https://netzpolitik.org/2024/bka-gesetz-schon-jetzt-verfassungswidrig/
Innenministerin Faeser will dem BKA heimliche Wohnungsdurchsuchungen erlauben, auch zur vereinfachten Installation von Staatstrojanern. Für biometrische Daten soll das BKA auch das Internet durchsuchen dürfen. Wir fragen Simone Ruf und David Werdermann von der Gesellschaft für Freiheitsrechte, was von den Plänen zu halten ist.
Bundesinnenministerin Nancy Faeser (SPD) plant eine gesetzliche Befugnis zum verdeckten Betreten von Wohnungen, die wir veröffentlicht haben. Die heimliche Wohnungsdurchsuchung soll dem Bundeskriminalamt künftig erlaubt werden, auch um es technisch zu erleichtern, Staatstrojaner auf den Computersystemen in den Wohnungen zu installieren.
Zudem soll die Behörde mit dem neuen BKA-Gesetz erstmals Möglichkeiten der digitalen Rasterfahndung erhalten: Das BKA soll eine Big-Data-Datenbank aus eigenen Polizeidaten erstellen und diese Informationen analysieren dürfen, entweder in Eigenentwicklung oder „als kommerzielle Lösung“. Der BKA-Gesetzentwurf umfasst auch mehr Möglichkeiten zur Gesichtserkennung. Gesichtsbilder oder andere Körperdaten dürfen dann nicht mehr nur gegen polizeiliche Datenbanken abgeglichen, sondern auch durch biometrische Analysen von Daten aus dem Netz angereichert werden.
Die Ampel-Regierung hat zu den Ideen von Faeser noch keinen Konsens gefunden: Wenn es um heimliche Wohnungsdurchsuchungen geht, lehne er „als Verfassungsminister“ solche Ideen ab, konterte Justizminister Marco Buschmann (FDP) den Gesetzentwurf bereits postwendend.
Wir fragen Simone Ruf und David Werdermann von der Gesellschaft für Freiheitsrechte (GFF) nach ihrer rechtlichen Einschätzung des Gesetzentwurfes.
Simone Ruf ist promovierte Juristin und arbeitet als Verfahrenskoordinatorin bei der GFF. Der Schwerpunkt ihrer Arbeit sind derzeit Überwachungsthemen.
David Werdermann ist Rechtsanwalt und arbeitet als Projektkoordinator bei der GFF.
Verdeckte Durchsuchung von Wohnungen
netzpolitik.org: Das BKA soll künftig zur Abwehr von Gefahren des internationalen Terrorismus die Erlaubnis zur verdeckten Durchsuchung von Wohnungen erhalten. Wohnungsdurchsuchungen sind sonst ja offene Maßnahmen. Wie schätzen Sie die Idee einer heimlichen Durchsuchung ein?
David Werdermann: Heimliche Wohnungsdurchsuchungen haben eine neue Qualität. Bei der offenen Durchsuchung weiß man, was passiert, und kann sich gegebenenfalls auch vor Gericht wehren. Von der heimlichen Durchsuchung erfährt man hingegen nichts. Die bloße Existenz der Befugnis schafft „ein diffus bedrohliches Gefühl des Beobachtetseins“ – und das in den eigenen vier Wänden. Die Wohnung verliert als „letztes Refugium“ ihren Schutzcharakter.
netzpolitik.org: Neu vorgesehen im Gesetzentwurf ist auch die Erlaubnis zum verdeckten Betreten von Wohnungen als „Begleitmaßnahme für die Online-Durchsuchung und Quellen-Telekommunikationsüberwachung“. Damit soll die Installation von Staatstrojanern erleichtert werden. Wie ist diese neue Befugnis gemessen am sogenannten Computer-Grundrecht, also dem Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme, zu bewerten?
David Werdermann: Während die Infiltration von Geräten am Computer-Grundrecht zu messen ist, greift die heimliche Wohnungsbetretung zur Installation von Trojanern in das Wohnungsgrundrecht ein. Das Bundesverfassungsgericht hält diesen Eingriff zwar unter bestimmten Voraussetzungen für gerechtfertigt. Dennoch müssen wir uns fragen: Wollen wir wirklich, dass Polizeibeamt*innen heimlich in Wohnungen eindringen?
Hinzu kommt: Mobiltelefone hat man in der Regel bei sich. Die einzige Möglichkeit des Zugriffs bietet sich, wenn die Zielperson schläft. Klingt nach einem schlechten Agentenfilm – ist nach dem neuen BKA-Gesetz aber ein denkbares Szenario.
Dazu muss man sagen: Eine der Alternativen – die Infiltration von Geräten aus der Ferne durch das Ausnutzen von Sicherheitslücken – ist nicht viel besser. Denn diese setzt voraus, dass die Sicherheitslücken nicht geschlossen werden – und entsprechend auch von Kriminellen und ausländischen Geheimdiensten ausgenutzt werden können. Das gefährdet die IT-Sicherheit von allen.
netzpolitik.org: Der Einsatz von Staatstrojanern ist seit Jahren heftig umstritten. Die Ampel-Regierung war angetreten, die Befugnisse zurückzuschrauben, würde mit dem Gesetzentwurf nun aber die Möglichkeiten zum staatlichen Hacking ausweiten. Kann denn ein heimlicher Wohnungseinbruch zur vereinfachten Installation von Schadsoftware eine erforderliche, angemessene und verhältnismäßige Maßnahme sein, weil es „die technisch sicherste und schnellste Möglichkeit ist“?
David Werdermann: Nancy Faeser will offenbar da weitermachen, wo Horst Seehofer aufgehört hat: Immer mehr Befugnisse für die Polizeibehörden. Der Gesetzentwurf aus dem Bundesjustizministerium, mit dem der Einsatz von Staatstrojanern zur Strafverfolgung eingeschränkt werden soll, liegt seit über einem Jahr vor, kommt aber nicht voran. Auch die Pflicht, Schwachstellen an die Hersteller zu melden, lässt auf sich warten. Damit bleiben zentrale Versprechen der Ampel uneingelöst.
Schwerwiegende heimliche Grundrechtseingriffe durch Datenanalyse
netzpolitik.org: Das BKA soll auch die Befugnis zur Anwendung von Systemen zur automatisierten Datenanalyse erhalten. Praktisch werden dafür verschiedene polizeiliche Datenbanken zusammengeführt und deren Inhalte mit Hilfe von Software analysiert. Entspricht die Regelung dem sogenannten „Palantir-Urteil“, sind also Art und Umfang der in eine Analysesoftware eingespeisten Daten hinreichend begrenzt und eine effektive Kontrolle der Nutzung solcher Systeme vorgesehen?
Simone Ruf: Die Befugnis erlaubt es dem BKA, alle im Informationssystem und im polizeilichen Informationsverbund enthaltenen Daten zu analysieren. Es handelt sich dabei um schwerwiegende heimliche Grundrechtseingriffe, da die zu analysierenden Daten und die Methode der Analyse nicht weiter beschränkt sind. Das BKA kann damit weitreichende Persönlichkeitsprofile erstellen.
Solche schwerwiegenden Eingriffe sind nur unter engen Voraussetzungen erlaubt. Die Befugnis sieht entsprechend mindestens eine konkretisierte Gefahr für besonders gewichtige Rechtsgüter voraus. Defizite bestehen jedenfalls im Hinblick auf die datenschutzrechtliche Kontrolle. Mindestens ein*e Datenschutzbeauftragte*r sollte verpflichtet sein, in regelmäßigen Abständen Kontrollen durchzuführen.
Das Bundesverfassungsgericht hat im Datenanalyse-Urteil zwar Einzelheiten offengelassen, aber betont, dass einer sachgerechten Ausgestaltung der Kontrolle große Bedeutung zu kommt. Da die Befugnis auch komplexe Formen des Abgleichs ermöglicht, sind flankierende Schutzvorkehrungen nötig, die der Fehleranfälligkeit dieser Systeme entgegenwirken. Diese fehlen.
Biometrischer Abgleich mit öffentlich zugänglichen Daten
netzpolitik.org: Der Gesetzentwurf enthält auch die Befugnis des biometrischen Abgleichs öffentlich zugänglicher Daten aus dem Internet, wobei biometrische Merkmale nicht nur Lichtbilder und Fingerabdrücke, sondern auch „weitere Identifizierungsmerkmale“ wie zum Beispiel „Bewegungs-, Handlungs- oder Sprechmuster“ sein können. Für wie weitreichend bewerten Sie diese Regelung? Umfasst die Regelung alle Arten biometrischer Merkmale, können darunter beispielsweise auch DNA-Daten fallen?
Simone Ruf: Die Regelung ist höchst problematisch. Offenbar wollte das BMI hier eine „Lex PimEyes“ schaffen. Der Abgleich ist aber nicht auf Gesichtsbilder beschränkt, sondern kann eben alle möglichen biometrischen Daten erfassen. Das sind solche Daten, die eine eindeutige Identifizierung von Personen ermöglichen und damit besonders schützenswert sind. Dazu gehören also auch DNA-Daten. Diese dürften aber im Rahmen eines Abgleichs mit Daten aus dem Internet nicht besonders relevant sein. Relevant sind vielmehr neben den Gesichtsbildern die individuelle Gangart und Sprechmuster.
Die Regelung ist extrem weitreichend, da der Abgleich mit allen öffentlich zugänglichen Daten aus dem Internet ermöglicht werden soll. Insbesondere Daten von Social-Media-Plattformen sollen abgeglichen werden dürfen, sofern es sich um öffentliche Inhalte handelt. Die Befugnis ist auch nicht auf verurteilte, beschuldigte oder verdächtige Personen beschränkt. Das BKA kann auch nach anderen Personen suchen, um deren Aufenthaltsort zu bestimmen oder diese zu identifizieren. Hier findet sich keine Beschränkung auf zum Beispiel vermisst gemeldete Personen.
netzpolitik.org: Ist der Gesetzentwurf bei der Biometrie konform zur europäischen KI-Verordnung?
Simone Ruf: Jedenfalls mit Blick auf den Abgleich von Gesichtsbildern steht die Befugnis einem Verbot der KI-Verordnung entgegen. Demnach ist es verboten, KI-Systeme zu verwenden, die Datenbanken für die Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet erstellen oder erweitern. Dies wäre aber der erste technisch notwendige Schritt für einen Abgleich. Eine Befugnis zum Aufbau einer eigenen biometrischen Datenbank enthält die Vorschrift nicht und wäre mit Grundrechten nicht vereinbar.
Das BKA darf auch nicht auf private Anbieter wie Clearview AI oder PimEyes zurückzugreifen, deren Geschäftsmodelle rechtswidrig sind. Dem steht der verfassungsrechtliche Grundsatz der Bindung an Gesetz und Recht entgegen, dem das BKA unterliegt.
netzpolitik.org: Wie ist der Gesetzentwurf des Bundesinnenministeriums mit Blick auf den Koalitionsvertrag der Ampel-Regierung zu bewerten?
Simone Ruf: Es ist besorgniserregend, dass das BMI einen Vorschlag für eine solche Regelung macht, obwohl sich die Regierungsparteien im Koalitionsvertrag gegen biometrische Überwachung ausgesprochen haben.
Biometrische Überwachungsbefugnisse gehen mit erheblichen Gefahren für Grundrechte einher. Anonymität im öffentlichen Raum – auch im Internet – droht damit verloren zu gehen. Abgesehen davon wird in Studien immer wieder betont, dass diese Systeme extrem anfällig für Fehler und Diskriminierung sind.
Interviews
Wir kommen gern ins Gespräch. Unterstütze unsere Arbeit!
Noch mehr Befugnisse trotz Verfassungswidrigkeit
netzpolitik.org: Wenn nun diese neuen eingriffsintensiven Befugnisse geplant sind: Sind auch neue Kontrollmechanismen vorgesehen?
David Werdermann: Für die heimliche Wohnungsbetretung und -durchsuchung gilt ein Richtervorbehalt. Für die automatisierte Datenanalyse und den biometrischen Abgleich gibt es keine spezifischen Kontrollmechanismen.
netzpolitik.org: Eine Evaluierung der neuen Befugnisse ist laut Gesetzentwurf nicht vorgesehen. Ist das angemessen?
Simone Ruf: Der Gesetzgeber ist verfassungsrechtlich nicht verpflichtet, Evaluierungsklauseln vorzusehen. Aus grundrechtlicher Perspektive ist das aber sinnvoll und wünschenswert. Indem Befugnisse nach einem gewissen Zeitraum evaluiert werden, kann festgestellt werden, ob die vom Gesetzgeber prognostizierten „Verbesserungen“ wirklich eingetreten sind. Denn wenn nicht, sind die damit verbundenen Grundrechtseingriffe nicht gerechtfertigt.
Evaluierungsklauseln führen dazu, dass der Gesetzgeber über die Regelung nochmal nachdenkt, anstatt Befugnisse, wie wir es oft beobachten, unreflektiert auszuweiten. Evaluierungspflichten können auch damit verbunden werden, dass ein Gesetz befristet gilt und nach erfolgter Evaluierung von Parlament erneut beschlossen werden muss. Aus rechtsstaatlicher und grundrechtlicher Perspektive wäre beides zu begrüßen und dürfte auch mit Blick auf die Erstellung einer Überwachungsgesamtrechnung hilfreich sein.
netzpolitik.org: Gibt es in dem Gesetzentwurf aus Ihrer Sicht noch weitere Befugnisse, die stärker diskutiert werden müssten?
David Werdermann: Das BKA-Gesetz ist schon jetzt verfassungswidrig. Deswegen haben wir bereits vor Jahren Verfassungsbeschwerde vor allem gegen die Datenverarbeitung im polizeilichen Informationsverbund erhoben. Am 1. Oktober 2024 wird das Bundesverfassungsgericht sein Urteil verkünden. Wir gehen davon aus, dass der Gesetzgeber hier nachbessern muss.