Deutscher Bundestag – 18. Wahlperiode
– 1591 –
Drucksache 18/12850
an die NSA widersprachen zum Teil dem geltenden Recht und stellen jeweils separate, eigenständig zu wertende Grundrechtseingriffe dar, die mit den rechtlichen Bedingungen für eine Datenverarbeitung nur schwer
in Einklang zu bringen sind (1.a,b). Vor allem aber hätte der BND die Software der NSA nicht blind übernehmen dürfen, sondern hätte technische Vorkehrungen treffen müssen, um eine Funktion und Verwendung
dieser im Rahmen des deutschen Rechts zu gewährleisten und somit Grundrechtseingriffen vorzubeugen
(1.d). Stattdessen informierte er noch nicht einmal die Fachaufsicht über eine derartige Übernahme amerikanischer Spähsoftware (1.c).
Der BND setzt XKEYSCORE zur „technischen Dekodierung von bestimmten Verfahren“ ein, d. h. um Datenströme lesbar zu machen und „erfassten Verkehr technisch auf[zu]bereiten, damit ihn der Bearbeiter auswerten kann“.8586 Dies geschieht sowohl am laufenden Datenstrom, als „auch mit Daten, die wir woanders
haben“.8587 Demnach war die Software für den BND „im Wesentlichen (für uns) ein Analysewerkzeug“.8588
Dies stellt eine qualitativ neue Analysemöglichkeit dar. Die Verwendung des Programms birgt ein enormes
Gefahrenpotenzial für Grundrechte, ist daher rechtlich eigenständig zu bewerten und bedarf einer hinreichenden Rechtsgrundlage.
a)
Rechtswidriger Einsatz der Spähsoftware durch den BND
Der BND greift mittels XKEYSCORE personenbezogene Meta- und Inhaltsdaten – auch mit Hilfe von NSASelektoren – ab, speichert sie, leitet sie weiter an die NSA, rastert sie, wertet sie aus und analysiert sie automatisiert. Hierfür – insbesondere für die eigenständigen Analysemöglichkeit des Programms – fehlte es jedoch an einem Prüfungsschritt, der jeden erneuten Eingriff in die erhobenen Daten gerecht wird. Da das
Programm eine Vielzahl neuer Eingriffmöglichkeiten bietet, miteinander kombiniert und gerade die Funktion
der automatisierten Analyse eine in Art und Umfang völlig neue Methode im BND darstellt, erscheint eine
erneute Prüfung erforderlich, die diesen Besonderheiten gerecht wird.
Aufgrund der technischen Beschaffenheit der Spionagesoftware, die bereits allein zum Zweck massenhafter
Überwachung und Durchsuchung sämtlicher IP-Verkehre entwickelt wurde, kann der BND nicht auschließen, dass zwangsläufig eine enorm hohe Anzahl personenbezogener Daten unbescholtener Personen miterfasst und gespeichert wird.
Die BfDI prüfte mittels einer Stichprobe die Datenbank von XKEYSCORE und musste dabei feststellen,
dass das Zahlenverhältnis zwischen Ziel- und Kontaktpersonen 1:15 betrug.8589 Bei einem Trefferdatensatz
zu einer Zielperson wurden also Daten zu weiteren 15 Personen erhoben und gespeichert. Dabei handelt sich
um Maßnahmen, die nach Auffassung der BfDI für die Aufgabenerfüllung des BND zweifelsfrei nicht erforderlich waren. Denn die sicherlich überwiegende Zahl der sogenannten Kontaktpersonen bieten keinerlei
Anlass für nachrichtendienstliche Maßnahmen. Wie auf netzpolitik.org veröffentlicht, habe sich der BND
8586)
8587)
8588)
8589)
W. K., Protokoll-Nr. 22 I, S. 17.
W. K., Protokoll-Nr. 22 I, S. 17.
W. K., Protokoll-Nr. 22 I, S. 16.
unter 1.F.III.1.b), zitiert nach netzpolitik.org, https://netzpolitik.org/2016/geheimer-pruefbericht-der-bnd-bricht-dutzendfach-gesetz-und-verfassung-allein-in-bad-aibling/, abgerufen am 11.06.2017.