Interne Dokumente belegen: Der Verfassungsschutz bekam von der NSA die begehrte Spionagesoftware XKeyscore – und versprach als Gegenleistung dafür Daten aus Deutschland. von Kai Biermann und Yassin Musharbash
Die Beamten des Bundesamtes für Verfassungsschutz (BfV) waren schwer beeindruckt. Das wollten sie auch können: Am 6. Oktober 2011 führten ihnen Mitarbeiter des US-Geheimdienstes NSA im bayerischen Bad Aibling vor, was die Spionagesoftware XKeyscore alles kann. Um die Demonstration möglichst anschaulich zu machen, fütterten die Amerikaner ihr Programm mit Daten, die das BfV selbst bei einer Abhöraktion gesammelt hatte. Ein interner Vermerk zeigt die Begeisterung der Verfassungsschützer: Die Analyse der Daten mithilfe der Software, heißt es da in sperrigem Behördendeutsch, habe "eine hohe Erkennung genutzter Applikationen, Internetanwendungen und Protokolle" ergeben. Und: XKeyscore habe in den Daten "bspw. Hotmail, Yahoo oder auch Facebook erkannt. Ebenfalls konnten Benutzernamen und Passwörter ermittelt werden." Lauter Volltreffer also.
Das war weit mehr, als das Suchsystem des Verfassungsschutzes konnte. Knapp fünf Monate später bat deshalb der damalige BfV-Präsident Heinz Fromm seinen amerikanischen Kollegen, NSA-Chef Keith Alexander, förmlich darum, dem Verfassungsschutz die Software zur Verfügung zu stellen. Sie würde, schrieb er, "die hier bestehenden Möglichkeiten zur Überwachung und Analyse von Internetverkehr hervorragend ergänzen".
Bis eine Testversion von XKeyscore beim Verfassungsschutz in Berlin-Treptow in Betrieb genommen werden konnte, vergingen allerdings noch gut anderthalb Jahre. So lange dauerte es, bis die beiden Dienste ein Abkommen ausgehandelt hatten, das die Überlassung der Software im Detail regelt und die gegenseitigen Rechte und Pflichten festlegt. (Wir dokumentieren unten eine Abschrift des gesamten Abkommens im Wortlaut.)
Dieses "Terms of Reference" genannte Dokument vom April 2013, das ZEIT und ZEIT ONLINE einsehen konnten, ist mehr als aufschlussreich. Es zeigt zum ersten Mal, was der deutsche Inlandsnachrichtendienst den US-Kollegen als Gegenleistung für die begehrte Software versprach. In dem Papier heißt es: "The BfV will: To the maximum extent possible share all data relevant to NSA’s mission." Auf Deutsch: Das BfV verpflichtete sich, die mithilfe von XKeyscore gewonnenen Informationen so weit wie irgend möglich mit der NSA zu teilen. Das war der Deal: Daten gegen Software.
Für den Verfassungsschutz war das ein schönes Geschäft. Die Überlassung der Software sei ein "Vertrauensbeweis", freute sich ein Beamter. Ein anderer nannte XKeyscore ein "cooles System".
Politisch und juristisch aber ist die Abmachung äußerst brisant. Denn bis heute kontrolliert niemand außerhalb des BfV, welche Daten auf der Grundlage der "Terms of Reference" an die NSA gelangen. Weder der Datenschutzbeauftragte noch das zur Überwachung des Verfassungsschutzes eingesetzte Parlamentarische Kontrollgremium des Bundestages (PKGr) wurden bislang vollständig über die Abmachung informiert. "Wieder muss ich von der Presse von einem neuen Vertrag BfV/NSA und unerlaubter Weitergabe deutscher Daten an den US-Geheimdienst erfahren", klagt der grüne Bundestagsabgeordnete Hans-Christian Ströbele, Mitglied im PKGr. Das Bundesamt für Verfassungsschutz hingegen beteuert, sich strikt an das Gesetz gehalten zu haben.
Die Daten, um die es geht, fallen regelmäßig bei den genehmigten Abhörmaßnahmen des BfV an. Anders als etwa der Bundesnachrichtendienst fischt der Verfassungsschutz nicht mit dem Schleppnetz im Datenstrom des Internets. Er darf lediglich verdächtige Einzelpersonen in Deutschland überwachen – und nur nachdem eine speziell dafür eingerichtete Kommission des Bundestages diese Überwachung genehmigt hat. Wegen der notwendigen Einschränkungen der Grundrechte in Artikel 10 des Grundgesetzes heißen diese Aktionen kurz G-10-Maßnahmen.
Eigentlich sollen solche gezielten Lauschaktionen Gesprächsinhalte zutage fördern: E-Mails, Telefonate oder Faxe. Doch sammelt das BfV dabei, quasi als Nebenprodukt, massenhaft auch sogenannte Metadaten. Ob die Sammlung dieser Daten von den Restriktionen des Abhörgesetzes mit erfasst sind, ist unter Juristen umstritten. Renommierte Verfassungsrechtler sind der Auffassung, dass die Geheimdienste die Metadaten keinesfalls beliebig auswerten dürfen. Die Dienste sehen das naturgemäß anders.
Denn klar ist, dass auch Metadaten interessante Rückschlüsse auf das Verhalten der Überwachten und ihrer Kontaktpersonen erlauben können, etwa so wie in der analogen Welt Absender und Adresse auf einem Briefumschlag aufschlussreich sein können, selbst wenn man den Brief nicht öffnet. Wer solche Daten kennt, kann Kommunikationsnetzwerke erkennen und Bewegungs- und Verhaltensprofile einzelner Menschen erstellen. Bisher konnte der Verfassungsschutz Metadaten nur von Hand auswerten – entsprechend selten wurde das gemacht. Das hat sich seit XKeyscore geändert. Zwar kann die Software-Variante des BfV selbst keine Daten im Internet sammeln, doch analysiert sie die sowieso bereits automatisch erhobenen Metadaten schnell und massenhaft. Das ist der Mehrwert von XKeyscore für das BfV. Und, dank des Deals, eben auch für die NSA.
In der Praxis muss man sich das so vorstellen: Wenn etwa ein vom BfV überwachter Islamist regelmäßig Anrufe aus Afghanistan erhält, dann dürfte diese Telefonnummer genau die Art von Information sein, die an die NSA weitergeleitet wird. Das allein ist noch nicht unbedingt ein Grund zur Aufregung, schließlich ist die Terrorismusbekämpfung das Ziel der Geheimdienstkooperation. Nur: Niemand außerhalb des BfV weiß, wie viele und wessen Daten mit der NSA geteilt werden. Niemand kann die Praxis des Informationsaustauschs kontrollieren, und wer die politische Verantwortung trägt, ist völlig unklar.
Allein 2013 startete das BfV 58 sogenannte G-10-Abhörmaßnahmen neu und führte 46 aus dem Vorjahr weiter. Wer wurde dabei erfasst? Was wurde an die NSA weitergeleitet? Etwa auch Informationen über deutsche Staatsbürger? Das BfV erklärt dazu auf Anfrage lapidar: "Zu den Einzelheiten der Zusammenarbeit bzw. der Zahl von Datenübermittlungen kann sich das BfV nicht öffentlich äußern."
Wie wichtig XKeyscore für das BfV mittlerweile ist, lässt sich noch an einer anderen Stelle ablesen: Vor Kurzem veröffentlichte die Webseite Netzpolitik.org vertrauliche Haushaltsunterlagen aus dem Jahr 2013, aus denen hervorgeht, dass im BfV 75 neue Stellen geschaffen werden sollen, um die "Massendatenauswertung von Internetinhalten" zu bewältigen. 75 Stellen, das ist für jede Behörde eine Menge Holz. Ein neues Referat namens 3C soll Bewegungsprofile und Beziehungsnetzwerke aufdecken und Rohdaten verarbeiten, die bei G-10-Überwachungen anfallen. Der Name XKeyscore taucht in den von Netzpolitik.org publizierten Unterlagen nicht auf. Doch die Vermutung liegt nahe, dass diese Einheit mit dem Ziel geschaffen wurde, die neue Überwachungssoftware einzusetzen.
Datenschutzbeauftragter wusste von nichts
Wie heikel der Deal mit den Amerikanern ist, merkte auch der Verfassungsschutz selbst. Bereits im Juli 2012 warnte eine Abteilung des BfV, schon die Tests mit XKeyscore könnten "weitreichende rechtliche Folgen" haben. Um die Leistungsfähigkeit der Software einschätzen zu können, müssten zum Beispiel Kollegen hinzugezogen werden, die gar nicht befugt seien, die zum Testen eingesetzten Daten zu lesen. Ob und wie man das Problem damals löste, will das BfV auch auf Anfrage nicht erläutern.
Auch den Bundesbeauftragten für den Datenschutz hat das BfV offenbar nicht informiert. "Von einem solchen Kompensationsgeschäft habe ich nichts gewusst", sagt Peter Schaar, der damalige Bundesdatenschutzbeauftragte, heute. "Auch von einem Test mit Echtdaten höre ich zum ersten Mal." Dass der Verfassungsschutz XKeyscore einsetze, sei ihm erst mitgeteilt worden, nachdem er im Jahr 2013 – im Zuge der entsprechenden Veröffentlichungen durch den Whistleblower Edward Snowden – von sich aus nachgefragt habe.
Schaar ist der Ansicht, dass der Verfassungsschutz ihn zwingend hätte informieren müssen. Weil bei den Tests echte Daten verwendet worden seien, so Schaar, habe es sich bereits dabei um Datenverarbeitung gehandelt. Das BfV hingegen ist der Meinung, der Einsatz von XKeyscore falle allein in die Kontrollzuständigkeit der G-10-Kommission. Über diese Frage wird schon lange gestritten. Schaar hat deshalb vor dem NSA-Untersuchungsausschuss gefordert, das G-10-Gesetz klarer zu formulieren.
NSA forderte Resultate
Dass der Verfassungsschutz durchaus die Probleme der Kooperation mit der NSA erkannte, belegt auch eine weitere Stelle in den Akten. Während der Verhandlungen über den XKeyscore-Deal stellte das BfV demnach klar: "Besondere Wünsche der NSA" könne man "nicht berücksichtigen, sofern deutsches Recht dem entgegensteht". Doch die Amerikaner drängten darauf, dass die Software endlich "produktiv genutzt" werde. Die NSA wolle "working results", notierten die Deutschen. Es gebe beim US-Geheimdienst offenbar "hohen, internen Druck", von den Deutschen Informationen zu bekommen.
Beim BfV setzte sich jedenfalls die Einschätzung durch, dass die Übermittlung von Informationen, die mithilfe von XKeyscore gewonnen würden, an die NSA mit deutschem Recht zu vereinbaren sei. Erkenntnisse, die bei G-10-Maßnahmen erlangt wurden, würden ohnehin "regelmäßig" an "ausländische Partnerdienste" übermittelt. So jedenfalls erklärte es das BfV im Januar 2014 dem Bundesinnenministerium. Überdies würde ein spezialisierter Jurist die Datenübermittlung jedes Mal "freizeichnen".
Wie es scheint, war das dem BfV Kontrolle genug. Jedenfalls informierte es seine parlamentarischen Aufseher offenbar nur lückenhaft über den Deal. Das Parlamentarische Kontrollgremium erfuhr zwar, dass das BfV die XKeyscore-Software erhalten habe und sie nutze. Doch selbst diese sehr allgemeine Unterrichtung erfolgte erst, nachdem das PKGr aufgrund der Snowden-Veröffentlichungen explizit danach gefragt hatte. Das Abkommen zwischen den Geheimdiensten, so der grüne Abgeordnete Ströbele, sei "zweifellos ein 'Vorgang von besonderer Bedeutung', über den die Bundesregierung laut Gesetz von sich aus ausreichend informieren müsste". Er will das Thema vor das PKGr bringen – den NSA-Untersuchungsausschuss des Bundestages wird es sicher ohnehin beschäftigen.
NSA hilft Verfassungsschutz - Das Dokument
Das folgende Dokument ist die wörtliche Abschrift einer Übereinkunft, die zwischen National Security Agency, Bundesnachrichtendienst und Bundesamt für Verfassungsschutz geschlossen wurde. Die drei Dienste haben sie im April 2013 unterzeichnet und darin geregelt, unter welchen Bedingungen der Verfassungsschutz die Software XKeyscore von der NSA bekommt.
Die Übereinkunft war bislang nicht öffentlich. Abzuwägen war, ob es gerechtfertigt ist, das Dokument in seinem Wortlaut bekannt zu machen.
Wir dokumentieren die Übereinkunft, weil sich die Öffentlichkeit damit selbst ein Bild davon machen kann, welchen Preis deutsche Nachrichtendienste zahlen müssen, wenn sie Hilfe von ihren amerikanischen Kollegen wollen.
Wir dokumentieren sie, weil die Übereinkunft die Gefahr birgt, dass Grundrechte deutscher Staatsbürger verletzt wurden und das Risiko besteht, dass dieser Zustand noch immer nicht beseitigt ist.
Wir dokumentieren sie, weil sie exemplarisch ist für eine ganze Reihe von Abkommen, die ohne detaillierte Unterrichtung der parlametarischen Kontrollgremien und ohne Chance auf eine Debatte im politischen oder öffentlichen Raum geschlossen wurden. So bleibt unklar, wer die politische Verantwortung trägt.
Erläuterung der im Dokument verwendeten Abkürzungen:
S – secret, geheim
SI – SigInt, Signals Intelligence, Aufklärung elektronischer Signale
COMINT – Communication Intelligence, Fernmeldeaufklärung
REL TO – release to, freigegeben für
FOUO – for official use only, Nur für den Dienstgebrauch, niedrigste Geheimhaltungsstufe
U – unclassified, nicht geheim
Das Dokument:
SECRET/SI/REL TO USA, DEU
(S/SI) Terms of Reference between the Bundesnachrichtendienst Sigint Department and the Bundesamt für Verfassungsschutz of the Federal Republic of Germany and the United States National Security Agency for the XKeyscore Computer Network Exploitation Software
I. (U) Purpose
A (S/SI) This Terms of Reference (TOR) is entered into between the Bundesnachrichtendienst (BND) and the Bundesamt für Verfassungsschutz (BfV) of the Federal Republic of Germany and the National Security Agency (NSA) of the United States of America for the purpose of establishing certain obligations for the BND, the BfV and the NSA. It delineates an agreement made in June 2012 to provision the BfV, through the BND, with the NSA-developed XKeyscore computer network exploitation software to improve the BfV's processing analytic capability to encounter extremist threats and, to the maximum extent possible, share all data relevant to NSA's mission.
B (U) Rights to an invention provided under this TOR shall be governed by the treaty between the U.S. and the Federal Republic of Germany, entitled Interchange of Patent Rights and Technical Information for Defense Purposes, signed January 4, 1956.
C (U) This TOR is not intended to create any legally enforceable rights and shall not be construed to be either an international agreement or a legally binding instrument according to international law.
II. (U) Software Description
A (S/SI) XKeyscore is a computer network exploitation system that combines high-speed filtering with Sigint Development (Sigdev). XKeyscore performs filtering and selection to enable analysts to quickly find information they need based on what they already know. It also performs Sigdev functions such as target development to allow analysts to discover new sources of information.
III. (U) Responsibilities
A (U) NSA will:
1. (S/SI) Provide the BND with XKeyscore software with the understanding that this software will be transferred to the BfV.
2. (S/SI) Collaborate with the BND and the BfV on analytic methodologies and provide support for complex problems with the software.
B (U) BND will:
1. (U/FOUO) Provide system installation, operations, maintenance and training support to the BfV.
2. (U/FOUO) Agree that, absent the prior written authorization of the NSA, it will not export, re-export, or transfer any technical information or equipment regarding XKeyscore that is furnished under this TOR.
C (U) BfV will:
1. (S/REL) Be responsible for all costs related to the acquisition of the necessary hardware and software necessary to successfully implement the XKeyscore software as a processing and analysis solution.
2. (U/FOUO) Agree that, absent the prior written authorization of the NSA, it will not export, re-export, or transfer any technical information or equipment regarding XKeyscore that is furnished under this TOR.
3. (U/FOUO) Utilize XKeyscore in a manner consistent with German law and in a manner reasonably likely not to result in the targeting of U.S. persons. The term U.S. persons includes U.S. citizens, an alien lawfully admitted for permanent residence in the U.S., unincorporated groups and associations a substantial number of the members of which are U.S. citizens or resident aliens, or corporations incorporated in the U.S., including U.S. flag nongovernmental aircraft or vessels, but not including those entities which are openly acknowledged by a foreign government or governments to be directed and controlled by them.
4. (S/SI) Ensure that the information processed via XKeyscore will not be used in a judical or administrative proceeding that is based solely on activities that if conducted by a United States person would be protected by the United States Constitution and Amendments thereto and is in accordance with German law.
5. (U/FOUO) To the maximum extent possible share all data relevant to NSA's mission.
IV. (U) Review and amendments
A (S/SI) The BND, the BfV and the NSA agree that the parties through mutual discussion, cooperation or separate agreement shall resolve all disputes or disagreements concerning this TOR. The parties agree that they will not attempt to enforce the terms of this TOR in any domestic, foreign, third party or international court or tribunal, nor will they refer disputes or disagreements for resolution in accordance with any international or third party law or procedure.
B (S/SI) This TOR constitutes the entire agreement between the BND, the BfV and NSA to implement the support for the XKeyscore software. Modifications to this TOR shall not be valid unless agreed to in writing by the parties. This TOR shall be classified SECRET/COMINT by all three parties. The BND, the BfV and the NSA agree that no third party shall be made aware of this TOR without the express written consent oft he other parties.
C (S/SI) This TOR shall be become affective as of the date of the last signature and will be reviewed at least every two years. It may be modified only by mutual written consent of the parties. Termination shall be by mutual agreement in writing. This document may also be terminated uniliterally by either party uponwritten notice to the other parties via certified mail.
V. (U) Funding
A (U) While no consequential costs are expected, each party will bear all unexpectedly occurring costs by this TOR for the respective party.
VI. (U) Points of contact
(S/SI) The NSA point of contact for this agreement is the Technical Liaison Manager. The BND point of contact is the XKeyscore Liaison Manager. The BfV point of contact is the Head of the Lawfull Interception Group.
In whitness wherefor each of the parties mutually agrees to the above and has executed with the full intention of being bound thereby.
VII. (U) Signatures
For the Bundesnachrichtendienst
Pauland, SIGINT Director, 08.04.2013
For the National Security Agency
(unleserlich), SIGINT Director, 26.04.2013
For the Bundesamt für Verfassungsschutz
(unleserlich), BfV Director, 05.04.2013