Was soll der Militärische Abschirmdienst künftig dürfen und warum können die Feldjäger der Bundeswehr nicht rechtssicher eine Straße sperren? Die Themenbreite bei einer Sachverständigenanhörung im Verteidigungsausschuss des Bundestags war groß, es ging um den Entwurf eines Gesetzes „zur Stärkung der Militärischen Sicherheit in der Bundeswehr“. Der enthält sowohl Änderungen bei der Sicherheitsüberprüfung von Soldat:innen als auch ein komplett neues MAD-Gesetz – die Grundlage der militärgeheimdienstlichen Arbeit in Deutschland.

Sechs Fachleute – vom Generalleutnant außer Dienst bis zum Verfassungsrechtler – waren sich einig, dass eine Reform der Gesetzesgrundlagen für den MAD überfällig ist. Auch weil die Neuregelung Klarheit schafft. Denn bislang liest sich das MAD-Gesetz kompliziert.

Es verweist großflächig auf das Verfassungsschutzgesetz und so klingen die rechtlichen Grundlagen an vielen Stellen so: „Die §§ 8a und 8b des Bundesverfassungsschutzgesetzes sind mit der Maßgabe entsprechend anzuwenden, dass an die Stelle der schwerwiegenden Gefahren für die in § 3 Absatz 1 des Bundesverfassungsschutzgesetzes genannten Schutzgüter schwerwiegende Gefahren für die in § 1 Absatz 1 genannten Schutzgüter und an die Stelle des Bundesministeriums des Innern, für Bau und Heimat das Bundesministerium der Verteidigung treten.“

Das ist weder gut verständlich noch geht es auf besondere Umstände für einen Militärgeheimdienst ein.

Ein Fortschritt zum Ist-Zustand

Und so war das Echo der Fachleute recht positiv. Der Professor für Öffentliches Recht Matthias Bäcker, der bereits mehrfach gegen Polizei- und Geheimdienstgesetze vors Bundesverfassungsgericht gezogen war, nannte den Entwurf einen großen „Fortschritt im Vergleich zum aktuellen Gesetz“.

Markus Löffelmann, Professor für Sicherheitsrechte an der Hochschule des Bundes für öffentliche Verwaltung, resümierte, der Entwurf schaffe „Praktikabilität“ für den MAD und sei „fast vorbildlich“.

Kritik gab es von mehreren der Sachverständigen jedoch am unvollständigen Katalog der „nachrichtendienstlichen Mittel“, die dem MAD erlaubt sein sollen. In Paragraf 8 des Gesetzentwurfs finden sich 15 Punkte wie „verdeckte Nachforschungen und verdeckte Befragungen“ oder „Einsatz virtueller Agenten bei der Aufklärung im Internet“. Braucht der MAD weitere Befugnisse, die ähnlich eingriffsintensiv wie die bereits gelisteten sind, soll das künftig über eine Dienstvorschrift geregelt werden können – die bei Geheimdiensten in der Regel geheim bleibt.

Eine „Erweiterung im Verborgenen ist untunlich“, kritisierte in der Anhörung etwa Christian Sieh vom deutschen Bundeswehrverband. Bäcker wies darauf hin, dass sich in einigen Landesverfassungsschutzgesetzen abschließende Befugniskataloge finden. Gerade wegen der Heimlichkeit der Maßnahmen sei es geboten, die Befugnisse „rechtlich in abstrakt genereller Weise abschließend auszuführen“. Werden Befugnisse konkretisiert, dann sollte dies nicht mittels einer geheimgehaltenen Dienstvorschrift erfolgen, sondern im Zweifel in einer öffentlich einsehbaren Verordnung.

Auch Informationen aus öffentlichen Quellen können sensibel sein

Zu weit gingen einigen ebenso die Regelungen aus Paragraf 4, wonach der MAD „personenbezogene Daten aus öffentlich zugänglichen Quellen automatisiert erheben“ können soll. Laut Löffelmann bestehe da noch „viel Diskussionsbedarf“. Ihm gehen die Befugnisse zu weit, da auch Datenerhebungen aus öffentlichen Quellen einen Eingriff in die Rechte der Betroffenen darstellen würden.

Bäcker gab ebenfalls zu Bedenken, dass die Regel der“großen Sensibilität der Daten nicht Rechnung“ trage. Gerade weil Personen etwa in Sozialen Medien viel über sich preisgeben. „Da können sie die Person nackt machen“, so Bäcker. „Es ist nicht ausgeschlossen, dass ein Nachrichtendienst das mal tut. Aber der muss an strenge Regeln gebunden werden.“ In seiner Stellungnahme führt Bäcker aus, die Regelung verfehle „die verfassungsrechtlichen Anforderungen“.

Seiner Auffassung nach brauche es einen „qualifizierten nachrichtendienstlichen Verdacht“, um die Ausforschung einer Person zu rechtfertigen – selbst wenn sie mit öffentlich zugänglichen Informationen geschehe. Er empfiehlt, die sogenannten Open-Source-Intelligence-Maßnahmen differenzierter zu regeln.

Das neue MAD-Gesetz hat eine große Bedeutung

Die Neuregelung des MAD-Gesetzes dürfte sich auf weit mehr Bereiche auswirken als den Militärgeheimdienst selbst. Denn sie ist der Auftakt für eine etwa durch Verfassungsgerichtsurteile notwendig gewordene Reform auch anderer Geheimdienstgesetze. Die will Schwarz-Rot bald angehen.

Dass die Bundesregierung nicht alle Gesetze für die drei Bundesgeheimdienste MAD, BND und Verfassungsschutz parallel erarbeitet, kritisierte Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen im Bundestag und stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums, gegenüber netzpolitik.org: Statt die Reform ganzheitlich für alle drei Nachrichtendienste des Bundes anzugehen, legt man nun mit der Reform des MAD-Gesetzes nur einen Teil der Reform vor.“

Es kann also entweder passieren, dass das MAD-Gesetz im Zuge der allgemeinen Geheimdienstreform nach der Verabschiedung erneut überarbeitet wird. Oder aber dass Mechanismen, die nun im MAD-Gesetz landen, als Blaupause für weitere Reformen gelten.

Was dürfen die Feldjäger:innen?

Trotz der dadurch fundamentalen Bedeutung der Reform konzentrierten sich große Teile der Anhörung jedoch auf andere Aspekte des „Gesetzes zur Stärkung der Militärischen Sicherheit in der Bundeswehr“. Das enthält nämlich zusätzlich Regelungen für eine veränderte Sicherheitsüberprüfung von Soldat:innen. Bewerber:innen für die Bundeswehr sollen demnach zunächst nur noch einer Verfassungstreueprüfung unterzogen werden. Kritik gab es daran, dass der Bundestag aktuell an anderer Stelle über Änderungen des Sicherheitsüberprüfungsgesetzes debattiert und beide Änderungen nicht gemeinsam betrachtet würden.

Sehr viel Aufmerksamkeit in der Verteidigungsausschusssitzung bekamen ebenfalls die Feldjäger:innen. Besonders Oberstabsfeldwebel Ronny Schlenzig beklagte, dass auch mit dem neuen Gesetz die Militärpolizei der Bundeswehr keine Verkehrsregelungsbefugnisse bekommen sollen. Außerdem dürften sie künftig weiterhin keine Durchsuchungen oder Beschlagnahmungen durchführen, wenn jemand vor der Kaserne eine Drohne lenkt. Diese Aufgaben der örtlichen Polizei zu überlassen sei für ihn keine praktikable Option, Probleme mit Aufgabenvermischung gebe es laut Schlenzig nicht.

Microsoft hat Windows 11 aufgebohrt und ermöglicht nun die Nutzung externer Passkey-Manager. Nutzerinnen und Nutzer haben von jetzt an die Wahl, ob sie die passwortlose Anmeldung mit dem Microsoft Passwort-Manager oder vertrauenswürdigen Drittanbieter-Programmen erledigen wollen.

Laut dem Blog-Eintrag des Windows-IT-Pro-Blogs in Microsofts Techcommunity ist die Funktion ab sofort mit den Windows-Sicherheitsupdates zum November-Patchday allgemein verfügbar. Zu Anfang unterstützt Microsoft die Passwort-Manager 1Password und Bitwarden.

Plug-in-Passkey-Manager

Passkeys sind nicht für Phishing anfällig, weniger verwundbar bei Datenlecks – und schließlich einfacher und schneller zu nutzen als Passwörter. Die Unterstützung für Plug-in-Passkey-Manager liefere daher Auswahl und Flexibilität, da Nutzer die Wahl haben, ihren bevorzugten Passkey-Manager zu nutzen. Die Authentifizierung sei einfach, da Passkeys sich mit Windows Hello erstellen und zur Anmeldung einsetzen lassen. Zudem werden die Passkeys damit überall verfügbar, da sie zwischen Windows-PC und Mobilgeräten synchronisiert werden.

In der Praxis bietet Windows Hello beim Erstellen von Passkeys nun die Möglichkeit, das Programm zum Speichern auszuwählen. Der Screenshot zeigt etwa, wie 1Password für die Speicherung eines Github-Passkeys genutzt wird. Ein weiterer Screenshot im Blog-Beitrag zeigt, wie Windows Hello den Passwort-Manager Bitwarden zum Ausliefern des Anmelde-Passkeys verwendet.

Die Passkey-Manager-Unterstützung ermöglicht Passwort-Managern mit Passkey-Support, sich direkt in Windows zu integrieren. Nutzerinnen und Nutzer können ihre Passkeys über Browser und native Apps hinweg speichern, verwalten und nutzen. Die Einrichtung der bevorzugten Zugangsdatenverwaltung haben die Entwickler als Teil des Passkey-Erstellungs-Prozesses umgesetzt. Die Authentifizierung setzt dabei auf Windows Hello mit PIN, Fingerabdruck oder Gesichtserkennung, sodass die Zugangsdaten nur vom Besitzer genutzt werden können.

Microsoft-Passwort-Manager

Wie vergangene Woche bekannt wurde, hat Microsoft den Passwort-Manager „Autofill“ in Microsofts Webbrowser Edge mit Passkey-Synchronisation versehen. Mit dem November-Sicherheitsupdate für Windows 11 landet der Passwort-Manager als natives Plug-in in Windows. Er lässt sich dadurch mit Microsoft Edge, anderen Webbrowsern oder jeder App nutzen, die Passkeys unterstützt.

Microsoft preist Vorteile an wie die durch die Passwort-Manager-PIN geschützte Synchronisation, die die Passkeys auf weiteren Windows-Geräten verfügbar macht, auf denen Nutzer mit demselben Microsoft-Konto in Edge angemeldet sind. Serverseitig sollen Azure Managed Hardware Security Modules (HSMs) die Verschlüsselungs-Keys schützen. Vertrauliche Operationen finden dort in Hardware-isolierten Umgebungen (Azure Confidential Compute) statt, und die Wiederherstellung soll sicher vor Veränderungen sein durch Azure Confidental Ledger.

(dmk)

Die Abgeordneten des Ausschusses für Arbeit und Soziales im EU-Parlament fordern, dass finale Entscheidungen über Einstellungen, Kündigungen oder Vertragsverlängerungen, Gehaltsänderungen oder Disziplinarmaßnahmen immer von einem Menschen getroffen werden. Niemand soll durch einen Algorithmus gefeuert werden, sagte der Berichterstatter Andrzej Buła von der EVP. Er bezeichnete den Berichtsvorschlag des Ausschusses als „ausgewogen“, da er sowohl Unternehmen als auch Beschäftigten zugutekomme. Arbeitgeber sollen weiterhin frei entscheiden können, welche Systeme sie nutzen. Arbeitnehmer:innen bekämen damit das Recht auf Datenschutz und Information.

Beschäftigte sollen sich etwa algorithmische Entscheidungen erklären lassen können. Außerdem sollen sie erfahren, wie entsprechende Systeme eingesetzt werden, welche Daten diese über sie sammeln und wie die menschliche Aufsicht garantiert wird, die es für alle Entscheidungen durch algorithmische Systeme geben soll. Der Ausschuss will zudem, dass Arbeitnehmer:innen zum Umgang mit diesen Systemen geschult werden.

Verbot von Verarbeitung mancher Daten

Darüber hinaus soll die Verarbeitung von gewissen Datenkategorien verboten werden. Dazu zählen psychische und emotionale Zustände, private Kommunikation und der Aufenthaltsort außerhalb der Arbeitszeit. Daten über gewerkschaftliches Engagement und kollektive Verhandlungen sollen ebenso tabu sein.

Der Antrag wurde im Ausschuss mit 41 Stimmen angenommen, bei 6 Gegenstimmen und 4 Enthaltungen. Das EU-Parlament wird in seiner Sitzung Mitte Dezember über den Ausschussvorschlag abstimmen. Anschließend hat die EU-Kommission drei Monate Zeit zu reagieren: Sie kann das Parlament entweder über die geplanten nächsten Schritte informieren oder erklären, warum sie keine entsprechende Gesetzesinitiative einleitet.

Auf Nachfrage von netzpolitik.org erklärte Kommissionssprecher Thomas Regnier am Dienstag, dass der AI Act bereits Beschäftigte schütze. Beispielsweise sei dadurch verboten, dass Arbeitgeber Systeme zur Emotionserkennung einsetzen. Das gehört zu den verbotenen Anwendungen von KI, die bereits seit Inkrafttreten der Verordnung gelten.

AI Act reicht nicht aus

Im Oktober wurde zu dem Thema eine Studie veröffentlicht, die der Ausschuss in Auftrag gegeben hatte. Darin heißt es, dass der AI Act diese Art von Systemen als risikoreiche KI-Systeme einstuft, wenn sie am Arbeitsplatz eingesetzt werden. Das zieht Verpflichtungen in Bezug auf Transparenz, menschliche Aufsicht und Konformitätsbewertungen nach sich. Jedoch gebe es Lücken. Etwa seien Arbeitgeber nicht dazu verpflichtet, Verzerrungen in Algorithmen zu erkennen und zu mindern, die Arbeitnehmer:innen diskriminieren könnten.

Außerdem müssen laut der EU-Verordnung Betroffene zwar über automatisierte oder KI-gestützte Entscheidungen informiert werden. Es gibt jedoch keine Regelung, dass manche Entscheidungen ausschließlich von Menschen getroffen werden dürfen, so wie es die Abgeordneten fordern. Weiterhin stütze sich der AI Act in der Umsetzung auf Marktüberwachungsbehörden, nicht auf Behörden für den Schutz von Grundrechten. Auch schaffe der AI Act keine spezifischen Datenschutzrechte für den Arbeitsplatz.

Die Studie verweist zudem auf die EU-Richtlinie zur Plattformarbeit von 2024, die ähnliche Aspekte behandelt. Sie gilt jedoch nur für Plattformbeschäftigte. Die Autor:innen kommen zu dem Schluss, dass die bestehenden Regelungen einen gewissen Basisschutz bieten, aber kein kohärentes Regelwerk spezifisch für den Arbeitsplatz beinhalten.