Skandal beim sächsischen Verfassungsschutz Die Software, die zu viel kann

Der sächsische Verfassungsschutz hat mehr Daten unrechtmäßig gesammelt als bisher bekannt. Das geht aus einem Bericht der Parlamentarischen Kontrollkommission hervor, der am Dienstag veröffentlicht wurde. Unter anderem wurden auch Informationen zum sächsischen Vize-Ministerpräsidenten Martin Dulig (SPD) und weiteren Landtagsabgeordneten erfasst.

Martin Dulig ist Vorsitzender der SPD Sachsen. Bildrechte: picture alliance/dpa/dpa-Zentralbild | Robert Michael

Entsprechend äußerte sich Dulig noch am selben Tag auf Twitter: "Ich bin nach wie vor fassungslos, was im Landesamt für Verfassungsschutz in #Sachsen passiert ist. Es ist ein ungeheuerlicher Vorgang, dass Daten über mich als Demokrat gesammelt werden." Es seien belanglose Daten gesammelt worden. Am meisten gewundert habe ihn, dass es sich um politische Bewertungen gehandelt habe. "Insbesondere dort, wo ich die CDU kritisiert habe. Wo es jedoch gegen mich persönlich ging, als zum Beispiel mein Bürgerbüro angegriffen wurde, hat es keine Erwähnung gegeben", schreibt er auf Twitter. Ähnlich äußerten sich auch Grünen-Abgeordnete.

Was ist geschehen? Bei den fraglichen Vorgängen, die die Abgeordneten der Kommission in ihrem Bericht listen, handelt es sich um personenbezogene Daten. Die darf der Verfassungsschutz nur unter bestimmten Bedingungen erheben. Diese seien bei den genannten Fällen nicht gegeben, kritisieren die Kommissionsmitglieder. Der Verfassungsschutz bestätigte inzwischen zudem, dass Löschungen nicht fristgerecht erfolgt seien.

Der Verfassungsschutz darf nur Daten speichern, die für die Aufgabenerfüllung der Behörde erforderlich sind. Alle anderen Daten muss das Amt laut Gesetz unverzüglich löschen. Die Abgeordneten benennen in ihrem Bericht mehrere Beispiele, bei denen die Speicherung "klar rechtswidrig" erfolgt sei. So beispielsweise ein Facebook-Post des sächsischen Vize-Ministerpräsidenten und Wirtschaftsministers Martin Dulig. Der SPD-Abgeordnete äußerte sich in einer Studie des Göttinger Instituts für Demokratieforschung und Fremdenfeindlichkeit in Ostdeutschland. Dabei sagte er, die CDU habe das Problem 25 Jahre lang verharmlost und relativiert. Diese Information war im Datenpool des Verfassungsschutzes zu finden, genau wie eine Äußerung des Landtagsabgeordneten Rico Gebhardt von den Linken und eine des Grünen-Abgeordneten Valentin Lippmann.

Über das Datenverarbeitungssystem des sächsischen Verfassungsschutzes, DOMEA, werden eine Reihe von Informationen über Landtagsabgeordnete erfasst. DOMEA aggregiert alle Datensätze und Dokumenttypen, mit denen der Verfassungsschutz zu tun hat, darunter auch Recherchen der Behörde über politische Aktivitäten von Abgeordneten ohne nachrichtendienstlichen Wert, die also für den Verfassungsschutz keine Anhaltspunkte für demokratiefeindliche Bestrebungen aufweisen. Zudem liegen dort banale Dokumente, die der Verfassungsschutz nicht aktiv für Extremisten-Recherchen genutzt hat. Für die PKK-Mitglieder spielt es laut ihrem Bericht aus diesem Grund eine Rolle, ob der Verfassungsschutz selbst aktiv geworden ist und Recherchen zu Abgeordneten angestellt hat. Welche Daten konkret erfasst wurden, das erfahren Abgeordnete nur über ein sogenanntes Auskunftsersuchen. Diese Abfrage steht übrigens allen Bürgern offen.

DOMEA wurde 2017 eingeführt. Die Folge: unkontrolliertes Datensammeln. Simple Verwaltungsvorgänge werden als Datensätze abgespeichert, etwa wenn eine Abgeordnete eine Kleine Anfrage stellt – eine an sich unproblematische Sache. Das Problem liege in der Vermischung verschiedener Dokumenttypen, sagen die Abgeordneten. Dabei würden die Grenzen zwischen profanen Verwaltungsakten und brisanten nachrichtendienstlichen Informationen aufgehoben.

Viele Daten wurden also automatisch und über lange Zeit gespeichert, obwohl sie keine nachrichtendienstliche Relevanz haben. Das ist ein Kritikpunkt. Die Kritik an der Volltextrecherche, die DOMEA ermöglicht, ist ein weiterer: Sie, so kritisieren die Kommissionsmitglieder, vermische Personen-, Sach- und profane Verwaltungsakten innerhalb der Behörde. Mithilfe von Suchbegriffen könnten Daten generiert werden. Darunter seien regelmäßig auch Daten, deren Speicherung nicht zulässig gewesen sei.

Allein die Tatsache, dass ein Datenverarbeitungssystem mit einer solchen Recherchemöglichkeit genutzt wird und unzulässig gespeicherte Daten gemeinsam mit anderen herausgebe, bezeichnen die Abgeordneten als "nicht hinnehmbar".

Das Problem liegt, so die PKK, einerseits in der Daten-Software DOMEA an sich. Doch es sitzt noch tiefer. Theoretisch kann der Verfassungsschutz unrechtmäßig gespeicherte Daten löschen. Hier sehen die Kommissionsmitglieder ein schwerwiegendes Versäumnis: die Kombination aus einer chaotischen Sammlung von allerlei Daten und der nachlässigen Prüfung, ob die fraglichen Informationen überhaupt erfasst werden dürfen. Die vorgeschriebene "strikte Relevanzprüfung" bei personenbezogenen Daten sei nicht mit der "erforderlichen Konsequenz und Stringenz durchgeführt" worden, heißt es in dem Bericht.

Die Folge sei, dass jede "eingehende Information elektronisch gespeichert und somit einer Volltextrecherche zugänglich gemacht wurde". Das führte dazu, dass fast fünf Jahre lang trockene Verwaltungspost und sensible Geheimdienstinformationen in einen Topf geworfen wurden. So entstand über Jahre hinweg ein riesiges Daten-Becken mit Informationen über Landtagsabgeordnete, deren Aktivitäten in Netz und vielem mehr, die über die Software mit bestimmten Begriffen gesucht werden können.

Das sächsische Landesamt für Verfassungsschutz räumt in einer Pressemitteilung Versäumnisse ein. Automatisch gespeicherte Daten müssten zu einem bestimmten Zeitpunkt gelöscht werden. Diese sei nicht fristgemäß erfolgt. "So ist auch die Speicherung der Daten des MdL Dulig und vergleichbarer anderer Abgeordneter zu erklären", so der Verfassungsschutz. Die erhobenen Daten hätten "überhaupt keinen nachrichtendienstlichen Mehrwert". Innenminister Roland Wöller (CDU), dessen Behörde für die illegale Speicherung verantwortlich ist, begrüßte den Nachbericht der Parlamentarischen Kontrollkommission.

Aus Kreisen des Verfassungsschutzes erfuhr der MDR mehr darüber, warum die Datensammlung aus Sicht des Geheimdienstes wichtig ist. Ein Insider erklärt: "Um gut arbeiten zu können, muss es dem Verfassungsschutz erlaubt sein, gesellschaftliche Diskurse zu verfolgen. Dazu gehört auch, Informationen über Ereignisse zu sichten und abzulegen, an denen Menschen beteiligt waren, die wir explizit nicht als Feinde der freiheitlich demokratischen Grundordnung betrachten." Wenn man gegen Extremisten vorgehen wolle, müsse man auch wissen, wer ihre Gegner seien – und warum. Die gesammelten Informationen dienten auch dazu, Gefährdungsanalysen zu erstellen "und damit letztlich dem Schutz möglicher Opfer von Extremismus." Eingang in das Vorgangsbearbeitungssystem DOMEA fänden alle möglichen Informationen – erst mal völlig unstrukturiert: Pressemitteilungen, Zeitungsartikel und so weiter. "Das ist weit weg davon, eine strukturierte Datensammlung über eine bestimmte Person anzulegen."

Zwar lege der Verfassungsschutz keine Personenprofile von Abgeordneten an, wie eine Sprecherin dem MDR sagt. Doch allein die Tatsache, dass das Amt über eine Schlagwortsuche – beispielsweise mit dem Namen einer Abgeordneten – zahlreiche Datensätze präsentiert bekommt, von denen ein Teil offenbar unrechtmäßig im Speicher lag, sei ein Problem, finden die Kommissionsmitglieder. Die Ergebnisse einer solchen Suche entsprächen neugenerierten Daten. Reicht eine Abgeordnete nun ein Auskunftsersuchen ein, wird dieses "Profil", also das Suchergebnis, herausgegeben – und ein neuer Datensatz ist entstanden.

Ob und wann die kritisierte Volltextsuche in dem DOMEA-System abgeschafft wird, ist bislang unklar. Das werde Gegenstand der Verfassungsschutz-Novelle und der Beratungen dazu sein, so eine Sprecherin des Verfassungsschutzes. "Dass wir aktuell überhaupt eine Volltextsuche haben, ergibt sich aus dem Verfassungsschutzgesetz Paragraf 9". Daher wäre eine Änderung des Verfassungsschutzgesetzes eine Möglichkeit, dem Abhilfe zu schaffen. Doch das Versäumnis, personenbezogene Daten von Abgeordneten zu löschen, wäre damit nicht behoben. Die Sprecherin betont, dass generell die Relevanzprüfung rechtzeitig stattfinden müsse, gerade bei Abgeordneten sei dies sehr wichtig. In den vergangenen Jahren hat diese Relevanzprüfung und Löschung unzulässig erhobener Daten zum Teil gar nicht stattgefunden.

Im vergangenen Jahr wurde der Daten-Skandal im sächsischen Verfassungsschutz erstmalig bekannt. Damals leitete Gordian Meyer-Plath die Behörde. Dieser soll sich laut Medienberichten geweigert haben, Daten von AfD-Abgeordneten zu löschen, obwohl es eine Anweisung aus dem Innenministerium gegeben habe. Im Juli 2020 musste er deswegen seinen Posten räumen. Die aktuellen Erkenntnisse zeigen, dass die Daten-Politik im sächsischen Verfassungsschutz offenbar nicht hinreichend aufgearbeitet und reformiert wurde.