Hofmann: Die neue Sicherheitsarchitektur des BKAG zwischen Freiheitsrechten und der Sicherheitsgesetzgebung. Rezensiert von Holger Plank

Buchbesprechungen

Hofmann, Monique Maria[1]: „Die neue Sicherheitsarchitektur des BKAG zwischen Freiheitsrechten und der Sicherheitsgesetzgebung. [2] Eine Analyse anhand ausgewählter Befugnisnormen sowie der neuen Informationsordnung“. ISSN: 1435-6821, 338 Seiten, Verlag Dr. Kovač, Hamburg, Reihe Studien zur Rechtswissenschaft, Band 484, 2023, 99,80 €)

Hofmann beleuchtet am Beispiel einiger ausgewählter Befugnisnormen die Fort­schreibung der verfassungsrechtlich limitierten Zuständigkeit[3] des BKA auf dem Gebiet des polizeilichen Gefahrenabwehrrechts und dessen neue zentrale Rolle als kriminalpolizeiliche Zentralstelle im Rahmen der Neuordnung der polizei­lichen Bund-Länder-Informationsordnung. Sie arbeitet dabei akribisch einige grundlegende dogmatische Mängel heraus und erkennt signifikanten gesetzge­berischen Handlungsbedarf.

Hierzu greift sie im ersten Hauptteil der Arbeit (Kap. 2, S. 37-182) nach einer einleitend kurzen Erläuterung des ausle­gungsbedürftigen Terrorismusbegriffs (Kap. 1A, S. 9-20) und einer prägnanten Erläuterung der Geschichte und der Entwicklung der gesetzlichen Zuständig­keiten des BKA seit 2008 (Kap. 1B, C, S. 21-36) auf einige wenige, tief in die Grundrechte Betroffener eingreifende ver­deckte Maßnahmen im 5. Abschnitt des BKAG (§§ 36 – 62) zurück, speziell auf

  • 45 – (Kap. 2B, S. 41-93) – Besondere Mittel der Datenerhebung (Abs. 2 enthält insgesamt fünf Befugnisse, nämlich
  • die „längerfristige Observation“ (Nr. 1),
  • den Einsatz (verdeckter) technischer Mittel außerhalb von Woh­nungen (Nr. 2 a – Anfertigung von Bildaufnahmen und -aufzeich­nungen von Personen und Sachen; Nr. 2 b – Abhören und Auf­zeichnung des nicht öffentlich gesprochenen Wortes),
  • sonstige für Observationszwecke bestimmte technische Mittel zur Erforschung des Sachverhalts oder zur Bestimmung des Aufenthalts­ortes einer in Art. 5 Abs. 1 BKAG genannten Person[4] (Nr. 3),
  • der Einsatz von Vertrauenspersonen (VP – Nr. 4) und
  • der Einsatz von Verdeckten Ermitlern (VE – Nr. 5).
  • 49 – (Kap. 2C) – Verdeckter Eingriff in informationstechnische Systeme (sog. „Online-Durchsuchung“)
  • 51 – (Kap. 2C) – Überwachung der Telekommunikation
    • hier speziell die Befugnisnorm des § 51 Abs. 2, die sog. „Quellen-TKÜ“

Im Zusammenhang mit den beiden letztgenannten Normen problematisiert Hof­mann zudem die mögliche gezielte Nutzung von Sicherheitslücken in IT-Sy­stemen, deren Betriebssystem oder der Anwendungssoftware, die zur Infiltration mit dem sogenannten „Staatstrojaner[5] (Kap. 2C, Ziff. III) geeignet sind.

Im zweiten Hauptteil der Arbeit (Kap. 3, S. 183-266) widmet sie sich den daten­schutzrechtlichen Problemstellungen der für das BKA als Zentralstelle im BKAG (3. Abschnitt, §§ 29-33b) neu normierten Informationsordnung (hier speziell die §§ 2 Abs. 3, 29 und 30 BKAG). Aufgrund der derzeit nach wie vor im Bund-Länder-Vergleich äußerst heterogenen IT-Landschaft der Sicherheitsbehörden, die in Zeiten dyna­mischer Entwicklung der Bedrohungslage zu ernsthaften In­formationsde­fiziten führen kann und aufgrund flankierender (europarechtlich de­finierter) datenschutzrechtlicher Erfordernisse beschloss die IMK auf ihrer Herbstsitzung 2016 in Saarbrücken („Saarbrücker Agenda“) „die Schaffung einer gemeinsamen, modernen, einheitlichen polizeilichen Informationsarchitektur“ und bestimmte das BKA auf Grund seiner kriminalpolizeilichen Zentralstellen­funktion als künftiges „Data-Warehouse im Rahmen eines neu geordneten polizeilichen Informationsverbundes“. Aus diesem Beschluss der IMK erwuchs das noch andauern­de polizeiliche Bund-Länder-Projekt „Polizei 20/20“.[6] Ein Enddatum dieses komplexen Projektes in allen seinen Projektbestandteilen[7] ist derzeit in der Literatur noch nicht erkennbar, das Projekt wird sich aber gewiss bis in das nächste Jahrzehnt erstrecken.

In einem kurzen vierten Kap. (S. 267-274) beschäftigt sich Hofmann übergreifend mit (selbst-) reflexiven (z. B. der Evaluation zur Wirksamkeit der umfassenden Be­fugnisse des BKAG, etwa nach dem Muster des „Evaluationsberichts 2017“ zum BKA a. F., dort §§ 4a, 20j, 20k), parlamentarischen „Kontrollstandards“ und -instrumenten und thematisiert vor dem Hintergrund der weitreichenden Be­fugnisse u. a. auch die Problemstellung „additiver Grundrechtseingriffe“ und einer „Überwachungsgesamtrechnung“.[8] Die Arbeit schließt mit einer „Schluss­betrachtung“ (Kap. 5, S. 275-284), in welcher die wesentlichen Er­kenntnisse der Arbeit über die für den Leser hilfreichen „Zwischenergebnisse“ in den Haupt­teilen der Arbeit hinaus nochmals gesammelt in Thesenform zusammengetragen werden.

Die ausführliche dogmatische Argumentation stützt sich im Wesentlichen auf die Umsetzung der bundesverfassungsgerichtlichen Kritik zu verschiedenen Be­stimmungen des BKAG[9] (a. F.) und in der umfassend novellierten Fassung des BKAG im Jahr 2018 und die zahlreichen hierzu erfolgten Kommentierungen und Stellungnahmen in der Fachliteratur und im politischen Raum.

Die Themenwahl der Dissertation ist auch insofern interessant, weil weite Teile der dogmatischen Kritik der Autorin inhaltlich von einer im Moment noch anhängigen Verfassungsbeschwerde gegen Bestimmungen des BKAG n. F. im Auftrag der Gesellschaft für Freiheitsrechte[10] flankiert werden, worauf die Au­torin in ihrer dogmatischen Kritik auch immer wieder rekurriert. Da der Bearbeitungsstand der Arbeit auf Ende August 2023 terminiert ist (S. VII), konnten wesentliche Erkenntnisse aus der am 20.12.2023 in dieser Sache terminierten mündlichen Anhörung beim BVerfG nicht mehr berücksichtigt werden. Die GFF hat kurz vor der mündlichen Verhandlung ihre Beschwerde gegen die Ausgestaltung der polizeilichen Infiltrationsmöglichkeiten („Staats­trojaner“) zurückgezogen (vgl. S. 37 ff. der Verfassungsbeschwerde Bäcker, Fn. 10), da sie den vom BVerfG geforderten zusätzlich Sachvortrag nicht mehr zeitgerecht bis zur mündlichen Anhörung liefern konnte.[11]

Im Ergebnis erkennt Hofmann in Teilen der untersuchten Vorschriften signi­fikanten gesetzgeberischen Handlungsbedarf. Sie moniert insbesondere, der Ge­setzgeber sei seiner Aufgabe, verfassungsrechtliche und vor allem verfassungs­gerichtliche Vorgaben (im Rahmen seiner Einschätzungsprärogative) in Teilen nur unzureichend nachgekommen und habe stattdessen „nur dem Wortlaut, nicht aber dem Gesetz nach“ (S. 37) bedeutende Teile der verfassungsgerichtlichen Kritik (Fn. 9) nahezu wortgleich übernommen. Aufgrund der erhöhten Eingriffs­intensität verdeckter Maßnahmen im Allgemeinen und der in der Arbeit aus­gewählten Befugnisse im Besonderen seien Zweifel an der Verhältnismäßigkeit im engeren Sinn evident. Das betreffe u. a. die Eingriffsschwellen, die Reichweite einzelner Adressatenregelungen (v. a. in Bezug auf die „Kontakt- und Begleit­personen“), Ausgestaltungen der Verfahrensvorschriften (z. B. hinsichtlich not­wendiger erhöhter Begründungserfordernisse auf Grundlage der bereits gewonnenen Erkenntnisse bei Verlängerungsanträgen bzw. zu der Höchstdauer ggü. „Nicht-Störern“ oder auch mit Blick auf die Ausgestaltung der Anordnungs­kompetenz durch den Präsidenten des BKA und dessen V. i. A. bei Gefahr im Verzug in den §§ 49 Abs. 8 und 51 Abs. 8), Dokumentationserfordernisse oder auch z. T. erweiterungsbedürftige Verfahrensregelungen im Kernbereichs­schutz. Teile der begutachteten Vorschriften seien vor dem Hintergrund ihrer Eingriffs­intensität zudem nicht hinreichend bestimmt und normenklar formuliert. Zudem benötigten die weitreichenden Eingriffsnormen hinreichender legislativer und exekutiver Vorkehrungen zur Sensibilisierung hinsichtlich der Problemstellung „additiver Grundrechtseingriffe“ und der hieraus zu erstellenden „Überwachungs­gesamtrechnung“. Außerdem kritisiert Hofmann, dass der Gesetzgeber mit Blick auf die zur Vorbereitung der Maßnahmen der „Online-Durchsuchung“ und der „Quellen-TKÜ“ erforderliche Infiltration von IT-Systemen / Devices aufgrund verfassungsgerichtlicher Vorgaben die staatliche Nutzung von Sicherheitslücken umfassend gesetzlich regeln müsse. Die angesichts der damit verbundenen erheblichen abstrakten, über den gefahrenabwehrrechtlich gebotenen Einzelfall hinausgehenden Gefahren für die Allgemeinheit begründeten eine evidente staatliche Schutzpflicht, die nicht nur im Rahmen einer bloßen exekutiven Abwägungsentscheidung zwischen den Interessen der Allgemeinheit und der kasuistischen Gefährdung bedeutender Rechtsgüter getroffen werden dürfe. Sehr wahrscheinlich sei dies sogar mit einer gesetzlich zu definierenden Datenschutz-Folgeabschätzung zu verbinden.

Hofmann übt zudem substanzielle Kritik an der Neukonzeption der Bund-Länder-Informationsarchitektur. Der Umfang und die Tiefe der im gemeinsamen Datenhaus BKA künftig gespeicherten, automatisiert verknüpften und grds. bei Abfragen großzügig jedem Berechtigten im Rahmen des abgestuften Rechte- und Rollenkonzepts zur Verfügung stehenden Datenbestandes berge etwa die Gefahr der Erstellung von Persönlichkeitsprofilen. Der Gesetzgeber müsse in allen Bereichen, der Speicherung, Nutzung, (Weiter-)Verarbeitung und v. a. der (transnationalen) Übermittlung die Schranken präzisieren. Zudem sei auch zügig eine neue BKA-Datenverordnung[12] nötig.

Die Autorin sieht durchaus eine derzeit abstrakt hohe Gefährdungslage durch den internationalen Terrorismus. Sie erkennt auch die Notwendigkeit weitreichender (insbesondere auch verdeckter) Eingriffsbefugnisse zur Abwehr hinreichend kon­kretisierbarer Gefahren für bedeutende Rechtsgüter im sensiblen Spannungsfeld zwischen Sicherheit und Freiheit – auch im Rahmen der untersuchten besonders intensiven Gefahrenerforschungseingriffe. Allerdings mahnt sie durchaus signi­fikanten legislativen Änderungs- bzw. Ergänzungsbedarf an, sowohl im BKA-Gesetz selbst, als auch hinsichtlich notwendig begleitender Verordnungen, v. a. in Bezug auf den staatlichen Umgang mit den den Herstellern bislang nicht bekannten Sicherheitslücken. Die Arbeit ist profund recherchiert, dogmatisch schlüssig entwickelt und die Ergebnisse sind argumentativ nachvollziehbar.

Dabei hat die Autorin das nicht jedem Doktoranden / jeder Doktorandin beschiedene Glück, dass ein Großteil der eigenen Thesen kurz nach Erscheinen der Dissertation verfassungsgerichtlicher Überprüfung zugänglich wird. Ersten vorsichtigen Einschätzungen auf Grundlage der mündlichen Anhörung vor dem BVerfG Ende Dezember 2023[13] lassen wohl bei einigen der in der Arbeit beschriebenen Problemstellungen Änderungsdirektiven durch das höchste deutsche Gericht erwarten.

Holger Plank (im Januar 2024)

[1] Dr. iur., Wissenschaftliche Mitarbeiterin am Zentrum für Rechts- und Verwaltungswissen­schaften der Brandenburgischen Technischen Universität, Cottbus – Senftenberg.

[2] Zugleich juristische Dissertation, siehe Verlags-Website und Inhaltsverzeichnis des Werks.

[3] Aufgrund der Regelung in Art. 30 GG liegt die Zuständigkeit zur Ausübung polizeilichen Gefahrenabwehrrechts primär bei den Ländern; eine der wenigen Ausnahmen von diesem Subsidiaritätsprinzip eröffnet der im Rahmen der Föderalismusreform im Jahr 2006 neu einge­fügte Art. 73 Abs. 1 Nr. 9a GG, der jedoch an die enge Voraussetzung der „Abwehr von Gefahren des internationalen Terrorismus“ geknüpft ist, aber auch nur dann, wenn „eine länderübergreifende Gefahr vorliegt, die Zuständigkeit einer Landespolizeibehörde nicht erkennbar ist oder die oberste Landesbehörde um eine Übernahme ersucht“; einfachgesetzlich wird die verfassungsrechtliche Vorgabe in § 5 BKAG durch einen Verweis auf „Gefahren der Verwirklichung von Straftaten, die in § 129a Abs. 1 und 2 StGB bezeichnet sind“ und mit denen Angreifer eine bestimmte Zielrichtung verbinden, präzisiert.

[4] Durch den Verweis auf § 39 Abs. 2 Nr. 2 BKAG sind hiervon auch „Kontakt- und Begleit­personen“ erfasst.

[5] Seit 2017 enthält das BKAG die Befugnis, zur Vorbereitung einer Online-Durchsuchung oder einer Quellen-TKÜ staatliche „Spähsoftware“ auf den Rechner / das Device Verdächtiger aufzuspielen (§ 49 Abs. 1, 2 BKAG) und dafür selbst solche Sicherheitslücken in Hard- und Software auszunutzen, die den Herstellern unbekannt sind (z. B. „Zero-Day-Exploits“).

[6] Vgl. BMI, „White-Paper Polizei 2020“, o. D..

[7] Einzelne Teil-Projekte im Rahmen der bestehenden INPOL-Systemlandschaft (mit seinen derzeitigen wichtigen Datengruppen Kriminalaktennachweis, Personen- und Sachfahndung, Haftdatei, Erkennungsdienst und DNA-Analyse-Datei) sind bereits abgeschlossen oder jeden­falls weit gediehen, allen voran z. B. die Grundvoraussetzung relationaler Datenbanken, näm­lich ein einheitliches fachliches Datenmodell und technisches Austauschformat, genannten „X-Polizei“, ein gemeinsames Zugriffs- und Rechtekonzept „IAM), der Polizeiliche Informa­tions- und Analyseverbund (PIAV) oder auch ein einheitliches Fallbearbeitungssystem („eFBS“).

[8] Im Koalitionsvertrag 2021-2025 der Ampel-Koalition (S. 86) ist ausdrücklich eine „Überwachungsgesamtrechnung“ als „unabhängige wissenschaftliche Evaluation der Sicherheitsgesetze und ihrer Auswirkungen auf Freiheit und Demokratie im Lichte technischer Entwicklungen“ bis Ende 2023 vorgesehen. Allerdings wurde nach Ausschreibung des Projektes durch das BMJ im Mai 2023 erst im Januar 2024 der Auftrag an das Max-Planck-Institut zur Erforschung von Kriminalität, Sicherheit und Recht erteilt. Es ist eine Bearbeitungszeit von ca. einem Jahr vorgesehen. Das Institut hatte schon 2021/2022 eine Konzeptstudie eines „Überwachungsbarometers“ vorgestellt. Bereits im November 2023 hatten Zöller et al. im Auftrag des Deutschen Anwaltsvereins (DAV) eine Bilanz in Buchform („Sicherheitsgesetzgebung und Überwachungsgesamtrechnung“, Deutscher Anwaltsverlag, 2023) in einem DAV-Forum vorgestellt.

[9] BVerfGE 141, 220-378 (vom 20.04.2016, 1 BvR 966/09).

[10] Vgl. Bäcker, 21.05.2019.

[11] Vgl. Mitteilung der GFF, o. D.; es ist jedoch geplant, diesen Verfahrensgegenstand in die ebenfalls noch beim BVerfG anhängige „G10 Verfassungsbeschwerde“ vom 08.07.2022 einzubringen.

[12] Derzeit anwendbar ist die BKA-Daten VO vom 4. Juni 2010 (BGBl. I S. 716, zuletzt durch Art. 6 Abs. 12 des Gesetzes vom 13.04.2017 geändert).

[13] Vgl. z. B. nur Rath, 20.12.23 auf lto.de; GFF vom 20.12.2023