Read the English version of this article here.

Die Beamten des Bundesamtes für Verfassungsschutz (BfV) waren schwer beeindruckt. Das wollten sie auch können: Am 6. Oktober 2011 führten ihnen Mitarbeiter des US-Geheimdienstes NSA im bayerischen Bad Aibling vor, was die Spionagesoftware XKeyscore alles kann. Um die Demonstration möglichst anschaulich zu machen, fütterten die Amerikaner ihr Programm mit Daten, die das BfV selbst bei einer Abhöraktion gesammelt hatte. Ein interner Vermerk zeigt die Begeisterung der Verfassungsschützer: Die Analyse der Daten mithilfe der Software, heißt es da in sperrigem Behördendeutsch, habe "eine hohe Erkennung genutzter Applikationen, Internetanwendungen und Protokolle" ergeben. Und: XKeyscore habe in den Daten "bspw. Hotmail, Yahoo oder auch Facebook erkannt. Ebenfalls konnten Benutzernamen und Passwörter ermittelt werden." Lauter Volltreffer also.

Das war weit mehr, als das Suchsystem des Verfassungsschutzes konnte. Knapp fünf Monate später bat deshalb der damalige BfV-Präsident Heinz Fromm seinen amerikanischen Kollegen, NSA-Chef Keith Alexander, förmlich darum, dem Verfassungsschutz die Software zur Verfügung zu stellen. Sie würde, schrieb er, "die hier bestehenden Möglichkeiten zur Überwachung und Analyse von Internetverkehr hervorragend ergänzen".

Bis eine Testversion von XKeyscore beim Verfassungsschutz in Berlin-Treptow in Betrieb genommen werden konnte, vergingen allerdings noch gut anderthalb Jahre. So lange dauerte es, bis die beiden Dienste ein Abkommen ausgehandelt hatten, das die Überlassung der Software im Detail regelt und die gegenseitigen Rechte und Pflichten festlegt. (Wir dokumentieren hier eine Abschrift des gesamten Abkommens im Wortlaut.)

Dieses "Terms of Reference" genannte Dokument vom April 2013, das ZEIT und ZEIT ONLINE einsehen konnten, ist mehr als aufschlussreich. Es zeigt zum ersten Mal, was der deutsche Inlandsnachrichtendienst den US-Kollegen als Gegenleistung für die begehrte Software versprach. In dem Papier heißt es: "The BfV will: To the maximum extent possible share all data relevant to NSA’s mission." Auf Deutsch: Das BfV verpflichtete sich, die mithilfe von XKeyscore gewonnenen Informationen so weit wie irgend möglich mit der NSA zu teilen. Das war der Deal: Daten gegen Software.

Für den Verfassungsschutz war das ein schönes Geschäft. Die Überlassung der Software sei ein "Vertrauensbeweis", freute sich ein Beamter. Ein anderer nannte XKeyscore ein "cooles System".

Politisch und juristisch aber ist die Abmachung äußerst brisant. Denn bis heute kontrolliert niemand außerhalb des BfV, welche Daten auf der Grundlage der "Terms of Reference" an die NSA gelangen. Weder der Datenschutzbeauftragte noch das zur Überwachung des Verfassungsschutzes eingesetzte Parlamentarische Kontrollgremium des Bundestages (PKGr) wurden bislang vollständig über die Abmachung informiert. "Wieder muss ich von der Presse von einem neuen Vertrag BfV/NSA und unerlaubter Weitergabe deutscher Daten an den US-Geheimdienst erfahren", klagt der grüne Bundestagsabgeordnete Hans-Christian Ströbele, Mitglied im PKGr. Das Bundesamt für Verfassungsschutz hingegen beteuert, sich strikt an das Gesetz gehalten zu haben.

Die Daten, um die es geht, fallen regelmäßig bei den genehmigten Abhörmaßnahmen des BfV an. Anders als etwa der Bundesnachrichtendienst fischt der Verfassungsschutz nicht mit dem Schleppnetz im Datenstrom des Internets. Er darf lediglich verdächtige Einzelpersonen in Deutschland überwachen – und nur nachdem eine speziell dafür eingerichtete Kommission des Bundestages diese Überwachung genehmigt hat. Wegen der notwendigen Einschränkungen der Grundrechte in Artikel 10 des Grundgesetzes heißen diese Aktionen kurz G-10-Maßnahmen.

Eigentlich sollen solche gezielten Lauschaktionen Gesprächsinhalte zutage fördern: E-Mails, Telefonate oder Faxe. Doch sammelt das BfV dabei, quasi als Nebenprodukt, massenhaft auch sogenannte Metadaten. Ob die Sammlung dieser Daten von den Restriktionen des Abhörgesetzes mit erfasst sind, ist unter Juristen umstritten. Renommierte Verfassungsrechtler sind der Auffassung, dass die Geheimdienste die Metadaten keinesfalls beliebig auswerten dürfen. Die Dienste sehen das naturgemäß anders.

Denn klar ist, dass auch Metadaten interessante Rückschlüsse auf das Verhalten der Überwachten und ihrer Kontaktpersonen erlauben können, etwa so wie in der analogen Welt Absender und Adresse auf einem Briefumschlag aufschlussreich sein können, selbst wenn man den Brief nicht öffnet. Wer solche Daten kennt, kann Kommunikationsnetzwerke erkennen und Bewegungs- und Verhaltensprofile einzelner Menschen erstellen. Bisher konnte der Verfassungsschutz Metadaten nur von Hand auswerten – entsprechend selten wurde das gemacht. Das hat sich seit XKeyscore geändert. Zwar kann die Software-Variante des BfV selbst keine Daten im Internet sammeln, doch analysiert sie die sowieso bereits automatisch erhobenen Metadaten schnell und massenhaft. Das ist der Mehrwert von XKeyscore für das BfV. Und, dank des Deals, eben auch für die NSA.

Einige im Verfassungsschutz hatten rechtliche Bedenken

In der Praxis muss man sich das so vorstellen: Wenn etwa ein vom BfV überwachter Islamist regelmäßig Anrufe aus Afghanistan erhält, dann dürfte diese Telefonnummer genau die Art von Information sein, die an die NSA weitergeleitet wird. Das allein ist noch nicht unbedingt ein Grund zur Aufregung, schließlich ist die Terrorismusbekämpfung das Ziel der Geheimdienstkooperation. Nur: Niemand außerhalb des BfV weiß, wie viele und wessen Daten mit der NSA geteilt werden. Niemand kann die Praxis des Informationsaustauschs kontrollieren, und wer die politische Verantwortung trägt, ist völlig unklar.

Allein 2013 startete das BfV 58 sogenannte G-10-Abhörmaßnahmen neu und führte 46 aus dem Vorjahr weiter. Wer wurde dabei erfasst? Was wurde an die NSA weitergeleitet? Etwa auch Informationen über deutsche Staatsbürger? Das BfV erklärt dazu auf Anfrage lapidar: "Zu den Einzelheiten der Zusammenarbeit bzw. der Zahl von Datenübermittlungen kann sich das BfV nicht öffentlich äußern."

Wie wichtig XKeyscore für das BfV mittlerweile ist, lässt sich noch an einer anderen Stelle ablesen: Vor Kurzem veröffentlichte die Webseite Netzpolitik.org vertrauliche Haushaltsunterlagen aus dem Jahr 2013, aus denen hervorgeht, dass im BfV 75 neue Stellen geschaffen werden sollen, um die "Massendatenauswertung von Internetinhalten" zu bewältigen. 75 Stellen, das ist für jede Behörde eine Menge Holz. Ein neues Referat namens 3C soll Bewegungsprofile und Beziehungsnetzwerke aufdecken und Rohdaten verarbeiten, die bei G-10-Überwachungen anfallen. Der Name XKeyscore taucht in den von Netzpolitik.org publizierten Unterlagen nicht auf. Doch die Vermutung liegt nahe, dass diese Einheit mit dem Ziel geschaffen wurde, die neue Überwachungssoftware einzusetzen.

Datenschutzbeauftragter wusste von nichts

Wie heikel der Deal mit den Amerikanern ist, merkte auch der Verfassungsschutz selbst. Bereits im Juli 2012 warnte eine Abteilung des BfV, schon die Tests mit XKeyscore könnten "weitreichende rechtliche Folgen" haben. Um die Leistungsfähigkeit der Software einschätzen zu können, müssten zum Beispiel Kollegen hinzugezogen werden, die gar nicht befugt seien, die zum Testen eingesetzten Daten zu lesen. Ob und wie man das Problem damals löste, will das BfV auch auf Anfrage nicht erläutern.

Auch den Bundesbeauftragten für den Datenschutz hat das BfV offenbar nicht informiert. "Von einem solchen Kompensationsgeschäft habe ich nichts gewusst", sagt Peter Schaar, der damalige Bundesdatenschutzbeauftragte, heute. "Auch von einem Test mit Echtdaten höre ich zum ersten Mal." Dass der Verfassungsschutz XKeyscore einsetze, sei ihm erst mitgeteilt worden, nachdem er im Jahr 2013 – im Zuge der entsprechenden Veröffentlichungen durch den Whistleblower Edward Snowden – von sich aus nachgefragt habe.

Schaar ist der Ansicht, dass der Verfassungsschutz ihn zwingend hätte informieren müssen. Weil bei den Tests echte Daten verwendet worden seien, so Schaar, habe es sich bereits dabei um Datenverarbeitung gehandelt. Das BfV hingegen ist der Meinung, der Einsatz von XKeyscore falle allein in die Kontrollzuständigkeit der G-10-Kommission. Über diese Frage wird schon lange gestritten. Schaar hat deshalb vor dem NSA-Untersuchungsausschuss gefordert, das G-10-Gesetz klarer zu formulieren.

NSA forderte Resultate

Dass der Verfassungsschutz durchaus die Probleme der Kooperation mit der NSA erkannte, belegt auch eine weitere Stelle in den Akten. Während der Verhandlungen über den XKeyscore-Deal stellte das BfV demnach klar: "Besondere Wünsche der NSA" könne man "nicht berücksichtigen, sofern deutsches Recht dem entgegensteht". Doch die Amerikaner drängten darauf, dass die Software endlich "produktiv genutzt" werde. Die NSA wolle "working results", notierten die Deutschen. Es gebe beim US-Geheimdienst offenbar "hohen, internen Druck", von den Deutschen Informationen zu bekommen.

Beim BfV setzte sich jedenfalls die Einschätzung durch, dass die Übermittlung von Informationen, die mithilfe von XKeyscore gewonnen würden, an die NSA mit deutschem Recht zu vereinbaren sei. Erkenntnisse, die bei G-10-Maßnahmen erlangt wurden, würden ohnehin "regelmäßig" an "ausländische Partnerdienste" übermittelt. So jedenfalls erklärte es das BfV im Januar 2014 dem Bundesinnenministerium. Überdies würde ein spezialisierter Jurist die Datenübermittlung jedes Mal "freizeichnen".

Wie es scheint, war das dem BfV Kontrolle genug. Jedenfalls informierte es seine parlamentarischen Aufseher offenbar nur lückenhaft über den Deal. Das Parlamentarische Kontrollgremium erfuhr zwar, dass das BfV die XKeyscore-Software erhalten habe und sie nutze. Doch selbst diese sehr allgemeine Unterrichtung erfolgte erst, nachdem das PKGr aufgrund der Snowden-Veröffentlichungen explizit danach gefragt hatte. Das Abkommen zwischen den Geheimdiensten, so der grüne Abgeordnete Ströbele, sei "zweifellos ein 'Vorgang von besonderer Bedeutung', über den die Bundesregierung laut Gesetz von sich aus ausreichend informieren müsste". Er will das Thema vor das PKGr bringen – den NSA-Untersuchungsausschuss des Bundestages wird es sicher ohnehin beschäftigen.

Verfassungsschutz - Der Preis sind unsere Daten Das Bundesamt für Verfassungsschutz hat die Spionagesoftware XKeyscore von der NSA erhalten – und sendet dieser dafür die Daten deutscher Bürger. ZEIT-ONLINE-Redakteur Kai Biermann kommentiert den Deal.

Haben Sie Informationen zu diesem Thema? Oder zu anderen Vorgängen in Politik und Wirtschaft, von denen Sie finden, dass die Öffentlichkeit sie erfahren sollte? Wir sind dankbar für jeden Hinweis. Dokumente, Daten oder Fotos können Sie hier in unserem anonymen Briefkasten deponieren.