Wo sind die Grenzen der Überwachung in einer Demokratie?

Zugegeben eine etwas altbackene Frage, aber sie beschäftigt uns immer wieder. Auch heute will ich vor allem auf aktuelle Gesetze und solche, die es werden wollen, eingehen und diese einmal kritisch beleuchten.

Im letzten Monat hatte ich bereits kurz darüber berichtet, dass Bundespräsident Frank-Walter Steinmeier Bedenken beim Unterschreiben des Gesetzes gegen Hasskriminalität hat. In der vorliegenden Form sollte das Gesetz die Betreiber sozialer Netzwerke dazu verpflichten, Hassbotschaften an das Bundeskriminalamt (BKA) melden zu müssen, damit sie von den Ermittlungsbehörden verfolgt werden können. Darunter fallen etwa Morddrohungen, Volksverhetzung und Gewaltdarstellungen, die Billigung von Straftaten sowie die Verbreitung von Kinderpornografie. Dem BKA wiederum wäre es gestattet, auf Nutzerdaten bei Telekommunikationsunternehmen zuzugreifen.

Aber genau solche Abfragen zur sogenannten Bestandsdatenauskunft hatte das Bundesverfassungsgericht in einem anderen Urteil im Juli grundsätzlich beanstandet. So kam auch der Wissenschaftliche Dienst des Bundestags zu dem Schluss, dass dieses Urteil Auswirkungen auf das Gesetz gegen Hasskriminalität (und auch ein Gesetz zur Neustrukturierung des Zollfahndungsdienstes) haben müsste. Auch das Bundespräsidialamt verkündete nun, es sei „nicht streitig“, dass bestimmte Normen im neuen Gesetz gegen Hasskriminalität verfassungswidrig seien. Bundestag und Bundesrat hatten ihm zwar bereits zugestimmt; da der neuerliche Richterspruch aber erst danach fiel, setzte Steinmeier als letzte Instanz vor der Verkündung die sogenannte Ausfertigung des Gesetzes aus und hat nun mit der Bundesregierung eine Überarbeitung vereinbart. Es bleibt spannend, was dabei herauskommt.

Mit einem anderen Gesetz soll der Bundesnachrichtendienst (BND) „endlich“ auch offiziell die Lizenz zum Hacken bekommen. Dass der BND eine Hacker-Einheit unterhält, flog spätestens im Jahr 2006 auf, als Computer des afghanischen Handelsministers ausgespäht wurden und der BND dadurch auch die E-Mails einer deutschen Journalistin mitlas. Damit gab es gleich Probleme: 1. Die Kommunikation von Journalisten als Berufsgeheimnisträger ist besonders streng geschützt. 2. Der BND darf in der Regel keine Deutschen überwachen. 3. Es gab keine gesetzliche Grundlage zum Hacken. Auch im neuen Gesetz 2016 wurde diese Möglichkeit nur indirekt impliziert.

Das Bundesverfassungsgericht setzte dem BND zuletzt im Mai Grenzen: Demnach ist der deutsche Staat auch im Ausland an Grundrechte gebunden, Menschenwürde und Fernmeldegeheimnis gelten nicht nur für Deutsche. Eigentlich logisch, zumal nach dem Aufschrei über die Enthüllungen Edward Snowdens, die zeigten, dass die USA die ganze Welt ausspähen. Karlsruhe kippte also folgerichtig das erst vier Jahre alte BND-Gesetz der Großen Koalition, weil es verfassungswidrig ist, und setzte eine Frist bis Ende 2021, um nachzubessern. Die Zeit drängt also vor der Bundestagswahl.

Nun liegt ein Referentenentwurf aus dem Bundeskanzleramt vor, der – wie zu erwarten – dem BND noch die maximal vom Verfassungsgericht zugestandenen Befugnisse erteilt, um diesen so wenig wie möglich einzuschränken. Endlich widmet sich ein Paragraf einer expliziten Definition, wie der BND heimlich in IT-Systeme von Ausländern im Ausland eingreifen darf. Eine Befugniserweiterung sieht das Kanzleramt darin nicht, denn – und jetzt kommt’s – eine solche Praxis gebe es ja bereits. Das Gesetz wird also an die Praxis angepasst und legalisiert das fragwürdige Verhalten des BND nun im Nachhinein. Konkret soll der BND jetzt also Ausländer hacken dürfen, um die Bundesregierung politisch zu unterrichten, wenn sich dadurch „Daten zu Themen von besonderer außen- und sicherheitspolitischer Bedeutung gewinnen lassen“. In einem geheimen Auftragsprofil will die Bundesregierung dem BND mitteilen, für welche Regionen, Themen oder Gruppen sie sich interessiert.

Indes darf der BND auch zur „Früherkennung von aus dem Ausland drohenden Gefahren von internationaler Bedeutung“ hacken, wenn diese von „erheblicher Bedeutung“ seien, heißt es im Gesetzentwurf. Dazu gehören „krisenhafte Entwicklungen“ ebenso wie Terrorismus oder größere Angriffe mit Schad-Software. Der BND beobachtet nicht nur Krisengebiete und Terrorgruppen, sondern auch Migration und „Hacktivismus“. Darüber sammelt er Informationen, wertet sie aus und schreibt rund 400 Berichte pro Monat. Problematisch wird es wieder dann, wenn ganze Plattformen ausgewertet werden, weil hier z.B. terroristische Aktivität vermutet wird, dann aber viel „Beifang“ entsteht. Denn dort sind ja auch viele unbescholtene Nutzer (oder in dem Fall einfach: deutsche Staatsbürger, die der BND per se nicht überwachen darf) unterwegs. Das ist natürlich hochproblematisch – und da sind wir wieder bei der bekannten Problemstellung Freiheit vs. Sicherheit, wo es im Prinzip unmöglich ist alle Beteiligten zufriedenzustellen. Deswegen würde ich hier gerne einen Schlussstrich zu dem Thema für heute ziehen.

Aber so einfach geht das nicht: Denn unter dem Deckmantel der Terror-Abwehr sollen neben dem BND auch der Verfassungsschutz und der Militärische Abschirmdienst (MAD) neue Befugnisse erhalten und in Messenger-Apps wie WhatsApp mitlesen dürfen. Bisher war nur das Abhören von Gesprächen erlaubt. Der entsprechende Gesetzentwurf aus dem Bundesinnenministerium sieht zudem einen erweiterten Austausch von Informationen zwischen dem MAD und den Verfassungsschutzbehörden vor. Ebenso sollen die Hürden für die Beobachtung von Einzelpersonen durch den Verfassungsschutz sinken. Damit zieht die Bundesregierung Konsequenzen aus den rechtsextrem motivierten Terroranschlägen in Halle und Hanau. Beide Anschläge waren von Tätern verübt worden, die nach bisherigen Erkenntnissen keiner Gruppierung angehörten, sondern sich online radikalisierten. Eine Überwachung muss in jedem Fall richterlich genehmigt werden und soll dann durch sogenannte Quellen-TKÜ bei verschlüsselten Messenger-Diensten stattfinden. Bei dieser Form der Telekommunikationsüberwachung wird Kommunikation vor oder nach der Verschlüsselung abgefangen. Die CDU argumentiert, nur so könne der Inlandsgeheimdienst auch im digitalen Zeitalter seine Rolle als Frühwarnsystem weiter ausüben, während die FDP und auch der Bundesdatenschutzbeauftragte Kelber vor einem „Ausverkauf der Bürgerrechte“, massiven Grundrechtseingriffen, der Ermöglichung von Onlinedurchsuchungen durch die Hintertür und dem Übertreten des verfassungsrechtlichen Trennungsgebots zwischen Polizeibehörden und Nachrichtendiensten warnte.

Das Dauerthema Vorratsdatenspeicherung hatte kürzlich der EuGH mal wieder auf der Agenda. Vorratsdatenspeicherung bedeutet die flächendeckende Erfassung von Daten, die bei einem Telefonat oder beim Internetverkehr anfallen. Telekommunikationsanbieter sollen die Daten ohne Anlass – „auf Vorrat“ – speichern und staatlichen Behörden übergeben, die sie dann für die Strafverfolgung in schweren Fällen nutzen können. Inhalte der Kommunikation werden zwar nicht erfasst, dennoch lassen sich allein aus den Metadaten – wer wann mit wem wie lange und von wo kommuniziert – bereits gravierende Rückschlüsse ziehen.

Grundsätzlich bestätigte das Oberste EU-Gericht zwar sein Urteil aus dem Jahr 2006, wonach eine flächendeckende und pauschale Speicherung von Internet- und Telefon-Verbindungsdaten nach wie vor nicht zulässig ist. Fortan gibt es aber Ausnahmen, z.B. bei der Bekämpfung schwerer Kriminalität oder einer konkreten Bedrohung der nationalen Sicherheit. Bei diesen Ausnahmen sei eine zeitliche Begrenzung “absolut notwendig”, so die Richter. Damit versuchen die Richter die berüchtigte Balance zwischen Freiheit und Sicherheit aufrechtzuerhalten. Der EuGH bezog sich in seinem Urteil auf Fälle aus Frankreich, Belgien und Großbritannien. Eine EU-Arbeitsgruppe arbeitet auch bereits an einem neuen Entwurf zur Vorratsdatenspeicherung.

Für Deutschland läuft ein separates Verfahren, in welchem das Urteil noch aussteht. Hierzulande wurde die Vorratsdatenspeicherung eigentlich im Jahr 2017 auch wieder eingeführt. Daten sollten zehn Wochenlang  gespeichert werden. Die Bundesnetzagentur hatte den Speicherzwang für Internet-Provider und Telefonanbieter aber sogleich vorläufig ausgesetzt, als das Oberverwaltungsgericht NRW eine verdachtsunabhängige Speicherung von Standort- und Verkehrsdaten nicht mit europäischem Recht für vereinbar erklärt hatte. Als Reaktion auf das jüngste Urteil forderte der Bundesdatenschutzbeauftragte Kelber die Bundesregierung dazu auf, das Urteil als Grenze für zukünftige Gesetze zu sehen.

Jetzt nochmal ein etwas anderes Thema: Anfang Oktober hat die DSGVO mal wieder „zugeschlagen“die Hamburger Datenschutzbehörde hat ein saftiges Bußgeld von über 35 Millionen Euro gegen H&M verhängt. Denn der Modekonzern hatte in einem Nürnberger Servicecenter mindestens seit 2014 sehr private Daten zentral erfasst. Im Rahmen der „Mitarbeiterbetreuung“ gab es nach Urlaub oder Krankheit sogenannte „Welcome Back Talks“, in denen sowohl Urlaubserlebnisse wie auch Krankheitssymptome und Diagnosen besprochen und dokumentiert wurden. Wohl dem Flurfunk entnahmen die Vorgesetzten dann auch noch Details zum Privatleben der Mitarbeiter, wie religiöse Bekenntnisse oder familiäre Probleme, und speicherten diese ordentlich digital ab, sodass zeitweise bis zu 50 Führungskräfte darauf zugreifen konnten. Schließlich wurden diese Erkenntnisse sogar zu Auswertungen von individuellen Arbeitsleistungen sowie zur Erstellung von Profilen der Beschäftigten genutzt, um daraus Maßnahmen und Entscheidungen das Arbeitsverhältnis betreffend zu ergreifen. Also wirklich das volle Programm.

Bekannt wurde das Ganze – wie so oft – durch einen „Fehler“ in der IT. Die vorgenannten Datensätze waren im Oktober 2019 für einige Stunden unternehmensweit abrufbar. Der Hamburger Datenschutzbeauftragte, der wegen des Deutschlandsitzes in Hamburg zuständig war, sprach angesichts des Ausmaßes der Datensammelwut von einer schweren Missachtung des Beschäftigtendatenschutzes, was sich entsprechend in der angemessenen Höhe des Bußgeldes widerspiegele. So sollen auch andere Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abgeschreckt werden. Es dürfte sich wohl um das bisher höchste in Deutschland nach der DSGVO verhängte Bußgeld handeln. EU-weit lag nur Frankreichs Bußgeld gegen Google in Höhe von 50 Millionen Euro höher. H&M zeigte Reue, legte keine Berufung gegen die Entscheidung ein, entschuldigte sich, entschädigte die Betroffenen finanziell und gelobte Besserung – das soll der Vollständigkeit halber hier dazu gesagt werden.