Die Beamten des Bundesamtes für Verfassungsschutz (BfV) waren schwer beeindruckt. Das wollten sie auch können: Am 6. Oktober 2011 führten ihnen Mitarbeiter des US-Geheimdienstes NSA im bayerischen Bad Aibling vor, was die Spionagesoftware XKeyscore alles kann. Um die Demonstration möglichst anschaulich zu machen, fütterten die Amerikaner ihr Programm mit Daten, die das BfV selbst bei einer Abhöraktion gesammelt hatte. Ein interner Vermerk zeigt die Begeisterung der Verfassungsschützer: Die Analyse der Daten mithilfe der Software, heißt es da in sperrigem Behördendeutsch, habe "eine hohe Erkennung genutzter Applikationen, Internetanwendungen und Protokolle" ergeben. Und: XKeyscore habe in den Daten "bspw. Hotmail, Yahoo oder auch Facebook erkannt. Ebenfalls konnten Benutzernamen und Passwörter ermittelt werden." Lauter Volltreffer also.

Das war weit mehr, als das Suchsystem des Verfassungsschutzes konnte. Knapp fünf Monate später bat deshalb der damalige BfV-Präsident Heinz Fromm seinen amerikanischen Kollegen, NSA-Chef Keith Alexander, förmlich darum, dem Verfassungsschutz die Software zur Verfügung zu stellen. Sie würde, schrieb er, "die hier bestehenden Möglichkeiten zur Überwachung und Analyse von Internetverkehr hervorragend ergänzen".

Bis eine Testversion von XKeyscore beim Verfassungsschutz in Berlin-Treptow in Betrieb genommen werden konnte, vergingen allerdings noch gut anderthalb Jahre. So lange dauerte es, bis die beiden Dienste ein Abkommen ausgehandelt hatten, das die Überlassung der Software im Detail regelt und die gegenseitigen Rechte und Pflichten festlegt. (Wir dokumentieren hier eine Abschrift des gesamten Abkommens im Wortlaut.)



Dieses "Terms of Reference" genannte Dokument vom April 2013, das ZEIT und ZEIT ONLINE einsehen konnten, ist mehr als aufschlussreich. Es zeigt zum ersten Mal, was der deutsche Inlandsnachrichtendienst den US-Kollegen als Gegenleistung für die begehrte Software versprach. In dem Papier heißt es: "The BfV will: To the maximum extent possible share all data relevant to NSA’s mission." Auf Deutsch: Das BfV verpflichtete sich, die mithilfe von XKeyscore gewonnenen Informationen so weit wie irgend möglich mit der NSA zu teilen. Das war der Deal: Daten gegen Software.

Für den Verfassungsschutz war das ein schönes Geschäft. Die Überlassung der Software sei ein "Vertrauensbeweis", freute sich ein Beamter. Ein anderer nannte XKeyscore ein "cooles System".

Politisch und juristisch aber ist die Abmachung äußerst brisant. Denn bis heute kontrolliert niemand außerhalb des BfV, welche Daten auf der Grundlage der "Terms of Reference" an die NSA gelangen. Weder der Datenschutzbeauftragte noch das zur Überwachung des Verfassungsschutzes eingesetzte Parlamentarische Kontrollgremium des Bundestages (PKGr) wurden bislang vollständig über die Abmachung informiert. "Wieder muss ich von der Presse von einem neuen Vertrag BfV/NSA und unerlaubter Weitergabe deutscher Daten an den US-Geheimdienst erfahren", klagt der grüne Bundestagsabgeordnete Hans-Christian Ströbele, Mitglied im PKGr. Das Bundesamt für Verfassungsschutz hingegen beteuert, sich strikt an das Gesetz gehalten zu haben.

Die Daten, um die es geht, fallen regelmäßig bei den genehmigten Abhörmaßnahmen des BfV an. Anders als etwa der Bundesnachrichtendienst fischt der Verfassungsschutz nicht mit dem Schleppnetz im Datenstrom des Internets. Er darf lediglich verdächtige Einzelpersonen in Deutschland überwachen – und nur nachdem eine speziell dafür eingerichtete Kommission des Bundestages diese Überwachung genehmigt hat. Wegen der notwendigen Einschränkungen der Grundrechte in Artikel 10 des Grundgesetzes heißen diese Aktionen kurz G-10-Maßnahmen.

Eigentlich sollen solche gezielten Lauschaktionen Gesprächsinhalte zutage fördern: E-Mails, Telefonate oder Faxe. Doch sammelt das BfV dabei, quasi als Nebenprodukt, massenhaft auch sogenannte Metadaten. Ob die Sammlung dieser Daten von den Restriktionen des Abhörgesetzes mit erfasst sind, ist unter Juristen umstritten. Renommierte Verfassungsrechtler sind der Auffassung, dass die Geheimdienste die Metadaten keinesfalls beliebig auswerten dürfen. Die Dienste sehen das naturgemäß anders.

Denn klar ist, dass auch Metadaten interessante Rückschlüsse auf das Verhalten der Überwachten und ihrer Kontaktpersonen erlauben können, etwa so wie in der analogen Welt Absender und Adresse auf einem Briefumschlag aufschlussreich sein können, selbst wenn man den Brief nicht öffnet. Wer solche Daten kennt, kann Kommunikationsnetzwerke erkennen und Bewegungs- und Verhaltensprofile einzelner Menschen erstellen. Bisher konnte der Verfassungsschutz Metadaten nur von Hand auswerten – entsprechend selten wurde das gemacht. Das hat sich seit XKeyscore geändert. Zwar kann die Software-Variante des BfV selbst keine Daten im Internet sammeln, doch analysiert sie die sowieso bereits automatisch erhobenen Metadaten schnell und massenhaft. Das ist der Mehrwert von XKeyscore für das BfV. Und, dank des Deals, eben auch für die NSA.