– 113 –
18
MAD
18.1
Änderung des MAD-Gesetzes
18.1.1
Gesetzesinitiative muss neu gestartet
werden – Zugriff auf PERFIS weiterhin
ohne gesetzliche Grundlage
In meinem 18. TB (Nr. 15.1) habe ich von einem Gesetzgebungsvorhaben zur Änderung des MAD-Gesetzes berichtet,
das den automatisierten Zugriff des MAD-Amtes auf das
Personalführungs- und Informationssystem der Bundeswehr
(PERFIS – vgl. hierzu auch Nr. 30.2) auf eine spezialgesetzliche Grundlage stellen sollte. Diese ist erforderlich, da es
sich beim Zugriff auf das Datenbankprogramm PERFIS um
eine automatisierte Abfrage von Personaldaten handelt. Das
davon betroffene Personaldatengeheimnis darf nur durchbrochen werden, wenn dies nach dem Bundesbeamtengesetz
bzw. dem Soldatengesetz zulässig ist. Da dies bisher nicht
der Fall ist, hatte ich seit langem eine spezialgesetzliche Regelung für diesen Zugriff auf PERFIS für Zwecke des MAD
gefordert. In dem Entwurf eines Ersten Gesetzes zur Änderung des MAD-Gesetzes (Bundesratsdrucksache 1078/01
vom 21. Dezember 2001) waren meine datenschutzrechtlichen Forderungen berücksichtigt. Der Gesetzentwurf war
das Ergebnis eingehender Beratungen des BMVg mit den
beteiligten Ressorts und mir. Gegenüber früheren Entwürfen
enthielt er deutliche Verbesserungen, wie z. B.
– die Auflistung von – nur noch – sieben unbedingt zur
Identifizierung erforderlichen Personaldaten aus PERFIS
(von insgesamt über 400 Datenfeldern);
– die Zweckbindung der Abrufe;
– die Vollprotokollierung aller Abrufe zu Kontrollzwecken;
– den Erforderlichkeitsgrundsatz im § 14 Abs. 2, wonach die
Übermittlung von Informationen an den MAD nach § 10
Abs. 1 MAD-Gesetz nur rechtmäßig ist, wenn sie „erforderlich sein können“ (vorher: „dienlich sein können“);
– detaillierte Einzelheiten in der vom BMVg zu erlassenden Dienstvorschrift, bei der ich vor Erlass und auch vor
jeder Änderung anzuhören bin.
Der Gesetzentwurf unterfiel der Diskontinuität, da er bis
zum Ende der letzten Legislaturperiode nicht mehr verabschiedet wurde. Nach meinen Erkenntnissen lag dies in unterschiedlichen politischen Auffassungen zu dem ebenfalls
in dem Entwurf geregelten Auslandseinsatz des MAD begründet. Bis Redaktionsschluss hat die Bundesregierung
noch keinen neuen Gesetzesentwurf vorgelegt.
18.1.2
Änderung des MAD-Gesetzes durch das
Terrorismusbekämpfungsgesetz
Durch das Terrorismusbekämpfungsgesetz (s. o. Nr. 2.2) ist
die Aufgabenstellung des MAD wie beim BfV auf die Beobachtung von Bestrebungen, die gegen den Gedanken der
Völkerverständigung, insbesondere gegen das friedliche Zusammenleben der Völker gerichtet sind, für den Personenkreis, für den er zuständig ist, erweitert worden. Weiter darf
er nach § 10 Abs. 3 MAD-Gesetz bei Betreibern von Telekommunikationsdiensten und Telediensten Auskünfte über
Telekommunikationsverbindungsdaten und Teledienstenutzungsdaten einholen. Seine Befugnisse bleiben damit hinter
denen des BfV (§ 8 Abs. 5 bis 8 BVerfSchG, s. o. Nr. 17.1)
und denen des BND (§ 2 Abs. 1a und § 8 Abs. 3a BND-Gesetz, s. u. Nr. 19.1) zurück. Wegen meiner grundsätzlichen
Bedenken gegen diese neuen Befugnisse verweise ich auf
die Ausführungen zu Nr. 17.1.
18.2
„Elektronisches Büro“ im MAD-Amt – ein
Konflikt mit dem Datenschutz
BMVg und MAD-Amt haben mich frühzeitig an der Planung eines IT-Vorhabens beteiligt, das die Informationsverarbeitung des MAD durch ein Dokumentenmanagement-,
ein Archiv- und ein Workflowsystem wesentlich verbessern
und erweitern soll. Mit dem Projekt in einer Abteilung beginnend, sollen auch datenschutzrechtliche Anliegen wie
Zugriffsschutz auf Daten und Protokollierungen zum Zweck
nachhaltiger Kontrollmöglichkeiten verbessert werden.
Dabei tritt das Problem auf, dass die elektronische Speicherung und weitere Verarbeitung von Texten, Unterlagen und
ganzen Akten zwangsläufig auch zur Speicherung und Weiterverarbeitung von Daten über Personen führt, die nicht die
Speicherkriterien des MAD-Gesetzes erfüllen. So erfolgt
etwa bei der elektronischen Speicherung von Medienberichten eine Erfassung von Personen, die nicht in den Zuständigkeitsbereich des MAD fallen (u. a. Randpersonen, Politiker, Wissenschaftler, Künstler). Solche Datensammlungen
sind mit der geltenden Rechtslage nicht vereinbar. Damit
stellt sich hier das gleiche Problem wie bei der Realisierung
des „elektronischen Büros“ im BfV (s. 18. TB Nr. 14.1).
Auch beim MAD-Amt will ich mich mit Blick auf die technische Entwicklung einer Übergangslösung, die die Speicherung und eingeschränkte weitere Verarbeitung und Nutzung dieser Datensammlungen ermöglicht, bis zum Erlass
einer normenklaren Regelung nicht verschließen.
Zu dem hier interessierenden Punkt wurde mir erklärt, eine
Recherchemöglichkeit werde nur bezüglich solcher Personen
eingerichtet, für die der MAD zuständig ist, und die damit die
Speicherkriterien nach dem MAD-Gesetz erfüllen. Bei einem gescannten Dokument soll für diesen Personenkreis ein
separater Datensatz angelegt werden; nur insoweit sei eine
Recherche möglich. Gegen ein solches Vorgehen hätte ich
keine grundsätzlichen datenschutzrechtlichen Bedenken.
Weiter wollen BMVg und MAD-Amt dem Problem über
eine dezidierte Protokollierung der Zugriffe auf besondere
Dateien, d. h. in besonders geschützte Speicherbereiche, begegnen. Diese stehen den allgemeinen Anwendern nicht zur
Verfügung, sondern nur dem Auditor, den behördlichen Datenschutzbeauftragten und den für die IT-Sicherheit Verantwortlichen. Meine Kontrollmöglichkeit bleibt davon unberührt. Die datenschutzrechtlich gebotenen Regelungen
müssten im Rahmen einer Dateianordnung abschließend
und für die Bearbeiter eindeutig festgelegt werden.
Ich habe dem BMVg mitgeteilt, dass ich gegen eine Weiterführung des Projekts unter Beachtung der o. g. Anforderungen keine grundlegenden Einwände habe. Bis zum Redaktionsschluss lagen mir allerdings die Feinkonzepte noch nicht
vor, sodass eine abschließende Bewertung derzeit nicht
möglich ist.
18.3
Datenschutzrechtliche Kontrolle
Im Berichtszeitraum habe ich eine datenschutzrechtliche Kontrolle bei der MAD-Stelle Düsseldorf – einer von 14 MAD-
BfD 19. Tätigkeitsbericht 2001–2002