Zahlenspielerei zu Aufsichtsbehörden, die IT-Grundrechte wahren sollen

Geht man davon aus, dass die Datenschutz-Aufsichtsbehörden für

  • das Grundrecht auf informationelle Selbstbestimmung,
  • das Grundrecht auf Informationsfreiheit und
  • das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

zuständig sind, kann man erwarten, dass sie entsprechend ausgestattet sind. Welche Anhaltspunkte lassen sich zahlentechnisch dafür finden, dass sie das sind?

Zum Beispiel das Personal:  In Summe verfügen die Aufsichtsbehörden in Bund und Ländern über 444 Stellen. Eine Aufstockung ist nicht geplant (Jahr 2013, Quelle: BfDI Pressestelle und Datenschutzbarometer 2013).

 

Kernpersonal Datenschutz-Aufsichtsbehörden
Bundesland 2011 2012 2013
Baden-Württemberg 26,2 26,2 26,2
Bayern 42 45 46
Berlin 39 39 34
Brandenburg 23 22 22
Bremen k.A. k.A. k.A.
Hamburg 17,05 18,6 15,8
Hessen 43 43 35,2
Mecklenburg-Vorpommern 14 14 14
Niedersachsen 17,5 17,5 17,5
Nordrhein-Westfalen 53 53 53
Rheinland-Pfalz 18,5 18,5 17,5
Saarland k.A. k.A. k.A.
Sachsen 21 22 22
Sachsen-Anhalt 21 16 16
Schleswig-Holstein 22,25 22,25 22,25
Thüringen 15 15 15
Bund 81 89 87,5
Summe 453,5 461,05 443,95

Vergleichen wir das mit der Personalausstattung des Bundesamts für Sicherheit in der Informationstechnik (BSI): Das verfügt über 579 Stellen, eine Aufstockung um weitere 216 Stellen ist geplant (Quelle: BSI-Pressestelle). In Summe wären das 795 Stellen. Das BSI ist allerdings nur für

  • das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

zuständig.

Summa summarum: Das BSI verfügt jetzt über 130 Prozent mehr Stellen als alle behördlichen Datenschutzbeauftragten zusammen. Würde man das an den zu wahrenden Grundrechten messen – wären das dreimal so viel.

Sehen wir uns rein mengenmäßig an, was die Datenschutz-Aufsichtsbehörden in ihren Tätigkeitsberichten in einem meist zweijährlichen Zyklus produzieren:

 Tätigkeitsberichte Zeitraum Seiten
Bund Jahre 2011-2012 266
Baden-Württemberg Jahre 2012-2013 169*
Bayern öffentlich Jahre 2013-2014 258*
Bayern nicht-öffentlich Jahre 2013-2014 180
Berlin Jahr 2014 200
Brandenburg Jahre 2012-2013 234
Bremen Jahr 2014 132
Hamburg Jahre 2012-2013 277
Hessen Jahre 2012-2013 343
Mecklenburg-Vorpommern Jahre 2012-2013 146
Niedersachsen Jahre 2011-2012 140
NRW Jahre 2013-2014 157
Rheinland-Pfalz Jahre 2012-2013 162
Saarland Jahre 2013-2014 198
Sachsen Jahre 2011-2013 151
Sachsen-Anhalt Jahre 2011-2013 189*
Schleswig-Holstein Jahre 2013-2014 165
Thüringen Nicht-öffentlich Jahre 2011-2013 142
Thüringen öffentlich Jahre 2011-2013 251*
 Summe   3760
Ausgleich zweijähriger Berichtzyklus 332
Summe nach Ausgleich   4092

Nach einer Auswertung der aktuellsten Berichte kommt man auf 4.092 Seiten 

– abzüglich aufblähender Anhänge (*), ohne Berücksichtigung auf das Seitenformat und einem Ausgleich für die Berichte, die in Bremen und Berlin jährlich abgegeben werden.

Setzen wir das wieder in Bezug auf das BSI:

Theoretisch müsste das BSI entsprechend seiner Personalausstattung 5.336 Seiten produzieren. Passen wir diese Zahl großzügig auf das von ihm vertretene Grundrecht mit „geteilt durch 3″ grob an, kommen wir auf 1788 Seiten.

Was aber produziert das BSI tatsächlich? Der letzte Jahresbericht war gerade 49 Seiten lang – wobei durch etliche leere Seiten (Kapitelüberleitungen, etc.) das Volumen Design-technisch etwa um 11 Seiten aufgebläht wurde. Aber wir bereinigen hier nicht: Wir nehmen die 49 Seiten und setzen sie in Bezug auf die 1.788 Soll-Seiten – das wären dann 2,75 Prozent dessen, was die Kollegen in den Datenschutz-Aufsichtsbehörden produzieren.

Klassisch gerechnet, also ohne Berücksichtigung der Grundrechte-Vertretung, produziert das BSI aber nur 1,2 Prozent des Umfangs der Datenschutz-Aufsichtsbehörden.

Denkt man an die gesetzliche vorgeschriebene Bürger-Orientierung der Behörde („BSI für Bürger“) gibt es noch etwas Luft nach oben. Oder macht die, gemessen an der Transparenz der Behörde,  nur 1,2 Prozent aus? Mal locker korreliert.

Andrea Voßhoff: „Ich bin nicht diejenige, die den Sicherheitsbehörden ihre Wünsche formuliert.“

So könnte man das neue Rollenverständnis der Bundesdatenschutzbeauftragten Andrea Voßhoff beschreiben. Aber man könnte es auch positiver formulieren: Sehr orientiert an der Rechtsprechung des Bundesverfassungsgerichts.

In einem Hintergrundgespräch vor einigen Monaten erzählte sie mir auf die Frage, was sie denn jetzt am Thema Datenschutz faszinieren würde, dass sie sehr aufmerksam das Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung studiert habe. Und dabei sei ihr doch aufgefallen, wie wenig dessen Argumentation in der vorherigen politischen Diskussion eine Rolle gespielt habe. Frage von mir: Bezüglich der Diskussion in der Union oder allen Parteien? Antwort: Allen Parteien. Deshalb wolle sie jetzt auch stärker ihre Beratungsauftrag als BfDI im Bundestag wahrnehmen.

Ich hoffe, sie stößt dabei auf offene Türen.

Zur vollständigen Dokumentation der Kontext, in dem der oben zitierte Satz gefallen ist: Eine Recherche zum Thema Quellen-TKÜ für heise online, deren Ergebnisse in eine Meldung eingeflossen sind. Die Antworten erhielt ich am 27. Januar 2015.

Frage: Ist die BfDI der Auffassung, dass die Paragraphen 100a und b StPO im Ein-klang mit der Rechtsprechung eine geeignete Rechtsgrundlage für die Quellen-TKÜ darstellen?

Nein. Sie sind keine geeignete Rechtsgrundlage für eine Quellen-Telekommunikationsüberwachung. In seinem Urteil zur Online-Durchsuchung hat das Bundesverfassungsgericht „rechtliche Vorgaben“ gefordert. Der Gesetzgeber muss damit nach Ansicht des Gerichts die Risiken begrenzen, die mit der Infiltration des Systems verbunden sind. Diese Risiken entstehen nicht erst dann, wenn die Ermittlungsbehörden das angegriffene System gezielt auslesen. Sie können schon vorher entstehen, wenn eine Behörde Sicherheitslücken des Zielsystems gezielt aus-nutzt und dort eine Überwachungssoftware einpflanzt. Für all dies enthalten die Re-gelungen der Strafprozessordnung keine Vorkehrungen. Sie sind daher offenkundig nicht als Rechtsgrundlage für eine Quellen-TKÜ gedacht – jedenfalls im Sinne der Rechtsprechung des Bundesverfassungsgerichts.

Frage: Plädieren Sie für eine gesetzliche Klarstellung für die Quellen-TKÜ?

Ich bin nicht diejenige, die den Sicherheitsbehörden ihre Wünsche formuliert.

Frage: Derzeit wird die Software für Quellen-TKÜ mit dem Ziel der Rechtskonformität nachgearbeitet. Welche Punkte haben Sie hier moniert?

Nur der guten Ordnung halber nochmals: Die Maßnahme kommt nach meiner Auf-fassung nur dort in Betracht, wo eine gesetzliche Grundlage besteht. Das ist derzeit nur bei den Vorschriften des Bundeskriminalamtgesetzes zur Bekämpfung des inter-nationalen Terrorismus der Fall. Meine Behörde hat sich dafür eingesetzt, dass der Quellcode der Software beim „Besteller“ (BKA) selbst zu prüfen und gegenüber entsprechenden Prüfstellen offenzulegen ist.

(Mündliche Nachfrage: Eingesetzt – was heißt das? Wie ist der Stand der Dinge?

Antwort Pressestelle: Einsicht in den Quellcode ist konsentiert. Frage ist aber, ob dies angesichts der personellen Kapazitäten machbar ist.)

Frage: Gibt es aus Ihrer Sicht eine rechtliche Grundlage für den Einsatz von Quellen-TKÜ seitens der Nachrichtendienste BND und BfV?

Nein. Hier gilt dasselbe wie bei § 100a StPO. Generell bin ich der Auffassung, dass besonders eingriffsintensive Mittel in den Gesetzen für die Nachrichtendienste genau geregelt werden müssen. Die derzeitigen generalklauselartigen Regelungen im Bundesverfassungsschutzgesetz sind aufgrund der inzwischen ergangenen Rechtsprechung des Bundesverfassungsgerichts unabhängig davon nicht mehr zeitgemäß.

Frage: Wenn der BND um Mittel für den Erwerb von Informationen zu nicht-öffentlichen Schwachstellen in Software bittet, dient dies vermutlich dem Zweck, in gesicherte Systeme einzudringen. Gibt es hierfür aus Ihrer Sicht eine Rechtsgrundlage?

Wenn die Vermutung zuträfe, dann nein! Das hat das Bundesverfassungsgericht in seiner Entscheidung zur sog. Online-Durchsuchung ja auch recht deutlich gesagt.

Surveillance Studies Preis für „Datenschutz im Auto“-Geschichte

Schon seit etwa einem Jahrzehnt verwandeln sich Autos in rollende Computer. Mit neuen Zusatzdiensten lockt jetzt das „Connected Car“. Im „Internet der Dinge“ wird das Auto zum rollenden Smartphone, das seinerseits als perfektes Überwachungsinstrument gelten darf. Datenschutzfragen werden von der Industrie aber nicht unbedingt mit dem Ehrgeiz von „Best Practice“ verfolgt. Dabei sehen wir jetzt erst den Aufschlag – was der „Aftermarket“ noch mit den Daten machen wird, das lässt sich erst erahnen.

Im letzten Jahr habe ich daher mehrere Wochen damit verbracht herauszufinden, was eigentlich mit den vielen verschiedenen Daten geschieht, die im Premium-Auto heute generiert werden. Die Ergebnisse sind noch immer aktuell, weil die Datenschutz-Aufsichtsbehörden eben erst dabei sind herauszufinden, was die Hersteller im Detail machen.

Die Jury des Surveillance Studies Preises 2015 entschied sich jetzt für einen Extra-Preis für meinen in der c’t  (19/2014) erschienen 4-Seiter „Schädliche Daten-Emissionen: Wem Ihr Auto was über Sie verrät“ und schrieb: „Die Jury würdigt damit unter anderem ihre kontinuierliche Arbeit insbesondere zu Kontrolle und Technologie auf einem beständig hohen Niveau.“ 

Jury-Mitglied Nils Zurawski zur Begründung:
„Der Preis war eigentlich gar nicht vorgesehen, aber Sie standen auf der Shortlist und in der Diskussion haben wir uns dafür entschieden auch Ihnen einen Preis zu geben – da die Entscheidung sehr knapp war.
Die Gründe in Kürze: Der Artikel selbst war top recherchiert und das beste, was ich nicht-wissenschaftlich zu dem Thema gelesen habe. Harte Fakten, gut verpackt, hohes Niveau.
Wir wollen mit dem Preis Sie und vor allem Ihre Arbeit zu Technologie, aber eben auch immer wieder Kontrolle und Überwachung würdigen, die Sie seit Jahren machen. Deshalb eine besondere Würdigung für Sie.“

Der betreuende Redakteur Axel Kossel erzählte übrigens im c’t uplink Video, worum es geht – und erzeugte damit bei seinen Kollegen einiges Gruseln.

Leaking als Mittel der Manipulation

Willi Winkler schreibt in der SZ auf einem Seite-2-Beitrag über Leaking als Mittel, die öffentliche Meinung wirksam zu verändern. Dafür führt er zahlreiche Beispiele  für „Kompromate“ aus mutmaßlichen Geheimdienst-Quellen auf, die in jüngster Zeit über Youtube einen spürbaren Einfluss auf die politische Öffentlichkeit nehmen konnten.

Dabei scheinen die Leaker auf Quellen zugreifen zu können, die auf staatliche Überwachungstechnik Zugang haben.  In der Tat eine interessante Fusion von „Social Media“ und „Government Surveillance“. Wobei Winkler in diesen Fällen gar nicht so genau wissen will, woher die Kompromate kommen und wie sie zu Stande gekommen sind. Auch die Authentizität wird nicht angezweifelt, so schreibt er: „Manchmal – siehe Recep Erdoğan und erst recht Julia Timoschenko – trifft es auch die Richtigen.“

Snowden-Berichterstatter über den Status Quo

Eine 44-minütige Diskussion vom 21. März 2014 über die gegenwärtige Lage der Snowden-Berichterstatter Barton Gellman von der Washington Post, Glenn Greenwald von The Intercept und Laura Poitras. Moderiert wurde sie von Roger Cohen von der New York Times im Rahmen der Konferenz „Sources+Secrets: A Conference on the Press, The Government & National Security“. Durchgeführt wurde sie mittels Skype.

Thematisiert wird die Frage, was Greenwald und Poitras erwartet, sollten sie in die USA zurückkehren – und wie stark die Regierung zur Pressefreiheit steht. Es geht um journalistisches Selbstverständnis, Leaking und andere nahe liegenden Fragen.

via Cuny