Die Enthüllung des Überwachungsprogramms PRISM der National Security Agency (NSA) durch Edward Snowden hat die Diskussion über die Tätigkeit der Sicherheitsbehörden sowie den Schutz von Bürgerrechten im Internet erneut entfacht. Über PRISM soll die NSA im beträchtlichen Umfang auf Benutzerdaten großer Internetkonzerne wie Google, Microsoft und Facebook zugreifen können. Zudem soll die US-Sicherheitsbehörde in Echtzeit auf Daten von E-Mails, Messenger oder Internettelefonie Einblick erhalten haben.
Der tatsächliche Einsatz ist unklar und wird es aufgrund der sicherheitspolitischen Bedeutung der Geheimdienste wohl auch bleiben. Die großen Internetkonzerne dementierten jedenfalls, dass die NSA direkt auf ihre Server zugreifen und die gespeicherten Nutzerinformationen einsehen kann. Zudem beteuern sie, Nutzerinformationen nur im gesetzlichen Rahmen an die Sicherheitsbehörden weiterzugeben.
Geltendes Recht in Deutschland
Der Vorfall gibt jedoch Anlass, die Tätigkeiten der deutschen Sicherheitsbehörden zu hinterfragen. Nachdem die Einführung technischer Überwachungsmaßnahmen, wie etwa dem "Bundestrojaner" oder der Vorratsdatenspeicherung, vom Bundesverfassungsgericht gestoppt wurden, lassen sich die Ermittlungsbefugnisse aus den bestehenden Gesetzen ableiten. Danach erhalten deutsche Geheimdienste und Sicherheitsbehörden unter bestimmten Voraussetzungen Zugriff auf Benutzerinformationen und die Kommunikation im Internet.
Dem Bundesnachrichtendienst (BND) steht zur Telekommunikationsüberwachung die sogenannte "strategische Fernaufklärung" zur Verfügung. Rechtsgrundlage ist das "Artikel-10-Gesetz", welches das Brief-, Post- und Fernmeldegeheimnis unter Umständen einschränkt und durch Artikel 10 Grundgesetz gewährleistet wird. Der BND ist berechtigt, internationale Telekommunikationsbeziehungen zu überwachen und aufzuzeichnen. Dies setzt aber eine Gefahr für die Bundesrepublik Deutschland voraus. Hierunter fallen zum Beispiel Terrorabwehr, organisierte Kriminalität und Waffenhandel.
Zusätzlich muss die Überwachung auf internationale Kommunikationsbeziehungen Zweck der Auslandsaufklärung sein, so dass innerdeutsche Sachverhalte von der Rechtsgrundlage nicht erfasst werden. Der BND darf somit Telekommunikationsdienstleister auffordern, Zugriff auf die entsprechenden Informationen zu gewähren. Die Datenbestände werden auf bestimmte Schlagworte durchsucht und die Treffer werden hinterher ausgewertet.
Umfang der Überwachung unbekannt
Der Umfang der Kommunikationsüberwachung durch die deutschen Geheimdienste ist allerdings weitgehend unbekannt. Denn Informationen hierzu werden zum Schutz der Sicherheitsinteressen der Bundesrepublik Deutschland nur selten veröffentlicht. Die Geheimdienste werden aber durch das Parlamentarische Kontrollgremium kontrolliert, indem einzelne Bundestagsabgeordnete Einblick in die Tätigkeiten erhalten.
Informationen über diese Tätigkeiten sind zum Teil durch eine kleine Anfrage der Fraktion "Die Linke" im Mai 2012 bekannt geworden: Die Telekommunikationsdienstleister stellen an einem Übergabepunkt eine Kopie der Telekommunikation zur Verfügung, auf die der BND zugreifen kann. Die "Treffer" des jeweiligen Suchlaufs werten Mitarbeiter des BND aus. Stellen sie keine Relevanz fest, werden die Daten gelöscht. Dabei stellt die Verschlüsselung der Inhalte kein ernsthaftes Hindernis dar, denn die eingesetzte Technik soll auch auf verschlüsselte Inhalte zugreifen können. Der Erfolg dieser Maßnahmen ist jedoch zweifelhaft. So sollen aus 37 Millionen überwachten E-Mail- und Datenverbindungen lediglich 213 Fälle verwertbarer Informationen für den Geheimdienst entstanden sein.
Standortermittlung des Mobiltelefons
Doch nicht nur die Geheimdienste, sondern auch andere Behörden der Bundesrepublik Deutschland können offen oder verdeckt auf Benutzerinformationen zugreifen. Beispielsweise erfolgt häufig eine Ermittlung von IP-Adressen aufgrund staatsanwaltschaftlicher Ermittlungen zur Aufklärung von Straftaten im Internet. Auf Anfrage der Staatsanwaltschaft und nach richterlicher Anordnung nennen die Telekommunikationsdienstleister den jeweiligen Anschlussinhaber. Über das Handy lässt sich zudem der Standort ermittelt, um Personen aufzuspüren. Auch wenn steuerrelevante Daten elektronisch aufbewahrt werden, müssen die Finanzbehörden elektronischen Zugriff auf diese Systeme erhalten. Hierfür wird (abhängig von den Zugriffsarten Z 1 - Z 3) eine Schnittstelle zu den Datenverarbeitungssystemen der Unternehmen eingerichtet, über die Finanzbehörden auf die Informationen zugreifen können.
Diese Beispiele zeigen, dass die Überwachung von Kommunikations- und Benutzerinformationen im Internet nicht ein rein amerikanisches Phänomen ist. Auch deutsche Behörden setzen ähnliche Methoden ein. Solange die Behörden im Rahmen der geltenden Gesetze handeln, lässt sich daran aber nichts beanstanden.
Michael Rath ist Fachanwalt für IT-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Christian Kuß hat sich als Rechtsanwalt auf IT- und Datenschutzrecht spezialisiert. (CW)