Die Bundesregierung bescheinigt ihren Geheimdiensten weiterhin eine saubere Arbeit. "Es gibt keine millionenfache Grundrechtsverletzung durch deutsche Geheimdienste, und die deutschen Dienste halten sich an die Vorschriften des Datenschutzes", ließ Kanzlerin Angela Merkel am Montag durch einen Sprecher verkünden. Der BND arbeite als Auslandsnachrichtendienst mit der NSA zusammen, "und das ist gut und richtig so".

Es ist die achte Woche im NSA-Skandal und erneut ist die Bundesregierung durch Details der Zusammenarbeit deutscher Geheimdienste mit den USA in Erklärungsnot geraten. Der Spiegel hatte am Wochenende berichtet, dass der Bundesnachrichtendienst (BND) massenhaft Verbindungsdaten an die NSA weiterleitet. Allein im Dezember 2012 seien es rund 500 Millionen solcher Metadaten gewesen. Der BND wollte das Volumen zwar nicht verraten, bestätigte aber grundsätzlich die Weitergabe von Metadaten. Grundrechte deutscher Bürger seien aber nicht verletzt, weil ihre Daten herausgefiltert würden.

Der deutsche Auslandsgeheimdienst leitet also jeden Monat Hunderte Millionen Verbindungsdaten an seine US-Partnerdienste weiter. Da drängen sich unmittelbar zwei Fragen auf: Darf der BND das? Und wie kann er garantieren, dass Deutsche nicht betroffen sind?

Was der deutsche Auslandsgeheimdienst darf und was nicht, ist im Wesentlichen in zwei Gesetzen geregelt: Dem sogenannten G-10-Gesetz und dem BND-Gesetz. In beiden Gesetzen ist von personenbezogenen Daten die Rede, wenn es um die Weitergabe geht. Das können persönliche Angaben wie etwa Augenfarbe, Körpergröße, Gesundheitsinformationen oder religiöse Zugehörigkeit sein. Auch Metadaten können solch personenbezogene Daten sein. Denn sie verraten etwas über Ort, Zeit, Dauer und Teilnehmer einer Verbindung, also auch Telefonnummern, IP- oder E-Mail-Adressen, die persönlich zuzuordnen sind.

Metadaten aus dem Ausland

Der Schutz von personenbezogenen Daten deutscher Bürger ist groß, weil sie die Grundrechte berühren. Wenn die Bundesregierung also eine millionenfache Grundrechtsverletzung ausschließt, bezieht sie sich auf die Weitergabe solcher persönlicher Daten, die nach Paragraf 7a des G-10-Gesetzes nur in Ausnahmefällen, mit ausdrücklicher Genehmigung des Kanzleramts und unter genauer Dokumentation der Verwendung erlaubt ist. Das ist nach Angaben von Regierung und BND im vergangenen Jahr nur in zwei Fällen passiert, bei denen es um Daten eines entführten Deutschen gegangen sein soll.

Die vom Spiegel öffentlich gemachte massenhafte Weitergabe von Metadaten ist nach Angaben des BND auf Grundlage des BND-Gesetzes erfolgt. Dort heißt es in Paragraf 9 relativ schwammig, eine Weitergabe sei "nur zulässig, wenn sie zur Wahrung außen- und sicherheitspolitischer Belange der Bundesrepublik Deutschland erforderlich ist und das Bundeskanzleramt seine Zustimmung erteilt hat." Ihre konkrete Zusammenarbeit sollen BND und NSA 2002 in einem Abkommen geregelt haben, dessen Inhalt geheim ist.

Der BND wie auch die Regierung behaupten, dass die in die USA übermittelten Verbindungsdaten ausschließlich aus dem Ausland stammen. Schwerpunkte sollen Afghanistan und der Nahe Osten sein. Und: "Vor der Weiterleitung werden diese Daten in einem gestuften Verfahren um eventuell darin enthaltende personenbezogene Daten deutscher Staatsangehöriger bereinigt", teilte ein Sprecher des BND mit. Wie dieses Verfahren genau aussieht, wollen die Geheimdienstler nicht verraten: Wie wollen sie ausschließen können, dass es sich um einen Deutschen handelt?

"Ein gefährliches Eigenleben"

Nach Informationen von ZEIT ONLINE werden vom BND etwa alle E-Mail-Adressen mit der Endung .de sowie alle Telefonnummern mit der Landesvorwahl 0049 herausgefiltert. Doch viele E-Mail-Adressen haben andere Endungen, Deutsche könnten sich auch unter internationalen Domains registriert haben. Und welcher Entwicklungshelfer benutzt im Ausland nicht ein Handy mit lokalem Netz?

Der BND könne nicht gewährleisten, dass Deutsche und ihre Kommunikationsverbindungen von der Weitergabe betroffen sind, sagt der IT-Fachanwalt Thomas Stadler. Er hat seine Zweifel an der Rechtsmäßigkeit der Zusammenarbeit zwischen dem BND mit der NSA und kommt in seinem Blog zu dem Schluss, "dass der BND die Vorgaben des G-10-Gesetzes nicht befolgen kann und sich deshalb rechtswidrig verhält". Zudem hat er erhebliche Zweifel, dass die Daten vom BND legal erhoben wurden.

Stadler sieht in der massenhaften Datenweitergabe einen weiteren Beleg für die unzureichende Kontrolle der Geheimdienste. In der Unterrichtung an den Bundestag stehe kein Wort über die Übermittlung der Verbindungsdaten. Und die Regierung erwecke den Anschein, nichts zu wissen. "Wenn die Bundesregierung nichts von der millionenfachen Datenweitergabe weiß, hat der BND ein gefährliches Eigenleben entwickelt", sagt der Jurist.

Das würde Stadler als eine Konsequenz aus der Affäre als Erstes beenden: "Die Kompetenzen des BND bei der Überwachung von Telekommunikationsdaten müssen enger gefasst und klarer formuliert werden", sagt er. Außerdem würde er "die Horchposten der NSA" in Deutschland schließen. Das allerdings sei politisch wohl unvorstellbar, fügt er hinzu.