© Maxim Tupikov, 123RF.com
Seit Ende des Sommers 2009 ist das deutsche BSI-Gesetz in Kraft, das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik [1]. Es wurde mit dem Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes vom 14.8.2009 statuiert und löst das alte BSI-Errichtungsgesetz aus dem Jahr 1990 [2] ab.
BSI – die IT-Feuerwehr
Die neue Regelung erweitert unter anderem die Aufgaben des Bundesamts und räumt ihm dafür erweiterte Rechte ein. Dazu gehört die Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes, beschrieben in Paragraf 5 des BSI-Gesetzes. Die Vorschrift ermächtigt das BSI (Abbildung 1) zur Abwehr solcher Gefahren Protokoll- und Kommunikationsschnittstellendaten zu erfassen und automatisiert auszuwerten, um Störungen zu beheben, Fehler zu erkennen und Angriffe abzuwehren. Sofern und so weit solche Daten unter das Fernmeldegeheimnis oder den Datenschutz fallen, muss das Bundesamt diese sofort nach der Auswertung löschen, wenn nicht besondere Ausnahmetatbestände vorliegen.
Abbildung 1: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) residiert in Bonn und soll nun auch die Kommunikation der Bürger mit Bundesbehörden überwachen.© BSI
Gegen dieses Gesetz haben zwei Bürger Verfassungsbeschwerde erhoben, ein Journalist und ein Bundestagsabgeordneter (siehe Kasten “Verfassungsbeschwerde”). Sie behaupten, dass Paragraf 5 ihre verfassungsmäßigen Rechte verletze und durch das angerufene Bundesverfassungsgericht aufzuheben sei. Sie rügen außerdem eine Verletzung des Fernmeldegeheimnisses aus Artikel 10 des Grundgesetzes für die Bundesrepublik Deutschland (GG, [3]) sowie des Rechts auf informationelle Selbstbestimmung, das aus den Artikeln 1 und 2 des GG abzuleiten ist.
Die Beschwerdeführer beklagen, dass die Ermächtigung des BSI eine Verletzung ihrer Rechte auf vielfältige Weise ermögliche beziehungsweise darstelle.
Das grundgesetzliche Fernmeldegeheimnis schützt den Inhalt jeder Telekommunikation und deren Umstände – also auch, ob jemand an der Telekommunikation beteiligt ist. Es geht hier um den Schutz des Menschen vor Eingriffen durch den Staat, nicht um das einfache, strafrechtlich geschützte Fernmeldegeheimnis. Das Recht auf informationelle Selbstbestimmung legt fest, wer was von einem wissen darf (siehe Kasten “Informationelle Selbstbestimmung”).
Grundrechtseingriff
Die Schutzbereiche der beiden angeführten Grundrechte, des Fernmeldegeheimnisses und des Rechts auf informationelle Selbstbestimmung, überschneiden sich. Als speziellere Rechtsnorm geht dabei der Schutz des Fernmeldegeheimnisses aus Artikel 10 vor. Der Schutzzweck dieser Norm geht dahin, die Kommunikationspartner so zu stellen, als ob die Kommunikation unmittelbar abliefe, als ob sie miteinander sprächen.
Es schützt daher nicht die Informationen, die ohnehin willentlich durch einen der beiden Kommunikationspartner ab- und weitergegeben werden können, denn das könnte auch jeder der fiktiven Gesprächspartner. Die Norm soll vor den spezifischen Risiken für die Vertraulichkeit des Kommunikationsvorgangs schützen, also vor den Charakteristika beispielsweise einer E-Mail- oder einer Web-gestützten Kommunikation.
Zum einen geht es um die Kommunikation zwischen den Beschwerdeführern und Mitarbeitern der Bundesbehörden, die nichts mit deren beruflicher Tätigkeit zu tun hat. Wenn Bundesbehörden ihren Mitarbeitern gestatten, etwa die E-Mail-Konten auch für private Kommunikation zu nutzen, dann bedeutet die Erfassung und Auswertung einen Eingriff in die Grundrechte beider Beteiligter.
Zum anderen geht es aber auch um die dienstliche Kommunikation zwischen Bürger und Behörde: Auch in diesen Fällen, so die Beschwerdeführer, müsse die Kommunikation zwischen den Partnern vertraulich bleiben, denn der Bürger habe ein Interesse daran, dass Informationen zwischen den Behörden nicht beliebig und willkürlich ausgetauscht werden.
| Informationelle Selbstbestimmung |
|---|
| Das Recht auf informationelle Selbstbestimmung steht wörtlich in keinem Gesetz. Es handelt sich um ein Recht, das aus richterlicher Rechtsfortbildung entstanden ist, das also ein Gericht entdeckt, nicht erfunden hat. Weil auch solche abgeleiteten Rechte einer Grundlage bedürfen, machen die Juristen sie an den Grundrechten aus den Artikeln 1 und 2 des Grundgesetzes fest.
Artikel 1 stellt fest, dass die Würde des Menschen unantastbar ist. Artikel 2, dass jeder tun und lassen kann, was er will, solange er nicht gegen die Gesetze verstößt. Nimmt man diese beiden Aussagen zusammen, führt das nach Ansicht des Bundesverfassungsgerichts dazu, dass das allgemeine Persönlichkeitsrecht unter anderem gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe persönlicher Daten schützt und jedermann die Befugnis garantiert, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu entscheiden. Das hat das Bundesverfassungsgericht im so genannten Volkszählungsurteil erstmalig im Jahr 1983 festgestellt [4]. Gleichzeitig hat das Gericht klargemacht, dass Einschränkungen dieses Rechts nur im überwiegenden Allgemeininteresse zulässig seien und einer gesetzlichen Grundlage bedürfen, die klar formuliert und verhältnismäßig sein sowie Organisation und Verfahren festlegen muss, die eine Rechtsgefährdung verhindern. Das Recht auf informationelle Selbstbestimmung ist daher durchaus einschränkbar. Ein einfaches Gesetz, das den genannten Anforderungen entspricht, genügt. |
Die Beschwerde nennt hier beispielsweise Informationen über Straftaten, Geldwäsche, Subventionsbetrug oder Steuerhinterziehung, bezieht sich aber auch auf die eigens eingerichteten “anonymisierten” Kanäle zur Informationsübermittlung und Beratung. Hier müsse der Informant mögliche Nachteile befürchten, wenn die Kommunikation durchsickere.
Es sei auch ohne Belang, dass der jeweilige Kommunikationspartner die ihm bekannt gewordenen Inhalte weiterleiten dürfe – der Grundsatz der Amtshilfe zwischen Bundes- und Landesbehörden besteht ja ohnedies. Denn einerseits könnte der Bürger ja einem bestimmten Kommunikationspartner, etwa seinem zuständigen Sachbearbeiter, ein gewisses Maß an Vertrauen entgegenbringen, zum anderen sei ein automatisiertes Scannen durch eine dritte Behörde, von dem keiner der beiden Kommunikationspartner etwas mitbekomme, etwas ganz anderes.
Pseudonymisierung
Laut Beschwerdeschrift können auch die vorgesehenen technischen Maßnahmen, insbesondere die Pseudonymisierung und die unverzügliche Löschung der Daten nach Auswertung den Grundrechtseingriff nicht ausschließen. Denn die Pseudonymisierung, also das Ersetzen etwa eines Realnamens durch ein Kennzeichen, durch das BSI könne dieses jederzeit wieder rückgängig machen, der Schlüssel sei ja vorhanden. Auch nachträgliches Löschen bedeute nicht, dass ein Grundrechtseingriff gar nicht bestanden hätte, denn vor dem Löschen stünde ja die Auswertung.
Ein früheres Urteil des Bundesverfassungsgerichts, das die vorübergehende Speicherung von Kfz-Kennzeichen für zulässig befand, sei widersprüchlich, sozusagen falsch und in diesem Fall nicht heranzuziehen (siehe Kasten “Kfz-Massenabgleich”). Weil die erfassten Protokolldaten zumindest lange genug im Speicher gehalten werden müssten, um zum Beispiel ein Angriffsprofil gegen weitere Daten abzugleichen, liege schon deshalb in jedem Fall ein Grundrechtseingriff vor (Abbildung 2).
Abbildung 2: Der Staat darf abgefilmte Autokennzeichen auswerten, muss sie aber umgehend wieder löschen. © Federico Rostagno, 123RF.com
Im Prinzip ja
Ein Grundrechtseingriff muss noch nicht per se rechtswidrig sein. Dafür stellen Gesetz und Rechtsprechung Zulässigkeitsvoraussetzungen auf. Eine davon besagt, dass das einschränkende Gesetz klar formuliert sein muss. Genau dagegen verstoße aber der Wortlaut des Paragrafen 5, der eine “unverzügliche” Löschung der erfassten Daten verlange. Weil “unverzüglich” nur “ohne schuldhafte Verzögerung” bedeute, sei ja eine “unverschuldete” Verzögerung möglich – gegebenenfalls bis zum Sankt-Nimmerleins-Tag. Diese Kritik scheint zumindest so lange weit hergeholt, bis eine bessere Formulierung auf dem Tisch liegt: Denn würde man etwa “sofort nach Abschluss der Auswertung” in das Gesetz schreiben, würden sich Stimmen erheben, die behaupten, der “Abschluss der Auswertung” sei nicht hinreichend absehbar und konkret bestimmt.
| Verfassungsbeschwerde |
|---|
| Die Verfassungsbeschwerde war lange Zeit das letzte Rechtsmittel, das deutschen Bürgern zur Verfügung stand. Nach Artikel 93 Absatz 1 Ziffer 4a des Grundgesetzes entscheidet das Bundesverfassungsgericht über Verfassungsbeschwerden, die jedermann mit der Behauptung erheben kann, durch die öffentliche Gewalt in einem seiner Grundrechte oder in ausgewählten anderen Rechten des Grundgesetzes verletzt worden zu sein. Dabei gilt das Subsidiaritätsprinzip, das heißt, alle zulässigen Rechtswege müssen bereits ausgeschöpft sein. Inzwischen kommt neben der Verfassungsbeschwerde und über diese hinaus noch der Klage vor dem Europäischen Gerichtshof die Bedeutung des letzten Rechtsmittels zu. |
Aber auch das Verhältnismäßigkeitsgebot sei durch Paragraf 5 verletzt, das verlange, dass nur eine Maßnahme rechtlich zulässig sei, die “das geringste Übel” darstelle. Die Beschwerdeführer sehen in Paragraf 5 die Ermächtigung zur Totalüberwachung jeder dienstlichen und privaten Kommunikation mit Bundesbehörden und deren Bediensteten sowie jeder Nutzung von Internetportalen des Bundes. Diese Überwachung würde 99,9 Prozent der Bevölkerung betreffen, die dazu weder Anlass gegeben noch Verdacht begründet hätten.
Die Beschwerdeführer nehmen auch ausführlich zur Aussagekraft der Verkehrs- und Nutzungsdaten Stellung: Protokolldaten ließen Rückschlüsse zu, ob und wann etwa die Bundesbeamten mit Ärzten, Psychologen, Gewerkschaften oder der Presse Kontakt hielten. Die Angehörigen des Bundestags wären ebenso durchleuchtbar, unterhalte doch der Bundestag keinen eigenen Internetdienst, sondern nutze das Angebot des Innenministeriums – einer Bundesbehörde.
Neben den Kommunikationsprotokollen würden die Protokolle des Informationsverhaltens sogar noch tiefer in die Grundrechte eingreifen. Bei der Kommunikation würde lediglich das Wie und Wann, nicht aber der Inhalt protokolliert; beim Aufruf von Webseiten ließe sich anhand der gespeicherten URL jederzeit der Inhalt, auf den zugegriffen wurde, feststellen, maschinell auswerten und somit ein Persönlichkeitsprofil erstellen. Darüber hinaus sind auch die Seiten, von denen der Besucher kommt, und die, zu denen er geht, ermittel- und auswertbar.
Zentralismus
Die Beschwerde wendet sich auch gegen die Zentralisierung der Aufgabe beim BSI. Diese sei nicht nötig, denn es ließe sich auf andere Weise, etwa durch eine vorgeschriebene Zertifizierung, sicherstellen, dass jede Einzelbehörde den gleichen oder einen höheren Sicherheitsstandard aufweist als das BSI selbst. Zentrale Sicherheitsarchitekturen seien fehleranfälliger und ihnen wohne gesteigertes Missbrauchspotenzial inne.
| Kfz-Massenabgleich |
|---|
| Im Jahr 2008 hatte das Bundesverfassungsgericht über die Zulässigkeit der automatisierten Auswertung gescannter Kfz-Kennzeichen, die gegen Einträge in einer Fahndungsdatenbank abgeglichen werden, zu entscheiden [5]. Kfz-Kennzeichen sind für Behörden problemlos den Fahrzeughaltern zuzuordnen.
Im Urteil hat das Gericht einen Grundrechtseingriff verneint, weil die Daten nach dem Abgleich ja sofort wieder gelöscht würden. Das behördliche Interesse an den Daten habe sich bis zu diesem Zeitpunkt noch nicht ausreichend “verdichtet”, sodass in das Grundrecht eingegriffen worden wäre. Im Ergebnis bedeutet das also, dass ein kurzer Eingriff gar keiner sei. Allerdings hat das Gericht jeden Kraftfahrer auf deutschen Straßen unterwegs als Betroffenen qualifiziert und für die Zulässigkeit eines solchen Kfz-Massenabgleichs Anforderungen aufgestellt, die denen für einen Grundrechtseingriff entsprechen. Das Bundesverfassungsgericht hat damit eine Maßnahme, die nach seiner Meinung keinen Grundrechtseingriff darstellt, wie einen solchen behandelt. Das sagen die Beschwerdeführer und behaupten deshalb, dieses Urteil sei widersprüchlich und tauge nicht, um als Präzedenzfall die Qualität der BSI-Überwachung als Grundrechtseingriff von vornherein zu verneinen. |
Im Ergebnis, so die Beschwerdeführer, stünde der mögliche Schaden der Bundes-IT und dessen Eintrittswahrscheinlichkeit zu den drohenden Nachteilen durch die Grundrechtseingriffe in keinem Verhältnis. Zudem schaffe das Gesetz nun die Möglichkeit, die bisher den einzelnen Behörden nach dem Bundesdatenschutzgesetz (BDSG) verboten war [5]: Ein Protokoll sämtlicher ein- und ausgehender Verbindungen.
Was kommt dabei heraus?
Die vorgetragenen Grundrechtseingriffe sind nicht von der Hand zu weisen, doch benennt das BSI-Gesetz diese auch pflichtgemäß. Letztlich wird es darauf ankommen, ob das Bundesverfassungsgericht die Regelung für verhältnismäßig hält. Eine Negierung des Grundrechtseingriffs wäre – wie die Beschwerdeführer dargelegt haben – widersprüchlich und darüber hinaus politisch unklug.
Die Prüfung der Verhältnismäßigkeit müsste aber auch Aspekte heranziehen, auf die die Beschwerdeführer bislang nicht eingehen. So spricht auch viel für eine Zentralisierung: Einerseits erscheint es leichter und schneller, den Personalbestand einer einzigen Behörde auf dem Stand der Zeit zu halten. Zum anderen ist es natürlich viel kostenschonender, wenn nicht in jeder Bundesbehörde und in jeder Außenstelle (mindestens) ein IT-Verantwortlicher geschult, zertifiziert und fortgebildet werden muss.
Was nicht unbeachtet bleiben darf, ist noch die zuverlässige Kontrolle mehrerer Bundesbehörden durch eine zentrale Kontrollinstanz. Denn auch die einzelnen Behörden oder deren (leitende oder IT-verantwortliche) Mitarbeiter können ein Sicherheitsrisiko darstellen.
Informationen schützen
Und es geht nicht zuletzt bei den durch das Gesetz geregelten Maßnahmen auch um den Schutz der Informationen des Bürgers: Das BSI-Gesetz soll dabei helfen, Angriffe auf die Integrität der Bundes-IT zu verhindern. Es soll nicht nur die Arbeit der Behörde oder deren Infrastruktur um ihrer selbst Willen schützen, sondern auch die dort vorliegenden Daten der Bundesbürger.
Denn die Behörden müssen Informationen aller Art über uns speichern: Vom religiösen Bekenntnis über Wirtschafts- und Gewerbedaten, von Informationen über Beruf und Einkommen bis hin zu Strafregisterdaten. Und keiner von uns möchte diese persönlichen Daten in fremder Hand wissen. Es gibt also auch stichhaltige Gründe, die für eine Stärkung der IT-Sicherheit auf diese Weise sprechen.
Fraglich ist, ob die Totalüberwachung dabei das rechte Maß wahrt. Daran könnte die Verfassungsmäßigkeit schließlich scheitern. Und noch fraglicher ist es, wie unsere Bundestagsabgeordneten, die fortan ebenfalls kräftig durchleuchtet werden dürfen, solch einer Regelung zustimmen konnten. Denn eines ist klar: Weil es künftig für einen böswilligen Angreifer genügt, eine einzige Hürde zu überwinden, um auf alle Kommunikationsprotokolle des Bundes Zugriff zu erlangen, wird es zudem wesentlich leichter, Profile auch der Bundestagsabgeordneten zu erstellen. Aus Neugier oder um Druck auszuüben, aus den eigenen Reihen oder von außen. (mhu)
| Infos |
|---|
| [1] BSI-Gesetz: [https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/BSI/bsiges2009_pdf.pdf?__blob=publicationFile]
[2] BSI-Errichtungsgesetz: [http://www.buzer.de/gesetz/449/] [3] Grundgesetz der Bundesrepublik Deutschland: [http://www.gesetze-im-internet.de/gg/index.html] [4] Volkszählungsurteil: [http://www.servat.unibe.ch/dfr/bv065001.html] [5] Urteil zum Kfz-Massenabgleich: [http://www.bverfg.de/entscheidungen/rs20080311_1bvr207405.html] |
| Der Autor |
|---|
| RA Fred Andresen ist Mitglied der Rechtsanwaltskammer München und der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (DAVIT). |
