Am Mittwoch hat das Bundesverwaltungsgericht eine Klage der Bundesdatenschutzbeauftragten als unzulässig zurückgewiesen. Grund der Klage war eine verweigerte Einsichtnahme durch den Bundesnachrichtendienst, der Anordnungen des BND-Präsidenten nicht kontrollieren lassen wollte.

Nach der durch den BND bei einem Kontrolltermin abgelehnten Einsichtnahme hatte die Kontrollbehörde diese Verweigerung formal beanstandet. Das passiert gegenüber dem Bundeskanzleramt, das für den BND zuständig und quasi rechtliche Oberhoheit über den Geheimdienst hat. Doch das Bundeskanzleramt wies die Beanstandung zurück. So blieb nur der Klageweg.

Louisa Specht-Riemenschneider als aktuelle Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bewertete das Ergebnis der Klage ihrer Behörde, die ihr Vorgänger Ulrich Kelber losgetreten hatte: „Meine Möglichkeiten zur Durchsetzung der Betroffenenrechte sind mit dem heutigen Urteil massiv beschränkt.“

„Keinerlei Konsequenzen“

Mit den Betroffenen sind diejenigen gemeint, die beispielsweise durch technische Überwachungsmaßnahmen des BND abgehört oder gehackt werden. Die BfDI soll durch ihre unabhängigen Kontrollen auch ein strukturelles Defizit des Rechtsschutzes ausgleichen. Denn wegen der Geheimhaltung beim BND laufen Auskunfts- und Benachrichtigungspflichten für Betroffene ins Leere oder existieren gar nicht erst. Der individuelle Rechtsschutz ist daher stark eingeschränkt.

Doch eine Kontrollbefugnis durch die BfDI als einzige unabhängige Datenschutz-Aufsichtsbehörde kann nichts kompensieren, wenn mangels Informationen aus dem BND faktisch gar keine Kontrolle stattfinden kann. Da die Klage der BfDI keinen Erfolg hatte, existiert jetzt ein Tätigkeitsfeld des BND, das keine Aufsichtsbehörde unabhängig prüft.

David Werdermann, Rechtsanwalt und Verfahrenskoordinator der Gesellschaft für Freiheitsrechte (GFF), sagt gegenüber netzpolitik.org, dass die Entscheidung des Bundesverwaltungsgerichts „eine grundlegende Schwäche der deutschen Geheimdienstkontrolle“ offenlege. „Wenn die Bundesdatenschutzbeauftragte den Zugang zu relevanten Informationen beim BND nicht gerichtlich durchsetzen kann, entsteht faktisch ein kontrollfreier Raum“.

Werdermann betont: „Der BND verstößt mit der Verweigerung der Akteneinsicht zwar gegen geltendes Recht, das hat jedoch keinerlei Konsequenzen.“ Die Möglichkeit der BfDI, den Rechtsverstoß beim Bundeskanzleramt zu beanstanden, genüge nicht, „denn das Bundeskanzleramt ist keine unabhängige Stelle, sondern Teil der Exekutive und politisch für den BND verantwortlich“.

Das sieht auch die BfDI selbst so: „Aus meiner Sicht muss es immer eine Instanz geben, die über strittige Fragen entscheidet. Diese Instanz kann aber nicht das Bundeskanzleramt sein, denn innerhalb der Exekutive bin ich vollständig unabhängig und weisungsfrei.“

Computer Network Exploitation

Was vor der Entscheidung des Bundesverwaltungsgerichts weder BND noch BfDI öffentlich machten: Es ging um Anordnungen von sogenannten CNE-Maßnahmen für das Hacken von nicht näher spezifizierten informationstechnischen Systemen. Diese Anordnungen gibt der BND-Präsident. CNE steht für Computer Network Exploitation. Als CNE-Operationen werden im Geheimdienstjargon Hacking-Angriffe auf Computersysteme bezeichnet. Der BND nennt das im Beamtendeutsch auch „Aufklärung von Computernetzwerken“ zur „Zugangsgewinnung“ und „Materialerhebung“.

Reporter ohne Grenzen (RSF) und GFF legten im März 2025 eine Beschwerde beim Europäischen Gerichtshof für Menschenrechte gegen das aktuelle BND-Gesetz ein. Der Schutz von Medienschaffenden sei im Gesetz nicht hinreichend enthalten. Auch gegen das Hacken mit Staatstrojanern durch den BND geht RSF bereits mit gerichtlichen Schritten vor.

Zu dem Urteil erklärt RSF nun gegenüber netzpolitik.org, dass die Kontrolle der Datenschutzbeauftragten besonders wichtig sei, da Medienschaffende „geheime Überwachungsmaßnahmen kaum selbst überprüfen“ könnten. Das Urteil des Bundesverwaltungsgerichts offenbare, wie „wirkungslos“ die Kontrolle der Geheimdienste mitunter sei. RSF fordert, die Bundesregierung müsse hier „nachbessern und die Aufsicht über die Dienste stärken, um eine wirksame Kontrolle zu ermöglichen“.

Jurist Werdermann betont: „Gerade im Bereich geheimdienstlicher Überwachung sind starke unabhängige Kontrollen unverzichtbar. Der Staat greift hier besonders tief in Grundrechte ein – deshalb darf die Kontrolle nicht davon abhängen, ob der Geheimdienst freiwillig kooperiert.“

Es ist absurd

Das fordert auch Lena Rohrbach, Expertin für Menschenrechte im digitalen Zeitalter bei Amnesty International in Deutschland. Sie sieht ebenfalls bei der Bundesregierung nun eine Handlungspflicht. Denn der BND soll wieder mit „weitreichenden neuen Befugnissen“ ausgestattet werden, wie kürzlich bekannt wurde. „Umso wichtiger ist eine Stärkung der Kontrolle, um nicht in eine noch weitere Schieflage zu geraten“, sagt Rohrbach gegenüber netzpolitik.org. „Bei den sich abzeichnenden Reformen der Kontrollarchitektur“ sollte daher die Rolle der BfDI bestätigt und „weiter gestärkt werden“.

Rohrbach fordert dabei auch, „die Möglichkeit, Maßnahmen verbindlich anordnen zu können“. Dies sei auch in anderen EU-Ländern der Fall. „Wenn der BND dem oder der BfDI die Kontrolle von Vorgängen verweigert, sollte es eine Möglichkeit geben, diese Konflikte unabhängig gerichtlich entscheiden zu lassen. Diese Möglichkeit sollte daher nun geschaffen werden. Kontrolle kann nicht effektiv erfolgen, wenn sie vom Wohlwollen des Kontrollierten abhängig ist.“

Die BfDI hätte schließlich „langjährige Erfahrung“ bei der Kontrolle der Geheimdienste und „genießt ein Vertrauen in der Bevölkerung in ihrer Schutzfunktion für unwissentlich Betroffene“. Außerdem hätte die BfDI als einzige Kontrollbehörde „einen Gesamtüberblick über die Sicherheitsbehörden“, so Rohrbach.

Tatsächlich hat die Behörde immer wieder bewiesen, dass unabhängige Geheimdienstkontrolle erhebliche Defizite und Verfehlungen aufdecken kann. Allerdings hat der BND die Kontrollen auch immer wieder rechtswidrig beschränkt und eine umfassende Kontrolle verhindert. Specht-Riemenschneider als heutige Behördenchefin und oberste Kontrolleurin bleibt nicht viel mehr, als die Bundesregierung in ihrer Pressemitteilung mit einem Appell direkt anzusprechen: „Ich muss meine Kontrollrechte im Interesse des Grundrechtsschutzes vor Gericht durchsetzen können. Ich appelliere an den Gesetzgeber, mir für Streitigkeiten über meine Kontrollrechte und -pflichten beim BND einen Rechtsweg zu geben.“

Doch bisher war das nicht Teil der bekanntgewordenen Pläne zum Ausbau der Befugnisse des BND. Da ging es um noch mehr Hacking und Überwachung, nicht aber um ausgewogenere Kontrollrechte oder das Austarieren von Betroffenenrechten. Im Gegenteil, die Kontrolle durch die BfDI könnte gestrichen werden, wie Specht-Riemenschneider befürchtet: „Wenn mir dann demnächst die Aufsicht über die Nachrichtendienste komplett entzogen wird, wie es der Gesetzgeber plant, hat das Märchen von der Behinderung der Nachrichtendienste durch das Datenschutzrecht und durch meine Behörde endgültig verfangen.“

Auf LinkedIn wird Specht-Riemenschneider noch deutlicher: „Eine gesetzliche Regelung, die einer unabhängigen Behörde Kontrollpflichten auferlegt und ihr dann die Durchsetzung versagt, ist absurd. So kann ich meine Arbeit nicht machen, meine Pflichten nicht erfüllen. So können wir es mit dem Grundrechtsschutz auch gleich lassen.“

Bei einem Cyberangriff auf Transport for London (TfL) wurden 2024 sensible Daten von etwa zehn Millionen Kundinnen und Kunden entwendet. Die Behörde ist für das Verkehrssystem in London zuständig. Unter den gestohlenen Daten seien Namen, E-Mail-Adressen, Telefonnummern und Adressen, berichtet die BBC.

Eine anonyme Person hat den britischen Nachrichtensender demnach kontaktiert und ihm die Daten zur Verfügung gestellt. Sie habe zuvor eine Kopie der gestohlenen TfL-Datenbank erlangt. Die BBC gibt an, die Daten untersucht und anschließend gelöscht zu haben. Die rund 15 Millionen Zeilen hätten schätzungsweise Informationen von zehn Millionen TfL-Kundinnen und Kunden enthalten.

Der Angriff von 2024 sei auf die kriminelle Gruppierung „Scattered Spider“ zurückzuführen, so die BBC. Unter anderem seien viele Informationstafeln und Online-Dienste ausgefallen, was einen Schaden von 39 Millionen britischen Pfund (umgerechnet knapp 45 Millionen Euro) verursacht hätte. Es sei einer der größten Hackerangriffe in der britischen Geschichte gewesen. Die mutmaßlichen Täter, zwei junge Erwachsene, stehen in Großbritannien vor Gericht.

Die BBC wirft TfL vor, unzureichend auf den Cyberangriff reagiert zu haben. Die Behörde habe nicht genug getan, um betroffene Kundinnen und Kunden zu warnen. Mehrere Millionen von ihnen hätten keine Warnung erhalten oder diese nicht zur Kenntnis genommen. Es sei jedoch wahrscheinlich, dass die gestohlenen Daten noch nicht dafür verwendet wurden, weitere Angriffe durchzuführen, berichtet die BBC unter Berufung auf die anonyme Quelle.

(mho)

Ganz viel Liebe. So lautete unser Resümee nach dem Chaos Communication Congress. Denn der Congress ist für viele von uns nicht nur ein inhaltlicher Höhepunkt am Ende eines jeden Jahres. Sondern wir erfahren dort auch regelmäßig enorm viel Zuspruch für unsere Arbeit.

Lob ist immer Balsam für die Seele. Doch gerade nach dem vergangenen Jahr tat das doppelt so gut wie sonst. Denn 2025 hatte es in sich. Schon zu Jahresbeginn hatten wir uns gefragt, wie sich das verschärfte politische Klima auf unsere Arbeit auswirken wird. Und dann kam Trump II, die Tech-Bros gingen auf scharfen Rechtskurs, Brüssel gab sich dem KI-Hype hin und Schwarz-Rot schleifte Grundrechte – und die Union die Brandmauer gleich mit. Uff.

Umso schöner war es dann am Jahresende, „ganz viel Liebe“ zu erfahren – in den Vorträgen, in den Gängen zwischen den Hallen, vor dem Späti. Immer wieder hörten wir, dass unsere Arbeit wichtig sei und es uns gerade in diesen Zeiten brauche. Und uns erreichte über die Chaos-Post sogar ein Liebesbrief.

Wer die Chaos Post nicht kennt: Auf dem Congress gibt es traditionell einen Stand, wo Teilnehmer:innen Postkarten verschicken können. Auf wundersame Weise werden die Karten dann unter den zigtausenden Personen zugestellt. Wie genau das funktioniert? Auch dazu gibt es einen sehenswerten Vortrag.

Eine Karte erreichte auf Umwegen auch uns – inklusive einer daran getackerten Bargeldspende. Vielen Dank an den Absender für die schöne Überraschung und Unterstützung! Sie hat mit dazu beigetragen, dass wir am letzten Congress-Tag und am Ende des vierten Quartals ein wahres Liebesfeuerwerk verschießen konnten.

Die harten Zahlen

Und damit zu den harten Zahlen des vierten Quartals des vergangenen Jahres:

Im letzten Quartal des Jahres nehmen wir fast die Hälfte unserer Jahreseinnahmen an Spenden ein. Jedes Jahresende fiebern wir deshalb dem Spendenergebnis aus der Jahresendkampagne entgegen. Dieses Jahr hatten wir buchstäblich auf den letzten Metern die Gewissheit, dass die Finanzierung des nächsten Jahres steht. Am 30. Dezember waren wir auf dem Congress einen Moment strahlend beisammen und atmeten tief durch. Wir sind zutiefst dankbar für eure verlässliche Unterstützung.

An Spenden erreichten uns in den Monaten Oktober, November und Dezember 553.472 Euro. Das sind fast 10 Prozent über den geplanten Spendeneinnahmen für dieses Quartal.

Unsere Spendeneinnahmen

Unsere Einnahmen im 4. Quartal

Insgesamt belaufen sich unsere Einnahmen im vierten Quartal auf 569.211 Euro. Aus dem Verkauf von Merchandising erhielten wir fast 8.200 Euro. Das ist weit mehr, als wir für das gesamte Jahr erwartet hatten.

Die sonstigen Erlöse in der Höhe von 7.541 Euro setzen sich aus der Erstattungen des Bundes für den Platz im Rahmen des Freiwilligendienstes, Einnahmen aus der Erwähnung im digitalen Pressespiegel und Krankenkassenerstattungen im Rahmen von Krankmeldungen zusammen.

Unsere Ausgaben im 4. Quartal 2025

Bei den Ausgaben liegen die Personalkosten bei 234.739 Euro und damit 5.700 Euro unter den kalkulierten Ausgaben laut unserem Stellenplan. Im gesamten Jahr haben wir 889.153 Euro für Personal ausgegeben und sind 38.300 Euro unter dem Plan geblieben. Wir hatten den Tarifabschluss im öffentlichen Dienst, an dem wir uns orientieren, höher angesetzt als er dann für 2025 eingetroffen ist. Im Verhältnis zu den Gesamtausgaben haben wir etwas mehr als 76 Prozent für Personalkosten ausgegeben.

In den Sachkosten haben wir für das vierte Quartal 72.637 Euro aufgewendet, rund 3.300 Euro weniger als wir angenommen hatten. Alle Ausgabenbereiche sind unauffällig.

Unser Projekt Reichweite hatten wir in den letzten beiden Quartalsberichten vorgestellt. Wir finanzieren das Projekt über einen Zeitraum von drei Jahren mit 200.000 Euro aus Rücklagen. In 2025 haben wir davon rund 64.800 Euro für den Relaunch unserer Website und eine neue Stelle für die Verbreitung unserer Inhalte in den sozialen Medien ausgegeben. Seit Anfang 2026 arbeiten wir an der Einführung von CiviCRM, einer Open-Source-Software zur Verwaltung von Spendendaten.

Unterm Strich haben wir im vierten Quartal für Personalkosten und Sachkosten rund 307.376 Euro verausgabt. Das sind knapp 9.000 Euro weniger, als wir kalkuliert haben.

Das vorläufige Ergebnis

Im Gesamtjahr 2025 haben wir 1.167.934 Euro an Spenden eingenommen. Das sind 95 Prozent der Gesamteinnahmen und 58.000 Euro mehr als wir für 2025 geplant hatten. Im Vergleich zum Vorjahr legten wir über 6 Prozent an Spendenvolumen zu. Das ist alles andere als selbstverständlich. Wir danken euch von Herzen dafür. Insgesamt haben wir Einnahmen in Höhe von 1.226.378 Euro erzielt.

Unsere Gesamtausgaben in Höhe von 1.166.612 Euro liegen mit 17.462 Euro unter den kalkulierten Kosten. Derzeit stehen wir bei einem vorläufigen, positiven Ergebnis von rund 60.000 Euro. Die Buchungen während der Jahresabschlussarbeiten werden das Ergebnis noch verändern, wir werden aber sicher im Plus bleiben. Grund dafür sind vor allem die sehr guten Spendenergebnisse vom Jahresbeginn und in der Spendenkampagne zum Jahresende. Das Jahr ist also wie im dritten Quartalsbericht ersehnt und dank euch so gut ausgegangen, wie es angefangen hat. Fantastisch!

Wenn ihr uns unterstützen möchtet, findet ihr hier alle Möglichkeiten. Am besten ist eine monatliche Dauerspende. Damit können wir langfristig planen.

Inhaber: netzpolitik.org e.V.
IBAN: DE62430609671149278400
BIC: GENODEM1GLS
Zweck: Spende netzpolitik.org

Wir freuen uns auch über Spenden via Paypal.

Wir sind glücklich, die besten Unterstützer:innen der Welt zu haben.

Unseren Transparenzbericht mit den Zahlen für das 3. Quartal 2025 findet ihr hier.

Vielen Dank an euch alle!