„10 Jahre Netzpolitik!“ Der Stream

Jetzt beginnt die 16. Sitzung des Untersuchungsausschusses zur weltweiten Totalüberwachung („NSA-Untersuchungsausschuss“) im Deutschen Bundestag. Zum sechsten Mal gibt es eine öffentliche Anhörung. Wir sitzen wie immer drin und bloggen live.

Die Zeugen diesmal sind „Frau RDn Dr. F.“ sowie „A. F.“, beide vom Bundesnachrichtendienst. Wie beim letzten Mal werden die Zeugen nur mit Initialen genannt und nur ein Teil der Anhörung ist öffentlich. Wie wir hören, ähnelt auch die Aussagegenehmigung der von letztem Mal, die mehr Verbote als Genehmigungen enthält und eher die Beschreibung „Nichtaussagegenehmigung“ verdient. Zudem ist wieder der bekannte Anwalt Johannes „Jonny“ Eisenberg als Rechtbeistand für die BND-Mitarbeiter dabei.

Gliederung

• Gliederung
• Disclaimer
• Verschiebung und Pressestatements
• Zeugin 1: Regierungsdirektorin Dr. H. F., Bundesnachrichtendienst
  1. Fragerunde: Sensburg, Vorsitzender
  2. Fragerunde 1: Die Linke, SPD, Bündnis 90/Die Grünen
  3. Fragerunde 2: CDU , Die Linke, CDU, Bündnis 90/Die Grünen, SPD
  4. Fragerunde 3: Die Linke, CDU/CSU, Bündnis 90/Die Grünen, CDU/CSU
  5. Fragerunde 4: Die Linke, CDU/CSU, Bündnis 90/Die Grünen, SPD
  6. Fragerunde 5: Die Linke, CDU/CSU, Bündnis 90/Die Grünen, SPD
  7. Fragerunde 6: Die Linke, CDU/CSU, Bündnis 90/Die Grünen,
  8. Fragerunde 7: Die Linke, CDU/CSU, Bündnis 90/Die Grünen
• Ende

Disclaimer

Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder umfassende Korrektheit.

Wer uns unterstützen möchte, darf gerne spenden.

Update: Auf WikiLeaks gibt’s auch das offizielle stenografische Protokoll als HTML und PDF.

Update: Das offizielle stenografische Protokoll gibt es auf bundestag.de als PDF (Mirror bei uns).

Verschiebung und Pressestatements

13:30: Statt 12 Uhr, wie angesetzt, soll es nun erst 14:30 losgehen. Vorher war die nicht-öffentliche, interne Sitzung des Ausschusses. Jetzt geben die Obleute Medien-Statements ab, danach namentliche Abstimmung im Plenum.

Kiesewetter (CDU): Einen Livestream braucht es nicht, es wird ja live getwittert und gebloggt.

Sensburg (Vorsitzender): Sachverständige dürfen entscheiden, ob sie gestreamt werden wollen. Zeugen werden standardmäßig nicht gestreamt, kann im Einzelfall anders entschieden werden, auf Antrag.

Die journalistische Leistung ihrer Berichterstattung ist exzellent. Sie unterstützen uns umfangreich, dafür danke ich ihnen herzlich.

13:45: Pause.

15:00: Es geht weiter. Ich habe einen eigenen Polizisten hinter mir sitzen, dessen Aufgabe es ist, mich zu beobachten. Laut Eigenauskunft ist sein Name Herr Meyer und seine Dienstnummer 122. Was soll das? Vor der Pause hatte Herr Sensburg noch unsere Leistung gelobt.

Einleitung: Patrick Sensburg, Vorsitzender

$Begrüßung

$Formalitäten.

Zeugin 1: Regierungsdirektorin Dr. H. F., Bundesnachrichtendienst

$Begrüßung

Mein Name ist H. F. Ich bin Volljuristin und seit neun Jahren beim BND. Seit zweieinhalb Jahren bin ich behördliche Datenschutzbeauftragte. Bin dem Präsidenten direkt unterstellt und weisungsfrei.

§ 4g Bundesdatenschutzgesetz (BDSG): Aufgaben des Beauftragten für den Datenschutz. Meine Aufgabe ist Mitarbeiterschulung und Überwachung der Einhaltung der Datenschutzrechtlichen Vorgaben. Rechtliche Prüfung und Bewertung von G‑10-Angelegenheiten ist nicht meine Aufgabe. Das macht ein anderes Referat.

Habe ein umfangreiches Schulungsprogramm entwickelt. Schulung für Mitarbeiter wurde dieses Jahr erstmals mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gemeinsam entwickelt/gemacht.

Ich mache regelmäßige Datenschutzkontrollen in unterschiedlichen Bereichen, Themen und Datenbanken. In den nächsten Monaten gibt es einen zweiten Datenschutz-Juristen.

Ein Schwerpunkt meiner Beratung ist aktuell bei der Abteilung „Technische Aufklärung“ (TA). Thema Datenschutz ist hier nicht in allen Bereichen in erforderlichem Maße präsent. Daher neues Projekt: „Datenlandschaft Abteilung Technische Aufklärung“.

Nicht für alle Datenbanken in Abteilung TA wurde förmliches Dateianordnungsverfahren durchgeführt, was BDSG aber erfordert. Dateizweck, Art der Daten, Personenkreis und Zugangsberechtigung sind zu testen. Prüfung muss durchgeführt werden. Bedarf dann Zustimmung des Bundeskanzleramts.

In zwei Fällen wurde das nicht durchgeführt. Das habe ich unmittelbar eingeleitet. In einem Fall sind wir in Debatte mit Bundeskanzleramt und BfDI. Im anderen Fall gibt es derzeit erst die interne BND-Abstimmung, danach weiteres Verfahren mit Kanzleramt und BfDI.

Wenn ich weitere Datenbanken entdecke, die das nicht gemacht haben, werde ich das Verfahren auch einleiten.

[…]

BND-Präsident hat entschieden, dass es sich bei Datenerhebung in Bad Aibling nicht um Erhebung im Rahmen des BND-Gesetzes handelt. Ausschließlich ausländisch, keine Datenerhebung im Inland. Daher kein BND-Gesetz in Deutschland. In Bad Aibling werden ausländische Satelliten(Afghanistan, Pakistan) abgehört, also Ausland. BND-Gesetz findet da keine Anwendung.

Ich habe eine andere Rechtsauffassung. Ich habe nur eine Beratungsfunktion. Die Leitung muss mir nicht folgen.

Auch wenn das BND-Gesetz in Bad Aibling nicht gilt, agiert der BND aber nicht im rechtsfreien Raum. Schutz der Menschenwürde und Willkürverbot und Verhältnismäßigkeitsgrundsatz gilt trotzdem. Alle in Datenbanken gespeicherten Informationen werden gleich behandelt.

Leitung sagt: „Erhebung in Bad Aibling und Nutzung der Daten sind außerhalb des BND-Gesetzes.“ Das wurde auch BfDI-Mitarbeitern beim Kontrollbesuch so gesagt. BfDI hat auch Aufklärer in Abteilung TA besucht. Auch XKeyscore wurde vorgeführt. Auch Filter (G‑10-Information-Ausfilterung) wurde gezeigt. Auskunftsersuchen des BfDI wurde in vollem Umfang entsprochen. Danach schriftliche Antwort auf Nachfragen. Keine Fragen der BfDI unbeantwortet.

BND hat zu keinen Zeitpunkt gegen Willen der BfDI Unterlagen zum Kontrollbesuch zurückgehalten (wie Zeit Online berichtet hat).

[Anmerkung: Jetzt kam Harald Georgii, Leiter des Ausschuss-Sekretariats zu mir. Ich werde nicht überwacht. Die Polizei achtet nur darauf, dass niemand filmt und streamt. Ich: „Aber er ist ja bei mir.“ Antwort: „Ihr Name ist halt bekannt.“]

[…]

Ich bitte um Verständnis, das ich nicht alle Fragen öffentlich beantworten darf.

Fragerunde: Sensburg, Vorsitzender

Sensburg: Frau Doktor F. Sie haben in Jura promoviert?

F.: Ja.

Sensburg: Thema Datenschutz?

F.: Nein, leider nicht.

Sensburg: Seit zweieinhalb Jahren in Pullach?

F.: Nein, Berlin

Sensburg: Was sind ihre technische Fähigkeiten? Haben sie Schulungen bekommen?

F.: Bin Juristin, damit technisch nicht vorgebildet. Lasse mir Datenbanken vorführen und Berichte anfertigen. Bin kein Informatikerin. Habe eine Technikerin im Team. Technische Aussagen muss ich glauben, kann ich nicht überprüfen.

Sensburg: Technikerin?

F.: Sachbearbeiterin.

Sensburg: Welche Datenbanken haben sie sich zeigen lassen?

F.: Hier nur Abteilung TA. Sehe ständig Datenbanken neu. Immer, wenn neue konzipiert werden. Wenn ich ordnungsgemäß eingebunden werden, dann schon in Konzeptions-Stadium.

Sensburg: Wenn?

F.: In mindestens zwei Fällen fand diese Einbindung nicht ordnungsgemäß statt. Könnte lange Liste an Datenbanken aufzählen. Kenne INBE (Inhaltliche Bearbeitung) und VERAS (Verkehrsananlysesystem), PBDB (Personenbezogene Datenbestände), mehrere kleine Anwendungen, hier nicht interessant.

Sensburg: Doch.

F.: E‑Mail-Zugangsdatenbank. Alle Datenbanken.

Sensburg: Wie funktioniert die Überprüfung?

F.: Ich bekomme eine „Anmeldung“ als Auftrag, Formular von meinem Bereich. Name der Datei, Zweck, welche Personen sollen gespeichert werden, wer soll Zugriff haben, Löschungsüberprüfungsmeschanismen implementiert, Schnittstellen zu anderen, Übermittlungen, Protokollierung. Wie fügt sich die DB in das Arbeitsprozedere der Abteilung ein. Das schriftlich, werte ich aus. Rückfragen. Ein, zweimal hin und her. Dann Inaugenscheinnahme. Lasse mir die Datenbank vorführen mit Dummy-Testdatensatz. Technischer Terminus ist „Datenschutzvorabkontrolle“.

Sensburg: Gibt es Fälle ohne Überprüfung?

F.: Ja, Datenbanken INBE und VERAS. Im Moment werden zwei weitere, kleine Datenbanken in Abteilung TA überprüft. Wahrscheinlich habe ich die auch noch nicht gesehen.

Sensburg: Warum?

F.: Keine Ahnung, war vor meiner Zeit. Ich vermute Unkenntnis.

Sensburg: Seit wann gibt es ihr Formular?

F.: Schon lange, ist nicht von mir.

Sensburg: Schulungen. Was noch, Rundmails?

F.: Gibt Mitteilungen, aber Schulungen besser geeignet. Will doppeltes Netz schaffen. Nicht nur Bedarfsträger, sondern auch technische Abteilung, die für Konzeption zuständig ist. Schulungen. Checkliste.

Sensburg: Was ist, wenn Software geupdated wird, wie XKeyscore?

F.: Ich kontrolliere das.

Sensburg: Wie viele Datenbanken hat der BND im Einsatz? 10? 100? 10.000?

F.: Um Gottes willen. Wir haben 25 Auftragsdatenbanken. Bei zwei gibt es Verfahren, zwei kommen eventuell noch dazu. Eventuell noch eine andere in anderer Abteilung (außerhalb TA.)

Sensburg: 25?

F.: Auftragsdatenbanken.

Sensburg: Was ist mit Zusammenführung/Verknüpfung existierender Datenbanken? Welche Probleme entstehen?

F.: Nur in wenigen Fällen gab es bei Zusammenführung Neues. Z.B.: Eine Datenbank zu Migration/Schleusung wurde zusammengeführt mit Proliferation.

Sensburg: Ich will nicht zu viel zu taktischem Fragen. Bremsen sie mich. Lagern die alle in Pullach? Welche Standorte haben die? Gibt es zentrale Server oder gespiegelte an Standorten.

F.: Da muss ich rückfragen.

Wolff, Bundeskanzleramt: Ich sehe zwei Probleme mit dieser Frage: Zusammenhang Untersuchungsgegenstand. Und Taktik.

Sensburg: Was wird in Bad Aibling erfasst?

F.: In Bad Aibling werden Daten von Satellitenerfassungsstellen erfasst. Nach G‑10-Filter in Systeme eingespeist. In welche Datenbanken die einlaufen,richtet sich nach Art der Informationen. Hier weiß ich die Methodik nicht. Metadaten aus Leitungen: VERAS. Inhaltsdaten: INBE.

Sensburg: Auch Daten deutscher Staatsbürger?

F.: INBE auch Deutsche Staatsbürger, ja.

Sensburg: Sie sind dafür aber nicht der richtige Ansprechpartner?

F.: Ja.

Sensburg: Wo findet nach ihrer Meinung die Datenerhebung bei Satelliten statt?

F.: Meine Rechtsauffassung: das ist in Bad Aibling, daher im Geltungsbereich des BND-Gesetzes. Sieht die Leitung aber nicht so.

Sensburg: Wo ist der juristische Dissens?

F.: Frage ist: ist Datenerhebung in Bad Aibling im Geltungsbereich des BND-Gesetzes?

Sensburg: Wie ist da die herrschende Meinung bei Fachpersonen?

F.: Das ist wohl in erster Linie im BND. Da bin ich überstimmt wurden.

[…]

Sensburg: In Bad Aibling werden auch Daten Deutscher erhoben. Also auch ggf. deutsche Kommunikation. Der letzte Zeuge sagte: nur ausländische Kommunikation wird erfasst. Funktionsweise G‑10-Filter?

F.: Bin ich kein Experte. Mehrstufiger Filterprozess. Es gibt nicht den Filter, Filter ist bei E‑Mail anders als bei Telefonie. Richtet sich auch nach Erfassungsstrang, also Satellit ist anders als Kabel.

Sensburg: Wenn ich in Afghanistan von einer Mail mit .de sende, wird die herausgefiltert?

F.: Meines Erachtens ja.

Wolff, Bundeskanzleramt: Das ist zu konkret für die Öffentlichkeit.

Sensburg: Wie war Zusammenarbeit mit ausländischen Diensten?

F.: War kein Thema bei dir. Ich war zuständig für Erhebung.

Sensburg: Weitergabe wäre ein Thema?

F.: Ja.

Sensburg: Bisher gab es keine Weitergabe?

F.: Wurde nicht an meinen Themenbereich herangetragen. Ist ja ein neues Thema, Novum.

Sensburg: Wenn das BND-Gesetz in Bad Aibling nicht gilt, gilt dann das BDSG?

F.: Ja.

Sensburg: Der Präsident sagt nicht, dass das ganze BND-Gesetz nicht gilt, sondern nur § 2 ff. BND-Gesetz (Befugnisse) gelten nicht. Spezialgesetzliche Regelungen gehen vor BDSG und verdrängen es.

Sensburg: Strategische Fernmeldeaufklärung. Rohdatengewinnung. DE-CIX. Wurden solche Daten gewonnen?

F.: Habe ich nichts zu sagen. Bin ich nicht eingebunden worden, war deutlich vor meiner Zeit.

Sensburg: Was sagt ihnen „Operation Eikonal“?

F.: Das von der Presse. War ich nicht eingebunden. Mir wurde gesagt, das Pressedarstellung falsch ist, weil keine G‑10-Daten weitergegeben wurden.

Sensburg: Wenn der BND Daten speichert ist Thema, Weitergabe ist Thema, wie gewährleisten sie ordnungsgemäße Weitergabe?

F.: Unterschiedliche Arten der Weitergabe: Inland, Ausland, Privatwirtschaft. Klare gesetzliche Regelungen. Gibt es umfangreiche Schulungen durch das Justiziariat.

Fragerunde 1: Die Linke

Martina Renner: Waren sie auch mal bei technischer Aufklärung?

F.: Nein, zu keinem Zeitpunkt.

Renner: Welche Rechtsfolge hat fehlende Anordnung für diese Dateien?

F.: Formaler Verstoß gegen § 6 BDSG (Rechte des Betroffenen).

Renner: Müssen dann erhobene Daten gelöscht werden?

F.: Nein, war nur formelle Nichteinhaltung. Habe mir die Dateien nach Bekanntwerden vorführen lassen. Sehen ganz gut aus.

Renner: VERAS?

F.: INBE.

Renner: In sehr hohem Fall entsprochen. Wo nicht?

F.: Protokollierung. Dauer von Protokolldaten. Keine klare Regelung. Gewartet bis Speicher voll lief. So nach 12–15 Monaten. Klingt schlimm, ist aber in anderen 12–24 Monate. Jetzt 24 Monate.

Renner: Umfang INBE pro Zeiteinheit?

F.: Kann ich nicht sagen.

Renner: Prüfen sie das nicht?

F.: Ich prüfe ab einem personenbezogenen Datum. Ob 10 oder 30.000 ist egal.

Renner: Bei Zweck spielt das aber eine Rolle.

F.: Zweck regelt Ziel der Datenbank.

Renner: Aber Verhältnismäßigkeit spielt doch Rolle. Also wie viel?

F.: Verhältnismäßigkeit war in anderem Zusammenhang. Nicht Zweck. Das muss insgesamt sein.

Renner: Für uns ist das aber relevant. Das ist mir überlassen.- Welche Datenmengen?

F.: Mehrere hunderttausend Daten insgesamt aktueller Bestand.

Renner: Ist INBE Nachfolger von MIRA4?

F.: Ja.

Renner: Und VERAS?

F.: Weiß ich nicht genau, wahrscheinlich mehr als INBE.

Renner: Eine Million, 10 Million?

F.: Weiß ich nicht.

Renner: VERAS fügt Kontakte zu erhobenen Daten hinzu?

F.: Datenbank, in der hauptsächlich Metadaten gespeichert aus leitungsgebundener Kommunikation gespeichert werden. Ziel ist Kommunikationsnetzwerk.

Renner: Millionen Daten. Aber nicht Millionen Terroristen. Ist das datenschutzrechtlich problematisch? (VERAS) Zweit- und Drittkontakte.

F.: Ich hoffe, dass es keine Millionen Terroristen in Deutschland gibt. Große Anzahl ist aber, weil es Daten aus der ganzen Welt sind. Daten-XX-Verfahren ist in frühem Bereich, das ist einer der Knackpunkte. Anlasslose Vorratsdatenspeicherung (unzulässig) oder mit konkretem Anlass (zulässig). Das ist die Frage.

Sensburg: Neue Fragerunde.

Konstantin von Notz: Definitionen klären.

Sensburg: Was ist ein „Datum“? Handynummern? Kommunikationsvorgänge.

F.: § 3 Abs. 1 BDSG: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“

Fragerunde 1: SPD

Christian Flisek: Sind Metadaten personenbezogenen Daten?

F.: Das ist noch nicht geklärt. Diskutieren wir noch. Telefonnummern Deutscher sind personenbezogen. Bei Ausland ist das noch unklar. In Deutschland kann ich mit Bestandsdatenabfrage Telefonnummer zuordnen. Im Ausland (Afghanistan, Pakistan) geht das nicht automatisch. Manche Telefonnummern sind auch nicht nr von Einzelperson, sondern Clan. Daher diskutieren wir das gerade. Spielt aber für Metadaten in VERAS keine Rolle. Sobald ein personenbezogenes Datum in der Datenbank ist, muss die ganze Datenbank unter dieses rechtliche Modell. Die Daten werden gleich behandelt. Also keine Auswirkungen für VERAS.

Flisek: Wie ist da ihre Einschätzung und die des Hauses?

F.: Diskussion ist noch nicht abgeschlossen, wird intensiv geführt.

Flisek: Und ihre Meinung?

F.: Kommt auf den Einzelfall an. Kann so oder so sein. Kann das nur mit Einzelfallprüfung feststellen.

Flisek: Das Argument mit afghanischem Clan halte ich juristisch nicht für konsistent. Wenn das mit verhältnismäßigen Aufwand personenbeziehbar ist, dann wird man das auch machen, wenn man das will. Also kann man die Personenbeziehbarkeit herstellen.

[…]

Flisek: Wie bewerten sie, möglichst viele Daten von Wert zu erheben? Sind sie Einzelkämpferin? Oder ist das kooperativ? Tauschen sie sich aus?

F.: Wir hatten jährlichen Erfahrungsaustausch zwischen Datenschutzbeauftragten von Bundesamt für Verfassungsschutz (BfV), Amt für den militärischen Abschirmdienst (MAD) und BND. War eingeschlafen, hatte ich im November gemacht. Hatte gehofft, dieses Jahr laden die anderen mal ein, steht aber noch aus.

Flisek: Denken sie, dass ihre Antwort ernst genommen wird?

F.: Schon. War nicht immer so ist ein Prozess.

Flisek: Sind Mitarbeiter an sie herangetreten mit Bedenken?

F.: Gibt es immer mal wieder. Ist aber kein Massenphänomen. Meistens ist das, wenn mit Mitarbeiter-Daten nicht richtig umgegangen wird.

Flisek: Hat sich ihre Arbeit seit Snowden geändert? Höhere Sensibilisierung? Grundsätzliche Aufarbeitung?

F.: Habe ja das Projekt „Datenlandschaft Abteilung TA“ eingeleitet. Erst auf zwei Jahre angelegt, ein Jahr hinter uns. Gehe davon aus, das es verlängert wird. Hat einen anderen Wert als vor 10 Jahren.

Flisek: Äußert sich das auch mit personellen Ressourcen?

F.: Wollte Anfang des Jahres mehr Personal. „Geht nicht mehr, dringend.“ Ist bewilligt worden, aber noch nicht besetzt.

Flisek: Rechtsgrundlage für Bad Aibling diskutiert? Wie finden Diskussionen mit Präsident statt?

F.: Erster Teil: Spätsommer letzten Jahres. Nach unterschiedlichen Auffassungen, Gespräch mit Präsident. Jeder ist bei seiner Auffassung geblieben. Habe immer wieder Kontakt mit Präsident, in erster Linie schriftlich. Art des Kontakts hängt von Wichtigkeit des Themas ab. Wenn ich ihn direkt sprechen will, bekomme ich unmittelbar einen Termin.

Flisek: Frage ist aber nicht nur Bad Aibling, sondern auch andere?

F.: Ja.

Flisek: Ist ja kein sportlicher juristischer Diskurs, weil wir gerne streiten. Warum ist das relevant?

F.: Relevanz ist im Hinblick auf Übermittlungen gegeben. § 9 BND-Gesetz (Übermittlung von Informationen durch den BND) und § 19 Abs. 3 BVerfSchG (Übermittlung personenbezogener Daten durch das BfV) relevant für Datenübermittlungen an ausländischen Nachrichtendienste. Wenn denn das BND-Gesetz gilt, nach § 2 ff. Ansonsten nicht.

Flisek: Es existiert ja Rechtsgrundlage. Warum bleibt die Gegenseite stur?

F.: Müssen sie den BND-Präsident fragen.

Flisek: Ist ja nicht „Ober schlägt Unter“. Sie sind die Datenschutzbeauftragte. Wenn er sie nicht überzeugen kann: warum bleibt er auf seiner Auffassung?

F.: Ist eine Grundsatzentscheidung. Sonst würden ja strengere Regeln gelten.

Sensburg: Müssen wir die Amtsleitung fragen.

F.: Fragen sie Herrn Schindler.

Fragerunde 1: Bündnis 90/Die Grünen

Konstantin von Notz: gab es einen Vorgänger?

F.: Selbstverständlich, war aber schon lange weg,als ich anfing.

Notz: Gab es eine Übergabe?

F.: Ja, aber von einer Referentin.

Notz: Was waren Knackpunkte?

F.: Baustelle in Abteilung TA wurde nicht genannt.

Notz: Zwei fehlende Errichtungsanordnungen. Keine Rechtsfolge, dass die fehlen?

F.: Errichtungsanordnungen schnellstmöglich nachholen.

Notz: Wie lange ist schnellstmöglich?

F.: Intensive Abstimmung mit Bedarfsträger.

Notz: Aber auch ohne Anordnung dürfen die Datenbanken weitergeführt werden?

F.: Ja.

Notz: Wie lange gibt es diesen Zustand schon?

F.: INBE ist Nachfolger von MIRA4, kam 2010. VERAS kam 2002.

Notz: Stimmen sie zu, dass das unverhältnismäßig lange ist, wo diese Anordnungen fehlen?

F.: Ja.

Notz: Ist das unverhältnismäßig, also rechtswidrig?

F.: Das wäre zu einfach. Entspricht ja Datenschutzanfordrungen in weitem Umfang, hätte man das Verfahren durchgeführt. Diese wichtige Datenbankwegen wegen Formalien nicht zu nutzen, wäre falsch.

Notz: Also auch drei bzw. zehn Jahre ohne Anforderung ist nicht rechtswidrig?

F.: Ja.

Notz: Ab wann wäre das denn rechtswidrig?

F.: Kann ich so nicht sagen, ist ja nur formal, nicht inhaltlich.

Notz: BND setzt Instrumente der NSA ein?

F.: Ja.

Notz: Können sie die aufzählen?

F.: Nein, kann ja keine Dokumente mitnehmen. In etwa 20 verschiedene Tools. Rein technische Tools ohne Umfang mit personenbezogenen Daten, beispielsweise Sprachübersetzung.

Notz: Welche kennen sie?

F.: XKeyscore. Andere Namen habe ich nicht. Werden in Schreiben an BfDI nicht namentlich bekannt, sondern umschrieben.

Notz: Dann beschreiben sie diese.

Wolff, Bundeskanzleramt: Intervention! Erhebliches Wohl des Bundes betroffen, wenn es um Tools geht! Kann für Vorteil sein für Leute, die uns nicht gewogen sind.

Notz: Sind ja nicht nur Terroristen betroffen. Sondern ganz normale Bürger. Es gibt ein öffentliches Interesse.

F.: Ich würde mich gerne nicht-öffentlich äußern.

Wolff: Kann noch was sagen.

Sensburg: Nein, müssen sie nicht begründen. Sie sind früh genug noch an der Stelle, wo die Zeugin ist.

Renner: Es wurden jetzt zwei Auffassungen vorgetragen. Es obliegt Herrn Sensburg, das zu entscheiden.

Sensburg: Nein, das obliegt der Bundesregierung. Wenn die das anders sehen, schreiben sie einen Aufsatz.

Notz: Wie tief geht die Analyse in INBE? Zweite, dritte, vierte ebene? Wie tief wird erfasst?

F.: Kann es sei, das die VERAS meinen?

Notz: Ja.

F.: Das geht bis in die vierte und fünfte Ebene der Kontakte.

Notz: Glasfaser-Erfassung. Sind sie damit vertraut?

F.: Bin ich nicht eingebunden.

Notz: Findet aber statt?

F.: Davon gehe ich aus.

Notz: Sie sind aber nicht eingebunden?

F.: Keine Ahnung, warum. War aber wohl schon vor meiner Zeit.

Fragerunde 2: CDU/CSU

Roderich Kiesewetter: Vermitteln den Eindruck der Zivilcourage. Aber permanentes Dilemma im Haus. Wir wirkt sich das auf alltägliche Arbeit aus?

F.: Es wurde eine Grundsatzentscheidung getroffen, die nicht meiner Rechtsauffassung folgt. Konnte mich nicht durchsetzen.

Kiesewetter: Sehen sie Möglichkeiten, Datenschutz im Hause aufrecht zu erhalten, damit sie zufrieden mit ihrer Arbeit sind?

F.: Ist ja ein extrem weites Thema. Bin ja nicht nur für Abteilung TA zuständig, sondern auch andere Bereiche. Betrifft nur einen Teil. Mache auch Personaldatenschutz, Sicherheitsakten für 6.000 Mann. Habe den Eindruck, dass ich gehört werden. Schulungsoffensive wird gut angenommen.

Kiesewetter: gab es schon vor ihrer Zeit unterschiedliche Rechtsauffassungen?

F.: Keine Ahnung.

Kiesewetter: Was ist Unterschied Datenspeicherung und ‑weitergabe nach BDSG oder BVerfSchG? Welche Konsequenzen hätte ihre Rechtsauffassung?

F.: Übermittlung sämtlicher Daten von BND ins Ausland wäre § 19 BDSG (Auskunft an den Betroffenen), Aktenkundigmachung,usw.

Kiesewetter: Würden dann weniger oder andere Daten übermittelt?

F.: Mag sein, kann ich nicht abschließend beurteilen.

Kiesewetter: Wann ist aufgefallen, dass Verfahren fehlen.

F.: INBE: Sommer 2013. VERAS: November 2013.

Kiesewetter: Ihnen aufgefallen oder Hinweise?

F.: Uns aufgefallen im neuen Projekt Datenlandschaft.

Kiesewetter: Was für ein Schaden wäre entstanden, wenn Verfahren nicht eingeleitet wäre?

F.: Müssen jetzt im Nachhinein Änderungen machen.

Kiesewetter: [Liest langen Text vor.] Ist das bekannt?

F.: Nein. Haben zu schnell vorgelesen.

Kiesewetter: [Liest nochmal vor. Irgendwas mit G‑10-Kommission und Einblick.]

F.: Hab’s immer noch nicht verstanden.

Andrea Lindholz: Wie war das bei Vorgängerdatei MIRA4?

F.: AFAIK genauso. Hat auch gefehlt.

Lindholz: Und Vorgänger davon?

F.: Mir nicht bekannt.

Lindholz: BfDI hat andere Rechtsauffassung. [Liest auch langen Satz vor. Auch irgendwas mit G‑10-Kommission und prüfungsberechtigt.]

F.: § 24 BDSG (Kontrolle durch den BfDI). [Liest Paragraphen vor.] Ein solcher Fall in meiner Zeit nicht bekannt.

Lindholz: BfDI hat BND angeschrieben. Da werden grundlegende Fragen gestellt. Gibt mindestens seit 2001 ein Referat im BfDI für Kontrolle der Dienste. Arbeiten sie zusammen?

F.: Selbstverständlich, Referat 5. Für BND, BfV und BKA zuständig. mit denen machen wir Schulungen gemeinsam.

Lindholz: Gibt es feste Ansprechpartner? Wie ist Kontakt?

F.: Selbstverständlich Ansprechpartner. Kontakt regelmäßig, auch per Telefon. Zusammenarbeit ausgesprochen gut und konstruktiv. Sind nicht immer einer Meinung, aber das ist ihr Job.

Lindholz: BfDI hat BND besucht. Können kein Protokoll finden. gibt es eins?

F.: Protokoll weiß ich nicht, weiß nur BfDI. Abschlussbericht geht an Bundeskanzleramt, dann uns. Haben wir noch nicht.

Lindholz: Bis wann?

F.: KA. BfDI hat ja gerade erst Unterlagen von mir aus dem Panzerschrank bekommen. Vor wenigen Wochen, wenigen Tagen.

Lindholz: Unterschiedliche Rechtsauffassung Inland/BND-Gesetz oder nicht. Sie vertreten unterschiedliche Rechtsauffassung? Warum denken sie, dass die Daten in Deutschland erhoben werden? Werden doch im Himmel erhoben?

F.: Inlandsbezug, weil deutsche Dienststelle, deutscher Boden und deutsche Mitarbeiter. Kann man anders sehen, aber nach meiner Auffassung starker Inlandsbezug.

Nina Warken: Sie haben Bad Aibling besucht. Was war Anlass? Erster Besuch? Was haben sie geprüft?

F.: Wollen einen Überblick erhalten, nachdem das Thema in Medien war. Hatte den Eindruck, mir wurde umfänglich geschildert. Danach bei Telefonat wurde bemerkt, das ein Aspekt nicht angesprochen wurde. Übermittlung von Metadaten an NSA wurde nicht angesprochen. Das wurde dann bestätigt. Begründung war: das hatten die nicht so im Fokus.

Sensburg: BfDI-Besuch 2./3. Dezember 2013 in Bad Aibling. Waren sie dabei? Auch bei Begehung bei Antennenfeld?

F.: Ja, war bei allem dabei.

Sensburg: Waren sie auch bei NSA-Gebäude?

F.: Drin waren wir natürlich nicht. Aber direkt gegenüber, läuft man ständig daran vorbei.

Sensburg: Wurde gesagt, was da drin passiert?

F.: BfDI fragte danach. Dienststellenleiter sagte: weiß er nicht. Aber er kann ausschließen, dass da Datenerhebung stattfindet.

Sensburg: […]

F.: Wurde gefragt nach Kooperation BND und NSA. Memorandum of Agreement von 2002 war nicht mehr in Kraft. Jetzt nur noch Liaison-Bereich.

Sensburg: Und jetzt?

F.: Nicht mehr gemeinsame Datenerhebung wie vorher.

Sensburg: Gemeinsame Datenerhebung?

F.: Gemeinsame Datenbearbeitung. Kurzform, irgendwas mit J.

Sensburg: JSA. Joint SIGINT Activity.

F.: Gemeinsame Datenbearbeitung, jetzt nicht mehr.

Sensburg: Was heißt das?

F.: Ich war nicht dabei.

Sensburg: Wurde das angesprochen?

F.: War ja beendet.

Sensburg: War nicht interessant?

F.: Kontrollbesuch war auf Ist-Zustand ausgerichtet.

17:05: Zehn Minuten Pause, für Händewaschen?

Fragerunde 2: Die Linke

André Hahn: Dateianordnungen fehlen. Kanzleramt muss zustimmen?

F.: Ja.

Hahn: Wie kann das sein, dass das dann trotzdem in Betrieb ist?

F.: Formelle Rechtswidrigkeit ist nicht materielle Rechtswidrigkeit. INBE wäre materiell rechtmäßig, wenn formelles Verfahren fertig durchgeführt wird.

Hahn: Sind sie involviert in Datenweitergabe von BND an andere?

F.: Weitergabe läuft nicht über mich. ist auch nicht nur Abteilung TA, sondern auch Auswertung. Wäre auch gar nicht möglich. Aber jede Abteilung hat ein eigenes Justiziariat. Die prüfen das.

Hahn: Unterliegen weitergegebene Daten einer Zweckbindung? Wer kontrolliert das?

F.: Ja. Wird routinemäßig überprüft. Empfänger wird darauf hingewiesen.

Hahn: Welche BND-Stelle überprüft das?

F.: Die übermittelnde Stelle, das Referat.

Hahn: BND-Daten werden in Deutschland verarbeitet. Also gilt BDSG?

F.: Ja, Recht auf Informationelle Selbstbestimmung. Datenbanken unterscheiden nicht nach Erhebungsort.

Hahn: Werden Grundrechtsträger über Eingriffe informiert?

F.: Das betrifft G‑10, dafür bin ich nicht zuständig.

Hahn: Ist es ihre Aufgabe, Deutsche vor Überwachung durch ausländische Dienste zu schützen

F.: Nein, hat mit meiner Aufgabe nichts zu tun.

Hahn: BND hat Welthungerhilfe informiert, dass über 2.000 TK-Verkehre, Telefonate und E‑Mails überwacht wurde. Wissen sie was davon?

F.: Ist G‑10, nicht meine Zuständigkeit. Kenne den Fall nicht.

Hahn: Muss sie doch interessieren.

F.: Nein.

Hahn: R.U. war kein Fall bekannt, wo in Bad Aibling Daten deutsche betroffen waren. Sind ihnen Fälle bekannt?

F.: Nein, nicht meine Zuständigkeit. Meine Aufgabe ist BND-Gesetz, BDSG, informationelle Selbstbestimmung. Das ist etwas völlig anderes als G‑10.

Fragerunde 2: CDU/CSU

Keine weiteren Fragen.

Sensburg: Ihre Aufgabe ist Grundrechte für Deutsche?

F.: Nein, unterschiedliche Grundrechte. Hahn fragte nach E‑Mails und Telefonaten, das ist G‑10. Ich bin zuständig für Recht auf Informationelle Selbstbestimmung. G‑10 verdrängt das.

Fragerunde 2: Bündnis 90/Die Grünen

Hans-Christian Ströbele: Gespräch mit BND-Präsident zu unterschiedlichen Rechtsauffassungen. War das Herr Schindler?

F.: Ja.

Ströbele: Sagte der sinngemäß: „Wo kommen wir da hin?“ Ihre Rechtsauffassung wäre ja erhebliche Erschwerung.

F.: Nein, das nicht. Er sagte in etwa: „Ihre Rechtsauffassung ist gut, ich halte meine für besser.“

Ströbele: Daten aus Glasfaserknoten. Sie verfolgen Pressebericht mit Interesse. Haben sie den Süddeutsche-Artikel über Eikonal gelesen?

F.: Habe zwei Artikel gelesen, weiß aber nicht, ob der es war. Vorgang habe ich aber mitbekommen.

Ströbele: Da steht ja, das ging nicht direkt nach Bad Aibling, sondern über Pullach an die NSA. Kennen sie einen Vorgang, wo Massendaten erhoben werden und über Pullach weitergeleitet werden?

F.: Den konkreten Vorfall kenne ich nicht. Es werden immer mal wieder Informationen ausgetauscht. Ich habe aber keine Kenntnis über Operationen.

Ströbele: Sollen ja viele Daten und langer Zeitraum gewesen sein. Dann Einstellung wegen datenschutzrechtlicher Fragen. Gibt es jetzt ein ähnliches Programm? Daten massenhaft aus Glasfaserknoten abgegriffen, gespeichert, weitergeleitet werden?

F.: Keine Ahnung. Wenn es das gibt, bin ich nicht eingebunden.

Ströbele: Wer ist denn zuständig.

F.: Was TA macht, wird von TA geprüft. Vermutlich dort Überprüfung.

Ströbele: Was ist Unterschied, ob Satellit oder Glasfaser ausgewertet wird? Warum geht das eine durch die Datenschutzbeauftragte, das andere nicht?

F.: Nein, bin nicht involviert in Daten, die in Bad Aibling von Satelliten abgerufen werden. Bin zuständig für Datenbanken mit personenbezogenen Daten. Egal, woher. Erst, wenn sie da sind.

Ströbele: Greift der BND in Bad Aibling Daten auch aus Afghanistan ab und leitet das dort hin?

F.: Ja, ist mir bekannt. War auch Thema des BfDI-Kontrollbesuch.

Ströbele: Da stimmt ja da ihre Rechtsauffassung nicht.

F.: Da ist die Wahrscheinlichkeit, dass deutsche betroffen sind, geringer. Aber wenn das in Deutschland gespeichert wird, ist das BND-Gesetz dann wieder anwendbar.

Fragerunde 2: SPD

Christian Flisek: Was ist der Unterschied zwischen ihnen, der allgemeinen Datenschutzbeauftragten des BND und den G‑10-Juristen in den Abteilungen?

F.: Ist nicht meine Rechtsauffassung, Sind völlig unterschiedliche Grundrechte. Artikel 10 GG verdrängt das Recht auf informationelle Selbstbestimmung.

Flisek: Woraus ergibt sich der Unterschied?

F.: Aus dem G‑10-Gesetz. Das sagt, es sind G‑10-Gremien einzurichten.

Flisek: Das ist eine organisatorische Aufteilung, der sie sich fügen? Sie könnten auch G‑10 machen?

F.: Nein.

Flisek: Memorandum of Agreement. US-Stellen müssen sich an deutsches Recht halten. Gibt es Kooperation mit US-Stellen?

F.: Ob ich Kontakt mit NSA-Datenschutzbeauftragten habe? Nein.

Flisek: Gibt ja Safe Harbor. Gibt es so was bei ihnen auch?

F.: Nein.

Flisek: § 19 Abs. 3 BVerfSchG. Wenn man ihrer Auffassung folgt, wäre die bisherige Praxis rechtswidrig gewesen?

F.: Kann ich nicht abschließend sagen. Leitung hat eine Grundsatzentscheidung getroffen. Ich habe eine andere Meinung. Müsste man überprüfen.

Flisek: Subsidiarität, § 1 Abs. 3 BDSG (Zweck und Anwendungsbereich des Gesetzes): „Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor.“ Vergessen sie das Wörtchen „soweit“?

F.: Nein. BND-Präsident sagt nicht nur, wir befinden uns außerhalb des BND-Gesetzes, sondern außerhalb des deutschen Gesetzes. [Anm: KA, ob ich das korrekt verstanden habe.]

[…]

Flisek: Haben sie Kenntnisse über Weitergabe von Metadaten an andere Dienste?

F.: Nein.

Flisek: Haben sie Kenntnisse über Ringtausch?

F.: Nein.

Flisek: [Liest einen Formulierungsvorschlag mit Rechtsvorschriften und G‑10-Gesetz vor.] Hat der BND bei NSA nach Daten gefragt, die er nach G‑10 erheben dürfte?

F.: Ist mir nicht bekannt. Aber wie gesagt: vom ganzen G‑10-Bereich bekomme ich nichts mit.

Flisek: Papier hatte deutliche Zweifel an Rechtsgrundlage für Auslandsaufklärung geäußert. Haben sie das mitbekommen?

F.: Ja, in der Presse. Die Abteilung TA hat dazu Stellung genommen.

Flisek: Gab es eine Diskussion dazu im Haus?

F.: Offensichtlich zwischen Justiziariat TA und Justiziariat Zentralabteilung.

Flisek: Sehen sie Handlungsbedarf?

F.: Unterschiedliche Rechtsauffassungen. Gesetzgeberische Klarstellung macht durchaus Sinn.

Akmann, BMI: Zeugin tritt hier nicht als Sachverständige auf. Ist nach dem Untersuchungszeitraum.

Susanne Mittag: Wenn sie und Schindler andere Auffassungen vertreten, wer hat denn dann Recht?

Eisenberg: Das hat doch mit den Beweisgegenständen nichts zu tun. Das müsste der Gesetzgeber klären.

Mittag: Wie wird mit unterschiedlichen Auffassungen umgegangen? Anordnung, Verwaltungsvorschrift?

Eisenberg: Das hat mit dem Beweisgegenstand nichts zu tun. Ich rate der Zeugin, die Frage nicht zu beantworten.

Notz: Das sehe ich anders.

Mittag: War das mal Thema? Wie geht man damit um? Ist ja unbefriedigend.

(Eisenberg flüstert F. ein.)

F.: Die Rechtsauffassung des BND ist die Rechtsauffassung der Leitung des BND. Dass wir unterschiedliche Meinungen haben, ist nichts ungewöhnliches. Normalerweise hat er Weisungsbefugnis, bei mir halt nicht. Daher stehen die Meinungen eben gegeneinander.

Sensburg: Ich finde das Zusammenspiel der unabhängigen Datenschutzbeauftragten gut. Die Diskrepanz ist etwas Positives. Gute Konstruktion vom Gesetz her.

Fragerunde 3: Die Linke

Renner: Frau Doktor F. Ich muss bei ihrer Zuständigkeit bleiben. Sie sind behördliche Datenschutzbeauftragte, weil es das Gesetz vorsieht. Sind zuständig für BDSG, damit auch für § 12 BDSG (Anwendungsbereich). „Dort wo Daten verarbeitet werden, greift das Gesetz.“ Gleichzeitig auch BND-Gesetz. Wenn in Frankfurt ein Telefonat von mir erfasst wird, warum müssen sie dann nicht zustimmen?

F.: Weil das G‑10 ist.

Renner: BDSG gilt nicht für Grundrechtsträger?

F.: Doch, natürlich.

Renner: Aber sie sind nicht zuständig.

F.: Das G‑10-Gesetz ist vorrangig.

Renner: Wo steht das?

F.: § 1 Abs. 3 BDSG (Zweck und Anwendungsbereich des Gesetzes). Das sagt, es ist nur zuständig, wenn es kein anderes Gesetz gibt. Hier gibt es ein anderes Gesetz.

Renner: Das sehe ich anders. Ihre Kompetenzen leiten sich aus dem BDSG ab. Ihre Reduktion der Zuständigkeit auf Datenbanken ist nicht herleitbar.

F.: Ich bin für Recht auf informationelle Selbstbestimmung zuständig. Routinemäßig bin ich informiert. Aber nicht umfänglich. Wäre mit 6 Personen auch nicht machbar,. Aber ich kann auch Kontrollen bei Übermittlungen machen,

Renner: Für mich können Abteilungs-Justiziare nicht zuständig dafür sein. Es gibt die Datenschutzbeauftragte. Die muss umfassend und frei kontrollieren können. Das passiert nicht. Das ist eine Einschränkung ihrer Zuständigkeit. Es gibt keine rechtliche Herleitung für die Zuständigkeit dieser Beamten, das steht nirgendwo. Sie müssen zuständig sein. Punkt. Dann kann man sicher Kontrolle von G‑10 nochmal speziell betrachten. Aber das darf nicht heißen, dass G‑10 BDSG schlägt.

F.: G‑10 hat seine Berechtigung.

Renner: Wir reden doch hier über die anlasslose Massenüberwachung in Frankfurt, das ist doch nicht G‑10.

F.: G‑10 ist zuständig für [zitiert § 15 Abs. 5] Erhebung Verarbeitung, Speicherung und Nutzung von Daten, einschließlich Benachrichtigung von Betroffenen.

Renner: Aber die G‑10 hat doch Frankfurt nicht beschlossen.

F.: KA, ich bin nicht in der G‑10-Kommission.

Renner: Das ist ein riesiger Graubereich. Weder sie noch G‑10-Kommission sind für Massenüberwachung in Frankfurt zuständig.

Eisenberg: Was war denn die Frage?

Renner: Gibt es einen Graubereich, wo weder sie noch G‑10-Kommission zuständig sind?

F.: Weiß ich nicht, bin nicht in G‑10-Kommission.

Fragerunde 3: CDU/CSU

Kiesewetter: Wird der Datenschutz für deutsche Bürger in Dienststellen vom BND eingehalten wird?

F.: Wird Datenschutz für Mitarbeiter eingehalten: ja. Personaldatenschutz. Einhaltung von Datenschutz im Auftragsbereich: habe ihnen ja gerade gesagt, dass Abteilung TA in einigen Bereichen Defizite hat.

Kiesewetter: Wann werden sich ihre Maßnahmen in der Praxis Auswirkungen?

F.: Schwierige Frage. Habe das Projekt erst mal auf zwei Jahre angesetzt, erst ein Jahr hinter uns. Kann keine Prognosen machen, kann erst am Ende Fazit ziehen.

Kiesewetter: Wir wollen ja auch Verbesserungsvorschläge erarbeiten. Bitte teilen sie uns ihre Ergebnisse mit. Wird immer wieder auf G‑10 verwiesen. Wäre es sinnvoll, eine zusammengefasste Datenschutzabteilung für G‑10 und BDSG zu errichten?

F.: Schwierig. Hab mich damit noch nie auseinandergesetzt. Andere Behörden haben diese Aufteilung ja gleichermaßen.

Kiesewetter: Vielen Dank. Die Arbeitsgruppe der Union hat keine weiteren Fragen.

Sensburg: Warum ist die Trennung G‑10/BDSG sinnvoll?

F.: Sind unterschiedliche Grundrechte mit unterschiedlichem Schwerpunkt. Unterschiedliche Gesetze, unterschiedliche Kontrollzuständigkeit. So kann sich jeder auf seinen Bereich spezialisieren.

Sensburg: Ist ihre Freiheit weitreichender als Sekretariat?

F.: Ja, bin weisungsunabhängig. Kann jederzeit unangemeldete Kontrollen durchführen, habe Sonderzutrittsrechte, etc.

Sensburg: […]

F.: Grundrechte kann und sollte man nicht bewerten. Das eine ist nicht mehr oder weniger wichtig als das andere.

Sensburg: Bei Daten, die Recht auf informationelle Selbstbestimmung (RAISB) betreffen, sind sie im Boot. Wenn sie weitergegeben weden auch?

F.: Ich bin nicht unzuständig für Übermittlungen, aber die kann ich nicht alle einzeln über meinen Tisch laufen lassen, es gibt so viele.

Sensburg: Wie viele?

F.: Wir haben 6.000 Mitarbeiter. Wenn ein Datum an das BKA geht oder routinemäßig Daten mit dem BfV ausgetauscht werden, kann ich das nicht alles einzeln prüfen.

Sensburg: Es werden sicher nicht alle 6.000 Mitarbeiter Daten übermitteln.

F.: Natürlich nicht.

Sensburg: Ich hatte nach ausländischen Diensten gefragt. Sie können rein schauen, wenn Daten übermittelt werden. Wie erfüllen sie ihre Aufgabe, wenn die Daten nicht automatisch über ihren Tisch gehen?

F.: Ich schule Mitarbeiter. Das ist in einer Dienstvorschrift geregelt. Es gibt klare, sehr detaillierte Regelungen.

Sensburg: Die Dienstvorschrift ist von uns beigezogen. Wie verschaffen sie sich Kenntnis? Wenn sie schulen, müssen sie wissen, was sie schulen.

F.: Ich führe regelmäßig Beratungsgespräche mit verschiedenen Stellen. Auch die Bereiche, die routinemäßig Informationen an andere übermitteln. Thema Übermittlungen wird auch durch Justiziariat der Zentralabteilung begleitet.

Sensburg: Mit welchen ausländischen Stellen werden Daten ausgetauscht?

F.: Mit verschiedenen, ich habe keine Liste

Sensburg: Vielleicht mal zwei, drei?

F.: Na, dass das mit USA und UK stattfinden, ist allgemein bekannt.

Sensburg: Mit wem?

F.: NSA, GCHQ.

Sensburg: Haben wir schon von gehört.

F.: In erster Linie Auslandsnachrichtendienste, aber auch Inlandsdienste.

Sensburg: Spielt es rechtlich eine Rolle, welche Stelle das ist?

F.: Kann eine Rolle spielen.

Sensburg: Wurden Daten aufgrund ihrer Bewertung schon mal nicht ausgetauscht?

F.: In den letzten beiden Jahren kann ich mich nicht erinnern.

Fragerunde 3: Bündnis 90/Die Grünen

Notz: Ich finde Widerstand in der Behörde auch gut. Aber wenn das folgenlos bleibt, ist niemand geholfen. Ich teile ihre Bewertung nicht und halte das für eine konstruierte Lücke. Wenn G‑10-Gesetz nicht greift, und Daten aus Afghanistan werden an ausländische Dienste übermittelt: wer ist zuständig?

F.: Ich.

Notz: Massenhafte Übermittlung geht dann über ihren Schreibtisch?

F.: Nein. Massenhafte Übermittlung geht nicht über meinen Schreibtisch, das wäre überhaupt nicht möglich.

Notz: Kommt ihnen das nicht vor, wie eine konstruierte Lücke?

F.: Nein.

Notz: Mir schon.

Eisenberg: Sie müssen schon Fragen stellen und Antworten zulassen.

Notz: Mir kommt das vor wie eine konstruierte Lücke. Ihnen nicht?

F.: Nein. Im Gesetz steht nicht, dass jedes personenbezogene Datum über meinen Tisch laufen muss. Das ist ein Ding der Unmöglichkeit.

Notz: Nicht jedes personenbezogene Datum. Es geht um die Massendaten. Wie wird G‑10-gesetz in ihrem Haus interpretiert?

F.: G‑10 verdrängt BND-Gesetz und ist vorrangig. Übermittlungen erfolgen nach G‑10, und damit nicht BDSG.

Notz: Ist das auch die Auffassung der BfDI?

F.: Da sie nicht zuständig ist, wäre es eher eine Frage an die G‑10-Kommission.

Notz: Wenn G‑10 nicht greift, bleibt da eine Lücke.

F.: Wenn wir nicht bei G‑10 sind, greift BDSG.

Notz: Dann sind sie zuständig?

F.: Ja.

Notz: Dann geht das über ihre Schreibtisch?

F.: Nein. Ich bin für die Kontrolle zuständig, nicht für jede einzelne Übermittlung.

Notz: In VERAS werden Daten bis in die 4. oder 5. Ebene gesammelt. Was bedeutet das? Wer wird dann erfasst?

F.: Da sind wir noch relativ weit vorne im Dateiabstimmungsverfahren.

Eisenberg: Das geht nicht öffentlich.

Notz: Das kann man bei Wikipedia nachlesen. Das wird mir doch wohl die Zeugin öffentlich sagen dürfen. Das ist Allgemeinwissen. Es geht darum, das transparent zu machen. Das ist Teil ihrer Verhältnismäßigkeits-Auffassung.

Diskussion zwischen Sensburg, Notz und Eisenberg.

Eisenberg: Sie darf zu Einzelheiten des Inhalts der Datensammlung nichts sagen, aufgrund der Aussagegenehmigung. Verhältnismäßigkeit darf sie selbstverständlich antworten.

Notz: Stimmen sie mir zu, dass davon Bekannter eines Bekannten eines Bekannten eines Mandaten eines Rechtsanwalts erfasst wird?

F.: Ja.

Notz: Wer kann dann bei einem Land mit 82 Millionen Einwohnern nicht erfasst sein?

F.: Es ist nur möglich. Das heißt nicht, dass es immer gemacht wird. Erste Ebene: Terrorverdächtiger. Dann: Kontakte zu anderen Terrorverdächtigen oder noch nicht bekannten Terrorverdächtigen. Je weiter ich in die Ebenen gehe, desto schwieriger wird es,die Verbindungen herauszubekommen. Deswegen wird das wohl seltener gemacht. Wird mir gesagt. Es wir nicht immer bis in die 5. Ebene gespeichert. Außerdem sind wir ein Auslandsnachrichtendienst, Ziel ist nicht das Inland.

Notz: Nehmen wir die Türkei mit 60 Millionen Einwohner. Wie viele sind bei 5 Ebenen nicht erfassbar? Werden sehr, sehr wenige sein. Dass sie das in Zukunft besser machen wollen, ist schön, aber uns interessirt das heute. Nach welchen Normen werden Daten ins Ausland weitergegeben?

F.: § 9 Abs. 2 BND-Gesetz und § 19 BVerfSchG.

Notz: Metadaten und Rohdaten?

F.: Ja, Metadaten und Rohdaten.

Fragerunde 3: SPD

Mittag: Gibt es Hinweise bei jährlichen Belehrungen, die Beamte ja ertragen müssen?

F.: Es gibt eine routinemäßige Abfrage meines Bereichs. Wir führen ein Verfahrensverzeichnis, wo alle Verfahren mit personenbezogenen Daten aufgeführt sind.

Mittag: Können sie punktuell überprüfen, ob das eingehalten wird? Haben sie Zugriffsmöglichkeiten auf neue Datenbanken?

(Einflüsterung von Eisenberg)

F.: Wo ist der Bezug zum Untersuchungsgegenstand?

Mittag: Konnten sie im Untersuchungszeitraum überprüfen, ob es neue Datenbanken gibt, die sie noch nicht kennen, die ihnen nicht gemeldet wurden?

F.: Ich kann ja zugriff nur haben, wenn ich die Datenbank kenne. Das muss ich ja beantragen. Es gibt für jede DB ein Konzept mit Zugangsregelung. Wenn ich von etwas nicht weiß, kann ich keinen Zugang haben.

Mittag: Es könnte also sein, dass es Datenbanken gibt, die sie nicht kennen.

F.: ja, theoretisch.

Mittag: Wie viele Mitarbeiter haben sie?

F.: Sechs Dienstposten. Ich, zwei Juristen (davon einer nicht besetzt, weil neu), zwei Sachbearbeiter, eine Kollegin im mittleren Dienst (letztere nicht Vollzeit).

Eisenberg: Zeugin braucht Pause.

18:55: Pause für 15 Minuten.

In der Pause ein kleiner Hinweis. Dass der BND Verbindungsdaten über fünf Ebenen speichert, ist eine kleine Sensation. Laut Kleine-Welt-Phänomen lässt sich zwischen jeden zwei beliebigen Menschen auf der Erde eine Verbindung über nur sechs Ebenen herstellen. Die NSA wertet hingegen „nur“ drei Hops aus:

19:16: Es geht weiter.

Formal-Foo

Sensburg: Es geht ja nur bis Mitternacht, danach gibt es keine Stenografen mehr. Wollen wir den zweiten zeugen auf einen anderen Tag verschieben?

Notz: Ja.

Kiesewetter: Ich sehe das natürlich nicht völlig anders. Wir sollten uns nächstes Mal besser vorbereiten. Dafür ist mehr Zeit gut.

Sensburg: Der ausstehende Zeuge A. F. wird also am 13. November vernommen. Als zweiten Zeugen.

Abstimmung: Alle dafür.

Fragerunde 4: Die Linke

Renner: Frau Doktor F., als sie kamen, war ihre Stelle vakant. Wie lange war sie nicht besetzt?

F.: Der Referatsleiter war durchgängig besetzt, der Sachbereichsleiter 10 bis 11 Monate vakant.

Renner: VERAS sind Metadaten. Aus Telefonie?

F.: Insgesamt aus leitungsgebundenen Verkehren.

Renner: Telefonie, E‑Mail, Internet, soziale Netzwerke?

(Einflüsterung von Regierung.)

F.: Nicht öffentlich bitte.

Renner: Sind VERAS und INBE hauseigene Programme? Oder extern?

F.: Meines Wissens hauseigene, aber ob Teilaspekte extern waren, weiß ich nicht.

Renner: Liegt ihnen Quellcode vor?

F.: Nein, damit könnte ich auch nichts anfangen.

Renner: Gibt es bei ihnen irgendjemand, der Quellcode beurteilen könnte?

F.: Nein.

Renner: Wurden die Programme weitergegeben?

F.: Ist mir nicht bekannt.

Renner: Bei zwei weiteren Datenbanken gab es Probleme. Aber sie haben nicht von allen die Namen?

F.: Doch, ich habe von allen die Namen.

Renner: Was machen die beiden anderen?

F.: Habe sie noch nicht gesehen. Ist noch nicht geklärt, ob es ein Verfahren gibt. Es sind aber kleinere Anwendungen, die jeweils personenbezogenen Daten zu einem konkreten Land speichern.

Renner: Neben Datenbanken sind sie ja auch für Dienstvorschriften zuständig.

F.: Kann ich nicht sagen, bin nicht für G‑10 zuständig.

Eisenberg: Stellt sich die Frage nach Beweisgegenstand. Es geht doch nicht generell um Rechtmäßigkeit von Datenbanken.

Renner: Doch.

Sensburg: Ja, tut es. Das ist der Untersuchungsgegenstand.

Renner: Was war an Eikonal-Berichterstattung falsch=

F.: […] Eikonal habe ich nur aus der Presse gehört.

Renner: Haben sie Arbeitsbesprechungen mit G‑10-Stellen zu Zuständigkeiten? Ich spreche hier statt Graubereich eher von einer Black Box, wo es null Zuständigkeit gibt. Wer macht da was?

F.: Es gibt keine institutionalisierten Zuständigkeiten. Wir sind aber in Kontakt. Den Graubereich sehe ich nicht. Aber das werden wir heute wohl nicht mehr klären.

Fragerunde 4: CDU/CSU

Keine Fragen.

Fragerunde 4: Bündnis 90/Die Grünen

Notz: Sie sind zuständig für BND-Gesetz und BVerfSchG. Ist das ihre Rechtsauffassung oder Rechtspraxis des BND?

F.: […]

Notz: Jetzt kommt’s. Ich habe gefragt, ob die Sachen über ihren Tisch gehen. Natürlich nicht jedes einzelne Datum. Aber prüfen sie die Verfahren?

F.: Ich mache Vorabkontrollen. Die sind aber vorgesehen für Datenbanken und nicht für Daten, die aus Datenbanken ausgeleitet werden.

Notz: Sie führen keine Überprüfung bei einer Weiterleitung aus Bad Aibling nicht durch?

F.: In diesen Fällen nicht.

Ströbele: Sie haben ja mit allen G‑10-Daten nichts zu tun.

F.: Stimmt.

Ströbele: Und BfDI?

F.: Ist auch nicht zuständig. Das wissen sie auch.

Ströbele: Haben die Daten gesichtet?

F.: Selbstverständlich, aber nichts mit G‑10.

Ströbele: Mit allem, was aus Glasfasern kommt, haben sie nichts zu tun?

F.: Ich bin da nicht involviert.

Ströbele: In keinem Fall?

F.: Ich sehe nur die Datenbanken. Ich weiß nicht, wo die Daten herkommen.

Ströbele: Auch nicht bei Satelliten?

F.: Dann auch nicht.

Ströbele: Warum haben sie sich dann mit Herrn Schindler über die Rechtmäßigkeit der Satelliten-Daten unterhalten?

F.: Ich kann mich zu Fragen nur äußern, wenn mir bekannt ist,dass es die Fragen gibt.

Ströbele: Sind sie bei den Glasfasern herausgehalten worden?

F.: Habe ich erst in der Zeitung gelesen.

Ströbele: Sagt ihnen die Datei AIDA was?

F.: Projekt AIDA. Ist keine Datenbank, sondern die konzeptuelle Idee, durch neue Analyseverfahren Daten besser zusammenführen zu können. In vorhandenen Datenbanken zielgerichteter Suchen zu können. Mit besseren Algorithmen.

Ströbele: Ist das Teil der „Strategischen Initiative Technik“?

F.: Ja.

(Bundesregierung wollte intervenieren, war aber zu spät.)

Fragerunde 4: SPD

Keine weiteren Fragen.

Fragerunde 5: Die Linke

Renner: Wie sind Vorschriften zur Löschung? (Speicher, Puffer, Dateien, würde das weit fassen.)

F.: § 5 BND-Gesetz (Berichtigung, Löschung und Sperrung personenbezogener Daten). Löschungsüberprüfung. Verweist auf § 12 Abs. 3 BVerfSchG (Berichtigung, Löschung und Sperrung personenbezogener Daten in Dateien). Nach 10 Jahren Überprüfung. Kann um 10 Jahre verlängert werden. Bei minderjährigen nach zwei Jahren.

Renner: Sie überprüfen die Einhaltung der Löschvorschriften.

F.: Ja.

Renner: Haben sie Verstöße festgestellt.

F.: Ja, in Ausnahmefällen. Ist in der Datenbank implementiert, drei Monate vor Ende wird benachrichtigt, dann Entscheidung. In Einzelfällen wurde das nicht ordnungsgemäß abgearbeitet.

Sensburg: Das wird auch das Parlamentarische Kontrollgremium (PKGr) machen, wir müssen uns an unseren Auftrag halten.

Renner: Welche Dateien waren das?

F.: Punktuelle Ausnahmefälle. In Datenbank ZIP, steht für „Zentrales Informationssystem für die…“ (Unterbrechung durch Regierung)

Renner: Die PKGr bearbeitet das nicht exklusiv. Bei unserem Auftrag stellen wir die Frage auch hier. Rechtswidrige Datenverarbeitung ist unser Auftrag. Speicherung und Löschung gehört dazu.

[Es sind nur noch acht Gäste auf der Besuchertribüne, plus ein Polizist.]

[…]

F.: Einmal wurden Dokumente wegen einer falschen Faxnummer an die falsche Stelle geschickt.

Renner: Sind sie an Auskunftsersuchen beteiligt?

Wolff, Bundeskanzleramt: Das hat nichts mit dem Untersuchungsgegenstand zu tun.

Renner: Wir untersuchen rechtswidrige Datenerhebung und Datenverarbeitung. Frankfurt, gibt sogar Strafanzeigen. Wenn es den Verdacht rechtswidriger Erhebung gibt, müssen die ja gelöscht werden. Deswegen will ich wissen, ob die DSB bei Löschung beteiligt ist. Und wie weit deutsche Bürger betroffen sind und ob sie ihre Rechte wahrnehmen können.

Wolff: Es geht doch um Five Eyes.

Renner: Nein, es geht nicht nur um Datenerhebung der Five Eyes, sondern auch der deutschen Dienste.

Eisenberg: Ist nicht Untersuchungsgegenstand, Zeugin muss also nicht antworten.

Renner: Strategische Auslandsaufklärung und Überwachung von Bürgern. Wie wollen wir denn über Schlussfolgerungen reden, wenn wir über Benachrichtigung und Löschung nichts wissen?

Eisenberg: Löschung hat Zeugin doch beantwortet.

Sensburg: Was ist die Frage?

Renner: Wird sie bei Auskunftsersuchen von Bürger/innen beteiligt?

Eisenberg: Ist nicht Gegenstand.

Renner: Doch.

Notz: Wir befassen uns auch mit Ringtausch. Ich finde es abwegig, dass sie versuchen, den Untersuchungsgegenstand einzuschränken.

Eisenberg: Die Frage ist doch gar nicht gestellt worden.

[Bundesregierung hakt ein.]

Eisenberg: Frage wird beantwortet.

Fragerunde 5: CDU/CSU

Keine Fragen mehr.

Fragerunde 5: Bündnis 90/Die Grünen

Notz: Bei Erfassung von Glasfasern sind sie nicht beteiligt,korrekt?

F.: Ja.

Notz: Und bei massenhafter Weitergabe an NSA sind sie auch nicht beteiligt?

F.: Ja.

Notz: Wer sorgt dann für Einhaltung der Schindler-Doktrin (Verhältnismäßigkeit, …)?

F.: Die Mitarbeiter der Abteilungen.

Notz: Trauen sie denen das zu?

F.: Kann ich schwer einschätzen. Die erden ja ausgebildet.

Notz: Am 26.07.2013 haben wir eine kleine Anfrage gestellt. BND hat 3,4 Millionen und 3,2 Millionen Inhaltsdaten pro Jahr weitergeleitet. Haben sie das überprüft?

F.: Nein.

Notz: Wer kontrolliert dann die Einhaltung des Rechts?

F.: Es sind Beamte. Die sind verpflichtet, sich an Recht und Gesetz zu halten.

Notz: Haben sie vor dem SZ-Artikel vom Instrument und Verfahren „Eikonal“ gehört? Vielleicht auch nicht unter dem Stichwort?

F.: Nein, und ich habe auch keine Aktenlage.

Notz: Keine Aktenlage im BND zu Eikonal?

F.: In meinem Bereich.

Ströbele: Ich hab mal wieder was aus der SZ, nicht dem PKGr. „ZIT“ ist geradezu eine Schlussfolgerung aus bisheriger Massendatenausspähung. Neue Philosophie: In Zukunft Ersetzung von Metadaten-Ausspähung durch Inhaltsdaten. Ist ihnen das bekannt?

Eisenberg: Aussagegenehmigung geht nur für nicht-laufende Sachen. Öffentlich geht das schon gar nicht.

Fragerunde 5: SPD

Keine Fragen.

Fragerunde 6: Die Linke

Keine Fragen.

Fragerunde 6: CDU/CSU

Sensburg: Eikonal ist keine Datenbank.

F.: Ja, laut Presse.

Sensburg: Ist ihnen bekannt, dass der BND massenhaft Daten erhebt und weiterleitet?

F.: In Bad Aibling werden Daten in größerem Umfang erhoben und weitergeleitet. Laut BfDI-Besuch.

Sensburg: Wie viele?

F.: Mir wurde mitgeteilt, Zahlen in Presse-Berichterstattung kommen ungefähr hin.

[…]

Fragerunde 6: Bündnis 90/Die Grünen

Notz: Sind sie mit Einstellung und Handhabung von Selektoren beschäftigt?

F.: Nein, macht andere Abteilung.

Notz: Wer ist zuständig?

F.: Mitarbeiter der Abteilung Technischer Aufklärung, Leiter.

Notz: Den haben wir schon gehört.

Alle: Nein.

Fragerunde 7: Die Linke

Renner: Haben sie sich vor der heutigen Sitzung durch Aktenstudium vorbereitet? Gab es vorbereitende Gespräche mit der Hausleitung?

F.: Keine Gespräche, habe mir die Unterlagen nochmal angeschaut.

Renner: Waren sie bei Aktenerstellung für den NSAUA beteiligt?

F.: Nein.

Fragerunde 7: CDU/CSU

Keine Fragen

Fragerunde 7: Grüne

Notz: Sie sind für IT-Sicherheit zuständig?

F.: Haben eine andere Abteilung. Aber datenschutzrechtliche Komponente § 9 Abs. 1 BDSG (Technische und organisatorische Maßnahmen) und Anlage ist mein Zuständigkeitsbereich.

Notz: Wem gehören die Netze, über die der BND kommuniziert?

F.: Im Zweifel dem BND. Davon gehe ich aus.

Notz: Könnte das auch ein Provider sein?

F.: Weiß ich nicht genau.

Notz: Wen müssten wir dafür Fragen?

F.: Den Leiter der IT-Sicherheit.

Notz: Gibt es auf Servern US-Infrastruktur?

F.: Weiß ich nicht.

Sensburg: Sie ist Juristin.

Notz: § 9 BDSG. Stehen auf Servern US-Produkte?

F.: Meiner Kenntnis nach nicht. Aber: Fragen sie die Abteilung Technische Sicherheit.

Notz: Erwirbt der BND Zero-Day-Exploits?

F.: Höre das Wort zum ersten Mal.

Notz: Auf dem Schwarzmarkt gehandelte Hintertür-Programme, mit denen man sich verdeckt Zugriff verschaffen kann.

F.: Habe keine Kenntnis über Zero-Day-Exploits.

Keine weiteren Fragen.

Ende

20:10: Ende der öffentlichen Sitzung. In 20 Minuten nicht-öffentliche Sitzung im Raum des Auswärtigen Ausschusses.

Sensburg: Danke den verbliebenen vier Vertretern von Journalisten und Öffentlichkeit.

[Das war’s für uns. Danke für’s Durchhalten.]