Missing Link: Telekommunikationsüberwachung, das polizeiliche Kompetenzzentrum und der Datenschutz

In Sachsen entsteht ein Kompetenzzentrum zur Telekommunikationsüberwachung mehrerer Bundesländer. Ein Blick auf die Entstehung, Aufgaben und den Datenschutz.

Lesezeit: 15 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 60 Beiträge

(Bild: Quardia/Shutterstock.com)

Von
Inhaltsverzeichnis

In Sachsen entsteht das Gemeinsame Kompetenz- und Dienstleistungszentrum (GKDZ) zur polizeilichen Telekommunikationsüberwachung (TKÜ). Es ist eine Anstalt des öffentlichen Rechts (AöR). Beteiligt sind außer Sachsen auch Sachsen-Anhalt, Thüringen, Brandenburg und Berlin. Von Anfang an stand das GKDZ in der Kritik. Umstrittene Themen waren bzw. sind Wirtschaftlichkeit, Informationspolitik, Datenschutz und rechtsstaatliche Kontrolle und ein möglicher Kausalzusammenhang mit der Änderung des sächsischen Polizeigesetzes. Dagegen betonen Ulf Lehmann, Vorstandsvorsitzender des GKDZ, und Markus Pannwitz, Referatsleiter Recht und Verwaltung, dass die Landesdatenschutzbehörden von Anfang an bei der Entstehung der Rechtsgrundlagen des GKDZ eingebunden waren und dass ihre Stellungnahmen Eingang in den Staatsvertrag gefunden haben. Aber gerade die Sachsen haben sich nicht mit Datenschutz hervorgetan: Wie soll so ein Zentrum ausgerechnet hier funktionieren?

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

Sein genauer Name lautet "Gemeinsames Kompetenz- und Dienstleistungszentrum der Polizeien der Länder Berlin, Brandenburg, Sachsen, Sachsen-Anhalt und Thüringen auf dem Gebiet der polizeilichen Telekommunikationsüberwachung als rechtsfähige Anstalt des öffentlichen Rechts". Etwas salopp nennt man das GKDZ "Überwachungszentrum Ost". Hier sollen für die fünf Trägerländer in einem eigenen Rechenzentrum die stationäre polizeiliche Telekommunikationsüberwachung durchgeführt sowie Verwaltungs-, Beratungs- und Fortbildungsaufgaben übernommen werden.

Bislang laufen die Geschäftsprozesse um eine TKÜ, zum Beispiel in Sachsen, folgendermaßen ab: Ein Ermittler – Mitarbeiter einer Strafverfolgungsbehörde (Polizei oder Staatsanwaltschaft) – stellt einen Antrag zur TKÜ. Staatsanwaltschaft und Gericht prüfen die Rechtsmäßigkeit. Dies ist auf zwei Grundlagen möglich: nach der bundesweit geltenden Strafprozessordnung gemäß dem Straftatenkatalog §§ 100a ff. StPO, was die Kernaufgabe ist, oder nach dem Polizeigesetz von Sachsen. Dies wurde in Sachsen erst Anfang des Jahres geändert, seitdem gibt es im Freistaat Sachsen ein Polizeivollzugsdienstgesetz für die Landespolizei (SächsPVDG) und ein Polizeibehördengesetz (SächsPBG) für die Kommunen und Landkreise.

Das SächsPVDG enthält in seinen 107 Paragraphen die Umsetzung des EU-Datenschutzrechtes und ein, wie das Sächsische Staatsministerium des Innern schreibt, "modernisiertes Eingriffsinstrumentarium". Seitdem geht es bei einer TKÜ nicht mehr nur um Strafverfolgung, sondern auch um Gefahrenabwehr, also Prävention. Die Polizei darf im Einzelfall und unter richterlichem Vorbehalt Verkehrs- und Nutzungsdaten eines Betroffenen beim Telekommunikationsanbieter und bei Online-Plattformen erfragen und die Inhalte von Gesprächen abhören.

Wenn der Richter die TKÜ-Maßnahmen anordnet, fordert das LKA beim Telekommunikationsprovider die Bereitstellung der TKÜ-Daten an. Der Provider übermittelt die Daten per Ausleitung ans LKA. Dieses stellt die Daten im Rechenzentrum für die Auswertung durch den Ermittler bereit. Bislang gibt es im Sächsischen LKA, ebenso wie in den anderen LKÄ, ein Rechenzentrum mit einem eigenen IT-System zur Verarbeitung entgegengenommener Telekommunikationsdaten.

Weiterhin gilt: Ein Ermittler aus einem der fünf Trägerländer beantragt eine TKÜ, Staatsanwaltschaft und Gericht im jeweiligen Land prüfen die Rechtmäßigkeit auf der Grundlage der StPO oder dem Polizeigesetz des jeweiligen Bundeslandes, ein Richter ordnet die TKÜ Maßnahme an. Diese Geschäftsprozesse verbleiben im jeweiligen Bundesland, ebenso wie die Polizeiliche Fallbearbeitung zur Gefahrenabwehr und Strafverfolgung.

"Das GKDZ nimmt keine originär hoheitlichen Aufgaben wahr. Die polizeifachlichen Entscheidungen zur TKÜ verbleiben in den Trägerländern. Bestehende Befugnisse bezüglich der in den einschlägigen Rechtsvorschriften verankerten TKÜ werden nicht erweitert", betonen Lehmann und Pannwitz: "Das GKDZ hat keine eigenen polizeilichen Befugnisse. Entscheidungen zu TKÜ-Ermittlungsmaßnahmen werden vom jeweiligen Land getroffen. Das GKDZ stellt als Rechenzentrum im Kern lediglich die Infrastruktur bereit, mit welcher die Länder die Strafverfolgung und Gefahrenabwehr unter Nutzung der polizeilichen TKÜ technisch realisieren. Das wurde vielfach falsch interpretiert."

Und dies ist neu. Mit dem GKDZ (AöR) entsteht ein zentrales Rechenzentrum für die fünf Trägerländer, ein eigenes IT-System zur Verarbeitung entgegengenommener Telekommunikationsdaten mit Verwaltung-, Beratungs- und Fortbildungsaufgaben. Hier werden die technischen Anlagen und elektronischen Schnittstellen betrieben, die Maßnahmen verwaltet, die Providerbeziehungen koordiniert und Querschnittsaufgaben für die Auftragsbearbeitung erledigt wie etwa Datenschutz oder IT-Sicherheit. Das GKDZ führt auch die Beratung für die polizeiliche TKÜ durch und bereitet TKÜ-Daten auf. Außerdem entstehen in den LKÄ zentrale Ansprechstellen für das GKDZ.

Hat nun ein Richter eine TKÜ-Maßnahme angeordnet, fordert das GKDZ die Datenübermittlung beim Telekommunikationsprovider an. Der übermittelt die Daten an das GKDZ und dieses stellt sie für die Auswertung durch den Ermittler bereit. Diese TKÜ-Daten sind in den Datenspeichern des GKDZ nach Bundesländern getrennt – und zwar nicht physisch, sondern logisch getrennt, durch technische und organisatorische Maßnahmen, nämlich durch Rechte– und Rollenkonzepte. So soll sichergestellt werden, dass der Ermittler oder Entschlüsseler nicht alles sehen kann, sondern nur Zugriff auf "seine" Daten hat.