Wird ein Telefon abgehört oder die Internetnutzung überwacht, sollen die Ergebnisse künftig „sicher“ auf elektronischem Weg ausgetauscht werden. Ein Gesetzesentwurf des Justizministers soll eine zweifelhafte Praxis beheben. Doch der Text hat selbst gravierende Mängel.
Meist sind Gutachten zu Gesetzen höfliche Verbesserungsvorschläge, gewürzt mit Hinweisen auf falsche Satzzeichen. Doch die Datenschutzkommission CNPD äußert offen Unverständnis über einen aktuellen Gesetzesentwurf des Justizministers Felix Braz (Déi Gréng). Es geht um die Schaffung einer „gemeinsamen Plattform zur sicheren elektronischen Übertragung“. Sie soll zum Einsatz kommen, wenn die Justiz oder der Geheimdienst etwa das Telefon eines Verdächtigen abhören lassen.
Es geht also um hochsensible Daten. Überwacht der Staat die Kommunikation einer Person, ist das ein schwerwiegender Eingriff in die Privatsphäre. Zudem geht es um schwere Straftaten oder um Terrornetzwerke, die der Geheimdienst aufdecken möchte. Doch anstatt höchste Sorgfalt walten zu lassen, verrät sowohl die aktuelle Praxis als auch die künftige Plattform ein bizarres Verständnis von Datenschutz.
Ermittlungsgeheimnisse offen im Regal
Es gebe aktuell Probleme bei der Vertraulichkeit, erklärt das Justizministerium. Will die Kriminalpolizei oder der Geheimdienst eine Person abhören lassen, dann fahren sie aktuell mit dem Antrag auf Papier zum Telekom-Dienstleister und händigen diesen aus. Doch dabei handelt es sich um richterliche Anordnungen, die Details enthalten, die unter das Ermittlungsgeheimnis fallen: Was wird der Person vorgeworfen, wer sind mögliche Mittäter und welche Maßnahmen plant die Polizei.
Das Erschreckende: Nicht nur der zuständige Mitarbeiter des Dienstleisters bekommt diese Details zu sehen. Die Unternehmen klassieren diese Anordnungen in gewöhnlichen Ordnern. Diese seien für einen Großteil der Mitarbeiter einfach so zugänglich – ohne Absicherung. Der Datenschutz, der Schutz der Privatsphäre und die Vertraulichkeit der Ermittlung seien deshalb gefährdet, heißt es in der Begründung des Gesetzes.
Denn: „Was passiert, wenn ein Mitarbeiter des Telekom-Dienstleisters eine der implizierten Personen kennt? Tendiert er dann nicht dazu, die Person über die Ermittlungen zu informieren oder Gerüchte zu streuen?“, so das Justizministerium. In einem kleinen Land wie Luxemburg könne dies nicht ausgeschlossen werden, schreiben die Beamten etwas euphemistisch.
Was Sicherheit bedeutet
Diese sehr grundsätzlichen Probleme sollen behoben werden durch eine elektronische Plattform, auf der Telekom-Dienstleister und Behörden Daten austauschen. Das sei für die Beamten einfacher und zudem müssten so weniger Informationen an die Dienstleister mitgeteilt werden, so das Argument des Justizministeriums. Allerdings wendet die Datenschutzkommission in ihrem Gutachten ein, dass die Unternehmen wie etwa Post die richterlichen Anordnungen nicht anfechten können, wenn sie keine Details kennen.
Der Entwurf legt vor allem aber den Schwerpunkt auf Sicherheit. Die elektronische Plattform erlaube es, dass nur die Personen von den Anordnungen zum Abhören erfahren, die es wissen müssen. Der Zugang wird etwa über „Log-Files“ kontrolliert: Wer hat wann was auf der Plattform angeschaut oder gesucht. Warum diese Plattform allerdings erst jetzt eingeführt wird, obwohl ein ähnliches System für Bankdaten seit 2010 besteht, bleibt offen.
Doch der Entwurf hat ein weiteres grundlegendes Problem: Der Text verspricht bereits im Titel ein System, das „sicher“ (sécurisé) sei. Doch der Text führt nicht aus, wie diese Sicherheit zustande kommt, kritisiert die CNPD. Zudem liegt kein Entwurf für eine entsprechende großherzogliche Verordnung vor, die das Gesetz im Einzelnen ausführen soll.
Die CNPD listet die Bedingungen auf, damit die Plattform tatsächlich sicher wäre. Verschlüsselte Kommunikation, eine abhörsichere Leitung unter Kontrolle des Staates, ein Zugang zum System von einem gesicherten Raum aus, keine Möglichkeit, die Log-Files zu verändern – und das ist nur eine Auswahl.
Widersprüche und Lücken
Der Entwurf enthält mehrere Widersprüche. Unter die Überwachung fällt etwa auch das Abfangen der Post. Doch wie kann ein Brief über eine elektronische Plattform ausgetauscht werden, fragt die CNPD. Außerdem lässt das Justizministerium letztlich den Behörden die Wahl, ob sie die Plattform nutzen. Denn die Prozedur auf Papier wird nicht ausdrücklich abgeschafft.
Schließlich regelt der Text auch die Nutzung der Vorratsdatenspeicherung. Diese wird in Luxemburg weitergeführt, obwohl der Europäische Gerichtshof bereits zweimal urteilte, dass das Prinzip dieser Überwachungsmaßnahme gegen Grundrechte verstößt. Unklar bleibt auch, wer für die Plattform verantwortlich ist – gerade was den Datenschutz angeht.