Datenverarbeitung des BND in Bad Aibling
in: vorgänge Nr. 215 (Heft 3/2016), S. 13-16
Am 1. September veröffentlichte netzpolitik.org einen bisher geheimen Prüfbericht der Bundesdatenschutzbeauftragten (BfDI), der sich mit der Kommunikationsüberwachung des BND in Bad Aibling befasst. Grundlage des Berichtes, der einen Arbeitsstand vom 30.7.2015 ausweist, sind Vor-Ort-Kontrollen, die Mitarbeiter/innen der BfDI in Bad Aibling durchführten. Bei ihren Kontrollen stießen sie auf zahlreiche Datenbanken, für die es nach Auffassung der BfDI – selbst bei wohlwollender Anwendung der „Rechtsauffassung“ des BND (§§ 1,2 BNDG als Befugnisnormen) – keine rechtliche Grundlage gab, die teilweise schon jahrelang im Einsatz waren, bei denen das vorgeschriebene Verfahren zur Errichtung von Datenbanken und damit die Datenschutzaufsicht gezielt umgangen wurden. Der Bericht listet insgesamt 18 Rechtsverstöße auf und spricht 12 Beanstandungen aus. Ferner benennt der Bericht zahlreiche Behinderungen bei der Vorort-Kontrolle.
Wir verzichten an dieser Stelle auf eine rechtliche Auswertung des Berichts – die darin aufgelisteten Mängel sind schlicht desaströs. Statt dessen versuchen wir anhand des Berichts nachzuvollziehen, welche Einsichten in die sachlichen Abläufe der Überwachung in Bad Aibling der Bericht bietet. Da die im Bericht genannten Datenbanken in vielen Texten dieses Heftes wieder auftauchen, stellen wir ein kleines Glossar voran.
XKeyscore
XKeyscore kann zur Analyse, aber auch zur Gewinnung von Daten direkt aus Datenströmen verwendet werden. Laut Aussage des BND wird das Programm ausschließlich zur Datenanalyse genutzt. Aus dem Bericht der Bundesdatenschutzbeauftragten geht hervor, dass das Programm vom BND auch zur Datengewinnung verwendet wird. Aus welchen Quellen die Daten gewonnen werden, wird nicht spezifiziert („durchsucht […] weltweit den gesamten Internetverkehr (IP-Verkehr)“). Eine Besonderheit des Programms ist, dass damit auch Datenzugriffe in Echtzeit möglich sind.
Laut Bericht werden mit XKeyscore Meta- und Inhaltsdaten gesammelt, die aufgrund von SCRABBLE-Selektoren (also Selektoren, die von der NSA geliefert werden) ausgewählt worden sind. Es können sehr große Mengen von Daten gesammelt werden; aufgrund dessen ist die Speicherdauer in der Datenbank vergleichsweise gering.
Die Daten können aber innerhalb von XKeyscore ausgewertet und in dauerhaftere Datenbanken überführt werden. Die auf diese Weise gewonnen Daten werden der NSA übermittelt.
Smaragd
Name der Abhörschnittstelle und des entsprechenden Abhörprojekts des BND zum Anzapfen von Datenleitungen im außereuropäischen Ausland unter Mitwirkung eines ausländischen Geheimdienstes.
ZABBO
Abhörprogramm des BND in Bad Aibling zum Zugriff auf satellitengestützte Kommunikation in Afghanistan.
NG-Netz
Das NG-Netz ist der Teil des Transfernetzes, der sich in Bad Aibling befindet. Hier kommen die Daten aus den unterschiedlichen Abhörprogrammen an.
DAFIS (Daten-Filter-System)
Alle Daten, die in Bad Aibling verarbeitet werden (Überwachungsdaten und Selektoren), werden zunächst einer dreistufigen automatischen Filterung unterzogen, die sicherstellen soll, dass Daten von deutschen Staatsbürgern und Grundrechtsträgern des Art. 10 GG nicht verarbeitet werden. Das dazu verwendete Programm heißt DAFIS (Datenfiltersystem).
Die erste Stufe filtert u.a. nach der Ländervorwahl +49 und der Top-Level-Domain .de.
Die zweite Stufe enthält eine Liste mit Telefonnummern, Mailadressen und Domains, von denen der BND weiß, dass er zu deutschen Staatsbürgern oder Institutionen gehört, und die deswegen herausgefiltert werden. Beispiel: feuerwehr-ingolstadt.org. Diese Liste enthält ca. 300.000 Einträge.
Wie genau die dritte Stufe funktioniert, ist nicht bekannt. Hier sollen Daten herausgefiltert werden, deren Verwendung gegen deutsche und/oder europäische Interessen verstieße. Bis kurz vor den Enthüllungen Edward Snowdens enthielt die dazugehörige Liste ca. 500 Einträge, diese Anzahl hat sich seitdem stark erhöht.
Die Datenschutzbeauftragte beanstandet dieses System, weil eine Speicherung grundrechtlich geschützter Personen zum Zweck der Aufnahme in die Positivliste nicht zulässig ist, weil keine Vorgaben zur Aufnahme in die beiden Listen existieren und weil es mit diesem System nicht möglich ist, sämtliche deutschen Grundrechtsträger herauszufiltern.
VERAS (Verkehrsdaten-Analyse-System)
Diese Datenbank erfasst alle Metadaten (wie z.B. Telefonnummern, Mailadressen, Verbindungs- und Standortdaten) aus den unterschiedlichen Datenquellen nach Durchlaufen der Filterung durch DAFIS. Die Daten bleiben 90 Tage lang und werden mittels Selektoren durchsucht. Über VERAS ist es möglich, ausgehend von einem Datensatz beliebig viele weitere Ebenen zu durchsuchen, also z.B. Informationen über einen Bekannten eines Freundes des Verdächtigen ausfindig zu machen. Dadurch können aus diesem System gewonnene Erkenntnisse als neue Selektoren genutzt werden.
INBE (Inhaltliche Bearbeitung)
In dieser Datenbank werden die Inhalte zu den in VERAS gespeicherten Metadaten gespeichert. Das können z.B. Texte von Emails oder Sprachdateien sein, aber auch bearbeitete Inhalte wie z.B. übersetzte Transkripte der Originalinhalte.
Quelle: BfDI, Sachstandsbericht zu Datenschutzrechtliche Beratung und Kontrolle gemäß § 24 und § 26 Absatz 3 Bundesdatenschutzgesetz der Erhebung und Verwendung personenbezogener Daten in bzw. in Zusammenhang mit der Dienststelle des BND in Bad Aibling v, 15.3.2016 (Sachstand: 30. Juli 2015) – Aktenzeichen: V-660/007#1424-25-13/15, GEHEIM.
Der geleakte Prüfbericht ist abrufbar unter https://netzpolitik.org/2016/geheimer-pruefbericht-der-bnd-bricht-dutzendfach-gesetz-und-verfassung-allein-in-bad-aibling/.
Zusammenstellung und Schaubild: Carola Otte
Dokumentation
Datenverarbeitung des BND in Bad Aibling
Am 1. September veröffentlichte netzpolitik.org einen bisher geheimen Prüfbericht der Bundesdatenschutzbeauftragten (BfDI), der sich mit der Kommunikationsüberwachung des BND in Bad Aibling befasst. Grundlage des Berichtes, der einen Arbeitsstand vom 30.7.2015 ausweist, sind Vor-Ort-Kontrollen, die Mitarbeiter/innen der BfDI in Bad Aibling durchführten. Bei ihren Kontrollen stießen sie auf zahlreiche Datenbanken, für die es nach Auffassung der BfDI – selbst bei wohlwollender Anwendung der „Rechtsauffassung“ des BND (§§ 1,2 BNDG als Befugnisnormen) – keine rechtliche Grundlage gab, die teilweise schon jahrelang im Einsatz waren, bei denen das vorgeschriebene Verfahren zur Errichtung von Datenbanken und damit die Datenschutzaufsicht gezielt umgangen wurden. Der Bericht listet insgesamt 18 Rechtsverstöße auf und spricht 12 Beanstandungen aus. Ferner benennt der Bericht zahlreiche Behinderungen bei der Vorort-Kontrolle.
Wir verzichten an dieser Stelle auf eine rechtliche Auswertung des Berichts – die darin aufgelisteten Mängel sind schlicht desaströs. Statt dessen versuchen wir anhand des Berichts nachzuvollziehen, welche Einsichten in die sachlichen Abläufe der Überwachung in Bad Aibling der Bericht bietet. Da die im Bericht genannten Datenbanken in vielen Texten dieses Heftes wieder auftauchen, stellen wir ein kleines Glossar voran.
XKeyscore
XKeyscore kann zur Analyse, aber auch zur Gewinnung von Daten direkt aus Datenströmen verwendet werden. Laut Aussage des BND wird das Programm ausschließlich zur Datenanalyse genutzt. Aus dem Bericht der Bundesdatenschutzbeauftragten geht hervor, dass das Programm vom BND auch zur Datengewinnung verwendet wird. Aus welchen Quellen die Daten gewonnen werden, wird nicht spezifiziert („durchsucht […] weltweit den gesamten Internetverkehr (IP-Verkehr)“). Eine Besonderheit des Programms ist, dass damit auch Datenzugriffe in Echtzeit möglich sind.
Laut Bericht werden mit XKeyscore Meta- und Inhaltsdaten gesammelt, die aufgrund von SCRABBLE-Selektoren (also Selektoren, die von der NSA geliefert werden) ausgewählt worden sind. Es können sehr große Mengen von Daten gesammelt werden; aufgrund dessen ist die Speicherdauer in der Datenbank vergleichsweise gering. Die Daten können aber innerhalb von XKeyscore ausgewertet und in dauerhaftere Datenbanken überführt werden. Die auf diese Weise gewonnen Daten werden der NSA übermittelt.
Smaragd
Name der Abhörschnittstelle und des entsprechenden Abhörprojekts des BND zum Anzapfen von Datenleitungen im außereuropäischen Ausland unter Mitwirkung eines ausländischen Geheimdienstes.
ZABBO
Abhörprogramm des BND in Bad Aibling zum Zugriff auf satellitengestützte Kommunikation in Afghanistan.
NG-Netz
Das NG-Netz ist der Teil des Transfernetzes, der sich in Bad Aibling befindet. Hier kommen die Daten aus den unterschiedlichen Abhörprogrammen an.
DAFIS (Daten-Filter-System)
Alle Daten, die in Bad Aibling verarbeitet werden (Überwachungsdaten und Selektoren), werden zunächst einer dreistufigen automatischen Filterung unterzogen, die sicherstellen soll, dass Daten von deutschen Staatsbürgern und Grundrechtsträgern des Art. 10 GG nicht verarbeitet werden. Das dazu verwendete Programm heißt DAFIS (Datenfiltersystem).
Die erste Stufe filtert u.a. nach der Ländervorwahl +49 und der Top-Level-Domain .de.
Die zweite Stufe enthält eine Liste mit Telefonnummern, Mailadressen und Domains, von denen der BND weiß, dass er zu deutschen Staatsbürgern oder Institutionen gehört, und die deswegen herausgefiltert werden. Beispiel: feuerwehr-ingolstadt.org. Diese Liste enthält ca. 300.000 Einträge.
Wie genau die dritte Stufe funktioniert, ist nicht bekannt. Hier sollen Daten herausgefiltert werden, deren Verwendung gegen deutsche und/oder europäische Interessen verstieße. Bis kurz vor den Enthüllungen Edward Snowdens enthielt die dazugehörige Liste ca. 500 Einträge, diese Anzahl hat sich seitdem stark erhöht.
Die Datenschutzbeauftragte beanstandet dieses System, weil eine Speicherung grundrechtlich geschützter Personen zum Zweck der Aufnahme in die Positivliste nicht zulässig ist, weil keine Vorgaben zur Aufnahme in die beiden Listen existieren und weil es mit diesem System nicht möglich ist, sämtliche deutschen Grundrechtsträger herauszufiltern.
VERAS (Verkehrsdaten-Analyse-System)
Diese Datenbank erfasst alle Metadaten (wie z.B. Telefonnummern, Mailadressen, Verbindungs- und Standortdaten) aus den unterschiedlichen Datenquellen nach Durchlaufen der Filterung durch DAFIS. Die Daten bleiben 90 Tage lang und werden mittels Selektoren durchsucht. Über VERAS ist es möglich, ausgehend von einem Datensatz beliebig viele weitere Ebenen zu durchsuchen, also z.B. Informationen über einen Bekannten eines Freundes des Verdächtigen ausfindig zu machen. Dadurch können aus diesem System gewonnene Erkenntnisse als neue Selektoren genutzt werden.
INBE (Inhaltliche Bearbeitung)
In dieser Datenbank werden die Inhalte zu den in VERAS gespeicherten Metadaten gespeichert. Das können z.B. Texte von Emails oder Sprachdateien sein, aber auch bearbeitete Inhalte wie z.B. übersetzte Transkripte der Originalinhalte.
Quelle: BfDI, Sachstandsbericht zu Datenschutzrechtliche Beratung und Kontrolle gemäß § 24 und § 26 Absatz 3 Bundesdatenschutzgesetz der Erhebung und Verwendung personenbezogener Daten in bzw. in Zusammenhang mit der Dienststelle des BND in Bad Aibling v, 15.3.2016 (Sachstand: 30. Juli 2015) – Aktenzeichen: V-660/007#1424-25-13/15, GEHEIM.
Der geleakte Prüfbericht ist abrufbar unter https://netzpolitik.org/2016/geheimer-pruefbericht-der-bnd-bricht-dutzendfach-gesetz-und-verfassung-allein-in-bad-aibling/.
Zusammenstellung und Schaubild: Carola Otte