Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Datenübermittlung und Zusammenarbeit der Sicherheitsbehörden

Vor allem bei der Bekämpfung des Terrorismus erscheint eine enge Zusammenarbeit von Polizei- und Strafverfolgungsbehörden auf der einen und Nachrichtendiensten auf der anderen Seite erforderlich. Diese können Informationen, beispielsweise bei der ATD sowie der RED, abrufen und kooperieren in Gemeinsamen Zentren, wie dem GTAZ.

ein digitales Schloss ist in einem Kreis abgebildet und rechts daneben ist eine Aktenmappe mit Tresorrad
Quelle: ©deepagopi2011 - stock.adobe.com

Grundsätzlich verhält es sich so, dass Informationen der Nachrichtendienste zu extremistischen Personen, die im Begriff sind, Straftaten gegen die Allgemeinheit zu planen, an Polizei und Staatsanwaltschaft übermittelt werden. Nur diese haben die notwendigen Befugnisse, um Durchsuchungen oder Festnahmen durchzuführen. Auf der anderen Seite sind z. B. Informationen der Bundespolizei, dass eine bestimmte Person nach Deutschland eingereist ist, wichtig für die Nachrichtendienste, wenn diese Person beobachtet wird. So können sich die Nachrichtendienste ein umfassendes Bild vom Aktionsradius einer Person und von ihren Beziehungen machen.

Erfordernis einer gesetzlichen Grundlage für Datenübermittlungen

Grundlage für solche Übermittlungen personenbezogener Daten muss immer eine gesetzliche Vorschrift sein, die auf der einen Seite die informationsbesitzende Behörde ermächtigt, diese mit anderen zu teilen. Und auf der anderen Seite eine Vorschrift, die die empfangende Behörde ermächtigt, die Informationen auch anzunehmen. Denn eine Übermittlung von personenbezogenen Daten stellt immer einen Eingriff in das informationelle Selbstbestimmungsrecht dar. In den verschiedenen Gesetzen wie dem Bundeskriminalamtgesetz (BKAG), dem Bundespolizeigesetz (BPolG), dem Zollfahndungsdienstgesetz (ZFdG), dem Bundesverfassungsschutzgesetz (BVerfSchG), dem Gesetz über den militärischen Abschirmdienst (MADG) oder dem Gesetz über den Bundesnachrichtendienst (BNDG) finden sich je nach Konstellation verschiedene Übermittlungsbefugnisse. Daneben gibt es auch noch Übermittlungen zwischen den Sicherheitsbehörden, die besonders gesetzlich geregelt sind. Mit dem Antiterrordateigesetz (ATDG) und dem Rechtsextremismusdateigesetz (REDG) sind Dateien geschaffen worden, in denen eine gesetzlich geregelte Zusammenarbeit und der Austausch von Informationen vorhanden ist.

Antiterrordatei (ATD) und Rechtsextremismusdatei (RED)

Als Verbunddateien sind die ATD wie die RED im Online-Verbund nutzbare Datenbestände, in denen Erkenntnisse von Polizei und Nachrichtendiensten zur Terrorismusbekämpfung bzw. zur Bekämpfung des gewaltbereiten Rechtsextremismus zusammengeführt werden. Gespeichert werden bestimmte, bei den Polizeibehörden und Nachrichtendiensten vorhandene Informationen zu Ziel- und Randpersonen (mutmaßlichen Unterstützern, Kontaktpersonen etc.) aus dem Bereich des internationalen Terrorismus und des ihn unterstützenden Extremismus mit Bezug zum Inland (ATD) bzw. des Rechtsextremismus (RED).

Beide Dateien wurden als sog. Kontaktanbahnungsinstrumente geschaffen. Alle beteiligten Behörden sollen sich durch Suchanfragen schnell einen Überblick darüber verschaffen können, ob eine für ihren Aufgabenbereich relevante Person auch bei anderen Sicherheitsbehörden gespeichert ist. Im Trefferfall werden aber nur sog. Grunddaten wie Name, Adresse, Geburtsdatum etc. angezeigt, auch wenn darüber hinaus noch mehr Informationen vorhanden sind. Die anfragende Behörde muss sich dann auf herkömmlichem Weg mit der einspeichernden Behörde in Verbindung setzen, um mehr zu erfahren.

Meine Kontrollen bei allen einspeichernden Behörden in den vergangenen Jahren haben gezeigt, dass sowohl ATD wie auch RED ihr Ziel eines verbesserten Austausches nicht erreicht haben. Die Dateien werden von den Behörden als zu aufwändig in der Handhabung bewertet. Die gesetzliche Verpflichtung zur Speicherung in den Dateien wird zwar erfüllt, aber Suchanfragen werden insgesamt selten eingesetzt.

Datenaustausch in sog. Gemeinsamen Zentren

Stattdessen erfolgt der Datenaustausch aufgrund der allgemeinen Übermittlungsbefugnisse in den oben erwähnten Fachgesetzen, vor allem in den seit 2004 gegründeten verschiedenen sog. Gemeinsamen Zentren. Den Anfang machte das 2004 errichtete Gemeinsame Terrorismusabwehrzentrum (GTAZ), gefolgt vom 2006 eingerichteten Gemeinsamen Analyse- und Strategiezentrum Illegale Migration (GASIM), dem 2007 gegründeten Gemeinsamen Internet-Zentrum (GIZ), dem Nationalen Cyber-Abwehrzentrum (NCAZ) aus dem Jahr 2011 und dem im Jahr 2012 errichteten Gemeinsamen Extremismus- und Terrorismusabwehrzentrum (GETZ). In diesen Zentren sitzen je nach Aufgabenstellung, teilweise permanent, teilweise anlassbezogen, verschiedenste Behörden des Bundes und der Länder zusammen. Darüber hinaus sind neben Polizei- und Strafverfolgungsbehörden sowie Nachrichtendiensten teilweise auch Behörden wie das Bundesamt für Migration und Flüchtlinge (BAMF), das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAfA) beteiligt.

Beispiel: Das Gemeinsame Terrorismusabwehrzentrum (GTAZ)

Die nachfolgenden Aussagen gelten gleichermaßen auch für die übrigen genannten Gemeinsamen Zentren. Anstelle der Kooperation über die ATD hat sich für die Sicherheitsbehörden vor allem das GTAZ bewährt. In unterschiedlichen Arbeitsgruppen erfolgt eine intensive und kontinuierliche Zusammenarbeit zum Zweck der allgemeinen Lagebeurteilung, der Gefährdungsbewertung, des operativen Informationsaustauschs, der Fallauswertung, der Erstellung von Strukturanalysen sowie zu statusrechtlichen Begleitmaßnahmen und Deradikalisierung.

Das GTAZ stellt für die Sicherheitsbehörden eine behördenübergreifende Schnittstelle dar. Dort können geeignete operative Maßnahmen geplant und miteinander abgestimmt werden. Der Informationsaustausch des GTAZ wird nicht durchgehend protokolliert oder dokumentiert, vielmehr erfolgt ein mündlicher Austausch zwischen den teilnehmenden Behörden. Diese Tatsache erschwert einerseits behördenübergreifende Kontrollen des GTAZ und erhöht andererseits die Gefahr der Verletzung von Datenschutzschutzvorschriften, weil die Informationsweitergabe durch die informelle Kommunikation für Kontrollorgane intransparent erfolgt.

Kontrolle des GTAZ

Das GTAZ verfügt über keine gesamtübergreifende Fach- und Rechtsaufsicht, diese ist fragmentiert und folgt der jeweiligen Aufsicht der einzelnen Behörden. Jede Teilnehmerbehörde des GTAZ wird daher nach dem Prinzip der Verwaltungshierarchie von ihrer eigenen übergeordneten Behörde überwacht. Zwar wird die Kontrolle des Informationsaustausches durch unabhängige Datenschutzaufsichtsbehörden des Bundes und der Länder gewährleistet. Allerdings steht diese datenschutzrechtliche Aufsicht vor dem strukturellen Problem, dass bei der Vielzahl an teilnehmenden Behörden eine lückenlose Kontrolle über das Spezifische der Zusammenarbeit nur schwer möglich ist. Die Fragmentierung der Aufsicht führt bei der Zusammenarbeit solcher Zentren, bei der die Kontrolle immer nur parallel zu dem Handeln der jeweiligen Behörden ausgerichtet ist und dort aufhört, wo sich unterschiedliche Zuständigkeiten (Bund zu Land bzw. zwischen Land zu Land) ergeben, zu besonderen Schwierigkeiten. So konnte der BfDI in seiner GTAZ Kontrolle 2022/2023 ausschließlich die dort vertretenen Bundesbehörden und somit nur acht der 40 vertretenen Behörden kontrollieren.

Schaffung einer Rechtsgrundlage

Für das GTAZ existiert derzeit keine eigenständige Rechtsgrundlage. Die bisherigen Bundesregierungen hatten die Auffassung vertreten, dass eine zusätzliche gesetzliche Ermächtigung nicht notwendig ist und die geltenden Übermittlungsvorschriften für die Datenübermittlung im GTAZ ausreichen. Die aktuelle Bundesregierung hat im Koalitionsvertrag die Schaffung einer Rechtsgrundlage angekündigt.

Die Einführung einer gesetzlichen Grundlage für die Zusammenarbeit von Sicherheitsbehörden wird nicht nur zu mehr Transparenz führen, sondern auch für mehr Rechtssicherheit sorgen. Der BfDI hat bereits in seinem 20. Tätigkeitsbericht im Jahr 2003/2004 darauf hingewiesen, dass derartige Kooperationen von Sicherheitsbehörden datenschutzrechtlich nur dann vertretbar sind, wenn zusätzliche Vorkehrungen getroffen werden, die einen Missbrauch der Daten ausschließen. Hierzu zählt die unbedingte Einhaltung des Prinzips der informationellen Gewaltenteilung und die strikte Zweckbindung der Daten, so dass die Herkunft der Daten im gesamten Verarbeitungsprozess durch eine Kennzeichnung ersichtlich ist. Zudem muss erkennbar sein, welche Behörde die Daten weitergegeben hat.

Grundrecht auf informationelle Selbstbestimmung

Angesichts der datenschutzrechtlich relevanten Tätigkeiten von Sicherheitsbehörden sind zur Verhinderung von Verletzungen des Grundrechts auf informationelle Selbstbestimmung gesteigerte Anforderungen an die beteiligten Behörden bei behördenübergreifenden Schnittstellen wie dem GTAZ zu stellen. Denn das verdeckte Vorgehen von Sicherheitsbehörden bringt eine hohe Intensität an Grundrechtseingriffen und damit einhergehend eine besondere Missbrauchsgefahr mit sich. Durch die Bildung von Gemeinsamen Zentren werden spezielle Organisationsstrukturen geschaffen, die die Arbeitsweise staatlicher Behörden für den Bürger undurchsichtiger und komplexer machen.

Transparenz

Das GTAZ muss als staatliche Organisation dem Transparenzgebot genügen, da ansonsten die Gefahr besteht, dass eine Einzelzuordnung zu den jeweiligen Akteuren des staatlichen Handelns erschwert wird. Dies stünde mit grundlegenden Prinzipien des Grundgesetztes, wie dem Rechtsstaats- und Demokratieprinzip, im Konflikt, da diese eine klare Verantwortlichkeit fordern, damit der Bürger das staatliche Handeln nachvollziehen und sich nötigenfalls gegen das Handeln gerichtlich wehren kann.

Effektiver Rechtschutz Art. 19 Abs. 4 GG

Jede hoheitliche Tätigkeit muss der Kontrolle im Wege des Rechtschutzes durch die Gerichte zugänglich sein. Aufgrund der immer komplexer werdenden Kooperationsverflechtungen beim GTAZ besteht die Gefahr, dass eine Einzelzuordnung zu den jeweiligen Akteuren nicht möglich ist, weswegen eine klare Nachvollziehbarkeit und Verantwortlichkeit für die Wahrnehmung effektiven Rechtschutzes sich nicht ohne weiteres ergibt.

Weitere Informationen finden Sie auf der Webseite des Bundeskriminalamtes: