Idris lebt seit mehr als 40 Jahren in Deutschland und soll nach Eritrea abgeschoben werden. Das gilt als praktisch unmöglich. Trotzdem durchsucht das Ausländeramt Köln sein Smartphone, während er im Gefängnis sitzt. Eine Geschichte über einen Kontrollapparat, der sich verselbstständigt hat.

Winter 2024. Idris ist gerade in der JVA Siegburg angekommen. Um seine Cracksucht zu finanzieren, war er in einen Kiosk und mehrere Gaststätten eingestiegen, hatte Parfum in einer Drogerie geklaut, war immer wieder erwischt worden. Weil er die Taten während laufender Bewährungszeiten begangen hatte, muss er jetzt für insgesamt fünf Jahre ins Gefängnis.

Ein Beamter reicht ihm die Gefängniskleidung und einem Umschlag mit seinen Wertsachen. Die Sachen sind aus der Untersuchungshaft überstellt worden, in der er vorher gewesen ist. Idris soll den Inhalt prüfen, bevor der Umschlag wieder verplombt und eingeschlossen wird. Im Umschlag liegt seine Halskette. Aber das Handy, das er beim Antritt der U-Haft Anfang des Jahres ebenfalls abgegeben hatte, fehlt.

Was damit passiert ist, erfährt er erst zwei Monate später, durch einen Brief der für ihn zuständigen Ausländerbehörde Köln. „Anbei übersende ich Ihnen den Datenträger des oben genannten Inhaftierten zurück“, heißt es darin und weiter in bestem redundanten Amtsdeutsch. „Der Datenträger wurde im Zuge einer Datenträgerauswertung ausgewertet“, er könne nun zurück in die Verwahrung.

Seit 40 Jahren geduldet

Idris, der eigentlich anders heißt, lebt seit mehr als 40 Jahren in Deutschland. Er kam als Kind, hat hier die Schule besucht, einen Hauptschulabschluss gemacht, eine Schlosserlehre begonnen. Er hat auch früh eine Karriere als Kleinkrimineller begonnen, wie er selbst sagt. All das erzählt er vom Festnetztelefon des Gefängnisses aus, das er zu vorgeschriebenen Zeiten benutzen darf.

Eine Aufenthaltserlaubnis hat er nicht, sein Antrag auf Asyl wurde bereits 1987 abgelehnt. Seit Jahrzehnten lebt er mit einer Duldung im Land, doch damit ist jetzt Schluss. Nach seiner Entlassung soll er Deutschland verlassen, das hat ihm das Ausländeramt im Herbst mitgeteilt.

Das Problem: Das Land, aus dem er mit seiner Tante einst geflohen ist, der heutige Staat Eritrea, will ihn nicht. Eine Abschiebung dorthin ist ohnehin so gut wie unmöglich. Das Land gilt als eine der brutalsten Diktaturen der Welt, Abgeschobenen drohen Folter und willkürliche Haft. Als Geflüchteter aus der ehemaligen äthiopischen Provinz besaß Idris zudem nie eritreische Papiere, Eritrea erkennt ihn nicht als Staatsbürger an. „Ich bin faktisch staatenlos, seit über vierzig Jahren“, sagt Idris zu seinem Fall.

Den deutschen Verwaltungsapparat interessiert das nicht. Für das Ausländeramt Köln ist Idris ein ausreisepflichtiger Straftäter, in so einem Fall gilt ein besonders schwerwiegendes „Ausweisungsinteresse“. Das Amt muss alles dafür vorbereiten, dass er nach seiner verbüßten Haftstrafe abgeschoben werden kann. Dazu darf es laut Aufenthaltsgesetz auch seine Datenträger durchsuchen.

Vom Gefängnis in die IT-Forensik

Während Idris in einer Zelle sitzt, geht sein Handy deswegen auf Reisen. Aus dem Umschlag mit seinen persönlichen Dingen in der Gefängnisverwahrung gelangt es an das Ausländeramt in Köln, dieses schickt es mit einem Prüfauftrag weiter an die Zentrale Ausländerbehörde in Essen.

Die Behörde ist dafür zuständig, die Ämter in Köln und Düsseldorf bei Abschiebungen zu unterstützen. Dort arbeitet seit Herbst 2023 auch die „Stabsstelle Datenforensik“. Ihre Aufgabe: Die Datenträger von Menschen durchsuchen, die „ausreisepflichtig“ sind, um darauf nach Hinweisen für ihre Herkunft oder Identität zu suchen.

Diese Abteilung eingerichtet hat das von den Grünen geführte Fluchtministerium in Nordrhein-Westfalen. In einem Erlass, der damals an alle Ausländerbehörden im Land ging, heißt es dazu: „Demnach ist ein Ausländer, der keinen Pass oder Passersatz besitzt, verpflichtet, an der Beschaffung eines Identitätspapieres mitzuwirken und alle Dokumente oder Datenträger auf Verlangen der Ausländerbehörde vorzulegen, die für die Feststellung und Geltendmachung einer Rückführungsmöglichkeit in einen anderen Staat von Bedeutung sein können.“ Komme die betroffene Person dieser Mitwirkungspflicht nicht nach, könne die Behörde die Durchsuchung anordnen.

Die Ausländerbehörden werden in dem Schreiben gebeten, „sich bei Bedarf an einer Datenträgerauswertung“ mit der jeweils für ihren Regierungsbezirk zuständigen Zentralen Ausländerbehörde in Verbindung zu setzen. Weitere Informationen dazu finde man unter dem Reiter „Auswertung Datenträger“ im System.

Was ein Handy über Herkunft verraten soll

Was in Essen mit seinem Handy geschieht, erfährt Idris nicht. Die Stadt Köln will dazu keine Auskunft erteilen. Ausgehend von dem, was ein Sprecher der Stadt mitteilt und was aus bisherigen Recherchen von netzpolitik.org bekannt ist, würde die Durchsuchung aber so ablaufen:

Die Abteilung soll auf Idris’ Handy nach Indizien suchen, die auf eine Staatsangehörigkeit hindeuten können. Im besten Fall – aus Sicht der Behörde – wären das Fotos von Papieren oder Passnummern. Im weniger guten Fall geht es um „sachdienliche Hinweise“: Anrufe in ein bestimmtes Land etwa, gespeicherte Kontakte oder Sprachen, die er in Chatnachrichten verwendet hat.

Um die Handys zu durchsuchen, schließen die Forensik-Fachleute die Geräte an einen Computer an, der alle Daten aus dem Gerät ausliest. Idris‘ Fotos, seine Nachrichten, wen er angerufen hat, was er auf Social Media postete – all das liegt nun bei der Behörde offen. Aus den relevanten Hinweisen, die sie in den Daten finden, erstellen Mitarbeiter*innen einen Bericht und schicken ihn zusammen mit dem Handy zurück an die Ausländerbehörde.

Dieser letzte Schritt, die Auswertung und der Bericht, werde von einer Person mit Befähigung zum Richteramt gemacht, schreibt ein Sprecher der Stadt. Letzteres schreibt das Aufenthaltsgesetz vor. Damit soll sichergestellt sein, dass keine Informationen aus dem sogenannten „Kernbereich“ der privaten Lebensgestaltung in den Akten landen.

„Was ist das für eine Verarscherei?“

Formal ist das alles korrekt, rechtlich abgesichert. Ein Paragraf im Aufenthaltsgesetz erlaubt die Handydurchsuchung bereits seit mehr als zehn Jahren, wenn die Identität nicht mit anderen „milderen Mitteln“ geklärt werden kann, etwa durch die Vorlage einer Geburtsurkunde. Die Behörde darf in so einem Fall Datenträger einziehen, auch gegen den Willen der Betroffenen. In vielen Bundesländern ist das inzwischen Standard.

Nur: Was soll das im Fall von Idris bringen? Seine Abschiebung scheitert ja nicht daran, dass seine Identität oder Staatsbürgerschaft nicht bekannt wären. Die deutschen Behörden kennen seinen Namen, sein Geburtsdatum.

Idris kann nicht abgeschoben werden, weil die eritreische Botschaft ihm keine Papiere ausstellt. Das weiß auch die Ausländerbehörde. Was erhofft sie sich von der Durchsuchung? Und warum sammelt ein Staat überhaupt digitale Daten für eine Abschiebung, die diplomatisch unmöglich ist? Einfach, weil er es kann?

„Auf meinem Handy werden sie sicher nichts finden“, sagt Idris. Darauf seien Fotos seiner drei Kinder in Deutschland. Der älteste studiert, der jüngste ist gerade zwölf Jahre alt. Von der Mutter der beiden jüngeren lebt er schon seit Jahren getrennt. „In Eritrea kenne ich niemanden, habe da niemanden.“

Die Abschiebeanordnung im Herbst 2025 kommt trotzdem. „Was ist das für eine Verarscherei?“

Zugriff aus der Haft

Nordrhein-Westfalen wird seit 2022 von einer schwarz-grünen Koalition regiert. Ministerpräsident Hendrik Wüst (CDU) setzt auf eine harte Abschiebepolitik. Seit dem Anschlag von Solingen wurde die Linie noch weiter verschärft. Straftäter*innen sollen noch konsequenter abgeschoben werden. Nur wohin, wenn es keinen Zielstaat gibt? Für die Politik ist Idris ein Problem ohne Lösung.

Liegt es daran, dass die Ausländerbehörden im Land derzeit besonders viele Handys einziehen? Allein in Köln hat das Ausländeramt im vergangenen Jahr mehr als 130 Datenträger eingezogen und durchsuchen lassen, teilt ein Sprecher der Stadt mit.

„Sobald andere Maßnahmen zur Identitätsfeststellung ausgeschöpft oder nicht erfolgversprechend sind, wird der Person bei ihrer Vorsprache angeboten, den Datenträger freiwillig zur Durchsicht vorzulegen“, schreibt er. Weigert sie sich, darf sie auch durchsucht werden.

Bei Ausreisepflichtigen, die wie Idris in Haft sitzen, werde jeweils die zuständige Justizvollzugsanstalt angefragt. Seien dort Handys oder andere Datenträger in der Verwahrung, würden diese eingezogen.

Eigentlich hätte Idris über den Einzug seines Handys informiert werden müssen, die Ausländerbehörde stellt dafür eine Bescheinigung aus. Diese gehe in solchen Fällen an das Gefängnis, schreibt der Sprecher, mit der Bitte, den Gefangenen zu informieren. Ob das jedoch im Einzelfall geschieht, das „entzieht sich des Einflussbereichs der Ausländerbehörde“.

Öffentliche Zahlen, geheime Werkzeuge

Um Smartphones wie das von Idris durchsuchen zu können, hat NRW einigen Aufwand betrieben. Die meisten Geräte sind heute mit Zugangscodes oder per Gesichtserkennung gesichert, nicht alle Betroffenen geben die Daten heraus, auch wenn das Aufenthaltsgesetz das vorschreibt. Die Behörde braucht dann ein Werkzeug, mit dem sie die Sicherungen überwinden und sich Zugang verschaffen kann.

Die „Stabsstelle Datenforensik“, die in Essen auch Idris‘ Handy durchsucht hat, arbeitet deswegen mit einer IT-forensischen Ausstattung, die die Zentrale Ausländerbehörde eigens dafür angeschafft hat. Solche Werkzeuge funktionieren wie ein Dietrich, mit dem sich die meisten Smartphones öffnen lassen, auch ohne Zugangsdaten.

Im Jahr 2024 hat die Stabsstelle auf diesem Weg die Datenträger von 114 Personen durchsucht und 93 Auswertungsberichte erstellt. Nur in zwei Prozent der Fälle scheiterten die Durchsuchungen. Das schreibt die Stadt Essen in ihrem Jahresbericht zur Arbeit der Zentralen Ausländerbehörde. Im Jahr darauf waren es bereits 254 durchsuchte Datenträger und 176 Berichte, teilt das zuständige Fluchtministerium auf Anfrage von netzpolitik.org mit.

Eine weitere solche Stelle arbeitet in der Zentralen Ausländerbehörde Bielefeld. Zusammengenommen hätten beide Stellen im Jahr 2024 205 Datenträger durchsucht. Im Jahr darauf waren es 402.

Bis zur Ausreise verwahrt

Die Kosten dafür trägt das Land NRW. Wie viel das kostet und von welchem Hersteller die Ausstattung stammt, das hält die schwarz-grüne Landesregierung allerdings geheim. „Aus Gründen des Datenschutzes“ will das zuständige Familienministerium auf Nachfrage keine Angaben machen.

In anderen Bundesländern, die vergleichbare Software für die Durchsuchungen nach dem Aufenthaltsgesetz einsetzen, ist hingegen dokumentiert, woher die Produkte stammen: vom Unternehmen Cellebrite. Es verkauft seine IT-forensischen Produkte unter anderem an Polizeibehörden, die damit in den Handys mutmaßlicher Straftäter nach Beweisen suchen, aber auch an Geheimdienste oder das Militär. Seit einigen Jahren gehören auch Ausländerbehörden in Deutschland zum Kundenkreis. (Hier ist eine Karte, die zeigt, wo Cellebrite bereits für die Durchsuchung der Handys von Ausreisepflichtigen eingesetzt wird.)

Stellt Cellebrite auch das Produkt, mit dem die Abteilung in Essen Handys durchsucht? Dafür gibt es keinen Beleg. Im bislang aktuellsten Jahresbericht der Stadt werden jedoch die Namen von zwei weiteren Cellebrite-Produkten genannt, die 2025 eingeführt werden sollten: Sie heißen Collector und Inspector und dienen dazu, die Festplatten von Computern zu durchsuchen. Auch das sind Datenträger und sie dürfen von den Ausländerbehörden ebenfalls eingezogen werden.

Auf die Nachfrage, ob diese Werkzeuge inzwischen im Einsatz sind, antworteten die Zentrale Ausländerbehörde Essen und das Ministerium nicht.

„Strafrechtlich relevante Zufallsfunde“

Das Ministerium sieht in der Geheimhaltung offenbar auch eine Art ermittlungstaktischen Vorteil. „Konkrete Information über die verwendete Soft- und Hardware, die über Presseberichte an eine breite Öffentlichkeit gelangen, könnten den Erfolg zukünftiger digital-forensischer Maßnahmen gefährden“, schreibt es im Ablehnungsbescheid zu einer Anfrage nach dem Informationsfreiheitsgesetz.

Nur: Es handelt sich streng genommen ja um gar keine Ermittlungen. Die Betroffenen sind keiner Straftat verdächtig, die Zentrale Ausländerbehörde ist auch keine Strafverfolgungsbehörde. Sie soll lediglich nach Hinweisen auf eine Nationalität suchen.

Dass die Grenzen zwischen den Aufgaben von Ausländerbehörden und der Strafverfolgung hier zunehmend aufweichen, darauf deutet auch ein weiterer Satz aus dem Jahresbericht der Stadt Essen hin. In einem Abschnitt zu den „hervorragenden Ergebnissen“, die mit der Auswertung der Datenträger hätten erzielt werden können („In 87 Prozent der Fälle zumindest identitätsklärende Hinweise“), heißt es dort auch, „entdeckte und möglicherweise strafrechtlich relevante Zufallsfunde“ seien „an die zuständige Ausländerbehörde bzw. Strafermittlungsbehörde“ gemeldet worden.

Auf Nachfrage, wie häufig es in den vergangenen Jahren zu solchen Zufallsfunden mit entsprechender Meldung kam und auf welcher Rechtsgrundlage das geschieht, antwortet die Behörde nicht.

Eine Maßnahme ohne Ziel

Der Berliner Jurist Davy Wang koordiniert bei der Gesellschaft für Freiheitsrechte Fälle zu eingezogenen Handys von Geflüchteten. Er hält eine solche Weitergabe für rechtswidrig. Das Aufenthaltsgesetz erlaube den Zugriff auf Datenträger ausschließlich, um Identität und Staatsangehörigkeit festzustellen sowie eine Rückführung zu ermöglichen. „Eine Befugnis, dabei gefundenen Daten zu anderen Zwecken – etwa zur Strafverfolgung – an andere Behörden weiterzuleiten, enthält das Gesetz nicht. Eine solche Weitergabe ist damit unzulässig.“

Rechtswidrig sei auch das Vorgehen der Ausländerbehörde im Fall von Idris, sagt Wang. „Der Zugriff auf den gesamten Datenbestand des Handys stellt einen schwerwiegenden Eingriff in die Privatsphäre dar und darf nicht erfolgen, wenn damit der verfolgte Zweck überhaupt nicht erreicht werden kann.“

Das Aufenthaltsgesetz erlaube diesen Eingriff nur unter engen Voraussetzungen. Im Falle von Idris sei klar, dass der Zweck – das Ermöglichen einer Rückführung – nicht erreichbar sei: „Seine Rückführung scheitert an faktischen Hindernissen, die im Verantwortungsbereich der eritreischen Botschaft liegen.“ Durch das Auswerten der Handydaten könnten diese weder beseitigt noch beeinflusst werden.

„Solche Fälle zeigen, dass der Datenzugriff in der Praxis nicht als enges Ausnahmeinstrument gehandhabt wird, sondern als Routinemaßnahme“, sagt Wang, „auch dort, wo sie von vornherein nichts bewirken kann.“ Damit werde die Privatsphäre der betroffenen Personen jedoch strukturell ausgehöhlt. „Die Durchsuchung wird als Druckmittel zur Durchsetzung migrationspolitischer Ziele missbraucht.“

Clara Bünger ist fluchtpolitische Sprecherin der Linken im Bundestag. „Die Regierungen der letzten Jahre haben unter Beweis gestellt, dass sie in der Lage sind, sich immer wieder neue grenzwertige oder sogar offen rechtswidrige Maßnahmen auszudenken, die den alleinigen Zweck haben, ausreisepflichtige Personen unter Druck zu setzen und sie zur Ausreise zu drängen“, sagt sie. Das ändere aber nichts daran, dass manche Menschen nicht abgeschoben werden könnten, weil sie zum Beispiel staatenlos sind.

Auch wenn es am Ende nicht zur Abschiebung komme, hätten die Maßnahmen schwere Konsequenzen. „Häufig werden solche Grundrechtseingriffe zuerst an Geflüchteten oder anderen Gruppen mit geringer Beschwerdemacht getestet“, sagt sie. „Wenn Protest ausbleibt, werden sie später ausgeweitet.“

„Bundesgebiet unverzüglich verlassen“

Idris sitzt weiterhin in Haft, inzwischen in der JVA Aachen. Er hofft darauf, dass er vorzeitig entlassen wird und einen Entzug machen kann, in einer christlichen Einrichtung für Suchthilfe. Dort war er schon einmal, bevor er rückfällig wurde.

Für ihn gilt allerdings weiterhin die Abschiebeanordnung aus Köln: „Sollten Sie aus irgendeinem Grund vorzeitig aus der Haft entlassen werden, haben Sie das Bundesgebiet unverzüglich, spätestens jedoch 14 Tage nach einer eventuellen Haftentlassung zu verlassen“, steht darin. Dass er das ohne Papiere nicht tun kann, ist klar.

Idris hat vor dem Verwaltungsgericht Köln Klage gegen seine Abschiebeanordnung eingereicht und bittet um eine Aufenthaltserlaubnis. Nur damit kann er eine von der Krankenkasse finanzierte Therapie machen. „Nach einer erfolgreichen Drogentherapie würde die Abkehr von meinen kleinkriminellen Aktivitäten wirklich näher rücken, die mir bislang nicht gelungen ist“, schreibt er. „Genau darin setze ich meine Hoffnungen. Diesen Weg möchte ich endlich gehen. Ich bin krank. Und ich möchte meine Krankheit überwinden.“

Das Schreiben hat er selbst mit Unterstützung verfasst, einen Rechtsbeistand hat er derzeit nicht.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die Kritik am Überwachungspaket der Bundesregierung reißt nicht ab. Die Gesellschaft für Freiheitsrechte warnt vor „Eingriffen in die Grundrechte aller Menschen“ und „mächtigen Überwachungsmaßnahmen“.

Die Gesellschaft für Freiheitsrechte (GFF) nennt in ihrer aktuellen Stellungnahme zum Sicherheitspaket (PDF) die Gesetzesvorhaben der Bundesregierung zur biometrischen Fahndung im Internet und zur automatisierten Datenanalyse „zum Großteil verfassungswidrig“. Die Bürgerrechtsorganisation lehnt deshalb die Einführung der darin vorgeschlagenen Befugnisse und Änderungen fast rundweg ab.

Es handle sich bei den geplanten Befugnissen nicht nur um Werkzeuge, die zu schwerwiegenden Grundrechtseingriffen führen, sondern um „Instrumente zur potenziellen Massenüberwachung“, weil es sich eben nicht um gezielte Maßnahmen handle. Gleichzeitig würden keinerlei Nachweise vorliegen, dass diese Befugnisse tatsächlich zu einer effektiven Polizeiarbeit beitragen würden, so die GFF.

Staatliche Souveränität vollkommen ausgeblendet

Besonders besorgniserregend sei auch, dass die Referentenentwürfe staatliche digitale Souveränität vollkommen ausblenden würden, heißt es in der Stellungnahme. Das liege daran, dass der Gesetzentwurf vorsieht, dass biometrische Abgleiche im Internet auch von privaten Unternehmen im Ausland durchgeführt werden dürfen. Zu solchen Unternehmen gehört zum Beispiel das umstrittene PimEyes, über das netzpolitik.org oftmals berichtet hat. Solche Unternehmen haben die Gesichtsbiometrie von Millionen Menschen gegen alle Regeln des europäischen Datenschutzes erlangt, indem sie ohne zu fragen Gesichtsbilder im Internet ausgewertet und gespeichert haben.

Darüber hinaus ist laut der GFF auf Grundlage des Entwurfs auch der Einsatz von Softwaretools privater Anbieter für eine Datenanalyse möglich, wie etwa die Software Gotham des US-Unternehmens Palantir. Trotz dieser Möglichkeit sieht der Entwurf laut der GFF keinerlei Vorgaben vor, die sensibelste Polizeidaten vor Fehlern, Datenlecks, unberechtigtem Zugriff, missbräuchlicher Nutzung oder Manipulation schützen. Sogar zum Training von KI-Systemen dürften polizeiliche Daten an private Unternehmen übermittelt werden.

Zivilgesellschaft warnt vor Plänen für KI-Fahndung

„Eingriffe in die Grundrechte aller Menschen“

Der biometrische Abgleich mit Daten aus dem Internet ermögliche „schwerwiegende Eingriffe in das Recht auf informationelle Selbstbestimmung“ – und das bei einer enormen Streubreite. Das ermächtige die Bundespolizei zu Eingriffen in die Grundrechte potenziell aller Menschen, kritisiert die GFF. Denn diese könnten nur begrenzt beeinflussen, ob zum Beispiel Bild- und Videomaterial oder Tonaufnahmen von ihnen gegen ihren Willen im Internet veröffentlicht werden.

Außerdem könnten durch den Abgleich Rückschlüsse auf besonders sensible Daten wie politische Einstellungen und sexuelle oder religiöse Orientierung gezogen werden, z.B. bei Aufnahmen von Demos, Veranstaltungen oder Gottesdiensten.

Das Internet mache mittlerweile einen erheblichen Teil des öffentlichen Raumes aus. Mit den neuen Befugnissen werde die Anonymität in diesem digitalen öffentlichen Raum faktisch unmöglich gemacht. Das sei mit enormen Abschreckungseffekten verbunden und habe erhebliche Auswirkungen auf die Ausübung von Grundrechten, kritisiert die GFF.

Kritik haben die Bürgerrechtler:innen auch an der Eingriffsschwelle für die Nutzung der Instrumente, die laut der schwarz-roten Koalition ab „erheblichen Straftaten“ gelten soll. Doch diese genügten nicht dem verfassungsrechtlich notwendigen Gewicht einer besonders schweren Straftat. Zudem würden die erfassten Straftaten im Gesetzentwurf nicht hinreichend konkretisiert.

„Mächtige Überwachungsmaßnahmen“ mit Palantir & Co.

Bei der automatisierten Datenanalyse, wie sie etwa Palantir durchführt, sollen große Mengen auch bislang ungefilterter oder getrennt gespeicherter Daten mit weiteren Daten verbunden und verarbeitet werden. Die Polizei erhofft sich durch die Zusammenführung neue Erkenntnisse.

„Dabei besteht die Gefahr, dass aufgrund von Fehlern im Analyseprogramm, insbesondere aufgrund diskriminierender Algorithmen, Menschen fälschlicherweise ins Visier der Sicherheits- und Strafverfolgungsbehörden geraten, obwohl sie dafür keinen Anlass geboten haben“, kritisiert die GFF. Sie warnt zudem vor Einschüchterungseffekten und davor, dass aufgrund des Ausbaus der Überwachung immer mehr sensible Daten bei den Behörden gespeichert werden dürfen. „Automatisierte Datenanalysen sind mächtige Überwachungsmaßnahmen“, folgert die Organisation. Deswegen seien strenge Beschränkungen zum Schutz der Grundrechte nötig.

Die GFF fordert deswegen:

Die Datenanalyse sollte dabei insbesondere ausdrücklich auf einfach-automatisierte Abgleiche und reine Suchvorgänge begrenzt werden. Algorithmische Sachverhaltsbewertungen, Profiling und KI-basierte Analysen müssen ausgeschlossen werden. Die Menge der einbezogenen Daten ist stark zu begrenzen. Die Eingriffsschwellen für automatisierte Datenanalysen müssen erhöht und Schutzmaßnahmen gegen Fehler, Diskriminierung und Intransparenz aufgenommen werden.

In der 30 Seiten starken Stellungnahme, welche die GFF im Rahmen der Verbändebeteiligung abgegeben hat, sind zahlreiche weitere Bedenken hinsichtlich der Verfassungsmäßigkeit der Überwachungspläne der Bundesregierung gelistet. Auch andere Organisationen aus der Zivilgesellschaft wie Amnesty International oder der Chaos Computer Club haben massive Kritik an dem Vorhaben der Bundesregierung.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Beim Forschungsdatenzentrum Gesundheit sollen die Gesundheitsdaten aller gesetzlich Versicherten zusammenlaufen. Ein Gerichtsverfahren dagegen wird nun fortgesetzt. Dessen Ausgang könnte Pläne von Gesundheitsministerin Nina Warken durchkreuzen.

Drei Jahre lang herrschte Stillstand. Nun geht ein Gerichtsverfahren weiter, das sich gegen die zentrale Speicherung von Gesundheitsdaten aller gesetzlich Versicherten im Forschungsdatenzentrum Gesundheit (FDZ) richtet.

Die Klage hatte die Gesellschaft für Freiheitsrechte (GFF) gemeinsam mit Constanze Kurz, netzpolitik.org-Redakteurin und Sprecherin des Chaos Computer Club (CCC), sowie einem weiteren anonymen Kläger im Mai 2022 eingereicht. Weil das FDZ aber jahrelang nicht arbeitsfähig war und kein IT-Sicherheitskonzept vorlegen konnte, ruhte das Verfahren seit Februar 2023. Im vergangenem Herbst wurde das FDZ offiziell eröffnet, weshalb die GFF das Verfahren nun nach eigenen Angaben fortsetzt und weitere Schriftsätze eingereicht hat.

Der Ausgang der Klage könnte weitreichende Folgen haben. Denn es geht um die Forschung mit Gesundheitsdaten, eine zentrale Säule der erst vor wenigen Wochen vorgestellten Digitalisierungsstrategie von Bundesgesundheitsministerin Nina Warken (CDU). Sollte das Gericht zugunsten der Klagenden entscheiden, könnten wichtige Vorhaben ihres Ministeriums ins Wanken geraten.

Kläger:innen fordern effektiven Widerspruch und besseren Schutz

Die Klagenden werden von dem Rechtswissenschaftler Matthias Bäcker vor dem Sozialgericht Berlin und dem Sozialgericht Frankfurt vertreten. Aus ihrer Sicht verstößt die zentrale Sammlung hochsensibler Gesundheitsinformationen beim FDZ zum einen gegen das Grundrecht der Versicherten, selbst über die eigenen Daten zu bestimmen, sowie gegen das Datenschutzrecht der Europäischen Union.

Zum anderen seien die gespeicherten Daten nicht ausreichend geschützt. Für deren Übermittlung werden nur Namen, Geburtstag und -monat der Versicherten entfernt. Ein von der GFF in Auftrag gegebenes Gutachten des Kryptographie-Professors Dominique Schröder kommt zu dem Schluss, dass eine solche Pseudonymisierung die Versicherten nicht ausreichend schützt. Durch den Abgleich mit anderen Datensätzen ließen sich Betroffene ohne großen Aufwand re-identifizieren.

Die GFF fordert daher für alle Versicherten ein „voraussetzungsloses Widerspruchsrecht“, dass ihre eigenen Gesundheitsdaten für Forschung und andere Zwecke weitergenutzt werden. „Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt und sind ein lukratives Ziel für Kriminelle“, sagt Jürgen Bering, Jurist bei der GFF. „Forschung darf daher nur unter ausreichenden Schutzmaßnahmen stattfinden.“

Auf dem Weg zu „einem der größten Daten-Hubs“

Gesundheitsministerin Warken sieht das Forschungsdatenzentrum als „Innovationsmotor“ der Gesundheitsforschung. Die Einrichtung ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Seit 2022 werden dort Gesundheitsdaten zu allen gesetzlich Versicherten in einer zentralen Datenbank zusammengeführt und für die Dauer von bis zu 100 Jahren gespeichert. Forschende müssen sich bei diesem Zentrum registrieren, um mit den Daten arbeiten zu können.

Bislang übermitteln die gesetzlichen Krankenkassen nur die Abrechnungsdaten all ihrer Versicherten an das FDZ. Diese Daten geben Auskunft darüber, welche Leistungen die Versicherungen in Rechnung gestellt bekommen haben und mit welchen Diagnosen diese versehen sind.

Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der elektronischen Patientenakte hinzukommen. BfArM-Chef Karl Broich geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist.

„Gesundheitsdaten brauchen zwingend angemessene Sicherheitsmaßnahmen“

Sollte die GFF mit ihrer Klage Erfolg haben, könnte dieses Ziel verfehlt werden. Denn bislang ist vorgesehen, dass die ePA-Daten automatisch an das FDZ gehen – sofern Versicherte dem nicht aktiv widersprechen. Dieser Automatismus müsste dann möglicherweise einer aktiven Einwilligung der Versicherten weichen.

Aus Sicht der Klagenden wäre dies zu begrüßen. „Es wird höchste Zeit, dass das Verfahren fortgeführt wird“, sagt Constanze Kurz. „Denn es braucht Klarheit zur Sicherheit und zum Widerspruchsrecht, schon weil inzwischen der Kreis der nutzungsberechtigten Stellen ganz erheblich erweitert wurde.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Bundesgesundheitsministerin Nina Warken hat ihre Digitalisierungsstrategie vorgelegt. Darin betont die CDU-Ministerin, die Patient:innensouveränität stärken zu wollen. Tatsächlich aber will sie eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufbauen. Nutznießer sind Forschung und Pharma-Unternehmen. Die Rechte der Patient:innen bleiben auf der Strecke.

Rund 75 Millionen gesetzlich Versicherte, ihre Gesundheitsdaten täglich übermittelt an ein nationales Forschungsdatenzentrum, verknüpfbar mit hunderten Medizinregistern und europaweit vernetzt – das ist die Vision von Bundesgesundheitsministerin Nina Warken (CDU).

Die Ministerin präsentierte in der vergangenen Woche ihre „Digitalisierungsstrategie für das Gesundheitswesen und die Pflege“. Darin verspricht Warken eine bessere medizinische Versorgung und mehr Patientensouveränität. Tatsächlich aber zielt ihre Strategie vor allem darauf ab, eine der umfassendsten Gesundheitsdateninfrastrukturen weltweit aufzubauen.

Das knapp 30-seitige Papier legt zugleich die Grundlage für ein umfangreiches „Digitalgesetz“. Den Entwurf will das Bundesgesundheitsministerium (BMG) noch im laufenden Quartal vorlegen. Die Rechte der Patient:innen drohen darin weitgehend auf der Strecke zu bleiben.

Die geplante Dateninfrastruktur ruht auf drei Säulen: die elektronische Patientenakte, das Forschungsdatenzentrum Gesundheit und das geplante Medizinregistergesetz. Das Zusammenspiel aller drei Vorhaben ebnet auch der EU-weiten Vernetzung der Gesundheitsdaten den Weg.

Die ePA soll zur „Gesundheits(daten)plattform“ werden

Alle Versicherten, die nicht widersprochen haben, besitzen seit Januar 2025 eine elektronische Patientenakte (ePA); seit Oktober 2025 sind Behandelnde dazu verpflichtet, sie zu verwenden. Gesundheitsministerin Warken will die ePA nicht nur zum „zentralen Dreh- und Angelpunkt“ der ärztlichen Versorgung machen, sondern auch zur „Gesundheits(daten)plattform“ ausbauen.

Dafür sollen erstens mehr strukturierte Daten in die ePA fließen, die dann „möglichst in Echtzeit für entsprechende Anwendungsfälle nachnutzbar“ sind. Derzeit sind dort vor allem noch PDF-Dateien hinterlegt, die nicht einmal durchsuchbar sind, was den Umgang mit der ePA aus Sicht von Behandelnden deutlich erschwert.

Zweitens soll die ePA weitere Funktionen wie eine digitale Terminvermittlung und elektronische Überweisungen erhalten. Die Patientenakte soll so „auch interessanter werden für diejenigen, die nicht krank sind“, kündigte Warken an. Derzeit nutzen gerade einmal rund 4 Millionen Menschen ihre ePA aktiv. Bis zum Jahr 2030 soll sich ihre Zahl, so das Ziel des BMG, auf 20 Millionen erhöhen.

„Künstliche Intelligenz“ soll Symptome auswerten

Wer sich krank fühlt, soll künftig auch über die ePA-App eine digitale Ersteinschätzung einholen können. Mit Hilfe eines Fragenkatalogs sollen Versicherte dann erfahren, ob ihre Symptome den Gang zur Hausärztin oder gar zur Notfallambulanz rechtfertigen.

Diese Auswertung soll offenbar auch mit Hilfe sogenannter Künstliche Intelligenz erfolgen. Ohnehin soll KI laut Warken „in Zukunft da eingesetzt werden können, wo sie die Qualität der Behandlung erhöht, beim Dokumentationsaufwand entlastet oder bei der Kommunikation unterstützt“. Bis 2028 sollen beispielsweise mehr als 70 Prozent der Einrichtungen in der Gesundheits- und Pflegeversorgung KI-gestützte Dokumentation nutzen – ungeachtet der hohen Risiken etwa für die Patientensicherheit oder die Autonomie der Leistungserbringer.

Dafür will das BMG „unnötigen bürokratischen Aufwand“ für KI-Anbieter reduzieren. Das Ministerium strebt dafür mit Blick auf den Digitalen Omnibus der EU-Kommission „eine gezielte Anpassung der KI-Verordnung“ an. Das umstrittene Gesetzesvorhaben der Kommission zielt darauf ab, Regeln für risikoreiche KI-Systeme hinauszuzögern und den Datenschutz deutlich einzuschränken. Zivilgesellschaftliche Organisationen warnen eindringlich, dass mit dem Omnibus der „größte Rückschritt für digitale Grundrechte in der Geschichte der EU“ drohe.

Forschungsdatenzentrum soll als „Innovationsmotor“ wirken

Die in der ePA hinterlegten Daten sollen aber nicht nur der ärztlichen Versorgung dienen, sondern vor allem auch der Forschung zugutekommen. Sie sollen künftig – sofern Versicherte dem nicht aktiv widersprechen – täglich automatisch an das Forschungsdatenzentrum Gesundheit (FDZ) gehen. Während Warken die ePA als „Dreh- und Angelpunkt“ der Versorgung sieht, beschreibt sie das FDZ als „Innovationsmotor“ der Gesundheitsforschung.

Das FDZ wurde nach jahrelangen Verzögerungen im vergangenen Herbst erst handlungsfähig. Es ist beim Bundesamt für Arzneimittel und Medizinprodukte (BfArM) in Bonn angesiedelt. Forschende können sich bei dem Zentrum registrieren, um mit den dort hinterlegten Daten zu arbeiten. Auch Pharma-Unternehmen können sich bewerben. Eine Voraussetzung für eine Zusage ist, dass die Forschung einem nicht näher definierten „Gemeinwohl“ dient.

Die pseudonymisierten Gesundheitsdaten sollen das FDZ nicht verlassen. Stattdessen erhalten Forschende Zugriff auf einen Datenzuschnitt, der auf ihre Forschungsfrage abgestimmt ist. Die Analysen erfolgen in einer „sicheren Verarbeitungsumgebung“ auf einem virtuellen Desktop, das Forschende übers Internet aufrufen können.

Ob dabei tatsächlich angemessene Schutzstandards bestehen, muss indes bezweifelt werden. Denn das Forschungszentrum verfügte in den vergangenen Jahren nicht einmal über ein IT-Sicherheitskonzept, weshalb auch ein Gerichtsverfahren der Gesellschaft für Freiheitsrechte ruht.

Gemeinsam mit der netzpolitik.org-Redakteurin Constanze Kurz hatte die GFF gegen die zentrale Sammlung sensibler Gesundheitsdaten beim FDZ geklagt. Aus ihrer Sicht sind die gesetzlich vorgesehenen Schutzstandards unzureichend, um die sensiblen Gesundheitsdaten vor Missbrauch zu schützen. Sie verlangt daher für alle Versicherten ein voraussetzungsloses Widerspruchsrecht gegen die Sekundärnutzung der eigenen Gesundheitsdaten. Nachdem das FDZ seit Oktober den aktiven Betrieb aufgenommen hat, dürfte das ruhende Verfahren in Kürze fortgesetzt werden.

„Real-World-Überwachung“ ermöglichen

Dessen ungeachtet haben sich laut BfArM-Präsident Karl Broich bereits 80 Einrichtungen beim FDZ registriert. Die Antragsteller kommen zu gleichen Teilen aus Wirtschaft, Verwaltung und Forschung. Mehr als zwei Drittel von ihnen hätten bereits konkrete Forschungsanträge gestellt, bis zum Ende des Jahres will Warken diese Zahl über die Schwelle von 300 hieven. Alle positiv beschiedenen Anträge sollen künftig in einem öffentlichen Antragsregister einsehbar sein.

Zum Jahreswechsel wird das FDZ wohl auch über weit mehr Daten verfügen als derzeit. Bislang übermitteln die gesetzlichen Krankenkassen die Abrechnungsdaten all ihrer Versicherten an das Forschungszentrum. Diese geben bereits Auskunft darüber, welche Leistungen und Diagnosen die Versicherungen in Rechnung gestellt bekommen haben.

Ab dem vierten Quartal dieses Jahres sollen dann nach und nach die Behandlungsdaten aus der ePA hinzukommen. Den Anfang machen Daten aus der elektronischen Medikationsliste, anschließend folgen die Laborfunde, dann weitere Inhalte.

Der baldige Datenreichtum gibt dem FDZ aus Sicht von BfArM-Chef Broich gänzlich neue Möglichkeiten. Er geht davon aus, dass seine Behörde in zehn Jahren bundesweit „einer der großen Daten-Hubs“ ist. Mit den vorliegenden Daten könnten Forschende dann umfassende „Lifecycle-Beobachtungen“ durchführen – „eine Real-World-Überwachung also, die klassische klinische Prüfungen so nicht abdecken können“.

Auch im FDZ soll „Künstliche Intelligenz“ mitwirken. Zum einen in der Forschung selbst: „Dafür arbeiten wir an Konzepten, die Datenschutz, Sicherheit und wissenschaftliche Nutzbarkeit von Beginn an zusammendenken“, sagt Broich. Zum anderen soll das FDZ Datensätze etwa für das Training von Sprachmodellen bereitstellen, wie die Digitalisierungsstrategie des BMG ausführt und auch bereits gesetzlich festgeschrieben ist. Sowohl Training als auch Validierung und Testen von KI-Systemen sind eine zulässige Nutzungsmöglichkeiten. Das bedeutet konkret: Die sensiblen Gesundheitsdaten von Millionen Versicherten können zum Training von Sprachmodellen verwendet werden.

Wie „Künstliche Intelligenz“ unser Gesundheitswesen verändern soll – und welche Fragen das aufwirft

Warken will Medizinregister miteinander verknüpfen

Ab 2028 könnten Trainingsdaten dann auch detaillierte Daten zu Krebserkrankungen enthalten. Denn in knapp zwei Jahren sollen die FDZ-Datenbestände mit Krebsregistern sowie dem Projekt genomDE verknüpft werden, das Erbgutinformationen von Patient:innen sammelt.

Die Datenfülle beim FDZ dürfte damit noch einmal ordentlich zunehmen. Allein die Krebsregister der Länder Bayern, Nordrhein-Westfalen und Rheinland-Pfalz halten Daten von insgesamt mehr als drei Millionen Patient:innen vor. Wer nicht möchte, dass etwa die eigenen Krebsdaten mit den Genomdaten verknüpft werden, muss mindestens einem der Register komplett widersprechen.

Im Gegensatz etwa zu den Krebsregistern der Länder, die auf Basis spezieller rechtlicher Grundlagen arbeiten, bewegen sich die meisten anderen Medizinregister dem BMG zufolge derzeit „in einem heterogenen Normengeflecht von EU-, Bundes- und Landesrecht“, was „die Schaffung einer validen Datenbasis“ behindere.

Das Ministerium hat daher bereits im Oktober das „Gesetz zur Stärkung von Medizinregistern und zur Verbesserung der Medizinregisterdatennutzung“ auf den Weg gebracht. Der Referentenentwurf sieht vor, einheitliche rechtliche Vorgaben und Qualitätsstandards für Medizinregister zu schaffen.

Ein Zentrum für Medizinregister (ZMR), das ebenfalls am BfArM angesiedelt wäre, soll demnach bestehende Medizinregister nach festgelegten Vorgaben etwa hinsichtlich Datenschutz und Datenqualität bewerten. Qualifizierte Register werden dann in einem Verzeichnis aufgeführt, dürfen zu einem festgelegten Zweck kooperieren und auch anlassbezogen Daten zusammenführen. Die personenbezogenen Daten, die dort gespeichert sind, können für die Dauer von bis zu 100 Jahren in den Registern gespeichert werden.

Derzeit gibt es bundesweit rund 350 Medizinregister. Zu den größten zählen das „Deutsche Herzschrittmacher Register“, das die Daten von mehr als einer Million Patient:innen enthält, und das „TraumaRegister DGU“ mit Daten von mehr als 100.000 Patient:innen. Das Gesundheitsministerium geht davon aus, dass etwa drei Viertel der bestehenden Medizinregister Interesse daran haben könnten, in das Verzeichnis des ZMR aufgenommen zu werden.

Verbraucher- und Datenschützer:innen mahnen Schutzvorkehrungen an

Gesundheitsdaten, die dem ZMR vorliegen, sollen ebenfalls pseudonymisiert oder anonymisiert der Forschung bereitstehen. Das geplante Medizinregistergesetz sieht außerdem vor, dass die Daten qualifizierter Register ebenfalls miteinander verknüpft werden können.

Zu diesem Zweck sollen Betreiber von Medizinregistern und die meldenden Gesundheitseinrichtungen registerübergreifende Pseudonyme erstellen dürfen. Als Grundlage dafür soll der unveränderbare Teil der Krankenversichertennummer von Versicherten (KVNR) dienen.

Fachleute weisen darauf hin, dass eine Pseudonymisierung insbesondere bei Gesundheitsdaten keinen ausreichenden Schutz vor Re-Identifikation bietet. Das Risiko wächst zudem, wenn ein Datensatz mit weiteren Datensätzen zusammengeführt wird, wenn diese weitere personenbezogene Daten der gleichen Person enthält.

Das Netzwerk Datenschutzexpertise warnt zudem davor, die Krankenversichertennummer in einer Vielzahl von Registern vorzuhalten. Weil im Gesetzentwurf notwendige Schutzvorkehrungen fehlen würden, sei „das Risiko der Reidentifizierung bei derart pseudonymisierten Datensätzen massiv erhöht“.

Der Verbraucherzentrale Bundesverband kritisiert die Menge an personenbezogenen Daten, die laut Gesetzentwurf an qualifizierte Medizinregister übermittelt werden dürfen. Dazu zählen neben sozialdemographischen Informationen auch Angaben zu Lebensumständen und Gewohnheiten sowie „zu einem Migrationshintergrund oder einer ethnischen Zugehörigkeit, der Familienstand oder die Haushaltsgröße“.

Um die Patient:innendaten besser zu schützen, forderte der Verband bereits im November vergangenen Jahres, eindeutig identifizierende Daten vom Kerndatensatz eines Medizinregisters getrennt aufzubewahren.

Gesundheitsministerium schafft Schnittstellen in die EU

Das Gesundheitsministerium lässt sich davon jedoch nicht beirren und strebt weitere Datenverknüpfungen an. Laut seiner Digitalisierungsstrategie will das BMG das Forschungspseudonym auch dazu nutzen, um die Gesundheits- und Pflegedaten „mit Sozialdaten und Todesdaten zu Forschungszwecken“ sowie „mit Abrechnungs- und ePA-Daten“ zu verbinden. Ob Versicherte dieser umfangreichen Datenverknüpfung überhaupt noch effektiv und transparent widersprechen können, ist derzeit zweifelhaft. Sicher aber ist: Der Aufwand dürfte immens sein.

Die Digitalisierungsstrategie macht ebenfalls deutlich, dass das Ministerium die geplanten Maßnahmen auch in Vorbereitung auf den Europäischen Gesundheitsdatenraum (EHDS) ergreift. Der EHDS ist der erste sektorenspezifische Datenraum in der EU und soll als Blaupause für weitere sogenannte Datenräume dienen. Schon in wenigen Jahren sollen hier die Gesundheitsdaten von rund 450 Millionen EU-Bürger:innen zusammenlaufen und grenzüberschreitend ausgetauscht werden.

Konkret bedeutet das: In gut drei Jahren, ab Ende März 2029, können auch Forschende aus der EU beim FDZ Gesundheitsdaten beantragen. Und das Zentrum für Medizinregister soll dem BMG zufolge ebenfalls Teil der europäischen Gesundheitsdateninfrastruktur werden.

Der größte Brückenschlag in der Gesundheitsdateninfrastruktur steht also erst noch bevor. Und auch hier bleibt die Ministerin eine überzeugende Antwort schuldig, was die Versicherten davon haben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Zehn Jahre nach den Ermittlungen wegen Landesverrats veranstaltet netzpolitik.org zusammen mit der Digitalen Gesellschaft einen Netzpolitischen Abend. Am 4. November werfen drei Vorträge einen kritischen Blick auf die globale Lage der Pressefreiheit. Dabeisein geht in Berlin oder im Stream.

Vor zehn Jahren wurde netzpolitik.org das Ziel eines Angriffs auf die Pressefreiheit. Wegen der Veröffentlichung geheimer Dokumente zettelte der damalige Chef des Verfassungsschutzes ein Ermittlungsverfahren wegen Landesverrats an. Der Generalbundesanwalt ermittelte und die Redaktion musste Überwachungsmaßnahmen fürchten. Nach einer großen Welle der Solidarität wurden die Ermittlungen eingestellt und netzpolitik.org ging gestärkt aus der „Affäre Landesverrat“ hervor.

Das denkwürdige Jubiläum nehmen wir zum Anlass für einen gemeinsamen Netzpolitischen Abend mit der Digitalen Gesellschaft zum Thema Pressefreiheit. Unter der Moderation von Anna Biselli, Co-Chefredakteurin bei netzpolitik.org, tragen fünf Journalist*innen und Menschenrechtsverteidiger*innen ihre Einschätzung zur weltweiten Lage der freien Presse vor. Der 151. Netzpolitische Abend der Digitalen Gesellschaft findet am 4. November in der c-base Berlin oder im Stream statt. Der Eintritt ist kostenlos und alle Interessierten sind herzlich eingeladen!

Das Programm

Alena Struzh und Katharina Viktoria Weiß, Reporter ohne Grenzen: Pressefreiheit weltweit

Von autoritären Regimen und Überwachung: Die Journalistinnen teilen eine Bestandsaufnahme der weltweiten Pressefreiheit und ihrer Herausforderungen.

Philipp Frisch und Lisa-Marie Maier, Human Rights Watch: Pressefreiheit in Afghanistan

Dokumentierte Gewalt und Zensur: Ein Vortrag über die zunehmenden Bedrohungen für afghanische Journalist*innen, darunter auch Abschiebungen.

Joschka Selinger, Gesellschaft für Freiheitsrechte: Pressefreiheit in Deutschland

Kein Wohlfühlklima: Joschka Selinger berichtet über den steigenden Druck auf die deutsche, freie Presse anhand von aktuellen Fällen.

Die c-base befindet sich in der Rungestraße 20, 10179 Berlin. Einlass ist ab 19:15 Uhr, los gehts um 20 Uhr. Für alle, die nicht vor Ort dabei sein können, gibt es einen Live-Stream ab 20:15 auf c-base.org. Der Eintritt ist frei.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Berliner Verfassungsschutz soll neue Regeln bekommen. Ginge es nach dem schwarz-roten Senat, dürfte er künftig live auf Videoüberwachung von Einkaufszentren oder Krankenhauseingängen zugreifen, um Menschen zu observieren. Fachleute stufen das als verfassungswidrig ein.

Umfangreicher Zugriff auf Videoüberwachung, weitreichende Überwachung von Kontaktpersonen und schwache Transparenzpflichten: Der Berliner Verfassungsschutz soll neue Befugnisse bekommen. Einen Gesetzentwurf dazu legte die schwarz-rote Landesregierung im Mai dem Berliner Abgeordnetenhaus vor. Am heutigen Montag waren Sachverständige im Verfassungsschutz-Ausschuss des Landesparlaments und äußerten verfassungsrechtliche Bedenken.

Besonders alarmiert hat die Fachleute offenbar die geplante Neuregelung zur Videoüberwachung. Der neue Paragraf zu Observationen sieht vor, dass Betreiber:innen von Videoüberwachungsanlagen verpflichtet werden können, „die Überwachung auszuleiten und Aufzeichnungen zu übermitteln“. Das beträfe Überwachungskameras an „öffentlich zugänglichen großflächigen Anlagen“ oder in „Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs“.

Videoüberwachung aus Parks, Einkaufszentren, Krankenhäusern

Das bedeutet: Observiert der Verfassungsschutz eine Person, kann er sich dafür im Zweifel Live-Zugang zu den Überwachungskameras eines Einkaufszentrums oder einer S-Bahn geben lassen. Der Jurist David Werdermann von der Gesellschaft für Freiheitsrechte (GFF) stuft das in seiner Stellungnahme als verfassungswidrig ein.

Bei einer solchen Maßnahme sind regelmäßig unzählige Personen betroffen, die nicht im Fokus des Inlandsgeheimdienstes stehen. „Wer sich in Berlin im öffentlichen Raum bewegt, müsste daher künftig permanent damit rechnen, durch den Inlandsgeheimdienst beobachtet zu werden“, schreibt Werdermann. „Die Befugnis ermöglicht eine nahezu durchgängige Rundumüberwachung aus der Ferne.“

Das schreibt auch die Berliner Landesdatenschutzbeauftragte Meike Kamp. Im Gegensatz zu klassischen Observationen gehe es beim Zugriff auf die Videoüberwachungseinrichtungen auch privater Stellen um „deutlich eingriffsintensivere Maßnahmen, für die strengere Maßstäbe und gesetzliche Erfordernisse gelten“. Sie zählt eine ganze Reihe Orte auf, die von der neuen Regelung erfasst wären, „sogar der Besucherbereich einer Arztpraxis oder eines Krankenhauses während der Öffnungs- bzw. Besuchszeiten“.

Kamp kritisiert außerdem, dass im Entwurf nicht eindeutig festgelegt sei, wie lange ein solcher Zugriff stattfinden dürfe. Außerdem fehle eine spezifische Eingriffsschwelle, ihrer Meinung nach bedarf es bei so einer invasiven Maßnahme einer „mindestens erhöhten Beobachtungsbedürftigkeit als Eingriffsvoraussetzung“ und es sollte einen generellen Richtervorbehalt geben.

Umfeldausforschung mit Auskunftsersuchen

Als unverhältnismäßig kritisiert Kamp ebenfalls die geplante Neuregelung zu Auskunftsersuchen zu Bestandsdaten bei Telekommunikationsanbietern. Im Gesetz selbst gibt es keine Beschränkung, „dass das Auskunftsverlangen nur erfolgen darf, wenn die Daten zur Aufklärung tatsächlich erforderlich sind“.

Werdermann bemerkt außerdem, dass die Auskunftsersuchen – auch diejenigen zu Verkehrs- und anderen Daten – nicht im Kapitel für „Nachrichtendienstliche Mittel“ eingegliedert sind. Das habe zur Folge, dass die Ersuchen nicht nur gegen eine bestimmte Zielperson eingesetzt werden könnten, sondern zusätzlich gegen Dritte. „Damit eröffnet der Gesetzgeber eine ins Blaue hineingehende Möglichkeit der Überwachung des gesamten Umfelds einer Zielperson mittels Auskunftsersuchen“, so Werdermann.

Diese Eingruppierung wirkt sich außerdem aus, wenn der Inlandsgeheimdienst entsprechend gewonnene Daten an andere Behörden übermitteln will. Auch hier würden für die Informationen aus Auskunftsersuchen geringere Voraussetzungen gelten, wenn sie nicht als nachrichtendienstliche Mittel gelten.

Keine Selbstauskunft ohne Selbstbezichtigung?

Der Auskunftsanspruch für Betroffene ist im neuen Gesetz sehr restriktiv geregelt. Wer vom Berliner Verfassungsschutz künftig wissen wollen würde, ob Daten zur eigenen Person vorliegen, soll dabei auf „einen konkreten Sachverhalt“ hinweisen und „ein berechtigtes Interesse an der Auskunft“ darlegen. Das heißt, eine Person müsste sich wohl teils selbst bezichtigen, warum sie für den Inlandsgeheimdienst interessant sein könnte.

„Hierdurch wird der Auskunftsanspruch unverhältnismäßig eingeschränkt“, schreibt dazu die Berliner Landesdatenschutzbeauftragte. Kamp gibt zu Bedenken, dass der Verfassungsschutz in der Regel im Geheimen agiert, ohne dass Personen etwas davon mitbekommen. „Wer beispielsweise erfasst ist, weil ein Informant ihn mit einer anderen Person verwechselt hat, wird bei Beantragung einer Auskunft zum konkreten Sachverhalt naturgemäß keine Angaben machen können“, so Kamp.

Staatstrojaner und mangelnde Kontrolle

Neben diesen Punkten enthält das geplante Gesetz eine Vielzahl weiterer grundrechtssensibler Vorschläge. Der Berliner Verfassungsschutz soll künftig Staatstrojaner für die sogenannte Online-Durchsuchung nutzen dürfen, um eine „konkretisierte Gefahr für ein besonders bedeutendes Rechtsgut“ abzuwehren. Das soll dann erlaubt sein, wenn „geeignete polizeiliche Hilfe“ nicht rechtzeitig erlangt werden könne.

Weitaus kürzer als die vorgesehenen Befugnisse reichen die geplanten Berichts- und Rechenschaftspflichten für den Inlandsgeheimdienst. Berichtspflichten gelten zwar für einige Auskunftsersuchen, Werdermann vermisst sie aber für Observationen, verdeckt eingesetzte Dienstkräfte oder Online-Durchsuchungen. Dort, so seine Stellungnahme, „sind keine Berichtspflichten vorgesehen, obwohl hier ein noch viel stärkeres Bedürfnis an einer Kontrolle durch das Parlament besteht“. Ohne verfügbare Zahlen dazu, wie und wie häufig die Behörde ihre Befugnisse einsetzt, ist eine öffentliche Kontrolle nicht möglich.

Nach der Anhörung im Verfassungsschutzausschuss des Parlaments steht bei dem Gesetzentwurf aus dem Senat noch eine letzte Lesung im Plenum an. Vorher kann der Ausschuss nachbessern und die Kritik der Sachverständigen berücksichtigen. Eine Reform des Verfassungsschutzgesetzes war auch wegen Urteilen des Bundesverfassungsgerichts notwendig geworden, die etwa das hessische und das bayerische Verfassungsschutzgesetz rügten.

Nimmt das Abgeordnetenhaus die Kritik der Sachverständigen nicht ernst, könnte erneut ein Ländergesetz zu einem Inlandsgeheimdienst vor Gericht landen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.