Klage!

9. September 2019

Die Gesellschaft für Freiheitsrechte (GFF) hat eine Verfassungsbeschwerde gegen das Gesetz zur Reform des Bundeskriminalamtes (BKA) eingelegt. Insbesondere wehren sich die Bürgerrechtler gegen die neuen und umfassenden Überwachungsbefugnisse, die das BKA im Zuge der Novellierung im Jahr 2017 erhalten hat. Dazu zählen etwa der Einsatz von Staatstrojanern oder weitreichende Datensammlungen über Menschen, gegen die bloß ein vager Anfangsverdacht besteht.

„Nach der Neuregelung kann das BKA aus zu geringem Anlass zu viele Daten zu vieler Menschen zu lange speichern und verarbeiten“, sagt der GFF-Vorsitzende Ulf Buermeyer. Zudem könnte das BKA die so angehäuften personenbezogenen Daten „nahezu grenzenlos“ verarbeiten sowie die dabei genutzten Datenbanken zusammenführen. Der datenschutzrechtliche Grundsatz der Zweckbindung erhobener Daten würde für das BKA schlicht aufgegeben.

„Damit sind Tür und Tor geöffnet für eine Datenbank, die Daten über die meisten Menschen in Deutschland enthält – zeitlich unbefristet, nach unklaren Regeln und zu unklaren Zwecken“, sagt Buermeyer. „Ein solches Big-Brother-Gesetz kann das Bundesverfassungsgericht nicht billigen“.

Unsichere Spionage-Software

Ferner erlaubt das BKA-Gesetz den Einsatz von Staatstrojanern. Mit einer solchen Spionagesoftware nutzt die Polizei Sicherheitslücken in IT-Systemen aus, um Onlinedurchsuchungen durchzuführen und auf Telekommunikationsvorgänge zuzugreifen (Quellen-TKÜ). Das verstoße laut den Bürgerrechtler:innen gegen das IT-Grundrecht: Das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Anstatt Sicherheitslücken den Herstellern zu melden und so eine sichere IT-Umgebung für alle zu schaffen, würden diese von den Ermittlungsbehörden heimlich gehortet und ausgenutzt. Doch solche Lücken seien „Einfallstore für Hacker“, sagt Buermeyer. Wenn der Staat diese geheim halte, wären alle Nutzer:innen einem Risiko ausgesetzt. Bei Institutionen wie Krankenhäusern, die auf eine gesicherte IT-Struktur angewiesen sind, könne dies lebensbedrohliche Konsequenzen haben.

Nicht der erste Anlauf

Schon 2017 forderte die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder eine Überarbeitung den damaligen Gesetzesentwurfs. Dabei handelt es sich bei der Fassung von 2017 schon um eine gerichtlich verfügte Nachbesserung: Das zuvor geltende BKA-Gesetz hatte das Bundesverfassungsgericht im April 2016 als verfassungswidrig eingestuft.

–> mehr…


Von Alexandra Ketterer auf netzpolitik.org Creative Commons BY-NC-SA 4.0.

Kernbereich

21. April 2016

Gestern hat mich über die Maßen gestört, wie unkritisch, gleichlautend und schlagwortartig das schon 2009 heftig kritisierte BKA-Gesetz im Radio, TV und anderen Massenmedien als notwendiger Bestandteil „im internationalen Kampf gegen Terrorismus“ beschrieben wurde. Das ist das BKA-Gesetz nämlich gar nicht. Und jetzt hat das Bundesverfassungsgericht diesen deutschen Beitrag „im internationalen Kampf gegen Terrorismus“ gestoppt. Man sieht geradezu, wie die Fatzebuck-Gemeinde empört den Kopf schüttelt.

Nun, Netzpolitik.org analysierte gestern:

„Das Bundesverfassungsgericht (BVerfG) hat sein Urteil zum BKA-Gesetz verkündet und es in Teilen als verfassungswidrig befunden.

Die beiden Beschwerden (1 BvR 966/09, 1 BvR 1140/09) waren einerseits von Ärzten, Juristen und Journalisten eingereicht worden, besonders im Hinblick auf ihre Rechte als Berufsgeheimnisträger, und andererseits von Mitgliedern der grünen Bundestagsfraktion der vergangenen Legislaturperiode. Die Beschwerdeführer und ihre Anwälte Gerhart Baum, Burkhard Hirsch und Sönke Hilbrans können das Urteil als Erfolg verbuchen, ihre Kritik an den erweiterten Überwachungsbefugnissen des BKA, am mangelnden Kernbereichsschutz und am zu wenig beschränkten Datenaustausch fand überwiegend Gehör.

Nur einige der verfassungswidrigen Paragraphen sind allerdings auch sofort nichtig, andere gelten mit einigen Beschränkungen weiterhin, müssen aber bis längstens zum 30. Juni 2018 nachgebessert werden.

Insbesondere die Verhältnismäßigkeit und der Kernbereichsschutz, also der Schutz der höchstpersönlichen Sphäre eines Menschen gemäß Art. 1 Abs 1 GG, der unantastbar bleiben soll, werden im Urteil betont.

Das Urteil ist (ohne die Sondervoten) 118 Seiten lang, hier aber ein erster Überblick zum staatlichen Infiltrieren von informationstechnischen Systemen.

Staatstrojaner

Das Urteil behandelt die Probleme bei der verdeckten Datenerhebung nach § 20k BKA-Gesetz, der „verdeckte Eingriffe in informationstechni­sche Systeme“ erlaubt. Diese Erlaubnis zur sog. „Onli­ne-Durchsuchung“ wurde bereits kurze Zeit nach dem Urteil des BVerfG zum Staatstrojaner im Jahr 2008 geschaffen und im Grunde wörtlich aus der Entscheidung in das Gesetz übernommen.

In das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme werde laut Urteil „mit besonderer Intensität“ eingegriffen. Daher sei der Eingriff „seinem Gewicht nach mit dem Eingriff in die Unverletzlichkeit der Wohnung vergleichbar“. Das BKA müsse beim Einsatz eines Trojaners aber aufgrund des Verhältnismäßigkeitsgrundsatzes beachten, dass „ein offener Zugang auf die Datenbestände einer Zielperson vor einer heimlichen Infiltration grundsätzlich Vorrang“ habe.

Zum § 20k BKA-Gesetz heißt es im Urteil:

Nicht den verfassungsrechtlichen Anforderungen genügen […] die Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung.

Es fehlen insbesondere ausdrückliche „Vorkehrungen“ zum Kernbereichsschutz. Wie bei der Wohnraumüberwachung werde „wegen des spezifischen Charakters des Zugriffs“ dieser Schutz nicht so sehr bei der Erhebung erfolgen, sondern auf die nachgelagerte Auswertung und Verwertung verschoben. Im Urteil heißt es schlicht, dass eben „weitgehend die Alternativen von ganz oder gar nicht“ bestünden.

Trotzdem müsse das Erfassen von Höchstpersönlichem so weit wie möglich unterbleiben. Passiert es aber doch, solle eine „unabhängige Stelle“ eine Sichtung vornehmen und rausfiltern, und zwar durch „von dem Bundeskriminalamt gegenüber unabhängigen Personen“.

Hier müsse der Gesetzgeber nachbessern, ebenso bei der Aufbewahrung der Löschprotokolle des Trojaners. Eine „übermäßig kurze Dauer“ der Aufbewahrung sei verfassungswidrig.

Eine „Onli­ne-Durchsuchung“ sollte laut Gesetz nur dann unterbleiben, wenn dabei „allein“ Informationen aus dem höchstpersönlichen Kernbereich des Betroffenen erlangt werden. Das aber dürfte praktisch so gut wie nie der Fall sein. Dazu wird im Urteil nochmal betont:

Hierbei ist die Vorschrift von Verfassungs wegen allerdings so auszulegen, dass eine Kommunikation nicht schon deshalb aus dem strikt zu schützenden Kernbereich herausfällt, weil sich in ihr höchstvertrauliche mit alltäglichen Informationen vermischen.

Die Weiternutzung und Zweckänderung von durch Trojaner erlangten Informationen werden durch das Urteil beschränkt. Dazu soll der „Grundsatz der hypothetischen Datenneuerhebung“ gelten, der sich am Gewicht der zu schützenden Rechtsgüter oder aufzudeckenden Straftaten orientiert.

Was die Quellen-TKÜ (Quellen-Telekommunikationsüberwachung) nach § 20l Abs. 2 BKA-Gesetz angeht, also der Staatstrojaner, der nur Kommunikationsvorgänge überwachen darf, heißt es im Urteil, dass hier nicht das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme betroffen sei, sondern das Grundrecht des Telekommunikationsgeheimnisses aus Art. 10 Abs. 1 GG. Man hätte keine „durchgreifenden verfassungsrechtlichen Bedenken“. Denn wie das technisch hinzubekommen sei, den Trojaner in dieser Weise zu beschränken, sei schließlich nicht das Problem von Juristen:

Ob oder wie sich durch technische Maßnahmen sicherstellen lässt, dass ausschließlich die laufende Telekommunikation überwacht und aufgezeichnet wird, betrifft die Anwendung der Norm, nicht aber ihre Gültigkeit. Insoweit ist es nicht Aufgabe des vorliegenden Verfahrens, hierüber eine Klärung herbeizuführen. Das Gesetz lässt jedenfalls keinen Zweifel, dass eine Quellen-Telekommunikationsüberwachung nur bei einer technisch sichergestellten Begrenzung der Überwachung auf die laufende Telekommunikation erlaubt ist. Andernfalls kommt allein ein Vorgehen auf der Grundlage des § 20k Abs. 1 BKAG in Betracht. Sollten zum gegenwärtigen Zeitpunkt diese Anforderungen nicht erfüllbar sein, liefe die Vorschrift folglich bis auf weiteres leer.

Ein Vorgehen nach § 20k Abs. 1 BKAG heißt schlicht, dass die weit höheren rechtlichen Anforderungen einer „Onli­ne-Durchsuchung“ gelten würden, wenn die Erfassung nicht auf Telekommunikation beschränkt wird.

Fazit

Fight for your digital rights!

Natürlich stärkt das Urteil diejenigen, die sich gegen immer mehr Überwachungsausweitungen seit Jahren wehren. Es reiht sich ein in viele überwachungskritische Urteile der letzten Dekade. Dennoch wird es wohl zunächst dabei bleiben, dass der Einsatz von Staatstrojanern legal möglich ist.

Mehrfach wird betont, dass es nicht nur um einzelne Überwachungsvorgänge ginge, sondern dass sich Maßnahmen addieren können. Es muss also immer auch eine Gesamtüberwachungsrechnung aufgemacht werden.

Dass das Urteil auch politisch Wirkung zeigen wird, können wir wohl nur hoffen.

Für die Trojaner wie auch für andere heimliche Überwachungsmaßnahmen wird es jedenfalls zukünftig „regelmäßige Berichte des Bundeskriminalamts gegenüber Parlament und Öffentlichkeit“ auf gesetzlicher Grundlage geben. Sie sollen sogar „hinreichend gehaltvoll“ sein, denn sonst sei „eine öffentliche Diskussion über Art und Ausmaß der auf diese Befugnisse gestützten Datenerhebung, einschließlich der Handhabung der Benachrichtigungspflichten und Löschungspflichten“ ja nicht möglich.

Bereits seit Jahren fordern Ermittlern in Deutschland und in verschiedenen europäischen Ländern, Trojaner einsetzen zu dürfen, und sie haben sich auch bei den kommerziellen Anbietern solcher Spionagesoftware umgesehen. Der CDU-Bundesvorstand hat sich zuletzt nicht nur für Staatstrojaner ausgesprochen, sondern kürzlich auch die geheimdienstliche Spionage auf Festplatten „mit Nachdruck“ gefordert. Für beide Versionen des Staatstrojaners, also „Quellen-TKÜ“ und „Online-Durchsuchung“ gedenke man, auch „den Verfassungsschutzbehörden die Befugnis“ zu erteilen.

Wie das mit dem aktuellen Urteil zu vereinbaren wäre, müssen die Christdemokraten noch begründen.“

[von Constanze Kurz bei Netzpolitik.org –  Creative Commons BY-NC-SA 3.0.]