Schlussfolgerungen der Bundesregierung aus den Tätigkeitsberichten und Empfehlungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
der Abgeordneten Ulla Jelpke, Dr. André Hahn, Gökay Akbulut, Niema Movassat, Zaklin Nastic, Petra Pau, Martina Renner, Kersten Steinke, Friedrich Straetmanns, Dr. Kirsten Tackmann und der Fraktion DIE LINKE.
Vorbemerkung
Der Datenschutz in Deutschland ist zahlreichen Einschränkungen und Bedrohungen ausgesetzt. In seinem 28. Tätigkeitsbericht drückt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Besorgnis darüber aus, dass in den vergangenen Jahren eine Vielzahl neuer Eingriffsbefugnisse für Sicherheitsbehörden beschlossen worden sei, die bereits zuvor bestehenden Kompetenzen dieser Behörden jedoch nicht evaluiert worden seien. Der BfDI kommt zu dem Schluss, dass die „konstante Akkumulation sicherheitsbehördlicher Eingriffsmöglichkeiten äußerst kritisch“ zu bewerten sei und empfiehlt ein „Sicherheitsgesetzmoratorium“ sowie die Einleitung eines Evaluationsprozesses der sicherheitsbehördlichen Eingriffskompetenzen.
Der BfDI stellt zudem eine Reihe von Kontrolllücken sowie datenschutzrechtlicher Verstöße durch Behörden des Bundes fest – zum Teil handelt es sich um die gleichen Verstöße und Lücken, auf die auch schon in früheren Tätigkeitsberichten hingewiesen wurde.
Unzureichende Datenschutzregeln gebe es beispielsweise bei den Geheimdiensten: Diesen gegenüber hat der BfDI keinerlei Sanktionsbefugnisse, wenn er rechtswidrige Verarbeitung personenbezogener Daten feststellt. Es bleibt lediglich der Rechtsweg der einzelnen Betroffenen, was nach Darlegung des BfDI „bei den ohnehin eingeschränkten Rechtsschutzmöglichkeiten der Betroffenen faktisch aber nur sehr schwierig erreichbar ist“. Die datenschutzkonforme Verwendung von Daten, die vom Bundesamt für Verfassungsschutz (BfV) oder vom Bundesnachrichtendienst (BND) in gemeinsam mit ausländischen Geheimdiensten geführte Dateien übertragen werden, kann vom BfDI ebenfalls nicht kontrolliert werden, da er die Daten nicht in diesen Dateien einsehen kann. Räume, in denen eine datenschutzrechtliche Kontrolle nicht möglich ist, sind aus Sicht der Fragestellerinnen und Fragesteller nicht hinzunehmen.
Das BfV handelt zudem nach Auffassung des BfDI ohne Rechtsgrundlage, wenn es Projektträger, die Förderanträge bei Bundesressorts stellen, überprüft, um etwaige Erkenntnisse über extremistische Bestrebungen an die jeweiligen Ressorts mitzuteilen.
Auch im Bereich der Bundespolizei sind die Befugnisse des BfDI nicht ausreichend, so hat er etwa – anders als im BKA-Gesetz (BKA = Bundeskriminalamt) geregelt – keine Abhilfebefugnisse bei rechtswidrigen Datenverarbeitungen der Bundespolizei (Quellen: Tätigkeitsbericht 2019 des BfDI).
Wir fragen die Bundesregierung:
Fragen16
Wie bewertetet die Bundesregierung die vom BfDI beschriebene datenschutzrechtliche Problematik des Fehlens von Sanktionsbefugnissen des BfDI im Bereich der Geheimdienste (bitte begründen)? Inwiefern hält sie die Einleitung gesetzgeberischer Schritte für angebracht mit dem Ziel, dem BfDI solche Sanktionsbefugnisse auch im Bereich der Geheimdienste zu erteilen, um den Schutz der Bürgerinnen und Bürger vor möglicher rechtswidriger Verarbeitung ihrer Daten zu erhöhen (bitte begründen), und was will sie ggf. konkret unternehmen?
Wie bewertet die Bundesregierung die vom BfDI aufgezeigte Problematik des Fehlens von Abhilfebefugnissen des BfDI gegenüber der Bundespolizei (bitte begründen)? Inwiefern hält sie die Einleitung gesetzgeberischer Schritte für angebracht mit dem Ziel, im Bundespolizeigesetz solche Abhilfebefugnisse aufzunehmen, die zumindest den im neuen Bundeskriminalamtsgesetz enthaltenen Befugnissen entsprechen, und was will sie ggf. konkret unternehmen?
Inwiefern beabsichtigt die Bundesregierung, sich für eine Abschaffung der Antiterrordatei einzusetzen (bitte begründen)?
a) Trifft es zu, dass Vertreter von Sicherheitsbehörden eine solche Abschaffung befürworten, weil die Datei zu wenig Nutzen biete (https://www.spiegel.de/politik/warum-bka-und-verfassungsschutz-die-antiterror-datei-abschaffen-wollen-a-00000000-0002-0001-0000-000161665848), und wenn ja, wie positioniert sich die Bundesregierung dazu?
b) Welche Angaben zur Nutzung der Antiterrordatei in den Jahren 2018 und 2019 kann die Bundesregierung machen?
c) Inwiefern hält die Bundesregierung die Antiterrordatei für ein wirksames und erforderliches Instrument der Sicherheitspolitik, und nach welchen Kriterien bemisst sie dies?
Wie positioniert sich die Bundesregierung zur Besorgnis des BfDI, dass mit der in den vergangenen Jahren beschlossenen Vielzahl neuer Eingriffsbefugnisse für die Sicherheitsbehörden kein Trend einer parallelen Evaluierung der bereits bestehenden Kompetenzen dieser Behörde korrespondiere, und die „konstante Akkumulation sicherheitsbehördlicher Eingriffsmöglichkeiten äußerst kritisch“ zu bewerten sei?
a) Inwiefern und bei welchen Behörden beabsichtigt die Bundesregierung, bis wann eine Evaluation der bestehenden Eingriffsbefugnisse durchzuführen (bitte möglichst Details nennen)?
b) Inwiefern hält die Bundesregierung ein Moratorium bei der Verabschiedung neuer Sicherheitsgesetze für angebracht, zumindest bis zum Abschluss einer solchen Evaluation (bitte begründen)?
Inwiefern setzt sich die Bundesregierung dafür ein, dass die datenschutzrechtlichen Einwände bzw. Bedenken des Europäischen Datenschutzausschusses und des BfDI in Bezug auf die Verhandlungen über die Anwendung des „Cloud Act“ zwischen den USA und der Europäischen Union berücksichtigt werden?
a) Teilt sie die Bedenken des BfDI, dass direkte Datenübermittlungen an US-Strafverfolgungsbehörden „außerhalb des Rechtshilfeweges nur sehr begrenzt mit der DSGVO (Datenschutz-Grundverordnung) vereinbar“ sind, wenn nein, warum nicht, wenn ja, welche Schlussfolgerungen zieht sie daraus?
b) Setzt sie sich konkret dafür ein, dass Datenübermittlungen auch künftig die Einhaltung des bestehenden Rechtshilfeweges voraussetzen, und ist dieser Punkt für sie entscheidend, wenn nein, warum nicht?
Wie positioniert sich die Bundesregierung zum Verordnungsverschlag der Europäischen Kommission bezüglich „e-Evidence“, wonach europäische Strafverfolgungsbehörden Bestands-, Verkehrs- und Inhaltdaten unmittelbar bei Providern von Telekommunikations- und Internetdienstleistungen in anderen EU-Mitgliedstaaten erheben können sollen?
a) Welche datenschutzrechtlichen Probleme sieht sie bei diesem Vorschlag, und was will sie unternehmen, um diesen abzuhelfen?
b) Inwiefern teilt sie die datenschutzrechtliche Besorgnis des BfDI und dessen Auffassung, es sollte „nicht allein den Providern überlassen bleiben, die Rechtmäßigkeit einer Anordnung zu überprüfen“?
c) Inwiefern will sie sich dafür einsetzen, dass die Justizbehörden der beteiligten Mitgliedstaaten zwingend parallel unterrichtet werden müssen?
Wie positioniert sich die Bundesregierung zum derzeit verhandelten zweiten Zusatzprotokoll zur sog. Cybercrime-Konvention, das die direkte grenzüberschreitende Erhebung durch Strafverfolgungsbehörden bei Providern in anderen Staaten regelt, und inwiefern teilt sie die datenschutzrechtliche Besorgnis des BfDI, der darauf hinweist, dass in den Unterzeichnerstaaten „eine Vielfalt von teilweise sehr unterschiedlichen Rechtssystemen und Datenschutzstandards existieren“? Inwiefern will sie sich im Rahmen der EU dafür einsetzen, den datenschutzrechtlichen Problemen abzuhelfen?
Warum ist nach Kenntnis der Bundesregierung der BfDI nicht mehr zu Terminen des Bundesministeriums des Innern, für Bau und Heimat (BMI) zur Erprobung des „Datenhauses“ im Rahmen des Projektes „Polizei 2020“ eingeladen worden, nachdem er erhebliche Einwände gegen das der Erprobung zugrunde liegende System geäußert hatte (vgl. den 28. Tätigkeitsbericht des BfDI)?
a) Ist mittlerweile seine Einladung zu künftigen Erprobungen gewährleistet, und wenn nein, warum nicht?
b) Inwiefern und in welchem Umfang sind die Einwände des BfDI vom BMI ernst genommen worden und in die Planungen eingeflossen?
c) Existiert inzwischen ein schriftliches Konzept zur datenschutzrechtlichen Prüfung, und wenn nein, warum nicht, wenn ja, was sieht dieses vor (bitte möglichst beilegen oder, falls eine Übermittlung an den Deutschen Bundestag verwehrt wird, zusammenfassen)?
Wie positioniert sich die Bundesregierung zum Gutachten des Europäischen Gerichtshofes vom 26. Juli 2017 zum Fluggastdaten-Abkommen zwischen Kanada und der Europäischen Union, und welche Schlussfolgerungen sind aus ihrer Sicht hieraus für dieses und ähnliche Abkommen mit weiteren Staaten notwendig, und inwiefern setzt sich die Bundesregierung dafür ein?
Wie beurteilt die Bundesregierung unter dem Aspekt der Nutzerfreundlichkeit die derzeitigen Möglichkeiten von Bürgerinnen und Bürgern im Zusammenhang mit dem Onlinezugangsgesetz, die stattfindenden Datenverarbeitungsprozesse nachvollziehen und kontrollieren zu können, und inwiefern beabsichtigt sie, hier der Empfehlung des BfDI zu einer nutzerfreundlicheren Regelung nachzukommen (bitte begründen)?
Wie positioniert sich die Bundesregierung derzeit zur Einführung von Videoüberwachung mit automatischer Gesichtserkennung, welche Projekte werden hierzu von Einrichtungen des Bundes oder mit deren Unterstützung durchgeführt oder geplant, und inwiefern hält die Bundesregierung eine spezielle Rechtsgrundlage für diese Technik für notwendig (bitte begründen)?
Beabsichtigt die Bundesregierung, gesetzgeberische Schritte einzuleiten, um eine klare Zuständigkeitsregelung für die Kontrolltätigkeit von BfDI und G10-Kommission zu schaffen, die auch die Kooperation zwischen diesen beiden Aufsichtsorganen umfasst?
Beabsichtigt die Bundesregierung gesetzgeberische Schritte einzuleiten, um die Kontrollbefugnis des BfDI umfassend auch beim Führen gemeinsamer Daten des BfV mit ausländischen Geheimdiensten anzuerkennen und diese ggf. gesetzlich klarstellend zu regeln?
a) Sieht die Bundesregierung eine problematische Kontrolllücke darin, dass der BfDI die von deutscher Seite in einer vom einem ausländischen Geheimdienst geführten gemeinsamen Datei nicht dort, also in dieser Datei, sehen kann, und somit auch ihre Verarbeitung kontrollieren kann, sondern lediglich prüfen kann, welche Daten von BfV oder BND dorthin übertragen worden sind (bitte begründen), und welche Schlussfolgerungen zieht sie daraus?
b) Wie viele personenbezogene Daten zu wie vielen Personen haben BfV und BND im vergangenen Jahr in gemeinsamen Dateien mit ausländischen Geheimdiensten übertragen (falls der Bundesregierung diese Zahl nicht bekannt ist, bitte, soweit vorhanden, andere Angaben zum Umfang entsprechender Datenübertragungen machen)?
c) In wie vielen gemeinsam vom BfV oder BND mit ausländischen Geheimdiensten geführten Daten werden wie viele personenbezogene Daten gespeichert?
In welchem Umfang werden personenbezogene Daten von öffentlichen Stellen des Bundes bei Versand per E-Mail ausschließlich verschlüsselt gesendet?
a) Teilt die Bundesregierung die Auffassung des BfDI, ein unverschlüsselter Datenversand per E-Mail sei bei sensiblen Daten „auch dann nicht rechtmäßig, wenn vorher eine entsprechende Einwilligung des Empfängers eingeholt wurde, da diese in der Regel nicht datenschutzkonform erteilt werden kann“ (falls nein, bitte begründen)?
b) Teilt die Bundesregierung die Auffassung des BfDI, nationale Vorschriften, die einen unverschlüsselten E-Mailversand legitimieren, seien nicht DSGVO-konform?
c) Welche Schlussfolgerungen zieht die Bundesregierung für den Fall, dass gegenwärtig noch personenbezogene Daten unverschlüsselt per E-Mail versandt werden?
Welche Schlussfolgerungen zieht die Bundesregierung aus der Kritik des BfDI, für die Überprüfung von Projektträgern, die Förderanträge bei Bundesressorts stellen, fehle es dem BfV an einer Rechtsgrundlage?
Wie positioniert sich die Bundesregierung zur Empfehlung des BfDI, die Strafprozessordnung in Hinsicht auf die Erhebung und Nutzung von Daten, die von V-Leuten ermittelt wurden, zu überarbeiten und die Zusammenarbeit mit Verfassungsschutzbehörden enger und präziser zu regeln?