Bundesregierung muss über Hack der EU-Fahndungsdatenbank aufklären

Bereits 2012 gab es einen Einbruch in die Datenbank des Schengen-Informationssystems in Dänemark. Die Bundesregierung informierte monatelang weder die Öffentlichkeit noch die unmittelbar Betroffenen von dem Hack. Sie hat damit auf nicht nur die verfassungsrechtlich verbürgten Rechte der betroffenen Bundesbürgerinnen und Bundesbürger, sondern auch die demokratischen Teilhaberechte des Parlaments missachtet. Vor diesem Hintergrund und um Licht ins Dunkel zu bringen und Verantwortlichkeiten zu klären, hat Konstantin die Bundesregierung Ende letzter Woche zu dem Vorgang befragt.

Bereits 2012 gab es einen Einbruch in die Datenbank des Schengen-Informationssystems in Dänemark. Die Bundesregierung informierte monatelang weder die Öffentlichkeit noch die unmittelbar Betroffenen von dem Hack. Sie hat damit auf nicht nur die verfassungsrechtlich verbürgten Rechte der betroffenen Bundesbürgerinnen und Bundesbürger, sondern auch die demokratischen Teilhaberechte des Parlaments missachtet. Vor diesem Hintergrund und um Licht ins Dunkel zu bringen und Verantwortlichkeiten zu klären, haben wir die Bundesregierung Ende letzter Woche folgendes gefragt:

Warum hat die Bundesregierung die Öffentlichkeit und den Deutschen Bundestag nicht unverzüglich informiert, obwohl ihr der offenbar bereits im Jahre 2012 erfolgte Hack der EU-Fahndungsdatenbank SIS-I eigenen Angaben zufolge bereits seit Juni 2013 bekannt war (Fragestunde vom 15.01.2014) und welche Folgerungen zieht die Bundesregierung angesichts der aufgezeigten Risiken für ihre Planungen einer bundesweiten anlasslosen Vorratsdatenspeicherung von ebenso gefährdeten Telekommunikationsverkehrsdaten aller Bürgerinnen und Bürger bei den Telekommunikationsprovidern?

Weitere Fragen drängen sich heute schon auf. Wir werden sie sukzessive weiterverfolgen. Diese lauten unter anderem: Wie kann es sein, dass Bundesregierung als auch die Europäische Kommission für den Erhalt eines umfassenden IT-Lagebildes  sowie für die Warnung der Bevölkerung auf unverzüglich zu erfüllende Meldepflichten gegenüber staatlichen Stellen drängen, zugleich aber selbst dieser Verpflichtung nicht nachkommen wollen, wenn staatliche Stellen kompromittiert werden? Und: welche Rolle spielen auch in diesem Fall womöglich die Nachrichtendienste von vermeintlichen Partnerstaaten?

Hintergrund:

Nach heutiger Information handelte es sich bei den Tätern um einen Dänen und einen Schweden, die ca. 1,2 Millionen Datensätze, davon 272 606 aus Deutschland, entwendet haben. Ob eine Weitergabe der Daten stattgefunden hat, konnte bisher nicht endgültig festgestellt werden. Zuständig für die Verwaltung der Datenbank in Dänemark und damit Ziel des Hackerangriffs war laut Medienberichten die US-Amerikanische Firma Computer Sciences Corporation (CSC), mit der auch Deutsche Behörden regelmäßig zusammenarbeiten. Sie wurde wiederholt beschuldigt, eng mit den amerikanischen Geheimdiensten zusammenzuarbeiten. Nachdem bereits im Juni 2013 alle Schengen-Mitgliedsländer von den dänischen Behörden unterrichtet worden waren, kam der Vorfall erst im Dezember 2013 durch Schweizer Medienberichte an die Öffentlichkeit.

Das Verhalten der dänischen, europäischen und deutschen Behörden lässt darauf schließen, dass zunächst versucht wurde, den Einbruch geheim zu halten um den Ruf des SIS so kurz vor dem Wechsel auf das erweiterte SIS II nicht zu gefährden. Der ganze Vorgang zeigt: Wir brauchen schnellstmöglich verbindliche Regeln, um zu garantieren, dass in solchen Fällen umgehend die Öffentlichkeit informiert wird, wie es auch für Unternehmen bei Datenverlust Pflicht ist. Technische Informationen, die es der Öffentlichkeit ermöglichen würden den Angriff zu bewerten, sind bis heute nicht verfügbar.

Ziel der Einführung des Schengen-Informationssystems war es, die wegfallenden Kontrollen an den Grenzen innerhalb des Schengen-Raums zu kompensieren. Es  enthält Einträge zu Personen, die wegen eines Verbrechens gesucht oder überwacht werden, zu Vermissten sowie zu „unerwünschten Personen“ aus Ländern außerhalb des Schengen-Raums. Außerdem können Einträge zu verschiedenen gestohlenen oder verlorenen Gegenständen erstellt werden. Fast 90% der Einträge beziehen sich laut dem Bericht der Gemeinsamen Kontrollinstanz Schengen auf EU-Ausländer nach Artikel 96, also hauptsächlich nicht anerkannte Asylsuchende. Gerade in diesem Bereich wurden in vielen Ländern, unter anderem Deutschland, häufige schwere Verstöße gegen die Regelungen zur Eintragung und Löschung von Personen aus dem SIS festgestellt.

Die Daten über eingetragene Personen beinhalten u.a. Namen, Geburtsdatum- und -ort, Informationen zu Waffenbesitz und Gewalttätigkeit , den Grund des Eintrags sowie die in der Folge zu ergreifenden Maßnahmen. Zugriff auf die Datenbank oder Teile davon haben die jeweiligen nationalen Strafverfolgungs-, Justiz- und Verwaltungsbehörden sowie die EU-Agenturen EUROPOL und EUROJUST. Durch die Ende 2013 eingeführte zweite Version des SIS wird außerdem u.a. die Möglichkeit geschaffen, Fotos und Fingerabdrücke einzuschließen. Es wurde als Ziel ausgegeben, die direkte Suche nach Fingerabdrücken zu nutzen, sobald dies technisch möglich ist. Dies würde vermutlich hauptsächlich dafür genutzt werden, Flüchtlinge besser erkennen und ausweisen zu können. Außerdem sollen Verbindungen zwischen Einträgen möglich werden, was in Kombination den Wandel zu einer umfassenden Recherche-Datenbank bedeuten könnte. Dies macht, unabhängig von sonstigen Datenschutzbedenken, die Sicherheit des Systems vor unbefugtem Eindringen und die genaue Einhaltung von Vorschriften zur Erstellung und Löschung von Einträgen in Zukunft umso wichtiger.

Über die Antworten der Bundesregierung halten wir Euch auf dem Laufenden.