Internet-Law

Auf Heise-Online sind vorgestern im Abstand von weniger als 30 Minuten zwei Artikel erschienen, deren Überschriften und inhaltliche Aussage gegensätzlicher nicht sein könnten. Während der frühere Bundesdatenschutzbeauftragte Peter Schaar in einem Gastbeitrag die These vertritt, der EuGH habe die Vorratsdatenspeicherung beerdigt, wird über BKA-Präsident Ziercke berichtet, er würde an der Vorratsdatenspeicherung festhalten.

Kurz nach dem Urteil des EuGH, das schon deshalb überraschend war, weil es die Richtlinie ohne Übergangsregelung rückwirkend für ungültig erklärt hat, stehen sich, was die Bewertung der Entscheidung angeht, zwei Auffassungen gegenüber. Die einen, wie Ziercke und eine Reihe konservativer Politiker, meinen, der EuGH habe in etwa so entschieden wie das BVerfG vor einigen Jahren, weshalb man jetzt in Deutschland, orientiert an den Vorgaben aus Karlsruhe, zügig ein neues Gesetz angehen könne. Die anderen, wie beispielsweise Schaar, meinen, der EuGH habe einer anlasslosen Datenspeicherung eine Absage erteilt und damit eine Vorratsdatenspeicherung praktisch unmöglich gemacht.

Entspricht die Entscheidung des EuGH inhaltlich dem Urteil des BVerfG?

Nach aufmerksamer Lektüre der Entscheidung des EuGH muss man jedenfalls erkennen, dass die Argumentation des EuGH sich nur in Teilen mit der des BVerfG deckt und in einigen Punkten deutlich über den Karlsruher Richterspruch hinausgeht.

Die Rn. 57 – 59 des EuGH-Urteils lassen sich dahingend interpretieren, dass die anlasslose Speicherung sämtlicher TK-Verbindungsdaten, die ohne jede Ausnahme und ohne jede Differenzierung stattfindet, problematisch ist. Der EuGH stellt nämlich explizit darauf ab, dass auch Daten von Personen gespeichert werden, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten steht. Außerdem bemängelt der EuGH, dass die Vorratsspeicherung weder auf die Daten eines bestimmten Zeitraums und/oder eines bestimmten geografischen Gebiets und/oder eines bestimmten Personenkreises beschränkt ist.

Wenn man aus diesen Ausführungen die Schlussfolgerung zieht, dass nicht ausnahmslos alle Daten gespeichert werden können, sondern bereits im ersten Schritt der Speicherung Einschränkungen vorzunehmen sind, ergibt sich ein qualitativ essentieller Unterschied zur Rechtsprechung des BVerfG, die die Speicherung als solche nicht eingeschränkt hat, sondern im Wesentlichen nur den Zugang zu den gespeicherten Daten exakter und restriktiver geregelt haben möchte. Sofern man das Urteil des EuGH in diesem Sinne interpretiert, dürfte eine gesetzliche Neuregelung der Vorratsdatenspeicherung tatsächlich schwierig sein, denn eine Differenzierung und Einschränkung bereits bei den zu speichernden Daten, bzw. den Personen, deren Daten gespeichert werden, steht im Widerspruch zum Konzept der anlasslosen Pauschalspeicherung. Man kann das Urteil des EuGH aber auch dahingehend interpetieren, dass sich die Unverhältnismäßigkeit nicht allein aus diesem Aspekt ergibt, sondern erst aus der Gesamtschau aller bzw. mehrerer vom EuGH beanstandeter Mängel, wie zusätzlich dem Fehlen von Garantien zur Verhinderung des Missbrauchs der Daten bzw. des unberechtigten Zugriffs.

Der EuGH hat zudem erklärt, dass er die von der Richtlinie vorgesehene Speicherdauer von sechs Monaten bis zu zwei Jahren für unverhältnismäßig erachtet, während das BVerfG eine Speicherdauer von sechs Monaten für noch zulässig hält. Der EuGH nennt in seiner Entscheidung allerdings keine konkrete Grenze, weshalb unklar bleibt, ob sechs Monate noch zulässig sind oder ob die Speicherdauer vielleicht auch deutlich verkürzt werden muss, auf beispielsweise zwei oder drei Monate.

Auch die vom BVerfG vorgenommene Differenzierung zwischen unmittelbarem und mittelbarem Abruf von Verkehrsdaten, die im Karlsruher Urteil ausführlich dargestellt wurde, findet sich in der Entscheidung des EuGH nicht wieder. Es muss deshalb davon ausgegangen werden, dass für alle Arten von Daten und für alle Formen des behördlichen Abrufs grundsätzlich dieselben (strengen) Anforderungen zu gelten haben.

Die Übereinstimmung zwischen der Entscheidung des EuGH und des BVerfG besteht insbesondere darin, dass beide Gerichte – in den Worten des BVerfG – hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes verlangen.

Während die Vorgaben des BVerfG noch relativ konkret sind, bleibt nach der Entscheidung des EuGH eher unklar, wie die vom EuGH postulierte Beschränkung der Vorratsdatenspeicherung auf das absolut Notwendige exakt ausgestaltet werden kann bzw. ob eine solche Ausgestaltung überhaupt möglich ist.

Der EuGH hat – anders als das BVerfG – letztlich nur die bestehende Richtlinie als unverhältnismäßig qualifiziert, ohne dem Gesetzgeber klare Kriterien vorzugeben, welche Anforderungen an eine rechtmäßige und grundrechtskonforme Vorratsdatenspeicherung zu stellen sind.

Rechtmäßige Umsetzung der Vorratsdatenspeicherung wird schwierig

Es bleibt festzuhalten, dass der EuGH die Vorratsdatenspeicherung zwar nicht komplett beerdigt hat, aber eine rechtskonforme gesetzliche Regelung gerade auch im Vergleich zu den Vorgaben des BVerfG nochmals deutlich erschwert hat.

Ob sich die EU-Kommission erneut an eine Richtlinie wagen wird, darf angesichts des Umstandes, dass die Entscheidung des EuGH nicht rechtssicher umgesetzt werden kann, eher bezweifelt werden.

Ob sich in Deutschland eine politische Mehrheit für einen Neuanlauf findet, erscheint mir offen zu sein. Der politische Prozess in Deutschland wird allerdings relativ stark von den Vertretern der Polizei- und Sicherheitsbehörden beeinflusst, die den politischen Entscheidern auf Bundes- und Landesebene seit Jahren einreden, die Vorratsdatenspeicherung sei unerlässlich für die Kriminalitätsbekämpfung, obwohl es dafür keinerlei empirischen Nachweise gibt und den Behörden in vielen Fällen wesentlich effektivere und ohnehin bereits bedenklich weitreichende Möglichkeiten der TK-Überwachung zur Verfügung stehen. Die letzten Äußerungen von Innenminister de Maizière und Polizeivertretern deuten jedenfalls nicht darauf hin, dass die Diskussion künftig sachlicher geführt werden wird. Es wird also vieles davon abhängen, wer die Deutungshoheit und Meinungsführerschaft erlangt. Es gibt in allen Parteien Gegner der Vorratsdatenspeicherung. Ob sich diese gegen die Angst-Rhetorik der Innenpolitiker und Polizeibeamten durchsetzen können, wird sich zeigen. Die Uhren sind vom EuGH jedenfalls wieder auf null gestellt worden und diesen Umstand müssen auch wir kritische Bürger nutzen, um uns in dieser Diskussion Gehör zu verschaffen. Denn schließlich sind es unsere Daten, die gespeichert werden sollen.

Zu der mit Spannung erwarteten Entscheidung des Europäischen Gerichtshofs (EuGH) zur Vorratsdatenspeicherung (Urteil vom 08.04.2014, Az.: C – 293/12 und C – 594/12) liegt bislang nur die Pressemitteilung vor.

Die gute Nachricht lautet in jedem Fall, dass der EuGH die Richtlinie vollständig für ungültig erklärt hat und insoweit eine zeitliche Begrenzung nicht vorgenommen hat. Es gibt damit keinerlei Übergangsregelungen, die Unwirksamkeit wirkt auf den Zeitpunkt des Inkrafttretens der Richtlinie zurück.

Damit steht auch fest, dass es keine europarechtliche Verpflichtung der Bundesrepupublik Deutschland gibt, eine Vorratsdatenspeicherung einzuführen.

Ob und in welchem Umfang die Entscheidung des EuGH Raum bietet für den Erlass einer neuen Richtlinie, wird sich erst nach eingehender Lektüre des Volltexts beurteilen lassen. Die politische Diskussion muss nach dieser Entscheidung von vorne beginnen, ein nationaler Alleingang und Schnellschuss in Deutschland – den die Union offenbar plant – ist nicht tunlich.

Der EuGH sieht in der Verpflichtung zur Vorratsspeicherung und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen einen besonders schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten.

Das Gericht geht allerdings davon aus, dass der Eingriff gerechtfertigt sein könnte, aber durch die konkrete Ausgestaltung der Richtlinie nicht ist. In der Pressemitteilung des EuGH heißt es hierzu:

Zwar ist die nach der Richtlinie vorgeschriebene Vorratsspeicherung der Daten zur Erreichung des mit ihr verfolgten Ziels geeignet, doch beinhaltet sie einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Erstens erstreckt sich die Richtlinie nämlich generell auf sämtliche Personen, elektronische Kommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.

Zweitens sieht die Richtlinie kein objektives Kriterium vor, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden können, dass sie einen solchen Eingriff rechtfertigen. Die Richtlinie nimmt im Gegenteil lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten „schweren Straftaten“ Bezug. Überdies enthält die Richtlinie keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Vor allem unterliegt der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.

Drittens schreibt die Richtlinie eine Dauer der Vorratsspeicherung der Daten von mindestens sechs Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder nach Maßgabe des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen wird.

Die Speicherungsfrist liegt zudem zwischen mindestens sechs und höchstens 24 Monaten, ohne dass die Richtlinie objektive Kriterien festlegt, die gewährleisten, dass die Speicherung auf das absolut Notwendige beschränkt wird. Darüber hinaus stellt der Gerichtshof fest, dass die Richtlinie keine hinreichenden Garantien dafür bietet, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind. Unter anderem gestattet sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (insbesondere hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleistet nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Der Gerichtshof rügt schließlich, dass die Richtlinie keine Speicherung der Daten im Unionsgebiet vorschreibt. Sie gewährleistet damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird, obwohl die Charta dies ausdrücklich fordert. Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Update:
Der Volltext der Entscheidung ist leider nicht wesentlich ergiebiger als die Pressemitteilung. Der EuGH hat keine wirklich konkreten Vorgaben gemacht, wie seine Rechtsprechung in eine grundrechtskonforme Richtliniengestaltung umzusetzen sein könnte.

Bereits das Urteil des BVerfG ist nicht einfach umsetzbar, aber nach dieser Entscheidung lässt sich juristisch kaum mehr prognostizieren, wo genau die Grenzen einer zulässigen und grundrechtskonformen Vorratsdatenspeicherung verlaufen.

Es könnte zwar durchaus einen neuen Anlauf für eine Vorratsdatenspeicherung geben, sowohl auf europäischer als auch auf nationaler Ebene. Stichhaltige Kriterien für eine grundrechtskonforme Ausgestaltung liefert der EuGH aber nicht. Vielleicht war auch genau das seine Absicht. Man darf deshalb annehmen, dass es so schnell keine neue Richtlinie über eine Vorratsdatenspeicherung geben wird, weil niemand so genau sagen kann, wie sie auszugestalten wäre. Was das für die Ambitionen von Bundesinnenminister de Maizière bedeutet, der gestern noch kräftig für eine züggige Einführung der Vorratsdatenspeicherung trommelte, bleibt abzuwarten. Mit Brecht könnte man also sagen: „Den Vorhang zu und alle Fragen offen.“

Der österreichische Kollege Hans Peter Lehofer weist allerdings zu recht darauf hin, dass auch eine (autonome) nationale Regelung den Anforderungen des EuGH genügen muss. Man kann also in Deutschland keinesfalls nunmehr am Maßstab der Entscheidung des BVerfG eine Neuregelung stricken, sondern muss vielmehr die vermutlich strengeren, jedenfalls unklareren Vorgaben des EuGH ebenfalls berücksichtigen.

Wie SPON berichtet, beklagt sich speziell das bayerische LKA darüber, dass es die als Staats- oder im  konkreten Fall Bayertrojaner bekannt gewordene Überwachungssoftware nicht mehr einsetzen kann und deshalb u.a. daran gehindert ist, Skype-Telefonate zu überwachen.

Verantwortlich dafür ist aber entgegen der Ansicht des LKA nicht der CCC, sondern das Landeskriminalamt selbst. Denn bekanntlich hatte man in München die Spähsoftware nicht nur für eine Quellen-TKÜ benutzt, sondern zur Durchführung einer offensichtlich rechtswidrigen Onlinedurchsuchung.

Warum aber auch eine Quellen-TKÜ nach geltendem Recht nicht zulässig ist – obwohl sie praktiziert und häufig auch von Gerichten genehmigt worden ist – habe ich in einem älteren Blogbeitrag dargestellt.

Der aktuelle Bericht an den Bundestag über die Durchführung des G10-Gesetzes liegt noch nicht offiziell vor. Auf der Website des Parlamentarischen Kontrollgremiums findet man bislang nur den Bericht für das Jahr 2011.

Dennoch wurde der Bericht für das Jahr 2012 vorab offenbar an die WELT weitergeleitet, die dpa hat den Bericht aufgegriffen und  titelt: „BND fährt Überwachung 2012 deutlich zurück„. Nahezu alle Zeitungen machen anschließend genau das, was sich BND und Kontrollgremium erwartet haben. Praktisch unisono und kritiklos wird berichtet, der BND hätte die Überwachung 2012 deutlich reduziert. Fast niemand hinterfragt die Zahlen oder versucht Zusammenhänge herzustellen.

Dabei ist mittlerweile auch ohne aufwändige Recherche völlig klar, dass die Dienste das Parlament nicht vollständig und in irreführender Art und Weise unterrichten. Die WELT merkt zumindest an, dass die 500 Millionen Metadaten, die der BND nach Presseberichten in nur einem Monat an die NSA weitergeleitet hat, in dem Bericht, wie in den Vorjahren, nicht auftauchen. Das Parlament wird lediglich darüber informiert, in wievielen Fällen im Rahmen der sog. strategischen Fernmeldekontrolle eine Überwachung von E-Mails und Telefonaten stattgefunden hat. Im Jahre 2012 waren das nach dem Bericht der WELT ca. 850.000, während es 2010 noch ca. 37 Mio. E-Mails gewesen sind.

Niemand stellt allerdings die Frage, was diese Zahlen wirklich bedeuten. Im jährlichen Bericht finden sich hierzu floskelhafte Formulierungen wie

Der Ansatz von Richard Gutjahr, die Diskussion über die Vorratsdatenspeicherung endlich und ganz anschaulich auf das Niveau von Sigmar Gabriel und Hans-Peter Friedrich herunterzubrechen, könnte erfolgversprechend sein. Vielleicht haben die Gegner der Vorratsdatenspeicherung bislang schlicht den Fehler gemacht, sich zu stark mir Sachargumenten und bürgerrechtlichen Bedenken aufzuhalten. Aber warum sollte man überhaupt versuchen, jemandem, der bewusst unsachlich argumentiert, sachlich zu antworten?

Das argumentative Niveau der Befürworter der Vorratsdatenspeicherung lässt sich kaum besser umschreiben als durch Slogans wie „Dieser Wal müsste ohne Vorratsdatenspeicherung sterben – das ist zwar gelogen aber wen interessiert schon die Wahrheit“.

Wer das jetzt platt findet, hat nicht begriffen, dass die Argumentation der Befürworter einer Vorratsdatenspeicherung genau auf diese Art und Weise funktioniert. Es werden nämlich Kausalzusammenhänge behauptet, die entweder nachweislich nicht bestehen – was Sigmar Gabriel gerade deutlich gemacht hat – oder für die es keine ausreichenden Anhaltspunkte gibt.

So funktioniert die innenpolitische Diskussion und Entscheidungsfindung leider seit jeher. Der Deutsche Anwaltverein hat vor zwei Jahren deshalb vor einer experimentellen Gesetzgebung gewarnt. Eine Warnung die ungehört verhallte. Auf keinem Feld der Politik wird so unsachlich argumentiert wie im Bereich der inneren Sicherheit. Terrorängste werden geschürt, um der Öffentlichkeit Maßnahmen wie die Vorratsdatenspeicherung schmackhaft zu machen, die sich aber aber gerade zum Zwecke der Terrorbekämpfung nicht eignen. Die Mär von der Terrorbekämpfung wird uns in diesem Zusammenhang immer wieder aufs Neue aufgetischt.

SPD-Chef Sigmar Gabriel hat bereits vor seinem denkwürdigen Auftritt im Heute-Journal zu einem weiteren argumentativen Höhenflug angesetzt. Im ARD-Brennpunkt hat er vergangene Woche die Wiedereinführung der Vorratsdatenspeicherung mit den Morden von Anders Breivik gerechtfertigt und behauptet, dass man durch die Vorratsdatenspeicherung in Norwegen sehr schnell wusste, wer der Mörder war. Jetzt ist allerdings hinlänglich bekannt, dass Breivik noch vor Ort auf der Insel Utøya festgenommen wurde. Außerdem gab es in Norwegen zu diesem Zeitpunkt überhaupt keine (umgesetzte) Vorratsdatenspeicherung, worauf Gabriel jetzt sogar von seinen Genossen Netzpolitikern hingewiesen wurde.

Es ist unredlich so zu argumentieren, aber wer die Wiedereinführung der Vorratsdatenspeicherung fordert, kann gar nicht anders, denn es gibt keine Fakten, die den Nutzen der Vorratsdatenspeicherung belegen würden. Der EuGH hat hierzu übrigens die richtigen Fragen gestellt. Beantwortet wurden sie bislang nicht.

Innenminister Friedrich hat wieder einmal in dasselbe Horn geblasen wie Gabriel und verweist aktuell darauf, dass Telekommunikationsdaten bei der Aufklärung von Kinderpornographie und Computerkriminalität hilfreich seien. Hierzu sollte man dann allerdings ergänzend auch erwähnen, dass die Ermittlungsbehörden bereits über umfangreiche Befugnissen für die TK-Überwachung verfügen und davon auch rege Gebrauch gemacht wird. Die Bekämpfung von Computerkriminalität mittels Vorratsdatenspeicherung wird wegen Vorgaben des BVerfG übrigens auch künftig schwierig sein. Denn das BVerfG verlangt die Begrenzung der Vorratsdatenspeicherung auf schwere Katalogstraftaten, die auch im Einzelfall schwer wiegen müssen. Das trifft auf die Delikte der Computerkriminalität aber weitgehend nicht zu.

Wer erhebliche Grundrechtseingriffe wie bei der Vorratsdatenspeicherung fordert, der schuldet den Bürgern zuerst eine stichhaltige und auf belastbare Zahlen gestützte Begründung für deren Notwendigkeit. Solche Fakten werden aber von der Politik nicht präsentiert, weil sie nicht existieren. Stattdessen ist die Debatte seit Jahren von Unsachlichkeit und Angstmacherei geprägt. Sigmar Gabriel steht den Unions-Hardlinern da in nichts nach.

Porf. Franz C. Mayer geht im Verfassungsblog der interessanten Frage nach, ob gegen die Abhöraktionen des britischen Geheimdienstes GCHQ mit Mitteln des EU-Rechts vorgegangen werden kann.

Mayer sieht zunächst Kerngewährleistungen des Unionsrechts betroffen, die sich u.a. aus Art. 8 der Charta der Grundrechte, aus Art. 16 AEUV und den Richtlinien zum Datenschutz (95/46/EG und 2002/58/EG) ergeben.

Sodann weist Mayer aber auf den Umstand hin, dass diese Kerngewährleistungen die Mitgliedsstaaten häufig gar nicht binden. Darauf, dass das europäische Datenschutzrecht den Bereich Strafverfolgung, innere Sicherheit und Staatsicherheit der Mitgliedsstaaten nicht regelt und insbesondere keine Handhabe gegen die Datenerhebung durch Geheimdienste bietet, hatte ich hier ebenfalls hingewiesen.

Mayer meint gleichwohl, dass diese Bereichsausnahmen des Europarechts für öffentliche und nationale Sicherheit eventuell nicht eingreifen werden, weil die britischen Maßnahmen zu breit, zu unbestimmt und zu ungezielt sein könnten. Sollte es ein diesbezügliches Verfahren vor dem EuGH geben, dürfte auch die Frage zentral sein, ob die europäischen Grundrechte nur die EU-Organe oder auch die Mitgliedsstaaten binden, was nach der Grundrechtecharta allerdings zweifelhaft erscheint.

Das Ganze ist am Ende aber natürlich auch eine politische Frage. Was ist die Gewährleistung eines hohen Datenschutzniveaus durch die EU denn überhaupt wert, wenn einzelne Mitgliedsstaaten gleichzeitig in uferloser Art und Weise den Internet- und Telefonverkehr überwachen und anlasslos und massenhaft Daten speichern? Zumal dies, wie wir mittlerweile wissen, durchaus auch zum Zwecke der Polit- und Wirtschaftsspionage geschieht.

Mayer fordert in seinem Beitrag schließlich mit Blick auf das deutsche Recht und die Rolle des BND, dass die sog. „strategische Fernmeldeu?berwachung“ – die in der Tat ein Relikt aus dem Kalten Krieg ist – eineinhalb Jahrzehnte nach der letzten Äußerung des BVerfG auf den verfassungsrechtlichen Prüfstand gehört. Eine Forderung, mit der er bei mir offene Türen einrennt.

Wir brauchen insoweit aber nicht nur eine neue juristische Debatte, sondern vor allen Dingen auch eine gesellschaftliche. Der tatsächliche Umfang der Überwachung durch Geheimdienste war einer breiten Öffentlichkeit bislang nicht bekannt, weil er von der Politik gezielt verschleiert wird und die Medien zu wenig berichtet haben. Es ist deshalb essentiell, die Rolle des BND bei der Überwachung des Internets besser auszuleuchten und kritisch zu hinterfragen.

Das ARD-Magazin FAKT hat gestern über die Internetüberwachung des BND berichtet und darüber, dass der BND im Bereich der Spionage international mitmischen will und deshalb speziell den britischen und amerikanischen Diensten auch etwas anbieten müsse. Die These des Magazins hierzu lautet:

Durch die massenhafte Erfassung von Daten in Frankfurt sieht der BND offensichtlich die Chance, sich im Verbund der westlichen Geheimdienste zu emanzipieren.

Das Manuskript der Sendung kann man bei der ARD downloaden, der Beitrag selbst ist u.a. bei YouTube verfügbar.

Dass der BND angeblich in Frankfurt die Datenleitungen von 25 Internetprovidern am Datenknotenpunkt De-Cix anzapft, wurde bereits vor ca. einem Monat berichtet. Die Maßnahmen wurden laut Spiegel vom Kanzleramt und dem Bundesinnenministerium genehmigt. Offiziell bestätigt haben Bundesregierung oder BND das aber nicht.

Der Bericht der ARD enthält außerdem folgende, merkwürdige Aussage:

Damit die Erhebung und Auswertung wenigstens halblegal stattfindet, ließ sich der BND 2008 vom britischen Geheimdienst helfen, das entsprechende Gesetz neu zu formulieren. Das Ergebnis: Da Daten ständig über Ländergrenzen fließen, wurde der gesamte Datenverkehr per Gesetz zu Auslandskommunikation erklärt – und die darf der BND abhören.

Mir ist nicht klar, welche gesetzliche Änderung das sein sollte. Nach meinem Kenntnisstand fand 2008 insoweit keine einschlägige Gesetzesänderung statt. Eine gesetzliche Regelung, die den gesamten Internetverkehr als Auslandstelekommunikation definiert, mit der Folge, dass der BND (uneingeschränkt) darauf zugreifen könnte, existiert nicht. Das G10-Gesetz besagt in § 5 Abs. 2 S. 2 vielmehr ausdrücklich, dass der BND darauf achten muss, ob Anschlüsse von deutschen Staatsangehörigen erfasst werden. Die Berichterstattung der ARD dürfte an dieser Stelle also unrichtig sein.

Die pauschale Überwachung des Fernmeldeverkehrs und damit auch des Internets durch den BND nennt man im Fachjargon „strategische Fernmeldekontrolle„. Ob die diebsezüglichen Regelungen überhaupt verfassungskonform sind, muss zumindest als offen gelten, wie der Kollege Härting so schön schreibt. Das BVerfG hat die aktuelle Fassung des G10-Gesetzes  jedenfalls noch nicht überprüft.

Daneben stellt sich aber zusätzlich die Frage, ob die tatsächliche Praxis des BND – unabhängig von verfassungsrechtlichen Fragen – überhaupt von den bestehenden gesetzlichen Grundlagen gedeckt ist. Dazu müsste man zunächst natürlich wissen, was der BND tatsächlich macht und das ist nur teilweise bekannt.

Seit einiger Zeit weiß man, dass der BND den E-Mail-Verkehr in größerem Stil überwacht und analysiert. Welcher technischer Mittel er sich dazu bedient und wie die Provider ihn dabei unterstützen, ist aber unklar.

Relativ neu sind demgegenüber die Berichte darüber, dass der BND in großem Stile auch Metadaten erfasst und ganz generell am Datenknotenpunkt De-Cix die Datenleitungen von 25 Internetprovidern anzapft, darunter auch die von deutschen Providern. Diese Maßnahmen sind in der jährlichen Unterrichtung des Bundestages durch das Parlamentarische Kontrollgremium (PKGr) jedenfalls nicht enthalten. Die Bundesregierung ist allerdings gesetzlich dazu verpflichtet, das PKGr umfassend über die allgemeinen Tätigkeiten der Nachrichtendienste des Bundes und über Vorgänge von besonderer Bedeutung zu unterrichten.

Diese Unterrichtung hat im Hinblick auf die Kontrolle des Datenverkehrs am Knotenpunkt der De-Cix durch den BND offensichtlich nicht stattgefunden. Wenn der BND also tatsächlich in Frankfurt in großem Umfang den Internetverkehr überwacht, dann hat die Bundesregierung gegen ihre Pflichten aus dem Kontrollgremiumgesetz verstoßen und das Gremium nicht im gesetzlich vorgeschriebenen Maß unterrichtet.

Die fehlende Einbeziehung des PKGr in die Internetüberwachung würde allerdings auch zur Rechtswidrigkeit der Maßnahme führen. Nach § 5 Abs. 1 G10-Gesetz werden die Telekommunikationsbeziehungen die Gegenstand sog. strategischer Maßnahmen sind, vom Bundesministerium des Inneren mit Zustimmung des Parlamentarischen Kontrollgremiums bestimmt. Wenn diese Zustimmung fehlt, ist auch die Maßnahme als solche rechtswidrig. BND und Bundesregierung sollen bei grundlegenden Entscheidungen nämlich gerade nicht eigenmächtig ohne Zustimmung des Parlaments agieren können.

Für die pauschale Erfassung sowohl von Metadaten als auch von Kommunikationsinhalten an zentralen Internetknotenpunkten hält das deutsche Recht m.E. gar keine ausreichende Rechtsgrundlage bereit. Insbesondere § 5 G10-Gesetz deckt die pauschale Überwachung des Internets nach meiner Einschätzung bereits deshalb nicht ab, weil die Regelung hierfür nicht gemacht wurde und sich die massenhafte und undifferenzierte Erfassung und Speicherung des gesamten Internetverkehrs an zentralen Knotenpunkten schwerlich unter die gesetzliche Regelung subsumieren lässt. Das Gesetz bildet die technische Wirklichkeit nicht ansatzweise ab.

Der des öfteren erhobene Einwand, das G10-Gesetz sei gar nicht einschlägig, wenn der BND nur ausländische Kommunikation überwacht, verfängt nicht. Denn das G10-Gesetz regelt gerade die Überwachung unf Aufzeichnung der Telekommunikation durch Geheimdienste des Bundes. Und diese Maßnahmen finden ganz offensichtlich noch dazu auf deutschem Hoheitsgebiet statt. Maßnahmen der TK-Überwachung durch BND, MAD und Verfassungsschutz unterliegen nach § 1 Abs. 2 G10-Gesetz außerdem der Kontrolle durch das Parlamentarische Kontrollgremium und durch die sog. G 10-Kommission. Der BND muss also in jedem Fall das G10-Gesetz beachten und unterliegt insoweit der parlamentarischen Kontrolle. § 5 Abs. 1 G10-Gesetz spricht im Rahmen sog. strategischer Maßnahmen außerdem ausdrücklich von „internationalen Telekommunikationsbeziehungen“. Das Gesetz gilt also gerade dann, wenn der BND internationale Telekommunikation überwacht. Eine Differenzierung findet in § 5 Abs. 2 S. 2 G10-Gesetz nur zusätzlich danach statt, ob ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden.

Vor kurzem habe ich darauf hingewiesen, dass die geplante Datenschutzgrundverordnung die Überwachungsthematik nicht regelt und ein Zusammenhang zwischen NSA-Affäre und der Reform des europäischen Datenschutzrechts, trotz anderslautender Aussagen von Polikern unterschiedlicher Couleur, schlicht nicht besteht.

Das hat mir in einem Kommentar von Ralf Bendrath bei CARTA den Vorwurf eingebracht, ich hätte insoweit nicht auf die geplante Neuregelung eines Art. 43a Datenschutzgrundverordnung hingewiesen. Diese geplante neue Vorschrift regelt den Transfer von Daten in Drittstaaten (außerhalb der EU) bzw. die Offenlegung von Daten aufgrund von Anfragen aus solchen Drittstaaten. Dieser Einwand ist dennoch nicht geeignet, meine ursprüngliche Aussage auch nur abzuschwächen. Denn es bleibt dabei, dass die Datenschutzgrundverordnung die Datenerhebung und Datenübermittlung durch Geheimdienste sowie durch Polizei- und Sicherheitsbehörden überhaupt nicht regelt.

Wieso die geplante Regelung eines Art. 43a Datenschutzgrundverordnung Geheimdienste und Polizeibehörden nicht weiter irritieren muss, möchte ich anhand eines aktuellen Beispiels veranschaulichen. Die Washington Post berichtet gerade, dass die NSA in großem Umfang Daten direkt von Google und Yahoo absaugt, aber nicht in den USA, sondern mithilfe des britischen Geheimdienstes GCHQ und vielleicht auch anderer europäischer Geheimdienste auf dem Gebiet der EU. Die Washington Post zitiert dazu eine bemerkenswerte Aussage aus einem NSA-Papier:

Such large-scale collection of Internet content would be illegal in the United States, but the operations take place overseas, where the NSA is allowed to presume that anyone using a foreign data link is a foreigner.

Europäische Geheimdienste liefern der NSA also die Daten, die US-Dienste in den USA aus rechtlichen Gründen gar nicht sammeln dürften. Und nach dieser Logik scheint die weltweit vernetzte Geheimdiensttätigkeit mittlerweile ganz grundsätzlich zu funktionieren. Die Dienste verschiedenster Staaten umgehen so ganz gezielt die Bindungen ihres jeweiligen nationalen Rechts.

Diese Praxis wird von der Datenschutzgrundverordnung nicht erfasst, weshalb sie auch nach Inkrafttreten der Verordnung uneingeschränkt fortgesetzt werden kann. Ebenfalls nicht erfasst ist auch die Datenerhebung durch europäische Geheimdienste wie den Bundesnachrichtendienst. Wenn der BND also in Frankfurt Internetdaten an Netzknotenpunkten in großem Stil erhebt, dann wird auch diese Praxis durch die geplante Datenschutzgrundverordnung in keinster Weise in Frage gestellt.

Wenn insoweit der Schutz der Daten europäischer Bürger gewährleisten werden soll, dann muss die EU genau an diesem Punkt ansetzen und den Datenaustausch zwischen europäischen Geheimdiensten bzw. Sicherheitsbehörden und denen aus Drittstaaten regeln. Solange das nicht passiert, sollte die Politik aufhören zu behaupten, die europäische Datenschutzreform hätte irgendeine Auswirkung auf die Schnüffelpraxis von Geheimdiensten. Das hat sie nämlich definitiv nicht.

Der Historiker Josef Foschepoth – dessen Forschung mit Sicherheit verdienstvoll ist – behauptet regelmäßig, die NSA würde deutsche Bürger und deutsche Politiker auch nach deutschem Recht ganz legal abhören. Nachzulesen zuletzt in einem aktuellen Interview mit ZEIT-Online.

Zum Beleg seiner These beruft sich Foschepoth stets auf Verträge zwischen Deutschland und den ehemaligen Alliierten. Konkret sagt er gegenüber ZEIT-Online, dass die ehemaligen Westmächte die gleichen geheimdienstlichen Rechte wie nach dem G10-Gesetz in einem Zusatzvertrag zum Nato-Truppenstatut von 1959 dauerhaft erhalten hätten.

Juristisch betrachtet sind die Aussagen von Foschepoth schlicht falsch. Beschränkungen des Grundrechts aus Art. 10 GG dürfen nur auf Grund eines Gesetzes angeordnet werden. Das von Foschepoth herangezogene Zusatzabkommen zum NATO-Truppenstatut ist kein Gesetz in diesem Sinne, weshalb eine solche Vereinbarung Deutschlands mit den USA, dem UK und Frankreich nicht mit der Verfassung vereinbar wäre.

So weit braucht man aber gar nicht zu gehen, denn ein Blick in das Zusatzabkommen macht sehr schnell deutlich, dass die von Foschepoth behaupteten Überwachungsbefugnisse dort überhaupt nicht geregelt sind.

In einem Interview mit der SZ erläuterte Foschepoth, dass sich beide Seiten in dem Zusatzabkommen zu engster Zusammenarbeit verpflichten, was insbesondere „die Sammlung, den Austausch und den Schutz aller Nachrichten“ beinhaltet. Und genau hierauf stützt Foschepoth seine Schlussfolgerung von der Überwachungsbefugnis der NSA.

Er bezieht sich damit offenbar auf Art. 3 Abs. 2 a) dieses Zusatzabkommens, der wie folgt lautet:

Die in Absatz (1) vorgesehene Zusammenarbeit erstreckt sich insbesondere

(a) auf die Förderung und Wahrung der Sicherheit sowie den Schutz des Vermögens der Bundesrepublik, der Entsendestaaten und der Truppen, namentlich auf die Sammlung, den Austausch und den Schutz aller Nachrichten, die für diese Zwecke von Bedeutung sind;

Es stellt bereits eine äußerst kühne These dar, aus dieser Formulierung in dem Abkommen eine Befugnis zur Post- und TK-Überwachung ableiten zu wollen, die den Befugnissen des G10-Gesetzes entspricht. Denn ein Mindestmaß an Bestimmtheit und Normklarheit muss jede Regelung aufweisen. Man kann deshalb unschwer feststellen, dass dieses Zusatzabkommen den USA und anderen Staaten keinerlei Befugnisse verleiht, in Deutschland Maßnahmen der TK-Überwachung durchzuführen. Eine Vereinbarung mit diesem Inhalt existiert nicht. Zumal Art. 3 Abs. 3 b) des Abkommens klarstellt, dass keine Vertragspartei zu Maßnahmen verpflichtet ist, die gegen ihre Gesetze verstoßen würden. Eine derartige Überwachungsbefugnis zugunsten ausländischer Staaten wäre nach deutschem Recht aber nicht nur verfassungswidrig, sondern wegen §§ 98 und 99 StGB auch strafrechtlich relevant.

Die Thesen Foschepoths kann man deshalb mit Fug und Recht als abwegig bezeichnen.

Damit ist natürlich noch nichts darüber ausgesagt, ob frühere Bundesregierungen nicht von einer entsprechenden Tätigkeit ausländischer Geheimdienste Kenntnis hatten und dies geduldet haben. Mit einer derartigen Duldung hätte die Bundesregierung sich allerdings ihrerseits rechtswidrig verhalten. Legal hören amerikanische Dienste in Deutschland jedenfalls nicht ab.