Heute wurde in Berlin eine Novelle des Polizeigesetzes verabschiedet. Sie erlaubt so ziemlich alles, was an digitaler Überwachung möglich ist: Verhaltensscanner, Gesichtersuche, Palantir-artige Datenanalysen, Staatstrojaner. Ein Kommentar.
Auf Demonstrationen (wie hier am 1. Mai) filmt die Berliner Polizei bereits fleißig mit. Künftig darf sie auch festinstallierte Kameras betreiben, die Bilder per KI auswerten und vieles mehr. – Alle Rechte vorbehalten IMAGO / Achille Abboud
Die Schulen sind marode, die Wohnungen knapp und die Brücken brechen bald zusammen. Um Berlin steht es lausig. Doch statt diese täglich spürbaren Probleme anzugehen, wirft die Berliner Landesregierung ohne Not die legendäre freiheitlich orientierte Ausrichtung der Stadt auf den Müll.
Es wirkt wie hektischer Aktionismus, was die schwarz-rote Koalition sich da ins Polizeigesetz zusammenkopiert hat. Als wolle man anderen Bundesländern, die derartige Maßnahmen bereits erlaubt haben, in nichts nachstehen. Heute hat Berlin eine Sicherheitsarchitektur aufgesetzt, die in dieser Stadt lange undenkbar war. Es ist ein Tabubruch, eine Zeitenwende, was da im Abgeordnetenhaus beschlossen wurde.
Bislang durfte die Berliner Polizei den öffentlichen Raum nicht dauerhaft überwachen – und jetzt sollen in manchen Gebieten nicht nur Kameras aufgestellt, sondern diese auch gleich noch an sogenannte Künstliche Intelligenzen angeschlossen werden. Auch Videoüberwachung mit Drohnen ist für die Berliner Polizei künftig explizit erlaubt.
Verhaltensscanner und Gesichtersuchmaschine
Die geplante Kamera-KI soll automatisch erkennen, was die Überwachten gerade tun. Diese Verhaltensscanner werden aktuell in Mannheim und in Hamburg getestet und sind noch weit von einem sinnvollen Praxiseinsatz entfernt. Die Begehrlichkeiten von sicherheitsfanatischen Politiker*innen haben sie anscheinend bereits geweckt.
Die ersten dieser Kameras werden wohl im und um den Görlitzer Park errichtet. Dieses beliebte Erholungsgebiet, in dem traditionell auch Rauschmittel gehandelt werden, hat von Berlins Ober-Sheriff Kai Wegner, CDU, bereits einen Zaun spendiert bekommen, es ist künftig nur noch tagsüber geöffnet. Sollte die Kamera-KI dann dort jemanden erkennen, der jemand anderem etwas zusteckt, folgt vermutlich der Zugriff durch die Polizei. Auch wenn es sich bei dem klandestin übergebenen Objekt um beispielsweise Verhütungs- oder Hygieneartikel handeln sollte. Das Gefühl von Freiheit, das auch von diesem Park aus einst den Ruhm Berlins begründete, vertrocknet unter dem starren Blick der „intelligenten“ Kameras.
Entdeckt die Berliner Polizei auf den Videobildern einen Menschen, den sie gerne näher begutachten möchte, kann sie künftig zudem das Internet nach Bildern durchsuchen, die dem Menschen ähnlich sind, um ihn zu identifizieren oder mehr über ihn zu erfahren. Dafür muss die Person nicht einmal einer Straftat oder deren Vorbereitung verdächtig sein, es reicht, Kontakt mit jemandem zu haben, der verdächtig ist.
Big-Data-Analyse und Staatstrojaner
Die Informationen, wer mit wem hantierte und welches Insta-Profil zu welchem Gesicht gehört, darf in einer Superdatenbank mit Bewegungsprofilen, Verhaltensmustern und Sozialkontaktanalysen gespeichert werden. Mit den dort beinhalteten Bildern, Videos und anderen personenbezogenen Daten kann dann auch eine kommerzielle KI trainiert werden, wie sie beispielsweise Palantir verkauft.
Und wenn sich eine verdächtige Person besonders undurchsichtig zeigt, gibt es in Berlin künftig immer noch die Möglichkeit, per Staatstrojaner ihren Telefonspeicher und die laufende Kommunikation auszulesen. Um solche Schadsoftware zu installieren, darf die Berliner Polizei dann auch heimlich in Wohnungen einbrechen.
Halleluja. Schöne neue Welt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die sächsische Regierung möchte das Polizeigesetz deutlich verschärfen und der Polizei KI-Videoüberwachung, biometrische Internetsuche und staatliches Hacken erlauben. Kritik daran kommt aus Zivilgesellschaft und Opposition. Doch gerade letztere braucht die Regierung, um ihren autoritären Entwurf zum Gesetz zu machen.
Der sächsische Innenminister Armin Schuster (CDU) zählt seine Wünsche auf. – Alle Rechte vorbehalten IMAGO / Sylvio Dittrich
Die sächsische Polizei soll in Zukunft möglichst viele neue Befugnisse bekommen. So lautet die kürzestmögliche Zusammenfassung des Entwurfs für das neue Sächsische Polizeivollzugsdienstgesetz, kurz SächsPVDG. Was will der Entwurf konkret? Was sagen Opposition und Zivilgesellschaft? Und warum könnte es ausgerechnet auf das Bündnis Sahra Wagenknecht ankommen?
Anfang Oktober stellte der sächsische Innenminister Armin Schuster (CDU) den Entwurf des SächsPVDG vor. Im Fokus der Berichterstattung stehen seitdem vor allem Drohnen, Taser und die elektronische Fußfessel. Doch der Entwurf sieht auch die Ausweitung und Einführung von weiteren Überwachungsmaßnahmen vor, darunter der Staatstrojaner „Quellen-TKÜ“ (Quellen-Telekommunikationsüberwachung), die automatisierte Kennzeichenerfassung, „KI“-Videoüberwachung, Echtzeit-Gesichtserkennung, der biometrische Datenabgleich und eine automatisierte Datenanalyse von Polizeidaten nach Art von Palantir. Doch mehr zu den einzelnen Punkten weiter unten.
Warum die Uhr für das Gesetzes-Update läuft
Der Hauptgrund für die jetzige Gesetzesnovelle ist ein Urteil des sächsischen Verfassungsgerichtshofs. Die Landtagsabgeordneten aus den Fraktionen der Grünen und Linken hatten gegen die letzte Änderung des Polizeigesetzes erfolgreich geklagt. Der Verfassungsgerichtshof sah einige der neuen Vorschriften als unvereinbar mit der sächsischen Verfassung an, lies sie aber mit Einschränkungen bis zu einer Neuregelung weitergelten. Doch diese Frist läuft am 30. Juni 2026 ab, so steht es in dem Urteil.
Innenminister Schuster betont, aktuell würden insgesamt elf Bundesländer ihre Polizeigesetze überarbeiten. „Bei der Gestaltung der Kompetenzen und Befugnisse bewegen wir uns auf Augenhöhe“, sagte er in einer Pressemitteilung.
Während sich die mitregierende SPD im Landtag zu dem Entwurf eher bedeckt hält, feiert die CDU den Vorstoß. „Dieser Entwurf ist ein Sicherheitsgewinn für Sachsen!“, lässt sich der innenpolitische Sprecher der CDU-Fraktion, Ronny Wähner, in einer Pressemeldung zitieren.
„Chinesische Verhältnisse“ mit „endloser Polizei-Wunschliste“
Grüne und Linke, beide in Sachsen in der Opposition, kritisieren den Gesetzesentwurf mit scharfen Worten. Valentin Lippmann von den Grünen sieht einen massiven Eingriff in die Bürgerrechte. „Insbesondere die KI-gesteuerte Datenanalyse, die Möglichkeit des Abgleichs von Bildern mit öffentlich zugänglichen Quellen im Internet und die umfassende biometrische Videoüberwachung bilden ein Gift der Überwachung“, teilte Lippmann mit. Mit dem Entwurf sei Schuster „näher an der Praxis in China als auf dem Boden unserer Verfassung“.
Rico Gebhardt von der Fraktion Die Linke schreibt auf Anfrage von netzpolitk.org, dass der Gesetzesentwurf auch einige positive Dinge enthalte, etwa Umsetzungen des Gerichtsurteils sowie Maßnahmen zum Schutz vor häuslicher Gewalt. Insgesamt sieht er aber „eine endlose Polizei-Wunschliste“ und einen „rechts-autoritären Entwurf“.
„Überwachungsdruck steht in keinem angemessenen Verhältnis zum Ergebnis“
Auch außerhalb des Landtags hagelt es Kritik. Die sächsische Datenschutzbeauftragte Juliane Hundert nimmt seit Jahren eine Verschärfungsspirale in der Sicherheitsgesetzgebung wahr. „Jede neu geschaffene Maßnahme im Bereich der Gefahrenabwehr erhöht den Überwachungsdruck auf die Bürgerinnen und Bürger allgemein, auch wenn sie nicht straffällig werden, und das kann ich nicht gutheißen“, sagt sie auf eine Anfrage von netzpolitik.org zu dem Entwurf.
„Die zunehmende polizeiliche Erfassung des öffentlichen und virtuellen Raums und der damit einhergehenden Überwachungsdruck scheinen in keinem angemessenen Verhältnis zu den Ergebnissen der Maßnahmen zu stehen.“ Hundert sieht in diesem Kontext vor allem die Maßnahmen kritisch, von denen viele Bürger:innen betroffen sind, etwa die Maßnahmen zur „KI“-Videoüberwachung und zum Filmen in Autos zur Verkehrsüberwachung: „Obwohl sie keinen Anlass dafür gegeben haben und in keiner Weise eine Gefahr für die öffentliche Sicherheit oder Ordnung darstellen, werden ihre Daten polizeilich verarbeitet“, kritisiert Hundert.
Kritik von netzpolitischer Szene bis Fußballfans
Stephanie Henkel, die sich beim Dresdener CCC, aber auch der Piratenpartei sowie den Datenpunks engagiert, sieht es ähnlich wie Hundert, sagt aber: „Man kann kaum sagen, was die schlimmste Anpassung ist.“ Ein Grundproblem sei, dass der Verfassungsgerichtshof in seinem Urteil zu viel durchgewunken habe. Nun gehe das Innenministerium mit diesem Entwurf nochmal deutlich über das Urteil hinaus, so Henkel. „Der jetzige Entwurf stellt unterm Strich einen massiven Ausbau der Überwachung in Sachsen dar, gegen den wir uns als Zivilgesellschaft laut und sichtbar stellen müssen.“
Auch aus der Fußballszene kommt Gegenwind zum Gesetzesentwurf. In einem gemeinsamen Statement schreiben die Fanhilfen von Chemie Leipzig, Dynamo Dresden und dem FSV Zwickau: „Mit diesem vorgelegten Gesetzesentwurf zur Regelung der Befugnisse der sächsischen Polizei begeht der sächsische Innenminister Armin Schuster erneut einen bewussten Verfassungsbruch.“ Anstatt die verfassungsgemäße Ordnung des sächsischen Polizeirechts herzustellen, erweitere man dieses um Dutzende weitere verfassungswidrige Punkte, so ein Fanhilfe-Sprecher.
Besonders kritisch sehen die Fan-Anwält:innen die Kombination der verschiedenen Befugnisse, etwa wenn automatisierte Datenanalysen mit Software von Palantir und neue Formen der Videoüberwachungsauswertung zusammenkämen: „Im Zusammenspiel [von Palantir, Anm. d. Red.] mit der nach Gesetzesentwurf geplanten verdeckten automatisierten Kennzeichenerkennung und dem Einsatz intelligenter Videoüberwachung wäre der gläserne sächsische Bürger dann wohl perfekt.“
Doch wie weit gehen die geplanten Befugnisse wirklich?
Jetzt auch Staatstrojaner für die Prävention
In der Strafverfolgung ist der Staatstrojaner zum Anzapfen der laufenden Telekommunikation schon mehrere Jahre lang erlaubt. Das regelt die bundesweit geltende Strafprozessordnung. In Sachsen gilt seit der letzten Novelle des SächsPVDG, dass die Polizei zur Gefahrenabwehr auch die Kommunikation abhören darf. Nun aber steht das erste Mal explizit im Gesetz, dass die sächsische Polizei dafür auch „in von der betroffenen Person genutzte informationstechnische Systeme“ eingreifen darf. Sie darf also hacken. Darauf hatten sich Union und SPD im sächsischen Koalitionsvertrag geeinigt.
Zu den Voraussetzungen gehört nach dem Entwurf selbstverständlich eine richterliche Anordnung. Zudem ist die Maßnahme nur zulässig, „wenn die Abwehr der Gefahr oder die Verhütung der Straftat auf andere Weise aussichtslos oder wesentlich erschwert wäre“. Laut Entwurf geht es um die Verhinderung bestimmter schwerer Straftaten, die sich gegen den „Bestand oder die Sicherheit des Bundes oder der Länder, Leib, Leben, Gesundheit oder Freiheit einer Person oder für Sachen von besonderem Wert, deren Erhaltung im öffentlichen Interesse geboten ist“ richten.
Dass dabei auch Dritte mitüberwacht werden, ist allerdings kein Hinderungsgrund. Zuletzt hatte etwa die bayerische Polizei das Pressetelefon der Letzten Generation – und damit wenig überraschend auch die Gespräche mit Journalist:innen – abgehört. Zwei Journalisten ziehen deshalb zusammen mit der Gesellschaft für Freiheitsrechte vor das Bundesverfassungsgericht.
Kommt Palantir auch nach Sachsen?
Das neue SächsPVDG ebnet den Weg auch für Palantir oder andere Analyseplattformen. Die Polizei soll „zur Gewinnung neuer Erkenntnisse gespeicherte personenbezogene Daten anlassbezogen automatisiert zusammenführen und mit weiteren nach diesem Gesetz oder anderen Rechtsgrundlagen gespeicherten personenbezogenen Daten automatisiert verknüpfen, aufbereiten und auswerten“ können. Die Polizei darf diese Datenanalyse zur Verhinderung einer langen Liste von Straftaten einsetzen, darunter schwere Straftaten, besonders schwere Straftaten, aber auch „zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Bundes oder der Länder, Leib, Leben, Gesundheit oder Freiheit einer Person oder für Sachen von besonderem Wert, deren Erhaltung im öffentlichen Interesse geboten ist“.
Dabei soll die Polizei fast alle Daten zusammenführen können, über die sie potenziell verfügt: von Daten aus Polizeidatenbanken wie „Gewalttäter Sport“ über Falldaten bis zu Datensätzen „aus gezielten Abfragen in gesondert geführten staatlichen Registern sowie einzelne gesondert gespeicherte Datensätze aus Internetquellen“. Datenschutzbeauftragte Hundert stellt klar: „Dabei werden tausende Datensätze auch von Personen ausgewertet, die nicht Gegenstand polizeilicher Ermittlungen waren.“ Lediglich Daten aus Wohnraumüberwachung und Online-Durchsuchung sollen laut Entwurf nicht miteinbezogen werden.
Näheres soll eine Verwaltungsvorschrift regeln, die dann auch „Kennzeichnungen“ zur Einhaltung der Zweckbindung sowie ein Rechte- und Rollenkonzept beinhalten soll. Rico Gebhardt von den Linken kritisiert das. „Das Parlament wird dann nicht mehr mitreden können. Auch damit werden wirklich alle roten Linien überschritten.“
Gebhardt sieht in dem Entwurf einen „Blankoscheck“, um sich bei „rechtsstaatlich desinteressierten Tech-Oligarchen“ einzukaufen – auch wenn der Name „Palantir“ im Gesetzentwurf nicht explizit falle. Es gebe keine Vorfestlegung auf Palantir, sagte Innenminister Schuster laut Sächsischer Zeitung. Auch die sächsische SPD hatte sich noch vor ein paar Monaten gegen Palantir ausgesprochen.
Stephanie Henkel ist skeptisch, ob es nicht docch auf Palantir hinausläuft: „Ich wüsste nicht, was sie sonst nehmen.“ Henkel erinnert auch an den bereits existierenden Rahmenvertrag, den Bayern mit Palantir ausgehandelt hat. Aktuell setzen Bayern, Hessen und Nordrhein-Westfalen Palantir-Software ein, in Baden-Württemberg soll die Software ab 2026 zum Einsatz kommen.
Videoüberwachung, jetzt mit „Künstlicher Intelligenz“
Neu im Polizeigesetz ist auch der Paragraf zur „KI“-Videoüberwachung. Die Polizei will damit zum einen von einer Software automatisiert erkennen lassen, wenn sich im Bereich der Kameras eine Straftat anbahnt. Konkret soll die Software Waffen und gefährliche Gegenstände erkennen sowie Bewegungsmuster, „die auf die Begehung einer Straftat hindeuten“. Vorbild ist ein Projekt in Mannheim.
Zum anderen soll eine Software auch Personen nachverfolgen können, deren Bewegungsmuster auffällig waren, sofern ein Polizist das bestätigt. Mit richterlicher Anordnung oder bei Gefahr im Verzug darf die Polizei auch einen Abgleich der gefilmten Gesichter mit den eigenen Auskunfts- und Fahndungssystemen durchführen („Fernidentifizierung“).
Diese Gesichtserkennung ist in Sachsen bisher schon erlaubt, allerdings nur an Orten, die wichtig für die grenzüberschreitende Kriminalität sind. Der neue Entwurf ermöglicht nun die „KI“-Videoüberwachung und Fernidentifizierung an Kriminalitätsschwerpunkten sowie bestimmten Veranstaltungen unter freiem Himmel.
Gesichtserkennung mit Daten aus dem Internet
Ebenfalls künftig erlaubt sein soll der Abgleich mit biometrischen Daten aus dem Internet. Konkret nennt der Gesetzesentwurf Gesichter und Stimmen, die die Polizei zum Zwecke der Gefahrenabwehr abgleichen dürfe. Hier braucht es ebenfalls eine richterliche Anordnung. Außerdem soll die Datenschutzbeauftragte nachträglich informiert werden.
Sollte es dieser Paragraf in das finale Gesetz schaffen, wird er wahrscheinlich ein Fall für die Gerichte. Linken-Politiker Gebhardt hat nach eigener Aussage erhebliche Zweifel, „ob so eine biometrische Rasterfahndung, auf die es ja hinauslaufen würde, überhaupt legal betrieben werden kann – oder ihre Anwendung nicht eher dazu führt, das Gesetz erneut in den verfassungswidrigen Bereich zu steuern“.
Laut einem Gutachten von AlgorithmWatch ist es technisch nicht umsetzbar, frei verfügbare Bilder aus dem Internet für einen Abgleich praktikabel durchsuchbar zu machen, ohne eine Datenbank dieser Bilder zu erstellen. Dies wiederum verbietet die KI-Verordnung der EU. Auf die Anfrage von netzpolitik.org, wie dieser Teil des Entwurfs rechtssicher umgesetzt werden soll, hat das sächsische Innenministerium nicht geantwortet.
Noch mehr Abbau von Datenschutz
Insgesamt bedeutet der Entwurf fast überall einen Rückschritt beim Datenschutz. So ist der Polizei künftig eine Weiterverarbeitung von personenbezogenen Daten auch für Aus- und Fortbildungen erlaubt. Auch zum „KI“-Training dürfen personenbezogene Daten verwendet werden. Das gilt selbst dann, wenn man die Daten nicht anonymisieren oder pseudonymisieren kann.
Zu diesem Zweck darf die Polizei die Daten auch an Dritte weitergeben. Rico Gebhardt befürchtet in diesem Zusammenhang einen Tabubruch: „Das erweckt den bösen Anschein, als wäre das Innenministerium bereit, einen Anbieter mit hochsensiblen Daten der Bürgerinnen und Bürger zu ,bezahlen‘.“
Die bisher dargestellten Neuerungen sind nur eine kleine Auswahl aus dem Entwurf. Künftig soll zudem das automatisierte Scannen von Autokennzeichen auch verdeckt erfolgen können – und das pauschal in allen Orten mit einer Grenznähe von unter dreißig Kilometern sowie an Kriminalitätsschwerpunkten. Das ist etwa die Hälfte der Fläche Sachsens. Die Polizei soll außerdem künftig an bestimmten Kreuzungen auch in Autos filmen dürfen, um zu verhindern, dass Fahrer:innen dort das Handy benutzen. Und Bodycams sollen nun auch in Wohnungen filmen dürfen.
Sächsische Koalition muss erst eine Mehrheit suchen
Dass der Gesetzesentwurf in dieser Form überhaupt zum Gesetz wird, ist alles andere als klar. Denn in Sachsen regieren CDU und SPD in einer Minderheitskoalition – also ohne eigene Mehrheit im Parlament. Die Regierung muss also auf die Opposition zugehen, wie zuletzt beim Haushalt, als Grüne und Linke dem Entwurf nach langen Verhandlungen zustimmten.
Fraktionen im sächsischen Landtag.
Das läuft in Sachsen über den sogenannten Konsultationsmechanismus. Nachdem die Regierung einen Entwurf veröffentlicht, können die Fraktionen Stellungnahmen abgeben, ebenso wie Verbände, Kommunen oder Einzelpersonen. Diese Frist läuft für die Zivilgesellschaft noch bis zum 30. Oktober. Laut Rico Gebhardt, haben die Fraktionen bis zum 10. Dezember Zeit, Stellungnahmen abzugeben.
Die Staatsregierung arbeitet dann Änderungsvorschläge ein und stellt den Entwurf schließlich dem Parlament vor. Politisch bedeutet das, dass die Regierung auf Vorschläge der Opposition wird eingehen müssen, wenn sie einen mehrheitsfähigen Entwurf im Landtag einbringen will.
Wer verschafft dem Polizeigesetz die Mehrheit?
Auch wenn beide Fraktionen Stellungnahmen einreichen werden: Grüne und Linke sorgen vermutlich nicht für eine Mehrheit. Beide hatten gegen das aktuelle Gesetz geklagt und positionieren sich auch deutlich gegen die geplante Novelle. So sagt der innenpolitische Sprecher der Grünen, Valentin Lippmann: „Wir Bündnisgrüne werden in unserer Stellungnahme deutlich machen, dass wir für einen solchen freiheitsfeindlichen Gesetzentwurf nicht zur Verfügung stehen.“ Zudem müsste die sächsische Regierung aufgrund der Sitzverteilung sowohl Grüne als auch Linke ins Boot holen, um eine Mehrheit zu erreichen.
Aktivistin Henkel hält es für möglich, dass auch die AfD für die Mehrheit sorgen könnte. „Ich vertraue der CDU nicht. Für die AfD wäre der Entwurf ein Gewinn“, meint Henkel. „Alles was da drin steht, ist für die Gold wert, wenn die einmal an der Macht sind.“ Doch eine Zusammenarbeit mit der AfD würde vermutlich die SPD vor den Kopf stoßen – und den Koalitionsvertrag brechen. Dort heißt es: „Eine Zusammenarbeit oder eine Suche nach parlamentarischen Mehrheiten mit der AfD als gesichert rechtsextrem eingestufter Partei wird es durch die neue Regierung und die Koalitionsfraktionen nicht geben.“
Deshalb rückt das Bündnis Sahra Wagenknecht in den Fokus. Mit seinen 15 Abgeordneten könnte das BSW dem Gesetzesentwurf eine Mehrheit verschaffen. Doch wie sich das BSW positioniert, ist alles andere als klar.
BSW berät sich intern noch
Dem MDR teilte das BSW Anfang des Monats mit: „Die BSW-Fraktion steht für ein modernes Polizeivollzugsdienstgesetz mit dem Stand der Technik entsprechenden Befugnissen. Gleichzeitig treten wir für eine Balance von Freiheit und Sicherheit ein. Deshalb wollen wir den Gesetzesentwurf gründlich prüfen und in der Fraktion beraten.“ Diese fraktionsinterne Abstimmung dauere an, teilte der innenpolitische Sprecher der BSW-Fraktion, Bernd Rudolph, auf Anfrage von netzpolitik.org mit.
Im Programm des BSW zur sächsischen Landtagswahl hieß es zum Thema innere Sicherheit: „Einen übergriffigen Staat lehnen wir ab, weshalb immer die Verhältnismäßigkeit der Mittel und die universelle Unschuldsvermutung gelten müssen. Jedermann soll sich in der Öffentlichkeit frei entfalten können, ohne Angst vor Beobachtung und Überwachung. Mehr Polizisten auf der Straße und in Problemvierteln sind im Bedarfsfall eine größere Hilfe als mehr Videokameras.“
Inwiefern das BSW diese Position in den Verhandlungen durchsetzen kann, werden die nächsten Monate zeigen.
Wie laut wird die Straße sein?
Einige wollen das nicht passiv abwarten. Grünen-Politiker Lippmann rät den Sächs:innen, das Beteiligungsportal zu nutzen und die eigene Meinung zum Gesetz zu hinterlegen. Bis zum 30. Oktober können Bürger:innen und Verbände noch Stellungnahmen einreichen. Auch Henkel ruft dazu auf.
Trotz der vielen Verschärfungen im Gesetz hat Henkel Hoffnung – auch dank der Proteste gegen Palantir und die Chatkontrolle. „Endlich ist mal wieder ein Bewusstsein da, dass Massenüberwachung böse ist.“ Das habe sie noch vor einem Jahr anders erlebt. „Ich hoffe, dass sich jetzt mehr Leute finden, die gegen das neue SächsPVDG in Sachen protestieren werden.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die schwarz-rote Berliner Landesregierung bastelt an einem neuen Polizeigesetz, das mehr Videoüberwachung, Staatstrojaner und viele weitere Befugnisse für die Polizei bereit hält. Dafür gab es massive Kritik – sowohl auf der Straße als auch bei der parlamentarischen Anhörung.
Nach dem Willen von CDU und SPD soll die Berliner Polizei massiv mit neuen Befugnissen ausgestattet werden. – Alle Rechte vorbehalten IMAGO / A. Friedrichs
Die Berliner schwarz-rote Koalition will ein neues Polizeigesetz beschließen, das in Berlin unter dem Namen Allgemeines Sicherheits- und Ordnungsgesetz (ASOG) firmiert. Berlin folgt damit einer ganzen Reihe von Bundesländern, die ihre Polizeigesetze in den letzten Jahren verschärft haben. An der Berliner Gesetzesnovelle gibt es breite Kritik sowohl von der demokratischen Opposition im Parlament wie auch von der Berliner Datenschutzbeauftragten und Menschenrechtsorganisationen wie der GFF.
Anlässlich der Sachverständigenanhörung am Montag protestieren vor dem Roten Rathaus Lilly und Kiki. Sie verteilen Flyer mit der Aufschrift „Nein zu Massenüberwachung und der Kriminalisierung von Protesten“. Sie sind Teil eines Bündnisses zivilgesellschaftlicher Gruppen wie Amnesty International oder dem Komitee für Grundrechte und Demokratie.
„Überall werden Gelder gekürzt, aber für Videoüberwachung ist dann plötzlich Geld da. Dabei verhindert die keine Straftaten, sondern kriminalisiert marginalisierte Gruppen und spaltet den öffentlichen Raum“, sagt Lilly. Dass die Unverletzlichkeit der Wohnung durch die Gesetzesnovelle eingeschränkt wird, sehen die beiden ebenso kritisch.
„Abkehr von der grundrechtsfreundlichen Politik“
Auch in der Sachverständigen-Anhörung hagelt es Kritik für den Entwurf. So sieht die Berliner Datenschutzbeauftragte Meike Kamp eine Vielzahl neuer Datenverarbeitungsermächtigungen und eine erhebliche Ausweitung der Befugnisse der Polizei. Aufgrund der Detailtiefe – die Gesetzesnovelle ist 700 Seiten stark – habe ihre Behörde nicht einmal alle Vorschriften analysieren können.
Das Volumen der geplanten Änderungen kritisiert auch Innenpolitiker Niklas Schrader von der Linken. Denn so umfangreich wie der Gesetzentwurf sei auch der Überarbeitungsbedarf: „Ich bin mir nicht sicher, ob das in dem kurzen Zeitplan, den Sie uns gegeben haben, schaffbar ist“, sagt er bei der Anhörung.
Eine „Abkehr von der grundrechtsfreundlichen Politik“ in Berlin beklagte der Jurist David Werdermann von der GFF sowohl in seiner Stellungnahme (PDF) wie auch in der Anhörung. Zwar versuche der Entwurf die Rechtsprechung des Bundesverfassungsgerichts nachzuzeichnen, das gelinge allerdings nicht immer.
Ein Hauptkritikfeld an dem Gesetz ist laut Werdermann das Festhalten am Konstrukt der „krininalitätsbelasteten Orte“. An diesen dürfen in Zukunft nicht nur anlasslose Kontrollen durchgeführt werden, sondern auch Videoüberwachungsmaßnahmen. Das Gesetz erlaube zudem die Videoüberwachung von öffentlichen Veranstaltungen und die Auswertung des Videomaterials mit sogenannter KI. Werdermann warnt hier vor einem höheren Überwachungsdruck auf Menschen mit atypischen Verhalten wie beispielsweise Wohnungslosen oder Personen mit körperlichen Einschränkungen.
Kritik hat die GFF auch am Einsatz von Staatstrojanern und daran, dass die Polizeibehörden in Zukunft heimlich Wohnungen betreten dürfen, um diese zu installieren. „Ich habe da große Bauchschmerzen mit“, sagt Werdermann. Insgesamt wird durch das neue ASOG die Schwelle zum Einsatz der Staatstrojaner und zur Überwachung von Wohnungen deutlich herabgesetzt.
Ebenso kritisch sieht Werdermann den nachträglichen biometrischen Abgleich mit öffentlich zugänglichen Daten: „Jedes Foto, das möglicherweise ohne das Wissen und Einverständnis der betroffenen Person ins Netz gestellt wird, kann zu Überwachungszwecken genutzt werden“, sagt Werdermann. Es sei nach der neuen Gesetzeslage nicht mehr möglich, an einer Versammlung teilzunehmen, ohne damit rechnen zu müssen, dass Fotos, die beispielsweise von der Presse veröffentlicht werden, anschließend von der Polizei für einen Abgleich genutzt würden.
„Freifahrtschein für Massenüberwachung“
„Die Vorschrift schließt zudem weder den Aufbau einer biometrischen Referenzdatenbanken auf Vorrat noch die Nutzung von kommerziellen Datenbanken aus“, schreibt Werdermann in seiner Stellungnahme. Beides sei jedoch mit der KI-Verordnung und dem Recht auf informationelle Selbstbestimmung nicht vereinbar.
Werdermann verweist in der Stellungnahme darauf, dass der Aufbau einer umfassenden biometrischen Referenzdatenbank – bestehend aus öffentlich zugänglichen Lichtbildern, Videos und Tonaufnahmen aus dem Internet – unverhältnismäßig in Grundrechte eingreift. Das Bundesverfassungsgericht habe mehrfach herausgestellt, dass biometrische Daten besonders schutzwürdig seien. „Durch den Aufbau einer Datenbank, um biometrische Daten vorzuhalten, wären Grundrechte von Millionen, wenn nicht Milliarden von unbeteiligten Personen betroffen, die keinen Anlass für polizeiliche Überwachung gegeben haben“, so Werdermann weiter.
Statt konsequent gegen rechtswidrige Angebote wie PimEyes vorzugehen, schaffe der Senat mit dem Entwurf eine Grundlage für biometrische Massenüberwachung durch die Berliner Polizei, schreibt Werdermann. Diese kritisiert auch die grüne Innenpolitikerin Gollaleh Ahmadi. Sie sieht in der Gesetzesnovelle einen „Freifahrtschein für Massenüberwachung“.
Berlins Datenschutzbeauftragte Meike Kamp kritisiert auch die Verarbeitung von Daten zum Training von KI-Systemen. Hier dürfe zuviel Material ohne Eingriffsschwelle und Löschfristen genutzt werden, sie gehe zudem davon aus, dass auch nicht-anonymisierte Klardaten verarbeitet würden. Daten, die einmal zum Training von Künstlicher Intelligenz genutzt wurden, ließen sich nicht mehr löschen, betont Kamp. Zudem vermute sie, dass solche Daten auch in automatisierten Analyseplattformen landen, deren Nutzung der Berliner Polizei künftig erlaubt sein soll. Zu solchen Plattformen gehört auch die Software „Gotham“ vom umstrittenen US-Unternehmen Palantir.
Präventive Funkzellenabfrage
Ebenso zu wenig geregelt seien die Funkzellenabfragen, wo die Eingriffsschwellen zu niedrig seien. Hier sei auch davon auszugehen, dass Funkzellendaten für KI-Training genutzt werden. „Durch die Verknüpfung der erhobenen Daten mit automatisierten Analyseplattformen lassen sich detaillierte Bewegungsprofile erstellen. Dies ermöglicht Rückschlüsse auf politische Aktivitäten, soziale Beziehungen und persönliche Gewohnheiten der Betroffenen“, schreibt die Berliner Datenschutzbeauftragte in ihrer Stellungnahme (PDF).
Der grüne Innenpolitiker Vasili Franco kritisiert, dass die Funkzellenabfragen in Zukunft auch gegen Personen gerichtet sein können, die nur vermutlich an einer Straftat teilnehmen werden. Damit verschiebt das neue Polizeigesetz die Funkzellenabfragen von der nachträglichen Ermittlung in den präventiven Raum.
Sowohl Sachverständige wie auch Oppositionspolitiker:innen verwiesen in der Anhörung darauf, dass man das verschärfte Polizeigesetz auch vor dem Hintergrund des Rechtsrucks sehen müsse – und dass man damit einer möglichen autoritären Regierung Werkzeuge in die Hand gebe.
Dokumente
Stellungnahmen von Sachverständigen zur Novelle des Berliner ASOG
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der Einsatz von Staatstrojanern durch den BND gefährdet den journalistischen Quellenschutz. Reporter ohne Grenzen zieht deshalb nun vor den Europäischen Gerichtshof für Menschenrechte. Es geht auch darum, dass die Betroffenen mangels Informationspflichten gar keine Chance haben, sich zu wehren.
Auch der BND setzt auf den Staatstrojaner Pegasus. (Symbolbild) – Alle Rechte vorbehalten IMAGO / Christian Ohde
Der Journalist:innen-Verband Reporter ohne Grenzen (RSF) verklagt den deutschen Auslandsgeheimdienst BND vor dem Europäischen Gerichtshof für Menschenrechte (EGMR) wegen des Einsatzes von Staatstrojanern. Mit ihrer Klage war die die Organisation schon vor dem Bundesverwaltungsgericht, das die Klage für unzulässig erklärte, wie auch vor dem Bundesverfassungsgericht, das die Klage nicht annahm, gescheitert. Laut RSF liegt das daran, dass die Klage nicht im Namen von konkret betroffenen Kläger:innen gestellt wird.
Nach Auffassung des Verbandes verletzt die Überwachung mit Staatstrojanern grundlegende Rechte gemäß der Europäischen Menschenrechtskonvention (EMRK): das Recht auf Achtung des Privat- und Familienlebens (Artikel 8), das Recht auf freie Meinungsäußerung und Informationsfreiheit (Artikel 10) sowie das Recht auf wirksame Beschwerde (Artikel 13).
„Wir sind durch alle rechtlichen Instanzen in Deutschland gegangen, um sicherzustellen, dass diese Grundrechte geschützt werden, doch nun hat auch das Bundesverfassungsgericht unsere Beschwerde ohne Begründung abgelehnt. Daher wenden wir uns jetzt an den Europäischen Gerichtshof für Menschenrechte“, sagt Anja Osterhaus, Geschäftsführerin von Reporter ohne Grenzen Deutschland.
Fehlender Rechtsschutz durch Nachweispflicht
Reporter ohne Grenzen will mit der Klage auf ein Problem hinweisen: In Deutschland verlangen Gerichte einen Nachweis, dass man selbst Ziel einer geheimen Überwachung war, bevor sie eine Klage gegen die Überwachungsmaßnahme annehmen. Diesen Nachweis zu liefern, sei aber faktisch unmöglich, weil die Maßnahmen des Geheimdienstes im Verborgenen stattfinden würden. Wer dagegen klagen wollte, müsste sich selbst bezichtigen – also einräumen, in einer Konstellation tätig zu sein, die den Einsatz eines Staatstrojaners rechtfertigen könnte, heißt es in der Pressemitteilung. Der RSF bezeichnet das als „unzumutbar hohe Hürden“, die die Organisation nun mit der Beschwerde in Straßburg abschaffen wolle, denn sie verhinderten effektiven Rechtsschutz für Journalist:innen.
Journalist:innen müssten sich auf die Vertraulichkeit ihrer Kommunikation verlassen können, der Einsatz von Staatstrojanern würde diese Vertraulichkeit jedoch untergraben. „Der Geheimdienst kann Journalisten heimlich per Trojaner überwachen, ohne dass der Betroffene hiervon jemals erfährt. Hiergegen gibt es in Deutschland keinen Rechtsschutz, wenn vom Betroffenen auch weiterhin Nachweise für eine Überwachung verlangt werden. Dies steht einem demokratischen Rechtsstaat schlecht zu Gesicht und verstößt gegen die Menschenrechte“, sagt Rechtsanwalt Niko Härting, der das Verfahren für RSF führt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die schwarz-rote Koalition im Land Berlin setzt ihre „Law & Order“-Politik weiter fort. Nun sollen Videoüberwachung und der Einsatz von Staatstrojanern bei der Polizei ausgeweitet werden.
CDU und SPD wollen die Polizei im Land Berlin mit mehr Befugnissen ausstatten. Nach Informationen des RBB haben sich die Koalitionäre am vergangenen Wochenende auf eine Novelle des Berliner Polizeigesetzes geeinigt. Die Verschärfung des Allgemeinen Sicherheits- und Ordnungsgesetzes (ASOG) steht in einer Reihe mit zahlreichen Maßnahmen, mit denen in der Hauptstadt mehr Überwachung eingeführt und Grundrechte abgebaut werden sollen.
Laut dem RBB-Bericht soll das neue Polizeigesetz an verschiedenen Punkten mehr Überwachung bringen. So will die Koalition Videoüberwachung an sogenannten kriminalitätsbelasteten Orten, zu denen in Berlin auch Parks gehören werden, dauerhaft legalisieren. Zusätzlich zu dieser Form der Überwachung soll in Zukunft auch die automatische Erkennung von Verhaltensmustern mittels „Künstlicher Intelligenz“ erlaubt werden. Bei den Berliner Verkehrsbetrieben sollen Aufnahmen aus der Videoüberwachung in Zukunft 72 statt 48 Stunden aufgehoben werden dürfen.
Bei der Telekommunikationsüberwachung soll die Nutzung von Staatstrojanern durch die Polizei ausgeweitet werden. Der verstärkte Einsatz der Hacking-Tools, mit denen Behörden heimlich IT-Geräte wie Smartphones infiltrieren und überwachen können, hatte sich schon im Koalitionsvertrag angekündigt. Bereits seit 2017 darf jede Polizei in Deutschland Staatstrojaner wie eine normale Telefonüberwachung einsetzen. In der Novelle geht es nun darum, dass die Polizei die Hacking-Werkzeuge bereits zur Abwehr von Straftaten nutzen soll – also schon, bevor eine Straftat begangen wurde.
Kritik daran kommt aus der Opposition von Linken und Grünen. „Statt die Alltagsnöte der Polizei zu adressieren, werden mit der Novelle neue Befugnisse und Aufgaben geschaffen, die vor allem Sicherheit simulieren“, sagte der Grünen-Innenpolitiker Vasili Franco gegenüber dem RBB. Linken-Innenpolitiker Niklas Schrader wirft der Koalition laut dem Bericht vor, dass sie „jegliches Maß beim Schutz der Grundrechte verloren“ habe.
Grundrechtseinschränkungen in verschiedenen Bereichen
Zuletzt hatte die Berliner Koalition auch die Einführung des Staatstrojaners für den Landesverfassungsschutz auf den Weg gebracht und insgesamt bei der Novelle des Berliner Landesverfassungsschutzgesetzes Transparenz und Kontrolle zurückgefahren sowie die Befugnisse des Inlandsgeheimdienstes ausgebaut.
Auch an das Versammlungsrecht will die mittlerweile in der Wählergunst stark abgesackte Koalition ran. CDU und SPD haten sich eine Evaluation des bisher liberalen Berliner Versammlungsfreiheitsgesetzes in den Koalitionsvertrag geschrieben. Dies ist nun der Türöffner für mögliche Einschränkungen. Erklärtermaßen will die Koalition die „öffentliche Ordnung“ wieder als Grund ins Versammlungsgesetz aufnehmen, auf Basis dessen sich Demonstrationen einschränken lassen. Vertreter:innen der Koalition fordern, das „Versammlungsrecht so restriktiv ausgestalten, wie es das Grundgesetz zulässt“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Der polnische Ministerpräsident Mateusz Morawiecki. – Alle Rechte vorbehalten IMAGO / newspix
Der polnische Überwachungsskandal wird immer handfester. Medienberichten zufolge liegt dem Obersten Rechnungshof eine Rechnung vor, die den Erwerb der Spähsoftware Pegasus durch polnische Behörden belegt. Bislang wollte die polnische Regierung weder bestätigen noch dementieren, den Staatstrojaner der israelischen NSO Group gekauft und eingesetzt zu haben, wies Überwachungsvorwürfe jedoch zurück.
Ende Dezember 2021 hat das Forschungsinstitut Citizen Lab die Ausspähung polnischer Oppositioneller mit dem Staatstrojaner Pegasus aufgedeckt. Seitdem versucht die Regierung mit allen Mitteln, den Skandal unter Kontrolle zu bekommen. So erklärte etwa der Ministerpräsident Mateusz Morawiecki, dass der Pegasus-Einsatz womöglich durch ausländische Kräfte erfolgt sei. Im selben Zuge warnte er seine Bürger:innen, sich nicht von „Fake News“ beeinflussen zu lassen.
Allerdings ist seit 2018 bekannt, dass der polnische Geheimdienst über einen Staatstrojaner verfügt. Unbekannt blieb nur lange, welcher Hersteller die Überwachungssoftware geliefert hat. Die nun aufgetauchte Rechnung bestätigt, dass es sich um den Pegasus-Trojaner der NSO Group handelt – also um denselben Trojaner, der auch auf den Handys der betroffenen Personen gefunden wurde.
„Eine tiefe Krise der Demokratie“
Die Staatsaffäre wurde von polnischen Medien als Polens eigener „Watergate-Skandal“ getauft. Dazu enthüllte die Zeitung Gazeta Wyborcza am Montag neue Informationen: Der Zeitung nach habe Mateusz Morawiecki bei einem Treffen mit dem ungarischen Ministerpräsidenten Viktor Orbán und dem damaligen israelischen Premier Benjamin Netanyahu den Kauf von Pegasus beschlossen.
Anschließend habe das Justizministerium die Software im Jahr 2017 für rund sieben Millionen Euro erworben. Die dazu benötigten Gelder wurden gesetzeswidrig abgezweigt – der genutzte Topf war eigentlich für die Resozialisierung von Straftätern sowie zur Opferhilfe gedacht. Wie ein der Zeitung vorliegendes Dokument belege, stellte eine Untersuchung des Finanzministeriums zwar eine Verletzung der Finanzdisziplin fest, verfolgte die Sache jedoch nicht weiter.
In Reaktion auf den Skandal sprach der Oppositionsführer und frühere EU-Ratspräsident Donald Tusk Ende Dezember von „einer tiefen Krise der Demokratie“. Seine Partei Platforma Obywatelska werde sich mit anderen Oppositionsparteien für die Einrichtung einer Untersuchungskommission einsetzen. Der Präsident des Obersten Rechnungshofs, Marian Banaś, kündigte an, sich den Fall erneut genauer anzusehen.
Unter den ausgespähten Regierungskritiker:innen war der Rechtsanwalt Roman Giertych und die Staatsanwältin Ewa Wrzosek sowie der Oppositionspolitiker Krzysztof Brejza. In seinem Fall wurden anschließend manipulierte Chats veröffentlicht und im regierungstreuen Staatsfunk ausgeweidet. Dies habe ihm nach seinen Angaben erheblich im Wahlkampf geschadet.
Schon im November hatte das israelische Verteidigungsministerium den Export von Überwachungstechnik stark eingeschränkt. Seitdem ist der Vertrieb solcher Tools in nur mehr 37 Länder legal, zuvor waren es 102 Länder. Die zunehmend autoritär regierten EU-Staaten Polen und Ungarn sind demnach ausgeschlossen. Im Sommer enthüllte eine umfassende Recherche, dass die Spähsoftware Pegasus gegen zahllose Menschenrechtsaktivist:innen, Journalist:innen und Oppositionelle eingesetzt wurde. Darunter fanden sich auch französische Kabinettsmitglieder sowie ungarische Journalist:innen.
Die PiS-Partei sieht kein Problem
Die polnische Regierung gibt sich derweilen alle Mühe, die Enthüllungen weiter herunterzuspielen. So argumentierten Regierungsvertreter:innen, dass die Berichte von Gazeta Wyborcza nichts Neues enthielten. Alles Wichtige sei bereits vor vier Jahren im Parlament diskutiert worden. Zur Aufklärung des Skandals verwies der Regierungssprecher Piotr Müller auf die Staatsanwaltschaft. Diese hatte sich allerdings im Falle der Staatsanwältin Ewa Wrzosek geweigert, Ermittlungen aufzunehmen.
Zugleich machten sich Vertreter der regierenden PiS-Partei über die Vorwürfe lustig. So witzelte etwa der stellvertretende Justizminister Michał Woś, dass er sich nicht sicher sein könne, ob der Trojaner nicht mit der Retrokonsole „Pegasus“ verwechselt wurde. Bei der Konsole handelt es sich um einen in Ost- und Mitteleuropa verkauften Nintendo-Klon aus den 1990er-Jahren.
Candiru ist ein Fisch, der auch Penisfisch genannt wird. – Alle Rechte vorbehalten IMAGO/VWPics
Über welche Trojaner verfügen deutsche Behörden? Spätestens nachdem durch journalistische Recherchen ans Licht kam, dass Bundeskriminalamt und Bundesnachrichtendienst Versionen des NSO-Trojaners Pegasus nutzen, steht diese Frage im Raum. Die Bundesregierung möchte sie nicht beantworten. Aus der Antwort auf eine Kleine Anfrage der Linken-Abgeordneten Martina Renner wird nun aber deutlich: Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) interessierte sich offenbar für Trojaner des israelischen Herstellers Candiru.
Seit 2018 steht die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) mit Vertretern des Unternehmens in Kontakt, antwortet das Bundesinnenministerium. „Zur Erhaltung und Weiterentwicklung von Cyberfähigkeiten der Sicherheitsbehörden im Bereich der informationstechnischen Überwachung führt die ZITiS fortlaufende Erhebungen des aktuellen Produktportfolios bei verschiedenen Anbietern und Herstellern im Rahmen von Marktsichtungen durch“, heißt es in der Antwort außerdem.
Es gibt wenige öffentliche Informationen über Candiru, das Unternehmen wechselte seinen Namen und heißt mittlerweile Saito Tech. Sicherheitsforscher:innen von Microsoft und Citizen Lab entdeckten Candirus Trojaner auf den Geräten von Menschenrechtsaktivist:innen und Politiker:innen in verschiedenen Ländern, darunter bei einer politisch aktiven Person aus Westeuropa.
Ob deutsche Behörden Produkte von Candiru getestet, gekauft oder gar eingesetzt haben, beantwortet das Ministerium nicht. Dadurch wäre das Staatswohl in Gefahr, Betroffene könnten beispielsweise ihr Kommunikationsverhalten ändern, wenn sie wüssten, welche Mittel den Behörden zur Verfügung stehen. Ob das Bundesamt für Sicherheit in der Informationstechnik eingebunden wurde? Unklar. Es wird „im Rahmen der geltenden Rechtslage sowie gegebenenfalls zusätzlich auf Basis eigener Bedarfe“ eingebunden.
Keine Bestätigung, keine Verneinung?
Fragestellerin Renner prangert die Geheimhaltung über das Staatstrojaner-Portfolio deutscher Behörden an: „Der Pegasus-Skandal legt nahe, dass es nach der Marktsichtung von Candiru in 2018 auch zum Ankauf und Einsatz von deren Spionagesoftware kam.“ So möchte das Ministerium seine Antworten jedoch nicht verstanden wissen. „Dabei ist der Umstand, dass die Beantwortung verweigert wird, weder als Bestätigung noch als Verneinung des jeweiligen angefragten Sachverhalts zu werten“, heißt es in der Vorbemerkung.
Doch es gibt Hinweise dafür, dass es nicht nur bei einer Marktsichtung geblieben sein könnte: Eine aktuelle Recherche der israelischen Tageszeitung Haaretz nennt zehn Länder, die Kunden von Candiru sein sollen. Dabei steht neben Saudi-Arabien und den Vereinigten Arabischen Emiraten auch Deutschland.
Hier klicken, um den Inhalt von Twitter anzuzeigen. Erfahre mehr in der Datenschutzerklärung von Twitter.
ZITiS versteht sich als „Dienstleister der deutschen Sicherheitsbehörden“ und soll für die Behörden Werkzeuge bereitstellen, etwa um Geräte zu infiltrieren und Verschlüsselung auszuhebeln. Selbst Überwachungsoperationen durchführen darf ZITiS nicht. Laut Innenministerium muss sich ZITiS auch nicht mit den rechtlichen Implikationen der entsprechenden Technologien auseinandersetzen. „Die Befassung mit rechtlichen Fragen des verfassungskonformen Einsatzes von Produkten und Leistungen im Bereich der informationstechnischen Überwachung obliegt den Behörden, die die ITÜ-Maßnahmen [informationstechnische Überwachung] aufgrund gesetzlicher Befugnisse durchführen“, heißt es in der Antwort.
Fragestellerin Renner ärgert das: „Wer die verfassungsmäßige Prüfung und den rechtskonformen Einsatz zum Beispiel dem Inlandsgeheimdienst überlässt, gibt seine Rolle als Rechtsaufsicht komplett auf“, so die Innenpolitikerin gegenüber netzpolitik.org.
DSIRF, Quadream, Candiru
ZITiS interessierte sich nicht nur für Candirus Überwachungstechnologie, sondern sichtete Staatstrojaner mehrerer Unternehmen. Aus früheren Anfragen wurde bekannt, dass dazu das Unternehmen DSIRF gehörte, das den Staatstrojaner Subzero vermarktet. Ebenso zog der Hersteller Quadream das Interesse der deutschen Hackerbehörde auf sich.
Seit dem Pegasus-Skandal stehen mehrere Staatstrojaner-Hersteller unter öffentlichem Druck. Immer wieder wird Spähsoftware wie die der NSO Group auf den Geräten von Aktivist:innen und Oppositionellen gefunden – zuletzt in Polen. Die USA setzten vor kurzem sowohl NSO Group als auch Candiru auf eine Restriktionsliste, da von ihnen mutmaßlich „schädliche Cyberaktivitäten“ ausgingen. Sie hätten „Spionagesoftware entwickelt und an ausländische Regierungen geliefert, die dieses Tool nutzten, um Regierungsbeamte, Journalisten, Geschäftsleute, Aktivisten, Akademiker und Botschaftsmitarbeiter böswillig ins Visier zu nehmen“, heißt es in der Begründung.
Kleine Anfrage der Abgeordneten Martina Renner u. a. und der Fraktion DIE LINKE.
Einsatz von Produkten zur informationstechnischen Überwachung der Firma Candiru Limited durch deutsche Sicherheitsbehörden
BT-Drucksache 20/131
Vorbemerkung der Fragesteller:
Im Juli diesen Jahres war bekannt geworden, dass weltweit Journalisten, Menschenrechtsaktivistinnen, Geschäftsleute und Regierungspolitiker Opfer von Überwachungsmaßnahmen mithilfe des Programms „Pegasus“ der u.a. in Israel beheimateten Firma „NSO Group Technologies“ geworden waren (vgl. Bundestagsdrucksache 19/32246, Antwort der Bundesregierung auf eine Kleine Anfrage der Fraktion DIE LINKE, „Einsatz der Spionagesoft-ware „Pegasus“ in Deutschland“, Vorbemerkung).
Inzwischen wurde öffentlich, dass sowohl das Bundeskriminalamt (BKA) als auch der Bundesnachrichtendienst (BND) die Software der NSO Group einsetzen. (tagesschau.de vom 7. September 2021, „BKA soll Seehofer nicht informiert haben“; ZEIT online vom 8. Oktober 2021, „Bundesnachrichtendienst setzt umstrittene Cyberwaffe ein“). Die US-Regierung gab am 03. November 2021 bekannt, dass die NSO Group, deren Produkte durch Bundesbehörden eingesetzt werden, auf die US-Sanktionsliste gesetzt wurde. Denn der Einsatz von „Pegasus“ habe sich u.a. gegen befreundete Politiker und Regierungen, Journalisten und Menschenrechtsaktivisten und damit gegen die Interessen der USA gerichtet (https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list; https://www.sueddeutsche.de/wirtschaft/nso-pegasus-spaehsoftware-usa-1.5455882). Neben der NSO Group wurde auch die israelische Softwarefirma „Candiru Limited“ (seit 2020 „Saito Tech Limited“) wegen derselben Vorwürfe auf die Sanktionsliste gesetzt. Die von jener Firma entwickelte und vertriebene Spyware soll sich insbesondere gegen Desktopanwendungen und Computer mit Windows-Betriebssystem richten. Verschiedene IT-Sicherheitsforscher des „Citizen Lab“ der Universität Toronto/Kanada aber auch von Microsoft selbst haben inzwischen den Einsatz der Spionagesoft-ware gegen mindestens 100 betroffene Politiker, Journalisten, Menschenrechtsaktivisten oder Dissidenten aufgedeckt, auch in Westeuropa (https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/, https://netzpolitik.org/2021/penisfisch-bundesregierung-verweigert-auskunft-ueber-israelischen-staatstrojaner-candiru/).
Die Software von Candiru wird also offenkundig in einem vergleichbaren, mindestens den Interessen der US-Regierung widersprechenden Rahmen eingesetzt.
Die Bundesregierung hat zuletzt die Auskunft darüber verweigert, ob Bundesbehörden Lizenzen der Spyware von „Candiru Limited“ (seit 2020 „Saito Tech Limited“) erworben haben bzw. Leistungen dieser Firma nutzen (Bundestagsdrucksache 19/32490, Frage 39). Angesichts der Entscheidung der US-Regierung erscheint trotz berührter Staatswohlbelange eine öffentliche Positionierung der Bundesregierung erforderlich. Denn die Zusammenarbeit mit den von US-Sanktionen betroffenen Unternehmen und der Einsatz ihrer Produkte durch Behörden des Bundes wird nach Ansicht der Fragestellerinnen und Fragesteller die Zusammenarbeit und Beziehungen zu US-amerikanischen Behörden und Diensten belasten und seinerseits Belange des Staatswohls nachhaltig beschädigen. Angesichts dessen scheint aus Sicht der Fragestellerinnen und Fragesteller eine weitere Verweigerung entsprechender Auskünfte aufgrund des überragenden öffentlichen und parlamentarischen Interesses ausgeschlossen.
Vorbemerkung der Bundesregierung:
Soweit die Fragen nicht explizit an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) gerichtet sind, geht die Bunderegierung im Kontext der Fragestellung davon aus, dass sich die Fragen auf die Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes, sowie der Nachrichtendienste des Bundes beziehen. Dementsprechend werden ausschließlich diese in die Beantwortung einbezogen.
Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann.
Nach sorgfältiger Abwägung ist die Bundesregierung zu der Auffassung gelangt, dass eine Beantwortung der Fragen 1, 2, 5, 7 bis 12 und 14 bis 17 bezüglich der Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes sowie der Nachrichtendienste des Bundes nicht bzw. gegebenenfalls nicht vollständig erfolgen kann. Einer vollständigen Beantwortung dieser Fragen stehen überwiegende Belange des Staatswohls entgegen.
Die erbetenen Informationen zielen auf die kriminaltaktischen oder nachrichtendienstlichen Ermittlungs- bzw. Informationsgewinnungsinstrumente der betroffenen Sicherheitsbehörden. Mit der Beantwortung werden mittelbar bestimmte Arbeitsmethoden und Vorgehensweisen im Bereich der technischen Aufklärung offengelegt oder Rückschlüsse darauf ermöglicht. Hierdurch würden die Arbeitsfähigkeit und Aufgabenerfüllung und somit die Erfüllung des gesetzlichen Auftrags der betroffenen Sicherheits- und Strafverfolgungsbehörden sowie Nachrichtendienste erheblich gefährdet.
Schon die Angabe, mit welchen Herstellern technischer Produkte im Bereich der informationstechnischen Überwachung die betroffenen Sicherheitsbehörden in Kontakt stehen und damit mittelbar die Angabe, welche technischen Produkte die Sicherheitsbehörden in diesem sensiblen Bereich derzeit oder zukünftig einsetzen könnten, kann zu einer gezielten Änderung des Kommunikationsverhaltens der betreffenden, zu beobachtenden Personen führen, wodurch eine weitere Aufklärung der von diesen Personen verfolgten Bestrebungen und Planungen unmöglich werden würde. In diesem Fall wäre ein Ersatz durch andere Instrumente nicht möglich.
Eine VS-Einstufung und Hinterlegung der angefragten Informationen in der Geheimschutzstelle des Deutschen Bundestages kommt angesichts ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der technischen Aufklärung für die Aufgabenerfüllung der Sicherheitsbehörden des Bundes nicht in Betracht. Das Risiko, dass derart sensible Informationen bekannt werden, kann unter keinen Umständen hingenommen werden. Die angefragten Informationen beschreiben die technischen Fähigkeiten der betroffenen Sicherheitsbehörden bzw. Nachrichtendiensten des Bundes aufgrund ihres Bezuges auf bestimmte Produkte bzw. Hersteller in einem derartigen Detaillierungsgrad, dass eine Bekanntgabe auch gegenüber einem begrenzten Kreis von Empfängern ihrem Schutzbedürfnis nicht Rechnung tragen würde.
Daraus folgt, dass die erbetenen Informationen derartig schutzbedürftig sind, dass auch eine Hinterlegung in der Geheimschutzstelle des Deutschen Bundestages aus Staatswohlgründen nicht in Frage kommt. In der Abwägung des parlamentarischen Informationsrechts der Abgeordneten einerseits und der staatswohlbegründeten Geheimhaltungsinteressen andererseits muss das parlamentarische Informationsrecht daher ausnahmsweise zurückstehen. Dabei ist der Umstand, dass die Beantwortung verweigert wird, weder als Bestätigung noch als Verneinung des jeweiligen angefragten Sachverhalts zu werten.
Im Übrigen ist die Feststellung der Fragesteller, dass die NSO Group und Candiru auf die US-Sanktionsliste gesetzt wurden, nicht zutreffend. Es handelt sich vielmehr um eine interne Entscheidung der zuständigen Stellen der USA zur Aufnahme von Firmen in die sog. „Entity List for Malicious Cyber Activities” des Bureau of Industry and Security (BIS), deren Entscheidungen die Bundesregierung zur Kenntnis nimmt.
1: Haben Vertreter oder Beauftragte des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) Behörden des Bundes bzw. den Vertretern von Behörden die von ihnen entwickelten und vertriebenen Softwareprodukte zur Infiltration und Überwachung informationstechnischer Systeme und Netzwerke vorgestellt, und wenn ja, wann und welchen Behörden?
2: Waren Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) Gegenstand der Marktsichtung durch die Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) oder Bedarfsträger im Geschäftsbereich der Bundesregierung?
Zu 1 und 2: Die Fragen 1 und 2 werden im Zusammenhang beantwortet. Zur Erhaltung und Weiterentwicklung von Cyberfähigkeiten der Sicherheitsbehörden im Bereich der informationstechnischen Überwachung führt die ZITiS fortlaufende Erhebungen des aktuellen Produktportfolios bei verschiedenen Anbietern und Herstellern im Rahmen von Marktsichtungen durch. In diesem Zusammenhang steht die ZITiS seit 2018 mit Vertretern des Unternehmens in Kontakt. Im Übrigen wird auf die Vorbemerkung der Bundesregierung verwiesen.
3: Hat sich ZITiS insbesondere hinsichtlich des verfassungskonformen Einsatzes mit Produkten und Leistungen im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zur informationstechnischen Überwachung beschäftigt, und wenn ja, wann und mit welchem Ergebnis?
4: Wer wurde von ZITiS gegebenenfalls wann über das Ergebnis dieser Prüfung unterrichtet, und wie hat die zuständige Fach- und Rechtsaufsicht sich zu diesem Prüfergebnis verhalten?
Zu 3 und 4: Die Fragen 3 und 4 werden im Zusammenhang beantwortet. Die ZITiS erhebt im Zuge der Marktsichtung fortlaufend aktuelle Produktportfolios bei verschiedenen Anbietern, Herstellern und Behörden. Die ZITiS verfügt jedoch selbst über keine operativen Befugnisse zur Durchführung von ITÜ-Maßnahmen. Die Befassung mit rechtlichen Fragen des verfassungskonformen Einsatzes von Produkten und Leistungen im Bereich der informationstechnischen Überwachung obliegt den Behörden, die die ITÜ-Maßnahmen aufgrund gesetzlicher Befugnisse durchführen.
5: Inwieweit wurde ZITiS gegebenenfalls vom Einsatz, einschließlich Test- oder Erprobungseinsatz von Produkten und Leistungen im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zur informationstechnischen Überwachung in Kenntnis gesetzt oder hat Kenntnis von technischen Fragen und Problemstellungen im Rahmen des Einsatzes (etwa zum Aufbau von know-how für zukünftige Beschaffungen in diesem Bereich) erhalten?
Zu 5: Zum Erhalt und Verbesserung von Maßnahmen der informationstechnischen Überwachung steht die ZITiS fortlaufend mit den Sicherheitsbehörden im Austausch. Weitergehende Auskünfte können mit Blick auf die Vorbemerkung der Bundesregierung zu den Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes
sowie der Nachrichtendienste des Bundes nicht erteilt werden.
6: Hat die Bundesregierung alle ggf. in Frage kommenden Gremien des Deutschen Bundestages für den Fall eines Ankaufs und eines Einsatzes von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch Behörden im Zuständigkeitsbereich dieser Gremien unterrichtet? Wenn nein, warum ist eine solche Unterrichtung bislang unterblieben?
Zu 6: Die Bundesregierung berichtet den zuständigen Gremien des Deutschen Bundestages fortdauernd und anlassbezogen zu entsprechenden Themen.
7: Wurde gegebenenfalls eine technische Prüfung der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch das Bundesamt für Sicherheit in der Informationstechnik durchgeführt, wenn ja wann und mit welchem Ergebnis, wenn nein, warum nicht?
Zu 7: Das BSI wird von den Behörden im Rahmen der geltenden Rechtslage sowie gegebenenfalls zusätzlich auf Basis eigener Bedarfe eingebunden. Weitergehende Auskünfte können mit Blick auf die Vorbemerkung der Bundesregierung nicht erteilt werden.
8: Nach welchen Kriterien, Schemata, fachlichen Vorgaben oder Fragestellungen wurde ggf. eine Überprüfung der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) durch die einsetzenden Behörden selbst vorgenommen?
9: Hat jede einsetzende Behörde gegebenenfalls selbst eine solche Überprüfung vorgenommen, und wussten die jeweiligen Behörden von der Beschaffung und dem Einsatz in den anderen Behörden des Bundes?
10: Welche Behörden oder Einrichtungen wurden gegebenenfalls anlässlich bzw. im Nachgang eigener Überprüfungen der einsetzenden Behörden über die Ergebnisse dieser Überprüfungen unterrichtet?
Zu 8 bis 10: Auf die Vorbemerkung der Bundesregierung wird verwiesen.
11: Waren die geschäftsführenden Bundesministerien gegebenenfalls anlässlich bzw. im Nachgang über den Einsatz und über die Ergebnisse von Überprüfungen der Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) informiert und wenn ja, wer wurde jeweils wann und worüber unterrichtet?
Zu 11: Die Behörden berichten der Fachaufsicht regelmäßig über relevante Sachverhalte. Weitergehende Auskünfte können mit Blick auf die Vorbemerkung der Bundesregierung zu diesen Behörden nicht erteilt werden.
12: Hat sich nach Kenntnis der Bundesregierung in Folge von möglichen Überprüfungen bzw. Auswertungen des Einsatzes ergeben, dass die Behörden des Bundes zur Verfügung gestellte Programmversionen von Produkten und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) weiterer Einschränkungen bedürfen und wenn ja, seit wann ist das bekannt geworden und wann wurde dies entsprechend umgesetzt?
Zu 12: Auf die Vorbemerkung der Bundesregierung wird verwiesen.
13: Wurden den zuständigen Kontrollgremien bzw. Gerichten Informationen über Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) zu Verfügung gestellt, die den Einsatz im Rahmen von Gefahrenabwehrvorgängen oder Strafermittlungen bzw. als nachrichtendienstliches Mittel genehmigt bzw. angeordnet haben, und wenn ja, welche?
Zu 13: Bei der Beantragung richterlicher Anordnungen zur Durchführung von Maßnahmen der informationstechnischen Überwachung werden dem anordnenden Gericht die notwendigen verfahrensbezogenen Informationen gemäß den geltenden gesetzlichen Bestimmungen zur Verfügung gestellt. Darüber hinaus wird auf die Antwort zur Frage 6 verwiesen.
14: Wurden Produkte und Leistungen zur informationstechnischen Überwachung im Angebot des Unternehmens „Candiru Limited“ (seit 2020 „Saito Tech Limited“) bislang eingesetzt und wenn ja, in wie vielen Fällen mit wie vielen Betroffenen und
a) wie viele dieser Vorgänge sind noch laufend,
b) wie viele dieser Vorgänge sind bereits abgeschlossen,
c) welches Ziel wurde mit dem jeweiligen Einsatz verfolgt (Fernmeldeaufklärung, nachrichtendienstliches Mittel, Gefahrenabwehr, Strafverfolgung)?
15: In wie vielen Fällen erfolgte – sofern Frage 14 bejaht wird – bislang nach Abschluss der Maßnahme eine Information an Betroffene, in wie vielen Fällen wurde vorläufig von einer Benachrichtigung abgesehen oder soll dauerhaft davon abgesehen werden?
16: Welchen Schweregrad (base score) nach dem Common Vulnerability Scoring System (CVSS) haben – sofern Frage 14 bejaht wird – die beim Einsatz der Produkte von Candiru/Saito genutzten Vektoren zur Ausleitung von Daten aus dem jeweiligen Zielsystem?
17: Welche Kosten sind gegebenenfalls jeweils durch die Beschaffung, den Betrieb und die Wartung von Produkten der „Candiru Ltd.“ bzw. „Saito Tech Ltd.“ für Behörden des Bundes bislang entstanden (bitte aufschlüsseln nach Behörde und Jahr)?
Zu 14 bis 17: Auf die Vorbemerkung der Bundesregierung wird verwiesen.
