In Frankfurt am Main befindet sich einer der größten Internet-Knoten der Welt. Er spielte beim geheimen Datenaustausch zwischen BND und NSA eine wichtige Rolle.

Der "Komplize" will nicht mehr: Seit Jahren zapft der Geheimdienst Daten vom De-Cix in Frankfurt ab. Nun will der Betreiber die Verbindung kappen - und zieht vor Gericht.

Von Georg Mascolo und Ronen Steinke, Berlin

Einen Abend im April haben viele deutsche Internetnutzer noch in guter, schlechter Erinnerung. Twitter, Facebook und Whatsapp liefen nur langsam, Serien auf Netflix ruckelten. Der Grund war ein Stromausfall in einem kleinen Teil des größten Internetknotens der Welt. De-Cix ist ein Gigant: Er ist der größte Stromverbraucher Frankfurts, größer als der Flughafen - aber versteckt in zwanzig unscheinbaren Rechenzentren im ganzen Stadtgebiet. Es dauerte, bis Techniker das Problem fanden.

Geht es nach der Betreiber-GmbH, wird ein anderer Kunde hier demnächst ganz abgeschaltet: der Bundesnachrichtendienst (BND). Seit Jahren ist der deutsche Auslandsgeheimdienst hier aktiv, leitet Daten ab. Die Methode ist meist dieselbe, in die Glasfaserleitungen wird ein sogenanntes Y-Stück des BND eingebaut, also eine Abzweigung. Darin befindet sich ein Prisma, das durchgeleitete Licht wird gebrochen und in ein BND-Glasfaserkabel gelenkt. Das Licht transportiert die Daten. Der Geheimdienst erhält auf diese Weise eine ungefilterte und vollständige Kopie.

Aber De-Cix will nicht mehr, das Unternehmen hat Klage eingereicht, formal gegen das Bundesinnenministerium, von dem die Anordnungen kommen. An diesem Mittwoch wird vor dem Bundesverwaltungsgericht in Leipzig verhandelt - und womöglich auch schon entschieden.

Der Bund sagt: De-Cix verstehe die komplizierte Materie nicht

Gestritten wird erbittert, die Betreiberfirma De-Cix wirft der Bundesregierung Rechtsbruch und technisches Unverständnis vor. Anwälte des Bundes halten ähnlich hart dagegen: De-Cix verstehe offenbar die komplizierte Materie nicht. Für beide Seiten geht es um viel: De-Cix will aus seiner Rolle als unfreiwilliger Geheimdienst-Helfer aussteigen, schon weil im Zuge des NSA-Untersuchungsausschusses herauskam, dass bei ihnen abgezapfte Daten über den Umweg des BND an den US-Abhörgiganten NSA gelangten. Man wolle nicht länger "Komplize" sein - so hart drückt sich Klaus Landefeld aus, ein Mitglied im Aufsichtsrat von De-Cix.

Für den BND ist Frankfurt zentral. Russische Daten müssen den Knoten passieren, ebenso jene aus China, Afrika und Nahost. In Frankfurt pulsiert die Hauptschlagader des Netzes, hier laufen 1200 Glasfaserkabel aus aller Welt zusammen, in Spitzenzeiten rauschen mehr als sechs Terabit pro Sekunde hindurch. Das bedeutet einen Standortvorteil für den deutschen Geheimdienst, eine glückliche Lage für den BND. Das macht ihn auch für internationale Partner attraktiv. All das steht auf dem Spiel, wenn die Richter am Mittwoch entscheiden sollten, dass der BND seine Prismen wieder ausbauen muss. Der ehemalige BND-Präsident Gerhard Schindler sagte einmal in vertraulicher Runde, ohne Fernmeldeaufklärung "kann ich den Laden dichtmachen".

Jahrelang hat die Betreiberfirma De-Cix still kooperiert, bis jetzt. Die Bundesregierung will sich keine Rebellion gefallen lassen. Ihre Anwälte argumentieren, De-Cix sei gar nicht befugt zu klagen. Die Betreiberfirma könne sich nur dann auf das Fernmeldegeheimnis aus Artikel 10 des Grundgesetzes berufen, wenn sie selbst als Unternehmen betroffen sei, aber nicht "als Sachwalterin der Grundrechte Dritter". Die De-Cix GmbH - eine hundertprozentige Tochter des Verbands der Internetwirtschaft Eco, mit milliardenschweren Mitgliedern wie der Deutschen Telekom, Google oder Ebay - könne nicht stellvertretend für die Verbraucher klagen, soll das heißen.

Um die Rechte von Millionen Internetnutzern wird es am Mittwoch vor Gericht trotzdem gehen, vor allem um jene aus Deutschland. Die Rechtslage ist klar: Der BND als reiner Auslandsdienst darf innerdeutsche Kommunikation nicht "strategisch", also ohne konkreten Verdacht, überwachen. De-Cix aber wirft dem BND nach Informationen von Süddeutscher Zeitung, NDR und WDR genau dies vor.

Der Filter für Auslandskommunikation war laut De-Cix völlig untauglich

Der Geheimdienst, schreiben Anwälte von De-Cix, habe keine Möglichkeit, E-Mails oder Chat-Nachrichten von Deutschen wirksam herauszufiltern: "Technisch lässt sich der "innerdeutsche" Charakter solcher Kommunikation nicht verlässlich ermitteln." Das Kanzleramt, zuständig für den BND, weist diese Kritik zurück. Der Dienst prüfe "viele Schichten" der Übertragungsprotokolle, mit inzwischen sehr komplexen, "mehrdimensionalen Filtern". Man achte nicht nur plump auf die Ländervorwahl 0049 oder die Domain-Endung ".de", viele Deutsche kommunizierten heute über andere Domains, etwa den Mailprovider gmail.com. Wenn am Ende eine Mail eines Deutschen durch den Filter rutsche, werde sie "per Hand rausgeschmissen"; das sei aber selten.

Nachprüfen lässt sich das nicht. Deshalb verweisen die De-Cix-Betreiber auf schlechte Erfahrungen in der Vergangenheit. Lange wurde im BND ein Filter namens Dafis genutzt, um im Datenstrom die reine Auslandskommunikation abzugrenzen. Der sei völlig untauglich, befand Andrea Voßhoff, die Bundesdatenschutzbeauftragte, nach einem Kontrollbesuch beim BND in Bad Aibling. Dafis weise "erhebliche systemische Defizite" auf, schrieb sie im März an das Kanzleramt.

Der Ton ist gereizt

Und es gibt noch einen zweiten Vorwurf an die Adresse der Bundesregierung. Er ist noch etwas heftiger, es geht um angebliche bewusste Irreführung. Eine gesetzliche Regel besagt, dass der BND nie mehr als 20 Prozent eines Datenstroms scannen darf. Die Regel stammt noch aus den Neunzigerjahren, als die Richter des Bundesverfassungsgerichts den Geheimdienst zwingen wollten, zielgerichteter zu arbeiten. An Sinn und Unsinn der starren 20-Prozent-Vorgabe scheiden sich die Geister. Selbst die De-Cix-Leute gestehen dem BND zu, die alte Regel sei unter den heutigen Bedingungen paketvermittelter Kommunikation "faktisch schon gar nicht operationalisierbar". Aber Gesetz sei Gesetz. Die Regierung mogle sich herum.

Der Trick: Angeblich verlange die Regierung von De-Cix, dass man ihr Zugriff auf eine absurd hohe Zahl von Internet-Providern gewähre. In Wahrheit nutze der BND 65 Prozent davon fast nie. Der einzige Grund, weshalb die Regierung so viel verlange: "Wenn die rechnerische Bezugsgröße nur stark genug erhöht wird, kann der BND (...) den von ihm wirklich gewünschten Verkehr zu 100 Prozent überwachen ("Full Take")."

Der Ton ist gereizt: Ein Anwalt der Bundesregierung schrieb vor wenigen Wochen zurück, die profitorientierten De-Cix-Betreiber meinten wohl, sie trügen überhaupt keine Verantwortung, wenn ihre Infrastruktur "für Telekommunikationsverkehre terroristischen, sicherheits- und friedensgefährdenden sowie demokratiefeindlichen Inhalts genutzt wird".