BND-Auslandsspionage: Die Kanzlerin darf weiter alles wissen
Mit seinem Urteil zur Telekommunikationsüberwachung des Bundesnachrichtendienstes (BND) hat das Bundesverfassungsgericht ohne Zweifel Rechtsgeschichte geschrieben. Künftig muss der Dienst bei der Überwachung von Ausländern ebenfalls die Grundrechte wie den Schutz des Fernmeldegeheimnisses und die Pressefreiheit berücksichtigen. Darf der Dienst daher künftig weniger Daten an Internetknoten wie dem DE-CIX abgreifen? Unter welchen Bedingungen ist die Kommunikation von Journalisten und anderen Berufsgeheimnisträgern besser geschützt? Und wie stark gefährdet das Urteil die Zusammenarbeit des BND mit anderen Geheimdiensten?
Seit den Enthüllungen von US-Whistleblower Edward Snowden ist die Spionagepraxis des BND ein Dauerthema in der deutschen Politik. Dass der BND unter ominösen Umständen in Deutschland den Internettraffic anzapft , war durch den NSA-Untersuchungsausschuss des Bundestages herausgekommen. DE-CIX-Aufsichtsratsmitglied Klaus Landefeld kritisierte schon im März 2015 vor dem Ausschuss, dass der Datenzugriff des BND auf den Internetknoten "völlig unzureichend" geregelt sei.
Die umstrittenen Praktiken sollten mit dem reformierten BND-Gesetz von 2017 legitimiert werden . Doch mit ihrer Klage in Karlsruhe haben mehrere ausländische Journalisten erreicht, dass der Gesetzgeber nun deutlich nachbessern muss.
Nicht nur das BND-Gesetz erlaubt die Überwachung
Derzeit gibt es mehrere gesetzliche Grundlagen für den BND, um die Telekommunikation an Internetknoten überwachen zu können. Lediglich diejenige auf Basis des BND-Gesetzes wurde in dem Urteil(öffnet im neuen Fenster) für verfassungswidrig erklärt. Diese betrifft die sogenannte Ausland-Ausland-Fernmeldeaufklärung vom Inland aus sowie die Fernmeldeaufklärung direkt im Ausland. Das sogenannte G10-Gesetz(öffnet im neuen Fenster) regelt hingegen die Überwachung von Telekommunikation mit Inlandsbezug. Aber auch auf dieser Basis dürfen "internationale Telekommunikationsbeziehungen" , also zwischen Inland und Ausland, nach bestimmten Suchbegriffen (Selektoren) durchsucht werden, was als strategische Fernmeldeaufklärung bezeichnet wird.
Diese rechtliche Trennung beruhte auf der Annahme, dass die Grundrechte nicht in gleicher Weise für deutsche Staatsbürger und Ausländer gelten. Doch nun hat das Bundesverfassungsgericht entschieden: "Eine globale und pauschale Überwachung lässt das Grundgesetz auch zu Zwecken der Auslandsaufklärung nicht zu." (Rn. 168) Zwar könne sich der Schutz der einzelnen Grundrechte im Inland und Ausland unterscheiden, jedoch erstrecke sich der Schutz durch Fernmeldegeheimnis und Pressefreiheit "auch auf Ausländer im Ausland" . Dennoch bleibt die strategische Fernmeldeaufklärung grundsätzlich erlaubt, obwohl sie laut Urteil "ohne Eingriffsschwelle zu schweren Grundrechtseingriffen berechtigt" (Rn. 143). Das heißt: Der BND kann weiterhin die Kommunikation anlasslos ohne konkrete Verdachtsfälle überwachen.
Bislang unterschied das BND-Gesetz nicht nur zwischen Inländern und Ausländern, sondern auch zwischen EU-Bürgern und anderen Ausländern. Das war ein Resultat der sogenannten Selektorenaffäre , in deren Folge das Kanzleramt dem BND "technische und organisatorische Defizite" bescheinigt hatte. Allerdings hatte nicht nur der US-Militärgeheimdienst NSA unzulässige Selektoren wie E-Mail-Adressen, Telefonnummern oder IP-Adressen beigesteuert. Der BND hatte ebenfalls europäische Ziele und Medien ausspioniert .
Für außereuropäische Ziele sah das reformierte BND-Gesetz hingegen keine Einschränkungen vor. Solche Ausländer waren weiterhin "zum Abschuss freigegeben" , wie es ein BND-Mitarbeiter im NSA-Untersuchungsausschuss formuliert hat . Details zur Überwachung sollte laut BND-Gesetz lediglich eine "Dienstvorschrift" regeln.
Das alles soll nun anders werden.
Am DE-CIX ändert sich gar nichts
Was bedeutet das konkret? Für den DE-CIX selbst ist das Urteil technisch völlig irrelevant. "Selbst wenn das Gericht gesagt hätte, die gesetzliche Grundlage falle ohne Übergangsfrist ganz weg, hätte sich an der physischen Ausleitung selbst gar nichts geändert. Denn es liegen weiterhin Anordnungen nach dem G10-Gesetz vor. Das wird alles als ein einziger Take genommen und erst anschließend im Verantwortungsbereich des Dienstes auseinandergefiltert" , sagte Landefeld im Gespräch mit Golem.de. Dass "Netzanordnungen und darauf aufbauende Ausleitungsanordnungen" weiterhin zusammengelegt werden können, hat Karlsruhe in dem Urteil für zulässig erklärt (Rn. 184).
Der BND kann demnach weiterhin rund 1,2 Billionen Verbindungen pro Tag von Frankfurt nach Pullach abzweigen . Spätestens vom Januar 2022 muss er aber anders damit umgehen. Dann endet die Umsetzungsfrist des Urteils.
Das Grundproblem der strategischen Fernmeldeaufklärung in Zeiten von Internettraffic ist dabei weiter ungelöst: Wie lassen sich die zulässigen Inhalte von den unzulässigen unterscheiden? Während man früher beim Abhören von Telefonverbindungen ziemlich genau wusste, wie die Leitungen verliefen, muss nun jedes Datenpaket darauf überprüft werden, ob es möglicherweise einen "geschützten Verkehr" enthält.
Filterung mit allen verfügbaren Mitteln
Dem Urteil zufolge sollen diese geschützten Inhalte mit Inlandsbezug "mit allen zur Verfügung stehenden Mitteln technisch herausgefiltert und spurenlos gelöscht werden" . Dazu sagt Landefeld: "Das ist natürlich eine hochspannende Frage. Was sind 'alle zur Verfügung stehenden Mittel'? Könnte man da auch eine künstliche Intelligenz dransetzen? Das ist kein klares Kriterium." Ähnlich sieht das der Grünen-Bundestagsabgeordnete Konstantin von Notz, der dem Parlamentarischen Kontrollgremium angehört. "Die Verbesserung einzelner Filtertechnologien und -methoden sind zweifellos wichtig, werden die strukturellen und prinzipiellen Probleme im Hinblick auf die fragwürdigen Praxen des BND jedoch nicht beheben" , sagte er auf Anfrage von Golem.de.
Schon jetzt betreibt der BND einen hohen Aufwand, die Daten zu filtern. "Bei der händischen Auswertung der durch Suchbegriffe selektierten Telekommunikationsverkehre, bei der rund 270.000 täglich erhobene Inhaltsverkehre durch ein Bündel vielfältiger Kriterien auf rund 260 relevante Meldungen reduziert würden, werde täglich im Durchschnitt tatsächlich nur ein Telekommunikationsverkehr bekannt, dessen Inländer- oder Deutschenbezug elektronisch nicht erkannt worden sei" , heißt es im Urteil unter Berufung auf den BND (Rn. 20). Dabei würden 60 Prozent der Verkehre im Inland erhoben, während 40 Prozent aus dem Ausland stammten. Eine niedrige fünfstellige Zahl werde von ausländischen Kooperationspartnern zugeleitet.
Sofort löschen oder doch nicht?
Auch wenn die Fehlerquote des mehrstufigen Datenfiltersystems (Dafis) niedrig sein mag, ist bei der schieren Masse an abgehörter Kommunikation eine hohe Zahl geschützter Verkehre betroffen. Nun fordert das Bundesverfassungsgericht: "Der Dienst ist darauf zu verpflichten, die Filtermethoden kontinuierlich fortzuentwickeln und auf dem Stand von Wissenschaft und Technik zu halten." Dadurch soll sichergestellt werden, "dass den Mitarbeitern des Bundesnachrichtendienstes solche Telekommunikationsdaten schon gar nicht bekannt werden" .
Falls doch, muss gesetzlich festgeschrieben werden, dass diese Daten "nicht genutzt werden dürfen und unverzüglich zu löschen sind" . Allerdings sieht Karlsruhe in diesem Punkte Ausnahmen vor, wenn sich aus den Daten "eine unmittelbar bevorstehende konkrete Gefahr für Leib, Leben oder Freiheit einer Person, für lebenswichtige Güter der Allgemeinheit oder für den Bestand oder die Sicherheit des Bundes oder eines Landes erkennen lassen" . Das heißt: Merkt ein BND-Mitarbeiter, dass eine herausgefilterte Kommunikation von einem Inländer oder Deutschen stammt, müsste er sie nicht sofort löschen, sondern zunächst darauf prüfen, ob er sie nicht doch verwenden kann.
Möglicherweise ändert sich durch das Urteil daher auch in diesem Punkt wenig in der Praxis. Die Bundesregierung könnte versuchen, die Vorgaben ins BND-Gesetz zu schreiben und die aktuelle Filtertechnik als state of the art zu erklären. Für Notz ist entscheidend: "Bislang intransparente Filtertechnologien müssen zudem endlich der unabhängigen Überprüfung zugänglich gemacht, Speicherfristen durchgesetzt und Löschstatistiken aufgezeichnet werden."
Und was bedeutet das Karlsruher Urteil für die betroffenen Journalisten, die gegen das BND-Gesetz geklagt hatten? Ist ihre Kommunikation künftig völlig vor dem Zugriff durch den Nachrichtendienst geschützt?
Sind Journalisten nun besser geschützt?
Das ist mitnichten der Fall. Denn die Karlsruher Richter legen in ihrem 132-seitigen Urteil sehr häufig und sehr ausführlich dar, warum die strategische Fernmeldeaufklärung sehr wichtig ist: "Dem Nachrichtendienst sind weitreichende Aufklärungsbefugnisse übertragen, damit er auf der Grundlage einer großen Menge weithin auch unstrukturierter Daten wichtige Informationen im Vorfeld operativer Tätigkeit herausfiltern kann."
Das gilt vor allem für den Zweck, der Bundesregierung die gewonnenen Erkenntnisse mitzuteilen. "Wenn es um die Information der Bundesregierung zur Wahrnehmung ihrer außen- und sicherheitspolitischen Verantwortung geht und eine Weiterleitung an andere Stellen ausgeschlossen ist, sind Anforderungen an einen qualifizierten Rechtsgüterschutz oder an Übermittlungsschwellen verfassungsrechtlich nicht geboten" , heißt es in Randnummer 223. In diesem Fall "kann auf den Schutz von Vertraulichkeitsbeziehungen verzichtet werden" , heißt es in Randnummer 198.
Mit anderen Worten: Der BND kann weiterhin bestimmte Berufsgruppen wie Journalisten, Rechtsanwälte oder Ärzte abhören, um Bundeskanzlerin Angela Merkel (CDU) über brisante Gesprächsinhalte zu informieren. Eine Positivliste, um Inhalte und Daten bestimmter ausländischer Personen herauszufiltern, muss der BND für diesen Zweck noch nicht führen. Der frühere Mitarbeiter der Organisation Reporter ohne Grenzen, Daniel Moßbrucker, befürchtet in einem Beitrag auf Medium.com(öffnet im neuen Fenster) , dass der Journalismus ein "legitimer Informationsbeschaffer der Bundesregierung" wird.
Neue Kriterien für Datenweitergabe
Das Bundesverfassungsgericht unterscheidet dabei zwischen der "bloßen politischen Information der Bundesregierung" und der "Übermittlung von Erkenntnissen über Einzelpersonen an innerstaatliche Behörden" sowie der "Übermittlung an ausländische Stellen" . Das heißt: An der technischen Erfassung von Kommunikation ändert sich im Grunde nichts. Neue gesetzliche Auflagen soll es hingegen bei der Weitergabe der ausspionierten Erkenntnisse geben, beispielsweise zur Früherkennung von Gefahren. "Es sind eher die administrativen Sachen, die mit dem Urteil adressiert wurden. Das muss man ganz klar so festhalten" , sagt DE-CIX-Aufsichtsrat Landefeld.
Doch diese Auflagen haben es durchaus in sich. Denn rund die Hälfte der mehr als 100.000 Suchbegriffe, die der BND einsetzt, soll von ausländischen Partnern stammen. Vor allem bei der automatisierten Weiterleitung der Suchergebnisse gibt es nun höhere Auflagen. "Der Bundesnachrichtendienst hat sowohl die Suchbegriffe selbst als auch die mit ihnen herausgefilterten Daten daraufhin zu prüfen, ob ihre Verwendung grundrechtlichen Grenzen unterliegt" , heißt es im Urteil (Rn. 255). Bislang waren laut Paragraf 14 des BND-Gesetzes(öffnet im neuen Fenster) alle Suchbegriffe erlaubt, "die zur Erreichung der vereinbarten Kooperationsziele geeignet sind" .
Künftig ist jedoch eine Kontrolle "vorzusehen, die darauf ausgerichtet ist, Daten von Personen oder aus Situationen, bei denen Anhaltspunkte für eine besondere Schutzbedürftigkeit bestehen, wie das etwa bei unter Verfolgungsdruck stehenden Dissidenten oder sogenannten Whistleblowern der Fall sein kann, nach Möglichkeit auszufiltern" (Rn. 256). Das gilt auch für "schutzwürdige Rechtsanwälte und Journalisten" , wobei Überwachungsmaßnahmen gegen solche Personen auch im Rahmen von Kooperationen "nicht insgesamt ausgeschlossen" sind (Rn. 257).
Doch wie kommt der BND an die Daten der schutzwürdigen Personen?
Eine Datenbank für alle Journalisten
Dem Urteil zufolge ist er verpflichtet, "Hinweise auf eine besondere Schutzwürdigkeit und Schutzbedürftigkeit bestimmter Personen zu sammeln und auf sie bezogene Telekommunikationskennungen in einer Weise zusammenzuführen, die die Filterung der Suchbegriffe und der für die Übermittlung vorgesehenen Daten ermöglicht" . Entsprechende Datenbanken und Filterverfahren seien "kontinuierlich zu aktualisieren und fortzuentwickeln" .
Muss der BND künftig eine weltweite Liste aller Journalisten und Rechtsanwälte pflegen? Oder zumindest aus denjenigen Ländern, in denen freier Journalismus möglich ist? Landefeld sieht auch darin ein Problem: "Nicht einmal die Anbieter haben eine Liste über alle besonderen Anschlüsse, weil der Kunde einem das bei Vertragsabschluss nicht mitteilt. Wenn allerdings noch nicht einmal die TK-Anbieter den besonderen Schutz sicherstellen können, stellt sich die offensichtliche Frage, wie der Dienst das machen soll." Das gehe im Grunde nur über die Inhalte – was aus seiner Sicht wiederum eine Schutzverletzung darstelle.
Sollen sich daher die Journalisten und Rechtsanwälte selbst beim BND melden und darum bitten, auf eine "weiße Liste" gesetzt zu werden? Moßbrucker hält das für gar keine so schlechte Idee. "Der BND könnte damit die Pressefreiheit weit über die Grenzen Deutschlands hinaus aktiv verteidigen" , schreibt er auf Medium.com. Zwar ist der BND mit dem Zugriff auf den weltgrößten Internetknoten DE-CIX weiterhin ein attraktiver Kooperationspartner. Doch wenn er auf Basis des Urteils deutlich weniger Daten weiterleiten kann, könnte er auch zunehmend von den Erkenntnissen der anderen Dienste abgeschnitten werden.
Was kann der BND überhaupt noch mitlesen?
Ohnehin stellt sich für Landefeld die Frage, wie effektiv eine Überwachung des Internettraffics inzwischen noch sein kann. "Auf was kann man eigentlich noch zugreifen? Ich halte das zunehmend für akademisch, bezogen auf den Umfang der Erfassung. Im Gesamtverkehr sind heute rund 60 Prozent verschlüsselt, bei HTTP, welches 80 Prozent aller Verkehre darstellt, sind bereits 75 Prozent verschlüsselt" , sagt Landefeld. Seit Anfang des Jahres habe die Transportverschlüsselung insgesamt stark zugenommen, ausgelöst durch Veränderungen in den Browsern, welche heute eine fehlende Verschlüsselung aktiv bemängelten. "Aber auch jeder E-Mail-Server, der etwas auf sich hält, verschlüsselt den Datenverkehr wann immer möglich" , sagt Landefeld.
Zwar könne der BND wie andere Angreifer die SSL/TLS-Verschlüsselung kaum knacken, doch er könne sehen, was im Traffic stattfindet, wie beispielsweise Video oder Telefonie. Immer wichtiger werden daher die sogenannten Verkehrsdaten, auch Metadaten genannt. Dabei hat der BND nach Einschätzung Landefelds eine eigenwillige Auffassung vom Personenbezug der Daten. So habe der BND in der Verhandlung in Karlsruhe erklärt, dass alles, was Geräte machten, nicht durch das Fernmeldegeheimnis geschützt sei, weil es keine persönliche Kommunikation darstelle. Eine Auswertung sei aber sehr sinnvoll, weil man darüber zum Beispiel erkennen könne, ob sich jemand im Inland aufhalte und man die Überwachung einstellen müsse. "Werden also Standorte regelmäßig erfasst um festzustellen, ob jemand im Inland ist? Das wäre ein Skandal" , sagt Landefeld.
Diese und weitere Fragen sollten künftig stärker kontrolliert werden.
Zwei neue Kontrollinstanzen gefordert
Dem Urteil zufolge sind zwei verschiedene Kontrollinstanzen einzurichten. Zum einen eine "gerichtsähnliche" mit Entscheidungsbefugnis, die unter anderem den Einsatz von Suchbegriffen und Überwachungsmaßnahmen kontrollieren soll. Zum anderen soll es einer weiteren Instanz mit Beanstandungsrecht möglich sein, "stichprobenmäßig den gesamten Prozess der strategischen Überwachung auf seine Rechtmäßigkeit zu prüfen – sowohl Einzelentscheidungen und Verfahrensabläufe als auch die Gestaltung der Datenverarbeitung und der Filterprozesse sowie der hierfür verwendeten technischen Hilfsmittel" .
In der Einrichtung der Kontrollinstanzen sieht Landefeld ebenfalls ein großes Problem. Da nun der Grundrechtsschutz auch für Ausländer gilt, stelle sich die Frage, wie die Zuständigkeiten der neuen Gremien von denen der G10-Kommission abgegrenzt werden können. Diese beim Bundestag angesiedelte Kommission(öffnet im neuen Fenster) entscheidet bislang über die Zulässigkeit von Überwachungsmaßnahmen durch die Nachrichtendienste in Deutschland. Nach Ansicht Landefelds wäre das Problem "erst dann richtig zu lösen, wenn man die strategische Überwachung in einem Guss neu regeln würde. Diese Möglichkeit wird wahrscheinlich nicht genutzt werden. Es ist eher ein Schnellschuss zu erwarten" .
Angriff auf die Third Party Rule
Der für BND und Regierung wohl problematischste Teil des Urteils findet sich in den Äußerungen zur sogenannten Third Party Rule. Diese Regel besagt, dass "Informationen von ausländischen Diensten nach Maßgabe informeller Absprachen nicht ohne deren Zustimmung an Dritte weitergegeben werden dürfen" (Rn. 293). Unter Berufung auf diese Regel hat die Bundesregierung sogar dem NSA-Untersuchungsausschuss wichtige Auskünfte verweigert. Doch das soll ebenfalls etwas anders werden. "Die Kontrolle darf nicht unter Berufung auf die 'Third Party Rule' behindert werden" , heißt es im Urteil (Rn. 298).
Andere Geheimdienste könnten daher befürchten, dass ihre geheimen Absprachen mit dem BND an die Öffentlichkeit gelangen. Das will aber auch das Bundesverfassungsgericht möglichst verhindern. "Der Informationsfluss in den parlamentarischen Raum und damit auch zum Parlamentarischen Kontrollgremium kann indes aus Geheimhaltungsgründen grundsätzlich begrenzt werden" , heißt es weiter (Rn. 298). Der Trick: Die Kontrollinstanz soll quasi als Teil der Exekutive deklariert werden, so dass sie nicht als "Dritter" gewertet werden müsse.
Wer darf die Verträge sehen?
Doch welche Behörde darf Einblick in die Verträge erhalten? "Gilt das auch für den Bundesdatenschutzbeauftragten? Das sieht das Kanzleramt gar nicht so. Nur das neue Gremium soll das Recht bekommen, diese Verträge zu prüfen. Ich bin persönlich nicht der Meinung, dass man damit die Auflagen erfüllt" , sagt Landefeld. Auch Notz sieht das ähnlich: "Eine gewisse Aufteilung der Kontrollfunktionen auf mehrere Organe kann sinnvoll sein, gleichzeitig müssen wir jedoch eine bessere Vernetzung und höhere Transparenz sicherstellen." Damit die parlamentarischen Kontrollorgane ihre notwendige Arbeit effektiv ausführen könnten, müsse die personelle und finanzielle Ausstattung insgesamt gestärkt und korrelativ in Einklang mit der der Nachrichtendienste gebracht werden.
Notz fügte hinzu: "Eine neue unabhängige Kontrollinstanz auf Augenhöhe kann ein rechtsstaatlicher Zugewinn sein." Jedoch gelte weiterhin, dass der Bundestag die Bundesregierung kontrolliere, der wiederum der BND unterstehe. "Eine extraordinäre Stelle außerhalb bestehender Ordnung, wie beispielsweise von der FDP vorgeschlagen, darf es daher nicht geben" , fordert Notz.
Auf Wiedersehen bis zur nächsten Klage
Kanzleramtsminister Helge Braun (CDU) will auf Basis des Urteils künftig "einen umfassenden Grundrechtsschutz sicherstellen" . Die Bundesregierung werde "in einem sehr transparenten Verfahren Vorschläge für die notwendigen gesetzlichen Anpassungen machen" , sagte er dem Redaktionsnetzwerk Deutschland(öffnet im neuen Fenster) . Dem Bericht zufolge soll ein erstes Papier des Kanzleramtes mit den Eckpunkten eines neuen BND-Gesetzes noch vor der parlamentarischen Sommerpause fertig sein. Der Gesetzesentwurf solle bereits am Ende der Sommerpause das Kabinett passieren und dann rasch in den Bundestag eingebracht werden. Damit wäre eine Verabschiedung noch in diesem Jahr möglich.
Droht also tatsächlich ein "Schnellschuss" bei der Reform? "Das Bundeskanzleramt tut so, als ob das Urteil einfach umzusetzen sei. Ich glaube, dass die praktische Umsetzung der Auflagen wesentlich komplizierter ist als angenommen" , sagte Landefeld und fügt hinzu: "Am Ende könnte der Regierung eine neue Klage ins Haus stehen, wie es bei der Vorratsdatenspeicherung immer wieder der Fall ist."