💾 Archived View for data.konfusator.de › feeds › netzpolitik.gmi captured on 2024-08-18 at 17:19:46. Gemini links have been rewritten to link to archived content

-=-=-=-=-=-=-

netzpolitik.org

Wir thematisieren die wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik und zeigen Wege auf, wie man sich auch selbst mit Hilfe des Netzes für digitale Freiheiten und Offenheit engagieren kann. Mit netzpolitik.org beschreiben wir, wie die Politik das Internet durch Regulierung verändert und wie das Netz Politik, Öffentlichkeiten und alles andere verändert.

Zuletzt aktualisiert: Sun, 18 Aug 2024 07:13:03 +0200

Linksklick: Und sie schuften wieder für uns

Sun, 18 Aug 2024 05:54:56 +0000

Dom Schott

Auf der gamescom werden auch dieses Jahr tausende Gamer über kleine und große Spiele staunen. Die Macher hinter den Kulissen verdienen dafür unseren Respekt – und eine starke Lobby.

Nächste Woche lädt Köln wieder einmal die Spielewelt zu sich nach Hause ein: Von Mittwoch bis Sonntag zelebriert die |gamescom| große und kleine Spiele, garniert mit Influencer-Autogrammstunden, kunterbunten Cosplay-Wettbewerben und hoffnungslos überteuertem Kantinenessen. Zehntausende werden eine der weltweit größten Spielemessen besuchen und all das begutachten, was hunderte Entwicklerteams in den vergangenen Monaten und Jahren für uns zusammengebaut haben.

Während aber in den größten Hallen und an den AAA-Ständen nur selten ein Entwickler zu sehen ist, der selbst Hand am Spiel angelegt hat, tummelt sich die Branche umso greifbarer auf den Quadratmetern der |Indie Arena Booth| – eine große Ausstellungsfläche, auf der weit mehr als 100 Indie-Entwickler ihre Spiele zeigen. Höchstpersönlich, mit Namenszettelchen auf der Brust und immer ein wenig hin- und hergerissen zwischen Freude und Nervosität. Nirgends kann man den Menschen, die für uns Spiele machen, so nah sein, wie hier. Und nirgends kann man so unmittelbar erfahren, wie schwer für diese Menschen ihre Arbeit sein kann, die fester Teil unserer Freizeit ist.

Eine Branche mit vielen Problemen

Na klar, Spiele zu entwickeln, ist für die meisten dieser Menschen ein wahrgewordener Traum, den viele seit ihrer Kindheit mit sich herumtrugen. Es ist ein Privileg, kreativ arbeiten und damit den eigenen Lebensunterhalt verdienen zu können – das wissen sie alle, die in den kommenden Tagen zwischen Messeständen mit Fans und Interessierten über ihre Spiele sprechen werden.

Zur Wahrheit gehört aber auch, dass die Arbeit in der Spielebranche gleichermaßen an der körperlichen wie psychischen Gesundheit zehren kann. Unsichere Arbeitsverhältnisse ist eine der größten Ursachen für dieses ungesunde Spannungsfeld: Alleine 2023 |verloren schätzungsweise mehr als 10.000 Entwickler ihren Job|. Und 2024 rollten bereits ebenfalls die Kündigungswellen über die gebeutelte Branche – auch in Deutschland. Die Gründe dafür liegen irgendwo zwischen Post-Corona-Ernüchterung, kriegsbedingter Investitionsscheu und der globalen Inflation verborgen. In Deutschland kommen noch unklare Förderbedingungen hinzu und zu schnell geleerte Geldtöpfe, die sichere Zukunftsplanungen für Entwicklerteams noch unsicherer machen.

Aber damit enden die Herausforderungen der Branche nicht. Hinzu kommen chronische Unterbezahlung, eine Kultur der unbezahlten Überstunden, männlich dominierte Strukturen, die immer wieder zu Belästigungsvorfällen und gefühlter Unsicherheit am Arbeitsplatz führen, schließlich auch die zunehmende Bedrohung durch KI-Technologie in der Zukunft, die ganze Arbeitsfelder wegrationalisieren könnte. Diese Probleme lassen sich nicht einfach lösen. Eines aber könnte der Branche entscheidend helfen: eine Gewerkschaft. Die gibt es aber bisher nicht.

Der Spielebranche fehlt eine starke Lobby

Zwar ist ver.di auch Ansprechpartner für die Entwickler dieses Landes. Aber eine eigene Gewerkschaft für die konkreten Bedürfnisse und Anliegen der deutschen Spielebranche gibt es noch immer nicht. Und das ist ein massives Problem. Denn so fehlt Angestellten in den kleinen und großen Studios dieses Landes eine starke Lobby, die sie durch die Schwierigkeiten und Herausforderungen begleitet, die der Branche schon so lange zusetzen.

Eine Gewerkschaft verhindert zwangsläufig keine Kündigungswellen oder Belästigung am Arbeitsplatz. Aber sie bietet eine Anlaufstelle, um Unterstützung einzuholen, sich mit anderen Kollegen auszutauschen und Anleitung dafür zu erhalten, die eigenen Arbeitnehmerrechte durchzusetzen. Warum es trotz all dieser Vorteile noch keine Gewerkschaft für Spieleentwickler dieses Landes gibt, ist ein großes Fragezeichen. Und ebenso offen ist, wann sich das ändern wird.

Bis dahin sollten wir uns daran erinnern, dass die Menschen, die für unsere Freizeitunterhaltung schuften, keine wütenden Kommentare verdienen, wenn uns wieder einmal ein Update missfällt oder ein verschobener Release-Termin ärgert. Sondern sie verdienen vielmehr unseren Respekt dafür, dass sie trotz der oft schlechten Bedingungen weiterhin jeden Tag den Rechner hochfahren und Spiele machen.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|Mika Baumeister|

|gamescom|

|Indie Arena Booth|

|verloren schätzungsweise mehr als 10.000 Entwickler ihren Job|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

KW 33: Die Woche, als das BMI heimliche Hausdurchsuchungen anpries

Sat, 17 Aug 2024 05:51:34 +0000

Sebastian Meineck

Die 33. Kalenderwoche geht zu Ende. Wir haben 13 neue Texte mit insgesamt 289.284 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser*innen,

seit Jahrzehnten arbeiten Sicherheitsbehörden, Polizei und Geheimdienste kontinuierlich daran, ihre Befugnisse auszuweiten und Grundrechte einzuschränken. Mehr Datenerfassung, mehr Zugriffsrechte, mehr Überwachung, mehr Kontrolle. Das Vorgehen ist eine Salami-Taktik, immer noch ein Scheibchen mehr. Anschauliche Beispiele stehen in unserer Chronologie des Überwachungsstaats von |1950 bis 2021|.

Diese Woche streckte SPD-Innenministerin Nancy Faeser einmal mehr die Hand aus, allerdings nicht nach einer weiteren Salami-Scheibe, sondern gleich nach der ganzen Wurst.

Der Entwurf für ein neues BKA-Gesetz machte bereits Schlagzeilen, bevor Interessierte ihn selbst lesen konnten. Am Donnerstag haben wir ihn |im Volltext veröffentlicht|, damit sich alle endlich selbst ein Bild davon machen können. Die daraus hervorgehende Wunschliste an neuen Befugnissen ist schwer verdaulich.

Heimlich in Wohnungen einbrechen und dort die Geräte von Menschen hacken.

Menschen durch biometrische Gesichter-Suchmaschinen identifizieren, deren Datenbanken kaum mit geltendem Datenschutz-Recht vereinbar sind.

Der Polizei erlauben, bislang getrennte Datenberge zusammenführen, was bereits in ähnlicher Form als verfassungswidrig eingestuft wurde.

Nicht nur mir ist das – um weiter im Bilde zu bleiben – äußerst übel aufgestoßen. Meine Kollegin Constanze schrieb |in ihrem Kommentar| am Mittwoch:

Heimliche Wohnungsdurchsuchungen gehören bisher nicht zum Repertoire von Staaten, die sich rechtsstaatlich nennen, obwohl Ausnahmen existieren. Sie wecken Erinnerungen an vergangene Diktaturen, deren Mittel nach Ende des Zweiten Weltkrieges und nach Ende der DDR zu Recht gescholten wurden.

Justizminister Marco Buschmann (FDP) nannte den Vorstoß einen „absoluten Tabubruch“. Auf |Twitter-Nachfolger X| schrieb er: „Es wird keine Befugnisse zum heimlichen Schnüffeln in Wohnungen geben. Im Staat des Grundgesetzes machen wir so etwas nicht.“ Und weiter: „Sollte jemand das ernsthaft vorschlagen wollen, wird ein solcher Vorschlag weder das Kabinett passieren noch wird es eine Mehrheit im Parlament dafür geben.“

Zum BKA-Gesetzentwurf wird es also Streit in der Ampel geben, gut so. Noch besser wäre es, wenn so ein Murks gar nicht erst auf den Tisch käme. Ohne Zweifel wird das Innenministerium mit einem Wunschzettel wie diesem keine offenen Türen einrennen. Eine ganze Reihe von Gesetzen und Gerichtsentscheidungen stehen den geplanten Befugnissen entgegen. Das im Detail durchzuackern wird allen Beteiligten eine Menge wertvoller Zeit Kosten.

Und ich glaube, genau das gehört zum Kalkül. Die Beteiligten mürbe machen, bis sie einfach froh sind, wenn sie das Schlimmste verhindern konnten. Und dabei ein Auge zudrücken, wenn am Ende doch noch eine neue Salami-Scheibe durchrutscht. Bis zum nächsten – unvermeidlichen – Griff Richtung Wurst.

Euch ein bekömmliches Wochenende

Sebastian

─────────────────────────

20 Jahre netzpolitik.org: Sie lesen uns, ob sie wollen oder nicht

Als vor 20 Jahren alles begann, hätte wohl niemand geahnt, dass netzpolitik.org zu einer stattlichen Redaktion werden würde. Das alles war nur möglich durch eure Unterstützung. Von netzpolitik.org –

|Artikel lesen|

Degitalisierung: Privacy Preserving Capitalism

Was schützen eigentlich privatsphäreschonende Technologien vor allem? Die Privatsphäre von Nutzer*innen oder doch eher Geschäftsmodelle? Ein Aufruf unserer Kolumnistin, genau hinzuschauen. Von Bianca Kastl –

|Artikel lesen|

Beschwerden in neun Ländern: Keine europäischen Daten für Elon Musks KI

Ohne seine Nutzer:innen zu informieren nutzt X/Twitter deren Daten für ein Sprachmodell, mit dem es einen Chatbot betreibt. Die irische Datenschutzbehörde stoppte das Vorgehen zunächst. Allerdings gehe das Verfahren am Kern des Problems vorbei, sagt die Datenschutzorganisation noyb. Von Ingo Dachwitz –

|Artikel lesen|

Sicherheitslücken in Dating-Apps: Auf Schritt und Tritt verfolgt

Viele Dating-Apps geben mehr Daten preis, als Nutzer:innen vermuten. Ein Forschungsteam hat den Datenverkehr über die Schnittstellen belauscht und dabei herausgefunden, dass sich Nutzer:innen womöglich fast metergenau orten lassen. Von Tomas Rudl –

|Artikel lesen|

CUII-Liste: Diese Websites sperren Provider freiwillig

Damian, 17 Jahre, legt sich mit Internetanbietern und Unterhaltungsindustrie an. Er hat die geheime Liste der Websites veröffentlicht, die nach Absprache von Unternehmen und Verbänden in Deutschland gesperrt werden. Von Martin Schwarzbeck –

|Artikel lesen|

Nancy Faeser: Was das Innenministerium zur Gesichtserkennung plant

Künftig sollen Polizeibehörden Bilder von Verdächtigen mit dem Internet abgleichen können, um sie zu finden. Dieser Vorschlag aus dem Innenministerium ist ein Albtraum für Grundrechte. Von Tomas Rudl, Anna Biselli –

|Artikel lesen|

Digitale Selbstverteidigung: So sichert man Datenspeicher

Wie man Desktop-Computer, Laptops und Mobiltelefone gegen unerwünschte physische Zugriffe absichert – und warum ausgerechnet ein von Google hergestelltes Handy Daten besonders gut schützt. Von Martin Schwarzbeck –

|Artikel lesen|

Staatliches Hacken: Heimliche Wohnungsdurchsuchung mit Staatstrojaner

Das BKA soll heimlich in Wohnungen einbrechen dürfen, um Staatstrojaner zu installieren. Das steht in einem Gesetzentwurf des Innenministeriums. Beim Staatshacken sind offenbar alle Maßstäbe verloren. Ein Kommentar. Von Constanze –

|Artikel lesen|

Musk vs. Breton: EU-Kommission bleibt trotz wüster Beschimpfungen auf X

Die EU-Kommission wirft dem sozialen Netz X vor, gegen den Digital Services Act zu verstoßen. Dennoch bespielt sie den umstrittenen Online-Dienst von Elon Musk weiter mit Inhalten – auch mit bezahlten Anzeigen. Daran dürfte sich vorerst nichts ändern. Von Tomas Rudl –

|Artikel lesen|

Die letzte Piratin im EU-Parlament: „Man kann auch mit wenigen Leuten etwas verändern“

Wir sprechen mit Markéta Gregorová, der derzeit einzigen Abgeordneten der Piraten im EU-Parlament, über ihre Pläne für die nächsten fünf Jahre. Sie wird ihre Arbeit zur Äußeren Sicherheit fortsetzen, besonders zur Ukraine und zu China – und will die Chatkontrolle im Blick behalten. Von Maximilian Henning –

|Artikel lesen|

Trojaner, Biometrie, Big Data: Wir veröffentlichen den Entwurf zum neuem BKA-Gesetz

Innenministerin Nancy Faeser fordert neue Befugnisse für die Polizei. Beamte sollen Wohnungen heimlich betreten und biometrische Überwachung im Internet durchführen. Wir veröffentlichen den Gesetzentwurf zur Änderung der Polizeigesetze. Mehrere Vorhaben widersprechen dem Koalitionsvertrag. Von Andre Meister –

|Artikel lesen|

The EU Parliament’s last Pirate: „You can make a change even if you are low in numbers“

We talked to Markéta Gregorová, currently the only Pirate delegate in the EU Parliament, about what she hopes to achieve in the next five years. She will continue her work on external security, especially Ukraine and China, and will keep tabs on chat control. Von Maximilian Henning –

|Artikel lesen|

Digitale Brieftasche: Erste Etappenziele, etliche Hürden und viele offene Fragen

Die europäische digitale Brieftasche kommt. Doch noch ist unklar, nach welchen rechtlichen Vorgaben die deutsche Version entwickelt und angeboten wird – und von wem. Das Bundesinnenministerium gibt nun erste Einblicke und sucht offenbar selbst noch nach Antworten. Von Daniel Leisegang –

|Artikel lesen|

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|1950 bis 2021|

|im Volltext veröffentlicht|

|in ihrem Kommentar|

|Twitter-Nachfolger X|

|Artikel lesen|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Digitale Brieftasche: Erste Etappenziele, etliche Hürden und viele offene Fragen

Fri, 16 Aug 2024 10:44:35 +0000

Daniel Leisegang

Die Ziellinie liegt scheinbar noch in weiter Ferne, rückt aber unaufhaltsam näher: Bis zum Herbst 2026 müssen die EU-Mitgliedstaaten ihren Bürger:innen |eine digitale Brieftasche anbieten|. Mit ihr sollen sie sich online wie offline ausweisen und digitale Nachweise speichern können.

Doch was sind die nächsten Etappenziele für die „European Digital Identity Wallet“ (EUDI)? Welche rechtlichen Hürden gilt es zu überwinden? Und welchen Zeitplan verfolgt die Bundesregierung?

Einige Antworten auf diese Fragen hat |das Bundesinnenministerium (BMI) in dieser Woche anlässlich einer Kleinen Anfrage der CDU-/CSU-Fraktion| gegeben. Zugleich räumt das Ministerium ein, auf viele Fragen noch keine konkreten Antworten zu haben. Sie sollen erst in den kommenden Monaten und Jahren im Rahmen eines mehrgleisig verlaufenden Prozesses gefunden werden.

Eines dieser Gleise ist der öffentliche |Konsultationsprozess| für eine nationale Wallet-Lösung, den das Bundesinnenministerium |vor rund einem Jahr gestartet hat|. Er ging im Juni in einen gut einjährigen Wettbewerb über, den die Bundesagentur für Sprunginnovationen (Sprind) durchführt. An dessen Ende soll voraussichtlich im Mai 2025| ein Prototyp für eine digitale Brieftasche stehen|. Insgesamt elf Unternehmen sind |im Rennen|.

Auf einem anderen Gleis hat die EU-Kommission zu Wochenbeginn eine Reihe von Durchführungsrechtsakten |zur öffentlichen Konsultation vorgelegt|. Sie sollen die Vorgaben der |reformierten eIDAS-Verordnung| umsetzen, die unter anderem die Kernfunktionen der Wallet, die technische Zertifizierung sowie die zu verwendenden Protokolle und Schnittstellen betreffen. Noch bis zum 9. September können sich Bürger:innen und Unternehmen |zu den geplanten Rechtsvorschriften äußern|.

Viele Fragen sind noch offen

Das EU-Gesetz, das dem ganzen Prozess zugrundeliegt, trat im Mai dieses Jahres in Kraft. Die novellierte eIDAS-Verordnung sieht vor, dass die Wallet |freiwillig und kostenlos sowie interoperabel sein soll|. Außerdem sollen die Nutzer:innen transparent darüber bestimmen können, welche Daten sie an wen weitergeben. Es liegt nun an den Mitgliedstaaten, die Verordnung in nationale Gesetze zu gießen.

Der Änderungsbedarf, der sich aus eIDAS 2.0 für die nationale Gesetzgebung ergibt, ist laut BMI noch ungewiss. Derzeit bereite das BMI zwar die dafür erforderlichen Gesetzesanpassungen vor. Einen genauen Zeitplan gebe es aber noch nicht, räumt das Ministerium ein. Auch die Frage, wann die Länder und Kommunen in die Umsetzung eingebunden werden, befinde sich „derzeit noch in der Abstimmung“, so das BMI.

Die Antworten auf die offenen Fragen hängen laut Ministerium auch vom Haushalt 2025 ab, über den das Kabinett |derzeit erneut verhandelt|. Der aktuelle Entwurf sieht für das das europäische Identitätsökosystem Mittel in Höhe von insgesamt 40 Millionen Euro vor.

Umfassendes Konzept erst im Herbst 2025

Markus Reichel, Berichterstatter für digitale Identitäten in der CDU-Fraktion, |fordert||e gegenüber dem Tagesspiegel Background|, die Entscheidungen nicht länger hinauszuzögern: „Zwar macht es Sinn, sich vorerst alle Optionen bei der Ausgestaltung des Ökosystems offenzulassen, aber irgendwann muss auch eine Entscheidung her.“ Außerdem werde die digitale Brieftasche „einen noch nicht dagewesenen Digitalisierungsschub“ auslösen, so Reichel, und das müsse die Regierung in ihrem Haushalt berücksichtigen.

Trotz der offenen Fragen ist das Ministerium zuversichtlich, die von der EU vorgegebenen Fristen einhalten zu können. Der Brüsseler Zeitplan sieht vor, die Durchführungsrechtsakte bis zum 21. November 2024 zu erlassen. Zwei Jahre später, also bis zum Herbst 2026, müssen die Mitgliedstaaten ihren Bürger:innen dann eine Wallet zur Verfügung stellen.

Ein Jahr zuvor, im Herbst 2025, will das BMI „ein umfassendes Konzept“ vorlegen, „das alle zentralen Fragen zur deutschen Umsetzung der novellierten eIDAS-Verordnung klärt“. Dazu gehört auch das finale Architekturkonzept, das die Rollen und Zuständigkeiten im EUDI-Ökosystem und damit die Anforderungen an eine nationale Wallet |definiert|.

|Zivilgesellschaft und IT-Fachleute schlagen Alarm|

Wallet-Wettbewerb bis Mai 2025

Ein Prototyp für eine deutsche Wallet soll im Mai 2025 vorliegen – „vorbehaltlich zur Verfügung stehender Haushaltsmittel für Entwicklung, Rollout und Betrieb in 2025 und den folgenden Jahren“, wie das BMI betont. Aus dem Prototypen soll dann in einem „iterativen Prozess“ schrittweise eine „vollfunktionsfähige EUDI-Wallet“ hervorgehen, die den rechtlichen Anforderungen entspricht, so das Ministerium.

Dieser Prozess sei als stufenweiser Rollout bis zum Herbst 2026 geplant, sagte Torsten Lodderstedt, der das Projekt bei Sprind leitet, gegenüber netzpolitik.org. Dabei würden nach und nach weitere Funktionen zur Wallet hinzugefügt. „Der Start der Entwicklung erfolgt jetzt, da das EUDI-Wallet einen sehr großen Funktionsumfang besitzt, die Entwicklung und Bereitstellung dieser Funktionen zeitaufwändig ist, gleichzeitig die Bundesrepublik Deutschland aber zur Bereitstellung der voll funktionsfähigen EUDI-Wallet bis Ende 2026 verpflichtet ist“, so Lodderstedt.

Die derzeit veranschlagten 40 Millionen Euro könnten aus seiner Sicht ausreichen, um eine erste Wallet zu entwickeln und anzubieten. „Allerdings wird der betreffende Haushaltstitel auch zur Finanzierung anderer Themen im Bereich digitale Identität verwendet werden“, mahnt Lodderstedt. Es komme daher entscheidend darauf an, wie die Mittel innerhalb des Haushaltstitels priorisiert werden.

Staatliche versus private Lösungen

Einfluss auf die Priorisierung dürfte auch die Entscheidung haben, wer die Wallet am Ende herausgeben und betreiben darf. Doch auch dies ist laut BMI derzeit ungeklärt. Es sei noch nicht entschieden, ob „relevante und kritische Kernbestandteile“ des Wallet-Ökosystems künftig staatlich betrieben werden, schreibt das Ministerium in seiner Antwort auf die Kleine Anfrage.

Die Bereitstellung staatlicher Wallets sei zwar grundsätzlich im Sinne der angestrebten digitalen Souveränität, verursache aber auch Kosten und könne zudem nicht-staatliche Anbieter vom Markt verdrängen.

Würde sich die Regierung hingegen dafür entscheiden, nur nicht-staatliche Wallets zuzulassen, bedeute dies „eine größere Flexibilität hinsichtlich der Bedienung von Marktanforderungen“ und könne zugleich die Kosten senken, so das Ministerium.

Bei einer Mischform aus beiden Varianten würde der Staat hingegen nur die Basiskomponenten für die angebotenen Wallets – „relevante und kritische Kernbestandteile des EUDI-Wallet-Ökosystems“ – bereitstellen. Auch dies wäre aber laut BMI mit einem erhöhten Aufwand verbunden und könnte zudem dazu führen, „dass redundante Lösungen durch parallele Entwicklungen ähnlicher Produkte entstehen“.

Die Antwort des BMI lässt eine Präferenz für die zweite, „marktfreundliche“ Variante vermuten. Genaueres erfahren wir in den „kommenden Wochen“. Dann will die Bundesregierung „Zwischenstände“ ihrer Überlegungen bekanntgeben, wer die Wallet herausgeben und betreiben darf.

Neues zum PIN-Rücksetzbrief

Auch in die Debatte um den PIN-Rücksetzbrief kommt allmählich Bewegung. Bis Ende vergangenen Jahres konnten Bürger:innen |auf einer Webseite des Bundesinnenministeriums| noch kostenfrei eine PIN bestellen, mit der sich |die eID-Funktion des Personalausweises| aktivieren oder bei Verlust der PIN reaktivieren lässt. Im Dezember |verkündete die Regierung ||dann überraschend das Aus| für den Dienst wegen „unkalkulierbarer Kosten“.

Nun strebt die Bundesregierung offenbar eine Lösung an, die das digitale Zurücksetzen der PIN mittels Wallet ermöglicht. Diese Lösung könnte nach Angaben des Ministeriums „vorbehaltlich zur Verfügung stehender Haushaltsmittel“ in der zweiten Jahreshälfte 2025 zur Verfügung stehen.

Die digitale Freischaltung könnten dann aber nur all jene nutzen, die die Wallet bereits aktiviert haben. Das geht unter anderem mit der eID-Funktion des Personalausweises. Und hier beißt sich die Katze in den Schwanz: Denn wer die noch nicht aktiviert hat, muss eine neue PIN wohl oder übel per Brief bestellen.

Deshalb will die Bundesregierung den PIN-Rücksetzbrief wieder zurückholen. Er soll noch in diesem Jahr kommen, so das BMI in seiner Antwort auf die Kleine Anfrage. Allerdings wird er dann nicht länger gratis sein. Auf Bürger:innen, die ihre PIN zurücksetzen müssen, kämen dann |Kosten in Höhe von mutmaßlich 20 Euro| zu.

Alternativ dazu können Bürger:innen wie anno dazumal aufs Amt gehen. Das kostet zwar kein Geld, aber Zeit.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|John Cameron|

|eine digitale Brieftasche anbieten|

|das Bundesinnenministerium (BMI) in dieser Woche anlässlich einer Kleinen Anfrage der CDU-/CSU-Fraktion|

|Konsultationsprozess|

|vor rund einem Jahr gestartet hat|

| ein Prototyp für eine digitale Brieftasche stehen|

|im Rennen|

|zur öffentlichen Konsultation vorgelegt|

|reformierten eIDAS-Verordnung|

|zu den geplanten Rechtsvorschriften äußern|

|freiwillig und kostenlos sowie interoperabel sein soll|

|derzeit erneut verhandelt|

|fordert|

|e gegenüber dem Tagesspiegel Background|

|definiert|

|Zivilgesellschaft und IT-Fachleute schlagen Alarm|

|auf einer Webseite des Bundesinnenministeriums|

|die eID-Funktion des Personalausweises|

|verkündete die Regierung |

|dann überraschend das Aus|

|Kosten in Höhe von mutmaßlich 20 Euro|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

The EU Parliament’s last Pirate: „You can make a change even if you are low in numbers“

Thu, 15 Aug 2024 15:43:34 +0000

Maximilian Henning

Markéta Gregorová represents the Czech Pirate Party in the European Parliament since 2019. The Pirates were decimated in the European election a few months ago, |losing three of their four seats|, including the only German one. Only Gregorová managed to re-enter the Parliament, where she will again be part of the Greens group.

netzpolitik.org: How does it feel to be the only Pirate in the EU Parliament?

Markéta Gregorová: It’s a little bit lonely, of course. A lot of the decision-making was done with several people, not just the delegates, but also their teams. Dozens of people could help with research, for example. This is no more. In this regard, it gets a little bit lonely, and of course there is a lot of responsibility for the whole Pirate movement on the European level. But I still have my great team, and I can still consult with the previous delegates and with the party. It balances itself out.

netzpolitik.org: How much change does the election result mean for you?

Markéta Gregorová: We were four before, so we had to make compromises in terms of who will go into which committee. Now, I didn’t have to compromise. I was previously mostly in the trade committee, and I’m staying there. I’m also going to the industry committee, where my colleague Mikuláš Peksa used to sit, and to LIBE, the committee for civil liberties, where Patrick Breyer used to be. I will take over a lot of the files that he worked on previously.

Who wants to work on chat control?

There will be a lot of digital rights files – GDPR as well as the famous chat control. So yes, I’m broadening my spectrum of files but still staying in the field of security, especially external security, which was my focus so far.

I am actually looking forward to working on |the GDPR recast|, because I think it’s one the of the best legislations that came up from this house in the past 10 years. If there can be room for improvement, then it would be an honour if I was given the opportunity to work on it.

In the trade and industry committees, I want to focus on what kind of relationship we have with China, because it will greatly influence our security, global security, our dependencies and strategic autonomy, and I feel like a lot of people are sleeping on it. China has been keeping Russia’s war economy afloat for the past two years, and we are here like, sure, we can do business as usual. I don’t think that’s going to work.

netzpolitik.org: Patrick Breyer was the Greens’ shadow rapporteur on the chat control file. Will you take over that responsibility?

Markéta Gregorová: Well, it’s not decided yet. I’m sort of stating my interest now.

netzpolitik.org: And are you looking forward to working on it?

Markéta Gregorová: Absolutely not. Both based on its content, but also because of what’s going on around it. Luckily, Patrick himself managed to vastly improve the position of the Parliament, but then there was the ongoing fight with the Council, which of course |did not vote on it for now|. That’s positive news. But it seems like it’s just a problem that’s currently sleeping, waiting to wake up and bother us all again. I don’t look forward to working on it at all and I do hope that it will stay asleep or somehow get pushed away.

We’ll see, based of course on the new Commission, on who will take over the file. I very much look forward to the hearings of the future Commission.

„There needs to be a dedicated Commissioner for internal security“

netzpolitik.org: Sweden has already announced |it will not put Johansson forward again|, so we’ll definitely have someone new in charge of the chat control proposal at the Commission. In theory, the Commission could just withdraw the whole proposal, right?

Markéta Gregorová: Yes, they could. It will depend on how von der Leyen will divide up the new Commissioners’ portfolios. Because currently, you could say Johannsson does a lot in regards to migration and doesn’t have much time for anything else. Will there be a more digital portfolio? Or will all of it go to one person again, dealing with internal security?

It’s just ridiculous that we still don’t have a system with fewer Commissioners. There was a reform proposal that envisioned 15 Commissioners, right? Then we could talk about having Commissioners with broad portfolios. But if you have 27 Commissioners, as we currently still do, then let them specialise in what really matters.

There needs to be a dedicated Commissioner for internal security, minus migration. Hybrid threats, disinformation, propaganda, foreign interference. It’s not just whatever happens on Facebook – it’s a huge ecosystem of problems. I think there should be a dedicated portfolio, and I know there won’t be one. And I’m afraid of who will end up being responsible for it and what that person will do, and if they will get political support from the rest of the Commission.

„That’s why I believe that the Pirate party should still exist“

netzpolitik.org: How big of a topic are digital rights in the EU currently? For example, in her big speech to the EU Parliament, just before the vote on whether she would get a second term as Commission President, Ursula von der Leyen talked about all her big proposals and ideas. Chat control, probably the biggest digital rights file currently, was not one of them. Why do you think that is?

Markéta Gregorová: If a person is very pessimistic, you could hear von der Leyen talk about it when she mentioned increased policing, funds for Europol and the strengthening of intelligence services. But of course, that’s going against digital rights. I share the sentiment that it is problematic that nobody pays much attention to such an important part of our society and the ever-increasing problem of digital oligopolies. That’s also why I believe that the Pirate party should still exist. How do we differ from the Greens? How do we differ from Volt? We prioritize this topic.

I recently read the book Surveillance Valley, by Yasha Levine. It really puts into perspective the foundation of the internet as whole, that it was founded as a surveillance project by the US government and how we really need to fight for every right because it’s not the default. It hurt me in many places, being a long-time Pirate. I’ve been in the Pirate party for thirteen years, only to read now that we never really had a decentralised, anonymous internet to begin with. It was always someone else’s playground.

I don’t see many people across the political spectrum interested in that, but there are always people passionate about it in the same way that we are. It’s always about finding those contacts, about creating the networks, and trying to work together in negotiations. Such as, for instance, with chat control, where the position of the Parliament would have been vastly different if not for the, like, seven people that were really keen on stopping it. You can make a change, even if you are low in numbers.

netzpolitik.org: What other topics will you be working on?

Markéta Gregorová: We haven’t touched on Ukraine yet, which will still be a big topic of mine. I joined the trade committee for supporting Ukraine, Moldova and others through economic means, trade liberalisation and so on. In the industry committee, it’s through security means, getting ammunition to Ukraine for example. I have been in Ukraine twice in the past month, in Kharkiv and at the eastern front. It will remain my number one priority, probably because you cannot talk about external security and not talk about Ukraine and, naturally, Russia.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|CC-BY-SA 2.0|

|Wikimedia Commons|

|losing three of their four seats|

|the GDPR recast|

|did not vote on it for now|

|it will not put Johansson forward again|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Trojaner, Biometrie, Big Data: Wir veröffentlichen den Entwurf zum neuem BKA-Gesetz

Thu, 15 Aug 2024 10:57:43 +0000

Andre Meister

Das BKA-Gesetz zu ändern, steht nicht |im Koalitionsvertrag|. Offizieller Anlass ist die Umsetzung der |EU-Richtlinie zum Datenaustausch zwischen Polizeibehörden|. Doch das Innenministerium plant mehrere Vorhaben, die mit der Richtlinie nichts zu tun haben und dem Koalitionsvertrag widersprechen.

Heimlich in Wohnungen einbrechen

Das BKA soll in Zukunft „Wohnungen ohne Wissen der Betroffenen durchsuchen“. Die Polizei soll Durchsuchungen durchführen, „potentielle Tatmittel unbrauchbar machen“ – und IT-Geräte hacken.

Die Erfolgsaussichten sind dabei deutlich höher als bei der klassischen Durchführung via Fernzugriff, da keine Mitwirkung der Zielperson notwendig ist. Die Mitwirkung kann nicht in allen Szenarien erreicht werden, insbesondere wenn die betroffenen Geräte nur zu bestimmten Funktionen und nicht dem alltäglichen Gebrauch verwendet werden.

Staatstrojaner im Koalitionsvertrag

Im Koalitionsvertrag hat die Bundesregierung |zu Staatstrojanern vereinbart|: „Für den Einsatz von Überwachungssoftware, auch kommerzieller, setzen wir die Eingriffsschwellen hoch“. Dieser Gesetzentwurf senkt die Eingriffsschwellen ab.

Vor einem Jahr hat Justizminister Marco Buschmann |einen Gesetzentwurf vorgelegt|, mit dem die Polizei Staatstrojaner etwas seltener nutzen dürfen soll. Diese Angleichung der Quellen-TKÜ an die Online-Durchsuchung steht ebenfalls |im Koalitionsvertrag|. Dieses Gesetz kommt aber nicht von der Stelle, weil Innenministerin Faeser blockiert.

Im Koalitionsvertrag hat sich |die Bundesregierung verpflichtet|, IT-Sicherheitslücken nicht offenzuhalten, sondern immer schnellstmöglich zu schließen. Dazu hat das Innenministerium bis heute keinen Gesetzentwurf vorgelegt. Stattdessen will Innenministerin Faeser |Sicherheitslücken offenlassen und ausnutzen|.

Biometrische Überwachung im Internet

Das neue Gesetz erlaubt der Polizei, Personen anhand biometrischer Daten in „öffentlich zugänglichen Daten aus dem Internet“ zu suchen. So sollen „Personen identifiziert und lokalisiert sowie Tat-Täter-Zusammenhänge erkannt werden“. Prominentes Beispiel ist Gesichtserkennung mit Tools wie Clearview AI und PimEyes.

Diese Befugnis gilt nicht nur für Bundeskriminalamt und Bundespolizei, sondern mittels Strafprozessordnung für alle Polizeibehörden. Die Polizei soll nicht nur nach Verdächtigen suchen, sondern auch andere Personen wie „Kontaktpersonen, Opfer und Zeugen“.

Biometrische Merkmale sind dabei nicht nur „Lichtbilder und Fingerabdrücke“, sondern auch „weitere Identifizierungsmerkmale“ wie zum Beispiel „Bewegungs-, Handlungs- oder Sprechmuster“.

Dazu |steht im Koalitionsvertrag|: „Den Einsatz von biometrischer Erfassung zu Überwachungszwecken lehnen wir ab. Das Recht auf Anonymität sowohl im öffentlichen Raum als auch im Internet ist zu gewährleisten.“

Big Data wie Palantir

Polizeibehörden nutzen viele Datenbanken, je nach Zweck und Rechtsgrundlage. Der neue Gesetzentwurf soll es der Polizei ermöglichen, die „verschiedenen Datenbestände technisch zusammenzuführen“. Mit „automatisierter Datenanalyse“ wollen die Behörden „neues Wissen erzeugen“. Das Versprechen von Big Data und |Palantir|.

Hessen und Hamburg hatten bereits Gesetze zur automatisierten Datenanalyse. Die hat das Bundesverfassungsgericht vor einem Jahr als |verfassungswidrig eingestuft und gekippt|. Innenministerin Faeser will die Befugnis wieder einführen – für alle Polizeien in Bund und Ländern. Im Koalitionsvertrag steht dazu nichts.

Zwar darf die Polizei damit nur Straftaten von erheblicher Bedeutung verfolgen. Die Datensätze sollen aber bereits anlasslos zusammengeführt werden:

Die Daten können nur dann schnell und effizient analysiert werden, wenn zumindest der Grunddatenbestand bereits zusammengeführt und aktualisiert in einem einheitlichen Datenformat in einer entsprechenden Anwendung vorliegt.

Der Vorgang der Zusammenführung und Formatierung ist aufgrund der Masse der Daten aufwändig, so dass eine Zusammenführung lediglich im Einzelfall dem gewünschten Zweck der schnellen und effektiven Gefahrenabwehr nicht gerecht werden könnte.

Die Big-Data-Superdatenbank soll das BKA entweder selbst entwickeln oder „als kommerzielle Lösung beschaffen“. Der Gesetzentwurf plant Kosten von 14,3 Millionen Euro.

Kernbereich und Anonymität

Vor zwei Jahren |hat das Bundesverfassungsgericht| das Polizeigesetz in Mecklenburg-Vorpommern als teilweise verfassungswidrig eingestuft. Unter anderem schützt es den absolut geschützten „Kernbereich privater Lebensgestaltung“ nicht ausreichend. Das neue Gesetz soll das Eindringen in den Kernbereich jetzt „insoweit ausschließen, als sich dieses mit praktisch zu bewältigendem Aufwand im Vorfeld vermeiden lässt“.

Der Gesetzentwurf ändert die Definition von „anonym“. |Laut Wikipedia bedeutet Anonymität|, „dass eine Person oder eine Gruppe nicht identifiziert werden kann“. Laut Gesetz soll Anonymisierung bedeuten, „dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können“. Dabei geht De-Anonymisierung |immer häufiger und einfacher|.

Das Innenministerium erlaubt die „Datenerhebung für die Erprobung von Einsatztechnik“. Zum Erheben und Verarbeiten von Daten gibt es viele Vorschriften. Diese sollen etwas abgeschwächt werden „für die Entwicklung, Überprüfung, Änderung und das Trainieren von IT-Produkten“. Das BKA und seine Dienstleister sollen personenbezogene Daten erheben dürfen, „auch im öffentlichen Raum“.

Der Gesetzentwurf setzt die |EU-Richtlinie über den Informationsaustausch zwischen den Strafverfolgungsbehörden| um. Das betrifft vor allem „die Übermittlung oder Bereitstellung von Daten“ zwischen Deutschland und anderen EU- und Schengen-Staaten.

„Es sind ernste Zeiten.“

Eine Sprecherin des Innenministeriums kommentiert gegenüber netzpolitik.org:

Die Sicherheitsbehörden brauchen zeitgemäße Befugnisse, um Tatverdächtige und Gefährder insbesondere im Bereich von Terrorismus und schwerer und organisierter Kriminalität schnell und effektiv identifizieren und lokalisieren zu können.

|Manuel Höferlin|, innenpolitischer Sprecher der FDP-Fraktion, kommentiert gegenüber netzpolitik.org:

Es steht außer Frage, dass die Ermittlungsbehörden angemessene und starke Ermittlungsinstrumente benötigen. Eingriffe in die Rechte der Menschen dürfen aber nicht leichtfertig vorgenommen werden, sondern müssen wohl durchdacht sein. Anderenfalls schafft sich der Rechtsstaat selbst ab.

Insbesondere die Heimlichkeit der Durchsuchung macht das Vorhaben schwierig, denn die Freien Demokraten stehen nicht für eine Stasi 2.0, sondern für einen Rechtsstaat, der die Freiheit aller Bürger schützt.

|Konstantin von Notz|, stellvertretender Vorsitzende der Grünen-Fraktion, |kommentiert gegenüber RND|:

Es sind ernste Zeiten. Und das BKA braucht moderne Ermittlungsbefugnisse und ‑mittel. Gleichzeitig ist völlig klar, dass es diese Befugnisse bloß im Rahmen der verfassungsmäßigen Ordnung geben kann.

Update (14:10): Wir hatten auch den |Sebastian Hartmann|, innenpolitischer Sprecher der SPD-Fraktion, nach einem kurzen O-Ton angefragt. Sein Büro teilt mit: „Aus zeitlichen Gründen steht Herr Hartmann leider nicht zur Verfügung.“

Justizminister Marco Buschmann sagt |auf X| und |gegenüber Bild|:

Es wird keine Befugnisse zum heimlichen Schnüffeln in Wohnungen geben. Im Staat des Grundgesetzes machen wir so etwas nicht. Das wäre ein absoluter Tabubruch. Als Verfassungsminister lehne ich solche Ideen ab. Sollte jemand das ernsthaft vorschlagen wollen, wird ein solcher Vorschlag weder das Kabinett passieren noch wird es eine Mehrheit im Parlament dafür geben.

─────────────────────────

Hier der Gesetzentwurf in Volltext:

─────────────────────────

Datum: 06.08.2024

Von: Bundesministerium des Innern und für Heimat

An: Bundesregierung

Status: Referentenentwurf

Entwurf eines Gesetzes zur Änderung des Bundeskriminalamtgesetzes und weiterer Gesetze

A. Problem und Ziel

Der Gesetzentwurf dient der Stärkung der öffentlichen Sicherheit in Deutschland, der Umsetzung von Rechtsakten der Europäischen Union und der Rechtsprechung des Bundesverfassungsgerichts sowie der allgemeinen Überarbeitung des Bundeskriminalamtgesetzes.

Das Bundeskriminalamt hat eine zentrale Position in der Sicherheitsarchitektur der Bundesrepublik Deutschland inne – als Zentralstelle, in der Strafverfolgung und zur Abwehr von Gefahren des internationalen Terrorismus. Zur Bewältigung dieser Aufgaben muss das Bundeskriminalamt in der Lage sein, auf neue Entwicklungen effektiv und angemessen reagieren können. Kriminalitätsphänomene und Bedrohungen entwickeln sich mit hoher Geschwindigkeit. Auch internationale Krisen haben unmittelbare Auswirkungen auf die innere Sicherheit in Deutschland, gerade im Bereich der Terrorismusabwehr. Zur Stärkung der öffentlichen Sicherheit bedarf es wirksamer und moderner Instrumente für das Bundeskriminalamt. Der Gesetzentwurf verfolgt das Ziel, sowohl im Bereich der Datenerhebung als auch -weiterverarbeitung punktuelle Anpassungen vorzunehmen. Straftäter hinterlassen in der analogen wie auch digitalen Welt Spuren: Polizeibehörden müssen in beiden Situationen über die erforderlichen Ermittlungsinstrumente verfügen.

Die Richtlinie (EU) 2023/977 vom 10. Mai 2023 über den Informationsaustausch zwischen den Strafverfolgungsbehörden regelt den Austausch von Informationen zwischen Strafverfolgungsbehörden zum Zwecke der Verhütung, Aufdeckung oder Untersuchung von Straftaten. Die Verordnung (EU) 2022/991 vom 8. Juni 2022 zur Änderung der Verordnung (EU) 2016/794 in Bezug auf die Zusammenarbeit von Europol mit privaten Parteien, die Verarbeitung personenbezogener Daten durch Europol zur Unterstützung strafrechtlicher Ermittlungen und die Rolle von Europol in Forschung und Innovation sowie die Verordnung (EU) 2022/1190 vom 6. Juli 2022 zur Änderung der Verordnung (EU) 2018/1862 in Bezug auf die Eingabe von Informationsausschreibungen zu Drittstaatsangehörigen im Interesse der Union in das Schengener Informationssystem erfordern Änderungen im nationalen Recht. Aus der Evaluierung des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 folgen Änderungsbedarfe im Bundesdatenschutzgesetz, soweit dieses die Richtlinie (EU) 2016/680 umsetzt.

Vor dem Hintergrund der praktischen Anwendung des Bundeskriminalamtsgesetzes seit Inkrafttreten der Neustrukturierung des Gesetzes im Jahr 2018 besteht ein allgemeiner Überarbeitsbedarf.

B. Lösung

Der Gesetzentwurf betrifft im Wesentlichen das Bundeskriminalamtgesetz. Er umfasst Vorschriften zur verdeckten Datenerhebung zu Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt sowie moderne, datenbezogene Befugnisse zum biometrischen Abgleich öffentlich zugänglicher Daten aus dem Internet und zur automatisierten Analyse polizeilicher Datenbestände. Darüber hinaus erfolgen leichte Veränderungen der Regelungen zu Speicherfristen und anderer Vorschriften des Gesetzes. Weitere Regelungen betreffen die Umsetzung der Richtlinie (EU) 2023/977, die Angleichung an die Verordnungen (EU) 2022/991 und (EU) 2022/1190 sowie Anpassungen des Bundesdatenschutzgesetzes. Die Regelungen zum Schutz des Kernbereichs der privaten Lebensgestaltung beim Einsatz von Verdeckten Ermittlern und Vertrauenspersonen werden angepasst. Das Bundespolizeigesetz ist hinsichtlich der Umsetzung der Richtlinie (EU) 2023/977 sowie der Regelungen zum biometrischen Internetabgleich und der automatisierten Datenanalyse betroffen. Hinsichtlich der beiden letztgenannten Punkte ist auch die Strafprozessordnung umfasst.

C. Alternativen

Keine

D. Haushaltsausgaben ohne Erfüllungsaufwand

Es entstehen keine Haushaltsausgaben ohne Erfüllungsaufwand.

E. Erfüllungsaufwand

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger

Für Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.

E.2 Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft entsteht kein Erfüllungsaufwand.

Davon Bürokratiekosten aus Informationspflichten

Keine.

E.3 Erfüllungsaufwand der Verwaltung

Dem Bundeskriminalamt entsteht aufgrund der gesetzlichen Änderungen ein Umsetzungsaufwand von insgesamt 38,54 Millionen Euro.

F. Weitere Kosten

Es entstehen keine weiteren Kosten.

─────────────────────────

Referentenentwurf des Bundesministeriums des Innern und für Heimat

Entwurf eines Gesetzes zur Änderung des Bundeskriminalamtgesetzes und weiterer Gesetze

Vom …

Der Bundestag hat mit Zustimmung des Bundesrates das folgende Gesetz beschlossen:

Artikel 1

Änderung des Bundeskriminalamtgesetzes

Das Bundeskriminalamtgesetz vom 1. Juni 2017 (BGBl. I S. 1354; 2019 I S. 400), das zuletzt durch Artikel 14 des Gesetzes vom 6. Mai 2024 (BGBl. 2024 I Nr. 149) geändert worden ist, wird wie folgt geändert:

Die Inhaltsübersicht wird wie folgt geändert:

Nach der Angabe zu § 10a wird folgende Angabe eingefügt:

„§ 10b Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet“.

Nach der Angabe zu § 16 wird folgende Angabe eingefügt:

„§ 16a Automatisierte Datenanalyse“.

Die Angabe zu § 22 wird wie folgt gefasst:

„§ 22 Weiterverarbeitung von Daten zu weiteren Zwecken“.

Nach der Angabe zu § 26 wird folgende Angabe eingefügt:

„§ 26a Datenübermittlung und -bereitstellung an Mitgliedstaaten der Europäischen Union und Schengen-assoziierte Staaten gemäß der Richtlinie (EU) 2023/977“.

Nach der Angabe zu § 39 wird folgende Angabe eingefügt:

„§ 39a Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet“.

Nach der Angabe zu § 63a wird folgende Angabe eingefügt:

„§ 63b Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet“.

Die Angabe zu § 73 wird wie folgt gefasst:

„§ 73 Datenschutzrechtliche Verantwortung für die Tätigkeit der Verbindungsbeamtinnen und Verbindungsbeamten des Bundeskriminalamtes und der im Ausland eingesetzten Personen“.

In der Angabe zu § 85 werden die Wörter „im polizeilichen Informationsverbund sowie bei projektbezogenen gemeinsamen Dateien“ durch die Wörter „bei mehreren speicherungsberechtigten Stellen“ ersetzt.

Die Angabe zu Unterabschnitt 6 von Abschnitt 9 wird gestrichen.

Nach der Angabe zu § 85 wird folgende Angabe eingefügt:

„Abschnitt 9a Schadensausgleich“.

Die Angabe zu § 86 wird wie folgt gefasst:

„§ 86 Ergänzende Regelungen zum Schadensausgleich“.

§ 3 wird wie folgt geändert:

In Absatz 1 werden nach dem Wort „Organisation“ die Angabe „(Interpol)“ und nach den Wörtern „nationale Stelle für“ die Wörter „die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung“ eingefügt sowie das Wort „Europol“ in Klammern gesetzt.

Absatz 2 wird wie folgt geändert:

aa) In Nummer 2 Buchstabe b wird das Wort „und“ am Ende durch ein Komma ersetzt.

bb) In Nummer 3 Buchstabe b wird der Punkt am Ende durch das Wort „und“ ersetzt.

cc) Nach Nummer 3 wird folgende Nummer 4 angefügt:

„4. zentrale Kontaktstelle für den Informationsaustausch nach Artikel 14 Absatz 1 der Richtlinie (EU) 2023/977 des Europäischen Parlaments und des Rates vom 10. Mai 2023 über den Informationsaustausch zwischen den Strafverfolgungsbehörden der Mitgliedstaaten und zur Aufhebung des Rahmenbeschlusses 2006/960/JI des Rates (Abl. L 134 vom 22.5.2023, S. 1).“

§ 4 wird wie folgt geändert:

Absatz 1 Satz 1wird wie folgt geändert

aa) In Nummer 1 werden nach dem Wort „Betäubungsmitteln,“ das Wort „Cannabis“ und ein Komma eingefügt.

bb) In Nummer 2 werden nach der Angabe „(§§ 234, 234a, 239, 239b des Strafgesetzbuchs)“ die Wörter „der Bundespräsidentin oder“ eingefügt.

cc) In Nummer 3 Buchstabe b werden nach dem Wort „Nachteil“ die Wörter „der Bundespräsidentin oder“ eingefügt.

dd) In Nummer 6 Buchstabe b werden die Wörter „den Geheimdienst“ durch die Wörter „des Geheimdienstes“ ersetzt.

In Absatz 1 Satz 3 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

In Absatz 2 Satz 1 Nummer 2 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

§ 6 wird wie folgt geändert:

Absatz 1 Satz 1 wird wie folgt geändert:

aa) Nach dem Wort „Rechte“ werden die Wörter „der Präsidentin oder“ eingefügt.

bb) In Nummer 1 Buchstabe c werden nach dem Wort „Ersuchen“ die Wörter „der Präsidentin oder“ eingefügt.

cc) In Nummer 2 werden nach dem Wort „Aufenthaltsräume“ die Wörter „der Bundespräsidentin oder“ eingefügt.

In Absatz 2 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

In § 7 Absatz 2 Satz 1 wird das Wort „und“ durch das Wort „oder“ ersetzt.

§ 9 wird wie folgt geändert:

Nach Absatz 3 wird folgender Absatz 3a eingefügt:

„(3a) Das Bundeskriminalamt kann als nationale Stelle für Europol nach § 1 des Europol-Gesetzes, soweit dies zur Beantwortung von Auskunftsersuchen von Europol nach Artikel 26 Absatz 6b, Artikel 26a Absatz 6 oder Artikel 26b Absatz 6 der Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.5.2016, S. 53), die zuletzt durch Verordnung (EU) 2022/991 des Europäischen Parlaments und des Rates vom 8. Juni 2022 (ABl. L 169 vom 27.6.2022, S. 1) geändert worden ist, erforderlich ist, personenbezogene Daten bei nichtöffentlichen Stellen erheben.“

Es werden folgende Absätze 7 und 8 angefügt:

„(7) Das Bundeskriminalamt kann, soweit dies zur Erprobung von technischen Einsatzmitteln nach § 2 Absatz 5 Nummer 2 Satz 1 erforderlich ist, personenbezogene Daten erheben.

(8) Soweit sich die Erhebung personenbezogener Daten nach Absatz 1 oder 2 an Verpflichtete nach § 2 Absatz 1 des Geldwäschegesetzes richtet, ist es dem Verpflichteten verboten, auf Grund der Anfrage des Bundeskriminalamts einseitige Handlungen vorzunehmen, die für den Betroffenen nachteilig sind und die über die Erteilung der Auskunft hinausgehen, insbesondere bestehende Verträge oder Geschäftsverbindungen zu beenden, ihren Umfang zu beschränken oder ein Entgelt zu erheben oder zu erhöhen. Die Anfrage des Bundeskriminalamts ist mit dem ausdrücklichen Hinweis auf dieses Verbot und darauf zu verbinden, dass das Auskunftsersuchen nicht die Aussage beinhaltet, dass sich die betroffene Person rechtswidrig verhalten hat oder ein darauf gerichteter Verdacht bestehen müsse.“

§ 10 Absatz 1 Satz 2 wird wie folgt geändert:

In Nummer 5 Buchstabe b wird der Punkt durch ein Komma und das Wort „oder“ ersetzt.

Es wird folgende Nummer 6 angefügt:

„6. die zu erhebenden Daten erforderlich sind, um ein Auskunftsersuchen von Europol nach den in § 9 Absatz 3a genannten Vorschriften zu erledigen.“

Dem § 10a Absatz 1 wird folgender Satz angefügt:

„Das Bundeskriminalamt darf als nationale Stelle für Europol nach § 1 Europol-Gesetz Auskunft nach Satz 1 verlangen, soweit dies zur Beantwortung von Auskunftsersuchen von Europol nach den in § 9 Absatz 3a genannten Vorschriften erforderlich ist.“

Nach § 10a wird der folgende § 10b eingefügt:

„§ 10b

Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

(1) Das Bundeskriminalamt kann zur Ergänzung vorhandener Sachverhalte Daten, auf die es zur Erfüllung seiner Aufgaben zugreifen darf, mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgleichen, sofern

dies zur Erfüllung seiner Aufgabe als Zentralstelle nach § 2 Absatz 2 Nummer 1 erforderlich ist,

bestimmte Tatsachen den Verdacht begründen, dass eine Straftat im Sinne des § 2 Absatz 1 begangen worden ist oder die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine solche Straftat begehen wird und

die Verfolgung oder Verhütung der Straftat auf andere Weise aussichtslos oder wesentlich erschwert wäre.

(2) Die Maßnahme nach Absatz 1 darf gegen andere Personen als die in § 18 Absatz 1 Nummer 1 bis 3 bezeichnete Personen nur durchgeführt werden, sofern dies dem Zweck der Identifizierung oder Aufenthaltsermittlung dient.

(3) Für die nach Absatz 1 abzugleichenden Daten gilt § 12 Absatz 2 entsprechend. Der Abgleich mit Daten, die die aus in § 12 Absatz 3 genannten Maßnahmen erlangt wurden, ist ausgeschlossen.

(4) Die im Rahmen des Abgleichs nach Absatz 1 erhobenen Daten sind nach Durchführung des Abgleichs unverzüglich zu löschen, soweit sie keinen konkreten Ermittlungsansatz für den Ausgangssachverhalt aufweisen.“

Dem § 11 wird folgender Absatz 2 angefügt:

„(2) Das Bundeskriminalamt kann der Bundesnetzagentur zu dem Zweck des Ausschlusses der Unterdrückung der Anzeige der Rufnummer anrufender Endnutzer seine zentralen Rufnummern, die für die in Absatz 1 Satz 1 Nummer 1 und 2 genannten Zwecke genutzt werden, mitteilen.“

Nach § 16 wird folgender neuer § 16a eingefügt:

„§ 16a

Automatisierte Datenanalyse

(1) Das Bundeskriminalamt kann im Informationssystem oder im polizeilichen Informationsverbund gespeicherte personenbezogene Daten mittels einer automatisierten Anwendung zur Datenverarbeitung zusammenführen und darüber hinaus zum Zwecke der Analyse weiterverarbeiten, sofern dies zur Abwehr einer im Einzelfall bestehenden Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, im Zusammenhang mit Straftaten nach § 5 Absatz 1 Satz 2 erforderlich ist. Eine Maßnahme nach Satz 1 ist auch zulässig, sofern

Tatsachen die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat nach § 5 Absatz 1 Satz 2 begehen wird oder

das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums eine Straftat nach § 5 Absatz 1 Satz 2 begehen wird

und dies zur Verhütung dieser Straftat erforderlich ist.

(2) Absatz 1 gilt zur Verhütung von Straftaten gegen Leib, Leben oder Freiheit der nach § 6 zu schützenden Personen entsprechend.

(3) Zur Erfüllung der Aufgabe als Zentralstelle kann das Bundeskriminalamt die Zusammenführung und Weiterverarbeitung personenbezogener Daten nach Absatz 1 vornehmen, sofern bestimmte Tatsachen die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat im Sinne des § 2 Absatz 1 begehen wird oder begangen hat, sich diese Straftat gegen den Bestand oder die Sicherheit des Bundes oder eines Landes, Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, richtet und dies zur Verhütung oder Verfolgung der Straftat erforderlich ist.

(4) Im Rahmen der Weiterverarbeitung nach den Absätzen 1 bis 3 können insbesondere datei- und informationssystemübergreifend Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, Suchkriterien gewichtet, die eingehenden Erkenntnisse zu bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.“

In § 17 Absatz 6 Satz 1 und 5 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

In § 19 Absatz 2 Satz 1 wird: nach den Wörtern „Vermissten, unbekannten“ das Wort „hilflosen“ eingefügt.

§ 20 wird wie folgt geändert:

In Satz 1 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt und nach der Angabe „§§ 16“ die Angabe „Absatz 2 und 5“ eingefügt.

Satz 2 wird wie folgt geändert:

aa) In Nummer 2 werden nach dem Wort „Lichtbilder“ ein Komma und die Wörter „Audioaufzeichnungen, Videoaufzeichnungen“ eingefügt.

bb) In Nummer 7 wird nach den Wörtern „Vermissten, unbekannten“ das Wort „hilflosen“ eingefügt.

§ 22 wird wie folgt geändert:

Die Überschrift wird wie folgt gefasst:

„§ 22

Weiterverarbeitung von Daten zu weiteren Zwecken“.

Es werden folgende Absätze 3 bis 5 angefügt:

„(3) Personenbezogene Daten nach Absatz 2 kann das Bundeskriminalamt zur Erfüllung seiner Aufgaben weiterverarbeiten, wenn sich im Einzelfall konkrete Ermittlungsansätze

zur Verhütung, Aufdeckung oder Verfolgung schwerer Straftaten nach § 100a der Strafprozessordnung ergeben oder zur Verhütung von Straftaten nach § 5 Absatz 1 Satz 2 oder

zur Abwehr von in einem übersehbaren Zeitraum drohenden Gefahr

für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, ergeben oder

für den Bestand oder die Sicherheit des Bundes oder eines Landes erkennen lassen.

(4) Die nach § 9 Absatz 7 erhobenen personenbezogenen Daten dürfen nur zum Zwecke der Bewertung der Geeignetheit der erprobten Einsatztechnik und technischen Einsatzmittel weiterverarbeitet werden.

(5) Das Bundeskriminalamt darf bei ihm vorhandene personenbezogene Daten zur Entwicklung, Überprüfung, Änderung oder zum Trainieren von IT-Produkten weiterverarbeiten und an Dritte übermitteln, soweit dies erforderlich ist, insbesondere weil

unveränderte Daten benötigt werden oder

eine Anonymisierung oder Pseudonymisierung der Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.

§ 21 Absatz 1 Satz 2, Absatz 2 Satz 2, Absatz 4 und 6 gilt entsprechend.“

In § 23 Absatz 2 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

Nach § 26 wird folgender § 26a eingefügt:

„§ 26a

Datenübermittlung und -bereitstellung an Mitgliedstaaten der Europäischen Union und Schengen-assoziierte Staaten gemäß der Richtlinie (EU) 2023/977

(1) Für die Übermittlung oder Bereitstellung von Daten an Strafverfolgungsbehörden und zentrale Kontaktstellen der Mitgliedstaaten der Europäischen Union und der in § 26 Absatz 2 genannten Staaten gelten gemäß der Richtlinie (EU) 2023/977 ergänzend die nachstehenden Regelungen.

(2) Eine für die Übermittlung oder Bereitstellung von Daten nach deutschem Recht erforderliche Genehmigung durch eine Justizbehörde ist unverzüglich einzuholen. Bei der Übermittlung oder Bereitstellung von Daten ist mitzuteilen, dass die Verwendung als Beweismittel in einem Gerichtsverfahren unzulässig ist, es sei denn,

es liegt eine Zustimmung derjenigen Stelle vor, die für eine Zustimmung der Verwendung als Beweismittel zuständig ist, oder

die Verwendung als Beweismittel ist durch eine anwendbare völkerrechtliche Vereinbarung oder einen unmittelbar anwendbaren Rechtsakt der Europäischen Union zugelassen.

Die Zuständigkeit für die Zustimmung einer Verwendung als Beweismittel nach Satz 2 Nummer 1 richtet sich nach den Vorschriften über die internationale Rechtshilfe in Strafsachen.

(3) Die Übermittlung von Daten an eine zentrale Kontaktstelle eines anderen Staats ist in einer Sprache vorzunehmen, die der Staat, an dessen zentrale Kontaktstelle Daten übermittelt werden, zugelassenen hat. Ein an eine zentrale Kontaktstelle gerichtetes Ersuchens muss mindestens die folgenden Angaben enthalten:

die Angabe, ob das Ersuchen dringend ist und gegebenenfalls Angabe der Gründe für die Dringlichkeit,

eine Präzisierung der angeforderten Informationen, die so detailliert ist, wie dies unter den gegebenen Umständen in angemessener Weise möglich ist,

die Beschreibung des Zwecks, zu dem die Informationen angefordert werden, einschließlich einer Beschreibung des Sachverhalts und der zugrundeliegenden Straftat und

etwaige Beschränkungen einer Verwendung der in dem Ersuchen enthaltenen Informationen zu anderen Zwecken als denen, für die sich übermittelt wurden.

(4) Bei der Übermittlung von Daten an Strafverfolgungsbehörden, die nicht zentrale Kontaktstellen nach Artikel 14 Absatz 1 der Richtlinie (EU) 2023/977 sind, ist der zentralen Kontaktstelle des jeweiligen Staats gleichzeitig eine Kopie der Daten zu übermitteln. Hiervon kann abgewichen werden, wenn die Übermittlung von Daten Terrorismusfälle betrifft, bei denen es sich nicht um Not- oder Krisenmanagementsituationen handelt.

(5) Daten, die beim Bundeskriminalamt als zentraler Kontaktstelle nach § 3 Absatz 2 Nummer 4 auf Basis eines Ersuchens angefordert und übermittelt werden, sind vorbehaltlich des § 28 innerhalb folgender Fristen zur Verfügung zu stellen:

acht Stunden im Falle von dringenden Ersuchen bei dem Bundeskriminalamt unmittelbar zugänglichen Informationen,

drei Kalendertage im Falle von dringenden Ersuchen bei dem Bundeskriminalamt mittelbar zugänglichen Informationen,

sieben Kalendertage im Falle aller anderen Ersuchen.

Die in Satz 1 genannten Fristen beginnen mit Eingang des Ersuchens. Satz 1 gilt nicht, soweit eine Abweichung von den Fristen für eine Einholung einer Genehmigung nach Absatz 2 Satz 1 erforderlich ist. Die Stelle, die das Ersuchen gestellt hat, ist in diesem Fall unter Angabe von Gründen über die Dauer der erwarteten Verzögerung zu unterrichten. Nach Einholung der Genehmigung nach Absatz 2 Satz 1 sind die Daten unverzüglich zu übermitteln.

(6) Daten, die das Bundeskriminalamt selbst erhoben hat, sind im Einzelfall aus eigener Initiative zu übermitteln oder bereitzustellen, wenn tatsächliche Anhaltspunkte dafür vorliegen, dass diese Daten für einen anderen Mitgliedstaat der Europäischen Union zum Zwecke der Verhütung von Straftaten nach Artikel 2 Absatz 3 der Richtlinie (EU) 2023/977 relevant sein können und diese Daten dem Mitgliedstaat nicht bereits anderweitig übermittelt oder bereitgestellt wurden. Dies gilt nicht, sofern § 28 Absatz 1, 2 oder 2a Satz 1 der Übermittlung oder Bereitstellung von Daten entgegensteht.“

§ 27 wird wie folgt geändert:

In Absatz 2 Satz 1, Absatz 3 Satz 1 und Absatz 4 Satz 2 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

In Absatz 5 wird nach den Wörtern „Kriminalpolizeiliche Organisation“ die Angabe „(Interpol)“ eingefügt.

§ 28 wird wie folgt geändert:

In Absatz 2 wird die Angabe „§§ 26 und 27“ durch die Angabe „§§ 26, 26a und 27“ ersetzt.

Nach Absatz 2 wird folgender Absatz 2a eingefügt:

„(2a) Die auf einem an das Bundeskriminalamt als zentrale Kontaktstelle nach § 3 Absatz 2 Nummer 4 gerichteten Ersuchen gemäß der Richtlinie (EU) 2023/977 beruhende Übermittlung von Daten sowie die Übermittlung oder Bereitstellung von Daten gemäß der Richtlinie (EU) 2023/977 aus eigener Initiative unterbleibt unbeschadet der Absätze 1 und 2, soweit

eine nach deutschem Recht erforderliche Genehmigung durch eine Justizbehörde verweigert wurde,

es sich bei den angeforderten personenbezogenen Daten um andere als die in Anhang II Abschnitt B der Verordnung (EU) 2016/794 genannten Kategorien handelt oder

die Daten von einem Mitgliedstaat der Europäischen Union oder einem Drittstaat erlangt wurden und dieser der Übermittlung oder Bereitstellung nicht zugestimmt hat oder die Übermittlung oder Bereitstellung in Widerspruch zu den von dem Staat festgelegten Voraussetzungen für die Verwendung der Daten stünde.

Im Übrigen darf die auf einem Ersuchen gemäß der Richtlinie (EU) 2023/977 beruhende Übermittlung von Daten nur abgelehnt werden, soweit

die angeforderten Daten dem Bundeskriminalamt und den zuständigen Strafverfolgungsbehörden nicht zur Verfügung stehen,

das Ersuchen nicht den Anforderungen des § 26a Absatz 3 entspricht,

das Ersuchen eine Straftat betrifft, die nach deutschem Recht mit einer Freiheitsstrafe von höchstens einem Jahr geahndet werden kann oder

das Ersuchen eine Tat betrifft, die nach deutschem Recht keine Straftat darstellt.

Vor Ablehnung der Datenübermittlung soll der ersuchenden Stelle die Möglichkeit gegeben werden, Klarstellungen oder Präzisierungen beizubringen.“

In § 29 Absatz 2 Satz 3, Absatz 7 und Absatz 8 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

§ 33 wird wie folgt geändert:

Absatz 1 wird wie folgt geändert:

aa) In Nummer 3 wird das Wort „und“ durch ein Komma ersetzt.

bb) In Nummer 4 wird der Punkt durch das Wort „und“ ersetzt.

cc) Es werden die folgende Nummer 5 und der folgende Satz angefügt:

„5. einen Abgleich nach § 10b Absatz 1 zum Zweck der Identifizierung oder Aufenthaltsermittlung durchführen.

Aufgrund einer Ausschreibung nach Satz 1 Nummer 1 und, sofern es sich bei der anderen Person um einen Zeugen handelt, nach Nummer 2 darf das Bundeskriminalamt eine Öffentlichkeitsfahndung durchführen, wenn die Ausschreibung im Zusammenhang mit einer Straftat von erheblicher Bedeutung steht und die Aufenthaltsermittlung auf andere Weise aussichtslos oder wesentlich erschwert wäre. § 131 Absatz 4 und § 131a Absatz 4 und 5 der Strafprozessordnung gelten entsprechend.“

In Absatz 2 werden das Wort „und“ durch ein Komma ersetzt und nach der Angabe „4“ die Angabe „und 5“ eingefügt.

Absatz 4 wird wie folgt geändert:

aa) In Nummer 4 wird der Punkt durch ein Komma ersetzt.

bb) Es werden die folgende Nummer 5 und der folgende Satz angefügt:

„5. einen Abgleich nach § 10b Absatz 1 zum Zweck der Identifizierung oder Aufenthaltsermittlung durchführen.

Die Ausschreibung zur polizeilichen Beobachtung ist auch aufgrund eines Vorschlags von Europol nach Artikel 37a Absatz 1 der Verordnung (EU) 2022/1190 des Europäischen Parlaments und des Rates vom 6. Juli 2022 zur Änderung der Verordnung (EU) 2018/1862 in Bezug auf die Eingabe von Informationsausschreibungen zu Drittstaatsangehörigen im Interesse der Union in das Schengener Informationssystem (ABl. L 185/1 vom 12.7.2022, S. 1) zulässig.“

Absatz 5 wird wie folgt geändert:

aa) In Satz 1 werden nach der Angabe „Absatz 1“ die Angabe „Satz 1“ und nach dem Wort „ist,“ die Angabe „sowie Öffentlichkeitsfahndungen nach Absatz 1 Satz 2“ eingefügt.

bb) In Satz 2 wird nach der Angabe „Absatz 4“ die Angabe „Satz 1 Nummer 3 und 4“ eingefügt.

In Absatz 6 wird nach der Angabe „Absatz 4“ die Angabe „Satz 1“ eingefügt.

§ 34 Absatz 2 wird wie folgt gefasst:

„(2) Die Maßnahme nach Absatz 1 ist so zu planen und auszuführen, dass ein Eindringen in den Kernbereich privater Lebensgestaltung der betroffenen Person oder Dritter insoweit ausgeschlossen wird, als sich dieses mit praktisch zu bewältigendem Aufwand im Vorfeld vermeiden lässt. Je mehr der Einsatz insgesamt von einer Nähe zum Kernbereich privater Lebensgestaltung geprägt ist, desto eher muss er von vornherein unterbleiben. Die gezielte Abschöpfung von Informationen aus dem Kernbereich privater Lebensgestaltung ist unzulässig. Wenn sich während einer Maßnahme nach Absatz 2 tatsächliche Anhaltspunkte dafür ergeben, dass in den Kernbereich privater Lebensgestaltung der Zielperson oder Dritter eingedrungen wird, muss die konkrete Maßnahme unterbrochen werden. Eine Fortführung der Maßnahme ist nur zulässig, wenn und solange dies zum Schutz von Leben und Leib der beauftragten Person erforderlich ist. Beauftragte Personen dürfen keine Informationen über die Zielperson oder Dritte weitergeben, wenn diese Information selbst oder die Art und Weise ihrer Erlangung den Kernbereich privater Lebensgestaltung der Zielperson oder Dritter betreffen. Aufzeichnungen über Vorgänge, die den Kernbereich privater Lebensgestaltung betreffen, sind unverzüglich zu löschen. Erkenntnisse über solche Vorgänge dürfen nicht verwertet werden. Die Tatsache der Erfassung der Daten, die Gründe für eine Fortführung des Einsatzes nach Satz 5 und ihrer Löschung sind zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist. Die Löschung von personenbezogenen Daten, die nicht dem Kernbereich privater Lebensgestaltung zuzuordnen sind, erfolgt nach § 79 Absatz 1.“

In § 39 Absatz 3 wird das Wort „und“ durch ein Komma ersetzt sowie nach der Angabe „3“ die Angabe „und 8“ eingefügt.

Nach § 39 wird der folgende § 39a eingefügt:

„§ 39a

Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

(1) Das Bundeskriminalamt kann Daten, auf die es zur Erfüllung seiner Aufgaben zugreifen darf, mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgleichen, sofern

dies zur Abwehr einer im Einzelfall bestehenden Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, im Zusammenhang mit Straftaten nach § 5 Absatz 1 Satz 2 erforderlich ist und

die Abwehr der Gefahr auf andere Weise aussichtslos ist oder wesentlich erschwert wäre.

Die Maßnahme nach Satz 1 ist auch zulässig, sofern

das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums eine Straftat nach § 5 Absatz 1 Satz 2 begehen wird

und die Verhütung der Straftat auf andere Weise aussichtslos ist oder wesentlich erschwert wäre.

(2) Der Abgleich nach Absatz 1 Satz 1 darf gegen andere Personen als die entsprechend § 18 oder § 19 des Bundespolizeigesetzes Verantwortlichen, die in § 21 Absatz 1 des Bundespolizeigesetzes bezeichnete Person oder Personen im Sinne von Absatz 1 Satz 2 Nummer 1 oder 2 nur durchgeführt werden, sofern dies dem Zweck der Identifizierung oder Aufenthaltsermittlung dient

(3) Für die nach Absatz 1 Satz 1 abzugleichenden Daten gilt § 12 Absatz 2 entsprechend. Der Abgleich mit Daten, die die aus in § 12 Absatz 3 genannten Maßnahmen erlangt wurden, ist ausgeschlossen.

(4) Die im Rahmen des Abgleichs nach Absatz 1 Satz 1 erhobenen Daten sind nach Durchführung des Abgleichs unverzüglich zu löschen, soweit sie keinen konkreten Ermittlungsansatz für den Ausgangssachverhalt aufweisen.“

§ 40 wird wie folgt geändert:

In Absatz 2 werden nach der Angabe „(§ 22 Absatz 1 Satz 1 und § 23 Absatz 1 Satz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes)“ die Wörter „verlangt werden“ eingefügt.

In Absatz 3 wird nach der Angabe „Absatz 2 auf“ das Wort „nach“ gestrichen.

Dem § 41 wird folgender Absatz 5 angefügt:

„(5) Das Bundeskriminalamt kann Personen nach Absatz 1 Satz 1 zur Aufenthaltsermittlung ausschreiben, wenn deren Aufenthalt nicht bekannt ist. § 131a Absatz 4 der Strafprozessordnung gilt entsprechend.“

§ 45 Absatz wird wie folgt geändert:

Absatz 7 wird wie folgt gefasst:

„(7) Liegen tatsächliche Anhaltspunkte für die Annahme vor, dass durch eine Maßnahme nach Absatz 2 Nummer 1 bis 3 allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden, ist die Maßnahme unzulässig. Maßnahmen nach Absatz 2 Nummer 4 und 5 sind so zu planen und auszuführen, dass ein Eindringen in den Kernbereich privater Lebensgestaltung der Zielperson oder Dritter insoweit ausgeschlossen wird, als sich dieses mit praktisch zu bewältigendem Aufwand im Vorfeld vermeiden lässt. Je mehr der Einsatz insgesamt von einer Nähe zum Kernbereich privater Lebensgestaltung geprägt ist, desto eher muss er von vornherein unterbleiben. Die gezielte Abschöpfung von Informationen aus dem Kernbereich privater Lebensgestaltung ist unzulässig. Dazu zählen hinsichtlich der Maßnahmen nach Absatz 2 Nummer 4 und 5 insbesondere die Begründung oder die Fortführung einer intimen Beziehung oder vergleichbar engster persönlicher Bindungen zum Zwecke des Aufbaus oder Erhalts einer Vertrauensbeziehung mit der Zielperson.“

Nach Absatz 7 werden folgende Absätze 8 und 9 eingefügt:

„(8) Wenn sich während einer Maßnahme nach Absatz 2 tatsächliche Anhaltspunkte dafür ergeben, dass in den Kernbereich privater Lebensgestaltung der Zielperson oder Dritter eingedrungen wird, muss die konkrete Maßnahme unterbrochen werden. Eine Fortführung der Maßnahmen nach Absatz 2 Nummer 4 und 5 ist nur zulässig, wenn und solange dies zum Schutz von Leben und Leib der Vertrauensperson oder des Verdeckten Ermittlers oder zur Sicherung des weiteren Einsatzes der Vertrauensperson oder des Verdeckten Ermittlers erforderlich ist. Bestehen bei Durchführung der Maßnahmen nach Absatz 2 Nummer 2 Buchstabe a und b Zweifel dahingehend, ob tatsächliche Anhaltspunkte im Sinne von Satz 1 bestehen, darf die Maßnahme als automatische Aufzeichnung weiter fortgesetzt werden. Automatische Aufzeichnungen sind unverzüglich dem anordnenden Gericht vorzulegen. Das Gericht entscheidet unverzüglich über die Verwertbarkeit oder Löschung der Daten. Ist die Maßnahme nach Satz 1 unterbrochen worden, so darf sie für den Fall, dass sie nicht nach Absatz 7 Satz 3 und 4 unzulässig ist, fortgeführt werden.

(9) Vertrauenspersonen und Verdeckte Ermittler dürfen keine Informationen über die Zielperson oder Dritte weitergeben, wenn diese Informationen selbst oder die Art und Weise ihrer Erlangung den Kernbereich privater Lebensgestaltung der Zielperson oder Dritter betreffen. Erkenntnisse aus dem Kernbereich privater Lebensgestaltung, die durch eine Maßnahme nach Absatz 2 erlangt worden sind, dürfen nicht verwertet werden. Aufzeichnungen über Informationen und Erkenntnisse nach Satz 1 und 2 sind unverzüglich zu löschen. Die Tatsachen der Erfassung der Daten, die Gründe für eine Fortführung des Einsatzes nach Absatz 8 Satz 2 und der Löschung sind zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist. Die Löschung von personenbezogenen Daten, die nicht dem Kernbereich privater Lebensgestaltung zuzuordnen sind, erfolgt nach § 79 Absatz 1.“

Der bisherige Absatz 8 wird Absatz 10.

§ 46 Absatz 7 Satz 7 und 8 wird wie folgt gefasst:

„Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist. Die Löschung von personenbezogenen Daten, die nicht dem Kernbereich privater Lebensgestaltung zuzuordnen sind, erfolgt nach § 79 Absatz 1.“

Dem § 47 Absatz 2 wird folgender Satz angefügt:

„Die Ausschreibung zur polizeilichen Beobachtung ist auch aufgrund eines Vorschlags von Europol nach Artikel 37a Absatz 1 der Verordnung (EU) 2022/1190 des Europäischen Parlaments und des Rates vom 6. Juli 2022 zur Änderung der Verordnung (EU) 2018/1862 in Bezug auf die Eingabe von Informationsausschreibungen zu Drittstaatsangehörigen im Interesse der Union in das Schengener Informationssystem (ABl. L 185/1 vom 12.7.2022, S. 1) zulässig.“

§ 48 Absatz 3 Satz 4 und 5 wird gestrichen und wie folgt ersetzt:

„Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist. Die Löschung von personenbezogenen Daten, die nicht dem Kernbereich privater Lebensgestaltung zuzuordnen sind, erfolgt nach § 79 Absatz 1.“

§ 49 wird wie folgt geändert:

Dem Absatz 1 wird folgender Satz angefügt:

„Das Bundeskriminalamt darf unter den Voraussetzungen von Satz 1 bis 3, soweit dies zum Zweck der Umsetzung einer Maßnahme nach Satz 1 erforderlich ist, Sachen verdeckt durchsuchen sowie Räumlichkeiten der betroffenen Personen verdeckt betreten und durchsuchen.“

In Absatz 4 werden nach dem Wort „darf“ die Kommata und die Wörter „, auch soweit ein Fall des Satzes 4 vorliegt,“ eingefügt.

Nach Absatz 5 Nummer 2 wird folgende Nummer 2a eingefügt:

„2a. in Fällen des Absatzes 1 Satz 4, soweit möglich, auch eine Bezeichnung der Sachen und die Anschrift der Räumlichkeiten der betroffenen Personen,“.

Nach Absatz 6 Satz 2 Nummer 2 wird folgende Nummer 2a eingefügt:

„2a. im Falle des Absatzes 1 Satz 4, soweit möglich, auch eine Bezeichnung der Sachen und die Anschrift der Räumlichkeiten der betroffenen Personen,“.

Absatz 7 Satz 8 und 9 werden wie folgt gefasst:

„Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist. Die Löschung von personenbezogenen Daten, die nicht dem Kernbereich privater Lebensgestaltung zuzuordnen sind, erfolgt nach § 79 Absatz 1.“

§ 51 wird wie folgt geändert:

Nach Absatz 1 Satz 2 wird folgender Satz eingefügt:

„Das Bundeskriminalamt darf unter den Voraussetzungen von Satz 1 und 2, soweit dies zum Zweck der Umsetzung einer Maßnahme nach Satz 1 erforderlich ist, Sachen verdeckt durchsuchen sowie Räumlichkeiten der betroffenen Personen verdeckt betreten und durchsuchen.“

In Absatz 3 Satz 1 werden nach dem Wort „dürfen“ die Kommata und die Wörter „, auch soweit ein Fall des Absatzes 2 Satz 3 vorliegt,“ eingefügt.

Nach Absatz 4 Nummer 4 wird folgende Nummer 4a eingefügt:

„4a. in Fällen des Absatzes 2 Satz 3, soweit möglich, auch eine Bezeichnung der Sachen und die Anschrift der Räumlichkeiten der betroffenen Personen,“.

Absatz 5 Satz 2 wird wie folgt geändert:

aa) In Nummer 4 wird nach der Angabe „soll,“ das Wort „sowie“ gestrichen.

bb) Nach Nummer 4 wird folgende Nummer 4a eingefügt:

„4a. im Falle des Absatzes 2 Satz 3, soweit möglich, eine Bezeichnung der Sachen und die Anschrift der Räumlichkeiten der betroffenen Personen, sowie“.

Absatz 7 Satz 11 und 12 werden wie folgt gefasst:

„Sie ist zu löschen, wenn sie für diese Zwecke nicht mehr erforderlich ist. Die Löschung von personenbezogenen Daten, die nicht dem Kernbereich privater Lebensgestaltung zuzuordnen sind, erfolgt nach § 79 Absatz 1.“

§ 61 wird wie folgt geändert:

Nach Absatz 1 wird der folgende Absatz 1a eingefügt:

„(1a) Das Bundeskriminalamt kann Maßnahmen nach Absatz 1 Satz 1 verdeckt durchführen, wenn

bestimmte Tatsachen die Annahme rechtfertigen, dass innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Schädigung für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse liegt, eintreten wird oder

das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse liegt, schädigen wird,

und dies erforderlich ist, um Erkenntnisse über die Art und Weise der Begehung einer geplanten Straftat nach § 5 Absatz 1 Satz 2 zu gewinnen oder Sachen, die als Tatmittel einer Straftat nach § 5 Absatz 1 Satz 2 genutzt werden können, aufzufinden oder verdeckt unbrauchbar zu machen.“

In Absatz 2 wird nach der Angabe „Nummer 3“ die Angabe „und des Absatzes 1a“ eingefügt.

Dem Absatz 5 wird folgender Satz angefügt:

„Für Maßnahmen nach Absatz 1a gilt § 68 Absatz 1 und Absatz 4 Satz 1 und 2 sowie Satz 3 des Bundespolizeigesetzes mit der Maßgabe, dass die Niederschrift nur von einem durchsuchenden Beamten zu unterzeichnen ist, entsprechend.“

§ 63a wird wie folgt geändert:

In Absatz 2 werden nach der Angabe „(§ 22 Absatz 1 Satz 1 und § 23 Absatz 1 Satz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes)“ die Wörter „verlangt werden“ eingefügt.

In Absatz 3 Satz 2 wird nach der Angabe „Absatz 2 auf“ das Wort „nach“ gestrichen.

Nach § 63a wird folgender § 63b eingefügt:

„§ 63b

Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

zur Abwehr einer Gefahr für eine zu schützende Person oder für eine zu schützende Räumlichkeit nach § 6 oder

zum Schutz von Leib, Leben, Freiheit, sexueller Selbstbestimmung oder bedeutenden Sachwerten einer zu schützenden Person oder zum Schutz einer zu schützenden Räumlichkeit nach § 6, wenn Tatsachen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares Geschehen zulassen, an dem bestimmte Personen beteiligt sein werden, oder

zum Schutz von Leib, Leben, Freiheit oder sexueller Selbstbestimmung einer zu schützenden Person oder zum Schutz einer zu schützenden Räumlichkeit nach § 6, wenn das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie in einem übersehbaren Zeitraum eine Straftat gegen eines dieser Rechtsgüter der zu schützenden Person oder gegen eine zu schützende Räumlichkeit begehen wird,

und die Abwehr der Gefahr auf andere Weise aussichtslos oder wesentlich erschwert wäre.

(2) Der Abgleich nach Absatz 1 darf gegen andere Personen als die entsprechend § 18 oder § 19 des Bundespolizeigesetzes Verantwortlichen, die in § 21 Absatz 1 des Bundespolizeigesetzes bezeichnete Person oder Personen im Sinne von Absatz 1 Nummer 2 oder 3 nur durchgeführt werden, sofern dies dem Zweck der Identifizierung oder Aufenthaltsermittlung dient

In § 64 Absatz 4 wird die Angabe „und 8“ durch die Angabe „bis 10“ ersetzt.

§ 66a wird wie folgt geändert:

In Absatz 2 werden nach der Angabe „(§ 22 Absatz 1 Satz 1 und § 23 Absatz 1 Satz 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes)“ die Wörter „verlangt werden“ eingefügt.

Absatz 3 Satz 2 wird nach der Angabe „Absatz 2 auf“ das Wort „nach“ gestrichen.

In § 70 Satz 1 und 3 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

In § 72 Absatz 2 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

Die Überschrift von Abschnitt 9 Unterabschnitt 3 wird wie folgt gefasst:

„Datenschutzrechtliche Verantwortung für die Tätigkeit der an das Auswärtige Amt abgeordneten Verbindungsbeamtinnen und Verbindungsbeamten des Bundeskriminalamtes sowie für die Tätigkeit von im Ausland zur Aufgabenerfüllung des Bundeskriminalamtes eingesetzten Personen“.

§ 73 wird wie folgt geändert:

Die Überschrift wird wie folgt gefasst:

„§ 73 Datenschutzrechtliche Verantwortung für die Tätigkeit der Verbindungsbeamtinnen und Verbindungsbeamten des Bundeskriminalamtes und der im Ausland eingesetzten Personen“.

Die Wörter „an deutsche Auslandsvertretungen“ werden durch die Wörter „an das Auswärtige Amt“ ersetzt.

Nach den Wörtern „des Bundeskriminalamtes“ werden die Wörter „sowie für die Tätigkeit nicht abgeordneter Personen, die zur Aufgabenerfüllung des Bundeskriminalamtes im Ausland eingesetzt werden (Ortskräfte)“ eingefügt.

§ 74 wird wie folgt geändert:

Absatz 1 Satz 1 wird wie folgt geändert:

aa) Die Angaben „§§ 34, 45 bis 53 und 64“ werden durch die Angaben „§§ 34, 45 bis 53, 61 Absatz 1a und 64 bis 66“ ersetzt.

bb) In Nummer 1 werden nach der Angabe „§ 64 Absatz 2 Nummer 1 und 2“ ein Komma und die Angabe „auch in Verbindung mit § 66 Absatz 1 Satz 3“ eingefügt.

cc) In Nummer 2 werden nach der Angabe „§ 64 Absatz 2 Nummer 3“ ein Komma und die Angabe „auch in Verbindung mit § 66 Absatz 1 Satz 3“ eingefügt.

dd) In Nummer 4 wird die Angabe „(Ausschreibung)“ durch die Angaben „und des § 65 (Ausschreibung zur polizeilichen Beobachtung, Ermittlungsanfrage oder gezielten Kontrolle)“ ersetzt.

ee) In Nummer 6 werden nach dem Wort „Personen“ die Angaben „auch über die Durchführung der Maßnahme nach § 49 Absatz 1 Satz 2“ und ein Komma eingefügt.

ff) In Nummer 8 werden nach dem Wort „Telekommunikation“ die Angaben „auch über die Durchführung der Maßnahme nach § 51 Absatz 2 Satz 3“ und ein Komma eingefügt.

gg) In Nummer 11 wird der Punkt durch ein Komma ersetzt.

hh) Es wird die folgende Nummer 12 angefügt:

„12. des § 61 Absatz 1a

die Zielperson,

Personen, die die durchsuchte Wohnung zur Zeit der Durchführung der Maßnahme innehatten oder bewohnten.“

In Absatz 3 Satz 5 werden die Wörter „gelöscht wurden“ durch die Wörter „damit nach § 79 Absatz 1 unverzüglich zu löschen sind“ ersetzt.

§ 77 wird wie folgt:

In Absatz 3 Satz 1 werden die Wörter „mit dem Tag, an dem das letzte Ereignis eingetreten ist, das zur Speicherung der Daten geführt hat“ durch die Wörter „für alle zu einer Person gespeicherten Daten einheitlich mit dem Tag, an dem die letzte Speicherung erfolgt ist“ ersetzt.

Es wird folgender Absatz 7 angefügt:

„(7) Das Bundeskriminalamt prüft die Speicherung von personenbezogenen Daten im Zusammenhang mit einem Informationsaustausch nach der Richtlinie (EU) 2023/977 spätestens sechs Monate nach Abschluss eines Informationsaustauschs und anschließend regelmäßig.“

§ 79 wird wie folgt gefasst:

„§ 79

Löschung von durch verdeckte und eingriffsintensive Maßnahmen erlangten personenbezogenen Daten

(1) Sind die durch Maßnahmen nach §§ 34, 45 bis 53, 61 Absatz 1a, 64, 65 oder 66 Absatz 1 Satz 3 in Verbindung mit § 64 erlangten personenbezogenen Daten, die nicht dem Kernbereich privater Lebensgestaltung zuzuordnen sind, zur Erfüllung des der Maßnahme zugrunde liegenden Zwecks, für die Benachrichtigung sowie für eine etwaige gerichtliche Überprüfung der Maßnahme nicht mehr erforderlich, sind sie unverzüglich zu löschen, soweit keine Weiterverarbeitung der Daten nach den Vorschriften des Abschnitts 2 Unterabschnitt 2 erfolgt. Die Tatsache der Löschung ist zu dokumentieren. Die Dokumentation darf ausschließlich für Zwecke der Datenschutzkontrolle verwendet werden. Sie ist sechs Monate nach Löschung der Daten zu löschen. Ist die Datenschutzkontrolle nach § 69 Absatz 1 noch nicht beendet, ist die Dokumentation bis zu ihrem Abschluss aufzubewahren.

(2) Absatz 2 gilt entsprechend für personenbezogene Daten, die

dem Bundeskriminalamt übermittelt worden sind und

durch Maßnahmen erlangt wurden, die den Maßnahmen in Absatz 1 Satz 1 entsprechen.“

In § 81 Absatz 4 Satz 4 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

§ 82 wird wie folgt geändert:

In Absatz 1 werden die Angaben „§§ 34, 45 bis 53 und 64“ durch die Angaben „§§ 34, 45 bis 53, 61 Absatz 1a und 64 bis 66“ ersetzt.

Absatz 2 wird wie folgt geändert:

aa) In Nummer 1 werden nach der Angabe „§ 64 Absatz 2 Nummer 1 und 2“ ein Komma und die Angabe „auch in Verbindung mit § 66 Absatz 1 Satz 3“ eingefügt.

bb) In Nummer 2 werden nach der Angabe „§ 64 Absatz 2 Nummer 3“ ein Komma und die Angabe „auch in Verbindung mit § 66 Absatz 1 Satz 3“ eingefügt.

cc) In Nummer 4 wird die Angabe „(Ausschreibung)“ durch die Angaben „und des § 65 (Ausschreibung zur polizeilichen Beobachtung, Ermittlungsanfrage oder gezielten Kontrolle)“ ersetzt.

dd) In Nummer 11 wird der Punkt durch ein Komma ersetzt.

ee) Es wird die folgende Nummer 12 angefügt:

„12. des § 61 Absatz 1a

die Zielperson,

Personen, die die durchsuchte Wohnung zur Zeit der Durchführung der Maßnahme innehatten oder bewohnten.“

In Absatz 4 Satz 2 wird das Wort „automatisiert“ gestrichen.

In der Überschrift von § 85 werden die Wörter „im polizeilichen Informationsverbund sowie bei projektbezogenen gemeinsamen Dateien“ durch die Wörter „bei mehreren speicherungsberechtigten Stellen“ ersetzt.

Abschnitt 9 Unterabschnitt 6 wird aufgehoben.

Nach § 85 folgender Abschnitt 9a eingefügt:

„Abschnitt 9a

Schadensausgleich“.

§ 86 wird wie folgt gefasst:

„§ 86

Ergänzende Regelungen zum Schadensausgleich

Erleidet jemand bei der Erfüllung des Bundeskriminalamtes nach den §§ 4 bis 8 einen Schaden, so gelten die §§ 85 bis 90 des Bundespolizeigesetzes entsprechend.“

§ 88 wird wie folgt geändert:

Satz 1 wird wie folgt gefasst:

„Das Bundeskriminalamt berichtet dem Bundesministerium des Innern und für Heimat alle zwei Jahre, erstmals bis zum 1. Oktober 2019, über die Ausübung seiner in den §§ 34, 45 bis 53, 61 Absatz 1a, 64, 65, 66 Absatz 1 Satz 3 in Verbindung mit § 64 genannten Befugnisse sowie über Übermittlungen nach § 27.“

In Satz 3 werden die Wörter „Bundesministerium des Innern, für Bau und Heimat“ durch die Wörter „Bundesministerium des Innern und für Heimat“ ersetzt.

Artikel 2

Änderung des Bundespolizeigesetzes

Das Bundespolizeigesetz vom 19. Oktober 1994 (BGBl. I S. 2978, 2979), das zuletzt durch Artikel 1 des [Entwurfs eines Gesetzes zur Neustrukturierung des Bundespolizeigesetzes] vom […]. […] 2024 (BGBl. I S. […]) geändert worden ist, wird wie folgt geändert:

Die Inhaltsübersicht wird wie folgt geändert:

Nach der Angabe zu § 54 wird die Angabe zu § 54a eingefügt:

„„§ 54a Datenübermittlung und -bereitstellung an Mitgliedstaaten der Europäischen Union und Schengen-assoziierte Staaten gemäß der Richtlinie (EU) 2023/977“.

Nach der Angabe zu § 57 werden die Angaben zur §§ 57a und 57b eingefügt:

„§ 57a Automatisierte Datenanalyse

§ 57b Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet“.

Nach § 54 wird folgender § 54a eingefügt:

„§ 54a

Datenübermittlung und -bereitstellung an Mitgliedstaaten der Europäischen Union und Schengen-assoziierte Staaten gemäß der Richtlinie (EU) 2023/977

(1) Für die Übermittlung oder Bereitstellung von Daten an öffentliche Stellen in den Mitgliedstaaten der Europäischen Union und der in § 54 Satz 1 Nummer 3 genannten Staaten gelten gemäß der Richtlinie (EU) 2023/977 ergänzend die nachstehenden Regelungen. § 3 Absatz 3 des Bundeskriminalamtgesetzes bleibt unberührt.

(2) Ersucht die Bundespolizei als benannte Stelle im Sinne von Artikel 4 Absatz 1 der Richtlinie (EU) 2023/977 Daten bei einer zentrale Kontaktstelle eines anderen Mitgliedsstaats der Europäischen Union, erfolgt dies in einer Sprache, die der Mitgliedsstaat für diese Zwecke zugelassenen hat. Dem Bundeskriminalamt als zentrale Kontaktstelle ist eine Kopie zu übermitteln. Ein an eine zentrale Kontaktstelle gerichtetes Ersuchen muss mindestens die folgenden Angaben enthalten:

Die Angabe, ob das Ersuchen dringend ist und gegebenenfalls Angabe der Gründe für die Dringlichkeit,

eine Präzisierung der angeforderten Informationen, die so detailliert ist, wie dies unter den gegebenen Umständen in angemessener Weise möglich ist,

die Beschreibung des Zwecks, zu dem die Informationen angefordert werden, einschließlich einer Beschreibung des Sachverhalts und der zugrundeliegenden Straftat und

etwaige Beschränkungen einer Verwendung der in dem Ersuchen enthaltenen Informationen zu anderen Zwecken als denen, für die sich übermittelt wurden.

(3) Übermittelt die Bundespolizei Daten an Stellen, die nicht zentrale Kontaktstellen sind, ist dem Bundeskriminalamt sowie der zentralen Kontaktstelle des jeweiligen Mitgliedsstaats der Europäischen Union gleichzeitig eine Kopie der Daten zu übermitteln. Eine für die Übermittlung oder Bereitstellung von Daten nach deutschem Recht erforderliche Genehmigung durch eine Justizbehörde ist unverzüglich einzuholen.

(4) Bei der Übermittlung oder Bereitstellung von Daten ist mitzuteilen, dass die Verwendung als Beweismittel in einem Gerichtsverfahren unzulässig ist, es sei denn, es liegt eine Zustimmung derjenigen Stelle vor, die für eine Zustimmung der Verwendung als Beweismittel zuständig ist. Die Zuständigkeit für die Zustimmung einer Verwendung als Beweismittel nach Satz 2 Nummer 1 richtet sich nach den Vorschriften über die internationale Rechtshilfe in Strafsachen.

(5) Daten, welche die Bundespolizei selbst erhoben hat, sind im Einzelfall aus eigener Initiative dem Mitgliedstaaten oder zuständigen Strafverfolgungsbehörden übermitteln oder bereitzustellen, wenn tatsächliche Anhaltspunkte dafür vorliegen, dass diese Daten für einen anderen Mitgliedstaat der Europäischen Union zum Zwecke der Verhütung von Straftaten nach Artikel 2 Absatz 3 der Richtlinie (EU) 2023/977 relevant sein können und diese Daten dem Mitgliedstaat nicht bereits anderweitig übermittelt oder bereitgestellt wurden. § 56 und § 28 Abs. 2a Satz 1 des Bundeskriminalamtgesetzes gilt entsprechend.

Nach § 57 werden folgende §§ 57a und 57b eingefügt:

„§ 57a

Automatisierte Datenanalyse

(1) Die Bundespolizei kann zur Erfüllung ihrer Aufgaben nach § 1 Absatz 3, 4 und 6 sowie den §§ 2 bis 8 personenbezogene Daten, die sie zur Erfüllung der ihr obliegenden Aufgaben weiterverarbeitet oder für die sie eine Berechtigung zum Abruf hat, mittels einer automatisierten Anwendung zur Datenverarbeitung zusammenführen und darüber hinaus zum Zwecke der Analyse weiterverarbeiten,

sofern dies zur Abwehr einer im Einzelfall bestehenden Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, erforderlich ist,

bestimmte Tatsachen die Annahme rechtfertigen, dass eine Person innerhalb eines übersehbaren Zeitraums auf eine zumindest ihrer Art nach konkretisierte Weise eine Straftat im Zusammenhang mit lebensgefährdenden Schleusungen oder eine Straftat, die gegen die Sicherheit der Anlagen oder des Betriebes des Luft-, See- oder Bahnverkehrs, insbesondere Straftaten nach den §§ 315, 315b, 316b und 316c des Strafgesetzbuches, gerichtet ist und eine nicht unerhebliche Gefährdung eines der in Nummer 1 genannten Rechtsgüter erwarten lässt, begehen wird, und dies zur Verhütung der Straftat erforderlich ist, oder

das individuelle Verhalten einer Person die konkrete Wahrscheinlichkeit begründet, dass sie innerhalb eines übersehbaren Zeitraums eine Straftat im Zusammenhang mit lebensgefährdenden Schleusungen oder eine Straftat, die gegen die Sicherheit der Anlagen oder des Betriebes des Luft-, See- oder Bahnverkehrs gerichtet ist, insbesondere Straftaten nach den §§ 315, 315b, 316b und 316c des Strafgesetzbuches, und eine nicht unerhebliche Gefährdung eines der in Nummer 1 genannten Rechtsgüter erwarten lässt, begehen wird, und dies zur Verhütung der Straftat erforderlich ist.

(2) Im Rahmen der Weiterverarbeitung nach Absatz 1 können insbesondere datei- und informationssystemübergreifend Beziehungen oder Zusammenhänge zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen, Suchkriterien gewichtet, die eingehenden Erkenntnisse zu bekannten Sachverhalten zugeordnet sowie gespeicherte Daten statistisch ausgewertet werden.

§ 57b

Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

(1) Die Bundespolizei kann Daten, die sie zur Erfüllung ihrer Aufgaben nach § 1 Absatz 3, 4 und 6 sowie den §§ 2 bis 8 weiterverarbeitet oder für die sie eine Berechtigung zum Abruf hat, mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgleichen, sofern

die Abwehr der Gefahr auf andere Weise aussichtslos ist oder wesentlich erschwert wäre.

Die Maßnahme nach Satz 1 ist auch zulässig, sofern im Rahmen der Aufgaben nach § 1 Absatz 3, 4 und 6 sowie den §§ 2 bis 8

und die Verhütung der Straftat auf andere Weise aussichtslos oder wesentlich erschwert wäre.

(2) Der Abgleich nach Absatz 1 darf gegen andere Personen als die gemäß § 18 oder § 19 Verantwortlichen, die in § 21 Absatz 1 bezeichnete Person oder Personen im Sinne von Absatz 1 Satz 2 Nummer 1 oder 2 nur durchgeführt werden, sofern dies dem Zweck der Identifizierung oder Aufenthaltsermittlung dient.

(3) Für die nach Absatz 1 abzugleichenden Daten gilt § 43 Absatz 2 entsprechend.

Artikel 3

Änderung des Bundesdatenschutzgesetzes

Das Bundesdatenschutzgesetz vom 30. Juni 2017 (BGBl. I S. 2097), das zuletzt durch Artikel 7 des Gesetzes vom 6. Mai 2024 (BGBl. 2024 I Nr. 149) geändert worden ist, wird wie folgt geändert:

§ 45 wird wie folgt geändert:

Satz 1 wird wie folgt gefasst:

„Die Vorschriften dieses Teils gelten für die Verarbeitung personenbezogener Daten durch die für die

Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten, oder

Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Ordnungswidrigkeiten

zuständigen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten.“

In Satz 3 wird nach der Angabe „Satzes 1“ die Angabe „Nummer 1“ eingefügt.

§ 46 wird wie folgt geändert:

Nach Nummer 4 wird folgende Nummer 4a eingefügt:

„4a. „Anonymisierung“ das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können;“.

Nach Nummer 5 wird folgende Nummer 5a eingefügt:

„5a. „Verschlüsselung“ ein Verfahren, dass nach dem jeweiligen Stand der Technik, die Vertraulichkeit und Integrität von personenbezogenen Daten sicherstellt und vor dem Zugang Unbefugter schützt;“.

In § 80 Absatz 3 wird nach der Angabe „§ 79 Absatz 2“ die Angabe „und 3“ eingefügt.

Artikel 4

Änderung des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes

Das Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz vom 23. Juni 2021 (BGBl. I S. 1982), das zuletzt durch Artikel 8 des Gesetzes vom 6. Mai 2024 (BGBl. 2024 I Nr. 149) geändert worden ist, wird wie folgt geändert:

Nach § 15 Absatz 1 wird folgender Absatz 1a eingefügt:

„(1a) Die Polizeibehörden des Bundes und der Länder, die Verfassungsschutzbehörden des Bundes und der Länder, das Zollkriminalamt, der Militärische Abschirmdienst und der Bundesnachrichtendienst können der Bundesnetzagentur zentrale Rufnummern dieser Behörden mitteilen, bei denen Unterdrückung der Anzeige von Rufnummern von anrufenden Endnutzern ausgeschlossen sein soll. Die Bundesnetzagentur veröffentlicht diese Rufnummern in einer Liste im Amtsblatt der Bundesnetzagentur. Die Anzeige von Rufnummern von anrufenden Endnutzern darf bei Rufnummern, die auf der Liste im Amtsblatt veröffentlicht sind, nicht ausgeschlossen werden.“

Artikel 5

Änderung der Strafprozessordnung

Die Strafprozessordnung in der Fassung der Bekanntmachung vom 7. April 1987 (BGBl. I S. 1074, 1319), die zuletzt durch Artikel 16 des Gesetzes vom 6. Mai 2024 (BGBl. 2024 I Nr. 149) geändert worden ist wird wie folgt geändert:

In der Inhaltsübersicht werden nach der Angabe zu § 98c folgende Angaben eingefügt:

„§ 98d Automatisierte Datenanalyse

§ 98e Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet“.

Nach § 98c werden folgende §§ 98d und 98e eingefügt:

„§ 98d

Automatisierte Datenanalyse

(1) Strafverfolgungsbehörden können im Datei- oder Informationssystem gespeicherte personenbezogene Daten mittels einer automatisierten Anwendung zur Datenverarbeitung zusammenführen und darüber hinaus zum Zwecke der Analyse weiterverarbeiten, sofern bestimmte Tatsachen den Verdacht begründen, dass eine Straftat von erheblicher Bedeutung begangen worden ist, sich diese Straftat gegen den Bestand oder die Sicherheit des Bundes oder eines Landes, Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, richtet und dies zur Verfolgung der Straftat erforderlich ist.

§ 98e

Biometrischer Abgleich mit öffentlich zugänglichen Daten aus dem Internet

(1) Strafverfolgungsbehörden können Daten, auf die sie zur Erfüllung ihrer Aufgaben zugreifen dürfen, mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet mittels einer automatisierten Anwendung zur Datenverarbeitung biometrisch abgleichen, sofern

bestimmte Tatsachen den Verdacht begründen, dass eine Straftat von erheblicher Bedeutung begangen worden ist und

die Verfolgung der Straftat auf andere Weise aussichtslos oder wesentlich erschwert wäre.

(2) Der Abgleich nach Absatz 1 darf gegen andere Personen als dem Beschuldigten nur durchgeführt werden, sofern dies dem Zweck der Identifizierung oder Aufenthaltsermittlung dient.

(3) Für die nach Absatz 1 abzugleichenden Daten gilt § 161 Absatz 3 entsprechend. Der Abgleich mit Daten, die durch Maßnahmen nach §§ 100b und 100c erlangt wurden, ist ausgeschlossen.

Nach § 131a Absatz 2 wird folgender Absatz 2a eingefügt:

„(2a) Unter der Voraussetzung von Absatz 1 oder 2 darf der Abgleich nach § 98e Absatz 1 zur Aufenthaltsermittlung durchgeführt werden.“

In § 161 wird der folgende Absatz 5 angefügt:

„(5) Soweit sich die Erhebung personenbezogener Daten nach Absatz 1 an Verpflichtete nach § 2 Absatz 1 des Geldwäschegesetzes richtet, ist es dem Verpflichteten verboten, auf Grund des Auskunftsverlangens einseitige Handlungen vorzunehmen, die für den Betroffenen nachteilig sind und die über die Erteilung der Auskunft hinausgehen, insbesondere bestehende Verträge oder Geschäftsverbindungen zu beenden, ihren Umfang zu beschränken oder ein Entgelt zu erheben oder zu erhöhen. Das Auskunftsverlangen ist mit dem ausdrücklichen Hinweis auf dieses Verbot und darauf zu verbinden, dass das Auskunftsverlangen nicht die Aussage beinhaltet, dass sich die betroffene Person rechtswidrig verhalten hat oder ein darauf gerichteter Verdacht bestehen müsse.“

Artikel 6

Inkrafttreten

(1) Dieses Gesetz tritt vorbehaltlich Absatz 2 am Tag nach der Verkündung in Kraft.

(2) Artikel 1 Nummer 2 Buchstabe b, Artikel 1 Nummer 17, Artikel 1 Nummer 19, Artikel 1 Nummer 41 Buchstabe b tritt am 12. Dezember 2024 in Kraft.

Begründung

A. Allgemeiner Teil

I. Zielsetzung und Notwendigkeit der Regelungen

Das Bundeskriminalamt hat eine zentrale Position in der Sicherheitsarchitektur der Bundesrepublik Deutschland inne – als Zentralstelle, in der Strafverfolgung und zur Abwehr von Gefahren des internationalen Terrorismus. Zur Bewältigung dieser Aufgaben muss das Bundeskriminalamt in der Lage sein, auf neue Entwicklungen effektiv und angemessen reagieren können. Kriminalitätsphänomene und Bedrohungen entwickeln sich mit hoher Geschwindigkeit. Auch internationale Krisen haben unmittelbare Auswirkungen auf die innere Sicherheit in Deutschland, gerade im Bereich der Terrorismusabwehr. Zur Stärkung der öffentlichen Sicherheit bedarf es wirksamer Instrumente für das Bundeskriminalamt. Der Gesetzentwurf verfolgt das Ziel, sowohl im Bereich der Datenerhebung als auch -weiterverarbeitung punktuelle Anpassungen vorzunehmen.

Die Richtlinie (EU) 2023/977 vom 10. Mai 2023 über den Informationsaustausch zwischen den Strafverfolgungsbehörden der Mitgliedsstaaten enthält harmonisierte Vorschriften für den angemessenen und raschen Austausch von Informationen zwischen den zuständigen Strafverfolgungsbehörden zum Zwecke der Verhütung, Aufdeckung oder Untersuchung von Straftaten. Hintergrund ist die Bedrohung der inneren Sicherheit der Union aufgrund grenzüberschreitender krimineller Aktivitäten, die es erforderlich macht, dass die Mitgliedsstaaten gleichwertigen Zugang zu Informationen erhalten. Die Richtlinie verpflichtet die Mitgliedstaaten zur Einrichtung einer zentralen Kontaktstelle und enthält Vorschriften über Informationsersuchen, die an die zentralen Kontaktstellen übermittelt werden, die Bereitstellung sachdienlicher Informationen – auch die Verpflichtung dazu – sowie den gemeinsamen Standard-Kommunikationskanal. Die Verordnung (EU) 2022/991 vom 8. Juni 2022 zur Änderung der Verordnung (EU) 2016/794 in Bezug auf die Zusammenarbeit von Europol mit privaten Parteien, die Verarbeitung personenbezogener Daten durch Europol zur Unterstützung strafrechtlicher Ermittlungen und die Rolle von Europol in Forschung und Innovation sieht vor, dass Europol Auskunftsersuchen an die Mitgliedsstaaten übermitteln kann, um Informationen zur Ermittlung weiterer betroffener nationaler Stellen zu erlangen, Mitgliedsstaaten in Online-Krisensituationen zu unterstützen sowie die Verbreitung der Darstellung des sexuellen Missbrauchs von Kindern im Internet zu verhindern. Die Mitgliedstaaten müssen sicherstellen, dass die Ersuchen gemäß ihrem nationalen Recht bearbeiten werden können, um Europol die Informationen zur Verfügung stellen zu können. Die Verordnung (EU) 2022/1190 vom 6. Juli 2022 zur Änderung der Verordnung (EU) 2018/1862 in Bezug auf die Eingabe von Informationsausschreibungen zu Drittstaatsangehörigen im Interesse der Union in das Schengener Informationssystem sieht vor, dass Mitgliedsstaaten Informationsausschreibungen zu Drittstaatsangehörigen auf Vorschlag von Europol in das Schengener Informationssystem (SIS) eingeben. Es ist notwendig, die nationalen Vorschriften an das europäische Recht anzupassen. Aus der Evaluierung des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 folgen Änderungsbedarfe im Bundesdatenschutzgesetz, soweit dieses die Richtlinie (EU) 2016/680 umsetzt.

Mit Beschluss vom 9. Dezember 2022, Az. 1 BvR 1345/21, hat das Bundesverfassungsgericht den verfassungsrechtlichen Schutz des Kernbereichs der privaten Lebensgestaltung beim Einsatz von Verdeckten Ermittlern und Vertrauenspersonen konturiert. Das Urteil des Bundesverfassungsgerichts vom 16. Februar 2023, Az. 1 BvR 1547/19 u.a., setzt den Rahmen zur verfassungsgemäßen gesetzlichen Regelung von Anwendungen zur automatisierten Datenanalyse. Insbesondere enthält das Urteil Maßgaben zur tatbestandlichen Ausgestaltung entsprechender Befugnisse entsprechend des Eingriffsgewichts, die von Art und Umfang der verarbeiteten Daten sowie der Methode der Datenanalyse geprägt ist. Eine verfassungsgemäße Befugnis zur Anwendung von Systemen zur automatisierten Datenanalyse ist für die Aufgabenerfüllung des Bundeskriminalamts erforderlich. Ausgangspunkt ist das der Digitalisierung geschuldete, stetige Ansteigen der vorhandenen Daten, welche durch das Bundeskriminalamt ausgewertet werden müssen. Es bedarf insofern einer Fortentwicklung der technischen Instrumente zur Bewältigung der polizeilichen Aufgaben. Ein Baustein dafür sind Anwendungen zur automatisierten Datenanalyse.

Vor dem Hintergrund der praktischen Anwendung des Bundeskriminalamtsgesetzes seit Inkrafttreten der Neustrukturierung des Gesetzes im Jahr 2018 besteht ein allgemeiner Überarbeitsbedarf.

II. Wesentlicher Inhalt des Entwurfs

Der Gesetzentwurf umfasst Vorschriften zur verdeckten Datenerhebung zu Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt: Zum einen die Befugnis zum verdeckten Betreten von Wohnungen als Begleitmaßnahme für die Online-Durchsuchung und Quellen-Telekommunikationsüberwachung, zum anderen zur verdeckten Durchsuchung von Wohnungen. Diese Instrumente können nur unter sehr hohen Hürden als ultima ratio eingesetzt werden.

Für eine zeitgemäße Aufgabenwahrnehmung ist es unerlässlich, dass Polizeibehörden über moderne Befugnisse verfügen. Straftäter hinterlassen in der analogen wie auch digitalen Welt Spuren: Polizeibehörden müssen in beiden Situationen über die erforderlichen Ermittlungsinstrumente verfügen. Um dieser Anforderung gerecht zu werden, enthält der Gesetzentwurf Vorschriften für Bundeskriminalamt- und Bundespolizeigesetz sowie Strafprozessordnung zum biometrischen Abgleich mit öffentlich zugänglichen Daten aus dem Internet. Der Gesetzentwurf umfasst zudem eine verfassungsgemäße Ausgestaltung der automatisierten Datenanalyse.

Zu den weiteren wesentlichen Änderungen gehören die Schaffung einer Befugnis zur Datenerhebung für die Erprobung von Einsatztechnik, eine gesetzliche Regelung der Reaktivierung von Vorgangsverwaltungsdaten sowie die Implementierung der betreiberseitigen Aufhebung der Rufnummernunterdrückung bei im Bundeskriminalamt eingehenden Telefonanrufen (sog. CLIRO-Funktionalität).

Zur Umsetzung der Richtlinie (EU) 2023/977 umfasst der Gesetzentwurf neue Vorschriften bzw. Anpassungen des Bundeskriminalamtgesetzes, sodass ein Rechtsrahmen für die Datenübermittlung zwischen den Strafverfolgungsbehörden der Mitgliedsstaaten der Europäischen Union besteht. Entsprechend der Verordnung (EU) 2022/991 sind Datenerhebungsbefugnisse des Bundeskriminalamts für Europol vorgesehen; entsprechend der Verordnung (EU) 2022/1190 kann die Maßnahme der polizeilichen Beobachtung nunmehr auf Vorschlag von Europol erfolgen. Überdies sind Ergebnisse der Evaluierung des Datenschutzrechts Bestandteil des Gesetzentwurfs.

In Umsetzung der verfassungsrechtlichen Anforderungen enthält der Gesetzentwurf überarbeitete Regelungen zum Schutz des Kernbereichs der privaten Lebensgestaltung beim Einsatz von Verdeckten Ermittlern und Vertrauenspersonen.

III. Alternativen

Keine.

IV. Gesetzgebungskompetenz

Die Gesetzgebungskompetenz des Bundes folgt aus Artikel 73 Absatz 1 Nummer 9a, Artikel 73 Absatz 1 Nummer 10 Buchstabe a), auch in Verbindung mit Artikel 87 Absatz 1 Satz 2, Artikel 74 Absatz 1 Nummer 1 des Grundgesetzes sowie für die datenschutzrechtlichen Regelungen als Annex zu den jeweiligen Sachkompetenzen. Die Gesetzgebungskompetenz für den Schutz von Mitgliedern der Verfassungsorgane und der Leitung des Bundeskriminalamts folgt aus der Natur der Sache. Die Gesetzgebungskompetenz für den Schadensausgleich folgt aus Artikel 74 Absatz 1 Nummer 25 des Grundgesetzes. Die Gesetzgebungskompetenz hinsichtlich der Bestimmungen zum Telekommunikationsdatenschutz ergibt aus der Zuständigkeit für das Recht der Telekommunikation (Artikel 73 Absatz 1 Nummer 7 des Grundgesetzes).

V. Vereinbarkeit mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen

Der Gesetzentwurf ist mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen, die die Bundesrepublik Deutschland geschlossen hat, vereinbar. Der Gesetzentwurf dient der Umsetzung der Richtlinie (EU) 2023/977.

VI. Gesetzesfolgen

Der Gesetzentwurf dient dem Schutz der öffentlichen Sicherheit in Deutschland.

1. Rechts- und Verwaltungsvereinfachung

Die Regelungen des Gesetzentwurfs werden nicht zu einer Rechts- oder Verwaltungsvereinfachung führen.

2. Nachhaltigkeitsaspekte

Der Gesetzentwurf steht im Einklang mit den Leitgedanken der Bundesregierung zur nachhaltigen Entwicklung im Sinne der Deutschen Nachhaltigkeitsstrategie, die der Umsetzung der Agenda 2030 für nachhaltige Entwicklung der Vereinten Nationen dient. Der Entwurf dient entsprechend der Zielvorgabe 16.1 der Erhöhung der persönlichen Sicherheit und dem Schutz vor Kriminalität.

3. Haushaltsausgaben ohne Erfüllungsaufwand

Es entstehen keine Haushaltsausgaben ohne Erfüllungsaufwand.

4. Erfüllungsaufwand

a) Erfüllungsaufwand für Bürgerinnen und Bürger

Für Bürgerinnen und Bürger entsteht kein Erfüllungsaufwand.

b) Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft entsteht kein Erfüllungsaufwand.

c) Erfüllungsaufwand der Verwaltung

Dem Bundeskriminalamt entsteht aufgrund der gesetzlichen Änderungen ein Umsetzungsaufwand von insgesamt 38,54 Millionen Euro im Jahr 2025. Im Einzelnen:

aa) Anwendung zur automatisierten Datenanalyse

Eine Anwendung zur automatisierten Datenanalyse kann optional als Eigenentwicklung bereitgestellt oder als kommerzielle Lösung beschafft werden. Für die Kosten für den Kauf oder Entwicklung einer Lösung, Einrichtung der Betriebsumgebung inklusive Produktbetreuungspersonal entstehen Aufwände von insgesamt 14,3 Mio. Euro.

bb) IT-Anpassungen

Die Anforderungen der Änderungen zur Umsetzung der Richtlinie (EU) 2023/977 und zu Anpassungen infolge der Verordnungen (EU) 2022/991 und 2022/1190 sowie der Änderungen der Regelungen zu den Speicherfristenerzeugen Aufwände zur IT-Anpassung in Höhe von 24,24 Mio. Euro.

cc) Biometrischer Internetabgleich

Wird nachgereicht.

5. Weitere Kosten

Weitere Kosten sind nicht zu erwarten.

6. Weitere Gesetzesfolgen

Auswirkungen auf demografierelevante Belange sind nicht zu erwarten.

VII. Befristung; Evaluierung

Eine Befristung der vorgesehenen Regelungen kommt nicht in Betracht. Eine Evaluierung ist nicht vorgesehen.

B. Besonderer Teil

Zu Artikel 1 (Änderung des Bundeskriminalamtgesetzes)

Zu Nummer 1 (Inhaltsübersicht)

Zu Buchstabe a

Es handelt sich um eine redaktionelle Folgeänderung zur Einführung von § 10b.

Zu Buchstabe b

Es handelt sich um eine redaktionelle Folgeänderung zur Einführung von § 16a.

Zu Buchstabe c

Es handelt sich um eine redaktionelle Folgeänderung zur Veränderung der Überschrift von § 22

Zu Buchstabe d

Es handelt sich um eine redaktionelle Folgeänderung zur Einführung von § 26a.

Zu Buchstabe e

Es handelt sich um eine redaktionelle Folgeänderung zur Einführung von § 39a.

Zu Buchstabe f

Es handelt sich um eine redaktionelle Folgeänderung zur Einführung von § 63b.

Zu Buchstabe g

Es handelt sich um eine redaktionelle Folgeänderung zur Änderung der Überschrift von § 73.

Zu Buchstabe h

Es handelt sich um eine redaktionelle Folgeänderung zur Veränderung der Überschrift von § 85.

Zu Buchstabe i

Es handelt sich um eine redaktionelle Folgeänderung zur Streichung des Unterabschnitts 6 von Abschnitt 10.

Zu Buchstabe j

Es handelt sich um eine redaktionelle Folgeänderung zur Einfügung des neuen Abschnitts 9a.

Zu Buchstabe k

Es handelt sich um eine redaktionelle Folgeänderung zur Neufassung von § 86.

Zu Nummer 2 (§ 3)

Zu Buchstabe a

Die Änderung zur Einklammerung von Interpol erfolgt aus redaktionellen Gründen zur Vereinheitlichung der Nutzung von Abkürzungen und ausgeschriebenen Bezeichnungen.

Die Einfügung des ausgeschriebenen Namens von Europol erfolgt aus redaktionellen Gründen zur Vereinheitlichung der Nutzung von Abkürzungen und ausgeschriebenen Bezeichnungen und entspricht der Verordnung (EU) 2022/991 des Europäischen Parlaments und des Rates vom 8. Juni 2022 zur Änderung der zur Änderung der Verordnung (EU) 2016/794 in Bezug auf die Zusammenarbeit von Europol mit privaten Parteien, die Verarbeitung personenbezogener Daten durch Europol zur Unterstützung strafrechtlicher Ermittlungen und die Rolle von Europol in Forschung und Innovation (ABl. L 169/1 vom 27.06.2022, S. 1). Die Einklammerung von Europol ist eine redaktionelle Folgeänderung zur Einfügung der ausführlichen Schreibweise von Europol.

Zu Buchstabe b

Zu Doppelbuchstabe aa

Es handelt sich um eine redaktionelle Anpassung aufgrund des Anfügens einer neuen Nummer 4 in § 3 Absatz 2.

Zu Doppelbuchstabe bb

Es handelt sich um eine redaktionelle Anpassung aufgrund des Anfügens einer neuen Nummer 4 in § 3 Absatz 2.

Zu Doppelbuchstabe cc

Die Änderungen in §§ 3, 28 und 77 sowie die Einführung des § 26a dienen der Umsetzung der Richtlinie (EU) 2023/977 des Europäischen Parlaments und des Rates vom 10. Mai 2023 über den Informationsaustausch zwischen den Strafverfolgungsbehörden der Mitgliedstaaten und zur Aufhebung des Rahmenbeschlusses 2006/960/JI des Rates (Abl. L 134 vom 22.05.2023, S. 1). Die Umsetzung erfolgt in diesem Gesetz, soweit die Informationsübermittlung zur Verhütung von Straftaten durch das Bundeskriminalamt erfolgt. Für den grenzüberschreitenden Informationsaustausch zur Verfolgung von Straftaten durch das Bundeskriminalamt gelten ergänzend die diesbezüglichen Vorschriften im Gesetz über die internationale Rechtshilfe in Strafsachen.

Artikel 14 Absatz 1 der Richtlinie (EU) 2023/977 sieht vor, dass jeder Mitgliedstaat eine zentrale Kontaktstelle für den in den Anwendungsbereich der Richtlinie fallenden Informationsaustausch einrichtet oder benennt (sog. Single Point of Contact – SPoC). Dem Bundeskriminalamt wird diese Aufgabe durch Anfügung einer Ziffer 4 in § 3 Absatz 2 gesetzlich übertragen. Es handelt sich hierbei mit Blick auf den Informationsaustausch im Verhältnis zu EU-Mitgliedstaaten und Schengen-assoziierten Staaten um eine Zentralstellenaufgabe des Bundeskriminalamts.

Zusätzlich zu dem Informationsaustausch über die eingerichteten oder benannten zentralen Kontaktstellen sieht Artikel 8 der Richtlinie (EU) 2023/977 die Möglichkeit vor, dass die nationalen zuständigen Strafverfolgungsbehörden eigenständig Informationen zum Zwecke der Verhütung, Aufdeckung oder Untersuchung von Straftaten mit ausländischen Stellen austauschen (sogenannter Direktverkehr). Die Ausnahmetatbestände des § 3 Absatz 3, 4 und 5 und insbesondere die auf Grundlage des § 3 Absatz 2 Satz 2 Nummer 4 abgeschlossenen Vereinbarungen zwischen dem Bundeskriminalamt und den zuständigen Bundes- und Landesbehörden erlauben den Direktverkehr im Sinne der Richtlinie (EU) 2023/977 bereits.

Artikel 4 Absatz 1 der Richtlinie (EU) 2023/977 gibt den Mitgliedstaaten die Möglichkeit, bestimmte Strafverfolgungsbehörden zu benennen, die Informationsersuchen unmittelbar an die zentralen Kontaktstellen anderer Mitgliedstaaten stellen dürfen. Die Benennung erfolgt durch entsprechende Notifizierung gegenüber der Europäischen Kommission.

Neben den Regelungen zum Informationsaustausch mit Ersuchen über die zentralen Kontaktstellen und den Direktverkehr enthält die Richtlinie (EU) 2023/977 auch Regelungen zu sogenannten Spontanübermittlungen. Hierunter ist die Bereitstellung von Informationen aus eigener Initiative an zentrale Kontaktstellen oder zuständige Strafverfolgungsbehörden zu verstehen, sofern die Informationen nicht bereits anderweitig, z. B. über Informationsaustauschplattformen der EU, bereitgestellt wurden (Artikel 7 der Richtlinie (EU) 2023/977).

Zu Nummer 3 (§ 4)

Zu Buchstabe a

Zu Doppelbuchstabe aa

Nach dem Gesetz zum kontrollierten Umgang mit Cannabis unterfallen Cannabis und Cannabinoide nicht mehr dem Anwendungsbereich des Betäubungsmittelgesetzes, sondern sind zukünftig im Konsumcannabisgesetz und Medizinal-Cannabisgesetz geregelt. Die Zuständigkeit des Bundeskriminalamts zur Strafverfolgung bezüglich des internationalen, ungesetzlichen Handels mit Cannabis besteht aber fort. Zur Klarstellung erfolgt die Anpassung in § 4 Absatz 1 Nummer 1. Die Definition richtet sich nach § 1 Absatz 8 des Konsumcannabisgesetzes und § 2 Nummer 1 und 2 des Medizinal-Cannabisgesetzes. Synthetische Cannabinoide zu nicht-medizinischen Zwecken gelten weiterhin als Betäubungsmittel, so dass die Zuständigkeit des Bundeskriminalamts unberührt bleibt.

Zu Doppelbuchstabe bb

Es handelt sich um eine redaktionelle Änderung zur Angleichung an die Nutzung von Paarformen, soweit dies aufgrund der Amtsbezeichnung erforderlich ist.

Zu Doppelbuchstabe cc

Es handelt sich um eine redaktionelle Änderung zur Angleichung an die Nutzung von Paarformen, soweit dies aufgrund der Amtsbezeichnung erforderlich ist.

Zu Doppelbuchstabe dd

Es handelt sich um eine redaktionelle Änderung. Da die Tatbegehung nur im Auftrag des Geheimdienstes erfolgen kann, nicht jedoch durch die Institution selbst, bedarf es einer sprachlichen Anpassung.

Zu Buchstabe b

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Nummer 4 (§ 6)

Zu Buchstabe a

Zu Doppelbuchstabe aa

Es handelt sich um eine redaktionelle Änderung zur Angleichung an die Nutzung von Paarformen, soweit dies aufgrund der Amtsbezeichnung erforderlich ist.

Zu Doppelbuchstabe bb

Es handelt sich um eine redaktionelle Änderung zur Angleichung an die Nutzung von Paarformen, soweit dies aufgrund der Amtsbezeichnung erforderlich ist.

Zu Doppelbuchstabe cc

Es handelt sich um eine redaktionelle Änderung zur Angleichung an die Nutzung von Paarformen, soweit dies aufgrund der Amtsbezeichnung erforderlich ist.

Zu Buchstabe b

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Nummer 5 (§ 7)

Es handelt sich um eine redaktionelle Änderung. Durch die Berichtigung wird klargestellt, dass die Möglichkeiten „zwischenstaatlich“ und „überstaatlich“ beide von § 7 Absatz 2 Satz 1 erfasst sind und nicht kumulativ vorliegen müssen.

Zu Nummer 6 (§ 9)

Zu Buchstabe a

Der neue § 9 Absatz 3a dient der Sicherstellung, dass das Bundeskriminalamt den Auskunftsersuchen von Europol nach Artikel 26 Absatz 6b, Artikel 26a Absatz 6 und Artikel 26b Absatz 6 der Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.5.2016, S. 53), die zuletzt durch Verordnung (EU) 2022/991 des Europäischen Parlaments und des Rates vom 8. Juni 2022 (ABl. L 169 vom 27.6.2022, S. 1) geändert worden ist, entsprechen kann. Die Vorschrift stellt klar, dass das Bundeskriminalamt erforderliche Daten bei nichtöffentlichen Stellen erheben darf. Die Auskunftsersuchen sind im Einzelnen in der Verordnung (EU) 2022/991 geregelt:

Nach Artikel 26 Absatz 6b Unterabsatz 1 der Verordnung (EU) 2022/991 kann Europol den Mitgliedsstaaten ein Auskunftsersuchen über Datensätze im Besitz privater Parteien übermitteln, wenn dies unbedingt erforderlich und verhältnismäßig ist, um zusätzliche Informationen zur Ermittlung weiterer betroffener nationalen Stellen zu erlangen.

Nach Artikel 26a Absatz 6 Unterabsatz 1 der Verordnung (EU) 2022/991 kann Europol den Mitgliedsstaaten ein Auskunftsersuchen über Datensätze im Besitz privater Parteien übermitteln, wenn dies unbedingt erforderlich und verhältnismäßig ist, um Mitgliedstaaten in Online-Krisensituationen zu unterstützen. Online-Krisensituationen sind nach Erwägungsgrund 43 die Verbreitung auf Online-Plattformen bzw. Online-Darstellung

von terroristischen Inhalte, die Angriffe auf das Leben oder die körperliche Unversehrtheit zeigen oder unmittelbar zu Angriffen auf das Leben oder die körperliche Unversehrtheit aufrufen und auf diese Weise die Glorifizierung von Terrorismus, entsprechende Ausbildungen sowie schließlich die Radikalisierung und die Rekrutierung anderer Personen ermöglichen und

des sexuellen Missbrauchs von Kindern.

Nach Artikel 26b Absatz 6 Unterabsatz 1 der Verordnung (EU) 2022/991 kann Europol den Mitgliedsstaaten ein Auskunftsersuchen über Datensätze im Besitz privater Parteien übermitteln, wenn dies erforderlich und verhältnismäßig ist, die Verbreitung der Darstellung des sexuellen Missbrauchs von Kindern im Internet nach Artikel 4 Absatz 1 Buchstabe y der Verordnung (EU) 2022/991 zu bekämpfen.

Nach Artikel 26 Absatz 6b Unterabsatz 2, Artikel 26a Absatz 6 Unterabsatz 2 und Artikel 26b Absatz 6 Unterabsatz 2 der Verordnung (EU) 2022/991 müssen die Mitgliedstaaten sicherstellen, dass ihre zuständigen Behörden die oben genannten Ersuchen gemäß ihrem nationalen Recht bearbeiten können, damit Europol die Informationen zur Verfügung gestellt werden können, die Europol zur Ermittlung der betroffenen nationalen Stellen benötigt. Dies erfolgt mit dem neuen Absatz 3a.

Zu Buchstabe b

Zu Absatz 7:

Nach § 2 Absatz 5 Satz 1 Nummer 2 kann das Bundeskriminalamt als Zentralstelle Kompetenzzentren für Einsatztechnik sowie technische Einsatzmittel im kriminalpolizeilichen Bereich aufbauen und hierüber Entwicklungen und Ergebnisse zur Verfügung stellen. Notwendiger Bestandteil des Aufbaus dieser Kompetenzen ist die Erprobung – auch im öffentlichen Raum. Bei der Erprobung werden notwendigerweise personenbezogene Daten erhoben. § 9 Absatz 7 befugt das Bundeskriminalamt nunmehr zur Datenerhebung in diesen Fällen. Die Regelung korrespondiert zwingend mit einer engen Zweckbindung nach § 22 Absatz 4.

Die Erprobung unter realen, einsatznahen Bedingungen ist notwendig, um Aussagen zur Validität der Ergebnisse der Einsatzmittel treffen zu können. Andernfalls besteht das Risiko, dass in einem tatsächlichen Einsatz Fehleinschätzungen aufgrund unzureichender vorheriger Testung und Evaluation durch die Einsatzkräfte erfolgen. Testungen unter Laborbedingungen können dies nicht gewährleisten. Bislang erfolgt die Erprobung ausschließlich im Rahmen von konkreten strafprozessualen Ermittlungsverfahren und Gefahrenabwehrvorgängen. Die Aussagekraft der Erprobung ist jedoch deutlich höher, wenn diese unabhängig vom Einzelfall erfolgt.

Zu Absatz 8:

Erhebt das Bundeskriminalamt Daten zu Personen bei Kreditinstituten mittels Auskunftsersuchen besteht das Risiko, dass diese die Geschäftsbeziehungen zu den betroffenen Personen kündigen. Eine Kontokündigung bei den Betroffenen im Anfangsstadium eines Vorgangs birgt allerdings das Risiko, den Erfolg der Maßnahme zu vereiteln, weil Betroffene (auch ohne expliziten Hinweis) auf polizeiliche Maßnahmen aufmerksam werden und ihr Verhalten entsprechend anpassen. Die neue Regelung in § 9 Absatz 8 orientiert sich an § 8b Absatz 5 des Gesetzes über die Zusammenarbeit des Bundes und der Länder in Angelegenheiten des Verfassungsschutzes und über das Bundesamt für Verfassungsschutz (vergleiche Bundestagsdrucksache 17/6925, Seite 15).

Zu Nummer 7 (§ 10)

Zu Buchstabe a

Es handelt sich um eine redaktionelle Folgeänderung zur Einfügung von § 10 Absatz 1 Satz 2 Nummer 6.

Zu Buchstabe b

Bezüglich der Auskunftsersuchen von Europol wird auf die Begründung zu § 9 Absatz 3a verwiesen. Das Ersuchen von Europol kann sich im Einzelfall auf Daten nach § 10 Absatz 1 beziehen. Das Bundeskriminalamt kann den Ersuchen nach § 10a Absatz 1 Satz 2 entsprechen, soweit die Voraussetzungen der Verordnung (EU) 2022/991 als auch dieses Gesetzes erfüllt sind.

Zu Nummer 8 (§ 10a)

Bezüglich der Auskunftsersuchen von Europol wird auf die Begründung zu § 9 Absatz 3a verwiesen. Das Ersuchen von Europol kann sich im Einzelfall auf Daten nach § 10a Absatz 1 Satz 1, Absatz 2 oder Absatz 3 beziehen. Das Bundeskriminalamt kann den Ersuchen nach § 10 Absatz 1 Satz 2 Nummer 6 entsprechen, soweit die Voraussetzungen der Verordnung (EU) 2022/991 als auch dieses Gesetzes erfüllt sind.

Zu Nummer 9 (§ 10b)

Das Bundeskriminalamt hat nach § 2 Absatz 2 Nummer 1 die Aufgabe, alle zur Verhütung und Verfolgung von Straftaten mit länderübergreifender, internationaler oder erheblicher Bedeutung nach § 2 Absatz 1 erforderlichen Informationen zu sammeln und auszuwerten. Für eine moderne Aufgabenwahrnehmung ist es unerlässlich, dass dies auch Informationen aus dem Internet umfasst. Straftäter hinterlassen in der analogen wie auch digitalen Welt Spuren: Das Bundeskriminalamt muss in beiden Situationen über die erforderlichen Ermittlungsinstrumente verfügen. Diesem Zweck dient § 10b.

Zu Absatz 1

Der Abgleich dient dem Zweck, dass das Bundeskriminalamt zur Erfüllung der Aufgabe als Zentralstelle im Bereich der Strafverfolgung und Straftatenverhütung bestehende Hinweise zu Personen und einer bestimmten Begehungsweise verdichten kann. Mittels des biometrischen Abgleichs von Daten mit öffentlich zugänglichen Daten, insbesondere dem Internet, können Personen identifiziert und lokalisiert sowie Tat-Täter-Zusammenhänge erkannt werden.

Unter einem biometrischen Abgleich im Sinne der Vorschrift ist die technisch gestützte Überprüfung der Übereinstimmung von biometrischen Signaturen mit dem Ergebnis einer Übereinstimmungsbewertung zu verstehen. Der Begriff der biometrischen Daten im Sinne der Vorschrift entspricht § 46 Nummer 12 des Bundesdatenschutzgesetzes. Unter öffentlichen zugänglichen Daten aus dem Internet sind alle Daten zu verstehen, die von jedermann verwendet werden können, beispielsweise aus sozialen Medien, soweit sich diese nicht an einen spezifisch abgegrenzten Personenkreis richten.

Die Befugnis setzt entsprechend § 9 Absatz 1 voraus, dass die Maßnahme nur zur Ergänzung vorhandener Sachverhalt erfolgen kann. Voraussetzungen für ein Tätigwerden des Bundeskriminalamts ist, dass bereits Ermittlungsunterlagen vorliegen (vgl. BT-Drucksache 13/1550, S. 24). Die Vorschrift setzt einen Tatverdacht bzw. zur Straftatenverhütung eine zumindest konkretisierte Gefahrenlage voraus.

Öffentlich zugängliche Daten können auch im Rahmen der allgemeinen Ermittlungsbefugnisse erhoben werden. Spezialgesetzlicher Regelungsbedarf besteht jedoch, da Absatz 1 den biometrischen Abgleich öffentlich zugänglicher Daten mittels automatisierter Verarbeitung regelt. Nur mittels einer technischen Anwendung können Lichtbilder und Videos in einer Form zusammengeführt und analysiert werden, die einen Abgleich ermöglicht. Ohne eine solche technische Verarbeitung könnten die erhobenen Daten nicht verwendet werden, da sich öffentlich zugängliche Daten in Format und Struktur von den im Informationssystem oder -verbund gespeicherten Daten unterscheiden.

Zu Absatz 2

Die Maßnahme nach § 10b Absatz 1 ist auch zur Identifizierung und Aufenthaltsermittlung anderer Personen als den in § 18 Absatz 1 Nummer 1 bis 3 genannten möglich, beispielsweise von Kontaktpersonen, Opfern und Zeugen möglich.

Zu Absatz 3

Der Abgleich nach Absatz 1 setzt voraus, dass im Informationssystem oder -verbund Daten als Grundlage des Abgleichs vorhanden sind (Beispiel: Lichtbild eines Tatverdächtigen). Absatz 3 Satz 1 sieht eine entsprechende Geltung des § 12 Absatz 2 für die abzugleichenden Daten vor. Damit werden die Vorgaben der hypothetischen Datenneuerhebung auf die gegenständliche Maßnahme übertragen. Das Bundeskriminalamt darf demnach nur solche Daten in den Abgleich einbeziehen, die mindestens der Verfolgung einer vergleichbar bedeutsamen Straftat dienen und aus denen sich im Einzelfall konkrete Ermittlungsansätze zur Verfolgung solcher Straftaten ergeben. Letzteres sichert, dass nur im Einzelfall notwendige Daten zum Abgleich verwendet werden. Daten, die durch einen verdeckten Einsatz technischer Mittel in oder aus Wohnungen oder verdeckten Eingriff in informationstechnische Systeme erlangt wurden, können aufgrund der hohen Eingriffsintensität nicht in den Abgleich einbezogen werden.

Zu Absatz 4

Nach Absatz 4 sind die erhobenen und aufbereiteten Daten nach Absatz 1 unverzüglich zu löschen. Nur für den Fall, dass sich auf Grundlage des Abgleichs ein konkreter Ermittlungsansatz aus den Daten ergibt, dürfen diese weiterverarbeitet werden. Dies richtet sich im weiteren sich nach den Regelungen zur Weiterverarbeitung nach diesem Gesetz oder der Strafprozessordnung. Die Vorschrift sichert eine enge Zweckbindung der erhobenen Daten.

Zu Nummer 10 (§ 11)

Bislang besteht für das Bundeskriminalamt keine kurzfristige Möglichkeit, eingehende Rufnummern zu deanonymisieren. Eine zeitnahe Ermittlung der Identität des jeweiligen Anrufers durch das Bundeskriminalamt ist jedoch notwendig, um Gefährdungssachverhalte bewerten und schwere Straftaten verhindern zu können. Regelmäßig gehen Anrufe beim Bundeskriminalamt ein, bei denen offenkundig Ausnahme- und Gefährdungssituationen bestehen oder schwere Straftaten angedroht werden. Der zentralen Rufnummer des Bundeskriminalamts kommt faktisch eine notrufähnliche Funktion zu, da die zentrale Rufnummer der Bevölkerung aus verschiedenen Quellen (z.B. Fahndungsaufrufe in den Medien, Homepage, andere Quellen aus dem Internet) bekannt ist.

Zu Nummer 11 (§ 16a)

Das Bundesverfassungsgericht hat in seinem Urteil vom 16. Februar 2023 zur automatisierten Datenanalyse (Az. 1 BvR 1547/19, 1 BvR 2634/20) die verfassungsrechtliche Legitimität von Befugnissen zur automatisierten Datenanalyse bestätigt und die verfassungsrechtlichen Anforderungen an entsprechende Vorschriften konkretisiert. Die neue Regelung in § 16a setzt diese Anforderungen um.

Die Einrichtung und Nutzung einer automatisierten Anwendung zur Datenanalyse ist für die Aufgabenerfüllung des Bundeskriminalamts erforderlich. Ausgangspunkt ist das der Digitalisierung geschuldete, stetige Ansteigen der vorhandenen Daten, welche durch das Bundeskriminalamt ausgewertet werden müssen. Es bedarf insofern einer Fortentwicklung der technischen Instrumente zur Bewältigung der polizeilichen Aufgaben. Ein Baustein dafür sind Anwendungen zur automatisierten Datenanalyse. Im Vergleich zum Datenabgleich zeichnen sich automatisierte Datenanalysen dadurch aus, dass sie darauf gerichtet sind, neues Wissen zu erzeugen (BVerfG, a. a. O., Randnummer 67).

Das Bundesverfassungsgericht hat in seinem Urteil vom 16. Februar 2023 Kriterien dafür aufgestellt, unter welchen Umständen Eingriffe durch Datenverarbeitungen nicht mehr von den Grundsätzen der Zweckbindung oder hypothetischen Datenneuerhebung gedeckt sind, sondern es eigener Rechtsgrundlagen bedarf. Dazu gehören unter anderem die Fähigkeit der Auswertung großer und komplexer Informationsbestände (BVerfG, a. a. O., Randnummer 69) als auch der Einsatz komplexer Formen des Datenabgleichs (BVerfG, a. a. O., Randnummer 90), wobei es sich jeweils nur um Anhaltspunkte zur Bestimmung der Eingriffsintensität handelt. Die hier eingeführte Vorschrift ermöglicht es dem Bundeskriminalamt, unter den verfassungsrechtlich zulässigen Voraussetzungen entsprechende Datenanalysen vorzunehmen. Dabei sollen die Datenbestände, die beim Bundeskriminalamt bereits aufgrund bestehender Rechtsgrundlagen rechtmäßig erlangt und gespeichert werden, ausschließlich zum Zwecke der Analyse zusammengeführt und weiterverarbeitet werden. Das Bundeskriminalamt wird auf diese Weise in die Lage versetzt, bereits bei ihm im polizeilichen Informationssystem oder im polizeilichen Informationsverbund nach § 29 vorhandene Informationen besser, schneller und effizienter auszuwerten. Die Befugnisse zur Weiterverarbeitung von personenbezogenen Daten nach § 16 Absatz 1 und für den (ebenfalls automatisierten) Datenabgleich nach § 16 Absatz 4 bleiben von dieser Regelung unberührt. Die Regelung ist überdies technikneutral.

Die allgemeinen Regelungen zur Datenverarbeitung und zum Datenschutz, insbesondere die des Bundesdatenschutzgesetzes und des Abschnitts 2 und Abschnitts 9 bleiben unberührt und sind für die Verarbeitung von Daten im Rahmen der automatisierten Datenanalyse anzuwenden. Dies erfolgt insbesondere mit Blick auf die Anforderungen an die Sicherheit der Datenverarbeitung, die Durchführung einer Datenschutz-Folgenabschätzung und die vorherige Anhörung der oder des Bundesbeauftragten für Datenschutz und Informationsfreiheit, sowie deren oder dessen Kontrollbefugnisse.

Zu Absatz 1

Absatz 1 regelt die Befugnis des Bundeskriminalamts, die im Informationssystem des Bundeskriminalamts oder im Informationsverbund gespeicherten Daten mittels einer automatisierten Anwendung zur Datenanalyse aus verschiedenen Datenbeständen technisch zusammenzuführen. Er regelt ferner die Befugnis, diese zusammengeführten Daten zu analysieren, wenn dies im Rahmen der Befugnisse des Bundeskriminalamts zur Abwehr von Gefahren des internationalen Terrorismus erforderlich ist. Gerade im Phänomenbereich des internationalen Terrorismus, in dem die Täter häufig in dezentralen Strukturen operieren, ist das Erkennen von Zusammenhängen auf etwa gemeinsame Strukturen und Personengruppen von besonders hoher Bedeutung. Die technologischen Fähigkeiten des Bundeskriminalamts müssen für diesen Bereich dem aktuellen Stand der Technik entsprechen.

Die technische Zusammenführung der Daten sichert die Verarbeitbarkeit der Daten im Rahmen der automatisierten Datenanalyse. Die Zusammenführung muss aus technischen Gründen vom Einzelfall und weiteren Eingriffsschwellen unabhängig sein. Die Daten können nur dann schnell und effizient analysiert werden, wenn zumindest der Grunddatenbestand bereits zusammengeführt und aktualisiert in einem einheitlichen Datenformat in einer entsprechenden Anwendung vorliegt. Der Vorgang der Zusammenführung und Formatierung ist aufgrund der Masse der Daten aufwändig, so dass eine Zusammenführung lediglich im Einzelfall dem gewünschten Zweck der schnellen und effektiven Gefahrenabwehr nicht gerecht werden könnte.

Die fachliche Nutzung dieser zusammengeführten Daten zum Zwecke der Analyse darf jedoch nur dann vorgenommen werden, wenn die Voraussetzungen von Absatz 1 vorliegen, um den Einsatz einer jeweils angemessenen Eingriffsschwelle zu unterwerfen. Voraussetzung ist nach Satz 1 eine Gefahr im Zusammenhang mit Straftaten nach § 5 Absatz 1 Satz 2, soweit besonders gewichtige Rechtsgüter betroffen sind. Nach dem Urteil des Bundesverfassungsgerichts vom 16. Februar 2023 kann die automatisierte Datenanalyse ebenfalls bei einer hinreichend konkretisierten Gefahr für besonders gewichtigen Rechtsgütern erfolgen (BVerfG a. a. O., Randnummer 105f.). Satz 2 Nummer 1 oder 2 entspricht der Rechtsprechung des Bundesverfassungsgerichts zu den Anforderungen an eine konkretisierte Gefahrenlage (Urteil vom 20. April 2016, Az. 1 BvR 966/09 und 1 BvR 1140/09, Randnummer 165). Auf Grund des Bezugs auf § 5 Absatz 1 Satz 2 ist für § 16a Absatz 1 Satz 2 Nummer 1 und 2 sichergestellt, dass der Einsatz der automatisierten Anwendung zur Datenanalyse auf den Schutz von besonders gewichtigen Rechtsgütern beschränkt ist. Für den Schutz von Sachen gilt entsprechend der Rechtsprechung des Bundesverfassungsgerichts ein enges Verständnis, nach dem etwa wesentliche Infrastruktureinrichtungen oder sonstige Anlagen mit unmittelbarer Bedeutung für das Gemeinwesen gefasst werden (BVerfG, Az. 1 BvR 1547/19, 1 BvR 2634/20, Randnummer 105).

Für die Datenverarbeitung sind die in § 12 geregelten Grundsätze zur hypothetischen Datenneuerhebung zu beachten, soweit diese auf die vorliegende Verarbeitungssituation anwendbar sind.

Die Eingrenzung der Daten auf das Informationssystem nach § 13 und den polizeilichen Informationsverbund nach § 29 ist aus Gründen der Verhältnismäßigkeit angezeigt. Es dürfen lediglich solche Daten einbezogen werden, die bereits rechtmäßig erhoben wurden. Das Bundeskriminalamt wird somit dazu befugt, die automatisierte Analyse interner Datenbestände durchzuführen. Nicht von der Befugnis umfasst sind Datenerhebungen in externen/öffentlichen Datenquellen wie zum Beispiel Social-Media Plattformen, um diese einer direkten Analyse zu unterziehen. Daten aus externen Quellen können im konkreten Einzelfall in die Analyse nur dann miteinbezogen werden, wenn diese bereits im Vorfeld auf Basis einer entsprechenden Befugnisnorm zur Datenerhebung rechtmäßig erhoben wurden und weiterhin rechtmäßig gespeichert in dem Informationssystem des Bundeskriminalamts vorliegen oder zwischengespeichert werden, ohne dass es zu einer längerfristigen Speicherung der Daten kommt.

Zu Absatz 2

Die Zusammenführung und Nutzung automatisierter Anwendungen zur Datenanalyse durch das Bundeskriminalamt ist ebenfalls zur Verhütung von Straftaten gegen Leib, Leben oder Freiheit der nach § 6 zu schützenden Personen erlaubt. Insbesondere die Radikalisierung in der sogenannten Reichsbürger- und Querdenkerszene und die damit verbundene erhöhte Gefährdungslage für die Repräsentanten des Rechtsstaats und der Verfassungsorgane erfordern auch für diesen Aufgabenbereich adäquate rechtliche und technische Fähigkeiten. Aber auch in anderen Phänomenbereichen sind gleichgelagerte Gefahren denkbar. Es wird im Übrigen auf die Ausführungen zu Absatz 1 verwiesen.

Zu Absatz 3

Die Zusammenführung und Nutzung automatisierter Anwendungen zur Datenanalyse durch das Bundeskriminalamt ist auch im Rahmen der Zentralstellenaufgabe nach § 2 erlaubt. Die besondere verfassungsrechtliche Rolle des Bundeskriminalamts als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei erfordert hohe Fähigkeiten im Bereich der Auswertung und Analyse von Daten. Als Zentralstelle hat das Bundeskriminalamt insbesondere den gesetzlichen Auftrag, Informationen zu sammeln und auszuwerten und muss daher auch mit den rechtlichen sowie technischen Mitteln ausgestattet werden, die es in die Lage versetzen, diesen Auftrag bestmöglich zu erfüllen.

Voraussetzung ist zunächst, dass dies im Rahmen der Befugnisse des Bundeskriminalamts als Zentralstelle für das polizeiliche Auskunfts- und Nachrichtenwesen und für die Kriminalpolizei zur Verfolgung oder Verhütung einer Straftat im Sinne des § 2 Absatz 1 erforderlich ist. Entsprechend Absatz 1 und 2 gelten die Voraussetzungen einer konkretisierten Gefahrenlage für besonders gewichtige Rechtsgüter. Im Übrigen wird auf die Ausführungen zu Absatz 1 verwiesen.

Zu Absatz 4

Absatz 4 enthält eine nicht abschließende Aufzählung der möglichen Formen der Weiterverarbeitung im Rahmen einer automatisierten Anwendung zur Datenanalyse.

Zu Nummer 12 (§ 17)

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Nummer 13 (§ 19)

§ 19 Absatz 2 Satz 1 regelt Datenverarbeitungen der Vermisstenstelle im Bundeskriminalamt. Durch die Ergänzung des Kriteriums „hilflos“ bei unbekannten Personen wird klargestellt, dass es sich um Vermisste im eigentlichen Sinne handelt, nicht etwa Personen, die keine Angaben zu ihrer Identität angeben.

Zu Nummer 14 (§ 20)

Zu Buchstabe a

Bei der Änderung von § 20 Satz 1 handelt es sich um die Klarstellung eines redaktionellen Versehens. Aus rechtsförmlichen Gründen wurde die Rechtsverordnungsermächtigung durch das Bundeskriminalamtgesetz vom 1. Juni 2017 in § 20 als separate Vorschrift überführt. Eine Erweiterung der Verordnungsermächtigung auf den Regelungsinhalt von § 16 Absatz 1, 3, 4 und 6 wurde nicht bezweckt.

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Buchstabe b

Zu Doppelbuchstabe aa

Die Regelbeispiele des § 20 Satz 2 Nummer 2 werden lediglich klarstellend ergänzt um Audio- und Videoaufzeichnungen als andere zur Identifizierung geeignete Merkmale im Sinne von § 18 Absatz 2 Nummer 1 Buchstabe b. Aufgrund der technischen Entwicklungen hat die Bedeutung von Audio- und Videoaufzeichnungen auch für die Polizeiarbeit erheblich zugenommen. Zu vielen Taten/Tatkomplexen gibt es eine Vielzahl von Audio- und Videoaufzeichnungen, die als Beweismittel erhoben werden. Neben der Identifizierung von Personen anhand klassischer Vergleichsdaten wie Lichtbilder und Fingerabdrücke bedarf es für eine adäquate Bearbeitung und Auswertung zusätzlich flexibler Vergleichsdaten wie Audio- und Videoaufzeichnungen von Personen als Vergleichsmaterial. Dabei können Audio- und Videoaufzeichnungen weitere Identifizierungsmerkmale zu einer Person liefern. Hierdurch wird eine Identifizierung von Personen u.a. auch anhand von Bewegungs-, Handlungs- oder Sprechmustern ermöglicht.

Zu Doppelbuchstabe bb

Es handelt sich um eine Folgeänderung zur Änderung von § 19 Absatz 2 Satz 1.

Zu Nummer 15 (§ 22)

Zu Buchstabe a

Die Änderung der Überschrift von § 22 folgt aus der Einfügung der Absätze 3 bis 5. Eine Aufführung aller Zwecke im Einzelnen ist unübersichtlich, daher wird die Aufzählung im Titel gestrichen.

Zu Buchstabe b

Der neue § 22 Absatz 3 verdeutlicht, dass die Weiterverarbeitung personenbezogener Daten, die bisher ausschließlich zu den Zwecken der Vorgangsverwaltung oder Dokumentation gespeichert werden, unter den genannten Voraussetzungen insbesondere für polizeiliche Zwecke zulässig ist. Dem Verhältnismäßigkeitsgrundsatz wegen erneuter Verarbeitung personenbezogener Daten für polizeiliche Zwecke wird durch entsprechende Schwellen Rechnung getragen, die das Bundeskriminalamtsgesetz auch anderer Stelle vorsieht.

Wie in den Fällen des § 12 Absatz 2 müssen im Einzelfall konkrete Ermittlungsansätze vorliegen. Diese müssen entweder der Verhütung, Aufdeckung oder Verfolgung schwerer Straftaten nach § 100a der Strafprozessordnung oder der Verhütung von Straftaten nach § 5 Absatz 1 Satz 2 dienen.

Alternativ soll die Weiterverarbeitung auch dann möglich sein, wenn sich im Einzelfall konkrete Ermittlungsansätze zur Abwehr von in einem übersehbaren Zeitraum drohenden Gefahr für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse geboten ist, oder für den Bestand oder die Sicherheit des Bundes oder eines Landes erkennen lassen.

Der neue § 22 Absatz 4 stellt eine enge datenschutzrechtliche Zweckbindung der nach § 9 Absatz 7 sicher. Die Daten dürfen nur zum Zweck der Erhebung verarbeitet werden.

Der neue § 22 Absatz 5 schafft eine ausdrückliche Rechtsgrundlage für die Entwicklung, Überprüfung, Änderung und das Trainieren von IT-Produkten durch das Bundeskriminalamt anhand von Echtdaten. IT-Produkte sind entsprechend der Legaldefinition in § 2 Absatz 9a des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) Software, Hardware sowie alle einzelnen oder miteinander verbundenen Komponenten, die Informationen informationstechnisch verarbeiten. Auch wenn das Testen von IT-Produkten mittels personenbezogener Daten in der Regel eine technisch-organisatorische Maßnahme zur Gewährleistung der Sicherheit der Datenverarbeitung im Produktivbetrieb darstellt, die auf Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (ABl. L 119/1 vom 4. Mai 2016, S. 1), im Folgenden Datenschutz-Grundverordnung, in Verbindung mit Artikel 32 der Datenschutz-Grundverordnung beziehungsweise § 64 des Bundesdatenschutzgetzes gestützt werden kann, soll aus Gründen der Rechtssicherheit eine spezialgesetzliche Rechtsgrundlage geschaffen werden. Erfüllt das Testen und Trainieren von IT-Produkten im Einzelfall die für die wissenschaftliche Forschung kennzeichnenden Merkmale, ist § 21 als Rechtsgrundlage für die Datenverarbeitung für die wissenschaftliche Forschung heranzuziehen.

Eine Verarbeitung personenbezogener Daten durch das Bundeskriminalamt nach § 22 Absatz 5 Satz 1 ist ausschließlich zum Zwecke der Entwicklung, Überprüfung, Änderung und des Trainierens von IT-Produkten zulässig. Zudem muss es sich um IT-Produkte handeln, die das Bundeskriminalamt für die eigene Aufgabenwahrnehmung entwickelt oder nutzt. Die Datenverarbeitung muss zur Erreichung der benannten Zwecke erforderlich sein. Insbesondere muss ein Bedürfnis für unveränderte Daten bestehen oder eine Anonymisierung oder Pseudonymisierung der Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich sein. Die Aufzählung der Gründe für die Erforderlichkeit der Datenverarbeitung ist nicht abschließend.

Die Verarbeitungsbefugnis umfasst auch das Recht, personenbezogene Daten zum Zweck der Entwicklung, Überprüfung, Änderung oder des Trainierens von IT-Produkten an Dritte zu übermitteln. Hierbei kann es sich um beispielsweise vom Bundeskriminalamt eingesetzte Dienstleister handeln. Gemäß § 22 Absatz 5 Satz 2 gilt in diesem Fall § 21 Absatz 4 entsprechend, der Dritte muss also entweder Amtsträger oder für den öffentlichen Dienst besonders Verpflichteter oder zur Geheimhaltung verpflichtet worden sein. Entsprechend dem allgemeinen datenschutzrechtlichen Zweckbindungsgrundsatz darf der Dritte die Daten nur zu dem übermittelten Zweck verwenden. Der Dritte hat durch organisatorische und technische Maßnahmen zudem zu gewährleisten, dass die übermittelten Daten gegen unbefugte Kenntnisnahme geschützt sind, § 22 Absatz 3 Satz 2 in Verbindung mit § 21 Absatz 6.

In entsprechender Anwendung von § 21 Absatz 1 Satz 2 und Absatz 2 Satz 2 dürfen Daten, die aus in § 12 Absatz 3 genannten Maßnahmen erlangt wurden, nicht weiterverarbeitet und nicht an Dritte übermittelt werden.

Zu Nummer 16 (§ 23)

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Nummer 17 (§ 26a)

Zu Absatz 1

Absatz 1 regelt den Anwendungsbereich der Norm. Die Vorgaben des § 26a gelten entsprechend der Richtlinie (EU) 2023/977 für die Übermittlung und Bereitstellung personenbezogener und nicht personenbezogener Daten zum Zwecke der Verhütung von Straftaten. In der Richtlinie (EU) 2023/977 wird statt des Begriffs „Daten“ der Begriff „Informationen“ verwendet, der auch nicht personenbezogene Daten umfasst, und im Allgemeinen von einem „Austausch von Informationen“ gesprochen (Artikel 1 Absatz 1 Unterabsatz 1, Absatz 2 Nummer 4 der Richtlinie (EU) 2023/977). Der Austausch von Informationen bedeutet jedes Teilen von Informationen, sei es durch gezielte Übermittlung oder durch das Bereitstellen von Daten, sodass diese eingesehen oder abgerufen werden können. Vom Anwendungsbereich des § 26a umfasst ist die Übermittlung und Bereitstellung von Daten an Strafverfolgungsbehörden der Mitgliedstaaten der EU sowie der Schengen-assoziierten Staaten (vgl. Erwägungsgründe 41 bis 44 der Richtlinie (EU) 2023/977). Strafverfolgungsbehörden im Sinne des § 26a sind (vgl. Artikel 2 Absatz 1 der Richtlinie (EU) 2023/977)

alle Polizei-, Zoll- und sonstigen Behörden, die nach dem nationalen Recht des jeweiligen Staates für die Ausübung von öffentlicher Gewalt und die Ergreifung von Zwangsmaßnahmen zum Zwecke der Verhütung, Aufdeckung oder Untersuchung von Straftaten zuständig sind, und

alle Behörden, die an gemeinsamen Einrichtungen beteiligt sind, die von zwei oder mehr Mitgliedstaaten der EU zum Zwecke der Verhütung, Aufdeckung oder Untersuchung von Straftaten eingerichtet wurden.

Ausgenommen vom Anwendungsbereich der Richtlinie (EU) 2023/977 und somit vom Anwendungsbereich des § 26a sind Agenturen oder Einheiten, die auf Angelegenheiten der nationalen Sicherheit spezialisiert sind, sowie nach Artikel 47 des Übereinkommens zur Durchführung des Übereinkommens von Schengen vom 14. Juni 1985 zwischen den Regierungen der Staaten der Benelux-Wirtschaftsunion, der Bundesrepublik Deutschland und der Französischen Republik betreffend den schrittweisen Abbau der Kontrollen an den gemeinsamen Grenzen (ABl. L 239 vom 22. September 2000, S. 1), entsandte Verbindungsbeamte (Artikel 2 Absatz 1 der Richtlinie (EU) 2023/977). Letztere Ausnahme gilt auch für bilaterale Verbindungsbeamte des Bundeskriminalamtes, die nicht nach Artikel 47 des Schengen-Besitzstandes an ausländische Polizeidienststellen, sondern an deutsche Auslandsvertretungen entsandt sind. Der Begriff des Verbindungsbeamten ist trotz des Verweises in Artikel 2 Absatz 1 der Richtlinie (EU) 2023/977 auf Artikel 47 des Schengen-Besitzstandes, der die einzige einschlägige Definition von Verbindungsbeamten im europäischen Recht enthält, weit zu verstehen. Unter Berücksichtigung des Ziels und der Systematik der Richtlinie (EU) 2023/977 und in Ermangelung eines erkennbaren Grundes für eine Differenzierung dürften alle bilateralen Verbindungsbeamten von deren Anwendungsbereich ausgenommen sein, unabhängig von der Art der Entsendung. Der Informationsaustausch von deutschen Verbindungsbeamten mit ausländischen Stellen richtet sich daher nach den bereits bestehenden einschlägigen Regelungen.

Zu Absatz 2

Absatz 2 regelt Anforderungen, die gemäß der Richtlinie (EU) 2023/977 für jeglichen Datenaustausch gelten, egal, ob das Bundeskriminalamt als zentrale Kontaktstelle tätig wird oder nicht, ob Adressat der Daten eine andere zentrale Kontaktstelle oder eine ausländische Strafverfolgungsbehörde ist und ob Daten in Form von Ersuchen oder aus eigener Initiative übermittelt oder bereitgestellt werden. Gemäß Satz 1 hat die für die Übermittlung oder Bereitstellung von Daten zuständige Stelle unverzüglich alle gemäß dem deutschen Recht erforderlichen Schritte zu unternehmen, um eine Genehmigung der zuständigen Justizbehörde einzuholen, sofern eine entsprechende Genehmigung für die Datenübermittlung oder -bereitstellung erforderlich ist (vgl. Artikel 9 Absatz 2 der Richtlinie (EU) 2023/977). Satz 2 regelt, dass Daten vom Bundeskriminalamt grundsätzlich nur unter der Bedingung übermittelt werden können, dass die Verwendung als Beweismittel in einem Gerichtsverfahren unzulässig ist, es sei denn, es liegt eine Zustimmung der zuständigen Stelle zur Verwendung als Beweismittel vor (vgl. Artikel 1 Absatz 4 der Richtlinie (EU) 2023/977). Mithin muss das Bundeskriminalamt diese Bedingung dem empfangenden Staat mitteilen. Die Mitteilungspflicht entfällt, wenn die Zustimmung bereits bei der Datenübermittlung vorliegt. Eine Zustimmung kann auch im Nachhinein, etwa auf Ersuchen des empfangenden Staates, erteilt werden. Welche Stelle in Deutschland für diese Zustimmung zuständig ist, ergibt sich, wie in Satz 3 geregelt, aus dem Gesetz über die internationale Rechtshilfe in Strafsachen (IRG). Die Mitteilungspflicht entfällt auch, wenn zwischenstaatliche Regelungen in völkerrechtlichen Vereinbarungen oder unmittelbar anwendbaren EU-Rechtsakten bestehen, die eine Verwertung der im polizeilichen Informationsaustausch übermittelten Informationen als Beweismittel ohne gesonderte Zustimmung zulassen. Denn hierbei handelt es sich um günstigere Regelungen im Sinne des Artikel 1 Absatz 2 Satz 2 der Richtlinie (EU) 2023/977. Nach Artikel 1 Absatz 2 Satz 2 der Richtlinie (EU) 2023/977 können die Mitgliedstaaten Bestimmungen erlassen oder beibehalten, die den Informationsaustausch mit den Strafverfolgungsbehörden anderer Mitgliedstaaten zum Zwecke der Verhütung, Aufdeckung oder Untersuchung von Straftaten weiter erleichtern. Dies gilt ausdrücklich auch für Bestimmungen in bilateralen oder multilateralen Vereinbarungen.

Zu Absatz 3

Absatz 3 regelt Mindestanforderungen, die für die Übermittlung von Daten durch das Bundeskriminalamt an zentrale Kontaktstellen eines Mitgliedstaats der Europäischen Union oder eines Schengen-assoziierten Staats gelten. Gemäß Satz 1 sind Daten, die an eine zentrale Kontaktstelle übermittelt werden, in einer von dem jeweiligen Staat, um dessen zentrale Kontaktstelle es sich handelt, zugelassenen Sprache zu übermitteln (vgl. Artikel 4 Absatz 6, 7 Absatz 3 Unterabsatz 1, jeweils in Verbindung mit Artikel 11 der Richtlinie (EU) 2023/977). Dies gilt sowohl für den Fall, dass das Bundeskriminalamt ein Informationsersuchen an eine zentrale Kontaktstelle übermittelt als auch für die Beantwortung von Informationsersuchen einer zentralen Kontaktstelle ebenso wie für die Datenübermittlung aus eigener Initiative (sogenannte Spontanübermittlung).

Satz 2 regelt Anforderungen, die lediglich für die Übermittlung von Daten durch das Bundeskriminalamt an zentrale Kontaktstellen in Form von Informationsersuchen gelten. Gemäß Nummer 1 muss ein an eine zentrale Kontaktstelle gerichtetes Informationsersuchen die Angabe enthalten, ob dieses dringend ist. Im Falle der Dringlichkeit müssen im Ersuchen die Gründe für die Dringlichkeit angegeben werden. Ein Informationsersuchen ist als dringend anzusehen, wenn unter Berücksichtigung aller relevanten Tatsachen und Umstände des betreffenden Sachverhaltes objektive Anhaltspunkte dafür vorliegen, dass die angeforderten Informationen eine oder mehrere der folgenden Voraussetzungen erfüllen (vgl. Artikel 4 Absatz 4 der Richtlinie (EU) 2023/977):

Die Informationen sind unerlässlich zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats.

Die Informationen sind erforderlich, um eine unmittelbare Gefahr für das Leben oder die körperliche Unversehrtheit einer Person abzuwenden.

Die Informationen sind erforderlich für den Erlass eines Beschlusses, der die Aufrechterhaltung restriktiver Maßnahmen bis hin zu einem Freiheitsentzug umfassen könnte.

Es besteht die unmittelbare Gefahr, dass die Informationen an Relevanz verlieren, wenn sie nicht umgehend zur Verfügung gestellt werden, und die Informationen als wichtig für die Verhütung, Aufdeckung oder Untersuchung von Straftaten anzusehen sind.

Neben der Angabe der Dringlichkeit müssen in dem Informationsersuchen gemäß § 26a Absatz 3 Nummer 2 bis 4 die angeforderten Informationen hinreichend präzisiert und der Zweck, zu dem die Informationen angefordert werden, beschrieben werden (vgl. Artikel 4 Absatz 5 der Richtlinie (EU) 2023/977). Hierzu gehört auch eine Beschreibung des Sachverhalts und der zugrundeliegenden Straftat sowie gegebenenfalls eine Erläuterung des Zusammenhangs zwischen dem Zweck und den Personen oder Organisationen, auf die sich die Informationen beziehen. Ferner sind etwaige Verwendungsbeschränkungen in Bezug auf die in dem Informationsersuchen übermittelten Informationen im Ersuchen anzugeben. Im Rahmen der Prüfung der Verhältnismäßigkeit der Übermittlung von Daten in Form eines Ersuchens an eine zentrale Kontaktstelle ist zudem einzubeziehen, ob tatsächliche Anhaltspunkte dafür vorliegen, dass die angeforderten Daten erforderlich sind und dem ersuchten Staat zur Verfügung stehen (vgl. Artikel 4 Absatz 3 der Richtlinie (EU) 2023/977.

Zu Absatz 4

Absatz 4 regelt Anforderungen, die für die Übermittlung von Daten durch das Bundeskriminalamt an Strafverfolgungsbehörden anderer Mitgliedstaaten der Europäischen Union oder anderer Schengen-assoziierter Staaten gelten. Übermittelt das Bundeskriminalamt auf Basis der Richtlinie (EU) 2023/977 gleich in welcher Aufgabenerfüllung Daten an entsprechende Strafverfolgungsbehörden oder stellt diese bereit, ist grundsätzlich gleichzeitig eine Kopie der Daten an die zentrale Kontaktstelle des Staats zu übermitteln, dessen zuständige Strafverfolgungsbehörde Datenempfänger ist (vgl. Artikel 4 Absatz 1 Unterabsatz 3, 7 Absatz 3 Unterabsatz 2, 8 Absatz 2 der Richtlinie (EU) 2023/977). In Terrorismusfällen, bei denen es sich nicht um Not- oder Krisenmanagementsituationen handelt, kann von einer nachrichtlichen Beteiligung der zentralen Kontaktstelle abgesehen werden (vgl. Artikel 4 Absatz 2 Buchstabe b, 7 Absatz 4 Buchstabe b, 8 Absatz 3 Buchstabe b der Richtlinie (EU) 2023/977). Hiermit soll der hohen Vertraulichkeit des Informationsaustauschs bei Sachverhalten im Bereich der politisch motivierten Kriminalität Rechnung getragen werden, welcher unmittelbar zwischen den spezialisierten Staatsschutzdienststellen, welche in anderen Staaten nicht notwendigerweise der zentralen Anlaufstelle angehören, etabliert ist.

Zu Absatz 5

Absatz 5 Satz 1 regelt Fristen, innerhalb derer Ersuchen ausländischer Strafverfolgungsbehörden oder zentraler Kontaktstellen, die das Bundeskriminalamt als zentrale Kontaktstelle erreicht haben, zu beantworten sind (vgl. Artikel 5 Absatz 1 und 2 der Richtlinie (EU) 2023/977). Die Fristenregelung gilt nur für die Übermittlung von Daten auf Basis von Informationsersuchen, die das Bundeskriminalamt als zentrale Kontaktstelle erhalten hat und die auch durch das Bundeskriminalamt selbst beantwortet werden. Bei der Fristendauer wird differenziert, ob ein Ersuchen dringend ist (vgl. § 26a Absatz 4 Satz 2 Nummer 1) und ob die angeforderten Informationen dem Bundeskriminalamt unmittelbar – also in Form des direkten Datenbankzugriffs – oder mittelbar zugänglich sind. Mittelbar zugängliche Informationen sind solche, die – soweit das deutsche Recht dies zulässt und nach Maßgabe des deutschen Rechts – das Bundeskriminalamt von anderen Behörden oder privaten Parteien, die in Deutschland ansässig sind, ohne Zwangsmaßnahmen einholen kann (Artikel 2 Nummer 7 der Richtlinie (EU) 2023/977). Das Bundeskriminalamt ist verpflichtet, eine umgehende Weiterleitung des Ersuchens an die datenbesitzenden Stellen vorzunehmen und auf die Antwortfrist hinzuweisen. Sollten die Stellen dem Bundeskriminalamt nicht fristgerecht zuliefern, kann die begehrte Information als dem Bundeskriminalamt nicht mittelbar zugänglich angesehen werden. Lässt das deutsche Recht eine innerstaatliche Übermittlung von Daten an das Bundeskriminalamt nicht zu, beispielsweise weil diese dem Steuergeheimnis unterfallen, handelt es sich nicht um dem Bundeskriminalamt als zentraler Kontaktstelle mittelbar zugängliche Informationen. Auch Informationen, die bei der anderen Stelle nur durch das Ergreifen von Zwangsmaßnahmen eingeholt werden können, stehen dieser nicht zur Verfügung. Dies lässt die Möglichkeit unberührt, auch solche Informationen, z. B. unter Einbindung und mit Zustimmung der Justizbehörden, zu erheben und zu übermitteln, soweit dies nach innerstaatlichem Recht möglich ist. Gemäß Absatz 5 Satz 2 beginnen die Fristen mit dem Eingang des Ersuchens beim Bundeskriminalamt.

Absatz 5 Satz 3 bis 5 enthält eine Ausnahme von den in Satz 1 geregelten Fristen für Fälle, in denen die Datenübermittlung die Einholung einer Genehmigung durch eine Justizbehörde erfordert (vgl. Artikel 5 Absatz 2 der Richtlinie (EU) 2023/977). Soweit für die Einholung der Genehmigung erforderlich, kann von den Fristen abgewichen werden. Das Bundeskriminalamt hat die Genehmigung gemäß § 26a Absatz 2 Satz 1 unverzüglich einzuholen. Zudem ist die ersuchende Stelle unter Angabe von Gründen über die Dauer der zu erwartenden Verzögerung zu unterrichten und die Daten sind unverzüglich zu übermitteln, sobald die Genehmigung vorliegt.

Zu Absatz 6

Absatz 6 regelt eine Pflicht zur Übermittlung oder Bereitstellung von Daten durch das Bundeskriminalamt aus eigener Initiative (sog. Spontanübermittlung), wenn objektive Anhaltspunkte dafür vorliegen, dass die Daten für den anderen Mitgliedstaat zum Zweck der Aufdeckung von schweren Straftaten im Sinne von Artikel 2 Absatz 3 der Richtlinie (EU) 2023/977 relevant sein könnten (vgl. Artikel 7 Absatz 2 der Richtlinie (EU) 2023/977). Das Bundeskriminalamt trifft die Pflicht zur Datenübermittlung oder -bereitstellung nur bezogen auf solche Daten, die es aus Primäreingriffen im Rahmen seiner Aufgabenwahrnehmung selbst erhoben hat. Die Übermittlungs- bzw. Bereitstellungspflicht ist nicht verbunden mit einer übergreifenden Prüfpflicht des Bundeskriminalamtes, sondern es besteht bei der Aufgabenerfüllung im jeweiligen Einzelfall eine Pflicht zur Prüfung, ob die Voraussetzungen des § 26a Absatz 6 vorliegen. Im Rahmen der Einzelfallsachbearbeitung ist dementsprechend zum einen zu prüfen, ob tatsächliche Anhaltspunkte dafür vorliegen, dass die Daten zum Zwecke der Verhütung von Straftaten im Sinne von Artikel 2 Absatz 3 der Richtlinie (EU) 2023/977 für einen anderen Mitgliedstaat relevant sein können. Zum anderen ist im Rahmen der Einzelfallsachbearbeitung zu prüfen, ob die Daten dem Mitgliedstaat nicht bereits anderweit übermittelt oder bereitgestellt wurden bzw. zur Verfügung stehen. Dies kann etwa der Fall sein, wenn die Daten durch Nutzung bestehender Informationsaustauschplattformen auf EU-Ebene wie dem Europol-Informationssystem schon zur Verfügung stehen. Die Pflicht zur Übermittlung oder Bereitstellung von Daten besteht nicht, sofern diese gemäß § 28 Absatz 1, 2, 2a Satz 1 unzulässig wäre.

Zu Nummer 18 (§ 27)

Zu Buchstabe a

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Buchstabe b

Die Änderung erfolgt aus redaktionellen Gründen zur Vereinheitlichung der Nutzung von Abkürzungen und ausgeschriebenen Bezeichnungen.

Zu Nummer 19 (§ 28)

Zu Buchstabe a

Die Änderung erfolgt aufgrund der Einführung des § 26a. Auch bei der Datenübermittlung an Mitgliedstaaten der Europäischen Union gemäß der Richtlinie (EU) 2023/977 sollen die in § 28 Absatz 2 normierten Übermittlungsverbote und Verweigerungsgründe Anwendung finden. Die Anwendbarkeit der in § 28 Absatz 1, 2 geregelten Übermittlungsverbote und Verweigerungsgründe steht in Einklang mit dem in Artikel 3 Buchstabe b der Richtlinie (EU) 2023/977 festgeschriebenen Grundsatz des gleichwertigen Zugangs. Nach diesem Grundsatz sollen die zentralen Kontaktstellen und zuständigen Strafverfolgungsbehörden anderer Mitgliedstaaten grundsätzlich denselben, also weder einen strengeren noch einen weniger streng geregelten Zugang zu einschlägigen Informationen haben wie die deutschen Behörden (vgl. Erwägungsgrund 15 der Richtlinie (EU) 2023/977).

Zu Buchstabe b

Die Richtlinie (EU) 2023/977 erkennt an, dass es in bestimmten Fällen notwendig oder gerechtfertigt ist, die Übermittlung oder Bereitstellung von Daten an Strafverfolgungsbehörden oder zentrale Kontaktstellen anderer Mitgliedstaaten der Europäischen Union oder anderer Schengen assoziierter Staaten abzulehnen (vgl. Artikel 6 Absatz 1 und Erwägungsgründe 20 und 21 der Richtlinie (EU) 2023/977). Der in § 28 neu eingefügte Absatz 2a regelt daher spezielle Gründe für die Ablehnung bzw. Verweigerung von Datenübermittlungen und -bereitstellungen gemäß § 26a. Die Ablehnungsgründe ergänzen die bereits in § 28 Absatz 1 und 2 enthaltenen Übermittlungsverbote. § 28 Absatz 2a differenziert zwischen Übermittlungsverboten in Satz 1 und fakultativen Ablehnungsgründen in Satz 2. Satz 1 und 2 ist jedoch gemeinsam, dass eine Ablehnung der Datenübermittlung nur insoweit erfolgen kann oder muss, als die Informationen unter einen Ablehnungsgrund fällt. Das setzt voraus, dass das Ersuchen bzw. die Datenübermittlung nach der Art der Informationen teilbar ist. Die Informationen, für die kein Ablehnungsgrund vorliegt, sind zu übermitteln.

Satz 1 regelt Ablehnungsgründe, bei deren Vorliegen die Datenübermittlung zu unterbleiben hat. Diese gelten sowohl für die Übermittlung von Daten auf Basis von Ersuchen als auch für die Übermittlung oder Bereitstellung von Daten aus eigener Initiative. Hierdurch wird ein weitgehend einheitlicher Umgang mit jeglichen Datenübermittlungen und -bereitstellungen gemäß der Richtlinie (EU) 2023/977 sichergestellt und der Umsetzungsspielraum, den die Richtlinie für Regelungen betreffend den Direktverkehr und Spontanübermittlungen vorsieht, genutzt (vgl. Erwägungsgrunds 21 der Richtlinie (EU) 2023/977, nach dem die Richtlinie nur Mindeststandards für den Direktverkehr und Spontanübermittlungen enthält).

Satz 1 Nummer 1 regelt, dass die Datenübermittlung oder -bereitstellung abzulehnen ist, soweit die hierfür nach deutschem Recht erforderliche Genehmigung einer Justizbehörde verweigert wurde (vgl. Artikel 6 Absatz 1 Buchstabe c der Richtlinie (EU) 2023/977). Justizbehörden sind Staatsanwaltschaften und Gerichte.

Gemäß Satz 1 Nummer 2 ist die Datenübermittlung oder -bereitstellung abzulehnen, soweit die angeforderten Informationen andere personenbezogene Daten enthalten, als die in Artikel 10 Buchstabe b der Richtlinie (EU) 2023/977 genannten Kategorien personenbezogener Daten (vgl. Artikel 6 Absatz 1 Buchstabe d der Richtlinie (EU) 2023/977). Artikel 10 der Richtlinie (EU) 2023/977 sieht wiederum einen dynamischen Verweis auf die in Anhang II Abschnitt B der Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates genannten Kategorien von personenbezogenen Daten vor. Aufgrund des Verweises sind die personenbezogenen Daten, die durch Ersuchen nach dieser Vorschrift abgefragt werden können, auf die in Anhang II Abschnitt B der Verordnung (EU) 2016/794 genannten Kategorien von Daten beschränkt. Das Bundeskriminalamt hat im Einzelfall zu überprüfen, ob die verfügbaren Informationen, die personenbezogene Daten darstellen, unter diese Kategorien fallen. Soweit dies nicht der Fall ist, dürfen die weitergehenden Informationen nicht herausgegeben werden.

Satz 1 Nummer 3 regelt zum einen, dass die Datenübermittlung oder -bereitstellung abzulehnen ist, soweit die Daten ursprünglich von einem anderen Mitgliedstaat oder einem Drittstaat erlangt wurden und dieser Staat der Übermittlung oder Bereitstellung der Daten nicht zugestimmt hat (vgl. Artikel 6 Absatz 1 Buchstabe h der Richtlinie (EU) 2023/977). Die Zustimmung muss weder von dem ursprünglich übermittelnden Staat ausdrücklich erklärt worden sein noch aktiv durch das Bundeskriminalamt eingeholt werden. Kann das Bundeskriminalamt etwa aufgrund der bei der ursprünglichen Übermittlung festgelegten Voraussetzungen erkennen, dass der übermittelnde Staat eine weitere Verarbeitung der Daten, auch in Form der Weiterleitung an einen anderen Staat, zulässt, liegt eine konkludente Zustimmung vor. Liegt keine Zustimmung vor, unterbleibt die Übermittlung oder Bereitstellung der Daten. Es steht dem Bundeskriminalamt jedoch beispielsweise im Falle eines Ersuchens frei, den ersuchenden an den ursprünglich übermittelnden Staat zu verweisen. Zum anderen stellt Satz 1 Nummer 3 sicher, dass die von einem Mitgliedstaat oder einem Drittstaat erlangten Daten nur unter den von diesem Staat festgelegten Voraussetzungen für die Verwendung der Informationen zur Verfügung gestellt werden (vgl. Artikel 3 Buchstabe d der Richtlinie (EU) 2023/977).

Während Satz 1 zwingende Ablehnungsgründe enthält, regelt Satz 2 die Gründe, aus denen die Datenübermittlung im Falle eines an das Bundeskriminalamt gerichteten Informationsersuchen abgelehnt werden darf. Gemäß Satz 2 Nummer 1 darf ein Ersuchen abgelehnt werden darf, soweit die Daten dem Bundeskriminalamt als zentraler Kontaktstelle und den deutschen zuständigen Strafverfolgungsbehörden nicht zur Verfügung stehen (vgl. Artikel 6 Absatz 1 Buchstabe a der Richtlinie (EU) 2023/977). Zur Verfügung stehen Daten, die unmittelbar und mittelbar zugänglich sind (vgl. Artikel 2 Absatz 5 bis 7 der Richtlinie (EU) 2023/977). Unmittelbar zugängliche Daten sind solche, die in einer Datenbank verfügbar sind, auf die die zentrale Kontaktstelle oder die deutsche zuständige Strafverfolgungsbehörde unmittelbar zugreifen kann. Mittelbar zugänglich sind Daten, die – soweit das deutsche Recht dies zulässt – von anderen Behörden oder privaten Parteien, die in Deutschland ansässig sind, ohne Zwangsmaßnahmen eingeholt werden können. Daten, die bei der ersuchten Behörde nur durch das Ergreifen von Zwangsmaßnahmen eingeholt werden können, stehen dieser nicht zur Verfügung. Dies lässt die Möglichkeit unberührt, auch solche Daten, z. B. unter Einbindung und mit Zustimmung der Justizbehörden, zu erheben und zu übermitteln, soweit dies nach innerstaatlichem Recht möglich ist.

Gemäß Satz 2 Nummer 2 können Informationsersuchen, die nicht den inhaltlichen und formalen Anforderungen des § 26a Absatz 3 entsprechen, abgelehnt werden (vgl. Artikels 6 Absatz 1 Buchstabe b der Richtlinie (EU) 2023/977).

Satz 2 Nummer 3 regelt, dass ein Ersuchen abgelehnt werden kann, soweit die ersuchten Informationen eine Straftat betreffen, die nach deutschem Recht mit einer Freiheitsstrafe von höchstens einem Jahr oder weniger geahndet werden kann (vgl. Artikel 6 Absatz 1 Buchstabe g der Richtlinie (EU) 2023/977).

Nach Satz 2 Nummer 4 kann ein Ersuchen abgelehnt werden, soweit die ersuchten Informationen eine Angelegenheit betreffen, die nach deutschem Recht keine Straftat darstellt, also z. B. lediglich eine Ordnungswidrigkeit (vgl. Artikel 6 Absatz 1 Buchstabe g der Richtlinie (EU) 2023/977).

Gemäß Satz 3 sollen von der ersuchenden ausländischen Stelle bei Bedarf Klarstellungen oder Präzisierungen angefordert werden, die für die Bearbeitung eines Informationsersuchens erforderlich sind, das andernfalls abgelehnt werden müsste (vgl. Artikel 6 Absatz 3 der Richtlinie (EU) 2023/977). Der Grad an möglicher Präzisierung ist dabei vom Einzelfall, insbesondere dem Umfang und dem Kontext des Ersuchens abhängig zu machen.

Zu Nummer 20 (§ 29)

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Nummer 21 (§ 33)

Zu Buchstabe a

Zu Doppelbuchstabe aa

Es handelt sich um eine redaktionelle Folgeänderung zur Einfügung von § 33 Absatz 1 Satz 1 Nummer 5.

Zu Doppelbuchstabe bb

Es handelt sich um eine redaktionelle Folgeänderung zur Einfügung von § 33 Absatz 1 Satz 1 Nummer 5.

Zu Doppelbuchstabe cc

Die angefügte Nummer 5 erlaubt die Durchführung eines Abgleichs nach § 10b Absatz 1 zum Zweck der Identifizierung oder Aufenthaltsermittlung, sofern die Voraussetzungen nach § 33 Absatz 1 vorliegen. § 33 Absatz 1 erlaubt Maßnahmen zur Ermittlung des Aufenthaltsorts auf Ersuchen einer zuständigen Behörde eines ausländischen Staates oder eines internationales Strafgerichtshofes. Die Maßnahme nach § 10b Absatz 1 stellt zum Zweck der Identifizierung oder Aufenthaltsermittlung ein vergleichbares Instrument für diesen Zweck dar. Es handelt sich um einen Rechtsfolgenverweis.

Der angefügte Satz 2 führt unter engen Voraussetzungen eine Befugnis des Bundeskriminalamtes zur Durchführung von Öffentlichkeitsfahndungen aufgrund von internationalen Rechtshilfeersuchen ein. Die neue Regelung lehnt sich von ihren Voraussetzungen her an § 131a Absatz 3 der Strafprozessordnung an. In der bisherigen Praxis hat sich gezeigt, dass besonders in Fällen von internationalen Rechtshilfeersuchen mit dynamischen Fahndungslagen und ohne konkret erkennbaren regionalen Bezug eine Sicherheitslücke besteht. Bei solchen ausländischen Fahndungsersuchen kann das Bundeskriminalamt in Ermangelung eines konkret erkennbaren regionalen Bezugs zu Deutschland keine örtlich zuständige Generalstaatsanwaltschaft benennen, an die das Ersuchen zuständigkeitshalber abgegeben werden könnte, welche die Öffentlichkeitsfahndungsmaßnahmen durchführen könnte.

§ 33 Absatz 1 Satz 2 sieht daher vor, dass das Bundeskriminalamt aufgrund von internationalen Rechtshilfeersuchen zu Beschuldigten und Zeugen eine Öffentlichkeitsfahndung durchführen darf, wenn die Ausschreibung im Zusammenhang mit einer Straftat von erheblicher Bedeutung steht und die Aufenthaltsermittlung auf andere Weise aussichtslos oder wesentlich erschwert wäre.

Durch den Verweis auf § 131a Absatz 4 und 5 der Strafprozessordnung wird sichergestellt, dass bei einem Zeugen erkennbar zu machen ist, dass die gesuchte Person nicht Beschuldigter ist und die Öffentlichkeitsfahndung nach einem Zeugen zu unterbleiben hat, wenn überwiegende schutzwürdige Interessen des Zeugen entgegenstehen.

Zu Buchstabe b

Es handelt sich um eine Folgeänderung zur Einfügung von § 33 Absatz 1 Satz 2.

Zu Buchstabe c

Zu Doppelbuchstabe aa

Es handelt sich um eine redaktionelle Folgeänderung zur Einfügung von § 33 Absatz 4 Satz 1 Nummer 5.

Zu Doppelbuchstabe bb

Die neue Nummer 5 entspricht der Änderung in § 33 Absatz 1 Satz 1 Nummer 5. Auf die Begründung wird insoweit verwiesen. § 33 Absatz 4 erlaubt ebenfalls Maßnahmen zu Ermittlung des Aufenthaltsorts auf Ersuchen von Behörden nach § 26 Absatz 1 und § 27 Absatz 1. Die Maßnahme nach § 10b Absatz 1 fügt sich dementsprechend ein.

Der angefügte Satz 2 erlaubt die Informationsausschreibung von Drittstaatsangehörigen aufgrund eines Vorschlags von Europol. Nach Artikel 37a Absatz 1 der Verordnung (EU) 2022/1190 des Europäischen Parlaments und des Rates vom 6. Juli 2022 zur Änderung der Verordnung (EU) 2018/1862 in Bezug auf die Eingabe von Informationsausschreibungen zu Drittstaatsangehörigen im Interesse der Union in das Schengener Informationssystem (ABl. L 185/1 vom 12.07.2022, S. 1) können die Mitgliedsstaaten Informationsausschreibungen zu Drittstaatsangehörigen auf Vorschlag von Europol in das Schengener Informationssystem (SIS) eingeben; die einzuleitenden Maßnahmen ergeben sich aus Artikel 37b der Verordnung (EU) 2022/1190. Die Eingabe der Informationsausschreibung durch das Bundeskriminalamt im polizeilichen Informationsverbund im Rahmen der Aufgabenerfüllung als Zentralstelle wird durch den neu eingefügten § 33 Absatz 4 Satz 2 geregelt (vgl. zur Systematik auch Bundestagsdrucksache 20/3707, Seite 57). Die Eingabe in das SIS erfolgt nach Artikel 37a Absatz 1 der Verordnung (EU) 2022/1190. Die Prüfung der in § 33 Absatz 4 Satz 1 Nummer 3 Variante 1 geregelten Voraussetzungen erfolgt im Fall von Artikel 37a Absatz 1 der Verordnung (EU) 2022/1190 durch Europol nach Artikel 37a Absatz 2 der Verordnung (EU) 2022/1190.

Die Informationsausschreibung nach Artikeln 37a, 37b der Verordnung (EU) 2022/1190 entspricht dem Instrument der verdeckten Kontrolle nach Artikel 36 Absatz 1 der Verordnung (EU) 2018/1862 des Europäischen Parlaments und des Rates vom 28. November 2018 über die Einrichtung, den Betrieb und die Nutzung des Schengener Informationssystems im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen, zur Änderung und Aufhebung des Beschlusses 2007/533/JI des Rates und zur Aufhebung der Verordnung (EG) Nr. 1986/2006 des Europäischen Parlaments und des Rates und des Beschlusses 2010/261/EU der Kommission (ABl. L 312 vom 7. Dezember 2018, S. 56) beziehungsweise der polizeilichen Beobachtung nach § 33 Absatz 4 Satz 1 Nummer 3 Variante 1 in Verbindung mit § 47 Absatz 1 Nummer 1.

Zu Buchstabe d

Zu Doppelbuchstabe aa

Die Änderung regelt für die Ausschreibung nach § 33 Absatz 1 Satz 2 die Vorschriften zur gerichtlichen Anordnung.

Zu Doppelbuchstabe bb

Bislang müssen alle Ausschreibungen nach § 33 Absatz 4, die nicht der richterlichen Anordnung bedürfen, durch den Leiter der jeweils zuständigen Abteilung des Bundeskriminalamts angeordnet werden. Davon werden auch die Ausschreibungen Vermisster Minderjähriger und von Personen umfasst, bei denen eine Ingewahrsamnahme zu deren Schutz gegen eine Gefahr für Leib oder Leben erforderlich ist, insbesondere weil sie sich in hilfloser Lage befinden (§ 33 Absatz 4 Nummer 1). Gleiches gilt für Vermisste, die zur Aufenthaltsermittlung ausgeschrieben werden sollen, ohne dass sie in Gewahrsam genommen werden sollen (§ 33 Absatz 4 Nummer 2). Die ausschließliche Anordnungsbefugnis der Abteilungsleitung führt potentiell zu Verzögerungen bei der zeitkritischen Ausschreibung Vermisster.

Die Vermisstenausschreibung weist im Vergleich mit anderen Regelungen, in denen für die Anordnung von Maßnahmen dem Abteilungsleiter im Bundeskriminalamt vorbehalten ist, eine erheblich geringere Eingriffsintensität auf. Ausschreibungen nach § 33 Absatz 4 Nummer 1 und 2 stellen sich nicht primär als staatliche Eingriffsmaßnahmen in die Grundrechte der Ausgeschriebenen dar, sondern dienen vordringlich unter Gesichtspunkten der Gefahrenabwehr der Klärung ihrer Schicksale.

Überdies erfolgt eine redaktionelle Änderung infolge des angefügten Satzes in § 33 Absatz 4.

Zu Buchstabe e

Es handelt sich um eine redaktionelle Folgeänderung zur Anfügung eines Satzes in § 33 Absatz 4.

Zu Nummer 22 (§ 34)

Die Neufassung von Absatz 2 setzt die verfassungsrechtlichen Anforderungen an den Schutz des Kernbereichs der privaten Lebensgestaltung um. Der Beschluss des Bundesverfassungsgerichts vom 9. Dezember 2022 zum Gesetz über die öffentliche Sicherheit und Ordnung in Mecklenburg-Vorpommern (Az. 1 BvR 1345/21) betrifft den Kernbereichsschutz für Regelungen zu Vertrauenspersonen und Verdeckten Ermittlern. Deren Einsatz unterscheidet sich in der Zielrichtung des Erkenntnisgewinns vom Einsatz technischer Mittel zur Eigensicherung beauftragter Person nach dieser Vorschrift. So ist beim Einsatz beauftragter Personen im Regelfall davon auszugehen, dass der Kernbereich privater Lebensgestaltung nicht betroffen ist. Gleichwohl besteht abstrakt eine Gefährdungslage für den Kernbereich privater Lebensgestaltung. Absatz 2 entspricht weitgehend § 45 Absatz 7 bis 9, soweit diese sich auf Maßnahmen nach § 45 Absatz 2 Nummer 4 und 5 beziehen. Es wird auf die entsprechende Begründung verwiesen.

Die Neufassung von Absatz 2 Satz 11 und 12 im Vergleich zur bisherigen Regelung in Absatz 1 Satz 7 und 8 erfolgt im Zuge der Neufassung von § 79. Anstelle der bisherigen Regelungen im Rahmen der Befugnisse wird nun auf die Regelung in § 79 Absatz 1 verwiesen. Zudem enthält Absatz 2 Satz 11 eine Konkretisierung der Löschungspflicht der Dokumentation

Zu Nummer 23 (§ 39)

Nach dem eingefügten Verweis auf die Regelung des neuen § 9 Absatz 8 in § 39 Absatz 3 gilt das Verbot der Verschlechterung der Geschäftsbeziehungen seitens der Verpflichteten nach § 2 Absatz 1 des Geldwäschegesetzes auch für die Datenerhebung bei der Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt. In Fällen drohender Gefahren für Leib oder Leben (insbesondere Anschlagsvorbereitungen) müssen Kontokündigungen zwingend vermieden werden, damit die Gefahrabwehrmaßnahmen nicht gefährdet werden. Im Übrigen wird auf die Begründung zu § 9 Absatz 8 verwiesen.

Zu Nummer 24 (§ 39a)

Die Vorschrift zum biometrischen Internetabgleich stellt ein wirksames Instrument zur Erfüllung der Aufgabe des Bundeskriminalamts zur Abwehr von Gefahren des internationalen Terrorismus dar. Es wird auf die Begründung zu § 10b verwiesen.

Zu Nummer 25 (§ 40)

Zu Buchstabe a

Es handelt sich um eine redaktionelle Änderung. Ohne die eingefügten Wörter ist § 40 Absatz 2 unvollständig.

Zu Buchstabe b

Es handelt sich um eine redaktionelle Änderung. Das gestrichene Wort „nach“ ist überflüssig.

Zu Nummer 26 (§ 41)

Bei Gefahrenabwehrvorgängen des Bundeskriminalamts besteht der Bedarf zur Aufenthaltsermittlung von Personen, bei denen Tatsachen die Annahme rechtfertigen, dass sie sachdienliche Angaben für die Erfüllung der dem Bundeskriminalamt nach § 5 Absatz 1 Satz 1 obliegenden Aufgabe machen kann (§ 41 Absatz 1 Satz 1), analog zur Aufenthaltsermittlung von Zeugen nach § 131a Absatz 1 der Strafprozessordnung. Dies ist im neuen § 41 Absatz 5 nunmehr geregelt. Die Ausschreibungsmöglichkeiten nach § 47 Absatz 1 Nummer 1 bis 3 gehen bezüglich der zu gewinnenden Erkenntnisse über die reine Aufenthaltsermittlung hinaus.

Zu Nummer 27 (§ 45)

Die Änderungen setzen die verfassungsrechtlichen Anforderungen des Bundesverfassungsgerichts an den Kernbereichsschutz beim Einsatz von Vertrauenspersonen und Verdeckten Ermittlern um (Bundesverfassungsgericht, Beschluss vom 9. Dezember 2022 zum Gesetz über die öffentliche Sicherheit und Ordnung in Mecklenburg-Vorpommern, Az. 1 BvR 1345/21).

Zu Buchstabe a

§ 45 Absatz 7 erfasst das Stadium vor Durchführung der Maßnahme. Absatz 7 Satz 1 entspricht der bisherigen Rechtslage. Für Maßnahmen nach Absatz 2 Nummer 4 und 5 gelten die besonderen Regelungen ab Absatz 7 Satz 2. Diese Maßnahmen weisen die Besonderheit eines ausgeprägten Planungsstadiums. Nach Satz 2 sind Vorkehrungen zu treffen, das Eindringen in den Kernbereich privater Lebensgestaltung so weit wie möglich auszuschließen. Die Prognose kann nach Satz 3 dazu führen, dass ein Einsatz auszuschließen ist, wenn schon bei der Planung eindeutig ist, dass jedes Szenario der Durchführung mit einem Eindringen in den Kernbereich privater Lebensgestaltung verbunden ist. Ansatzpunkt dafür kann die Durchführung im kernbereichsrelevanten Umfeld, bspw. im engen Familienkreis, sein (Bundesverfassungsgericht, a. a. O., Randnummer 111); führen Auswahl der beauftragten Person, die geplanten Vorgehens- und Verhaltensweise oder der Einsatzort zu einer vergleichbaren Konstellation, kann die Durchführung ebenfalls von vorneherein verwehrt sein. Gleichwohl erkennt das Bundesverfassungsgericht an, dass es kaum vollständig vermeidbar ist, kernbereichsrelevante Informationen bei einem Einsatz zu erhalten (Bundesverfassungsgericht, a. a. O., Randnummer 112). Die alleinige Möglichkeit der Betroffenheit kernbereichsrelevanter Informationen ist nicht hinreichend für einen Ausschluss des Einsatzes nach Satz 3; vielmehr bedarf es in diesen Fällen konkreter Vorkehrungen nach Satz 2.

Von vorneherein nach Satz 4 ausgeschlossen und keine Abwägung zugänglich ist die Ausforschung des Kernbereichs als Ziel der Maßnahme (Bundesverfassungsgericht, a. a. O., Randnummer 110). Darunter fällt nach Satz 5 auch der Umstand, dass intime Beziehungen oder vergleichbar engste Bindungen, die ansonsten nur Familienangehörige, Partner oder allerengste Freunde haben, aufgebaut oder fortgeführt werden, soweit dies dem Aufbau oder Erhalt einer Vertrauensbeziehung mit der Zielperson dient (Bundesverfassungsgericht, a. a. O., Randnummer 107, 110).

Zu Buchstabe b

§ 45 Absatz 8 betrifft das Stadium der Umsetzung der Maßnahmen nach Absatz 2 Satz 4 und 5. Satz 1 konkretisiert die Anforderungen an eine Unterbrechung und betrifft alle Maßnahmen nach Absatz 2. Satz 2 ermöglicht unter engen Grenzen die Fortführung der Maßnahmen nach Absatz 2 Nummer 4 und 5 trotz Unterbrechungsanlasses und setzt insofern den Beschluss des BVerfG um (Randnummer 114 bis 116). Satz 3 bis 5 entspricht der bisherigen Regelung in Absatz 7 Satz 4 bis 6 zum sogenannten Richterband für Maßnahmen nach Absatz 2 Nummer 2 Buchstabe a und b (vgl. dazu Bundestagsdrucksache 18/11163, Seite 115). Absatz 8 Satz 6 entspricht dem bisherigen Absatz 7 Satz 7 und betrifft alle Maßnahmen nach Absatz 2.

§ 45 Absatz 9 regelt die Ebene der Verwertung der Daten sowie datenschutzrechtliche Anforderungen. Nach Satz 1 dürfen Vertrauenspersonen und Verdeckte Ermittler keine kernbereichsrelevanten Informationen weitergeben. Damit erfolgt ein weiterer Prüfschritt zur Verhinderung weiterer Eingriffe in den Kernbereich privater Lebensgestaltung, der aus dem Beschluss des Bundesverfassungsgerichts folgt (Bundesverfassungsgericht, a. a. O., Randnummer 117f.). Absatz 9 Satz 2 bis 5 entspricht dem bisherigen Absatz 7 Satz 8 bis 11. Die Änderung in Satz 3 stellt klar, dass auch verschriftlichte Informationen nach Satz 1 zu löschen sind. Die Dokumentationspflicht nach Satz 4 wird durch die Gründe für die Fortführung des Einsatzes durch Vertrauenspersonen und Verdeckte Ermittler nach Absatz 8 Satz 2 ergänzt.

Absatz 9 Satz 6 und 7 ersetzen die bisherigen Regelung in Absatz 7 Satz 12 und 13. Die Neufassung erfolgt im Zuge der Neufassung von § 79. Anstelle der bisherigen Regelungen im Rahmen der Befugnisse wird nun auf die Regelung in § 79 Absatz 1 verwiesen. Zudem enthält Absatz 9 Satz 6 eine Konkretisierung der Löschungspflicht der Dokumentation.

Zu Buchstabe c

Die Änderung folgt aus der Neufassung von § 45 in Absatz 7 bis 9.

Zu Nummer 28 (§ 46)

Die Neufassung von § 46 Absatz 7 Satz 7 und 8 erfolgt im Zuge der Neufassung von § 79. Anstelle der bisherigen Regelungen im Rahmen der Befugnisse wird nun auf die Regelung in § 79 Absatz 1 verwiesen. Zudem enthält Absatz 7 Satz 7 eine Konkretisierung der Löschungspflicht der Dokumentation.

Zu Nummer 29 (§ 47)

Die Änderung erfolgt aufgrund Artikel 37a Absatz 1 der Verordnung (EU) 2022/1190: Demnach können die Mitgliedsstaaten Informationsausschreibungen zu Drittstaatsangehörigen auf Vorschlag von Europol in das Schengener Informationssystem (SIS) eingeben. Insoweit wird auf die Begründung zum neu eingefügten § 33 Absatz 4 Satz 2 verwiesen. Der neu eingefügte § 47 Absatz 2 Satz 2 regelt die Eingabe der Informationsausschreibung durch das Bundeskriminalamt im polizeilichen Informationsverbund im Rahmen der Aufgabenerfüllung nach Abschnitt 5.

Zu Nummer 30 (§ 48)

Der neue § 48 Absatz 3 Satz 4 konkretisiert die Zweckbindung der Daten zur Dokumentation, die im Rahmen anderer Regelungen bereits vorhanden ist. Absatz 3 Satz 5 enthält eine Konkretisierung der Löschungspflicht der Dokumentation. § 48 Absatz 3 Satz 5 und 6 werden im Zuge der Neufassung von § 79 neu gefasst beziehungsweise angefügt. Anstelle der bisherigen Regelungen im Rahmen der Befugnisse wird nun auf die Regelung in § 79 Absatz 1 verwiesen.

Zu Nummer 31 (§ 49)

Zu Buchstabe a

Der Zugriff auf informationstechnische Systeme kann es erfordern, physisch auf die IT-Geräte einzuwirken. Der physische Zugriff ist die technisch sicherste und schnellste Möglichkeit zur Implementierung der für den Zugriff auf informationstechnische Systeme notwendigen Software. § 49 Absatz 1 Satz 4 befugt zum verdeckten Durchsuchen der Sachen bzw. Betreten der Wohnung. Die Erfolgsaussichten sind dabei deutlich höher als bei der klassischen Durchführung via Fernzugriff, da keine Mitwirkung der Zielperson notwendig ist. Die Mitwirkung kann nicht in allen Szenarien erreicht werden, insbesondere wenn die betroffenen Geräte nur zu bestimmten Funktionen und nicht dem alltäglichen Gebrauch verwendet werden.

Die Maßnahme erfolgt als ultima ratio ausschließlich zum Zweck der Abwehr von Gefahren des internationalen Terrorismus. So wie bei den weiteren Befugnissen des Bundeskriminalamts zu diesem Zweck darf die Maßnahme sich nach § 62 Absatz 1 nicht gegen Personen richten, denen ein Zeugnisverweigerungsrecht zusteht. Nach Rechtsprechung des Bundesverfassungsgerichts ist diese Maßnahme nach Artikel 13 Absatz 7 Alternative 3 des Grundgesetzes zulässig, soweit eine konkretisierte Gefahrenlage für sehr hohe Rechtsgüter besteht (BVerfG, Beschluss vom 9. Dezember 2022, Az. 1 BvR 1345/21, Randnummer 147). Die in § 49 Absatz 1 Satz 4 genannten Maßnahmen sind nur unter diesen Voraussetzungen, die bereits in Absatz 1 Satz 1 bis 3 abgebildet sind, zulässig. Zudem besteht ein Richtervorbehalt.

Zu Buchstabe b

§ 49 Absatz 4 regelt, dass die in Absatz 1 Nummer 4 genannten Maßnahmen nur auf Antrag der Präsidentin oder des Präsidenten des Bundeskriminalamts oder ihrer oder seiner Vertretung durch das Gericht angeordnet werden dürfen.

Zu Buchstabe c

Die Sachen bzw. die Anschrift der Räumlichkeit sind, soweit möglich, nach § 49 Absatz 5 Nummer 2a im Antrag zu bezeichnen.

Zu Buchstabe d

Die Sachen bzw. die Anschrift der Räumlichkeit sind, soweit möglich, nach § 49 Absatz 6 Satz 2 Nummer 2a anzuordnen.

Zu Buchstabe e

Die Neufassung von § 49 Absatz 7 Satz 8 und 9 erfolgt im Zuge der Neufassung von § 79. Anstelle der bisherigen Regelungen im Rahmen der Befugnisse wird nun auf die Regelung in § 79 Absatz 1 verwiesen. Zudem enthält Absatz 7 Satz 8 eine Konkretisierung der Löschungspflicht der Dokumentation.

Zu Nummer 32 (§ 51)

Zu Buchstabe a

Entsprechend zum Zugriff auf informationstechnische Systeme kann es auch bei der Quellen-Telekommunikationsüberwachung erforderlich sein, über einen physischen Zugriff auf Kommunikationsmittel zu verfügen. Dies wird durch den § 51 Absatz 1 Satz 3 ermöglicht. Es gelten dieselben verfassungsrechtlichen Maßstäbe wie beim Zugriff auf informationstechnische Systeme. Auf die entsprechende Begründung wird verwiesen.

Zu Buchstabe b

§ 51 Absatz 3 Satz 1 regelt, dass die genannten Maßnahmen nur auf Antrag der Präsidentin oder des Präsidenten des Bundeskriminalamts oder ihrer oder seiner Vertretung durch das Gericht angeordnet werden dürfen.

Zu Buchstabe c

Die Sachen bzw. die Anschrift der Räumlichkeit sind, soweit möglich, nach § 51 Absatz 4 Nummer 4a im Antrag zu bezeichnen

Zu Buchstabe d

Zu Doppelbuchstabe aa

Es handelt sich um eine redaktionelle Änderung infolge der Einfügung der neuen Nummer 4a.

Zu Doppelbuchstabe bb

Die Sachen bzw. die Anschrift der Räumlichkeit sind, soweit möglich, nach § 51 Absatz 5 Satz 2 Nummer 4a anzuordnen.

Zu Buchstabe e

Die Neufassung von § 51 Absatz 7 Satz 11 und 12 erfolgt im Zuge der Neufassung von § 79. Anstelle der bisherigen Regelungen im Rahmen der Befugnisse wird nun auf die Regelung in § 79 Absatz 1 verwiesen. Zudem enthält Absatz 7 Satz 11 eine Konkretisierung der Löschungspflicht der Dokumentation.

Zu Nummer 33 (§ 61)

Zu Buchstabe a

Nach dem neu eingefügten § 61 Absatz 1a darf das Bundeskriminalamt im Rahmen enger Grenzen Wohnungen ohne Wissen der Betroffenen durchsuchen. Zweck der Maßnahme ist zum einen die Erforderlichkeit zur Gewinnung von Erkenntnissen über die geplante Begehung von Straftaten durch die betroffenen Personen im Rahmen der Straftatenverhütung. Die Erforderlichkeit besteht bei Sachverhalten, bei denen eine konkretisierte Gefahrenlage hinsichtlich der Vorbereitung eines terroristischen Anschlags im Raum steht und nur noch Unsicherheit dahingehend besteht, in welchem konkreten Stadium sich die Tatplanung befindet. Bedeutsame Erkenntnisse hierbei sind insbesondere Informationen zum Stand der Beschaffung von Tatmitteln oder dem Bau von unkonventionellen Spreng- und Brandvorrichtungen.

Zweck der verdeckten Durchsuchung von Wohnungen kann auch darin liegen, potentielle Tatmittel ohne Wissen der betroffenen Personen unbrauchbar zu machen. Dies kann beispielsweise darin liegen, Munition auszuwechseln oder einen Grundstoff für die Sprengstoffherstellung durch eine minderkonzentrierte Flüssigkeit auszutauschen; in allen Fällen ist das Ziel die Verhinderung der bestimmungsgemäßen Schädigung hoher Rechtsgüter.

Die Maßnahme nach § 61 Absatz 1a erfolgt als ultima ratio in Fällen, in denen anderweitig eine Offenlegung der Beobachtung durch das Bundeskriminalamt erfolgen müsste und dadurch der Erfolg des Gefahrenabwehrverfahren sowie gegebenenfalls paralleler strafrechtlicher Ermittlungsverfahren ernsthaft gefährdet wäre. Sie kann nur zum Zweck der Abwehr von Gefahren des internationalen Terrorismus erfolgen. So wie bei den weiteren Befugnissen des Bundeskriminalamts zu diesem Zweck darf die Maßnahme sich nach § 62 Absatz 1 nicht gegen Personen richten, denen ein Zeugnisverweigerungsrecht zusteht. Die Tatbestandsvoraussetzungen entsprechen dem Beschluss des Bundesverfassungsgerichts vom 9. Dezember 2022 zum Gesetz über die öffentliche Sicherheit und Ordnung in Mecklenburg-Vorpommern (Az. 1 BvR 1345/21) zu gesetzlichen Vorschriften nach Artikel 13 Absatz 7 Alternative 3 des Grundgesetzes und erfordern eine konkretisierte Gefahrenlage für sehr hohe Rechtsgüter (Randnummer 147). Zudem besteht ein Richtervorbehalt.

Zu Buchstabe b

Maßnahmen nach § 61 Absatz 1a sind von der Ausnahme zum Nachtzeitverbot nach Absatz 3 erfasst. Die oben aufgeführten Zweckrichtungen der Durchsuchung müssen auch zur Nachtzeit erfolgen können, um den Erfolg zu sichern.

Zu Buchstabe c

Für § 61 Absatz 1a gilt § 68 Absatz 2, 3 und 5 des Bundespolizeigesetzes nicht entsprechend, da es dem Zweck der Vorschrift entgegenstände, würden Wohnungsinhaber oder andere Personen das Recht haben, bei der Maßnahme anwesend zu sein, über den Grund der Durchsuchung informiert zu werden oder die Niederschrift über die Durchsuchung zu kennen und zu unterzeichnen. § 68 Absatz 4 des Bundespolizeigesetzes gilt entsprechend, soweit nicht die Beteiligung des Wohnungsinhabers oder der zugezogenen Person gefordert ist.

Zu Nummer 34 (§ 63a)

Zu Buchstabe a

Es handelt sich um eine redaktionelle Änderung. Ohne die eingefügten Wörter ist § 63a Absatz 2 unvollständig.

Zu Buchstabe b

Es handelt sich um eine redaktionelle Änderung. Das gestrichene Wort „nach“ ist überflüssig.

Zu Nummer 35 (§ 63b)

Es wird auf die Begründung zu § 10b verwiesen.

Zu Nummer 36 (§ 64)

Die Änderung des Verweises in § 64 Absatz 4 erfolgt auf Grund der Anpassungen in § 45.

Zu Nummer 37 (§ 66)

Zu Buchstabe a

Es handelt sich um eine redaktionelle Änderung. Ohne die eingefügten Wörter ist § 66a Absatz 2 unvollständig.

Zu Buchstabe b

Es handelt sich um eine redaktionelle Änderung. Das gestrichene Wort „nach“ ist überflüssig.

Zu Nummer 38 (§ 70)

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Nummer 39 (§ 72)

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Nummer 40 (Überschrift Abschnitt 9 Unterabschnitt 3)

Es handelt sich um eine redaktionelle Folgeänderung zur Änderung des Wortlauts von § 73.

Zu Nummer 41 (§ 73)

Zu Buchstabe a

Es handelt sich um eine redaktionelle Folgeänderung zur Änderung des Wortlauts von § 73.

Zu Buchstabe b

In § 73 wird klargestellt, dass die Abordnung der Verbindungsbeamtinnen und der Verbindungsbeamten des Bundeskriminalamts an das Auswärtige Amt und nicht die Auslandsvertretungen erfolgt.

Zu Buchstabe c

In § 73 wird klargestellt, dass die datenschutzrechtliche Verantwortung für die Tätigkeit von Ortskräften, die für das Bundeskriminalamt an den Auslandsvertretungen tätig werden, beim Bundeskriminalamt liegt.

Zu Nummer 42 (§ 74)

Zu Buchstabe a

Zu Doppelbuchstabe aa

Es handelt sich um redaktionelle Folgeänderungen der der Änderungen in § 74 Absatz 1 Satz 1 Nummer 1, 2 und 4 sowie der Einfügung von § 74 Absatz 1 Satz 1 Nummer 12.

Zu Doppelbuchstabe bb

Der Anwendungsbereich des § 74 bezieht sich auf verdeckte und eingriffsintensive Maßnahmen. Die nunmehr aufgenommene Vorschrift des § 66 verweist auf § 64 und enthält demnach verdeckte und eingriffsintensive Maßnahmen, die Benachrichtigungspflichten nach sich ziehen.

Zu Doppelbuchstabe cc

Zu Doppelbuchstabe dd

Der Anwendungsbereich des § 74 bezieht sich auf verdeckte und eingriffsintensive Maßnahmen. Die nunmehr aufgenommene Vorschrift des § 65 entspricht inhaltlich weitgehend § 47 und enthält demnach verdeckte und eingriffsintensive Maßnahmen, die Benachrichtigungspflichten nach sich ziehen.

Zu Doppelbuchstabe ee

Die verdeckte Durchführung der Maßnahme nach § 49 Absatz 1 Satz 2 erfordert eine Benachrichtigung nach § 74 Absatz 1 auch dahingehend, dass ein verdecktes Betreten erfolgte.

Zu Doppelbuchstabe ff

Die verdeckte Durchführung der Maßnahme nach § 52 Absatz 2 Satz 3 erfordert eine Benachrichtigung nach § 74 Absatz 1 auch dahingehend, dass ein verdecktes Betreten erfolgte

Zu Doppelbuchstabe gg

Es handelt sich um eine redaktionelle Folgeänderung der Einfügung von § 74 Absatz 1 Satz 1 Nummer 12.

Zu Doppelbuchstabe hh

Die verdeckte Durchführung der Maßnahme nach § 61 Absatz 1 Satz 2 erfordert eine Benachrichtigung nach § 74 Absatz 1.

Zu Buchstabe b

Die Änderung in § 74 Absatz 3 Satz 5 folgt daraus, dass eine Löschung noch nicht erfolgt sein kann, solange die Benachrichtigung zurückgestellt und die Daten für eine etwaige gerichtliche Überprüfung erforderlich sind. Tatbestandsvoraussetzung der Vorschrift muss daher Löschungspflicht nach § 79 Absatz 1 sein.

Zu Nummer 43 (§ 77)

Zu Buchstabe a

Die Änderung in § 77 Absatz 3 Satz 1 dient dazu, den Fristbeginn zur Berechnung der Aussonderungsprüffristen auf alle zu einer Person gespeicherten Daten einheitlich anzuwenden. So soll verhindert werden, dass innerhalb der Frist zu einer Person hinzugespeicherte Daten aufgrund unterschiedlicher Fristabläufe ausgesondert werden müssen und so die polizeifachlich erforderliche Abbildung der Entwicklung einer betroffenen Person in kriminalistischer Hinsicht über aussagekräftige Zeiträume hinweg erschwert wird. Mit der Ergänzung, wonach nicht das letzte zur Speicherung berechtigende Ereignis, sondern die letzte erfolgte Speicherung im Informationssystem für den Fristbeginn relevant ist, wird das Ziel verfolgt, den Fristbeginn von dem relevanten Ereignis unabhängig zu machen, sondern auf relevante Speicherungen, das heißt den Nachvollzug des Ereignisses innerhalb des Informationssystems, abzustellen.

Zu Buchstabe b

Durch die Regelung im neuen § 77 Absatz 7 wird Artikel 16 Absatz 4 der Richtlinie (EU) 2023/977 in nationales Recht umgesetzt, der Aussonderungsprüffristen für die Informationsübermittlungen gemäß der Richtlinie (EU) 2023/977 enthält. Der Beginn der Aussonderungsprüffristen richtet sich nach dem Abschluss eines Informationsaustauschs. Hierunter ist gemäß Erwägungsgrund 34 der Richtlinie (EU) 2023/977 der Zeitpunkt zu verstehen, zu dem die letzte Information übermittelt oder die letzte diesbezügliche Mitteilung ausgetauscht wurde

Zu Nummer 44 (§ 79)

§ 79 wird aus Gründen der Klarstellung und Übersichtlichkeit neu gefasst.

Die Neufassung der Überschrift erfolgt, um einen Gleichlauf mit §§ 74, 82 zu erreichen. Die spezifische Nennung von Maßnahmen nach Abschnitt 5 erfolgt in anderen Vorschriften in Unterabschnitt 4 von Abschnitt 8 nicht.

Absatz 1 Satz 1 wird ebenfalls neu gefasst. Der Anwendungsbereich von Absatz 1 Satz 1 umfasst verdeckte und eingriffsintensive Maßnahmen. Personenbezogene Daten, die durch offene Maßnahmen des Abschnitts 5 erlangt wurden, werden nach den allgemeinen Aussonderungsprüfregeln des § 77 in Verbindung mit § 75 des Bundesdatenschutzgesetzes gelöscht. Daher wird der Wortlaut hinsichtlich der spezifischen Vorschriften konkretisiert. Als vergleichbare verdeckte und eingriffsintensive Maßnahmen sind auch Maßnahmen nach §§ 65, 66 in Verbindung mit § 64 klarstellend aufzunehmen. Die Regelung in § 79 Absatz 1 entspricht somit §§ 74, 82.

Der Beginn der Löschfrist der Dokumentation wird nach Absatz 1 Satz 4 an den Zeitpunkt der Löschung der Daten und Erstellung der Dokumentation, nicht jedoch an den der Benachrichtigung beziehungsweise gerichtlichen Zustimmung über das Absehen von der Benachrichtigung geknüpft. Anderenfalls besteht das Risiko, dass die Daten für eine Überprüfung nicht mehr vorliegen. Zum Zeitpunkt der Löschung der Dokumentation sind die zu Grunde liegenden Daten bereits gelöscht.

In Absatz 2 Nummer 2 erfolgt eine redaktionelle Folgeänderung zur Änderung von Absatz 1 Satz 1.

Im Übrigen entspricht die Vorschrift der bisherigen Regelung.

Zu Nummer 45 (§ 81)

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Nummer 46 (§ 82)

Zu Buchstabe a

Der Anwendungsbereich des § 82 umfasst verdeckte und eingriffsintensive Maßnahmen. Die nunmehr aufgenommenen Vorschriften § 61 Absatz 1 Satz 2 sowie §§ 65, 66 erlauben entsprechende Maßnahmen und führen zu Protokollierungspflichten.

Zu Buchstabe b

Zu Doppelbuchstabe aa

Der Anwendungsbereich des § 82 umfasst verdeckte und eingriffsintensive Maßnahmen. Die nunmehr aufgenommene Vorschrift des § 66 verweist auf § 64 und enthält demnach verdeckte und eingriffsintensive Maßnahmen, die Protokollierungspflichten nach sich ziehen.

Zu Doppelbuchstabe bb

Zu Doppelbuchstabe cc

Der Anwendungsbereich des § 82 umfasst verdeckte und eingriffsintensive Maßnahmen. Die nunmehr aufgenommene Vorschrift des § 65 entspricht inhaltlich weitgehend § 47 und enthält demnach verdeckte und eingriffsintensive Maßnahmen, die Protokollierungspflichten nach sich ziehen.

Zu Doppelbuchstabe dd

Es handelt sich um eine redaktionelle Folgeänderung der Einfügung von § 82 Absatz 2 Nummer 12.

Zu Doppelbuchstabe ee

Die verdeckte Durchführung der Maßnahme nach § 61 Absatz 1 Satz 2 erfordert eine Protokollierung nach § 82 Absatz 2.

Zu Buchstabe c

Zur Einrichtung einer automatisierten Löschroutine bedarf es der Bestimmung eines festen Zeitpunktes bzw. Zeitraums. Die Regelung des § 82 Absatz 4 Satz 2 knüpft jedoch an den Abschluss der Kontrolle nach § 69 Absatz 1, die die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit mindestens alle zwei Jahre durchführt, an. Der genaue Zeitpunkt dieser Kontrolle kann somit nicht bestimmt werden. Die Löschung ist daher manuell anzustoßen.

Zu Nummer 47 (§ 85)

Die Änderung der Überschrift von § 85 dient der Klarstellung, dass die betroffene Person ihre Rechte in anderen als den in § 84 genannten Fällen, zum Beispiel bei gemeinsamen Ermittlungsdateien, gegenüber jeder speicherungsberechtigten Stelle ausüben kann.

Zu Nummer 48 (§ 86)

Aufgrund des neuen Regelungsgehalts von § 86 ist der bisherige Unterabschnitt aufzuheben.

Zu Nummer 49 (Abschnitt 9a)

Aufgrund des neuen § 86a wird ein neuer Abschnitt zum Schadensausgleich eingefügt.

Zu Nummer 50 (§ 86)

Der bisherige Regelungsgehalt des § 86 wird aufgehoben und durch einen neuen ersetzt.

Nach dem neugefassten § 86 erfolgt nunmehr ein Verweis auf die Schadensausgleichsvorschriften des Bundespolizeigesetzes. Bislang galten die allgemeinen Regelungen zur Staatshaftung. Die Änderung erfolgt aus Gründen der Rechtssicherheit, insbesondere zur Herstellung von Klarheit für Betroffene über die Rechtslage. Zudem sichert sie den Gleichlauf der Regelungen zum Schadensausgleich zwischen Bundespolizei und Bundeskriminalamt

Die bisherige Regelung des § 86 betraf ausschließlich den datenschutzspezifischen Schadensersatz im polizeilichen Informationsverbund. Absatz 1 sah eine Haftung des Bundeskriminalamtes im Außenverhältnis bei jeder rechtswidrigen Datenverarbeitung im Informationsverbund vor. Zielrichtung der Norm war es, der anspruchsberechtigten Person ihren Schaden zu ersetzen, ohne dass diese die datenschutzrechtliche Verantwortung im Zusammenspiel mehrerer Behörden nachweisen müsste. Einem datenschutzspezifischen Schadensersatzanspruch geht aber notwendigerweise ein Auskunftsersuchen nach § 57 Absatz 1 des Bundesdatenschutzgesetzes voraus; die Auskunft wird gemäß § 84 Absatz 1 Satz 1 vom Bundeskriminalamt im Einvernehmen mit dem datenschutzrechtlich Verantwortlichen nach § 31 Absatz 2 erteilt. In der Folge ist ein Klärungsbedarf bezüglich des datenschutzrechtlichen Verantwortlichen aus Sicht der anspruchsberechtigten Person schlechthin ausgeschlossen. Vor diesem Hintergrund ist eine Spezialregelung zum datenschutzspezifischen Schadensersatz nicht erforderlich.

Zu Nummer 51 (§ 88)

Zu Buchstabe a

Vom Zweck der Berichtspflicht nach § 88 sind neben § 64 auch die vergleichbaren Maßnahmen der Abschnitte 6 und 7 von der Berichtspflicht umfasst; dies ist in der Berichtspraxis des Bundeskriminalamts bislang auch so erfolgt und wird hier entsprechend klargestellt. Ebenso wird die neue Regelung des § 61 Absatz 1 Satz 2 ergänzt.

Zu Buchstabe b

Mit den Änderungen erfolgt die Anpassung der Bezeichnung aufgrund des Organisationserlasses des Bundeskanzlers vom 8. Dezember 2021 (BGBl. I S. 5176).

Zu Artikel 2 (Änderung des Bundespolizeigesetzes)

Zu Nummer 1 Inhaltsübersicht)

Zu Buchstabe a

Es handelt sich um eine redaktionelle Folgeänderung zur Einfügung von § 54a.

Zu Buchstabe b

Es handelt sich um eine redaktionelle Folgeänderung zur Einfügung von §§ 57a und 57b.

Zu Nummer 2 (§ 54a)

Zu Absatz 1

Für den Informationsaustausch zum Zwecke der Verhütung, Aufdeckung und Untersuchung von Straftaten zwischen den zuständigen Strafverfolgungsbehörden der Mitgliedstaaten der Europäischen Union sowie der Schengen-assoziierten Staaten enthält die Richtlinie (EU) 2023/977 verbindliche Vorgaben, die unter anderem durch den neu eingefügten § 26a des Bundeskriminalamtgesetzes für das Bundeskriminalamt umgesetzt werden. Hierbei gelten besondere Vorgaben, die sich aus der Sonderstellung des Bundeskriminalamtes als zentrale Kontaktstelle nach § 3 Absatz 2 Nummer 4 des Bundeskriminalamtgesetzes ergeben. Die Dienstwegeregelung nach § 3 des Bundeskriminalamtgesetzes bleibt unberührt. Informationen im Anwendungsbereich der Richtlinie (EU) 2023/977 werden insofern grundsätzlich über das Bundeskriminalamt gesteuert, welches dann etwaige Mitteilungen an die Kontaktstellen der Mitgliedstaaten veranlasst. Umgekehrt sind im Regelfall Anfragen und Ersuchen anderer Mitgliedstaaten über das Bundeskriminalamt zu steuern. Gleichwohl kommt in Betracht und ist davon auszugehen, dass die Bundespolizei als benannte Stelle im Sinne von Artikel 7 Absatz 2 der Richtlinie (EU) 2023/977 in Einzelfällen Informationen direkt an zentrale Kontaktstellen richtet. Auch die Direktübermittlung an zuständige Strafverfolgungsbehörden ist im Rahmen des § 3 Absatz 3 Satz 1 Nummer 4 des Bundeskriminalamtgesetzes möglich. Hierzu werden die Vorgaben für die Bundespolizei in § 54a umgesetzt. Die Befugnis zur Übermittlung personenbezogener Daten an öffentliche und nichtöffentliche Stellen sowie an zwischen- und überstaatliche Stellen im EU- und Schengen-assoziierten Ausland ergibt sich für die Bundespolizei aus § 54 des Bundespolizeigesetzes und bezüglich nicht personenbezogener Daten aus der jeweiligen Aufgabennorm gemäß Bundespolizeigesetz.

Zu Absatz 2

§ 54a Absatz 2 enthält allgemeine Vorgaben für den Fall eines unmittelbaren Austausches personenbezogener und nicht personenbezogener Daten mit Strafverfolgungsbehörden und zentralen Kontaktstellen im Sinne des Artikel 14 Absatz 1 der Richtlinie (EU) 2023/977 im EU- und Schengen-assoziierten Ausland. Es kann insofern auf die Begründung zu § 26a Absatz 3 des Bundeskriminalamtgesetzes verwiesen werden.

Zu Absatz 3

Es handelt sich um allgemeine Vorgaben im Rahmen unmittelbarer Datenübermittlung entsprechend § 26a Absatz 2 des Bundeskriminalamtgesetzes. Grundsätzlich werden erforderliche Genehmigungen durch das Bundeskriminalamt als zentrale Kontaktstelle eingeholt. Im Rahmen des sogenannten Direktverkehrs hat die Bundespolizei jedoch die notwendigen Genehmigungen unmittelbar einzuholen.

Zu Absatz 4

Bei der Übermittlung oder Bereitstellung von Daten ist mitzuteilen, dass die Verwendung als Beweismittel in einem Gerichtsverfahren unzulässig ist.

Zu Absatz 5

Relevante Informationen Im Sinne der Vorschrift werden im Grundsatz auf Grundlage von §§ 54, 54a des Bundespolizeigesetzes über das Bundeskriminalamt als zentrale Kontaktstelle im Sinne des § 3 Absatz 2 Satz 1 Nummer 4 Bundeskriminalamtgesetzes übermittelt. Die Bundespolizei prüft auch etwaige Ausschlussgründe für die Übermittlung an die zuständigen Strafverfolgungsbehörden anderer Mitgliedstaaten. Für den Fall, dass die Bundespolizei eine Direktübermittlung als tunlich erachtet, sind dem Bundeskriminalamt und der jeweiligen nationalen Kontaktstelle des Mitgliedstaates Abschriften der Mitteilung bereitzustellen.

Zu Nummer 3 (§§ 57a und 57b)

Zu § 57a:

Die Bundespolizei muss zur Erfüllung ihrer Aufgaben eine wachsende Anzahl von Daten auswerten und miteinander verknüpfen. Dies kann sinnvoll nur über technische Anwendungen geschehen. Der Gesetzesentwurf trägt den technischen Möglichkeiten und den Bedarfen der Zeit Rechnung, indem er die Voraussetzung für die Nutzung von Softwares zur automatisierten Datenanalyse durch die Bundespolizei schafft. Bei der konkreten Ausgestaltung wurde den Anforderungen des Bundesverfassungsgerichts im Urteil vom 16. Februar 2023, Az. 1 BvR 1547/19 u.a. Rechnung getragen.

Absatz 1 regelt die Befugnis der Bundespolizei, personenbezogene Daten, die sie zur Erfüllung der ihr obliegenden Aufgaben weiterverarbeitet oder für die sie eine Berechtigung zum Abruf hat, mittels einer automatisierten Anwendung zur Datenanalyse aus verschiedenen Datenbeständen technisch zusammenzuführen. Er regelt ferner die Befugnis, diese zusammengeführten Daten zu analysieren, wenn dies im Rahmen der Aufgaben der Bundespolizei nach § 1 Absatz 3, 4 und 6 sowie den §§ 2 bis 8 zur Abwehr erheblicher Gefahren erforderlich ist. Hinsichtlich der verfassungsrechtlichen Vorgaben wird auf die Begründung von § 16a des Bundeskriminalamtgesetzes verwiesen. § 57a Absatz 1 Nummer 2 und 3 nehmen auf erhebliche Gefahren im Aufgabenbereich der Bundespolizei Bezug. Die Eingriffsschwellen der Nummern 2 und 3 sind regelungssystematisch an die bestehenden Eingriffsschwellen in § 25 Absatz 1 Nummern 2 und 3 (Erhebung von Verkehrs- und Nutzungsdaten) und § 40 Absatz 1 Nummer 2 und 3 (Überwachung der Telekommunikation) angepasst. Sie schützen besonders gewichtige Rechtsgüter im Sinne der Rechtsprechung des Bundesverfassungsgerichts.

Für die Datenverarbeitung sind die in § 43 geregelten Grundsätze zur hypothetischen Datenneuerhebung zu beachten. Im Übrigen wird auf die Begründung zu § 16a des Bundeskriminalamtgesetzes verwiesen.

Zu § 57b:

Entsprechend der Regelung in §§ 10b, 39a und 63b des Bundeskriminalamtgesetzes stellt § 57b eine auf die spezifischen Gefahrenabwehraufgaben der Bundespolizei zugeschnittene Vorschrift dar. Hinsichtlich der Rechtsgüter wird auf die Begründung zu § 57a verwiesen, im Übrigen auf die Begründung von § 10b des Bundeskriminalamtgesetzes.

Zu Artikel 3 (Änderung des Bundesdatenschutzgesetzes)

Zu Nummer 1 (§ 45)

Zu Buchstabe a

Die Neufassung von § 45 Satz 1 dient der Klarstellung des Anwendungsbereichs des Dritten Teils des Bundesdatenschutzgesetzes.

§ 45 Satz 1 Nummer 1 und 2 differenziert zwischen Straftaten und Ordnungswidrigkeiten. Durch die numerische Aufteilung wird präzisiert, dass die Verhütung von Ordnungswidrigkeiten nicht vom Anwendungsbereich des dritten Teils des Bundesdatenschutzgesetzes umfasst ist (vgl. Bundestags-Drucksache. 18/11325, Seite 110f.). Hiervon geht auch Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 aus. Die Datenverarbeitung durch Verwaltungsbehörden, deren Aufgabenzuweisung nicht mit den in § 45 genannten Zwecken übereinstimmt, unterliegt erst dem Anwendungsbereich, sobald das Verfahren in ein konkretes Ordnungswidrigkeitsverfahren übergeht.

Durch diese Regelungssystematik wird auch verdeutlicht, dass für den Schutz und die Abwehr von Gefahren für die öffentliche Sicherheit die Zuständigkeit der Behörde und der Verarbeitungszweck maßgeblich sind.

Zu Buchstabe b

Es handelt sich um eine Folgeänderung zur Änderung von § 45 Satz 1.

Zu Nummer 2 (§ 46)

Zu Buchstabe a

Die Regelung entspricht § 3 Absatz 6 des Bundesdatenschutzgesetzes alter Fassung und orientiert sich an § 16 Absatz 6 Nummer 1 des Bundesstatistikgesetzes.

Anders als die unmittelbar anwendbare Datenschutzgrundverordnung bedarf die Richtlinie 2016/680 einer Umsetzung in nationales Recht. Erwägungsgrund 21 der Richtlinie 2016/680 stellt klar (vgl. auch Erwägungsgrund 26 der Datenschutz-Grundverordnung), dass die Grundsätze des Datenschutzes nur für Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Die Grundsätze des Datenschutzes gelten daher nicht für anonyme Daten, das heißt für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann. Der Verantwortliche darf anonymisierte Daten ungehindert verarbeiten. Dies ist aber dann nicht der Fall, wenn mit verfügbarem Zusatzwissen eine Identifizierung möglich ist.

Um festzustellen, ob eine Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden. Dabei sind die zum Zeitpunkt der Verarbeitung verfügbaren Technologien und technologischen Entwicklungen zu berücksichtigen.

Zu Buchstabe b

Ziel der Verschlüsselung ist es, die Vertraulichkeit und Integrität der Daten zu gewährleisten und sie vor Zugang unbefugter Dritter zu schützen.

Die Integrität und Vertraulichkeit von Daten ist sichergestellt, wenn durch die Verschlüsselung ein angemessener Schutz gewährleistet wird, sodass die Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt sind (vgl. Artikel 5 Absatz 1 Buchstabe f Datenschutz-Grundverordnung).

Zweck der Verschlüsselung ist zudem „personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich“ zu machen (Artikel 31 Absatz 3 Buchstabe a der Richtlinie 2016/680; Artikel 34 Absatz 3 Buchstabe a der Datenschutz-Grundverordnung).

Zu Nummer 3

§ 79 Absatz 3 sieht eine Unterrichtungspflicht des Bundesbeauftragten oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vor, wenn zwar geeignete Garantien vorliegen; diese aber nicht rechtsverbindlich sind. Datenübermittlungen an Drittstaaten und internationale Organisationen ohne geeignete Garantien müssen dem oder der Bundesbeauftragten daher ebenfalls berichtet werden, um einen zusätzlichen Schutz bei der Verarbeitung personenbezogener Daten für den Betroffenen zu gewährleisten.

Von Artikel 38 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) kann mit der Einführung von Unterrichtungspflichten abgewichen werden, da die Richtlinie einen Mindeststandard determiniert und der nationale Gesetzgeber ein höheres Schutzniveau vorsehen kann.

Zu Artikel 4 (Änderung des Telekommunikation-Telemedien-Datenschutz-Gesetzes)

Zu Nummer 1 (§ 15)

§ 15 Absatz 1a eröffnet den genannten Behörden die Möglichkeit, über die Aufnahme in eine von der Bundesnetzagentur zu führende und zu veröffentlichende Liste ebenfalls einen entsprechenden Ausschluss der Rufnummernunterdrückung des Anrufers herbeizuführen. Hier besteht zur schnellstmöglichen Reaktion dieser Behörden auf telefonisch eingehende Drohungen etwa mit Anschlägen, schweren Straftaten oder erweiterten Suiziden eine vergleichbare Sachlage wie bei Notrufnummern. Andere Vorschriften des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien ermöglichen zwar Abhilfe unter bestimmten Umständen, bei dringenden Gefahrenlagen ermöglicht aber keine Vorschrift eine zeitnahe Deanonymisierung.

Zu Artikel 5 (Änderung der Strafprozessordnung)

Zu Nummer 1 (Inhaltsübersicht)

Es handelt sich um eine redaktionelle Folgeänderung zur Einfügung von §§ 98d und 98e.

Zu Nummer 2 (§§ 98d, 98e)

Die neue Regelung in § 98d setzt die Anforderungen des Urteils des Bundesverfassungsgerichts vom 16. Februar 2023 zur automatisierten Datenanalyse (Az. 1 BvR 1547/19, 1 BvR 2634/20) für die Strafverfolgung um. Es wird auf die Begründung zu § 16a des Bundeskriminalamtgesetzes verwiesen.

Zu § 98e wird auf die Begründung zu § 10b des Bundeskriminalamtgesetzes verwiesen.

Zu Nummer 3 (§ 131a)

Das Instrument des biometrischen Internetabgleichs kann die Ausschreibung zur Aufenthaltsermittlung ergänzen bzw. ersetzen. Es wird auf die Ausführungen zu § 33 Absatz 1 und 4 des Bundeskriminalamtgesetzes verwiesen.

Zu Nummer 4 (§ 161)

Der eingefügte § 161 Absatz 3 entspricht § 9 Absatz 8 des Bundeskriminalamtgesetzes. Somit gilt das Verbot der Verschlechterung der Geschäftsbeziehungen seitens der Verpflichteten nach § 2 Absatz 1 des Geldwäschegesetzes auch für die Datenerhebung in Ermittlungsverfahren nach der Strafprozessordnung. Es wird auf die Begründung zu § 9 Absatz 8 des Bundeskriminalamtgesetzes verwiesen.

Zu Artikel 6 (Inkrafttreten)

Zu Absatz 1

Die Bestimmung regelt das Inkrafttreten des Gesetzes.

Zu Absatz 2

Gemäß Artikel 22 Absatz 1 Satz 1 der Informationsaustauschrichtlinie setzen die Mitgliedstaaten die nationalen Vorschriften, die erforderlich sind, um der Richtlinie nachzukommen, bis zum 12. Dezember 2024 in Kraft. Daher ist ein Inkrafttreten der Vorschriften, die diese umsetzen, zu diesem Datum vorgesehen.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|Gesetzentwurf in Volltext|

|im Koalitionsvertrag|

|EU-Richtlinie zum Datenaustausch zwischen Polizeibehörden|

|nicht heimlich betreten|

|zu Staatstrojanern vereinbart|

|einen Gesetzentwurf vorgelegt|

|im Koalitionsvertrag|

|die Bundesregierung verpflichtet|

|Sicherheitslücken offenlassen und ausnutzen|

|steht im Koalitionsvertrag|

|Palantir|

|verfassungswidrig eingestuft und gekippt|

|hat das Bundesverfassungsgericht|

|Laut Wikipedia bedeutet Anonymität|

|immer häufiger und einfacher|

|EU-Richtlinie über den Informationsaustausch zwischen den Strafverfolgungsbehörden|

|Manuel Höferlin|

|Konstantin von Notz|

|kommentiert gegenüber RND|

|Sebastian Hartmann|

|auf X|

|gegenüber Bild|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Die letzte Piratin im EU-Parlament: „Man kann auch mit wenigen Leuten etwas verändern“

Thu, 15 Aug 2024 09:30:42 +0000

Maximilian Henning

Markéta Gregorová sitzt seit 2019 für die tschechische Piratenpartei im Europäischen Parlament. Die Piraten haben bei der Europawahl vor einigen Monaten |drei ihrer vier Sitze verloren|, darunter den einzigen deutschen. Nur Gregorová zog wieder ins Parlament ein, wo sie wieder in der Fraktion der Grünen sitzen wird.

netzpolitik.org: Wie fühlt es sich an, die derzeit einzige Piratin im Parlament zu sein?

Markéta Gregorová: Natürlich ist es ein bisschen einsam. Wir haben viele Entscheidungen mit mehreren Personen getroffen, nicht nur mit Abgeordneten, sondern auch mit ihren Teams. Dutzende von Leuten konnten zum Beispiel bei der Recherche helfen. Das ist nicht mehr so. In dieser Hinsicht wird es ein bisschen einsam, und natürlich gibt es eine Menge Verantwortung für die gesamte Piratenbewegung auf europäischer Ebene. Aber ich habe immer noch mein großartiges Team, und ich kann mich immer noch mit den früheren Abgeordneten und der Partei beraten. Das hält sich die Waage.

netzpolitik.org: Wie viel Veränderung bedeutet das Wahlergebnis für Sie?

Markéta Gregorová: Wir waren vorher zu viert, also mussten wir Kompromisse eingehen, wer in welchen Ausschuss geht. Das musste ich jetzt nicht mehr. Ich war vorher hauptsächlich im Handelsausschuss, und dort bleibe ich auch. Ich gehe auch in den Industrieausschuss, wo mein Kollege Mikuláš Peksa bisher saß, und in den LIBE, den Ausschuss für bürgerliche Freiheiten, wo Patrick Breyer bisher saß. Ich werde einen Großteil der Dossiers übernehmen, an denen er zuvor gearbeitet hat.

Wer möchte an der Chatkontrolle arbeiten?

Es wird viele Dossiers zu digitalen Rechten geben – die Datenschutz-Grundverordnung (DSGVO) und die berühmte Chatkontrolle. Ich erweitere also mein Spektrum, bleibe aber im Bereich der Sicherheit, insbesondere der externen Sicherheit, auf die ich mich bisher konzentriert habe.

Ich freue mich darauf, an der |Neufassung der DSGVO| zu arbeiten, denn ich halte sie für eine der besten Gesetze, die in den letzten 10 Jahren von diesem Haus ausgegangen sind. Wenn es noch Raum für Verbesserungen gibt, wäre es mir eine Ehre, daran mitarbeiten zu dürfen.

Im Handels- und im Industrieausschuss möchte ich mich auf die Beziehungen zu China konzentrieren, weil sie unsere Sicherheit, die globale Sicherheit, unsere Abhängigkeiten und unsere strategische Autonomie stark beeinflussen werden. Ich habe das Gefühl, dass viele Leute das verschlafen. China hält Russlands Kriegswirtschaft seit zwei Jahren über Wasser, und wir tun so, als könnten wir wie gewohnt weitermachen. Ich glaube nicht, dass das funktionieren wird.

netzpolitik.org: Patrick Breyer war der Schattenberichterstatter der Grünen für das Thema Chatkontrolle. Werden Sie diese Verantwortung übernehmen?

Markéta Gregorová: Nun, das ist noch nicht entschieden. Ich erkläre gerade sozusagen mein Interesse.

netzpolitik.org: Und freuen Sie sich darauf, daran zu arbeiten?

Markéta Gregorová: Auf keinen Fall. Weder vom Inhalt her noch von dem, was drumherum passiert. Glücklicherweise hat Patrick es geschafft, die Position des Parlaments erheblich zu verbessern, aber dann gab es den anhaltenden Streit mit dem Rat, der natürlich |bisher noch nicht dazu abgestimmt hat|. Das ist eine positive Nachricht. Aber es sieht so aus, als ob das ganze nur ein schlafendes Problem ist, das darauf wartet, aufzuwachen und uns alle wieder zu belästigen. Ich freue mich überhaupt nicht darauf, daran zu arbeiten, und ich hoffe, dass es weiterschläft oder irgendwie aus dem Weg geräumt wird.

Wir werden sehen, abhängig natürlich von der neuen Kommission, wer das Dossier übernehmen wird. Ich bin sehr gespannt auf die Befragung der zukünftigen Kommission.

„Es muss einen eigenen Kommissar für Innere Sicherheit geben“

netzpolitik.org: Schweden hat bereits gesagt, dass es |Johansson nicht noch einmal vorschlagen wird|, also wird in der Kommission auf jeden Fall jemand Neues für den Chatkontrolle-Vorschlag zuständig sein. Theoretisch könnten die Kommission den ganzen Vorschlag einfach zurückziehen, oder?

Markéta Gregorová: Ja, das könnte sie. Es wird davon abhängen, wie von der Leyen die Ressorts der neuen Kommissare aufteilen wird. Derzeit könnte man sagen, dass Johannsson viel mit Migration zu tun hat und nicht viel Zeit für andere Dinge hat. Wird es ein digitaleres Ressort geben? Oder wird das alles wieder unter einer Person zusammengefasst, die sich um die Innere Sicherheit kümmert?

Es ist einfach lächerlich, dass wir immer noch kein System mit weniger Kommissaren haben. Es gab doch einen Reformvorschlag, der 15 Kommissare vorsah, oder? Dann könnten wir über Kommissare mit breit gefächerten Aufgabenbereichen sprechen. Aber wenn man 27 Kommissare hat, wie wir es derzeit noch tun, dann sollten wir sie auf das spezialisieren, was wirklich wichtig ist.

Es muss einen eigenen Kommissar für Innere Sicherheit geben, ohne Migration. Hybride Bedrohungen, Desinformation, Propaganda, ausländische Einmischung. Es geht nicht nur darum, was auf Facebook passiert – es gibt ein riesiges Ökosystem an Problemen. Ich denke, es sollte ein eigenes Ressort dafür geben, und ich weiß, dass es keins geben wird. Und ich habe Angst davor, wer am Ende dafür verantwortlich sein wird und was diese Person tun wird, und ob sie politische Unterstützung vom Rest der Kommission bekommen wird.

„Es geht immer darum, Kontakte zu finden und Netzwerke aufzubauen“

netzpolitik.org: Wie groß ist das Thema digitale Rechte in der EU derzeit? In ihrer großen Rede vor dem EU-Parlament, kurz vor der Abstimmung zu ihrer zweite Amtszeit als Kommissionspräsidentin, hat Ursula von der Leyen zum Beispiel über all ihre großen Vorschläge und Ideen gesprochen. Die Chatkontrolle, das gerade wohl größte Problem im Bereich der digitalen Rechte, war nicht dabei. Woran liegt das?

Markéta Gregorová: Wenn man sehr pessimistisch sein will, konnte man von der Leyen darüber reden hören, als sie über mehr Polizei, Mittel für Europol und die Stärkung der Geheimdienste geredet hat. Aber das geht natürlich gegen die digitalen Rechte. Ich teile die Auffassung, dass es problematisch ist, dass niemand einem so wichtigen Teil unserer Gesellschaft und dem immer größer werdenden Problem der digitalen Oligopole viel Aufmerksamkeit schenkt. Deshalb bin ich auch der Meinung, dass es die Piratenpartei weiterhin geben sollte. Wie unterscheiden wir uns von den Grünen? Wie unterscheiden wir uns von Volt? Wir stellen dieses Thema in den Vordergrund.

Ich habe kürzlich das Buch Surveillance Valley von Yasha Levine gelesen. Das gibt wirklich einen neuen Blickwinkel auf die Grundlage des gesamten Internets, dass es als Überwachungsprojekt der US-Regierung gegründet wurde und dass wir wirklich für jedes Recht kämpfen müssen, weil sie nicht die Standardeinstellungen sind. Als langjährige Piratin hat mich das an vielen Stellen verletzt. Ich bin seit dreizehn Jahren in der Piratenpartei, nur um jetzt zu lesen, dass wir nie wirklich ein dezentralisiertes, anonymes Internet hatten. Es war immer der Spielplatz von anderen Leuten.

Ich sehe nicht viele Leute aus dem politischen Spektrum, die sich dafür interessieren, aber es gibt immer Leute, die sich dafür genauso begeistern wie wir. Es geht immer darum, diese Kontakte zu finden, Netzwerke aufzubauen und zu versuchen, in Verhandlungen zusammenzuarbeiten. Wie zum Beispiel bei der Chatkontrolle, bei der die Position des Parlaments ganz anders ausgesehen hätte, wenn es nicht ungefähr sieben Leute gegeben hätte, die das unbedingt verhindern wollten. Man kann auch mit wenigen Leuten etwas verändern.

netzpolitik.org: An welchen anderen Themen werden Sie arbeiten?

Markéta Gregorová: Wir haben noch nicht über die Ukraine gesprochen, die immer noch ein großes Thema für mich sein wird. Ich bin dem Handelsausschuss beigetreten, um die Ukraine, Moldawien und andere Länder durch wirtschaftliche Mittel, Handelsliberalisierung und so weiter, zu unterstützen. Im Industrieausschuss geht es um Sicherheitsmaßnahmen, um Munition für die Ukraine. Ich war im vergangenen Monat zweimal in der Ukraine, in Charkiw und an der Ostfront. Das wird auch weiterhin meine oberste Priorität bleiben, wahrscheinlich weil man nicht über Äußere Sicherheit sprechen kann, ohne über die Ukraine und natürlich Russland zu sprechen.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|CC-BY-SA 2.0|

|Wikimedia Commons|

|drei ihrer vier Sitze verloren|

|Neufassung der DSGVO|

|bisher noch nicht dazu abgestimmt hat|

|Johansson nicht noch einmal vorschlagen wird|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Musk vs. Breton: EU-Kommission bleibt trotz wüster Beschimpfungen auf X

Wed, 14 Aug 2024 11:18:54 +0000

Tomas Rudl

Die EU-Kommission hat offenbar keine Absichten, das soziale Netz X zu verlassen. Viele EU-Kommissar:innen pflegen dort ihren persönlichen Auftritt, zudem schaltet die Kommission auch bezahlte Anzeigen. „X ist eines der sozialen Netzwerke, das die Kommission in ihrer täglichen Kommunikation nutzt, um ein möglichst breites Publikum zu erreichen“, teilt eine Sprecherin der Kommission auf Anfrage mit.

Schon eine ganze Weile gibt es Reibereien zwischen Brüssel und dem sozialen Netz. Spätestens seit der US-Milliardär Elon Musk das früher |Twitter genannte Unternehmen übernommen| und die Kommission seit dem Digital Services Act (DSA) die |Aufsicht über den Online-Dienst| innehat, knirscht es gewaltig.

Der DSA macht insbesondere sehr großen Anbietern wie Facebook oder X |eine Reihe an Auflagen|. Das soll systemische Risiken abfedern helfen, die potenziell von den Online-Diensten ausgehen.

Kommission untersucht Verstöße gegen DSA

Gegen einige der Auflagen hat X der EU-Kommission zufolge verstoßen, schon seit Dezember läuft eine Untersuchung. Demnach habe der Anbieter die Vorgaben bezüglich irreführender „Dark Patterns“, Transparenz von Werbung sowie Datenzugang für Forschende nicht ausreichend oder gar nicht umgesetzt, heißt es in jüngst veröffentlichten |vorläufigen Ergebnissen der Prüfung|.

„Wir haben ein formelles Verfahren gegen X gemäß dem Digital Services Act laufen, das jedoch nichts mit der Verwendung von X durch die Kommission zu tun hat“, sagt die Kommissionssprecherin.

Manche Kommissionsmitglieder, darunter der maßgeblich für die DSA-Durchsetzung verantwortliche Thierry Breton, machen keinen Hehl daraus, den Anbieter hochproblematisch zu finden – oder zumindest versuchen sie, das der Öffentlichkeit glaubhaft zu machen. Wiederholt |legte sich Breton mit Musk| an, immer wieder auch auf dem zur rechtsradikalen Spielwiese umgebauten Online-Dienst des US-Unternehmers.

Weiter posten trotz Rechtsruck

Vorläufiger Höhepunkt war ein offiziell wirkender Brief an Musk, den |Breton am Montag ausgerechnet auf X| veröffentlichte. Im Vorfeld eines |Online-Gesprächs zwischen Musk und Donald Trump|, dem republikanischen Kandidaten für die US-Präsidentschaft, erinnerte der EU-Kommissar an die EU-Regeln: Das Recht auf Meinungsfreiheit sei abzuwägen gegen Gefahren, die von ungebremsten Aufrufen zu Gewalt oder Desinformation ausgehen würden.

Zuletzt hatten von Rechtsextremen gestreute |Falschnachrichten in sozialen Medien zu gewalttätigen Ausschreitungen gegen Asylsuchende| in Großbritannien beigetragen. Sowohl Trump als auch Musk hatten in der Vergangenheit bewiesen, sich ähnlicher Taktiken zu bedienen – Musk hatte etwa letzte Woche von einem |„unvermeidlichen Bürgerkrieg“| gesprochen, als vermeintliche Folge von |„Massenmigration und offenen Grenzen“| in Großbritannien und anderswo.

Aus dem offen zur Schau gestellten Rechtsruck von X, den Musk gleich nach seiner Übernahme des Unternehmens durch die |Wiederherstellung von zuvor gesperrten rechtsextremen Accounts| eingeleitet hatte, zogen viele |private und institutionelle Nutzer:innen| die Konsequenz, zu anderen Anbietern zu wechseln. Auch netzpolitik.org hatte sich |im Frühjahr entschieden|, das soziale Netzwerk nicht weiter mit Inhalten zu versorgen.

Kommission lässt Breton hängen|mit einem Meme beantwortet| und ihn aufgefordert, sich „selbst ins Gesicht zu ficken“.

Darauf angesprochen, will sich die Kommission nicht dazu äußern. Ohnehin habe Breton mit seinem Brief auf eigene Faust gehandelt: „Der Zeitpunkt und Wortlaut des Schreibens wurden weder mit der Präsidentin [Ursula von der Leyen] noch mit dem Kollegium der Kommission abgestimmt oder vereinbart“, hieß es in einem |gestrigen Presse-Briefing| – eine diplomatische Spitze gegen den jüngst |erneut zum EU-Kommissar nominierten Franzosen|.

Ob Breton nach diesem Affront weiter auf X bleiben und dem Anbieter so zu Relevanz verhelfen wird, bleibt vorerst offen. Seine Auftritte in anderen sozialen Netzen, darunter der Twitter-Alternative |Bluesky| oder dem Karrierenetzwerk |Linkedin|, bespielte er bislang nur unregelmäßig.

Kommission finanziert X weiter mit

Dabei geht es aber nicht nur um Postings auf bestimmten Diensten, sondern auch um Werbeanzeigen, mit denen sie sich finanzieren. Zahlreiche |Werbekunden haben sich schon längst von X zurückgezogen|, weil sie ihre Produkte nicht neben hetzerischen und rechtsradikalen Inhalten bewerben wollen.

Nicht so die EU-Kommission: Weiterhin schaltet sie regelmäßig europaweit Anzeigen auf X. In welchem Ausmaß, lässt sich derzeit nicht sagen: Das seit dem |DSA vorgeschriebene Werbearchiv| liefert keine Daten, mit denen sich das nachvollziehen ließe. Aus Kommissionskreisen heißt es lediglich, dass dies Teil der laufenden Untersuchung sei. Zuletzt habe die Behörde nach mehr Informationen verlangt und einen sogenannten „request for information (RFI)“ an das Unternehmen verschickt, heißt es.

Die Untersuchung dürfte sich noch bis ins nächste Jahr hinziehen, erwarten Beobachter:innen. Was Musk davon hält, wissen wir aber jetzt schon: „Der DSA ist Desinformation“, |pöbelte er im Juli auf X| in einer Antwort an die EU-Wettbewerbskommissarin Margrethe Vestager.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|IMAGO / Andreas Franke|

|Twitter genannte Unternehmen übernommen|

|Aufsicht über den Online-Dienst|

|eine Reihe an Auflagen|

|vorläufigen Ergebnissen der Prüfung|

|legte sich Breton mit Musk|

|Breton am Montag ausgerechnet auf X|

|Online-Gesprächs zwischen Musk und Donald Trump|

|Falschnachrichten in sozialen Medien zu gewalttätigen Ausschreitungen gegen Asylsuchende|

|„unvermeidlichen Bürgerkrieg“|

|„Massenmigration und offenen Grenzen“|

|Wiederherstellung von zuvor gesperrten rechtsextremen Accounts|

|private und institutionelle Nutzer:innen|

|im Frühjahr entschieden|

|mit einem Meme beantwortet|

|gestrigen Presse-Briefing|

|erneut zum EU-Kommissar nominierten Franzosen|

|Bluesky|

|Linkedin|

|Werbekunden haben sich schon längst von X zurückgezogen|

|DSA vorgeschriebene Werbearchiv|

|pöbelte er im Juli auf X|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Staatliches Hacken: Heimliche Wohnungsdurchsuchung mit Staatstrojaner

Wed, 14 Aug 2024 10:52:04 +0000

Constanze

Die Innenministerin und Sozialdemokratin Nancy Faeser möchte eine neue Befugnis für das Bundeskriminalamt schaffen: Nach einem Referentenentwurf aus dem Bundesinnenministerium, über den |die taz| und |die tagesschau berichten|, sollen Beamte künftig heimlich in Wohnungen einbrechen und die Räumlichkeiten „verdeckt“ durchsuchen dürfen. Das allein ist schon ein Novum, über das in einem Rechtsstaat intensiv gesprochen werden müsste.

Aber diese Befugnis zum „verdeckten Betreten von Wohnungen“ ist auch geplant als „Begleitmaßnahme für die Online-Durchsuchung und Quellen-Telekommunikationsüberwachung“. Gemeint ist damit der Staatstrojaner, entweder als Möglichkeit, um das betroffene System verdeckt vollständig zu durchleuchten, oder als Variante, um nur Kommunikation heimlich zu belauschen. Bisher war das Betreten von Wohnungen für das Installieren von Staatstrojanern |nicht zulässig|.

Die Idee der heimlichen Wohnungseinbrüche hat einen simplen praktischen Hintergrund: Sie erleichtern den staatlichen Hackern ihre Arbeit, wenn sie Spionagesoftware auf in den Wohnungen befindlichen Computern hinterrücks installieren wollen. Denn um eine „Online-Durchsuchung“ oder eine „Quellen-Telekommunikationsüberwachung“ vorzubereiten, müssen die betroffenen Computer erstmal mit den entsprechenden Spionageprogramm infiziert werden. Das gestaltet sich nicht immer einfach, je nach Qualität der Abwehrmaßnahmen gegen Schadsoftware durch den Computerbesitzer.

Das wird im Referentenentwurf auch recht unumwunden eingeräumt: Man müsse „physisch auf die IT-Geräte einwirken“, wenn man einen Staatstrojaner erfolgreich und möglichst unauffällig hinterlassen will. Das sei die „technisch sicherste und schnellste Möglichkeit zur Implementierung“ der staatlichen Schadsoftware. Das sei bei den „Erfolgsaussichten“ viel besser als der „Fernzugriff, da keine Mitwirkung der Zielperson notwendig“ sei. Denn wenn sich jemand physisch an Computern zu schaffen macht, steigen die Chancen stark, dass die unvermutete Spionagesoftware überhaupt erfolgreich installiert werden kann und danach unentdeckt bleibt.

Weil es so praktisch ist

Heimliche Wohnungsdurchsuchungen gehören bisher nicht zum Repertoire von Staaten, die sich rechtsstaatlich nennen, obwohl Ausnahmen existieren. Sie wecken Erinnerungen an vergangene Diktaturen, deren Mittel nach Ende des Zweiten Weltkrieges und nach Ende der DDR zu Recht gescholten wurden. Dass man sie nun wieder einführen will, in einer Regierung aus Sozialdemokraten, Liberalen und Grünen, auch weil es so praktisch ist beim staatlichen Hacken, macht den Koalitionsvertrag endgültig zur Luftnummer.

Kurz zur Erinnerung, im |Koalitionsvertrag| verständigten sich die drei Parteien darauf: „Für den Einsatz von Überwachungssoftware, auch kommerzieller, setzen wir die Eingriffsschwellen hoch.“ Von der bloßen Erleichterung der Arbeit der Staatshacker durch Eindringen in private Wohnungen war da noch keine Rede.

Und weil Daten unserer Computer und Smartphones intimste Einblicke in Leben und Persönlichkeit eines Menschen ermöglichen, ist beim Staatstrojaner immer auch der „Kernbereich privater Lebensgestaltung“ betroffen. So nennen Juristen die höchstpersönliche Sphäre eines Menschen, in die im Prinzip nicht eingedrungen werden darf. Das Konzept ist vom Bundesverfassungsgericht entwickelt worden, auch wegen Grenzüberschreitungen in der Vergangenheit, die es in Zukunft zu verhindern galt. Der Koalitionsvertrag erkennt das an und fordert: „Solange der Schutz des Kernbereichs privater Lebensgestaltung nicht sichergestellt ist, muss ihr Einsatz unterbleiben.“

Ganz so ernst scheinen es die Koalitionäre indes nicht zu meinen, denn die heimliche Wohnungsdurchsuchung, bei der eine Spionagesoftware auf dem heimischen Computer hinterlassen wird, ist ein unverhohlener Angriff des Staates auf diesen geschützten Kernbereich. Da helfen auch keine Löschpflichten und ein Verbot der Weitergabe von Daten, die den Kernbereich eines Menschen betreffen. Denn dann ist in diesen geschützten Bereich eben doch schon eingegriffen worden, das Kind also im Brunnen.

Wird aber Faeser mit ihrer Idee durchkommen? Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen und einst als digitaler Bürgerrechtler angetreten, findet dafür die Worte: „Es sind ernste Zeiten. Und das BKA braucht moderne Ermittlungsbefugnisse und -mittel.“ Mehr Schulterzucken geht wohl kaum, von der grünen Fraktionsspitze dürfte kaum Gegenwehr zu erwarten sein.

Eigentlich war die Ampel mal angetreten, um Staatstrojaner einzugrenzen und IT-Sicherheitslücken offenzulegen. Denn das Hacken durch den Staat, egal ob gegen Smartphones oder Computer, ist bereits heute |sehr weitgehend rechtlich erlaubt| – sowohl für Strafverfolger als auch für Geheimdienste. Und sie |nutzen diese Befugnisse| auch, vor allem bei Drogendelikten. Justizminister Marco Buschmann plant immerhin, das staatliche Hacken einzuschränken, |allerdings nur ein bisschen|. Doch selbst das blockiert Faeser bisher erfolgreich.

Staatliches Hacken bringt Unsicherheit

Es ist nicht „modern“, heimlich in Wohnungen und Computer einzubrechen, es ist grundfalsch. Denn es darf dabei nicht vergessen werden: Zu jedem Staatstrojaner gehört eine zugrundeliegende Schwachstelle, die ausgenutzt wird, um heimlich auf dem Computer spionieren zu können. Wer sich einer solchen Schwachstelle bedient, wird dies weder dem Hersteller des Betriebssystems noch der Öffentlichkeit mitteilen. Denn damit schösse er sich ins eigene Knie und liefe Gefahr, dass seine teure Schadsoftware entdeckt und entfernt würde.

Doch ungepatchte Sicherheitslücken |gefährden die IT-Sicherheit für alle|: Unternehmen, Behörden, Privatpersonen. Dieser |Sabotageakt gegen die allumfassend wichtige IT-Sicherheit| und damit übrigens auch die innere Sicherheit soll nun auch noch durch einen heimlichen Wohnungseinbruch vorbereitet werden dürfen, der das Installieren erleichtert. Während sich Pegasus, Predator und andere Staatstrojaner-Anbieter von einem Skandal zum nächsten hangeln, macht die deutsche Innenministerin weiter, als wäre nichts geschehen.

Staatliches Hacken schafft keine Sicherheit, sondern Unsicherheit. Da fragt man sich langsam, ob beim staatlichen Hacken nicht längst alle Maßstäbe verloren gegangen sind.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|die taz|

|die tagesschau berichten|

|nicht zulässig|

|Koalitionsvertrag|

|sehr weitgehend rechtlich erlaubt|

|nutzen diese Befugnisse|

|allerdings nur ein bisschen|

|gefährden die IT-Sicherheit für alle|

|Sabotageakt gegen die allumfassend wichtige IT-Sicherheit|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Digitale Selbstverteidigung: So sichert man Datenspeicher

Wed, 14 Aug 2024 08:04:51 +0000

Martin Schwarzbeck

Wie man Desktop-Computer, Laptops und Mobiltelefone gegen unerwünschte physische Zugriffe absichert – und warum ausgerechnet ein von Google hergestelltes Handy Daten besonders gut schützt.

In Mobiltelefonen und Laptops stecken ganze Leben. Kontodaten inklusive Passwörtern und Möglichkeiten zur Zweifaktor-Authentifizierung. Allgemeine, private und intime Kommunikation. Fotos und Videos. Browserverläufe. Wer all das im Fall von Verlust, Diebstahl oder Beschlagnahmung vor fremden Augen verbergen möchte, sollte seine Geräte verschlüsseln.

Beim Laptop- oder Desktop-Computer gibt es je nach Betriebssystem verschiedene Möglichkeiten. Beim Mac heißt die integrierte Option File Vault. Für Linux gibt es das Unified Key Setup (LUKS). Bei Windows Pro Bitlocker, und in der Home-Version heißt die Technologie schlicht „Geräteverschlüsselung“.

In den meisten Geräten ist mittlerweile ein Sicherheitschip, das Trusted Platform Module (TPM) verbaut, das etwa kryptografische Schlüssel speichern kann. Bei der Windows-Geräteverschlüsselung gibt es aber ein Sicherheitsrisiko: Beim Booten wird automatisch der Verschlüsselungs-Key in den Systemspeicher geladen.

„Wenn man den Laptop aufschraubt und sich auf die elektrischen Bahnen auf dem Mainboard klemmt, kann man den Schlüssel auslesen. Das dauert für einen geübten Menschen mit dem richtigen Werkzeug gerade einmal drei Minuten“, sagt Janik Besendorf vom |Digital Security Lab der Reporter ohne Grenzen|. Ein solcher Angriff lasse sich jedoch verhindern. Um das Auslesen des Schlüssels zu unterbinden, müsse man die |Pre-Boot-Authentifzierung aktivieren|.

Verschlüsselung in der Verschlüsselung

Der offensichtlichste Angriffsvektor bei einem verschlüsselten System ist jedoch der Zugriff im entschlüsselten Zustand: Sobald das Passwort eingegeben wurde, liegt alles offen. Deshalb kann es sich lohnen, auch auf einem verschlüsselten System, besonders kritische Daten in einer verschlüsselten Festplattenpartition zu lagern. Aaron Wey, der in seinem Leben bereits 50 |CryptoPartys| geleitet hat, sagt: „Wir empfehlen dafür Veracrypt, das ist Open Source. Man kann es wie eine Art USB-Stick benutzen: So lange man die Verschlüsselung nicht aufmacht, ist die auch bei laufendem Betrieb zu.“

Alexander Paul von |resist.berlin|, einer Gruppe, die unter anderem Aktivist*innen zu Fragen der Datensicherheit berät, empfiehlt, besonders sensible Daten auf einem hochwertigen Smartphone zu verarbeiten. „Weil das Sicherheitsmodell von Mobilgeräten dem von klassischen Laptops und Laptopbetriebssystemen inzwischen deutlich überlegen ist.“

Neuere Smartphones, etwa ab 2016, kommen standardmäßig mit aktiver Festplattenverschlüsselung. Nur die SD-Karte, die man zur Speichererweiterung in Android-Geräte einlegen kann, ist anfangs unverschlüsselt. Das lässt sich aber unter dem Sicherheitsreiter in den Einstellungen ändern.

Schwachstelle Zero-Days

Auch verschlüsselte Mobiltelefone sind allerdings nicht hunderprozentig vor Zugriffen geschützt. Es gibt zwei Methoden, auf sie loszugehen. Mit Gewalt oder Wissen. Gewalt, das wäre die Brute Force, das möglichst schnelle Abfeuern von immer neuen Passwortversuchen. Wissen umfasst die Kenntnis von Sicherheitslücken in Systemen und Programmen. So lange sie nicht öffentlich und damit unbehoben sind, heißen diese Zero-Days.

Das Wissen um diese Zero-Days wird auf einem internationalen Grau- bis Schwarzmarkt für viel Geld gehandelt. Auch kommerzielle Unternehmen bieten ihr Know-How zu unbehobenen Sicherheitslücken an, etwa staatlichen Akteuren. Ein bekanntes Unternehmen der Branche ist die Firma Cellebrite, die das Produkt |UFED| herstellt. Das „Universal Forensic Extraction Device“ öffnet die Speicher von Smartphones, Tablets, Smartwatches, GPS-Geräten und Drohnen, auch wenn sie verschlüsselt sind.

Eine passende Software bereitet die gewonnenen Daten, auch vermeintlich gelöschte, dann gleich noch anschaulich auf. Es ist eine Art Hydraulikspreizer für Privatsphäreschutz — Industriestandard für das Eindringen in Mobilgeräte. In Deutschland wird Hard- und Software von Cellebrite nicht nur von Polizei und Geheimdiensten, sondern auch von Ausländerbehörden eingesetzt. Cellebrite habe, so eine |Recherche von Vice| auf Basis von gehackten Firmendaten von 2017, auch Kunden aus repressiven Regimen wie der Türkei, den Vereinigten Arabischen Emiraten, und Bahrain. Firmen nutzen das Angebot ebenfalls, allerdings brauchen diese offiziell die Zustimmung der Betroffenen, um Mobiltelefone mit der Cellebrite-Technik auszulesen.

Ein gebrauchtes Cellebrite-UFED gibt es auf eBay ab 150 Dollar, wie teuer die Versorgung mit aktueller Software ist, unterliegt Stillschweigenserklärungen. Es gibt aber Anhaltspunkte: Das Land Niedersachsen zahlte in den vergangenen zwei Jahren rund 1.000 Euro pro durchsuchtem Gerät an Cellebrite, wie |eine netzpolitik.org-Anfrage| ergab.

Professionelle Handy-Knacker

Die israelische Firma Cellebrite ist einer der bekanntesten Hersteller, aber lange nicht das einzige Unternehmen, das sich darauf spezialisiert hat, Mobiltelefone auszuwerten. Weitere Firmen aus dem Bereich der Mobiltelefon-Forensik sind NSO, ebenfalls aus Israel, MSAB aus Schweden oder Grayshift aus den USA.

Sie finden beispielsweise auch Passwörter, mit denen Fremde die Accounts einer Person übernehmen können oder klonen SIM-Karten, mit denen im Namen der betroffenen Person kommuniziert werden kann.

Dabei ergibt sich im Einsatz von Forensik-Software ein großes Problem. Bei der Extraktion der Daten können diese unüberprüfbar verändert werden, was es theoretisch möglich macht, Beweise zu fälschen oder zu platzieren. Laut Signal-Erfinder |Moxie Marlinspike| kann auch die |Cellebrite-Software selbst gehackt| werden.

Zugang zum Trump-Schützen-Telefon

Auch das Telefon des Menschen, der mutmaßlich Donald Trump am Ohr verletzte, wurde mit Cellebrite geknackt. Weil es ein neueres Samsung-Modell war, versagte die Cellebrite-Software des örtlichen FBI-Büros zunächst, doch mit Hilfe von Cellebrite-Expert*innen und einem bisher unveröffentlichten Update sei das Telefon |innerhalb von 40 Minuten geöffnet| worden. Samsung reagierte darauf scheinbar mit dem vorzeitigen |Rollout eines Security-Patches|.

Zero-Days haben nur eine begrenzte Haltbarkeit. Wird eine Lücke bekannt, schließen die Hersteller der Smartphones und der Betriebssysteme sie. Deshalb suchen die Hersteller von Forensiksoftware beständig neue Sicherheitsprobleme.

CryptoParty-Veranstalter Aaron Wey sagt: „Zero-Days sind leider logische Konsequenz aus der heutigen Softwareentwicklung. Die ist so komplex und so riesig und so verteilt, dass es eigentlich kaum möglich ist, ein von Grund auf sicheres System zu bauen. Das hängt auch damit zusammen, dass der Markt die falschen Anreize setzt, Schnelligkeit ist oft wichtiger als Sicherheit.“

Ein Katz-und-Maus-Spiel

Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen sagt: „Das ist ein Katz-und-Maus-Spiel. Denn jede Software hat Fehler. Und wenn man lange genug sucht, findet man Fehler und dann kann es möglich sein, die Verschlüsselung zu brechen oder zu umgehen. Oder zum Beispiel Sicherheitsmechanismen auszutricksen – wie eine Sperre nach x fehlgeschlagenen Versuchen, das Passwort einzugeben – und dann beliebig häufig Passwörter auszuprobieren. Und gerade wenn die Polizei sehr lange im Besitz von einem Gerät ist, kann es sein, dass die Forensikfirmen innerhalb dieser Zeit eine neue Lücke finden, die sie ausnutzen können, um an das Gerät zu kommen.“

Auch wenn man sich gegen solche Lücken nur schwer schützen kann: Zumindest bekannt gewordene Sicherheitsprobleme sollte man schnell beheben, sonst können sie nicht nur von spezialisierten Software-Herstellern und sehr fortgeschrittenen Akteuren genutzt werden. Daher empfiehlt es sich, Updates von den Herstellern von Apps und Geräten so bald wie möglich zu installieren. Telefone, die für die Hardware keine Sicherheitsupdates mehr erhalten, sollte man |abgeben|.

Spitzenpolitiker*innen, Aktivist*innen mit Bezügen zu illegalisierten Aktionen, Journalist*innen, Whistleblower*innen und andere Geheimnisträger*innen sollten sich Gedanken darüber machen, wie viel staatliche Angreifer*innen wohl bereit sind, in eine mögliche Attacke zu investieren. Ist die Antwort „viel“, sollte die Sicherheitslösung hochklassig sein.

Was selbst Cellebrite widersteht

Es gibt wohl Telefone, die auch für Cellebrite nicht leicht zugänglich sind. Laut einer Reihe von |„Support Matrix“| genannten Tabellen, die wohl aus dem Cellebrite-Umfeld geleakt wurden, können Pixel-Telefone der Generation 6 oder höher mit dem alternativen, radikal auf Sicherheit zugeschnittenen Betriebssystem |GrapheneOS| – das nur auf Pixel-Telefonen läuft – weitreichenden Schutz gegen Zugriffe mit Hard- und Software des Forensikunternehmens bieten, |so lange sie nach 2022 geupdatet wurden|.

Dass diese Variante – Pixel-Telefon mit GrapheneOS – aktuell die sicherste, frei verfügbare Option zu sein scheint, bestätigen sowohl Janik Besendorf von Reporter ohne Grenzen als auch Alexander Paul von resist.berlin. Alexander Paul sagt: „Die Pixel-Telefone sind dafür bekannt, dass sie einen sehr hohen Sicherheitsstandard haben und sich zudem mit alternativen Betriebssystemen ohne Einbußen an Privatsphäre und Sicherheit nutzen lassen.“

Die wichtigste Eigenschaft sei, dass man auf diese Geräte ein alternatives Betriebssystem aufspielen und mit eigenen Schlüsseln so absichern könne, dass Angreifer nicht mit einem eigenen, kompromittierten Betriebssystem Zugriff auf das Gerät erhalten können. Alexander Paul und das Projekt resist.berlin empfehlen Aktivist*innen mit Aussicht auf Konfrontation mit Sicherheitsbehörden „ausschließlich, GrapheneOS auf Pixel-Telefonen zu verwenden.“

Aber auch Menschen mit ganz gewöhnlichem Bedrohungsmodell könnten GrapheneOS ohne große Umstellung benutzen und von Privatsphäre- und Sicherheitsverbesserungen profitieren. „Es gibt ja genug Cyberangriffe da draußen, die nicht von Cops oder anderen Behörden kommen“, sagt er.

Neustart bei polizeilichen Maßnahmen

Laut Alexander Paul kommt das Android-basierte GrapheneOS „mit diversen Sicherheits und Privatsphäreverbesserungen, von denen sich einige speziell auf die aktivistische Nutzung beziehen.“ Zum Beispiel sei es möglich, automatische Neustarts durchzuführen, wenn das Telefon eine Weile nicht benutzt wurde, was die Zugriffsmöglichkeiten ganz erheblich beschränke.

„Wenn man in eine polizeiliche Maßnahme gerät und einem das Telefon abgenommen wird, bleibt es für gewöhnlich in dem Zustand, in dem es ist und kann dann von Experten beim LKA möglicherweise noch Wochen später ausgelesen werden“, sagt Alexander Paul. Um das zu umgehen, schließt GrapheneOS nach einer bestimmten Zeit der Nichtnutzung alle Benutzerprofile und startet das Telefon neu.

Bis zum Entsperren liegen die Entschlüsselungskeys in einem Titan-M genannten Sicherheitschip. Eines von |vielen weiteren Sicherheitsfeatures| von GrapheneOS ist die mögliche Sperrung des USB-Anschlusses. Und Angriffe mit Brute Force werden immer weiter verlangsamt, je öfter das Passwort falsch eingegeben wurde.

Alexander Paul weist außerdem darauf hin, dass die Pixel-Telefone bis zu sieben Jahre lang Sicherheitsupdates bekommen. Ein gebrauchtes Pixel6a gibt es inzwischen für unter 200 Euro, es wird noch bis Juli 2027 mit Sicherheitsupdates versorgt. Ein neues Pixel 8a kostet um die 500 Euro, aber bekommt dafür Updates bis Mai 2031. |resist.berlin hat ein Tool entwickelt|, dass aus Preisen und Updateerwartungen verschiedener Pixel-Telefone die Kosten für einen Monat Nutzung errechnet.

Wie sich das iPhone schlägt

Pixel mit GrapheneOS scheint die aktuelle Königsklasse der Datensicherheit zu sein. Aber auch iPhones halten den Angriffen von Cellebrite laut der geleakten Supportmatrix stand. Alle Geräte ab iPhone X, auf denen Betriebssystemversion 17.4 oder höher läuft, waren laut der Dokumente von April 2024 für Cellebrite zum damaligen Zeitpunkt |nicht zugänglich|. Dazu lässt sich die Sicherheit der iPhones mit dem |Lockdown-Mode| noch einmal erhöhen.

Für Telefone zwischen Highend-Lösung und Uralt-Gurke hat Janik Besendorf von Reporter ohne Grenzen noch einen Tipp: „Was auch sehr gut funktioniert, um sicher zu sein vor Angriffen, ist, wenn man es schafft, dass die Polizei nur im ausgeschalteten Zustand an das Gerät kommt – und es ein gutes Passwort hat.“

Besonders sensible Informationen auf einem verschlüsselten Telefon lassen sich mit der App |Tella|, die im aktivistischen Kontext entwickelt wurde, noch einmal zusätzlich verschlüsseln und verstecken.

Daten aus der Ferne löschen?

Theoretisch ist es auch möglich, eine App auf das Telefon zu laden, mit der man dessen Inhalt aus der Ferne löschen kann, wenn das Gerät verloren geht, gestohlen oder konfisziert wird. Alexander Paul von resist.berlin rät aber davon ab. Ein Programm, das so etwas kann, müsse sehr weitreichende Rechte bekommen – und könnte im schlimmsten Fall das Telefon für einen Angreifer leichter auslesbar machen.

Außerdem könne man sich im Fall einer Beschlagnahme so der Vernichtung von Beweisen schuldig machen. Und in besonders brisanten Fällen kann die Fernlöschung schlicht scheitern. Denn die UFEDs von Cellebrite werden mit Strahlungsschutz-Taschen ausgeliefert, in denen zu untersuchende Geräte so abgeschirmt sind, dass sie keinen Kontakt mehr zur Außenwelt aufnehmen können.

Alexander Paul von resist.berlin empfiehlt eine andere Variante. In GrapheneOS könne man seit neuestem eine Duress-PIN festlegen. Wenn jemand versucht, die PIN zu erraten, und diesen Code eintippt, werden die Entschlüsselungskeys aus dem Sicherheitschip gelöscht. Setzt man die Duress-PIN auf eine sehr übliche PIN-Variante wie 1234 oder 0000, kann das schnell passieren.

Korrumpierte Geräte

„Dann hat der Angreifer das Telefon unbrauchbar gemacht und man ist auf der sicheren Seite“, sagt er. Außerdem lösche die Duress-PIN auch die E-SIM, sofern vorhanden. Dann können die Angreifer die Telefonnummer und ISIM nicht mehr herausfinden und erst recht nicht die SIM klonen, um im Namen des Betroffenen zu kommunizieren.

All diese Sicherheitsmaßnahmen funktionieren übrigens nur, bis wirklich ein Angreifer das Gerät in der Hand hatte. Auch wenn man sein Setup so eingerichtet hat, dass Angreifende vermutlich keinen Zugang bekommen, sollte man es nach einem möglichen physischen Zugriff als korrumpiert betrachten.

Aaron Wey von der CryptoParty-Bewegung sagt: „Dann sind eigentlich alle Sicherheitsversprechen aus dem Fenster.“ Toni, ebenfalls in der CryptoParty-Bewegung aktiv, fügt hinzu: „Potenziell könnte da sonstwas eingebaut sein, zum Beispiel ein Keylogger in Tastatur oder Touchscreen.“

Mehr Tipps zur digitalen Selbstverteidigung gibt es |hier|.

Update, 15.8.2024, 15.30 Uhr: LineageOS gelöscht.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|Digital Security Lab der Reporter ohne Grenzen|

|Pre-Boot-Authentifzierung aktivieren|

|eine netzpolitik.org-Anfrage|

|Moxie Marlinspike|

|Cellebrite-Software selbst gehackt|

|innerhalb von 40 Minuten geöffnet|

|Rollout eines Security-Patches|

|abgeben|

|„Support Matrix“|

|GrapheneOS|

|so lange sie nach 2022 geupdatet wurden|

|vielen weiteren Sicherheitsfeatures|

|resist.berlin hat ein Tool entwickelt|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Nancy Faeser: Was das Innenministerium zur Gesichtserkennung plant

Tue, 13 Aug 2024 13:14:19 +0000

Anna Biselli

Künftig sollen Polizeibehörden Bilder von Verdächtigen mit dem Internet abgleichen können, um sie zu finden. Dieser Vorschlag aus dem Innenministerium ist ein Albtraum für Grundrechte.

Das Innenministerium unter Nancy Faeser arbeitet an einem Entwurf, der die polizeiliche Gesichtserkennung ausweiten soll. Bisher ist der Referentenentwurf nicht öffentlich, doch mehrere Medien wie |Spiegel|, |taz| und |Deutschlandfunk| haben über den ihnen zugespielten Entwurf berichtet.

Gesichtserkennung ist nicht gleich Gesichtserkennung

Dass die Polizei Gesichtserkennungssoftware nutzen darf, ist nicht neu. Seit mehr als 15 Jahren setzt etwa das |Bundeskriminalamt (BKA) das Gesichtserkennungssystem GES| ein, mit dem die Polizeibehörde Bildmaterial von nicht-identifizierten Verdächtigen mit der polizeilichen Inpol-Datenbank abgleicht.

An Faesers Entwurf ist anders, dass der Abgleich von Bildmaterial nun nicht mehr gegen polizeiliche Datenbanken, sondern auch mit |Daten aus dem Internet| erfolgen können soll. Das bezieht sich auf Internet-Informationen, die „öffentlich zugänglich“ sind – etwa Partyfotos von Facebook oder Schnappschüsse von Flickr.

Auch soll der Abgleich nicht speziell auf Gesichter beschränkt sein, sondern auch mit anderen Daten aus dem Netz erfolgen können. Dazu könnte beispielsweise die Gangart von Menschen gehören, die recht einzigartig ist und die sich bei Videos vergleichen lässt. Für biometrische Abgleiche lassen sich auch Stimmprofile nutzen.

Außerdem, so eine Sprecherin des Bundesinnenministeriums (BMI) auf Anfrage von netzpolitik.org, sollen neue Befugnisse zur „automatisierten Datenanalyse polizeilicher Daten“ geschaffen werden. Bei diesen Befugnissen wird es auf die Details ankommen. So fällte das Bundesverfassungsgericht in Karlsruhe im Jahr 2023 ein Urteil zum Einsatz automatisierter Datenauswertung bei der Polizei und formulierte, dass bei „besonders daten- und methodenoffenen“ Befugnissen die Eingriffsschwelle hoch sein muss.

Die Richter setzten im Bereich der vorbeugenden Bekämpfung von Straftaten mit dem sogenannten |Palantir-Urteil| der digitalen Rasterfahndung enge Grenzen. Zudem liegen weitere Verfassungsbeschwerden gegen Landesgesetze mit Regelungen zur automatisierten Datenanalyse vor.

Bei der automatisierten Datenanalyse polizeilicher Daten geht es um mehr als nur den Abgleich von Fotos, Videos oder Audio-Dateien, es geht um die Vernetzung und Rasterung bestehender Datensysteme. Für das ganze Vorhaben sollen mehrere Gesetze geändert werden, etwa das Bundespolizeigesetz und das BKA-Gesetz.

Was Nancy Faeser offenbar explizit nicht will, ist eine „Echtzeit“-Überwachung. Damit ist beispielsweise die Live-Auswertung von Videoüberwachungsaufnahmen gemeint. Wann eine Auswertung aber „Echtzeit“ ist und wann „retrograd“ – also im Nachhinein -, kann zum definitorischen Unterschied verkommen. Etwa wenn man große Mengen Bild- und Videomaterial leicht zeitverzögert analysieren lässt. Schon bei der kürzlich in Kraft getretenen KI-Verordnung war diese |formale Unterscheidung kritisiert| worden. Während die KI-Verordnung Echtzeit-Erkennung stark einschränkt, gibt es für nachträgliche Erkennung viel Spielraum.

Was Nancy Faeser will

Laut einem |Bericht der taz| geht es nicht nur darum, Verdächtige zu finden, sondern auch Zeugen und Opfer von Straftaten. Als Beispiel für gesuchte Täter werden islamistische Terroristen genannt, die auf Hinrichtungs- oder Folter-Videos zu sehen sind. Neben der Identifizierung von Einzelpersonen soll außerdem ihr Aufenthaltsort ermittelt werden.

Der biometrische Abgleich von Fotos soll nicht nur dem Bundeskriminalamt oder der Bundespolizei, sondern auch Landespolizeien erlaubt werden. Dabei geht es nicht nur um Terrorismus. Erfasst wäre alles, was die Schwelle von Straftaten von „erheblicher“ Bedeutung erreicht. |Darunter kann| etwa Drogenhandel, Diebstahl in organisierter Form oder Beihilfe zur illegalen Einreise fallen.

Es liegt nahe, dass Faesers Vorschlag auf Ereignisse Anfang des Jahres zurückgeht. Nach mehr als 30 Jahren nahmen am 26. Februar |Fahnder die Ex-RAF-Terroristin Daniela Klette in Berlin| fest. Dem vorausgegangen war eine journalistische Recherche, die Klette |im Dezember 2023 fast aufgespürt| hatte.

Mit der Gesichtserkennungs-Suchmaschine PimEyes brauchte ein Journalist nach eigener Auskunft 30 Minuten, um ausgehend von Klettes Fahndungsfotos Bilder von ihr auf der Seite eines Capoeira-Vereins in Berlin zu entdecken. Daraufhin begann eine |Debatte über die Gesichtserkennungsbefugnisse| der Polizei.

Welche Infrastruktur braucht es dazu?

Damit Faesers Ansatz langfristig Sinn ergibt, müssten deutsche Behörden wohl weitflächig das Internet abgrasen und speichern. Der dabei anfallende Datenbestand wäre nicht unerheblich: Die auf Gesichtserkennung spezialisierte Überwachungsfirma Clearview AI gibt etwa an, |mehrere Milliarden Bilder| aus öffentlich zugänglichen Online-Quellen wie Facebook oder YouTube vorzuhalten. Um zudem eine Verknüpfung mit Individuen herzustellen, braucht es neben den Bildern noch zusätzliche Informationen, unter anderem die Profile von Nutzer:innen in den jeweiligen sozialen Medien.

Wie das genau ablaufen könnte, bleibt vorerst offen. Derzeit weicht der Referentenentwurf der Frage noch vollständig aus. Der „Erfüllungsaufwand“ soll zu einem späteren Zeitpunkt nachgereicht werden, |berichtet LTO|.

Gut möglich, dass es solche umfassenden Datenbanken hierzulande schon gibt: So überwacht etwa das Bundesamt für Verfassungsschutz seit mindestens |2015 massenhaft das Internet|. Rechtlich wäre das ohnehin fragwürdig.

Nicht zuletzt flüchtete etwa die |Gesichtserkennungsfirma PimEyes aus der EU|, nachdem erhebliche Zweifel daran laut wurden, dass die biometrische Erfassung von Millionen Gesichtern mit der Datenschutz-Grundverordnung vereinbar ist. Solche rechtlichen Probleme könnten staatliche Stellen und insbesondere Ermittlungsbehörden zwar umschiffen. Mit dem BMI-Vorschlag würde jedoch eine weitere Brandmauer in puncto Massenüberwachung fallen.

In welchem Stadium ist der Gesetzesvorschlag?

Bisher ist der Entwurf aus dem BMI ein Referentenentwurf. Das heißt, er ist noch nicht mit den übrigen Ministerien abgestimmt. Besonders das Bundesjustizministerium (BMJ) dürfte etwas mitzureden haben, denn es geht auch um Änderungen der Strafprozessordnung – das fällt in die Zuständigkeit des Hauses von Justizminister Marco Buschmann (FDP).

LTO zitiert eine |Sprecherin des BMJ|, das derzeit prüfe, „ob Regelungsbedarf beim Thema der biometrischen Fernidentifizierung im strafprozessual-repressiven Bereich besteht“.

Haben sich die Ministerien auf einen Kabinettsentwurf geeinigt, geht dieser an den Bundestag. Dort ist Widerstand zu erwarten. Nach Bekanntwerden von Faesers Plänen haben sich mehrere Digital- und Innenpolitiker auch aus den Regierungsparteien kritisch geäußert.

Der grüne Innenpolitiker und Fraktionsvize |Konstantin von Notz sagte|: „Auch wer freiwillig die Öffentlichkeit eines sozialen Netzwerks sucht, gibt dadurch nicht seine verfassungsrechtlich garantierten Rechte auf.“ Er verweist auch auf den Koalitionsvertrag, der „aus gutem Grund eine klare Absage an die biometrische Erfassung zu Überwachungszwecken im öffentlichen Raum“ erteile.

Auch vom Koalitionspartner FDP gibt es Zweifel. Maximilian Funke-Kaiser teilt die Kritik seines Grünen-Kollegen. „Es bleibt unklar, wie diese Pläne mit den klaren Vorgaben des Koalitionsvertrags – wie der Ablehnung der biometrischen Überwachung im öffentlichen Raum und der Wahrung des Rechts auf Anonymität im Internet – vereinbar sein sollen“, sagte er |der Nachrichtenagentur AFP|.

Grundrechtliche Bedenken

Neben Bundestagsabgeordneten zeigten sich auch mehrere zivilgesellschaftliche Organisationen alarmiert.

|Erik Tuchtfeld vom Digitalverein D64| sagt, die Pläne des BMI führten „zur Totalüberwachung des öffentlichen Raums. Jedes auf Social Media veröffentlichte Urlaubsfoto wird auf Zufallstreffer im Hintergrund ausgewertet, die Handys der Bürger:innen in Zukunft also immer auch als Überwachungskameras des Staates verwendet.“ Das sei mit einer liberalen Gesellschaft unvereinbar.

Kilian Vieth-Ditlmann von Algorithmwatch kommentiert: „Uns irritiert der Vorstoß des Ministeriums, weil biometrische Erkennungsverfahren in der gerade verabschiedeten europäischen KI-Verordnung geregelt werden.“ Dort sei der Einsatz von KI-Systemen, die massenhaft Gesichtsbilder aus dem Internet in einer Datenbank sammeln, „klipp und klar verboten“.

|Artikel 5 der Verordnung| verbietet „die Verwendung von KI-Systemen, die Datenbanken zur Gesichtserkennung durch das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder von Überwachungsaufnahmen erstellen“. Auch ein klarer Grund ist im Gesetz beschrieben: „Da dies das Gefühl der Massenüberwachung verstärkt und zu schweren Verstößen gegen die Grundrechte, einschließlich des Rechts auf Privatsphäre, führen kann.“

Vieth-Ditlmanns Kollege Matthias Spielkamp kritisiert den „immer wieder aufgeführten Tanz um Begrifflichkeiten wie ‚Echtzeit‘, ’nachgelagert‘ oder ‚Fernerkennung'“. Das lenke davon ab, „dass die Bundesregierung immer wieder versucht, biometrische Erkennungsverfahren doch noch durch die Hintertür einzuführen“.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|Spiegel|

|taz|

|Deutschlandfunk|

|Bundeskriminalamt (BKA) das Gesichtserkennungssystem GES|

|Daten aus dem Internet|

|Palantir-Urteil|

|formale Unterscheidung kritisiert|

|Bericht der taz|

|Darunter kann|

|Fahnder die Ex-RAF-Terroristin Daniela Klette in Berlin|

|im Dezember 2023 fast aufgespürt|

|Debatte über die Gesichtserkennungsbefugnisse|

|mehrere Milliarden Bilder|

|berichtet LTO|

|2015 massenhaft das Internet|

|Gesichtserkennungsfirma PimEyes aus der EU|

|Sprecherin des BMJ|

|Konstantin von Notz sagte|

|der Nachrichtenagentur AFP|

|Erik Tuchtfeld vom Digitalverein D64|

|Artikel 5 der Verordnung|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

CUII-Liste: Diese Websites sperren Provider freiwillig

Tue, 13 Aug 2024 12:04:30 +0000

Martin Schwarzbeck

Diese Liste ist eine Goldkiste für Kulturpiraten. 144 Internetseiten stehen darauf, die Kulturgüter gratis zur Verfügung stellen: Portale für Filme, Musik, Games oder Sportübertragungen. Einige der dort auffindbaren Inhalte sind urheberrechtlich geschützt, daher werden die Seiten wegen „struktureller Urheberrechtsverletzung“ von |sechs Providern| in Deutschland gesperrt.

Eigentlich ist die genaue Liste geheim. Die |Clearingstelle Urheberrecht im Internet (CUII)|, die sie zusammengestellt und die Sperrung der verzeichneten Seiten veranlasst hat, besitzt ein ernstes Interesse daran, dass die Links darauf nicht angesurft werden. In ihr sind neben den Providern auch Rechteinhaber der dort angebotenen Unterhaltungsdateien vertreten.

|Damian|, 17 Jahre, Schüler in Deutschland, hat die Liste am 20. Juli |geleakt|. Zwar listet die CUII selbst, die gesperrten Seiten auf. Aber eben nicht alle Domains, die zu der Seite gesperrt sind. Zur Sperre der Schattenbibliothek Sci-Hub etwa steht in der „Empfehlung“ der CUII nur:

Für die SUW [strukturell urheberrechtsverletzende Webseite] werden die Domains „*****“, „*****“, „*****“, „*****“, „*****“ und „*****“ benutzt, die nach wie vor verfügbar sind.

Damian hat ein Problem mit der CUII. Genauer gesagt mindestens zwei, erzählt er im Interview mit netzpolitik.org. Einmal ist er dagegen, dass die CUII seiner Meinung nach eine Art privatwirtschaftliche Paralleljustiz betreibe. Bei der CUII sind sechs Internetprovider und neun Rechteinhaber wie Motion Pictures Association, Bundesverband Musikindustrie und Deutsche Fußballliga beteiligt.

„Eine Art Selbstjustiz“

„Wenn eine private Organisation ohne Anhörung von Richter*innen entscheiden kann, welche Internetseiten sie sperrt, dann ist das ein Problem“, sagt Damian. Dabei sei es ja möglich und schon öfter vollbracht worden, eine Domain mit juristischen Mitteln und einem richterlichen Beschluss sperren zu lassen.

„Es gibt einen richtigen Weg, wie man solche Ansprüche durchsetzen kann. Das ist mit Aufwand für die Rechteinhaber verbunden. Die müssen beweisen, wo genau die Urheberrechtsverstöße stattfinden, versuchen, den Betreiber ausfindig zu machen, beim Hoster eine Löschung erbitten. Und für die Internetanbieter ist das auch unpraktisch, denn dann müssen sie vor Gericht. Der Rechtsweg stellt aber sicher, dass das im gesetzlichen Rahmen abläuft. Die CUII hingegen entscheidet das ganz allein. Das ist eine Art Selbstjustiz“, sagt er.

Die Rechteinhaber in der CUII beantragen die Sperren, die CUII prüft, ob eine „strukturelle Urheberrechtsverletzung“ vorliegt und weist, wenn dem so ist – und die Bundesnetzagentur ihr okay gibt – die beteiligten Internetprovider an, die Seite zu sperren. Mirror-Domains, die den gleichen Inhalt bieten, werden ohne erneutes Prüfverfahren gesperrt. „Das wird dann nichtmal mehr an die Bundesnetzagentur weitergeleitet“, sagt Damian. „Keine dritte Partei kennt diese gesperrten Domains. Die können da frei welche hinzufügen.“

Die CUII selbst beruft sich zum einen darauf, dass sie lediglich „Empfehlungen“ abgibt, über die ein „dreiköpfiger unabhängiger Prüfausschuss“ entscheidet. „Die Empfehlung des Prüfausschusses folgt den geltenden Gesetzen und den bislang ergangenen Urteilen des BGH und des EuGH sowie der unterinstanzlichen Rechtsprechung, die diese höchstrichterliche Rechtsprechung konkretisiert“, heißt es |auf der Website|. Die Prüfung der CUII diene dazu, „unnötige Gerichtsverfahren zu vermeiden“.

Fehlende Transparenz

Das Recht auf freie Information steht in Artikel fünf des Grundgesetzes, es sollte eigentlich nicht ohne richterlichen Beschluss einschränkbar sein, das ist |verfassungsrechtlich bedenklich|. Außerdem werden bei den Sperren ganze Domains blockiert, auf denen sich teilweise auch ganz legale Inhalte befinden. Diese werden ebenso den Nutzer*innen verborgen.

Dazu kommen |wettbewerbsrechtliche Schwierigkeiten|, weil die Piratenseiten eine Konkurrenz für die CUII-Mitglieder sind.

Damians zweites großes Problem mit der CUII ist die fehlende Transparenz. Die CUII hält geheim, welche Websites genau von ihren Sperren betroffen sind. Wer eine Seite ansurft und nicht auffindet, weiß, dass diese gesperrt ist, aber nicht, ob von der CUII oder von einem Gericht oder zum Beispiel aufgrund eines EU-Embargos, so wie derzeit viele russische Nachrichtenseiten.

Und die surfende Person kennt auch nicht das Ausmaß der privatwirtschaftlich initiierten Sperren. Sie kann sich kein Bild davon verschaffen, welches Muster dahinter steht. „Deshalb wollen wir die CUII transparenter machen“, sagt Damian.

Ein Spaßprojekt mit ernstem Hintergrund

Damian hat seine Sommerferien in die Website |cuiiliste.de| investiert. Erst hat er zur CUII recherchiert, festgestellt, dass es cuiiliste.de schon einmal gab und die Domain frei ist. „Da dachte ich mir, das bringe ich mal als Spaßprojekt wieder auf Vordermann“.

Daraufhin hat er innerhalb von zwei Wochen die Seite geschrieben. Zunächst war die Idee, dass Menschen auf cuiiliste.de automatisch prüfen lassen können, ob und bei welchen Providern eine Website gesperrt ist, um so nach und nach ein Archiv in Deutschland gesperrter Seiten aufbauen zu können.

Doch dann bekam Damian von einer Person, die sich im Netz |Northernside| nennt, eine aktuelle CUII-Sperrliste zugespielt. Die Liste stammt offenbar von einem Internetprovider.

Eine andere Person hat daraufhin die Adressen aller DNS-Resolver der in CUII versammelten Internetprovider gesammelt, damit Damian testen kann, ob alle die gleiche Liste sperren. Das war der Fall, die aufgetauchte Sperrliste ließ sich bestätigen. Daraufhin hat Damian ein Skript geschrieben, das die Sperrliste jede Minute einmal auf Aktualität überprüft. Acht Seiten wurden kürzlich entsperrt, wohl weil sie sowieso nicht mehr erreichbar sind.

Die Sperre ist leicht umgehbar

Vier Bekannte haben Damian zeitweise unterstützt, alle nah an der Volljährigkeit. Sie kennen sich aus dem Internet. Damian ist viel im Netz unterwegs. Er programmiert, seit er zwölf ist, hat es sich selbst beigebracht. Sein bekanntestes Programm, ServerSeeker, durchsucht das Internet nach Minecraft-Servern. Neben der Arbeit an cuiiliste.de – und der Schule – entwickelt er gerade einen Programmierkurs für Kinder.

Damian nutzt nach eigener Aussage keine der auf der CUII-Liste versammelten Seiten. Er käme aber problemlos an die Inhalte, die die CUII eigentlich gerne gesperrt wüsste. Dafür bräuchte es auch gar kein Skillset wie das von Damian.

Gesperrt sind nämlich nicht die Inhalte auf den Websites, sondern nur die Domains – Adressbezeichnungen wie cuiiliste.de. Die werden von DNS-Servern in die IP-Adresse der Website übersetzt, einen Zahlencode. Und die DNS-Server der CUII-Internetprovider verweigern bei den gesperrten Seiten die Arbeit. Aber es gibt zahlreiche weitere DNS-Server. |Auf seiner Website| zeigt Damian für jedes Betriebssystem Wege, wie man die DNS-Server der CUII-Mitglieder einfach umgehen kann.

Das ist nicht nur relevant für diejenigen, die ohne zu zahlen Filme und Serien schauen wollen, sondern auch für die wissenschaftliche Community. Unter den gesperrten Seiten befindet sich auch |Sci-Hub|, eine Plattform, die wissenschaftliche Aufsätze zugänglich macht. Die werden zwar meist staatlich finanziert, die Rechte liegen aber dennoch oftmals bei Wissenschaftsverlagen. Die verlangen für den Zugang oft hohe Preise.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|sechs Providern|

|Clearingstelle Urheberrecht im Internet (CUII)|

|Damian|

|geleakt|

|auf der Website|

|verfassungsrechtlich bedenklich|

|wettbewerbsrechtliche Schwierigkeiten|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Sicherheitslücken in Dating-Apps: Auf Schritt und Tritt verfolgt

Mon, 12 Aug 2024 16:02:42 +0000

Tomas Rudl

Manche Dating-Apps lassen die Suche nach potenziellen Partner:innen in der näheren Umgebung zu. Das Feature kann schnell zum Bug werden, wie |Sicherheitsforscher:innen der belgischen Universität KU Leuven herausgefunden| haben: Mindestens sechs Dating-Apps, darunter Bumble und Hinge, sollen ungewollt fast metergenau den Standort von Nutzer:innen preisgegeben haben. Das kann Stalking und sonstiger Belästigung Tür und Tor öffnen, warnt die Forschungsgruppe.

Vorgestellt hat die Gruppe ihre Forschungsergebnisse letzte Woche |auf der IT-Sicherheitskonferenz Black Hat|. Für das Projekt hat sie insgesamt 15 populäre Dating-Apps wie Tinder, Grindr und OkCupid mit monatlich mehreren hundert Millionen Nutzer:innen untersucht. Mit dem Mitschneiden des sogenannten „API traffics“, also des Datenverkehrs über die Schnittstellen der Apps und ihrer Server-Gegenseite, konnte sie auf öffentlich verfügbares Material zurückgreifen, um die Schwachstellen aufzuspüren.

Daten in Dating-Apps besonders sensibel

Sicherheitslücken und versehentliche |Datenabflüsse bei Dating-Apps| haben in der Vergangenheit immer wieder für Probleme gesorgt. Entfleuchte sensible Daten haben schon |Karrieren beendet| oder sonstwie das Leben der Betroffenen auf den Kopf gestellt. Nicht von ungefähr hat etwa der queere Dating-Dienst Grindr während der gestern zu Ende gegangenen Olympischen Spiele bestimmte |Funktionen punktuell deaktiviert|: In manchen Ländern kann eine nicht-heterosexuelle Orientierung Lebensgefahr bedeuten.

Einige Dienste, unter anderem Grindr, haben |aus vergangenen Fehlern| gelernt. Bestimmte Einfallstore sind heute nicht mehr zugänglich, darunter die nun ausgenutzte „Oracle Trilateration“-Technik. Dabei werden zunächst grobe Anhaltspunkte durch schrittweise Filterung für eine immer genauere Standortbestimmung genutzt. Gegenüber Techcrunch haben die betroffenen Anbieter angegeben, die |Lücken geschlossen zu haben|, nachdem sie vom Forschungsteam darauf aufmerksam gemacht worden sind.

Abgesehen von den zu genauen Ortsangaben entblößen die untersuchten Dating-Apps aber auch „routinemäßig persönliche Daten“, schreiben die Forscher:innen. Alle Anbieter verlangen Informationen von ihren Nutzer:innen, von verifizierten Telefonnummern bis hin zu Gesichts-Scans, mit denen die eigene Identität bestätigt werden soll. Anschließend landen viele der Informationen in den Dating-Profilen, die je nach Einstellung für andere Nutzer:innen sichtbar sind.

Informationen trotz Deaktivierung sichtbar

Nicht alle Nutzer:innen sind sich dabei bewusst, welche Daten sie eigentlich öffentlich machen. Mit Ausnahme von Grindr lässt es etwa keine der untersuchten Apps zu, die Anzeige des Alters zu unterbinden. Über das Mitschneiden der API-Daten können Angreifer:innen bei den meisten Apps das Geschlecht herausfinden, selbst wenn dies nicht aktiviert ist. Der Anbieter Tagged rückt damit sogar das genaue Geburtsdatum heraus. Vier Apps können die sexuelle Orientierung verraten, obwohl die jeweiligen Nutzer:innen, womöglich in repressiven Staaten, das in den Einstellungen ausgeschaltet haben.

„Während sich Nutzer:innen möglicherweise gezwungen fühlen, solche Daten freizugeben, besteht ein besonderes Risiko, wenn APIs in der Bedienoberfläche versteckte Daten sowie genaue Standorte preisgeben“, resümieren die Forscher:innen – auch, weil sich Nutzer:innen nicht darüber im Klaren sind, dass sie diese Daten freigeben, was zu zusätzlichem Schaden führen könne. „Darüber hinaus informieren die Datenschutzrichtlinien der Apps die Nutzer:innen im Allgemeinen nicht über diese Datenschutzrisiken und überlassen es ihnen, persönliche (sensible) Daten selbst zu schützen.“

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|Karsten Winegeart|

|Sicherheitsforscher:innen der belgischen Universität KU Leuven herausgefunden|

|auf der IT-Sicherheitskonferenz Black Hat|

|Datenabflüsse bei Dating-Apps|

|Karrieren beendet|

|Funktionen punktuell deaktiviert|

|aus vergangenen Fehlern|

|Lücken geschlossen zu haben|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Beschwerden in neun Ländern: Keine europäischen Daten für Elon Musks KI

Mon, 12 Aug 2024 15:43:25 +0000

Ingo Dachwitz

Elon Musk bleibt sich treu: Um sogenannte Künstliche Intelligenz zu trainieren, nutzt das Social-Media-Unternehmen des rücksichtslosen Tech-Milliardärs seit einiger Zeit die Daten seiner Nutzer:innen – ohne diese zu fragen oder auch überhaupt aktiv zu informieren. Dagegen geht nun die österreichische Datenschutzorganisation Noyb rechtlich vor. Wie die NGO heute |in einer Pressemitteilung| bekanntgab, legte sie Beschwerden bei Datenschutzbehörden in neun europäischen Ländern ein.

Twitter, das Musk inzwischen in X umbenannt hat, trainiert mit den Daten offenbar „Grok“. Twitter selbst beschreibt das Programm als |„dein humorvoller Such-Assistent“|. Betrieben wird Grok von xAI, einem weiteren Unternehmen von Elon Musk. Vor einigen Wochen war Nutzer:innen |aufgefallen|, dass in ihren Einstellungen eine Option für die Datennutzung erschienen war. Neben direkten Interaktionen mit dem Chatbot sollten auch öffentliche X-Beiträge der Nutzer:innen für dessen Training verwendet werden. Das Häkchen für die Erlaubnis war vorausgewählt.

Zweifel an Datenschutzbehörde

Auf Druck der irischen Datenschutzbehörde DPC hatte Twitter vergangene Woche vor einem Gericht bereits zugestimmt, |vorerst keine weiteren Daten von EU-Bürger:innen| für das Training von Grok zu verwenden. Doch noyb äußert Zweifel daran, dass die DPC das Problem wirklich bei der Wurzeln packen wird. Die Behörde scheine nur Randthemen anzugehen, scheue aber vor dem Kernproblem der fehlenden Einwilligung zurück, heißt in der Pressemitteilung.

„Die Gerichtsdokumente sind nicht öffentlich, aber aus der mündlichen Anhörung geht hervor, dass die Datenschutzbehörde nicht die Rechtmäßigkeit dieser Verarbeitung selbst in Frage gestellt hat“, so Max Schrems, Vorsitzender von noyb. „Es scheint, dass die DPC sich mit einer sogenannten ‚Risiko-Eindämmung‘ zufriedengibt und eher die mangelnden Kooperation von Twitter kritisiert.“

Offen bleibe zum Beispiel, was mit den Daten von EU-Bürger:innen passiere, die bereits in die Systeme eingespeist wurden. Twitter müsse außerdem erklären, wie es Daten EU- und Nicht-EU-Bürger:innen trennen könne. Da Twitter bereits mit der Verarbeitung der persönlichen Daten begonnen habe und es keine Möglichkeit gebe, die aufgenommenen Daten zu entfernen, hat noyb ein „Dringlichkeitsverfahren“ nach |Artikel 66 DSGVO| beantragt.

„Unser Ziel ist es, sicherzustellen, dass die zentralen rechtlichen Probleme im Zusammenhang mit Twitters KI-Training vollständig gelöst werden.“ Je mehr EU-Datenschutzbehörden sich an dem Verfahren beteiligen würden, desto größer werde der Druck auf Twitter und die irische Behörde, so noyb.

Die Bürgerrechtsorganisation legt sich in ihrem Kampf für Datenschutz immer wieder mit Aufsichtsbehörden an. Wiederholt krisierte noyb vor allem die irische Datenschutzbehörde für ihre Wirtschaftsfreundlichkeit und ging auch |gerichtlich gegen sie vor|. Kürzlich legte noyb auch |Klage gegen den Hamburger Datenschutzbeauftragten| ein, weil dieser im Streit um das Pur-Abo des Medienhauses SPIEGEL voreingenommen gewesen sei.

Auch Meta wollte Daten für KI nutzen

Daten von Social-Media-Nutzer:innen können von großem Wert für das Training sogenannter Künstlicher Intelligenz sein. Chatbots wie ChatGPT von OpenAI basieren auf riesigen Sprachmodellen, sogenannten Large Language Models. GPT4, das Sprachmodell hinter ChatGPT, wurde angeblich mit einem Petabyte an Daten trainiert, das entspricht etwa 500 Milliarden Seiten ausgedruckten Texts. Dabei soll OpenAI |auch Youtube-Videos ohne Erlaubnis der Urheber:innen verwendet| haben.

Twitter ist nicht das einzige Social-Media-Unternehmen, das die Daten seiner Nutzer:innen für diese Zwecke nutzen will. Erst kürzlich hatte Meta für einen Aufschrei gesorgt, weil es sich das Recht einräumen lassen wollte, die Inhalte von Facebook- und Instagram-Nutzer:innen für das Training des KI-Assistenten Llama zu nutzen. Der Konzern räumte Nutzer:innen lediglich eine komplizierte Widerspruchsmöglichkeit ein. Auch hiergegen legte noyb Datenschutzbeschwerden ein. Auf Druck der irischen Datenschutzbehörde hatte Meta im Juni schließlich angekündigt, in Europa vorerst |auf die Einführung von Llama| zu verzichten.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|Bastian Riccardi|

|in einer Pressemitteilung|

|„dein humorvoller Such-Assistent“|

|aufgefallen|

|vorerst keine weiteren Daten von EU-Bürger:innen|

|Artikel 66 DSGVO|

|gerichtlich gegen sie vor|

|Klage gegen den Hamburger Datenschutzbeauftragten|

|auch Youtube-Videos ohne Erlaubnis der Urheber:innen verwendet|

|auf die Einführung von Llama|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Degitalisierung: Privacy Preserving Capitalism

Sun, 11 Aug 2024 07:17:12 +0000

Bianca Kastl

Was schützen eigentlich privatsphäreschonende Technologien vor allem? Die Privatsphäre von Nutzer*innen oder doch eher Geschäftsmodelle? Ein Aufruf unserer Kolumnistin, genau hinzuschauen.

It is our purpose to consider whether the existing law affords a principle which can properly be invoked to protect the privacy of the individual; and, if it does, what the nature and extent of such protection is.

Ergründen, ob und wie es im geltenden Recht einen Grundsatz gibt, um die Privatsphäre des Einzelnen zu schützen – die heutige Degitalisierung definiert ihren Zweck ein klein wenig so wie der juristische Aufsatz von |Samuel D. Warren II| und |Louis Brandeis| – „The Right to Privacy“. Vielleicht nicht ganz so tief juristisch und theoretisch wie damals, aber doch tief dem Thema Privacy in dieser Zeit auf den Grund gehend.

„The Right to Privacy“ war 1890 ein durchaus einflussreicher Aufsatz, der ein Recht auf Privatheit ergründete. Wir werden in dieser Kolumne auf den Gedanken zurückkommen. Kommen wir aber erst zu der Frage, wie es sich denn heute mit der Privacy verhält und wieso es vielleicht wieder an der Zeit ist zu klären, wen sie eigentlich schützen soll und wie weit das gehen soll.

Eine Dreiecksbeziehung

Eins vorneweg: Es geht heute um Privacy. Das ist nicht unbedingt dasselbe wie Datenschutz und auch nicht dasselbe wie Informationssicherheit, wird aber immer mal wieder in den gleichen Topf geworfen. Für den Gedanken dieser Kolumne ist es aber wichtig, das einigermaßen sauber voneinander zu trennen, auch wenn es bei heutigen digitalen Systemen zurecht nicht immer ganz zu trennen ist. Weil in gut gemachten Systemen oftmals alle drei Fachdisziplinen beteiligt sein sollten.

Es gibt klassische Definitionen der Disziplinen: Datenschutz ist dabei der eher rechtliche Schutz der Bürger*innen vor Beeinträchtigungen ihrer Privatsphäre durch unbefugte Erhebung, Speicherung und Weitergabe von Daten, die ihre Person betreffen – Oxford Dictionary. Informationssicherheit sei, |laut Wikipedia|, ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll.

Und Privacy? Aus der |englischsprachigen Wikipedia| übersetzt: die Fähigkeit eines Individuums oder einer Gruppe, sich selbst oder Informationen über sich selbst abzutrennen und sich dadurch selektiv auszudrücken.

Oder anders formuliert und ins Digitale übertragen: Mehr Privacy und deren angewandte Techniken führen dazu, dass es weniger Informationen gibt, die gesichert werden müssten und weniger Rechte begründet im Datenschutz gefährdet werden können. Eigentlich.

An sich ist Privacy in digitalen Systemen etwas Gutes. Systeme, die so wenig Informationen offenbaren, dass keine Menschen gefährdet werden und deren Datenschutzrechte beeinträchtigt werden könnten. Toll eigentlich. Keine aufwändigen IT-Sicherheitsmaßnahmen, weil es gar nicht so viel gibt, was aufwändig geschützt werden muss.

Nur ist das nicht so ganz einfach, wenn wir genauer darauf schauen, zu welchem Zwecke Privacy heute denn noch so genutzt werden könnte.

Fuchs, du hast die Daten gestohlen

Mitte Juli fiel der ansonsten wegen seinen guten Privatsphäre-Eigenschaften beliebte Browser Mozilla Firefox |unangenehm auf|. Der kleine Internetfuchs sammelte heimlich, still und leise, aber Privatsphäre-bewusst Daten für Werbeanbieter. Das Prinzip: Die Daten von einzelnen Nutzer*innen – oder eher Browsern – sollen nicht offenbart werden. Stattdessen gibt es zusammengefasste Daten, die aber nichts mehr über einzelne Nutzer*innen verraten sollen. Daran ist vieles durchaus bemerkenswert, speziell für einen Browser, der sich bisher damit rühmte, besonders privatsphäreschonend zu sein.

Firefox’ „datenschutzfreundliche Werbemessung“ ist aus Sicht der Privacy ein leider unrühmliches Beispiel, wie verzerrt heute privatsphäreschonende Techniken gegen Menschen eingesetzt werden können. Im |Interview bei Heise| wird das an drei Stellen deutlich: So wurde die Funktion bewusst als Opt-Out umgesetzt – andernfalls hätte das laut Aussage von Mozilla die Prototypentests behindert. Nur mit Massendaten sei die Funktion nützlich und würde sonst die „wichtige Standardisierungsarbeit nur unzureichend unterstützen“. Am Ende sei die Funktion dann ja sogar gut für die Privatsphäre, weil sie einen starken Schutz der Privatsphäre biete, wenn sie aktiv sei. Das klingt in der Summe nach dem kleineren Übel.

Alles gut dann? Mitnichten. Letztendlich hat speziell das heimliche Aktivieren des Werbetrackings von Mozilla dazu geführt, dass eine der Kernforderungen vieler Privacy-Bemühungen untergraben wurde: die Möglichkeit, bestimmte sensible Informationen selektiv und selbstbestimmt zurückzuhalten. Auch wenn es vermeintlich schonender wirkt, mit Techniken wie dem Distributed Aggregation Protocol Informationen von Menschen nur in größeren Gruppen zusammenzufassen und daraus dann Werbemaßnahmen abzustimmen, anstatt sie individuell zu analysieren, kann das am Ende gegen Menschen eingesetzt werden.

Am Ende bleibt auch hier ein inhärenter Konflikt: Werbetreibende wollen auch mit privatsphäreschonenden Techniken mit der Zeit immer mehr Details und möglicherweise Gruppen mit spezielleren Profilkombinationen. Die Gewährleistung der Privatsphäre wird aber dann wieder unwahrscheinlicher, je genauer und verknüpfter solche Informationen werden. In dieser Abwägung wird aber meist zugunsten der Unternehmen entschieden – gegen die individuelle Privatsphäre.

|Recherchen über Xandr| oder jungst über |die Databroker Files| sollten uns inzwischen gelehrt haben, dass jede noch so kleine technische Möglichkeit, Menschen aus Werbeinteressen direkt gezielt anzusprechen, ohne Rücksicht auf Gefahren bösartig genutzt werden kann und wird.

Die schiere Masse an Informationen, Gruppen und Kategorien, die die Werbeindustrie durch möglichst gezieltes Targeting nutzen wird, kann auch durch privatsphäreschonende Techniken nur bedingt eingedämmt werden. Allein die Existenz von Kategorien wie Schwangerschaftsabbrüchen oder Depressionen, Kategorien nach Religionszugehörigkeit oder sexueller Identität oder Orientierung richtet sich in ihrem Wesen gegen das Privatsphäre-Bedürfnis von betroffenen Menschen. Vor allem, wenn das ohne Wissen im Hintergrund passiert und wenn es für Betroffene immer wieder zu einem neuen Aufwand wird, sich dagegen zur Wehr zu setzen.

Privatsphärendeschonende Techniken werden so – trotz ihrer guten Intentionen – zu einem Wegbereiter einer minimal weniger schlechten, aber einer nach wie vor schlechten digitalen Welt. Eine digitale Welt, gegen die es dann sogar weniger Argumente geben könnte, sich zur Wehr setzen zu können, weil das ja sicher und anonym sei.

Cookies überall

Dabei ist Mozilla eigentlich noch eines der Unternehmen, das zumindest bemüht ist, bestimmten Versprechen nachzukommen. Drittanbieter-Cookies etwa, quasi nur von Werbeanbietern oder Trackinganbietern genutzt, können in Firefox zumindest relativ einfach |blockiert werden|. Cookies zum seitenübergreifenden Tracking sind standardmäßig blockiert.

Anders verhält es sich bei Unternehmen wie Google, die aus Privacy-Sicht ein doppeltes Spiel spielen. Einerseits will man mit Google Chrome einen besonders privatsphäreschonenden und sicheren Browser haben, andererseits ist das schlecht fürs eigene Werbegeschäft. Chrome sei |laut eigener Aussage| ein Browser „eine Nummer sicherer“ und ein Browser mit „mehr Datenschutz mit individuell anpassbaren Einstellungen“.

Die Realität aus Sicht der individuellen Privacy ist aber anders: Googles Privacy Sandbox, die ja eigentlich die individuelle Privatsphäre der User*innen besser schützen sollte, verwendet selbst |Dark Patterns|, also manipulatives Design, zur Einwilligung. Google sitzt also selbst auf einer von Google kontrollierten, als datenschutzfreundlich vermarkteten Funktion, die aber mit zweifelhaften Methoden durchgesetzt wird.

Am Ende ist das aber unerheblich: Drittanbieter-Cookies wird es in Google Chrome weiterhin geben, sie werden weiterhin |nicht standardmäßig blockiert|. Die alleinige Privacy Sandbox wird wohl nicht kommen, Drittanbieter-Cookies bleiben. Die Umstellung habe zu großen „Einfluss auf Verlage, Werbetreibende und jeden, der in der Werbebranche tätig ist“.

Organisationen wie das W3C, denen man durchaus Wissen über das World Wide Web attestieren kann, sind nach wie vor klar in ihrer Haltung zu Drittanbieter-Cookies. |Diese müssen schlicht verschwinden|.

Ein Gewerbe mit Fleiß und Unverschämtheit

Gossip is no longer the resource of the idle and of the vicious, but has become a trade, which is pursued with industry as well as effrontery.

1890 wurde in „The Right to Privacy“ bereits beklagt, dass der Austausch von Klatsch zu etwas geworden sei, das als Handel mit Fleiß und Unverschämtheit betrieben werde. Deren Einzelheiten in den Kolumnen der Tageszeitungen breitgetreten würden. Damals war das noch langsam, nicht hochindividualisiert und brauchte noch Papier.

2024 hat sich am Grundproblem wenig geändert. Trotz fortgeschrittener Technik, trotz mühsam erkämpften Grundrechten im Bereich des Datenschutzes und trotz vermeintlich sicherer Informationstechnik sind es nun nicht mehr die Klatschspalten von Tageszeitungen, die Klatsch verwerten. Intimste Details werden inzwischen von einer Werbeindustrie ausgeschlachtet im Dienste des Kapitals. Mit Fleiß und Unverschämtheit.

Menschen, die sich für Privacy und Techniken, die die individuelle Privatsphäre von Menschen erhalten sollen, einsetzen, müssen sich sehr genau überlegen, ob sie sich damit gemein machen wollen. Privacy-Preserving-Technologien mögen an sich gut sein, nur müssen sie immer den Menschen dienen, deren Privatsphäre sie individuell schützen sollen. Privacy-Preserving-Technologien dürfen nicht schamlos allein dazu genutzt werden, um Interessen von Unternehmen und somit letztlich den Kapitalismus zu schützen. Ansonsten ist alles nur: Privacy Preserving Capitalism.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|Marija Zaric|

|Samuel D. Warren II|

|Louis Brandeis|

|laut Wikipedia|

|englischsprachigen Wikipedia|

|unangenehm auf|

|Interview bei Heise|

|Recherchen über Xandr|

|die Databroker Files|

|blockiert werden|

|laut eigener Aussage|

|Dark Patterns|

|nicht standardmäßig blockiert|

|Diese müssen schlicht verschwinden|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

20 Jahre netzpolitik.org: Sie lesen uns, ob sie wollen oder nicht

Sat, 10 Aug 2024 11:12:17 +0000

netzpolitik.org

Als vor 20 Jahren alles begann, hätte wohl niemand geahnt, dass netzpolitik.org zu einer stattlichen Redaktion werden würde. Das alles war nur möglich durch eure Unterstützung.

Im Jahr 2004 gab es noch kein iPhone, Facebook befand sich erst in der Gründung und die Enthüllungen von Edward Snowden waren noch eine knappe Dekade entfernt.

Damals, am 10. August 2004 – und damit vor genau 20 Jahren –, veröffentlichte Markus Beckedahl um exakt 13:12 Uhr den ersten Beitrag auf netzpolitik.org. Es war der Startschuss für ein Blog, das in den Folgejahren zu einem journalistischen Online-Medium heranwuchs, das heute von einem Team aus rund 20 Personen betrieben und fast ausschließlich von Einzelspender:innen finanziert wird.

Von den Anfängen bis zum Landesverrat

In den ersten Jahren ging es vor allem darum, der Politik „das Internet zu erklären“, wie Markus zu sagen pflegte. Die Digitalisierung ging rasant voran und selbst für Insider war es nicht immer leicht, dabei Schritt zu halten.

Mit der Zeit wuchs das Team. Einige, die in den ersten Jahren mitbloggten, sind auch heute noch dabei. Andre Meister etwa oder Anna Biselli, die heute Co-Chefredakteurin von netzpolitik.org ist.

Mitte der 2010er-Jahre ging es dann rückblickend betrachtet Schlag auf Schlag. 2013 enthüllte Edward Snowden, wie umfassend Geheimdienste weltweit die Bürger:innen ausspähen. Und im Jahr 2015 erlebte netzpolitik.org einen Angriff auf die eigene journalistische Arbeit: Generalbundesanwalt und das BKA ermittelten damals wegen Landesverrats gegen uns.

Der Zufall wollte es, dass das Verfahren auf den Tag |vor genau neun Jahren eingestellt wurde|. Eingeleitet hatte die Ermittlungen der damalige Verfassungsschutzpräsident Hans-Georg Maaßen. Er musste später seinen Hut nehmen und agiert heute als Aushängeschild der „WerteUnion“.

Spendenfinanziert und damit unabhängig

Die Landesverrats-Ermittlungen führten zu einer intensiven öffentlichen Debatte und sogar zu einer |Demonstration auf den Straßen Berlins|. Und auch auf die Arbeit von netzpolitik.org wirkten sie sich nachhaltig aus – und zwar in zweierlei Hinsicht.

Zum einen erhielten wir aus Solidarität und Unterstützung jede Menge Spenden. Sie ermöglichten uns weiter, dass sich netzpolitik.org als leser:innenfinanziertes Medium etablieren konnte: redaktionell und wirtschaftlich unabhängig, ohne Paywall und ohne Tracking.

In den zurückliegenden drei Jahren haben wir jährlich rund eine Million Euro an Spenden erhalten. Sie kommen weiterhin vor allem von unseren Leser:innen, im Durchschnitt spenden sie acht Euro pro Monat.

Diese breite Unterstützung durch sehr viele Menschen ist für ein journalistisches Medium ein unglaubliches Privileg, denn sie erlaubt es uns, unsere Arbeit langfristig zu planen ohne auf Klick- und auf Abozahlen starren zu müssen. Danke, dass ihr uns das ermöglicht!

Mit der „Internetpostille“ zum Zahnarzt

Zum anderen trugen die Anschuldigungen dazu bei, dass die Blogger:innen von netzpolitik.org endgültig als das wahrgenommen wurden, was sie auch waren: Journalist:innen.

Das anzuerkennen, fiel manchen sichtlich schwer, während sie nicht umhin kamen, unsere Artikel zu lesen. Das zeigte sich etwa dann, wenn Gesetzesanalysen die Ratlosigkeit im Bundestag offenlegten, wie man mit der Kritik der „|Internetpostille|“ netzpolitik.org am besten umgehen sollte. Ein Unternehmen, über das wir regelmäßig berichten, liest offenbar selbst unsere Presseanfragen gerne. Sie würden uns zwar nicht immer antworten, räumten aber einst ein, unsere Fragen immer zu „genießen“.

Dass wir nicht immer vergnügungssteuerpflichtig sind, wissen wir. „Mich erinnert diese Webseite auch an meinen Zahnarzt“, lautete eine Würdigung bereits |zum zehnten Geburtstag|, „Der sagt mir auch immer wieder, dass ich gründlich und regelmäßig meine Zähne putzen soll“.

Auch das verbuchen wir als Bestätigung unserer Arbeit. Denn so ist das nun mal mit den dringlichen Themen, auch wenn es einigen gegen den Strich geht, was wir schreiben: Sie lesen uns, ob sie wollen oder nicht.

Der Kampf für Freiheitsrechte

Heute besteht unsere journalistische Arbeit nicht mehr darin, „das Internet zu erklären“. Die Digitalisierung prägt nahezu alle Bereiche des alltäglichen und politischen Lebens. Vorbei mit „Neuland“.

Wir sehen unsere Aufgabe darin, die digitalen Freiheitsrechte zu stärken. Mit Analysen, Recherchen, Leaks und Kommentaren wollen wir über die Missstände aufklären, politische Entscheidungsprozesse begleiten und zugleich unsere Leser:innen dazu befähigen, sich selbst für die Grundrechte aller zu engagieren.

Das betrifft Themen wie die untote Vorratsdatenspeicherung, ihre jüngere Schwester, die Chatkontrolle der EU-Kommission, oder den Einsatz von Staatstrojanern gegen Menschenrechtsaktivist:innen. Nicht minder wichtig sind die Ausspähung durch die Werbeindustrie, die Aushöhlung des Datenschutzes, unsere digitale Infrastruktur sowie der Einsatz offener Software.

Auf die nächsten 20 Jahre!

Welche Themen uns in fünf, zehn oder zwanzig Jahren beschäftigen? Wer kann das schon genau sagen. Fest steht aber: Uns werden die Themen nicht ausgehen – gerade in Zeiten, in denen zahlreiche Staaten versuchen, die Grundrechte auszuhöhlen, während Rechtsradikale nach der politischen Macht greifen.

Wir werden uns, an der Seite der digitalen Zivilgesellschaft, daher weiter für Freiheit, Solidarität und Gemeinwohl einsetzen – mit journalistischen Mitteln und auf vielen Kanälen. Und wir werden dafür sorgen, dass uns auch weiterhin möglichst viele lesen. Ob sie es gern tun oder nicht.

Wir wollen mit Euch Netze bilden – und feiern!

Abschließend noch ein Hinweis: Unseren Geburtstag wollen wir am liebsten mit vielen alten und neuen Wegbegleiter:innen feiern. Seit dieser Woche ist das |Programm zu unserer Konferenz online|: Unter dem Motto „Bildet Netze!“ wollen wir gemeinsam mit Euch am 13. September in Berlin netzpolitische Themen verknüpfen und uns mit Euch vernetzen.

Und am Ende eines hoffentlich spannenden Tages wollen wir feiern: Seit 20 Jahren gibt es netzpolitik.org! Den Konferenztag lassen wir deshalb mit einer großen Party ausklingen. Das ganze Team von netzpolitik.org hofft, Euch dort zu sehen!

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|CC-BY 2.0|

|Jason Krüger|

|vor genau neun Jahren eingestellt wurde|

|Demonstration auf den Straßen Berlins|

|Internetpostille|

|zum zehnten Geburtstag|

|Programm zu unserer Konferenz online|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

KW 32: Die Woche, als wir einen neuen Newsletter starteten

Sat, 10 Aug 2024 06:24:53 +0000

Sebastian Meineck

Die 32. Kalenderwoche geht zu Ende. Wir haben 17 neue Texte mit insgesamt 78.110 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser*innen,

diese Woche waren wir in Aufbruchstimmung. Mit gespannter Neugier haben wir verfolgt, wie sich Kamala Harris‘ Vize-Kandidat Tim Walz bei seinem ersten Auftritt schlägt. Und der erfrischend umgänglich wirkende Walz lässt das rechtspopulistische Duo aus Donald Trump und J.D. Vance |ziemlich weird aussehen|.

Mein Kollege Tomas hat die Tage gleich zwei Artikel zu den Geschehnissen in den USA geschrieben. Einmal einen Kommentar darüber, was der virale Couch-Witz rund um Vance |über Desinformation verrät|. Und einmal darüber, was die US-Demokrat*innen |netzpolitisch bewegen könnten|. Auch wenn Netzpolitik im US-Wahlkampf kaum eine Rolle spielen dürfte: Der Text bietet einen sehr lesenswerten Überblick zu den netzpolitischen Baustellen einer Nation, deren Entscheidungen viel Einfluss auch auf uns in der EU haben.

Während viele Nachrichtenmedien und auch Menschen in meinem Umfeld vermehrt über Harris und Walz sprechen, macht mich jedoch eine Sache nachdenklich: Was sagt diese Begeisterung von nicht-wahlberechtigen Menschen in Deutschland überhaupt aus? Immerhin wird die Wahl vor allem von ein paar Millionen Wechselwähler*innen in den Swing States entschieden.

Um „auf den Punkt“ zu kommen…

Es gibt noch eine Sache, die uns bei netzpolitik.org gerade in Aufbruchstimmung versetzt: Seit dieser Woche könnt ihr |unseren neuen Newsletter abonnieren| \(^_^)/ !

Das Wort News-letter ist hier ganz buchstäblich gemeint, denn mit „Auf den Punkt“ bekommt ihr drei Mal die Woche unsere neuesten Tickermeldungen ins E-Mail-Postfach. So bleibt ihr immer am Puls der Zeit und bekommt alles mit, was gerade netzpolitisch relevant ist.

Auf den Newsletter und den damit verbundenen Ticker habe ich mich schon sehr lange gefreut. Jeden Tag sichten wir als Team Hunderte Meldungen. Allein in meinem Feedreader heute morgen waren es zum Beispiel 185. Bloß – selbst berichten können wir nicht über alles. Warum also nicht das angesammelte Wissen teilen, damit alle von unserem Monitoring profitieren können? Genau das tun wir. Wir schnappen uns das Wichtigste und verlinken auf die Quellen, die wir täglich lesen, begleitet von zwei, drei Sätzen Zusammenfassung und Einordnung.

Wenn ich die jüngsten Tickermeldungen überfliege, merke ich immer wieder: Man kann diesen Ticker sehr gut am Stück lesen und bekommt dabei einen geballten und dennoch differenzierten Eindruck davon, was gerade netzpolitisch Phase ist. Ich würde mich sehr freuen, wenn „Auf den Punkt“ auch bei euch Teil des Nachrichtenbufetts wird! Hier geht es direkt |zum Abonnement|. Alternativ gibt es die Tickermeldungen natürlich auch bei uns |auf der Startseite| und als |RSS-Feed|.

Vielen Dank fürs Lesen und bis bald!

Sebastian

───────────────────��─────

283 Off The Record: So lief die Recherche zu den Databroker Files

3,6 Milliarden Standortdaten von Handys aus Deutschland: Damit begannen unsere Recherchen zu den Databroker Files. Im Podcast berichten Sebastian und Ingo, wie sie an die Daten kamen, wie die Kooperation mit dem Bayerischen Rundfunk ablief und wie das Team mit den sensiblen Daten umging. Von Chris Köver –

|Artikel lesen|

Öffentliches Geld – Öffentliches Gut!: Warum Schulen und Freie Software gut zusammenpassen

Obwohl Freie und Open-Source-Software proprietären Anwendungen in vielen Aspekten überlegen sind, setzen Schulen oft weiter auf Tech-Monopolisten. Alle? Nein, es gibt gallische Dörfer und Landkreise, die sich von Big Tech lösen. Sie zeigen: Nachmachen lohnt sich. Von Franziska Kelch, Stefan Kaufmann –

|Artikel lesen|

Umstrittene Observationstechnik aus Sachsen: Auch Brandenburg betreibt biometrische Videoüberwachung in Echtzeit

In etlichen Bundesländern setzt die Polizei biometrische Videoüberwachung in Echtzeit ein. Nun ist auch Brandenburg mit von der Partie. Aus Sicht von Jurist:innen fehlt dafür jedoch die Rechtsgrundlage. Und das sorgt für Streit in der rot-schwarz-grünen Brandenburger Koalition. Von Daniel Leisegang –

|Artikel lesen|

Bildet Netze!: Programm-Sneak-Peek mit Chatkontrolle auf und jenseits der Straße und Kritik am großen K-Wort

Am 13. September findet unsere Konferenz „Bildet Netze!“ in Berlin statt. Es erwarten euch mehr als 35 Vorträge und Workshops sowie eine große Party! Mit den Top Ten, was wir aus dem Kampf gegen Chatkontrolle lernen können, und Berichte aus der Praxis einer Landesdatenschutzbeauftragten. Von netzpolitik.org –

|Artikel lesen|

Missbrauch von Marktmacht: US-Gericht verurteilt Google

Nicht nur sei Google ein Monopolist, sondern habe seine Marktmacht auch missbraucht. Das hat ein US-Gericht in einem wegweisenden Verfahren entschieden. Zunehmend verkleinert sich der Handlungsspielraum großer Tech-Konzerne. Von Tomas Rudl –

|Artikel lesen|

Bewertungen bei Google Maps: Wo Politiker*innen Urlaub machen

Wer auf Google Maps Bewertungen schreibt, sollte sich im Klaren sein, dass jeder sie einsehen kann. Wenn man dafür auch noch den eigenen Namen verwendet, ist leicht festzustellen, wer hinter dem Profil steckt. Das betrifft auch Politiker*innen, die allzu Privates offen teilen. Von Nora Nemitz –

|Artikel lesen|

Letzte Generation: Gericht weist Journalisten-Beschwerden wegen abgehörten Pressetelefons zurück

Der Streit um das abgehörte Pressetelefon der Letzten Generation geht weiter. Ein Münchner Landgericht wies eine Beschwerde gegen die Abhörmaßnahme von zwei Journalisten zurück, die deshalb nun weitere Schritte prüfen. Von Anna Biselli –

|Artikel lesen|

Russland setzt sich bei UN-Cybercrime-Konvention durch: „Ein gefährliches globales Überwachungsabkommen“

Es zeichnet sich ab, wovor Menschenrechtsorganisationen und Journalistenverbände lange gewarnt haben: Die geplante UN-Konvention zur Cyberkriminalität erfüllt nicht die Mindestanforderungen an Menschenrechte und Datenschutz. Sie schaffe „beispiellose Überwachungsbefugnisse“ und biete kaum Schutz für IT-Sicherheitsforscher, Whistleblower oder Journalisten. Von Constanze –

|Artikel lesen|

Digitale Brieftasche: Zivilgesellschaft und IT-Fachleute schlagen Alarm

Die Kritik an der europäischen digitalen Brieftasche reißt nicht ab. Nun warnen mehrere dutzend Nichtregierungsorganisationen und IT-Sicherheitsexpert:innen eindringlich davor, dass die EU einen gefährlichen Irrweg einschlägt. Von Daniel Leisegang –

|Artikel lesen|

Kamala Harris und Tim Walz: Was die US-Demokraten netzpolitisch bewegen könnten

Mit Kamala Harris und Tim Walz schicken die US-Demokraten ein betont progressives Duo in die Präsidentschaftswahl. Sollten die beiden die Richtungswahl gewinnen, warten nicht nur digitale Großbaustellen auf sie, sondern auch ein politischer und rechtlicher Balanceakt. Von Tomas Rudl –

|Artikel lesen|

Konferenz „Bildet Netze!“: Hier ist das Programm!

In gut einem Monat ist es so weit: Am 13. September findet in der Alten Münze Berlin unsere Konferenz statt. Unter dem Motto „Bildet Netze!“ wollen wir dann netzpolitische Themen verknüpfen und uns mit Euch vernetzen. Jetzt gibt’s das Programm auf einen Blick. Von netzpolitik.org –

|Artikel lesen|

Desinformation: Wenn die Wahrheit in der Couch steckenbleibt

Ein viraler Witz über vermeintliche sexuelle Vorlieben des republikanischen Vizepräsidentschaftskandidaten J.D. Vance hat den Sprung aus dem Internet auf Wahlkampfpodien geschafft. Manche US-Konservative geben sich empört, glaubwürdig ist das aber nicht. Ein Kommentar. Von Tomas Rudl –

|Artikel lesen|

Digitale Selbstverteidigung: So schützt man Daten vor Staaten, Konzernen und Kriminellen

Festplatteninhalt, Standort, Kommunikation – alles, was ein Mensch an Informationen produziert oder speichert, kann anderen in die Hände fallen. Wir zeigen in einer Artikelserie, wie sich unerwünschte Zugriffe verhindern lassen. Von Martin Schwarzbeck –

|Artikel lesen|

Cyberkriminalität: Vereinte Nationen beschließen Abkommen einstimmig

Die Vereinten Nationen erlauben mit einem Abkommen zu Cyberkriminalität umfassende Überwachung bei der Verfolgung einer Vielzahl von Straftaten. Die Konvention ist eine Idee Russlands und ermöglicht auch repressives Vorgehen gegen politische Gegner und Journalist*innen. Von Martin Schwarzbeck –

|Artikel lesen|

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|ziemlich weird aussehen|

|über Desinformation verrät|

|netzpolitisch bewegen könnten|

|unseren neuen Newsletter abonnieren|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Cyberkriminalität: Vereinte Nationen beschließen Abkommen einstimmig

Fri, 09 Aug 2024 09:58:51 +0000

Martin Schwarzbeck

Gestern haben die Vereinten Nationen ihr erstes Abkommen zu Cyberkriminalität |einstimmig angenommen|. Der völkerrechtliche Vertrag schafft einen Rechtsrahmen für Strafverfolgungsbehörden, auch für den Zugriff auf persönliche Informationen. Es geht darin unter anderem um Echtzeiterfassung von Telekommunikationsverkehrsdaten und das Abfangen von Kommunikationsinhalten.

Durch das Abkommen werden die UN-Mitgliedsstaaten verpflichtet, derartige Überwachungsmaßnahmen für ein sehr breites Spektrum von Straftaten zu ermöglichen. Eine richterliche Genehmigung der Maßnahmen ist hingegen nicht vorgeschrieben.

Das Abkommen enthält weitreichende Überwachungsbefugnisse mit unzureichenden Schutzmaßnahmen und verfehlt Mindeststandards bei den Menschenrechten und beim Datenschutz, so zahlreiche zivilgesellschaftliche Organisationen. Mehr als zwanzig, darunter Privacy International, Access Now, das International Press Institute sowie European Digital Rights als Dachorganisation vieler europäischer NGOs hatten an die Delegierten der EU-Staaten und an die Europäische Kommission |appelliert|, die zahlreichen Mängel des Vertrages noch zu beheben.

Selbst der Hohe Kommissar der Vereinten Nationen für Menschenrechte |schrieb|, dass viele der Bestimmungen internationalen Menschenrechtsstandards nicht gerecht werden. Zahlreiche IT-Sicherheitsforscher*innen |bemängelten|, dass auch sie durch das Abkommen kriminalisiert würden.

Laut Tanja Fachathaler, Policy Advisor beim österreichischen Verein epicenter.works, erlaubt das Abkommen Staaten, im Ausland gespeicherte Daten zu Personen anzufordern. Dabei muss das zugrundeliegende Vergehen nicht in beiden Staaten verboten sein. Wenn etwa Russland Oppositionelle oder Journalisten als Extremisten verfolge und ihnen absurde Straftaten vorwerfe, könne es sich künftig bei der Anforderung von Daten aus dem Ausland auf die UN-Konvention berufen.

Das Abkommen muss im Herbst noch der Generalversammlung vorgelegt werden, wo es vermutlich verabschiedet wird. Dann müssen noch die 193 UN-Mitgliedsstaaten die Konvention ratifizieren. Die letzte bislang veröffentlichte Version des Abkommens liegt |hier|.

Update, 9.8.2024, 16.40 Uhr: Link zur aktuellsten Version aktualisiert.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|einstimmig angenommen|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Digitale Selbstverteidigung: So schützt man Daten vor Staaten, Konzernen und Kriminellen

Fri, 09 Aug 2024 09:00:29 +0000

Martin Schwarzbeck

Daten sind der Rohstoff des Überwachungskapitalismus. Daten bringen Geld und Macht. Gleichzeitig gibt es wohl über jede Person Informationen, die sich in den falschen Händen nachteilig für sie auswirken können. Oder die sie einfach nicht mit allen teilen will.

Es geht nicht darum, ob man |etwas zu verbergen| hat. Das Recht auf Privatsphäre ist grundlegend für die Entwicklung von Persönlichkeit und auch für die Demokratie. Menschen sind anders unter Beobachtung. Konformer. Privatsphäre erlaubt Abweichung. Eine Welt ohne kann nur eine totalitäre sein.

Wer trotzdem noch meint, dass Datenschutz nicht wichtig ist, kann ja mal in einem Gedankenexperiment gesammelte Chats in einen Reddit-Post kopieren, Kontoauszüge in die Nachbars-Briefkästen werfen und Flyer mit Accounts und Passwörtern in der Innenstadt verteilen. Keine schöne Vorstellung?

Dann: Hallo, herzlich willkommen in der Gruppe von Menschen, denen es mindestens ein bisschen wichtig ist, wer was über sie weiß. Hier ist ein Leitfaden zur digitalen Selbstverteidigung.

Datenschutz und Datensicherheit

Es geht bei digitaler Selbstverteidigung sowohl um Datenschutz als auch um Datensicherheit, oft auch um eine Mischung aus beiden. Scharf sind die Begriffe nicht zu trennen, grob kann man sagen: Datensicherheit basiert auf Maßnahmen, die Daten im je persönlichen Besitz vor unbefugtem Zugriff und Verlust sichern – egal ob Tagebuch oder Musiksammlung. Beispiel: Festplatte verschlüsseln oder Backups machen.

Datenschutz hingegen sorgt dafür, dass personenbezogene Daten entweder nicht erhoben oder zumindest nicht unkontrolliert verbreitet werden. Er schützt also eigentlich nicht Daten, sondern vielmehr Menschen. Beispiel: |Werbe-ID ausschalten| oder Social-Media-Abstinenz.

Wir haben nach Lösungen gesucht, die selbst Staatstrojanern und physischem Zugriff mit Forensiksoftware widerstehen können. Die man braucht, wenn ein mächtiger Gegner jede Menge Ressourcen auf das Ziel setzt, an die Daten zu kommen. Die Recherche hat Tipps ergeben, mit denen sich Spitzenpolitiker*innen und Whistleblower*innen vor Angriffen auf ihre Daten schützen könnten, oder Aktivisti im Fokus staatlicher Behörden und Journalist*innen, die mit solchen zu tun haben.

Die meisten Tipps sind aber auch für Menschen mit einem eher alltäglichen Bedrohungsmodell geeignet. Welche Maßnahme jeweils zum Einsatz kommen sollte, ist immer eine persönliche Abwägung zwischen Aufwand und Risiko.

Eine Frage der Bequemlichkeit

Toni, Aktivist*in bei CryptoParty, einem Bildungsprojekt zu sicherem Umgang mit digitalen Werkzeugen, sagt: „Die meisten Menschen wollen nicht, dass ihr Haus abbrennt. Und während manche dafür vielleicht sogar auf offene Flammen wie Kerzen verzichten, können sich die wenigsten ein Leben ohne Herd und Elektrogeräte vorstellen. Ein Rohbau ist relativ brandsicher, aber halt unbequem zum Wohnen. Die Frage ist: Wie wichtig ist mir welche Bequemlichkeit und wie weit will ich gehen für die Sicherheit?“ Für eine begründete Antwort braucht es zunächst ein Threat-Modell, das die Bedrohung beschreibt: Welche Daten gilt es vor wem zu schützen?

Es gibt fünf Arten von Datenhungrigen: staatliche Akteure wie Ausländerbehörden und Polizeien; Firmen, darunter Werbetreibende und Datenhändler; kriminelle Organisationen wie Ransomware-Banden oder Phishing-Agenturen; soziale Gruppen, zum Beispiel religiöse oder rechtsradikale; und Privatpersonen, darunter kontrollierende Familienmitglieder und stalkende Ex-Partner*innen. Wer von wessen Datenhunger betroffen ist, können nur die Betroffenen einschätzen.

Je nachdem, vor wem man sich schützt, unterscheiden sich die Rahmenbedingungen: Während ein Familienmitglied häufig physischen Zugriff auf ein Gerät hat, bleibt das Geheimdiensten auf der anderen Seite des Ozeans meist verwehrt, dafür haben die mehr Geld und Ressourcen. Und während gewöhnliche Phishing-Angriffe auf unsere Unbedarftheit setzen und möglichst viele Leute ungezielt behelligen, nutzen Angreifende mit einem konkreten Ziel ganz andere Methoden – etwa ihr Wissen über unsere Gewohnheiten und Schwächen.

„Grundsätzlich ist es so, dass ein Gerät als abgesichert gilt, wenn ein Angriff so teuer ist, dass er vom Angreifer nicht mehr durchgeführt wird“, sagt Alexander Paul von resist.berlin. Die Gruppe berät Menschen, vor allem Aktivist*innen, zu sicherem Umgang mit datenverarbeitenden Systemen.

Quellen und Themen

Neben Alexander Paul und Toni haben für diese Artikelserie über Digitale Selbstverteidigung auch Aaron Wey, ebenfalls CryptoParty-Aktivist, Janik Besendorf vom Digital Security Lab der Reporter ohne Grenzen sowie Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik Wissen beigesteuert. Zudem sind |Surveillance Self-Defense|, |Security in a Box|, |Data Detox Kit|, |Digital First Aid|, |No Trace Project|, |The Holistic Security Manual|, |Mike Kuketz|, |mobilsicher.de| und |E-Learning von epicenter.academy| ergiebige Quellen zum Thema.

Digitale Selbstverteidigung lässt sich in sechs Bereiche unterteilen. Wir veröffentlichen etwa wöchentlich je einen Text zu einem Thema.

|Geräte abhärten – wie man physische Zugriffe auf Datenspeicher vereitelt|

Sichere Kommunikation – so verschlüsselt man seine Unterhaltungen

Sichere Passwörter – und wann der Fingerabdruck zum Entsperren ausreichend ist

Funkdisziplin – wie man sich datensparsam durchs Internet bewegt

Sicherheitsproblem Mensch – wie man Phishing und Scamming umgeht. Und wer schuld ist, wenn der Datenschutz versagt

Freie Software – wie man sich von den Techkonzernen unabhängig macht

Ein bunter Strauß Verteidigungsmaßnahmen

Ein paar Tipps zur DIY-Datenverteidigung gibt es hier schon vorab: Moderne Telefone können heimliche Videoüberwachung |mit Laufzeitmessung|, |Infrarotoptik| oder Magnetometer aufspüren, es gibt zahlreiche Apps, die die Techniken dazu verwenden. Wie man Bluetooth-Tracker findet, hat die Electronic Frontier Foundation |aufgeschrieben|. Alufolie hilft übrigens tatsächlich – zumindest gegen heimliches Auslesen von RFID- und NFC-Chips wie denen im Personalausweis oder der Bankkarte.

Die Adresse eines jeden in Deutschland ansässigen Menschen bekommt jeder, der Namen und Geburtsdatum kennt, recht leicht vom Einwohnermeldeamt. Eine Sperre dessen ist nur zeitlich befristet und gut begründet möglich. Aber man kann sich zumindest gegen Adressabfragen durch Parteien, Adressbuchverlage, Presse und Rundfunk, Religionsgesellschaften und Bundeswehr wehren. Dazu gibt es bei der Verbraucherzentrale ein |Widerspruchsformular|. Wie man herausfindet, was Datenhändler über einen wissen, zeigen wir |hier|.

Anonyme Zahlungen sind nur mit Bargeld möglich, im elektronische Geldverkehr ist die SEPA-Überweisung immerhin |datensparsamer als Paypal oder Kreditkarten|.

Und wer gerne vermeiden möchte, dass jeder Arztbesuch, jede Krankheit und jedes Medikament digital vermerkt werden, sollte überlegen, ob sie oder er nicht der elektronischen Patientenakte widersprechen möchte, die 2025 für alle eingeführt wird. Wer die Vorteile der medizinischen Informationszusammenfassung wahrnehmen möchte, aber nicht allem zustimmen will: Einen Ratgeber, wie man die Informationen aus der elektronischen Patientenakte differenziert verteilen kann, hat die Aidshilfe |geschrieben|.

Beratung

Für Jedermensch: |Cryptopartys|

Für Aktivist*innen: |resist.berlin|, Signal: resistberlin.01, montags 16-20 Uhr und 1. Samstag des Monats 14-18 Uhr, Mahalle, Waldemarstr. 110, Berlin Kreuzberg

Für Journalist*innen: |Digital Security Lab der Reporter ohne Grenzen|

Bei Sicherheitsvorfällen: |Cyber-Sicherheitsnetzwerk|

Update, 12.8.2024, 8.40 Uhr: Link zu Datenabfrage aktualisiert.

Update, 12.8.2024, 12.20 Uhr: Link zu E-Learning von epicenter.academy hinzugefügt.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|etwas zu verbergen|

|Werbe-ID ausschalten|

|Surveillance Self-Defense|

|The Holistic Security Manual|

|Mike Kuketz|

|mobilsicher.de|

|E-Learning von epicenter.academy|

|Geräte abhärten – wie man physische Zugriffe auf Datenspeicher vereitelt|

|mit Laufzeitmessung|

|Infrarotoptik|

|aufgeschrieben|

|Widerspruchsformular|

|hier|

|datensparsamer als Paypal oder Kreditkarten|

|geschrieben|

|Cryptopartys|

|resist.berlin|

|Digital Security Lab der Reporter ohne Grenzen|

|Cyber-Sicherheitsnetzwerk|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Desinformation: Wenn die Wahrheit in der Couch steckenbleibt

Fri, 09 Aug 2024 05:12:20 +0000

Tomas Rudl

Es begann als |Witz in sozialen Medien|: Der republikanische Vizepräsidentschaftskandidat J.D. Vance habe Sex mit einer Couch gehabt, soll er in seinem Bestseller-Buch geschrieben haben. Der Witz verbreitete sich |wie ein Lauffeuer|, wurde von einem inzwischen zurückgezogenen |Faktencheck der Nachrichtenagentur AP| noch weiter verstärkt und schließlich von Vances Gegenstück, dem Demokraten Tim Walz, in dessen |erster Wahlkampfrede erwähnt|.

Gut erprobte Desinformationsstrategien

Vor der Übernahme von Twitter durch Elon Musk hätte das soziale Netzwerk irreführende Postings wohl mit einem Hinweis versehen, |mutmaßt die ehemalige Mitarbeiterin Sarah Roberts|. Was das wirklich gebracht hätte, bleibt offen. Zu rechnen ist damit jedenfalls nicht: Die Moderationsteams hat Musk fast vollständig eingestampft, manipulierte Inhalte verbreitet der |Chef nun höchstpersönlich|, obwohl das gegen die eigenen Richtlinien verstößt.

Ausgerechnet jene, die jetzt plötzlich |Faktenchecks in sozialen Medien vermissen|, werfen zugleich fleißig mit Schmutz um sich: Tim Walz, der mehr als zwei Jahrzehnte lang in der US-Armee gedient hatte, sei |nicht wirklich ein Veteran|, lautet der jüngste Versuch, dessen Glaubwürdigkeit zu untergraben. Schließlich hat die |„Swiftboating“| genannte Strategie, die Welt auf den Kopf zu stellen, im Präsidentschaftswahlkampf 2004 gut genug funktioniert.

Doch die Rufe nach mehr Anstand und Faktentreue wirken ähnlich glaubwürdig wie Donald Trump, der jüngst vor einem schwarzen Publikum die |ethnische Identität von Kamala Harris in Frage| zu stellen versuchte: Sind es doch die Republikaner, die in den vergangenen Jahren einen |systematischen Angriff| auf einigermaßen gesunde digitale Informationsräume gestartet haben.

Einschüchterungskampagnen gegen Forschung

So hat etwa das Stanford Internet Observatory jüngst eine eigene |Abteilung drastisch zusammengekürzt|, die unter anderem die Ausbreitung von Falschnachrichten in Wahlkämpfen untersucht hatte – gerade noch rechtzeitig vor den Präsidentschafts- und Kongresswahlen im Herbst. Unter dem Vorwand von Meinungsfreiheit sollen Klagen und |umfassende Abfragen des von den Republikanern geführten Repräsentantenhauses| Rechnungen in Millionenhöhe verursacht haben.

Die Pforten ganz geschlossen hat schon im Vorjahr ein einschlägiges |Forschungszentrum der Harvard-Universität|, hier scheint den |Druck vor allem Meta| ausgeübt zu haben. Der noch junge Forschungszweig steht |schwer unter Beschuss|: In einem anderen Fall haben es republikanische Politiker:innen sogar bis |vor den Supreme Court geschafft|, nur um staatliche Stellen – letztlich vergeblich – davon abzuhalten, etwas gegen Desinformation zu unternehmen.

Eingeknickt sind jedoch |nicht alle|: Weiterhin veröffentlicht etwa das Center for an Informed Public der Universität Washington aktuelle |Analysen rund um irreführende Propaganda im Netz|. Darin zeigt das Forschungsteam beispielsweise, wie Demokratie schädigende Gerüchte über die Legalität der Kandidatur von Kamala Harris den Sprung aus sozialen Medien über Blogs bis ins Kabel-TV geschafft haben.

Nicht alle Lügen sind gleich

Nun ist nicht jede Lüge gleichwertig oder gefährlich. Ein Sex-Witzchen, das einen reaktionären Spitzenpolitiker auf die Schippe nimmt und dabei |vermeintlich präzise Quellenangaben| mitliefert, ist etwas fundamental anderes als etwa |gezielt geschürter Hass gegen ganze Menschengruppen|, den zu |rechtsextremen Propagandaschleudern umgebaute Online-Dienste wie X| anfachen.

Das zu unterscheiden sollte mit einem Mindestmaß an Medienkompetenz möglich sein, würde man meinen. Und dass Faktenchecks genauso gut |nach hinten losgehen| wie helfen können, sollte inzwischen auch bei der AP angekommen sein. Offenkundig wird aber: Die Debatte rund um Desinformation steht noch ganz am Anfang. Auch wenn sie manche schon im Keim ersticken wollen.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|GCP 3D|

|Witz in sozialen Medien|

|wie ein Lauffeuer|

|Faktencheck der Nachrichtenagentur AP|

|erster Wahlkampfrede erwähnt|

|unablässigen Lügen-Bombardements durch Donald Trump|

|freuen sich viele|

|konservativen Kommentatoren|

|nicht gefällt|

|beschwerte sich ein Kolumnist|

|mutmaßt die ehemalige Mitarbeiterin Sarah Roberts|

|Chef nun höchstpersönlich|

|Faktenchecks in sozialen Medien vermissen|

|nicht wirklich ein Veteran|

|„Swiftboating“|

|ethnische Identität von Kamala Harris in Frage|

|systematischen Angriff|

|Abteilung drastisch zusammengekürzt|

|umfassende Abfragen des von den Republikanern geführten Repräsentantenhauses|

|Forschungszentrum der Harvard-Universität|

|Druck vor allem Meta|

|schwer unter Beschuss|

|vor den Supreme Court geschafft|

|nicht alle|

|Analysen rund um irreführende Propaganda im Netz|

|vermeintlich präzise Quellenangaben|

|gezielt geschürter Hass gegen ganze Menschengruppen|

|rechtsextremen Propagandaschleudern umgebaute Online-Dienste wie X|

|nach hinten losgehen|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Konferenz „Bildet Netze!“: Hier ist das Programm!

Thu, 08 Aug 2024 10:43:54 +0000

netzpolitik.org

Auf gleich drei Bühnen wird es Vorträge und Workshops geben. Gleich zu Beginn des Konferenztages haben wir die Themen Datenbroker, Digitalen Kolonialismus und 40 Jahre Hackerethik im Angebot. Am Nachmittag geht es dann unter anderem um Künstliche Intelligenz in der Schule, Überwachung durch die Bundeswehr und Abschottungstechnologien an den Grenzen.

Darüber hinaus werden wir den politischen Einfluss von Memes und Katzenvideos beleuchten, den Weg von OpenStreetMap nachzeichnen und den Geschmack grüner Technik verfeinern.

Und natürlich werden wir auch die ganz großen Fragen verhandeln: Wie sieht die Vision eines post-kapitalistischen Netzes aus? Wie gelangen wir zu einer solidarischen digitalen Gesellschaft – gerade jetzt, wenn zahlreiche Staaten Grundrechte aushöhlen und Rechtsradikale nach der politischen Macht greifen?

|Direkt zum Programm geht es hier entlang|.

Ihr alle seid Teil des Programms!

Bei alledem soll eines nicht zu kurz kommen: das Vernetzen! Der Lichthof der Alten Münze bietet viel Raum für geplante und spontane Vernetzung. Geplant sind etwa ein zivilgesellschaftliches Speeddating im Broadcast-Format, ein Verknüpfungstreffen gegen Tech-Macht sowie ein „Sweet Networking“. Außerdem findet ihr im Lichthof eine Ausstellung mit Fotografien zum digitalen „Öffentlichen Raum“.

Und am Ende des Tages wollen wir auch feiern: Seit 20 Jahren gibt es netzpolitik.org! Den Konferenztag lassen wir daher mit einer großen Party ausklingen. Mehr Infos dazu folgen.

Klingt gut? Dann freuen wir uns, wenn ihr bei unserer Vernetzungskonferenz am 13. September in Berlin dabei seid!

Alle Infos zur Anmeldung findet ihr |auf der Konferenz-Website|!

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|Direkt zum Programm geht es hier entlang|

|auf der Konferenz-Website|

|Wikimedia Deutschland|

|Chaos Computer Club|

|Kongressfond für nachhaltiges Tagen|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Kamala Harris und Tim Walz: Was die US-Demokraten netzpolitisch bewegen könnten

Wed, 07 Aug 2024 15:20:37 +0000

Tomas Rudl

Nun ist es fix: Neben der Spitzenkandidatin und bisherigen US-Vizepräsidentin Kamala Harris wird der Gouvernour von Minnesota, Tim Walz, für die Demokraten ins Rennen um die US-Präsidentschaft ziehen. Final absegnen soll das Wahlkampfteam der Parteitag der Demokraten in zwei Wochen, der diesmal in Chicago stattfindet.

Netzpolitische Themen werden bei dieser Richtungswahl eher weniger im Vordergrund stehen, dazu steht zu viel auf dem Spiel. Neben der Demokratie an sich werden etwa Grundrechte von Frauen und Minderheiten den Wahlkampf dominieren, das wurde spätestens gestern Abend beim |ersten öffentlichen Auftritt von Harris und Walz| deutlich – Rechte, die von republikanischer Seite und dem Team von Donald Trump und seinem |Vize-Kandidaten J.D. Vance| offen in Frage gestellt werden.

Dennoch lohnt ein Blick auf die netzpolitischen Positionen des demokratischen Wahlkampf-Duos: Sollten sie im November die Wahl gewinnen, warten viele Digital-Baustellen auf sie. Wie viele davon sie angehen können, hängt indes auch von den gleichzeitig stattfindenen Kongresswahlen ab – und letztlich auch vom rechtslastigen Supreme Court, der zuletzt |immer mehr Macht an sich gezogen| hat.

Tech-Lobbyisten wollen mitreden

Ein potenzieller Konfliktherd deutet sich jetzt schon an. So wollen etwa manche Großspender aus der Tech-Branche, darunter der |LinkedIn-Mitgründer Reid Hoffman|, am liebsten die |progressive Lina Khan| loswerden. Mit ihrem Einsatz für faire Wettbewerbsbedingungen und Verbraucher:innenrechte hat sich die von Joe Biden zur Chefin der Wettbewerbsbehörde FTC (Federal Trade Commission) ernannte Juristin viele Feinde in der Wirtschaftswelt geschaffen.

Unter Berufung auf einen anonymen Spender soll sich der |New York Times zufolge| Harris „skeptisch“ ob Khans weitreichender Sicht auf Kartellbefugnisse gezeigt haben. Dabei ist es gut möglich, dass es sich bei dem unbestätigten Bericht um Theaterdonner gehandelt hat: CNN gegenüber hat das Wahlkampfteam von Harris bereits angegeben, |keine Personaldebatten über einen möglichen Austausch Khans| geführt zu haben.

Regulierungsbehörden vs. Gerichte

Vermutlich wäre bei einem Wahlerfolg von der aus Kalifornien stammenden Harris eher Kontinuität zur bisherigen Politik von Amtsinhaber Joe Biden angesagt als ein überraschender Rechtsruck. Dafür spricht nicht zuletzt die Entscheidung für den demonstrativ progressiven Tim Walz als Vize-Kandidaten. Unmittelbar ablesen ließe sich das bei der Besetzung von Posten in Regulierungsbehörden, wo Präsident:innen mehr Handlungsspielraum besitzen als in anderen Bereichen. Neben der FTC wäre dies auch bei der Telekom-Aufsicht FCC (Federal Communications Commission) relevant, der derzeit Jessica Rosenworcel vorsitzt.

Als langjährige |Verfechterin von Netzneutralität würde Harris| die bis Mitte 2025 bestellte Rosenworcel wohl beibehalten. Damit allein wäre es aber nicht getan: Als Folge einer |wegweisenden Entscheidung des Supreme Courts von Ende Juni| haben bei rechtlich nicht einwandfrei geregelten Streitigkeiten nicht mehr Regulierungsbehörden, sondern der Kongress beziehungsweise Gerichte das letzte Wort.

Diese Muskeln haben Gerichte bereits spielen lassen. Die im Frühjahr |wieder eingeführten FCC-Regeln zur Netzneutralität| hat vor wenigen Wochen ein |Berufungsgericht vorerst auf Eis gelegt|. Wer auch immer die Präsidentschaft gewinnt: Der von rechter Seite betriebene Angriff auf den sogenannten „administrativen Staat“, der sich im höchstrichterlichen Urteil widerspiegelt, dürfte |weitreichende Auswirkungen auf sämtliches Regierungshandeln| haben, ob bei der Regulierung von Netzbetreibern, Traktorherstellern oder bei der Ausstellung von Arbeitsvisa für Tech-Arbeiter:innen.

Fortwährender Kampf ums Providerprivileg

Einen Namen hat sich Harris in ihrer Zeit als |kalifornische Generalstaatsanwältin bei der Bekämpfung von Rachepornos| im Netz gemacht. Dabei musste sie sich von Kritiker:innen vorwerfen lassen, am |Providerprivileg gesägt zu haben|, welches Online-Dienste von der direkten Haftung für Inhalte auf ihren Plattformen ausnimmt.

Im Kongress führte sie diese Arbeit fort und stimmte für das |FOSTA/SESTA-Gesetzespaket|, das diese Haftungsfreiheit punktuell aufhebt. Zum |Kollateralschaden des Gesetzes| gegen illegalen Sex- und Menschenhandel wurden |potenziell anzügliche Inhalte| auf Diensten wie Tumblr oder Instagram, die sich seitdem für weniger statt mehr Nacktheit entschieden haben.

Fest steht jedenfalls, dass das im Abschnitt 230 des Communications Decency Act geregelte Providerprivileg |anhaltender Zankapfel in der US-Innenpolitik| bleiben wird. Hierbei könnte sich insbesondere eine von den Demokraten geführte Regierung durchaus vom |europäischen Digital Services Act inspirieren lassen|, der das bisherige Haftungsregime im Großen und Ganzen unangetastet gelassen hat.

Notlösung Gerichtsverfahren

Doch wie schon Biden |will Harris generell Online-Anbieter mehr in die Pflicht| nehmen. Im letzten Präsidentschaftswahlkampf vor vier Jahren brachte sie etwa eine |Zerschlagung von Facebook ins Spiel| – bislang ohne merkliche Ergebnisse. Indes hat dies auch mit dem leicht zu blockierenden Kongress zu tun sowie den langsam mahlenden Mühlen des Justizsystems, das bisweilen als |Alternative zu vergeblichen legislativen Anläufen| herhalten muss: Bereits seit Ende 2020 dreht etwa ein von der |FTC angestrengtes Gerichtsverfahren gegen Meta| seine Runden, das dem Social-Media-Riesen die illegalen Übernahme von Instagram und WhatsApp unterstellt.

Von diesen noch offenen Verfahren, die sich gegen die Macht von Big-Tech richten, gibt es |derzeit eine ganze Reihe|. So hat die FTC neben Meta auch Amazon verklagt, zur Verhandlung kommt die Kartellrechtsklage allerdings erst Ende 2026. In die gleiche Richtung weisen mehrere Klagen des US-Justizministeriums, das unter anderem Apple und Google wettbewerbsfeindliches Verhalten vorwirft. In einem separaten Fall hat es erst diese Woche ein aufsehenerregendes Urteil gegeben: Ein |Bundesgericht hat Google zum Monopolisten| erklärt – mit noch |nicht ganz absehbaren Folgen|.

Erste Schrittchen bei der KI-Regulierung

In Erscheinung ist Harris zudem bei der in den USA noch zaghaften Regulierung sogenannter Künstlicher Intelligenz (KI) getreten. Als Vizepräsidentin leitete die 59-Jährige etwa mehrere |runde Tische mit Industrievertretern| wie Satya Nadella von Microsoft, Sundar Pichai von Google oder Sam Altman von OpenAI – ohne |Vertreter:innen der Zivilgesellschaft| wie die Gewerkschaftschefin Liz Shuler oder die Bürgerrechtlerin Maya Wiley aus den Augen zu verlieren.

Letztlich herausgekommen ist eine Blaupause dafür, wie sich |Grundrechte in einer von KI geprägten Welt| durchsetzen ließen. Zudem regelt nun eine |Durchführungsverordnung des Weißen Hauses| den Einsatz von KI-Systemen durch Bundesbehörden. Diese soll sicherstellen, dass dabei nicht nur Wettbewerbsfragen, sondern auch grundlegende Rechte von Arbeitnehmer:innen und Bürger:innen berücksichtigt werden.

Im Bereich der nationalen Sicherheit hat sich Harris bislang nicht sonderlich profiliert, wobei ihr etwa |Verteidigungsminister Lloyd Austin kürzlich öffentlich Blumen gestreut| und dabei ihre Kompetenz betont hat. Auf Kontinuität der bisherigen Biden-Politik deutet zudem ein |offener Brief dutzender Ex-Beamt:innen aus dem Sicherheitsbereich| hin: Ihnen zufolge weise Harris mehr Kompetenz in dem Bereich auf als die vier Amtsvorgänger Bidens.

Walz setzt auf Investitionen und Datenschutz

In netzpolitischen Fragen ein noch wenig beschriebenes Blatt ist hingegen der Vizepräsidentschaftskandidat Tim Walz, selbst wenn der ehemalige |Schullehrer keine Berührungsängste zu Technik| hat. In seinen zwölf Jahren als Abgeordneter im Repräsentantenhaus hat er sich vor allem für eine bessere Gesundheitsvorsorge und für Rechte von Arbeitnehmer:innen eingesetzt.

Als Gouverneur von Minnesota hat der aus Nebraska stammende 60-Jährige seit seiner Wahl im Jahr 2019 eine für US-Verhältnisse betont progressive Agenda verfolgt, zuletzt mit dem Rückenwind einer demokratischen Mehrheit in beiden Häusern des Landesparlaments. Ein gesetzlich festgeschriebenes Recht auf Abtreibung, bezahlte Urlaubszeiten, Investitionen in Umweltschutz, |Infrastruktur und digitale Verwaltung| zählten zu einigen Schwerpunkten der |„folgenreichsten Legislaturperiode in der Geschichte des Bundesstaates“|.

Menschen aus Minnesota bekommen zudem mehr Rechte als viele andere US-Amerikaner:innen, was ihre persönlichen Daten angeht: Datenhändler dürfen personenbezogene Daten von Nutzer:innen aus Minnesota künftig nicht gegen deren Willen für gezielte Werbung verwenden, wenn der kürzlich beschlossene |Minnesota Consumer Data Privacy Act| nächstes Jahr wirksam wird. Das Datenschutzniveau wäre dann |grob vergleichbar| mit jenem des traditionell auf Privatsphäre bedachten Kaliforniens – wozu nicht zuletzt |Harris ihren Teil als Ex-Justizministerin beigetragen| hat.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|IMAGO / TheNews2|

|ersten öffentlichen Auftritt von Harris und Walz|

|Vize-Kandidaten J.D. Vance|

|immer mehr Macht an sich gezogen|

|LinkedIn-Mitgründer Reid Hoffman|

|progressive Lina Khan|

|New York Times zufolge|

|keine Personaldebatten über einen möglichen Austausch Khans|

|Verfechterin von Netzneutralität würde Harris|

|wegweisenden Entscheidung des Supreme Courts von Ende Juni|

|wieder eingeführten FCC-Regeln zur Netzneutralität|

|Berufungsgericht vorerst auf Eis gelegt|

|weitreichende Auswirkungen auf sämtliches Regierungshandeln|

|kalifornische Generalstaatsanwältin bei der Bekämpfung von Rachepornos|

|Providerprivileg gesägt zu haben|

|FOSTA/SESTA-Gesetzespaket|

|Kollateralschaden des Gesetzes|

|potenziell anzügliche Inhalte|

|anhaltender Zankapfel in der US-Innenpolitik|

|europäischen Digital Services Act inspirieren lassen|

|will Harris generell Online-Anbieter mehr in die Pflicht|

|Zerschlagung von Facebook ins Spiel|

|Alternative zu vergeblichen legislativen Anläufen|

|FTC angestrengtes Gerichtsverfahren gegen Meta|

|derzeit eine ganze Reihe|

|Bundesgericht hat Google zum Monopolisten|

|nicht ganz absehbaren Folgen|

|runde Tische mit Industrievertretern|

|Vertreter:innen der Zivilgesellschaft|

|Grundrechte in einer von KI geprägten Welt|

|Durchführungsverordnung des Weißen Hauses|

|Verteidigungsminister Lloyd Austin kürzlich öffentlich Blumen gestreut|

|offener Brief dutzender Ex-Beamt:innen aus dem Sicherheitsbereich|

|Schullehrer keine Berührungsängste zu Technik|

|Infrastruktur und digitale Verwaltung|

|„folgenreichsten Legislaturperiode in der Geschichte des Bundesstaates“|

|Minnesota Consumer Data Privacy Act|

|grob vergleichbar|

|Harris ihren Teil als Ex-Justizministerin beigetragen|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Digitale Brieftasche: Zivilgesellschaft und IT-Fachleute schlagen Alarm

Wed, 07 Aug 2024 12:00:56 +0000

Daniel Leisegang

Schon bald sollen alle EU-Bürger:innen über eine digitale Brieftasche verfügen, mit der sie sich online wie offline ausweisen können. Das größte digitalpolitische Projekt der Europäischen Union befindet sich derzeit in der Umsetzung.

Doch nun warnen knapp 30 Nichtregierungsorganisationen und gut ein Dutzend IT-Sicherheitsfachleute |in einem offenen Brief| eindringlich davor, dass die EU dabei einen gefährlichen Irrweg einschlägt.

Unterzeichnet haben den Brief unter anderem |epicenter.works|, Access Now, European Digital Rights (EDRi), Digitalcourage und die European Sex Workers‘ Rights Alliance.

|Sie fordern| „die verantwortlichen EU-Politiker:innen auf, einen Schritt zurückzutreten und die technischen Anforderungen für die europäische eID zu überdenken – ein großes System, das die sensibelsten Bildungs-, Gesundheits- und Finanzdaten der EU-Bürger:innen speichern und verarbeiten soll“.

Die Kritik entzündet sich vor allem an drei Punkten: erstens an der Aushöhlung von Pseudonymen, zweitens an der unsicheren Verschlüsselung und drittens an unzureichenden Datenschutzanforderungen.

Drei zentrale Kritikpunkte

Die eIDAS-Reform sieht vor, dass Nutzer:innen der digitalen Brieftasche immer dann ein Pseudonym verwenden können, wenn sie nicht dazu verpflichtet sind, ihre legale Identität preiszugeben.

Der Umsetzungsentwurf sieht jedoch vor, dass Strafverfolgungsbehörden diese Pseudonyme rückwirkend auf ihre rechtliche Identität zurückführen können. Diese „Hintertür“ widerspreche eindeutig den rechtlichen Vorgaben, kritisieren die Unterzeichnenden.

Zudem sollen für die digitale Brieftasche Verschlüsselungsverfahren eingesetzt werden, die nicht den Anforderungen der eIDAS-Reform entsprechend. Diese seien veraltet und entsprächen nicht dem Stand der Technik, heißt es in dem offenen Brief. Er greift damit |die Kritik der Kryptografen| von Mitte Juni auf. Nach Ansicht der Fachleute lässt sich dieses Problem nur beheben, wenn grundlegend andere kryptografische Lösungen zum Einsatz kommen.

Schließlich weisen die Unterzeichnenden darauf hin, dass die aktuellen Datenschutzanforderungen wesentliche Vorgaben der Verordnung „völlig ignorieren“. Dazu gehören die Unverknüpfbarkeit, die Unbeobachtbarkeit und der sogenannte Zero Knowledge Proof (zu Deutsch: Null-Wissen-Beweis).

Unbeobachtbarkeit bedeutet, dass Wallet-Anbieter die in den Wallets gespeicherten Daten weder einsehen noch sammeln dürfen. Nur die Nutzer:innen sollen der Wallet entnehmen können, welche Transaktionen sie getätigt haben. Das Prinzip der Unverknüpfbarkeit besagt, dass verschiedene Identifizierungsvorgänge nicht zusammengeführt werden dürfen – zum Beispiel, um so das Kaufverhalten über verschiedene Einkäufe hinweg nicht nachvollziehen zu können.

Mit Hilfe des Zero Knowledge Proofs können Nutzer:innen Angaben zu ihrer Identität bestätigen, ohne persönliche Informationen über sich preiszugeben. Beispielsweise könnten sie gegenüber einem Anbieter nachweisen, dass sie volljährig sind, ohne zusätzlich ihr Geburtsdatum preiszugeben.

Warnung vor rechtlichen Schritten

Angesichts dieser Probleme fordert der offene Brief, dass die EU sich mehr Zeit für die Umsetzung nimmt. „Um die Bürger:innen zu schützen und die notwendigen Schutzmaßnahmen sorgfältig umzusetzen, bedarf es realistischer Fristen“, mahnen die Unterzeichnenden.

Sollte die EU die gesetzlich vorgeschriebenen Datenschutzgarantien der eIDAS-Verordnung nicht umsetzen, würde die digitale Brieftasche die EU-Bürger:innen nur unzureichend vor Tracking, staatlicher Überwachung, Überidentifizierung sowie Betrug und Identitätsdiebstahl schützen. In diesem Fall, so die Unterzeichnenden, müsse die Öffentlichkeit vor der digitalen Brieftasche der EU gewarnt werden.

Außerdem behalten sich die Organisationen vor, „jeden Durchführungsrechtsakt, der gegen die zugrundeliegende eIDAS-Verordnung verstößt, vor dem Europäischen Gerichtshof anzufechten“.

eIDAS-Reform: Digitale Brieftasche für alle EU-Bürger:innen

Die eIDAS-Reform trat im Mai dieses Jahres in Kraft. Sie baut auf einer Regulierung aus dem Jahr 2014 auf; die Abkürzung eIDAS steht für „Electronic IDentification, Authentication and Trust Services“.

Die neue Verordnung sieht vor, dass alle EU-Mitgliedstaaten ihren Bürger:innen bis zum Herbst 2026 eine sogenannte „European Digital Identity Wallet“ (EUDI-Wallet) anbieten müssen.

Die Wallet soll laut EU-Verordnung freiwillig, kostenlos und vor allem sicher sein. Außerdem sollen die Nutzer:innen transparent darüber bestimmen können, welche Daten sie an wen weitergeben.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|Kevin Clyde Berbano|

|in einem offenen Brief|

|epicenter.works|

|Sie fordern|

|die Kritik der Kryptografen|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Russland setzt sich bei UN-Cybercrime-Konvention durch: „Ein gefährliches globales Überwachungsabkommen“

Wed, 07 Aug 2024 09:22:42 +0000

Constanze

Noch laufen die |Verhandlungen in New York|, doch es sieht nicht gut aus für die Menschenrechte: Die geplante UN-Konvention über Cyberkriminalität droht zu einem politischen Debakel zu werden. Ausgerechnet Russland könnte ein Zustandekommen als Erfolg für sich verbuchen.

Denn herausgekommen ist ein Vertragstext zur Cyberkriminalität, der weit über das Ziel hinausschießt und weitreichende Überwachungsbefugnisse mit unzureichenden Schutzmaßnahmen enthält. Er gibt Machthabern noch mehr Möglichkeiten, repressiv gegen politische Gegner und unliebsame Journalisten vorzugehen.

Die |aktuelle Version des Vertrags| wurde am Dienstagabend (Ortszeit) in New York von der Diplomatin und Vorsitzenden der Verhandlungsarbeitsgruppe, Faouzia Boumaiza Mebarki aus Algerien, an die Delegationen der Staaten übergeben. In den Hauptstädten der Mitgliedsstaaten muss nun noch die Zustimmung für den |Entwurf der Resolution für die Generalversammlung| eingeholt werden. Dann könnte der Vertragstext am Freitag verabschiedet werden.

Nicht einmal Mindeststandards bei Menschenrechten und Datenschutz

Die geplante UN-Konvention mit dem offiziellen Namen „International Convention on Countering the Use of Information and Communication Technologies for Criminal Purposes“ (Konvention zur Bekämpfung des Einsatzes von Informations- und Kommunikationstechnologien für kriminelle Zwecke) soll für alle 193 UN-Mitgliedsstaaten verbindlich werden. Die Vereinten Nationen stehen unmittelbar vor der Verabschiedung dieses Vertrags, der nahezu weltweit gelten soll, aber schon im Vorfeld heftig kritisiert wird.

Denn er verfehle Mindeststandards bei den Menschenrechten und beim Datenschutz, bemängeln Vertreter der Zivilgesellschaft, die den Verhandlungen beiwohnen. Das International Press Institute (IPI) fordert sowohl die EU als auch die Vereinigten Staaten auf, |dieses „gefährliche globale Überwachungsabkommen“ abzulehnen|. Der aktuelle Entwurf des UN-Vertrages sei ein „übermäßig weit gefasstes, vages Gesetz“ zur Cyberkriminalität, das allzu leicht missbraucht werden könne.

Mehr als zwanzig internationale zivilgesellschaftliche Organisationen, darunter Privacy International, Access Now, das IPI sowie European Digital Rights als Dachorganisation vieler europäischer NGOs hatten im Vorfeld der jetzigen Verhandlungen an die Delegierten der EU-Staaten und auch an die Europäische Kommission appelliert, die zahlreichen Mängel des Vertrages noch zu beheben. In |einem offenen Brief| warnten sie davor, einen Vertragstext ohne deutliche Nachbesserungen zu beschließen. Andernfalls müsse die Notbremse gezogen und der Vertrag abgelehnt werden. Der Brief an die EU-Delegierten hatten allerdings keinen großen Einfluss auf die Verhandlungen.

Denn die Mängel wurden offensichtlich nicht behoben: Hochumstrittene Überwachungsbefugnisse mit stark eingreifendem Charakter, darunter die Echtzeiterfassung von Telekommunikationsverkehrsdaten und das Abfangen von Kommunikationsinhalten, blieben im Vertragstext. Das bedeutet, dass die UN-Mitgliedsstaaten durch die Konvention verpflichtet würden, solche Überwachungsmaßnahmen für ein sehr breites Spektrum von Straftaten durchzuführen. Darunter sind auch Straftaten, die nicht schwerwiegend sind. Ein klares Erfordernis zu einer vorherigen richterlichen Genehmigung, die in der Regel die Rechtmäßigkeit, Erforderlichkeit und Verhältnismäßigkeit der Maßnahmen prüft, bestünde hingegen nicht.

Dies birgt erhebliche Missbrauchsrisiken durch die eingriffsintensiven Überwachungsbefugnisse und massiven Datenerfassungen, die zu willkürlichen Verletzungen des Rechts auf Privatsphäre führen können. In vielen UN-Mitgliedsstaaten gibt es kaum oder gar keine rechtlichen Instrumente, um diese Risiken zu verhindern oder auch nur abzumildern.

|Mangelhaft und gefährlich|

Ein „entscheidender Moment für die Menschenrechte im digitalen Zeitalter“

Diese Einschätzung teilt auch das Büro des Hohen Kommissars für Menschenrechte (OHCHR), das in seiner |Stellungnahme vom Juli| auf erhebliche Defizite am Vertragstext hinweist. Viele der Bestimmungen würden „internationalen Menschenrechtsstandards nicht gerecht“.

Die aktuelle letzte Verhandlungsrunde sieht das OHCHR als „entscheidenden Moment für die Menschenrechte im digitalen Zeitalter“. Der Kampf gegen Cyberkriminalität müsse „Hand in Hand mit der Wahrung und Förderung der Menschenrechte“ gehen. Das OHCHR appellierte an alle Verhandlungsparteien, „alle Anstrengungen zu unternehmen, um sicherzustellen, dass der neue Vertrag die Menschenrechte in den gesamten Text integriert“ und sich strikt an internationalen Rechtsgrundsätzen orientiert. Dazu hat das OHCHR eine lange Liste an Verbesserungsvorschlägen vorgelegt.

Doch das Übereinkommen bleibt weit hinter den Forderungen zurück. Es enthält auch weiterhin keinen ausreichenden Schutz für diejenigen, die ohne kriminelle Absichten an und mit IT-Sicherheitswerkzeugen arbeiten: IT-Sicherheitsforschern, ethischen Hackern, Whistleblowern, Aktivisten und auch Journalisten droht eine übermäßige Kriminalisierung. Ihre Arbeit wäre potentiell der Gefahr der Strafverfolgung ausgesetzt.

Auch darauf weisen zahlreiche Organisationen schon seit Monaten hin. Zu Beginn des Jahres hatte die US-amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) zusammen mit 124 weiteren Unterzeichnern ein |ausführliches Dokument| zum geplanten UN-Übereinkommen veröffentlicht und an die Verhandler gesendet. Darin fordern sie Schutzmaßnahmen für Programmierer und Hacker. Fast die gesamte weltweite IT-Sicherheitsforschungs-Community hatte sich zusammengefunden, um ihre Kritik zu formulieren. Doch auch diese Forderungen blieben weitgehend unberücksichtigt.

Voller Erfolg für Russland

Seit 2022 verhandeln die Vereinten Nationen über die geplante Konvention zur Bekämpfung der Cyberkriminalität. Russland hatte die ursprüngliche Idee für die Konvention schon im Jahr 2017 und dann zwei Jahre später erfolgreich in der UNO-Generalversammlung auf den Weg gebracht.

Tanja Fachathaler verfolgt die Verhandlungen als Teil der Zivilgesellschaft seit Beginn aktiv und ist auch aktuell in New York dabei. Sie ist Policy Advisor beim österreichischen Verein epicenter.works und brachte zusammen mit Partnerorganisationen in den Verhandlungsrunden zahlreiche Verbesserungsvorschläge ein. Fachathaler betont, dass der Vertrag nur noch dem Namen nach eine Konvention gegen Computerkriminalität ist. Vielmehr handele es sich faktisch um einen Vertrag, der einen umfassenden Zugang zu Daten schaffe – und zwar für weit mehr Straftaten als die, die üblicherweise zur Computerkriminalität im engeren Sinne gezählt werden.

Ihre Einschätzung aus der letzten Verhandlungsrunde ist eindeutig: Das Ergebnis sei „ein voller Erfolg für Russland“, das nicht nur seinen Konventionsvorschlag in den Vertragsverhandlungen bei den Vereinten Nationen durchgesetzt, sondern nun noch weitere Konventionsvorschläge zur Regulierung des Internets im Köcher habe. Unterstützt wird Russland in den Vereinten Nationen von China und dem Iran, aber auch von vielen Entwicklungsländern. Da jeder Staat eine Stimme hat, ist diese Unterstützung in der Generalversammlung wichtig.

In Russland, aber auch in anderen autoritären Staaten ohne ausreichenden Schutz könnten repressive Maßnahmen gegen politische Gegner oder Journalisten durch den UN-Vertrag legitimiert werden. Das geplante Übereinkommen würde es Staaten wie Russland auch ermöglichen, im Ausland gespeicherte Daten zu Personen anzufordern, um sie als elektronische Beweismittel in Strafverfahren zu verwenden. Eine zwingende Regelung, die das nur bei Straftaten vorsieht, die auch in beiden Staaten als Straftaten in Gesetzen stehen, ist dabei nicht vorgesehen. Wenn etwa Russland Oppositionelle oder Journalisten als Extremisten verfolgt und ihnen absurde Straftaten vorwirft, könnte es sich künftig auf die UN-Konvention berufen und Daten aus dem Ausland anfordern.

Das IPI fordert daher die USA und die EU „mit Nachdruck“ auf, „die grundlegenden Menschenrechte, auf die Journalisten in aller Welt angewiesen sind, um ihre Arbeit frei und sicher ausüben zu können, nicht um des Konsenses willen zu gefährden“. Man dürfe sich nicht „mitschuldig machen an der Verfolgung von Journalisten und Dissidenten durch repressive Regime“, so das IPI.

Auch Fachathaler erklärt gegenüber netzpolitik.org, sie sei als Vertreterin der Zivilgesellschaft „weiterhin alarmiert über die eklatanten Lücken und offenen Risiken“, die der neue Vertrag mit sich bringe. Sie stellt fest: „Unsere wiederholten Forderungen nach einer Konvention, welche die internationalen Menschenrechtsnormen angesichts der beispiellosen Überwachungsbefugnisse der Strafverfolgungsbehörden respektiert und schützt, sind weitgehend ungehört geblieben.“ Die entsprechenden Bestimmungen seien sogar noch weiter verwässert worden.

Noch sei es aber nicht zu spät für die Staaten, das Richtige zu tun und einige der gravierendsten Mängel des Textes zu korrigieren“, so Fachathaler. Sollte dies nicht geschehen, „fordern wir die Staaten dringend auf, diesen gefährlichen Vertrag nicht anzunehmen“.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|CC-BY 2.0|

|ishmael daro|

|Verhandlungen in New York|

|aktuelle Version des Vertrags|

|Entwurf der Resolution für die Generalversammlung|

|dieses „gefährliche globale Überwachungsabkommen“ abzulehnen|

|einem offenen Brief|

|Mangelhaft und gefährlich|

|Stellungnahme vom Juli|

|Cybercrime|

|ausführliches Dokument|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Letzte Generation: Gericht weist Journalisten-Beschwerden wegen abgehörten Pressetelefons zurück

Wed, 07 Aug 2024 08:58:46 +0000

Anna Biselli

Ab Oktober 2022 bis April 2023 hatte die bayerische Polizei |mehrere Telefone der Gruppe Letzte Generation abgehört|. Darunter war auch das offizielle Pressetelefon der Klima-Aktivist*innen. Dementsprechend betrafen die Abhörmaßnahmen auch Medienschaffende, die sich mit ihren Fragen an die Letzte Generation wandten.

Gegen diesen Eingriff in die Pressefreiheit |wehrten sich unter anderem Reporter ohne Grenzen (RSF) und die Gesellschaft für Freiheitsrechte (GFF)| gemeinsam mit betroffenen Journalisten. Im November 2023 bestätigte das Amtsgericht München die Maßnahme als rechtmäßig. Jörg Poppendieck vom RBB und Jan Heidtmann von der SZ beschwerten sich daraufhin gemeinsam mit den beiden Organisationen beim Landgericht München I. Nun |wies auch diese Instanz die Beschwerden zurück|.

Die Niederlage empört die Beschwerdekoordinatoren. „Journalist*innen müssen gerade auch bei Recherchen zu kontroversen Protestformen vertrauliche Gespräche führen können, ohne damit rechnen zu müssen, dass die Sicherheitsbehörden mithören“, so der Jurist Benjamin Lück von der GFF. Der Eingriff in Fernmeldegeheimnis und Pressefreiheit sei hier nicht gerechtfertigt.

Pressefreiheit unzureichend berücksichtigt

Schon zuvor war kritisiert worden, dass gerade die Pressefreiheit bei der ursprünglichen Anordnung nicht erwähnt worden sei. „Die Pressefreiheit und in diesem Fall das Fernmeldegeheimnis hätten daher bei den strafrechtlichen Ermittlungen schon vom Amtsgericht unbedingt besonders berücksichtigt werden müssen“, so Nicola Bier von RSF. Nun habe das Landgericht München I die Abhörmaßnahme immerhin als einen tiefgreifenden Eingriff in die Pressefreiheit bezeichnet, sie aber dennoch als verhältnismäßig eingestuft. Die Beschwerdeführer prüfen nun gemeinsam mit GFF und RSF weitere rechtliche Schritte.

Neben den Beschwerdeführern von GFF und RSF war auch der Bayerische Journalistenverband |gegen die Abhörmaßnahme vorgegangen|. Journalist*innen haben bei Abhörmaßnahmen eigentlich einen besonderen Schutz. Sie dürfen bei ihrer beruflichen Tätigkeit |nur dann abgehört werden|, wenn es um Straftaten von erheblicher Bedeutung geht. Zwar wurden nicht die betroffenen Medienschaffenden direkt abgehört, durch das Abhören des Pressetelefons war jedoch klar, dass viele Journalist*innen zu den Betroffenen der Maßnahme gehören würden.

Bei den Ermittlungsmaßnahmen ging es um den Anfangsverdacht, die Letzte Generation habe eine kriminelle Vereinigung gebildet. Ob ein solcher Anfangsverdacht berechtigt ist, wird unterschiedlich ausgelegt. In Berlin etwa wurde dies verneint, das |Amtsgericht München| oder die |Staatsanwaltschaft Neuruppin| sehen dies anders. Mehrere Rechtsfachleute |kritisierten diese Einschätzung|.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|CC-BY 2.0|

|Stefan Müller|

|mehrere Telefone der Gruppe Letzte Generation abgehört|

|wehrten sich unter anderem Reporter ohne Grenzen (RSF) und die Gesellschaft für Freiheitsrechte (GFF)|

|wies auch diese Instanz die Beschwerden zurück|

|gegen die Abhörmaßnahme vorgegangen|

|nur dann abgehört werden|

|Amtsgericht München|

|Staatsanwaltschaft Neuruppin|

|kritisierten diese Einschätzung|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

Bewertungen bei Google Maps: Wo Politiker*innen Urlaub machen

Tue, 06 Aug 2024 12:56:44 +0000

Nora Nemitz

Google Reviews ist die beliebteste Bewertungsplattform im Internet. Google Maps verzeichnete im Jahr 2023 etwa eine Milliarde aktive Nutzer. Viele von ihnen schreiben Bewertungen über ihren Supermarkt um die Ecke oder die Hotels, in denen sie zuletzt Urlaub gemacht haben.

In der Regel haben diese Bewertungen eine persönliche Note: Einige private Details werden in den geschriebenen Bewertungen mitgeteilt, zum Beispiel, wie lange man zu einem Restaurant braucht oder welche gesundheitlichen Probleme die Person hat. Wenn man auf das Google-Profil des Accounts klickt, ist es nicht unwahrscheinlich, dass man alle anderen Bewertungen der Person ausfindig machen kann. Dadurch erfährt man, welche Vorlieben die Person hat, welche Dinge sie nicht leiden kann, wo sie zuletzt im Urlaub war und an welchen Orten sie sich häufig aufhält.

Durch oft geteilte Bilder oder das Profilbild des Accounts erfährt man auch in den meisten Fällen, wie die Person oder sogar ihre ganze Familie aussieht. Manchmal kann man auf geteilten Bildern beobachten, wie die Kinder heranwachsen.

Politiker*innen in Google-Bewertungen

Viele Menschen nutzen für den Account ihren Klarnamen inklusive Bild, was einem interessierten Dritten nach kurzer Google-Suche noch viel mehr über die Person verrät. Genauso verhält es sich auch bei einigen Politiker*innen. Schaut man beispielsweise die Google-Bewertungen von Parteibüros durch, findet man sofort einige. Anhand der öffentlich einsehbaren Bewertungen erfährt man, wo sie zuletzt im Urlaub waren, wo sie gern essen gehen und wo sie ungefähr wohnen. Hier sind einige Beispiele verschiedener Parteien:

Eine Kommunalpolitikerin der CDU war vor vier Monaten in den Vereinigten Arabischen Emiraten. Die CDU hat sich auf eine Anfrage, ob sie sich der öffentlichen Google-Profile ihrer Amtsträger bewusst ist und wie sie damit umgeht, nicht geantwortet.

Bei der AfD findet man einen stellvertretenden Sprecher, der in seinen Bewertungen dafür eintritt, unbedingt Konzerne mit politisch rechtslastigen Einstellungen zu unterstützen. Auch die AfD hat nicht auf unsere Anfrage dazu geantwortet.

Auch keine Antwort gab es bei den Grünen auf die Anfrage. Eine Grünen-Politikerin bewertete zum Beispiel eine Tankstelle nicht gerade freundlich.

Über die Unpünktlichkeit einer Deutschen-Post-Filiale beschwert sich ein Abteilungsvorsitzender der SPD. Die SPD antwortet als einzige Partei auf die Anfrage. Sie teilte mit, dass sie alle Mitgliedern nahelegen, einen ordentlichen Internetauftritt zu haben.

Auch findet man einen FDP-Parteigänger, der den Deutschen Sportwettenverband mit fünf Sternen bewertet. Die FDP gab keine Antwort auf unsere Anfrage diesbezüglich.

Bei Politiker*innen aller Parteien kann man über die Google-Bewertungen sehen, wo sie zuletzt im Urlaub waren oder was sie am liebsten essen und wo. Hinzu kommen viele weitere private Informationen zu ihnen und ihren Kindern, die sich aus dem Lesen der Bewertungen ergeben. Nur durch das Durchschauen der Parteibürobewertungen kann man dabei schon mindestens vierzig Personen finden.

Risiken durch Google-Bewertungen

Das zeigt einen Mangel an Medienkompetenz, wenn Politiker*innen genau das missachten, was schon Kindern durch Aufklärung in der Schule über das Internet beigebracht wird: dass man nicht einfach Bilder von sich mit dem eigenen vollen Namen im Internet teilt. Denn fremde Menschen können bekanntlich im Internet sonst zu viel Privates herausfinden.

Aber es betrifft nicht nur Politiker*innen. Den eigenen Klarnamen in Verbindung mit einem Gesichtsfoto online frei einsehbar zu stellen, noch dazu mit Texten, die viel über das Privatleben verraten, sowie über den eigenen Wohnort, kann einfach gefährlich sein. Beispielsweise durch Bewertungen von Organisationen, die an der Schule der Kinder tätig waren, findet man ganz schnell heraus, wo diese Kinder zur Schule gehen. Oder einfach zu schreiben, es handle sich bei einem Restaurant um das Lieblingsrestaurant, das um die Ecke liegt, dazu am besten noch, welche Allergien und gesundheitlichen Probleme man hat: All das lässt jeden Interessierten tief ins Private blicken.

Auch das Teilen von Bildern auf Google Maps, unter anderem auch von den Kindern bei allen möglichen Ausflügen, kann schnell gefährlich werden. Man sollte sich immer bewusst sein, dass man auch nicht nur seine eigenen Daten teilt, sondern auch die der Kinder oder des Partners.

Es ist schlichtweg ohne Zustimmung der Betroffenen nicht vertretbar, die Ärzte, Psychotherapeuten oder Nachhilfeorganisationen der eigenen Kinder durch für jeden einsehbare Google-Bewertungen öffentlich bekannt zu machen. Ebenso unangemessen ist es, ohne Rücksprache die Allergien und Krankheiten des Partners oder der eigenen Mutter in einer Restaurantbewertung zu erwähnen. Bei den eigenen Daten muss jede*r selbst entscheiden, wie viel man von sich teilen möchte. Doch sobald andere Menschen involviert sind und deren Daten öffentlich gemacht werden, überschreitet man eine Grenze.

Risiken einschränken

Durch drei Klicks in Google Maps lässt sich das aber relativ leicht verhindern.

Das Google-Maps-Profil lässt sich nämlich einschränken: Dann können alle Rezensionen und Bewertungen nur noch von akzeptierten Followern gesehen werden. Dafür geht man zu „Meine Beiträge“, dann klickt man auf „Profileinstellungen“ und wählt dort „Eingeschränktes Profil“ aus.

Eingeschränkt bedeutet dabei nicht, dass andere Menschen die Einschätzungen nicht mehr lesen könnten. Öffentlich bleiben die Bewertungen und Bilder immer noch, jedoch ist es nicht mehr möglich, alle Bewertungen eines Profils auf einmal zu sehen.

Möchte man allerdings ganz verhindern, dass viele private Informationen bei Bewertungen einfach einsehbar sind, sollte man darauf verzichten, einen Klarnamen zu benutzen bei dem Google-Profil, mit dem man bewertet, und möglichst keine Bilder teilen, die man zuordnen könnte.

─────────────────────────

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.

Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus |jetzt mit einer Spende|.

Links im Artikel

|Zum Profil von EmbedSocial EmbedSocial|

|jetzt mit einer Spende|

HTML-Version des Artikels

─────────────────────────

════════════════════════

Skriptlauf: 2024-08-18T23:02:02

🏡