Missing Link: Schengen-Informationssystem wird erweitert – Missbrauch befürchtet
Der Bund will über 2000 zusätzliche Behörden an das Schengener Informationssystem der dritten Generation anschließen. Geheimdienste dürfen heimlich fahnden.
(Bild: ImageFlow/Shutterstock.com)
Ohne großes öffentliches Aufsehen wollen Bundesregierung und Bundestag den Kreis der hiesigen Behörden, die an das Schengener Informationssystem (SIS) direkt angeschlossen werden, deutlich erweitern. In Deutschland soll dies für über 2000 zusätzliche Ämter gelten. Die Folge könnten etwa deutlich mehr unberechtigte Polizeikontrollen und Überwachungsmaßnahmen sein. Dieses Risiko wird zusätzlich dadurch vergrößert, dass künftig auch die Geheimdienste des Bundes heimlich Personen oder Sachen über das SIS verfolgen lassen dürfen.
Dies geht aus dem bislang noch wenig beachteten Gesetzentwurf hervor, mit dem die Bundesregierung Details zur Durchführung von drei EU-Verordnungen von 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems der dritten Generation (SIS III) festlegen will. Darüber sollte der Bundestag ursprünglich am 13. Oktober in 1. Lesung debattieren. Das Vorhaben wurde dann aber doch nur im vereinfachten Verfahren an die zuständigen Ausschüsse überwiesen.
Einen Änderungsantrag, der heise online vorliegt und der an der Kernsubstanz des Regierungspapiers nicht mehr rührt, haben die Fraktionen der Ampel-Koalition am 8. November im federführenden Innenausschuss bereits beschlossen. Die Initiative soll so voraussichtlich in der übernächsten Sitzungswoche am 1. Dezember zu später Stunde in 2. und 3. Lesung verabschiedet werden. Eine längere Aussprache wird es dazu vermutlich nicht mehr geben.
Anwendungsbereich und Funktionen werden massiv ausgebaut
Die EU-Verordnungen selbst bauen sowohl den Anwendungsbereich als auch die Funktionen des SIS massiv aus. Bisher hatten ausschließlich berechtigte Mitarbeiter von Ämtern der Mitgliedsstaaten aus den Bereichen Strafverfolgung und Justiz wie etwa Grenzschutz, Polizei, Zoll und Visa Zugriff auf die riesige Datenbank. Dazu kamen einzelne Zulassungsstellen und EU-Behörden wie Europol.
Künftig werden zu dem Kreis hierzulande etwa die Ausländerbehörden, das Auswärtige Amt, das Bundesamt für Auswärtige Angelegenheiten, die Auslandsvertretungen, das Bundesamt für Migration und Flüchtlinge (BAMF), die Wasserstraßen- und Schifffahrtsämter sowie das Luftfahrt-Bundesamt gehören. In den Verbund integriert werden zudem alle für die Kfz-Zulassung zuständigen Ämter, die Waffenbehörden, die Staatsanwaltschaften sowie die obersten Landesbehörden im Rahmen ihrer Zuständigkeiten nach dem Aufenthaltsgesetz.
Technische Probleme verzögern Start jahrelang
Die einschlägigen EU-Verordnungen an sich sind schon am 27. Dezember 2018 in Kraft getreten und unmittelbar anzuwenden. Sie bilden die Rechtsgrundlage für das SIS III, dessen Inbetriebnahme die EU-Kommission noch festlegen muss. Beim Upgrade vom SIS I zum aktuellen SIS II gab es massive technische Probleme, die den Start jahrelang verzögerten und die Kosten deutlich erhöhten. Fast wäre das Projekt aufgegeben worden.
Die Einrichtung des gemeinsamen Fahndungs- und Informationssystems stellt generell eine der wichtigsten Ausgleichsmaßnahmen dar, die nach dem Wegfall der Grenzkontrollen mit dem Schengener Durchführungsübereinkommen 1990 die innere Sicherheit aufrechterhalten sollen. Aktuell können Sicherheits- und Strafverfolgungsbehörden aus rund 30 Staaten rund um die Uhr auf das SIS II zugreifen. Zum Großteil der EU-Mitgliedsländer kommen hier Island, Norwegen, die Schweiz und Liechtenstein dazu.
Ende 2021 enthielt das gigantische Register 89.999.229 Datensätze alias Hinweise, wie aus der jüngsten Statistik der für den Betrieb von IT-Großsystemen zuständigen Behörde EU-Lisa hervorgeht. Fast 68 Millionen davon bezogen sich auf offiziell ausgegebene Dokumente wie Personalausweise, knapp eine Million auf Personen. Bei den ausgeschriebenen Sachen entfallen allein 3,1 Millionen auf Fahrzeuge und 4,3 Millionen auf Nummernschilder. Eingespeist werden etwa auch Banknoten und Schusswaffen.
Automatisiertes Fingerabdruckidentifizierungssystem
Das Bundeskriminalamt (BKA), das hierzulande die nationale Zentralstelle ("Sirene") für Nachrichtenaustausch der SIS-Fahndungen betreibt, beschreibt die Einsatzmöglichkeiten so: "Ob jugendlicher 'Ausreißer', der schon Stunden nach seinem Verschwinden auf dem Weg in den Süden Europas an einer Autobahn entdeckt wird, oder Schwerstkrimineller, der bei einer Personenkontrolle festgenommen werden kann – in vielen Fällen spielt das SIS eine entscheidende Rolle." Es trage so entscheidend zur Sicherheit in Europa bei.
Im Bereich der Personenfahndung haben die EU-Gesetzgeber 2018 unter anderem neue Ausschreibungskategorien von unbekannten gesuchten Personen mittels Tatortspuren im Automatisierten Fingerabdruckidentifizierungssystem (SIS-AFIS) eingeführt. Weiter ist seitdem eine "Ermittlungsanfrage" möglich, damit eine Person angehalten und befragt werden kann. Ferner tritt die Option für eine Fahndung nach Sachen hinzu, um eine im SIS ausgeschriebene Person auch bei verdeckten und gezielten Kontrollen aufzufinden. Diese Bestandteile wird der Bundestag mit umsetzen.
Lichtbilder, Fingerabdrücke, Handflächenabdrücke und DNA-Profile
Die neuen Rechtsakte sehen auch grundsätzlich eine verpflichtende Nutzung des SIS im Bereich der Terrorismusbekämpfung vor. Zudem wird es künftig bei Personenfahndungen möglich sein, Fahndungen alias Ausschreibungen neben Lichtbildern und Fingerabdrücken auch weitere biometrische Merkmale wie Handflächenabdrücke und DNA-Profile beizufügen.
Als nationales Sirene-Büro wird das BKA ferner verpflichtet, zeitnah Zusatzinformationen zu ausländerrechtlichen Suchanfragen herauszugeben. Das hiesige Parlament wird zudem über Änderungen am BKA-Gesetz die technische Trennung des nationalen Teils des SIS vom polizeilichen Informationsverbund Inpol nachvollziehen, um überhaupt erst den europarechtlich vorgesehenen Zugriff von Behörden außerhalb des Strafverfolgungsbereichs auf die Datenbank zu ermöglichen.
Zentrales und nationales System
Das SIS II besteht nämlich bereits aus einem zentralen und einem nationalen System, dem "N.SIS", und einer Kommunikationsinfrastruktur dazwischen. Insgesamt ergibt sich so eine sternförmige Informatikarchitektur. Diese besteht aus einem zentralen Standort mit der Referenz-Datenbank sowie einer nationalen Schnittstelle.
Die Bundesregierung erklärt dazu, dass das N.SIS aus Inpol technisch herausgelöst werden müsse, um den Zugriff durch die neu zu integrierenden, keine Polizeirechte genießenden Behörden zuzulassen. Letztere erhielten ausschließlich Zugang auf das nationale System. Die vorgesehenen Polizeibehörden könnten künftig sowohl auf Inpol als auch auf das N.SIS zugreifen. Nationale polizeiliche Ausschreibungen seien in beiden Systemen enthalten.
Deutliche Abweichung von den Vorschriften
Weitgehend setzt die hiesige Exekutive so das um, was in den EU-Verordnungen vorgegeben ist. An einem Punkt weiche sie aber deutlich von den Vorschriften ab, moniert Clara Bünger, Sprecherin für Flucht- und Rechtspolitik der Linksfraktion im Bundestag, gegenüber heise online. Mit einer Änderung am Bundesverfassungsschutzgesetz gehe eine neue Befugnis für den Inlandsgeheimdienst, den Bundesnachrichtendienst (BND) und den Militärischen Abschirmdienst (MAD) einher, über das BKA Ausschreibungen zur verdeckten Fahndung im SIS vornehmen zu lassen.
Dies durchbreche eindeutig das verfassungsrechtliche Trennungsgebot zwischen Polizei und Geheimdiensten in Deutschland, beklagt Bünger. Dadurch erhielten die Agenten nämlich "unmittelbar Zugriff auf die Befugnis der Polizei zur Personenkontrolle", was einen unmittelbaren Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstelle. Ein solches Vorgehen ist laut der Juristin zugleich dem SIS sachfremd, da das einschlägige EU-Recht explizit den Informationsaustausch "im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit" regele.
Umfassende Bewegungs- sowie Kontaktprofile
Laut dem Entwurf für das SIS-III-Gesetz dürfen die Geheimdienste des Bundes per BKA-Amtshilfe eine Person, bargeldlose Zahlungsmittel oder andere Sachen zur heimlichen Kontrolle ausschreiben lassen, "wenn die Voraussetzungen vorliegen". Spätestens nach Ablauf von sechs Monaten ist zu prüfen, ob die Anforderungen noch erfüllt werden. Nur bei einer Personenfahndung bedarf die Verlängerung einer richterlichen Anordnung.
Von ihrer Kompetenz, Verdächtige über das SIS grenzüberschreitend heimlich zu überwachen, machten europäische Polizeibehörden bereits in der Vergangenheit immer stärker Gebrauch. Bei einer solchen verdeckten Fahndung erfährt die ausschreibende Behörde etwa bei einer polizeilichen Verkehrskontrolle oder einem Grenzübertritt, wohin eine betroffene Person wann und mit wem gereist ist. Ermittler können die entsprechenden Daten speichern und vor einem späteren möglichen Zugriff zunächst zu umfassenden Bewegungs- sowie Kontaktprofilen verdichten.
Das Blackbox-Verfahren
Wen die Strafverfolger ohne Richterbeschluss auf die Beschattungsliste setzen, bleibt geheim. Auch nachträglich können sich Betroffene kaum gegen die Ausspähung wehren, da nach Abschluss einer Überwachungsaktion auf EU-Ebene keine Informationspflicht besteht. Das Blackbox-Verfahren dürfte mit der offiziellen Erlaubnis für Geheimdienste für solche Fahndungen noch viel stärker gefragt sein.
Beobachtern zufolge richteten sich derlei Überwachungsmaßnahmen derzeit vor allem gegen Flüchtlinge, könnten aber etwa auch gegen unliebsame Personen wie Aktivisten eingesetzt werden. Vermutet wird auch schon seit Längerem, dass informell Geheimdiensten selbst aus Drittstaaten über eine Hintertür ein indirekter Zugriff gewährt wird. Die Bundesregierung wollte sich dazu auf bisherige Nachfragen der Linksfraktion nie äußern.
Einmalige Kosten und "jährlicher Erfüllungsaufwand"
Günstig kommt das Vorhaben den Steuerzahler nicht. Die einmaligen Kosten schätzt die Exekutive auf rund 114,2 Millionen Euro für den Bund und 11,9 Millionen Euro für die Länder. Dies sei "insbesondere auf die Errichtung des nationalen SIS samt Unterstützung des Bundesverwaltungsamtes (BVA) sowie die Schaffung der SIS-Abrufmöglichkeiten in den einzelnen Behörden zurückzuführen". Angesichts des aufzubauenden Verbunds bedürfe es etwa zusätzlicher Hardware, Software sowie zugehöriger Lizenzen. Ferner müssten unter anderem biometrische Systeme wie das AFIS angepasst und ertüchtigt werden.
Später fällt dem Entwurf zufolge ein "jährlicher Erfüllungsaufwand" in Höhe von rund 41,4 Millionen Euro an. Davon sollen 32,2 Millionen Euro auf den Bund und 9,1 Millionen Euro auf die Länder nebst Kommunen entfallen. Verursacht würden diese Kosten vor allem durch den N.SIS-Betrieb und den Austausch zwischen den Sirene-Büros und anderen Polizeibehörden, aber auch aufgrund der neuen, voraussichtlich deutlich zunehmenden Suchläufen im und Abrufen aus dem Informationssystem. Der Nationale Normenkontrollrat beanstandete, dass die lückenhafte Darstellung des Erfüllungsaufwands für die Länder kein "realitätsnahes Bild" liefere.
Personelle Ressourcen und Zeitaufwand
Sehr ausführlich geht die Regierung auf die voraussichtlich benötigten personellen Ressourcen ein. Pro Datenabruf rechnet das BKA ihr zufolge nach einer beispielhaften Durchführung der Prozesse in der eigenen Schulungsumgebung mit einem zusätzlichen Zeitaufwand von 7 Minuten pro Ausschreibung. Nach Angaben auch des Bundesinnenministeriums sei mit 60.000 Fahndungsersuchen für Personen mit einem Einreise- und Aufenthaltsverbot und 37.000 Ausschreibungen von Personen mit einer Rückkehrentscheidung der Ausländerbehörden, also insgesamt 97.000 Fällen, zu rechnen.
Für die Kfz-Zulassungsstellen werde ein zusätzlicher Zeitaufwand von 15.000 Personentagen (7.200.000 Minuten) und bei den Waffenbehörden 2083 Personentagen (999.840 Minuten) geschätzt, geht aus der Begründung weiter hervor. Wenn auch bei diesen Behörden der Abruf 7 Minuten dauere, ergebe sich daraus die Fallzahl von knapp 1,2 Millionen. Hinzu kämen 4000 Datenabrufe pro Jahr durch die Amtsgerichte. Hier dürfte die Bearbeitungszeit 5 Minuten betragen. Zusammengerechnet ergebe sich eine Fallzahl von rund 1.272.000 Datenabrufen im SIS.
Um die staatliche Ausdehnung von Behörden mit Lese- und Schreibrechten sowie die enorme Zahl an Suchläufen zu bewältigen, richtete das Innenressort bereits relativ kurzfristig nach dem Beschluss der Verordnungen ein behördenübergreifendes Projekt "SIS 3.0" ein, das im Oktober 2020 über insgesamt 94 Mitarbeiter verfügte. Davon stammten 26 von den beteiligten Ämtern wie BKA, BAMF und BVA, 64 von externen Unternehmen und vier von der Bundespolizei.
"Abgleich der vorhandenen Daten mit einem einzigen Klick"
Im Hintergrund verknüpft die EU parallel seit 2019 sämtliche bestehenden und sich im Aufbau befindlichen EU-Datenbanken in den Bereichen Sicherheit, Grenzmanagement und Migrationssteuerung. Auf Basis des einschlägigen Gesetzespakets sollen unter anderem das SIS, das Visa-Register (VIS) und die Eurodac-Datei, in der vor allem Fingerabdrücke von Asylbewerbern gespeichert werden, über ein Suchportal verknüpft werden. Dazu kommen etwa das neue Ein- und Ausreisesystem zur biometrischen Grenzkontrolle sowie das Europäische Reisegenehmigungssystem (ETIAS).
Ermöglicht wird damit ein "Abgleich der vorhandenen Daten mit einem einzigen Klick", konstatierte die Kommission während des Gesetzgebungsverfahrens. Grenzschutz- und Polizeibeamten könnten damit künftig Ausweise einfacher überprüfen, "indem sie alle EU-Informationssysteme auf einem einzigen Bildschirm gleichzeitig abfragen". Die aufwändigere Suche in einzelnen Datenbanken werde so überflüssig.
"Interoperabilität" – eine Biometrie-Superdatenbank
Auch ein übergeordneter "Speicher für Identitätsdaten" ist in der Mache, eingeschränkt zunächst auf Angehörige von Drittstaaten. Einfließen sollen Informationen wie Geburtsdatum, Passnummer, Fingerabdrücke und digitale Gesichtsbilder. Nicht fehlen dürfen ein "gemeinsamer Dienst" für den Abgleich biometrischer Daten, mit dem anhand von Fingerabdrücken und Gesichtsbildern alle bestehenden Informationssysteme abgefragt werden können, sowie ein "Detektor für Mehrfachidentitäten". Unter dem Aufhänger "Interoperabilität" entsteht so praktisch eine Biometrie-Superdatenbank.
Der gesamte Ansatz sei "problematisch und missbrauchsanfällig", kritisiert Bünger. Nach der SIS-Verordnung könnten Fingerabdrücke und DNA-Daten zur Suche vor allem nach vermissten Personen genutzt werden, aber auch zur Überprüfung der Identität, wenn alphanumerische Daten bei einer Personenkontrolle nach Ansicht der Behörde kein eindeutiges Ergebnis brächten oder es Zweifel an der Echtheit von Dokumenten gebe. Die Erfahrung zeige zudem, dass die Anwendung einmal errichteter Datenbanken immer weiter ausgedehnt werde.
Missbrauchsrisiko aufgrund fehlenden Protokollierungspflicht
Ein besonderes Missbrauchsrisiko sieht die Linke bei der deutschen SIS-III-Umsetzung ferner aufgrund der fehlenden Protokollierungspflicht von Datenabfragen im automatisierten Verfahren, das das Gros der Ersuchen darstelle. Zugriffe auf das Zentralsystem sollten zwar durch den EU-Datenschutzbeauftragten Wojciech Wiewiórowski überwacht werden. Dieser könne aber den jeweiligen nationalen Aktenrückhalt zu einer Ausschreibung nicht prüfen. Dieses Problem bestehe auch auf nationaler Ebene, wo im Kern dem Bundesdatenschutzbeauftragten Ulrich Kelber die Kontrolle obliegt: Die Polizeistellen der Länder könnten nur durch die Datenschützer vor Ort geprüft werden.
"Die Erweiterung einer Datenbank, sei es durch den Anschluss neuer Stellen, die Verarbeitung weiterer Datenkategorien oder die Verknüpfung mit anderen Systemen, birgt grundsätzlich ein erhöhtes Risiko für Fehler bei der Datenverarbeitung", unterstrich ein Sprecher Kelbers gegenüber heise online. Dies schließe missbräuchliche Nutzungen ein. Für die Aufsichtsbehörden bedeute ein solcher Aufwuchs einen erhöhten Kontrollaufwand. Aus datenschutzrechtlicher Sicht sei in diesem Zusammenhang vor allem maßgeblich, "dass der Grundsatz der Zweckbindung gewahrt und nicht aufgeweicht wird".
Steuerfahndung als SIS-zugriffsberechtigte
Dem Vernehmen sprach sich der Bundesdatenschutzbeauftragte auch dafür aus, im Gesetzeswortlaut ausdrücklich festzuhalten, dass die formellen Anforderungen für die nationale Ausschreibung wie Anforderungen an die Anordnung und die Befristung auch für Fahndungen im SIS selbst gelten. Die mit dem Vorhaben einhergehenden Änderungen am BKA-Gesetz blieben hier unklar. Dies lehnte das Innenministerium aber ab, da eine direkte Übernahme des Verordnungstexts erforderlich sei.
Der Innenexperte der SPD-Bundestagsfraktion, Sebastian Hartmann, versicherte, mit dem Gesetzentwurf würden die EU-Vorgaben "1:1" umgesetzt. Die Abgeordneten schüfen keine zusätzlichen Befugnisse für die Sicherheitsbehörden. Der Bundesrat habe sich aber dafür ausgesprochen, auch die Steuerfahndungsstellen der Länder ausdrücklich als SIS-zugriffsberechtigte Behörden zu benennen. Diesem Vorschlag sei die Koalition mit ihrem Korrekturantrag gefolgt.
"Netze des Bundes"-Zuständigkeit
Noch eingebaut hat die Ampel zudem eine mit dem SIS nicht zusammenhängende Klarstellung, dass die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) für die Kommunikationsinfrastruktur "Netze des Bundes" zuständig ist. Diese wurde vor allem mit der Hackerattacke auf den Bundestag bekannt. Der BDBOS obliegt es demnach, "eine einheitliche und hochverfügbare Netzinfrastruktur zur gemeinsamen Kommunikation für den Bund bereitzustellen" sowie den Austausch mit den Ländern zu gewährleisten. Sie müsse zudem Leistungen für den Digitalfunk der Blaulichtbehörden wie Zugangsregelungen oder Anforderung an die materielle Sicherheit von Standorten zur Verfügung stellen.
(bme)
