Drucksache 17/13000
94 ––
–– 94
sible Daten handelt und ich deren systematische Übertragung und Speicherung in der RED nicht erwartet hätte.
Diese Feststellungen erfordern – ebenso wie andere
Punkte – weitergehende Kontrollen, auch um die Dimension der Problematik ermitteln zu können. Bis zum Redaktionsschluss konnte ich diese Prüfungen noch nicht
durchführen. Eine abschließende Bewertung ist erst danach möglich.
K a s t e n z u N r. 7 . 3
Erweiterte Grunddaten (§ 3 Absatz 1 Ziffer 1
Buchstabe b REDG)
Hierzu gehören sehr umfängliche Daten, wie z. B. eigene oder von Dritten genutzte Telekommunikationsanschlüsse und Telekommunikationsendgeräte, Adressen
für elektronische Post, Bankverbindungen, Schließfächer, auf die Person zugelassene oder von ihr genutzte
Fahrzeuge, Angaben zum Schulabschluss, zur berufsqualifizierenden Ausbildung und zum ausgeübten Beruf, Angaben zu einer gegenwärtigen oder früheren
Tätigkeit in einer lebenswichtigen Einrichtung, Sprachkenntnisse, zusammenfassende besondere Bemerkungen, ergänzende Hinweise und Bewertungen sowie
zahlreiche weitere Informationen (vgl. § 3 Absatz 1 Ziffer 1 Buchstabe b Doppelbuchstabe aa bis uu).
7.4
Bundeskriminalamt
7.4.1
Quellen-Telekommunikationsüberwachung
Bei der sog. Quellen-Telekommunikationsüberwachung
habe ich Mängel festgestellt.
Ich habe die von Bundeskriminalamt, Zollkriminalamt
und Bundespolizei durchgeführten Telekommunikationsüberwachungen datenschutzrechtlich kontrolliert (vgl.
zum ZKA bereits 23. TB Nr. 7.4). Dabei habe ich Mängel
bei der technischen Absicherung der Maßnahmen und
den Löschungsmechanismen für Erkenntnisse aus dem
Kernbereich privater Lebensgestaltung festgestellt. Bis zu
meiner Kontrolle waren 40 Quellen-Telekommunikationsüberwachungen durchgeführt worden (vgl. Kasten
zu Nr. 7.4.1).
Mangelhaft war die Absicherung der ausgeleiteten Datenströme. Diese waren mit einem unzureichenden Verschlüsselungsmechanismus versehen. Darüber hinaus war
nicht ausreichend sichergestellt, dass sich die an den technischen Prozessen beteiligten Personen und Systeme
hinreichend sicher authentisieren. Die vorhandenen Protokolle in Verbindung mit anderen Informationen ermöglichten zwar eine gute Nachvollziehbarkeit der Aktionen/
Zugriffe, entsprechen aber nicht den Anforderungen des
§ 20l Absatz 2 Satz 2 i. V. m. § 20k Absatz 3 BKAG. Dies
habe ich gegenüber dem Bundesministerium des Innern
und dem Bundesministerium der Finanzen formell beanstandet. Durch die Infiltration des Computers können Sicherheitslücken geschaffen werden, die es auch Dritten
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
ermöglichen, in das System einzudringen. Daher müssen
Datenströme zum einen sicher verschlüsselt sein. Zum
anderen dürfen nur legitimierte Personen und Systeme
auf die Daten zugreifen können (Authentifizierung). Ich
habe Anhaltspunkte dafür gefunden, dass beide Mechanismen unzureichend in der Überwachungssoftware implementiert wurden und der Schlüssel für Dritte leicht zu
finden war.
Eine genaue technische Analyse war mir allerdings nicht
möglich. Der Quellcode der eingesetzten Software war
nicht dokumentiert. Das Bundeskriminalamt hat sich
noch bemüht, auf den Hersteller der Software einzuwirken, um mir den Quellcode zur Verfügung zu stellen. Dieser hat jedoch von meinen Mitarbeitern verlangt, eine
Verschwiegenheitserklärung zu unterschreiben. Zudem
verlangte der Hersteller einen erheblichen Geldbetrag für
seinen Personaleinsatz. Beides habe ich abgelehnt. Meine
Prüfkompetenz kann nur durch Gesetz eingeschränkt
werden. Eine vertragliche Geheimhaltungsvereinbarung
würde zudem meine gesetzlichen Berichtspflichten beeinträchtigen, zum Beispiel gegenüber dem Deutschen Bundestag. Der Hersteller der Software ist weder mein
Vertragspartner noch unterliegt er meiner datenschutzrechtlichen Kontrolle. Kann der Quellcode nicht von der
geprüften Behörde für Zwecke der Datenschutzkontrolle
zur Verfügung gestellt werden, endet meine datenschutzrechtliche Kontrollmöglichkeit.
Ich habe mir bei der Kontrolle neben dem technischen
System auch die erlangten Informationen genau angesehen. Aus den eingesehenen Unterlagen und Dateien ergaben sich keine Anhaltspunkte dafür, die Behörden hätten
mit der eingesetzten Software über die laufende Telekommunikation hinaus Daten erhoben oder die Nutzer weitergehend überwacht. Insbesondere fand ich keine Bildschirmfotos, Nutzerdateien oder dergleichen.
Rechtlich konnte ich die Maßnahmen nur begrenzt prüfen. Soweit die Behörden Maßnahmen im Auftrag von
Staatsanwaltschaften der Länder durchführten, war ich
nur insoweit kontrollbefugt, als die Bundesbehörden einen eigenen Entscheidungsspielraum hatten. Die notwendigen richterlichen Beschlüsse konnten mir vorgelegt
werden. Wie sich aus diesen ergab, waren die Maßnahmen zulässig. Den Inhalt der Beschlüsse bewerte ich aus
Respekt vor der richterlichen Unabhängigkeit nicht. In
rechtspolitischer Hinsicht sehe ich im Bereich strafrechtlicher Ermittlungen aber keine Rechtsgrundlage für diese
Maßnahmen. Die entsprechende Vorschrift der Strafprozessordnung sieht nicht vor, dass Computer heimlich mit
einer Software infiltriert werden. Entsprechend gilt dies
für die Vorschriften im Zollbereich.
Die gesetzlichen Bestimmungen beziehen sich nur auf die
herkömmliche Form der Telekommunikationsüberwachung, bei der die Telekommunikationsanbieter die
Gespräche auf Anordnung der Sicherheitsbehörden ausleiten. Auf die mit der Quellen-Telekommunikationsüberwachung verbundenen zusätzlichen Risiken hat das Bundesverfassungsgericht in seiner Entscheidung zur sog.
Onlinedurchsuchung ausdrücklich hingewiesen und besondere gesetzliche Regelungen für derartige besonders