DE-CIX verliert vor BVerwG - BND darf weiter spitzeln!
Datenschutz

DE-CIX verliert vor BVerwG – BND darf weiter spitzeln!

Der deutsche Auslandsnachrichtendienst BND darf weiter den deutschen Internetknotenpunkt DE-CIX aushorchen und anzapfen. Des BVerwG hat entschieden, dass die DE-CIX-Betreiber rechtmäßig dazu verpflichtet worden sind, den BND im großen Stile Daten an ihrem Knotenpunkt kopieren und auswerten zu lassen. Ob die Datenerhebung selbst rechtmäßig ist, hat das Gericht jedoch weitgehend offen gelassen. Dieser Frage wird sich wahrscheinlich in Zukunft das BVerfG stellen müssen.

Das Bundesverwaltungsgericht (BVerwG) in Leipzig hat in erster und letzter Instanz auf die Klage einer Internetknotenpunkt-Betreiberin (DE-CIX) entschieden, dass das Bundesministerium des Innern (BMI) sie verpflichten kann, bei der Durchführung strategischer Fernmeldeüberwachungsmaßnahmen durch den Bundesnachrichtendienst (BND) mitzuwirken (Urt. v. 30. Mai 2018, Az. 6 A 3.16). Die Betreiber des weltweit größten Internet-Knotenpunkts hatten im Feststellungsklageverfahren versucht, gegen Anordnungen des Ministeriums aus den Jahren 2016 und 2017, die sie zur Mitwirkung bei den Überwachungsmaßnahmen verpflichteten, vorzugehen.

1.666 Tatortfolgen pro Sekunde – weltweit größter Internet-Knotenpunkt soll BND helfen

DE-CIX ist ein Internetknotenpunkt. Solche Knotenpunkte sind Schaltstellen, an die sich verschiedene Internetprovider (ISPs) anschließen lassen, um Daten untereinander auszutauschen und eine globale Internetverbindung netzübergreifend sicherzustellen. Der Knoten in Frankfurt verbindet mehr als 700 internationale Provider, die pro Sekunde fünf Terabyte an Daten übertragen. Damit ist DE-CIX der größte Internet-Knotenpunkt der Welt. Der BND möchte an diesem neuralgischen Datensammelplatz Zugriff auf den Datenverkehr erhalten, indem er sog. Y-Stücke implementiert, die sämtliche übertragenen Daten abspeichern und der Filterung durch den Nachrichtendienst zugänglich machen.

Betreiber des Knotenpunktes wollten vor dem BVerwG feststellen lassen, dass ihre Verpflichtung zur Mitwirkung an verschiedenen, vom BMI angeordneten Beschränkungsmaßnahmen in den Jahren 2016 und 2017 und die Auswahl der Übertragungswege durch den BND rechtswidrig seien. Dieser Annahme folgten die obersten Verwaltungsrichter nicht. Prüfungsgegenstand seien lediglich die Anordnungen ihrer Verpflichtung zur Mitwirkung, nicht die Zulässigkeit einer solchen Speichermaßnahme auf Grundlage des G-10-Gesetzes an sich.

Telekommunikationsüberwachung – Gradwanderung der Beteiligten

In diesem Kontext sei es das Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Art. 10-Gesetz), welches den BND im Rahmen seiner Aufgaben berechtigt, auf Anordnung des Innenministeriums internationale Telekommunikationsbeziehungen, soweit eine gebündelte Übertragung erfolgt, zu überwachen und aufzuzeichnen. Das BMI legt auf Antrag des BND in der Beschränkungsanordnung die für die Überwachung in Betracht kommenden Übertragungswege sowie den höchst zulässigen Anteil der zu überwachenden Übertragungskapazität fest. Für die Durchführung der Überwachungsmaßnahme kann das BMI nach § 2 I 3 Art. 10-Gesetz geschäftsmäßige Erbringer von Telekommunikationsdiensten – wie DE-CIX – durch Anordnung zur Ermöglichung der Überwachung verpflichten. Ob und in welchem Umfang das verpflichtete Unternehmen Vorkehrungen zu treffen hat, richtet sich letztlich nach § 27 II der Telekommunikations-Überwachungsverordnung (TKÜV). Danach hat das verpflichtete Unternehmen dem BND an einem Übergabepunkt im Inland eine vollständige Kopie der Telekommunikation bereitzustellen, die über die in der Anordnung bezeichneten Übertragungswege übertragen wird. Auf der Grundlage der Beschränkungsanordnung wählt der BND gegenüber dem Telekommunikationsdiensteanbieter diejenigen Übertragungswege aus, die überwacht werden sollen. Der BND seinerseits wiederum darf nicht die Kommunikation zwischen deutschen Staatsbürgern ausspähen und muss dies auch hinreichend gut technisch vermeiden. Die gemutmaßte aktuelle nachrichtendienstliche Praxis – nur nach „.de“-Topleveldomain-Adressen sowie nach Telefonvorwahl zu sortieren – halten die Anwälte der Datenkreuzung für unzureichend.

Ministerielle Anordnung rechtmäßig – keine Rechtsfehler in Verpflichtungserlass des BMI

Die konkreten verpflichtenden Anordnungen und deren gesetzliche Grundlagen stellen sich laut den Leipziger Richtern als Berufsausübungsregelungen im Sinne von Art. 12 I Grundgesetz (GG) dar. So würde die Berufs- / Gewerbefreiheit der Knotenpunkt-Gesellschaft zwar tangiert werden, jedoch sei dieser Einschnitt in der Gesamtschau verhältnis- und rechtmäßig. Die DE-CIX-Manager könnten sich außerdem nicht auf den Schutz des Fernmeldegeheimnisses nach Art. 10 I GG berufen. Dieses Grundrecht schützt die Vertraulichkeit der Telekommunikationsverkehre. DE-CIX, in seiner Eigenschaft als Vermittler von Telekommunikationsverkehren, könne sich hierauf nicht berufen. Das Unternehmen träfe keine Verantwortung oder Haftung für die Rechtmäßigkeit der umfangreichen Spionagemaßnahme; diese beträfe allein die beklagte Bundesrepublik Deutschland.

Den gegenüber DE-CIX ergangenen Verpflichtungsanordnungen würden keinen rechtlichen Bedenken begegnen, so die Verwaltungsrichter. Die Anordnungen würden insbesondere in noch hinreichend bestimmter Weise die Verpflichtung zur Bereitstellung der Datenströme festlegen, die abgewickelt werden. Die entscheidende Frage – ob der BND in hinreichender Art und Weise unterbindet oder unterbinden kann, die Kommunikation zwischen deutschen Staatsbürgern mitzuschneiden und auszuwerten – ist also für die Rechtmäßigkeit der Anordnung durch das Innenministerium nicht von Belang, wenn man den Leipziger Richtern folgt.

Das Gericht hat des Weiteren festgestellt, dass der BND gegenüber DE-CIX-Gesellschaft eine Auswahl der tatsächlich zu überwachenden Übertragungswege im Rahmen der durch die Beschränkungsanordnung gesetzten Vorgaben verbindlich treffen kann.

BVerwG, BVerfG, EuGH – plant DE-CIX das G-10-Gesetz abzuschaffen?

Nach der Niederlage vor dem BVerwG haben die Anwälte von DE-CIX geäußert, dass das BVerwG mit seiner Klarstellung, dass die Bundesregierung die alleinige Verantwortung für die Datenerhebung und –Verarbeitung trage, Rechtssicherheit geschaffen. Weiterhin hat das DE-CIX-Management angekündigt, in dieser Frage das Bundesverfassungsgericht (BVerfG) anzurufen. Dieses Gericht würde dann – im Unterschied zu den Leipziger Richtern – nicht nur die Rechtmäßigkeit der ministeriellen Anordnungen prüfen, sondern auch die Verfassungsmäßigkeit der Grundlage dieses Handels aus dem G-10-Gesetz diskutieren. In dieser Frage steht dann auch der Rechtsweg zum Europäischen Gerichtshof (EuGH) offen, der für eine europarechtskonforme Auslegung der Gesetze vom BVerfG selbst oder am Ende von den Klägern angerufen werden könnte.

tge

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.