Wie die Bundesregierung IT-Überwachung im Eiltempo ausdehnt

Kurz vor Ende der ­Legislaturperiode peitscht die Koalition kritische Sicherheitsgesetze durchs Parlament. Es drohen tiefe Einschnitte in die Grundrechte.

Lesezeit: 8 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 5 Beiträge

(Bild: Kay Nietfeld/dpa)

Von
  • Stefan Krempl

So voll war der Plan fürs Bundeskabinett noch nie in dieser Legislaturperiode. Auf sechs Seiten listete die Bundesregierung Ende November Gesetzesvorhaben auf, die sie in ihrer Kabinettssitzung am 16. Dezember beschließen und damit ins parlamentarische Verfahren bringen wollte. Darunter sechs netzpolitisch brisante Initiativen, die von der Reform der Befugnisse für den Bundesnachrichtendienst (BND) über das IT-Sicherheitsgesetz 2.0 und die Änderung des Telekommunikationsgesetzes (TKG) bis zur Urheberrechtsnovelle reichten.

Die auf der Agenda stehenden Gesetzentwürfe sind teils nicht nur lang, sondern auch darauf angelegt, die Rechtsordnung massiv zu ändern. Einige der Vorhaben sind in der Tiefe der Grundrechtseingriffe vergleichbar mit den Beschlüssen zur Vorratsdatenspeicherung, zum Einsatz von Staatstrojanern zur Strafverfolgung und zur Fluggastdatensammlung. All diese Projekte der vorherigen Legislaturperiode prüft derzeit das Bundesverfassungsgericht (BVerfG) auf Beschwerden hin.

Mehr von c't Magazin Mehr von c't Magazin

Dass die neuen Vorhaben nun stakkatoartig durch die Gremien getrieben werden, sehen Kritiker als Stresstest für die Demokratie. Am Jahresende ist oft gesetzgeberische Hektik angesagt. Zudem dräuen die Bundestagswahlen im September 2021, weshalb bis zur Sommerpause die letzten Entwürfe der GroKo durchs Parlament und den Bundesrat müssen. Teils gilt es auch, von außen auferlegte Fristen – etwa der EU – einzuhalten.

Andererseits hatte es Schwarz-Rot drei Jahre lang nicht sehr eilig, Vereinbarungen aus dem Koalitionsvertrag nachzukommen. Nun will man offensichtlich in einer Zeit, in der sich die öffentliche Aufmerksamkeit auf die Coronapandemie fokussiert, das besonders umstrittene Pensum rasch erledigen. Vertreter von Branchenverbänden und der Zivilgesellschaft müssen sich durch Papierberge wühlen, in denen der Teufel im Detail steckt. Unabhängig vom Verdacht, dass sich dahinter Strategie verbirgt, wirft dies die Frage auf, ob die in der EU gern hochgehaltene Rechtsstaatlichkeit gewahrt bleibt.

Die Initiativen haben es in sich. So erklärte das BVerfG die anlasslose Massenüberwachung des BND durch die "strategische Fernmeldeaufklärung" in der von Schwarz-Rot verabschiedeten Form im Mai für unvereinbar mit dem Grundgesetz. Die Karlsruher Richter gaben detaillierte Hinweise, wie die Reform aussehen könnte. Dafür räumten sie dem Gesetzgeber bis Ende 2021 Zeit ein. Hätte die GroKo verfassungskonform gehandelt, wäre die Zusatzarbeit erspart geblieben.

Das Kanzleramt verfolgt mit seinem Reparaturentwurf aber nach wie vor das Ziel, die BND-Überwachungspraxis zu legalisieren und neue Befugnisse draufzupacken. Weltweit soll der Auslandsnachrichtendienst Online-Durchsuchungen durchführen sowie Telekommunikationsnetze und Internetknoten hacken dürfen. 30 Prozent des globalen Datenverkehrs könnte er theoretisch mit seinem Datenstaubsauger einfangen und mit Selektoren wie Namen, Telefonnummern, E-Mail-Adressen sowie speziellen Suchbegriffen durchstöbern.

Der zuletzt bekannt gewordene Entwurf sah auch vor, dass der BND seinen Datenstaubsauger mithilfe befreundeter Geheimdienste wie der NSA oder dem britischen GCHQ effizienter auf Touren bringen können soll. Beobachter gehen davon aus, dass die hiesigen Spione so die Bedienung des umstrittenen NSA-Werkzeugs XKeyscore outsourcen und das riesige Datenzentrum des US-Geheimdienstes in Utah mitnutzen dürften.

Nachdem das Bundesverfassungsgericht die anlasslose Massenüberwachung der Telekomunikation durch den BND für grundgesetzwidrig erklärt hatte, plant die Regierung nun, die bisherige Praxis nachträglich zu legalisieren und auszuweiten.

(Bild: Uwe Ansprach/dpa)

Die Reform des IT-Sicherheitsgesetzes soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer mächtige Cyber-Behörde mit Hackerbefugnissen machen. Dank 799 neuer Stellen wird das Amt dem Entwurf zufolge ein Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge oder Verbreiter von Schadsoftware. Es soll Protokolldaten einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen zwölf Monate lang speichern und auswerten können. Es geht schlicht um Metadaten, die bei der Online-Kommunikation zwischen Bürgern, Parlamentariern und Verwaltungseinrichtungen anfallen.

Dazu kommen interne "Protokollierungsdaten" aus den Behörden. Damit soll das BSI Trojaner wie Emotet sowie komplexe, oft von Geheimdiensten ausgehende Angriffe besser erkennen können. Auch eine "Huawei-Klausel" ist vorgesehen, die die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau erhöht, da die Regierung ihn einhellig beschließen müsste. Wegen dieser Passage verzögerte sich das Vorhaben monatelang.

In der AG Kritis tauschen sich Experten aus, die sich täglich mit kritischen Infrastrukturen beschäftigen. Die Gruppe monierte Anfang Dezember, dass bei dem Hauruck-Verfahren zuletzt nur 24 Stunden Zeit für eine Stellungnahme blieben: "Eine so kurze Frist ist der ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft!" Der Entwurf aus dem Bundesinnenministerium (BMI) enthalte "erhebliche Mängel". Die Politik müsse "die Notbremse ziehen".

Anfang November hatten sich Branchenverbände über die plötzliche Eile beklagt, die die Ministerien für Wirtschaft und Verkehr bei ihrem gemeinsamen Entwurf zur TKG-Novelle an den Tag legten. Gerade mal zwei Wochen blieben für die Kommentierung der 433 Seiten.

Mit dem ebenfalls auf der Kabinettsliste verzeichneten Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) will das Wirtschaftsministerium mit Jahren Verspätung die Vorgaben zu Cookies aus der 2009 überarbeiteten E-Privacy-Richtlinie umsetzen. Dies wurde nötig, weil das EU-Projekt Privacy-Verordnung, das eigentlich zusammen mit der Datenschutz-Grundverordnung kommen sollte, auf Eis liegt.

Aus dem Bundesjustizministerium stammt der Vorschlag für eine einheitliche Rechtsgrundlage, mit der die Polizei heimlich Kennzeichen-Scanner einsetzen können soll. Eine schriftliche Anordnung der Staatsanwaltschaft sei ausreichend, meint das Ministerium. Die brandenburgische Datenschutzbeauftragte Dagmar Hartge hatte diese Fahndungsmethode zuvor beanstandet.

Unter Hochdruck sollte parallel das "Reparaturgesetz" für die Regeln zur Bestandsdatenauskunft noch vor Weihnachten durch den Bundestag. Mitte Juli urteilte das BVerfG, dass der staatliche Zugriff auf Informationen wie Name, Anschrift und E-Mail-Adressen von Nutzern begrenzt werden muss. Wegen dieser Klatsche kommt der Gesetzentwurf zur "Bekämpfung von Rechtsextremismus und Hasskriminalität" nicht voran, da auch er die beanstandeten Klauseln enthält.

Das BMI versucht mit seinem Entwurf aber nicht nur die Abfragebestimmungen klarzustellen. Ihm zufolge sollen neben dem Bundeskriminalamt auch die Bundespolizei und der Zoll bei Telemediendiensten wie WhatsApp, eBay, Facebook oder Google mit Gmail und YouTube sensible Daten wie Passwörter und IP-Adressen abrufen können. Zeit zur Stellungnahme: eine Woche. Nicht nur Anwaltsverbände sprachen von einer "rechtsstaatlich bedenklichen" Frist und verweigerten teilweise die Teilnahme an der Pseudokonsultation.

"Wir bewerten die Flut an Gesetzesentwürfen, die durch die Bank erhebliche Einschränkungen von Grundrechten mit sich bringen, sowie die geradezu skurril kurzen Fristen zur Stellungnahme sehr kritisch", sagt Ulf Buermeyer, Vorsitzender der Gesellschaft für Freiheitsrechte (GFF). "Innerhalb von wenigen Tagen ist eine fundierte Analyse eines komplexen Regelwerks schlicht nicht zu leisten." Es entstehe der fatale Eindruck, "dass die Bundesregierung etwas zu verbergen hat und durch künstlichen Zeitdruck eine ehrliche Diskussion gezielt verhindern will".

Die GFF fordert eine Selbstverpflichtung der Exekutive, jedes Vorhaben mit Grundrechtsrelevanz ernsthaft zur Diskussion zu stellen. Dafür seien eine Frist zur Stellungnahme von mindestens einem Monat sowie ein transparenter und nachvollziehbarer Gesetzentwurf unerlässlich, dem eine Tabelle der aktuell geltenden und der geplanten Regeln als Synopse beigefügt ist.

"Stellungnahmen von Experten haben oft nur noch eine Alibi-Funktion", warnt Elke Steven vom Verein Digitale Gesellschaft. Angesichts der Schnelligkeit und Fülle von Gesetzesänderungen lasse sich ein gesellschaftlicher Dialog darüber nicht mehr initiieren: "So beginnt Entdemokratisierung."

Durch das oft überhastete Vorgehen der GroKo "leiden geordnete parlamentarische Verfahren, Gründlichkeit und die Qualität", moniert der Grünen-Fraktionsvize Konstantin von Notz. "Auch die Fachausschüsse des Bundestags kommen kaum mit den Anhörungen hinterher." Unter den Vorhaben befänden sich solche, "von denen CDU/CSU und SPD wissen, dass es in anderen politischen Konstellationen absehbar keine Mehrheiten" für sie gäbe. Deutliche verfassungsrechtliche Bedenken stelle Schwarz-Rot dafür bewusst hintenan. Dieses Vorgehen sei "rechtsstaatlich fragwürdig, gefährdet Grundrechte und erhöht auch die öffentliche Sicherheit ganz bestimmt nicht". Letztlich sei niemandem geholfen, wenn schlecht gemachte Gesetze ein ums andere Mal in Karlsruhe scheiterten.

Mehr Infos

c’t 1/2021

Dieser Artikel stammt aus c’t 1/2021. Darin beraten wir Sie bei der Auswahl und Einrichtung von Netzwerkspeichern für zu Hause und testen passende NAS-Leergehäuse. In einem weiteren Schwerpunkt beleuchten wir die Sicherheit von Krankenkassen-Apps und Kartenterminals und zeigen, wie Sie Android-Apps für E-Health selbst analysieren können. Ebenfalls brisant: Ein Serverfehler ermöglichte Identitätsklau bei Hostern und die Schufa will Privatkonten durchleuchten. Wir haben Tastaturen für Vielschreiber getestet, Telefonanlagen fürs Homeoffice und vieles mehr. c't 1/2021 ist ab sofort im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich.

(hag)