Lieber Bundesnachrichtendienst: Wir erklären, warum Metadaten sehr wohl personenbezogene Daten sind (Update 3)

Telekommunikations-Verbindungsdaten sind nicht nur aussagekräftiger als Inhalte, sondern rechtlich genauso geschützt. Eine ganze Reihe an Juristen widerspricht damit der Auffassung des BND, dass Metadaten keine personenbezogenen Daten seien. Dass Geheimdienste Gesetze im Geheimen um-interpretieren, hat leider System.

Wir predigen schon seit Jahren, dass Verbindungsdaten noch aussagekräftiger sind als Kommunikations-Inhalte. Trotzdem ist der Bundesnachrichtendienst der Auffassung, dass Metadaten keine personenbezogenen Daten sind. Die Datenschutzbeauftragte sagte dem Geheimdienst-Untersuchungsausschuss:

Christian Flisek: Sind Metadaten personenbezogenen Daten?

F.: Das ist noch nicht geklärt. Diskutieren wir noch. Telefonnummern Deutscher sind personenbezogen. Bei Ausland ist das noch unklar. In Deutschland kann ich mit Bestandsdatenabfrage Telefonnummer zuordnen. Im Ausland (Afghanistan, Pakistan) geht das nicht automatisch. Manche Telefonnummern sind auch nicht nur von Einzelperson, sondern Clan. Daher diskutieren wir das gerade.

Gestern sagte der Unterabteilungsleiter der BND-Abteilung Technische Aufklärung (die, von der Kanzleramts-Chef Pofalla und BND-Präsident Schindler in „großer Sorge“ waren, dass ein Ausschuss ihre Tätigkeit untersucht):

K.: Ich bin kein Jurist. Metadaten ohne Personenbezug sind Sachdaten, habe ich gelernt.

Renner: Metadaten sind ohne Personenbezug. Metadaten sind E-Mail-Adresse, Telefonnummer, IP-Adresse. Warum nicht personenbezogen?

K.: Ich bin kein Jurist. Personenbezogen ist es, wenn ich Personenbezug herstellen kann. Das könnte ich in Deutschland, mit Auskunftsersuchen. Im Ausland in aller Regel nicht. Ich habe zwar Metadaten, sind aber nicht personenbezogen. Das ist die Auffassung bei uns.

Renner: Paketvermittelt. Meine E-Mail ist martina.renner@bundestag.de, wenn ich an Herrn von Notz mit Betreff “NSAUA” eine Mail schicke, ist das eine Vielzahl an von Grundgesetz geschützter Information. Sie sagen: Aufwand ist zu hoch, das personenbezogen auszuwerten. Aufwand ist nicht die Frage für Datenschutz-Beurteilung, sondern nur: personenbezogen oder nicht. […]

K.: […] In Krisenländern ist das nicht so einfach, aus Metadaten schließen zu können, wer sich dahinter verbirgt. Details zu Datenschutz bitte Juristen fragen. Bisher ist das unsere Auffassung. […]

Und da die Damen und Herren mit den Initialen selbst zugeben, dass sie hier mitlesen, helfen wir „Frau H. F.“ und „Herr W. K.“ gerne aus und haben uns bei Juristen erkundigt. Das war gar nicht schwer, denn in der allerersten öffentlichen Sitzung des Ausschusses waren drei Koryphäen des Verfassungsrechtsrechts geladen und erklärten unisono: „Die gesamte deutsche Auslandsaufklärung ist rechtswidrig.

Hans-Jürgen Papier: Eine Erhebung und Speicherung von Daten auf Vorrat, die flächendeckend, vorsorglich und anlasslos ist, verstößt gegen deutsches Verfassungsrecht. Das gehört zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland. Das ist für Organe des Bundes nicht nur unmittelbar bindend, sondern man ist auch international verpflichtet, sich dafür einzusetzen. Eine anlasslose Speicherung von Daten auf Vorrat zu unbestimmten Zwecken ist strikt untersagt. Ich bin gerne bereit, auf diese rigide und einschränkungslose Aussage zurückzukommen. Da eine Speicherung nicht erfolgen darf, fehlt auch jede Möglichkeit zum Abruf dieser Daten. Das gilt für Verbindungsdaten, aber natürlich erst Recht für Inhalte.

Deutsche Behörden sind an Grundrechte auch dann gebunden, wenn es die Grenzen der BRD überragt.

Weitere von netzpolitik.org befragte Juristen stimmen dem zu. Prof. Niko Härting sagte uns:

Was Herr K. sagt, ist in mehrfacher Hinsicht unsinnig und juristisch völlig unhaltbar:

Datenschutzrecht: Die Mailadresse haerting@haerting.de ist natürlich ein personenbezogenes Datum. Auf irgendwelche Auskunftsersuchen kommt es nicht an, unabhängig davon, ob der Account-Inhaber im In- oder Ausland ansässig ist (putin@russia.ru hat z.B. auch selbstverständlich Personenbezug). Unter den Datenschutzrechtlern ist völlig unbestritten, dass „Metadaten“ teilweise Personenbezug haben. Umstritten ist nur, ob dies bei allen „Metadaten“ der Fall ist (dies sagen z.B. unisono sämtliche Datenschutzbehörden) oder nur teilweise (bei schatz197@gmail.com ist das streitig).

Telekommunikationsrecht: „Metadaten“ heißen telekommunikationsrechtlich Verbindungsdaten. Diese sind durch Artikel 10 des Grundgesetzes (Brief-, Post- und Fernmeldegeheimnis) geschützt. Das Bundesverfassungsgericht schreibt in seinem Urteil zur Vorratsdatenspeicherung:

Dieser Schutz erfasst dabei nicht nur die Inhalte der Kommunikation. Geschützt ist vielmehr auch die Vertraulichkeit der näheren Umstände des Kommunikationsvorgangs, zu denen insbesondere gehört, ob, wann und wie oft zwischen welchen Personen oder Telekommunikationseinrichtungen Telekommunikationsverkehr stattgefunden hat oder versucht worden ist. […]

Der Schutz durch Art. 10 Abs. 1 GG gilt nicht nur dem ersten Zugriff, mit dem die öffentliche Gewalt von Telekommunikationsvorgängen und -inhalten Kenntnis nimmt. Seine Schutzwirkung erstreckt sich auch auf die Informations- und Datenverarbeitungsprozesse, die sich an die Kenntnisnahme von geschützten Kommunikationsvorgängen anschließen, und auf den Gebrauch, der von den erlangten Kenntnissen gemacht wird. Ein Grundrechtseingriff ist jede Kenntnisnahme, Aufzeichnung und Verwertung von Kommunikationsdaten sowie jede Auswertung ihres Inhalts oder sonstige Verwendung durch die öffentliche Gewalt. […]

„Metadaten“ unterliegen somit nicht nur dem Datenschutzrecht/BND-Gesetz, sondern sogar dem wesentlich strengeren Artikel-10-Gesetz.

Auch Ulf Buermeyer, Mitblogger und Richter am Landgericht Berlin, führt aus:

Der Personenbezug ist insbesondere bei IP-Adressen in der Tat umstritten. Zwar nimmt eine breite Mehrheit der Juristen in Deutschland eine Personenbeziehbarkeit an, der Bundesgerichtshof hat diese Frage (für das Europarecht) aber erst kürzlich dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt. Insofern gibt es also noch keine völlige Rechtsklarheit. In Ergebnis wird man aber wohl sagen müssen, dass der BND im Zweifel von der Personenbeziehbarkeit ausgehen muss, da ja jedenfalls einige IP-Adressen oder auch Telefonnummern unproblematisch bestimmten Personen zuzuordnen sind.

Außerdem ginge es am verfassungsrechtlichen Problem vorbei, sich alleine auf die Frage des Personenbezugs zu konzentrieren. Der ist zwar entscheidend, wenn es um die informationelle Selbstbestimmung geht („Datenschutz-Grundrecht“). Doch greift der BND bei der Auslandsaufklärung auch in der Fernmeldegeheimnis aus Art. 10 Abs. 1 des Grundgesetzes ein. Und dieses Grundrecht erfasst Metadaten ganz unabhängig vom Personenbezug. Diese einfache verfassungsrechtliche Tatsache, die alle drei geladenen Gutachter im Sommer vor dem NSA-UA ausführlich dargelegt haben, wird von der Bundesregierung bisher leider ignoriert.

Die – vorsichtig ausgedrückt – „eigenwillige“ Rechtsauffassung des BND ist aber symptomatisch für Geheimdienste und reiht sich nahtlos in andere Theorien ein. Beispielsweise, dass in Bad Aibling deutsche Gesetze nicht gelten, weil das Abhören von Satelliten ja im Himmel passiere und dass für „Funktionsträger“ angeblich keine Grundrechte gelten.

Die NSA (die mit geheimen Gesetzes-Interpretationen vor geheimen Gerichten geheime Entscheidungen erzielt) lobt in einem von Edward Snowden geleakten Dokument:

Die deutsche Regierung hat ihre Interpretation des G-10-Gesetzes, das die Kommunikation deutscher Staatsbürger schützt, dahingehend verändert, dass der BND flexibler beim Teilen geschützter Informationen mit ausländischen Partnern ist.

Nur doof, wenn alle anderen widersprechen.

Update: Konstantin von Notz, Obmann der Grünen im Ausschuss, kommentiert gegenüber netzpolitik.org:

Metadaten sind der Schlüssel zur Massenüberwachung. Nur mit ihnen gelingt es, Kontakte und Verbindungen zwischen Personen herauszuarbeiten. Weil diese Daten stets auf bestimmte oder bestimmbare Personen verweisen, sind sie selbstverständlich personenbeziehbar und damit im Anwendungsbereich der Datenschutzgesetze. Die abwegige Behauptung des Zeugen zeigt die Bereitschaft beim BND, sich offenbar das Recht einfach hinzubiegen, wenn es gerade nicht passt.

Kai Biermann schreibt auf Zeit Online:

Der Bundesnachrichtendienst, so scheint es, entscheidet selbst, wann er sich an welche Gesetze hält und wann er dazu keine Lust hat. Aus Sicht des BND ist das sicher praktisch. Aus Sicht aller anderen Menschen wäre das allerdings ein Problem. Denn laut Gesetz steht niemand über dem Gesetz. Wenn es doch jemand tut, kann man sich das ganze bedruckte Papier eigentlich sparen.

Thomas Stadler kommentiert in seinem Blog:

Hätte das Rechts- und Verfassungsverständnis des BND, das definitiv nicht von dieser Welt ist, nicht so ernsthafte und weitreichende Folgen, müsste man es schlicht als albern bezeichnen. Die fehlende rechtsstaatliche Gesinnung, die die Behörde Bundesnachrichtendienst offenbar wie einen roten Faden durchzieht, stellt für diesen Staat und diese Gesellschaft aber leider ein ernsthaftes Problem dar.

Update 2: Patrick Breyer, Piraten-Abgeordneter in Schleswig-Holstein und eifriger Kläger gegen Vorratsdatenspeicherungen, kommentiert gegenüber netzpolitik.org:

Auch für den Bundesnachrichtendienst gilt das Bundesdatenschutzgesetz, und das unterscheidet – anders als die USA – nicht zwischen Daten deutscher und Daten ausländischer Staatsbürger. Personenbezogen sind Daten, wenn sich der Betroffene identifizieren lässt – ob durch die datenverarbeitende Stelle oder einen Dritten. So ist es auch ausdrücklich in der Datenschutzrichtlinie festgelegt. Metadaten lassen sich mit entsprechenden Zusatzinformationen bei TK-Anbietern oder teilweise auch offen zugänglich im Internet identifizieren und sind deswegen selbstverständlich personenbezogene Daten. Dass der BND im Ausland erhobene Daten nicht schützt, ist verfassungswidrig, wie bereits die entsprechende Sachverständigenanhörung im Bundestag ergeben hat.

Update 3: Martina Renner, Obfrau der Linksfraktion im Ausschuss, erklärt gegenüber netzpolitik.org:

Am letzten Donnerstag hat der Leiter der Abteilung technische Aufklärung des BND, W.K., vor dem NSA-Untersuchungsausschuss behauptet, Metadaten seien keine personenbezogenen Daten. „Das ist völliger Quatsch“, sagt Martina Renner, Obfrau der Linksfraktion im NSA-Untersuchungsausschuss. „Es ist ausreichend belegt, dass aus Metadaten vielfältige Rückschlüsse auf Personen gezogen werden können, etwa in einer Studie der Stanford Universität im Frühjahr 2014 über die Brisanz von Telefon-Metadaten analysiert.“ Renner verweist auf den ehemaligen NSA-Direktor Hayden, der in einem Interview gesagt hatte, „We kill people based on metadata“. „Mit Metadaten werden Zielpersonen geortet und dann mit Drohnen umgebracht“, so Renner.“ Die Behauptung des BND, Metadaten seien harmlos, ist bestenfalls eine weitere Nebelkerze, um der Öffentlichkeit vorzugaukeln, der BND hielte sich an Gesetze.

13 Ergänzungen

  1. Die Sache mit den Funktionsträgern würd‘ ich mir an Eurer Stelle nochmal näher anschauen.
    Sieht so aus, als seien Deutsche, die für ausländische Unternehmen arbeiten, in dem Moment nicht geschützt, wenn sie für das Unternehmen arbeiten. Das ließe sich ja vielleicht noch irgendwie begründen (eigentlich nicht, das GG ist hier eindeutig)- der eigentliche Skandal liegt aber woanders:
    Es gibt sehr wahrscheinlich eine Stelle in Deutschland, in der dieses Kriterium „manuell“ geprüft wird, weil es maschinell nicht möglich ist. In einer Lagerhalle irgendwo in Deutschland sitzen also BND-Agenten, die die Kommunikation deutscher Angestellter ausländischer Unternehmen anschauen, um zu beurteilen, was sie sich davon anschauen dürfen, ohne die Grundrechte dieses Menschen zu verletzen. Natürlich vergessen die dann hinterher ganz schnell Alles, sonst wäre das ja G10-illegal.
    Das war diese „andere Stelle“ von der der Zeuge gestern sprach, bevor ihm die Regierung das Wort verboten hat. Kein Wunder dass da an den entsprechenden Stellen Panik aufkommt.
    Wenn die schlau waren, haben sie einfach einen Server ins Weltall geschossen, auf dem die Daten beurteilt werden, ohne dass das Grundgesetz gilt.

    1. Wenn die schlau waren, haben sie einfach einen Server ins Weltall geschossen, auf dem die Daten beurteilt werden, ohne dass das Grundgesetz gilt.

      Es ist ja richtig verdächtig, dass da gerade ein deutscher Astronaut im Weltall war.

  2. Bei der Stasi wusste man wo man dran ist. Was wissen wir über diese heuchlerische Regierung. Tisch is a wake up Call!! Die Menschen müssen aufgeklärt werden.

      1. Das kommt davon, wenn man ständig zwischen deutsch und englisch wechselt. Harry meinte vermutlich „This“

  3. Mit den nun dokumentierten Aussagen, dass der BND gegen klar beschriebene Gesetze verstößt (indem er beschreibt, wie er die Gesetze interpretiert), und egal wie er das für sich selbst auslegt, ist doch eigentlich ein Tatbestand vorhanden, weswegen staatsanwaltliche Ermittlungen aufgenommen werden müssen. Oder?

    Wenn eine Firma, nehmen wir mal an, ein x-beliebiges Kommunikationsunternehmmen, so klar äußert, dass es die Gesetzeslage ähnlich nebulös uminterpretiert, obwohl es juristisch ganz eindeutige Festlegung gibt und beispielsweise die Metadaten verkauft, also verwertet, würden doch auch Ermittlungen einsetzen. Oder täusche ich mich? Selbst wenn ein Ministerium sich nicht an geltendes Recht hält, würde das untersucht und zu erheblichen personellen Maßnahmen bis hin zur Strafverfolgung beteiligter Personen führen.

    Da könnte doch auch rechtlich keine Bundesregierung die Ermittlungen verhindern mit der Aussage, „stellt die Untersuchungen ein, uns nützt das Ministerium doch gerade, da werden wir nicht zulassen, dass Ermittlungen stattfinden“.

    Nehmen wir das Verteidungsministerium. Warum muss sich die Armee an Recht und Gesetz halten und auch davor verantworten, sobald nur etwas ruchbar wird, nicht aber der BND?

    1. Wir leben halt mal wieder in einem doppelstaatlichen Herrschaftssystem, der Normenstaats-Teil ist gekennzeichnet durch die Existenz tradierter und neuer Rechtsvorschriften, die auf Berechenbarkeit angelegt und in dieser Funktion der Aufrechterhaltung der privatkapitalistischen Wirtschaftsordnung dienlich sind. In dieser Sphäre haben Gesetze, Gerichtsentscheidungen und Verwaltungsakte nach wie vor Gültigkeit; das Privateigentum ist geschützt und das Vertragsrecht weiterhin wesentlich.

      Im Unterschied dazu orientiert sich der Maßnahmenstaat-Anteil, zu dem der BND gehört, nicht an Rechten, sondern ausschließlich an Überlegungen der situativ-politischen Zweckmäßigkeit. Entscheidungen werden „nach Lage der Sache“ getroffen. In diesem Sektor „fehlen die Normen und herrschen die Maßnahmen“.

      Hatten wir alles schon mal. :)

      (Dieser Text ist natürlich kopiert und nur leicht modifiziert, wer sich für die Sache interessiert wird das Original leicht finden. Lizenz CC-by-sa-3.0, goo.gl/qooDSr)

  4. Auch „Anlasslosigkeit“ wurde wohl hübsch uminterpretiert :

    Flisek: Aber in der Analyse setzen sie Software ein. Begriff “Massendatenerfassung” ist für mich: große Grundmenge. Was ist “Anlasslosigkeit”? Ist das da beinhaltet?
    K.: Anlasslosigkeit ist ohne Auftrag und ohne Suchkriterium arbeite. Ich habe ja einen Auftrag der Bundesregierung.
    Flisek: Ein Selektor ist schon nicht mehr anlasslos?
    K.: Wenn der geprüft wurde.

  5. Sie drehen sich eben die Wahrheit so zurecht, wie sie es für richtig halten und wollen das Unrecht, das sie dabei täglich millionenfach (oder jährlich milliardenfach) begehen, selbstverständlich nicht erkennen. Klar, denn sonst müssten sie sich selbst des Landes- oder Volksverrates schuldig bekennen und anzeigen.

    Das soll jetzt irgendwie noch zum Wohl des Bürgers sein?
    Danke liebe Geheimdienste: Ich bin Bürger und möchte euer Wohl nicht und lehne es zu 100% ab. Ich möchte keinen Dienst, der auch in meinem Namen Menschen bespitzelt und ausspioniert.
    Bitte akzeptiert meine Ansicht und handelt danach: Löst Euch auf, ihr seid undemokratisch, verlogen und falsch! Hört auf, auch meine Steuergelder für eure „Dienste“ zu verschwenden und gebt diese Mittel lieber in den Ausbau von Schulen und Pflegeheimen!

    Nur weil man Unrecht nicht erkennt (erkennen will), kann man daraus nicht irgendwelche Rechte ableiten. Sonst raube ich morgen eine Bank aus und berufe mich vor Gericht auch auf Freispruch, da ich es nicht als Unrecht erachte, bedrucktes Papier einzusammeln.

  6. Gibt es für diese Webseite eine Forum mit End-to-End Verschlüsselung ?
    Ich habe oben gesehen, dass man die Beiträge via Facebook oder Twitter teilen könnte, was ich aber nicht möchte. Viel lieber würde ich mich möglichst fern von den alltäglichen, überwachten Medien über diese hier sehr gut recherchierten Themen unterhalten. Wird es sowas vielleicht zukünftig geben ?
    Mein Weg wird wohl dahin gehen, dass ich – sogut es für mich machbar ist – nur noch verschlüsselt kommunizieren möchte. Wie siehts aus ?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.