Das Haus von Innenminister Alexander Dobrindt (CSU) hat gerade einen Entwurf für eine tiefgreifende Geheimdienstreform vorgelegt. Das Bundesamt für Verfassungsschutz und der Bundesnachrichtendienst sollen weitreichende neue Befugnisse bekommen und auch technisch aufrüsten, etwa bei staatlichem Hacking, KI und Videoüberwachung.
Nach einer anderen Form der Überwachung sucht man im Gesetzestext jedoch vergeblich: Die Überwachung mit kommerziell gehandelten Daten. Insbesondere Daten, die angeblich nur für Werbezwecke gesammelt werden, sind inzwischen zur Handelsware geworden. Databroker haben beispielsweise metergenaue Standortdaten von Smartphones im Angebot. Auch Informationen zu Vorlieben von Personen oder ihrem Online-Verhalten lassen sich erwerben.
Der Fachbegriff für Überwachung auf Grundlage von Werbedaten ist ADINT. Der Begriff steht für Advertising-Based Intelligence, also werbebasierte Aufklärung, und taucht lediglich in der Begründung für das neue BND-Gesetz auf. Expert*innen sehen darin den Hinweis, dass deutsche Dienste durchaus ADINT nutzen könnten – allerdings ohne saubere Rechtsgrundlage.
Staatliche Überwachung mit kommerziellen Daten
Recherchen von netzpolitik.org und dem Bayerischen Rundfunk zeigen seit 2024, dass sich mit Standortdaten aus der Werbeindustrie auch hochrangige Beamte der Bundesregierung und der EU-Kommission, NATO-Militärstützpunkte und sogar Mitarbeitende von Geheimdiensten ausspionieren lassen.
Seit Längerem ist bekannt, dass US-Behörden wie das FBI oder die Abschiebe-Miliz ICE ADINT einsetzen. Zuletzt hatten Recherchen aufgedeckt, dass auch die ungarische und die österreichische Regierung Produkte eines ADINT-Dienstleisters erworben haben. Die Bundesregierung hatte Fragen von Journalist:innen dazu in der Vergangenheit nicht beantwortet.
Strittig ist, ob die Nutzung von ADINT-Daten durch deutsche Geheimdienste legal wäre. Ein Gutachten der Wissenschaftlichen Dienste des Bundestages weckte daran Zweifel. Auch die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider und andere Expert:innen hatten wiederholt betont, dass es dafür eine ausdrückliche Grundlage im Gesetz brauche. Staatliche Stellen könnten sich nicht auf allgemeine Generalklauseln stützen, die es ihnen erlauben, Daten zu erheben.
Eingeständnis durch die Hintertür?
Eine klare Regelung für Datenkäufe konnte auch die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) im neuen Gesetzentwurf nicht finden. Behördensprecher Karsten Füllhaase erklärt auf Anfrage von netzpolitik.org:
Schwarz-Rot will die Informationsfreiheit beschneiden.
Wir kämpfen für Transparenz. Mit deiner Unterstützung.
Der aktuelle Gesetzesentwurf enthält weder für das Bundesamt für Verfassungsschutz (BfV) noch für den Bundesnachrichtendienst (BND) eine explizite Rechtsgrundlage für den Ankauf und die Nutzung kommerzieller Daten, insbesondere von Werbedatenbanken. Die Bundesregierung stützt bereits nach der aktuell geltenden Rechtslage den Datenkauf auf die Generalklauseln nach § 8 Bundesverfassungsschutzgesetz bzw. § 5 BND-Gesetz. Diese Normen werden durch den vorgelegten Gesetzentwurf nur unwesentlich geändert.
Dennoch taucht das Wort „ADINT“ im Gesetzentwurf auf, und zwar in den Erläuterungen zu Paragraf 88 des neuen BND-Gesetzes. Dort geht es darum, unter welchen Bedingungen der deutsche Auslandsgeheimdienst Daten an andere Stellen weitergeben darf. Zitat: „Unter diese Norm fällt auch die Übermittlung von angekauften Datensammlungen z.B. von umfänglichen Werbedaten (sog. ADINT-Daten), oder von im Internet verfügbaren Datenleaks.“
Solche Daten können dem Entwurf zufolge auch automatisiert und in Gänze an andere übermittelt werden. Die Vermutung liegt nahe: Darf der BND solche Daten weitergeben, dann geht die Bundesregierung offenbar auch davon aus, dass er sie haben kann – und möglicherweise auch erwerben.
Auch an anderen Stellen taucht Ankauf von Daten in der Begründung des Gesetzes auf. „Damit wird deutlich, dass es sich um einen üblichen modus operandi des BND handelt“, schlussfolgert der Jurist Peter Schantz. Der ehemalige Ministerialdirektor im Bundesjustizministerium hat eine Stellungnahme zum Gesetzentwurf verfasst und kritisiert darin das Fehlen einer gesetzlichen Regelung. Für notwendig hält er sie unter anderem deshalb, weil Dienste auch sensible Daten kaufen könnten.
Bundesdatenschutzbeauftragte kritisiert Entwurf
„Hätte der Staat diese Daten auch selbst erheben dürfen?“ Diese Frage nach dem sogenannten “hypothetischen Ersatzeingriff“ müsse sich der Gesetzgeber stellen, so Schantz. Dabei müsse berücksichtigt werden, ob die Verkäufer die Daten selbst überhaupt rechtmäßig verarbeiten.
Im Fall von Werbedaten bezweifeln viele Fachleute – von Datenschutzbehörden über Jurist*innen bis hin zum Verbraucherschutzministerium –, dass deren Verarbeitung und Verkauf durch Databroker legal ist. Ursprünglich wurden die Daten in der Regel für Werbezwecke erhoben, nicht für Datenhandel oder Überwachung; die Einwilligung der Betroffenen kann allein deshalb nicht wirksam sein.
Auch die Bundesdatenschutzbeauftragte ist der Auffassung, „dass die Nutzung kommerzieller Werbedaten einer inhaltlich bestimmten und normenklaren gesetzlichen Ermächtigungsgrundlage bedarf“, erklärt deren Sprecher. Er weist auf das „potentiell sehr hohe Eingriffsgewicht“ der Überwachung mit Werbedaten hin. Das erfordere nach Auffassung der BfDI „verfassungsrechtlich neben erhöhten Anforderungen an Zweckbindung und Dokumentation auch ausreichende Kontrollmechanismen“. Schließlich würden die Maßnahmen heimlich erfolgen und betroffenen Menschen wäre eine nachträgliche Rechtsverfolgung kaum möglich. Der vorgelegte Gesetzentwurf erfülle diese Anforderungen nicht.
Ähnlich argumentiert Jurist Schantz: Kontrolle und Rechtsschutz müssten gewährleistet sein. Ihm zufolge müsse einbezogen werden, welcher Personenkreis betroffen ist, schließlich enthalten Pakete von Databrokern oft Daten über Millionen Menschen. Es drohe „die Umgehung der gesetzlichen und verfassungsrechtlichen Eingriffsvoraussetzungen, die an die staatliche Datenerhebung zu stellen wären“, warnt er.
In Großbritannien werden Datenkäufe kontrolliert
Politikwissenschaftler Thorsten Wetzling von der Stiftung Interface kritisiert den Gesetzentwurf mit Blick auf ADINT ebenso als unzureichend. Er und sein Co-Autor Corbinian Ruckerbauer gehörten zu den ersten, die in Deutschland den Blick auf die „Informationsbeschaffung mit der Kreditkarte“ gelenkt haben.
„Die Regierung pocht weiterhin auf größtmögliche Beinfreiheit bei ihren Datenkäufen“, kommentiert Wetzling heute. Andere Länder würden das anders handhaben. Ein Beispiel sei das Vereinigte Königreich, „wo zumindest ein Genehmigungsverfahren unter Beteiligung der unabhängigen Rechtskontrolle erforderlich wird, wenn ein Nachrichtendienst dort gekaufte Daten in seine eigenen IT-Systeme einverleiben will.“
In Deutschland hingegen sei bisher nicht geplant, dass der Unabhängige Kontrollrat auch bei der kommerziellen Datenbeschaffung tätig wird. Die Bundesbehörde soll bei der Kontrolle der Geheimdienste künftig grundsätzlich wichtiger werden – aber nicht im Bereich ADINT. Wetzling zufolge müsste der Kontrollrat eigentlich Verträge mit privaten Dienstleistern vor Kaufentscheidungen sichten dürfen oder die Nutzung gekaufter Daten in den Systemen des BND genehmigen.
Der Staat müsse nachrichtendienstliche Datenkäufe stärker begrenzen und wirksamer kontrollieren, sagt der Forscher. Dafür sprächen „gewichtige Argumente des Grundrechtsschutzes, aber auch der nationalen Sicherheit“, so Wetzling mit Blick auf das Gutachten der Wissenschaftlichen Dienste des Bundestages. Sie hätten hervorgehoben, dass „beim Ankauf von Daten aus Werbedatenbanken eine besondere Gefahr von Eingriffen in den Kernbereich der privaten Lebensgestaltung“ besteht und das „Erfordernis ausdrücklicher gesetzlicher Schutzvorkehrungen“ ins Spiel gebracht.
Keine harmlosen Daten
Kritik haben die Fachleute an einem weiteren Aspekt: In der Begründung für das Gesetz stellt das Innenministerium ADINT in Zusammenhang mit „allgemein zugänglichen Quellen“. Forscher Wetzling und Jurist Schantz finden das nicht überzeugend.
„Offenbar werden die Daten als wenig sensibel eingestuft, weil fälschlich angenommen wird, sie seien allgemein zugänglich“, schreibt Jurist Schantz in seiner Stellungnahme. Dies sei erstens nicht zutreffend, weil sie zwar käuflich seien, aber nicht frei abrufbar. Zweitens seien auch allgemein zugängliche Daten nicht per se schutzlos.
„Unverfroren“ findet das Thorsten Wetzling von Interface. Einerseits gebe es „den millionenfachen Ankauf von Datensätzen mit erstaunlich granularen personenbezogenen Daten“, andererseits offen zugängliche Infos wie Presseveröffentlichungen. Die Bundesregierung setze das gleich. ADINT stelle jedoch einen grundlegenden Paradigmenwechsel in der nachrichtendienstlichen Informationsbeschaffung dar. Dass dieser „verzwergt“, also kleingeredet werden soll, ist Wetzling zufolge „nicht vertrauensfördernd“.

Schreibe eine Ergänzung!