Im Wettlauf mit der Zeit

Die Ampel hat sich in ihrem Koalitionsvertrag bis 2025 eine umfassende Reform des Sicherheitsrechts vorgenommen. Wie so oft in dieser Legislatur kam ihr dabei jedoch etwas in die Quere – diesmal das Bundesverfassungsgericht. Karlsruhe erklärte im Herbst 2022 bestimmte Informationsübermittlungsvorschriften des Bundesverfassungsschutzgesetzes für verfassungswidrig – und setzte dem Gesetzgeber enge Fristen zur Reparatur bis Ende 2023. Nicht viel Zeit, um einen Kernbereich des Sicherheitsrechts neu zu justieren und zugleich in einem hoch volatilen politischen Umfeld angemessene Regelungen zu finden. Inzwischen liegt ein Gesetzentwurf vor, der allerdings an mehreren Stellen mit den Vorgaben aus Karlsruhe offensichtlich nicht zu vereinbaren ist.

Die Vorgaben des BVerfG an die Neuregelung der Übermittlungsbefugnisse

Das Bundesverfassungsgericht stellt in seiner aktuellen Rechtsprechung hohe Anforderungen an Datenübermittlungsvorschriften. Diese sind für den Verfassungsschutz elementar: Hat er nämlich ausreichend Anhaltspunkte für eine Gefahrenlage – zum Beispiel für Anschlagspläne – gesammelt, kann er nicht selbst aktiv werden, sondern übermittelt diese an Polizei oder Staatsanwaltschaft. Das Gericht verlangt allerdings wegen des tiefgreifenden Grundrechtseingriffes – insoweit nicht überraschend – eine Ermächtigungsgrundlage, die dem Gebot der Normenklarheit entspricht und verhältnismäßig ist, was sich nach dem in jüngeren Entscheidungen des BVerfG entwickelten Kriterium der hypothetischen Datenneuerhebung bestimmt (BVerfG, Urt. v. 26.4.2022 – 1 BvR 1619/1, Rn. 232).

Das Kriterium der hypothetischen Datenneuerhebung verlangt bei einer Datenübermittlung, dass der Verfassungsschutz die zu übermittelnden Daten nach verfassungsrechtlichen Maßstäben auch für den geänderten Zweck mit vergleichbar schwerwiegenden Mitteln neu erheben dürfte (BVerfG, Beschl. 28.9.2022 – 1 BvR 2354/12, Rn. 122 mwN). Dabei unterscheidet das BVerfG zwischen der Übermittlung nachrichtendienstlich erhobener Daten an Gefahrenabwehrbehörden mit und ohne „operative Zwangsbefugnisse“. Bei einer Übermittlung an Behörden mit operativen Zwangsbefugnissen gelten besonders strenge Anforderungen. Heißt: Es muss für ein besonders gewichtiges Rechtsgut wenigstens eine konkretisierte Gefahr bestehen. (BVerfG, Beschl. v. 28.9.2022 – 1 BvR 2354/13, Rn. 123). Diesen Vorgaben kann der Gesetzesentwurf also nur entsprechen, wenn er Übermittlungsregelungen enthält, die den Zweck des Schutzes besonders gewichtiger Rechtsgüter verfolgen und er zugleich eine Systematik vorsieht, die nach Art der Datenweiterverwendung Übermittlungsschwellen formuliert.

Welche Befugnisse enthalten die Neuregelungen – und wie sind sie zu bewerten?

Im Zentrum der Kritik – auch aus Reihen der Regierungsfraktionen – steht bisher vor allem § 20 BVerfSchG-E. Um allerdings den Hintergrund zu verstehen, ist es unerlässlich, sich zunächst einen kurzen Überblick über die Systematik der Übermittlungsvorschriften zu verschaffen:

In ihrer Systematik unterscheiden die Vorschriften nach dem Empfänger (inländische öffentliche Stellen, inländische Stellen, Strafverfolgungsbehörden) von übermittelten Daten und der möglichen Anschlussverwendung, namentlich „zur Gefahrenabwehr“ (§ 19), „zum administrativen Rechtsgüterschutz“ (§ 20) oder „zur Strafverfolgung“ (§ 21).

§ 19 Abs. 2 stellt zudem eine Zweckformulierung dar, auf die auch die übrigen Normen zurückgreifen (§ 20 Abs. 1, § 22 Abs. 3), sodass die Übermittlung im Ausgangspunkt immer zum Schutz besonders gewichtiger Rechtsgüter veranlasst sein muss. Dies – so die Gesetzesbegründung – erlaube aber zunächst nur die informationelle Anschlussnutzung durch Weiterverarbeitung beim Empfänger, zum Beispiel zur Erarbeitung eines Lagebildes. Alle Befugnisse, die darüber hinausgingen, müssten „situativen Schwellen“ genügen, die der Entwurf in den einzelnen Normen aufgestellt haben will (BT-Drs. 20/8626, S. 19).

§ 19 befasst sich mit der Übermittlung an inländische öffentliche Stellen zur Gefahrenabwehr. Die soll in Zukunft möglich sein, wenn „dies auf Grund tatsächlicher Anhaltspunkte im Einzelfall erforderlich ist“, entweder (1.) zur Abwehr einer Gefahr für die Schutzgüter des § 19 Abs. 2, „die bereits im Einzelfall besteht oder in absehbarer Zeit in bestimmter Art zu entstehen droht“ oder (2.) zur Verhinderung einer Straftat, die im Höchstmaß mit einer Freiheitsstrafe von mindestens zehn Jahren bedroht ist. Die Formulierung in § 19 Abs. 1 Nr. 1 soll die Vorgabe der konkretisierten Gefahr aufgreifen, die dann auch Anschlussbefugnisse unter Verwendung operativen Zwangs ermöglicht. Die konkretisierte Gefahr findet sich nicht wortwörtlich wieder, weil diese – so die Gesetzesbegründung – kein etablierter Begriff des Gefahrenabwehrrechts sei, sondern eine Wortneuschöpfung des BVerfG. Die Formulierung einer Gefahr, „die bereits im Einzelfall besteht oder in absehbarer Zeit in bestimmter Art zu entstehen droht“ ist also ein Versuch der tatbestandlichen Annäherung des Gesetzgebers an den Begriff der konkretisierten Gefahr.

Allerdings kann man mit guten Gründen bezweifeln, dass der Versuch, die Vorgaben des BVerfG tatbestandlich umzusetzen, tatsächlich gelungen ist. Schon die Definition der Schutzgüter in § 19 Abs. 2 BVerfSchG ist nicht zweifelsfrei: Man mag noch mit dem Gesetzgeber davon ausgehen wollen, dass „der Gedanke der Völkerverständigung“ ein besonders gewichtiges (wenn auch hinsichtlich seiner Konturenlosigkeit kritisches) Rechtsgut ist. Aber wenn sodann neben Leib, Leben, Freiheit einer Person auch „vergleichbar besonders gewichtige Rechtsgüter einer Person“ den Eingriff begründen sollen, bewegt sich der Entwurf jenseits der Bestimmtheitserfordernisse im Bereich des unzulässig Ungefähren.

Nichts anderes gilt schließlich auch für den § 20 BVerfSchG, der Kerngegenstand der (kritischen) Befassung in der Ausschussanhörung am 6. November war. § 20 des Entwurfs schließt die Anwendung operativer Befugnisse von vornherein aus, fasst den Empfängerkreis von Informationen des Verfassungsschutzes jedenfalls seinem Wortlaut nach aber sehr weit: Es kommt demnach lediglich darauf an, dass es sich um eine „inländische Stelle“ handelt. Voraussetzung ist an dieser Stelle zudem auch keine konkretisierte Gefahr, sondern „tatsächliche Anhaltspunkte im Einzelfall“, welche die Übermittlung zum Schutz der Schutzgüter erforderlich machen, wenn zudem bestimmte – von § 20 katalogartig aufgelistete – „Risikosituationen“ vorliegen.

§ 20 ist in seiner bisherigen Form – so deutlich muss man es sagen – gesetzgebungstechnisch misslungen und begegnet durchgreifenden verfassungsrechtlichen Bedenken. Man kann noch darüber streiten, ob aufgrund der fehlenden operativen unmittelbaren Zwangsbefugnisse in § 20 die Abkehr von dem Erfordernis einer konkretisierten Gefahr und damit eine noch weitere Vorverlagerung zulässig ist. Definitionen wie in § 20 Abs. 1 Nr. 3 („besondere Gelegenheiten durch besondere Sachverhalte oder Rechtsverhältnisse für Handlungen, die die Bestrebungen oder Tätigkeiten besonders fördern, zu vermeiden“) sind nicht vollzugsfähig: Wie sollen Behörden ein dreifaches „Besonders” im konkreten Fall rechtssicher anwenden?

Ebensolchen Bedenken begegnet schließlich auch die Formulierung in § 20 Abs. 1 Nr. 5, wonach der Verfassungsschutz – im Anschluss an eine detaillierten Aufzählung einzelner konkreterer Risikofaktoren – Daten auch übermitteln kann, wenn diese erforderlich sind, um „auf vergleichbare Weise das Gefährdungspotenzial der Bestrebungen oder Tätigkeiten zu reduzieren“.

Der Gesetzgeber steckt hier freilich in einem Dilemma: § 20 unternimmt den Versuch, einerseits rechtssichere Grundlagen für gezieltes nachrichtendienstliches Vorgehen gegen typisierte Risikosituationen zu formulieren, während zugleich ein – generalklauselartiger – Auffangtatbestand die notwendigen Handlungsmöglichkeiten für zukünftige, unvorhersehbare Handlungsstrukturen von Bestrebungen der unterschiedlichen Phänomenbereiche schaffen soll. Denn wer weiß schon, wie sich verfassungsfeindliche Bestrebungen und ihre Methoden in der Zukunft weiterentwickeln? Man kann dem Gesetzgeber zudem zugutehalten, dass er sich in der Gesetzesbegründung um Klarheit bemüht:

So erläutert die Gesetzesbegründung, dass die Übermittlungsschwelle in § 20 insgesamt eine „besondere situative Schwelle“, einen sog. Risikosachverhalt erfordert. Dieses konkrete Risiko soll Anhaltspunkt sein für ein spezifisch gesteigertes Gefährdungspotenzial der Bestrebungen bzw. Tätigkeiten. Dieses wiederum drücke sich in besonderen Tatmitteln (Waffen, Sprengstoff, Giftstoffe) oder besonderen Tatgelegenheiten (Zugang zu Sicherheitsbereichen oder Verschlusssachen und ähnliches) aus. Zusätzlich müsse diese qualifizierte Situation ein administratives Einwirken konkret erforderlich machen (BT-Drs. 20/8626, S. 26). Allerdings begründet alleine die Notwendigkeit für einen Auffangtatbestand – die man hier per se anerkennen kann – noch nicht die konkret gefundene Lösung. Diese ist aktuell zu unbestimmt und bedarf einer systematisch an den Katalogtatbeständen orientierten Konkretisierung, um einerseits verfassungsrechtlichen Anforderungen zu genügen und andererseits der Anwendungspraxis Rechtssicherheit zu geben.

Datenübermittlung an Private: Was erfährt mein Vermieter künftig vom Verfassungsschutz über mich?

Auch, wenn für § 20 BVerfSchG-E erkennbar eine Übermittlung an behördliche Empfänger als Vorbild diente, so ermöglicht sie durchaus auch die Übermittlung an Private. In der Vorschrift selbst ist nämlich davon die Rede, dass der Verfassungsschutz personenbezogene Daten „an inländische Stellen“ übermitteln darf. Inländische Stellen können auch Private sein. So erscheint es vorstellbar, dass künftig ein Verkäufer eines Grundstückes vom Verfassungsschutz personenbezogene Informationen über einen potenziellen Grundstückskäufer erhält. Nichts anderes gilt für einen Vermieter, an den der Verfassungsschutz mit Informationen über seinen Mieter oder Mietinteressenten herantritt.

Allerdings gilt dies wiederum nicht für Situationen der allgemeinen Lebensführung. Das Gesetz fordert vielmehr, dass eine Risikosituation besteht. In der Theorie ist die Sache also recht simpel: Geht ein erwiesener Verfassungsfeind Brötchen kaufen, darf der Verfassungsschutz deshalb auch künftig selbstverständlich nicht mit Informationen zur Bäckerei gehen. Planen rechte Verfassungsfeinde dagegen ein völkisches Schulungszentrum, um dort einen neuen bundesweiten Vernetzungsort zu schaffen, so kann eine Datenübermittlung nach § 20 Abs. 1 Nr. 3 c) BVerfSchG-E z.B. an Verpächter erfolgen – allerdings beschränkt auf die Zwecke des Gesetzes, also gefährdungsmindernd auf das spezielle Risiko. Das sind die klaren Fälle.

Was aber ist etwa mit der Konstellation, dass die allgemeine Lebensführung sich nicht von den verfassungsfeindlichen Bestrebungen trennen lässt, wenn etwa ein Verfassungsfeind im Keller einer angemieteten Privatwohnung ein Bombenlabor einrichtet? Hier sind Klarstellungen im Entwurf notwendig, will man einen konturenlosen Anwendungsbereich vermeiden. Zudem gilt, dass die Übermittlung an Private gem. § 25c BVerfSchG-E unter der verfahrensrechtlichen Sicherung des sog. Behördenleitervorbehalts steht. Die Amtsleitung des BfV muss also jeder Übermittlung an Private zustimmen. Dieser Vorbehalt stellt eine Übermittlung an Private zwar unter erhöhte formale Anforderungen, allerdings sind damit keine erhöhten materiellen Anforderungen verbunden.

Jedenfalls die völlig ohne Differenzierung erfolgende Gleichsetzung von privaten und öffentlichen Stellen in § 20 begegnet durchgreifenden Bedenken im Hinblick auf den Verhältnismäßigkeitsgrundsatz: Im weiteren Gesetzgebungsprozess muss der Bundestag deshalb ebenso berücksichtigen, dass die Datenübermittlung an Private immer auch mit einem hohen Missbrauchspotential einhergeht – schließlich sind private Dritte im „Umgang“ mit nachrichtendienstlichen Informationen regelmäßig nicht „geschult“, was den Eingriff noch verstärkt. Denn Betroffene sind nicht nur durch die Datenübermittlung selbst beschwert, sondern vielmehr noch von einer erheblichen Stigmatisierungswirkung betroffen, die von dem Eindringen dieser Informationen in seinen privaten Lebensbereich ausgeht. Will man also eine Übermittlung auch an Private erlauben muss sich der Gesetzgeber der besonderen Situation bewusst sein, entsprechende Verhältnismäßigkeitserwägungen anstellen und auch entsprechende zusätzliche materiell-rechtliche Sicherungen einziehen. Allein ein Behördenleitervorbehalt als verfahrensrechtliche Sicherung reicht nicht aus, wenn es an der materiellen Sicherung fehlt.

Vergleich zur Vorgängerregelung: Eine Verschlimmbesserung?

Die Reform sollte eine Korrektur hin zu mehr Grundrechtsschutz darstellen, die bisherigen Reaktionen (hier, hier oder hier in der Expertenanhörung des Innenausschusses am 6.11.2023) lassen aber Gegenteiliges vermuten. Ein umfassender Vergleich muss an anderer Stelle erfolgen, hier steht die Übermittlung an Private im Zentrum. Denn auch diese Befugnis ist nicht ganz neu: Schon bisher ermöglichte § 19 Abs. 4 BVerfSchG die Übermittlung an nichtöffentliche Stellen. Nämlich dann, wenn es zum Schutz der freiheitlichen demokratischen Grundordnung, des Bestandes oder der Sicherheit des Bundes oder eines Landes oder zur Gewährleistung der Sicherheit von lebens- oder verteidigungswichtigen Einrichtungen nach § 1 Abs. 4 des Sicherheitsüberprüfungsgesetzes erforderlich“ war. Anstatt des Behördenleitervorbehalts stand diese Befugnis unter dem Vorbehalt einer Zustimmung durch das Bundesministerium für Inneres und Heimat.

§ 20 BVerfSchG-E ist dadurch jedenfalls enger geworden, dass nun zum Schutzzweck die besondere Risikosituation als Schwelle hinzutritt, sodass eine Anwendung auf besondere Einzelfälle beschränkt wird. Allerdings wird er zugleich in seinen Schutzzwecken deutlich ausgeweitet, da § 19 Abs. 2 eine weitergehende Auflistung von zu schützenden Rechtsgütern enthält. So fielen unter die Vorschrift des § 19 Abs. 4 BVerfSchG bisher nicht die in § 19 Abs. 2 BVerfSchG-E enthaltenen Grundrechte Einzelner.

Ein weiterer Unterschied sollte jedoch aufhorchen lassen: Die Übermittlungsvorschriften sind zurecht geprägt von dem das Datenschutzrecht prägenden Grundsatz der Zweckbindung. Wie aber kann die Zweckbindung bei einer Übermittlung an Private garantiert werden? Der frühere § 19 Abs. 4 S. 3-5 BVerfSchG hatte eine Antwort darauf: „Das Bundesamt für Verfassungsschutz führt einen Nachweis über den Zweck, die Veranlassung, die Aktenfundstelle und die Empfänger der Übermittlungen nach Satz 1. (…) Der Empfänger darf die übermittelten Daten nur zu dem Zweck verwenden, zu dem sie ihm übermittelt worden sind.“ In der geplanten Regelung scheint es keine Rolle mehr zu spielen, welches Schicksal die übermittelten Daten erwartet, sobald sie an Private gelangt sind.

Der Bundesgesetzgeber ist nicht zu beneiden. Gehört eine Reform des Nachrichtendienstrechts ohnehin schon zum gesetzgeberischen „Hochreck“, so gilt das erst recht mit Blick auf die Vorgaben des Bundesverfassungsgerichts einerseits, die praktischen Bedarfe der Dienste und das aktuelle Zeitgeschehen sowie die damit verbundenen politischen Erwartungen an den Verfassungsschutz andererseits. Trotzdem: So wie der Entwurf ist, kann er nicht bleiben. Er enthält an zu vielen Stellen zu unbestimmte Regelungen, die im weiteren Gesetzgebungsverfahren angepasst und konkretisiert werden müssen. Die Zeit läuft.