Seit rund zehn Jahren leitet der Bundesnachrichtendienst (BND) am Frankfurter Internetknoten De-CIX auch rein innerdeutsche Kommunikation angeschlossener Provider komplett aus und durchsucht sie im Anschluss mithilfe sogenannter Selektoren. Ein Unding für den Betreiber der riesigen Datendrehscheibe, über die in Spitzenzeiten ein Verkehr von mehr als 6,4 Terabits pro Sekunde läuft.

Klaus Landefeld, Aufsichtsratsmitglied der De-CIX-Group, sieht in der massiven Spionage des Auslandsgeheimdienstes an dem deutschen Netzknoten einen klaren Verstoß gegen das in Artikel 10 Grundgesetz verbriefte Fernmeldegeheimnis und weitere einschlägige Normenwerke. "Wir werfen dem deutschen Staat vor, dass er sich nicht an die Gesetze hält", erklärte er am Donnerstag auf dem 35. Chaos Communication Congress (35C3) in Leipzig. Das vom De-CIX-Betreiber angerufene Bundesverwaltungsgericht (BVerwG) sah dies aber ganz anders und urteilte im Mai, dass der breite Datenabgriff durch den BND rechtmäßig sei.

Der Kläger wollte diese Aussage nicht akzeptieren und erhob gegen das Urteil im Oktober unter anderem eine Anhörungsrüge. Er warf den Richtern am erstinstanzlich für den BND zuständigen BVerwG mit Sitz in Leipzig vor, die vorgebrachten Einwände gegen die sogenannte strategische Fernmeldeüberwachung mit dem BND-Datenstaubsauger auf Basis des sogenannten G10-Gesetzes inhaltlich gar nicht geprüft zu haben. Dabei habe dieser Punkt "400 von 600 der ausgetauschten Seiten" ausgemacht, berichtete Landefeld auf der Hackerkonferenz. Es sei "ziemlich derb von einem Bundesgericht", den "Beifang" der innerdeutschen Kommunikation in Frankfurt völlig außen vor zu lassen und die G10-Kommission des Bundestags zum "alleinigen Wahrer" der Grundrechte zu erklären.

Auch mit dieser Rüge, das Gericht habe den Grundsatz rechtlichen Gehörs in entscheidungserheblicher Weise verletzt, ist die De-CIX-Gruppe aber nicht durchgedrungen. Das Bundesverwaltungsgericht hat die Rüge Landefeld zufolge vor Kurzem abgewiesen und gesagt: "Ihr könnt das nicht anführen." Auf der Webseite des Gerichts ist diese Entscheidung derzeit noch nicht zu finden. Die Leipziger Richter ziehen sich dem Techniker zufolge damit "an den eigenen Haaren aus dem Sumpf". So hätten sie in dem Urteil nicht einmal entschieden, ob der BND überhaupt eine eigene "Anordnungsbefugnis" für die tief in die Bürgerrechte einschneidenden Überwachungsmaßnahmen habe und damit eigene Verwaltungsakte erlasse. Dies gehöre aber zum Einmaleins des Verwaltungsrechts. Alle entscheidenden Rechtsfragen seien so ungeklärt geblieben, obwohl die Gesetzesverstöße auf der Hand lägen.

Ebenfalls im Oktober hat der Betreiber des Netzknotens parallel zu der Rüge eine Verfassungsbeschwerde in Karlsruhe gegen die BND-Spionage eingelegt. Daneben sind auch mehrere andere Verfahren rund um den Datenstaubsauger des Dienstes sowie die jüngste Reform seiner Befugnisse beim Bundesverfassungsgericht anhängig. Landefeld hofft auf eine Entscheidung in 2019, weil im Anschluss der zuständige Vorsitzende Richter wechsele.

Beim Bundesverwaltungsgericht läuft zudem noch eine Klage aus dem Oktober 2017 gegen die ersten Überwachungsanordnungen auf Basis der von der großen Koalition 2016 deutlich ausgeweiteten Kompetenzen für den BND, der damit nun Daten aus ganzen Telekommunikationsnetzen mit Auslandsverkehr auch im Inland vollständig abgreifen darf. Der Gesetzgeber baut dabei darauf, dass derzeit "begrenzte personelle und sachliche Kapazitäten" des Geheimdienstes dessen Spionagefähigkeiten praktisch einschränkten.

Die Leipziger Richter hätten hier im Zuge der Verfassungsbeschwerde angeboten, das Verfahren "ruhend" zu stellen, führte Landefeld aus. Die Umsetzungen der Überwachungsanordnungen hätten sie aber nicht aussetzen wollen, sodass das De-CIX-Management dieses Angebot abgelehnt habe. Die Bundesrepublik habe dem Betreiber aus Gründen der nationalen Sicherheit einen "Sofortvollzug" der Anordnungen auferlegt, sodass man diesen momentan Folge leisten müsse. Eine Datenverschlüsselung am De-CIX selbst erfolge derzeit nicht, da sich die angeschlossenen Provider dazu "nicht auf einen Standard einigen konnten".

Es gehe aber nicht, dass das Bundesverwaltungsgericht beim Grundrechtsschutz letztlich vor allem auf den wackeligen BND-Datenschutzfilter (Dafis) abstelle, ärgerte sich Landefeld. Dieses System unterliege keiner Kontrolle und "kann für bis zu sechs Monate testweise abgeschaltet werden, um zu gucken, ob die Verkehre überhaupt geeignet sind". Dafür schaue der BND auch in die Inhalte rein, obwohl dies eigentlich nicht einfach so statthaft sei.

Zudem vollbringe der Dafis nach offiziellen Angaben wohl wahre Wunder, gab der De-CIX-Vertreter zu bedenken. An dem Netzknoten gebe es rund 650 Milliarden Verbindungen pro Tag. Selbst wenn der Filter die unglaubliche Genauigkeit von 99 Prozent aufweise, käme es so zu rund 6,5 Milliarden fehlerhaft erfassten Verbindungen pro Tag. Im jüngsten Bericht des Parlamentarischen Kontrollgremiums seien für das ganze Jahr 2016 aber nur 178 entsprechende Vorgänge ausgewiesen. (tig)