Baustelle für den neuen Hauptsitz des BND in Berlin © Adam Berry/Getty Images

Vermutet wurde es schon lange, nun hat ein Bericht des Spiegel den Verdacht bestätigt: Der Bundesnachrichtendienst, kurz BND, überwacht den Internetverkehr am deutschen Netzwerkknoten in Frankfurt, dem sogenannten De-Cix.

Die Sprecherin des De-Cix, Birgit Osterholt, ist bei dem Thema einsilbig. Der einzige Satz, den sie dazu sagt, lautet: "Ich kann Ihnen dazu keine Aussage geben." Dabei ist die Tatsache erst einmal nicht verwunderlich, der Geheimdienst darf dort in einem gewissen Rahmen überwachen. Die Frage ist, ob sich der Dienst an diesen Rahmen hält.

Paragraf fünf des sogenannten G-10-Gesetzes erlaubt es dem Bundesnachrichtendienst, unter bestimmten Voraussetzungen ausländische "Telekommunikationsbeziehungen" ganz generell zu überwachen, also Daten elektronischer Kommunikation nach Stichworten zu durchsuchen. Strategische Fernmeldeaufklärung heißt das, eine Art Schleppnetz, um zufällig Bösewichte zu entdecken.

Dazu muss der BND beim Innenministerium einen entsprechenden Antrag stellen. Dieser muss dann der G-10-Kommission des Bundestages vorgelegt werden. Die geheim tagende Kommission muss ihn genehmigen. Tut sie das, schickt der BND an die entsprechenden Telekommunikationsunternehmen die Anweisung, die Daten herauszurücken.Widerspruch ist nicht vorgesehen und nicht erwünscht.

Das Problem ist die Liste der Provider. Nach der vom Spiegel zitierten Abhörverfügung hat der BND seit mindestens zwei Jahren Daten von 25 Internetprovidern angezapft, darunter auch die von sechs deutschen Zugangsanbietern: 1&1, Freenet, Strato, QSC, Lambdanet und Plusserver. Die sechs genannten wickeln aber vor allem den Datenverkehr von Deutschen ab – Internetseiten, Blogs, E-Mails.

Komplette Leitungsbündel werden an BND ausgeleitet

Einerseits darf der BND keine Deutschen abhören, andererseits ist es technisch schwierig, genau zu bestimmen, wessen Daten woher stammen. Zwar wäre es möglich, dass die Provider nur die Daten von Ausländern an den Dienst übergeben, aber so funktioniert das Verfahren nicht.

Das G-10-Gesetz erlaubt dem BND, in beliebige Leitungen hineinzuhören. Es wird nicht gezielt der Anschluss einer Person ausspioniert, wie es beispielsweise der Verfassungsschutz tut, sondern es wird – wie bei der Rasterfahndung – nach bestimmten Suchworten oder Merkmalen gestöbert.

Die Internetprovider leiten dazu die Daten kompletter Leitungsbündel an den BND aus. Auf den Servern der Geheimdienstler wird dann entschieden, was davon genauer durchsucht wird. Denn das Gesetz beschränkt die Schleppnetzfischerei. Lediglich 20 Prozent des Datenverkehrs dürfen gefiltert werden. Doch welche 20 Prozent das sind, entscheidet der BND. Dazu ein fiktives aber vorstellbares Rechenbeispiel: Werden alle Daten von Videoplattformen und Filesharingdiensten weggeworfen und zum Beispiel nur E-Mails gefiltert, wären das weniger als 20 Prozent des Traffics – aber dann eben 100 Prozent aller E-Mails.

Ob sich der BND überhaupt an die Regeln hält, kann niemand sagen. Die Provider haben keinen Einfluss darauf, sie müssen erst einmal alles weiterleiten. Die Auswertungsserver stehen nicht bei ihnen. Grundsätzlich aber haben die Leitungsbündel von rein deutschen Betreibern mit ganz überwiegend deutschen Nutzern in einer solchen Überwachungsverfügung nach G-10-Gesetz nichts zu suchen. Warum sie trotzdem darauf stehen, will niemand sagen.