Kontrollrat keine andere Wahl bleibt, als dieses Angebot anzunehmen.

IV. Materiell-rechtliche Bedenken

Beispiel für Umgehung der Übermittlungsbeschränkungen des BVerfG:

§ 21 Abs. 10 BNDG-E sieht vor, dass bei der Datenübermittlung die Kennzeichnung von Daten als aus der strategischen FMA stammend unterbleibt. Dies eröffnet bei der Datenübermittlung an inländische Nachrichtendienste einer Umgehung der Übermittlungsvorgaben Tür und Tor. Ohne diese Kennzeichnung kann nach der Übermittlung an den Inlandsnachrichtendienst die Herkunft des Datums im „zentralen Datentopf“ der Inlandsnachrichtendienste nicht mehr nachvollzogen werden. Damit sind die dem Datum eigentlich noch anhaftenden Übermittlungsbeschränkungen für weitergehende Übermittlungen von den Inlandsnachrichtendiensten nicht mehr sichtbar.

Unklare gesetzlich fixierte Kompetenzerweiterung:

§ 36 BNDG-E sieht unklar und unbestimmt geregelte „Hackingeingriffe“ des BND im Ausland vor. Auch die Übermittlung hieraus erhobener Daten soll ohne Kennzeichnung erfolgen, obwohl dieser zielgerichtete Eingriff eine ungleich höhere Eingriffsqualität im Einzelfall hat, als der Eingriff der im Einzelfall von der allgemeinen strategischen Telekommunikationsüberwachung ausgeht. Insofern müssten mindestens die Vorgaben des BVerfG zur strategischen TKÜ beachtet werden, was nicht geschieht.

Bereits im Kontext der Novelle des BVerfSchG wurde eine Befugnisnorm für „Hackingeingriffe“ diskutiert. Das BMI strich die Norm nach massiver Kritik; die Fragen, die schon für den Bereich des BVerfSchG aufgeworfen wurden, sind weiter ungeklärt.

Unklare und weitreichende Erfassungsvolumina

Das BVerfG hat intensiv auf den Umfang der Erfassungen abgestellt, um zu einer verfassungsrechtlich vertretbaren Erhebungs- und Speicherbefugnis zu gelangen. Die Volumenbegrenzung dient dem Zweck der Abfederung der Breite und Schwere der Grundrechtseingriffe. §§ 21 Abs. 8, 28 Abs. 2 BNDG-E werden dem nicht gerecht, da er dynamisch und ohne Rücksichtnahme auf die übertragenen Datenvolumina die Erfassung lediglich auf 50 % „der bestehenden Telekommunikationsnetze“ begrenzt.

§ 28 Abs. 5 BNDG-E ermöglicht die Verarbeitung erheblicher Volumina von Verkehrsdaten deutscher Staatsangehöriger und Personen im Inland, sofern sie nach rein technischen Gesichtspunkten nicht direkt, sondern als Zwischenstufe zwischen den Teilnehmern an der Kommunikation von Maschine zu Maschine kommuniziert werden. Dies generiert mitunter tiefgreifendere Erkenntnisse als die Telefonüberwachung.

Fußnoten

  1. Bisher nicht bedacht wurde, ob die gerichtsähnliche Kontrolle zwangsläufig als oberste Bundesbehörde ausgestaltet sein muss und nicht etwa viel leichter als Parallelstruktur der Verwaltungsgerichtsbarkeit mit besonderen Geheimhaltungspflichten installiert werden kann. Die Kontrolle des BND würde in dieser Variante durch die unabhängige Gerichtsbarkeit und den unabhängigen BfDI umgesetzt.

Eine Ergänzung
  1. Bundes- und Landesdatenschutzbeauftragte müssten klageberechtigt sein, auch vor dem BGH und dem Bundesverfassungsgericht. Ihr derzeitiger Amtszuschnitt macht sie zu harmlosen Figuren, die niemand wirklich ernst nimmt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.