22. Dezember 2020
Nicht selten steht der unterschiedliche Umgang der zuständigen nationalen Aufsichtsbehörden mit Datenschutzverstößen in der Kritik. Insbesondere der irischen Aufsichtsbehörde – welche u.a. für die Big-Tech-Konzerne Facebook und Twitter zuständig ist – wird regelmäßig ein zu lasches Vorgehen gegen die ihr unterstellten Konzerne vorgeworfen, selbst von anderen Behörden. Hintergrund der Kritik ist auch, dass Datenschutzverstöße solcher Big-Player regelmäßig die Bürger aller EU-Staaten betreffen, es aber grundsätzlich in der Hand einer Behörde liegt, die Verstöße zu ahnden. Um hier ein einheitliches Vorgehen der nationalen Behörden zu gewährleisten, wurde in der Datenschutz-Grundverordnung das sog. Kohärenzverfahren geregelt (Art. 63 ff. DS-GVO). In diesem Verfahren tauschen sich die Aufsichtsbehörden – ggf. unter Einbindung der Kommission – untereinander aus, um eine einheitliche Rechtsanwendung sicherzustellen. Besteht diesbezüglich Uneinigkeit, ist es Aufgabe des Europäischen Datenschutzausschusses (EDSA), die Streitigkeiten zwischen den nationalen Behörden über den Umgang mit Datenschutzverstößen beizulegen. Zum ersten Mal hat der EDSA nun einen solchen Beschluss erlassen und sich dabei auch zur Berechnung von Bußgeldern geäußert.
Datenpanne durch Veröffentlichung geschützter Tweets
Grundlage des Kohärenzverfahrens war eine Datenpanne bei Twitter, welche durch eine fehlerhafte Programmierung ausgelöst wurde. Änderten Nutzer auf Android-Geräten ihre zum Account gehörende E-Mail-Adresse, wurden alle geschützten Tweets der Nutzer öffentlich (über die Follower hinaus), ohne dass dies für den Nutzer ersichtlich war. Die Datenpanne wurde im Dezember 2018 bekannt. Insgesamt waren wohl 88.726 Nutzer innerhalb der EU/des EWR von der Datenpanne betroffen. Bei der Überprüfung der Datenpanne durch die zuständige irische Aufsichtsbehörde stellte diese Verstöße gegen Art. 33 Abs. 1 DS-GVO (Verletzung der Mitteilungspflicht gegenüber der Aufsichtsbehörde) und Art. 33 Abs. 5 DS-GVO (Verletzung der entsprechenden Dokumentationspflicht) fest und schlug ein Bußgeld in Höhe von 135.000 bis 275.000 Euro in Bezug auf die Verletzung dieser Kooperationspflichten vor.
Nachdem die irische Behörde diese Informationen entsprechend Art. 60 Abs. 3 DS-GVO an die anderen europäischen Aufsichtsbehörden übermittelte, erhoben einige Behörden – insbesondere aus Deutschland – Einspruch gegen diese Entscheidung. Gerügt wurde u.a. die Berechnung der Bußgeldhöhe. Der EDSA befasste sich eingehend mit den erhobenen Rügen, wies aber eine Vielzahl davon als unzulässig ab. Geprüft wurde aber insbesondere, ob die Berechnung der Bußgeldhöhe korrekt erfolgte. Dabei stellte der EDSA ausdrücklich fest, dass das Kohärenzverfahren auch dazu dienen soll, die Höhe der Bußgelder in den Mitgliedsstaaten zu vereinheitlichen.
EDSA zur Bußgeldberechnung
Der EDSA weist in seiner Entscheidung ausdrücklich und wiederholt darauf hin, dass es sich um eine Einzelfallentscheidung handelt. Dadurch soll verhindert werden, dass sie in anderen Fällen als Präzedenzfall herangezogen werden kann. Nichtsdestotrotz können aus der Entscheidung Rückschlüsse gezogen werden, insbesondere was die Berechnung der Bußgeldhöhe anbelangt. Wichtig ist aber die Feststellung, dass sich die Aussagen auf die Verletzung der Pflichten aus Art. 33 Abs. 1 und Abs. 5 DS-GVO beziehen, also auf Pflichten im Rahmen der Kooperation mit der Aufsichtsbehörde. Dabei sind insbesondere folgende Feststellungen interessant:
- Werden Kooperationspflichten verletzt, seien diese Verstöße der Höhe des Bußgeldes zugrunde zu legen, nicht die eigentliche Datenpanne (Veröffentlichung der Tweets).
- Es müsse berücksichtigt werden, ob die Betroffenen die Absicht hatten, den Personenkreis einzuschränken, welcher von den Daten (Tweets) Kenntnis erlangen soll.
- Hinsichtllich “Art” und “Umfang” der Verarbeitung sei auf die ursprüngliche Verarbeitung abzustellen, nicht auf die konkrete Datenpanne oder den Datenschutzverstoß (hier also auf die Kommunikation per Tweet).
- Kenntnis von der Datenpanne (im Sinne des Art. 33 Abs. 1 DS-GVO) habe der Verantwortliche erst, wenn dieser “einen gewissen Grad an Gewissheit” darüber besitze, dass eine Datenpanne aufgetreten ist.
- Gehört die Verarbeitung personenbezogener Daten zum Kern der Tätigkeiten des Verantwortlichen, müsse man erwarten können, dass dieser geeignete Maßnahmen implementiert hat, um Datenpannen und Abhilfemaßnahmen dokumentieren und somit seinen Pflichten nachkommen zu können. Werden die Kooperationspflichten dennoch verletzt, sei dies nachteilig zu bewerten.
- Die Aufsichtsbehörde müsse konkret darlegen, aufgrund welcher Kriterien die vorgeschlagene Bandbreite des Bußgeldes (0.25% bis 0.5% des maximalen Bußgeldes) ermittelt wurde.
Letztendlich rügte der EDSA vor allem die Berechnung des Bußgeldes und verwies die Sache zurück an die irische Datenschutzbehörde. Diese müsse die Höhe des Bußgeldes neu berechnen. Darauf hin hat die irische Behörde nun das Bußgeld auf 450.000 Euro erhöht.
Nach einer Entscheidung der Europäischen Bürgerbeauftragten Emely O’Reilly müssen EU-Institutionen künftig auch interne Direktnachrichten archivieren und zugänglich machen.
Regieren via SMS & Co. ist längst Alltag in der Politik des 21. Jahrhunderts. Dies zeigte nicht zuletzt die Kommunikation über den EU-Rettungsschirm im Jahre 2015. Dennoch fiel diese Form der Verständigung nie unter die europäische Verordnung über den Zugang der Öffentlichkeit zu Dokumenten der Europäischen Institutionen. Dies wird sich nun ändern.
Zunächst lehnte der Rat das Auskunftsbegehren des Antragstellers FragDenStaat, welcher Direktnachrichten des ehemaligen EU-Ratspräsidenten Donald Tusk einsehen wollte, ab. Dementgegen stellte die Bürgerbeauftragte O’Reilly in ihrer Entscheidung jedoch grundlegend fest, dass sich die Verordnung auf alle Inhalte, unabhängig von der Form des Datenträgers bezieht.
Diese Entscheidung steht auch im Einklang mit einem vom VG Berlin verkündeten Urteil, nach welchem private Twitter-Direktnachrichten des Bundesinnenministers durch das Ministerium zugänglich gemacht werden müssen. Dagegen hat das Innenmisisterium jedoch eine Sprungrevision beantragt, deren Entscheidung noch aussteht.
21. Dezember 2020
Neben der DS-GVO sollte ursprünglich gleichzeitig im Mai 2018 die ePrivacy-Verordnung in Kraft treten (wir berichteten). Diese sollte die DS-GVO datenschutzrechtlich in Bezug auf die Verarbeitung von Telekommunikationsdaten ergänzen. Nun hat Deutschland im Rahmen seiner EU-Ratspräsidentschaft am 4. November 2020 einen neuen Entwurf zur ePrivacy-Verordnung (2017/0003/COD) vorgelegt.
Der Vorschlag berücksichtigt unter anderem die EuGH-Urteile C-511/18, C-512-18, C-520/18 des EuGH. Darin hat der EuGH klargestellt, dass eine Vorratsdatenspeicherung aller Kommunikationsdaten der EU-Bürger nicht mit den europäischen Grundrechten vereinbar ist. Dies ist ausnahmsweise nur staatlichen Behörden im Rahmen der Staatssicherheit oder zur Verfolgung von Straftaten gestattet.
Außerdem wurde der Passus gestrichen, der es Anbietern von Kommunikationsdiensten gestattete, die Kommunikation ihrer Nutzer in Hinblick auf illegales Material wie Kinderpornographie zu analysieren. Als Begründung wird auf die Richtlinie zur Neufassung des europäischen Kodex für die elektronische Kommunikation verwiesen, die dahingehend ergänzt werden soll.
Die besonders umstrittenen Art. 22 – 25 ePVO (2017/0003/COD), die im ursprünglichen Vorschlag vorsahen, dass die Nutzung von Cookie-Banners reduziert werden soll, indem Nutzer zukünftig eine für alle Webseiten allgemeingültige Einstellung in ihrem Browser vornehmen können, wurden gestrichen. Zum einen würde das aus datenschutzrechtlicher Sicht der Belehrungsfunktion entgegenwirken. Zum anderen wurde dies zuvor besonders von Verlagsseite kritisch gesehen (wir berichteten), da dies deren Geschäftsmodell untergräbt.
Da die Entwurfsvorlage – wie die Entwürfe zuvor – sich noch in der 1. Lesung des Europäischen Parlaments befindet, hängt das weitere Vorgehen noch von dessen Zustimmung ab.
18. Dezember 2020
Liebe Leserinnen und Leser,
wir bedanken uns recht herzlich für Ihr Interesse an unserem Blog im Jahr 2020.
Auch in diesem Jahr hat es uns mit Freude erfüllt Sie Woche für Woche über gerichtliche und behördliche Entscheidungen sowohl zum deutschen als auch zum europäischen Datenschutzrecht sowie weiterer Neuigkeiten aus den Bereichen Datenschutz und Datensicherheit auf dem Laufenden zu halten.
Wie schon in den vergangenen Jahren haben wir auch in diesem Jahr neben dem datenschutzticker unseren internationalen Blog den privacy-ticker.com, mit Schwerpunkt auf internationalen Datenschutzthemen und unseren Twitter-Account, der die Infos noch schneller zu Ihnen bringt, mit Inhalten gefüllt.
Selbstverständlich werden wir Sie auch im Jahr 2021 wieder über viele interessante Themen und Beiträge aus der Welt des Datenschutzes und der Datensicherheit informieren.
Wir blicken gespannt und voller Vorfreude auf das Jahr 2021 und wünschen Ihnen eine schöne Weihnachtszeit und nur das Beste für das kommende Jahr. Bleiben Sie gesund!
Ihr Team vom datenschutzticker.de
17. Dezember 2020
Apple hat seinen App Store um eine verbindliche Datenschutz-Kennzeichnung erweitert. Dadurch sollen Nutzer vor einer Installation erkennen, welche Daten eine App erfassen möchte. Die Angaben zum App-Datenschutz sind mit den jüngsten Updates in allen Betriebssystemen des Herstellers zu finden.
Die neue Ansicht „App-Datenschutz“ soll für mehr Transparenz sorgen. Die Angaben sollen vor einem Download zeigen, an welchen Daten eine App interessiert ist. Nach der Installation bleibt jedoch die gewohnte Möglichkeit, die Freigaben anzupassen und etwa den Zugriff auf den Standort zu beschränken.
Die Datenschutzangaben werden in drei Kategorien unterteilt. „Fürs Tracking verwendete Daten“, mit denen Unternehmen über mehrere Apps und Webseiten hinweg das Verhalten nachvollziehen können. „Mit dir verknüpfte Daten“, darunter Kontaktinformationen, Standort und Bankdaten, zudem die Browser-Historie und Einkäufe. „Daten, die nicht mit dir verknüpft sind“ werden ebenfalls aufgelistet. Entwickler können beispielsweise die Kontakte oder den Standort anonymisiert verwenden.
Die App-Entwickler sind seit Kurzem verpflichtet, die Informationen zum Datenschutz anzugeben, wenn sie neue Programme oder Updates einreichen. Kritik zu den Datenschutz-Labels gab es seitens WhatsApp. Der Messenger äußerte sich dazu gegenüber Axios und sieht sich im Vergleich zu Apples vorinstallierten iMessage-Dienst im Nachteil. Zudem seien die von Apple verlangten Angaben unvollständig und irreführend. Nutzer könnten dadurch abgeschreckt werden und sich gegen einen Download entscheiden, fürchtet WhatsApp.
14. Dezember 2020
Das Oberlandesgericht München (OLG) hat am 8. Dezember 2020 (Az. 18 U 2822/19 Pre und 18 U 5493/19 Pre) entschieden, dass Facebook Nutzer aus seinem Netzwerk ausschließen darf, die nicht wie in den Nutzungsbedingungen vorgeschrieben, ihre Klarnamen verwenden.
Zwei Nutzer hatten gegen den Ausschluss geklagt nachdem ihre Profile von Facebook gesperrt worden seien. Zuvor hatten Landgerichte in Traunstein und Ingolstadt voneinander abweichende Entscheidungen getroffen.
Das OLG hat jedoch Facebook Recht gegeben und auf dessen Nutzungsbedingungen verwiesen, die eine Verwendung des Klarnamens verlangen. Als Begründung führte das OLG aus, Facebook habe ein berechtigtes Interesse daran, dass Nutzer ihren echten Namen verwenden, weil das die Hemmschwelle für Beleidigungen, Bedrohungen und hasserfüllte Beiträge erhöhe. Auf diese Weise möchte Facebook auf das mittlerweile weit verbreitete sozialschädliche Verhalten im Internet präventiv auf seine Nutzer einwirken. Dies war auch die Begründung für eine der Sperrungen im zugrundeliegenden Sachverhalt.
Das Urteil ist sicherlich hilfreich, um die Rechtsordnung in den sozialen Medien durchzusetzen. Allerdings besteht immer noch die Möglichkeit real aussehende, aber unechte Klarnamen zu verwenden. Solange Facebook dies nicht kontrolliert, bleibt der Staatsanwaltschaft nur die Option, Auskunft über IP-Adressen von Facebook einzuholen. Vielmehr bräuchte es für die Staatsanwaltschaften Ausstattung und Mittel, um feststellen zu können, wer im Netz unterwegs ist. Dies könnte zum Beispiel über eine Registrierung der Facebook-Nutzer erfolgen, die nur von der Behörde einsehbar ist, wenn Facebook-Nutzer nicht mit ihrem realen Namen im sozialen Netzwerk gegenüber anderen Nutzern auftreten möchten.
10. Dezember 2020
Der BGH hat in seinem Urteil vom 10. Dezember 2020 (I ZR 153/17) über die Herausgabe von IP-Adressen durch YouTube entschieden. Im zugrundeliegenden Sachverhalt hat die Filmverwertungsgesellschaft Constantin Film von YouTube die Kontaktdaten von Nutzern verlangt, die urheberrechtlich geschützte Filme auf die Plattform hochgeladen haben.
Im Verfahren hatte zuvor der BGH die Sache dem Europäischen Gerichtshof (EuGH) vorgelegt. Dieser hatte bereits am 9. Juli 2020 entschieden (C-264/19), dass die Richtlinie 2004/48/EG die Betreiber einer Videoplattform nicht verpflichtet, die E-Mail-Adresse, die IP-Adresse oder die Telefonnummer eines Nutzers bekannt zu geben, der illegal eine Film auf der Online-Videoplattform YouTube hochgeladen hat. Der Auskunftsanspruch ist lediglich auf die Herausgabe der Postadresse seitens YouTubes beschränkt.
Allerdings besteht keine Pflicht für Nutzer ihre Adresse auf YouTube anzugeben. Auch werden der Name und das Geburtsdatum nicht auf Korrektheit überprüft. Da dies eine für Rechteinhaber äußerst missliche Situation ist, hat der EuGH jedoch klargestellt, dass die Mitgliedstaaten die Möglichkeit haben, den Inhabern von Rechten des geistigen Eigentums einen weiter gehenden Auskunftsanspruch einzuräumen. Dabei muss ein angemessenes Gleichgewicht zwischen den verschiedenen betroffenen Grundrechten gewährleistet sein, sowie allgemeine Grundsätze des Unionsrechts, wie etwa der Grundsatz der Verhältnismäßigkeit, eingehalten werden.
Der BGH hat die Antworten des EuGH in seinem Urteil übernommen. Damit bleibt Rechteinhabern nur zu hoffen, dass der Gesetzgeber ihnen in Zukunft die Möglichkeit einräumt, weitergehende Auskunftsansprüche zu erhalten.
Bereits am 25. und 26. November 2020 hatten sich die Datenschutzbehörden des Bundes und der Länder (DSK) zu ihrer 100. Sitzung zusammengefunden. Dabei berieten und äußerten sich die obersten Datenschützer zu zahlreichen aktuellen Themen: Nutzung von MS Office 365, Fragen der Datenverarbeitung im Rahmen der Covid-19-Pandemie, Ende-zu-Ende-Verschlüsselung, Umsetzung der ePrivacy-Richtlinie und Zentralisierung der Datenschutz-Aufsicht (alle Entschließungen können hier eingesehen werden).
Nutzung von MS Office 365 zulässig?
Die DSK stellte ihre Ergebnisse zur Untersuchung von Windows 10 in der “Enterprise”-Version vor. Dabei wurde festgestellt, dass es zu Übermittlungen von Telemetriedaten kommen kann. Um diese zu verhindern und eine zulässige Nutzung zu ermöglichen, sollte – so die DSK – die Telemetriestufe “Security” genutzt und mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z.B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) sichergestellt werden, dass keine Übermittlung von Telemetriedaten erfolgt.
Im Hinblick auf MS Office 365 kündigte die DSK an, weiterhin im Gespräch mit Microsoft bleiben zu wollen. Hier wurden demnach keine neuen Ergebnisse vorgestellt.
Umsetzung der ePrivacy-Richtlinie angemahnt
Die DSK hat den Gesetzgeber zudem dazu angemahnt, endlich die Vorgaben der sog. ePrivacy-Richtlinie vollständig und ordnungsgemäß in deutsches Recht umzusetzen. Vor dem Hintergrund des BGH-Urteils zur Verwendung von Cookie-Bannern (wir berichteten) sei die Unsicherheit der Webseiten-Betreiber groß, welche rechtlichen Regelungen bei der Verarbeitung nicht-personenbezogener Daten denn nun gelten. Insofern sei der Gesetzgeber dazu verpflichtet, die Vorgaben der ePrivacy-Richtlinie nunmehr vollständig, ordnungsgemäß und im Einklang mit der DSGVO umzusetzen.
Gegen Aufweichung der Ende-zu-Ende-Verschlüsselung
Kritisch äußerte sich die DSK auch zu Vorschlägen des Rates der Europäischen Union, welche die Aufweichung der Ende-zu-Ende-Verschlüsselung im Rahmen vertraulicher privater Kommunikation betreffen. Nach diesen Vorschlägen sollte den Sicherheitsbehörden und Geheimdiensten der Zugriff auf verschlüsselte Kommunikation in Messengerdiensten und anderen Kommunikationsmitteln vereinfacht werden. Die DSK wendet gegen dieses Vorhaben insbesondere ein, dass dies durch Kriminelle und Terroristen leicht umgangen werden könnte, im Gegenteil aber die Digitalisierung in Wirtschaft und Verwaltung beeinträchtigen könne und auch das Vertrauen der Bürger in sichere Kommunikationsmittel gefährde.
Zentralisierung der Datenschutzaufsicht kontraproduktiv
Schließlich äußerte die DSK auch Bedenken gegenüber Forderungen, die Datenschutzaufsicht im nicht-öffentlichen Bereich zu zentralisieren. Diese sei kontraproduktiv, denn eine Zentralisierung führe zu einer Entfernung von den Unternehmen und Bürgern. Auch genießen die Aufsichtsbehörden ein hohes fachliches Ansehen. Statt eine solche Debatte zu führen, sollte die bessere personelle Ausstattung vorangetrieben werden, sodass alle Behörden ihre Aufgaben vollumfänglich erfüllen können.
9. Dezember 2020
Das AfD-Meldeportal “Neutrale Schule” bleibt weiterhin ohne Anwendung. Nach einer Verbotsverfügung und einem gescheiterten Eilantrag des Landesverbandes Mecklenburg-Vorpommern wies das VG Schwerin in der Hauptsache die Klage gegen das Verbot der Platform ab.
Die Alternative für Deutschland hatte bereits im letzten Jahr in Mecklenburg-Vorpommern ein Portal ins Leben gerufen, in welchem Schüler ihre Lehrer melden konnten, wenn diese durch politische Aussagen gegen das Neutralitätsgebot verstoßen. Laut AfD soll dies “die Indoktrinierung unserer Kinder verhindern und damit eine unbeeinflusste politische Meinungsbildung ermöglichen”.
Das VG Schwerin bestätigte nun die Entscheidung des Landesdatenschutzbeauftragten des Landes Mecklenburg-Vorpommern. Das Online-Portal “Neutrale Schule” verstoße gegen Art. 9 Abs. 1 DS-GVO. Nach dieser Vorschrift ist unter anderem die Verarbeitung personenbezogener Daten untersagt, aus denen politische Meinungen oder weltanschauliche Überzeugungen hervorgehen. Mangels einer ausdrücklichen Einwilligungen seitens der betroffenen Personen oder eines offensichtlichen Öffentlichmachens dieser Daten sei eine Ausnahme gemäß Art. 9 Abs. 2 DS-GVO unbegründet. Auch sei die Verarbeitung nicht zur Geltendmachung von Rechtsansprüchen oder aus Gründen eines erheblichen öffentlichen Interesses erforderlich.
Gegen das Urteil vom 26. November 2020 (Az. 1 A 1598/19 SN) kann die AfD vor der Oberverwaltungsgericht Mecklenburg-Vorpommern in Berufung gehen.
Anders als im Falle der “Neutralen Schule” wurde im Bezug auf die App “Lernsieg” entschieden. Diese bietet die Möglichkeit eine generelle Evaluation von Lehrern abzugeben. Im wesentliche Unterschied zur “Neutralen Schule” bestätigte die zuständige Datenschutzbehörde hier ein legitimes Informationsinteresse der Öffentlichkeit an der Bewertung.
4. Dezember 2020
Wie der Entwurf des Bundeskanzleramtes zur Reform des BND-Gesetzes zeigt, soll es dem Bundesnachrichtendienst (BND) möglich sein, sich “zur Durchführung strategischer Aufklärungsmaßnahmen” der Unterstützung anderer öffentlicher Stellen, wie der NSA, bedienen.
Eine unbeschränkte strategische Ausland-Fernmeldeaufklärung ist nach dem Enturf (veröffentlicht auf Netzpolitik.org) unzulässig. Der BND darf hiernach bis zu 30 Prozent der weltweiten Internet-Datenströme überwachen. Inhalte aus Kommunikationsmitteln wie E-Mails oder Telefonen werden dann gespeichert, wenn hier bestimmte Schlagbegriffe fallen, oder wenn bestimmte Sender/Empfänger oder Kenndaten enthalten sind. Wie sich aus dem Urteil des Bundesverfassungsgerichts vom 19. Mai 2020 zur Auslands-Kommunikationsüberwachung zeigt, werden hierbei bis zu 270.000 Kommuikations-Inhalte täglich gespeichert.
Um die verfügbaren Datenmengen effizient verarbeiten zu können, soll es dem BND möglich sein, sich durch ausländische öffentliche Stellen und deren Systeme unterstützen zu lassen. Inbesondere können Überwachungsmaßnahmen an diese Auslandsgeheimdienste ausgelagert werden. Dabei dürfen durch die ausländische öffentliche Stelle Daten für den BND und dessen verfolgte Ziele erhoben werden. Hierbei dürfen nur solche Suchbegriffe verwendet werden, die für die Erhebung der Daten “bestimmt, geeignet und erforderlich” sind. Zwingend ist weiterhin, dass die Verwendung der Suchbegriffe mit den außen- und sicherheitspolitischen Interessen Deutschlands übereinstimmen.
Für personenbezogene Daten der EU-Bürger und öffentlichen Einrichtungen der EU-Staaten gilt, dass diese nur unter weiteren Bedingungen verarbeitet werden dürfen. Insbesondere bleibt die private Lebensgestaltung unantastbar.
Problematisch sehen Datenschützer, dass auch die Auslandsgeheimdienste die Daten, die sie über die unterstützende Suche für den BND sammeln konnten, für ihre eigene Zwecke nutzen dürfen. Voraussetzung hierbei ist, dass der BND diesem Vorhaben zustimmt und es sich um zulässige Ziele handelt. Darüber hinaus besteht mit den Neuregelungen im Entwurf des reformierten BND-Gesetzes die Möglichkeit, dass der BND zur Auslagerung der strategischen Ausland-Fernmeldeaufklärung auf das Datenzentrum der NSA zurückgreifen kann.
