Datenschützer Weichert "Der BND greift alle Daten ab"
Der Gesprächspartner muss auf jede unserer Fragen antworten. Anschließend bekommt er seine Antworten vorgelegt und kann sie autorisieren.
Zum journalistischen Leitbild von t-online.
News folgen
Der Bundesnachrichtendienst überwacht DE-CIX, den größten Internetknoten der Welt in Frankfurt. Der Betreiber klagt dagegen. Im Interview erklärt Datenschutzexperte Thilo Weichert, was es damit auf sich hat, warum der Fall uns alle angeht und was jeder Nutzer für seinen Datenschutz tun kann.
In Frankfurt am Main steht der größte Internetknoten der Welt: DE-CIX. Täglich laufen über diesen Knoten Daten aus Europa, aber auch aus Ländern wie China oder Russland. Der Bundesnachrichtendienst (BND) überwachte bisher den grenzüberschreitenden Datenverkehr. Dazu hat es eine besondere Erlaubnis vom Bundesinnenministerium.
Der DE-CIX-Betreiber will die Überwachung nicht länger dulden. Er hat dagegen vor dem Bundesverwaltungsgericht in Leipzig geklagt. Seit Mittwoch befasst sich das Gericht mit diesem Fall. DE-CIX wirft unter anderem vor, dass der BND auch deutschen Datenverkehr überwacht. Das wäre rechtswidrig. Der BND und die Regierung bestreiten das. Ein Urteil in dem Fall steht noch aus.
Thilo Weichert war von 2004 bis 2015 Landesbeauftragter für Datenschutz in Schleswig-Holstein. Derzeit ist er Vorstandsmitglied der Vereinigung für Datenschutz und Mitglied des Netzwerks Datenschutzexpertise.
t-online.de: Herr Weichert, der Internetknoten DE-CIX versucht, den BND aus seinen Rechenzentren in Frankfurt am Main loszuwerden. Warum ist der Standort für den Geheimdienst so wichtig?
Thilo Weichert: DE-CIX ist global der größte Internetknoten. Im Prinzip findet über ihn nicht nur die gesamte europäische, sondern auch viel internationale Kommunikation statt. Wenn man beispielsweise eine Webseite abruft oder eine E-Mail verschickt, dann werden die Daten über den Knoten geleitet. Die Konsequenz: Wenn eine Sicherheitsbehörde Zugriff auf die Daten hat, kann sie einen Großteil des Internets kontrollieren beziehungsweise überwachen.
Und das ist im Falle von DE-CIX passiert?
Richtig. Seit den Snowden-Enthüllungen von 2013 und den anschließenden Untersuchungen durch den NSA-Untersuchungsausschuss wissen wir: Praktisch der gesamte Datenverkehr, der über DE-CIX läuft, wird gesplittet. Das heißt, von den Daten wird eine Kopie für den BND erstellt. Andere Nachrichtendienste wie der britische GCHQ oder die amerikanische NSA lassen sich durch den BND mit Informationen beliefern.
Gibt es noch andere Geheimdienste, die der BND beliefert?
Im Grunde beliefert der BND nur westliche Geheimdienste. Der Nachrichtendienst hat sogenannte Selektoren, beispielsweise Internetadresse, Telefonnummer oder Namen. Wenn diese Selektoren in einer Kommunikation entdeckt werden, wird die entsprechende Nachricht weitergeschickt, beispielsweise an die NSA.
Ist das rechtens?
Damit beschäftigt sich jetzt das Bundesverwaltungsgericht. Denn der Betreiber von DE-CIX hat gegen das Bundesinnenministerium in dem Fall geklagt. Bisher war DE-CIX gesetzlich verpflichtet, diese Ableitung von Daten zu dulden. Der BND darf nämlich nach dem Artikel 10-Gesetz grenzüberschreitenden Datenverkehr überwachen. Jetzt sagt DE-CIX: Wir betrachten diese Überwachung als unzulässig und verweigern die Kooperation.
Warum hat DE-CIX nicht schon früher geklagt?
Der Konzern sieht das Ganze schon seit längerem kritisch. Das Problem ist: Als Betreiber muss er laut Gesetzt mit dem BND kooperieren. Er befindet sich so in einer Zwangslage und ist von der öffentlichen Meinung abhängig. Es ist aber offensichtlich, dass seit den Snowden-Enthüllung und jetzt auch der aktuellen Facebook-Diskussion um Cambridge Analytica und der DSGVO, sich die Sensibilität in der Öffentlichkeit verstärkt hat. So sehr, dass DE-CIX sich traut, vor Gericht zu gehen.
Ist es überhaupt wahrscheinlich, dass DE-CIX Erfolg hat?
Das ist einer der Konfliktpunkte: Darf DE-CIX überhaupt das Telekommunikationsgeheimnis für sich geltend machen? Das schützt Unternehmen die DE-CIX nutzen. Insbesondere aber auch Firmen und Einzelpersonen, die über DE-CIX kommunizieren. Aber nicht den Betreiber selbst.
Was ist der andere Konfliktpunkt?
Der zweite Punkt ist: Inwieweit ist die Rechtslage vom BND-Gesetz, das in den relevanten Regelungen aus den 90er Jahren stammt, mit den technischen Gegebenheiten von heute in Einklang zu bringen? Damals kommunizierten wir über Telefonie. Heute läuft im Prinzip alles über das Internet. Die Art der Überwachung hat sich geändert.
Im BND-Gesetz ist vorgesehen, dass maximal 20 Prozent des grenzüberschreitenden Telekommunikationsverkehrs vom BND überwacht werden kann. Eine derartige Auswahl von Nachrichtenpaketen ist heute gar nicht mehr möglich. Es wird darum spannend sein, wie das Bundesverwaltungsgericht die etwa antiquierten Regelungen im Verfahren auslegen wird.
Wenn der BND aber nur grenzüberschreitenden Verkehr abgreifen kann, sind deutsche Daten ja geschützt.
Zu überprüfen, ob wirklich nur Auslandskommunikation überwacht wird, ist technisch schwierig. Eine Möglichkeit ist, auf Internetendungen wie „de“ oder die Telefonnummer zu achten. Aber in keinem Fall ist es eindeutig festzustellen, wenn man nicht wirklich auch auf die Inhalte der Kommunikation schaut, dass ein Deutscher mit einem Deutschen kommuniziert hat oder irgendjemand mit dem Ausland.
Es gibt technische Filter, die man nutzen kann. Aber angeblich führt der BND auch eine händische Überprüfung durch. Da stellt sich die Frage: Ist so eine händische Filterung schon zulässig? Oder ist das nicht schon die Überwachung, die das Bundesnachrichtengesetz verhindern möchte.
Welche Daten greift der BND denn ab?
Alles. Sowohl Metadaten als auch Inhaltsdaten. Wann, wer, mit welchem Dienst und mit wem er geredet hat. Das sind Metadaten. Inhaltsdaten sind beispielsweise Inhalte einer Webseite, einer SMS oder eines Telefongesprächs.
Was ist mit verschlüsselten Daten?
Diese Inhalte sind nicht sofort lesbar. Da muss man die Verschlüsselung knacken, oder anderweitig versuchen, an die Inhalte ranzukommen. Von der technischen Seite wird aber alles gescannt und abgeleitet.
Jetzt kann der Otto Normalverbraucher sagen: Ich habe nichts zu verbergen, warum sollte mich das kümmern?
Es ist nicht so, dass gezielt gesucht wird. Alle Daten werden erfasst und nach bestimmten Kriterien gerastert. Das kann dazu führen, dass Menschen fälschlich verdächtigt werden und es unter Umständen zu Nachteilen für Betroffene führen kann. Und es ist klar, dass ich als Privatperson nicht möchte, dass meine Kommunikation auf Datenbanken des BND oder anderen Nachrichtendiensten gespeichert wird. Spätestens, wenn die Polizei einen beschuldigt oder bestimmte Informationen nach außen gelangen, ist auch dem letzten klar, dass jeder etwas zu verbergen hat.
Was kann ein Normalbürger für mehr Datenschutz tun?
Er kann beispielsweise seine Mails verschlüsseln oder nur verschlüsselte Webseiten besuchen. Rechtlich hat man verschiedene Möglichkeiten, wie beispielsweise eine Verfassungsbeschwerde. Das könnte aber ein aufwendiges und kostspieliges Verfahren sein. Normalbürger könnte das juristisch und finanziell überfordern.
Wie wird sich das Ganze Ihrer Meinung nach entwickeln?
Ich gehe davon aus, dass das Bundesverwaltungsgericht die BND-Überwachung nicht von einen Tag auf den anderen untersagen wird. Wenn ein Rechtsverstoß festgestellt werden wird, werden ganz bestimmte Hinweise gegeben, wie dieser Verstoß minimiert werden kann. Mittelfristig, davon gehe ich auch aus, werden die Gesetze verändert werden müssen, damit ein rechtskonformer Eingriff durch den BND möglich ist.
Es ist von allen Seiten anerkannt, dass zur Terrorismusbekämpfung oder anderen, schwerwiegenden Gefährdungen Telekommunikationsüberwachung im Internet zulässig sein darf und muss. Aber wie das gemacht wird, muss der Gesetzgeber neu verhandeln und beschließen.
