Datenbasierte Nachrichtendienstkontrolle. Agenda für mehr Wirksamkeit

Policy Brief

Download des Papiers als PDF

Überwachungstechnologien entwickeln sich rasant. Nachrichtendienste auf der ganzen Welt treiben diese facettenreiche Entwicklung voran. In vielen Ländern besteht die Gefahr, dass Kontrollmechanismen mit diesem Trend nicht Schritt halten können. Moderne Datenanalysemethoden bergen zahlreiche Risiken in Bezug auf Datenmissbrauch und die Umgehung rechtlicher Standards. Hinzu kommt ein Mangel an leistungsfähigen Werkzeugen, Ressourcen und technischem Fachwissen, der eine wirksame Kontrolle noch zusätzlich untergräbt. Deswegen sind Aufsichtsgremien jetzt gefordert, effektivere Kontrollinstrumente einzufordern, zu entwickeln und einzusetzen. Die wachsenden Datenmengen, die im Nachrichtendienstbereich erfasst und verarbeitet werden, werden von den bestehenden rechtlichen Schutzmaßnahmen nicht adäquat berücksichtigt und überfordern die Kontrolle in der Praxis.

Einige Aufsichtsgremien in Europa haben im Laufe der letzten Jahre einen deutlich verbesserten Zugang zu den IT-Systemen und Datenbanken der Nachrichtendienste erhalten. Diese Studie nimmt diese Entwicklung zum Anlass, um mit Blick auf bekannte Herausforderungen bei verschiedenen Kontrollvorgängen über neue Lösungen nachzudenken. Wie könnte ein besserer Zugang zu den informationstechnischen Systemen noch sinnvoller als bisher genutzt werden? In dieser Studie schlagen wir sieben Ansätze für eine datenbasierte Kontrolle von nachrichtendienstlichen Tätigkeiten vor, die aus unserer Sicht Teil einer Reformagenda werden sollten. Einige der von uns vorgeschlagenen Instrumente werden bereits von Pionieren der nachrichtendienstlichen Aufsicht genutzt, während andere Praktiken sicsich in anderen Sektoren, wie der Finanzaufsicht und der IT-Sicherheit, bewährt haben.

Die folgende Tabelle fasst Herausforderungen für die nachrichtendienstliche Aufsicht zusammen (linke Spalte), und stellt ihnen Innovationen gegenüber (rechte Spalte), mit denen diese Herausforderungen wirksam begegnet werden könnte.

 

Herausforderungen Lösungsvorschläge
Intransparente Filtertechnologie: Mitunter sieht das nationale Nachrichtendienstrecht strengere Datenschutzregeln für bestimmte Personengruppen vor. Um diese zu gewährleisten, werden die erhobenen Daten mittels umfangreicher technischer Verfahren gefiltert und gelöscht. Derartige ‘Datenreduktion’ ist für die Einhaltung der gesetzlichen Vorgaben entscheidend. Diese Filter werden jedoch selten einer unabhängigen Überprüfung auf Genauigkeit und Zuverlässigkeit unterzogen. (A) Unabhängige Überprüfung der Datenfilter: Ein direkter Zugriff auf die gespeicherten Daten der Dienste ermöglicht es den Aufsichtsbehörden, die Genauigkeit der Datenfilterung zu testen. Dabei werden die Datenbanken mit Suchprogrammen nach Identifikatoren (z. B. Telefonnummern) durchsucht, die in den gefilterten Daten nicht enthalten sein sollten.
Missbräuchliche Datenbankabfragen: Immer öfter werden Fälle von illegaler und unangemessener Datennutzung öffentlich. Zum Beispiel wenn persönliche Daten ohne ausreichenden sachlichen Grund abgerufen werden und kein ausreichender Schutz gegen solchen Missbrauch vorhanden ist. (B1) Mustererkennung: Nutzung von Software
zur automatischen Analyse und Visualisierung
der Nutzung von Datenbanken. Die Aufsichtsbehörden können damit die Protokolldateien auf potenziell verdächtige Muster prüfen.
Unzureichend kontrollierte nachrichtendienstliche
Zusammenarbeit:
Den meisten Aufsichtsbehörden fehlen Mechanismen, um zu prüfen, ob und wie die nationalen Nachrichtendienste Daten an ausländische Stellen weitergeben. Dementsprechend fehlt eine wirksame Kontrolle über die Verwendung der geteilten Daten.
(B2) Warnmeldungen bei riskantem Datenaustausch:
Automatisierte Benachrichtigungen informieren Aufsichtsgremien über kennzeichnungspflichtige Datenweitergabe und ermöglichen gezielte Inspektionen im Nachgang.
Speicherfristen durchsetzen: Wenn Analyst:innen oder Systemadministrator:innen Daten aus Quellen zusammenführen, für die unterschiedliche Speicherfristen gelten, können die Daten unter Umständen auch nach Ablauf der Fristen in Datenbanken gespeichert bleiben und verwendet werden. (B3) Lösch-Statistiken: Löschvorgänge werden in gut strukturierten Protokolldateien aufgezeichnet, so dass Aufsichtsorgane Unstimmigkeiten in den statistischen Mustern erkennen und aufspüren können.
Unwissen über den praktischen Umgang mit Anordnungen: Die Aufsichtsbehörden haben Mühe, mit der großen Zahl von Anträgen auf Überwachungsmaßnahmen Schritt zu halten. Es fehlt ihnen die Möglichkeit, den Umgang der Nachrichtendienste mit den genehmigten Datenerhebungen in der Praxis nachzuverfolgen. Diese Kontrolle wäre allerdings wichtig, da auch mit genehmigten Überwachungsdaten unzulässige Grundrechtseingriffe einhergehen können. (B4) Nachverfolgung von Anordnungen: Die
digitale Dokumentation von Überwachungsanordnungen ermöglicht es den genehmigenden Gremien die Notwendigkeit neuer Anordnungen im Lichte der abgeschlossenen und bereits laufenden Überwachungsmaßnahmen zu beurteilen. Zudem können unzureichend begründete Anträge bzw. unzulässige Wiederholungen in den Antragsbegründungen aufgespürt werden.
Knappe Ressourcen: Die Aufsichtsbehörden setzen ihre begrenzten Ressourcen noch zu unsystematisch und ineffektiv ein. (C) Risikoabschätzung: Zur besseren Planung und Priorisierung ihrer Kontrolltätigkeiten führen die Aufsichtsbehörden eine umfassende Risikobewertung durch. Auf Basis von Risiko-Punkten, die für die Missbrauchsgefahr einzelner Datenbanken vergeben werden, kann eine Priorisierung von Kontrollaufgaben und Inspektionen vorgenommen werden.
Undurchsichtige Interaktion der Nachrichtendienste mit privaten Akteuren: Um Rechtsverstöße zu vermeiden, ist es besonders wichtig unzulässige Datenerfassungen an der Datenquelle zu vermeiden. Die Aufsichtsbehörden wissen aber in der Praxis zu wenig darüber, wie die Betreiber von Telekommunikations- und Internetdiensten in der Praxis mit den Sicherheitsbehörden zusammenarbeiten, um etwaige Fehler aufspüren zu können. (D) Dialog zwischen Kontrollgremien und Dienstanbietern: Ein systematischer Austausch zwischen Betreibern von Telekommunikationsdiensten und Aufsichtsgremien ermöglicht es den Prüfer:innen die Implementierung der Datenerhebung genauer nachzuverfolgen. In Verbindung mit einer Fehler Meldepflicht auf Seiten der Provider kann so die Einhaltung gesetzlicher Vorgaben an der Schnittstelle zu den privaten Betreibern gefördert werden.

 

Wir laden politische Entscheidungsträger:innen in Parlamenten und Regierungen, sowie Vertreter:innen von Nachrichtendiensten und Aufsichtsgremien ein, die in dieser Studie skizzierten Ideen zu diskutieren und kontextspezifische Strategien für eine datenbasierte Nachrichtendienstaufsicht zu entwickeln. Für eine erfolgreiche Umsetzung der vorgeschlagenen Instrumente, raten wir den Aufsichtsbehörden, sie nicht als Ersatz für etablierte Kontrollmechanismen zu betrachten. Sie sind vielmehr als notwendige Ergänzung zu den bestehenden Instrumenten und Inspektionsverfahren zu verstehen.

Eine Verbesserung der Nachrichtendienstaufsicht wird mehr erfordern als eine Anpassung bestehender Gesetze. Zu lange wurde versucht, technischen Herausforderungen allein mit Veränderungen des Nachrichtendienstrechts zu begegnen. Diese Studie zeigt, dass gesetzliche Vorgaben nicht wirksam durchgesetzt werden können, wenn nicht auch praktische Veränderungen beim Kontrollverfahren ergriffen werden. Es bedarf daher einer gemeinsamen Anstrengung, hin zu einer besseren Kontrollpraxis.