Forum Netzpolitik und Jusos Berlin fordern: keine Ausweitung der Messenger-Überwachung auf Geheimdienste

Als Forum Netzpolitik fordern wir gemeinsam mit dem Jusos Berlin Landesvorstand in einem Initiativ-Antrag beim Landesparteitag Berlin 2020, dass der Landes- und der Bundesparteitag beschließe:

Der Bundesparteitag möge beschließen:
Die sozialdemokratischen Mitglieder der Bundesregierung werden aufgefordert:

Grundrechte achten: Quellen-TKÜ begrenzen, Überwachungsgesetze evaluieren

  1. Die Nutzung sogenannter Staatstrojaner, staatlich entwickelter oder anderweitig beschaffter Schadsoftware für die Quellen-Telekommunikationsüberwachung (Q-TKÜ) digitaler Endgeräte, muss auf die Polizeibehörden beschränkt bleiben. Eine zusätzliche Ausweitung der Befugnisse auf das Bundesamt für Verfassungsschutz, den Milititärischen Abschirmdienst, den Bundesnachrichtendienst, sowie die 16 bundesdeutschen Landesämter für Verfassungsschutz lehnen wir ab. Dies gilt erst Recht für die noch weitergehende Onlinedurchsuchung. Die Nutzung der Quellen-TKÜ durch Polizeibehörden sollte kritisch hinterfragt werden. 
  2. Mitwirkungspflichten für Provider müssen auf ein Maß begrenzt bleiben, das die neutrale Mittlerrolle und das Vertrauensverhältnis zwischen Providern und Kund*innen wahrt und Verschlüsselung unangetastet lässt. Insbesondere das Umleiten von Datenflüssen zum unbemerkten Einspielen von Schadsoftware zur Überwachung ist grundsätzlich abzulehnen.
  3. Der Einsatz von Q-TKÜ ist aus verfassungsrechtlichen Gründen, unabhängig von der durchführenden Behörde, an nachfolgende Kriterien zu knüpfen. Diese sind auch bei einer etwaigen Erweiterung der Kompetenzen in Bezug auf die Quellen-TKÜ auf nicht-polizeiliche Behörden zu beachten:
    1. Rechtsgrundlagen für Q-TKÜ sind zu befristen (Ablaufklausel bzw. sunset clause) und müssen nach zwei Jahren durch den Bundestag unabhängig evaluiert werden. Sie müssen klar benennen, unter welchen tatbestandlichen Voraussetzungen der Einsatz erlaubt ist. Ein Verweis auf die allgemeinen Aufgaben einer Behörde genügt nicht.
    2. Der Einsatz von Q-TKÜ muss immer einer richterlichen Genehmigung unterliegen (Richtervorbehalt). Dies muss ggf. auch für den Einsatz durch Geheimdienste gelten.
    3. Jeder Einsatz von Q-TKÜ muss im Vorhinein klar befristet und eingegrenzt werden sowie im Anschluss an den Überwachungszeitraum evaluiert werden. Dieser Bericht ist im Falle des Einsatzes durch Geheimdienste dem jeweiligen parlamentarischen Kontrollgremium vorzulegen.
    4. Hinweise auf Straftaten, die in keiner Beziehung zum Anlass der Q-TKÜ stehen, dürfen nur bei schwersten Straftaten in anderen Verfahren weiterverwertet werden, wenn der Einsatz der Q-TKÜ auch in einem Verfahren für diese Straftat erlaubt gewesen wäre (Zufallsfunde).
    5. Alle Behörden, die Q-TKÜ durchführen, erstellen einen jährlichen Bericht, in dem sie klar definierte Kennzahlen zu allen Ermittlungsverfahren, in denen eine Q-TKÜ zum Einsatz kam, offenlegen (mindestens Anzahl der Verfahren mit Q-TKÜ, Dauer der Verfahren sowie Anzahl der Betroffenen und Angaben über Ermittlungserfolge). Der Bericht ist im Falle von Geheimdiensten dem jeweiligen parlamentarischen Kontrollgremium vorzulegen und die Öffentlichkeit über die Anzahl der Verfahren zu informieren. Berichte der Polizeibehörden sollen in einer geeigneten Form der Öffentlichkeit zur Verfügung gestellt werden. 
  1. Der behördliche Umgang mit IT-Sicherheitslücken, deren Ausnutzung für den Einsatz der Q-TKÜ erforderlich ist, muss gesetzlich reguliert werden. Ein solches gesetzlich geregeltes Schwachstellenmanagment muss klare Kriterien für die Risikoabschätzung im Bezug auf das Geheimhalten von einzelnen Sicherheitslücken beeinhalten, um ein möglichst effektives Schwachstellenmanagement zu garantieren. Ziel muss dabei sein, Sicherheitslücken so schnell wie möglich zu schließen. 
  2. Die Bundesregierung gibt eine unabhängige Studie in Auftrag, die die Zuständigkeiten der deutschen Sicherheitsbehörden (Geheimdienste und Polizei in Bund und Ländern) auf Überschneidungen und Mehrfachzuständigkeiten untersucht. Ziel der Studie ist es, die Zusammenarbeit der Behörden besser zu koordinieren, Doppelarbeit und Kommunikationsprobleme zu vermeiden sowie klare Zuständigkeiten zu ermöglichen. Eine solche Entflechtung schont Ressourcen in den einzelnen Behörden und bündelt alle relevanten Informationen in der jeweils zuständigen Behörde. 
  3. Die Bundesregierung beauftragt eine unabhängige wissenschaftliche Studie zur Bestandsaufnahme aller Befugnisse und tatsächlichen Maßnahmen, mittels derer öffentliche Stellen in die Grundrechte auf informationelle Selbstbestimmung, Vertraulichkeit der Kommunikation sowie auf auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme der Bürger*innen eingreifen oder eingreifen können (sog. Überwachungsgesamtrechnung). Dies umfasst auch Befugnisse zur Heranziehung von Daten privater Stellen. Die Bestandsaufnahme soll jeweils Umfang, Intensität, Dauer und Art der Grundrechtseingriffe sowie die tatsächliche Qualität vorgesehener Kontrollmechanismen für diese Eingriffe, insbesondere von Richtervorbehalten und Datenschutzkontrollen, beinhalten. Diese sog. Überwachungsgesamtrechnung umfasst sowohl gezielte als auch ungezielte Befugnisse und Maßnahmen durch öffentliche Stellen, inklusive der Nachrichtendienste, die auf deutschem Staatsgebiet stattfinden oder deutsche Staatsbürger*innen betreffen. Die Studie ist der Öffentlichkeit zur Verfügung zu stellen. 
  4. Der bereits beschrittene Weg, die personelle und technische Ausstattung der Polizeibehörden zu verbessern wird konsequent weitergeführt. Polizeiliche Ermittlungsarbeit im Internet, wie z.B. die sogenannte „Internetstreife“, wird weiter ausgebaut. Ebenso sind Staatsanwaltschaften mit den nötigen personellen und technischen Ressourcen auszustatten. 

Begründung

Mit dem Kabinettsbeschluss vom 21. Oktober 2020 will die Bundesregierung den Einsatz von Quellen-Telekommunikationsüberwachung (Q-TKÜ) auf alle Geheimdienste ausweiten. Sie nimmt dabei ohne Not erhebliche Grundrechtseinschränkungen in Kauf und erweist der IT-Sicherheit damit einen Bärendienst.

Mittels der sogenannten Q-TKÜ sollen neben Polizeibehörden künftig auch die Bundes- und Landesämter für Verfassungsschutz, der Militärische Abschirmdienst und der Bundesnachrichtendienst Zugriff auf Nachrichten und Daten mobiler Messengerdienste erhalten. Dies bedeutet in der Praxis, dass Schadsoftware auf Smartphones und Computer aufgespielt wird, um so Daten abzuziehen. Die neu beschlossenen Befugnisse sollen nicht unter Richtervorbehalt stehen, sondern lediglich von der Zustimmung der G-10-Kommission abhängen. Eine Überprüfung durch Gerichte ist damit für Betroffene nicht mehr möglich. Zudem soll eine Mitwirkungspflicht der Provider eingeführt werden, um Überwachungssoftware auch vor der Verschlüsselung unbemerkt auf den Endgeräten der Kunden platzieren zu können. Betroffene werden auch nach Abschluss der Überwachung nicht über den Eingriff informiert.

Dieses Vorgehen stellt in Anbetracht der Rechtsprechung des Bundesverfassungsgerichts (BVerfG) einen unverhältnismäßigen Grundrechtseingriff dar. Auch die notwendige demokratische Kontrolle und Rechtsschutzmöglichkeiten fehlen. Die Q-TKÜ ist daher entschieden abzulehnen. Den Polizeibehörden wurden 2017 bereits weitreichende Möglichkeiten zum Einsatz von Überwachungssoftware eingeräumt, welche wegen ihrer Tragweite derzeit auch Gegenstand einer Verfassungsbeschwerde [1] sind. Eine Ausweitung dieser Befugnisse auf Nachrichtendienste verstößt in ihrer geplanten Form gegen das Trennungsgebot von Polizei und Geheimdiensten. Dies hebt auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber in einem Statement zum Thema [2] hervor. Gleichzeitig können wir bereits jetzt mit den heute zur Verfügung stehenden Ermittlungsmethoden immer häufiger erhebliche Ermittlungserfolge von Polizeibehörden im Bereich der Cyberkriminalität vermelden, des digitalen Drogenhandels und rechter Chatgruppen. Dringender Bedarf an einer verstärkten Zuarbeit von mit weitreichenden Kompetenzen weit im Vorfeld von Straftaten ausgestatteten Nachrichtendiensten ohne demokratische und gerichtliche Kontrollmöglichkeit ist nicht erkennbar.

Quellen-TKÜ und ähnliche Verfahren bergen ein erhebliches Risiko, die IT-Sicherheit in Deutschland und weltweit dauerhaft zu schwächen, da Sicherheitslücken zum Aufspielen der Staatstrojaner benötigt und bewusst offengehalten werden. Die beschlossene Mitwirkungspflicht für Telekommunikationsanbieter untergräbt zudem das fundamentale Vertrauensverhältnis zwischen Internetanbieter und Nutzer. Es schädigt die allgemeine IT-Sicherheit zudem noch weiter, da vorgesehen ist, dass Provider die Datenströme unbemerkt umleiten sollen und den Geheimdiensten so das Verstecken der Schadsoftware beispielsweise in nötigen Sicherheitsupdates ermöglichen. Bürger*innen müssen dadurch fürchten, beim Update ihres Betriebssystems oder ihres Fotobearbeitungsprogramms Schadsoftware mit herunterzuladen und könnten deshalb auf wichtige Updates verzichten (Chilling effect).

Dass die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf, gehört laut Bundesverfassungsgericht zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland. Der Gesetzgeber ist daher bei der Erwägung neuer Speicherungspflichten oder -berechtigungen in Blick auf die Gesamtheit der verschiedenen schon vorhandenen Datensammlungen zu Zurückhaltung angehalten. Das Bundesverfassungsgericht hat daher mehrfach eine sogenannte „Überwachungsgesamtrechnung“ angemahnt. Überwachungsmaßnahmen können einzeln gesehen harmlos wirken und im Einzelfall gut begründet sein. Ihre Bewertung muss aber immer im Kontext aller Überwachungsmöglichkeiten erfolgen, denn viele Einzelmaßnahmen können in der Überwachungsgesamtrechnung den Effekt haben, dass Menschen sich permanent beobachtet fühlen und sich nicht mehr frei äußern (chilling effect). 

Ebenfalls untersuchen sollte die Bundesregierung, in wie weit Zuständigkeiten in den Sicherheitsbehörden für bestimmte Deliktsbereiche in zu vielen Behörden gleichzeitig angesiedelt sind. Allein für die Terrorismusbekämpfung sind es derzeit etwa 40 verschiedene Behörden [3]. Dies verursacht einen immensen Abstimmungsaufwand, birgt die Gefahr von Informationsverlusten und führt zu unklaren Verantwortlichkeiten.

Die aufgeführten Maßnahmen sind notwendig, um Grundrechte zu gewährleisten. Wir wollen die Polizeibehörden und Staatsanwaltschaften personell und technisch besser ausstatten, um die Sicherheit der Bürger*innen zu gewährleisten. Die derzeit geplante Gesetzesänderung stellt hingegen einen massiven Einschnitt in die Grundrechte aller Bürger*innen dar. Für die Herstellung von Sicherheit darf die Grundrechtsbeschneidung aller aber nicht die Antwort sein.
[1] https://freiheitsrechte.org/bka-gesetz/
[2] https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/27_Kritik-TK%C3%9C-2020.html
[3] https://www.tagesspiegel.de/themen/agenda/nach-terror-in-paris-40-behoerden-kooperieren-zur-terrorabwehr-in-deutschland/12628936.html

Nachtrag: Der Antrag wurde am 28.11.2020 auf dem Landesparteitag mit deutlicher Mehrheit angenommen: