Eines der größten Schleppnetze Deutschlands befindet sich nicht in der Nord- oder Ostsee, sondern in Frankfurt am Main. Hier, am nach Verkehrsaufkommen weltgrößten Internetknoten De-Cix, hört seit 2009 der Bundesnachrichtendienst (BND) den Datenverkehr aus Deutschland, weiten Teilen Europas, aber auch aus Russland, China, Afrika und dem Nahen Osten ab. Die Daten werden über ein zusätzliches BND-Glasfaserkabel kopiert und in einer Außenstelle des Geheimdienstes gefiltert und ausgewertet. Strategische Fernmeldeüberwachung heißt das.

Gegen diese Praxis hatten die Betreiber des De-Cix vor dem Bundesverwaltungsgericht in Leipzig geklagt. Sie wollten den ungebetenen Gast gerne aus ihren Serverzentren verbannen, weil sie nicht mehr "Komplize" strategischer, sprich anlassloser Überwachung sein wollten. Am späten Mittwochabend wiesen die Leipziger Richter die Klage ab: Der BND sei berechtigt, auf Anordnung des Bundesinnenministeriums internationale Telekommunikation zu überwachen und aufzuzeichnen. Und die Betreiber des De-Cix sind verpflichtet, das weiterhin zu ermöglichen und den Anordnungen des BND Folge zu leisten.

Ein Urteil zugunsten des BND war zu erwarten. Doch dass die Leipziger Richter nahezu alle Vorbehalte der Kläger ignorierten, dem Geheimdienst keine Auflagen machten und damit die umstrittene Abhörpraxis weiterhin legitimieren, ist aus zweierlei Gründen enttäuschend: Erstens akzeptieren sie, dass als Beifang auch die Kommunikation deutscher Bürger und Bürgerinnen nicht ausgeschlossen werden kann, was gegen deren Rechte verstieße. Zweitens beugen sie mit dem Urteil einer zwingend notwendigen Reform des BND und seiner parlamentarischen Kontrolle vor.

Das bisschen Beifang ist nicht schlimm

Vor allem die Frage, ob der BND möglicherweise viel zu viele Daten deutscher Bürger abgreift, bleibt fürs erste unbeantwortet. Auch weil dieser Punkt in der Verhandlung überraschend nur am Rande vorkam. Gemäß Artikel-10-Gesetz ist es den deutschen Geheimdiensten erlaubt, die Kommunikation im Ausland (Ausland-Ausland) oder zwischen Inland und dem Ausland zu überwachen und etwa auf bestimmte Stichworte hin zu untersuchen. Die Geheimdienste dürfen aber nicht die Inlandskommunikation strategisch überwachen, sondern nur in Einzelfällen mit Genehmigung der G-10-Kommission des Bundestags.

Wenn der BND nun den Datenverkehr oder Teile davon am Knotenpunkt abgreift, müsste er also innerdeutsche Kommunikation herausfiltern. Die Betreiber des De-Cix bezweifelten, dass dies technisch möglich sei. Eine Unterscheidung zwischen inländischem und ausländischem Datenverkehr sei angesichts der Komplexität der Dienstleistungen im Internet und internationalen Serverstandorten schwierig. Zu dieser Ansicht kam schon 2016 ein technisches Gutachten des Chaos Computer Clubs, das der NSA-Untersuchungsausschuss in Auftrag gegeben hatte. Das Fazit der Autoren: Es sei kaum möglich, "globale Aussagen über die Zusammensetzung des Internetverkehrs zu machen". Auch die Bundesdatenschutzbeauftragte Andrea Voßhoff hatte in einem Prüfbericht "erhebliche systemische Defizite" in dem Datenfiltersystem (Dafis) festgestellt, das deutsche Staatsbürger ausfiltern soll.

Heute will der Geheimdienst von den Problemen der Vergangenheit nichts mehr wissen. Vor der Verhandlung hieß es, man prüfe "viele Schichten" der Übertragungsprotokolle mit inzwischen sehr komplexen, "mehrdimensionalen Filtern". Man nehme auch Browser- und Programmeinstellungen sowie Geodaten in den Blick, um deutsche Nutzer auszusortieren. Und falls doch einmal eine E-Mail eines Deutschen durch den Filter rutsche, werde diese "per Hand entfernt". Die Filter sollen heute "zu mehr als 99 Prozent wirksam sein".

Komplexe Filter, Browsereinstellungen, Löschen per Hand – man muss kein Computerexperte zu sein, um die Wirksamkeit dieser Maßnahmen zu hinterfragen. Zumal es nicht um den Datenverkehr einer Stadt geht, sondern um den von weiten Teilen Europas, also um Unmengen von Daten. Doch dem Gericht genügten die Beteuerungen des BND offenbar, wirklich keine deutschen Bürger zu überwachen. Überprüfung der verwendeten Hard- und Software durch unabhängige Gutachter bleibt somit ausgeschlossen, die Filter liegen ausschließlich in der Hoheit des BND.