intrapol.org

Gesammelte Beiträge zur staatlichen Datenverarbeitung

Schutz durch den Staat – Schutz vor dem Staat: Konzepte des Bürgerrechtsschutzes im Informationszeitalter

Redebeitrag anlässlich der Abschlusspräsentation zum Deutschen Studienpreis

am 04. Juli 2016 in Berlin

Nominierter Beitrag: Informationelle Freiheit und staatliche Sicherheit. Rechtliche Herausforderungen moderner Überwachungstechnologien


Sehr geehrte Frau Burchardt, sehr geehrte Herren.

Freiheit.

Ein Wort, mit dem unermesslich viel verbunden wird.

Ein Begriff, dessen Bedeutung schier unerschöpflich scheint.

Eine Gewährleistung, die eine tragende Säule unserer heutigen Gesellschaft, wie wir sie kennen und leben, begründet.

Zugleich ist die Freiheit ihrerseits selbst unfrei. Als Gegenpol zu anderen, divergierenden Interessen muss sie sich bereits seit Jahrtausenden immer wieder behaupten. Deshalb kann es auch keine allgemeingültige Definition von Freiheit geben. Denn immer ist sie im Spiegel einer zeitgenössischen Gesellschaft und deren Entwicklung zu sehen.

Was sich für das Verständnis der Freiheit aber nie ändern wird, ist eines: Sie kann der Traum der Selbstverwirklichung eines jeden Einzelnen bedeuten. Und so verstanden, lässt sich noch am ehesten der Ansatz einer Definition von Freiheit bestimmen: Freiheit als der gelebte Wille des Menschen, in seinem eigenen Sinne zu handeln.

Eine so verstandene Freiheit wird jedoch recht schnell an ihre Grenzen stoßen, denn was für den einen Freiheit in seinem Handeln bedeutet, führt bei dem anderen zur Beschneidung seiner individuellen Selbstverwirklichung. Die übermäßige Freiheit einiger weniger kann deshalb zur Beschränkung der Freiheit vieler anderer führen.

Und genau an diesem Punkt ist es in einer Gesellschaftsordnung, in welcher der Staat das zentrale Gewaltmonopol innehält, auch seine Aufgabe, den Ausgleich zwischen den möglicherweise divergierenden Freiheiten herbeizuführen – oder in anderen Worten: die Ausübung individueller Freiheit in geordnete Bahnen zu lenken.

Durch dieses Handeln schafft der Staat folglich Sicherheit. In den Grundrechten unserer Verfassung manifestieren sich die Pflichten des Schutzes durch den Staat auf verschiedenste Weise. Vornehmlich wichtigstes Interesse ist dabei neben der Gewährleistung der Menschenwürde der Schutz von Leben und körperlicher Unversehrtheit.

Es lässt sich nicht leugnen, dass es schon immer Bedrohungen gegeben hat, die sich unmittelbar gegen unsere physische Existenz als Person richten. Vor der Zeit des staatlichen Gewaltmonopols war es deshalb originär unsere eigene Aufgabe, sich selbst und damit die eigene Existenz zu verteidigen, heutzutage vertrauen wir diese Aufgabe fast ausschließlich dem Staat an, dem dazu auch – grundsätzlich mit unserem Willen und im ureigensten Interesse liegend – die entsprechenden Mittel in der Form von Sicherheitsbehörden, Ausstattung und Personal überlassen werden.

In der jüngeren Vergangenheit gab es immer wieder Vorfälle, in denen Einzelne oder Gruppen die Schranken der ihnen eingeräumten gesetzlichen Freiheiten überschritten haben; dies mit teils schwerwiegenden, ja, geradezu unerträglichen Folgen für ihre Mitbürger. Und das nicht nur in Deutschland, sondern ebenso in Europa und weltweit.

Indem dem Staat die Rechtspflicht zukommt, solche Vorfälle für die Sicherheit des gemeinsamen Zusammenlebens, d.h. des Gemeinwesens und damit der öffentlichen Sicherheit nicht nur aufzuklären, sondern auch für die Zukunft nach bestem Wissen und Gewissen – also pflichtgemäß – zu verhindern, steht er in der Aufgabe, geeignete Maßnahmen zu ergreifen:

Wir versetzen uns zurück in das Jahr 1977, zur Zeit des Deutschen Herbstes. Die Rote Armee Fraktion erreicht in ihren terroristischen Aktivitäten einen tragischen Höhepunkt. So wird nicht nur das Lufthansa-Flugzeug „Landshut“ entführt, um unter anderem die in der JVA Stammheim inhaftierten RAF-Mitglieder Andreas Baader, Gudrun Ensslin und Jan-Carl Raspe freizupressen. Auch Hanns Martin Schleyer, Präsident der Bundesvereinigung der Deutschen Arbeitgeberverbände, wird von der zweiten Generation der RAF entführt und erschossen. Einer der möglichen Täter, Rolf Heißler, lebte im Juni 1979 in einer konspirativen Wohnung in Frankfurt a.M. Der Polizei war durchaus bewusst, dass sich Heißler in der Stadt aufhielt, es standen aber keine positiven Informationen zur Verfügung, die zum Auffinden des gesuchten Terroristen hätten beitragen können. Dies war die Geburtsstunde der ersten bekannt gewordenen, erfolgreichen Rasterfahndung: Man entschloss sich, alle Frankfurter Wohnungen zu überprüfen, deren Stromrechnung bar bezahlt wurde. Das ergab einen Personenkreis von 18.000 Mietern. Diese enorme Zahl glich man mit Daten aus öffentlichen Verzeichnissen, beispielsweise des Einwohnermeldeamtes ab, um die legalen Namensträger zu ermitteln. Am Ende blieben nur noch zwei Personen übrig, die in keinem der Verzeichnisse auftauchten, da sie die Wohnung unter falschem Namen angemietet hatten. Eine davon war Rolf Heißler.

Diese so genannte „negative Rasterfahndung“ war der erste wirklich bekannt gewordene Fall, in denen Sicherheitsbehörden unter Zuhilfenahme von Computern große Bestände personenbezogener Daten mit zuvor festgelegten Profilen abglichen. Ob des enormen Erfolges eines zunächst scheinbar aussichtlosen Unterfangens wurde man sich erstmals bewusst, welche menschlich unmögliche Leistung der Computer erbringen konnte, sollte er in den Dienst der öffentlichen Sicherheit gestellt werden. In den folgenden Jahren schließlich kam es zu weiteren Schlüsselereignissen, die den Umgang der Sicherheitsbehörden mit modernen Überwachungstechnologien bis heute prägen sollten.

So in Großbritannien, am 12. Februar 1993. Dieser Tag sollte sich später als eine der zentralen Ursachen für die Einführung einer an vielen öffentlichen Orten im Land nahezu flächendeckenden Überwachung mit Videokameras erweisen. Am Nachmittag dieses Tages wird der zwei Jahre alte James Bulger aus Liverpool während eines unachtsamen Moments seiner Mutter aus einem Einkaufszentrum entführt. Die Täter sind selbst zwei Minderjährige im Alter von zehn Jahren, die das Kleinkind noch am Abend des selben Tages töten. Der Fahndungserfolg in diesem Kriminalfall beruhte auf der zufälligen Aufzeichnung einer Überwachungskamera, die eine rasche Identifikation der Täter ermöglichte. Gerade weil der Fall aufgrund der Minderjährigkeit der Tatbeteiligten ein enormes politisches und mediales Interesse schuf, gewann Closed Circuit Television (CCTV) in Großbritannien eine enorme Popularität und wird seither an vielen weiteren Orten eingesetzt.

Der 11. September des Jahres 2001 stellte schließlich einen Wendepunkt nicht nur in der Wahrnehmung öffentlicher Sicherheit durch die Bevölkerung, sondern vor allem auch vonseiten des Staates dar. Die Gefahr durch den internationalen Terrorismus, die zwar schon seit jeher bestand, aber bisher noch nie so deutlich zutage trat wie an jenem Morgen, schien gewaltige Lücken in der staatlichen Aufgabe des Bevölkerungsschutzes nahezulegen. Die aufgeheizte politische Stimmung zwang den Gesetzgeber zum Handeln – und das nicht nur in den USA, sondern auch hierzulande.

Da seit den ersten Anfängen der Rasterfahndung in den späten 1970er Jahren auch die Computertechnik erhebliche Fortschritte gemacht hatte und auch immer mehr Privatpersonen über vernetzte Heim- und Bürorechner verfügten, auf denen eine Vielzahl persönlicher Daten gespeichert war, lag es nahe, Möglichkeiten zu finden, um diese Daten für Zwecke staatlicher Sicherheit fruchtbar zu machen. Dies zog nicht nur bloße Gesetzesänderungen nach sich – vielmehr wurde auf einmal das Konzept des Datenschutzes, das sich parallel zur Technisierung der Gesellschaft entwickelt hatte, evident hinterfragt. Vielleicht hätten die Anschläge zumindest teilweise verhindert werden können, wenn es schon zuvor eine umfassendere sicherheitsbehördliche Datenverarbeitung gegeben hätte? Der damalige Bundesinnenminister, Otto Schily, stellte pragmatisch fest: „Datenschutz darf kein Terroristenschutz sein.“

Doch was hat es mit diesem Datenschutz eigentlich auf sich? Im rechtlichen Sinne gesehen ist er nichts anderes als die konkrete Ausprägung einer weiteren Freiheit, die ebenso den Schutz durch unser Grundgesetz genießt und sich in verschiedenen Facetten widerspiegelt, so dem Allgemeinen Persönlichkeitsrecht, dem Recht auf informationelle Selbstbestimmung und dem Computer- oder IT-Grundrecht. In ihrem Kern sagen alle diese drei Gewährleistungen aus, dass ich als Bürger grundsätzlich der Herr über meine eigenen Informationen bin. Diese informationelle Freiheit wird daneben auch durch das Fernmeldegeheimnis geschützt. Das Bundesverfassungsgericht hat schon 2008 erkannt, dass ebenjene informationelle Freiheit heutzutage für jeden Einzelnen wichtiger denn je ist, da nahezu alle Menschen den Computer schon seit langem nicht mehr nur zu Arbeitszwecken, sondern zur umfassenden persönlichen Lebensgestaltung und damit zur Verwirklichung ihrer selbst einsetzen. Diese technologiebasierte Freiheit stellt folglich ein wesentliches Bürgerrecht dar, das im Informationszeitalter die gesamte Gesellschaft durchwirkt.

Umso schwerer wiegt es, wenn diese informationelle Freiheit zu Zwecken der staatlichen Sicherheit immer weitergehende Beschränkungen erfährt, indem unzählige Überwachungsmaßnahmen in die entsprechenden Grundrechte theoretisch eines jeden Bürgers eingreifen können: die präventive polizeiliche Rasterfahndung, der automatisierte Abgleich von Kfz-Kennzeichen, die Einrichtung behördlicher Verbunddateien wie der Antiterror- und der Rechtsextremismusdatei, Maßnahmen zur Überwachung der digitalen Kommunikation und des Internetdatenverkehrs, die Ermittlung von Standortdaten für Mobilfunkendgeräte, die Funkzellenabfrage, die Videoüberwachung des öffentlichen Raums, die Infiltrierung von Heimcomputern als Online-Durchsuchung mittels des neuen Staatstrojaners, der Einsatz von Body-Cams bei der Vollzugspolizei, die Durchführung von technisch gestützten Wohnraumüberwachungen und die Vorratsdatenspeicherung von Verkehrsdaten für Telefon- und Internetzugangsdienste. Viele dieser Maßnahmen erfolgen zunächst im Geheimen ohne Kenntnis des betroffenen Bürgers und haben möglicherweise negative Folgen für ihn, ohne dass er weiß, wo diese herrühren und wie er sich dagegen wehren kann, sollte er beispielsweise unrechtmäßig als Verdächtiger in einer Verbunddatei gespeichert sein. Durch die digitale Datenverarbeitung zu Sicherheitszwecken besteht somit das Risiko, dass theoretisch jeder zu einem „virtuellen potenziellen Täter“ werden kann, indem im Computernetz gespeicherte Informationen ein eigenes, gegebenenfalls völlig anderes Persönlichkeitsbild erschaffen. Herrn F. aus meinem schriftlichen Beitrag ist dies zum Verhängnis geworden.

Gleichwohl finden wir heutzutage auch eine andere Bedrohungslage für den öffentlichen Raum vor als noch vor einigen Jahren: Es sind global vernetzte Akteure, die handeln. Es steht nicht mehr der Angriff auf den Einzelnen, sondern vielmehr auf das gesamtgesellschaftliche Kollektiv im Vordergrund. Terroranschläge erfordern nicht mehr ein umfassendes Netzwerk vor Ort, auch der so genannte „einsame Wolf“ verfügt über mehr Handlungsoptionen denn je. Und die Zahl terroristischer Anschläge und Bedrohungen ist nicht nur in der subjektiven Wahrnehmung der Bevölkerung, sondern auch objektiv gestiegen: 2004 die Anschläge auf vier Pendlerzüge in Madrid, 2005 das Attentat in der Londoner Metro, in der Moskauer Metro 2010, 2015 der Anschlag auf „Charlie Hebdo“ in Paris, in diesem Jahr an den Flughäfen in Brüssel und Istanbul.

Infolge dieser geänderten Situation bedarf es auch anderer Handlungsoptionen für den Staat, um die Freiheit seiner Bürger zu schützen. Er muss dabei der Entwicklung Rechnung tragen, dass immer mehr Kommunikation über digitale Kanäle abgewickelt wird – und das unter anderem auch mit dem Ziel, die öffentliche Sicherheit zu beeinträchtigen. Nichtsdestotrotz – und besinnen wir uns hier auf den Anfang zurück – liegt die Aufgabe des Staates im Schutze der Freiheit all seiner Bürger, die diese maßvoll und damit rechtskonform ausüben. Ein so genanntes „Supergrundrecht auf innere Sicherheit“, dessen Schaffung hierzulande politisch schon wiederholt gefordert wurde, wäre allein deshalb nicht verfassungskonform, weil es alle anderen Freiheiten konsequent missachten würde. Deshalb muss der Eingriff des Staates auch in die informationelle Freiheit, die für die individuelle Lebensgestaltung und Teilhabe des Bürgers am sozialen Gemeinwesen von hoher Bedeutung ist, reglementiert werden. Aus dieser Ausgangslage ergibt sich schließlich der schon so oft zitierte Konflikt zwischen Freiheit und Sicherheit, im Informationszeitalter des 21. Jahrhunderts jedoch neu gefasst.

Der US-amerikanische Staatsmann Benjamin Franklin stellte im Jahre 1775 fest: „They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.“ Wenn heutzutage von „liberty“, also Freiheit, die Rede ist, geht es vornehmlich auch um unsere digitale Existenz, die wir vor übermäßigen Eingriffen durch den Staat schützen müssen, ohne dabei zugleich das gestiegene Sicherheitsbedürfnis zu negieren. Der Schutz durch den Staat muss also mit dem Schutz vor dem Staat in Einklang gebracht werden. Eine Lösung hierfür zu finden, ist vornehmlich eine Aufgabe des Rechts. Nichtsdestotrotz ist auch das Recht nicht allein mehr in der Lage, sämtliche Lebenssachverhalte vollumfänglich zu regeln; zu komplex sind die hierfür maßgeblichen Faktoren. Die Antwort für einen effektiven Bürgerrechtsschutz im Informationszeitalter kann deshalb nur in einer Kombination aus Recht und Technik zu finden sein. Mit dieser Erkenntnis einher geht auch das Verständnis, das nicht jedwede technologische Entwicklung, die mit einer Grundrechtsbeeinträchtigung verbunden sein kann, per se schlecht ist, sondern im Sinne eines angemessenen Ausgleichs von Freiheit und Sicherheit auch Chancen bietet, wenn sie auf die richtige Weise eingesetzt wird. Die an George Orwells Klassiker angelehnte Losung „1984 is now“, die man in den letzten Jahren des Öfteren zu hören bekommen hat, ist deshalb insoweit einseitig, als sich ihre Aussage in sich selbst erschöpft. In einer Welt, die zunehmend von Technik geprägt und auf diese angewiesen ist, kann Technikresignation im Sinne einer „Entnetzung“ keine praktikable Lösung sein. Ebenso ist es illusorisch, jedwede Form staatlicher Datenverarbeitung auszuschließen. Es müssen vielmehr konkrete Handlungsoptionen aufgezeigt werden, die gleichermaßen Schutz durch den Staat wie auch Schutz vor dem Staat bieten.

Was kann hier aktuell getan werden?

Erstens: Automatisierte Datenauswertungsverfahren werden von den Sicherheitsbehörden schon jetzt in großer Zahl eingesetzt. Einerseits besitzen solche Verfahren wie zum Beispiel die präventiv polizeiliche Rasterfahndung eine hohe Effektivität, andererseits werten sie viele persönliche Informationen auch Unbeteiligter aus, wodurch es zu einer hohen Belastung der informationellen Selbstbestimmung kommen kann. Dies kann aber verhindert werden: So hat das Bundesverfassungsgericht entschieden, dass ein Grundrechtseingriff nur dann gegeben ist, wenn ein personenbezogenes Datum das computerisierte Auswertungsverfahren verlässt, also an Ermittlungspersonen ausgegeben wird. Wenn es hingegen bei einem unverzüglichen und ungezielten Datenabgleich bleibt und die Informationen im Falle eines Nichttreffers sofort gelöscht werden, kommt es rechtlich gesehen nicht zu einem Grundrechtseingriff. An dieser Stelle kann man sich die Vorteile der Computertechnik mittels des Konzepts der prozedural geschützten automatisierten Datenverarbeitung zunutze machen. Dabei wird der Mensch von der Erhebung bis zur Auswertung der Daten soweit als möglich von einer Kenntnisnahme persönlicher Informationen ausgeschlossen, zum Beispiel durch Techniken der Pseudonymisierung. Nur unter Zugrundelegung hinreichend enger Rasterkriterien ermittelte Informationen werden ausgegeben, alle restlichen Daten sofort automatisch gelöscht. Durch ein solches Verfahren wird die Grundrechtsbetroffenheit bei sicherheitsbehördlichen Datenverarbeitungen im Sinne der bundesverfassungsgerichtlichen Rechtsprechung auf ein Minimum reduziert.

Zweitens: Autark gestaltete, computergesteuerte Datenauswertungsvorgänge schließen den Menschen als bedeutenden Risikofaktor für die Datensicherheit aus, indem Zugriffs- und damit auch Missbrauchsmöglichkeiten für persönliche Informationen auf das zwingend notwendige Maß minimiert werden. Dass ein solches Risiko erheblich ist, wird an verschiedenen, bekannt gewordenen Fällen der letzten Jahre deutlich: So tauschten NSA-Mitarbeiter routinemäßig sexuell kompromittierendes Bild- und Videomaterial von Privatpersonen, das durch Überwachungsaktionen erlangt wurde, zum persönlichen Vergnügen untereinander aus. Auch ein deutscher BND-Mitarbeiter bediente sich der ihm dienstlich zur Verfügung stehenden Technologien, um den Mailverkehr eines Mannes auszuspähen, der ein Verhältnis mit seiner Frau hatte.

Drittens: Es ist dafür Sorge zu tragen, dass niemand durch die automatisierte Datenverarbeitung unberechtigt kriminalisiert wird, lediglich weil er in ein bestimmtes Raster fällt. Rechtlich sind hierzu die Gewährleistungen der Unschuldsvermutung aus dem Strafprozess schon auf das polizeiliche Ermittlungsverfahren und auf die Tätigkeit der Nachrichtendienste vorzuverlagern. Technisch sind hinreichend sichere Kriterien für die computerisierte Auswertung zu bestimmen. Dies geschieht durch Festlegung von Schwellenwerten, die sich an lokalen wie globalen Maßstäben bemessen können. Lokal können zum Beispiel örtliche Kriminalitätsstatistiken auschlaggebend sein, global die Straftatbestände des deutschen Rechts.

Viertens: Der Schutz vor unberechtigten Kriminalisierungen im Rahmen der computerbasierten Datenverarbeitung setzt in Zukunft auch eine Verbesserung der Beweismitteltauglichkeit digitaler Daten voraus, da diesen nur ein geringes Maß an Fälschungssicherheit innewohnt. Nur so kann rechtlich gewährleistet werden, dass eine Ermittlungsmaßnahme zur Zweckerreichung überhaupt geeignet und damit rechtsstaatskonform ist. Hierzu sind auf technisch-organisatorischer Ebene besonders hohe Maßstäbe an die Datenauthentizität und -integrität anzulegen, realisierbar unter anderem durch Verschlüsselung und die pseudonyme Systemnutzung. Rechtlich zu leistende Maßnahmen umfassen beispielsweise den gesetzlichen Anspruch auf eine endnutzerzentrierte Grundversorgung mit kryptographischen Produkten und die Reduzierung des Stellenwerts digitaler Daten im Ermittlungsverfahren, soweit keine ausreichende Informationssicherheit gewährleistet werden kann.

Fünftens: Wer digitale Daten zu Ermittlungszwecken einsetzt, muss auch die Befähigung besitzen, um diese nutzen zu können. In der Vergangenheit sind für den unter anderem vom BKA verwendeten und von einer privaten Drittfirma entwickelten Staatstrojaner, mit dem die Telekommunikation abgehört werden kann und Online-Durchsuchungen des PCs möglich sind, erhebliche technische Mängel an der Programmierung wie auch im organisatorischen Umgang mit den erhobenen Daten bekannt geworden. So war es für unbefugte Dritte unter anderem möglich, die Kontrolle über das Programm zu erlangen, Datenflüsse zu kompromittieren und unberechtigt auf den privaten PC zuzugreifen. Der Einsatz staatlicher Spähprogramme stellt jedoch einen erheblichen Eingriff in das Computergrundrecht dar, sodass besonders hohe Voraussetzungen an dessen verfassungsrechtliche Rechtfertigung zu stellen sind. Hierdurch steht der Staat nicht nur in der Pflicht, derlei Programme in Zukunft selbst zu entwickeln und technisch-organisatorische Maßnahmen für die Datensicherheit zu ergreifen, sondern auch die Behördenmitarbeiter im Umgang mit der Software ausreichend zu schulen.

Sechstens: Mehr und mehr wird der Staat im Geheimen tätig, um seiner berechtigten Schutzfunktion für die öffentliche Sicherheit nachzukommen. Gleichwohl darf dies nicht dazu führen, dass die Arbeit der Sicherheitsbehörden praktisch unkontrolliert stattfindet und Betroffene vielleicht nie Kenntnis von einer staatlichen Ausspähung ihres privaten Lebens erlangen. Deshalb muss schon im Gesetzgebungsverfahren ausdrücklich eine Bedarfs- und Tauglichkeitsfeststellung für Überwachungsmaßnahmen erfolgen, neue Ermächtigungsgrundlagen sind tatbestandlich hinreichend eng zu fassen, die Betroffenenrechte auf Auskunft, Berichtigung und Löschung von Daten sind insbesondere im Hinblick auf den nachgelagerten Rechtsschutz weiter zu stärken und die Mittel staatlicher Selbstkontrolle deutlich besser als bisher auszubauen.

Fazit:

Es ist jetzt an der Zeit, zu handeln. Das sowohl im Hinblick auf den Schutz durch den Staat – also die Sicherheit –, wie an der gesteigerten öffentlichen Bedrohungslage erkennbar ist, als auch unter dem Gesichtspunkt des Schutzes vor dem Staat – also die Freiheit –, wie spätestens die Snowden-Veröffentlichungen und die darauf folgenden politischen Verwicklungen gezeigt haben. Der Verfassungsrechtler Udo Di Fabio schreibt hierzu: „Freiheit und Sicherheit sind keine unversöhnlichen Widersprüche, sondern sie stehen zueinander in einem Komplementärverhältnis, innerhalb dessen sie einander wechselseitig voraussetzen und sich stärken, um jeweils angemessen zur Entfaltung zu gelangen.“ Und genau diese Stärkung beider Aspekte gleichermaßen ist es, die für die Zukunft unserer Gesellschaft wichtig ist. Hier hoffe ich, mit meiner Arbeit einen Beitrag leisten zu können und danke herzlich für Ihre Aufmerksamkeit.


Dennis-Kenji Kipker zusammen mit Filipe Fischmann während der Finalrunde in Berlin

Dennis-Kenji Kipker zusammen mit Filipe Fischmann während der Finalrunde in Berlin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

intrapol.org © 2017