Drucksache 18/12850
– 1558 –
Deutscher Bundestag – 18. Wahlperiode
Die Zeugin Polzin, Leiterin des Referats 601 im Kanzleramt, welches zuständig ist für das Recht der Nachrichtendienste, verdeutlichte dies:
„Sie können personenbezogen sein. Sie können personenbeziehbar sein. Es kommt
darauf an. Man kann jedenfalls nicht ausschließen, dass sie personenbezogen sind.“8394
Aufgrund dessen hätte der BND sämtliche Metadaten als personenbezogene Daten behandeln müssen.
Das Gesetz kennt bezüglich der Übermittlung personenbezogener Daten auch kein erlaubtes Risiko. Insoweit
sind auch weitere Übermittlungen durch die NSA an Dritte sowie deren Möglichkeit zur Personenzuordnung
einzubeziehen. Dennoch nahm der BND das Risiko einer Personenbestimmung durch die NSA in Kauf. Realisiert sich dieses später, so hat er, da keine Übermittlungsbefugnis bestand, rechtswidrig personenbezogene
Daten übermittelt. „Der Umstand, dass ein Personenbezug ex ante betrachtet mit verhältnismäßigen Mitteln
nicht herzustellen erschien, befreit nicht von der datenschutzrechtlichen Haftung, wenn dieser Fall dennoch
eintritt […]. Die Stelle kann sich nicht darauf berufen, sie habe das Risiko auch bei sorgfältiger Prüfung nicht
erkennen können.“8395 Der BND hätte daher vorsorglich alle übermittelten Daten wie personenbezogene Daten behandeln müssen. Insbesondere vor dem Hintergrund, dass er wusste, dass die NSA besondere Methoden zur Metadatenanalyse besitzt.
Nach der Rechtsprechung des Bundesverfassungsgerichts „gibt es unter den Bedingungen der elektronischen
Datenverarbeitung kein schlechthin, also ungeachtet des Verwendungskontextes, belangloses personenbezogenes Datum (…) Auch entfällt der grundrechtliche Schutz nicht schon deshalb, weil die betroffene Information öffentlich zugänglich ist“.8396 Die Legaldefinition in § 3 Abs. 1 BDSG umfasst auch personenbezogene Angaben „mit geringer Aussagekraft“.8397
bbb) Fehlende Erforderlichkeitsprüfung
Gemäß § 9 Abs. 2 BNDG i. V. m. § 19 Abs. 3 S. 1 BVerfSchG darf der BND personenbezogene Daten an
ausländische öffentliche Stellen übermitteln, soweit „die Übermittlung zur Erfüllung seiner Aufgaben oder
zur Wahrung erheblicher Sicherheitsinteressen des Empfängers erforderlich ist“.8398 Der BND verstieß vielfach und in gravierendem Maße gegen dieses Element der Erforderlichkeitsprüfung.
Der BND hat im Zusammenhang mit den Übermittlungen der Metadaten eine Erforderlichkeit nicht nur nicht
feststellen können, er hat sie noch nicht einmal geprüft. Im Gegenteil, er leitete alle Daten automatisiert an
die NSA weiter, ohne zu wissen, welche Daten im Datenstrom enthalten waren. Eine Prüfung der Erforder-
8394)
8395)
8396)
8397)
8398)
Polzin, Protokoll-Nr. 72 I, S. 144.
Dammann, in: Simitis: Bundesdatenschutzgesetz, § 3‚ Rn. 38.
BVerfGE 120, 378-433, Rn. 66 f., https://www.bverfg.de/e/rs20080311_1bvr207405.html; BVerfGE 65, 1-71, Rn. 176 (Volkszählungsurteil), https://openjur.de/u/268440.html.
Dammann, in: Simitis, Bundesdatenschutzgesetz, § 3, Rn. 8; BVerfGE 120, 378-433,
https://www.bverfg.de/e/rs20080311_1bvr207405.html; vgl. 1, A, I, 1, a, aa), zitiert nach https://netzpolitik.org/2016/geheimerpruefbericht-der-bnd-bricht-dutzendfach-gesetz-und-verfassung-allein-in-bad-aibling/
Vgl. DV Übermittlung, Nr. 3.2.1., MAT A BND-6b, Bl. 94f. (VS-NfD).