Als der Bundesdatenschutzbeauftragte den BND fragte, wie viele Daten er an die NSA übermittelt, war die Antwort: „580 Meldungen“ im Jahr 2012. Tatsächlich werden aber 1,3 Milliarden Metadaten übermittelt – jeden Monat. Das geht aus interner Kommunikation des Geheimdiensts hervor, die wir veröffentlichen. Die BND-Datenschutzbeauftragte kritisierte diese Antwort als „Falschauskunft“ – wurde aber von BND-Leitung und Bundeskanzleramt überstimmt.

Letzte Woche berichtete Kai Biermann auf Zeit Online: BND-Spionageaffäre: BND liefert NSA 1,3 Milliarden Metadaten – jeden Monat. Getreu unserem Motto „Uns liegen Dokumente nicht nur vor, wir veröffentlichen sie auch“, greifen wir das gerne auf und liefern Hintergründe und Originaldokumente.

Seit dem Sommer von Snowden versuchen vielerlei Institutionen, etwas Licht ins Geheimdienst-Dunkel zu bekommen, darunter auch der/die Bundesdatenschutzbeauftragte. Peter Schaar, Amtsinhaber bis Ende 2013, sagte vor dem Geheimdienst-Untersuchungsausschuss aus und ordnete einen Prüfbesuch beim BND in Bad Aibling an. Leider verwehrt uns seine Nachfolgerin Andrea Voßhoff den Prüfbericht dieses Besuchs. (Wir haben trotzdem einige der Ergebnisse veröffentlicht.)

Aber auch schriftliche Anfragen an den BND hat die Datenschutzbehörde gestellt, so beispielsweise zwei im Juli und eine Anfang August 2013. Wir haben jetzt interne Dokumente erhalten, die zeigen, wie der BND mit diesen Nachfragen der Kontrollbehörde umgeht – und sich eine ausweichende Antwort zurecht biegt.

Bundesdatenschutzbeauftragter: „Wie viele Daten an USA übermittelt?“

Nachdem im August 2013 bekannt wurde, dass BND und NSA auf Basis des „Memorandum of Agreement“ von 2002 zusammenarbeiten, stellte der stellvertretende Leiter des Referats für Polizei und Nachrichtendienste im BfDI eine eilige Anfrage ans für den BND zuständige Kanzleramt. Am 08. August wollte er wissen:

1. Auf welcher Rechtsgrundlage basiert diese Zusammenarbeit? Wie war die behördliche Datenschutzbeauftragte des BND eingebunden?
2. Wie ist diese Zusammenarbeit inhaltlich konkret ausgestaltet und in der Praxis durchgeführt worden? Welche (Arten) personenbezogener Daten sind in welchem Umfang (Anzahl) auf dieser Grundlage an US-Stellen übermittelt worden?
3. Wann und wie hat das Bundeskanzleramt zugestimmt?

BND-Abteilung Technische Aufklärung: „580 Meldungen an USA in 2012“

Daraufhin entfaltete sich einige Aktivität im BND, vor allem in Leitungsstab, Zentralabteilung und der für Massenüberwachung zuständigen Abteilung Technische Aufklärung, abgestimmt mit dem Bundeskanzleramt. Die SIGINT-Abteilung TA wollte mit folgenden, äußerst niedrigen Zahlen antworten:

Die Abteilung „Technische Aufklärung“ (TA) im BND hat im Jahr 2012 in 580 Fällen Meldungen bilateral an US-amerikanische, in 184 Fällen bilateral an britische Dienste und in 553 Fällen an multinationale Verbünde übermittelt. Davon enthielten insgesamt 879 Meldungen personenbezogene Daten, die aus Telekommunikationsverkehren stammen.

Im Jahr 2013 hat die Abteilung TA bis zum Stichtag 24. Juli 2013 in 200 Fällen Meldungen bilateral an US-amerikanische, in 55 Fällen bilateral an britische Dienste und in 220 Fällen an multinationale Verbünde übermittelt. Davon enthielten insgesamt 408 Meldungen personenbezogene Daten, die aus Telekommunikationsverkehren stammen. Informationen zur Anzahl der Übermittlungen in den Jahren 2009 bis 2011 liegen bei Abteilung TA nicht mehr, bzw. nicht mehr vollständig vor. Zu diesem Zeitraum ist daher keine verbindliche Aussage möglich.

BND-Datenschutzbeauftragte: „1,3 Milliarden Daten pro Monat“

Der behördlichen Datenschutzbeauftragten des BND, Regierungsdirektorin Dr. „H. F.“, die ebenfalls bereits im Geheimdienst-Untersuchungsausschuss aussagte, waren aber zu diesem Zeitpunkt bereits ganz andere Größenordnungen aufgefallen. Am 20. August telefonierte sie mit allen Abteilungen und verfasste einen „nur für den Dienstgebrauch“ eingestuften Vermerk, den wir unten in Volltext veröffentlichen. Darin heißt es unter anderem:

Auf Nachfrage habe ich Herrn Dr. K. [Bereich Parlamentarische Angelegenheiten] meinen Eindruck vom Besuch des behördlichen Datenschutzes bei der Abteilung Technische Aufklärung in Bad Aibling geschildert. Im Laufe des Gesprächs entstand der Eindruck, dass [ich als] Datenschutzbeauftragte von der Abteilung Technische Aufklärung trotz entsprechender Bitte nicht vollumfänglich über die Arbeit der Außenstelle Bad Aibling in Kenntnis gesetzt wurde. Insbesondere wurde die offenbar in großem Umfang erfolgende Weitergabe von ungefilterten Rohdaten aus der Fernmeldeaufklärung an [die NSA] nicht dargestellt. Mangels Kenntnis dieser Weitergabe von Daten an die US-Seite konnte keine datenschutzrechtliche Bewertung der Datenerhebung und ‑weitergabe erfolgen. […] Seiner Kenntnis nach finde eine entsprechende Datenweitergabe [die NSA] in großem Umfang (bis zu 1,3 Milliarden Daten pro Monat) statt.

Herr D. B. [Unterabteilungsleiter Technische Aufklärung] erklärte telefonisch einige Stunden später, die erwähnte Weitergabe von Rohdaten an [die NSA] sei in der Tat nicht explizit im Rahmen des Besuchs des behördlichen Datenschutzes in Bad Aibling erwähnt worden. Grund hierfür sei, dass man das Thema „Metadatenanalyse bzw. ‑erhebung“ habe zugunsten der Erörterung anderer Themen ausklammern wollen. Herr B. bestätigt auf Nachfrage, dass die vorgenannte Weitergabe von Rohdaten an [die NSA] in großem Umfang stattfinde. Es würden auf bestimmten Übertragungswegen im Ausland alle durch den BND erhobenen Daten an [die NSA] weitergegeben. Eine inhaltliche Sichtung bzw. eine Eingrenzung der erhobenen Daten anhand von wie auch immer gearteten Kriterien finde nicht statt. Stattdessen würden alle auf den betreffenden Strecken erhobenen Daten – bereinigt um Daten mit Deutschlandbezug – an [die NSA] weitergegeben. Auf meine Frage nach dem Inhalt der weitergegebenen Daten teilt er mit, dass es sich bei einem Teil der Daten um personenbezogene Daten handele.

Die Datenschutzbeauftragte schrieb weiterhin, dass sie „keinerlei rechtlichen Ansatz sehe, um die geschilderte Weitergabe von Metadaten […] rechtfertigen zu können“. Eigentlich dachte sie, dass die Überwachung in Bad Aibling „gerade noch den rechtlichen Grenzen […] gerecht werde“ – aber da die Abteilung Technische Aufklärung „willentlich oder unwillentlich wichtige Informationen vor [ihr] zurückgehalten habe“, „müsse ich mein Fazit revidieren“.

BND-Jurist: „Ja, wir geben Rohdaten ganzer Leitungen an USA…“

Daraufhin gab der G‑10-Jurist „A. F.“ (ebenfalls bereits im Ausschuss zu Gast) zu, dass man massenhaft „Rohdaten“ an die NSA weiterleitet:

In Bad Aibling werden [der NSA] G‑10-bereinigt

• Inhaltsdatensätze nach Treffer gesteuerter Selektoren
• sowie Metadatensätze aus nach nachrichtendienstlichen und Auftragsprofil der Bundesregierung-Gesichtspunkten ausgewählten Auslands-Auslands-Übertragungswegen in Krisengebiete, v.a. Afghanistan,

zur Verfügung gestellt.

Eine Statistik wurde bisher nicht geführt, ist aber eingeleitet. Die pressebekannte Größenordnung von 500 Millionen Datensätzen für den Monat Dezember 2012 erscheint plausibel.

BND-Jurist: „…aber das ist keine ‚Übermittlung’ “

Aber der Vollzugriff auf Rohdaten ganzer Kommunikationsstrecken sei keine „Übermittlung“:

Rechtsgrundlage für den Datenaustausch ist h.E. § 1 Abs. 2 Satz 1 BND-Gesetz; es handelt sich h.E. nicht um formelle Übermittlungen im Sinne von § 3 Abs. 1 Bundesdatenschutzgesetz bzw. § 9 Abs. 2 BND-Gesetz i.V.m. § 19 Abs. 3 Bundesverfassungsschutzgesetz und somit im Ergebnis nach hiesiger Wertung nicht um Übermittlungen im Sinne der Anfrage des BfDI.

Dazu gab es noch eine Hintergrund-Information zu Metadaten sowie ein Kurzgutachten zur Weitergabe von Metadaten an Ausländische Nachrichtendienste, die wir ebenfalls in Volltext veröffentlichen.

Juristen: „verschlägt einem die Sprache, offensichtlicher Unsinn“

Prof. Niko Härting, Rechtsanwalt und Kläger gegen den BND, kommentiert diese Rechtsauffassung gegenüber netzpolitik.org:

Das verschlägt einem Juristen die Sprache. Eine glasklare Datenübermittlung wird in eine „formelle Nicht-Übermittlung“ uminterpretiert mit der Folge, dass der BND „gefilterte“ Daten nach Herzenslust übermitteln darf. Wenn kein Gericht die Rechtsauslegung überwacht, schaffen sich findige BND-Juristen nach Belieben rechtsfreie Räume.

Ulf Buermeyer, Richter am Landgericht Berlin, kommentiert gegenüber netzpolitik.org:

Das ist offensichtlicher Unsinn, wie ein Blick in § 3 BDSG zeigt, der „Übermitteln“ definiert als:

das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass

1. die Daten an den Dritten weitergegeben werden oder
2. der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft.

Ich sehe nicht, dass es dafür eine Rechtsgrundlage gäbe, und zwar schon nicht für die Erhebung und auch nicht für die Weitergabe. Beides sind Eingriffe in Artikel 10 des Grundgesetzes, die einer entsprechenden Rechtsgrundlage bedürfen.

Das ist praktisch unumstritten, jedenfalls außerhalb von BND und Bundeskanzleramt.

Das sagten auch die drei renommierten Verfassungsrechtler Hans-Jürgen Papier, Wolfgang Hoffmann-Riem und Matthias Bäcker vor dem Geheimdienst-Untersuchungsausschuss: „Die gesamte deutsche Auslandsaufklärung ist rechtswidrig.“

BND-Datenschutzbeauftragte: „Verschweigen kommt Falschauskunft gleich“

Die Datenschutzbeauftragte des BND kritisierte diese Rechtsauffassung ebenfalls, wurde aber von Haus- und Abteilungsleitung überstimmt:

Ich habe ferner angekündigt, dass ich mir die Rechtsauffassung von [Abteilung Technische Aufklärung] und [dem Bereich Parlamentarische Angelegenheiten] zur Frage der rechtlichen Bewertung der Metadatenerfassung in Bad Aibling nicht zu eigen gemacht habe, da ich diese Auffassung nicht vertreten könne.

Daraufhin sagte sie, dass das Verschweigen „des Rohdatenaustauschs einer Falschauskunft gleichkomme“:

Ich sei im Übrigen der Auffassung, dass eine Beantwortung der sehr offenen Fragestellung des Bundesdatenschutzbeauftragten nur bezogen auf den Meldungsaustausch der Abteilung Technische Aufklärung unter Verschweigen des Erkenntnisaustauschs und des Rohdatenaustauschs einer Falschauskunft gleichkomme.

Im weiteren Verlauf der Diskussion erinnerte sie daran, dass der BND eine Überstützungspflicht gegenüber dem Bundesdatenschutzbeauftragten hat, die „eine effektive Kontrolle der Einhaltung der Vorschriften über den Datenschutz“ ermöglichen soll.

Offizielle Antwort: „Keine Übermittlungen nach dieser Rechtsvorschrift“

Am 23. August verschickte das Referat „Grundsatz, Rechtsangelegenheiten, G‑10“ der Abteilung Technische Aufklärung einen Entwurf für eine Antwort an den Bundesdatenschutzbeauftragten. Die folgenden drei Antworten sind Vollzitate, die etwas ausführlichere Antwort auf Frage 2a ist unten im Volltext.

BfDI: Auf welcher Rechtsgrundlage basiert die Zusammenarbeit zwischen BND und NSA?

BND: Die Zusammenarbeit erfolgt auf Grundlage von § 1 Abs. 2 BND-Gesetz.

BfDI: Wie erfolgt diese Zusammenarbeit konkret?

BND: [Was wir im September 2014 schonmal beschrieben haben, volle Antwort unten.]

BfDI: Welche Daten sind in welchem Umfang an US-Stellen übermittelt worden?

BND: Auf den Antwortbeitrag vom 30. Juli 2013 zu den Anfragen des Bundesdatenschutzbeauftragten vom 05. und 23. Juli 2013 wird verwiesen. Dort wird unter Ziffer 1. Umfang/Anzahl der Übermittlungen und unter Ziffer B I. und III. die Arten personenbezogener Daten dargestellt.

BfDI: Wann und wie hat das Bundeskanzleramt zugestimmt?

BND: Eine Zustimmung des Bundeskanzleramtes nach [dieser Rechtsvorschrift] ist nicht erfolgt, da Übermittlungen an US-Behörden nicht auf Basis [dieser Rechtsvorschrift] erfolgen.

Wortkarge Abwimmelung und Falschauskunft durch Verschweigen der „Weitergabe von Rohdaten in großem Umfang“.

BND-Datenschutzbeauftragte: „Thema Datenschutz nicht intensiv genug gewidmet“

Fünf Tage später, am 28. August, verfasste die BND-Datenschutzbeauftragte „H. F. einen weiteren Vermerk, in dem sie ein Resümee zum Vorgang zog. Darin macht sie erneut deutlich, dass sie die so genannte „Weltraumtheorie“ ablehnt:

Der [Leitungsstab, Bereich Parlamentarische Angelegenheiten/Haushalt/Organisation/Koordination] vertritt unverändert die Auffassung, dass die Erhebung der Metadaten mittels der Satellitenempfangsanlagen in Bad Aibling eine Datenerhebung an ausländischen Satelliten darstellt. Eine solche Datenerhebung finde außerhalb des Geltungsbereichs des BND-Gesetzes und des Bundesdatenschutzgesetzes statt. Ich habe nochmals darauf hingewiesen, dass es sich um eine Datenerhebung von deutschem Boden aus, mittels in deutschem Eigentum stehender Satellitenanlagen, die von deutschen Beamten bedient werden, handelt. Nach meiner Auffassung finde daher sehr wohl deutsches Datenschutzrecht Anwendung. Nach eingehender Diskussion wird festgestellt, das sowohl Leitungsstab als auch die BND-Datenschutzbeauftragte auf ihrer jeweiligen Meinung beharren. Leitungsstab teilte mit, dass eine Abkehr von der Rechtsauffassung der Leitung auch nicht mehr möglich sei, da Chef Bundeskanzleramt sich für diese Rechtsauffassung ausgesprochen habe. Ich habe darauf hingewiesen, dass ich davon ausgehe, dass der Bundesdatenschutzbeauftragte die vorgenannte Rechtsauffassung von Leitungsstab nicht teilen werde und darum gebeten, dass dies Herrn Präsidenten mitgeteilt wird. Ich habe ergänzt, dass ich mir auch kaum vorstellen könne, dass der Bundesdatenschutzbeauftragte die vorgenannte Rechtsauffassung für vertretbar erachte und daher von einer Beanstandung absehen werde. Auf Nachfrage habe ich Leitungsstab erläutert, was die Folgen einer solchen Beanstandung wären (Aufnahme der Beanstandung in den Tätigkeitsbericht des Bundesdatenschutzbeauftragten, Diskussion im Bundestag, damit verbunden vermutlich ein Aufgreifen der Thematik in den Medien). Ich habe ferner auf Nachfrage erläutert, dass der Bundesdatenschutzbeauftragte keine exekutiven Befugnisse hat und daher den BND nicht zwingen kann, die Erfassung in Bad Aibling einzustellen.

Zudem weisst sie daraufhin, „dass in der Abteilung Technische Aufklärung offenbar mehrere Datenbanken benutzt werden, in denen personenbezogene Daten enthalten sind und die trotz entsprechender Verpflichtung nicht als Auftragsdatei beim behördlichen Datenschutz angemeldet wurden“. Und: „Ich habe ferner meinen Eindruck geschildert, dass die Abteilung Technische Aufklärung sich in der Vergangenheit dem Thema Datenschutz nicht intensiv genug gewidmet hat.“

Die Antwort an den Bundesdatenschutzbeauftragten wollte sie „Anfang der kommenden Woche an den Leitungsstab zwecks Vorlage bei der Leitung übermitteln“. Leider haben wir derzeit die endgültige, offizielle Antwort noch nicht vorliegen. Wir gehen aber davon aus, dass sich das Schreiben nicht mehr großartig geändert hat. Und dass die „Weitergabe von Rohdaten in großem Umfang“ verschwiegen wurde.

Wir haben bereits am Dienstag die Bundesdatenschutzbeauftragte kontaktiert und neben inhaltlichen Nachfragen auch die offizelle Anfrage und Antwort erbeten. Eine inhaltliche Antwort haben wir noch nicht. Am Mittwoch will sich Andrea Voßhoff persönlich mit dem zuständigen Fachreferat treffen und diesen Vorgang besprechen. Wir werden die Antwort nachtragen, sobald wir sie haben.

Zudem haben wir Informationsfreiheits-Anfragen zu allen Anfragen und Antworten gestellt.

Im Folgenden alle genannten Originaldokumente:

---

• Einstufung: VS-Nur für den Dienstgebrauch
• Autorin: BND, Regierungsdirektorin Dr. „H. F.“, behördliche Datenschutzbeauftragte
• Datum: 20. August 2013

Anfragen des BfDI zum Thema PRISM/TEMPORA

Bezug:

1. Telefonat mit PLSA/Herrn Dr. K. am 20.08.2013
2. Telefonat mit UAL T2/Herrn B. vom 20.08.2013
3. Telefonat mit TAG/Herrn F. vom 20.08.2013
4. Telefonat mit PLSA/Herrn Dr. K. und Frau F. vom 20.08.2013

Auf Nachfrage habe ich Herrn Dr. K./PLSA meinen Eindruck vom Besuch des behördlichen Datenschutzes bei Abt. TA/Bad Aibling geschildert. Im Laufe des Gesprächs entstand der Eindruck, dass ZYFD von Abt. TA trotz entsprechender Bitte nicht vollumfänglich über die Arbeit der Außenstelle Bad Aibling in Kenntnis gesetzt wurde. Insbesondere wurde die offenbar in großem Umfang erfolgende Weitergabe von ungefilterten Rohdaten aus der FmA an US-SUSLAG nicht dargestellt. Mangels Kenntnis dieser Weitergabe von Daten an die US-Seite konnte keine datenschutzrechtliche Bewertung der Datenerhebung und ‑weitergabe erfolgen. Herr Dr. K. teilte mit, die Frage der mglw. nicht vollständigen Einweisung des behördlichen Datenschutzes in die Arbeitsweise der Dienststelle Bad Aibling mit UAL T2/Herrn B. aufgreifen zu wollen. Seiner Kenntnis nach finde eine entsprechende Datenweitergabe an US-SUSLAG in großem Umfang (bis zu 1,3 Milliarden Daten pro Monat) statt.

Herr B. erklärte telefonisch einige Stunden später, die seitens PLSA erwähnte Weitergabe von Rohdaten an US-SUSLAG sei in der Tat nicht explizit im Rahmen des Besuchs des behördlichen Datenschutzes in Bad Aibling erwähnt worden. Grund hierfür sei, dass man das Thema „Metadatenanalyse bzw. ‑erhebung“ habe zugunsten der Erörterung anderer Themen ausklammern wollen. Herr B. bestätigt auf Nachfrage, dass die vorgenannte Weitergabe von Rohdaten an US-SUSLAG in großem Umfang stattfinde. Es würden auf bestimmten Übertragungswegen im Ausland alle durch den BND erhobenen Daten an US-SUSLAG weitergegeben. Eine inhaltliche Sichtung bzw. eine Eingrenzung der erhobenen Daten anhand von wie auch immer gearteten Kriterien finde nicht statt. Stattdessen würden alle auf den betreffenden Strecken erhobenen Daten – bereinigt um Daten mit Deutschlandbezug – an US-SUSLAG weitergegeben. Auf meine Frage nach dem Inhalt der weitergegebenen Daten teilt er mit, dass es sich bei einem Teil der Daten um personenbezogene Daten handele.

Ich habe mitgeteilt, dass ich keinerlei rechtlichen Ansatz sehe, um die geschilderte Weitergabe von Metadaten im geschilderten Umfang ohne jedwede Art von Erforderlichkeitsprüfung bzw. Prüfung des Vorliegens der Übermittlungsvoraussetzungen von § 9 Abs. 2 BNDG i. V. m. § 19 Abs. 3 BVerfSchG rechtfertigen zu können. Ich habe ihn ferner gefragt, wie die Stellungnahme der Abt. TA vom 02. August 2013 zu den vom BfDI erhobenen Fragen im Hinblick auf diesen für ZYFD neuen Sachverhalt bewertet werde. Er teilt mit, dieser Frage nochmals nachgehen zu wollen und zu diesem Zweck Kontakt zum innerhalb der Abt. TA federführenden Bereich TAG aufnehmen zu wollen.

Herr F./TAG rief kurze Zeit später an und erkundigte sich nach meinen Eindrücken vom Besuch in Bad Aibling. Ich habe ihm mitgeteilt, dass ich zunächst keinen schlechten Eindruck gewonnen habe, da die in Bad Aibling geschilderte Art des Erkenntnisaustausches mit US-SUSLAG meiner Einschätzung nach so gerade noch den rechtlichen Grenzen von § 9 Abs. 2 BNDG i. V. m. § 19 Abs. 3 BVerfSchG gerecht werde. Nachdem ich jedoch nunmehr durch eine Bemerkung von PLSA/Herrn Dr. K. erfahren hätte, dass eine deutlich weitergehender Informationsweitergabe an US-SUSLAG keine Erwähnung gefunden habe, müsse ich mein Fazit revidieren. Ich habe mitgeteilt, dass ich nunmehr den Eindruck gewonnen habe, dass Abt. TA willentlich oder unwillentlich wichtige Informationen vor ZYFD zurückgehalten habe. Herr F. teilte mit, dass Abt. TA dazu neige, sensitive Dinge sehr kryptisch auszudrücken bzw. beschönigend zu formulieren. Er gehe jedoch davon aus, dass es sich nicht um eine absichtliche Fehlinformation des behördlichen Datenschutzes handele. Auf meinen Einwand, dass die seitens Abt. TA zugearbeitete Stellungnahme zu den Fragen des BfDI nicht auf diesen Aspekte eingebe, bestätigt Herr F. dies. Lediglich in einem internen Hinweis werde die Thematik am Rande angerissen. Er gehe davon aus, dass ZYFD diesen Hinweis nicht habe in den richtigen Kontext einsortieren können. Die Nichtnennung der Zusammenarbeit mit US-SUSLAG im Antwortvorschlag für den BfDI sei darauf zurückzuführen, dass Abt. TA die Datenerhebung in Bad Aibling nicht als Datenerhebung im Geltungsbereich des BNDG erachte. Daher bestehe keine Kontrollzuständigkeit des BfDI. Die vorgenannte Rechtsauffassung sei von Leitungsstab und Rechtsreferat mitgetragen worden und binde daher auch den behördlichen Datenschutz. Ich habe darauf hingewiesen, dass eine Rechtsauffassung von L ZYF und Leitungsstab den behördlichen Datenschutz aufgrund seiner Weisungsfreiheit (gemäß § 4f Abs. 3 S. 2 BDSG) nicht binde. Ich sei im Übrigen der Auffassung, dass eine Beantwortung der sehr offenen Fragestellung des BfDI nur bezogen auf den Meldungsaustausch der Abt. TA unter Verschweigen des Erkenntnisaustauschs und des Rohdatenaustauschs einer Falschauskunft gleichkomme. Selbst dann, wenn die vorgenannte Rechtsauffassung von ZYF, Abt. TA und Leitungsstab vertreten werde, müsse der BfDI zumindest darauf hingewiesen werde, dass der BND diese Rechtsauffassung vertritt und seine Antwort an dieser Rechtsauffassung orientiert habe. Herr F. stimmte mir diesbezüglich zu und kündigte an, bis Mittwochmorgen eine ergänzende Stellungnahme zwecks Aufnahme in das Schreiben an den BfDI vorlegen zu wollen.

Herr Dr. K. kündigte später telefonisch an, dass der Leitungsstab einige wenige Änderungen im Änderungsmodus in das Schreiben von ZYFD ans BKAmt und an den BfDI einarbeiten werde und die Schreiben sodann mit den Änderungen Herrn Präsidenten vorlegen wolle. Er werde telefonisch Bescheid geben, sobald Herr Präsident sein Einverständnis mit den Schreiben erteilt habe. Ich habe nochmals darauf hingewiesen, dass ich die Beantwortung der Fragen des BfDI nur hinsichtlich des von Abt. TA benannten Meldungsaustausches nicht für ausreichend erachte. Er teilte nochmals mit, dass eine weitergehende Beantwortung vonseiten der Leitung nicht gewünscht sei.

Frau F. teilt abends telefonisch mit, dass Herr Präsident sein Einverständnis mit den durch PLSA überarbeiteten Versionen der Schreiben an BKAmt und BfDI gegeben habe. Die überarbeiteten Versionen werde sie in die VS-Dropbox von ZYFD einstellen. ZYFD möge an einer Stelle noch ergänzende Daten bei Abt. TA einholen und die Schreiben sodann versenden. Ich habe um eine kurze schriftliche Bestätigung gebeten, dass der Inhalt der Schreiben dem entspricht, was aus Sicht der Leitung gegenüber dem BfDI mitgeteilt werden soll. Eine solche Bestätigung wurde zugesagt.

Dr. F.

---

• Einstufung: VS-Nur für den Dienstgebrauch
• Autor: BND, „A. F.“, G‑10-Jurist
• Datum: 21. August 2013

Hintergrund Metadaten

Hinzuweisen ist noch darauf, dass Metadatensätze nicht gleichzusetzen mit Kommunikationsvorgängen sind sowie diese Datensätze nicht personenbezogen sein können.

Metadaten sind nicht nur Verbindungsdaten (z.B. E‑Mail-Adressen oder Telefonnummern), sondern alle Daten, die technisch erzeugt werden und für die Abwicklung des Verkehrs notwendig sind. Metadaten sind also auch zum Beispiel bei Mobilfunk automatische Abfragen über die Zulässigkeit von Roaming, Ein- und Ausschalten des Mobil-Telefons oder Meldungen zur Sendesignalstärke.

Metadaten fallen auch in großem Umfang beim IP-Verkehren neben der E‑Mail-Adresse an, zum Beispiel

• Anfrage des Startbildschirmes eines Webmail-Dienstleisters (z.B. Hotmail.com)
• Setzen oder Abfragen eines Cookies
• Senden eines Pop-up-Fensters
• Mausklick auf einen Hyperlink (neue Seite) oder einen Button
• Absenden von Bildschirmeingaben
• Einblenden von Werbebannern
• Einrichten einer verschlüsselten Verbindung

Hilfsweise/lediglich subsidiär wäre durch die Ausgestaltung der technischen Systeme h.E. auch die Tatbestandsvoraussetzungen §§ 9 BNDG, 19 BVerfSchG erfüllt.

---

• Einstufung: VS-Nur für den Dienstgebrauch
• Autor: BND, TAG



Kurzgutachten zur Weitergabe von Metadaten an AND (außerhalb des Anwendungsbereiches des G10)

Alle vom BND an die NSA in Bad Aibling weitergegebenen Daten werden G10-bereinigt. Eine Übermittlung von Daten von deutschen Telekommunikationsverkehren, die dem Femmeldegeheimnis nach Art. 10 GG unterfallen, wird damit verhindert.

§ 1 Abs. 2 BNDG lautet:

Der Bundesnachrichtendienst sammelt zur Gewinnung von Erkenntnissen über das Ausland, die von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland sind, die erforderlichen Informationen und wertet sie aus. Werden dafür im Geltungsbereich dieses Gesetzes Informationen einschließlich personenbezogener Daten erhoben, so richtet sich ihre Erhebung, Verarbeitung und Nutzung nach den §§ 2 bis 6 und 8 bis 11.

Die Bestimmungen der §§ 2 bis 6 und 8 bis 11 BNDG finden somit nur für Datenerhebungen im Inland Anwendung. Die Vorschrift für die Übermittlung von personenbezogenen Daten durch den BND ist § 9 BNDG i. V. mit § 19 Bundesverfassungsschutzgesetz geregelt. Werden also Informationen einschließlich personenbezogener Daten im Ausland außerhalb des Geltungsbereichs des BNDG erhoben, findet § 9 BNDG nach § 1 Abs. 2 Satz 2 BNDG keine Anwendung (argumentum e contrario). In diesem Fall greifen auch nicht die dortigen Vorgaben für eine Übermittlung.

Der Gesetzgeber sah sich bei Schaffung des BNDG vor dem Hintergrund des Urteils des BVerfG zur Volkszählung (BVerfGE 65, S. 1 ff.) zum Schutze des Allgemeinen Persönlichkeitsrechts gehalten, für in Deutschland stattfindende Eingriffe in Lebenssachverhalte eine verfassungsgemäße Eingriffsbefugnis (betreffend die Datenerhebung sowie – Verarbeitung und Nutzung) zu schaffen. Anknüpfungspunkt ist hierbei der Lebenssachverhalt, in den eingegriffen werden soll. Werden bspw. Daten durch Observationen in Deutschland erhoben, sind hierbei die vorgenannten Bestimmungen des BNDG zu beachten. Diese Auffassung wird systematisch gestützt durch die Tatsache, dass für den BND als Auslandsnachrichtendienst im BND-Gesetz keine eigene Übermittlungsnorm für die Datenweitergabe an ausländische Stellen geschaffen wurde, sondern lediglich eine Verweisung auf die Übermittlungsvorschrift des Inlandsnachrichtendienstes BfV.

Gleichzeitig war es dem Gesetzgeber aufgrund des völkerrechtlichen Souveränitätsprinzips verwehrt, in einem deutschen Gesetz Eingriffsbefugnisse für das und im Ausland zu schaffen.

Vor diesem Hintergrund stellen Datenerhebungen, die ausschließlich an ausländischen Lebenssachverhalten ansetzen, keine Datenerhebungen im Geltungsbereich des BNDG, d.h. in Deutschland, dar. Dies ist vorliegend der Fall:

Die an die NSA weitergeleiteten Metadaten werden zum einen in Afghanistan durch eine dortige Satellitenempfangsanlage und durch dortiges Abgreifen von Richtfunkstrecken erhoben, so dass es sich um eine Datenerhebung im Ausland handelt.

Die Satellitenempfangsanlagen in Bad Aibling greifen von ausländischen Satelliten (zum Beispiel von Satelliten, die Verkehre der Region Afghanistan/Pakistan fuhren) Datenströme ab und leiten sie nach Bad Aibling. Die Erhebung findet somit an ausländischen Satelliten statt, also ebenfalls außerhalb des Geltungsbereichs des BNDG.

Im Gegensatz zu Lebenssachverhalten, in denen ein unmittelbarer Deutschlandbezug gegeben ist, beispielsweise wenn Daten bei in Deutschland ansässigen Unternehmen oder im Rahmen einer Observation in Deutschland erhoben werden, besteht bei den vorliegend betroffenen reinen Auslandstelekommunikationen kein derartiger Deutschlandbezug. Während eine Person, die ein in Deutschland ansässiges Unternehmen (TK, Bank, Fluggesellschaft) nutzt oder sich in Deutschland aufhält, davon ausgehen darf und kann, dass diesbezügliche Datenerhebungen auf Basis einer klaren verfassungsgemäßen Eingriffsbefugnis erfolgen, gilt dies bei Lebenssachverhalten wie der reinen Auslandstelekommunikation nicht.

Da somit vorliegend keine Daten im Sinne des § 1 Abs. 2 S. 2 BNDG „im Geltungsbereich des Gesetzes“ erhoben werden, findet in der Konsequenz auch § 9 BNDG keine Anwendung.

- TA übermittelt Daten auch an multinationale Empfänger. z.B. ISAF. Auf diese Datenbestände haben auch USATF und GBRTF eine Zugriffsmöglichkeit. Übermittlungsempfänger ist und bleibt jedoch der rechtlich selbständige multinationale Empfänger, so dass die hieraus (indirekt) folgende Zugriffsmöglichkeit USATF/GBRTF nicht als Übermittlungsempfänger/Übermittlung im Sinne der Anfrage des BfDI zu werten ist.

- Die Nachrichtengewinnung der Abteilung T1 betreibt hinsichtlich der Erfassungsergebnisse von Auslandsstrecken für Krisengebiete bezogen auf bestimmte Gefahrenphänomene in der Außenstelle in Bad Aibling eine SIGINT-Kooperation und leitet in diesem Rahmen unter strikter G10-Filterung bestimmte, vorher festgelegte Daten an USATF. Ggf. von diesen Daten betroffene natürliche Personen können dabei ggf. lediglich aufgrund eines im Einzelfall eventuell vorhandenen Zusatzwissens identifiziert werden, so dass ggf. der Personenbezug im Sinne des BDSG verneint werden kann (Gola/Schomerus, BDSG, § 3 Rdnr. 10).

- Darüber hinaus kann vertreten werden, dass Metadaten der Telekommunikation von Ausländern im Ausland (Telefonnummer oder E‑Mail-Adresse) – zumindest zum Großteil – keine personenbezogenen Daten darstellen. Ein Datum ist nach der Legaldefinition des § 3 Abs. 1 BDSG dann personenbezogen, wenn es eine Person bestimmt oder bestimmbar macht. Eine Bestimmbarkeit ist dann nicht gegeben, wenn die Person nur mit unverhältnismäßigem Aufwand ermittelbar ist (vergl. § 3 Abs. 6 BDSG). Bei „deutschen“ Telefonnummern oder E‑Mail-Adressen ist dies der Fall, da die Sicherheitsbehörden nach dem Telekommunikationsgesetz die Bestandsdaten bei den Providern abfragen und damit die Person relativ einfach ermitteln können (§§ 112, 113 TKG).

Dahingehend besteht diese einfache Abfragemöglichkeit bei ausländischen Anschlusskennungen ggf. nicht. In praktischer Hinsicht besteht keine Möglichkeit, mit einem verhältnismäßigen Aufwand den konkreten Anschlussinhaber einer bestimmten Anschlusskennung im Ausland abschließend / Belastbar festzustellen. Während aufgrund der (internationalen) Vorwahlen noch das betreffende Land sowie (bei Festnetzanschlüssen) auch die Stadt/Region ohne unverhältnismäßigem Aufwand festgestellt werden können, gilt dies für die Feststellung des konkreten ausländischen Anschlussinhabers nicht mehr. Häufig fehlt es in den relevanten ausländischen Staaten an aktuellen, vollständigen Rufnummernverzeichnissen wie man sie aus Deutschland kennt. Die Argumentation eines nicht vertretbaren Verwaltungsaufwandes wird auch dadurch gestützt, dass es sich bei den weitergeleiteten Metadaten um Daten in einem Rohzustand handelt, die vor ihrer Verwertung erst aufgearbeitet werden müssen.

---

• Einstufung: VS-Nur für den Dienstgebrauch
• Autor: BND, TAG
• Datum: 23. August 2013

Anfrage Nr. 3 BfDI vom 08.08.2013 „Kooperation mit AND“

Vorbemerkung:

Der behördliche Datenschutz im BND steht in regelmäßigem Kontakt mit der Abteilung „Technische Aufklärung“ (TA) und hat auch in den vergangenen Monaten mehrere Besprechungen und Gespräche mit Abteilung TA geführt. Im Rahmen dieser Gespräche wurde deutlich. dass einige Aspekte der Arbeit der Abteilung TA einer tiefergehenden datenschutzrechtlichen Begleitung bedürfen. So wurde z. B. Festgestellt, dass für ein von Abteilung TA genutztes Fachinformationssystem, in dem auch personenbezogene Daten gespeichert werden, keine Dateianordnung i. S. d. § 6 BNDG i. V. m. § 14 BVerfSchG vorliegt. Der behördliche Datenschutz hat daher gemeinsam mit Abteilung TA beschlossen, ein zunächst auf zwei Jahre befristetes Projekt „Datenlandschaft Abteilung TA“ ins Leben zu rufen. Ziel des Projektes ist die Verbesserung des Datenschutzes in Abt. TA und die verstärkte Sensibilisierung der Mitarbeiterinnen und Mitarbeiter von Abt. TA für datenschutzrechtliche Belange. Dieses Ziel soll durch vierteljährlich stattfindende Beratungsbesuche des behördlichen Datenschutzes bei Abt. TA sowie durch die Schaffung einer neuen, eigens auf die Bedürfnisse von Abt. TA zugeschnittenen datenschutzrechtlichen Schulung erreicht werden. Die Schulung, die durch den behördlichen Datenschutz durchgeführt werden wird, soll sich zunächst an die Vorgesetztenebene der Abt. TA (Sachgebietsleiter, Referatsleiter) und danach an die Nachrichtenbearbeiter der Arbeitsebene richten. Ergänzend sollen regelmäßige Workshops angeboten werden, in denen die Nachrichtenbearbeiter der Arbeitsebene datenschutzrechtliche Fragen aus ihrer täglichen Arbeitspraxis aufgreifen und mit dem behördlichen Datenschutz diskutieren können. Die Ergebnisse der Workshops bzw. die dort wiederholt genannten Fragestellungen sollen in ein „FAQ Datenschutz Abteilung TA“ einfließen, das ins Intranet der Abteilung TA eingestellt werden soll.

Der nächste Beratungsbesuch des behördlichen Datenschutzes bei Abt. TA ist für Oktober 2013 vorgesehen. Die erste Schulung für Mitarbeiterinnen und Mitarbeiter der Abteilung TA ist ebenfalls für Oktober 2013 geplant. Der behördliche Datenschutz hat Abt. TA darüber hinaus gebeten, für das vorgenannte Fachinformationssystem der Abteilung TA das erforderliche Dateianordnungsverfahren einzuleiten. Der behördliche Datenschutz wird dem BfDI den Entwurf der Dateianordnung unter Bezugnahme auf seine Beratungsfunktion gemäß § 26 Abs. 3 BDSG, § 11 BNDG zeitnah zukommen lassen.“

Mit Zustimmung des Bundeskanzleramtes soll der BND mit der NSA bzw. US-Stellen, insbesondere im Jahr 2002, Vereinbarungen zur Zusammenarbeit u.a. am BND-Standort im bayerischen Bad Aibling geschlossen haben. Ich bitte um die Übersendung dieser Vereinbarung(en) und die Beantwortung folgender Fragen:

Frage 1:

Auf welcher/welchen Rechtsgrundlagen basiert diese Zusammenarbeit? Sollte insoweit § 9 Abs. 2 BNDG i.V.m. § 19 Abs. 4 Sätze 2 bis 5 BVerfSchG als Rechtsgrundlage fungiert haben, bitte ich um detaillierte Darlegung, wie die Voraussetzungen des § 19 Abs. 4 Sätze 3 bis 5 BVerfSchG umgesetzt worden sind. […]

Die Zusammenarbeit erfolgt auf Grundlage von § 1 Abs. 2 BND-Gesetz.

Frage 2:

a) Wie ist diese Zusammenarbeit inhaltlich konkret ausgestaltet und in der Praxis durchgeführt worden?

Die BND-Dienststelle Bad Aibling erfasst internationale Fernmeldeverkehre. Dabei kommt im Wesentlichen von der NSA beschaffte Erfassungstechnik zum Einsatz, die vom BND betrieben wird. Die Antennenanlage wurde dem BND 1995 von der US-Regierung überlassen.

In Bad Aibling werden einerseits der NSA spezifische Inhaltsdatensätze nach Treffer gesteuerter Suchbegriffe sowie Metadatensätze aus nach APB-Gesichtspunkten ausgewählten spezifischen Auslands-Auslands-Übertragungswegen in Krisengebiete, v.a. Afghanistan, G10-bereinigt zur Verfügung gestellt.

Hauptaspekte dieser Zusammenarbeit sind die Lage und Gefährdung in Afghanistan (insbesondere auch in Zusammenhang mit „force protection“ der Bundeswehr“) sowie weitere Einsatzgebiete der Bundeswehr oder Krisengebiete [geschwärzt]

Ein wesentlicher Teil der Zusammenarbeit war und ist neben der Zurverfügungstellung der Daten die technische Ertüchtigung des BND durch die NSA, um mit der technischen Entwicklung in der Telekommunikation Schritt halten zu können. Hierfür stationierte die NSA technisches Personal in Bad Aibling und stellte dem BND Geräte und Software zur Lesbarmachung moderner Telekommunikationsverfahren zur Verfügung (ein Beispiel für eine solche Software ist die im Juli 2013 über mehrere Wochen in der Presse dargestellte Erlassungs- und Analysesoftware „XKeyScore“). Der Einsatz und Nutzung der Geräte und Software erfolgt unter ausschließlicher Hoheit des BND.

Andererseits erfolgt Rahmen der Zielerkundung eine Zusammenarbeit in Form von Trainingsmaßnahmen der NSA zum Programm XKeyScore. Eine Zusammenarbeit in Bezug auf konkrete nachrichtendienstliche Ziele wird in Bad Aibling derzeit nicht durchgeführt.

b) Welche (Arten) personenbezogener Daten sind in welchem Umfang (Anzahl) auf dieser Grundlage an US-Stellen übermittelt worden?

Auf den Antwortbeitrag vom 30. Juli 2013 zu den Anfragen des Bundesdatenschutzbeauftragten vom 05. und 23. Juli 2013 wird verwiesen. Dort wird unter Ziffer 1. Umfang/Anzahl der Übermittlungen und unter Ziffer B I. und III. die Arten personenbezogener Daten dargestellt.

Frage 3:

Wann, in welcher Form und mit welchem Inhalt hat das Bundeskanzleramt die nach § 9 Abs. 2 Satz 1 2. Halbsatz BNDG erforderliche Zustimmung erteilt? Wann, in welcher Form und mit welchem Inhalt sind die entsprechenden Zustimmungen vom BND beantragt worden?

Eine Zustimmung des Bundeskanzleramtes nach § 9 Abs. 2 BNDG i. V. m. § 19 Abs. 4 BVerfSchG ist nicht erfolgt, da Übermittlungen an US-Behörden nicht auf Basis § 9 Abs. 2 BNDG i. V. m. § 19 Abs. 4 BVerfSchG erfolgen.

---

• Einstufung: VS-Nur für den Dienstgebrauch
• Autorin: BND, Regierungsdirektorin Dr. „H. F.“, behördliche Datenschutzbeauftragte
• Datum: 28. August 2013

BfDI zum Thema PRISM/TEMPORA

Bezug: laufender Vorgang, zuletzt Erörterung des weiteren Umgangs mit der Anfrage vom 08.08.2013 zwischen PLSA/Frau F. und ZYFD/Frau Dr. F. am 28.08.2013

Ich habe mit PLSA/Frau F. eingehend über die rechtliche Bewertung der Erhebung und Weiterleitung des Metadatenstroms in Bad Aibling an die NSA diskutiert. PLSA vertritt unverändert die Auffassung, dass die Erhebung der Metadaten mittels der Satellitenempfangsanlagen in Bad Aibling eine Datenerhebung an ausländischen Satelliten darstellt. Eine solche Datenerhebung finde außerhalb des Geltungsbereichs des BNDG und des BDSG statt. Ich habe nochmals darauf hingewiesen, dass es sich um eine Datenerhebung von deutschem Boden aus, mittels in deutschem Eigentum stehender Satellitenanlagen, die von deutschen Beamten bedient werden, handelt. Nach meiner Auffassung finde daher sehr wohl deutsches Datenschutzrecht Anwendung. Nach eingehender Diskussion wird festgestellt, das sowohl PLSA als auch ZYFD auf ihrer jeweiligen Meinung beharren. PLSA teilte mit, dass eine Abkehr von der Rechtsauffassung der Leitung auch nicht mehr möglich sei, da Chef BK sich für diese Rechtsauffassung ausgesprochen habe. Ich habe darauf hingewiesen, dass ich davon ausgehe, dass der BfDI die vorgenannte Rechtsauffassung von PLSA nicht teilen werde und darum gebeten, dass dies Herrn Präsidenten mitgeteilt wird. Ich habe ergänzt, dass ich mir auch kaum vorstellen könne, dass der BfDI die vorgenannte Rechtsauffassung für vertretbar erachte und daher von einer Beanstandung absehen werde. Auf Nachfrage habe ich PLSA erläutert, was die Folgen einer solchen Beanstandung wären (Aufnahme der Beanstandung in den Tätigkeitsbericht des BfDI, Diskussion im Bundestag, damit verbunden vmtl. ein Aufgreifen der Thematik in den Medien). Ich habe ferner auf Nachfrage erläutert, dass der BfDI keine exekutiven Befugnisse hat und daher den BND nicht zwingen kann, die Erfassung in Bad Aibling einzustellen.

Ich habe PLSA ferner mitgeteilt, dass ZYFD in den vergangenen Tagen durch mehrere Hinweise aus Abt. TA zur Kenntnis gelangt ist, dass in Abt. TA offenbar mehrere Datenbanken benutzt werden, in denen personenbezogene Daten enthalten sind und die trotz entsprechender Verpflichtung nicht als Auftragsdatei beim behördlichen Datenschutz angemeldet wurden. Aus diesem Grunde habe kein Dateianordnungsverfahren gemäß § 6 BNDG durchgeführt werden können. Anhand der Schilderung des Inhalts der Datenbanken sei auch fraglich, ob alle betroffenen Datenbanken überhaupt geeignet seien, ein Dateianordnungsverfahren durchzuführen, oder ob aufgrund der nicht datenschutzkonformen Konzeption der Datenbanken eine Erteilung der erforderlichen Zustimmung des BKAmtes zur Dateianordnung von vornherein ausgeschlossen sei. Ich habe ferner meinen Eindruck geschildert, dass Abt. TA sich in der Vergangenheit dem Thema Datenschutz nicht intensiv genug gewidmet hat. Der behördliche Datenschutz habe aktuell keine Vorstellung davon, wie in Abt. TA mit welchen Datenbanken und welchen personenbezogenen Daten wo gearbeitet wird. Auch die vorgenannte, aus hiesiger Sicht vmtl. in Teilen datenschutzrechtswidrige Verarbeitung personenbezogener Daten durch Abt. TA sollte Herrn Präsidenten mitgeteilt werden. Ein Aufarbeiten der datenschutzrechtlichen Themen bei Abt. TA sei im Übrigen nur dann erfolgversprechend, wenn die Leitung gegenüber Abt. TA signalisiere, dass dies gewünscht sei. Vor diesem Hintergrund wäre eine Intervention der Leitung aus Sicht des behördlichen Datenschutzes sehr hilfreich. PLSA teilte mit, dass die Leitung bereits den Wunsch geäußert habe, ein Gespräch mit ZYFD zu führen. Sie gehe davon aus, dass ein solches Gespräch zeitnah stattfinden werde.

Im Hinblick auf die noch ausstehende Beantwortung des dritten Schreibens des BfDI vom 08.08.2013 habe ich mitgeteilt, dass das Schreiben fertiggestellt sei. Ich habe ferner angekündigt, dass ich mir die Rechtsauffassung von Abt. TA und PLSA zur Frage der rechtlichen Bewertung der Metadatenerfassung in Bad Aibling nicht zu eigen gemacht habe, da ich diese Auffassung nicht vertreten könne. Ich hätte daher die Rechtsauffassung als die der Abt. TA dargestellt und ergänzend erläutert, dass diese Rechtsauffassung von der Leitung geteilt werde. Eine eigene rechtliche Stellungnahme durch den behördlichen Datenschutz sei nicht erfolgt. PLSA teilte mit, dass die geschilderte Verfahrensweise vmtl. von der Leitung mitgetragen werden könne. Wir sind so verblieben, dass ich den mit Abt. TA abgestimmten Entwurf der Antwort auf das dritte Schreiben des BfDI Anfang der kommenden Woche an PLSA zwecks Vorlage bei der Leitung übermitteln werde.

Dr. F.