Staatsgeheimnis

Sicherheitsbehörden und Databroker: Bundesregierung macht Datenkauf zum Staatsgeheimnis

Die Bundesregierung verweigert Transparenz darüber, ob deutsche Sicherheitsbehörden bei Datenhändlern einkaufen. Die Frage ist brisant, denn für den Kauf gäbe es keine sichere Rechtsgrundlage. Das zeigen Dokumente aus dem Bundestag, die wir exklusiv vorab veröffentlichen.

Diese Recherche entstand in Kooperation mit dem Bayerischen Rundfunk. Sie ist Teil der Databroker Files.

Seit Monaten häufen sich Berichte über menschenfeindliche Übergriffe von Beamt*innen der US-Abschiebebehörde ICE. Sie inhaftieren massenhaft Menschen, die nach dem Willen der Regierung von US-Präsident Donald Trump das Land verlassen sollen. Um sie aufzuspüren, kann die Behörde ein mächtiges Werkzeug nutzen: Mit Tracking-Daten aus der Online-Werbeindustrie kann sie Milliarden Standorte von Handys ausspionieren.

Die Angebote für solche Informationen kommen von Databrokern und darauf spezialisierten Dienstleistern. Gesammelt werden die Daten angeblich nur zu Werbezwecken, doch auch staatliche Stellen können beherzt zugreifen. Kommerzielle und staatliche Überwachung sind weltweit inzwischen eng verwoben.

Neue Dokumente aus dem Bundestag zeigen jetzt: Die Bundesregierung verweigert zwar eine Auskunft darüber, ob deutsche Sicherheitsbehörden auf solche Standortdaten zugreifen – die Möglichkeit schließt sie aber ausdrücklich nicht aus.

Zugleich nährt ein neues Gutachten der Wissenschaftlichen Dienste des Bundestages Zweifel daran, ob staatliche Shoppingtouren bei Databrokern überhaupt rechtmäßig wären: Bei Bundespolizei und Bundeskriminalamt fehlt demzufolge eine Ermächtigungsgrundlage; selbst für die mit weitreichenden Befugnissen ausgestatteten Geheimdienste ist die Rechtslage unklar.

„Wir haben es hier mit einer echten Black Box zu tun“, konstatiert die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke). Sie lehnt es ab, dass Sicherheitsbehörden den Handel mit Werbedaten anheizen. Als „eindeutig rechtswidrig“ bezeichnet Polizeirechtler Mark Zöller von der Ludwig-Maximilians-Universität München​​​​​​​ mögliche Datenkäufe durch Sicherheitsbehörden. Auch Geheimdienstforscher Thorsten Wetzling von der Denkfabrik Interface warnt: Behörden könnten beim Kauf von Datenbanken verfassungswidrig handeln.

Regierung verweigert Transparenz

Über die vielfältigen Gefahren von Handy-Standortdaten aus der Werbeindustrie haben wir in unserer Recherche-Reihe Databroker Files ausführlich berichtet. Anhand echter Datensätze konnten wir zeigen, wie detaillierte Bewegungsprofile auch Millionen Menschen in Deutschland gefährden. Ausspionieren lassen sich sogar Angestellte von Regierung, Militär und Geheimdiensten. Datenschützer*innen gehen davon aus, dass der Datenhandel in der Regel gegen die Datenschutzgrundverordnung (DSGVO) verstößt.

Wie also hält es die Bundesregierung mit Databrokern? Das und mehr wollte die Bundestagsabgeordnete Donata Vogtschmidt durch eine Kleine Anfrage erfahren. Solche Anfragen sind ein Werkzeug, das die Fraktionen im Bundestag nutzen können, um die Regierung zu kontrollieren.

In der Antwort, die wir hier veröffentlichen, stellt die Bundesregierung bei den entscheidenden Fragen keine Transparenz her. Fragen dazu, ob Sicherheitsbehörden wie Bundeskriminalamt (BKA) und Bundespolizei bei Databrokern einkaufen, beantwortet sie nicht. Sie tut dies auch nicht in „eingestufter Form“; das heißt, selbst unter Ausschluss der Öffentlichkeit sollen die Abgeordneten keine Informationen zu einer möglichen Teilnahme am umstrittenen Datenhandel bekommen.

„Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden“, rechtfertigt sich die Bundesregierung. Demnach könnten „Täter oder potenzielle Zielpersonen ihr Verhalten anpassen und künftige Maßnahmen dadurch erschweren oder gar vereiteln“. Weiter könnte eine Antwort „fremde staatliche Akteure dazu verleiten, entsprechende Dienste anzugreifen, um die jeweiligen Datenbestände im eigenen Sinne zu manipulieren.“

„Absolut nicht hinnehmbar“

Möglich ist es jedoch durchaus, dass deutsche Sicherheitsbehörden bereits bei Databrokern einkaufen. So schreibt die Regierung:

Die Bundesregierung schließt nicht aus, dass der Bezug von personenbezogenen Daten von Datenhändlern im Einzelfall zur Erfüllung ihrer Aufgaben angemessen sein kann. Dies muss im jeweiligen Einzelfall unter Berücksichtigung der jeweiligen Rechtslage individuell geprüft werden.

Details nennt die Bundesregierung lediglich bei weniger sicherheitsrelevanten Behörden. So kauft etwa das „Bundesamt für Kartographie und Geodäsie“ seit einigen Jahren regelmäßig personenbezogene Daten ​​bei kommerziellen Anbietern. Zum Beispiel bei einem Unternehmen, das nach eigenen Angaben unter anderem Adressen von Arztpraxen, Apotheken und Krankenhäusern anbietet. Solche Daten sind jedoch weitaus weniger brisant als etwa detaillierte Bewegungsprofile von Handy-Nutzenden.

Die größtenteils ausgebliebene Antwort der Bundesregierung auf ihre Kleine Anfrage kritisiert die Abgeordnete Donata Vogtschmidt scharf: „Es ist absolut nicht hinnehmbar, dass die Bundesregierung die Öffentlichkeit im Unklaren darüber lässt, ob und in welcher Form Sicherheitsbehörden persönliche Daten einkaufen, die die Menschen vermeintlich freiwillig für Werbezwecke freigegeben haben.“ Die Digitalpolitikerin fordert ​“​​​​​Transparenz darüber, wie und auf welcher Rechtsgrundlage deutsche Sicherheitsbehörden am Markt für kommerzielle Geschäfte mit persönlichen Daten beteiligt sind“.

Weiter kritisiert die Abgeordnete, dass der riesige und in der Öffentlichkeit kaum bekannte Markt für personenbezogene Daten entstehen konnte: „Wie konnte es überhaupt dazu kommen?“ Eine Reform der DSGVO wäre wichtig, so Vogtschmidt, würde das Problem aber nicht an der Wurzel packen. Als solche benennt sie den Kapitalismus und das unausgeglichene Kräfteverhältnis zwischen Konzernen und Betroffenen. Ihre Forderung: „Wir brauchen Online-Plattformen im Gemeinwohl ohne Profitabsichten.“

Mehr Transparenz in anderen Staaten

Während die Bundesregierung jeglichen Einblick in mögliche Datenkäufe durch Sicherheitsbehörden für ein Risiko hält, liefern andere Staaten mehr Transparenz. Einkäufe von Handy-Standortdaten durch US-Behörden wurden spätestens ab dem Jahr 2020 schrittweise bekannt. Im November stellte ein Bericht des Kontrollgremiums PCLOBheraus, dass das FBI Kunde bei kommerziellen Datensammlern wie Clearview AI und Babel Street ist.

In den Niederlanden beaufsichtigt das Gremium CTIVD die Geheimdienste. Bereits dessen Bericht aus dem Jahr 2018 handelte davon, wie Agent*innen kommerzielle Datensätze erworben haben. Auch in Norwegen bestätigte das parlamentarische Kontrollgremium EOS-Committee 2023 in einem öffentlichen Bericht, dass der militärische Geheimdienst massenhaft personenbezogene Daten gekauft hat. Die Aufseher*innen sparten nicht mit Kritik, weil der Behörde für das Daten-Shopping eine Rechtsgrundlage fehlte.

Eine grundsätzliche Kritik am Handel mit personenbezogenen Daten aus dem Ökosystem der Online-Werbung ist, dass er in der Regel gegen das europäische Datenschutzrecht verstößt. Die Daten aus dem Angebot von Databrokern haben oftmals schon eine lange Reise hinter sich, noch bevor Sicherheitsbehörden überhaupt ins Spiel kommen. Bereits die Erhebung, etwa durch Apps und Tracking-Firmen, kann rechtswidrig sein, weil die Einwilligung der Nutzer*innen oft nicht informiert erfolgt und somit ungültig ist. Der Weiterverkauf wiederum kann gegen die Zweckbindung verstoßen, die etwa die DSGVO verlangt. Von Werbezwecken kann nämlich keine Rede mehr sein, sobald die Daten zur offenen Handelsware werden.

Diesen Standpunkt vertrat 2024 auch das deutsche Verbraucherschutzministerium. Jüngst sprach die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider im Interviewmit netzpolitik.org von einer „unglaublichen Masse an Daten, die rechtswidrig genutzt werden“.

Datenkauf als „besondere Gefahr“ für Grundrechte

Hätten Sicherheitsbehörden des Bundes überhaupt eine Rechtsgrundlage, um bei Databrokern einzukaufen? Dieser Frage geht ein neues Gutachten der Wissenschaftlichen Dienste des Bundestages nach. Die dort tätigen Forscher*innen arbeiten laut Selbstbeschreibung parteipolitisch neutral und sachlich objektiv. Ebenfalls im Auftrag der Abgeordneten Vogtschmidt haben sie die „rechtlichen Voraussetzung und Grenzen des behördlichen Ankaufes von personenbezogenen Daten aus Werbedatenbanken“ untersucht. Hier veröffentlichen wir das 25 Seiten umfassende Gutachten [PDF].

Aus dem Gutachten geht hervor: Sicherheitsbehörden fehlt eine klare Rechtsgrundlage für den Kauf von personenbezogenen Daten von Databrokern. Der Kauf kann zudem einen weitreichenden Grundrechtseingriff darstellen, für den es deshalb sehr hohe Hürden gibt. So könnten die Behörden damit etwa in das Recht auf informationelle Selbstbestimmungeingreifen.

„Betroffene können in aller Regel weder überschauen noch beherrschen, welche Daten aus welchen Quellen in Werbedatenbanken gespeichert und miteinander verknüpft werden“, schreiben die Wissenschaftler*innen. Zudem besteht „beim Ankauf von Daten aus Werbedatenbanken eine besondere Gefahr von Eingriffen in den Kernbereich privater Lebensgestaltung“.

Wie intim Erkenntnisse aus solchen Daten sein können, zeigen die Databroker Files: Handy-Ortungen offenbarten beispielsweise Besuche in Bordellen, Kliniken oder Gefängnissen; die Nutzung bestimmter Apps kann Aufschluss über Krankheiten oder sexuelle Orientierunggeben.

Wissenschaftliche Dienste: schwere Belastung für Betroffene

Weiter gehen die Wissenschaftler*innen auf die „Schwere der Belastung“ von Betroffenen ein, wenn Behörden ihre personenbezogenen Daten kaufen. Zunächst erfahren die Betroffenen nichts davon, die Maßnahme ist also heimlich. Außerdem könne es sein, dass die Daten selbst rechtswidrig erhoben wurden. Weiter sei unklar, ob die gekauften Daten „überhaupt inhaltlich korrekt“ sind.

Eine Studie des NATO-Forschungszentrums Stratcom schätzte 2021, dass im Durchschnitt nur 50 bis 60 Prozent der Daten von Databrokern „als präzise angesehen werden können.“ Auch unsere Recherchen zeigten, dass immer wieder Zeitstempel oder Geräte-Kennungen in den Datensätzen von Databrokern falsch sind. Im Fall von geheimdienstlicher Überwachung könnten also Unbeteiligte ins Visier geraten.

Bei BKA und Bundespolizei konstatiert das Gutachten, dass ihnen eine „Ermächtigungsgrundlage“ fehle, um solche Daten zu kaufen. Das heißt: Es gibt in den Gesetzen, die die Arbeit dieser Sicherheitsbehörden regeln, keine Normen, die ein Shopping bei Databrokern erlauben oder rechtfertigen würden.

Weniger deutlich fällt die rechtliche Einordnung allerdings bei den Geheimdiensten des Bundes aus, also Bundesnachrichtendienst, Bundesamt für Verfassungsschutz und Militärischer Abschirmdienst. Auch hier finden die Wissenschaftlichen Dienste keine ausdrückliche Rechtsgrundlage. Allerdings kommen sie zu dem Ergebnis, dass der Kauf solcher Daten möglicherweise in Einzelfällen gerechtfertigt sein könnte, wenn auch unter sehr begrenzten Umständen.

Das Gutachten stellt zudem heraus:

Unter welchen Umständen und mit welchen Methoden die Daten erhoben und in die Datenbank eingepflegt wurden, ist daher völlig offen und für den ankaufenden Nachrichtendienst auch kaum mit hinreichender Sicherheit überprüfbar. Es erscheint daher möglich, dass Nachrichtendienste durch den Ankauf an Daten gelangen könnten, die sie im Wege einer Überwachung nicht selbst erheben dürften.

„Der Rechtsstaat versteckt keine Elefanten hinter Mäuselöchern“

Thorsten Wetzling forscht für die gemeinnützige Denkfabrik Interface zu Geheimdiensten und ADINT. So nennt man die Erlangung geheimdienstlicher Erkenntnisse („intelligence“) durch Daten aus der Werbeindustrie („Ad“). Gerade die Aussicht auf Daten, die Geheimdienste sonst nicht erheben dürften, sieht Wetzling als wesentlichen Anreiz für ADINT. Hierbei könnten sich Geheimdienste auch umfangreiche Genehmigungsverfahren, Nutzungsbeschränkungen und Kontrollvorgaben sparen.

Mit Blick auf das Gutachten beschreibt Wetzling die unklare Rechtslage als besorgniserregend. Gewichtige Gründe sprechen ihm zufolge dagegen, dass die entsprechenden Normen den verfassungsrechtlichen Standards der Bestimmtheit und der Verhältnismäßigkeit entsprechen.​​​​​ Der Forscher warnt:

​​​​​Sollte die Bundesregierung nachrichtendienstliche Datenkäufe tätigen, so ist deren rechtliche Grundlage ungewiss und verfassungswidriges Handeln durchaus möglich.

Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider deutet die Rechtslage ähnlich. Ankauf und Nutzung von Werbedaten bedürften „spezieller gesetzlicher Regelungen, welche für die Sicherheitsbehörden bisher nicht bestehen“, schreibt ein Sprecher auf Anfrage von netzpolitik.org und BR. Eine allgemeine Ermächtigungsgrundlage reiche nicht aus. „Hier gilt: Der Rechtsstaat versteckt keine Elefanten hinter Mäuselöchern“, so der Sprecher.

Deutlich wird auch Mark Zöller, der an der Ludwig-Maximilians-Universität München zu Polizeirecht forscht. Er sagt, es wäre „eindeutig rechtswidrig“, wenn Behörden personenbezogene Daten aus der Werbeindustrie kaufen würden. „Eine spezielle Ermächtigungsgrundlage für den Ankauf solch privater Datenbestände gibt es in keinem Sicherheitsgesetz in der Bundesrepublik Deutschland.“ Es sei jedoch typisch für Sicherheitsbehörden, dass sie neue Instrumente ohne Rechtsgrundlage erst mal nutzen würden, „bis sich Widerstand regt“. Juristisch könne das aber zum Problem werden, weil damit auch die gerichtliche Verwertbarkeit auf diesem Weg erlangter Beweise in Frage stehe.

Forscher Thorsten Wetzling sieht im Ankauf kommerzieller Daten „einen Paradigmenwechsel bei der nachrichtendienstlichen Informationsbeschaffung“, der dringend reguliert werden muss. Das Mandat der unterschiedlichen Gremien zur Kontrolle der Geheimdienste sei für das Phänomen nicht ausreichend. ​​​​​​​Der Gesetzgeber sollte bei der anstehenden Geheimdienstreform jedoch nicht nur auf ADINT schauen, sondern „die ganze Palette des möglichen Zusammenwirkens privater und öffentlicher Stellen näher in den Blick nehmen“. Im Falle einer gesetzlichen Regelung fordert Wetzling eine Diskussion über Schutzvorkehrungen beim Kauf sensibler Daten – bis hin zu einem möglichen Verbot, hochsensible Daten überhaupt zu kaufen.

Die Versuchung der Daten

Darüber, wie Geheimdienste mit Databrokern umgehen sollten, gibt es im Bundestag gespaltene Meinungen. „Ich lehne es ab, dass Sicherheitsbehörden den vor Datenschutzverletzungen strotzenden Handel mit Werbedatenbanken anheizen und fordere einen gesetzlichen Riegel davor“, sagt Linken-Abgeordnete Donata Vogtschmidt mit Blick auf die neusten Recherchen. Bereits zuvor sagte sie: „Geheimdienste sind Fremdkörper in der Demokratie und müssen schrittweise durch Informationsstellen ohne nachrichtendienstliche Mittel ersetzt werden“.

Eine ambivalente Position äußerte der CDU-Abgeordnete Roderich Kiesewetter gegenüber netzpolitik.org und BR im Sommer 2024: „Angesichts der Bedrohungslage und der Ressourcenknappheit kann es durchaus sinnvoll sein, auch solche Daten verstärkt für die Aufklärung zu nutzen.“ Andererseits sprach er davon, Datenmarktplätze und Verkäufer zu regulieren, „damit solche Datensätze nicht von gegnerischen ausländischen Diensten im Rahmen hybrider Kriegsführung verwendet werden“ und um „unsere Bürger vor dem Datenabgriff durch ausländische Staaten zu schützen.“

Der Abgeordnete Konstantin von Notz (Grüne) sprach sich 2024 für eine rechtliche Klärung aus. Er verglich das mit anderen Mitteln wie etwa dem Abhören von Telefongesprächen, bei denen es auch klare Regeln gibt.

Auch der Thinktank Hybrid CoE, bei dem Fachleute im Auftrag von EU und NATO hybride Bedrohungen erforschen, bewertet ADINT als zweischneidig. „Die Frage, ob die Chancen die Risiken überwiegen, ist schwer zu beantworten, da sich beide offenbar die Waage halten“, sagte Sprecherin Kirsi Pere auf Anfrage von netzpolitik.org.

Aus Perspektive von Daten- und Verbraucherschutz sollten die Maßnahmen bereits früher ansetzen, und zwar schon bei der schieren Anhäufung der Daten. Nicht zuletzt der Verbraucherzentrale Bundesverband fordert ein Verbot von Tracking und Profilbildung zu Werbezwecken.

EU-Kommission: „wachsendes Problem“

Zumindest scheint im Zuge der Databroker Files das Bewusstsein dafür zu wachsen, wie gefährlich es ist, wenn Angebote von Databrokern praktisch allen offenstehen. Am 4. November haben netzpolitik.org und Recherche-Partner berichtet, wie Datenhändler metergenaue Standortdaten von EU-Personal verkaufen. Wenig später, am 19. November, thematisierte die EU-Kommission Databroker in einem Schreiben an EU-Parlament und Ministerrat. Darin heißt es, leicht gekürzt und aus dem Englischen übersetzt:

Der Handel mit personenbezogenen Daten ist zu einem wachsenden Problem geworden. Solche intransparenten Praktiken untergraben zentrale Grundsätze des Datenschutzrechts und der Privatsphäre, verzerren den Wettbewerb und unterminieren das öffentliche Vertrauen in digitale Märkte. Eine konsequentere Durchsetzung der bestehenden Vorschriften ist erforderlich. Die Kommission wird prüfen, ob zusätzliche Schutzmaßnahmen notwendig sind, um diese Praktiken einzudämmen und die Transparenz im Datenhandel zu erhöhen.

Dabei stehen die Zeichen eigentlich auf Deregulierung. Anlass des Schreibens ist das Vorhaben der EU-Kommission, Daten für KI-Innovationen zu befreien. Auch der Digitale Omnibus, ein Gesetzpaket der EU-Kommission, will Unternehmen beim Datenschutz mehr freie Hand lassen. Offenbar erweisen sich die Databroker Files als Sand im Getriebe der Deregulierung.

Bundesregierung „beobachtet aufmerksam“

Noch im Herbst hatte sich die Bundesregierung mit möglichen Regulierungslücken beim Handel mit personenbezogenen Daten beschäftigt. Anlass war eine schriftliche Frage des Abgeordneten Konstantin von Notz (Grüne). Eine Lücke können etwa Datenmarktplätze sein, die Kontakt zwischen Databrokern und potenziellen Käufern herstellen. Prominentes Beispiel für einen Datenmarktplatz ist der Berliner Anbieter Datarade, der offenbar durch die Maschen der Datenschutz-Regulierung schlüpft und sogar von einer teilweise staatlichen Investition profitiert hat. Über Datarade konnte netzpolitk.org Kontakt zu einem Datenhändler herstellen, der dem Team letztlich 3,6 Milliarden Handy-Standortdaten aus Deutschland zur Verfügung stellte.

In ihrer Antwort vom 16. September schreibt die Bundesregierung, sie „beobachtet aufmerksam die Entwicklungen im Bereich des Datenhandels“. Auch Datenmarktplätze erwähnt sie ausdrücklich. Zu Konsequenzen äußert sie sich jedoch zurückhaltend. „Sollte sich zeigen, dass zusätzliche Regelungen erforderlich sind, wird die Bundesregierung die erforderlichen Schritte prüfen“, heißt es. „Dies kann, je nach Sachlage, auch gesetzgeberische Maßnahmen einschließen.“

Allein in den drei Monaten nach dieser Antwort sind vier große Enthüllungen über die Gefahren von Handy-Standortdaten erschienen – mit Daten aus Belgien, Irland, Frankreichund Italien.

Ingo Dachwitz ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Er schreibt häufig über Datenmissbrauch und Datenschutz, Big Tech, Plattformregulierung, Transparenz, Lobbyismus, Online-Werbung, Wahlkämpfe und die Polizei. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet. Ingo ist Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. Seit 02/2025 ist sein Buch erhältlich: “Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen”. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat. Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, Databroker und Jugendmedienschutz. Er schreibt einen Newsletter über Online-Recherche und gibt Workshops an Universitäten. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt. Seine Arbeit wurde mehrfach ausgezeichnet, unter anderem zweimal mit dem Grimme-Online-Award sowie dem European Press Prize. Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Geheimdienstgesetz

Der MAD hat ein neues Gesetz bekommen

Der Militärische Abschirmdienst darf künftig deutlich mehr, hat der Bundestag mit einem neuen Geheimdienstgesetz beschlossen. Doch die Reform des kleinsten deutschen Geheimdienstes ist erst der Auftakt für weitere Änderungen am Geheimdienstrecht.

Es gibt ein neues Geheimdienstgesetz in Deutschland. Weitgehend geräuschlos beschloss am gestrigen Donnerstag der Bundestag das Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr. Es enthält auch ein völlig neues MAD-Gesetz für den Militärischen Abschirmdienst. Der Entwurf der Bundesregierung ging dabei mit wenigen Änderungen aus dem Verteidigungsausschuss durchs Parlament.

Damit bekommt der Militärgeheimdienst fortan deutlich mehr Befugnisse. Der MAD soll etwa künftig auch außerhalb von Militärgelände im Ausland operieren dürfen, eine Aufgabe, die bislang der BND übernahm. Fortan sollen beide Dienste sich bei ihren Aufgabenaufteilungen abstimmen.

Ein unfertiger Befugniskatalog

Der Katalog der sogenannten nachrichtendienstlichen Mittel, mit denen der Militärgeheimdienst seine Informationen sammeln darf, ist lang: von Observationen über den Einsatz von V-Personen off- und online bis zu verdeckten Eingriffen in IT-Systeme. Aber die Liste der Mittel im Gesetz ist nicht final, sondern kann durch Dienstvorschriften erweitert werden.

Dieses geplante Vorgehen sahen Sachverständige in einer Anhörung zum Gesetz teils kritisch, da es unter anderem durch Geheimhaltung entsprechender Dienstvorschriften eine öffentliche Kontrolle der Geheimdienstbefugnisse verhindert. Eine solche „Erweiterung im Verborgenen ist untunlich“, kritisierte beispielsweise Christian Sieh vom Deutschen BundeswehrVerband die nun beschlossene Änderung.

Den neuen Befugnissen gegenüber steht eine neue Kontrollinstanz: eine gerichtliche Überprüfung von besonders eingriffsintensiven Maßnahmen. Dafür soll in Zukunft das Amtsgericht Köln zuständig sein. Das stellt auf der einen Seite eine unabhängige richterliche Kontrolle dar, auf der anderen Seite birgt es jedoch die Gefahr, dass die Geheimdienstkontrolle zersplittert wird und keine der Kontrollinstanzen ein umfassendes Bild über die Gesamttätigkeiten des Dienstes hat.

Politischer und rechtlicher Anlass

Anlass für ein neues MAD-Gesetz war zum einen die geopolitische Lage. Deutschland sei für Russland „Zielfläche Nummer 1 in Europa“, sagte etwa die MAD-Präsidentin Martina Rosenberg. Da künftig 5.000 deutsche Soldat:innen an der NATO-Ostflanke in Litauen stationiert sein sollen, müsse der MAD mehr Möglichkeiten bekommen, unter anderem diese vor Spionage und Sabotage zu schützen.

Einen zweiten, zwingenden Anlass für eine grundlegende Gesetzesreform gaben mehrere Entscheidungen des Bundesverfassungsgerichts. Es forderte beispielsweise in Urteilen zu Landesverfassungsschutzgesetzen eine unabhängige Kontrolle bestimmter Geheimdienstmaßnahmen und konkrete Eingriffsschwellen bei Grundrechtseingriffen – Defizite, die sich gleichermaßen bei Bundesgeheimdiensten finden.

Dass das neue Gesetz den Vorgaben ausreichend gerecht wird, bezweifelt etwa die grüne Bundestagsabgeordnete Agnieszka Brugger. In ihrer Rede im Parlament mahnte sie an, dass Grundrechte im Spannungs- und Verteidigungsfall nach dem Gesetz nicht ausreichend geschützt seien. „Gerade wenn es um den absoluten Ernstfall für unsere Demokratie geht, zeigt sich, wie ernst wir es mit unserem Rechtsstaat nehmen“, so Brugger, die Mitglied für die Grünen im Verteidigungsausschuss ist. Auch die Bundesregierung könne kein Interesse daran haben, „dass in diesen ernsten Zeiten so ein Gesetz in Karlsruhe scheitert und wir wieder zurück auf Los sind“.

Weitere neue Geheimdienstgesetze werden folgen

Das neue MAD-Gesetz ist nur der Auftakt weitreichender Gesetzesänderungen im deutschen Geheimdienstrecht. Auch die Grundlagen von BND und Bundesverfassungsschutz sollen überarbeitet werden. Dass dies nicht gemeinsam passiert, um konsistente Regelungen zu schaffen, kritisierte etwa der grüne Bundestagsabgeordnete Konstantin von Notz zuvor gegenüber netzpolitik.org.

Seine Parteikollegin Brugger fragte zur Gesetzesverabschiedung im Plenum: „Wo sind denn die Gesetze für die anderen Dienste? Wo sind die längst überfälligen Reformen der Sicherstellungsgesetze?“ Sie bezeichnet es als „schlicht unverantwortlich“, wie viel Zeit die Bundesregierung hier verstreichen lasse.

Wie lange es dauert, bis auch die übrigen Geheimdienstgesetze neu beraten werden, ist bisher nicht bekannt. Nach Informationen des WDR soll es jedoch bereits seit November einen ersten Referentenentwurf für ein BND-Gesetz geben, mit einem deutlich größeren Umfang als dem der bisherigen Regelungen.

Anna Biselli ist Co-Chefredakteurin bei netzpolitik.org. Sie interessiert sich vor allem für staatliche Überwachung und Dinge rund um digitalisierte Migrationskontrolle. Kontakt: E-Mail (OpenPGP), Mastodon, Telefon: +49-30-5771482-42 (Montag bis Freitag jeweils 8 bis 18 Uhr). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Ein Militärgeheimdienst

Neues MAD-Gesetz: Ein Militärgeheimdienst wird aufgerüstet

Die schwarz-rote Regierung will die Geheimdienstgesetze grundlegend erneuern. Los geht es mit einer neuen Rechtsgrundlage für den Militärischen Abschirmdienst. Der Entwurf auf dem Verteidigungsministerium würde dem bislang kleinsten Geheimdienst des Bundes deutlich mehr erlauben.

5.000 Soldat:innen aus Deutschland sollen bis 2027 in Litauen stationiert sein. Ihre Aufgabe: Die NATO-Ostflanke in dem baltischen Staat schützen. Schon heute sind rund 400 Bundeswehr-Angehörige vor Ort im Baltikum, kürzlich hat in Vilnius eine deutsche Schule eröffnet. Gemeinsam mit der Panzerbrigade 45 ziehen auch deutsche Spione in das Gebiet. Sie gehören zum MAD, dem Militärischen Abschirmdienst. Der deutsche Militärgeheimdienst ist beispielsweise dafür zuständig, Spionage und Sabotage gegen die Bundeswehr abzuwehren oder auch Sicherheitsüberprüfungen bei Armeepersonal zu übernehmen. Doch künftig sollen die militärischen Spione noch viel mehr dürfen.

Das steht im „Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr“, einem Entwurf aus dem Verteidigungsministerium von Boris Pistorius (SPD). Hinter dem unscheinbaren Titel verbergen sich weitreichende Änderungen im deutschen Geheimdienstrecht. Das mehr als 100 Seiten starke Papier beinhaltet ein völlig neu geschriebenes MAD-Gesetz. Und es ist erst der Auftakt weiterer Geheimdienstreformen, die Schwarz-Rot in dieser Legislatur noch vorhat.

Die Bundeswehr in Litauen sei Angriffspunkt für Spionage und Sabotage, warnte die Präsidentin des MAD Martina Rosenberg bei einer Anhörung der Geheimdienstchefs im deutschen Bundestag. Deutschland sei für Russland „Zielfläche Nummer eins in Europa“. Verbunden mit ihrer Warnung war die dringliche Forderung an die Parlamentarier:innen für mehr Befugnisse und Budget. Und den Dank, dass dies bereits auf den Weg gebracht wurde, „um so hoffentlich zeitnah mit gut ausgestatteten Behörden den vielfältigen Herausforderungen gestärkt entgegentreten zu können“.

Die Geheimdienstchefin hat viele Gründe, dankbar zu sein. Ihr Dienst soll mit dem geplanten MAD-Gesetz weit mehr Kompetenzen bekommen, sowohl im analogen als auch digitalen Bereich. Vieles soll auf einer Ebene unterhalb des Gesetzes konkretisiert werden und entzieht sich so der Öffentlichkeit. Fachleute warnen vor möglichen Kontrolllücken und fordern, dass es eine Geheimdienstreform für alle drei bundesdeutschen Dienste zusammen braucht.

MAD wird zum Verfassungsschutz

Im neuen Gesetz wird der MAD als „Verfassungsschutzbehörde und abschirmender Nachrichtendienst der Bundeswehr“ bezeichnet und damit als eine weitere Verfassungsschutzbehörde neben dem Bundes- und den Landesverfassungsschutzämtern platziert. Doch vergleichbar sind die Einrichtungen nicht, das merkt die Bundesregierung auch in der Gesetzesbegründung an. Der MAD zeichne sich „durch eine Vielzahl an Unterschieden zu den zivilen Verfassungsschutzbehörden aus“. Künftig wird es einen weiteren großen Unterschied bei den Befugnissen im Ausland geben. Eine der deutlichen Ausweitung betrifft nämlich die Frage, wo der MAD aktiv sein darf.

Bislang operiert der Militärgeheimdienst vor allem im Inland sowie in ausländischen Kasernen, in denen deutsche Soldat:innen stationiert sind. Doch er soll bald auch außerhalb der Militärgelände im Ausland agieren dürfen.

Alles ist eine Information

In der Begründung zum Gesetzentwurf heißt es, der MAD bearbeite „Sachverhalte im Ausland, die die Sicherheit der Bundeswehrangehörigen im Einsatz beeinträchtigen könnten“ und sammle dafür Informationen. Wobei Informationen für den Geheimdienst ein breites Feld sind:

Der Begriff Informationen ist als Oberbegriff für alle sach- und personenbezogenen Auskünfte, Nachrichten und Unterlagen sowie sonstigen Daten zu verstehen, die irgendeinen für die Aufgabenerfüllung des Militärischen Abschirmdienstes bedeutsamen Aussagegehalt haben oder haben können.

Derartige Gummi-Formulierungen kommen öfter in Geheimdienst-Gesetzen vor. So steht im BND-Gesetz als zentrale Aufgabe des Auslandsgeheimdienstes, Erkenntnisse „von außen- und sicherheitspolitischer Bedeutung“ zu sammeln.

Im Fall des MAD bedeutet das Informationsverständnis, dass der Militärgeheimdienst im Ausland künftig entsprechend der Regelungen etwa Telekommunikation überwachen, V-Personen einsetzen oder Ziele observieren darf. Was an dem Befugnisaufwuchs verwundert: Bislang war vor allem der BND als dedizierter Auslandsgeheimdienst dafür zuständig. Er sammelte bei Auslandseinsätzen der Bundeswehr Erkenntnisse, die dafür entsprechend relevant waren. Und der BND behält diese Befugnisse auch weiterhin. Doch wie will die Bundesregierung verhindern, dass sich die beiden Geheimdienstbehörden ins Gehege kommen oder doppelt arbeiten?

Informelle Aufteilung von Aufgaben

Das Gesetz – geht es nach der Bundesregierung – soll das nicht regeln. MAD und BND sollen die Aufteilung auf einer informelleren Ebene klären. Der MAD nehme seine Aufgaben „im Einvernehmen mit dem Bundesnachrichtendienst“ wahr, heißt es gleich im zweiten Paragrafen des Gesetzentwurfs. Dieses Einvernehmen, so der Entwurf weiter, könne „für eine Reihe gleichgelagerter Fälle hergestellt werden“.

Wie genau das aussieht, wird die Öffentlichkeit auf offiziellen Wegen dann vermutlich nicht erfahren. Denn im Gegensatz zu Gesetzen sind Vereinbarungen der Geheimdienste untereinander in aller Regel – wie es ihr Name nahelegt – geheim oder zumindest nicht öffentlich zugänglich.

Neben der Transparenz könnte es aber auch Probleme mit der Effizienz der Arbeit geben, glaubt Corbinian Ruckerbauer von interface. Er koordiniert das European Intelligence Oversight Network (EION), das Nachrichtendienstkontrolleur:innen und anderen Expert:innen eine Plattform für regelmäßigen und strukturierten Austausch bietet. „Mit der Ausweitung der Befugnisse des MAD verschärft sich das Problem der überlagernden Zuständigkeiten der unterschiedlichen Geheimdienste im Zusammenhang mit der Bundeswehr“, schreibt Ruckerbauer gegenüber netzpolitik.org. Eine klare Abgrenzung zwischen den Diensten falle zunehmend schwer. „Das birgt erhebliche Risiken für die Effizienz der Arbeit der Sicherheitsbehörden einerseits und der Effektivität der Kontrolle andererseits.“

Dienstvorschrift als Transparenzproblem

Eine Vorliebe für nicht-gesetzliche Regelungen zeigt sich auch bei der Liste der „nachrichtendienstlichen Mittel“, die der MAD künftig nutzen sollen darf. Paragraf 8 des Gesetzentwurfs enthält insgesamt 15 Punkte: von „verdeckte Nachforschungen und verdeckte Befragungen“ bis zu „Einsichtnahme in Systeme der Informations- und Kommunikationstechnik“. Doch wenn künftig neue entsprechende Spionagemethoden dazukommen, soll dafür keine Gesetzesänderung notwendig sein. Eine Dienstvorschrift würde reichen, wenn das neue Werkzeug vergleichbar mit der Liste ist, es keine spezielle gesetzliche Regelung braucht und der Unabhängige Kontrollrat zustimmt.

Auch bei diesen Dienstvorschriften ist davon auszugehen, dass sie nicht von vornherein der Öffentlichkeit zugänglich sind – anders als ein Gesetz. „Wesentliche nachrichtendienstliche Mittel brauchen eine klare gesetzliche Grundlage“, schreibt Ruckerbauer dazu. „Ein einfacher Verweis auf Dienstvorschriften beeinträchtigt die demokratische Kontrolle des MAD und ist verfassungsrechtlich fragwürdig“, so der Experte für Geheimdienstkontrolle.

Virtuelle Agenten

Der Gesetzentwurf macht auch klar, dass sich der sehr weite Informationsbegriff auf digitale und analoge Informationen gleichermaßen bezieht. Für die Aufgabenerfüllung des MAD sei es egal, ob Beschaffung und Verarbeitung „realweltlich oder im Cyberraum“ stattfinden. Dazu passt es auch, dass es besonders im digitalen Raum jede Menge neue Kompetenzen für den Militärgeheimdienst geben soll.

Eine davon ist der Einsatz „virtueller“ Agent:innen. Dabei bahnen Geheimdienst-Mitarbeitende verdeckt Kontakt zu Zielpersonen auf Online-Plattformen oder in Chatgruppen an. Das ist keine unbekannte Geheimdienstpraxis. So schickte etwa der Bundesverfassungsschutz laut Berichten der SZaus dem Jahr 2022 seine Mitarbeitenden in digitale rechtsradikale Kommunikationskanäle. Dort lasen die Spione nicht nur mit, sondern stimmten in volksverhetzende Inhalte ein – um sich Vertrauen zu erarbeiten.

Fachleute kritisierten damals, dass es für solche digitalen Undercover-Ermittlungen bislang an einer expliziten Rechtsgrundlage fehle und dadurch etwa nicht klar geregelt sei, ab wann der Geheimdienst zu diesen Mitteln greifen darf. Für den MAD soll das nun offenbar geändert werden. Besonders geht es dabei um Fälle, wo sich Geheimdienstmitarbeitende nicht nur etwa in einschlägigen Foren und Kanälen aufhalten, sondern unter einer Tarnidentität besonderes Vertrauen zu Personen aufbauen. Dadurch versuchen sie mehr Informationen zu erhalten, als sie dies durch reines Mitlesen bekommen würden.

Begründet wird dies mit „der zunehmenden Bedeutung von Internetplattformen und sozialen Netzwerken wie Instagram, Facebook, LinkedIn, MySpace (sic!) oder X für das Kommunikationsverhalten in der Bevölkerung“.

Wenn „fremde Mächte“ angreifen

Weit mehr als eine Anpassung der Rechtsgrundlage an gängige Geheimdienstpraktiken dürften auch die Paragrafen zum „Auslesen technischer Spuren informationstechnischer Angriffe fremder Mächte“ und zu damit verbundenen Auskunftsverlangen sein. Sie reagierten „insbesondere auf die immer relevanter werdenden Cyberangriffe“, schreibt eine Sprecherin des Verteidigungsministeriums auf Anfrage von netzpolitik.org. Derzeit sei das nicht erlaubt.

Man erhofft sich davon, besonders komplexe Angriffe aufklären zu können, „bei denen einzelne informationstechnische Systeme gezielt als Teil einer komplexeren Angriffsinfrastruktur eingesetzt werden.“ Dabei müssen diese Systeme nicht immer den Angreifern selbst gehören. Sie können beispielsweise auch über infizierte Drittsysteme Schadsoftware verteilen oder die Verfügbarkeit von Online-Diensten beeinträchtigen.

Zur Auskunftspflicht für Dienste-Anbieter heißt es etwa in der Gesetzesbegründung: „Für einen Angriff werden auch Server genutzt, die in keinem unmittelbaren Bezug zu einer fremden Macht stehen, insbesondere auch Einrichtungen kommerzieller Hostinganbieter.“ Mit der Auskunftspflicht solle man Informationen „vorrangig ohne systeminvasive Maßnahmen“ erlangen können. Doch ausschließlich in Deutschland ansässige Anbieter wären von dieser Pflicht betroffen: Angriffsinfrastruktur im Ausland soll weiterhin „originär vom Bundesnachrichtendienst aufgeklärt“ werden.

Führen mehr Kontrollinstanzen zu mehr Kontrolle?

Die geplanten erweiterten Befugnisse bräuchten auf der anderen Seite eine starke Geheimdienstkontrolle. So heißt es schon im Vorspann des Gesetzentwurfs, dass das bisherige MAD-Gesetz „Vorgaben aus mehreren Entscheidungen des Bundesverfassungsgerichts zum Recht der Sicherheitsbehörden“ nicht gerecht werde. Es brauche unter anderem eine unabhängige „Kontrolle von bestimmten Maßnahmen des Militärischen Abschirmdienstes“.

Um die umzusetzen, will die Bundesregierung eine neue Zuständigkeit etablieren: die des Amtsgerichts in Köln bei „besonderen Befugnissen“. Die gibt es bei besonders eingriffsintensiven Geheimdienstmaßnahmen, beispielsweise wenn V-Personen oder virtuelle Agenten Zielpersonen länger als ein halbes Jahr ausspionieren. Oder wenn es Maßnahmen gegen Berufsgeheimnisträger:innen wie Medienschaffende oder Anwält:innen gibt.

Löst eine neue Kontrollinstanz die Aufsichtsprobleme, die es immer wieder bei Geheimdiensten gibt? Ruckerbauer mahnt, Schwarz-Rot müsse bei der Reform darauf achten, „dass sie die Kontrolllücken im militärischen Bereich schließt und keine neuen entstehen“. Er empfiehlt: „Das Parlamentarische Kontrollgremium sollte zukünftig beispielsweise dringend auch das Militärische Nachrichtenwesen und dessen Zusammenwirken mit MAD und BND unter die Lupe nehmen dürfen.“

Warum gerade das MAD-Gesetz?

Unabhängig davon, was im neuen MAD-Gesetz am Ende steht, bleibt eine grundsätzliche Frage offen: Warum geht die Bundesregierung das Gesetz für den militärischen Geheimdienst separat an und führt die notwendigen Reformen für alle deutschen Bundesgeheimdienste nicht gemeinsam durch?

„Die Erfahrungen aus der Ampelkoalition lehren, dass die umfassende Geheimdienstreform nicht weiter verschoben werden sollte“, sagt Ruckerbauer. „Stattdessen muss die Bundesregierung schnell die verfassungsgerichtlich festgestellten Defizite des Rechtsrahmens und der Kontrolle mit einer ganzheitlichen Reform angehen.“

Auch Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag und stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, pocht auf eine Gesamtreform: „Eine grundlegende Reform des Rechts der Nachrichtendienste ist lange überfällig. Sie wurde auch vom Bundesverfassungsgericht wiederholt angemahnt. Dennoch sind die höchstrichterlichen Vorgaben bis heute nur teilweise umgesetzt“, so der Abgeordnete, der sich seit vielen Jahren mit Geheimdiensten auseinandersetzt. „Neben neuen rechtlichen Grundlagen für die tägliche Arbeit der Nachrichtendienste braucht es unbedingt eine Stärkung der parlamentarischen Kontrolle als Grundlage für notwendiges Vertrauen.“

Notz bedauert, dass begonnene Bemühungen der früheren Ampelregierung bis heute nicht zu einer ganzheitlichen Geheimdienstreform geführt haben: „Statt die Reform ganzheitlich für alle drei Nachrichtendienste des Bundes anzugehen, legt man nun mit der Reform des MAD-Gesetzes nur einen Teil der Reform vor.“ Und die sei „noch stark überarbeitungsbedürftig“.

Nach einer ersten Lesung im Parlament arbeiten die Abgeordneten nun in den Ausschüssen weiter an dem Gesetz. Die weiteren Gesetzesgrundlagen für BND und Verfassungsschutz dürften aber nicht lange auf sich warten lassen. Sie seien bereits in Arbeit, hieß es bei einer öffentlichen Anhörung der Geheimdienstchefs im Bundestag.

Anna Biselli ist Co-Chefredakteurin bei netzpolitik.org. Sie interessiert sich vor allem für staatliche Überwachung und Dinge rund um digitalisierte Migrationskontrolle.  Kontakt: E-Mail (OpenPGP), Mastodon, Telefon: +49-30-5771482-42 (Montag bis Freitag jeweils 8 bis 18 Uhr). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Datenschutzreform: Kommt der Kahlschlag?

Schwarz-Rot hat weitreichende Reformen beim Datenschutz angekündigt.

„Im Sinne der Wirtschaft“ soll unter anderem die Aufsicht neu geregelt werden. Inzwischen liegen zahlreiche konkrete Vorschläge vor, unter anderem von SPD und Landesdatenschützer:innenn, nur die Union gibt sich verschlossen.

Die schwarz-rote Koalition hat sich für die nächsten Monate einiges vorgenommen. Ein „Herbst der Reformen“ soll es werden, sagt der Bundeskanzler, und meint dabei vor allem Einsparungen beim Sozialstaat. Eine andere Reform steht weniger im Fokus der Öffentlichkeit, führt aber in Fachkreisen seit Monaten zu intensiven Debatten. Es geht um den Datenschutz, auch hier hat die Koalition sich weitreichende Maßnahmen vorgenommen.

So haben CDU/CSU und SPD in ihrem Koalitionsvertrag (PDF), verabredet, sich auf europäischer Ebene für umfassende Ausnahmen der Datenschutzgrundverordnung (DSGVO) „für nicht-kommerzielle Tätigkeiten (zum Beispiel in Vereinen), kleine und mittelständische Unternehmen und risikoarme Datenverarbeitungen (zum Beispiel Kundenlisten von Handwerkern)“ einzusetzen. Auf nationaler Ebene sollen Spielräume der DSGVO genutzt werden, und für mehr Kohärenz und „Vereinfachungen für kleine und mittlere Unternehmen, Beschäftigte und das Ehrenamt“ zu sorgen.

Besonders intensiv debattiert werden Pläne zur Veränderung der Aufsichtsstruktur im nicht-öffentlichen Bereich, also bei nicht-staatlichen Akteur:innen. So strebt Schwarz-Rot hier „im Interesse der Wirtschaft“ eine Bündelung von Zuständigkeiten und Kompetenzen bei der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) an. Die Bundesbehörde soll zudem umbenannt werden und künftig auch Beauftragte für Datennutzung heißen. Zudem soll die Datenschutzkonferenz (DSK), in der die Datenschutzbehörden von Bund und Ländern sich informell koordinieren, gesetzlich verankert werden.

Überlastete Aufsicht

Da CDU-Chef Friedrich Merz im Wahlkampf mit markigen Worten einen Kahlschlag beim Datenschutz angekündigt hat, lassen diese Vorhaben bei vielen Datenschützer:innen die Alarmglocken läuten. Allerdings: Dass sich in Sachen Aufsicht etwas tun muss, dafür plädiert längst nicht mehr nur die Wirtschaft. So spricht auf Anfrage auch Frederick Richter, Vorstand der (staatlichen) Stiftung Datenschutz von einer „überlasteten regionalen Datenschutzaufsicht“ und Problemen mit uneinheitlicher Auslegung der Datenschutzgesetze.

Die Datenschutzbehörden selbst weisen zwar in der Regel den Vorwurf der Uneinheitlichkeit von sich, bringen sich jedoch auch mit eigenen Vorschlägen in die Debatte ein. „Die Rechtsanwendung muss vereinheitlicht, eine zentrale Koordinierung geschaffen werden“, heißt es beispielsweise in der Überschrift eines Gastbeitrages, den Thomas Fuchs, Meike Kamp und Alexander Roßnagel kürzlich in der FAZ [€] veröffentlichten. Das sind die Datenschutzbeauftragen von Hamburg, Berlin und Hessen. Meike Kamp ist derzeit zudem die Vorsitzende der Datenschutzkonferenz.

Die große Frage ist allerdings, wie genau die im Koalitionsvertrag beschriebene „Bündelung von Zuständigkeiten und Kompetenzen“ aussehen soll.

Entsteht eine Riesenbehörde beim Bund?

Die nur vermeintlich einfachste Lösung wäre eine umfassende Zentralisierung. Also: Die Landesbehörden verlieren die gesamte Aufsichtskompetenz über die Wirtschaft und den sonstigen nicht-öffentlichen Bereich. Zuständig wäre dann die Bundesbeauftragte, die bislang neben Bundesbehörden lediglich ein paar staatliche Unternehmen und Telekommunikationskonzerne überwacht. Laut geleakter Zwischenstände der Koalitionsverhandlungen favorisierten CDU und CSU diese Variante.

Wenn die Zentralisierung nicht zu einem Freifahrtschein für die Wirtschaft werden soll, ginge das wohl nur mit erheblichem Personalausbau bei der BfDI. Fuchs, Kamp und Roßnagel berichten von etwa 70.000 Fällen, die die Landesbehörden im nicht-öffentlichen Bereich pro Jahr bearbeiten. Tendenz: steigend. Um mit dieser Last fertigzuwerden, müsste die Behörde der Bundesbeauftragten ihrer Schätzung nach von 430 auf etwa 900 Stellen anwachsen. Eine neue Mega-Behörde also? „Dass sehr große Behörden unbürokratischer arbeiten, wäre mir neu“, kommentiert Meike Kamp gegenüber netzpolitik.org.

In jedem Fall müssten bei einer Zentralisierung auch die Bundesländer mitspielen, deren Aufsichtsbehörden um Kompetenzen beschnitten würden. Frederick Richter betont, dass die dadurch freiwerdenden Stellen nicht wegfallen dürften. „Denn sämtliche Behörden sind strukturell unterausgestattet, und die vorhandenen Belegschaften könnten sich dann komplett auf die Aufsicht im öffentlichen Bereich konzentrieren, sodass dort sofort die Unterausstattung behoben wäre.“ Ob die Bundesländer das wollen?

Weniger Zentralisierung, mehr Bündelung

Für Kamp jedenfalls steht fest, dass die föderale Struktur der Datenschutzaufsicht zahlreiche Vorteile habe. Sie sichere nicht nur Nähe zu den Betroffenen und der lokalen Wirtschaft, sondern verhindere auch, „dass Datenschutz durch Druck auf eine einzige Stelle ausgehebelt wird“, so die Berliner Datenschutzbeauftragte. Ihr ist wichtig zu betonen, dass Datenschutzaufsicht nicht nur Beratung von Unternehmen bedeute, „sondern vorrangig Grundrechtsschutz durch Hilfestellungen für betroffene Personen sowie Prüfungen vor Ort.“ Dies falle in der aktuellen Debatte manchmal unter den Tisch.

Gemeinsam mit Thomas Fuchs und Alexander Roßnagel macht sie deshalb eine Reihe anderer Vorschläge für eine verbesserte Aufsichtsstruktur. So wünschen sie sich eine Institutionalisierung der Datenschutzkonferenz, die bislang informell arbeitet und künftig verbindliche Beschlüsse fassen könnte. Für eine zentrale Koordination der DSK sollte ihrer Meinung nach eine Geschäftsstelle bei der BfDI eingerichtet werden. Außerdem schlagen sie ein zentrales Online-Portal vor, über das Beschwerden und Datenpannen gemeldet und dann verteilt werden können. Bislang müssen Bürger:innen und Unternehmen sich je nach Bundesland mit unterschiedlichen Meldewegen herumschlagen.

Darüber hinaus regen die drei Datenschützer:innen an, die Potenziale zur Entbürokratisierung zu nutzen, die die DSGVO bereits vorsieht. Dazu gehören etwa Zertifizierung und verbindliche Verhaltensregeln von Verbänden, die bislang kaum genutzt werden und künftig von der BfDI koordiniert werden könnten. Auch Standardisierung und Normierung könnten entlastend wirken; die BfDI sollte stellvertretend für alle Behörden in entsprechenden Gremien mitwirken. Und auch die Technologieberatung sollte zentral von der BfDI übernommen werden, so Fuchs, Kamp und Roßnagel.

Ihr wohl weitgehendster Vorschlag: Für überregionale Unternehmen und Forschungsvorhaben soll nur eine einzige Behörde zuständig sein. Außerdem soll ein „Einer-für-alle-Prinzip“ gelten, bei dem eine Aufsichtsbehörde Prüfungen vornimmt, deren Ergebnis auch für die anderen Behörden verbindlich sind. Das wäre ein Modell der Bündelung, bei dem die Aufsicht für den Großteil der Unternehmen bei den Landesbehörden bleibt, schließlich machen kleine und mittlere Unternehmen laut Fuchs, Kamp und Roßnagel 99,3 Prozent der Wirtschaftsakteure aus.

In diese Richtung denkt auch Frederick Richter von der Stiftung Datenschutz, geht jedoch etwas weiter. Auch er hält eine umfassende Zentralisierung der Aufsicht beim Bund für keine gute Lösung, weil regionale Unternehmen und Vereine von regionaler Beratung und Aufsicht profitieren würden. Stattdessen spricht er sich aber für eine alleinige Zuständigkeit der BfDI für überregionale und internationale Unternehmen aus, also eine Teilzentralisierung.

SPD legt Fokus auf verbesserte Zusammenarbeit

Welche Richtung wird die Bundesregierung einschlagen? Derzeit will sie sich nicht in die Karten blicken lassen. Auf Anfrage schreibt uns das Innenministerium lediglich: „Die Bundesregierung beabsichtigt, in Umsetzung der Vorgaben aus dem Koalitionsvertrag diese Legislaturperiode das Bundesdatenschutzgesetz zu reformieren.“ Die betroffenen Stellen innerhalb der Regierung stünden dazu im Austausch; Zwischenstände laufender Abstimmungen zu Gesetzgebungsvorhaben teile man grundsätzlich nicht.

Auch Johannes Schätzl, digitalpolitischer Sprecher der SPD-Fraktion im Bundestag, schreibt uns, dass sich die Reformvorhaben derzeit noch in laufenden Abstimmungsprozessen befinden. „Ein konkreter Zeitplan zur Umsetzung liegt noch nicht vor.“

Immerhin macht Schätzl deutlich, wo die Prioritäten seiner Meinung nach liegen sollten. „Unser wichtigstes Ziel in den Koalitionsverhandlungen war es, die Kohärenz und Einheitlichkeit der Auslegung der Datenschutzregelungen seitens der Aufsichtsbehörden zu stärken und die institutionelle Verankerung der Datenschutzkonferenz gesetzlich festzuschreiben.“ Sie müsse rechtlich verankert und durch eine zentrale Geschäftsstelle gestärkt werden. Außerdem müsse sie verbindliche Schlüsse fassen können.

Der Schritt, Aufsichtskompetenzen zur BfDI zu verlagern, habe dahingegen „tiefgreifende Folgen, da er eine umfassende Neuorganisation erfordern und die Arbeit der Datenschutzbehörden für längere Zeit noch herausfordernder gestalten würde“, so Schätzl weiter. „Zudem würden Unternehmen ihre vertrauten Ansprechpartnerinnen und Ansprechpartner in den Ländern verlieren, während die BfDI erst erhebliche neue Kapazitäten aufbauen müsste.“

Die SPD plädiere stattdessen für „eine sinnvolle Kompetenzbündelung, die tatsächliche Erleichterung etwa durch schnellere Bearbeitung ähnlich gelagerter und landesübergreifender Anfragen ermöglicht, ohne die Beratungsbedürfnisse lokaler Unternehmen zu vernachlässigen.“

Ob das auch der Koalitionspartner so sieht? Wir haben dem Sprecher der AG Digitales und Staatsmodernisierung der CDU/CSU-Fraktion, Ralph Brinkhaus, mehrere Fragen geschickt. Als einziger von uns angefragter Bundestagsabgeordneter hat er keine einzige davon beantwortet, sondern teilt lediglich vage mit, man arbeite an den von uns genannten Themen.

Auch Opposition will Datenschutzkonferenz stärken

Klar fallen hingegen die Antworten der demokratischen Oppositionsparteien im Bundestag aus. Eine mögliche Zentralisierung „käme einer Entmachtung der bisher zuständigen Landesbeauftragten gleich“, schreiben Lukas Benner und Konstantin von Notz von den Grünen. Es ist sei „nicht im Interesse der vielen kleinen und mittleren Unternehmen, wenn sie keine Ansprechpartner für Datenschutzfragen und Beratung mehr in ihrer Nähe haben“, teilen der Obmann der Grünen im Innenausschuss und der Fraktionsvize mit. „Am Ende einer solchen Politik stünde weniger Datenschutz für alle und weniger Service und unabhängige Beratung für die Unternehmen.“

Dass die Reform „im Interesse der Wirtschaft“ stattfinden soll, lässt auch Sonja Lemke von der Linkspartei misstrauisch werden. Die Sprecherin für Digitale Verwaltung und Open Government fürchtet einen Abbau der Landesdatenschutzbehörden und einen „Grundrechteabbau zugunsten von Profitinteressen“.

Grundsätzlichen Reformbedarf bei der Aufsicht sehen allerdings auch Linke und Grüne. Die Kohärenz müsse durch eine verbesserte Zusammenarbeit der Behörden im Rahmen der Datenschutzkonferenz erreicht werden. Sie sollte gesetzliche verankert werden und verbindliche Mehrheitsentscheidungen treffen.

Im Sinne der Bürger:innen

Durchweg kritisch sehen Grüne und Linke hingegen die weiteren Reformvorhaben von Schwarz-Rot. Fast wortgleich antworten sie uns, dass sie „pauschale Ausnahmen“ für kleinere und mittlere Unternehmen sowie Vereine ablehnen. „Das würde in der Realität zu weniger Datenschutz und Datensicherheit für Millionen von Bürger*innen in Deutschland führen“, so Benner und von Notz. Sonja Lemke wiederum erinnert daran, dass auch kleine Unternehmen wie etwas Medizin-Start-ups oder auch Selbsthilfevereine hochgradig sensible Daten verarbeiten. Eine Umbenennung der BfDI sehen beide Parteien kritisch.

Auch Johannes Schätzl von der SPD betont: Bei den angedachten Vereinfachungen gehe es nicht darum, „Datenschutzvorgaben und bewährte Instrumente wie die betrieblichen Datenschutzbeauftragten zur Risikominimierung grundsätzlich in Frage zu stellen“. Vielmehr sollten Spielräume der DSGVO genutzt werden, um neben der Kohärenz auch Vereinfachungen für kleinere und mittlere Unternehmen und das Ehrenamt zu erreichen. Details dazu, wie dies im bestehenden rechtlichen Rahmen aussehen könnte, nennt er nicht. Die genaue Ausgestaltung werde noch verhandelt.

Unklar bleibt auch, ob die Koalition mit ihren Reformen nicht nur für Erleichterungen „im Sinne der Wirtschaft“ sorgen wird, sondern auch bestehende Probleme bei der Durchsetzung des Datenschutzes angeht. Denn dass es auch dort Handlungsbedarf gibt, zeigen immer wieder Recherchen nicht nur unseres Mediums. Sei es beim Werbe-Tracking, beim Datenhandel oder bei Einwilligungen im Handy-Shop oder in der Sparkasse – an vielen Stellen funktioniert der Datenschutz für Bürger:innen nicht. Jede Reform wird daran zu messen sein, ob sie auch daran etwas ändert.

Ingo Dachwitz ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Er schreibt häufig über Datenmissbrauch und Datenschutz, Big Tech, Plattformregulierung, Transparenz, Lobbyismus, Online-Werbung, Wahlkämpfe und die Polizei. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet. Ingo ist Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. Seit 02/2025 ist sein Buch erhältlich: “Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen” Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

#Palantir: #Dobrindt ist „in höchstem Maße unglaubwürdig“

Neu-Innenminister Dobrindt schließt die Nutzung der umstrittenen Software von Peter Thiels Palantir nicht aus. Der Grüne #KonstantinVonNotz fordert in diesem „verfassungsrechtlich extrem heiklen Feld“ die Beachtung der Bundestagsbeschlüsse und wirft Dobrindt Sonntagsreden bei der digitalen #Souveränität vor. #Thiel #PeterThiel https://netzpolitik.org/2025/palantir-dobrindt-ist-in-hoechstem-masse-unglaubwuerdig/

Ich wurde vorhin von Frau #BettinaHagedorn #SPDOstholstein persönlich beflyert. 👍🤗
Ich mag Frau Hagedorn ja... 🤗
Danke für den schicken Kuli und Beutel. 🙏🫶

Und wann beflyert mich #KonstantinvonNotz 🤔
Ich hätte gern noch nen #TeamHabeck / #grunen Stoffbeutel und Kuli.
😁😂🤗

#infoTröds
#TeamHabeck
#die_grunen
#SPD
#Bürgernähe

Vorurteile über Politiker und deren Wahrheitsgehalt

Nur Fern­seh­mo­de­ra­to­ren und Ban­ker sind schlech­ter ange­se­hen: 6% der Deut­schen zäh­len laut Allens­bach-Insti­tut Men­schen, die in der Poli­tik tätig sind, zu den Berufs­grup­pen, vor denen sie am meis­ten Ach­tung haben. Über Poli­tik kann man immer meckern. Und über „die da oben“ alle mal. Was aber ist dran an dem, was oft über Poli­ti­ke­rin­nen und Poli­ti­ker gesagt wird?

[…]

https://kaffeeringe.de/2014/04/05/vorurteile-ueber-politiker-und-deren-wahrheitsgehalt/

#Abgeordnetenwatch #AlbertStegemann #AlexandraDingesDierig #Allensbach #AnkeSpoorendonk #ArfstWagner #BettinaHagedorn #BirgitMalechaNissen #Bundestag #Bündnis90DieGrünen #CDU #ChristelHappachKasan #ChristineAschenbergDugnus #CorneliaMöhring #CSU #Demokratie #DieLinke #ErnstDieterRossmann #FDP #FranzThönnes #GabrieleHillerOhm #GeroStorjohann #HansMichelbach #HansPeterBartels #IngbertLiebing #JohannWadephul #JürgenKoppelin #KonstantinVonNotz #LobbyControl #LuiseAmtsberg #MarkHelfrich #MatthiasIlgen #NicoLumma #NinaScheer #NorbertBrackmann #OleSchröder #PeterGauweiler #PhilippMurmann #Politik #RajuSharma #RolfKoschorrek #SabineSütterlinWaack #SebastianBlumenthal #SönkeRix #SPD #StephanHarbarth #ThomasStritzl #TorstenAlbig #ValerieWilms