Missing Link: Telekommunikationsüberwachung, das polizeiliche Kompetenzzentrum und der Datenschutz
In Sachsen entsteht ein Kompetenzzentrum zur Telekommunikationsüberwachung mehrerer Bundesländer. Ein Blick auf die Entstehung, Aufgaben und den Datenschutz.
(Bild: Quardia/Shutterstock.com)
In Sachsen entsteht das Gemeinsame Kompetenz- und Dienstleistungszentrum (GKDZ) zur polizeilichen Telekommunikationsüberwachung (TKÜ). Es ist eine Anstalt des öffentlichen Rechts (AöR). Beteiligt sind außer Sachsen auch Sachsen-Anhalt, Thüringen, Brandenburg und Berlin. Von Anfang an stand das GKDZ in der Kritik. Umstrittene Themen waren bzw. sind Wirtschaftlichkeit, Informationspolitik, Datenschutz und rechtsstaatliche Kontrolle und ein möglicher Kausalzusammenhang mit der Änderung des sächsischen Polizeigesetzes. Dagegen betonen Ulf Lehmann, Vorstandsvorsitzender des GKDZ, und Markus Pannwitz, Referatsleiter Recht und Verwaltung, dass die Landesdatenschutzbehörden von Anfang an bei der Entstehung der Rechtsgrundlagen des GKDZ eingebunden waren und dass ihre Stellungnahmen Eingang in den Staatsvertrag gefunden haben. Aber gerade die Sachsen haben sich nicht mit Datenschutz hervorgetan: Wie soll so ein Zentrum ausgerechnet hier funktionieren?
Sein genauer Name lautet "Gemeinsames Kompetenz- und Dienstleistungszentrum der Polizeien der Länder Berlin, Brandenburg, Sachsen, Sachsen-Anhalt und Thüringen auf dem Gebiet der polizeilichen Telekommunikationsüberwachung als rechtsfähige Anstalt des öffentlichen Rechts". Etwas salopp nennt man das GKDZ "Überwachungszentrum Ost". Hier sollen für die fünf Trägerländer in einem eigenen Rechenzentrum die stationäre polizeiliche Telekommunikationsüberwachung durchgeführt sowie Verwaltungs-, Beratungs- und Fortbildungsaufgaben übernommen werden.
Bislang laufen die Geschäftsprozesse um eine TKÜ, zum Beispiel in Sachsen, folgendermaßen ab: Ein Ermittler – Mitarbeiter einer Strafverfolgungsbehörde (Polizei oder Staatsanwaltschaft) – stellt einen Antrag zur TKÜ. Staatsanwaltschaft und Gericht prüfen die Rechtsmäßigkeit. Dies ist auf zwei Grundlagen möglich: nach der bundesweit geltenden Strafprozessordnung gemäß dem Straftatenkatalog §§ 100a ff. StPO, was die Kernaufgabe ist, oder nach dem Polizeigesetz von Sachsen. Dies wurde in Sachsen erst Anfang des Jahres geändert, seitdem gibt es im Freistaat Sachsen ein Polizeivollzugsdienstgesetz für die Landespolizei (SächsPVDG) und ein Polizeibehördengesetz (SächsPBG) für die Kommunen und Landkreise.
"Modernisiertes Eingriffsinstrumetarium" inklusive Gefahrenabwehr
Das SächsPVDG enthält in seinen 107 Paragraphen die Umsetzung des EU-Datenschutzrechtes und ein, wie das Sächsische Staatsministerium des Innern schreibt, "modernisiertes Eingriffsinstrumentarium". Seitdem geht es bei einer TKÜ nicht mehr nur um Strafverfolgung, sondern auch um Gefahrenabwehr, also Prävention. Die Polizei darf im Einzelfall und unter richterlichem Vorbehalt Verkehrs- und Nutzungsdaten eines Betroffenen beim Telekommunikationsanbieter und bei Online-Plattformen erfragen und die Inhalte von Gesprächen abhören.
Wenn der Richter die TKÜ-Maßnahmen anordnet, fordert das LKA beim Telekommunikationsprovider die Bereitstellung der TKÜ-Daten an. Der Provider übermittelt die Daten per Ausleitung ans LKA. Dieses stellt die Daten im Rechenzentrum für die Auswertung durch den Ermittler bereit. Bislang gibt es im Sächsischen LKA, ebenso wie in den anderen LKÄ, ein Rechenzentrum mit einem eigenen IT-System zur Verarbeitung entgegengenommener Telekommunikationsdaten.
Weiterhin gilt: Ein Ermittler aus einem der fünf Trägerländer beantragt eine TKÜ, Staatsanwaltschaft und Gericht im jeweiligen Land prüfen die Rechtmäßigkeit auf der Grundlage der StPO oder dem Polizeigesetz des jeweiligen Bundeslandes, ein Richter ordnet die TKÜ Maßnahme an. Diese Geschäftsprozesse verbleiben im jeweiligen Bundesland, ebenso wie die Polizeiliche Fallbearbeitung zur Gefahrenabwehr und Strafverfolgung.
IT-System zur Verarbeitung von Telekommunikationsdaten
"Das GKDZ nimmt keine originär hoheitlichen Aufgaben wahr. Die polizeifachlichen Entscheidungen zur TKÜ verbleiben in den Trägerländern. Bestehende Befugnisse bezüglich der in den einschlägigen Rechtsvorschriften verankerten TKÜ werden nicht erweitert", betonen Lehmann und Pannwitz: "Das GKDZ hat keine eigenen polizeilichen Befugnisse. Entscheidungen zu TKÜ-Ermittlungsmaßnahmen werden vom jeweiligen Land getroffen. Das GKDZ stellt als Rechenzentrum im Kern lediglich die Infrastruktur bereit, mit welcher die Länder die Strafverfolgung und Gefahrenabwehr unter Nutzung der polizeilichen TKÜ technisch realisieren. Das wurde vielfach falsch interpretiert."
Und dies ist neu. Mit dem GKDZ (AöR) entsteht ein zentrales Rechenzentrum für die fünf Trägerländer, ein eigenes IT-System zur Verarbeitung entgegengenommener Telekommunikationsdaten mit Verwaltung-, Beratungs- und Fortbildungsaufgaben. Hier werden die technischen Anlagen und elektronischen Schnittstellen betrieben, die Maßnahmen verwaltet, die Providerbeziehungen koordiniert und Querschnittsaufgaben für die Auftragsbearbeitung erledigt wie etwa Datenschutz oder IT-Sicherheit. Das GKDZ führt auch die Beratung für die polizeiliche TKÜ durch und bereitet TKÜ-Daten auf. Außerdem entstehen in den LKÄ zentrale Ansprechstellen für das GKDZ.
Hat nun ein Richter eine TKÜ-Maßnahme angeordnet, fordert das GKDZ die Datenübermittlung beim Telekommunikationsprovider an. Der übermittelt die Daten an das GKDZ und dieses stellt sie für die Auswertung durch den Ermittler bereit. Diese TKÜ-Daten sind in den Datenspeichern des GKDZ nach Bundesländern getrennt – und zwar nicht physisch, sondern logisch getrennt, durch technische und organisatorische Maßnahmen, nämlich durch Rechte– und Rollenkonzepte. So soll sichergestellt werden, dass der Ermittler oder Entschlüsseler nicht alles sehen kann, sondern nur Zugriff auf "seine" Daten hat.
Aufbau des "personalintensiven Referats Technik"
Durch das GKDZ sollen Synergieeffekte entstehen, sagt Ulf Lehmann: "Man muss die technischen Anlagen nur einmal beschaffen, aber alle fünf Länder nutzen sie nach Mandanten getrennt. Zudem müssen die Länder nicht in Wettbewerb um die besten Fachkräfte und IT-Spezialisten treten. Der Spezialistenpool wird zentral aufgebaut und kommt allen ermittlungsführenden Dienststellen der Länder zu gute."
Aber die technischen Anlagen müssen beschafft werden, und vor allem Spezialisten muss man erst einmal finden. Immerhin, bis Ende 2019 gab es auf bundesweite Stellenausschreibungen für sechs Verwaltungs- und vier Technikerstellen insgesamt mehr als 250 Bewerbungen. Für den Bereich der Verwaltung gab es dabei durchschnittlich mehr Bewerber. So sind allein für die Stelle im Bereich Controlling über 70 Bewerbungen eingegangen, was Markus Pannwitz nicht unrecht ist: "Selbstverständlich freuen wir uns über eine hohe Anzahl qualifizierter Bewerber. Für die neue, länderübergreifende Einrichtung war eine effektive Verwaltung im Bereich Haushalt, Beschaffung, Recht und Personal aufzubauen."
Für 2020 und 2021 steht der Aufbau des "personalintensiven Referats Technik" im Vordergrund, wobei Pannwitz optimistisch bleibt: "Wir denken, wir haben attraktive Arbeitsplätze in Leipzig anzubieten." Inzwischen wurden alle technischen Planungen erstellt und mit den Landesdatenschutzbeauftragten abgestimmt. Geplant – und gestritten – wird aber schon eine ganze Weile.
Ursprung: Informationsaustausch und Einsparungen
Am 2. September 2002 gründeten Sachsen, Sachsen-Anhalt und Thüringen im thüringischen Schmölln zunächst eine Sicherheitskooperation. Am 23. Januar 2004 trat das Land Brandenburg bei, der Vertrag wurde in Leipzig unterzeichnet. Am 6. Juli 2015 trat das Land Berlin bei, das vorher einen Gaststatus gehabt hatte. Mit der Sicherheitskooperation wollten die Länder Informationen besser austauschen und schwere Straftaten, Organisierte Kriminalität sowie grenzüberschreitende Kriminalität (Sachsen und Brandenburg sind Grenzländer zu Polen) intensiver bekämpfen.
Außerdem wollten sie auf dem Gebiet des IT-Managements zusammenarbeiten und sie wollten sparen, indem sie bei der Aus- und Fortbildung Synergie-Effekte erzielen und den Einsatz von Mitteln und Ressourcen abstimmen. In dieser Kooperation sind die fünf Länder in vier Arbeitsgruppen aktiv: Seit 2005/06 gibt es eine AG Telekommunikationsüberwachung, es gibt eine AG Aus- und Fortbildung, außerdem treffen sich die Leiter der Landeskriminalämter einmal pro Jahr, in den Landeskriminalämtern gibt es verschiedene Unterarbeitsgruppen, und einmal im Jahr findet ein Treffen auf der Leitungsebene der Bereitschaftspolizeien statt
Teilweise parallel entstand das GKDZ selber: Im Jahr 2008 empfahl die Innenministerkonferenz bei ihrer Frühjahrssitzung die Bildung von regionalen TKÜ-Zentren auf Landesebene, gegebenenfalls in Kooperation der Länder. Sie begründeten das mit dem rasanten Wechsel in der Telekommunikationstechnologie, durch die immer kürzer werdenden Zyklen der Technikerneuerung entstanden sehr hohe Investitionskosten der TKÜ–Anlagen in den Ländern und ein wachsenden Bedarf an IT-Spezialisten.
Machbarkeitsstudien zum GKDZ
Im Mai 2010 verabschiedeten die Innenministerien eine Grundsatzerklärung zur Prüfung von Kooperationsmöglichkeiten im Bereich der polizeilichen Telekommunikationsüberwachung in Anwendung von Art. 91 c Grundgesetz. In den Jahren 2010 bis 2013 beauftragten die fünf Länder als Kooperative unter Sachsens Federführung den externen Berater Elektronic System- und Logistik-GmbH (ESG), die Kooperationsmöglichkeiten zu untersuchen. Ferner wurde die Universität Passau mit einem Rechtsgutachten beauftragt, insbesondere zu den verfassungs- und verwaltungsrechtlichen Grundlagen und zum Datenschutz: Würde so eine Kooperation funktionieren und wenn ja, in welcher Form?
Eine erste Wirtschaftlichkeitsbetrachtung sollte Aussagen zum Standort, eine technisch–organisatorische Grobplanung und einen Vorschlag zur Kooperationsform erbringen. Diese Phase eins wurde im Jahr 2014 abgeschlossen. Auch die Phase zwei mit der technisch-organisatorischen Grobplanung, der Erstellung von Finanzierungsmodell und Haushaltsmittelvorsorge, von Kooperation und Geschäftsmodell (AöR), Stellen- und Personalbetrachtung und dem Entwurf eines Staatsvertrages wurde im Jahr 2014 abgeschlossen.
In der Phase drei wurden zuerst die rechtlichen Rahmenbedingungen – Staatsvertrag, Satzung, Verwaltungsabkommen etc. – zum Aufbau des GKDZ geschaffen, und dann die AöR gegründet und ihre Geschäftsfähigkeit für personelle und finanzielle Handlungsfähigkeit hergestellt. Beides wurde im Jahr 2018 abgeschlossen. Dann wurden verschiedene externe Berater mit einer Feinplanung beauftragt, und zwar für die Bereiche Technik, Organisation, Personal und Wirtschaftlichkeit. Für die Technik sollte die ESG ein Lastenheft mit Leistungsbeschreibung erstellen, und die Technik sollte modular, hoch verfügbar, weitgehend herstellerunabhängig, mandantenfähig, und redundant sein. Diese Technikplanung wurde kürzlich abgeschlossen.
Vergabeverfahren für Hard- und Software
Die ESG sollte ebenfalls eine organisatorische Feinplanung erstellen, die unter anderem Aufbau, Ablauforganisation und Geschäftsprozesse umfasst. Die Personalplanung sollte eine Personalberechnung mit Stellenplan umfassen. Die Kanzlei Bird & Bird in Düsseldorf sollte eine zweite Wirtschaftlichkeitsbetrachtung erstellen.
Der größte Schwerpunkt in der Umsetzung des Vorhabens GKDZ wird die Phase vier mit den Vergabeverfahren zur Hard- und Software auf der Grundlage des Lastenheftes der Feinplanung: Das externe Unternehmen, welches das Verfahren gewinnt, wird das Rechenzentrum mit Soft- und Hardware projektieren und aufbauen. Derzeit sind 2000 Terabyte Serverkapazität angedacht, aber das kann noch mehr werden.
Die Phasen zum Aufbau der Anstalt sind kompliziert. Es gibt keine bundesweiten Erfahrungen zur Bündelung der TKÜ von fünf Bundesländern in einer Anstalt öffentlichen Rechts, erklärt Lehmann.
Probewirkbetrieb und anschließende Übernahme der Datenverarbeitung
Auch die zeitliche Planung zum Aufbau des GKDZ ist gewissen Risiken ausgesetzt. Zum Beispiel müssen sich die öffentlichen Auftraggeber an die Regelungen des Vergaberechtes halten, das betrifft etwa den Einkauf von Hard- und Software. Das verlangt Gleichbehandlung, bei der Überschreitung gewisser Schwellenwerte eine europaweite Ausschreibung, eventuell Losbildung, und bestimmte Rechtswege. Falls sich jemand benachteiligt fühlt, beschwert er sich vielleicht, es kommt zu einem Vergabenachprüfungsverfahren, es entscheidet eine Vergabekammer oder gar in Zweiter Instanz ein Oberlandesgericht. So etwas kann Monate dauern.
Eine rechtliche Beratung im Voraus soll Risiken mindern. Der gesetzlich geforderte Wettbewerb sei aber auch sinnvoll, um die Steuergelder wirtschaftlich einzusetzen und allen Bietern die gleichen Chancen auf den öffentlichen Auftrag einzuräumen, so Pannwitz.
Die Phase fünf wird wieder eine besondere Herausforderung, weil so etwas bundesweit noch nicht gemacht wurde: Im Probebetrieb wird das Rechenzentrum allein getestet, im Probewirkbetrieb wird es mit den bestehenden Rechenzentren der Länder getestet, und dann geht es mit dem Abschluss der Testphase und der Übernahme der Datenverarbeitung für die Länder einem TKÜ–Kernsystem schrittweise in den Wirkbetrieb über, und in den Ländern werden die dortigen die Rechenzentrum heruntergefahren.
Hindernisse
Bisher gab es schon einige Hindernisse. So etwa hätte die Kabinetts- und Parlamentsbefassung im Jahr 2016 vonstattengehen sollen, was aber wegen der Wahlen 2015 und 2016 in Thüringen, Sachsen-Anhalt und Berlin nicht so schnell klappte. "Dann wurde das Thema durch die neuen Regierungen nochmals geprüft; sie wollten aber weiter dran festhalten. Die Kabinetts- und Parlamentsbefassung konnte deshalb erst im Jahr 2017 durchgeführt werden", erinnern sich Lehmann und Pannwitz.
In Sachsen befasste sich der Landtag erst nach einer öffentlichen Anhörung im Innenausschuss am 13. Dezember abschließend mit dem Gesetzgebungsverfahren. Am 28. Dezember 2017 trat der GKDZ-Staatsvertrag durch die Hinterlegung der Ratifizierungsurkunden der Länder bei der sächsischen Staatskanzlei in Kraft.
Am 11. Januar 2018 wurde die AöR auf der konstituierenden Sitzung des Verwaltungsrats gegründet, es wurden Satzung, Geschäftsordnung, Stellung des Vorstands beschlossen, und dadurch wurde sie rechts- und geschäftsfähig. Nun steht die Anstalt und weil es ein Staatsvertrag ist, steht auch der weitere Aufbau des GKDZ auf einer verbindlichen gesetzlichen Grundlage.
Streitpunkt Wirtschaftlichkeit
Die Universität Passau schlug in der ersten Wirtschaftlichkeitsbetrachtung eine Kooperation vor: Es sei günstiger, die Investitions-, Betriebs- und Personalkosten einmal an einer Stelle aufzuwenden, als sie wie bei den bisherigen Länderlösungen fünfmal an fünf Stellen.
Professor Hartmut Aden wies demgegenüber in einer Stellungnahme zur Anhörung im Innenausschuss des Sächsischen Landtags im Oktober 2017 darauf hin, dass die erwarteten Synergien und Einsparungen nicht selbstverständlich seien und forderte, die erstellte Wirtschaftlichkeitsberechnung zu veröffentlichen.
Adens Ansicht nach waren zwar Synergien zu erwarten, aber die Koordinierung mache auch mehr Aufwand, so erforderten Leitung und Betrieb spezielle Gremien und der Bedarf an Abstimmung und Reisen steige. Daher forderte er eine Wirtschaftlichkeitsberechnung über einen langen Zeitraum hinweg, über mehr als fünf Jahre. Er vermutete auch, dass eine länderübergreifende Zusammenarbeit in einer Vereinheitlichung der polizeilichen Vorgangsbearbeitungssysteme nützlicher wäre als Zusammenarbeit bei der TKÜ.
Die erste Wirtschaftlichkeitsbetrachtung war nicht veröffentlicht worden. Aber inzwischen wurde der Staatsvertrag ausgehandelt und veröffentlicht, und in dem steht auch einiges zur Wirtschaftlichkeit.
Buchhaltung und Beamtenstatus
Lehmann und Pannwitz verweisen auf GKDZ-StV §2, "Trägerschaft, Finanzierung und Wirtschaftsführung". Dort steht : "[…] (4) 1Die Anstalt wird nach kaufmännischen Grundsätzen und wirtschaftlichen Gesichtspunkten geführt. 2Die Anstalt erzielt keine Gewinne. 3Sie arbeitet kostendeckend. 4Das Rechnungswesen der Anstalt ist nach den Grundsätzen der doppelten Buchführung (staatliche Doppik) ausgerichtet. […]" Das ist fundamental: Man kann ein Rechnungswesen nach zwei unterschiedlichen Grundsätzen ausrichten, nach denen der Kameralistik oder eben nach denen der Doppik.
"Das GKDZ hat eine gewisse Ähnlichkeit mit einer Kapitalgesellschaft", sagt Pannwitz: "So wird die Anstalt prinzipiell nach kaufmännischen Grundsätzen und wirtschaftlichen Gesichtspunkten geführt. Die sogenannte Doppik hat bezüglich der Kameralistik entscheidende Vorteile. So wird der Alterungsprozess der Technik durch Abschreibungsregelungen dokumentiert. Die Erneuerungszyklen können so zügiger abgewickelt werden. In der landesüblichen Kameralistik werden technische Anlagen demgegenüber oftmals weit über den Abschreibungszeitraum hinaus betrieben."
Weitere wichtige Paragraphen zur Wirtschaftlichkeit sind die §§ 8 , 9 und 11. Eine Besonderheit des neuen Kompetenzzentrums ist auch, dass das GKDZ Beamte ernennen kann, so Markus Pannwitz: "Die hohe soziale Sicherheit des Beamtenstatus ist für viele Bewerber attraktiv. Gerade auch für Programmierer und Kryptologen können wir neben der Bezahlung interessante weitere Konditionen anbieten." § 9 des Staatsvertrages regelt die "Übertragung von Befugnissen und Zuständigkeiten" und ermöglicht das Outsourcen gewisser Aufgaben, etwa die Abrechnung von Bezügen und Beihilfen. Das macht das Landesamt für Steuern und Finanzen in Sachsen (LSF). Auch aus diesem Grund hat das GKDZ eine schlanke Verwaltung. § 11 "Finanzkontrolle" regelt, dass das GKDZ bezüglich seiner Wirtschaftsführung der Kontrolle der Landesrechnungshöfe unterliegt.
Einsparungen liegen unter den ursprünglichen Erwartungen
In den Jahren 2013 und 2014 war die Rede von Einsparungen in Höhe von 11 Millionen Euro. Da ist man heute zurückhaltender. Pannwitz: "Dass es wirtschaftlich sinnvoll ist, anstatt fünf Rechenzentren ein Rechenzentrum zu betreiben, steht, denke ich, außer Frage. Man muss in beide Richtungen denken. Nach etwa sieben Jahren Entwicklung hat sich die Kostenstruktur im Technik- und Personalbereich geändert. So sind Einzelbereiche günstiger geworden, andere Aufwände haben sich hingegen erhöht."
Zahlen, insbesondere zu den geplanten Kosten der technischen Anlage, wollen die Vertreter des GKDZ vor Durchführung des Vergabeverfahrens nicht nennen. Die Gehälter sind gestiegen, die Hardware ist billiger geworden, die Software ist teils teurer und teils billiger geworden. Und es gibt inzwischen zum Beispiel Software-Decoder auf dem Markt, die es 2014 noch gar nicht gab. Also, mit Vorhersagen ist es schwierig.
Verantwortung, Kontrolle, Geheimhaltung und Datenschutz
Aden wies darauf hin, dass Verantwortung und rechtsstaatliche Kontrolle schwierig seien. Das GKDZ sei keiner fest institutionalisierter Verwaltungsebene zugeordnet und dies ließe offen, wer genau die eigentliche TKÜ durchführe und wer bei Fehlern und Pannen hafte. Offen sei auch, ob nur der Sächsische Rechnungshof die Finanzkontrolle innehabe, wer Datenschutz in der Gesamtbetrachtung kontrolliere, und ob die Nutzung der TKÜ durch die Entstehung des GKDZ eventuell ausgeweitet werde.
Der Staatsvertrag ersetzt inzwischen das Rechtsgutachten. Und dort ist zumindest geregelt: Die Rechtsaufsicht haben nach §10 die fünf Innenressorts, wobei Sachsen federführend ist.
(Bild: Gemeinsame Kompetenz- und Dienstleistungszentrum (GKDZ))
Nicht nur Aden kritisierte zudem, dass Beratungsunterlagen geheim gehalten würden und forderte, das Rechtsgutachten der sächsischen Staatsregierung zu veröffentlichen.
Das Rechtsgutachten aus 2014, sagen Lehmann und Pannwitz, wurde in der Vergangenheit durch Dritte im Netz veröffentlicht. Dieses ältere Gutachten ist in seinen Grundzügen im GKDZ-Staatsvertrag aufgegangen. Der Staatsvertrag ist heute über verschiedene Plattformen online abrufbar. Kritik an einer Art Geheimhaltung können Lehmann und Pannwitz nicht nachvollziehen: "Daran war nichts geheim, bloß sollte man in der Phase der Entscheidungsfindung der Regierungen in den Trägerländern keine unautorisierten Dokumente herausgeben."
Berichterstattung – schwebendes Verfahren
Im Ablauf ging das Projekt zunächst durchs Kabinett, dann beschloss es die Regierung und schließlich unterschrieben es die Innenminister: Damit war der Vertrag von der Exekutive beschlossen. Auf diesem Weg konnten Gewerkschaften, Datenschutzbeauftragte und Rechnungshöfe den Vertrag prüfen und Stellung beziehen, und Landtage und Innenausschüsse, von Rechts- und Finanzprüfern hätten ihn geprüft, und die hätten dem Landtag die Ablehnung oder Beschluss empfehlen können.
"Das ist ein sehr langes, aufwändiges, parlamentarisches Verfahren. Es ist nicht förderlich, schwebende Verfahren, bei welchen der Entscheidungs- und Willensbildungsprozess der Regierungen nicht abgeschlossen ist, zum Gegenstand einer umfassenden medialen Berichterstattung zu machen." Dass man, insbesondere im Rahmen von schwebenden Verfahren im Sicherheitsbereich, nicht fortlaufend Auskunft geben kann, sei bereits in den einschlägigen Pressegesetzen verankert.
"Ab der Unterschrift der Innenminister unter den Staatsvertrag im Juli 2017 wurden die Medien im Rahmen einer Pressekonferenz in Leipzig über das Vorhaben umfassend informiert", so Ulf Lehmann: "Während des gesamten Prozesses gab es stets verschiedene parlamentarische Anfragen, die sachgerecht beantwortet wurden."
Geheimhaltung: GKDZ als Verschlusssache
Aber es geht weiter mit einer gewissen Geheimhaltung: So verfassten die Landesdatenschützer der fünf Trägerländer im November 2019 eine gemeinsame Stellungnahme zu der vom GKDZ vorgelegten Feinplanung. Diese rückt man nicht raus, so der Sprecher des Sächsischen Datenschutzbeauftragten, "meine Dienststelle sieht sich nicht als befugt an, die Ihrerseits erbetene gemeinsame Stellungnahme an die Presse herauszugeben. Es handelt sich um einen nicht abgeschlossenen aufsichtlichen Vorgang. Sicherheitsrelevante Fragen sind berührt, § 4 Abs. 2 Nr. 3 Sächsisches Gesetz über die Presse." Auch das GKDZ hält das Schreiben zurück: "Das Projekt "GKDZ" ist als Verschlusssache eingestuft und interne Schriftstücke zum Planungsprozess sind demzufolge gesetzlich nicht zur Kenntnisnahme Dritter bestimmt."
Mehrfach wurde ein mangelnder Abstimmungsprozess mit den Datenschutzbeauftragten kritisiert. Zu Unrecht, finden die Vertreter des GKDZ. Schon vor der Gründung des GKDZ, im April 2015, fand in Dresden eine Informationsveranstaltung mit den Landesdatenschutzbeauftragten statt, und im September 2016 ebenfalls in Dresden eine Besprechung zum Entwurf GKDZ StV. In der Tat wird dies im Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten bestätigt: "Bereits in der frühen Planungsphase des Projekts wurden die Datenschutzbeauftragten der fünf Trägerländer informiert."
Anders klingt aber die Kritik im 18. Tätigkeitsbericht 2014/2015 der brandenburgischen Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht: "Obwohl seit 2010 eine gemeinsame Arbeitsgruppe Telekommunikationsüberwachung bestand, um länderübergreifende Kooperationsmöglichkeiten auszuloten, wurde die Landesdatenschutzbeauftragte offiziell erst Ende Februar 2015 von dem zuständigen Ministerium des Innern und für Kommunales des Landes Brandenburg über das geplante Projekt informiert."
Planung ohne Datenschützer
Vorsichtig klingt dies auch an in einer gemeinsamen einheitlichen Auskunft per Email der Presseverantwortlichen der Berliner Beauftragten für Datenschutz und Informationsfreiheit, der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg, des Landesbeauftragten für den Datenschutz Sachsen-Anhalt, des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit sowie des Sächsischen Datenschutzbeauftragten an den Autor dieses Artikels: "Der Sächsische Datenschutzbeauftragte wurde durch das Sächsische Staatsministerium des Innern (SMI) Ende 2014, Anfang 2015 zunächst mündlich über die Existenz von Plänen zur Errichtung eines länderübergreifenden Zentrums für polizeiliche und strafprozessuale TKÜ unterrichtet. Im Februar 2015 informierte das SMI den Sächsischen Datenschutzbeauftragten schriftlich über die Pläne, ein Gemeinsames Kompetenz- und Dienstleistungszentrum auf dem Gebiet der polizeilichen Telekommunikationsüberwachung als rechtsfähige Anstalt des öffentlichen Rechts zu errichten."
Wenn man bedenkt, dass im Jahr 2008 das IMK die Bildung von regionalen TKÜ-Zentren auf Landesebene, gegebenenfalls in Kooperation der Länder empfahl, und dass im Mai 2010 die Innenministerien der Länder eine Grundsatzerklärung zur Prüfung von Kooperationsmöglichkeiten im Bereich der polizeilichen Telekommunikationsüberwachung in Anwendung von Art. 91 c Grundgesetz verabschiedeten – wenn man das bedenkt: Dann ist Februar 2015 spät. Aber die Datenschützer geben sich in ihrer Gemeinschafts-Email diplomatisch: Handelt es sich jeweils um in Ihren Augen rechtzeitige und ausreichende Auskünfte? "Die Auskünfte erfolgen detailliert."
Kontrollmöglichkeiten für Datenschützer
Im GKDZ geht es um höchst sensible Daten, wie sieht es mit ihnen aus, mit dem Datenschutz als solchem? In der Gemeinschafts-Email der Landesdatenschützer heißt es: "Im Wirkbetrieb des GKDZ wird sich die Tätigkeit der Landesbeauftragten nicht grundlegend von der jetzigen Aufsichtstätigkeit gegenüber der jeweiligen Landespolizei unterscheiden. [...] Im "Projekt GKDZ" gibt es keine speziellen Möglichkeiten, Befugnisse und Aufgaben der Landesdatenschutzbeauftragten, die sich von ohnehin und gegenüber anderen Stellen bestehenden Möglichkeiten, Befugnissen und Aufgaben unterscheiden würden. [...] Die Möglichkeiten und Befugnisse der Landesbeauftragten ergeben sich im Bereich der Auftragsverarbeitung durch das GKDZ aus den jeweiligen Landesgesetzen, mit denen die Richtlinie (EU) 2016/680 umgesetzt wurde. Hinsichtlich der Tätigkeiten des GKDZ außerhalb der Auftragsverarbeitung liegt die datenschutzrechtliche Aufsicht beim Sächsischen Datenschutzbeauftragten, der insoweit die Möglichkeiten und Befugnisse der Verordnung (EU) 2016/679 – DS-GVO – und des SächsDSDG nutzt."
Genügt dies, um Datenschutz zu gewährleisten? Den Datenschützern zufolge ja: "Die Gewährleistung des Datenschutzes liegt nicht in der Verantwortung der Landesbeauftragten, sondern obliegt dem GKDZ selbst sowie den Verantwortlichen (Landespolizei, Staatsanwaltschaft), soweit das GKDZ als deren Auftragsverarbeiter tätig wird. Die oben dargestellten Möglichkeiten und Befugnisse der Landesbeauftragten sind grundsätzlich ausreichend, um die Einhaltung des Datenschutzes durch Verantwortliche und GKDZ zu kontrollieren."
Auch Lehmann und Pannwitz verweisen auf den Staatsvertrag: "Die Anstalt ist als Teil der mittelbaren Staatsverwaltung rechtlich eigenständig. Das GKDZ ist also nicht direkt der nachgeordnete Teil einer Behörde, sondern entkoppelt. [...] Mit dem Staatsvertrag wurde eine eigene, demokratisch legitimierte Rechtsgrundlage geschaffen. Gerade datenschutzrechtlich ist diese Sonderregelung von Vorteil, da man in einem Staatsvertrag Anforderungen definieren und isoliert für diesen Rechtskörper festlegen kann und festgelegt hat."
Kausalzusammenhang zwischen GKDZ und Änderung des sächsischen Polizeigesetzes?
Bei Aden klang es an, und der Landtagsabgeordnete der Grünen im Sächsischen Landtag, Valentin Lippmann, kritisierte es direkt. In einer Pressemitteilung heißt es: Am 10. April 2019, zur "Arbeitsaufnahme im polizeilichen Überwachungszentrum (Gemeinsames Kompetenz- und Dienstleistungszentrum im Bereich der Telekommunikationsüberwachung – GKDZ) am heutigen Tage in Leipzig, erklärt Valentin Lippmann, innenpolitischer Sprecher der Fraktion BÜNDNIS 90/DIE GRÜNEN im Sächsischen Landtag: "Wie passend: CDU und SPD wollen heute im Sächsischen Landtag ein Polizeigesetz mit neuen Überwachungsbefugnissen beschließen. Und gleichzeitig wird mit dem GKDZ die dafür nötige Infrastruktur geschaffen. Wir GRÜNEN lehnen beides ab.""
Dieser Kausalzusammenhang, so Lippmann, bestehe erstens darin, "dass im neuen sächsischen Polizeigesetz mehrere präventive Überwachungsmaßnahmen verankert wurden. In der Strafprozessordnung gibt es zwar die Möglichkeit der Telekommunikationsüberwachung schon lange, aber es gab sie eben noch nicht im sächsischen Polizeigesetz. Diese ist meines Erachtens vollkommen unnötig, leider aber nicht per se verfassungswidrig – fast alle anderen Bundesländer haben die präventive Telekommunikationsüberwachung mittlerweile in ihren Polizeigesetzen verankert. Ich gehe davon aus, dass mit der Möglichkeit der präventiven TKÜ auch die Fallzahlen ihrer Anwendung steigen werden, dafür braucht es dann wohl auch neue und größere Kapazitäten, die mit den GKDZ, welches wir weiterhin sehr kritisch begleiten werden, umgesetzt werden."
Zweitens, "gibt es natürlich immer wieder die Bestrebungen bei Vorhaben wie dem GKDZ auch eine technische Infrastruktur zur Entschlüsselung und Kryptoforschung zu etablieren. Maßnahmen wie die Quellen-TKÜ haben es zwar selbst ins neuen sächsische Polizeigesetz nicht geschafft, werden aber immer wieder von Teilen der Politik gefordert. Die technischen Voraussetzungen dafür können grundsätzlich auch in einem solchen GKDZ geschaffen werden."
Datenschutz auch ohne Termin
Die Quellen-TKÜ fand keinen Eingang ins sächsische Polizeigesetz. Bei diesem Thema und anderen Themen zeigt sich: Politiker, Wissenschaftler und Datenschützer haben in ihren Bemühungen durchaus Erfolge. Dies betonen auch Datenschützer, so heißt es im Tätigkeitsbericht 2017/2018 des Sächsischen Datenschutzbeauftragten: "Meine – unsere – Vorschläge haben Eingang in die Endfassung des Staatsvertrages gefunden und waren auch Gegenstand des Entschließungsantrages zum Zustimmungsgesetz des Sächsischen Landtages (Drs. 6/11534) [...] Bisher kann ich [...] Einbeziehung und Information durch das SMI [Sächsische Ministerium des Innern, d. Red.] bzw. die Anstalt positiv hervorheben." So der Tätigkeitsbericht.
Aber wie wird der Datenschutz im GKDZ-Alltag ablaufen? Die Vertreter des GKDZ beschreiben das so: "Die Landesdatenschutzbeauftragten haben, wie im StV angegeben, uneingeschränkte Kontroll- und Betretungsrechte. Solange sich also die LDSB über die ordnungsgemäße Datenverarbeitung und -aufbewahrung informieren wollen, bekommen sie beim GKDZ alle notwendigen Berechtigungen, Unterlagen und Informationen. Sofern sie unmittelbar in Datensätze eines Ermittlungsverfahrens Einsicht nehmen wollen, benötigen sie zwangsläufig den jeweiligen Landesschlüssel. In diesem Fall obliegt die weitere Verfahrensweise also allein den Trägerländern (als Verantwortliche im datenschutzrechtlichen Sinne)."
Nützt den Datenschützern ihr gesetzliches Kontroll- und Betretungsrecht auch ohne Termin? "Klar", sagt Pannwitz, "die Fachleute können auch ohne Termin kommen. Wir haben für jedes Land auch einen eigenen Arbeitsraum mit direktem Zugang zu dem jeweiligen Landesspeicher." Übrigens: "Alle LDSB haben im Rahmen eines Vor-Ort-Termins im Oktober 2019 das GKDZ bereits in Augenschein genommen."
Sicherheitsprobleme beim Fernzugriff soll es nicht geben
Mit Aufnahme des Wirkbetriebes des GKDZ ist auch ein Fernzugriff vom Arbeitsplatzrechner des jeweiligen Ermittlers auf den entsprechenden Landesdatenspeicher vorgesehen, erklärt Ulf Lehmann: "In Zukunft ist es auch möglich, direkt vom Gerichtssaal aus auf die beweiserheblichen Daten zuzugreifen. Das hängt dann nur von der technischen Ausstattung der Justiz ab." Bislang mussten die Daten zum Teil auf DVDs an die Justiz übermittelt werden – sehr umständlich.
Die Arbeitsräume können "bei Bedarf durch die zuständigen Staatsanwälte oder Richter genutzt werden, um auf die Daten einer TKÜ-Maßnahme zuzugreifen", so Pannwitz. Probleme mit der Sicherheit der Leitungen soll es nicht geben. Es kommt Technik zum Einsatz, welche unter anderem durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert ist. Und für die externen Anbindungen kommt ausschließlich BSI-zertifizierte Technik zum Einsatz. Das GKDZ stellt die Endverbindung zum Land sicher, und dort ist man verantwortlich für die Überleitung in die Fallbearbeitungssysteme.
Kann ein GKDZ unter der Federführung ausgerechnet Sachsens funktionieren?
Aden etwa schien es "äußert bedenklich, den Sitz dieser Institution für ein Bundesland vorzusehen, das noch kein Informationsfreiheitsgesetz verabschiedet hat." Der Thüringer Innenminister Holger Poppenhäger (SPD) sagte, er habe von dem GKDZ durch einen Bericht der Sächsischen Zeitung erfahren und sei bis dato absolut ahnungslos gewesen.
Am detailliertesten argumentierte Klaus Bartl, damaliger Abgeordneter von DIE LINKE im sächsischen Landtag. Er sagte am 13.12.2017 im Sächsischen Landtag: Wir sind "in Sachsen reichlich gesegnet – falsch, reichlich geplagt – mit Präzedenzfällen fatal unsensiblen Umgangs mit Telekommunikationsüberwachung, Stichworte: "Handygate" im Februar 2011 im Zusammenhang mit einem der größten Naziaufmärsche in der Landeshauptstadt Dresden, Ausforschung von Handys im Fall Pfarrer König oder, ganz aktuell, die massenhafte Überwachung von Mobilfunkgeräten im Kontext mit Ermittlungen wegen vermeintlicher Bildung einer kriminellen Vereinigung im Umfeld des Fanprojekts Chemie Leipzig mit direkter Betroffenheit von Abgeordneten, Journalisten, Rechtsanwälten usw."
Was Lothar König betrifft, soll die Polizei sogar Videos bearbeitet haben, um ihn zu belasten. Die Autorin dieses Artikels ist seit Jahren immer wieder bei unterschiedlichen Behörden unterwegs zum Thema Polizei und IT. Bei diesem Artikel lief einiges anders als sonst, zum Beispiel durfte dieses Gespräch in Leipzig nicht mitgeschnitten werden.Als hegten in Sachsen Sicherheitsbehörden auf der einen und Presse und Öffentlichkeit auf der anderen Seite einander ein gewisses Misstrauen gegenüber.
Auch im Westen entsteht so ein Zentrum wie das GKDZ: das Rechen- und Dienstleistungszentrum TKÜ (RDZ TKÜ) der Norddeutschen Küstenländer. Es soll (Stand 01/2019) Ende 2020 in Wirkbetrieb gehen, im April 2016 schon unterzeichneten die teilnehmenden Länder einen Staatsvertrag; neben Niedersachsen (federführend) Hamburg, Bremen, Schleswig-Holstein und Mecklenburg-Vorpommern.
Wie geht es weiter?
Vielleicht muss man sich generell auf mehr Kooperationen zwischen unterschiedlichen Polizeibehörden einstellen. Das kann bei der Prävention und Aufklärung von Verbrechen helfen, aber was macht es mit dem Datenschutz? Selbst wenn es in Sachsen gut läuft: Wenn fünf Länder sich einen zentralen Spezialistenpool teilen, dann wissen dessen Angehörige fast zwangsläufig mehr, als vom Datenschutz beabsichtigt.
Und was wird aus der Rivalität zwischen Behörden, wenn diese zusammenarbeiten in einer gemeinsamen Organisation? Diese Rivalität, die einer der Gründe war, dass der NSU so lange morden konnte? Einer Rivalität, die der erste Bundesdatenschützer Hans Peter Bull aber auch als einen gewissen Garant für Datenschutz betrachtet?
Die Datenschützer der GKDZ-Trägerländer wünschen sich für die Zukunft jedenfalls: "Eine aktive Information durch das GKDZ über den Fortgang der Planung und deren Stand vor wesentlichen weiteren Schritten. Ein Feedback zu Kritik/Anmerkungen der Landesbeauftragten. Die Einhaltung der ohnehin geltenden datenschutzrechtlichen Vorgaben (z. B. Vornahme Datenschutzfolgenabschätzung, im Wirkbetrieb z. B. Meldung von Datenschutzverstößen)." (bme)
