VerAS, kurz für Verkehrsanalysesystem, ist eine der großen Datenbanken des deutschen Auslandsgeheimdienstes BND. In ihr sammelt der Dienst Kommunikationsmetadaten aus Telefongesprächen mit dem Ausland – etwa wer mit wem wie lange telefoniert – und betreibt damit eine eigene Vorratsdatenspeicherung. Das Bundesverwaltungsgericht Leipzig erteilte dieser Speicherung nun eine Absage und urteilte, dass der BND keine Daten über Kommunikationsverkehre sammeln darf, die durch das Fernmeldegeheimnis aus Artikel 10 des Grundgesetzes geschützt sind.
Die Klage stammt von Anwalt Niko Härting, der Reporter ohne Grenzen vertritt. Die Journalistenorganisation wirft dem BND vor, Kommunikation mit ausländischen Partnern und Journalisten widerrechtlich zu erfassen.
Urteil gilt vorerst „nur“ für die Kläger
Laut dem Gericht habe der BND keine Gesetzesgrundlage, die ihm erlaubt, die Metadaten in VerAS zu erheben und zu verarbeiten. Es gebe zwar eine gesetzliche Grundlage für einen Eingriff ins Fernmeldegeheimnis, aber nur, um die Meta- und Inhaltsdaten „anhand von förmlich festgelegten inhaltlichen und formalen Suchbegriffen auszuwerten und so Erkenntnisse über den Inhalt von Telekommunikationsverkehren zu erhalten.“ Auch eine vermeintliche „Anonymisierung“ der Daten ändere daran nichts, abgesehen davon, dass es dem BND möglich ist, diese bei deutschen Nummerninhabern problemlos wieder aufzuheben.
Dennoch muss der BND VerAS vorerst nicht komplett abschaffen. Das Urteil gilt erst einmal nur für die Kläger von Reporter ohne Grenzen. Aber damit ist der Weg frei für weitere Rechtsmittel:
Metadaten verraten viel
Für VerAS braucht der BND gar keine Inhaltsdaten, denn auch die Umstände von Kommunikation verraten viel. So lassen sich Kommunikationsnetzwerke und Bewegungsprofile aufdecken und neue Selektoren gewinnen. Diese stellen eine Art Suchbegriffe dar, mithilfe derer der Geheimdienst Kommunikation rastern kann und Verkehre findet, deren Inhalt interessant sein könnte.
Dabei analysiert der BND nicht nur das direkte Kommunikationsnetzwerk einer verdächtigen Person – er geht mehrere Ebenen weiter. Das bedeutet, steht eine Person mit einer mutmaßlich geheimdienstlich relevanten Person in Kontakt, werden auch deren Netzwerke gerastert. Und die Netzwerke der Menschen in deren Netzwerken. Eine Begrenzung gibt es nicht.
Woher die Daten für VerAS stammen ist nicht vollständig nachvollziehbar. Zu den bekannten Quellen gehören abgehörte Satellitenverkehre und Internetleitungen und ‑knotenpunkte wie der DE-CIX in Frankfurt. 2015 gab es noch weitere Erkenntnisse, dass VerAS mehr kann als ursprünglich bekannt war: Aus von Wikileaks veröffentlichten BND-Akten ging hervor, dass VerAS mehr ist als eine einfache Datenbank:
Die Metadaten kann VerAS zudem jederzeit mit gegebenenfalls vorhandenen Gesprächsaufzeichnungen verknüpfen. Gelten Metadaten als verdächtig, kann VerAS die Gesprächsteilnehmer identifizieren und den Zugang zu Gesprächsinhalten erlauben.
Auch Bundesdatenschutzbeauftragte befand VerAS als unzulässig
Schon die Bundesdatenschutzbeauftragte Andrea Voßhoff hatte die Sammlung in VerAS kritisiert, wie ein von uns veröffentlichter geheimer Prüfbericht zeigt. Sie bemängelte, dass es keine Dateianordnungen und auch keine Einbeziehung ihrer Behörde gab.
In ihrem Bericht heißt es, der BND speichere und verarbeite „(insbesondere) auch personenbezogene Metadaten Unschuldiger und Unbeteiligter, die für seine Aufgabenerfüllung nicht erforderlich sind.“ Wie bei sechs weiteren Datensammlungen kam sie zu dem Ergebnis, der BND müsse die Daten „unverzüglich“ löschen und dürfe sie nicht weiter verwenden.