Das Recht auf Auskunft gegenüber Unternehmen und Behörden über die eigenen, gespeicherten Daten ist eines der zentralen Betroffenenrechte in der DSGVO. Doch was, wenn bei der Auskunftsanfrage an ein Unternehmen Geschäftsgeheimnisse im Spiel sind? Dann prallen zwei schützenswerte Rechtsgüter aufeinander, erklärt Rechtsanwalt Dr. Carlo Piltz in Episode 140 des c’t-Datenschutz-Podcasts.

Piltz, der sich in seiner Kanzlei schwerpunktmäßig mit Datenschutzrecht befasst, erläutert die rechtlichen Rahmenbedingungen: Das 2019 in Kraft getretene Geschäftsgeheimnisgesetz schützt sensible Unternehmensinformationen vor unlauterer Erlangung und Offenlegung. Zugleich räumt die DSGVO Betroffenen umfassende Auskunftsrechte über ihre Daten ein. Wo diese Ansprüche kollidieren, muss im Einzelfall eine Abwägung erfolgen.

Zwar dürfen Unternehmen die Auskunft verweigern, wenn Geschäftsgeheimnisse offenbart würden, so Piltz. Sie müssen dies aber detailliert begründen. Letztlich entscheiden dann Datenschutz-Aufsichtsbehörden oder Gerichte nach Sichtung der so deklarierten Geheimnisse, ob das Geheimhaltungsinteresse überwiegt. Dabei kommt es auch darauf an, wie relevant die beanspruchten Informationen für die Rechte des Betroffenen sind.

Weitere Grenzen

Weitere Grenzen der Auskunftspflicht können sich aus dem Schutz der Rechte Dritter ergeben, etwa wenn Daten mehrere Personen betreffen, etwa in E-Mails. Auch bei missbräuchlichen oder exzessiven Anfragen kann die Auskunft verweigert werden. Unternehmen müssen dann aber genau darlegen, warum sie die Ausnahme für einschlägig halten.

Einen pragmatischen Rat hat der erfahrene Anwalt für Unternehmen parat: Nach Möglichkeit sollten interne Dokumente frei von personenbezogenen Daten sein, um Konflikte von vornherein zu vermeiden. Wo dies nicht gehe, bleibe nur eine sorgfältige Prüfung und Risikoabwägung im Einzelfall.

Auch wenn es auf den ersten Blick wie ein Nischenthema wirkt, zeigt sich am Recht auf Auskunft exemplarisch das Spannungsfeld zwischen Datenschutz und Unternehmensinteressen. Schutzrechte für Betroffene dürfen nicht ausgehöhlt, Geschäftsgeheimnisse aber auch nicht leichtfertig preisgegeben werden. Es braucht einen umsichtigen Ausgleich im Einzelfall, resümieren Piltz und die Podcast-Hosts, Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich.

Episode 140:

Hier geht es zu allen bisherigen Folgen:

(hob)

Finanzminister Lars Klingbeil (SPD) will „eine härtere Gangart“ gegen Schwarzarbeit einlegen. Die wenigen, „die sich auf Kosten der Allgemeinheit bereichern“, sollen „auch dingfest gemacht werden“, kündigte der Minister an. Helfen soll dabei der Gesetzentwurf „zur Modernisierung und Digitalisierung der Schwarzarbeitsbekämpfung“, den das Bundeskabinett gestern beschlossen hat.

Unter Schwarzarbeit werden Arbeitsverhältnisse verstanden, die nicht der Sozialversicherung und dem Finanzamt gemeldet werden. Laut Zoll verursachte diese Form der illegalen Arbeit im vergangenen Jahr einen Schaden in Höhe von insgesamt 766 Millionen Euro.

Der nun verabschiedete Entwurf sieht unter anderem vor, die Finanzkontrolle Schwarzarbeit (FKS) zu einer zentralen Prüfungs- und Ermittlungsbehörde auszubauen. Diese Arbeitseinheit des Zolls soll dafür polizeiähnliche Befugnisse erhalten und noch stärker als „kleine Staatsanwaltschaft“ agieren, wie Klingbeil sagt.

Außerdem soll der Zoll künftig ein durch Künstliche Intelligenz unterstütztes „Risikomanagement“ betreiben und dafür in großem Stil auf Daten anderer Behörden zugreifen.

Polizeiähnliche Befugnisse für die „kleine Staatsanwaltschaft“

Die FKS hat die Aufgabe, „Schwarzarbeit, illegale Beschäftigung und Sozialleistungsbetrug“ zu bekämpfen, indem sie etwa Kontrollen in Betrieben durchführt und Ermittlungen einleitet. Schon jetzt arbeitet sie dabei eng mit der Staatsanwaltschaft, der Polizei und der Bundespolizei zusammen. Künftig soll sie aber ebenbürtig mit anderen Ermittlungsbehörden tätig sein.

Dafür will die Bundesregierung etwa den Katalog der Straftaten so ausweiten, dass die FKS auch Telekommunikation überwachen kann. Sie dürfte dann Gespräche zwischen Personen aufzeichnen, die die „fortgesetzte Erstellung“ von Scheinrechnungen verabreden oder illegale Zahlungen vereinbaren.

Außerdem soll die FKS zu einer „kleinen Staatsanwaltschaft“ ausgebaut werden. Sie könnte dann Verfahren, die sich „auf einfach gelagerte Sachverhalte“ beziehen, eigenständig abschließen und auf diese Weise, so die Absicht der Bundesregierung, die Justiz entlasten.

Direkter Draht zum polizeilichen Informationsverbund

Die FKS soll zudem Zugang zum polizeilichen Informationsverbund erhalten. So soll sie Verdächtige schneller und ohne Amtshilfe der Polizei identifizieren können. Das zentrale Informationssystem dient dem „Austausch von Personen-, Fall- und Sachdaten“ und wird vom Bundeskriminalamt betrieben.

Schon jetzt darf der Zoll eingeschränkt Daten aus dem polizeilichen Informationsverbund abfragen – bislang allerdings nur schriftlich oder telefonisch und in Einzelfällen. Geht es nach der Bundesregierung, darf der Zoll personenbezogene Daten künftig automatisiert abrufen sowie mit den ihm vorliegenden Daten abgleichen.

Dies würde es der FKS ermöglichen, „auf Augenhöhe mit den weiteren Verbundteilnehmern wie bspw. den Polizeien und der Steuerfahndung zu agieren“, heißt es in der Begründung des Gesetzes.

Automatische Datenauswertung fürs Risikomanagement

Erheblich mehr Daten sollen auch beim sogenannten Risikomanagement zum Einsatz kommen. Dafür soll die bisherige Generalzolldirektion zuständig sein, die das Gesetz zur „Zentralstelle der Behörden der Zollverwaltung“ umwandeln würde. Die Zentralstelle soll für die FKS größere Datenmengen auch mit Hilfe von sogenannter Künstlicher Intelligenz automatisiert auswerten.

Als Grundlage für die Risikoanalysen soll ein neues operatives Informations- und Datenanalysesystem (OIDAS) dienen. Das System soll anhand spezieller Risikoindikatoren und -parameter „potentiell verdächtige oder anomale Unternehmensaktivitäten, die auf Schwarzarbeit und illegale Beschäftigung hindeuten, frühzeitig […] erkennen.“

Die dafür erforderlichen personenbezogenen Daten darf die Zentralstelle „mindestens einmal halbjährlich automatisiert“ abrufen und in OIDAS speichern. Als Datenquellen dienen die Datenbanken der Rentenversicherung, der Landesfinanzbehörden und der Zollverwaltung. Daten, die nicht zu Risikohinweisen führen, soll die Zentralstelle umgehend löschen müssen, alle weiteren Daten nach spätestens einem Jahr.

Kritik an zunehmender Machtfülle der FKS

Der Gesetzentwurf sieht vor, dass die Risikoindikatoren und -parameter nur „im Benehmen“, nicht aber „im Einvernehmen“ mit der Bundesdatenschutzbeauftragten (BfDI) Louisa Specht-Riemenschneider festgelegt werden. Sie dürfte also mitreden, aber nicht mitentscheiden.

Die Bundesdatenschutzbeauftragte fordert eine stärkere Beteiligung. Die umfangreiche Datenverarbeitung und der Einsatz von KI seien mit tiefen Eingriffen in Grundrechte verbunden. Daher sei eine Mitentscheidung bei der Festlegung der Risikoparameter umso wichtiger, „denn wir können die Risiken für das Grundrecht auf informationelle Selbstbestimmung am besten einschätzen“, so ein Behördensprecher gegenüber Tagesspiegel Background.

Der Deutsche Anwaltverein (DAV) kritisiert die wachsende Machtfülle der FKS. Der Gesetzesentwurf greife „in vielfältiger Weise in Freiheitsrechte ein, ohne dass damit der Sozialstaat und/oder die wirtschaftliche Situation (einschließlich der sozialen Sicherheit) der Betroffenen verbessert wird.“

Die Erhebung, Speicherung und Verwendung der Daten „auf der Grundlage eines ‚risikobasierten Ansatzes‘ [sei] höchst bedenklich“, schreibt der DAV in seiner Stellungnahme. Dass der Zoll automatisiert Daten „von jedermann“ abgleichen soll, erinnere „an eine Rasterfahndung, die vom Bundesverfassungsgericht zu Recht unter den Vorbehalt ganz spezieller Anlässe gestellt wurde.“ Unterm Strich lehnt der DAV die vorgesehenen Regelungen ab, einzelne Änderungen erscheinen aus seiner Sicht sogar verfassungswidrig.

Der Bundesverband Paket- und Expresslogistik kritisiert ebenfalls die „extreme Erweiterung der Befugnis“ der FKS. Außerdem sei die geplante Risikobewertung „letztlich eine Blackbox“. Der Verband hält es daher für ausreichend, dass „zur Weiterführung der Ermittlungen entsprechende Dokumente auf Anforderung elektronisch übermittelt werden – ohne automatisierten und umfassenden Zugang“.

Die Polizei darf Staatstrojaner künftig nur noch zur Aufklärung von schweren Straftaten einsetzen. Der Einsatz wegen Straftaten, auf die weniger als drei Jahre Höchststrafe stehen, ist nicht verhältnismäßig und deshalb unzulässig. Das teilte heute das Bundesverfassungsgericht in Karlsruhe mit.

Der erste Senat des Gerichts entschied über zwei Klagen, die die Bürgerrechtsorganisation Digitalcourage zusammen mit Journalist:innen, Rechtsanwält:innen und Künstler:innen gegen gesetzliche Regeln zum Einsatz von Staatstrojanern durch die Polizei eingelegt hatte. Das Gericht erklärte dabei manche Teile der Verfassungsbeschwerden für unzulässig, folgte der Argumentation der Kläger:innen jedoch in anderen.

So erklärte das Gericht Teile der Strafprozessordnung aus inhaltlichen und formellen Gründen für verfassungswidrig. Zum einen muss es sich um schwere Straftaten handeln, um für Ermittlungen die laufende Kommunikation von digitalen Geräten überwachen zu dürfen. Zum anderen genügten die Regeln zur Online-Durchsuchung nicht dem Zitiergebot. Demnach muss der Gesetzgeber eingeschränkte Grundrechte ausdrücklich nennen, was in diesem Fall nicht passiert sei.

Regelungen zum präventiven Einsatz von Staatstrojanern durch die Polizei von Nordrhein-Westfalen im dortigen Polizeigesetz seien hingegen verfassungsrechtlich nicht zu beanstanden. Da die Eingriffsschwelle hier ins Vorfeld einer konkreten Gefahr verlagert wurde, dürften die Staatstrojaner nur in besonderem Fällen zum Einsatz kommen, etwa in Zusammenhang mit der Abwehr terroristischer Gefahren. Gemessen an ihrem Eingriffsgewicht würden die Regeln „den Anforderungen an die Verhältnismäßigkeit“ genügen, so das Gericht.

Staatliches Hacking nimmt zu

Konkret verhandelte das Gericht über Maßnahmen zur sogenannten Quellen-Telekommunikationsüberwachung und zur Onlinedurchsuchung. Erstere meint die Überwachung laufender Kommunikation von digitalen Endgeräten, beispielsweise Nachrichten oder Telefonaten über verschlüsselte Messenger. Die Onlinedurchsuchung ist deutlich eingriffsintensiver, da sie auch das Auslesen gespeicherter Daten umfasst, etwa alte Chats oder in der Cloud gespeicherte Fotos.

Beide Maßnahmen erfolgen durch das unbemerkte Eindringen der Polizei in die Geräte der Zielpersonen. Angesichts der weiten Verbreitung digitaler Kommunikationsmöglichkeiten haben Ermittler:innen dank des Staatstrojaners sehr umfassenden Einblick in das Leben der Überwachten sowie ihrer Kommunikationspartner:innen. Umstritten sind Staatstrojaner auch deshalb, weil staatliche Stellen hierbei Sicherheitslücken in IT-Systemen ausnutzen, um die Spionageprogramme auf die Geräte verdächtigter Personen zu bringen, anstatt die Schwachstellen zu schließen.

2017 hatte die damals regierende Große Koalition unter Bundeskanzlerin Angela Merkel die Strafprozessordnung geändert, um der Polizei den großflächigen Einsatz von Staatstrojanern zu ermöglichen. Der heutige Präsident des 1. Senats am Verfassungsgericht, Stephan Harbarth, war zu diesem Zeitpunkt CDU-Bundestagesabgeordneter. Der Verfassungsrichter musste also – nicht zum ersten Mal – über ein Gesetz urteilen, das er selbst mit verabschiedet hat.

In den vergangenen Jahren hat der polizeiliche Einsatz von Staatstrojanern deutlich zugenommen. Laut Justizstatistik wurden 2023 insgesamt 130 Quellen-Telekommunikationsüberwachungen und Online-Durchsuchungen angeordnet, 68 wurden tatsächlich durchgeführt. Seit 2019 haben sich die Zahlen mehr als verdoppelt, damals wurden 64 Staatstrojaner genehmigt und 15 tatsächlich eingesetzt.

Polizeigewerkschaft ist zufrieden

Die heutige Entscheidung des Bundesverfassungsgerichts wird in ersten Reaktionen sehr unterschiedlich aufgenommen. Das Gericht selbst betont in seiner Pressemitteilung, die Regeln hielten der „verfassungsrechtlichen Überprüfung weitgehend Stand“. Weite Teile der Beschwerden wurden von dem Gericht für nicht zulässig befunden, bei den zugelassenen Aspekten folgte das Gericht den Beschwerdeführer:innen nur in Teilen.

Entsprechend zufrieden gibt sich beispielsweise die Gewerkschaft der Polizei. „Das Urteil des Bundesverfassungsgerichts ist aus meiner Sicht grundsätzlich positiv zu bewerten“, sagte deren Bundesvorsitzender Jochen Kopelke dem Redaktionsnetzwerk Deutschland. Im Kern bestätige das Verfassungsgericht die Notwendigkeit und Verfassungsmäßigkeit des Einsatzes von Staatstrojanern.

Da die Einschränkungen bei der Quellen-TKÜ nur kleinere Kriminalität betreffe, seien die Einschränkungen zu verkraften. Sie „wurde in den vergangenen Jahren vor allem bei Ermittlungen zu Drogenkriminalität eingesetzt“ und das sei weiterhin möglich, so Kopelke. Die Online-Durchsuchung werde zudem nicht grundlegend infrage gestellt, sondern sei lediglich aus formellen Gründen verfassungswidrig. Das sei ein „formaler, aber durchaus lösbarer Mangel“.

Grundsätzliches Problem besteht weiter

Von einem „Erfolg“ spricht in einer Pressemitteilung allerdings auch der Verein Digitalcourage. Frank Braun, einer der Prozessbevollmächtigten, sieht in der Entscheidung „eine Klarstellung mit Signalwirkung“. Das Urteil gewährleiste, „dass IT-Systeme nur noch beim Verdacht wirklich schwerwiegender Delikte von staatlichen Ermittlern gekapert werden“. Außerdem verhinderte es, dass der Gesetzgeber weiterhin „Alltagskriminalität“ als „schwere Straftaten“ verkaufe, um den Einsatz von Staatstrojanern zu rechtfertigen.

Auch Jurist David Werdermann von der Gesellschaft für Freiheitsrechte kann dem Urteil Gutes abgewinnen. So bricht das Verfassungsgericht ihm zufolge mit früherer Rechtsprechung, weil es erstmal deutlich mache, „dass der Einsatz von Staatstrojanern immer einen besonders schwerwiegenden Eingriff in das IT-Grundrecht bedeutet – auch wenn die Polizei ‚nur‘ auf Kommunikationsdaten zugreifen will.“ Cloud- und Online-Dienste seien heute so weit verbreitet, dass Kommunikationsdaten einen tiefgreifenden Einblick in das Leben der Überwachten erlauben.

In einem Nebensatz weise das Bundesverfassungsgericht darauf hin, dass das Gefährdungspotential von Staatstrojanern besonders ausgeprägt sei, wenn sich Behörden privater Dritter bedienen, um die Infiltration zu vollziehen. „Das kann als Aufforderung an die staatlichen Stellen verstanden werden: Die Zusammenarbeit mit zwielichtigen Unternehmen wie der NSO Group, die ihren Pegasus-Trojaner auch an Diktaturen verkauft, muss ein Ende haben“, so Werdermann.

Ein grundsätzliches Problem von Staatstrojanern aber hat das Verfassungsgericht nicht thematisiert, wie die politische Geschäftsführerin von Digitalcourage, Rena Tangens, einräumt. „Um Staatstrojaner einzusetzen, müssen Sicherheitslücken ausgenutzt werden – und diese Schwachstellen gefährden die IT-Sicherheit von uns allen. Statt diese zu melden und zu schließen, hält der Staat sie offen, um sie selbst zu nutzen. (…) Ein Staat, der Sicherheit für seine Bürgerinnen und Bürger will, muss solche Sicherheitslücken den Herstellern melden, damit sie geschlossen werden.“