BundesverwaltungsgerichtBND-Metadatensammlung in Datenbank VerAS unzulässig

Der BND darf nicht einfach Kommunikationsmetadaten speichern und verwenden. Zu diesem Urteil kam das Bundesverwaltungsgericht. Es fehle die Rechtsgrundlage. Zunächst gilt das Urteil nur für die Kläger, aber es erteilt der Datensammlung des Geheimdiensts eine klare Absage.

Wer steht mit wem in Verbindung? Der BND sammelt all das – darf er aber nicht. – Alle Rechte vorbehalten William Bout

VerAS, kurz für Verkehrsanalysesystem, ist eine der großen Datenbanken des deutschen Auslandsgeheimdienstes BND. In ihr sammelt der Dienst Kommunikationsmetadaten aus Telefongesprächen mit dem Ausland – etwa wer mit wem wie lange telefoniert – und betreibt damit eine eigene Vorratsdatenspeicherung. Das Bundesverwaltungsgericht Leipzig erteilte dieser Speicherung nun eine Absage und urteilte, dass der BND keine Daten über Kommunikationsverkehre sammeln darf, die durch das Fernmeldegeheimnis aus Artikel 10 des Grundgesetzes geschützt sind.

Die Klage stammt von Anwalt Niko Härting, der Reporter ohne Grenzen vertritt. Die Journalistenorganisation wirft dem BND vor, Kommunikation mit ausländischen Partnern und Journalisten widerrechtlich zu erfassen.

Urteil gilt vorerst „nur“ für die Kläger

Laut dem Gericht habe der BND keine Gesetzesgrundlage, die ihm erlaubt, die Metadaten in VerAS zu erheben und zu verarbeiten. Es gebe zwar eine gesetzliche Grundlage für einen Eingriff ins Fernmeldegeheimnis, aber nur, um die Meta- und Inhaltsdaten „anhand von förmlich festgelegten inhaltlichen und formalen Suchbegriffen auszuwerten und so Erkenntnisse über den Inhalt von Telekommunikationsverkehren zu erhalten.“ Auch eine vermeintliche „Anonymisierung“ der Daten ändere daran nichts, abgesehen davon, dass es dem BND möglich ist, diese bei deutschen Nummerninhabern problemlos wieder aufzuheben.

Dennoch muss der BND VerAS vorerst nicht komplett abschaffen. Das Urteil gilt erst einmal nur für die Kläger von Reporter ohne Grenzen. Aber damit ist der Weg frei für weitere Rechtsmittel:

In diesem Fenster soll ein Twitter-Post wiedergeben werden. Hierbei fließen personenbezogene Daten von Dir an Twitter. Aus technischen Gründen muss zum Beispiel Deine IP-Adresse übermittelt werden. Twitter nutzt die Möglichkeit jedoch auch, um Dein Nutzungsverhalten mithilfe von Cookies oder anderen Tracking-Technologien zu Marktforschungs- und Marketingzwecken zu analysieren.

Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Abfluss deiner Daten an Twitter so lange, bis Du aktiv auf diesen Hinweis klickst. Technisch gesehen wird der Inhalt erst nach dem Klick eingebunden. Twitter betrachtet Deinen Klick als Einwilligung in die Nutzung deiner Daten. Weitere Informationen stellt Twitter hoffentlich in der Datenschutzerklärung bereit.

Zur Datenschutzerklärung von Twitter

Zur Datenschutzerklärung von netzpolitik.org

Metadaten verraten viel

Für VerAS braucht der BND gar keine Inhaltsdaten, denn auch die Umstände von Kommunikation verraten viel. So lassen sich Kommunikationsnetzwerke und Bewegungsprofile aufdecken und neue Selektoren gewinnen. Diese stellen eine Art Suchbegriffe dar, mithilfe derer der Geheimdienst Kommunikation rastern kann und Verkehre findet, deren Inhalt interessant sein könnte.

Dabei analysiert der BND nicht nur das direkte Kommunikationsnetzwerk einer verdächtigen Person – er geht mehrere Ebenen weiter. Das bedeutet, steht eine Person mit einer mutmaßlich geheimdienstlich relevanten Person in Kontakt, werden auch deren Netzwerke gerastert. Und die Netzwerke der Menschen in deren Netzwerken. Eine Begrenzung gibt es nicht.

Woher die Daten für VerAS stammen ist nicht vollständig nachvollziehbar. Zu den bekannten Quellen gehören abgehörte Satellitenverkehre und Internetleitungen und -knotenpunkte wie der DE-CIX in Frankfurt. 2015 gab es noch weitere Erkenntnisse, dass VerAS mehr kann als ursprünglich bekannt war: Aus von Wikileaks veröffentlichten BND-Akten ging hervor, dass VerAS mehr ist als eine einfache Datenbank:

Die Metadaten kann VerAS zudem jederzeit mit gegebenenfalls vorhandenen Gesprächsaufzeichnungen verknüpfen. Gelten Metadaten als verdächtig, kann VerAS die Gesprächsteilnehmer identifizieren und den Zugang zu Gesprächsinhalten erlauben.

Auch Bundesdatenschutzbeauftragte befand VerAS als unzulässig

Schon die Bundesdatenschutzbeauftragte Andrea Voßhoff hatte die Sammlung in VerAS kritisiert, wie ein von uns veröffentlichter geheimer Prüfbericht zeigt. Sie bemängelte, dass es keine Dateianordnungen und auch keine Einbeziehung ihrer Behörde gab.

In ihrem Bericht heißt es, der BND speichere und verarbeite „(insbesondere) auch personenbezogene Metadaten Unschuldiger und Unbeteiligter, die für seine Aufgabenerfüllung nicht erforderlich sind.“ Wie bei sechs weiteren Datensammlungen kam sie zu dem Ergebnis, der BND müsse die Daten „unverzüglich“ löschen und dürfe sie nicht weiter verwenden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Kurz vor Weihnachten eine gute Nachricht !

    Hoffentlich löst das darüber-liegende Gericht jetzt nicht wieder in der Revision auf, was das Bundesverwaltungsgericht in Leipzig geurteilt hat.
    Seit Edward Snowden’s verweigertem Zeugenschutz (war in 1. Instanz ja auch eine gute Nachricht…) und der Third-Party-Rule Selektoren-Geheimhaltung gegen Artikel 10 GG sind für mich ja gerade die obersten Richter in Karlsruhe so beunruhigend.

    Das Bundesverfassungsgericht in Karlsruhe hatte doch gegen RoG die Verfassungsbeschwerde gegen Überwachung überhaupt anzunehmen verweigert, weshalb diese dann vor den EU Menschenrechtsgerichtshof ziehen mussten: dort kann dieses aktuelle Urteil aus Leipzig gegen VERAS doch nun vielleicht helfen ?
    https://www.lto.de/recht/nachrichten/n/bverfg-az1bvr45617-bnd-ueberwachung-verfassungsbeschwerde-reporter-ohne-grenzen-unzulaessig/

  2. Na hoffentlich wird dann auch kontrolliert, dass sich der BND zukünftig auch an das Urteil hält. Dem Laden ist alles zuzutrauen.

    1. Der BND wird kontrolliert und der Storch bringt die Kinder.beides ist auf gleichem Glubwürdigkeitsniveau.

  3. Das ist schon irgendwie bescheuert, dass das jetzt zwar für RoG gilt (was zwar erst mal positiv ist), aber nicht für alle.
    Gibt es nun für Privatpersonen einen halbwegs einfachen Weg, sich dieses Recht auch einzufordern? Das wäre supertoll, wenn ihr dazu noch was schreiben/herausfinden könntet!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.