on
– 65 –
Angesichts der verfassungsrechtlichen Bedenken und der
aus meiner Sicht unlösbaren praktischen Fragen rege ich
an, das Projekt Online-Durchsuchungen nicht länger zu
verfolgen.
Ich werde die Ermittlungstätigkeit der Sicherheitsbehörden im Internet weiterhin aufmerksam beobachten.
5.1.4
Kontrolle des Gemeinsamen Terrorismusabwehrzentrums in Berlin
Die Kontrolle des Gemeinsamen Terrorismusabwehrzentrums hat schwerwiegende datenschutzrechtliche Mängel
offenbart.
Das im Dezember 2004 neu errichtete Gemeinsame Terrorismusabwehrzentrum (GTAZ) ist ein wichtiger Baustein der neuen Sicherheitsarchitektur der Bundesregierung (vgl. 20. TB Nr. 5.1.1). In diesem Zentrum arbeiten
Dagegen habe ich die rechtswidrige Datenübermittlung
des BKA an das BfV nach § 25 BDSG beanstandet. Wie
das BKA mitteilte, handelte es sich bei den übermittelten
Daten im Wesentlichen um Informationen, die das BKA
von den Landeskriminalämtern (LKÄ) erhalten hat. Das
BKA sei dabei im Vertrauen auf eine ordnungsgemäße
Selektion dieser Informationen durch die LKÄ davon
ausgegangen, die Daten seien für den polizeilichen
Staatsschutz und zur Terrorismusbekämpfung erforderlich gewesen. Dementsprechend habe keine Notwendigkeit zur eigenständigen Prüfung bestanden. Im übrigen
vertritt das BKA die Auffassung, dass für diese Datenübermittlungen des BKA an das BfV im Rahmen des
GTAZ
§ 18
Abs. 3 Bundesverfassungsschutzgesetz
(BVerfSchG) Anwendung finde und die Datenübermittlungen demnach auf ein Übermittlungsersuchen des BfV
gestützt worden seien.
Dieser Rechtsauffassung habe ich widersprochen und
darauf hingewiesen, ein „Ersuchen“ im Sinne des § 18
Abs. 3 BVerfSchG könne nur in einem konkreten Einzelfall, d.h. unter Berücksichtigung der spezifischen Einzelfallumstände, erfolgen. Da im Rahmen der GTAZ-Kooperation eine umfassende Zusammenarbeit, d. h. ein
genereller, standardisierter Datenaustausch zwischen
BKA und BfV zur Terrorismusabwehr stattfindet, kann
dieser Datenaustausch nicht auf § 18 Abs. 3 BVerfSchG
als Rechtsgrundlage gestützt werden. Weil das BKA die
Pflicht zur Datenübermittlung im Rahmen des GTAZ hat,
ist § 18 Abs. 1 BVerfSchG die für die Datenübermittlung
einschlägige Rechtsgrundlage. Demnach hätte das BKA
das Vorliegen der Übermittlungsvoraussetzungen prüfen
müssen.
Entsprechendes gilt auch für Datenübermittlungen der
Bundespolizei an das BfV. Diesen datenschutzrechtlichen
Verstoß habe ich ebenfalls nach § 25 BDSG beanstandet.
Gegenstand des Beratungs- und Kontrollbesuchs war
auch die Übermittlung personenbezogener Daten an so
genannte Drittstaaten, d. h. an Staaten außerhalb der Europäischen Union. Gemäß § 14 Abs. 7 Satz 7 BKAG
muss eine Datenübermittlung durch das BKA unterbleiBfDI 21. Tätigkeitsbericht 2005-2006
s
Außerdem würden Online-Durchsuchungen das Vertrauen in die Sicherheit des Internet erheblich beschädigen. Ganz praktisch stellt sich nämlich die Frage, wie Online-Durchsuchungen durchgeführt werden sollen. Bisher
wurden Nutzer und Hersteller von Computerprogrammen
gewarnt, wenn staatliche Stellen – etwa das Bundesamt
für die Sicherheit in der Informationstechnik – Sicherheitslücken festgestellt hatten und es wurden ihnen Wege
zu deren Behebung aufgezeigt. Sollen etwa in Zukunft
derartige Warnungen unterbleiben, weil staatlichen Stellen ansonsten das Eindringen in Computer über das Internet erschwert würde? Oder sollen die Hersteller zukünftig
„Hintertüren“ in ihre Software einbauen, die OnlineDurchsuchungen ermöglichen? Schließlich müsste auch
die Frage beantwortet werden, wie Hacker und Spione
daran gehindert werden sollen, die für Sicherheitsbehörden eingebauten bzw. offen gelassenen verdeckten Zugangsmöglichkeiten zu nutzen, um in Privatcomputer einzudringen.
Im Oktober 2005 habe ich einen Beratungs- und Kontrollbesuch im GTAZ durchgeführt und dabei festgestellt,
dass das Bundeskriminalamt (BKA) eine Vielzahl personenbezogener Daten ohne Rechtsgrundlage an das Bundesamt für Verfassungsschutz (BfV) übermittelt hat.
Diese Daten waren weder zur Terrorismusbekämpfung
noch zur sonstigen Aufgabenerfüllung des BfV erforderlich. Hierauf hatte das BfV das BKA nach Erhalt der Daten hingewiesen, aber entgegen der gesetzlichen Verpflichtung die in Papierform erhaltenen Unterlagen nicht
zur weiteren Verwendung gesperrt. Meinem Petitum folgend hat das BfV dies im Kontrolltermin umgehend nachgeholt. Insoweit habe ich deswegen von einer Beanstandung abgesehen.
ev
i
Ich teile diese Kritik. Online-Durchsuchungen von Computern greifen unverhältnismäßig tief in das Recht auf informationelle Selbstbestimmung der davon betroffenen
Internet-Nutzer ein. Durch die Maßnahme werden auch
private Inhalte des Computers erfasst (etwa Arztrechnungen oder Tagebücher), ohne dass der Kernbereich privater
Lebensgestaltung dabei entsprechend geschützt ist. Wie
bei allen verdeckten Erhebungsmaßnahmen wird auch bei
der „Online-Durchsuchung“ der Betroffene in der Regel
von der Maßnahme nicht unterrichtet, was seine Rechtsschutzmöglichkeiten stark einschränkt.
alle für die Terrorismusbekämpfung relevanten Sicherheitsbehörden des Bundes und der Länder (Bundeskriminalamt, Bundesamt für Verfassungsschutz, Bundesnachrichtendienst, Kriminal- und Verfassungsschutzämter der
Länder, Bundespolizei, Zollkriminalamt, Militärischer
Abschirmdienst und Generalbundesanwalt, zusammen.
R
die Nachrichtendienste des Bundes zulässig. Die bis jetzt
vorliegenden Gesetzentwürfe der Bundesregierung über
Regelungen im Sicherheitsbereich enthalten auch keine
entsprechenden Vorschläge. Allerdings ist eine entsprechende Änderung des nordrhein-westfälischen Verfassungsschutzgesetzes erfolgt, die nach Auffassung der nordrhein-westfälischen Landesbeauftragten für Datenschutz
und Informationsfreiheit in „Widerspruch zu den klaren
Vorgaben des Bundesverfassungsgerichts“ steht, insbesondere weil bei Online-Durchsuchungen der Schutz des
Kernbereichs der Privatsphäre nicht gewährleistet werden
kann.