Lücken, Löcher, Lauschangriffe

Inhaltsverzeichnis

Harsche Kritik an der Bundesregierung übte der Bundesbeauftragte für den Datenschutz, Peter Schaar, bei der Vorlage des „Tätigkeitsberichts 2003-2004“, seines ersten nach der Amtsübernahme im Dezember 2003. Mit Blick auf die Einführung der Gesundheitskarte und der JobCard mahnte er, Sorgfalt müsse vor Schnelligkeit gehen. Schon bei der Umstellung der Arbeitslosen- und Sozialhilfe auf das Arbeitslosengeld II seien elementare Anforderungen an die Systemgestaltung nicht eingehalten worden, nur um den Termin der Einführung zum Jahresbeginn nicht zu gefährden. So verfügt die zur Leistungsabrechnung eingesetzte Software A2LL über keinen Zugriffsschutz, sondern erlaubt jedem Sachbearbeiter die unkontrollierte Personensuche und bundesweit den vollen Zugriff auf alle dem Sozialgeheimnis unterliegenden Daten; dass nicht einmal eine Protokollierung der Zugriffe implementiert wurde, sei schlichtweg „nicht vertretbar“.

Gravierende Sicherheitslücken auch bei der elektronischen Steuererklärung (ELSTER): Seit dem 1. Januar dürfen Umsatz- und Einkommensteuer-Voranmeldungen grundsätzlich nur noch auf elektronischem Wege an das Finanzamt übermittelt werden; nur in begründeten Härtefällen ist die Finanzverwaltung bereit, die alten Papiervordrucke zu akzeptieren. „Man hat das Verfahren eingeführt“, kritisiert Schaar, „ohne dass die ursprünglich vorgesehenen Sicherungen - insbesondere die sichere Authentifizierung des Betroffenen - realisiert wurden.“ Auf den Einsatz digitaler Signaturen wurde wegen deren geringer Verbreitung verzichtet und auch kein anderes Authentisierungsverfahren implementiert. Die Folge: Mit Kenntnis der Steuernummer und wenigen anderen personenbezogenen Informationen, die ebenfalls nicht geheim sind, könnte ein Dritter zum Beispiel mit fingierten Umsatzsteuer-Voranmeldungen Abbuchungen des Finanzamts vom Konto des betroffenen Steuerbürgers veranlassen und bösartig großen Schaden anrichten.

Dass sich das Bundesfinanzministerium gegenüber seinen Vorhaltungen verständnislos zeigte und offenbar bereit ist, das Risiko in Kauf zu nehmen, stößt bei Schaar auf Befremden. „Ich halte das nicht für den besten Weg, für die Akzeptanz von E-Government-Lösungen zu sorgen“, meint er. „E-Government kann nur funktionieren, wenn auch der Datenschutz gewährleistet ist, und das bedeutet, dass derjenige, der eine personalisierte Verwaltungsleistung in Anspruch nimmt, sich auch ordentlich authentisieren muss.“

Unsichere Biometrie

Auch die von der Bundesregierung nach wie vor schon ab dem Herbst geplante Einführung biometrischer Merkmale im Passwesen kritisierte Schaar als voreilig. Die Versprechen über Vorteile und Sicherheit der biometrischen Systeme würden mit der heute verfügbaren Technik nur bedingt gehalten. Tests im Bereich des Bundes zur Einsatztauglichkeit in Ausweisdokumenten hätten Hinweise auf noch weitgehend ungelöste Probleme ergeben, heißt es in dem Bericht. Bei Fingerabdrücken etwa ist die Erkennungsleistung „bei bestimmten Berufsgruppen nicht gewährleistet und nimmt zudem mit dem Alter der Anwender ab“, und Überwindungsversuche waren dabei schon „mit einfachen Mitteln erfolgreich, die selbst geschultem Grenzpersonal nicht auffallen würden“.

„Die vorschnelle Einführung“, erklärte Schaar, „ist besonders deshalb problematisch, weil bestimmte Kernfragen bis heute nicht geklärt sind“, zum Beispiel, wie verhindert werden könne, dass Unbefugte die Daten auslesen und verarbeiten. Bisher hat das Bundesinnenministerium für das Großvorhaben noch kein Sicherheitskonzept geschweige denn ein Datenschutzkonzept vorgelegt und durch unabhängige Dritte evaluieren lassen, wie das bei IT-Projekten in der Privatwirtschaft üblich ist. Schaar verwies darauf, dass die im Dezember beschlossene EU-Verordnung zur Einführung biometrischer Pässe ohnehin erst bis Mitte 2006 umgesetzt werden muss. Damit würde zwar der von der US-Regierung zum 26. Oktober 2005 gesetzte Termin für die Beibehaltung der visafreien Einreise versäumt, doch ließe sich auf diese Weise Zeit gewinnen, die Sicherheits- und Datenschutzanforderungen zu berücksichtigen.

„Es kann nicht sein, dass wir eine unausgereifte Technik und unsichere Verfahren bei uns einführen, nur weil die USA sonst ihre Einreisebestimmungen verschärfen“, begründete Schaar die Forderung nach einem Moratorium „bis zum Sommer kommenden Jahres“. Prompt zog er sich dafür den Zorn von Bundesinnenminister Otto Schily zu, der ihm Kompetenzüberschreitung vorwarf: Weder die Beurteilung der Technik noch die politische Entscheidungsfindung sei Aufgabe des Bundesdatenschutzbeauftragten.

Der indes hat den Bundesinnenminister auch an anderer Stelle im Visier. Die weitreichenden Befugnisse des so genannten „Otto-Katalogs“, die nach den Anschlägen des 11. September 2001 in den USA durch das Terrorismusbekämpfungsgesetz hierzulande dem Verfassungsschutz, Bundesnachrichtendienst und Militärischen Abschirmdienst bei Auskunftsbegehren gegenüber privaten Unternehmen wie Banken, Post, Fluggesellschaften und Telekommunikationsfirmen eingeräumt wurden, müssten jetzt endlich auf den Prüfstand. Weil diese Auskunftsbefugnisse keinen konkreten strafrechtlichen Anfangsverdacht voraussetzen und somit tief in die Persönlichkeitsrechte der Bürger eingreifen, waren sie auf fünf Jahre befristet worden und sollten rechtzeitig vor Ablauf dieser Frist (10. Januar 2007) evaluiert werden.

Dazu soll das Parlamentarische Kontrollgremium für die Nachrichtendienste dem Bundestag einen Bericht über Art, Umfang, Durchführung und Anordnungsgründe der Maßnahmen vorlegen, doch die Art der Evaluierung ist bislang umstritten. Schaar würde es begrüßen, wenn die zugrunde gelegten Kriterien und die Evaluationsergebnisse der Öffentlichkeit zugänglich gemacht würden, damit die politische Debatte über die Fortsetzung der Grundrechtseingriffe - vor allem, ob der verfassungsrechtliche Grundsatz der Verhältnismäßigkeit noch gewahrt ist - auf der Basis einer gesicherten Faktenlage geführt werden kann. Eingriffsbefugnisse, die nicht gebraucht werden oder die sich nicht bewährt haben, sollten zurückgenommen werden.

Ausufernde Überwachung

Mit Sorge beobachtet der Bundesdatenschutzbeauftragte, dass die Bundesregierung die Entscheidung des Bundesverfassungsgerichts zum „Großen Lauschangriff“ vom März vergangenen Jahres noch nicht verinnerlicht hat und sie lediglich auf die akustische Wohnraumüberwachung bezieht. Der Grundsatz der Entscheidung, dass ein unantastbarer Kernbereich privater Lebensgestaltung vor jeglicher Überwachung zu schützen sei, habe jedoch weit über das Abhören von Wohnungen hinaus Konsequenzen, wie zum Beispiel für die Telefonüberwachung. Dort hat die Zahl der Lauschanordnungen im Berichtszeitraum erneut drastisch zugenommen. Von den 29 017 richterlich genehmigten Abhöraktionen im vergangenen Jahr - ein Anstieg um 19 Prozent gegenüber dem Vorjahr - wurden Schätzungen zufolge rund 20 Millionen Telefongespräche erfasst, die mehr als 1,5 Millionen Menschen betrafen. Vor diesem Hintergrund erwartet Schaar, dass die Bundesregierung noch in dieser Legislaturperiode einen Gesetzentwurf zur Begrenzung und Neuregelung der Telefonüberwachung vorlegt.

Besonders kritisch sieht Schaar die auf europäischer Ebene diskutierte Initiative zur Einführung einer verdachts- und anlassunabhängigen Vorratsspeicherung von Telekommunikations-Verbindungsdaten für 12 bis 36 Monate, gegen die sich der Deutsche Bundestag mehrfach mit großer Mehrheit ausgesprochen hat. „Welche Daten davon erfasst würden, ist noch völlig unklar“, erklärt Schaar und betont, dass es „wesentlich datenschutzfreundlichere Ansätze“ gibt. Als Beispiel nennt er die „quick freeze“-Praxis in den USA, bei der Diensteanbieter nur in begründeten Einzelfällen auf ein Ersuchen (preservation request) der Strafverfolgungsbehörden die Verkehrsdaten über den geschäftlichen Abrechnungszeitraum hinaus speichern müssen; herausgeben dürfen sie die Daten nur, wenn innerhalb von neunzig Tagen ein richterlicher Beschluss ergeht.

Schon wo es noch nicht um die Verbindungsdaten, sondern nur um die Bestandsdaten der Telekommunikationsunternehmen geht, auf die Sicherheitsbehörden nach § 112 Telekommunikationsgesetz zugreifen dürfen, zeigen sich die ausufernden Begehrlichkeiten. Von der Befugnis zur automatisierten Abfrage von Kundenstammdaten haben im vergangenen Jahr rund tausend verschiedene staatliche Dienststellen fast drei Millionen Mal Gebrauch gemacht - eine Verdoppelung gegenüber dem Jahr 2001. Schaar hält die „immense Steigerung“ für bedenklich und fordert eine gesetzliche Begrenzung, zumal die weit über 50 000 Zugriffe pro Woche effektiv kaum noch protokolliert würden.

Europäische Defizite

Unter den nunmehr 25 Mitgliedsstaaten der EU gewinnt die grenzüberschreitende Datenübermittlung und -verarbeitung zunehmend an Bedeutung. Im November letzten Jahres beschlossen die EU-Regierungschefs das Haager Programm zur Verbesserung der Zusammenarbeit von Justiz- und Sicherheitsbehörden; auf dem Fahrplan stehen unter anderem der Ausbau und die Intensivierung des Informationsaustausches, beispielsweise mit dem Schengener Informationssystem SIS II, das seine Verfechter in Brüssel bereits als „das größte Polizeiinformations- und Grenzkontrollsystem der Welt“ apostrophieren. „Hier wird so etwas wie ein Binnenmarkt der Sicherheitsbehörden angestrebt“, meint Schaar und weist auf die Ungleichgewichtigkeit dieser Entwicklung hin: So ist die europäische Datenschutz-Richtlinie inzwischen zwar durchgehend in allen Ländern der Gemeinschaft umgesetzt, sie bezieht sich aber nicht auf die Verarbeitung personenbezogener Daten im Sicherheitsbereich. „Wenn Polizei- und Strafverfolgungsbehörden intensiver zusammenarbeiten und dabei auch personenbezogene Daten ohne Rücksicht auf nationale Grenzen austauschen sollen, wie dies im Haager Programm beschlossen wurde, muss der Datenschutz auch auf diesem Gebiet europäisiert werden“, verlangt er.

Unter der Wucht der staatlich postulierten Sicherheitsinteressen wie dem Ansturm der technischen Entwicklung steht die Wahrung der Privatsphäre in der Defensive. Leider hätten die Möglichkeiten, „mit denen sich der Einzelne gegen Überwachung schützen kann, nicht mit den Überwachungstechnologien Schritt gehalten“, resümiert Schaar. Umso wichtiger sei es, den Datenschutz bereits in der Entwicklungs- und Konzeptionsphase zu berücksichtigen, wie es das Bundesdatenschutzgesetz vorsieht. Doch „offenbar hat diese Erkenntnis noch nicht alle Beteiligten erreicht“.

---

Stillstand im Datenschutzrecht

„Bei der Datenschutzgesetzgebung wurden während der Berichtsperiode leider kaum sichtbare Erfolge erzielt“, erklärte Schaar bei der Vorlage seines Tätigkeitsberichts. So gebe es noch immer kein Durchführungsgesetz, das die Anforderungen an Datenschutzaudits regeln soll; auch das vom Bundestag seit langem geforderte Arbeitnehmerdatenschutzgesetz lasse weiter auf sich warten. Und „bei der angekündigten grundlegenden Modernisierung des Datenschutzrechts“, meinte Schaar, „herrscht Stillstand“.

Lediglich das Informationsfreiheitsgesetz des Bundes, das dem Bürger den freien und voraussetzungslosen Zugang zu Akten, Unterlagen und Informationen in der Bundesverwaltung sicherstellen soll, sei endlich auf den Weg gebracht worden. Die Fraktionen von SPD und Bündnis 90/Die Grünen hatten den Entwurf erarbeitet und im Dezember in den Bundestag eingebracht (BT-Drs. 15/4493). Danach soll die neu zu schaffende Aufgabe eines Bundesbeauftragten für die Informationsfreiheit dem Bundesdatenschutzbeauftragten übertragen werden.

Schaar sieht keinen Zielkonflikt darin, sich gleichzeitig für den Schutz personenbezogener Daten und für die Offenheit des Verwaltungshandelns stark zu machen. Die Doppelfunktion gibt es auch in den Bundesländern, die bereits ein Informationsfreiheitsgesetz erlassen haben, und hätte sich dort bewährt, meint er. „Informationsfreiheit und Datenschutz sind keine unüberbrückbaren Gegensätze, sondern die zwei Seiten der gleichen Medaille, geht es doch in beiden Fällen um Offenheit und Transparenz“. (jk)