Internet-Law

Das vielleicht Interessanteste an der heutigen Entscheidung des Bundesverfassungsgerichts (Urteil vom 24.04.2013, Az.: 1 BvR 1215/07) zur Antiterrordatei, ist die Grußadresse in Richtung des EuGH. Eine Vorlage an den EuGH ist nach Ansicht der Verfassungsrichter nicht geboten, denn die europäischen Grundrechte sind im Falle der Antiterrordatei von vornherein nicht anwendbar und der Europäische Gerichtshof ist insoweit auch nicht gesetzlicher Richter im Sinne des Grundgesetzes. Sollte eine aktuelle Entscheidung des EuGH (Urteil vom 26.02.2013, Az.: C-617/10) eine andere Lesart nahelegen, so geht das BVerfG im Sinne eines kooperativen Miteinanders davon aus, dass der EuGH nur einen Sonderfall entschieden hat, aber damit keine grundsätzliche Aussage verbunden ist.

Klingt nach einer Kampfansage in Richtung Luxemburg dahingehend, dass man sich in Karlsruhe die Butter nicht vom Brot nehmen lassen und es nicht akzeptieren wird, sollte der EuGH versuchen, auch die Grundrechtsauslegung weitgehend an sich zu ziehen.

Was die Antiterrordatei angeht, hat das BVerfG deutlich gemacht, dass diese zwar in ihrer Grundstruktur verfassungskonform ist, aber nicht in der konkreten Ausgestaltung.

Der Informationsaustausch zwischen Geheimdiensten und normalen Sicherheits- und Strafverfolgungsbehörden ist nur in Ausnahmefällen möglich. Der erfasste Personenkreis ist in Teilen zu unbestimmt und zu weitreichend definiert. Wegen der fehlenden Transparenz der Antiterrordatei müssen zudem die Aufsichtsinstanzen, derzeit die Datenschutzbeauftragten, mit wirksamen Befugnissen ausgestattet sein. Dazu müssen Zugriffe und Änderungen im Datenbestand vollständig protokolliert und den Datenschutzbeauftragten in praktikabel auswertbarer Weise zur Verfügung gestellt werden.

Außerdem ist auch die vollständige und uneingeschränkte Einbeziehung der durch Eingriffe in Art. 10 Abs. 1 (Telekommunikationsgeheimnis) und in Art. 13 Abs. 1 GG (Unverletzlichkeit der Wohnung) erhobenen Daten in die Antiterrordatei nicht mit der Verfassung vereinbar. Solche Daten können allenfalls verdeckt eingestellt werden, so dass sie nicht bei allgemeinen Abfragen zugänglich sind, sondern nur dann, wenn fachrechtliche Eingriffsvorschriften vorliegen, die ihrerseits verfassungsrechtlich gebotene qualifizierte Eingriffsschwellen und einen hinreichend gewichtigen Rechtsgüterschutz sicherstellen.

Insgesamt also eine weitere Ja-Aber-Entscheidung aus Karlsruhe, die im Detail eine ganze Reihe von Einzelregelungen als verfassungswidrig qualifiziert.

Ein Pendler, der auf seiner Fahrtstrecke regelmäßig Geräte zur automatisierten Kennzeichenerkennung und -erfassung passiert, hatte gegen den Freistaat Bayern auf Unterlassung geklagt, mit dem Ziel, dass der Freistaat Bayern Kennzeichen von auf ihn zugelassenen Fahrzeugen nicht mehr durch den verdeckten Einsatz automatisierter Kennzeichenerkennungssysteme erfassen und mit polizeilichen Dateien abgleichen darf. Es geht dem Kläger darum, eine ständige polizeiliche Überwachung in der Art eines „Bewegungsbildes“ zu verhindern.

Der Bayerische Verwaltungsgerichtshof (Urteil vom 17.12.2012, Az.: 10 BV 09.2641) sieht in der Maßnahme zwar einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung, hält die Vorschriften des Polizaufgabengesetzes, die diesen Eingriff rechtfertigen sollen, aber noch für verfassungskonform. Nach Art. 33 Abs. 2 S. 2 BayPAG können durch den verdeckten Einsatz automatisierter Kennzeichenerkennungssysteme bei Vorliegen entsprechender Lageerkenntnisse Kennzeichen von Kraftfahrzeugen sowie Ort, Datum, Uhrzeit und Fahrtrichtung erfasst werden. Zulässig ist unter gewissen Voraussetzungen auch der Abgleich der Kennzeichen mit polizeilichen Fahndungsbeständen. In den Urteilsgründen heißt es dazu u.a.:

Ein nicht mehr zu rechtfertigender Grundrechtseingriff bestünde des Weiteren bei einem routinehaften und flächendeckenden Einsatz der Erfassungssysteme. Auch insoweit hat der bayerische Gesetzgeber aber tatbestandliche Eingrenzungen vorgesehen. Nach Art. 33 Abs. 2 Satz 5 PAG ist der flächendeckende Einsatz der Kennzeichenerfassung grundsätzlich nicht erlaubt. Auch durch die Normierung von Anlass und Zweck sowie dem Erfordernis des Vorhandenseins bestimmter Lageerkenntnisse ist eine routinehafte Erfassung von vorneherein nicht zulässig.

Hier stellt sich allerdings ein Problem, das auf der Schnittstelle zwischen Bestimmtheit der Norm und Verhältnismäßigkeit anzusiedeln ist. Denn die relativ unklare und im Einzelfall schwer überprüfbare Voraussetzung, dass bestimmte Lageerkenntnisse vorhanden sein müssen, eröffnet den Behörden durch Behauptung entsprechender Gefährdungslagen einen weiten und effektiv nicht mehr nachprüfbaren Spielraum bei der Anordnung einer Kennzeichenerfassung.

Man merkt der Urteilsbegründung förmlich an, dass sich der Senat windet, zumal er betont, dass die gesetzliche Regelung trotz Bedenken hinsichtlich einzelner Gesichtspunkte bei der gebotenen Gesamtabwägung noch verhältnismäßig sei. Das ist eine staats- aber keine grundrechtsfreundliche Betrachtungsweise. Da liegt eine Verfassungsbeschwerde nahe.

In der Diskussion um die Neuregelung der sog. Bestandsdatenauskunft nach dem TKG nimmt die fragwürdige und falsche Berichterstattung leider zu.

Das Portal netzpolitik.org behauptet zum wiederholten Mal, dass eine Abhörschnittstelle geschaffen werden soll, die dafür sorgt, dass „die Identifizierung von Personen anhand ihrer IP-Adresse im Internet zukünftig für deutsche Behörden per Knopfdruck“ möglich werden soll. Das suggeriert, die Ermittlungsbehörden könnten künftig automatisiert und direkt Bestandsdaten bei den TK-Providern abrufen.

Das ist aber nicht der Fall. Richtig ist vielmehr, dass das Gesetz eine vollautomatisierte Abfrage nicht ermöglicht. Jedes Auskunftsverlangen muss vom Provider durch eine verantwortliche Fachkraft einzeln darauf geprüft werden, ob die Anfrage von einer zuständigen Stelle unter Berufung auf eine einschlägige gesetzliche Befugnisnorm erfolgt.

Noch absurder ist leider die Berichterstattung, dass sich der Staat mit der Neuregelung Zugriff auf Banking-PINs verschaffen würde. Offenbar hat man hierbei die Begriffe PIN (und PUK) dahingend missverstanden, dass es sich hierbei um Zugangsdaten zum Online-Banking handeln würde.

Das Gesetzesvorhaben ist nach wie vor kritikwürdig, aber haarsträubende Falschbehauptungen wie die oben geschilderten, tragen nur zur Desinformation bei.

Die sog. Bestandsdatenauskunft von TK-Anbietern gegenüber Sicherheits- und Strafverfolgungsbehörden muss wegen einer Entscheidung des Bundesverfassungsgerichts neu geregelt werden. Darüber hatte ich im letzten Jahr bereits ausführlich berichtet.

Der Gesetzesentwurf befindet sich mittlerweile im Gesetzgebungsverfahren, der Innenausschuss hat heute dazu eine Sachverständigenanhörung durchgeführt. Die Einschätzungen der Sachverständigen waren erwartungsgemäß unterschiedlich.

Für lesenswerte halte ich die schriftliche Stellungnahme von Prof. Matthias Bäcker, der die Ansicht vertritt, dass der Entwurf einer Neufassung des § 113 TKG teils die Kompetenzordnung des Grundgesetzes verletzt, reglungsbedürftige Fragen nicht regelt und deshalb gegen Grundrechte verstößt.

Bäcker geht insbesondere davon aus, dass der Bund (im TKG) abschließend regeln muss, aus welchen Anlässen und zu welchen Zielen die Daten übermittelt werden dürfen und dies nicht den fachspezifischen Regelungen von Bund und Ländern überlassen werden darf. Denn der Zweckbindungsgrundsatz erfordert laut Bäcker, dass eine solche Regelung unmittelbar im TKG erfolgt. Der Entwurf regelt aber in 113 Abs. 3 TKG-E nur, an welche Behörden die Daten übermittelt werden dürfen, nicht aber, unter welchen Voraussetzungen dies zulässig ist.

Ferner hält Bäcker beispielsweise auch die geplante Abfrageermächtigung im BKA-Gesetz für verfassungswidrig, weil die in § 7 Abs. 3 BKAG-E enthaltene Ermächtigung dem Bundeskriminalamt in seiner Funktion als Zentralstelle eine zu weitreichende Befugnis zu Bestandsdatenabrufen im Vorfeld konkreter Gefahren oder strafprozessualer Verdachtslagen einräumt. Die vorgesehene Regelung ermöglicht dem BKA laut Bäcker Bestandsdatenabfragen zur Unterstützung von kriminalstrategischen Analysen zu nutzen, die es unabhängig von konkreten Verdachtsmomenten durchführt kann.

Darin könnte man eine Art kleine Vorratsdatenspeicherung durch die Hintertür sehen. Dies ist jetzt allerdings meine eigene Schlussfolgerung und nicht die von Bäcker. Denn wenn das BKA aufgrund einer zu weitreichenden Ermächtigungsnorm verdachtsunabhängig Daten anfordern – und anschließend natürlich auch speichern – kann, wird damit in gewissem Maße faktisch auch eine anlassunabhängige Speicherung von Daten ermöglicht, die später u.U. unkontrolliert für andere strafprozessuale oder präventive Zwecke Verwendung finden könnten.

Die Österreicher erweisen sich gerade als besonders kritisch gegenüber der Vorratsdatenspeicherung. Nach dem dortigen  Verfassungsgerichtshof hat auch die östereichische Datenschutzkommission dem EuGH die Frage zur Prüfung vorgelegt, ob die Richtlinie über die Vorratsdatenspeicherung mit der Europäischen Grundrechtscharta vereinbar ist.

Auch wenn die Datenschutzkommission nach österreichischem Recht Gerichtsqualität hat, könnte ihre Antragsberechtigung zweifelhaft sein, weil der EuGH im letzten Jahr festgestellt hat, dass er der Kommission an der für Datenschutzbehörden notwendigen Unabhängigkeit fehlt.

Die Vorlagefrage der DSK ist sehr spezifisch und zielt auf die Vereinbarkeit der Richtlinie mit Art. 8 Abs. 2 S. 2 der Grundrechtscharta der EU ab. Dort heißt es:

Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

Hintergrund der Vorlage ist ein Beschwerdeverfahren in dem ein Kunde eines Mobilfunkbetreibers Auskunft über die zu seiner Person gespeicherten Vorratsdaten verlangt hat. Die Richtlinie sieht allerdings vor, dass eine Auskunft über Vorratsdaten besonders ermächtigten Personen vorbehalten ist.

Der österreichische Verfassungsgerichtshof hatte deutlich weitergehende Vorlagefragen formuliert, was beim Kollegen Lehofer ausführlich erläutert wird.

Netzpolitik.org hat ein als „VS – nur für den Dienstgebrauch“ eingestuftes Dokument des Bundesministeriums des Innern veröffentlicht, in dem über die Arbeit des beim BKA eingerichteten Kompetenzzentrums Informationstechnische Überwachung berichtet wird.

Aus dem Dokument ergibt sich u.a., dass eine eigenentwickelte Software für die sog. Quellen-TKÜ nach Einschätzung des BKA bis zum Jahr 2014 fertiggestellt werden kann. Bis dahin will man sich (weiterhin) am Markt mit kommerzieller Software eindecken, konkret mit einem Programm des Herstellers Elaman/Gamma.

Wie man immer wieder hört, sollen bei verschiedensten Behörden, insbesondere auch der Länder, noch andere Programme für eine Online-Durchsuchung / Quellen-TKÜ im Einsatz sein.

Dass für die sog. Quellen-TKÜ derzeit keine ausreichende Rechtsgrundlage vorhanden ist, wird von der Bundesregierung und vom Bundestag ganz offensichtlich hartnäckig ignoriert. Darüber hinaus hat der vom CCC öffentlich gemachte Fall eines Bayerntrojaners gezeigt, dass derartige Programme auch dazu geeignet sind, eine grundrechtswidrige Onlinedurchsuchung durchzuführen und die Behörden von dieser Funktionalität auch Gebrauch gemacht haben.

Bei der anlasslosen Speicherung von TK-Verbindungs- und Standortdaten hat das BVerfG in der Entscheidung zur Vorratsdatenspeicherung eine Speicherdauer von 6 Monaten als gerade noch verfassungsgemäß betrachtet.

Die EU will jetzt eine Richtlinie verabschieden, die die Speicherung von Fluggastdaten für die Dauer von fünf Jahren vorsieht. Zu dem Thema hatte ich schon einmal gebloggt. Es handelt sich dabei letztlich ebenfalls um Verbindungs- und Standortdaten, die speziell bei Vielfliegern auch die Erstellung von Bewegungsprofilen ermöglichen. Die Airlines sollen Daten wie Name, Anschrift, Reiseziel, Sitzplatzreservierung und Zahlungsmittel an eine sog. PNR-Zentralstelle weiterleiten, die in jedem Mitgliedsstaat errichtet wird. Diese Zentralstelle soll diese Daten verarbeiten dürfen, wenn der Verdacht einer schweren Straftat besteht. In diesem Fall darf  die PNR-Zentralstelle die Verarbeitung der Daten anhand im Voraus festgelegter Kriterien vornehmen. Das ist letztlich nichts anderes als eine Rasterfahndung.

Der Innenausschuss des EU-Parlaments wird nächste Woche über das Vorhaben abstimmen. Diese Abstimmung wird wohl bereits vorentscheidend sein für die Abstimmung im Plenum.

Mir stellt sich bei derartigen Vorhaben, die vor 10 Jahren noch jeder in den Bereich der Überwachungsfantasien verwiesen hätte, auch immer die Frage, was als nächstes kommt. Vielleicht, dass die Bahn die Passagierdaten von Reisenden ebenfalls erfassen und an eine staatliche Zentralstelle weiterleiten muss?

Die Bundestagsfraktion der Grünen fordert die Auflösung des Verfassungsschutzes und des MAD und will den gesamten Bereich neu strukturieren.

Die Grünen wollen zunächst ein unabhängiges Institut Demokratieförderung errichten, das die Strukturen und Zusammenhängen gruppenbezogener Menschenfeindlichkeit in Deutschland beobachtet und analysiert. Es soll sich dabei um eine unabhängige Institution ohne hoheitliche Eingriffsbefugnisse handeln, die dem Parlament und der Regierung Bericht erstattet.

Daneben soll eine sog. Inlandsaufklärung geschaffen werden, die den bisherigen Verfassungsschutz ablöst, allerdings mit deutlich eingeschränkten Befugnissen.

Gruppierungen und Einzelpersonen, die ihre Gedanken lediglich in Wort, Schrift und Bild äußern, sollen grundsätzlich nicht mehr mit nachrichtendienstlichen Mitteln überwacht werden, wenn ihre Aktivitäten keinen Gewaltbezug aufweisen. Diese Gruppen gehören zukünftig in die Aufgabensphäre des Instituts Demokratieförderung.

Zur Aufgabe der Inlandsaufklärung soll es aber auch gehören, Bestrebungen zu identifizieren, die dabei sind, Gewaltbezug und Gewaltstrukturen zu entwickeln.

Im Hinblick auf die Inlandsaufklärung sollen die Kontrollrechte des Parlaments gegenüber dem geltenden Recht deutlich gestärkt und auch die Auskunftsrechte der Betroffenen ausgeweitet werden.

Die Fraktion der Grünen hat ganz offensichtlich erkannt, dass der Verfassungsschutz in seiner jetzigen Form nicht behebbare strukturelle und systemische Defizite aufweist und die öffentlich bekannt gewordenen Probleme und Skandale keineswegs nur eine Folge individueller Fehler sind. Der Vorschlag der Grünen stellt, auch wenn einige Punkte noch vage bleiben, im Vergleich zur jetzigen Regelung einen rechtsstaatlichen Quantensprung dar, der zu begrüßen ist, zumal er mit einem konkreten, konstruktiven Konzept aufwartet. Und das ist weit mehr als alle anderen Parteien in dieser Frage bisher angeboten haben.

In Thüringen wurde das Polizeiaufgabengesetz (PAG) 2008 im Hinblick auf die Befugnisse der Polizei zur heimlichen Erhebung von Daten neu geregelt und erweitert. Es geht hierbei u.a. um den Einsatz verdeckter Ermittler, das Abhören von Telefonaten sowie die optische und akustische Wohnraumüberwachung.

Diese Neuregelungen sind vom Thüringischen Verfassungsgerichtshof mit Urteil vom heutigen 21.11.2012 (Az.: VerfGH 19/09) überwiegend für verfassungswidrig erklärt worden. Die Entscheidung wirft sicherlich auch die Frage der Verfassungswidrigkeit ähnlicher Regelungen in den Polizeiaufgabengesetzen anderer Bundesländer auf.

In der Pressemitteilung des Thüringer Verfassungsgerichtshofs heißt es u.a.:

Insbesondere bleibt unklar, inwieweit nach der Vorstellung des Gesetzgebers Berufsgeheimnisträger von polizeilichen Maßnahmen ausgenommen bleiben sollen. Ebenso unzureichend sind die Befugnisse zu heimlichen Datenerhebungen geregelt,
die der Verhütung von Straftaten dienen. Hier reicht es nicht aus, auf einen Katalog von Strafrechtsnormen zu verweisen. Der Charakter der Gefahrenabwehr als Rechtsgüterschutz verlangt insoweit, dass diese polizeilichen Befugnisse das geschützte Rechtsgut und den Grad seiner Gefährdung eindeutig erkennen lassen.
Der durch die Menschenwürde gebotene Schutz des Kernbereichs privater Lebensgestaltung ist lückenhaft ausgestaltet worden. Bei der Überwachung der Telekommunikation und der Erhebung von Daten mit besonderen Mitteln (z. B. beim Abhören des nicht öffentlich gesprochenen Wortes außerhalb einer Wohnung) fehlt eine umfassende und eindeutige Vorschrift, dass im Fall der Verletzung des Kernbereichs die Maßnahme abzubrechen ist. Ebenso hat der Gesetzgeber es unterlassen, die Polizei zu verpflichten, die Tatsache der Erfassung und die Löschung aller kernbereichsrelevanten Daten zu protokollieren. Die Dokumentation ist für den Betroffenen unabdingbar, um eine Verletzung seiner Rechte vor den Gerichten geltend zu machen. Zudem ist der Gesetzgeber den verfassungsrechtlichen Anforderungen nicht gerecht geworden, soweit er die nachträgliche Benachrichtigung über heimliche Überwachungen geregelt hat. Die gesetzlichen Bestimmungen erlauben der Polizei, von der Unterrichtung abzusehen, wenn sie den weiteren Einsatz einer verdeckt ermittelnden Person (z. B. eines verdeckten Ermittlers oder einer Vertrauensperson) beabsichtigt. Diese Regelung lässt außer Acht, dass jeder, der von einer heimlichen Überwachung betroffen ist, einen grundrechtlich gesicherten Anspruch hat, nach Beendigung der Maßnahme von dem Eingriff in seine Privatsphäre informiert zu werden. Ausnahmen müssen den Grundsatz der Verhältnismäßigkeit beachten und im Hinblick auf die Schwere des Grundrechtseingriffs eine Abwägung der widerstreitenden Interessen ermöglichen.

Netzpolitik.org erläutert in einem aktuellen Blogbeitrag, dass die Telekom und Kabel Deutschland das Produkt „Service Control Engine“ von Cisco einsetzen, das eine Deep Packet Inspection (DPI) ermöglicht. Mittels DPI werden sämtliche transportierten Datenpakete systematisch ausgelesen und analysiert. CCC-Mitglied Rüdiger Weis hat das kürzlich gegenüber der taz sehr anschaulich erläutert.

Totalitäre Staaten wie China und jetzt auch Russland benutzen DPI dazu, das Internet zu überwachen und zu zensieren. In Deutschland setzen Provider DPI nach eigenen Angaben dazu ein, um beispielsweise Filesharing auszubremsen oder um Internettelefonie (Skype) zu unterbinden, wenn der von dem Kunden gebuchte Tarif eine solche Nutzung vertraglich nicht zulässt.

Zu dem Thema hatte ich kürzlich bereits gebloggt und die Rechtsansicht vertreten, dass der Einsatz von DPI gegen § 88 TKG verstößt und damit in Deutschland unzulässig ist.

Die Einhaltung des Fernmeldegeheimnisses ist nach dem TKG in der Tat allerdings nicht als Aufgabe der Bundesnetzagentur definiert, weshalb die von netzpolitik.org geschilderte Reaktion der Behörde formal nicht zu beanstanden ist. Es stellt sich hier dennoch die Frage, ob sich der Staat einfach raushalten kann, wenn er erkennt, dass deutsche TK-Anbieter systematisch gegen das (einfachgesetzliche) Fernmeldegeheimnis verstoßen. Denn der Staat hat natürlich auch eine Schutzpflicht für die Grundrechte seiner Bürger. Insoweit stellt sich die Frage, ob das Fernmeldegeheimnis des TKG gesetzlich ausreichend abgesichert ist oder ob der Gesetzgeber nicht doch die Einhaltung des Fernmeldegeheimnisses und eine Sanktionierung von Verstößen behördlicherseits sicherstellen müsste.

Nachdem der Straftatbestand des § 206 StGB erst dann eingreift, wenn Informationen, die dem Fernmeldegeheimnis unterliegen an einen anderen weitergegeben werden, stellt der Verstoß gegen § 88 TKG derzeit wohl (nur) eine zivilrechtliche Verletzung der Rechte des Providerkunden dar, gegen die Unterlassungs- und Schadensersatzansprüche in Betracht kommen.