Die Befugnisse des Bundesnachrichtendienstes gehen zu weit. Zu diesem Entschluss kommt das Bundesverfassungsgericht und veranlasst eine Nachbesserung im Gesetz.
Das Maß der Überwachung der Telekommunikation zwischen Menschen in Deutschland und Menschen im Ausland durch den BND ist dem Bundesverfassungsgericht zufolge verfassungswidrig.
(Bild: XaMaps - stock.adobe.com)
Trotz der wachsenden Gefahr internationaler Cyberangriffe gehen die bisherigen Befugnisse des Bundesnachrichtendienstes (BND) bei der Überwachung etwa von Telefonaten nach einer Entscheidung des Bundesverfassungsgerichts zu weit. Regeln zur Erhebung und Verarbeitung personenbezogener Daten bei der heimlichen strategischen Inland-Ausland-Fernmeldeüberwachung im Bereich Cybergefahren verletzten das Fernmeldegeheimnis und seien teils verfassungswidrig, teilte das höchste deutsche Gericht mit. Das Gesetz muss in mehreren Punkten bis Ende 2026 nachgebessert werden.
Betroffen ist Telekommunikation zwischen Menschen im Inland und Menschen im Ausland. Bis ein neues Gesetz in Kraft tritt, gelten Vorgaben des Ersten Senats in Karlsruhe für die bestehenden Regelungen. Unter anderem müssten Daten aus rein inländischen Telekommunikationsverkehren ausgesondert werden. Außerdem dürften auch gegenüber ausländischen Personen im Ausland keine Suchbegriffe eingesetzt werden, die den Kernbereich der privaten Lebensgestaltung betreffen (Az. 1 BvR 1743/16, 1 BvR 2539/16).
Cybergefahr vergleichbar mit bewaffneten Angriffen
Einerseits betonte das Gericht, das Gefährdungspotenzial internationaler Cyberangriffe sei außerordentlich hoch, ihre Zahl nehme zu. Attacken auf kritische digitale Infrastrukturen oder vergleichbar wichtige informationstechnische Systeme zielten auf eine Destabilisierung des Gemeinwesens. Sie könnten die verfassungsmäßige Ordnung, den Bestand und die Sicherheit des Bundes oder der Länder bedrohen sowie Leib, Leben und Freiheit. Die Gefahr solcher Angriffe auf die IT-Infrastruktur elementarer und überlebenswichtiger Bereiche – etwa die Versorgung mit Wasser und Energie sowie das Transport- und Gesundheitswesen – könnte ein vergleichbares Ausmaß wie die Gefahr eines bewaffneten Angriffs erreichen.
Daher bestehe ein überragendes öffentliches Interesse, Cybergefahren aus dem Ausland von außen- und sicherheitspolitischer Bedeutung früh zu erkennen. Die Befugnis zur strategischen Inland-Ausland-Überwachung sei daher grundsätzlich mit dem Grundgesetz vereinbar, hieß es vom Gericht. „Sie bedarf aber der verhältnismäßigen Ausgestaltung.“
Denn die strategische Telekommunikationsüberwachung sei ein Instrument von besonders schwerem Eingriffsgewicht, betonte das Gericht andererseits. Das gelte vor allem, weil sie anlasslos gegenüber jeder Person erlaubt sei und allein durch bestimmte Zwecksetzungen angeleitet werde. „Sie hat unter den heutigen Bedingungen der Kommunikationstechnik und ihrer Bedeutung für die Kommunikationsbeziehungen eine außerordentliche Reichweite.“
Zudem hätten sich die Analysemöglichkeiten der Nachrichtendienste weiterentwickelt, hieß es. Durch die Möglichkeit der Verwendung formaler Suchbegriffe rücke die strategische Überwachung näher an die individuelle Telekommunikationsüberwachung heran.
Kläger: Vertraulichkeit der Kommunikation gestärkt
Das Bundesverfassungsgericht habe die Vertraulichkeit der Kommunikation gestärkt, befand die Gesellschaft für Freiheitsrechte (GFF), die mit der Menschenrechtsorganisation Amnesty International eine der Klagen erhoben hatte. Die Geheimdienstarbeit werde „auf den Boden des Grundgesetzes“ zurückgeholt, erklärte Bijan Moini von der GFF.
„Wenn Menschenrechtsorganisationen befürchten müssen, dass ihre sensible Kommunikation im Zuge von anlassloser Massenüberwachung mitgelesen wird, gefährdet das ihre Arbeit“, erklärte Lena Rohrbach von Amnesty International in Deutschland. In einer repräsentativen Umfrage der Organisation hätten 20 Prozent der Befragten angegeben, aus Sorge vor unverhältnismäßiger staatlicher Überwachung ihr Kommunikationsverhalten einzuschränken.
Auch weitere Beschwerdeführende engagieren sich nach Angaben des Gerichts für den Menschenrechtsschutz im Ausland, einer ist als Rechtsanwalt im Bereich des Datenschutz- und IT-Rechts tätig. Sie hätten beruflich und privat mittels E-Mail, Telefon und Messengerdiensten Kontakt ins Ausland oder vom Ausland nach Deutschland.
Mehrere Kritikpunkte
Der Senat monierte an der 2015 eingeführten Gesetzesänderung unter anderem, dass der Schutz des Kernbereichs privater Lebensgestaltung für ausländische Personen im Ausland unzureichend sei. Gleiches gelte für die Ausgestaltung der unabhängigen Kontrolle. Zudem sei die Aufbewahrungsfrist für die Dokumentation der durchgeführten Überwachung zu kurz.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Laut dem Gesetz sind die Daten am Ende des Kalenderjahres nach dem Jahr der Protokollierung zu löschen. Es sei damit nicht sichergestellt, dass die Protokolldaten noch vorhanden sind, wenn die Betroffenen über eine Maßnahme informiert werden. Das geschehe erst, wenn diese endgültig eingestellt ist.
Die Entscheidung bezieht sich nicht auf die Ausland-Ausland-Fernmeldeaufklärung nach dem BND-Gesetz, bei der es um die Überwachung des Telekommunikationsverkehrs geht, an dem ausschließlich ausländische Akteure im Ausland beteiligt sind. Generell nicht strategisch überwachen darf der Auslandsnachrichtendienst BND den Telekommunikationsverkehr, an dem auf beiden Seiten ausschließlich deutsche Staatsangehörige oder Menschen in Deutschland beteiligt sind.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/2d/032d6a97078ed8b14c380b4cfb0125cd/0129257875v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/2a/2e2ac965035d3a6fd7ac2fd253f1bbf0/0129285508v2.jpeg "Bei den gestohlenen Daten handle es sich größtenteils um interne Informationen sowie personenbezogene Daten von Bumble-Mitarbeitenden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/21/d1/21d1c191d71d4c5e11c33df897f23005/0129068361v1.jpeg "Symbolbild: Mehrstufige Perimetersicherung mit Zaun, Zutrittskontrolle und Videoüberwachung zählt zu den Basismaßnahmen, um kritische Rechenzentrumsstandorte vor unbefugtem Zugriff zu schützen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/b9/bdb94bdad4100b29346fe4392185cbd0/0129008419v1.jpeg "China kritisiert EU-Pläne, Anbieter von Netzwerktechnik wegen Sicherheitsbedenken auszuschließen. Das verletze die Regeln des fairen Wettbewerbs. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/72/24/72248ef8623a6938d96edd178939b14d/0118649742v2.jpeg "Zum ersten Mal klagt das BfDI gegen eine Bundesbehörde. (Bild: Studio_East – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a7/7ba747da205bbdc80355f5fd9bf64dc4/0116976331.jpeg "Automatisierte Prüfverfahren ein wichtiges Mittel der Datenschutzaufsichtsbehörden, um ihren Kontrollaufgaben unabhängig von Beschwerden Einzelner und trotz unzureichender Ressourcen nachkommen zu können. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952700/1952758/original.jpg "Der Datenschutz schützt nicht einfach nur Daten, sondern schützt Menschen. Er ist kein Verhinderer, sondern ein wichtiger Regulator und Steuerungsfaktor und trägt zu Akzeptanz und Vertrauen in der Bevölkerung bei. (peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/91/69912a16b25b08c4164978ff0930ffd2/0126047450v1.jpeg "Die Befugnisse von Strafermittlern unter heimlichem Einsatz sogenannter Staatstrojaner sind teilweise verfassungswidrig. Das hat das Bundesverfassungsgericht in Karlsruhe entschieden. (Bild: © Bundesverfassungsgericht)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c576a1e5d185fd76eb1638d741fb4/0127758852v1.jpeg "Gekippt, begraben, reformuliert: Die Vorratsdatenspeicherung bleibt ein politischer Wiedergänger und ihre Ziele sind weiterhin fragwürdig. (Bild: © brillianata - stock.adobe.com)")