Karlsruhe, 25. November 2025. Ein Datum, das man sich ausnahmsweise notieren darf, ohne sich nachher dafür schämen zu müssen: Das Bundesverfassungsgericht hat per einstweiliger Anordnung eine Idee gestoppt, die so typisch deutsch ist, dass sie schon beim Lesen nach Amtsstube riecht. Nicht „typisch“ im Sinne von Gründlichkeit oder Ingenieurskunst, sondern im Sinn jener besonderen Mischung aus technischer Ahnungslosigkeit, prozessualer Hybris und moralischem Übermut, die hierzulande gern als „Ermittlungsarbeit“ verkauft wird, obwohl sie sich oft eher wie blinder Aktionismus mit Aktenzeichen anfühlt.
Der Plan war in seiner Schlichtheit fast poetisch. Man nimmt das Domain Name System, jenes unscheinbare Nervengeflecht, ohne das das Netz im Alltag nicht einmal seine Schuhe zubinden könnte, und macht daraus ein Ermittlungsinstrument. Nicht punktuell, nicht zielgenau, nicht mit der gebotenen Sparsamkeit eines Rechtsstaats, der weiss, dass Grundrechte keine Dekoration sind, sondern mit der Schaufel. Alles. Immer. Für 40 Mio. Anschlüsse. Rund 5 Mio. DNS-Anfragen pro Sekunde. Pro Monat 12’960 Mrd. Anfragen, die inhaltlich zu prüfen wären. Man muss diese Zahlen nicht einmal als Informatiker zergehen lassen. Ein gesundes Verhältnis zur Wirklichkeit reicht.1 2
Ich schreibe bewusst „inhaltlich“. Nicht „Metadaten“. Nicht „Randdaten“. Nicht „nur technische Angaben“. Wer DNS versteht, weiss: Das ist der Fingerabdruck der Internetnutzung, grobkörnig, aber aussagekräftig genug, um Interessen, Gewohnheiten, Tagesrhythmen, Kommunikationsbeziehungen und Bewegungen durch den digitalen Raum zu skizzieren. Und wer DNS nicht versteht, sollte sich mit richterlichen Anordnungen, die fast 13 Billionen Vorgänge betreffen, vielleicht zurückhalten wie ein Kleinkind mit dem Gasbrenner.
Die Ausgangslage, soweit öffentlich bekannt, liest sich wie folgt: Ein Amtsgericht in Oldenburg verpflichtete Vodafone mehrfach, sämtliche DNS-Anfragen, die an die eigenen DNS-Systeme gerichtet werden, dahingehend zu überwachen und aufzuzeichnen, ob sie die Adresse eines bestimmten, mutmasslich „inkriminierten“ Servers abfragen. Bei Treffern sollten die zur Identifizierung der Anschlussinhaber nötigen Kundendaten an die Strafverfolgungsbehörden übermittelt werden. Rechtsgrundlage: Telekommunikationsüberwachung nach § 100a Abs. 1 StPO i.V.m. § 100e StPO.
Vodafone versuchte zunächst, vor den Fachgerichten Rechtsschutz zu erhalten. Erfolglos. Erst Karlsruhe hat die Vollziehung ausgesetzt, längstens für sechs Monate, bis zur Entscheidung in der Hauptsache. Die Erfolgsaussichten der Verfassungsbeschwerde seien „mindestens offen“, was in Karlsruhe-Sprache eine sehr kontrollierte Art ist, „Euer Ernst?“ zu sagen.
Der Punkt, der mich daran nicht einmal primär erschreckt, ist die Dreistigkeit, mit der man an eine kritische Infrastruktur herantritt. Der Punkt ist das mentale Modell dahinter. DNS wird behandelt wie eine Telefonvermittlung: jemand wählt „www.irgendwas“, und die Vermittlung liefert die Nummer. Dieses Bild ist didaktisch brauchbar, solange man damit einem Laien erklärt, weshalb Webseiten überhaupt aufgehen. Dieses Bild ist toxisch, sobald man damit Grundrechtseingriffe legitimieren will, die faktisch eine Massenauswertung aller Namensauflösungen eines grossen Netzes bedeuten.
DNS ist nicht „ein Server“. DNS ist eine Kaskade. Stub Resolver auf Endgeräten, lokale Resolver in Routern, Resolver in Unternehmensnetzen, Forwarder, rekursive Resolver, Caches, TTLs, negative Caches, opportunistische Vorabfragen, Prefetching, Split Horizon, DoT, DoH, DNSCrypt, resolv.conf-Bypassing durch Apps, VPN-Tunnel mit eigenen Resolvern, und dazwischen jede Menge Implementationseigenheiten, die in der Praxis bestimmen, ob eine Anfrage überhaupt beim Provider landet oder längst vorher aus einem Cache beantwortet wurde. Wer das nicht im Kopf hat, sieht nur ein Rohr, das man anzapfen kann. Wer es im Kopf hat, sieht ein verzweigtes System, das sich nicht nationalstaatlich „verpflichten“ lässt, ohne sich der Illusion hinzugeben, das Internet sei ein grosses Inland.
Von Schleppnetzen
Man muss sich diese Anordnung als Operation vorstellen, die auf einem paradoxen Grundgedanken ruht: Ausgerechnet weil klassische Ermittlungswege im Digitalen vermeintlich schlechter greifen, soll nun die Infrastruktur selbst zum Ersatztatort erklärt werden. Nicht der Beschuldigte wird beobachtet, sondern der Weg aller. Die Massnahme trifft nicht jemanden, der unter Verdacht steht, sondern sie zieht dutzende Millionen Unbeteiligte in eine heimliche Überwachung hinein. Genau das hat Karlsruhe in der Folgenabwägung als besonders schwerwiegend markiert, weil die Betroffenen ohne Tatverdacht in die Überwachung geraten und sich dagegen mangels Kenntnis nicht wehren können.3
Hier liegt die eigentliche Obszönität: Heimlichkeit ist im Strafprozess kein Freipass, sondern ein Grund, die Schrauben anzuziehen, nicht zu lockern. Der Rechtsstaat darf nicht nach dem Motto funktionieren: „Weil niemand es merkt, kann auch niemand klagen, also können wir mehr machen.“ Das ist nicht Recht, das ist ein Trick und es ist Unrecht.
Und dann kommt die technische Seite, bei der man nicht weiss, ob man lachen oder weinen soll. Denn selbst auf der rein instrumentellen Ebene ist diese Überwachungsfantasie ein wackliges Brett.
Ein Täter mit minimaler Kompetenz schaltet einen VPN ein oder nutzt einen externen Resolver über verschlüsselte Kanäle. Die DNS-Anfragen landen nicht mehr im Blickfeld des Provider-Resolvers, oder sie werden in einer Form transportiert, die man beim Provider nicht ohne Weiteres auswerten kann, ohne den gesamten Datenpfad zu verbiegen. Damit wird die Massnahme zu einem Sieb, das vor allem eines filtert: Ahnungslosigkeit. Sie trifft die Unbedarften, die Gewohnheitsnutzer, die Personen, die sich nie Gedanken über Namensauflösung gemacht haben, weil sie andere Sorgen haben als DNS. Kriminalistische Wirksamkeit sieht anders aus.
Noch pikanter wird es, wenn man bedenkt, warum man auf diese Idee kommen könnte. In der Debatte taucht der Hinweis auf Carrier-grade NAT auf, also auf die Praxis, dass viele Anschlüsse sich eine öffentliche IP teilen, während die interne Zuordnung über private Adressen läuft. Wer dann nur IP-Logs hat, steht bei der Identifizierung schnell im Nebel. Der Reflex lautet: Dann nehmen wir halt DNS als vorgelagerten Marker, weil der Resolver unter Umständen mehr Kontext sieht. Als Ersatz für saubere Zuordnung. Als Umgehung. Als „Trick“ gegen die Physik der Skalierung.4
Das Problem daran ist nicht, dass Ermittler kreativ sind. Kreativität ist im Prinzip etwas Schönes. Das Problem ist, dass diese Kreativität auf Kosten der gesamten Bevölkerung stattfinden soll, mit einer Eingriffstiefe, die in keinem vernünftigen Verhältnis zu einer unklaren, offenbar nicht einmal besonders schweren Deliktlage steht. Selbst LTO weist darauf hin, dass laut BVerfG nicht ersichtlich sei, dass die konkret verfolgten Delikte besonders schwer wiegen, und dass andere Ermittlungsinstrumente ebenso erfolgversprechend sein könnten.5
Transbekloppt als Staatsprinzip
Die deutsche Republik entwickelt eine fast kindliche Freude am Transfer von Daten, am Extrahieren, am Kopieren, am „Ausleiten“, am „Zuführen“, am „Übermitteln“, als wäre Erkenntnis eine Frage von Datenvolumen. Mehr Daten gleich mehr Wahrheit. Mehr Schnittstellen gleich mehr Kontrolle. Mehr Protokolle gleich mehr Sicherheit.
Das ist die Logik der Transbekloppten oder vielleicht aucht Transferbekloppten?. Es ist die Logik, die schon bei der Vorratsdatenspeicherung immer wieder durchscheint, egal wie oft Gerichte sie zurechtstutzen. Man sammelt erst, man überlegt später, wenn man nicht bereits vollständig abgesoffen ist vor Billionen und Billiarden Datenpunkten. Man schafft Begehrlichkeiten, man nennt es „Instrument“. Man produziert Kollateralschäden, man nennt es „unvermeidbar“. Man nennt es – typisch deutsch – „alternativlos“. Und man wundert sich, dass das Vertrauen sinkt, als wäre Vertrauen eine Art Naturressource, die sich durch Moralappelle nachfüllen lässt.
Bei DNS kommt noch eine spezielle Ironie hinzu: DNS ist ein Infrastrukturservice, dessen Wert gerade darin liegt, dass er schnell, stabil und vorhersagbar funktioniert. Wer ihn mit Überwachungslogik anreichert, nimmt bewusst in Kauf, dass die Architektur komplizierter wird, die Fehlerfläche grösser, die Angriffsoberfläche breiter, der Betrieb fragiler. Man zwingt einen Netzbetreiber, sein System um eine Funktion zu erweitern, die nicht dem Dienst dient, sondern der Beobachtung des Dienstes. Und dann tut man so, als sei das eine harmlose Nebenaufgabe.
Vodafone argumentierte genau mit diesem Aufwand, und Karlsruhe hat das in der Folgenabwägung berücksichtigt: erheblicher organisatorischer und personeller Aufwand, Anpassung der DNS-Server-Systeme, anschliessende inhaltliche Auswertung aller Anfragen der rund 40 Mio. Kunden.
Die Pointe, die im Hintergrund lauert: Wer so etwas einmal implementiert, hat es implementiert. Der Code existiert. Die Betriebsprozesse existieren. Die Denkfigur existiert. Heute ist es „ein bestimmter Server“. Morgen sind es zwanzig. Übermorgen ist es ein Muster. Und plötzlich hat man eine Standardfähigkeit geschaffen, die man politisch nur noch „nutzen“ muss. Genau deshalb sind einstweilige Anordnungen in solchen Fällen mehr als prozessuale Zwischenmusik. Sie sind Notbremse gegen Pfadabhängigkeit.
Vom BVerfG
Das Bundesverfassungsgericht hat die Massnahme nicht endgültig gekippt. Es hat sie vorläufig gestoppt. Wer die juristische Nuance mag, kann sich daran festhalten. Wer die gesellschaftliche Nuance mag, sieht etwas anderes: Ohne Karlsruhe wären wir dabei gewesen, ein Schleppnetz im DNS zu normalisieren, legitimiert durch Fachgerichte, die entweder den technischen Unterbau nicht verstanden haben oder die verfassungsrechtliche Sprengkraft als hinnehmbar betrachteten. LTO formuliert es bemerkenswert klar: Fachgerichte billigten die damit einhergehende Massenüberwachung, Karlsruhe stoppt nun diese neue Taktik.
Heise ergänzt, dass neben dem Amtsgericht auch das Landgericht Oldenburg Teil des Instanzenzugs war und Vodafone (konkret zwei Konzerntöchter) Verfassungsbeschwerde gegen Beschlüsse von Amts und Landgericht eingelegt hat.
Karlsruhe stützt die einstweilige Anordnung auf die typische Struktur: offener Ausgang der Hauptsache, dann Folgenabwägung. Und in dieser Abwägung tauchen zwei Gewichte auf, die man in Deutschland viel zu selten in dieser Klarheit zu sehen bekommt.
Erstens der irreparable Reputationsschaden für den Provider. Das klingt auf den ersten Blick nach Konzernbefindlichkeit, ist aber in Wahrheit eine gesellschaftliche Frage: Wenn ein grosser Anbieter bekannt wird als Infrastruktur für heimliche Massenauswertung, dann verändert das Verhalten. Es verändert Vertrauen. Es veraändert Nutzung. Es treibt Menschen in technische Ausweichbewegungen. Das ist nicht bloss PR, das ist Netzsoziologie, und sie wirkt schneller als jedes Gesetz.
Zweitens die massenhaften, nicht revidierbaren Eingriffe in das Fernmeldegeheimnis der Kundschaft. Heise beschreibt, dass Karlsruhe betont, wie viele Betroffene ohne Tatverdacht in die Überwachung geraten, und dass aufgrund der Heimlichkeit weder vorbeugender noch abwehrender Rechtsschutz möglich ist. Das ist das verfassungsrechtliche Kernproblem in einem Satz.6
Wer das Fernmeldegeheimnis ernst nimmt, versteht sofort: Diese Massnahme ist nicht einfach „ein bisschen TKÜ7“. Sie ist qualitativ anders, weil sie die Infrastruktur zwingt, alle Anfragen aller Kunden zu prüfen, um wenige Treffer zu finden. Das ist keine Nadel im Heuhaufen Suche. Das ist Heuhaufenanalyse als Staatszweck.
§ 100a StPO als juristische Allzweckwaffe
Das Ganze wurde auf § 100a StPO8 gestützt, also auf die Telekommunikationsüberwachung. Der Wortlaut verlangt unter anderem, dass bestimmte Tatsachen den Verdacht einer schweren Straftat begründen, dass die Tat auch im Einzelfall schwer wiegt, und dass die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsorts sonst wesentlich erschwert oder aussichtslos wäre.
Ich halte es für intellektuell unredlich, diese Norm als Schablone für Infrastrukturmassnahmen zu verwenden, die einen erheblichen Teil der heutigen Internetnutzung in die Auswertung ziehen. Das ist, als würde man eine Hausdurchsuchungsvorschrift nehmen und damit begründen, man dürfe vorsorglich die Schlüssel aller Wohnungen der Stadt kopieren, man könnte ja später einmal eine Türe brauchen. Das ist nicht nur unverhältnismässig, es ist auch methodisch faul.
Noch delikater: Laut LTO blieb offen, um welche Straftaten es konkret ging; das BVerfG habe aber erkennen lassen, dass es sich nicht um schwere Straftaten handelte. Und Karlsruhe bemerkte, dass nicht ersichtlich sei, dass andere Ermittlungsansätze nicht ebenso erfolgversprechend sein könnten. Wer das liest, erkennt die Konturen des Problems: Man nutzt eine Norm für schwere Fülle, um ein Instrument zu erzwingen, das man offensichtlich gern als Standardfähigkeit hätte oder um sich einfach die Ermittlungsarbeit zu sparen, was wiederum ein tyisches Zeichen der Endverblödung grosser Teile der Gesellschaft widerspiegelt.
Das ist die alte Geschichte der Eingriffsbefugnisse: Sie wachsen nicht, weil die Welt objektiv schlimmer wird, sondern weil der Staat sich an neue Bequemlichkeiten gewöhnt. Jedes Mal, wenn ein technischer Hebel auftaucht, entsteht sofort die Versuchung, ihn zu verstetigen, und jedes Mal wird behauptet, man tue das nur „ausnahmsweise“. Ausnahmen sind in Deutschland ein beliebtes Dauerformat.
Mehr Daten != mehr Aufklärung
Man kann Ermittlungsbehörden nicht vorwerfen, dass sie auf digitale Spuren schauen. Man kann ihnen auch nicht vorwerfen, dass sie in Infrastrukturen denken. Wer schwerste Kriminalitöt verfolgt, muss beides können. Was man ihnen vorwerfen muss, ist die Unfähigkeit, zwischen sinnvoller Zielsuche und blindem Datenhunger zu unterscheiden.
DNS ist attraktiv, weil es niedrig hängt. Weil es in vielen Setups zentralisiert ist. Weil es Protokolltext ist. Weil es sich, je nach Architektur, relativ bequem mitschneiden lässt. Genau deshalb ist es gefährlich als staatliches Spielzeug. Denn die Bequemlichkeit verleitet dazu, sich nicht mehr um saubere Ermittlungsarbeit zu bemühen, sondern um eine Infrastruktur, die „alles sieht“.
Nur sieht sie eben nicht alles. Sie sieht nur das, was durch sie hindurchgeht. Wer seine Namensauflösung anders organisiert, entzieht sich dem Blick. Wer Caches nutzt, produziert weniger sichtbare Anfragen. Wer moderne Schutzmechanismen nutzt, verschiebt die Beobachtbarkeit. Und wer wirklich etwas zu verbergen hat, nutzt all das. Der Effekt ist banal: Die Massnahme produziert massenhaft Erfassung bei jenen, die nicht Ziel der Ermittlungen sind, und sie verfehlt die, die man eigentlich meint. Netzpolitik zitiert den eco Verband mit der Einschätzung, die Methode sei „völlig ungeeignet“ und würde faktisch die Verpflichtung aller DNS-Resolver-Anbieter verlangen, ohne dass man je den gesamten Verkehr abdecken könnte.9
Was bleibt, ist der Schaden: die Normalisierung einer Schleppnetzlogik im Alltag. Eine Behörde, die sich an so etwas gewöhnt, wird beim nächsten Mal nicht kleiner denken. Sie wird grösser denken. Und sie wird es mit denselben Phrasen rechtfertigen, die immer kommen: schwere Kriminalität, komplexe Lage, neue Zeiten, digitale Spuren. Ein Refrain für jede Gelegenheit.
Deutsche Tugenden
Es gibt Länder, in denen Technikpolitik immerhin als Technikpolitik betrieben wird, mit Expertise, mit sauberer Abwägung, mit klaren Randbedingungen. Deutschland hat sich eine andere Tradition erarbeitet: Technik ist hier oft nur Staffage für Machtfragen, und Machtfragen werden mit Technikvokabular vernebelt.
„DNS Monitoring“ klingt nach NOC10, nach Betrieb, nach Availability. In Wahrheit ist es die Forderung, einen Basisdienst der Netznutzung in ein Überwachungsinstrument zu verwandeln. „Telekommunikationsüberwachung“ klingt nach Telefon, nach klassischer Abhörlogik. In Wahrheit soll eine Norm, die für zielgerichtete Eingriffe konzipiert ist, als Rammbock dienen, um eine Massenauswertung zu ermöglichen.
Und dann wundert man sich über Misstrauen, Parallelstrukturen, Verschlüsselung, VPN, technische Selbsthilfe. Das Misstrauen fällt nicht vom Himmel. Es ist ein Ergebnis politischer Gewohnheiten.
Ich beobachte seit Jahren eine Verschiebung, die mich fast mehr ärgert als die einzelnen Massnahmen: Der Staat spricht immer häufiger wie ein Betreiber, aber er handelt wie ein Sammler. Er tut so, als gehe es um Sicherheit und Stabilität, und er zielt auf Zugriff und Kontrolle. Er nennt es „Verhältnismässigkeit“ und meint „Machbarkeit“. Und er verwechselt „Machbarkeit“ mit „Zulässigkeit“, als wäre die Verfassung ein Lastenheft.
Ich habe keine Lust, mich in die Rolle des ständig erschütterten Beobachters zu begeben, der am Ende doch nur die Schultern zuckt. Diese Pose ist in Deutschland sehr beliebt, weil sie nichts kostet. Man kann sich den ganzen Tag über „die da oben“ erregen und am Abend wieder brav seine Daten in jede Maske kippen, die irgendein Amt aufstellt, weil man ja „nichts zu verbergen“ habe. Dieses Mantra gehört zu den erfolgreichsten Selbstlügen der Nachkriegszeit.
Ich arbeite beruflich mit Infrastrukturen, die bei Fehlern nicht bloss peinlich sind, sondern teuer, gefährlich, manchmal existenziell. Wer Systeme baut oder betreibt, lernt früh: Jede Zusatzfunktion ist eine Last. Jede Zusatzlogik ist ein Risiko. Jede Schnittstelle ist ein Einfallstor. Jede Zentralisierung erzeugt Begehrlichkeiten. Der Rechtsstaat sollte denselben Instinkt haben. Er sollte das „Need to know“ Prinzip nicht nur bei Geheimdiensten predigen, sondern bei Eingriffen in zivile Infrastruktur leben.
Und genau deshalb ist dieser Fall so entlarvend. Man verlangt nicht einfach Informationen, die ohnehin anfallen. Man verlangt den Umbau einer Infrastruktur, damit Informationen in einer bestimmten Form anfallen. Das ist ein qualitativer Sprung. Wer diesen Sprung einmal akzeptiert, akzeptiert die Idee, dass der Staat technische Systeme nicht mehr nur nutzt, sondern nach seinen Überwachungswünschen formen darf. Das ist die Saat für eine Architektur der Kontrolle.
Ausblick
Die einstweilige Anordnung ist eine Atempause, keine Befreiung. Die Denke, die zu dieser Anordnung geführt hat, bleibt im System. Und sie wird wieder auftauchen, vielleicht mit anderem Etikett, vielleicht mit anderem Protokoll, vielleicht mit dem nächsten Schlagwort, das in einer Ministeriums-Präsentation gut aussieht.
Der Fall zeigt dennoch etwas, das man nicht kleinreden sollte: Karlsruhe ist hin und wieder noch erreichbar. Der Realitätskontakt ist nicht vollständig gekappt. Ein Gericht hat verstanden, dass fast 13 Billionen DNS-Anfragen pro Monat nicht „ein Ermittlungsdetail“ sind, sondern eine systemische Zumutung, technisch wie verfassungsrechtlich.
Wer Infrastruktur wie ein Fangnetz behandelt, bekommt am Ende ein Netz, das reisst, und eine Gesellschaft, die sich aus Selbstschutz in Schattenzonen zurückzieht. Das ist nicht Sicherheit. Das ist Zerfall, nur eben prozessiert.
- https://www.lto.de/recht/nachrichten/n/1bvr231725-bverfg-internetprovider-erwirken-einstweilige-anordnung-dns-monitoring ↩︎
- https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2025/11/rk20251125_1bvr231725.html ↩︎
- https://www.heise.de/news/Beschwerde-Karlsruhe-stoppt-umstrittene-DNS-Ueberwachung-einstweilig-11109302.html ↩︎
- https://netzpolitik.org/2025/dns-massenueberwachung-das-war-dringend-notwendig-diese-neue-idee-einer-schleppnetzfahndung-im-internet-abzuwenden/ ↩︎
- https://www.lto.de/recht/nachrichten/n/1bvr231725-bverfg-internetprovider-erwirken-einstweilige-anordnung-dns-monitoring ↩︎
- https://www.heise.de/news/Beschwerde-Karlsruhe-stoppt-umstrittene-DNS-Ueberwachung-einstweilig-11109302.html ↩︎
- https://de.wikipedia.org/wiki/Telekommunikations%C3%BCberwachung ↩︎
- https://www.gesetze-im-internet.de/stpo/__100a.html ↩︎
- https://netzpolitik.org/2025/dns-massenueberwachung-das-war-dringend-notwendig-diese-neue-idee-einer-schleppnetzfahndung-im-internet-abzuwenden/ ↩︎
- https://de.wikipedia.org/wiki/Network_Operations_Center ↩︎