NSA Geheimdienst-Untersuchungsausschuss 15.01.2015


NSA Geheimdienst-Untersuchungsausschuss 15.01.2015


Heute tagt wieder der Geheimdienst-Untersuchungsausschuss im Bundestag. Der einzige Zeuge ist Peter Schaar, ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Wir sitzen wie immer drin und bloggen live.

Disclaimer

Dieses Protokoll ist nach bestem Wissen und Können erstellt, erhebt jedoch keinen Anspruch auch Vollständigkeit oder umfassende Korrektheit.

Wer netzpolitik.org unterstützen möchte, darf gerne spenden.


Patrick Sensburg, Vorsitzender (09:00)

$Begrüßung

$Formalitäten

Zeuge 1: Peter Schaar, Ex-BfDI

Peter Schaar, 60 Jahre, wohne in Hamburg, Diplom-Volkswirt, ehemaliger BfDI

$Danke

(Spricht frei.)

War während der Vorgänge BfDI. Bis 17.12.2013. Kann nur bis dahin aussagen. Danach auch nur aus Presse.

Erste veröffentlichungen im Sommer 2013 waren USA-bezogen: Telefondaten herausgegeben (Verizon). Besätigte Gerüchte, die ich auch kannte. Nicht neu, gehörte zum Geschäft.

Änderte sich mit PRISM am 6. Juni 2013. Warf die Frage auf, ob Daten deutscher Internet-Nutzer betroffen waren. Betrifft Recht auf informationelle Selbstbestimmung und damit meine Aufgabe. Habe Aufrsichtstätigkeit über TK-Unternehmen. Immer mehr Behauptungen in Presse in Folgezeit. Hinweise, dass auch in Deutschland gesammelt würden.

Bericht, dass NSA Zugang zu Netzknoten/Daten hat, die von BND stammten (Bad Aibling). Hat datenschutzrechtliche Alarmstufehochgesetzt. Habe mich unverzüglich in ersten Tagen mit Mitarbeiter/inne aufgenommen und mich ans BSI gewendet. Alle von Angelegenheiten berührten Ministerien angeschrieben, was an den Informationen dran istund was man dagegen tun kann. Schreiben waren auf Basis der Aussagen von BSI, das es keine Zweifel an der Echtheit der Offenbarten Papiere gab.

Nach Beteilligung Deutscher auch weitere Schreiben verfasst. An Nachrichtendienste des Bundes und Stellen mit Fach- und Dienstaufsicht über Dienste. Wurde von einzelnen Stellen beantwortet, von anderen nicht. BMI wr Problem, die haben nie geantwortet. Im August 2013 habe ich das formell beanstandet.

Parallel zu Informations-Gesuch habe ich veranlasst,an die Unternehmen heranzutreten und Prüfungen einzuleiten. In Veröffentlichung genannte TK-Unternehmen,m Internet-Knoten, Verbindungsdaten-Verarbeiter. DTAG, Level 3, Vodafone, Reihe weiterer großer Unternehmen. Einzelne Vor-Ort-Prüfungen bei großen Unternehmen. Da war ich nicht persönlich, sondern Mitarbeiter/innen von mir. War schwierig. Wir können nicht einen Internet-Knoten prüfen und feststellen, ob es ein extra Kabel gibt, was da nicht legen sollte. Im wesentlichen über viele Stunden mit Mitarbeitern der Unternehmen gesprochen.

Weitere Prüfungen. Nach Merkelphone Prüfung bei Mobilfunkstation in Berliner Zentrum. Prüfung bei BfV und BND in Bad Aibling. Erst relativ spät: November und Dezember 2013. Bei Ende meiner Amtszeit war Prüfungsbericht noch nicht fertig.

Antworten der Unternehmen war: wir halten uns an deutsches Recht, geben AND keine Informationen, haben keine Hinweise, dass informationen über Seitenkanäle abfließen. G-10-Überwachung ist für mich als BfDI ein nicht-prüfbarer Bereich, soweit personenbezogene Daten aus Telekommunikation erhoben werden. § 24 BDSG enthält Ausnahme für mich, G-10-Kommission exklusiv zuständig. Schnittstellenproblematik. Unterschiedliche Stellen für Teilbereiche eines komplexen Zusamenhangs jeweils Teilzuständigkeit. Hab

Habe auch politische Debatte begleitet und Bundestag November 2013 einen Bericht erstattet (Drucksache 58): Rechtslage und Handlungsbedarf erläutert.

Fragerunde 1: Vorsitzender (09:23)

Sensburg: Wir kommt BfDI Kontrolle nach? Stichproben? Programm zum Abarbeiten?

Schaar: Unterscjhiedliche Ebenen. Einfach: bloße Nachfrage. Was wir als Kontrollen bezeichnen, sind Vor-Ort-Kontrollen. Nach entsprechender Ankündigung (in wenigen Fällen unangekündigt) vor Ort und besprechen den weiteren Ablauf der Prüfung. Üblicherweise kompetente Gesprächspartner. Prüfer 2-4 Personen mit unterschiedlichen Qualifikationen. Räumlichkeiten und Unterlagen zur Verfügung gestellt. Bei Dateiüberprüfung (Anti-Terror-Datei 2011/12 geprüft) verlangen wir Einsicht in Datei. Kei direkter Zugriff meiner Mitarbeiter, sondern Mitarbeiter der Behörde macht entsprechende Eingaben. Stichprobenkontrollen (erste 100 Datensätze). Ist gespeicheter Inhalt rechtlich korrekt? Beispiel Freitextfelder. Dann Aktenrückhalt heranziehen (kann elektronisch sein). Anhand der Dateieinträge prüfen,inwieweit Aufnahme in eine Datei rechtlich zulässig ist. Dann Ergebnisse zusamengefasst und hypothetische Bewertung an geprüfte Stelle geben. Die kann dann Stellung nehmen. Üblicherweise sachliche Fehler erkannt und korrigiert. Ggf. Bewertung nochmal angepasst. Je nach Ergebnis ist Bewertung positiv oder negativ. Leicht behebbare, nicht schwerwiegende Mängel: von Beanstantung abgesehen. Schwerwiegend oder Behörde weigert sich, Mängel zu beseitigen: formelle Beanstandung gegenüber Leiter der Einrichtung (Bundesminister oder Behördenleiter). Damit Prüfung abgeschlossen.Haben keine weiteren Prüfmöglichkeiten. Bei nicht-öffentlichen Stellen haben wir nur Zuständigkeit bei Telekomunikations- und Postunternehmen (Erbe aus Postmonopol-Zeit). Schweierigm, weil wir hier (im Gegensatz zu Landes-Datenschützern) keine Sanktionsmöglichkeiten haben. Geben das an die BNetzA, die das nochmal prüft und dann Bußgelder/Untersagungen verhängen kann. Jedes Jahr wird vorläufiger Prüfplan aufgestellt, rund 100 umfangreiche Prüfungen. Nach Snowden natürlich Prüfplan korrigiet, neue Schwerpunkte gesetzt: Prüfungen zurückgestellt, neue angesetzt.

Sensburg: Bei Fernmeldeverkehren zuständig, wenn nicht G-10-Kommission. Welche sind erfasst?

Schaar: Habe gefragt, was außerhalb G-10 an andere Nachrichtendienste weitergegeben wurde. Habe Sachverständigengutachten und Zeugenvernehmungen im Ausschuss hier durchgelesen. Problemkomplex: Auslandsaufklärung durch BND. Bereich nciht ganz deutlich abzugrenzen. Gesetz spricht von “internationalem Telekommunikationsverkehr”. Müsste man interpretieren als: alle Arten TK-Verkehr, die in Deutschland irgendwo anfallen. Ausgangs- und Endpunkt Deutschland als auch Ausland-Ausland und nur durch Deutschland durchgeleitet. Bundesregierung vertritt Auffassung, dass internationale TKÜ, die nur Transit betrifft, nicht darunter fällt. In kleiner Antwort definierte Bundesregierung das so, dass nur aus und nach D gehende verkehre darunter fallen. Transit-Kommunikation fällt unter G-10-Kommission oder eben incht. Wenn sie nicht darunter fällt (wie Bundesregierung sagt), falen sie in meinen Zuständigkeitsbereich. Fallen selbstverständlich unter deutsches Recht (räumlich, personell und inhaltlich deutscher Bezug), gar kein zweifel. Dann meine Zuständigkeit. Gilt auch für Auslandskommunikation, die im Inland verarbeitet wird. Gab hier aber keine Auskünfte der inisterien an mich, wurde unter Bezug auf G-10 verweigert. grundlegendes Problem, ausmeiner Sicht dringend klärungsbedürftig. Datenarten: Keine Hinweise, dass es nur Inhalte sind. Auch Verkehrs- oder Metadaten sind umfasst. BVerfG hat immer wieder festgestellt, dass Verkehrsdaten “nähere Umstände des TK-Verkehrs” unter Schutz von Artikel 10 GG fallen. Daran ändert nichts, dass nicht jedes Datum zu jeder Zeit für jedermann einer bestimmten Person zuorenbar ist,die reine Möglichkeit reicht, gilt auch für Auslandsverkehre. In diesem Fal war es mir nciht möglivh, Prüfungen vor Ort durchzuführen. ier wurden mir Informationen verweigert mit Berufung auf G-10. Ich kann nicht nachprüfen, ob die G-10-Kommission das angeordnet hat, muss das glauben.

Sensburg: Ausland-Ausland-Verkehr ist also nicht G-10-Bereich, sondern bei ihnen?

Schaar: In diesem Falle nicht ausdrücklich so der Regierung gesagt,letztlich Argumentation der Regierung gefolgt. Mir war auch nicht bekannt, dass auch Transit-Verkehr an ausländische Stellen weitergeleitet werden sein könnte. Diese Informationen hatte ich nicht. Hatte Snowden-Dokumente eher auf Informationen aus Kridsengebieten bezogen, so hatte die Bundesregierung das ja auch behauptet. Frage Transit stellt sich jetzt verschärft.

Sensburg: Also keine Lücke?

Schaar: Kann sei, dass es eine Lücke gibt. Sollte BuReg glauben, dass Transit unter G-10 fällt und dafür eine G-10-Anordnung haben, gibt es keie Kontrolle. Gibt es keine G-10-Anordnung und mir trotzdem die Auskunft verweigern, dann gibt es keine Kontrolle, was zu beanstanden ist.

Sensburg: BuReg sagte ihnen doch: “kein G-10″.

Schaar: BuReg sagte mir über bestimte Vorgänge einfach: “Keine Auskunft.”

Sensburg: Sagte sie auch manchmal “Hier kein G-10″?

Schaar: Ja, darf ich aber nur NÖ sagen.

Sensburg: Welche Informationsersuchen haben sie gestellt?

Schaar: Differenzierter Fragenkatalog. Erste Version 5.7.2013. Zwei Wochen später nochmal Nachfrage. Alles abgefragt: Wer hat Kenntnis von was, wer hat Daten mit Programmen ausgewertet? Welche Programme, XKeyscore? An AND weitergegeben? Umfangreicher Katalog.

Sensburg: Was haben sie vor Snowden dazu gemacht?

Schaar: Gab Echelon, war aber vor meinem Amtsantritt 2003. Gab keine gezielte Prüfung dieses Sachverhaltes. Problembewusstsein bei Auslands-Auslands-Kommunikation war bei uns nicht vorhabden, wurde nicht als außerhalb des G-10 gesehen. Gingen davon aus, dass es Kontrolle gibt. Wurde regelmäßig Nachrichtendienste geprüft, Mitarbeiter vor Ort (Pullach, Köln) und Prüfungen vorgenommen. Für die Vorgänge hier gab es vorher keinen Anlass für Prüfung. Sind ja auch nicht all zu üppig ausgestattet als Behörde. Sind von MAD zu BKA zuständig. Haben diese Schnittstelle vorher nciht addressiert, habe das aber mit beiden parlamentarischen Kontrollgremiendiskutiert und meinen Kontrollwunsch geäußert.

Sensburg: Ich wefe ihnen keine Versäumnisse vor. G-10 nach § 24 Abs. 2, Satz 2. Gab es in ihrer Zeit Fälle, wo G-10-Kommission mit Ersuchen an sie herantrat?

Schaar: Nein. Gibt unterschiedliche Prüfmethoden,die sich ergänzen können. In meinem Haus gab es Prüfteams,die vor Ort gingen und Akten und Dateien prüften. Stießen auf Dinge, die mit G-10 begründet wurden. Diese Erkentnisse durften wir aber nicht bewerten. Systematische Kontrolllücke. G-10-Kommission prüft ja Schengener Informationssystem nicht. Hier treten Probleme auf. Habe ich Vorsitzenden und Obleuten der Gremien gesagt und geschieben. Recht schnell wieder eingeschlafen.

Sensburg: Wie viele Mitarbeiter haben sie dafür?

Schaar: Im Sicherheitsbereich 5. Dazu gehört auch Europol, Bundespolizei, BKA und NAchrichtendienste. Rechtssetzung, Verhandlug, Gremienarbeit. Fallweise auch andere für besodneren technischen Sachverstand (Referat Technik oder TK).

Sensburg: Externe Expertise?

Schaar: Bis auf BSI: nein. Vor drei Jahren Mittel eingeworben, um Prüfteams zu entwickeln. Aber noch nicht einsetzbar. Haben uns auch gefragt, ob Behörden das dulden würden. Gab es zu der Zeit nicht. Können eigentlich nur auf Anomalien prüfen.

Sensburg: Überschaubares Personal. Kompetenz bei Dateien und Jura. Können die auch einen Router technisch nach Sicherheit bewerten?

Schaar: Grundsätzlich ja, aber andere Personen. Promovierte Informatiker und Fernmeldeingenieure. problem ist Komplexitätsgrad der technischen Systeme. Thema Backdoor: alle Informatiker sagen, da sind undokumentierte Features drin sind, Problem ist, dass es fast unmöglich ist, die zu finden. Ist relativ einfach, ob System das tut, was es tun soll. Sehr viel schwieriger zu prüfen, dass es nur das tut, was es soll. So lange es keine verifizierten Prozesse gibt, die Qualität von Soft- und Hardware vo Anfang bis Ende gewährleisten (bin skeptisch ob das kommt), muss man sich auf abschnittsweise Prüfung verlassen. Problem auch vom US-Kongress verhandelt: Backdoors in chinesischen Routern,nicht von US-Behörden eingesetzt. Will US-Herstelllern nicht allen unterstellen, dass alle Backdoors haben. Aber das ist möglich und Praxis. Braucht vertrauenswürdige Produktionsketten und Hersteller. Bin mir da mit BSI einig. Muss BuReg dringend tätig werden.

Sensburg: Gab es solche technischen Prüfungen beim BND zu ihrer Zeit?

Schaar: Gab technische Dateiprüfungen. Nicht zu Routing-Komponenten. Und natürlich keine G-10-Maßnahmen.

Sensburg: Wäre ihre Schnittstelle dann behördlicher Datenschutzbeauftragter?

Schaar: Die sind keine Vorprüfstelle für uns. Haben eigenständige Funktion in Behörde/Unternehmen. Gewisse Unabhängigkeit. Habe den Eindruck, dass die Frau beim BND das ernsthaft wahrnimmt. Ist aber Mitarbeiter der Behörde, aber keine Agenten des externen Datenschutzes. Sind aber Ansprechpartner und bei Vor-rt-Prüfung dabei. Hat intern keine Vetorecht. Behördenleiter müssen aber verantworten, wenn sie von ihrem Rat abweichen. Befonden sich in Dialog mit uns und Landesdatenschutzbeauftragten. Aber sind im Unternehmen/Behörde.

Sensburg: Wie war Zusammenarbeit mit BND-Datenschutzbeauftragter?

Schaar: Gab Kontakte zwischen ihr und meinen Mitarbeiter.

Sensburg: Rege?

Schaar: Kann nichts über Qualitäten sagen. Im Rahmen der fachlichen Zuständigkeit gab es immer wieder Kontakte. War offen und vertrauenswürdig. Sie war aber intern auch Vertraulichkeit verpflichtet.

Sensburg: Dateianordnung nicht genehmigt im BND. Haben sie das angeguckt?

Schaar: Ja, gab solche Fälle. Sind dann an die zuständige Stelle und Ministerien und haben darauf gedrungen. Von Dateien, von denen ich nichts weiß, kann ich nichts kontrollieren. Dateianordnungen sollen Rechtmäßigkeitskontrolle gewährleisten. Wenn es keine Anordnung gibt, kann man auch nicht prüfen.

Sensburg: “Gravierende Kontrolllücken” (24. Tätigkeitsbericht). Diskrepanz zwischen PKG, G-10-Kommission und BfDI: Wie oft konnten sie Sachen nicht prüfen, die sie prüfen wollten? In ihren gesamten 10 Jahren.

Schaar: Keine Zahlen. Aber war immer wieder Thema. Siehe Anti-Terror-Datei-Gesetz. Immer wieder Frage: Wer ist für Kontrolle zuständig? ATD -> G-10-Kommission für bestimmte BfV-Anfragen zuständig, Kontrolle des BfDI dann entzogen. Begründung für Datenerhebung in meinem Zuständigkeit, Verwendung auch in diesem Bereich, auch verknüpft mit Nicht-G-10-Daten, aber BfDI hat hier keine Einsicht. Das war schon vor Snowden. 24. Tätigkeitsbericht Anfang 2012/13. Kam immer mal wieder vor. Manchmal garnciht mehr nachgefragt.

Sensburg: Wie oft war BfDI beim BND?

Schaar: Unterschied Besuche und Kontrollen. Auch mal mit Spitze in Pullach getroffen, nciht nur Small-Talk, aber keine Kontrolle. Mit Sicherheit jährlich geprüft, manchmal mehrmals jährlich. Formelle Prüfungen jährlich kann ich nicht garantierten.

Sensburg: Bad Aibling?

Schaar: Nur einmal geprüft, Dezember 2013.

Sensburg: Nach Snowden?

Schaar: Großen Bedeutung erst da deutlich geworden.

Sensburg: Echelon?

Schaar: Weitestgehend abgeschlossen. War ja Satellit. Heute mehr Glasfasern.

Sensburg: Tätigkeitsbericht: eklatante Mängel-

Schaar: Ministerien dürfen bei Nachrichtendiensten Informationen im Tätigkeitsbericht freigegeben. Gibt Prüfvorgänge und Mängel, die nicht freigegeben wurden.

Sensburg: 20. Tätigkeitsbericht 2003-04, S. 71: “BfDI den BND über Konzept gebeten, kam der BND nach.” Hat der BND ihre Kritik aufgenomen und beseitigt?

Schaar: Dieser Vorgang da ist über 10 Jahre zurück. Damals hatte der BND gesagt, dass er das machen wollte. Hat abernciht immer geklappt, siehe spätere Berichte. Bereitschaftserklärung ist nicht automatisch Einhaltung von Zusagen. In diesem Fall ist die Geschichte bis heute nicht zu Ende.

Fragerunde 1: Die Linke (10:13)

Martina Renner: Datenverarbeitung beim BND. “Sollte BuReg keine G-10-Anordnung für Transit haben und mir Kontrolle verweigert haben, …” Datenerhebung bei Telekom durch BND war auf Grundlage eines Vertrages DTAG nimt BND. Wie bewerten sie das?

Schaar: Vorweg: Von Projekt Eikonal habe ich auch erst aus Medien erfahren, bin nicht informiert. Kenne die genauen Umstände nicht. Habe von Vertrag in den lezten Wochen gelernt. Hat mich sehr gewundert. Ist die Frage, ob das tatsächlich so war oder nicht. Rechtliche Grundlage für Datenschutzb ist Artikel 10 Grundgesetz. Eine Überwachung ist ein Grundrechtseingriff. Bedarf einer gesetzlichen Ermächtigung. Eine solche ist heir nicht ersichtlich. BND-Gesetz ist das nicht. G-10-Gesetz könnte das sein. Wenn das nciht angewendet wird, gibt es ein Problem. Rein vertragliche Grundlage kann es nicht geben. Ist auch die Frage, ob die DTAG auch rechtswidrig gehandelt hat. Doppeltürmodell: Beide Seiten der Übermittlung brauchen Ermächtigung. DTAG darf Daten herausgeben, wenn sie rechtliche Berechtigung hat. Vertrag kann das nicht rechtfertigen. DTAG auch strafrechtlich verantwortlich. Alles hypothetisch, kenne Vertrag nicht.

Renner: Eikonal: Wenn bei DTAG Strecken gedoppelt und ausgeleitet wurden, haben sie Zuständigkeit nach BDSG direkt nach Dopplung? Oder erst nach G-10-Filtern?

Schaar: Nicht einfach. BVerfG zur Kameraüberwachung von Autobahnen: Bloss flüchtige Erfassung ist geringe Eingriffstiefe. Man kmönnte Auffassung vertreten,d ass das heir so ist. Andererseits: Maßnahme im Gesamtkontext, Umgang mit Daten für weitere Behandlung ist Datenverarbeitung. Ausleitung mit Ziel der Überwachung ist natürlich Eingriff in Fernmeldegeheimnis, kein Zweifel. Sind personenbeziogene Daten und hat mit Datenschutzrecht zu tun.

Renner: Wie können sie Kontrollbefugnisse bei BND ausüben, wenn Dateien häufig Namen wechseln, Außenstellen legendiert sind (bis Wikipedia), Tarnfirmen. Organisatorische Abschirmung. Gibt es Zugangshürden für sie?

Schaar: Gerade ND-Bereich ist extrem schwierig zu kontrollieren. Speziell Außenstellen, brauchen erstmal Hinweise auf Existenz. Gilt aber auch für Dateien. Eindruck: Leitung der Dienste hat uns nicht bewusst etwas vorenthalten. gab Vorgänge, von denen wir nichts wissen.

Fragerunde 2: SPD (10:24)

Flisek: Informationen auch wegen Methodenschutz vorenthalten?

Schaaar: Gibt bei uns keinen Methodenschutz. Gibt Quellenschutz. Was darunter fällt, ist nicht konsensual. Fallen AND darunter? Menschliche Quellen fallen darunter. Gab mündliche Verabredung mit meinem Vorgänger, das nicht zu prüfen. In meiner Amtszeit nie Information unter Hinweis auf Quellen- oder Methodenschutz untersagt wurde.

Flisek: Atmosphärische Zusammenarbeit mit G-10-Kommission? Sportliche Rivalität? Oder umfassende Partnerschaft?

Schaaar: Mir steht es nicht zu, die Arbeit eines parlamentarischen Gremiums zu bewerten, das werde ich nicht tun. Gab meinerseit Angebote, die wurden freundlich zur Kentniss genommen. Habe auch mit Abgeordneten Gesprochen, die haben Probleme gesehen. Mache mir das nicht zu egen, stele das nciht in Frage. Konkorrenz bedeitigen, in dem man Gesetze präzisiert, wie Zusamenarbeit sein sollte. Kooperationsverpflichtung zum Beispiel. Oder komplett neu regeln: Geheimdienst-Beauftragter.

Flisek: In ihrer Zeit 2003-2013: Massenhaft Daten deutscher Bürger durch detsche Stellen an auslämndische Staaten gegeben?

Schaaar: Keine Erkentnisse, dass massenhaft Daten Deutscher an Five Eyes gegeben wurden. Gab Datenübermittlung im Einzelfall, wurde ja auch öffentlich diskutiert. Eien Hinweis auf Weitergabe Daten Deutscher von BND an AND habe ich keine Hinweise zur Kentniss genommen.

Flisek: Wie würden sie schillernden Begriff der “Massendatenerfassung” definieren?

Schaaar: Gibt keine ISO-Norm mit Definition. Datensammlung, die nciht im Einzelfasll erfolgt, sondern aufgrund technischer Prozesse automatisch dazu führt, das entsprechende Daten gespeichert werden. Massendaten: unterschiedlos und große Menge. TK-Verkehre (Inhalte, Metadaten) automatisch auf irgendwelche Spoeichermedien (welche auch immer). Erfassung ist einschließlich Erhebung. Strategische Fernmeldekontrolle ist Massendatenerfassung. Vorratsdatenspeicherung ist Massendatenerfassung.

Flisek: Mehr der Prozess der Erfassung, aber keine absoluten Quantitäten?

Schaaar: Ja.

Flisek: Keine Datenweitergaqbe durch deutsche Stellen: Gilt das auch für Metadaten?

Schaaar: Metadaten sind i.d.R. personenbezogene Daten, beziehen sich immer auf Sender oder Empfänger, natürliche Personen. Weitergabe von Metadaten an jemand, der sie zuordnen kann: absurd,die aus dem Schutz herauszunehmen. NSA kann durch umfassende Verzeichnisdienste Metadaten zuordnen. Eine Art Directory mit Zuordnung, automatisiert. Haben deutsche Dienste nicht annähernd. Metadaten gehören dazu. Thema IP-Adressen nochmal komplizierter, aber auch da Zuordnung möglich, ja. Sind personenbezogene Daten.

Flisek: “We kill people based on metadata.” Wie ordnen sie das ein?

Schaaar: Bezieht sich auf Drohneneinsatz. Kommt drauf an, wie genau die Metadaten sind. Kann man nicht direkt interpretieren. Anhand der Metadaten sind Personen und Kommunikationsprozesse identifizierbar. Cell-IDs nicht genau genug für Drohnen-Zielauswahl. Aber Ansatz für weitere Recherche für genaueren Ort. Wenn jemand auf dem Schirm eines Dienstes ist, können die Informatioen weiter präzisiert werden. Gibt auch Metadaten eines Positionsgerätes.

Flisek: Man müsste jemand auf dem Bildschirm haben, dann wären Metadaten in der Lage, das genauer zu machen. Aber keine Auswahl anhand von Metadaten?

Schaaar: Auswahl schon. Genaue Lokalisierung nicht immer.

Flisek: Amszeit 2003-2013: globale Kommunikationsinfrastruktur unglaubliche Schritte gemacht: Google, Facebook, … Diese US-Firmen mit globalen, datenbasierten Geschäftsmodellen unterliegen US-Recht. Wie bewerten sie das? Jurisdiktionskonflikte?

Schaaar: These, dass sie Rectsordnung der Marktorte einhalten: bin nicht sicher, ob das der Fall ist. Facebook behauptet, sich an irisches Datenschutzrecht zu halten, nicht an deutsches. Google sagt: kalifornisches Datenschutzrecht. Wechsel nach EuGH-Urteil zu Google Spanien. Google StreetView: tecfhnische Mittel in Deutschland. brauchen Eu-Datenschutzreform. Gibt viele Parallenen zum NSAUA. Großer Teil des US-Traffics stammt aus diesen Unternehmen. Ganz zentrale Stellungt der USA als Internet-Knotenpunkt. GMail, Facebook geht alles in die USA. Dort unzureichendes Datenschutzrecht, PRISM, illegales Hacking der NSA in interne Netze. Zentrales Thema.

Fragerunde 1: Die Grünen (10:45)

Konstantin von Notz: Haben sie vor vor Snowden 2013 für möglich gehalten, dass der BND Glasfasern anzapft, um die Daten mit anderen, ausländischen Diensten zu teilen?

Schaaar: Ist ja Gegenstand der Diskussion. Habe mir das eigentlich nicht vorstellen können. Sehe die rechtlichen Grundlagen nicht. Gehe erstmal davon aus, dass die sich rechtstreu verhalten. Daten-Austausch ist speziell, Begründung im Einzelfall notwendig. Unterschiedlos und masenhafter Austausch nicht abgedeckt.

Notz: Ab wann wäre das datenschutzrechtlich relevant? Erst Ende eines Abgriffs? Oder schon bei Erfassung?

Schaaar: Wie vorhin: Gesamtprozess. Ausleitung, Erfassen, Filtern, Weiterleitung an Dritte.

Notz: Auch Kontrolle notwendig?

Schaaar: Grundsatz des Rechtsstaatsprinzips. Darf keine kontrollfreien Räume geben. Gerichte, Datenschutzbehörden, Parlakemtarischen GRemien bei G-10. Gesamtprozess muss kontrollierbar sein.

Notz: Datenausleitung auf Grundkage eines privaten Vertrags und Schreiben des bundeskanzleramts. Man wollte Routineverkehre erfassen. Was halten sie davon: G-10-Anordnung organisieren, sagen, man wil G-10, will aber eigentlich Routineverkehr, den man auch nimt anderen teilt.

Schaaar: Begriff Routineverkehr nicht definiert. Alles Daten, die durch Verfasung geschützt sind. Weitergabe immer Grundrechtsrelevant, der rechtliche Grundlage benötigt. Und unabhängige Kontrolle.

Notz: Sie kennen die Rechtauffassung des BND?

Schaaar: Aus der berichterstattung. Kann mir nicht vorstellen, dass Umdefinierung (PKW -> fahrbare Technik) das aus dem bereich des geltenden Rechts herauslösen könnte. KA, wie ernsthaft das vertreten wird, dass routineverkehre nicht unter Grundrectsschutzb fallen.

Notz: Versichere ihnen, das wird vertreten. G-10-Daten müssen bei Einpflege in Datenbank markiert weden, korrekt?

Schaar: Ja.

Notz: Was, wenn die in ATD einfließen ohne Markierung?

Schaar: Wäre rechtswidrige Verarbeitung. Allerdings nicht zwangsläufig Löschung zur Folge. Markierung müsste allerdings nachgeholt werden. Falls das wesentlich is,t müsste Rechtswidrigkeit der gesamten Datei überprüft werden. Kommt darauf an, wie gravierend die Mängel sind. Wenn systematisch abseits der gesetzlichen Befugnisse TK-Daten abgesaugt wurden, würde das eine Löschungsverpflichtung auslösen (BVerwG Kohl vs. Stasi-Unterlagenbehörde).

Fragerunde 1: CDU/CSU (10:55)

Lindholz: Zitiert aus Bericht zu Abhöraktivitäten der NSA: “Kontrolle der G-10-kommission ist auf die… beschränkt.” Tätigkeitsbericht 2011/12: “Sobald mir ein Nachrichtendienst erklärt, Daten aus G-10,wird mir das Vorenthalten. Praktisch kann ich nicht mehr prüfen.” Kontrolllücke nachvollziehbar. Nach Snowden haben sie ja bei BND und BfV Kontrollen durchgeführt. War das da ein Problem?

Schaar: War ein Probelm, schon Auskünfte über Informationsflüsse und Informationsbestände zu erhalten. BMI hat mir unter Berufung auf G-10-Kommission Antwort verweigert. Auswirkung dieser Problematik. Schnittstelle ist Problem. Prüfung bei BfV und in Bad Aibling war spät in meiner Amtszeit, kann ich nicht konkret beantworten.

Lindholz: Kann ihre Nachfolgerin?

Schaar: Gehe davon aus, dass sie das überblickt und einen anderen Informationsstand hat, ja.

Lindholz: Im Mai 2014 wurde dem BfDI gesagt, dass Kontrollen bei G-10-Bereich odhdoch entsprechende Information bekomme. Ist das ausreichend gegen Kontrolllücken?

Schaar: Mir ist das Schreiben nicht bekannt. Ist ein erster Schritt. Ist aber wohl Zusicherung des BMI, eine einseitige Erklärung. IMHO bei Kontrolle nur eine vorläufige Lösung, muss gesetzlich geregelt werden. Auslegung der Rechtslage gefällt mir nicht, ist aber plausibel. An einer gesetzlichen Regelung gegen Kontroll-Lücken fpührt nichts vorbei.

Lindholz: Sehe ich anders, ist auslegungsfähig, Erklärung des BMI reicht für mich aus. Frau Vosshoff hat das auch akzeptiert.

Schaar: Werde Meinungsäußerung meiner Amtsnachfolgerin nicht kommentieren. Aber bei Weitergabe sensibler personenbezogener Daten ist das eine sensible Angelegenheit. Das mag eie pragmatische Lösung sein. Möglichst schnell aber auch rechtlich glattziehen.

Lindholz: Sie sagten, es gab Gerüchte und Meldugen über massenhafte Überwachung, das aber nciht für relevant für Deutsche gehalten. Bis Snowden kein Thema. Richtig?

Schaar: Massendatenerfasung in den USA war schon immer Thema, aber außerhalb meiner Zuständigkeit. Habe zwei Jahr vor Snowden initiiert, dass wir von Artikel 29-Gruppe an EU-ommission und USA herantreten, um Zugriff der US-Behörden auf Cloud-Dienste zu unterbinden. Evaluierung bei Safe Harbor-Abkommen 2004 habe ich initiiert, dass zugriffe nach PATRIOT Act zumGegenstand der Evaluierung durch Kommission wird. Kommission meinte damals, das sei irrelevant, heute nicht. War für mich immer wieder Thema. Dass deutsche Dienste direkt beteiligt sein könnten, kam mir zu meiner Scham nicht in den Sinn.

Lindholz: Technische Entwicklung rasant, wenige Mitarbeiter. Haben sie für ihre Anforderungen und Kontrollaufgaben genug Ressourcen?

Schaar: Das ist eine Vorlage. Ich habe immer gesagt, dass wir mehr Personal brauchen. Mit begrenztem Erfolg. BVerfG hat bei Anti.Terror-Datei-Urteil strenge Prüfkriterien angelegt, die wir nicht einhalten können ohne mehr Personal. Forderung von Frau Vosshoff in diese Richtung absolut begrpündet. Gilt für Technik, Verwaltung und juristische Expertise.

Lindholz: Haben sich nach Snowden ihre Anforderungen geändert? Müssen wir da neu denken?

Schaar: Zwei Aspekte: technologisch und global. Datenschutzz muss technologisch durchgesetzt werdne. Mit Technik geht mehr Datenschutz als mit nationalem Recht. Rechtlich: TFTP, SWIFT, PNR, bilaterale Abkomen, Prüm-Abkommen, DNA-Daten. Das sind völlig neue Qualitäten, da müsste man sehr viel mehr hinschauen, als wir das können. Eine neue Qualität, ja.

Lindholz: Kontrollbesuche: vor Snowden Vorgänge nicht abgefragt?

Schaar: Selbstverständlich haben wir immer wieder, auch vor Snowden Nachrichtendienste abgefragt. Aber danach spezielle Situation mit neuen Aspekten. Mitarbeiter sind in die USA geflogen. Bei SWIFT/TFTP durfte sogar Bundestag manche Informationen aus den USA nicht bekommen. Da haben wir weiter nachgebohrt. Snowden hat die Schwerpunktsetzung geändert. Ich habe in meinem Haus Personalaus anderen wichtigen Bereichen abgezogen für dieses Thema. Im Nachhinein ist man immer schlauer. Sicherheitsdienste und Polizein haben sich nicht beschwert,zu wenig geprüft worden zu sein.

Lindholz: Süddeutsche Dezember 2003: “BND übernimmt Bad Aibling vo USA”, Mangfal-Kaserne. Hatten sie das damals gelesen?

Schaar: Bin am 17. Dezember 2003 in mein Amt eigeführt worden. Kann mich an diese spezielle Meldung nichtg erinnern. Dass Bad Aibling für Überwachung eine Rolle spielte, war mir bekannt. Aber in erster Liie für Satelliten, war schon damals rückläufig durch Umstrukturierung der Kommunikationsnetze.

Lindholz: Sommer 2013 forderten sie: Außenstelle aufsuchen, Einhaltung der Vorschriften prüfen, Kontrollbesuch im Dezember 2013. War das ihr erster Besuch direkt damit?

Schaar: Erster Prüfungsbesuch beim BND zu diesen Vorwürfen. Hat immer Vorlaufzeit, braucht Basiswissen, dazu dienten auch Anfragen bei Behörden, Antworten erst im September/Oktober, im November in Bad Aibling angekündigt, im Dezember durchgeführt.

Lindholz: Inhalt der Prüfung? Kompetenzen reregelt?

Schaar: Ich war persönlich nicht dabei, sondern Mitarbeiter. Mir lag bis Amtsende keinerlei Bericht vor. Ich weiß nichtma, ob es einen Entwurf gab. Besuch am 3./4.12.2013, bin am 17.12. ausgeschieden.

Lindholz: Einmaliger Vorgang. War das interessant?

Schaar: Selbstverständlich. Gab nichts so gravierendes, dass drigend gehandelt werden muss. (Mit Mitarbeiter bei Weihnachtsfeier gesprochen.) Laufendes Verfahren. Sie sind sicher besser als ich informiert, was da heraus kam.

Lindholz: Sie haben aber gefragt. “Brennt da was?”

Schaar: Informell natürlich.

Lindholz: BND-Datenschutzbeauftragte Frau Dr. F. konnte keie Beanstandung feststellen. Und sie?

Schaar: Kann mich an keine Beanstandung erinern. Es wurden aber Dinge zugesagt, deren Umsetzung schwierig war. Eine Beanstandung ist aber rechtlich nichts andere als formalisierte Kritik, zu derman Stellung nehmen muss. Eine Strafe oder Bussgeld. Haben wir auf schwere Sachen beschränkt. Haben aber nachhaltig Kritik geübt, auch in Bezug auf Praktiken.

Fragerunde 2: Die Linke (11:24)

Renner: BND-Datenschutzbeauftragte Frau Dr. F. bekomt keinen Quellcode der Software. Ist Quellcode notwendig für Prüfung? Müsste das ihre Aufgabe sein?

Schaar: Quellcode ist der programmierte Code durch den, der Sofwtare zur Verfügung stellt,. Vorraussetzung für vertiefte Nachvollziehbarkeit. Quellcode wünschenswert. Problem aber nicht nur mangelnder Quellcode bei Überprüfern, sondern sogar bei verantwortlichen Stellen. Siehe Staatstrojaner-Debatte und meinen Bericht. Quellcode ist wichtig, um mehr Hinweise zun bekommen, ob es verdeckte Kanäle gibt. Binärcode prüfen ist sehr viel schwieriger. Reverse Engineering istmöglich, aber extrem aufwendig und anspruchsvoll. Ein modernes Sofwtare-Profukt sind aber Millionen Zeilen Quellcode. Automatisierte Auswertung, Bibliotheken. Unabhängige Externen solten das vorher zertifizieren. Auch bei Hardware. Sinvoll ja. Aber in vielen Fällen nicht Stand des Verfahrens.

Renner: Auffinden von Schwachstellen durch Funktionstests und Handbücher möglich?

Schaar: Relativ einfach, ob ein Produkt die erwarteten Funktionen lefert. Verdammt schwierig, ob sie nicht auch etwas anderes macht. Nicht generell gewährleistbar. Wünschenswert, dass die Möglichkeit einer Quekllcodeprüfung besteht,um solche Schwachstellen zub entdecken ud zu schließen. ass es Schwachstellen gibt, ist bekannt, teilweise auch bewusst, ist aber von außen nciht zu sehen. Siehe Heartbleed, wo das nicht entgültig beantwortet werden konnte.

Renner: Frau Dr. F. sprach von Dateiverarbeitungssystem VERAS zu Metadaten aus leitungsvermittelter Kommunikation bis in die 2. und 3. Ebene von Kontakten. Anlasslose oder mit Anlas getroffene Vorratsdatenspeicherung? Unbetroffene Dritte bis in zweite und dritte Ebene.

Schaar: Kenne die Funktionsweise des Programms leider nicht. Wenn durch Programm Daten zusammengeführt weden, die Personenbezug haben und nicht unbedingt erforderlich sind, muss man fragen, ob das rechtlich zulässig ist. Ist aber nicht automatisch anlasslose Vorratsdatenspeicherung. Wenn ein ND legale Daten hat und die damit verarbeitet, ist das rechtlich nicht zu beanstanden. Wenn aber alle Daten, denen man irgendwie habhaft werden kann, dort landen und dauerhaft gespeichert werden, dann kommt das einer VDS wieder nahe.

Fragerunde 2: CDU/CSU (11:33)

Ostermann: Ihr Schreiben vom 8. August 2013 an Vorsitzende der Fraktionen: Wollen BfV, BND und MAD kontrollierne, auch vor Ort. Hatten sie konkrete Kontrollen vor Augen?

Schaar: Wir haben ja eben immer wieder solche Kontrollen durchgeführt. Mitarbeiter drei, vier Tage in Pullach und gucken sich Dateien an, lesen Akten, führen Gespräche, lassen sich Informationen nachliefern. Umfangreiche Prüfberichte mit Vielzahl von Feststellungen, Forderungen, Kritik. Ist gängige Praxis. Kann man vielleicht häufiger machen, aber Kapazitätsgrenze. Das sind versierte Prüfer. Zweck des Briefes war: vergesst Datenschutzbehörden nicht.

Ostermann: Wann gab es Besuche?

Schaar: Hab ich doch gesagt.

Ostermann: Und MAD und BfV?

Schaar: BfV im November 2013, bei MAD keiner, kein Anlass. Details darf ich nicht sagen.

Ostermann: Gab es BND-Dienststelle, die ihnen nicht bekannt waren?

Schaar: Ist ja das Problem, dass man das nur danach war. Gab einen Fall, über den der Spiegel 2013 berichtet hat. Keine Ahnung, wie viele legendierte Stellen es noch gibt. Habe ja immer die inoffiziellen protokolle dieser Sitzungen gelesen. Da steht das ja drin.

Ostermann: Nur ein Fall bekannt?

Schaar: Angemietete Wohung von BND und NSA, kenne ich nur aus Presse. War nie Anspruch meiner Behörde, alle Deckadressen der Nachrichtendienste zu wissen. Beunruhigt hat mich auch, dass es auch nicht-angemeldete Dateien gab.

Ostermann: Gab es eien ständigen Austausch zwischen BfDI und den ND?

Schaar: Wie definieren sie das? Nicht immer dauernde Kontakte. Keine Jour Fixe IIRC. Intensive Kontakte zu behördlichen Datenschutzbeauftragten und zuständige Fachreferate.

Ostermann: Austausch bei Schulung? F. sagte, es gab eine.

Schaar: Ich erinne mich. Ist aber ein paar Jahre her.

Ostermann: Regelmäßige Durchführung sinnvoll?

Schaar: Ansolut. Sensibilität und Wissensstand erhöhen. Gedankenaustausch institutionalisieren. Jour Fix mit BSI ein- oder zweimal jährlich auf Leitungsebene. Aber Kapazitätsgrenzen.

Fragerunde 2: Die Grünen (11:44)

Ströbele: Haben sich mit Snowden-Dokumenten befasst, seien wohl authentisch. Hat sich Generalbundesanwalt mal an sie gewandt? Der hat ja Fälschung zu Merkelphone behauptet.

Schaar: Kann mich nicht daran erinnern. Glaubwürdigkeit der Snowden-Dokumente war ganz wichtig. Aus meiner Sicht keine Zweifel. BSI bestätigte auch Aussagen zur Verschlüsselung in den Dokumenten. Warnmelkung kam aber nie.

Ströbele: Wurde ihnen bekannt, dass es zu strategischer Überwachung in Bad Aibling im BND (Datenschutzbeauftragte, Präsident) unterschiedliche Rechtsauffassung gab? Weltraumtheorie.

Schaar: Dissenz ist mir nicht erinerlich. Die massive Meinungsdifferenz habe ich aus den Medien erfahren. In der Sache teile ich die Meinung von Frau Dr. F. Deutsches Recht ist anwendbar.

Ströbele: Wäre das berichtenswert?

Schaar: Hätte man diskutieren müssen. Gab aber auch Äußerungen der Bundesregierung, die diese Rechtauffassung auch vertraten.

Ströbele: Nicht nur Weitergabe: Erfassung, Verarbeitung, Filterung. Deutschem Recht unterworfen?

Schaar: ja.

Ströbele: Eikonal: gravierender Vorgang. Divergierende Auffassungen DTAG und BND. DTAG wollte gesetzliche Grundlage. BND: “Nein, weil Ausland-Ausland-Verkehr.” Intervention des Kanzleramts: “Ist schon in Ordnung.” Hätte DTAG sich an sie wenden sollen?

Schaar: DTAG hätte das gedurft, war aber nicht verpflichtet. Wurde an mich nicht herangetragen.

Ströbele: Projekt Eikonal war umstritten. BND hatte auch Probleme gesehen und Schwachstellenbericht angefordert. Hätten sie damit befasst weden müssen?

Schaar: Mit Sicherheit. Ich gehe davon aus, dass dort auch Dateien angelegt worden. Wenn das nicht unter G-10 fällt, fällt das unter BDSG und hätte eine Dateianordnung geben müssen, das hätte mir gesagt werden müssen. Wenn nicht geschehen, nicht in Ordnung.

Fragerunde 2: SPD (11:54)

Flisek: Fehlende Dateianordnung: Datenbank rechtswidrig?

Schaar: Nein. Aber Rechtmäßigkeit kann nicht überprüft weden. Gravierendes Problem.

Flisek: Müsste man rechtlich anders behandeln?

Schaar: Ja. Weil der Rechtsschutzgarantie ein enormer Wert zukommt. Ausnahmen müssen kompensiert werden durch Rechtsfolgen. gesetzlich Festlegung: Verletung wichtiger Formvorlagen könnte Dateien rechtswidrig machen.

Flisek: Schaar-Buch “Überwachung total”, S. 243: Ringtausch zwischen D und US-Dienste. “Innenpolitiker nehmen Praktiken in Kauf… Wiederholt behauptet, Aufklörung von Terror war nur durch Informationen möglich, die von USA kamen aber unzulässig erhalten haben.” Hat Ringtausch stattgefunden? Haben sie Anhaltspunkte dafür?

Schaar: Völlig richtig zitiert. Habe mich ausdrücklich nicht auf interne Erkentnisse gestützt. Habe internen keinen Beweis gefunden, dassa massenhaft Daten ausgetauscht worden. Ringtausch-These plausibel, seit Echelon. Aber nie richtg justiziabel. Beziehe mich da aber auf Argumente wie: “Ohne Trojaner der USA hätten wir die Sauerlandgruppe nciht bekommen.”

Flisek: Indizien, aber keine Beweise?

Schaar: Ja. Problem ist, dass Snowden schon Fakten darstellt. Frage ist, ob die ausreichen, dass justiziabel bis zu Verurteilung zu belegen. Hätte man in einem Stafverfahren erklären können, ist nicht geschehen. Habe Generalbundesanwalt nicht zu kritisieren, auch wenn ich persönlich das sehr skeptisch finde. Letzter Beweis ist schwierig zu führen. In dem Sinne habe ich keine Beweise, aber starke Indizien.

Flisek: Wenn es so etwas gäbe, dann aber nich massenhaft, sondern beschränkt und Einzelfallspezifisch?

Schaar: Nein. Gerade nach Eikonal würde ich fragen, ob Daten nicht systematischer ausgetauscht wurden. Drängt sich ja auch.

Flisek: Haben sich Whistleblower aus Geheimdiensten und Behörden an sie gewendet und Informationen gegeben?

Schaar: Ja, ab uns zu. Aber zu diesem Komplex nichts Substantielles. Habe auch keinen Kontakt zu Snowden.

Flisek: Haben sie Kontakte mit US-Datenschützern? Wie bewerten sie den Unterschied inder Auffassung zu Privatheit?

Schaar: Will keine generelle philosophische Debatte führen. Ja, sehr enger Kontakt zu Privacy und Civil Liberties Board. Sehr transparent. War in erster Sitzug als Gast geladen und habe erzählt, wie wir arbeiten. Teilweise bis heute persönlicher Kontakt. Manches an ontrollmechanismen dot sogar besser als bei uns.

Flisek: Ausschuss sehr USA-fixiert. Falsche Namensgebung “NSA-Ausschuss”. Wie bewerten sie GCHQ, als EU-Mitglied?

Schaar: Natürlich zur Kentniss genommen Nicht nur Medienberichte. Sogar Protokolle des geheimdienst-Untersuchungsausschuss aus dem britischen Parlament öffentlich. parlamentarier sagten: “Was wir kriegen können, nehmen wir auch.” Problem, als EU-Mitglied i besonderem ontakt zu uns. Vodafone ist britisches Unternehmen. Merkelfon war auch bei Vodafone. UK hat zwar Geltung der Europäischen Grundrechtecharta, ist aber auch in EU-Verträgen drin. Europöische Menschenrechtscharta raftifiziert, bald Urteil dazu. GCHQ nimmt sich heraus, Daten freizügig auszuweten und weiterzugeben. Wieder Ringtausch. Plädiere dafür, gemeinsame EU-Standards zu finden.

Flisek: Ihre Tätigkeit bezog sich auf Daten mit Personenbezug. Betriebs- und Geschäftsgeheimnisse, Wirtschaftsspionage: Müssen diese Daten auch kontrolliert werden können? Gesetzgeberischer Handlungsbedarf?

Schaar: Weniger gesetzgeberisch als praktischer Handlungsbedarf. Sind ja geschützt. Befugniss der G-10-Kommission auch über Betriebs- und Geschäftsgeheimnisse. Aber kein Datenschutz-Thema in Deutschland, in Österreich und Schweiz schon. Kann man überlegen, bin kein Freund davon. Habe viele Anfragen aus der Wirtschaft, die besorgt waren. Auch GCHQ hat wirtschaftkliches Wohlergehen des UK als Zweck. Wirtschaftsstandort Deutschland und Europa.

Fragerunde 3: Die Linke (12:14)

Renner: Juli 2013: Mangelnde Mitwirkung der Ministerien. Haben das beanstandet, BMI hat Beanstandung zurückgewiesen. Was wurde daraus?

Schaar: Haben Anfragen gestellt. Völlig unbeantwortet. Dann Nachfrage, ob auch G-10-Kommission tätit ist. Ich sagte: “Fragt die.” Dannkam Hinweis,dass Informationen nicht herausgegeben werden dürfen, wei sie G-10 betreffen,. undesregierung sagte,dass mich das nichts angeht. Streiter erklärte das in der Bundespressekonferenz. Haben Klagemöglichkeiten geprüft. Aber alle höchst unsicher und höchst langwierig. So lange ist dann überhaupt keine Überprüfung möglich. Also habe ich entschieden, doch nicht zu klagen. Gesprächsangebot des BMI war nur im Entwurf, habe ich nicht erhalten. Wir haben uns dann trotzdem zusammengesetzt.

Renner: Auch TK-Anbieter angeschriebenmit Fragen, wir haben auch die Antworten. Da war nicht bekannt, dass TK-Anbieter auch durch Datenerfassung des BND verpflichtet wurden, die dann an NSA/CIA gingen. Wie bewerten sie die damaligen Antworten aus heutiger Sicht?

Schaar: Kann nicht nicht sehr detailliert sagen. Habe das Schreiben nicht mehr genau angeguckt seitdem. Aber alle Unternehmen sagten: halten uns an deutsches Recht,machen natürlich G-10-Maßnahmen, aber nichts anderes, geben nichts an andere Dienste. Über Töchter- und Mütter-gesellschaften im Ausland dürfen wir nichts sagen. gab aber Prüfungen auch bei TK.-Anbietern, Mitarbeiter haben aber nichts handfestes feststellen können.

Renner: Hat die DTAG auch die Räume des BND gezeigt?

Schaar: Bin nichtmal sicher, ob wir DTAG überprüft haben, glaube wir waren nicht da.

Renner: Gab Brief und Jour Fix mit TK-Unternehmen. Waren sie da?

Schaar: Nicht persönlich.

Renner: Was kam heraus?

Schaar: Fragem, wie man Routing anders gestalten kann. Datenpakete Deutschland oder Europa garnicht verlassen. Unterschiedliche Positionen sichtbar. Technisch möglich, kostet aber mehr. Lange diskutiert, wie das geschäftlich vernünftig nicht. Halte das auch nur für begrezt sinnvoll. Lokalisierung von Datenbeständen. Cloud ist risikobehaftet, Coud-Serverin USA mit deutschen Daten ist sehr kritisch. Bin kein Fan der Balkanisierung des Internets. Aber Gesamtsystemn muss überprüft werden.

Renner: Deutsche Töchter internationaler Konzerne. Thematisierten als Problem?

Schaar: Natürlich. Datenschutz als System verstehen, dass ein Abfluss irgendwo (im Ausland) reicht, und die Daten nicht geschützt sind. Solche Datenabflüsse darf es nciht geben.

Fragerunde 3: CDU/CSU (12:24)

Sensburg: Wie funktioniet G-10-Filterung?

Schaar: Bin nicht zuständig. Lese aber das, was öffentlich behauptet wird. Wird von gestuftem Filterssystem geredet. Bei paketvermittlung ist 100 %-ige Trennung nicht möglich. Filterung deutscher Grundrechtsträger wird versucht. Erfolg kann ich nicht sagen. Ist in anderen Ländern nicht anders. Niemals 100 Prozent. Denken sie an deutsche Grundrechtsträger, die Acounts bei amerikanischen Dienstleistern haben. Skype. Hartes brot. Wie soll das funktionieren? Bin sicher, dass das nicht zu 100 % klappen kann.

Sensburg: Kontrolle bei G-10-Kommission selbst fragen?

Schaar: Ja. War nie mein Bereicht.

Fragerunde 3: Die Grünen (12:27)

Notz: Alte Denke passt nicht zum Internet. Nicht faktische Umgehung der G-10-Bestimmung, wenn deutsche Kommunikation bei auslöändischen unternehmen abgegriffen werden kann? Leerlauf der Bestimmungen?

Schaar: Richtig. Wenn ausländische Stellen das mit nationalen Gesetzen lesen kann (mit Begründung wie Deutschland: “Ist ja nur Transit.”), ist das ein zentraler Punkt. muss in größerem Rahmen kohärente Schutzmaßnahmen finden: EU oder weltweit. Carta für menschenrechte, Zivilrechtspakt.. Gleichmäßiger Grundrechtsschutz für alle.

Notz: Zumindest zwischen Rectsstaaten.

Schaar: Ja, Nordkorea bringen wir nicht dazu. Aber auch USA und UK wird schwer.

Notz: BDSG: Schutz von Daten Ninderjähriger. Strukturelles Defizit? Haben ja bessere Geheimdienstkontrolle von Bundesrgierung gefordert, Brief 15.11.2013. Ist da etwas pasiet?

Schaar: kenne nicht alle Schritte der Bundesegierung. Manches öffentlich, manches nicht. Schutz Minderjährige nicht. Medial mnur im Internet beachtet: Neue Vertragsregeln nit Non-Disclosure-Regeln.

Notz: Selbstschtz nicht schlecht, aber Schutz der Bürgerrechte…

Schaar: Muss allgemeines Recht werden, habe ja EU-Datenschutzverordnung angesprochen. Deutsche Unternehmen solten vergleichbare Klauseln einbauen. Mechanischem der Datenschutzkontrolle verbessern, sehe das aber noch nicht.

Notz: Toter Winkel, blinder FLeck bei BfV und BND?

Schaar: Geheimdienstkontrolle (wieDatenschutzkontrolle) immer schwieriger. Bräuchten eine koordinierte Geheimdienstkontrolle ncht nur auf nationaler Ebene. Allererster Schritt könnte sein, sich stärker auszutauschen.

Notz: Haben sie sich für heute vorher mit BMI angesprochen?

Schaar: Nein.

Notz: Warum nicht?

Schaar: Warum sollte ich? Habe eine Aussagegenehmigung, Eingriff in meine Unabhängigkeit. BDSG wird ja geändert. Gab keinen Versuch, mich zu beeinflussen.

Notz: Kennen sie das Projekt “Glow”?

Schaar: Nein.

Notz: Gab Berichterstattung dazu.

Fragerunde 3: SPD (12:36)

Keine Fragen.

Fragerunde 4: Die Linke (12:36)

Renner: Juni 2014 Referatsleiter für IT im BfDI schrieb ihnen: “NSA, GCHQ, PRISM ist doch nichts neues. Seit Aufbau Regierungsnetz 1996 Backdoors usw. bekannt.” Wie klar war das, dass NSA HArdware kompromittiert?

Schaar: Erinere mich genau an diese Mail, hatte mich gewundert. Mir war das in dieser Drastik nicht untergekommen. Gab zwar die Annahme, aber leider keinen Nachweis. “Wir IT-ler wissen scon Bescheid: Traue keinem.” Gab ja Whistleblower und James Bamford. Vieles war bekannt, aber nicht allen, und nicht allen, die das hätten wissen müssen. E-Mail war dann auch Gegenstand persönlicher Gespräche.

Renner: Spiegel-Veröffentlichung zu Viedeo-Kameras.

Schaar: Kenne ich nicht.

Renner: Haben sie BND und BfV mal auf sowas aufmerksam gemacht?

Schaar: Habe natürlich mit Spitzenvertretern der Behörden geredet, die sagten, dass sie ihren Blick geändert haben: 360-Grad-Blick. War aber nicht konkret.

Renner: 9.9.2013 Spiegel: “Projekt 6″.

Schaar: Hatte ich indirekt erwähnt als das Projekt, wo es keine Dateianordnung gab.

Renner: Haben sie das geprüft?

Schaar: Ja, aber da war das scon wieder vorbei und die Datei gelöscht.

Fragerunde 4: Die Grünen

Ströbele: Anti-Terror-Gesetze 2003: Kompetenzen geschaffen für G-10-Kommission auch für Bankinstitute zum Beispiel. Sie sagten, nachdem G-10-Kommission drin war, waren sie raus. Ist die Zuständigkeit ausschließlich?

Schaar: Ja, § 24 Abs. 2 BDSG: “Persönliche Daten, die G-10 sind, unterliegen nicht BfDI.” Das habe ich ihnen damals auch gesagt, das wurde leider nicht berücksichtigt.

Ströbele: Sie sind dan nicht mehr zuständig?

Schaar: Das steht im Gesetz.

Ströbele: Gibt neben Eikonal ja noch einen Vertrag zwischen BND und NSA. Müssen sie dafüber informiert werden?

Schaar: Über konkreten Fall kann ich aus naheliegenden Gründen nichts sagen. Wenn Vertrag geschlossen wird, bei dem personenbezogene Daten übermnittelt weden, ist das eine erhebliche Entscheidung, die dem BfDi laut Geschäftsordnung der Bundesregierung mitgeteilt werden müssen. Aber keine gesetzliche, proaktive Informationsverpflichtung.

Ströbele: Ist ein No-Spy-Abkomen auf EU-Ebene realiastisch? Gemeinsames Gremium auf EU-Ebene?

Schaar: Gibt Möglichkeiten. Im Zweifel aber nicht aus europäischen Verträgen herleitbar, EU ist nicht für Geheimdienste zuständig. Man kann aber einen völkerrechtlichen Vertag schließen. Aus dem Gedanken Europas heraus sind gemeinsame Mindeststandards sinnvoll.

Ströbele: Machen aber nicht alle mit.

Schaar: Nur eine Koalition der Willigen. Wenn drei das tun, ist es ein Anfang.

Fragerunde 4: SPD (12:51)

Keine Fragen.

Fragerunde 5: Die Linke (12:51)

Renner: Auch Liegenschaften ausländischer Streitkräfte sind deutsches Terretorium, laut ihnen. Vielfältige untergesetzliche Regelungen, die Kontroll- und Zutrittsrechts deutscher Behörden hemmen. Sehen sie einen rectlichen Novellierungsbedarf? Welche Möglichkeiten hat das BfDI? Haben Strafverfolgungsbehörden Zugriff?

Schaar: Habe das geprüft. BfDI durfte nicht in ausländische öffentliche Stellen. Selbst, wenn wir Zugang gehabt hätten, hätten wir nicht prüfen dürfen, mangels Kompetenz. Auch dort gilt deutsches Recht, Rechtsdurchsetzung aber ein Problem. Bei Kriminalität findet enge Kooperation statt. Gilt Bestimmungsrecht der Entstendestaaten. Müsste man Rechtslage ändern. NATO-Truppenstatut oder Zusatzprotokoll. Mit Aufhebung ist direkte Verpflichtung für Amtshilfe erloschen. Gibt keine Rechtsgrundlage, auch nciht für Abhörmaßnahmen. Reinfaktisch aber schwierig zu verfolgen, siehe Merkelphone.

Renner: Danke.

Fragerunde 5: Die Grünen (12:55)

Notz: Filter bei Eikonal: Müsste BfDI nicht in Prüfung eingebunden sein? welche Prüfkriterien müsste man stellen?

Schaar: Einbindung der BfDI nciht unabhängig von Kontrollstrukturen zu lösen. Im unfangreichen Kontrollsystem PKGr, G-10-Kommission, BfDI: Bundesrerigerung könnte Strukturen schaffen zum Mitwirken. Wäre sinnvoll.

Notz: Arbeitsteilung?

Schaar: Organisation, wie geht das technisch. Deep-Packet-Inspection (DPI): In Datenpakete hineinschauen, tiefer Eigriff. Filter ohne DPI nicht zu machen. Großes Problem.

Notz: Danke.

Ströbele: Deutschland hat in Europa und weltweit einen guten Ruf zum Datenschutz. Echelon-Bericht bezeichnete deutsches Datenschutzrecht als vorbildlich. Können sie das bestätigen? Sollte Deutschland da INitiative zeigen?

Schaar: Deutschland istb das Land mit der längsten und intensivsten Datenschutztradition. Gibt aber auch Bereiche mit eher schwachem Datenschutz. Seit 2001 auch viele Einschränkungen. Heute Debatte zum Glück beruhigter, trotz der Ereignisse der letzten Tage. Aber wir sollten auch in die USA blicken. Im FISA-Court mit >Freedom Act direkte Einbeziehung eines Anwalts des Datenschutzes oder der Bürgerrechte in Abhörmaßnahmen: sinnvoll! Könnte BfDI machen. Sehr gute Idee aus den USA, könnte man auch bei uns integrieren.

Ströbele: Danke.

Formalitäten: Vorsitzender (13:03)

Renner: Schaar hat zweimal gesagt, dass er etwas nur nicht-öffentlich kann.

Schaar: Glaube nicht, dass das hilft, ist teilweise streng geheim.

Sensburg: Eingestufte Sitzung. Beschlussvorschlag: Öffentlichkeit ausschließen.

Beschlossen.

13:05: Öffentliche Sitzung vorbei. Das war’s für uns. Danke für’s Lesen.


Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.


Advertisements

Veröffentlicht am 16. Januar 2015 in Deutschland heute Abend, Tagesthemen und mit , , , , , getaggt. Setze ein Lesezeichen auf den Permalink. Hinterlasse einen Kommentar.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: