BND vor dem Bundesverwaltungsgericht: Massenüberwachung am DE-CIX nicht rechtswidrig

Klage der DE-CIX Management GmbH erfolglos

Das Bundesverwaltungsgericht hat per Pressemitteilung verkündet:
Das Bundesverwaltungsgericht in Leipzig hat in erster und letzter Instanz auf die Klage einer Internetknotenpunkt-Betreiberin (DE-CIX) entschieden, dass das Bundesministerium des Innern (BMI) sie verpflichten kann, bei der Durchführung strategischer Fernmeldeüberwachungsmaßnahmen durch den Bundesnachrichtendienst (BND) mitzuwirken.

Der Wortlaut der Urteilsbegründung liegt uns noch nicht vor.

Am Internetknoten DE-CIX in Frankfurt erhält der BND eine Kopie des Internetverkehrs ganzer Provider. Ob dabei alles mit rechten Dingen zugeht, müssen die obersten Verwaltungsrichter nach der heutigen Anhörung entscheiden. Beim Bundesverwaltungsgericht ist unterdessen bereits das nächste Verfahren gegen den BND anhängig.

Klage der DE-CIX Management GmbH erfolglos
Gestern fand in Leipzig eine mündliche Anhörung beim Bundesverwaltungsgericht statt. Angestrengt hatte das Verfahren der Verband der Internetwirtschaft „eco“ als Betreiber des Frankfurter Internetknotens DE-CIX, der sich gegen das Belauschen seiner Kunden und damit gleichzeitig von Millionen Internet-Nutzern durch den Bundesnachrichtendienst (BND) gerichtlich zur Wehr setzt. Der Verband und sein prominenter Gutachter, der ehemalige Präsident des Bundesverfassungsgerichts Hans-Jürgen Papier, bewerten die Praktiken des BND beim massenhaften Mitlesen des Datenverkehrs am DE-CIX als rechtswidrig.
Dennoch war die Klage der DE-CIX Management GmbH erfolglos-

Anhörung beim Bundesverwaltungsgericht
Die Argumentation der Kläger fußt auf verschiedenen Bedenken, darunter auch zentrale Fragen zur Fernmeldeaufklärung des BND: Wie steht es mit dem Artikel 10 des Grundgesetzes? Schließlich werden die Kläger vom DE-CIX in „ganz erheblichem Umfang verpflichtet“, in das Grundrecht einzugreifen. Rechtsschutz hätten die Millionen Betroffenen nicht, obwohl „eine Form von Vorratsdatenspeicherung“ betrieben werde. Und gilt Artikel 10 nur für Deutsche oder auch als Menschenrecht für alle? Würde diese Frage so beantwortet, dass das Brief-, Post- und Fernmeldegeheimnis ein Jedermann-Recht ist, dann wären die sogenannten G10-Überwachungsanordnungen an DE-CIX unzulässig. Diese Zulässigkeit zu klären, war heute eine der Aufgaben des Bundesverwaltungsgerichts.

Die Anhörung drehte sich allerdings vor allem um Fragen rund um die Anordnungen des Bundesinnenministeriums (BMI), mit denen DE-CIX verpflichtet wird, große Mengen Daten seiner Kunden und damit Milliarden Datensätze von Internet-Nutzern an den BND auszuleiten. Neben diesen Anordnungen schreibt der BND noch E-Mails, in denen er die Abhörziele genauer spezifiziert. Sie sind im Grunde die konkrete Arbeitsanweisung. Danach hat DE-CIX die Pflicht zur Umsetzung.

Praktisch bedeutet das: Bei den betroffenen Kunden wird die gewünschte Glasfaser gesplittet und damit eine vollständige Datenkopie an den BND geliefert. Dafür hat der Geheimdienst „angemietete Räumlichkeiten“ unter eigener Herrschaft. Damit das Abschnorcheln nicht auffällt, nutzt man normale Wartungsintervalle, um das die Leitung unterbrechende Splitten einzuleiten.

Zweites Verfahren gegen den BND anhängig
Ob das so rechtens ist, darüber waren sich die Kläger und der BND uneins. Seitens des DE-CIX – wegen der riesigen Datenmengen der „größte Teich, in dem man fischen könne“ – hält man diese Anordnungen für rechtswidrig. Das liegt nicht nur daran, dass die Grundrechte von Millionen Menschen berührt sind, sondern auch weil der BND mit seinen E-Mails eigenmächtig bestimmt, an welchen Ports der Kunden gelauscht wird. Die Behörde sei allerdings dem Ministerium nur „nachgelagert“, in den eigentlichen Anordnungen des BMI stehe nichts Konkretes. Ob das Ministerium überhaupt weiß, was der BND sich selbst genehmigt, sei unklar. Für niemanden im DE-CIX sei auch „zu erkennen“, ob auch die Inhalte der BND-Mails die Kontrollkommission „durchlaufen“ hätten.

Wie im Laufe der Anhörung rauskam, betreibt der DE-CIX vor demselben Senat des Bundesverwaltungsgerichts ein zweites Verfahren gegen den BND, das sich ebenfalls mit Überwachungsfragen beschäftigt. Details dazu waren bisher öffentlich nicht bekannt. Klar ist nur, dass der parallele Rechtsstreit die aktuelle Gesetzgebung für den BND betrifft, während der heute verhandelte Problembereich noch nach der im Jahr 2016 gültigen Gesetzeslage vollzogen wurde.

Wir werden vermutlich den BND noch öfter vor Gericht sehen. Das dürfte auch deswegen so sein, weil Klaus Landefeld vom DE-CIX bereits angekündigt hatte, nach Karlsruhe ziehen zu wollen, wenn die Artikel-10-Problematik beim Bundesverwaltungsgericht keine Beachtung findet.

Tatsächlich widmeten sich die Fragen in der dreistündigen Anhörung weniger den grundsätzlichen Problemen einer massenhaften Datenausleitung, sondern eher Bestimmtheits- und Befugniserörterungen der betrachteten Verwaltungsakte. Der BND zeigte sich durchweg überzeugt, dass alles mit rechten Dingen zugehe, schließlich würde doch die G10-Kommission als „Sachwalter“ fungieren. Nicht dem DE-CIX als Verpflichtetem obliege es schließlich, die Rechtmäßigkeit einzuschätzen, sondern der Prüfkommission.

Die fünf Richter des Senats ließen sich eingangs einige technische Vorgänge erläutern und mussten sich dann mit einer ganzen Reihe von Anordnungen aus dem Jahr 2016 sowie einer aus dem Jahr 2017 beschäftigen, die von der zuständigen G10-Kommission des Bundestag durchgewunken worden waren. „Wollen wir doch mal sehen, wie die Chose läuft“, leitete der Vorsitzende Richter die Fragerunden ein.

Streit gab es vor allem um die Frage, ob man davon reden könne, dass die Daten auf dem „Übertragungsweg“ abgefangen werden. Denn das Splitten an der Glasfaser passiert innerhalb des Internetknotens in Frankfurt. Der Anwalt des DE-CIX, Sven-Erik Heun, argumentierte, dass es sich gar nicht um einen Übertragungsweg handele, wenn sie innerhalb der Vermittlungsstelle liege und keine Grenze („grundstücksüberschreitend“) überquere. Wohlweislich hat der Gesetzgeber auf dieses Problem bereits reagiert, da nach dem neuen Gesetz auch Anbieter von Telekommunikationsnetzen aufgenommen und zum Ausleiten verpflichtet wurden. Lakonisch fragte der Vorsitzende Richter in Richtung BND: „War das vielleicht Absicht?“ und macht damit seine Zweifel deutlich.

Ein weiterer Streit drehte sich um die Frage der Bestimmtheit der Anordnungen. Sie würden nur Zielvorgaben enthalten und seien ausgesprochen knapp. Erst mit den BND-E-Mails würde inhaltlich und „sehr detailliert“ klar, was auszuleiten sei und mit welchen Methoden. Allerdings sei ja nicht der Geheimdienst die „berechtigte Stelle“, der die Überwachungsziele vorgibt, sondern das BMI.

Der BND sieht seinerseits darin „eigentlich kein Bestimmtheitsproblem“. Ein gewisser Spielraum sei dem BND zuzugestehen.

Eine gewisse Ungehaltenheit zeigte der Vorsitzende Richter an einer Stelle recht deutlich, als er ein Anordnungsblatt des BMI hochhielt und den BND-Anwalt Wolfgang Roth fragte: „Glauben Sie nicht, dass das verbesserungsfähig wäre?“ Der Richter setzte sogar noch einen drauf und bescheinigte dem BMI-Schreiben: „Hätte ich dieses Schreiben damals beim Landratsamt bekommen, hätte ich es weggeschmissen.“
Warum über die „strategische Fernmeldeaufklärung“ offen gesprochen werden kann

In gewisser Weise nahm das heutige Verfahren seinen Anfang mit den Enthüllungen von Edward Snowden, die vor fast genau fünf Jahren begannen. Im Sommer und Herbst 2013 waren erste Berichte über das Anzapfen von Kommunikationsleitungen am DE-CIX zu lesen, das zu dieser Zeit bereits mehrere Jahre praktiziert worden war. Der BND soll in Frankfurt die Leitungen von 25 Internet Service Providern am Datenknoten in Frankfurt abgeschnorchelt haben. Konkret wurden damals Freenet, 1+1, Strato, QSC, Lambdanet und Plusserver genannt. Im Jahr 2014 griff die Fernsehsendung „Frontal21“ das Thema nochmal auf: Spitzeln für Amerika. In aller Freundschaft.

Mehr Details weiß die Öffentlichkeit über die Überwachungspraktiken bei der „strategischen Fernmeldeaufklärung“ des BND allerdings erst durch die Aussagen des Projektleiters für die Operation „Eikonal“ im NSA-BND-Untersuchungsausschuss. Der hatte ganze zehn Stunden dort Rede und Antwort stehen müssen, allerdings zur Hälfte nur in geheimer Sitzung. Dass mit Wissen und Förderung des Bundeskanzleramts unter dem damaligen Chef und heutigen Bundespräsidenten Frank-Walter Steinmeier (SPD) durch den BND massenweise Daten in Frankfurt nicht nur ausgeleitet, sondern auch an die NSA weitergeleitet wurden, war danach öffentlich nicht mehr zu leugnen. Seitdem kann auch seitens des DE-CIX vergleichsweise offen über die jeweils meist drei Monate geltenden Anordnungen gesprochen werden.

Die Filter-Computer unter Hoheit des BND
Es gilt in Deutschland neben dem G10-Gesetz auch das neue BND-Gesetz. Ob der Auslandsgeheimdienst beim Lauschen tatsächlich nur ausländische Daten durchkämmt, kam bei der Anhörung nur am Rande zur Sprache. Technisch ist die Frage, ob man „deutsche Kommunikation“, also solche, die das deutsche Hoheitsgebiet nicht verlässt, von nicht-deutscher Kommunikation sicher und trennscharf unterscheiden kann, klar zu verneinen. Verlässlich kann das von den Bedarfsträgern des BND nicht in jedem Fall festgestellt werden. Das ist übrigens keine Glaubensfrage, sondern technisch bedingt (pdf).

Der BND könnte nur dann halbwegs sicher zwischen in- und ausländischem Datenverkehr unterscheiden, wenn er auch die Inhalte der überwachten Kommunikation betrachten würde. Ob das geschieht, können die Kläger beim DE-CIX nicht wissen, denn die Filter-Computer liegen nicht in ihrer Hoheit, sondern in der des BND. Ein sogenannter G10-Filter (DAFIS) soll dieses Problem allerdings aus Sicht des Geheimdienstes lösen und nur ausländische Kommunikation durchlassen. Zunächst aber erhält der BND die riesenhafte Menge Daten vollständig und filtert erst danach unter eigener Hoheit.

Der BND stünde übrigens vor einem kaum lösbaren Problem, wenn er versuchen würde, den gesamten Datenverkehr des DE-CIX abzugreifen. Grund ist die schiere Menge, die „den BND sprengen würde“, wie es der anwaltliche Vertreter des DE-CIX ausdrückte. Praktisch splitte man deswegen ein paar dutzend Ports der angeschlossenen Internet-Provider, nicht etwa alle vermieteten Ports von den hunderten angeschlossenen Providern.

Anträge an das Gericht
Im Schlussantrag verlangt DE-CIX die gerichtliche Feststellung, dass die Anordnungen des BMI rechtswidrig sind und dass die Kläger nicht zur Umsetzung der in den BND-Mails verlangten Ausleitungen verpflichtet sind. Der BND verlangt hingegen die Klageabweisung.

Die Richter ließen mehrfach durchblicken, dass sie den Klägern in einigen Aspekten folgen könnten. Was die zentralen Fragen rund um die Millionen betroffenen Grundrechtsträger angeht, deren Daten an den BND geleitet werden, zeigte sich das Gericht jedoch nicht allzu interessiert. Weil die Gesetzesänderungen für neue und erweiterte Befugnisse des Geheimdienstes unterdessen in Kraft getreten sind, wird das Urteil nur begrenzten Einfluss auf die aktuelle Rechtslage entfalten.

Allerdings ist der Gang nach Karlsruhe oder gar zum Menschenrechtsgerichtshof in Straßburg weiterhin eine Option für die Kläger, die keinen Hehl daraus machen, dass es ihnen vor allem um die Grundrechte geht. Der Blick sollte sich daher auch auf das zweite Verfahren des DE-CIX beim Bundesverwaltungsgericht richten, da hier über das aktuelle Recht entschieden werden könnte. Entsprechend sollten wir als Betroffene weiterhin aufmerksam verfolgen, ob das höchste Verwaltungsgericht der Massenüberwachung des BND noch Einhalt gebieten kann.

Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.