Der Staatsvertrag zum „Gemeinsamen Kompetenz- und Dienstleistungszentrum auf dem Gebiet der polizeilichen Telekommunikationsüberwachung“ (GKDZ) wird im Geheimen verhandelt, nicht einmal die Abgeordneten der beteiligten Bundesländer bekommen den Entwurf zu Gesicht. Soviel Intransparenz bei der Zentralisierung polizeilicher Überwachungskapazitäten darf nicht sein, deshalb veröffentlichen wir hier den Entwurf des Vertrages vom 31. August 2015.

Im GKDZ sollen Fähigkeiten der Polizeien von Berlin, Sachsen, Sachsen-Anhalt, Brandenburg und Thüringen im Bereich Telekommunikationsüberwachung gebündelt werden:

Die Anstalt ist die zentrale Dienstleisterin der Trägerländer auf dem Gebiet der polizeilichen Telekommunikationsüberwachung. Die Trägerländer benutzen die Anstalt im Wege der Auftragsdatenverarbeitung für Daten aus polizeilichen Telekommunikationsüberwachungen (Kernaufgabe). Sie errichtet und betreibt IT-Systeme zur Verarbeitung von entgegengenommenen Telekommunikationsdaten, ohne selbst polizeiliche Aufgaben wahrzunehmen.

Bei einer so weitreichenden Kompetenzzusammenführung sind datenschutzrechtliche Probleme unvermeidbar, einen ersten Eindruck darüber vermittelte eine Stellungnahme des ehemaligen Berliner Beauftragten für Datenschutz und Informationsfreiheit . Ein Blick in den uns vorliegenden Entwurf bestätigt das.

Unklarer Aufgabenumfang

Der Entwurf definiert nicht genau, welche Aufgaben die „zentrale Dienstleisterin […] auf dem Gebiet der polizeilichen Telekommunikationsüberwachung“ genau erfüllen wird. Genannt sind etwa „technisch-organisatorische Umsetzung der Maßnahmen auf dem Gebiet der polizeilichen Telekommunikationsüberwachung“, „technische Analyse und Decodierung von Rohdaten“ und „Erkennung verschlüsselter Kommunikation und ggf. deren Entschlüsselung“.

Im April 2015 habe der sächsische Landpolizeipräsident Jürgen Georgie mitgeteilt, dass das GKDZ auch für das Abfragen von Bestands- und Verkehrsdaten zuständig sein soll, nicht aber für Funkzellenabfragen oder Quellen-Telekommunikationsüberwachung. Aus einer Kleinen Anfrage der Piraten im Berliner Abgeordnetenhaus aus diesem Jahr ging hervor, dass „Stille SMS“ hingegen sehr wohl in den Aufgabenbereich des GKDZ fallen sollen. Die „konkrete technische Umsetzung“ werde aber erst in der Feinplanung festgelegt.

Löschen, Berichtigen, Sperren – Aber wie?

„Die Trägerländer benutzen die Anstalt im Wege der Auftragsdatenverarbeitung“ – das heißt auch, dass die Auftraggeber, also die Länder, für die Kontrolle der Datenschutzregelungen zuständig sind. Konkrete technische und organisatorische Maßnahmen für die Einhaltung des Datenschutzes müssen schriftlich festgelegt werden, doch im vorliegenden Entwurf fehlen davon wesentliche Teile. Es lässt sich nicht erkennen, unter welchen Voraussetzungen Daten gelöscht, berichtigt und gesperrt werden können oder welche Rechte Betroffene haben. Dass die Vorschriften „des Auftrag gebenden Landes“ gelten sollen bleibt unkonkret.

Auch sonst ist gerade beim Thema Auftragsdatenverarbeitung einiges schwammig und soll an anderen Stellen geregelt werden:

Zur Erledigung ihrer Aufträge zur Datenverarbeitung hat sich die Anstalt ihrer eigenen
IT-Systeme zu bedienen. Die Anstalt kann sich im Übrigen Dritter bedienen, insbesondere der Trägerländer, die der Anstalt die Inanspruchnahme von Unterstützungsleistungen gewähren. Näheres wird durch die Satzung der Anstalt oder in separat abzuschließenden Verwaltungsabkommen geregelt.

Der Berliner Datenschutzbeauftragte kritsierte das und empfahl, „bereits in der Norm ausdrücklich darauf hinzuweisen, dass die Anstalt sich Dritter zur Erfüllung ihrer Aufgaben nur in Abstimmung mit dem jeweiligen Auftraggeber bedienen darf, um die diesbezüglichen Befugnisse der Anstalt in ihrer Funktion als Auftragnehmerin deutlich zu begrenzen.“

Datenzugriff durch Dritte

Apropos Dritte und Begrenzen: Ein Thema, das bei der Zusammenführung von Datenverarbeitung schnell aufkommt, sind die Zugriffsberechtigungen. § 13 des Staatsvertrags soll regeln, dass sich die Zugriffsbefugnisse der jeweiligen Polizeibehörden nicht erweitern dürfen. Es ist jedoch nur unzureichend definiert, wie sich das bezüglich Dritter verhält, die beispielsweise Wartungsarbeiten ausführen. Zwar sollen in der Regel ausschließlich eigene IT-Systeme genutzt werden, doch zu „Verwaltungshilfsdienstleistungen“ dürfen auch solche hinzugezogen werden.

Einbeziehung der Datenschutzbeauftragten der Länder

Von den Kritikpunkten des ehemaligen Berliner Datenschutzbeauftragten haben wir durch die Stellungnahme erfahren, der sich seine Nachfolgerin anschließt, wie von der Behörde gegenüber netzpolitik.org bestätigt wurde. Wir haben bei den Datenschutzbeauftragten der anderen beteiligten Bundesländer nachgefragt, wieweit sie bisher in die Planungen des GKDZ eingebunden waren. Spätestens im April 2015 müssen alle Bescheid gewusst haben, denn da fand im Sächsischen Innenministerium ein Informationstreffen für alle statt.

Da Sachsen federführendes Bundesland bei der Einrichtung des GKDZ ist, wusste auch der Sächsische Datenschutzbeauftragte schon früh – im November 2013 – Bescheid. Andreas Schneider aus der Sächsischen Datenschutzbehörde kommentierte gegenüber netzpolitik.org:

Der Sächsische Datenschutzbeauftragte pflegt turnusgemäß Gespräche mit der Polizeiverwaltung des Freistaates. Meiner Behörde gegenüber ist im November 2013 erstmals das Ansinnen eröffnet worden, ein gemeinsames Zentrum einzurichten. Konkretisiert und inhaltlich verdichtet wurden die Vorstellungen erst im letzten Jahr. Ein Staatsvertragsentwurf liegt hier mit Stand vom 31. August 2015 vor (Ein neuerer Entwurf ist mir nicht bekannt.). Zweck des Vorhabens ist ein ressourcenschonender gemeinsamer Betrieb einer ansonsten kostenintensiven Technikanschaffung. Grundlegende Bedenken wurden seitens meiner Behörde nicht erhoben, da Eingriffe ausschließlich auf der – unveränderten – Grundlage bestehenden Rechts erfolgen sollen. D. h. aber auch, dass sicherzustellen sein wird, dass eine Kooperation auf Staatsvertragsgrundlage nicht rechtlich oder faktisch dazu führt, dass über die geltende Rechtslage und Befugnisse der Behörden und Bediensteten hinaus die Datenverarbeitung erweitert werden kann. Entscheidend wird unter anderem sein, dass verfahrenstechnisch und personell-organisatorisch abgesichert eine strenge Trennung der Informationen zu Strafverfolgungs- gegenüber Gefahrenabwehrvorgängen und nach Ländern und Zuständigkeiten erfolgt.

In Brandenburg sei man im Februar 2015 zum ersten Mal über das Projekt informiert worden, bis man einen schriftlichen Entwurf zu Gesicht bekam, dauerte es aber noch ein bisschen:

Nachdem die Landesbeauftragte, Frau Hartge, dies im Rahmen der öffentlichen Sitzung des Ausschusses für Inneres und Kommunales des Landtags Brandenburg am 12. November 2015 angemahnt hatte, übersandte das Ministerium uns einen Entwurf des Staatsvertrages sowie weitere Projektunterlagen. Hierzu gaben wir Ende Februar 2016 eine Stellungnahme ab, die sowohl datenschutzrechtliche als auch technisch-organisatorische Anforderungen an einen datenschutzgerechten Betrieb des Gemeinsamen Kompetenz- und Dienstleistungszentrums berücksichtigt.

Was in dieser Stellungnahme geschrieben steht, erfahren wir nicht. Die Landesdatenschutzbeauftragte von Brandenburg bittet „um Verständnis, dass wir uns zu Einzelheiten bis zur öffentlichen parlamentarische Befassung mit der Angelegenheit noch nicht äußern.“ Eine eigene Stellungnahme gibt es auch beim Sächsischen Datenschutzbeauftragten. Da ist man sich noch nicht sicher, ob sie herausgegeben werden darf. „Nach erfolgter entsprechender interner Freigabe“ würde man uns die Stellungnahme übersenden. Wir sind gespannt auf das Ergebnis.

Aus Thüringen und Sachsen-Anhalt erhielten wir bisher leider gar keine Auskunft über die Einbeziehung der Behörden oder eventuell vorhandene Stellungnahmen.

Update: Die Landesbehörde für den Datenschutz Sachsen-Anhalt hat mittlerweile geantwortet. Sie habe an der Informationsveranstaltung im Sächsischen Staatsministerium [im April 2015] teilgenommen und Gelegenheit zur Stellungnahme gehabt:

Der Landesbeauftragte hat sich zum o.g. Entwurf eines Staatsvertrages sowohl gegenüber dem Ministerium für Inneres und Sport des Landes Sachsen-Anhalt als auch gegenüber dem Sächsischen Datenschutzbeauftragten geäußert. Hierbei wurden mögliche ergänzende Regelungen zur Trennung der Daten aus den einzelnen Ländern und eine konkretere Formulierung des Aufgabenumfangs angeregt.

Planungsstand unklar

So unklar wie einige Datenschutzfragen ist auch der Planungsstand des Staatsvertrages. Laut einer aktuellen Antwort auf eine Anfrage der Berliner Piraten sei man noch in der ressortweiten Abstimmung des Vertrages in den jeweiligen Ländern. Erst danach sollen die Abgeordneten der Landesparlamente einbezogen werden. Im April 2015 klang es so, als sei man schon dabei, die Parlamente mit dem Vertragsentwurf zu befassen.

Damals lautete der Zeitplan, bis zum August 2017 einen Probebetrieb zu starten, um im April 2018 in den Wirkbetrieb überzugehen. Das wirkt unwahrscheinlich, da es bisher nichteinmal eine Ausschreibung für das GKDZ gab, wie der Berliner Innenstaatssekretär Bernd Krömer verkündete:

Zunächst müssen der Willensbildungsprozess der Regierungen der beteiligten fünf Länder sowie die erforderlichen Gesetzgebungsverfahren in den Parlamenten abgeschlossen sein. Erst dann kann mit der Ausschreibung für das GKDZ begonnen werden.

So wenig wie über den Vertragstext erfahren die Abgeordneten auch über die vermuteten Kosten des GKDZ. Eine „Grobschätzung der künftigen Betriebskosten“ läge vor, werde den Abgeordneten aber erst im Zuge des Gesetzgebungsverfahrens zur Kenntnis gebracht. Immerhin erfahren wir ein paar erste Zahlen aus dem Vertragsentwurf für die „Anschubfinanzierung“. Circa 5,7 Millionen Euro im ersten Jahr und 9,9 Millionen Euro im zweiten Jahr sollen die Länder insgesamt teilen, dabei war geplant, dass Sachsen mit 1.550.986 Euro im ersten und 2.669.529 Euro im zweiten Jahr den größten Anteil trägt. Berlin würde mit 4.174.922 Euro in den ersten beiden Jahren lediglich 45.593 Euro weniger in das Projekt investieren.

Christopher Lauer von den Piraten im Berliner Abgeordnetenhaus und seine Fraktion lehnen das GKDZ ab:

Das Abhörzentrum ist von Berlin aus kaum parlamentarisch oder durch einen Datenschutzbeauftragten wirksam zu kontrollieren. Im Gegenteil: Die Konzentrierung von Telekommunikationsüberwachung in einem 5-Länderzentrum schränkt die Zugriffs- und Kontrollmöglichkeiten der Parlamente und der kritischen Öffentlichkeit noch weiter ein. Noch immer liegt kein schlüssiges Konzept für das Abhörzentrum und seine Möglichkeiten vor. In der Planungsphase wurden die Landesparlamente außen vor gelassen, die Ausgestaltung verläuft völlig intransparent. So gibt es beispielsweise kaum Informationen darüber, was mit den vom Zentrum verschickten “Stillen SMS“ passiert oder worin denn der tatsächliche Mehrwert eines solchen Zentrums bestehen soll. Auf Nachfragen vertröstet mich der Berliner Senat in den Antworten auf meine Schriftlichen Anfragen mit der „Befassung der Parlamente“ auf eine ferne Zukunft. Hier wird eine uneinsehbare Black Box geschaffen, deren Zweck für die Kriminalitätsbekämpfung der Senat nicht plausibel begründen kann oder will.

weiter lessen: Quelle: Wir veröffentlichen: Entwurf des Staatsvertrags zum Gemeinsamen Überwachungszentrum von fünf Bundesländern (Update)

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s