top of page
Deutschlands Nachrichtendienste vor dem Systemwechsel

12. Juli 2026

Richard Krauss

Kernbefund


Der Referentenentwurf zur Reform des Nachrichtendienstrechts verändert die gesetzliche Stellung des Bundesamtes für Verfassungsschutz und des Bundesnachrichtendienstes grundlegend. Beide Dienste sollen Bedrohungen weiterhin aufklären und analysieren, künftig jedoch zusätzlich selbst auf bestimmte Gefährdungsabläufe einwirken können.

Die Entwurfsbegründung bezeichnet diese Erweiterung als begrenzte Interventionsbefugnisse beziehungsweise als aktive Schutzmaßnahmen. In der öffentlichen und fachpolitischen Debatte werden sie überwiegend unter dem Begriff aktive Maßnahmen zusammengefasst.

Der Instrumentenkatalog umfasst Telekommunikationsüberwachung, biometrische Identifizierung, Zugriffe auf private informationstechnische Systeme, automatisierte Datenanalysen sowie technische Einwirkungen auf laufende Cyberoperationen. Vorgesehen sind außerdem Maßnahmen, durch die Datenströme verändert, Angriffsinfrastrukturen beeinträchtigt oder beteiligte Akteure gezielt fehlgeleitet werden können.


Private Unternehmen werden unter den gesetzlichen Voraussetzungen zur Auskunft, Datenübermittlung, technischen Unterstützung und Geheimhaltung verpflichtet. Betroffen sind unter anderem Telekommunikationsanbieter, Verkehrsbetriebe, Finanzdienstleister, Fahrzeughersteller, Werkstätten, Hostinganbieter und Betreiber von Videoüberwachungsanlagen.

Das Bundesamt für Sicherheit in der Informationstechnik soll technische Erkenntnisse über Cyberangriffe und Sicherheitslücken frühzeitig an den BND weitergeben. Damit entsteht eine engere Verbindung zwischen defensiver Cybersicherheit und nachrichtendienstlicher Nutzung technischer Schwachstellen.


Die operative Rechts- und Datenschutzkontrolle wird beim Unabhängigen Kontrollrat konzentriert. Die G-10-Kommission soll entfallen. Der Entwurf reagiert damit auf Vorgaben des Bundesverfassungsgerichts, erweitert zugleich jedoch Reichweite und operative Wirkung der Nachrichtendienste.

Verfassungsgerichtlicher Zeitdruck bestimmt das Verfahren


Die Reform steht unter unmittelbarem verfassungsgerichtlichem Zeitdruck. Das Bundesverfassungsgericht hat in mehreren Entscheidungen die Anforderungen an strategische Überwachung, heimliche Datenerhebung, Datenübermittlung, Zweckbindung und unabhängige Kontrolle präzisiert.

Den konkreten Zeitrahmen für die Neuregelung der strategischen Inland-Ausland-Fernmeldeüberwachung setzt der Beschluss des Bundesverfassungsgerichts vom 8. Oktober 2024. Gegenstand waren Befugnisse des Bundesnachrichtendienstes zur strategischen Überwachung internationaler Telekommunikationsbeziehungen bei Cybergefahren.

Das Gericht erklärte die maßgebliche Ermächtigung für unvereinbar mit Artikel 10 Absatz 1 des Grundgesetzes, weil eine hinreichend bestimmte Regelung zur Aussonderung rein innerdeutscher Telekommunikationsverkehre fehlte. Die Vorschrift darf übergangsweise unter zusätzlichen Filter-, Löschungs- und Kontrollanforderungen weiter angewendet werden. Die Übergangsfrist endet am 31. Dezember 2026.


Die Entscheidung verlangt, rein innerdeutsche Telekommunikation soweit technisch möglich bereits durch automatisierte Filter auszusondern. Trotz Filterung erfasste Inlandskommunikation muss unverzüglich gelöscht werden. Hinzu kommen Anforderungen an Kernbereichsschutz, Protokollierung, Löschung und unabhängige objektivrechtliche Kontrolle.

Der Beschluss beanstandete außerdem die bestehende Kontrollarchitektur. Das Bundesverfassungsgericht verlangte eine fachlich kompetente, professionalisierte und gerichtsähnliche Kontrolle. Diese Vorgabe bildet einen zentralen verfassungsrechtlichen Ausgangspunkt für die Bündelung der operativen Kontrolle beim Unabhängigen Kontrollrat.

Davon zu trennen ist der Beschluss vom 17. Juli 2024 zum Hessischen Verfassungsschutzgesetz. Diese Entscheidung betrifft Befugnisse des hessischen Landesamtes, darunter Standortermittlung, längerfristige Observation, verdeckte Ermittlungen, Flug- und Reisedaten sowie die Übermittlung nachrichtendienstlich erhobener Informationen.

Das Gericht beanstandete mehrere Vorschriften wegen unzureichender Eingriffsschwellen und Verstößen gegen das Recht auf informationelle Selbstbestimmung. Der Hessen-Beschluss bildet damit einen wesentlichen Maßstab für die Abstufung nachrichtendienstlicher Befugnisse nach Beobachtungsbedürftigkeit und Eingriffsintensität. Er ist jedoch weder Grundlage der BND-Reformfrist bis Ende 2026 noch die maßgebliche Entscheidung zur Aussonderung innerdeutscher Telekommunikation.


Das Bundesministerium des Innern verbindet die Umsetzung dieser verfassungsgerichtlichen Vorgaben mit einer umfassenden Neuordnung. Das Bundesverfassungsschutzgesetz und das BND-Gesetz sollen vollständig neu gefasst werden. Für den Unabhängigen Kontrollrat ist erstmals ein eigenständiges Stammgesetz vorgesehen.


Die vorliegende PDF-Fassung umfasst einschließlich Gesetzestext, Begründung und Anlagen 691 Seiten. Abweichende Angaben von 648 beziehungsweise knapp 700 Seiten beruhen auf unterschiedlichen Zählweisen und der Einbeziehung von Begründung, Anlagen und Begleitmaterial.

Der Militärische Abschirmdienst bleibt über Kooperations-, Übermittlungs- und Verbundregelungen in die neue Architektur einbezogen. Seine weitergehende gesetzliche Reform erfolgt in einem gesonderten Verfahren.


Vom aufklärenden zum intervenierenden Nachrichtendienst


Das strukturelle Herzstück des Entwurfs liegt in den begrenzten Interventionsbefugnissen. Nachrichtendienste sollen Gefährdungen künftig nicht ausschließlich erkennen und für politische oder operative Bedarfsträger aufbereiten. Sie erhalten unter festgelegten Voraussetzungen die Möglichkeit, selbst in bestimmte Abläufe einzugreifen.

Die Entwurfsbegründung rahmt diese Befugnisse eng. Sie sollen staatliche Schutzpflichten erfüllen und Schutzlücken schließen, wenn ein Dienst aufgrund seiner bereits bestehenden technischen Stellung unmittelbar auf eine Bedrohung einwirken kann. Als typischer Fall gilt eine Situation, in der ein Nachrichtendienst eine gegnerische IT-Infrastruktur bereits aufgeklärt oder infiltriert hat und eine laufende Schädigung direkt begrenzen kann.

Der Normansatz eröffnet gleichwohl einen weiter reichenden operativen Raum. Je nach Maßnahme können technische Datenströme verändert, gegnerische Kommunikationswege beeinträchtigt oder informationstechnische Systeme beeinflusst werden. Für den BND betrifft dies vor allem ausländische Cyberangriffe, Spionage, Sabotage, Proliferation und weitere Gefährdungen der äußeren Sicherheit.


Fachöffentlichkeit und kritische Berichterstattung lesen darin die Grundlage für offensive Cyberoperationen bis hin zur Störung ausländischer Server- oder Rechenzentrumsinfrastruktur. Die Bundesregierung beschreibt denselben Regelungsbereich als eng begrenzte Schadensabwehr in bereits operativ erschlossenen Systemen.

Die Reichweite wird daher durch drei Ebenen bestimmt: Die Entwurfsbegründung beschreibt einen eng begrenzten Schutz- und Abwehrzweck. Der Normtext eröffnet technische Einwirkungen auf konkrete Bedrohungsaktivitäten. Die praktische Anwendung entscheidet, ob daraus punktuelle Schadensbegrenzung oder eine breitere offensive Operationsfähigkeit entsteht.


Diese Differenz ist für die parlamentarische Beratung entscheidend. Umfang, Zielauswahl, zulässige technische Wirkung und mögliche Beeinträchtigung unbeteiligter Systeme müssen unmittelbar aus dem Gesetz erkennbar sein.


Trennungsgebot als verfassungsrechtlicher Prüfungsmaßstab


Die Interventionsbefugnisse berühren das Trennungsgebot zwischen Nachrichtendiensten und Polizei. Dieses Gebot folgt aus der deutschen Sicherheitsarchitektur nach 1945 und trennt grundsätzlich Informationsgewinnung von offenem Vollzug und unmittelbarer Zwangsausübung.

Nachrichtendienste verfügen über weitreichende Möglichkeiten verdeckter Aufklärung bereits im Vorfeld konkreter Gefahren. Polizei und Strafverfolgungsbehörden dürfen dagegen operative Maßnahmen und Zwangsmittel einsetzen, benötigen dafür jedoch regelmäßig höhere Eingriffsschwellen.

Die dahinterstehende Funktionslogik wird häufig mit der Formel zusammengefasst:


Wer viel wissen darf, soll nicht alles dürfen.


Diese Formulierung beschreibt den materiellen Kern der Aufgabentrennung, ersetzt jedoch keine eigenständige Verfassungsnorm. Die rechtliche Beurteilung richtet sich nach den konkreten Aufgaben, Befugnissen, Eingriffsschwellen, Datenverarbeitungsregeln und Kontrollmechanismen.


BfV und BND erhalten nach dem Entwurf keine allgemeinen polizeilichen Befugnisse zur Festnahme, Durchsuchung oder offenen Gefahrenabwehr. Die Grenze wird dennoch verschoben. Die Dienste sollen künftig in bestimmten Situationen selbst technische Wirkungen erzeugen können, statt Erkenntnisse ausschließlich an Polizei, Staatsanwaltschaft, Bundeswehr oder andere operative Stellen zu übermitteln.


Bei der Veränderung eines Datenstroms, dem Eingriff in eine gegnerische IT-Infrastruktur oder der Unterbrechung einer laufenden Cyberoperation fallen Informationsherrschaft, Lagebewertung und operative Einwirkung innerhalb derselben Behörde zusammen.

Verfassungsrechtlich entscheidend ist deshalb, ob die Interventionsbefugnisse auf konkret bezeichnete hochrangige Schutzgüter begrenzt sind, eine hinreichend verdichtete Gefährdungslage voraussetzen, Zielpersonen und Zielsysteme gesetzlich bestimmen, keine allgemeine Vollzugszuständigkeit begründen, einer unabhängigen Vorabkontrolle unterliegen und nachträglich gerichtlich überprüfbar bleiben.


Je stärker eine technische Maßnahme funktional einem polizeilichen Vollzugsakt entspricht, desto höher müssen Eingriffsschwelle, Normenklarheit und Kontrolldichte ausfallen.


Operative Täuschung und gezielte Fehlinformation


Der Entwurf eröffnet verdeckte Maßnahmen, bei denen Informationen verändert oder falsche Angaben übermittelt werden können, um eine Bedrohungsaktivität zu beeinflussen.

Die Begründung ordnet solche Handlungen den aktiven Schutzmaßnahmen zu. Ein Nachrichtendienst könnte beispielsweise einen Cyberakteur auf eine kontrollierte Infrastruktur lenken, fehlerhafte technische Parameter übermitteln oder den Eindruck vermitteln, ein Angriff habe sein Ziel erreicht.


Die genaue Reichweite dieser Befugnis ergibt sich aus dem Zusammenspiel von Zieldefinition, Eingriffsschwelle und zulässiger Einwirkung. Der Entwurf zielt nach seiner Begründung auf konkrete Bedrohungsaktivitäten. Daraus folgt jedoch keine belastbare Grundlage für eine pauschale Aussage, jede operative Täuschung sei zwingend auf eine bereits abschließend individualisierte Zielperson beschränkt.


Entscheidend ist daher, ob die endgültige Norm eindeutig regelt, gegen welche Personen oder Systeme sich die Maßnahme richten darf, welche Form der Informationsveränderung zulässig ist, ob Dritte oder öffentliche Kommunikationsräume betroffen sein können, wie lange eine Täuschungsoperation dauern darf und welche Kontrollstelle Zielauswahl und Wirkung prüft.

Für den BND liegt der Schwerpunkt auf ausländischen Bedrohungsakteuren. Beim BfV besitzt dieselbe Befugnis zusätzliche demokratische Sensibilität, weil der Dienst im politischen und gesellschaftlichen Raum Deutschlands arbeitet.


Operative Täuschung gegenüber einem konkreten Angreifer unterscheidet sich rechtlich und funktional von staatlicher Beeinflussung öffentlicher Meinungsbildung. Der endgültige Gesetzestext muss diese Grenze ausdrücklich sichern. Eine bloße Zweckbeschreibung in der Begründung reicht dafür nicht aus.


Cyberoperationen erweitern die Eingriffstiefe


Die Nachrichtendienste erhalten umfassendere Befugnisse zur Aufklärung informationstechnischer Angriffe. Hostinganbieter und Betreiber technischer Systeme können verpflichtet werden, vorhandene technische Informationen herauszugeben.

Erfasst werden können Schadprogramme, Angriffswerkzeuge, Steuerungsdateien, Protokolldaten, maliziöse Kennungen und technische Spuren einer Angriffsinfrastruktur.

Kann ein Anbieter die erforderlichen Daten technisch nicht selbst auswerten, kann die Herausgabe einer Kopie betroffener Systembestandteile verlangt werden. Das BfV erhält dadurch Zugriff auf technische Umgebungen, die Teil komplexer und langfristig vorbereiteter Cyberangriffe sein können.


Ergänzend sieht der Entwurf eigene Zugriffsrechte auf informationstechnische Systeme vor. Diese umfassen das Auslesen von Geräten, die Erhebung technischer Angriffsspuren und Eingriffe in die Integrität privater Systeme. Ein abgegrenzter Systemeingriff soll den Zugriff technisch oder inhaltlich beschränken.


Die Reform verbindet damit Angriffserkennung, nachrichtendienstliche Zuordnung und unmittelbare Gegenwirkung. Ein erkannter technischer Indikator kann zunächst ausgewertet, anschließend einem ausländischen Akteur zugeordnet und schließlich Grundlage einer Interventionsmaßnahme werden.

Diese Verbindung erhöht die Reaktionsfähigkeit. Sie konzentriert zugleich Erhebung, Bewertung und technische Wirkung innerhalb derselben Sicherheitsstruktur.


BSI und BND bilden eine engere Cyberinformationsachse


Das Bundesamt für Sicherheit in der Informationstechnik und der Bundesnachrichtendienst erfüllen unterschiedliche Aufgaben. Das BSI überwacht unter anderem Zugangspunkte der Bundesnetze und erkennt dort Angriffe auf staatliche Infrastruktur. Der BND verfügt durch strategische Aufklärung, Server-Telekommunikationsüberwachung und ausländische Quellen über zusätzliche Erkenntnisse zu Cyberakteuren und deren Infrastruktur.

Der Entwurf erweitert deshalb die Informationsübermittlung vom BSI an den BND. Relevante technische Erkenntnisse sollen frühzeitig und teilweise automatisiert weitergegeben werden.

Eine einzelne IP-Adresse oder Schadsoftware kann aus Sicht des BSI zunächst begrenzte Bedeutung besitzen. Beim BND kann derselbe Indikator bereits als Bestandteil einer bekannten ausländischen Angriffsstruktur erfasst sein. Die Zusammenführung ermöglicht eine breitere Bewertung des Vorgangs.


Besondere Bedeutung besitzt die Weitergabe von Erkenntnissen über Sicherheitslücken. Die Entwurfsbegründung spricht davon, technische Informationen für nachrichtendienstliche Zwecke „in Wert bringen“ zu können. Gemeint ist die operative Nutzung einer Schwachstelle, bevor sie durch Hersteller oder Betreiber geschlossen wird.

Damit entsteht ein struktureller Zielkonflikt. Der defensive Auftrag des BSI richtet sich auf die Sicherheit staatlicher, wirtschaftlicher und gesellschaftlicher IT-Systeme. Er spricht grundsätzlich für eine schnelle Meldung und Schließung erkannter Schwachstellen. Der BND kann dagegen ein Interesse an zeitlich begrenzter Geheimhaltung besitzen, wenn die Lücke einen Zugang zu einem relevanten ausländischen System ermöglicht.


Eine offen gehaltene Schwachstelle steht jedoch potenziell auch fremden Nachrichtendiensten, kriminellen Gruppen und weiteren Angreifern zur Verfügung. Die operative Nutzung kann deshalb Risiken für deutsche Behörden, Unternehmen und Privatpersonen erzeugen.

Der Entwurf benötigt für diesen Konflikt ein nachvollziehbares Schwachstellenverfahren. Erforderlich sind eine dokumentierte Risikoabwägung, eine zeitliche Befristung, die Beteiligung der defensiven Cybersicherheitsseite und eine unabhängige Kontrolle der Entscheidung.


Strategische Aufklärung erfasst mehr als menschliche Kommunikation


Das neue BND-Gesetz entwickelt die strategische Fernmeldeaufklärung zur strategischen Aufklärung weiter. Erfasst werden künftig neben Kommunikationsinhalten und klassischen Verkehrsdaten weitere Daten, die mittels Telekommunikationstechnik über räumliche Distanz übertragen werden.


Dazu können Cloud- und Synchronisationsdaten, automatisierte Gerätekommunikation, Backupübertragungen, Standortdaten, Telemetriedaten sowie technische Uploads und Downloads gehören. Moderne Telekommunikationsnetze transportieren damit menschliche Kommunikation und automatisierte Systemkommunikation innerhalb derselben Infrastruktur.

Für die grundrechtliche Einordnung ist der Beschluss des Bundesverfassungsgerichts vom 24. Juni 2025 – „Trojaner I“ – relevant. Gegenstand dieser Entscheidung war die präventiv-polizeiliche Quellen-Telekommunikationsüberwachung nach § 20c des Polizeigesetzes Nordrhein-Westfalen, nicht das Nachrichtendienstrecht.


Das Gericht stellte dabei klar, dass Artikel 10 Absatz 1 GG vor den besonderen Gefahren räumlich distanzierter Kommunikation schützt. Dieser Schutz beschränkt sich nicht auf den unmittelbaren Nachrichtenaustausch zwischen Menschen. Er erfasst auch andere technisch vermittelte Übertragungsvorgänge, wenn sich die spezifischen Risiken einer Kommunikation über räumliche Distanz verwirklichen.

Die Entscheidung liefert damit einen grundrechtlichen Maßstab für den erweiterten Datenbegriff der strategischen Aufklärung. Ihre Aussagen können auf die Definition des Schutzbereichs übertragen werden, obwohl der Ausgangsfall dem Polizeirecht entstammt.

Der Entwurf trennt Erhebung und Einsichtnahme stärker voneinander. Daten können technisch zunächst erfasst werden, während zusätzliche rechtliche Voraussetzungen für Selektion, Auswertung und Weiterverarbeitung gelten.


Der Schutz deutscher Staatsangehöriger, in Deutschland befindlicher Personen und inländischer juristischer Personen wird dadurch stärker in die Verarbeitungsphase verlagert. Er hängt wesentlich von der zuverlässigen Erkennung, Kennzeichnung und Aussonderung geschützter Kommunikation ab.

Fehlerhafte Zuordnungen können dazu führen, dass rein innerdeutsche oder anderweitig besonders geschützte Daten zunächst in staatliche Systeme gelangen. Die Qualität der Filtertechnik besitzt deshalb unmittelbare grundrechtliche Bedeutung.


Die 15-Prozent-Grenze begrenzt die Erfassung nur formal


Der Entwurf begrenzt die strategische Aufklärung auf höchstens 15 Prozent des Datenvolumens, das in allen Telekommunikationsnetzen übertragen werden kann. Die Erhebung soll auf Netze oder Netzbestandteile mit besonderer nachrichtendienstlicher Relevanz konzentriert werden.

Die Berechnungsgrundlage bezieht sich auf das technisch übertragbare Gesamtvolumen und nicht auf das tatsächlich genutzte Datenvolumen. Sie bezieht sich außerdem nicht zwingend auf jeden einzelnen Netzknoten oder jede ausgewählte Leitung.

Dadurch kann die 15-Prozent-Grenze trotz ihres begrenzenden Wortlauts eine sehr große Erfassungskapazität eröffnen. Bei einer Bezugsgröße aus sämtlichen Telekommunikationsnetzen entspricht bereits ein kleiner prozentualer Anteil einem erheblichen Datenvolumen.


Große Internetknoten wie der DE-CIX bündeln internationale und innerdeutsche Datenströme. Entscheidend ist deshalb, ob die Quote eine konkrete Erfassung an einem solchen Knoten tatsächlich begrenzt oder lediglich auf einer abstrakten Gesamtrechnung beruht.

Die grundrechtliche Wirkung wird außerdem durch Auswahl der Leitungen und Netzsegmente, eingesetzte Suchmerkmale, Dauer der Speicherung, Umfang automatisierter Auswertung und Verbindung mit anderen Datenbeständen bestimmt.

Eine rein quantitative Obergrenze ersetzt keine qualitative Begrenzung der Erfassungsziele.


Neue Bedrohungssystematik steuert die Befugnisse des BfV


Das geplante Bundesverfassungsschutzgesetz führt ein abgestuftes Bedrohungsmodell ein. Es verbindet die Intensität einer Bedrohung mit der Reichweite der verfügbaren Maßnahmen.

Als Bedrohungen gelten verfassungsfeindliche Bestrebungen, sicherheitsgefährdende Tätigkeiten, geheimdienstliche Aktivitäten für fremde Mächte und funktionsgefährdende Tätigkeiten gegen das BfV.


Eine erheblich beobachtungsbedürftige Bedrohung liegt vor, wenn tatsächliche Anhaltspunkte für eine erhebliche Beeinträchtigung geschützter Rechtsgüter bestehen. Relevante Merkmale sind Gewaltorientierung, Straftaten, Hassmobilisierung, menschenwürdeverletzende Agitation, planmäßige Verschleierung und gesellschaftliche Einflussnahme.


Die höchste Stufe bildet die besonders erheblich beobachtungsbedürftige Bedrohung. Sie umfasst schwere Straftaten, Spionage, geheimdienstliche Operationen, fortgesetzte Aktivitäten verbotener Vereinigungen und schwerwiegende Angriffe auf Personal oder IT-Systeme des Verfassungsschutzes.


Die Staffelung folgt der verfassungsgerichtlichen Forderung, Beobachtungsbedürftigkeit und Befugnisreichweite miteinander zu verbinden. Ihre operative Wirkung hängt davon ab, wie die Behörde offene Begriffe konkretisiert.


Prüffall, Verdachtsfall und gesicherte Verfassungsfeindlichkeit


Die Einstufung politischer Organisationen wird erstmals umfassend im Gesetz geregelt.

Ein Prüffall setzt erste Anhaltspunkte für verfassungsfeindliche Bestrebungen voraus. Das BfV darf allgemein zugängliche Informationen auswerten und verdeckt im Internet ermitteln. Klassische nachrichtendienstliche Mittel bleiben in dieser Phase ausgeschlossen. Die Prüfung soll zwei Jahre nicht überschreiten. Verlängerungen bedürfen der Billigung durch die Behördenleitung.


Der Verdachtsfall verlangt tatsächliche Anhaltspunkte für verfassungsfeindliche Bestrebungen. Die Einstufung muss nach spätestens drei Jahren überprüft werden. Nach fünf Jahren bedarf ihre Fortführung der Zustimmung des Bundesinnenministeriums. Die Zustimmung gilt jeweils für höchstens zwei weitere Jahre.

Eine Bestrebung gilt als gesichert verfassungsfeindlich, wenn das BfV aufgrund der Gesamtheit der vorhandenen Informationen zu einer gesicherten Bewertung gelangt. Die Entscheidung trifft die Behördenleitung.

Damit entstehen gesetzlich definierte Verfahrensstufen und Prüfpflichten. Eine absolute zeitliche Höchstgrenze für die Beobachtung eines Verdachtsfalls enthält der Entwurf nicht.


Unternehmen werden zur Mitwirkung verpflichtet


Private Unternehmen werden nicht nur faktisch in die Sicherheitsarchitektur eingebunden. Der Entwurf begründet gesetzliche Mitwirkungs-, Auskunfts- und Geheimhaltungspflichten.

Betroffen sein können Telekommunikationsanbieter, digitale Dienste, Hostingunternehmen, Verkehrs- und Postdienstleister, Banken, Zahlungsdienstleister, Fahrzeughersteller, Werkstätten, Betreiber von Videoanlagen und weitere Verpflichtete nach dem Geldwäschegesetz.


Die Auskunftspflichten erstrecken sich je nach Rechtsgrundlage auf Bestands-, Nutzungs-, Inhalts-, Verkehrs-, Zahlungs-, Reise-, Standort- und Telemetriedaten.

Unternehmen können außerdem verpflichtet werden, technische Informationen bereitzustellen, Datenströme umzuleiten oder Zugang zu Einrichtungen zu gewähren. Telekommunikationsanbieter müssen Überwachungsmaßnahmen technisch unterstützen und entsprechend überprüftes Personal vorhalten.


Der Entwurf schafft keine allgemeine Speicherpflicht für alle erfassten Unternehmen. Ein konkretes Ersuchen kann jedoch auch künftig anfallende Daten betreffen und damit eine zeitlich begrenzte Speicherung oder Echtzeitausleitung auslösen.


Fahrzeugtelemetrie und Videoanlagen werden operative Datenquellen


Vernetzte Fahrzeuge erzeugen fortlaufend technische und nutzungsbezogene Informationen. Hersteller und unter bestimmten Voraussetzungen Werkstätten sollen vorhandene Telemetriedaten an das BfV übermitteln müssen.


Je nach Fahrzeug und System können Standortdaten, Fahrtverläufe, Nutzungszeiten, technische Ereignisse und Informationen verknüpfter Nutzerkonten betroffen sein. Ein Ersuchen an eine Werkstatt ist grundsätzlich nachrangig gegenüber einer Anfrage beim Hersteller.

Auch Betreiber privater und öffentlicher Videoanlagen werden verpflichtet. Das BfV kann die Mitbenutzung vorhandener Technik, die Ausleitung von Echtzeitdaten und die Übermittlung gespeicherter Aufnahmen verlangen.


Die Reichweite dieser Befugnisse wächst mit der Digitalisierung des öffentlichen Raums. Der Staat kann auf vorhandene Kameras, vernetzte Fahrzeuge und kommerzielle Informationssysteme zurückgreifen, ohne selbst eine flächendeckende Sensorinfrastruktur betreiben zu müssen.


Biometrie und automatisierte Datenanalyse


Der Entwurf regelt automatisierte Verfahren, die personenbezogene Informationen systematisch zusammenführen oder biometrische Merkmale abgleichen. Gesichtsbilder können mit Datenbeständen verglichen werden, auf die das BfV für seine Aufgaben zugreifen darf.


Ein Abgleich kann unter bestimmten Voraussetzungen durch eine öffentliche oder private Stelle in einem Drittstaat durchgeführt werden, wenn deutsche oder europäische Stellen die Leistung nicht gleichermaßen erbringen können.


Der Entwurf schafft außerdem Grundlagen für qualifizierte automatisierte Auswertungen. Diese können große Datenbestände verknüpfen, Beziehungsmuster erkennen und Bewegungsprofile erstellen. Technologieneutrale Formulierungen erfassen auch anpassungsfähige KI-Systeme.

Technische Vorgaben zu Fehlerraten, Trainingsdaten, Modellveränderungen und Erklärbarkeit bleiben begrenzt. Damit entscheidet die konkrete Systemarchitektur wesentlich über die Eingriffstiefe.


Ein fehlerhafter biometrischer Treffer kann weitere Überwachungsmaßnahmen auslösen. Fehlerhafte Ausgangsdaten können durch automatisierte Verknüpfung verstärkt und in weitere Systeme übertragen werden.

Vertrauenspersonen und Einsatz Minderjähriger


Das BfV darf weiterhin verdeckte Bedienstete, Informanten und Vertrauenspersonen einsetzen. Hinzu kommen Internetlegenden, persönliche Treffen und wirtschaftliche Zuwendungen zur Festigung verdeckter Kontakte.

Minderjährige sind grundsätzlich vom Einsatz als Vertrauenspersonen ausgeschlossen. Bei besonders erheblich beobachtungsbedürftigen Bestrebungen erlaubt der Entwurf jedoch eine Ausnahme für Jugendliche ab 16 Jahren.


Damit können Minderjährige innerhalb extremistischer, terroristischer oder gewaltorientierter Milieus als Quellen geführt werden. Es bestehen Risiken durch psychischen Druck, Enttarnung und Einbeziehung in strafbare Handlungen.

Die vorgesehene Fürsorgepflicht verlangt eine fortlaufende Gefährdungsbewertung. Angesichts des Alters und der möglichen Einsatzmilieus besitzt die Ausnahme eine besondere grundrechtliche und staatliche Schutzdimension.


Pressefreiheit und Schutz vertraulicher Quellen


Die erweiterten Befugnisse können journalistische Kommunikation unmittelbar oder mittelbar erfassen. Besonders relevant sind Telekommunikationsüberwachung, Verkehrs- und Standortdaten, Systemzugriffe, Reiseinformationen sowie automatisierte Kontaktanalysen.

Die Pressefreiheit schützt neben der Veröffentlichung auch Rechercheprozesse, unveröffentlichte Unterlagen, redaktionelle Kommunikation und vertrauliche Quellenbeziehungen.


Ein Journalist muss nicht selbst Ziel einer Maßnahme sein. Seine Kommunikation kann als Kontakt einer beobachteten Person, als Zufallsfund oder innerhalb eines gemeinsam ausgewerteten Datenbestands erfasst werden. Bereits die Aufdeckung von Metadaten kann die Identität eines Informanten offenlegen.


Schutzregelungen für Berufsgeheimnisträger müssen deshalb auch bei mittelbarer Erfassung wirken. Erforderlich sind besondere Aussonderungsregeln, erhöhte Freigabeschwellen und wirksame Übermittlungsverbote.


Der Schutz verliert seine Wirkung, wenn Daten zunächst an ausländische Dienste weitergegeben oder in gemeinsamen Dateisystemen verarbeitet werden und erst danach als journalistisch geschützt erkannt werden.


Datenaustausch mit ausländischen Nachrichtendiensten


Der Entwurf erweitert die gemeinsame Auswertung und Nutzung von Dateisystemen mit ausländischen Nachrichtendiensten. Der BND und das BfV können dadurch Erkenntnisse schneller mit Partnerdiensten verbinden.

Diese Kooperation ist für Spionageabwehr, Terrorismusbekämpfung und Cyberlagebilder operativ relevant. Sie schafft jedoch zusätzliche Kontrollprobleme.


Ausländische Dienste arbeiten nach unterschiedlichen rechtlichen Standards. Daten können unter niedrigeren Eingriffsschwellen erhoben worden sein oder nach ihrer Übermittlung anderen Speicher- und Weitergaberegeln unterliegen.


Besondere Risiken entstehen bei fehlerhaften oder politisch beeinflussten Ausgangsdaten, Weitergabe an Drittstaaten, Verwendung für operative Maßnahmen, eingeschränkten Berichtigungs- und Löschungsmöglichkeiten sowie Verarbeitung geschützter journalistischer oder anwaltlicher Kommunikation.

Vor jeder Übermittlung müssen Herkunft, Verlässlichkeit, Verwendungszweck und menschenrechtliches Schutzniveau des Empfängers geprüft werden. Zweckbindungen müssen technisch und rechtlich durchsetzbar bleiben.

Eine einmal übermittelte Information lässt sich praktisch nur begrenzt zurückholen. Die Entscheidung über eine Auslandsübermittlung besitzt deshalb eine eigenständige Eingriffsqualität.


Kontrolle wird bei einer Behörde gebündelt


Der Unabhängige Kontrollrat soll die zentrale Rechts- und Datenschutzkontrolle der Nachrichtendienste des Bundes übernehmen. Die bisherige G-10-Kommission entfällt. Operative Kontrollzuständigkeiten der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit werden ebenfalls auf den UKRat übertragen.

Drei bislang getrennte Kontrollstränge werden damit in einer obersten Bundesbehörde zusammengeführt. Der UKRat soll besonders eingriffsintensive Maßnahmen vorab prüfen, laufende Verfahren kontrollieren und technische Systeme untersuchen.


Die Konzentration ermöglicht eine zusammenhängende Prüfung komplexer Operationen. Sie bündelt zugleich erhebliche Verantwortung in einer exekutiven Institution. Der UKRat arbeitet weisungsunabhängig und teilweise gerichtsähnlich, ist jedoch kein reguläres Fachgericht.

Seine Wirksamkeit richtet sich nach Personalstärke, technischer Expertise, Zugriff auf operative Systeme und der Befugnis, rechtswidrige Maßnahmen verbindlich zu stoppen.


Individueller Rechtsschutz bleibt nachgelagert


Nachrichtendienstliche Maßnahmen erfolgen verdeckt. Betroffene können ihre Rechte deshalb regelmäßig erst nach einer späteren Mitteilung geltend machen.

Der Entwurf erlaubt, Mitteilungen aufzuschieben oder dauerhaft zu unterlassen, wenn andernfalls Quellen, technische Fähigkeiten, internationale Kooperationen oder laufende Operationen gefährdet würden. Vor einer Mitteilung ist der individuelle Rechtsweg gegen bestimmte Ersuchen ausgeschlossen.


Der UKRat übernimmt während dieser Phase eine Ersatzfunktion. Seine Kontrolle erfolgt ohne Beteiligung der betroffenen Person. Diese besitzt keine eigene Akteneinsicht und kann keine individuelle Sachverhaltsdarstellung einbringen.


Bei dauerhaft unterbleibender Mitteilung bleiben gerichtliche Feststellung, Löschungsansprüche und mögliche Schadensersatzforderungen faktisch begrenzt. Institutionelle Kontrolle ersetzt deshalb nur einen Teil des individuellen Rechtsschutzes.


Finanzielle Dimension


Die Reform erfordert einen umfassenden Ausbau technischer Infrastruktur, Datenverarbeitung und Kontrolle.

Für den BND nennt der Entwurf mindestens 40 Millionen Euro einmalige Haushaltsausgaben und mindestens 35 Millionen Euro jährliche Haushaltsausgaben. Hinzu kommen rund 40 Millionen Euro einmaliger IT-Anpassungsaufwand, etwa 15 Millionen Euro jährliche IT-Betriebskosten und rund 20 Millionen Euro weiterer jährlicher Erfüllungsaufwand.


Beim BfV liegt der ausgewiesene Aufwand deutlich höher. Vorgesehen sind rund 94 Millionen Euro für einmalige IT-Anpassungen, etwa 51 Millionen Euro weiterer einmaliger Aufwand, rund 269 Millionen Euro jährlicher IT-Betrieb, etwa 25 Millionen Euro zusätzliche Personalkosten und rund acht Millionen Euro zusätzliche Sachkosten.


Der jährliche Mehrbedarf des BfV erreicht damit eine Größenordnung von mehr als 300 Millionen Euro. Der größte Einzelposten liegt im laufenden IT-Betrieb.

Die Reform bildet damit zugleich ein staatliches Technologieprogramm mit Schwerpunkt auf Datenhaltung, automatisierter Analyse und technischer Erfassung.


Operative Folgen


Das BfV entwickelt sich zu einer stärker technologiegestützten Zentralstelle für Inlandsaufklärung. Seine Reichweite wächst durch biometrische Identifizierung, private Datenquellen, Systemzugriffe und automatisierte Analyse.

Der BND erhält neben breiterer strategischer Erfassung eine eigene operative Wirkungskomponente. Er kann ausländische Bedrohungsaktivitäten unter gesetzlichen Voraussetzungen technisch beeinflussen und wird damit zu einem unmittelbar handelnden Element der äußeren Sicherheit.


Für die Bundeswehr steigt die Bedeutung des BND als militärischer Auslandsnachrichtendienst. Seine Erkenntnisse sollen Landes- und Bündnisverteidigung, Einsatzplanung und militärische Lagebilder unterstützen.

Private Unternehmen werden zu verpflichteten Daten- und Unterstützungsstellen. Ihre Systeme, Datenbestände und technischen Mitarbeiter werden Teil der Durchführung nachrichtendienstlicher Maßnahmen.


Für Bürger steigt die Wahrscheinlichkeit mittelbarer Erfassung. Eine Person kann in nachrichtendienstliche Datenbestände gelangen, weil sie mit einer Zielperson kommuniziert, dasselbe Fahrzeug nutzt, auf einer Videoaufnahme erscheint oder in einem verbundenen Datenbestand als Kontakt identifiziert wird.


Verfassungsrechtliche Konsequenz


Der Entwurf verlagert Nachrichtendiensttätigkeit weiter in das Vorfeld konkreter Gefahren und verbindet sie mit Befugnissen, deren Wirkung polizeilichen oder strafprozessualen Maßnahmen entsprechen kann.

Die begrenzten Interventionsbefugnisse berühren die funktionale Trennung von Nachrichtendienst und Polizei. Nachrichtendienste erheben Informationen unter niedrigeren Vorfeldschwellen, sollen künftig jedoch teilweise selbst technische Wirkungen erzeugen. Das Gesetz muss deshalb klar bestimmen, ab welcher Verdichtung einer Bedrohung der Übergang von Aufklärung zu Intervention zulässig ist.


Die strategische Inland-Ausland-Fernmeldeüberwachung bleibt an den Anforderungen des Beschlusses vom 8. Oktober 2024 zu messen. Rein innerdeutsche Telekommunikation muss soweit technisch möglich bereits bei der Erfassung ausgefiltert werden. Unvermeidbar miterfasste Inlandskommunikation verlangt unverzügliche Aussonderung und Löschung. Diese Schutzanforderungen dürfen nicht allein in technischen Dienstvorschriften geregelt werden.

Die Erweiterung der strategischen Aufklärung auf weitere über Telekommunikationsnetze transportierte Daten vergrößert den Schutzbereich. 


Nach den Maßstäben der Entscheidung „Trojaner I“ kann Artikel 10 GG auch technische Übertragungsvorgänge erfassen, die über klassische zwischenmenschliche Kommunikation hinausgehen. Maßgeblich bleibt, ob sich die besonderen Risiken einer räumlich distanzierten technischen Übertragung verwirklichen.


Telekommunikationsüberwachung, Wohnraumüberwachung, biometrische Identifizierung und Zugriffe auf private IT-Systeme verlangen präzise Eingriffsschwellen. Der Beschluss zum Hessischen Verfassungsschutzgesetz verdeutlicht, dass die zulässige Intensität einer Maßnahme an die Beobachtungsbedürftigkeit, das Gewicht des geschützten Rechtsguts und die Verdichtung der Erkenntnislage gekoppelt werden muss.


Die Verbindung von Kommunikations-, Standort-, Reise-, Zahlungs-, Fahrzeug-, Video-, Register- und Internetdaten erzeugt eine Eingriffsqualität, die über die Summe einzelner Maßnahmen hinausgeht. Der Gesetzgeber muss deshalb die kumulative Bildung von Persönlichkeits-, Kontakt- und Bewegungsprofilen eigenständig begrenzen.

Der heimliche Zugriff auf Smartphones, Computer und Cloudsysteme kann nahezu die gesamte persönliche Lebensführung erfassen. Kernbereichsschutz muss bereits während der Erhebung technisch wirksam sein. Nachträgliche Löschung entfaltet bei vorhersehbarer Erfassung intimer, familiärer oder seelsorgerischer Inhalte nur eine begrenzte Schutzwirkung.

Interventionsmaßnahmen können Systeme unbeteiligter Dritter beeinträchtigen und ausländische Hoheitsrechte berühren. Reichweite, Zielauswahl und zulässige technische Wirkung müssen daher unmittelbar im Normtext festgelegt werden.


Gezielte Fehlinformation gegenüber Bedrohungsakteuren muss ausdrücklich von staatlicher Einflussnahme auf öffentliche Kommunikation und politische Willensbildung abgegrenzt werden. Für Maßnahmen des BfV besitzt diese Grenze wegen seines Tätigkeitsfelds im Inland besondere Bedeutung.


Die BSI-BND-Weitergabe von Schwachstellen verlangt ein dokumentiertes Verfahren zur Abwägung zwischen operativer Nutzung und unverzüglicher Schließung. Eine Sicherheitslücke darf nur aufgrund einer nachvollziehbaren Risikoentscheidung zeitweise zurückgehalten werden.


Journalisten, Rechtsanwälte, Geistliche, Abgeordnete und weitere Berufsgeheimnisträger benötigen Schutz auch bei mittelbarer Erfassung, Metadatenanalyse und internationaler Weitergabe. Der Auslandsdatenaustausch verlangt verbindliche Zweckbindungen, Empfängerprüfung und Schutz vor einer unkontrollierten Weiterübermittlung.


Der Unabhängige Kontrollrat übernimmt eine zentrale verfassungsrechtliche Ersatzfunktion. Er benötigt dafür vollständigen Akten- und Systemzugang, eigene technische Prüfungsmöglichkeiten, ausreichendes Personal und verbindliche Entscheidungsbefugnisse.


Besonders verfassungsgerichtlich prüfungsanfällig sind die Vereinbarkeit technischer Interventionsbefugnisse mit der funktionalen Trennung von Nachrichtendienst und Polizei, die Aussonderung rein innerdeutscher Telekommunikation, die Bezugsgröße und praktische Begrenzungswirkung der 15-Prozent-Grenze, automatisierte Persönlichkeitsanalysen, biometrische Identifizierung, 


Zugriffe auf private informationstechnische Systeme, operative Täuschungsmaßnahmen, die Nutzung nicht geschlossener Sicherheitslücken, dauerhafte Mitteilungsunterlassungen, der Schutz von Berufsgeheimnisträgern und der Datenaustausch mit ausländischen Nachrichtendiensten.


Glossar


Aktive Maßnahmen
Journalistischer und fachpolitischer Sammelbegriff für die im Entwurf als begrenzte Interventionsbefugnisse oder aktive Schutzmaßnahmen bezeichneten Eingriffe.


Aktive Schutzmaßnahmen
Entwurfsterminologie für operative Einwirkungen, mit denen eine konkrete Bedrohungsaktivität begrenzt oder unterbrochen werden soll.


BfV
Bundesamt für Verfassungsschutz; Inlandsnachrichtendienst des Bundes.


BND
Bundesnachrichtendienst; Auslandsnachrichtendienst Deutschlands.


BSI
Bundesamt für Sicherheit in der Informationstechnik; zentrale Cybersicherheitsbehörde des Bundes.


Begrenzte Interventionsbefugnisse
Bezeichnung der Entwurfsbegründung für punktuelle operative Eingriffe der Nachrichtendienste.


Biometrischer Abgleich
Automatisierter Vergleich körperlicher Merkmale, insbesondere von Gesichtsbildern, mit vorhandenen Datenbeständen.


G-10-Kommission
Bisheriges Kontrollgremium für Beschränkungen des Brief-, Post- und Fernmeldegeheimnisses.


Informationelle Selbstbestimmung
Grundrechtliche Befugnis einer Person, grundsätzlich selbst über die Verwendung ihrer personenbezogenen Daten zu bestimmen.


IT-Grundrecht
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.


Kernbereich privater Lebensgestaltung
Absolut geschützter Bereich höchstpersönlicher und intimer Lebensvorgänge.


Strategische Aufklärung
Breit angelegte Erfassung und Auswertung grenzüberschreitender Kommunikations- und Datenströme durch den BND.


Trennungsgebot
Funktionale und organisatorische Trennung zwischen verdeckter nachrichtendienstlicher Informationsgewinnung und polizeilichem Vollzug.


Unabhängiger Kontrollrat
Weisungsunabhängige Bundesbehörde zur Rechts- und Datenschutzkontrolle der Nachrichtendienste des Bundes.


Vertrauensperson
Privatperson, die dauerhaft und verdeckt Informationen für einen Nachrichtendienst beschafft.


Zero-Day-Schwachstelle
Sicherheitslücke, für die noch kein wirksames Sicherheitsupdate verfügbar ist.


References


Bundesministerium des Innern
Referentenentwurf eines Gesetzes zur Reform des Nachrichtendienstrechts
Bearbeitungsstand: 5. Juli 2026, 17:39 Uhr
PDF-Fassung einschließlich Gesetzestext, Begründung und Anlagen


Bundesverfassungsgericht
Urteil vom 19. Mai 2020
1 BvR 2835/17


Ausland-Ausland-Fernmeldeaufklärung des Bundesnachrichtendienstes

Bundesverfassungsgericht
Beschluss vom 26. April 2022

1 BvR 1619/17

Bayerisches Verfassungsschutzgesetz


Bundesverfassungsgericht
Beschluss vom 28. September 2022
1 BvR 2354/13
Übermittlung nachrichtendienstlich erhobener personenbezogener Daten

Bundesverfassungsgericht
Beschluss vom 17. Juli 2024
1 BvR 2133/22


Hessisches Verfassungsschutzgesetz; Verfassungswidrigkeit mehrerer Datenerhebungs- und Übermittlungsbefugnisse wegen unzureichender Eingriffsschwellen und Verstößen gegen das Recht auf informationelle Selbstbestimmung
https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2024/07/rs20240717_1bvr213322.html


Bundesverfassungsgericht
Beschluss vom 8. Oktober 2024
1 BvR 1743/16 und 1 BvR 2539/16


Strategische Inland-Ausland-Fernmeldeüberwachung des BND im Bereich internationaler Cybergefahren; unzureichende gesetzliche Aussonderung rein inländischer Telekommunikation; Fortgeltung längstens bis 31. Dezember 2026 https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2024/bvg24-093.html


Bundesverfassungsgericht
Beschluss vom 24. Juni 2025
1 BvR 2466/19 – Trojaner I


Präventive Quellen-Telekommunikationsüberwachung nach § 20c PolG NRW; grundrechtlicher Schutz technisch vermittelter Datenübertragungen und Abgrenzung zwischen Artikel 10 GG und dem IT-Grundrecht  https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2025/06/rs20250624_1bvr246619.html


Bundesministerium des Innern
Informationen zum Verfahren zur Reform des Nachrichtendienstrechts


Legal Tribune Online
Fachberichterstattung zur Neuordnung des Nachrichtendienstrechts und der Kontrollarchitektur


netzpolitik.org
Analyse der Interventionsbefugnisse, strategischen Aufklärung und BSI-BND-Schwachstellenweitergabe


heise online
Technische Analyse der Cyberbefugnisse und strategischen Datenerhebung


Tagesspiegel Background
Berichterstattung zum politischen Verfahren und zu den geplanten aktiven Schutzmaßnahmen


Reuters
Berichterstattung zu Interventionsbefugnissen und operativer Täuschung der Nachrichtendienste


Handelsblatt
Berichterstattung zu aktiven Maßnahmen und Cyberbefugnissen der Nachrichtendienste

Expertise Tags (no search)
bottom of page