Live-Blog aus dem Geheimdienst-Untersuchungsausschuss: „Gravierende Kontrolllücken aus unterschiedlichen Kompetenzen der Kontrollorgane“

Heute tagt wieder der Geheimdienst-Untersuchungsausschuss im Bundestag. Der einzige Zeuge ist Peter Schaar, ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Wir sitzen wie immer drin und bloggen live.

Update: Auf WikiLeaks gibt’s auch das offizielle stenografische Protokoll als HTML und PDF.

Kernaussagen

Der damalige Bundesdatenschutzbeauftragte Peter Schaar hat nach den Snowden-Enthüllungen die Aufsichtsbehörden der deutschen Nachrichtendienste angeschrieben. Einige davon haben gar nicht geantwortet, darunter das Innenministerium. Das hat er formal beanstandet und eine Klage erwogen, dann aber doch davon abgesehen.

Nach weiteren Enthüllungen hat er weitere Prüfungen durch seine Behörde veranlasst, darunter Mobilfunkstation in Berlin, Verfassungsschutz und Bundesnachrichtendienst. Der Kontrollbesuch in Bad Aibling war am 3. und 4. Dezember 2013, zwei Wochen vor seinem Amtsende. Bis dahin gab es keinen Prüfbericht.

Die Aufteilung der Kontrolle auf Parlamentarisches Kontrollgremium, G-10-Kommission und Datenschutzbeauftragte je nach Datentyp führt zu einer Kontrolllücke, die beseitigt werden muss.

Transitverkehr (aus Ausland, durch Deutschland, in Ausland) fällt unter Grundrechtsschutz, wenn der in Deutschland abgehört wird. Verkehrsdaten/Metadaten sind personenbezogene Daten. In Bad Aibling gilt das BND-Gesetz auch für Satelliten-Abhör-Maßnahmen.

Wenn Operation Eikonal mit einem privatrechtlichen Vertrag zwischen BND und Telekom zustande kam, haben BND und Telekom rechtswidrig gehandelt.

Gliederung

Disclaimer

Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder umfassende Korrektheit.

Wer uns unterstützen möchte, darf gerne spenden.

Update: Das offizielle stenografische Protokoll gibt es auf bundestag.de als PDF (Mirror bei uns).

Patrick Sensburg, Vorsitzender (09:00)

$Begrüßung

$Formalitäten

Zeuge 1: Peter Schaar, ehemaliger Bundesdatenschutzbeauftragter

Peter Schaar, 60 Jahre, wohne in Hamburg, Diplom-Volkswirt, ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI).

$Danke

(Spricht frei.)

War während der Vorgänge BfDI. Bis 17.12.2013. Kann nur bis dahin aussagen. Danach auch nur aus Presse.

Erste Veröffentlichungen im Sommer 2013 waren USA-bezogen: Verizon hat Telefondaten herausgegeben. Bestätigte Gerüchte, die ich auch kannte. Nicht neu, gehörte zum Geschäft.

Änderte sich mit PRISM am 6. Juni 2013. Warf die Frage auf, ob Daten deutscher Internet-Nutzer betroffen waren. Betrifft Recht auf informationelle Selbstbestimmung und damit meine Aufgabe. Habe Aufsichtstätigkeit über Telekommunikations-Unternehmen. Immer mehr Behauptungen in Presse in Folgezeit. Hinweise, dass auch in Deutschland gesammelt würden.

Bericht, dass National Security Agency (NSA) Zugang zu Netzknoten/Daten hat, die von BND stammten (Bad Aibling). Hat datenschutzrechtliche Alarmstufe hoch gesetzt. Habe mich unverzüglich in ersten Tagen mit Mitarbeiter/innen aufgenommen und mich ans Bundesamt für Sicherheit in der Informationstechnik (BSI) gewendet. Alle von Angelegenheiten berührten Ministerien angeschrieben, was an den Informationen dran ist und was man dagegen tun kann. Schreiben waren auf Basis der Aussagen von BSI, das es keine Zweifel an der Echtheit der Offenbarten Papiere gab.

Nach Beteiligung Deutscher auch weitere Schreiben verfasst. An Nachrichtendienste (ND) des Bundes und Stellen mit Fach- und Dienstaufsicht über Dienste. Wurde von einzelnen Stellen beantwortet, von anderen nicht. Bundesinnenministerium (BMI) war Problem, die haben nie geantwortet. Im August 2013 habe ich das formell beanstandet.

Parallel zu Informations-Gesuch habe ich veranlasst, an die Unternehmen heranzutreten und Prüfungen einzuleiten. In Veröffentlichung genannte Telekommunikations(TK)-Unternehmen, Internet-Knoten, Verbindungsdaten-Verarbeiter. Deutsche Telekom AG (DTAG), Level 3, Vodafone, Reihe weiterer großer Unternehmen. Einzelne Vor-Ort-Prüfungen bei großen Unternehmen. Da war ich nicht persönlich, sondern Mitarbeiter/innen von mir. War schwierig. Wir können nicht einen Internet-Knoten prüfen und feststellen, ob es ein extra Kabel gibt, was da nicht legen sollte. Im wesentlichen über viele Stunden mit Mitarbeitern der Unternehmen gesprochen.

Weitere Prüfungen. Nach Merkelphone Prüfung bei Mobilfunkstation in Berliner Zentrum. Prüfung bei Bundesamt für Verfassungsschutz (BfV) und BND in Bad Aibling. Erst relativ spät: November und Dezember 2013. Bei Ende meiner Amtszeit war Prüfungsbericht noch nicht fertig.

Antworten der Unternehmen war: wir halten uns an deutsches Recht, geben Ausländische Nachrichtendienste (AND) keine Informationen, haben keine Hinweise, dass Informationen über Seitenkanäle abfließen. G-10-Überwachung ist für mich als BfDI ein nicht-prüfbarer Bereich, soweit personenbezogene Daten aus Telekommunikation erhoben werden. § 24 Abs. 2 Bundesdatenschutzgesetz (BDSG) enthält Ausnahme für mich, G-10-Kommission exklusiv zuständig. Schnittstellenproblematik. Unterschiedliche Stellen für Teilbereiche eines komplexen Zugsamenhangs jeweils Teilzuständigkeit.

Habe auch politische Debatte begleitet und Bundestag November 2013 einen Bericht erstattet Abhöraktivitäten US-amerikanischer Nachrichtendienste in Deutschland. Darin auch Rechtslage und Handlungsbedarf erläutert.

Fragerunde 1: Vorsitzender (09:23)

Sensburg: Wie kommt BfDI Kontrolle nach? Stichproben? Programm zum Abarbeiten?

Schaar: Unterschiedliche Ebenen. Einfach: bloße Nachfrage. Was wir als Kontrollen bezeichnen, sind Vor-Ort-Kontrollen. Nach entsprechender Ankündigung (in wenigen Fällen unangekündigt) vor Ort und besprechen den weiteren Ablauf der Prüfung. Üblicherweise kompetente Gesprächspartner. Prüfer zwei bis vier Personen mit unterschiedlichen Qualifikationen. Räumlichkeiten und Unterlagen zur Verfügung gestellt. Bei Dateiüberprüfung (Anti-Terror-Datei 2011/12 geprüft) verlangen wir Einsicht in Datei. Kein direkter Zugriff meiner Mitarbeiter, sondern Mitarbeiter der Behörde macht entsprechende Eingaben. Stichprobenkontrollen (erste 100 Datensätze). Ist gespeicherter Inhalt rechtlich korrekt? Beispiel Freitextfelder. Dann Aktenrückhalt heranziehen (kann elektronisch sein). Anhand der Dateieinträge prüfen, inwieweit Aufnahme in eine Datei rechtlich zulässig ist. Dann Ergebnisse zusammengefasst und hypothetische Bewertung an geprüfte Stelle geben. Die kann dann Stellung nehmen. Üblicherweise sachliche Fehler erkannt und korrigiert. Gegebenenfalls Bewertung nochmal angepasst. Je nach Ergebnis ist Bewertung positiv oder negativ. Leicht behebbare, nicht schwerwiegende Mängel: von Beanstandung abgesehen. Schwerwiegend oder Behörde weigert sich, Mängel zu beseitigen: formelle Beanstandung gegenüber Leiter der Einrichtung (Bundesminister oder Behördenleiter). Damit Prüfung abgeschlossen.Haben keine weiteren Prüfmöglichkeiten. Bei nicht-öffentlichen Stellen haben wir nur Zuständigkeit bei Telekommunikations- und Postunternehmen (Erbe aus Postmonopol-Zeit). Schwierig, weil wir hier (im Gegensatz zu Landes-Datenschützern) keine Sanktionsmöglichkeiten haben. Geben das an die Bundesnetzagentur, die das nochmal prüft und dann Bußgelder/Untersagungen verhängen kann. Jedes Jahr wird vorläufiger Prüfplan aufgestellt, rund 100 umfangreiche Prüfungen. Nach Snowden natürlich Prüfplan korrigiert, neue Schwerpunkte gesetzt: Prüfungen zurückgestellt, neue angesetzt.

Sensburg: Bei Fernmeldeverkehren zuständig, wenn nicht G-10-Kommission. Welche sind erfasst?

Schaar: Habe gefragt, was außerhalb G-10 an andere Nachrichtendienste weitergegeben wurde. Habe Sachverständigen-Gutachten und Zeugenvernehmungen im Ausschuss hier durchgelesen. Problemkomplex: Auslandsaufklärung durch BND. Bereich nicht ganz deutlich abzugrenzen. Gesetz spricht von „internationalem Telekommunikationsverkehr“. Müsste man interpretieren als: alle Arten TK-Verkehr, die in Deutschland irgendwo anfallen. Ausgangs- und Endpunkt Deutschland als auch Ausland-Ausland und nur durch Deutschland durchgeleitet. Bundesregierung vertritt Auffassung, dass internationale TKÜ, die nur Transit betrifft, nicht darunter fällt. In kleiner Antwort definierte Bundesregierung das so, dass nur aus und nach Deutschland gehende Verkehre darunter fallen. Transit-Kommunikation fällt unter G-10-Kommission oder eben nicht. Wenn sie nicht darunter fällt (wie Bundesregierung sagt), fallen sie in meinen Zuständigkeitsbereich. Fallen selbstverständlich unter deutsches Recht (räumlich, personell und inhaltlich deutscher Bezug), gar kein zweifel. Dann meine Zuständigkeit. Gilt auch für Auslandskommunikation, die im Inland verarbeitet wird. Gab hier aber keine Auskünfte der Ministerien an mich, wurde unter Bezug auf G-10 verweigert. grundlegendes Problem, aus meiner Sicht dringend klärungsbedürftig. Datenarten: Keine Hinweise, dass es nur Inhalte sind. Auch Verkehrs- oder Metadaten sind umfasst. Bundesverfassungsgericht (BVerfG) hat immer wieder festgestellt, dass Verkehrsdaten „nähere Umstände des TK-Verkehrs“ unter Schutz von Artikel 10 GG fallen. Daran ändert nichts, dass nicht jedes Datum zu jeder Zeit für jedermann einer bestimmten Person zuordenbar ist, die reine Möglichkeit reicht, gilt auch für Auslandsverkehre. In diesem Fall war es mir nicht möglich, Prüfungen vor Ort durchzuführen. Hier wurden mir Informationen verweigert mit Berufung auf G-10. Ich kann nicht nachprüfen, ob die G-10-Kommission das angeordnet hat, muss das glauben.

Sensburg: Ausland-Ausland-Verkehr ist also nicht G-10-Bereich, sondern bei ihnen?

Schaar: In diesem Falle nicht ausdrücklich so der Regierung gesagt, letztlich Argumentation der Regierung gefolgt. Mir war auch nicht bekannt, dass auch Transit-Verkehr an ausländische Stellen weitergeleitet werden sein könnte. Diese Informationen hatte ich nicht. Hatte Snowden-Dokumente eher auf Informationen aus Krisengebieten bezogen, so hatte die Bundesregierung das ja auch behauptet. Frage Transit stellt sich jetzt verschärft.

Sensburg: Also keine Lücke?

Schaar: Kann sei, dass es eine Lücke gibt. Sollte Bundesregierung glauben, dass Transit unter G-10 fällt und dafür eine G-10-Anordnung haben, gibt es keine Kontrolle. Gibt es keine G-10-Anordnung und mir trotzdem die Auskunft verweigern, dann gibt es keine Kontrolle, was zu beanstanden ist.

Sensburg: Bundesregierung sagte ihnen doch: „kein G-10“.

Schaar: Bundesregierung sagte mir über bestimmte Vorgänge einfach: „Keine Auskunft.“

Sensburg: Sagte sie auch manchmal „Hier kein G-10“?

Schaar: Ja, darf ich aber nur NÖ sagen.

Sensburg: Welche Informationsersuchen haben sie gestellt?

Schaar: Differenzierter Fragenkatalog. Erste Version 05.07.2013. Zwei Wochen später nochmal Nachfrage. Alles abgefragt: Wer hat Kenntnis von was, wer hat Daten mit Programmen ausgewertet? Welche Programme, XKeyscore? An AND weitergegeben? Umfangreicher Katalog.

Sensburg: Was haben sie vor Snowden dazu gemacht?

Schaar: Gab Echelon, war aber vor meinem Amtsantritt 2003. Gab keine gezielte Prüfung dieses Sachverhaltes. Problembewusstsein bei Auslands-Auslands-Kommunikation war bei uns nicht vorhanden, wurde nicht als außerhalb des G-10 gesehen. Gingen davon aus, dass es Kontrolle gibt. Wurde regelmäßig Nachrichtendienste geprüft, Mitarbeiter vor Ort (Pullach, Köln) und Prüfungen vorgenommen. Für die Vorgänge hier gab es vorher keinen Anlass für Prüfung. Sind ja auch nicht all zu üppig ausgestattet als Behörde. Sind von Amt für den militärischen Abschirmdienst (MAD) zu Bundeskriminalamt zuständig. Haben diese Schnittstelle vorher nicht adressiert, habe das aber mit beiden parlamentarischen Kontrollgremien diskutiert und meinen Kontrollwunsch geäußert.

Sensburg: Ich werfe ihnen keine Versäumnisse vor. G-10 nach § 24 Abs. 2 Satz 2 BDSG: „Personenbezogene Daten, die der Kontrolle durch die Kommission nach § 15 des Artikel 10-Gesetzes unterliegen, unterliegen nicht der Kontrolle durch den Bundesbeauftragten, es sei denn, die Kommission ersucht den Bundesbeauftragten, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten.“ Gab es in ihrer Zeit Fälle, wo G-10-Kommission mit Ersuchen an sie herantrat?

Schaar: Nein. Gibt unterschiedliche Prüfmethoden, die sich ergänzen können. In meinem Haus gab es Prüfteams, die vor Ort gingen und Akten und Dateien prüften. Stießen auf Dinge, die mit G-10 begründet wurden. Diese Erkenntnisse durften wir aber nicht bewerten. Systematische Kontrolllücke. G-10-Kommission prüft ja Schengener Informationssystem nicht. Hier treten Probleme auf. Habe ich Vorsitzenden und Obleuten der Gremien gesagt und geschrieben. Recht schnell wieder eingeschlafen.

Sensburg: Wie viele Mitarbeiter haben sie dafür?

Schaar: Im Sicherheitsbereich fünf. Dazu gehört auch Europol, Bundespolizei, Bundeskriminalamt und Nachrichtendienste. Rechtssetzung, Verhandlung, Gremienarbeit. Fallweise auch andere für besonderen technischen Sachverstand (Referat Technik oder TK).

Sensburg: Externe Expertise?

Schaar: Bis auf BSI: nein. Vor drei Jahren Mittel eingeworben, um Prüfteams zu entwickeln. Aber noch nicht einsetzbar. Haben uns auch gefragt, ob Behörden das dulden würden. Gab es zu der Zeit nicht. Können eigentlich nur auf Anomalien prüfen.

Sensburg: Überschaubares Personal. Kompetenz bei Dateien und Jura. Können die auch einen Router technisch nach Sicherheit bewerten?

Schaar: Grundsätzlich ja, aber andere Personen. Promovierte Informatiker und Fernmeldeingenieure. Problem ist Komplexitätsgrad der technischen Systeme. Thema Backdoor: alle Informatiker sagen, da sind undokumentierte Features drin sind, Problem ist, dass es fast unmöglich ist, die zu finden. Ist relativ einfach, ob System das tut, was es tun soll. Sehr viel schwieriger zu prüfen, dass es nur das tut, was es soll. So lange es keine verifizierten Prozesse gibt, die Qualität von Soft- und Hardware von Anfang bis Ende gewährleisten (bin skeptisch ob das kommt), muss man sich auf abschnittsweise Prüfung verlassen. Problem auch vom US-Kongress verhandelt: Backdoors in chinesischen Routern, nicht von US-Behörden eingesetzt. Will US-Herstellern nicht allen unterstellen, dass alle Backdoors haben. Aber das ist möglich und Praxis. Braucht vertrauenswürdige Produktionsketten und Hersteller. Bin mir da mit BSI einig. Muss Bundesregierung dringend tätig werden.

Sensburg: Gab es solche technischen Prüfungen beim BND zu ihrer Zeit?

Schaar: Gab technische Dateiprüfungen. Nicht zu Routing-Komponenten. Und natürlich keine G-10-Maßnahmen.

Sensburg: Wäre ihre Schnittstelle dann behördlicher Datenschutzbeauftragter?

Schaar: Die sind keine Vorprüfstelle für uns. Haben eigenständige Funktion in Behörde/Unternehmen. Gewisse Unabhängigkeit. Habe den Eindruck, dass die Frau beim BND das ernsthaft wahrnimmt. Ist aber Mitarbeiter der Behörde, aber keine Agenten des externen Datenschutzes. Sind aber Ansprechpartner und bei Vor-Ort-Prüfung dabei. Hat intern keine Vetorecht. Behördenleiter müssen aber verantworten, wenn sie von ihrem Rat abweichen. Befanden sich in Dialog mit uns und Landesdatenschutzbeauftragten. Aber sind im Unternehmen/Behörde.

Sensburg: Wie war Zusammenarbeit mit BND-Datenschutzbeauftragter?

Schaar: Gab Kontakte zwischen ihr und meinen Mitarbeiter.

Sensburg: Rege?

Schaar: Kann nichts über Qualitäten sagen. Im Rahmen der fachlichen Zuständigkeit gab es immer wieder Kontakte. War offen und vertrauenswürdig. Sie war aber intern auch Vertraulichkeit verpflichtet.

Sensburg: Dateianordnung nicht genehmigt im BND. Haben sie das angeguckt?

Schaar: Ja, gab solche Fälle. Sind dann an die zuständige Stelle und Ministerien und haben darauf gedrungen. Von Dateien, von denen ich nichts weiß, kann ich nichts kontrollieren. Dateianordnungen sollen Rechtmäßigkeits-Kontrolle gewährleisten. Wenn es keine Anordnung gibt, kann man auch nicht prüfen.

Sensburg: 24. Tätigkeitsbericht zum Datenschutz 2011-2012: „Gravierende Kontrolllücken ergeben sich in der Praxis auch aus den unterschiedlichen Kompetenzen der Kontrollorgane (G 10-Kommission des Deutschen Bundestages, PKGr und meine Behörde).“ Wie oft konnten sie Sachen nicht prüfen, die sie prüfen wollten, in ihren gesamten 10 Jahren?

Schaar: Keine Zahlen. Aber war immer wieder Thema. Siehe Anti-Terror-Datei-Gesetz. Immer wieder Frage: Wer ist für Kontrolle zuständig? ATD -> G-10-Kommission für bestimmte BfV-Anfragen zuständig, Kontrolle des BfDI dann entzogen. Begründung für Datenerhebung in meinem Zuständigkeit, Verwendung auch in diesem Bereich, auch verknüpft mit Nicht-G-10-Daten, aber BfDI hat hier keine Einsicht. Das war schon vor Snowden. 24. Tätigkeitsbericht Anfang 2012/13. Kam immer mal wieder vor. Manchmal gar nicht mehr nachgefragt.

Sensburg: Wie oft war BfDI beim BND?

Schaar: Unterschied Besuche und Kontrollen. Auch mal mit Spitze in Pullach getroffen, nicht nur Small-Talk, aber keine Kontrolle. Mit Sicherheit jährlich geprüft, manchmal mehrmals jährlich. Formelle Prüfungen jährlich kann ich nicht garantierten.

Sensburg: Bad Aibling?

Schaar: Nur einmal geprüft, Dezember 2013.

Sensburg: Nach Snowden?

Schaar: Großen Bedeutung erst da deutlich geworden.

Sensburg: Echelon?

Schaar: Weitestgehend abgeschlossen. War ja Satellit. Heute mehr Glasfasern.

Sensburg: Tätigkeitsbericht: eklatante Mängel.

Schaar: Ministerien dürfen bei Nachrichtendiensten Informationen im Tätigkeitsbericht freigegeben. Gibt Prüfvorgänge und Mängel, die nicht freigegeben wurden.

Sensburg: 20. Tätigkeitsbericht zum Datenschutz 2003-2004, S. 71: „BfDI den BND über Konzept gebeten, kam der BND nach.“ Hat der BND ihre Kritik aufgenommen und beseitigt?

Schaar: Dieser Vorgang da ist über 10 Jahre zurück. Damals hatte der BND gesagt, dass er das machen wollte. Hat aber nicht immer geklappt, siehe spätere Berichte. Bereitschaftserklärung ist nicht automatisch Einhaltung von Zusagen. In diesem Fall ist die Geschichte bis heute nicht zu Ende.

Fragerunde 1: Die Linke (10:13)

Martina Renner: Datenverarbeitung beim BND. „Sollte Bundesregierung keine G-10-Anordnung für Transit haben und mir Kontrolle verweigert haben, …“ Datenerhebung bei Telekom durch BND war auf Grundlage eines Vertrages DTAG nimmt BND. Wie bewerten sie das?

Schaar: Vorweg: Von Projekt Eikonal habe ich auch erst aus Medien erfahren, bin nicht informiert. Kenne die genauen Umstände nicht. Habe von Vertrag in den letzten Wochen gelernt. Hat mich sehr gewundert. Ist die Frage, ob das tatsächlich so war oder nicht. Rechtliche Grundlage für Datenschutz ist Artikel 10 Grundgesetz. Eine Überwachung ist ein Grundrechtseingriff. Bedarf einer gesetzlichen Ermächtigung. Eine solche ist hier nicht ersichtlich. BND-Gesetz ist das nicht. G-10-Gesetz könnte das sein. Wenn das nicht angewendet wird, gibt es ein Problem. Rein vertragliche Grundlage kann es nicht geben. Ist auch die Frage, ob die DTAG auch rechtswidrig gehandelt hat. Doppeltürmodell: Beide Seiten der Übermittlung brauchen Ermächtigung. DTAG darf Daten herausgeben, wenn sie rechtliche Berechtigung hat. Vertrag kann das nicht rechtfertigen. DTAG auch strafrechtlich verantwortlich. Alles hypothetisch, kenne Vertrag nicht.

Renner: Eikonal: Wenn bei DTAG Strecken gedoppelt und ausgeleitet wurden, haben sie Zuständigkeit nach BDSG direkt nach Dopplung? Oder erst nach G-10-Filtern?

Schaar: Nicht einfach. BVerfG-Urteil zur Kameraüberwachung von Autobahnen: Bloß flüchtige Erfassung ist geringe Eingriffstiefe. Man könnte Auffassung vertreten, dass das hier so ist. Andererseits: Maßnahme im Gesamtkontext, Umgang mit Daten für weitere Behandlung ist Datenverarbeitung. Ausleitung mit Ziel der Überwachung ist natürlich Eingriff in Fernmeldegeheimnis, kein Zweifel. Sind personenbezogene Daten und hat mit Datenschutzrecht zu tun.

Renner: Wie können sie Kontrollbefugnisse bei BND ausüben, wenn Dateien häufig Namen wechseln, Außenstellen legendiert sind (bis Wikipedia), Tarnfirmen. Organisatorische Abschirmung. Gibt es Zugangshürden für sie?

Schaar: Gerade ND-Bereich ist extrem schwierig zu kontrollieren. Speziell Außenstellen, brauchen erst einmal Hinweise auf Existenz. Gilt aber auch für Dateien. Eindruck: Leitung der Dienste hat uns nicht bewusst etwas vorenthalten. gab Vorgänge, von denen wir nichts wissen.

Fragerunde 1: SPD (10:24)

Christian Flisek: Informationen auch wegen Methodenschutz vorenthalten?

Schaar: Gibt bei uns keinen Methodenschutz. Gibt Quellenschutz. Was darunter fällt, ist nicht konsensual. Fallen AND darunter? Menschliche Quellen fallen darunter. Gab mündliche Verabredung mit meinem Vorgänger, das nicht zu prüfen. In meiner Amtszeit nie Information unter Hinweis auf Quellen- oder Methodenschutz untersagt wurde.

Flisek: Atmosphärische Zusammenarbeit mit G-10-Kommission? Sportliche Rivalität? Oder umfassende Partnerschaft?

Schaar: Mir steht es nicht zu, die Arbeit eines parlamentarischen Gremiums zu bewerten, das werde ich nicht tun. Gab meinerseits Angebote, die wurden freundlich zur Kenntnis genommen. Habe auch mit Abgeordneten Gesprochen, die haben Probleme gesehen. Mache mir das nicht zu eigen, stelle das nicht in Frage. Konkurrenz beseitigen, in dem man Gesetze präzisiert, wie Zugsamenarbeit sein sollte. Kooperationsverpflichtung zum Beispiel. Oder komplett neu regeln: Geheimdienst-Beauftragter.

Flisek: In ihrer Zeit 2003-2013: Massenhaft Daten deutscher Bürger durch deutsche Stellen an ausländische Staaten gegeben?

Schaar: Keine Erkenntnisse, dass massenhaft Daten Deutscher an Five Eyes gegeben wurden. Gab Datenübermittlung im Einzelfall, wurde ja auch öffentlich diskutiert. Einen Hinweis auf Weitergabe Daten Deutscher von BND an AND habe ich keine Hinweise zur Kenntnis genommen.

Flisek: Wie würden sie schillernden Begriff der „Massendatenerfassung“ definieren?

Schaar: Gibt keine ISO-Norm mit Definition. Datensammlung, die nicht im Einzelfall erfolgt, sondern aufgrund technischer Prozesse automatisch dazu führt, das entsprechende Daten gespeichert werden. Massendaten: unterschiedslos und große Menge. TK-Verkehre (Inhalte, Metadaten) automatisch auf irgendwelche Speichermedien (welche auch immer). Erfassung ist einschließlich Erhebung. Strategische Fernmeldekontrolle ist Massendatenerfassung. Vorratsdatenspeicherung ist Massendatenerfassung.

Flisek: Mehr der Prozess der Erfassung, aber keine absoluten Quantitäten?

Schaar: Ja.

Flisek: Keine Datenweitergabe durch deutsche Stellen: Gilt das auch für Metadaten?

Schaar: Metadaten sind i.d.R. personenbezogene Daten, beziehen sich immer auf Sender oder Empfänger, natürliche Personen. Weitergabe von Metadaten an jemand, der sie zuordnen kann: absurd, die aus dem Schutz herauszunehmen. NSA kann durch umfassende Verzeichnisdienste Metadaten zuordnen. Eine Art Directory mit Zuordnung, automatisiert. Haben deutsche Dienste nicht annähernd. Metadaten gehören dazu. Thema IP-Adressen nochmal komplizierter, aber auch da Zuordnung möglich, ja. Sind personenbezogene Daten.

Flisek: „We kill people based on metadata.“ Wie ordnen sie das ein?

Schaar: Bezieht sich auf Drohneneinsatz. Kommt drauf an, wie genau die Metadaten sind. Kann man nicht direkt interpretieren. Anhand der Metadaten sind Personen und Kommunikationsprozesse identifizierbar. Cell-IDs nicht genau genug für Drohnen-Zielauswahl. Aber Ansatz für weitere Recherche für genaueren Ort. Wenn jemand auf dem Schirm eines Dienstes ist, können die Informationen weiter präzisiert werden. Gibt auch Metadaten eines Positionsgerätes.

Flisek: Man müsste jemand auf dem Bildschirm haben, dann wären Metadaten in der Lage, das genauer zu machen. Aber keine Auswahl anhand von Metadaten?

Schaar: Auswahl schon. Genaue Lokalisierung nicht immer.

Flisek: Amtszeit 2003-2013: globale Kommunikationsinfrastruktur unglaubliche Schritte gemacht: Google, Facebook, …. Diese US-Firmen mit globalen, datenbasierten Geschäftsmodellen unterliegen US-Recht. Wie bewerten sie das? Jurisdiktions-Konflikte?

Schaar: These, dass sie Rechtsordnung der Marktorte einhalten: bin nicht sicher, ob das der Fall ist. Facebook behauptet, sich an irisches Datenschutzrecht zu halten, nicht an deutsches. Google sagt: kalifornisches Datenschutzrecht. Wechsel nach EuGH-Urteil zu Google Spanien. Google StreetView: technische Mittel in Deutschland. brauchen EU-Datenschutzreform. Gibt viele Parallelen zum NSAUA. Großer Teil des US-Traffics stammt aus diesen Unternehmen. Ganz zentrale Stellung der USA als Internet-Knotenpunkt. GMail, Facebook geht alles in die USA. Dort unzureichendes Datenschutzrecht, PRISM, illegales Hacking der NSA in interne Netze. Zentrales Thema.

Fragerunde 1: Die Grünen (10:45)

Konstantin von Notz: Haben sie vor vor Snowden 2013 für möglich gehalten, dass der BND Glasfasern anzapft, um die Daten mit anderen, ausländischen Diensten zu teilen?

Schaar: Ist ja Gegenstand der Diskussion. Habe mir das eigentlich nicht vorstellen können. Sehe die rechtlichen Grundlagen nicht. Gehe erst einmal davon aus, dass die sich rechtstreu verhalten. Daten-Austausch ist speziell, Begründung im Einzelfall notwendig. Unterschiedslos und massenhafter Austausch nicht abgedeckt.

Notz: Ab wann wäre das datenschutzrechtlich relevant? Erst Ende eines Abgriffs? Oder schon bei Erfassung?

Schaar: Wie vorhin: Gesamtprozess. Ausleitung, Erfassen, Filtern, Weiterleitung an Dritte.

Notz: Auch Kontrolle notwendig?

Schaar: Grundsatz des Rechtsstaatsprinzips. Darf keine kontrollfreien Räume geben. Gerichte, Datenschutzbehörden, Parlamentarischen Gremien bei G-10. Gesamtprozess muss kontrollierbar sein.

Notz: Datenausleitung auf Grundlage eines privaten Vertrags und Schreiben des Bundeskanzleramts. Man wollte Routineverkehre erfassen. Was halten sie davon: G-10-Anordnung organisieren, sagen, man will G-10, will aber eigentlich Routineverkehr, den man auch mit anderen teilt.

Schaar: Begriff Routineverkehr nicht definiert. Alles Daten, die durch Verfassung geschützt sind. Weitergabe immer Grundrechtsrelevant, der rechtliche Grundlage benötigt. Und unabhängige Kontrolle.

Notz: Sie kennen die Rechtsauffassung des BND?

Schaar: Aus der Berichterstattung. Kann mir nicht vorstellen, dass Umdefinierung („PKW“ in „fahrbare Technik“) das aus dem Bereich des geltenden Rechts herauslösen könnte. Keine Ahnung, wie ernsthaft das vertreten wird, dass Routineverkehre nicht unter Grundrechtsschutz fallen.

Notz: Versichere ihnen, das wird vertreten. G-10-Daten müssen bei Einpflege in Datenbank markiert werden, korrekt?

Schaar: Ja.

Notz: Was, wenn die in ATD einfließen ohne Markierung?

Schaar: Wäre rechtswidrige Verarbeitung. Allerdings nicht zwangsläufig Löschung zur Folge. Markierung müsste allerdings nachgeholt werden. Falls das wesentlich ist, müsste Rechtswidrigkeit der gesamten Datei überprüft werden. Kommt darauf an, wie gravierend die Mängel sind. Wenn systematisch abseits der gesetzlichen Befugnisse TK-Daten abgesaugt wurden, würde das eine Löschungsverpflichtung auslösen (BVerwG Kohl vs. Stasi-Unterlagenbehörde).

Fragerunde 1: CDU/CSU (10:55)

Andrea Lindholz: Zitiert aus Bericht zu Abhöraktivitäten US-amerikanischer Nachrichtendienste in Deutschland: „Die Kontrolle der G 10Kommission ist auf die Anordnung von G 10-Maßnahmen und auf die Erhebung, Verarbeitung und Nutzung der durch G 10-Maßnahmen erlangten personenbezogenen Daten beschränkt, während sich meine Kontrollbefugnis nur auf den Umgang mit personenbezogenen Daten außerhalb der nachrichtendienstlichen Telekommunikationsüberwachung erstreckt. Maßnahmen, die auf Erkenntnisse aus der nachrichtendienstlichen Telekommunikationsüberwachung zurückgehen, die aber ihrerseits zur Erhebung und Verarbeitung weiterer personenbezogener Daten führen, sind weder von der G 10-Kommission noch durch mich effektiv überprüfbar. “ 24. Tätigkeitsbericht zum Datenschutz 2011-2012: „Sobald mir ein Nachrichtendienst bei einer Kontrolle erklärt, das Vorliegen legitimierender Voraussetzungen sei durch Informationen belegt, die im Rahmen einer G 10-Maßnahme gewonnen worden seien, werden mir diese Informationen vorenthalten. In der Praxis führt das dazu, dass ich die Gesetzmäßigkeit von Maßnahmen nach dem Bundesverfassungsschutzgesetz, die meiner ausschließlichen Kontrolle unterliegen, überhaupt nicht mehr prüfen kann.“ Kontrolllücke nachvollziehbar. Nach Snowden haben sie ja bei BND und BfV Kontrollen durchgeführt. War das da ein Problem?

Schaar: War ein Problem, schon Auskünfte über Informationsflüsse und Informationsbestände zu erhalten. BMI hat mir unter Berufung auf G-10-Kommission Antwort verweigert. Auswirkung dieser Problematik. Schnittstelle ist Problem. Prüfung bei BfV und in Bad Aibling war spät in meiner Amtszeit, kann ich nicht konkret beantworten.

Lindholz: Kann ihre Nachfolgerin?

Schaar: Gehe davon aus, dass sie das überblickt und einen anderen Informationsstand hat, ja.

Lindholz: Im Mai 2014 wurde dem BfDI gesagt, dass sie für Kontrollen bei G-10-Bereich doch entsprechende Information bekomme. Ist das ausreichend gegen Kontrolllücken?

Schaar: Mir ist das Schreiben nicht bekannt. Ist ein erster Schritt. Ist aber wohl Zusicherung des BMI, eine einseitige Erklärung. IMHO bei Kontrolle nur eine vorläufige Lösung, muss gesetzlich geregelt werden. Auslegung der Rechtslage gefällt mir nicht, ist aber plausibel. An einer gesetzlichen Regelung gegen Kontroll-Lücken führt nichts vorbei.

Lindholz: Sehe ich anders, ist auslegungsfähig, Erklärung des BMI reicht für mich aus. Frau Voßhoff hat das auch akzeptiert.

Schaar: Werde Meinungsäußerung meiner Amtsnachfolgerin nicht kommentieren. Aber bei Weitergabe sensibler personenbezogener Daten ist das eine sensible Angelegenheit. Das mag eie pragmatische Lösung sein. Möglichst schnell aber auch rechtlich glattziehen.

Lindholz: Sie sagten, es gab Gerüchte und Meldungen über massenhafte Überwachung, das aber nicht für relevant für Deutsche gehalten. Bis Snowden kein Thema. Richtig?

Schaar: Massendatenerfassung in den USA war schon immer Thema, aber außerhalb meiner Zuständigkeit. Habe zwei Jahr vor Snowden initiiert, dass wir von Artikel 29-Gruppe an EU-Kommission und USA herantreten, um Zugriff der US-Behörden auf Cloud-Dienste zu unterbinden. Evaluierung bei Safe-Harbor-Abkommen 2004 habe ich initiiert, dass Zugriffe nach Ptriot Act zum Gegenstand der Evaluierung durch Kommission wird. Kommission meinte damals, das sei irrelevant, heute nicht. War für mich immer wieder Thema. Dass deutsche Dienste direkt beteiligt sein könnten, kam mir zu meiner Scham nicht in den Sinn.

Lindholz: Technische Entwicklung rasant, wenige Mitarbeiter. Haben sie für ihre Anforderungen und Kontrollaufgaben genug Ressourcen?

Schaar: Das ist eine Vorlage. Ich habe immer gesagt, dass wir mehr Personal brauchen. Mit begrenztem Erfolg. BVerfG hat bei Anti.Terror-Datei-Urteil strenge Prüfkriterien angelegt, die wir nicht einhalten können ohne mehr Personal. Forderung von Frau Voßhoff in diese Richtung absolut begründet. Gilt für Technik, Verwaltung und juristische Expertise.

Lindholz: Haben sich nach Snowden ihre Anforderungen geändert? Müssen wir da neu denken?

Schaar: Zwei Aspekte: technologisch und global. Datenschutz muss technologisch durchgesetzt werden. Mit Technik geht mehr Datenschutz als mit nationalem Recht. Rechtlich: TFTP, SWIFT, PNR, bilaterale Abkommen, Prüm-Abkommen, DNA-Daten. Das sind völlig neue Qualitäten, da müsste man sehr viel mehr hinschauen, als wir das können. Eine neue Qualität, ja.

Lindholz: Kontrollbesuche: vor Snowden Vorgänge nicht abgefragt?

Schaar: Selbstverständlich haben wir immer wieder, auch vor Snowden Nachrichtendienste abgefragt. Aber danach spezielle Situation mit neuen Aspekten. Mitarbeiter sind in die USA geflogen. Bei SWIFT/TFTP durfte sogar Bundestag manche Informationen aus den USA nicht bekommen. Da haben wir weiter nachgebohrt. Snowden hat die Schwerpunktsetzung geändert. Ich habe in meinem Haus Personal aus anderen wichtigen Bereichen abgezogen für dieses Thema. Im Nachhinein ist man immer schlauer. Sicherheitsdienste und Polizeien haben sich nicht beschwert, zu wenig geprüft worden zu sein.

Lindholz: Süddeutsche Dezember 2003: „BND übernimmt Bad Aibling von USA“, Mangfall-Kaserne. Hatten sie das damals gelesen?

Schaar: Bin am 17. Dezember 2003 in mein Amt eingeführt worden. Kann mich an diese spezielle Meldung nicht erinnern. Dass Bad Aibling für Überwachung eine Rolle spielte, war mir bekannt. Aber in erster Linie für Satelliten, war schon damals rückläufig durch Umstrukturierung der Kommunikationsnetze.

Lindholz: Sommer 2013 forderten sie: Außenstelle aufsuchen, Einhaltung der Vorschriften prüfen, Kontrollbesuch im Dezember 2013. War das ihr erster Besuch direkt damit?

Schaar: Erster Prüfungsbesuch beim BND zu diesen Vorwürfen. Hat immer Vorlaufzeit, braucht Basiswissen, dazu dienten auch Anfragen bei Behörden, Antworten erst im September/Oktober, im November in Bad Aibling angekündigt, im Dezember durchgeführt.

Lindholz: Inhalt der Prüfung? Kompetenzen geregelt?

Schaar: Ich war persönlich nicht dabei, sondern Mitarbeiter. Mir lag bis Amtsende keinerlei Bericht vor. Ich weiß nicht mal, ob es einen Entwurf gab. Besuch am 3./4.12.2013, bin am 17.12. ausgeschieden.

Lindholz: Einmaliger Vorgang. War das interessant?

Schaar: Selbstverständlich. Gab nichts so gravierendes, dass dringend gehandelt werden muss. (Mit Mitarbeiter bei Weihnachtsfeier gesprochen.) Laufendes Verfahren. Sie sind sicher besser als ich informiert, was da heraus kam.

Lindholz: Sie haben aber gefragt. „Brennt da was?“

Schaar: Informell natürlich.

Lindholz: BND-Datenschutzbeauftragte Frau Dr. F. konnte keine Beanstandung feststellen. Und sie?

Schaar: Kann mich an keine Beanstandung erinnern. Es wurden aber Dinge zugesagt, deren Umsetzung schwierig war. Eine Beanstandung ist aber rechtlich nichts andere als formalisierte Kritik, zu der man Stellung nehmen muss. Eine Strafe oder Bußgeld. Haben wir auf schwere Sachen beschränkt. Haben aber nachhaltig Kritik geübt, auch in Bezug auf Praktiken.

Fragerunde 2: Die Linke (11:24)

Renner: BND-Datenschutzbeauftragte Frau Dr. F. bekommt keinen Quellcode der Software. Ist Quellcode notwendig für Prüfung? Müsste das ihre Aufgabe sein?

Schaar: Quellcode ist der programmierte Code durch den, der Software zur Verfügung stellt. Voraussetzung für vertiefte Nachvollziehbarkeit. Quellcode wünschenswert. Problem aber nicht nur mangelnder Quellcode bei Überprüfern, sondern sogar bei verantwortlichen Stellen. Siehe Staatstrojaner-Debatte und meinen Bericht. Quellcode ist wichtig, um mehr Hinweise zu bekommen, ob es verdeckte Kanäle gibt. Binärcode prüfen ist sehr viel schwieriger. Reverse Engineering ist möglich, aber extrem aufwendig und anspruchsvoll. Ein modernes Software-Produkt sind aber Millionen Zeilen Quellcode. Automatisierte Auswertung, Bibliotheken. Unabhängige Externen sollten das vorher zertifizieren. Auch bei Hardware. Sinnvoll ja. Aber in vielen Fällen nicht Stand des Verfahrens.

Renner: Auffinden von Schwachstellen durch Funktionstests und Handbücher möglich?

Schaar: Relativ einfach, ob ein Produkt die erwarteten Funktionen liefert. Verdammt schwierig, ob sie nicht auch etwas anderes macht. Nicht generell gewährleistbar. Wünschenswert, dass die Möglichkeit einer Quellcodeprüfung besteht, um solche Schwachstellen zu entdecken und zu schließen. Dass es Schwachstellen gibt, ist bekannt, teilweise auch bewusst, ist aber von außen nicht zu sehen. Siehe Heartbleed, wo das nicht endgültig beantwortet werden konnte.

Renner: Frau Dr. F. sprach von Dateiverarbeitungssystem VERAS zu Metadaten aus leitungsvermittelter Kommunikation bis in die 2. und 3. Ebene von Kontakten. Anlasslose oder mit Anlass getroffene Vorratsdatenspeicherung? Unbetroffene Dritte bis in zweite und dritte Ebene.

Schaar: Kenne die Funktionsweise des Programms leider nicht. Wenn durch Programm Daten zusammengeführt werden, die Personenbezug haben und nicht unbedingt erforderlich sind, muss man fragen, ob das rechtlich zulässig ist. Ist aber nicht automatisch anlasslose Vorratsdatenspeicherung. Wenn ein ND legale Daten hat und die damit verarbeitet, ist das rechtlich nicht zu beanstanden. Wenn aber alle Daten, denen man irgendwie habhaft werden kann, dort landen und dauerhaft gespeichert werden, dann kommt das einer VDS wieder nahe.

Fragerunde 2: CDU/CSU (11:33)

Tim Ostermann: Ihr Schreiben vom 8. August 2013 an Vorsitzende der Fraktionen: Wollen BfV, BND und MAD kontrollieren, auch vor Ort. Hatten sie konkrete Kontrollen vor Augen?

Schaar: Wir haben ja eben immer wieder solche Kontrollen durchgeführt. Mitarbeiter drei, vier Tage in Pullach und gucken sich Dateien an, lesen Akten, führen Gespräche, lassen sich Informationen nachliefern. Umfangreiche Prüfberichte mit Vielzahl von Feststellungen, Forderungen, Kritik. Ist gängige Praxis. Kann man vielleicht häufiger machen, aber Kapazitätsgrenze. Das sind versierte Prüfer. Zweck des Briefes war: vergesst Datenschutzbehörden nicht.

Ostermann: Wann gab es Besuche?

Schaar: Hab ich doch gesagt.

Ostermann: Und MAD und BfV?

Schaar: BfV im November 2013, bei MAD keiner, kein Anlass. Details darf ich nicht sagen.

Ostermann: Gab es BND-Dienststelle, die ihnen nicht bekannt waren?

Schaar: Ist ja das Problem, dass man das nur danach war. Gab einen Fall, über den der Spiegel 2013 berichtet hat. Keine Ahnung, wie viele legendierte Stellen es noch gibt. Habe ja immer die inoffiziellen Protokolle dieser Sitzungen gelesen. Da steht das ja drin.

Ostermann: Nur ein Fall bekannt?

Schaar: Angemietete Wohnung von BND und NSA, kenne ich nur aus Presse. War nie Anspruch meiner Behörde, alle Deckadressen der Nachrichtendienste zu wissen. Beunruhigt hat mich auch, dass es auch nicht-angemeldete Dateien gab.

Ostermann: Gab es einen ständigen Austausch zwischen BfDI und den ND?

Schaar: Wie definieren sie das? Nicht immer dauernde Kontakte. Keine Jour fixe IIRC. Intensive Kontakte zu behördlichen Datenschutzbeauftragten und zuständige Fachreferate.

Ostermann: Austausch bei Schulung? F. sagte, es gab eine.

Schaar: Ich erinnere mich. Ist aber ein paar Jahre her.

Ostermann: Regelmäßige Durchführung sinnvoll?

Schaar: Absolut. Sensibilität und Wissensstand erhöhen. Gedankenaustausch institutionalisieren. Jour fixe mit BSI ein- oder zweimal jährlich auf Leitungsebene. Aber Kapazitätsgrenzen.

Fragerunde 2: Die Grünen (11:44)

Hans-Christian Ströbele: Haben sich mit Snowden-Dokumenten befasst, seien wohl authentisch. Hat sich Generalbundesanwalt mal an sie gewandt? Der hat ja Fälschung zu Merkelphone behauptet.

Schaar: Kann mich nicht daran erinnern. Glaubwürdigkeit der Snowden-Dokumente war ganz wichtig. Aus meiner Sicht keine Zweifel. BSI bestätigte auch Aussagen zur Verschlüsselung in den Dokumenten. Warnmeldung kam aber nie.

Ströbele: Wurde ihnen bekannt, dass es zu strategischer Überwachung in Bad Aibling im BND (Datenschutzbeauftragte, Präsident) unterschiedliche Rechtsauffassung gab? Weltraumtheorie.

Schaar: Dissens ist mir nicht erinnerlich. Die massive Meinungsdifferenz habe ich aus den Medien erfahren. In der Sache teile ich die Meinung von Frau Dr. F. Deutsches Recht ist anwendbar.

Ströbele: Wäre das berichtenswert?

Schaar: Hätte man diskutieren müssen. Gab aber auch Äußerungen der Bundesregierung, die diese Rechtsauffassung auch vertraten.

Ströbele: Nicht nur Weitergabe: Erfassung, Verarbeitung, Filterung. Deutschem Recht unterworfen?

Schaar: ja.

Ströbele: Eikonal: gravierender Vorgang. Divergierende Auffassungen DTAG und BND. DTAG wollte gesetzliche Grundlage. BND: „Nein, weil Ausland-Ausland-Verkehr.“ Intervention des Kanzleramts: „Ist schon in Ordnung.“ Hätte DTAG sich an sie wenden sollen?

Schaar: DTAG hätte das gedurft, war aber nicht verpflichtet. Wurde an mich nicht herangetragen.

Ströbele: Projekt Eikonal war umstritten. BND hatte auch Probleme gesehen und Schwachstellenbericht angefordert. Hätten sie damit befasst werden müssen?

Schaar: Mit Sicherheit. Ich gehe davon aus, dass dort auch Dateien angelegt worden. Wenn das nicht unter G-10 fällt, fällt das unter BDSG und hätte eine Dateianordnung geben müssen, das hätte mir gesagt werden müssen. Wenn nicht geschehen, nicht in Ordnung.

Fragerunde 2: SPD (11:54)

Flisek: Fehlende Dateianordnung: Datenbank rechtswidrig?

Schaar: Nein. Aber Rechtmäßigkeit kann nicht überprüft werden. Gravierendes Problem.

Flisek: Müsste man rechtlich anders behandeln?

Schaar: Ja. Weil der Rechtsschutzgarantie ein enormer Wert zukommt. Ausnahmen müssen kompensiert werden durch Rechtsfolgen. gesetzlich Festlegung: Verletzung wichtiger Formvorlagen könnte Dateien rechtswidrig machen.

Flisek: Ihr Buch Überwachung total, S. 243: Ringtausch zwischen Deutschland und US-Diensten. „Innenpolitiker nehmen Praktiken in Kauf… Wiederholt behauptet, Aufklärung von Terror war nur durch Informationen möglich, die von USA kamen aber unzulässig erhalten haben.“ Hat Ringtausch stattgefunden? Haben sie Anhaltspunkte dafür?

Schaar: Völlig richtig zitiert. Habe mich ausdrücklich nicht auf interne Erkenntnisse gestützt. Habe internen keinen Beweis gefunden, dass massenhaft Daten ausgetauscht worden. Ringtausch-These plausibel, seit Echelon. Aber nie richtig justiziabel. Beziehe mich da aber auf Argumente wie: „Ohne Trojaner der USA hätten wir die Sauerlandgruppe nicht bekommen.“

Flisek: Indizien, aber keine Beweise?

Schaar: Ja. Problem ist, dass Snowden schon Fakten darstellt. Frage ist, ob die ausreichen, dass justiziabel bis zu Verurteilung zu belegen. Hätte man in einem Strafverfahren erklären können, ist nicht geschehen. Habe Generalbundesanwalt nicht zu kritisieren, auch wenn ich persönlich das sehr skeptisch finde. Letzter Beweis ist schwierig zu führen. In dem Sinne habe ich keine Beweise, aber starke Indizien.

Flisek: Wenn es so etwas gäbe, dann aber nicht massenhaft, sondern beschränkt und Einzelfallspezifisch?

Schaar: Nein. Gerade nach Eikonal würde ich fragen, ob Daten nicht systematischer ausgetauscht wurden. Drängt sich ja auch.

Flisek: Haben sich Whistleblower aus Geheimdiensten und Behörden an sie gewendet und Informationen gegeben?

Schaar: Ja, ab uns zu. Aber zu diesem Komplex nichts Substantielles. Habe auch keinen Kontakt zu Snowden.

Flisek: Haben sie Kontakte mit US-Datenschützern? Wie bewerten sie den Unterschied in der Auffassung zu Privatheit?

Schaar: Will keine generelle philosophische Debatte führen. Ja, sehr enger Kontakt zum Privacy and Civil Liberties Oversight Board. Sehr transparent. War in erster Sitzung als Gast geladen und habe erzählt, wie wir arbeiten. Teilweise bis heute persönlicher Kontakt. Manches an Kontrollmechanismen dort sogar besser als bei uns.

Flisek: Ausschuss sehr USA-fixiert. Falsche Namensgebung „NSA-Ausschuss“. Wie bewerten sie GCHQ, als EU-Mitglied?

Schaar: Natürlich zur Kenntnis genommen Nicht nur Medienberichte. Sogar Protokolle des Geheimdienst-Untersuchungsausschuss aus dem britischen Parlament öffentlich. Parlamentarier sagten: „Was wir kriegen können, nehmen wir auch.“ Problem, als EU-Mitglied in besonderem Kontakt zu uns. Vodafone ist britisches Unternehmen. Merkelphone war auch bei Vodafone. UK hat zwar Geltung der Europäischen Grundrechtecharta, ist aber auch in EU-Verträgen drin. Europäische Menschenrechtscharta ratifiziert, bald Urteil dazu. GCHQ nimmt sich heraus, Daten freizügig auszuwerten und weiterzugeben. Wieder Ringtausch. Plädiere dafür, gemeinsame EU-Standards zu finden.

Flisek: Ihre Tätigkeit bezog sich auf Daten mit Personenbezug. Betriebs- und Geschäftsgeheimnisse, Wirtschaftsspionage: Müssen diese Daten auch kontrolliert werden können? Gesetzgeberischer Handlungsbedarf?

Schaar: Weniger gesetzgeberisch als praktischer Handlungsbedarf. Sind ja geschützt. Befugnis der G-10-Kommission auch über Betriebs- und Geschäftsgeheimnisse. Aber kein Datenschutz-Thema in Deutschland, in Österreich und Schweiz schon. Kann man überlegen, bin kein Freund davon. Habe viele Anfragen aus der Wirtschaft, die besorgt waren. Auch GCHQ hat wirtschaftliches Wohlergehen des UK als Zweck. Wirtschaftsstandort Deutschland und Europa.

Fragerunde 3: Die Linke (12:14)

Renner: Juli 2013: Mangelnde Mitwirkung der Ministerien. Haben das beanstandet, BMI hat Beanstandung zurückgewiesen. Was wurde daraus?

Schaar: Haben Anfragen gestellt. Völlig unbeantwortet. Dann Nachfrage, ob auch G-10-Kommission tätig ist. Ich sagte: „Fragt die.“ Dann kam Hinweis, dass Informationen nicht herausgegeben werden dürfen, weil sie G-10 betreffen. Bundesregierung sagte, dass mich das nichts angeht. Streiter erklärte das in der Bundespressekonferenz. Haben Klagemöglichkeiten geprüft. Aber alle höchst unsicher und höchst langwierig. So lange ist dann überhaupt keine Überprüfung möglich. Also habe ich entschieden, doch nicht zu klagen. Gesprächsangebot des BMI war nur im Entwurf, habe ich nicht erhalten. Wir haben uns dann trotzdem zusammengesetzt.

Renner: Auch TK-Anbieter angeschrieben mit Fragen, wir haben auch die Antworten. Da war nicht bekannt, dass TK-Anbieter auch durch Datenerfassung des BND verpflichtet wurden, die dann an NSA/CIA gingen. Wie bewerten sie die damaligen Antworten aus heutiger Sicht?

Schaar: Kann nicht nicht sehr detailliert sagen. Habe das Schreiben nicht mehr genau angeguckt seitdem. Aber alle Unternehmen sagten: halten uns an deutsches Recht, machen natürlich G-10-Maßnahmen, aber nichts anderes, geben nichts an andere Dienste. Über Töchter- und Mütter-Gesellschaften im Ausland dürfen wir nichts sagen. gab aber Prüfungen auch bei TK-Anbietern, Mitarbeiter haben aber nichts handfestes feststellen können.

Renner: Hat die DTAG auch die Räume des BND gezeigt?

Schaar: Bin nicht einmal sicher, ob wir DTAG überprüft haben, glaube wir waren nicht da.

Renner: Gab Brief und Jour fixe mit TK-Unternehmen. Waren sie da?

Schaar: Nicht persönlich.

Renner: Was kam heraus?

Schaar: Fragen, wie man Routing anders gestalten kann. Datenpakete Deutschland oder Europa gar nicht verlassen. Unterschiedliche Positionen sichtbar. Technisch möglich, kostet aber mehr. Lange diskutiert, wie das geschäftlich vernünftig nicht. Halte das auch nur für begrenzt sinnvoll. Lokalisierung von Datenbeständen. Cloud ist risikobehaftet, Coud-Server in USA mit deutschen Daten ist sehr kritisch. Bin kein Fan der Balkanisierung des Internets. Aber Gesamtsystem muss überprüft werden.

Renner: Deutsche Töchter internationaler Konzerne. Thematisierten als Problem?

Schaar: Natürlich. Datenschutz als System verstehen, dass ein Abfluss irgendwo (im Ausland) reicht, und die Daten nicht geschützt sind. Solche Datenabflüsse darf es nicht geben.

Fragerunde 3: CDU/CSU (12:24)

Sensburg: Wie funktioniert G-10-Filterung?

Schaar: Bin nicht zuständig. Lese aber das, was öffentlich behauptet wird. Wird von abgestuftem Filtersystem geredet. Bei Paketvermittlung ist hundertprozentige Trennung nicht möglich. Filterung deutscher Grundrechtsträger wird versucht. Erfolg kann ich nicht sagen. Ist in anderen Ländern nicht anders. Niemals 100 Prozent. Denken sie an deutsche Grundrechtsträger, die Accounts bei amerikanischen Dienstleistern haben. Skype. Hartes Brot. Wie soll das funktionieren? Bin sicher, dass das nicht zu 100 Prozent klappen kann.

Sensburg: Kontrolle bei G-10-Kommission selbst fragen?

Schaar: Ja. War nie mein Bereich.

Fragerunde 3: Die Grünen (12:27)

Notz: Alte Denke passt nicht zum Internet. Nicht faktische Umgehung der G-10-Bestimmung, wenn deutsche Kommunikation bei ausländischen Unternehmen abgegriffen werden kann? Leerlauf der Bestimmungen?

Schaar: Richtig. Wenn ausländische Stellen das mit nationalen Gesetzen lesen kann (mit Begründung wie Deutschland: „Ist ja nur Transit.“), ist das ein zentraler Punkt. muss in größerem Rahmen kohärente Schutzmaßnahmen finden: EU oder weltweit. Carta für Menschenrechte, Zivilrechtspakt… Gleichmäßiger Grundrechtsschutz für alle.

Notz: Zumindest zwischen Rechtsstaaten.

Schaar: Ja, Nordkorea bringen wir nicht dazu. Aber auch USA und UK wird schwer.

Notz: BDSG: Schutz von Daten Minderjähriger. Strukturelles Defizit? Haben ja bessere Geheimdienstkontrolle von Bundesregierung gefordert, Brief 15.11.2013. Ist da etwas passiert?

Schaar: Ich kenne nicht alle Schritte der Bundesregierung. Manches öffentlich, manches nicht. Schutz Minderjährige nicht. Medial nur im Internet beachtet: Neue Vertragsregeln mit Non-Disclosure-Regeln.

Notz: Selbstschutz nicht schlecht, aber Schutz der Bürgerrechte…

Schaar: Muss allgemeines Recht werden, habe ja EU-Datenschutzverordnung angesprochen. Deutsche Unternehmen sollten vergleichbare Klauseln einbauen. Mechanischem der Datenschutzkontrolle verbessern, sehe das aber noch nicht.

Notz: Toter Winkel, blinder Fleck bei BfV und BND?

Schaar: Geheimdienstkontrolle (wie Datenschutzkontrolle) wird immer schwieriger. Bräuchten eine koordinierte Geheimdienstkontrolle nicht nur auf nationaler Ebene. Allererster Schritt könnte sein, sich stärker auszutauschen.

Notz: Haben sie sich für heute vorher mit BMI angesprochen?

Schaar: Nein.

Notz: Warum nicht?

Schaar: Warum sollte ich? Habe eine Aussagegenehmigung, Eingriff in meine Unabhängigkeit. BDSG wird ja geändert. Gab keinen Versuch, mich zu beeinflussen.

Notz: Kennen sie das Projekt „Globe“ (Anmerkung: auch „Glotaic“)?

Schaar: Nein.

Notz: Gab Berichterstattung dazu.

Fragerunde 3: SPD (12:36)

Keine Fragen.

Fragerunde 4: Die Linke (12:36)

Renner: Juni 2013 Referatsleiter für IT im BfDI schrieb ihnen: „NSA, GCHQ, PRISM ist doch nichts neues. Seit Aufbau Regierungsnetz 1996 Backdoors usw. bekannt.“ Wie klar war das, dass NSA Hardware kompromittiert?

Schaar: Erinnere mich genau an diese Mail, hatte mich gewundert. Mir war das in dieser Drastik nicht untergekommen. Gab zwar die Annahme, aber leider keinen Nachweis. „Wir IT-ler wissen schon Bescheid: Traue keinem.“ Gab ja Whistleblower und James Bamford. Vieles war bekannt, aber nicht allen, und nicht allen, die das hätten wissen müssen. E-Mail war dann auch Gegenstand persönlicher Gespräche.

Renner: Spiegel-Veröffentlichung zu Video-Kameras.

Schaar: Kenne ich nicht.

Renner: Haben sie BND und BfV mal auf so etwas aufmerksam gemacht?

Schaar: Habe natürlich mit Spitzenvertretern der Behörden geredet, die sagten, dass sie ihren Blick geändert haben: 360-Grad-Blick. War aber nicht konkret.

Renner: Der Spiegel 37/2013: CIA, Außenstelle Neuss, 09.09.2013: Geheime Einheit: „Projekt 6“ bringt deutsche Nachrichtendienste in Erklärungsnot.

Schaar: Hatte ich indirekt erwähnt als das Projekt, wo es keine Dateianordnung gab.

Renner: Haben sie das geprüft?

Schaar: Ja, aber da war das schon wieder vorbei und die Datei gelöscht.

Fragerunde 4: Die Grünen

Ströbele: Anti-Terror-Gesetze 2003: Kompetenzen geschaffen für G-10-Kommission auch für Bankinstitute zum Beispiel. Sie sagten, nachdem G-10-Kommission drin war, waren sie raus. Ist die Zuständigkeit ausschließlich?

Schaar: Ja, § 24 Abs. 2 Satz 2 BDSG: „Personenbezogene Daten, die der Kontrolle durch die Kommission nach § 15 des Artikel 10-Gesetzes unterliegen, unterliegen nicht der Kontrolle durch den Bundesbeauftragten.“ Das habe ich ihnen damals auch gesagt, das wurde leider nicht berücksichtigt.

Ströbele: Sie sind dann nicht mehr zuständig?

Schaar: Das steht im Gesetz.

Ströbele: Gibt neben Eikonal ja noch einen Vertrag zwischen BND und NSA. Müssen sie darüber informiert werden?

Schaar: Über konkreten Fall kann ich aus naheliegenden Gründen nichts sagen. Wenn Vertrag geschlossen wird, bei dem personenbezogene Daten übermittelt werden, ist das eine erhebliche Entscheidung, die dem BfDI laut Geschäftsordnung der Bundesregierung mitgeteilt werden müssen. Aber keine gesetzliche, proaktive Informationsverpflichtung.

Ströbele: Ist ein No-Spy-Abkommen auf EU-Ebene realistisch? Gemeinsames Gremium auf EU-Ebene?

Schaar: Gibt Möglichkeiten. Im Zweifel aber nicht aus europäischen Verträgen herleitbar, EU ist nicht für Geheimdienste zuständig. Man kann aber einen völkerrechtlichen Vertrag schließen. Aus dem Gedanken Europas heraus sind gemeinsame Mindeststandards sinnvoll.

Ströbele: Machen aber nicht alle mit.

Schaar: Nur eine Koalition der Willigen. Wenn drei das tun, ist es ein Anfang.

Fragerunde 4: SPD (12:51)

Keine Fragen.

Fragerunde 5: Die Linke (12:51)

Renner: Auch Liegenschaften ausländischer Streitkräfte sind deutsches Territorium, laut ihnen. Vielfältige untergesetzliche Regelungen, die Kontroll- und Zutrittsrechts deutscher Behörden hemmen. Sehen sie einen rechtlichen Novellierungsbedarf? Welche Möglichkeiten hat das BfDI? Haben Strafverfolgungsbehörden Zugriff?

Schaar: Habe das geprüft. BfDI durfte nicht in ausländische öffentliche Stellen. Selbst, wenn wir Zugang gehabt hätten, hätten wir nicht prüfen dürfen, mangels Kompetenz. Auch dort gilt deutsches Recht, Rechtsdurchsetzung aber ein Problem. Bei Kriminalität findet enge Kooperation statt. Gilt Bestimmungsrecht der Entsendestaaten. Müsste man Rechtslage ändern. NATO-Truppenstatut oder Zusatzprotokoll. Mit Aufhebung ist direkte Verpflichtung für Amtshilfe erloschen. Gibt keine Rechtsgrundlage, auch nicht für Abhörmaßnahmen. Rein faktisch aber schwierig zu verfolgen, siehe Merkelphone.

Renner: Danke.

Fragerunde 5: Die Grünen (12:55)

Notz: Filter bei Eikonal: Müsste BfDI nicht in Prüfung eingebunden sein? Welche Prüfkriterien müsste man stellen?

Schaar: Einbindung der BfDI nicht unabhängig von Kontrollstrukturen zu lösen. Im umfangreichen Kontrollsystem Parlamentarisches Kontrollgremium (PKGr), G-10-Kommission, BfDI: Bundesregierung könnte Strukturen schaffen zum Mitwirken. Wäre sinnvoll.

Notz: Arbeitsteilung?

Schaar: Organisation, wie geht das technisch. Deep-Packet-Inspection (DPI): In Datenpakete hineinschauen, tiefer Eingriff. Filter ohne DPI nicht zu machen. Großes Problem.

Notz: Danke.

Ströbele: Deutschland hat in Europa und weltweit einen guten Ruf zum Datenschutz. Echelon-Bericht bezeichnete deutsches Datenschutzrecht als vorbildlich. Können sie das bestätigen? Sollte Deutschland da Initiative zeigen?

Schaar: Deutschland ist das Land mit der längsten und intensivsten Datenschutztradition. Gibt aber auch Bereiche mit eher schwachem Datenschutz. Seit 2001 auch viele Einschränkungen. Heute Debatte zum Glück beruhigter, trotz der Ereignisse der letzten Tage. Aber wir sollten auch in die USA blicken. Im FISA-Court mit Freedom Act direkte Einbeziehung eines Anwalts des Datenschutzes oder der Bürgerrechte in Abhörmaßnahmen: sinnvoll! Könnte BfDI machen. Sehr gute Idee aus den USA, könnte man auch bei uns integrieren.

Ströbele: Danke.

Formalitäten: Vorsitzender (13:03)

Renner: Schaar hat zweimal gesagt, dass er etwas nur nicht-öffentlich kann.

Schaar: Glaube nicht, dass das hilft, ist teilweise streng geheim.

Sensburg: Eingestufte Sitzung. Beschlussvorschlag: Öffentlichkeit ausschließen. Beschlossen.

[13:05: Öffentliche Sitzung vorbei. Das war’s für uns. Danke für’s Lesen.]

13 Ergänzungen

  1. Ebenfalls großes Dankeschön für das Log. Mal eine Frage und eine kleine Bitte:
    Mir ist klar, dass der abgehackte Stil und die Typos dem Liveformat geschuldet sind. Besteht bei euch ein Bedarf, dass das jemand nachkorrigiert?

    Und hier die Bitte: Für Leser, die – wie ich – nicht immer alle erwähnten Behörden und Abkürzungen kennen, fände ich es super, wenn ihr vor jedem Log ein Abkürzungsverzeichnis mit den häufigsten und log-spezifischen Abkürzungen einfügen könntet.

    1. Danke für das Lob. Wir haben jetzt Typos gefixt, Rechtschreibung korrigiert, Formatierung gemacht, Abkürzungen erklärt und Links eingepflegt. Bitte habe Verständis, dass das nicht live geht, sondern wir das erst in der Nachbearbeitung machen können.

  2. Auch von meiner Seite ein herzlicher Dank für die Arbeit.
    Aus den Antworten von H. Schaar kann man sehr gut die Komplexität der Materie erkennen und welches Wissen insgesamt gefordert ist. Ich frage mich, wie will Frau Voßhoff als ausgewiesener Einstiegslaie jemals auf das für ihr Amt notwendige know-how kommen.

    1. Frau Vosshofs primaere Qualifikation war ihr Versorgungsnotstand nach Mandatsverlust und ihre vorherige Linientreue…

  3. Hmm, Gelder scheinen da ja nie unter der Hand den Besitzer gewechselt zu haben? Aber Deutschland hat auch einen guten Ruf, was Korruption angeht. Wenigstens etwas!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.