Das Gesetz zur Neustrukturierung des Bundeskriminalamtgesetzes – tatsächlich eine Stärkung des Datenschutzes oder letztlich doch nur ein weiteres „Überwachungsverbesserungsgesetz“?

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 26.04.2017

Rechtsgebiete: WirtschaftsrechtDatenschutzrechtStaatliche Datenverarbeitung|8145 Aufrufe

Seitdem das Bundeskabinett am 1. Februar 2017 den Entwurf eines Gesetzes zur Neustrukturierung des Bundeskriminalamtgesetzes als Bestandteil des Projekts „Polizei 2020“ beschloss (siehe BT-Drs. 18/11163, 18/11326, 18/11658 sowie BR-Drs. 109/1/17), ist trotz dieser recht kurzen Zeitspanne in rechtspolitischer Hinsicht Einiges geschehen und noch in dieser Woche, am 27. April, soll im Bundestag über das Gesetzgebungsvorhaben weiter entschieden werden. Der folgende Beitrag gibt einen Überblick über die Neuregelung des BKAG und deren rechtspolitische Hintergründe, stellt einige Eckpunkte des Gesetzes vor und führt den Entwurf einer abschließenden Bewertung zu.

Umsetzung des BKA-Urteils des BVerfG und der JI-Richtlinie der EU zum polizeilichen Datenschutz

Durch das Gesetz zur Neustrukturierung des Bundeskriminalamtgesetzes soll einerseits das Urteil des Bundesverfassungsgerichts vom 20. April 2016, Az. 1 BvR 966/09 und 1 BVR 1140/09 umgesetzt werden, in dessen Rahmen Teile des bisherigen BKA-Gesetzes für verfassungswidrig erklärt wurden. Andererseits soll das neue Gesetz den Vorgaben der EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (Datenschutz-Richtlinie für Polizei/Justiz) Rechnung tragen. Ausgehend hiervon könnte man zunächst annehmen, dass es sich bei dem Neustrukturierungsgesetz vornehmlich um eine Datenschutzregelung handelt, welche in erster Linie dem Grundrecht auf informationelle Selbstbestimmung zu dienen bestimmt ist. So hat das Bundesverfassungsgericht in besagtem Urteil zum BKAG unter anderem festgestellt, dass bei verdeckten Überwachungsmaßnahmen zur Abwehr von Gefahren des internationalen Terrorismus, die tief in die Privatsphäre Betroffener hineinreichen, besondere Anforderungen an die Verhältnismäßigkeit der Grundrechtseingriffe anzulegen sind. Für die Verfassungsmäßigkeit ist es notwendig, dass Schutzvorkehrungen für den Kernbereich privater Lebensgestaltung vorgesehen werden, ein ausreichender Schutz der Berufsgeheimnisträger stattfindet sowie hinreichende Transparenz, individueller Rechtsschutz, eine Datenlöschung und eine datenschutzaufsichtsrechtliche Kontrolle der Datenverarbeitungsvorgänge gewährleistet sind.

Der Grundsatz der „hypothetischen Datenneuerhebung“ und das „horizontale Datenschutzkonzept“

Das Bundesverfassungsgericht hob in seinem Urteil von 2016 zudem den Grundsatz der „hypothetischen Datenneuerhebung“ heraus: Dieser besagt, gestützt auf den datenschutzrechtlichen Zweckbindungsgrundsatz, dass es für die Verhältnismäßigkeit von eingriffsintensiven staatlichen Überwachungsmaßnahmen darauf ankommt, ob die zu verarbeitenden personenbezogenen Daten im Falle einer Zweckänderung neu auch für den anderen, nunmehr beabsichtigten Zweck mit vergleichbar schwerwiegenden Mitteln erhoben werden dürften. Relevant ist dies nicht nur allein für die Datenverarbeitung durch nationale Sicherheitsbehörden, sondern vor allem auch für die interstaatliche Kooperation von Sicherheitsbehörden, innerhalb derer es zu einer Datenübermittlung an öffentliche Stellen im Ausland kommt. Explizite Erwähnung findet der Grundsatz der hypothetischen Datenneuerhebung in § 12 BKAG-E und bildet damit zugleich die Grundlage des vom Gesetzgeber vorgeschlagenen „horizontalen Datenschutzkonzepts“, das für den Zugriff auf Ermittlungsdaten nicht auf die Zugehörigkeit zu einer Organisationseinheit abstellen will, sondern sich auf die Bindung an die für die Datenerhebung maßgebliche Aufgabe und die Anforderungen des Rechtsgüterschutzes konzentriert.

Bisheriges Gesetzgebungsverfahren: Rasche Umsetzung, erhebliche Kritik

Das Urteil des Bundesverfassungsgerichts von 2016 schreibt eine Neuregelung der für verfassungswidrig erklärten Vorschriften des BKAG bis Juni 2018 vor. Mit dem vom Bundeskabinett zum 1. Februar 2017 beschlossenen Gesetzentwurf soll diesem Erfordernis nun Rechnung getragen werden. Am 17. Februar 2017 wurde im Bundestag erstmals über den Gesetzentwurf debattiert; die Vorlage wurde zur federführenden Beratung an den Innenausschuss überwiesen. Dieser äußerte infolgedessen deutliche Zweifel daran, ob der Entwurf des neuen BKAG den anzulegenden datenschutzrechtlichen Anforderungen genügt. Der Rechtsausschuss des Bundestages ging in seiner Auffassung noch weiter und stellte gar in Frage, ob das im Gesetzentwurf vorgeschlagene Datenschutzkonzept den Vorgaben des bundesverfassungsgerichtlichen Urteils hinreichend Rechnung trage. Am 10. März schließlich nahm auch der Bundesrat Stellung zum Entwurf des BKAG – inhaltlich mit ähnlichen, teils datenschutzrechtlichen Bedenken wie auch schon die Ausschüsse zuvor. Diese Kritik setzte sich in der öffentlichen Anhörung des Innenausschusses am 20. März 2017 fort, so stellte die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, fest, dass im Hinblick auf den BKAG-E der Bedarf für eine dringende und gründliche fachliche Beratung besteht; dies allein schon aufgrund gravierender verfassungsrechtlicher Risiken. Insbesondere beschränke sich der Gesetzentwurf nicht nur darauf, die Vorgaben des BVerfG aus seinem Urteil zum BKAG umzusetzen und hierzulande eine Rechtsgrundlage für die JI-Richtlinie der EU zum polizeilichen Datenschutz zu schaffen, sondern gebe dem Bundeskriminalamt darüber hinausgehend umfangreiche neue Befugnisse. Im polizeilichen Informationsverbund in Bund und Ländern gelte dies ebenso. Im Ergebnis, so weitere Sachverständige im Rahmen der Anhörung, müsse man die Frage stellen, ob die Neuregelungen im BKAG nicht letztlich ebenso wieder durch das BVerfG gekippt würden, sollte das neue Gesetz in dieser Form in Kraft treten.

Weiterer Ausbau der Zentralstellenfunktion des BKA

Inhaltlich betrachtet ist der Gesetzentwurf der Bundesregierung zum Entwurf eines Gesetzes zur Neustrukturierung des Bundeskriminalamtgesetzes ein Mammutwerk: Auf insgesamt 164 teils eng beschriebenen Seiten wird die polizeiliche Informationsinfrastruktur der Zukunft vorgestellt. Bundesinnenminister Thomas De Maizière argumentierte dazu schon auf der BKA-Herbsttagung 2016: „Wir können uns im 21. Jahrhundert keine zersplitterte IT-Landschaft mehr leisten.“ […] „Das neue Gesetz leitet hier eine Zeitenwende ein. Wir ersetzen die bisherige polizeiliche Datenlandschaft als Teil eines groß angelegten Modernisierungsprojekts durch ein übergreifendes Informationssystem beim BKA.“ Im Ergebnis wird somit auch die Zentralstellenfunktion der Behörde in erheblichem Maße gestärkt.

Umfassender Gesetzentwurf

Der Entwurf des neuen BKAG untergliedert sich in insgesamt zehn Abschnitte mit 90 Paragraphen. Abschnitt 1 enthält unter anderem die Angaben zu den Aufgaben des BKA; Abschnitt 2 bestimmt – vor die Klammer gezogen – allgemeine Befugnisse zur polizeilichen Datenverarbeitung, wiederum untergliedert in Unterabschnitte zur Datenerhebung, Weiterverarbeitung von Daten sowie zur Datenübermittlung. In den nun folgenden Abschnitten finden sich im Wesentlichen die besonderen Datenverarbeitungsbefugnisse für die verschiedenen Einsatzbereiche des BKA: Abschnitt 3 enthält Regelungen zur Zentralstellenfunktion der Behörde; Abschnitt 4 Befugnisse im Rahmen der Strafverfolgung; Abschnitt 5 Ermächtigungsgrundlagen zur Abwehr von Gefahren des internationalen Terrorismus; Abschnitt 6 Befugnisse zum Schutz von Mitgliedern der Verfassungsorgane und der Leitung des Bundeskriminalamtes; Abschnitt 7 Vorschriften zum Zeugenschutz; Abschnitt 8 Befugnisse zur Sicherung des Bundeskriminalamtes und zum behördlichen Eigenschutz; Abschnitt 9 schließlich Regelungen zu Datenschutz und Datensicherheit sowie Betroffenenrechte, wobei hier eine Aufgliederung in die Unterabschnitte Datenschutzaufsicht, Datenschutzbeauftragter, Datenschutzrechtliche Verantwortung für die Tätigkeit der an deutsche Auslandsvertretungen abgeordneten Verbindungsbeamtinnen und Verbindungsbeamten des BKA, Pflichten des BKA, Betroffenenrechte und Schadensersatz stattfindet. Der zehnte Abschnitt des Gesetzentwurfes beherbergt die Schlussvorschriften. Der erhebliche Umfang des Dokuments verdeutlicht, dass der Gesetzgeber nicht lediglich einzelne Regelungen, die das Bundesverfassungsgericht für unvereinbar mit dem Grundgesetz erklärt hat, nachbessern will, sondern vielmehr eine vollständige und systematische Neuregelung des BKAG bezweckt, womit sich auch das Verständnis der polizeilichen Datenverarbeitung in Zukunft grundlegend ändern soll.

Doch mehr Schatten als Licht? – Zumindest aber besteht noch erheblicher Nachbesserungsbedarf

Bei einer Gesamtbetrachtung des BKAG-E stößt man auf Licht und Schatten: Einerseits hat sich der Gesetzgeber sichtlich bemüht, die Vorgaben des BVerfG aus seinem Urteil vom 20. April 2016 möglichst akribisch umzusetzen, indem sich Passagen aus der Entscheidung teils nahezu wortwörtlich in Gesetzesform gegossen wieder finden, andererseits erfolgt mit der Erweiterung der Zentralstellenfunktion des BKA und dem damit verbundenen Informationsmonopol ein erheblicher Ausbau staatlicher Überwachungsbefugnisse zu Zwecken der öffentlichen Sicherheit. Will man der Bundesregierung Glauben schenken, wird durch das horizontale Datenschutzkonzept den damit einhergehenden Risiken hinreichend Rechnung getragen. Ein genauer Blick in das Gesetz und in die Stellungnahmen aus dem Gesetzgebungsverfahren verheißt jedoch anderes: Die neuen Ermächtigungsgrundlagen würden gerade nicht die Datensparsamkeit und die Zweckbindung fördern, sondern vielmehr eine umfassende Ermächtigung zur Weiterverarbeitung von personenbezogenen Daten schaffen und insoweit die Vorgaben aus dem Urteil des BVerfG weit mehr als ausreizen. Auch stellen sich neben der Zentralisierung der Informationsverarbeitung zahlreiche Einzelfallprobleme: So ermächtigt das Gesetz das BKA in § 49 zu einem so genannten „verdeckten Eingriff in informationstechnische Systeme“. Wer sich bereits in diesem Umfeld bewegt, wird wissen, dass hiermit der Einsatz des Staatstrojaners legitimiert wird, der schon im Jahre 2011 in die Schlagzeilen geriet, nachdem der Chaos Computer Club (CCC) gravierende Datensicherheitsmängel an dem zur Online-Durchsuchung einsetzbaren Programm festgestellt hatte. Auch für die neue Ermächtigungsgrundlage stellt sich wieder die Frage, welche Anforderungen an die Datensicherheit staatlicher Ermittlungsinstrumente anzulegen sind, die in Kernbereiche der Persönlichkeit des Bürgers eingreifen. Nicht zuletzt läuft der Einsatz von derlei Überwachungsmethoden auch der jüngsten Cyber-Sicherheitsstrategie der Bundesregierung von 2016 zuwider, indem das Niveau der IT-Sicherheit für den Bürger nicht erhöht, sondern gegenteilig abgesenkt wird. Auch bei einem Blick auf die Regelungen zum Berufsgeheimnisträgerschutz im BKAG-E offenbaren sich problematische Lücken, denn hier wird de facto eine Zweiklassengesellschaft etabliert, indem bestimmten zeugnisverweigerungsberechtigten Personen ein absoluter Schutz, anderen hingegen bloß ein relativer Schutz eingeräumt wird, der im Rahmen einer überwiegenden Interessenabwägung überwunden werden kann. Als Fazit kann man für den Neuentwurf des BKAG daher zumindest jetzt noch festhalten: Der gute Wille, ein nunmehr verfassungskonformes Gesetz zur Regelung der Arbeit des Bundeskriminalamtes zu schaffen, ist zwar da, tritt aber noch nicht deutlich genug zutage, um tatsächlich einer erneuten bundesverfassungsgerichtlichen Prüfung stand zu halten.