Drucksache 18/12850
– 1604 –
Deutscher Bundestag – 18. Wahlperiode
So erklärte die die Zeugin Genkova, vor dem Ausschuss, dass der sogenannte Proof of Concept keine größeren Sicherheitsfragen beinhaltete. Im BfV wurde hauptsächlich nur die fachliche Eignung des Systems geprüft.8661
Die Mitarbeiterin im BfV, Doreen Delmdahl, sagte vor dem Untersuchungsausschuss aus:
„Aber man merkte, dass sie [die Version von XKEYSCORE] – dafür sind ja auch diese
Tests da – für unsere Aufgabe nicht so zugeschnitten war, wie wir sie bräuchten“.8662
Sie erklärte weiterhin:
„Wir wissen nicht, was das Programm tatsächlich tut, wenn wir es zum Beispiel ans
Internet anbinden“.8663
Vor allem aber lag hierin auch ein erhbeliches Sicherheitsrisiko. Bis zum Ende dieser fachlichen Eignung
war das Sicherheitskonzept nicht vollends ausgereift, was auch den erheblich langen Zeitraum der „Testphase“ erklärt.8664
Fehlendes Vertrauen in die Funktionsweise verbreitete sich unter den BfV-Mitarbeiter_innen und rief Befürchtungen über die Folgen einer Überführung in den Wirkbetrieb hervor. Die Mitarbeiter_innen hatten
keinen umfassenden Überblick über das, „was gegebenenfalls die Software noch tun könnte, das abgefangen“
werden müsste.8665 Die Schlussfolgerung aus solchen Befürchtungen hätte jedoch die Einstellung der Verwendung von XKeyscore – zumindest in dieser Form – sein müssen, und nicht das jahrelange Fortsetzen von
Datenverwendungen mittels dieser und unter Beisein von Mitarbeiter_innen anderer Nachrichtendienste.
In Folge der öffentlichen Debatte zu PRISM, im Juli 2013, sollen die Tests gestoppt, aber schon nach kurzer
Zeit wieder aufgenommen worden sein.
Eine Testphase, die jahrelang andauert und zudem mit einer nicht unerheblichen Anzahl von echten personenbezogenen Daten aus G 10-Maßnahmen betrieben wird, ist keine Testphase mehr. Das BfV hat diese Zeit
verstreichen lassen, ohne eine Entscheidung über die weitere Vorgehensweise zu treffen. Diese Nicht-Entscheidung war folgenreich, da sie aufgrund der Datenübermittlungen Grundrechtsverletzungen mit sich
führte, und hätte vom BfV verhindert werden müssen.
d)
Keine Information über Einsatz von XKEYSCORE an Fachaufsicht und PKGr
Auch im Fall von XKEYSCORE erfuhren die Kontrollgremien erst durch die Presse vom dazugehörigen
Vertrag und der unerlaubten Weitergabe von Daten an BND und NSA innerhalb der gemeinsamen Workshops erfahren. Weder ein Mitglied des Parlamentarischen Kontrollgremiums, noch die Fachaufsicht, der
8661)
8662)
8663)
8664)
8665)
Genkova, Protokoll-Nr. 89 I, S. 108.
Delmdahl, Protokoll-Nr. 86 I, S. 16.
Delmdahl, Protokoll-Nr. 86 I, S. 65.
Genkova, Protokoll-Nr. 89 I, S. 95.
Delmdahl, Protokoll-Nr. 86 I, S. 66.