Kilian arbeitet bei der Stiftung Neue Verantwortung im Themenbereich Grundrechte, Überwachung und Demokratie. Er untersucht dort Reformansätze für eine demokratischere und effizientere Sicherheitspolitik in Deutschland und Europa.
Zu wenig Ressourcen, lückenhafte Kontrollmandate und ein unzureichender Zugang zu den Datenbanken und IT-Systemen der Spione: Bei der unabhängigen Kontrolle der Nachrichtendienste ist die Bundesrepublik im internationalen Vergleich abgehängt. Auch das Bundesverfassungsgericht fordert, dass sich bei der Kontrolle vieles ändern muss.
Im Mai erklärte das Karlsruher Gericht Teile des BND-Gesetzes für verfassungswidrig. Das Urteil macht deutlich, dass die Reichweite und Intensität von Überwachung eine völlig neue Dimension angenommen haben, da große Teile der heutigen Kommunikation digitalisiert sind.
Die Überwachungskontrolle konnte mit dieser Entwicklung nicht Schritt halten, daher hat sich die Kontrolldichte in den vergangenen 20 Jahren massiv verringert. Aufgrund des Urteils muss der Gesetzgeber das BND-Gesetz nachbessern und die jetzt eingeleitete Reform bietet die Gelegenheit, den Bundesnachrichtendienst endlich verfassungskonformen Regelungen zu unterwerfen, die unserer vernetzten Welt gerecht werden.
Der kürzlich bekannt gewordene Referentenentwurf zur Reform des BND-Gesetzes lässt jedoch zentrale und lang bekannte Kontrolldefizite ungelöst. Stattdessen beinhaltet er neue, sehr weitreichende Überwachungsbefugnisse.
Zahlreiche Beispiele aus anderen Ländern belegen, dass sich Kontrollstrukturen unabhängiger, effektiver und transparenter aufstellen lassen. Aufbauend auf Vergleichsstudien, die wir bei der Stiftung Neue Verantwortung mit Hilfe von europäischen Aufsichtsbehörden anfertigen konnten, machen wir sechs Vorschläge, wie der erste Entwurf zur BND-Reform mit Blick auf die Kontrolle verbessert werden kann.
1. Einheitliche, effiziente Strukturen schaffen
Die Nachrichtendienstkontrolle wird derzeit auf Bundesebene von acht grundverschiedenen Instanzen geschultert. Sicher kann eine gewisse Aufgabenteilung zwischen verschiedenen Kontrollbehörden sinnvoll sein, etwa zwischen der politischen Aufsicht durch gewählte Abgeordnete und der technischen Datenschutzkontrolle durch Fachbehörden. Doch das Potpourri an Kontrollgremien und deren inkonsistente Kontrollkompetenzen erschweren eine wirksame Aufsicht enorm.
Auch doppelte Kontrollen der Datenverarbeitung durch den Bundesdatenschutzbeauftragten und den nun vom Kanzleramt neu vorgeschlagenen „Unabhängigen Kontrollrat“ sind vor allem für den BND ineffizient. Schon allein aus Kostengründen sollten wir deshalb unnötige Parallelstrukturen vermeiden.
Kanada und Großbritannien haben ihre Geheimdienst-Reformen genutzt, um durchsetzungsstarke, zentrale Kontrollbehörden aufzubauen. Das steigert die Effizienz der Kontrolle, wenn zum Beispiel die dringend notwendige technische Kompetenz an einer Stelle gebündelt werden kann. Wir wären bei der Verschlankung der Strukturen einen entscheidenden Schritt weiter, wenn der Gesetzgeber die BND-Reform nutzt, um ein gut ausgestattetes, zentrales Gremium zu schaffen.
Konkret hieße das, den im Entwurf vorgesehenen „Unabhängigen Kontrollrat“ mit der bereits bestehenden, ehrenamtlichen G10-Kommission zu fusionieren. Auch der BND würde von einem einheitlicheren und damit effizienteren Genehmigungsprozess für seine Überwachungsmaßnahmen profitieren.
2. Einblick in alle Suchbegriffe garantieren
Bei gezielten Abhörmaßnahmen von Einzelpersonen muss ein Gericht die Überwachung genehmigen. Dieses Prinzip ließe sich auch auf die „strategische“, also massenhafte Kommunikationsüberwachung übertragen: Der BND erklärt schriftlich, welche Leitungswege er mit welchen Suchbegriffen überwachen will. Dieser Antrag wird dann von spezialisierten Richter:innen geprüft.
Als Suchbegriffe nutzt der BND zum Beispiel IP-Adressen, Telefonnummern, E-Mail-Adressen, andere technische Parameter oder auch inhaltliche Suchbegriffe. Wenn der geplante „Unabhängige Kontrollrat“ diese Suchbegriffe nicht einsehen kann, kann er sie auch nicht kontrollieren. Bisher sieht der Entwurf des Kanzleramts diesen Zugang an vielen Stellen nicht vor, sondern schließt ihn an manchen Stellen sogar explizit aus. Diese Kontrolllücken sollten im weiteren Gesetzgebungsverfahren geschlossen werden.
3. Genehmigungen für Datenanalysen vorsehen
Die Analyse von großen Mengen an Kommunikationsdaten wird immer komplexer und leistungsfähiger. Das hilft dem BND beispielsweise dabei, verschiedene Datensätze miteinander zu verknüpfen, um die für ihn interessanten Informationen herauszufiltern und daraus neue Suchbegriffe zu generieren. Daten zusammenzuführen ist aber auch enorm riskant, denn es entstehen neue Grundrechtseingriffe, die bei der ursprünglichen Erfassung der Daten noch nicht absehbar sind.
In Großbritannien und Frankreich wurden deshalb im Zuge der Reformen des Nachrichtendienstrechts sogenannte „Examination Warrants“ eingeführt. Wenn der britische Nachrichtendienst GCHQ Massendaten auswerten will, muss er sich zuerst die geplante Datennutzung und die vorgesehenen Datenauswertungsmethoden genehmigen lassen. Hochrangige Richter:innen prüfen dann diese Datenanalyse-Anordnungen.
Solche Vorab-Prüfungen für die Datennutzung fehlen im Entwurf des Kanzleramts. Das erzeugt ein Kontrollvakuum, insbesondere für „unselektierte“, also nicht auf Basis von Suchbegriffen erhobene Daten. Denn wenn beim Sammeln der Daten keine Suchbegriffe eingesetzt werden, sondern ein kompletter Datenstrom ausgeleitet oder von einem Unternehmen oder einem anderen Geheimdienst bereitgestellt wird, bekommen die Kontrolleur:innen im Zweifel nichts davon mit.
4. Kontrollierbare Grenzen setzen
Damit die Überwachung des BND nicht „unbeschränkt“ ist, will das Kanzleramt dem Referentenentwurf zufolge das Volumen der Ausland-Fernmeldeaufklärung auf „nicht mehr als fünfzig Prozent der bestehenden Telekommunikationsnetze“ begrenzen. Was so eine vermeintliche Begrenzung auf die Hälfte der Übertragungskapazität aller global bestehenden Telekommunikationsnetze bewirken soll, bleibt leider unklar. Die finanziellen und technischen Kapazitäten des BND, Datenströme zu erfassen, dürften schon wesentlich früher ausgeschöpft sein.
Es liegt die Vermutung nahe, dass hier auf dem Papier bewusst die Beschränkung zu hoch angesetzt wurde. In der Praxis kann sie dadurch keine Wirkung entfalten. Deutlich besser funktionieren überprüfbare Kriterien, wie etwa die Vorgabe, dass Suchbegriffe nicht dazu verwendet werden dürfen, den gesamten Telekommunikationsverkehr einer Person zu überwachen. Das ist im Referentenentwurf aktuell so vorgesehen. Auch hierfür gilt: Die Kontrolleur:innen müssen Zugang zu allen Suchbegriffen haben, um das überprüfen zu können.
5. Daten-Schlupflöcher schließen
Das Bundeskanzleramt bezieht sich in seinem Entwurf an den entscheidenden Stellen ausschließlich auf „personenbezogene Daten“. Es geht dabei davon aus, dass ein großer Teil der Verkehrsdaten, also zum Beispiel der Zeitpunkt eines Anrufs oder die Bezeichnung der Funkzelle, in der die betreffenden Handys eingewählt sind, keinen Personenbezug aufweisen.
Diese Unterscheidung ignoriert jedoch, dass diesen Daten gerade bei der strategischen Überwachung eine zentrale Rolle zukommt. Selbst wenn bestimmte Verkehrsdaten allein nicht direkt eine Person identifizierbar machen, können sie im Zeitverlauf und im Zusammenspiel mit anderen Daten genauso viel oder sogar noch mehr über eine Person oder Gruppe aussagen als Kommunikationsinhalte. Dies trifft beispielsweise für die Untersuchung von Beziehungen zwischen Personen und deren Aufenthaltsorte zu.
Oft ist in der Praxis gar nicht eindeutig zu bestimmen, wo Inhalt anfängt und „Personenbezug“ aufhört. Beispielsweise transportiert der Betreff einer E-Mail sicherlich Kommunikationsinhalt, wird aber typischerweise als Metadatum betrachtet. Das schafft viel Raum für kreative Rechtsauslegungen, wie wir sie vom BND zur Genüge kennen.
Das niederländische Nachrichtendienstrecht hat daher die Unterscheidung zwischen Verkehrs- und Inhaltsdaten, beziehungsweise personenbezogenen Daten und „reinen Sachdaten“ gänzlich verworfen. Es verwendet stattdessen einheitliche Schutzvorschriften für alle Datenarten. Gerade Metadaten, auch wenn sie mitunter nicht im engeren Sinne personenbezogen sind, haben Grundrechtsrelevanz.
6. Wirksame Sanktionen ermöglichen
Die Durchsetzung von Datenschutzregeln und Kontrollmaßnahmen lebt auch von den erwartbaren Konsequenzen. So wie Parkverbote oft erst mit der Einführung von Bußgeldern eingehalten werden, brauchen auch die Kontrollbehörden des BND wirksame Sanktionsmöglichkeiten. Bisher ist nur ein Recht zur Beanstandung für sehr eng gefasste Teilbereiche vorgesehen.
Hier lohnt es sich, über weitere Instrumente nachzudenken, etwa die Option, bestimmte Formen der Datenverarbeitung zu untersagen, wie es im Datenschutzrecht möglich ist, oder disziplinarische Maßnahmen bei individuellem Datenmissbrauch einzuführen.
Es muss nachgebessert werden
Das Kanzleramt hat eine Minimallösung vorgelegt, die die Grenzen der verfassungsrechtlichen Vorgaben ausreizt und sie teilweise sogar ignoriert. Wo bleibt da der Anspruch der Bundesregierung, selbst gute Standards für Rechtsstaatlichkeit und Grundrechtsschutz zu setzen? Die Reform bietet die Gelegenheit, Regeln mit internationaler Signalwirkung zu schaffen. Nur dort halbherzig und im Schnelldurchlauf nachzujustieren, wo Richter:innen rote Linien ziehen, wäre eine gesetzgeberische Bankrotterklärung. Bisher lässt der Entwurf viele Kontrolllücken offen und schafft es nicht, das Kontroll-Wirrwarr rund um den BND klar zu regeln.
Wenn die Bundesregierung erneute Klagen gegen das BND-Gesetz vermeiden will, sollte sie sich überlegen, ob sie die Reform auf der aktuellen Grundlage fortsetzen möchte. Es bliebe genug Zeit, um grundlegende Weichen für mehr Menschenrechtsschutz zu stellen. Eine solch umfassende Reformmöglichkeit bietet sich selten. Deswegen muss jetzt gelten: Sorgfalt geht vor Schnelligkeit.
7. Echter Whistleblowerschutz.
—
zitiert aus Kleine Anfrage Bundestag 19/21649 zur Umsetzung der EU-Whistleblower-Richtlinie: „Der sachliche Anwendungsbereich der Richtlinie ist wegen der begrenzten Kompetenzen der EU auf Verstöße gegen bestimmte EU-Rechtsakte beschränkt. … Zudem sind einige Rechtsbereiche durch Artikel 4 der Hinweisgeber-Richtlinie explizit von ihrem Anwendungsbereich ausgenommen. Dazu zählt auch der Bereich der nationalen Sicherheit. Bekannte hinweisgebende Personen aus diesem Bereich wie Chelsea Manning oder Edward Snowden wären folglich nicht durch die Richtlinie geschützt. Aus den Medien ist bekannt geworden, dass die Bundesregierung erwägt, den sachlichen Anwendungsbereich der Richtlinie unverändert zu lassen, was auch unter dem Begriff der „Eins-zu-Eins-Umsetzung“ diskutiert wird (Hanna Gersmann, Zurückgepfiffen: Wirtschaftsministerium torpe-diert Schutz von Whistleblowern, in: Frankfurter Rundschau vom 17. April 2020)“