Bis zum heutigen Stichtag haben sich etwa 11.500 Behörden, Unternehmen und andere kritische Einrichtungen unter dem neuen NIS2-Regime beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Das teilte ein Sprecher der Bonner Behörde am Nachmittag auf Anfrage von heise online mit.

Über 4.000 der nun beim BSI als Betreiber kritischer Anlagen hinterlegten Akteure hätten die Registrierung innerhalb der vergangenen Woche vollzogen. Mitte Februar hatte die Gesamtzahl noch deutlich niedriger gelegen, bei nur 4.500 Registrierten. Allerdings würden auch mit dem heutigen Stand noch immer um die 18.000 Betreiber wichtiger oder besonders wichtiger Anlagen zu den 29.500 registrierungsverpflichteten fehlen, von denen das Bundesinnenministerium im gesamten Gesetzgebungsprozess ausging.

In den kommenden Tagen dürfte sich genauer zeigen, ob die bisherigen Schätzungen zu hoch gegriffen waren oder ob hier Betroffene in größerer Zahl ihren Meldeverpflichtungen nicht nachgekommen sind. Eine Bewertung der jetzt vorliegenden Zahlen zum Stichtag konnte das Bundesamt für Sicherheit in der Informationstechnik bislang nicht abgeben.

(kbe)

Am Mittwoch hat das Bundesverwaltungsgericht eine Klage der Bundesdatenschutzbeauftragten als unzulässig zurückgewiesen. Grund der Klage war eine verweigerte Einsichtnahme durch den Bundesnachrichtendienst, der Anordnungen des BND-Präsidenten nicht kontrollieren lassen wollte.

Nach der durch den BND bei einem Kontrolltermin abgelehnten Einsichtnahme hatte die Kontrollbehörde diese Verweigerung formal beanstandet. Das passiert gegenüber dem Bundeskanzleramt, das für den BND zuständig und quasi rechtliche Oberhoheit über den Geheimdienst hat. Doch das Bundeskanzleramt wies die Beanstandung zurück. So blieb nur der Klageweg.

Louisa Specht-Riemenschneider als aktuelle Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bewertete das Ergebnis der Klage ihrer Behörde, die ihr Vorgänger Ulrich Kelber losgetreten hatte: „Meine Möglichkeiten zur Durchsetzung der Betroffenenrechte sind mit dem heutigen Urteil massiv beschränkt.“

„Keinerlei Konsequenzen“

Mit den Betroffenen sind diejenigen gemeint, die beispielsweise durch technische Überwachungsmaßnahmen des BND abgehört oder gehackt werden. Die BfDI soll durch ihre unabhängigen Kontrollen auch ein strukturelles Defizit des Rechtsschutzes ausgleichen. Denn wegen der Geheimhaltung beim BND laufen Auskunfts- und Benachrichtigungspflichten für Betroffene ins Leere oder existieren gar nicht erst. Der individuelle Rechtsschutz ist daher stark eingeschränkt.

Doch eine Kontrollbefugnis durch die BfDI als einzige unabhängige Datenschutz-Aufsichtsbehörde kann nichts kompensieren, wenn mangels Informationen aus dem BND faktisch gar keine Kontrolle stattfinden kann. Da die Klage der BfDI keinen Erfolg hatte, existiert jetzt ein Tätigkeitsfeld des BND, das keine Aufsichtsbehörde unabhängig prüft.

David Werdermann, Rechtsanwalt und Verfahrenskoordinator der Gesellschaft für Freiheitsrechte (GFF), sagt gegenüber netzpolitik.org, dass die Entscheidung des Bundesverwaltungsgerichts „eine grundlegende Schwäche der deutschen Geheimdienstkontrolle“ offenlege. „Wenn die Bundesdatenschutzbeauftragte den Zugang zu relevanten Informationen beim BND nicht gerichtlich durchsetzen kann, entsteht faktisch ein kontrollfreier Raum“.

Werdermann betont: „Der BND verstößt mit der Verweigerung der Akteneinsicht zwar gegen geltendes Recht, das hat jedoch keinerlei Konsequenzen.“ Die Möglichkeit der BfDI, den Rechtsverstoß beim Bundeskanzleramt zu beanstanden, genüge nicht, „denn das Bundeskanzleramt ist keine unabhängige Stelle, sondern Teil der Exekutive und politisch für den BND verantwortlich“.

Das sieht auch die BfDI selbst so: „Aus meiner Sicht muss es immer eine Instanz geben, die über strittige Fragen entscheidet. Diese Instanz kann aber nicht das Bundeskanzleramt sein, denn innerhalb der Exekutive bin ich vollständig unabhängig und weisungsfrei.“

Computer Network Exploitation

Was vor der Entscheidung des Bundesverwaltungsgerichts weder BND noch BfDI öffentlich machten: Es ging um Anordnungen von sogenannten CNE-Maßnahmen für das Hacken von nicht näher spezifizierten informationstechnischen Systemen. Diese Anordnungen gibt der BND-Präsident. CNE steht für Computer Network Exploitation. Als CNE-Operationen werden im Geheimdienstjargon Hacking-Angriffe auf Computersysteme bezeichnet. Der BND nennt das im Beamtendeutsch auch „Aufklärung von Computernetzwerken“ zur „Zugangsgewinnung“ und „Materialerhebung“.

Reporter ohne Grenzen (RSF) und GFF legten im März 2025 eine Beschwerde beim Europäischen Gerichtshof für Menschenrechte gegen das aktuelle BND-Gesetz ein. Der Schutz von Medienschaffenden sei im Gesetz nicht hinreichend enthalten. Auch gegen das Hacken mit Staatstrojanern durch den BND geht RSF bereits mit gerichtlichen Schritten vor.

Zu dem Urteil erklärt RSF nun gegenüber netzpolitik.org, dass die Kontrolle der Datenschutzbeauftragten besonders wichtig sei, da Medienschaffende „geheime Überwachungsmaßnahmen kaum selbst überprüfen“ könnten. Das Urteil des Bundesverwaltungsgerichts offenbare, wie „wirkungslos“ die Kontrolle der Geheimdienste mitunter sei. RSF fordert, die Bundesregierung müsse hier „nachbessern und die Aufsicht über die Dienste stärken, um eine wirksame Kontrolle zu ermöglichen“.

Jurist Werdermann betont: „Gerade im Bereich geheimdienstlicher Überwachung sind starke unabhängige Kontrollen unverzichtbar. Der Staat greift hier besonders tief in Grundrechte ein – deshalb darf die Kontrolle nicht davon abhängen, ob der Geheimdienst freiwillig kooperiert.“

Es ist absurd

Das fordert auch Lena Rohrbach, Expertin für Menschenrechte im digitalen Zeitalter bei Amnesty International in Deutschland. Sie sieht ebenfalls bei der Bundesregierung nun eine Handlungspflicht. Denn der BND soll wieder mit „weitreichenden neuen Befugnissen“ ausgestattet werden, wie kürzlich bekannt wurde. „Umso wichtiger ist eine Stärkung der Kontrolle, um nicht in eine noch weitere Schieflage zu geraten“, sagt Rohrbach gegenüber netzpolitik.org. „Bei den sich abzeichnenden Reformen der Kontrollarchitektur“ sollte daher die Rolle der BfDI bestätigt und „weiter gestärkt werden“.

Rohrbach fordert dabei auch, „die Möglichkeit, Maßnahmen verbindlich anordnen zu können“. Dies sei auch in anderen EU-Ländern der Fall. „Wenn der BND dem oder der BfDI die Kontrolle von Vorgängen verweigert, sollte es eine Möglichkeit geben, diese Konflikte unabhängig gerichtlich entscheiden zu lassen. Diese Möglichkeit sollte daher nun geschaffen werden. Kontrolle kann nicht effektiv erfolgen, wenn sie vom Wohlwollen des Kontrollierten abhängig ist.“

Die BfDI hätte schließlich „langjährige Erfahrung“ bei der Kontrolle der Geheimdienste und „genießt ein Vertrauen in der Bevölkerung in ihrer Schutzfunktion für unwissentlich Betroffene“. Außerdem hätte die BfDI als einzige Kontrollbehörde „einen Gesamtüberblick über die Sicherheitsbehörden“, so Rohrbach.

Tatsächlich hat die Behörde immer wieder bewiesen, dass unabhängige Geheimdienstkontrolle erhebliche Defizite und Verfehlungen aufdecken kann. Allerdings hat der BND die Kontrollen auch immer wieder rechtswidrig beschränkt und eine umfassende Kontrolle verhindert. Specht-Riemenschneider als heutige Behördenchefin und oberste Kontrolleurin bleibt nicht viel mehr, als die Bundesregierung in ihrer Pressemitteilung mit einem Appell direkt anzusprechen: „Ich muss meine Kontrollrechte im Interesse des Grundrechtsschutzes vor Gericht durchsetzen können. Ich appelliere an den Gesetzgeber, mir für Streitigkeiten über meine Kontrollrechte und -pflichten beim BND einen Rechtsweg zu geben.“

Doch bisher war das nicht Teil der bekanntgewordenen Pläne zum Ausbau der Befugnisse des BND. Da ging es um noch mehr Hacking und Überwachung, nicht aber um ausgewogenere Kontrollrechte oder das Austarieren von Betroffenenrechten. Im Gegenteil, die Kontrolle durch die BfDI könnte gestrichen werden, wie Specht-Riemenschneider befürchtet: „Wenn mir dann demnächst die Aufsicht über die Nachrichtendienste komplett entzogen wird, wie es der Gesetzgeber plant, hat das Märchen von der Behinderung der Nachrichtendienste durch das Datenschutzrecht und durch meine Behörde endgültig verfangen.“

Auf LinkedIn wird Specht-Riemenschneider noch deutlicher: „Eine gesetzliche Regelung, die einer unabhängigen Behörde Kontrollpflichten auferlegt und ihr dann die Durchsetzung versagt, ist absurd. So kann ich meine Arbeit nicht machen, meine Pflichten nicht erfüllen. So können wir es mit dem Grundrechtsschutz auch gleich lassen.“

Bei einem Cyberangriff auf Transport for London (TfL) wurden 2024 sensible Daten von etwa zehn Millionen Kundinnen und Kunden entwendet. Die Behörde ist für das Verkehrssystem in London zuständig. Unter den gestohlenen Daten seien Namen, E-Mail-Adressen, Telefonnummern und Adressen, berichtet die BBC.

Eine anonyme Person hat den britischen Nachrichtensender demnach kontaktiert und ihm die Daten zur Verfügung gestellt. Sie habe zuvor eine Kopie der gestohlenen TfL-Datenbank erlangt. Die BBC gibt an, die Daten untersucht und anschließend gelöscht zu haben. Die rund 15 Millionen Zeilen hätten schätzungsweise Informationen von zehn Millionen TfL-Kundinnen und Kunden enthalten.

Der Angriff von 2024 sei auf die kriminelle Gruppierung „Scattered Spider“ zurückzuführen, so die BBC. Unter anderem seien viele Informationstafeln und Online-Dienste ausgefallen, was einen Schaden von 39 Millionen britischen Pfund (umgerechnet knapp 45 Millionen Euro) verursacht hätte. Es sei einer der größten Hackerangriffe in der britischen Geschichte gewesen. Die mutmaßlichen Täter, zwei junge Erwachsene, stehen in Großbritannien vor Gericht.

Die BBC wirft TfL vor, unzureichend auf den Cyberangriff reagiert zu haben. Die Behörde habe nicht genug getan, um betroffene Kundinnen und Kunden zu warnen. Mehrere Millionen von ihnen hätten keine Warnung erhalten oder diese nicht zur Kenntnis genommen. Es sei jedoch wahrscheinlich, dass die gestohlenen Daten noch nicht dafür verwendet wurden, weitere Angriffe durchzuführen, berichtet die BBC unter Berufung auf die anonyme Quelle.

(mho)