So sehr man verstehen kann, dass Frau Leutheusser-Schnarrenberger nicht wieder von einem Ministeramt zurücktreten will, weil ihr persönlich aufrichtiges Bemühen um den Erhalt bürgerlicher Freiheiten keine Mehrheit in ihrer Regierungskoalition findet: Mit ihrem Eckpunktepapier und dem darin vorgestellten Konzept des „Quick Freeze plus“ tut sie ihrer Sache und der Diskussion um Grenzen der Überwachung des Internet im Ergebnis leider keinen Gefallen. Lachender Dritter dürften die Befürworter einer möglichst weitgehenden Vorratsdatenspeicherung sein. Aber nicht nur diesbezüglich erweist sich ihr Eckpunktepapier als „Wolf im Schafspelz“. Eine erste, sehr kritische Analyse.
Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) hat sich – wenn auch für Teilnehmer der Anhörung des Bundesministeriums der Justiz (BMJ) im letzten Jahr wenig überraschend – wie zuvor schon der Bundesdatenschutzbeauftragte Peter Schaar (http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/zwei-wochen-lang-alles-speichern/) nunmehr auch öffentlich in einem Interview mit der Süddeutschen Zeitung für das Verfahren „Quick Freeze Plus“ ausgesprochen (http://www.sueddeutsche.de/politik/justizministerin-im-sz-gespraech-es-darf-nicht-uferlos-gespeichert-werden‑1.1047230).
Bei diesem auch als „Vorratsdatenspeicherung light“ (+ Schockfrosten) bekannten Ansatz sollen alle Telekommunikationsunternehmen (TK-Unternehmen) verpflichtet werden, IP-Verbindungsdaten zumindest einige Tage verdachtsunabhängig zu speichern, auch wenn diese nicht für Abrechnungszwecke erforderlich sind. Soweit vor Ablauf der sieben Tage den Providern ein „Sicherungsantrag“ durch Polizei und Staatsanwaltschaften zugerufen wird, sollen sie durch das neue Gesetz verpflichtet werden, die darin näher bezeichneten Daten kundenbezogen länger zu speichern, bis innerhalb einer weiteren Frist durch ein Gericht entschieden ist, ob diese an den Sicherungsantragsteller herauszugeben, andernfalls zu löschen sind (vgl. Eckpunktepapier http://www.bmj.de/SharedDocs/Downloads/DE/pdfs/eckpunktepapr_zur_sicherung_vorhandener_verkehrsdaten).
Gegner der Vorratsdatenspeicherung (VDS), die sich gemeinsam mit der damals noch oppositionellen Abgeordneten Leutheusser-Schnarrenberger gegen die Bestimmungen des Telekommunikationsgesetzes erfolgreich vor dem Bundeverfassungsgericht (BVerfG) beschwert hatten, kritisieren ihre Pläne scharf: Das geplante Modell würde nicht der gewünschten Begrenzung der ja europarechtlich weiterhin zur nationalen Umsetzung gebotenen VDS unter dem vom BVerfG verordneten strengen Regime dienen, sondern könnte im Ergebnis Anzahl und Ausmaß der anlasslosen Überwachungen der Internetnutzer und die Belastung der verpflichteten Unternehmen vielmehr noch erhöhen (http://www.heise.de/newsticker/meldung/Justizministerin-fuer-Vorratsdatenspeicherung-light-1170207.html). Wenn nicht sogar das wirkliche Ziel der Ministerin, so doch das Ergebnis ihres „Quick Freeze Plus“ wäre es, die Position der Urheberrechtsinhaber und ihrer Auskunftsansprüche zur zivilrechtlichen Rechteverfolgung zu stärken. Der AK Vorratsdatenspeicherung, der in der FDP-Ministerin bisher immer eine Verbündete gesehen hatte, reagiert jedenfalls offensichtlich entsetzt auf die Vorschläge „seiner“ Ministerin (http://www.vorratsdatenspeicherung.de/images/brief_bminj_2011-01–17_anon.pdf ).
Ob sich insbesondere letztere Befürchtungen bestätigen oder sich vielmehr das geplante Gesetz am Ende doch als „nichts im Vergleich zu dem Aufwand, der nach der Vorratsdatenspeicherung anfiel“ erweist, wie die Bundesjustizministerin im Interview beteuert, wird man sicherlich erst nach Kenntnis des genauen Wortlauts des Gesetzentwurfes exakt bestimmen können.
Fest steht für mich jedoch bereits nach Analyse des sechseitigen Papiers und der Gespräche mit den Verantwortlichen in Regierung und Opposition:
In Sachen Vorratsdatenspeicherung hat sich die Bundesjustizministerin unter aktivem Zutun einiger VDS-Gegner und Datenschützer – wenn auch sicherlich in nobler Absicht, aber dennoch ohne Not – ganz tief in eine politische Sackgasse hineinmanövriert. Bei der sie am Ende wahrscheinlich selbst nicht mehr so richtig wusste, wie sie ohne Gesichtsverlust heraus- und schlussendlich noch zu einer auch von der CDU/CSU politisch akzeptierten Lösung kommen soll. Die Befürworter weiter Regelungen zur Telekommunikationsüberwachung aus anderen Ministerien und Behörden hatten das schon vor geraumer Zeit erkannt. Die feixten bereits in der Anhörung des Ministeriums Ende September ganz offen über die engagierte Bürgerrechtlerin und ihre offensichtlich an den Zielkonflikten verzweifelnden Mitarbeiter. Und sie sagten bereits ihr „Umfallen“ in der Frage der Speicherung von Daten auf Vorrat voraus.
Das was Leutheusser-Schnarrenberger nun aber als ihre politische Lösung präsentiert, geht über meine Befürchtungen weit hinaus. Es könnte sich im Ergebnis für Bürgerrechte und Telekommunikationsindustrie als belastender erweisen, als die vom Bundesverfassungsgericht aufgehobenen Vorschriften. Denn bislang offensichtlich unbemerkt auch von vielen Kritikern, soll laut dem Eckpunktepapier nicht nur die Möglichkeit einer (wenn auch zeitlich deutlich begrenzteren) anlasslosen Speicherung von IP-Adressen eröffnet werden, sondern werden zugleich auch die Möglichkeiten der auch nur auf einen abstrakten Verdacht hin bezogenen Überwachung aller Bürgerinnen und Bürger ganz erheblich ausgeweitet! Die Eckpunkte der Ministerin erweisen sich für mich bei näherer Betrachtung wie der sagenhafte „Wolf im Schafspelz“:
1. Datenspeicherung bei konkretem Tatverdacht? Gibt es schon, was soll das also?
Selbstverständlich kann der Staat heute schon bei hinreichendem Verdacht und auf richterlichen Beschluss im Rahmen des §100a StPO (http://www.juraforum.de/gesetze/stpo/100a-ueberwachung-der-telekommunikation) alles an Telekommunikation (TK) überwachen und beauskunftet bekommen, was es überhaupt so bei einem TK-Unternehmen an Daten über seinen Kunden gibt. Einschließlich der gespeicherten Verbindungsdaten eines Anschlusses oder des gesamten Internet- und sonstigen Datenverkehrs eines konkret Verdächtigten. Die gesamten TK-Verkehre werden in einem solchen Fall vom zwangsverpflichteten Unternehmen über eine vorgegebene Schnittstelle an die Behörden ausgeleitet und können dann dort natürlich auch „auf Vorrat“ gespeichert und später in aller Ruhe ausgewertet werden (wenn sie es denn überhaupt technisch können…). Diesen Teil der Telekommunikationsüberwachung hat auch das Bundesverfassungsgericht nicht für problematisch gehalten. Mit anderen Worten: Bei Vorliegen eines hinreichenden Verdachts einer der „Katalogtaten“ bedürfte es überhaupt keines „Quick Freeze“ oder irgendeines sonstigen neuen Gesetzes.
Der Abschnitt I des Eckpunktepapieres beschreibt unter der Überschrift „Sicherung vorhandener Verkehrsdaten“ insoweit keinen „Fortschritt“ hin zu weniger Überwachung, sondern erweist sich vielmehr insoweit als sehr problematisch, als er die bisherigen formalen Schwellen der Anordnung einer verbindungsdatenbezogenen Teilnehmeranschlussüberwachung senken und zugleich die Reichweite der Verpflichtungen und den Aufwand der betroffenen Unternehmen erhöhen will. Anstatt einen gerichtlichen Beschluss vorlegen und selbst für Speicherung und Verarbeitung der ausgeleiteten Daten sorgen zu müssen oder sich ansonsten mit dem zu begnügen, was das verpflichtete Unternehmen an Informationen schon verarbeitet und gespeichert hat, dürften die Ermittler sich darüber sehr freuen. Schon aus ökonomischen Gründen könnten sie zukünftig stets nur noch mit Hilfe der kostengünstigeren und bequemeren „Sicherungsanordnung“ arbeiten, wenn sie Daten haben wollen, die sich nicht schon aus einer Rechnungskopie ergeben und am Inhalt einer Kommunikation kein Interesse haben. Eine aufwendigere richterliche Verfügung beantragen und begründen zu müssen, wie es bislang gesetzlich vorgesehen ist, soll ja gerade nicht mehr erforderlich sein, um das verpflichtete Unternehmen zu Aufwendungen zu zwingen.
Eine andere sachliche Notwendigkeit für ein „Quick Freeze“ im Bereich anlassbezogener Überwachung und „Sicherung vorhandener Verkehrsdaten“ gibt es dagegen eigentlich nicht: Die Umsetzungen der verdachtsbezogenen Telekommunikationsüberwachung ist heute nämlich schon hinreichend gesetzlich geregelt, erfolgt weitgehend zentralisiert und die Verfahren sind eingespielt. Auskunfts- und Überwachungsanordnungen der Gerichte werden in der Praxis, wo nötig, innerhalb Stundenfrist umgesetzt. Problematisch ist aus Sicht des Staates einzig, dass er die Kosten dafür weitgehend selbst zu tragen hat und häufig gar nicht in der Lage ist, die Mengen an Daten irgendwie sinnvoll zu verarbeiten, die er sich in seine Polizeistationen ausleiten lässt, weil er an der nötigen Technik und eigenem Know-how spart.
2. Quick Freeze bedeutet mitnichten Datenvermeidung
Datenvermeidung funktioniert in der digitalen Welt nicht so recht, auch wenn es so manche Datenschützer immer noch nicht wahrhaben wollen: Ohne Übermittlung und (Zwischen-) Speicherung von Daten wie Rufnummern und IP-Adressen funktioniert Telefonie oder Internet schlicht nicht. Insoweit erweist sich die digitale Technik niemals als völlig „datenschutzkonform“. Will man dennoch nicht ganz darauf verzichten, kann man allein darüber diskutieren, wie lange anfallende Daten gespeichert und wie schnell sie gelöscht werden. Und vor allem, ob die in der Telekommunikation aus technischen Gründen zwangsläufig anfallenden Rohdaten überhaupt mit den Stammdaten eines Nutzers zusammengeführt und nach dieser „Hochzeit“ aus nur theoretisch „personenbeziehbaren“, echte „personenbezogene“ Daten eines Bürgers werden.
Früher haben TK-Anbieter und Internet-Provider Daten wie die Dauer einer Internetverbindung, Traffic-Volumen und dynamische IP-Adressen ihrer Kunden zum Zwecke der Rechnungsstellung verarbeiten und speichern müssen. Nach der schrittweisen Umstellung auf Flatrate-Tarife wurden diese weiterhin anfallenden Rohdaten für das „Billing“ der Kunden aber nicht mehr benötigt, aber dennoch meist standardmäßig weiterhin gespeichert, wenn auch nicht mehr für die Abrechnung aufbereitet und daher auch nicht mehr mit den Adressdaten des Kunden zusammengeführt. Hintergrund war, dass die IT-Verantwortlichen in den Unternehmen diese Daten meist von sich aus für die Bekämpfung von „Fraud“ (Betrug zu Lasten des TK-Unternehmens) und aus Angst vor (technischen) Missbräuchen, zur SPAM- und Virenbekämpfung und aus ähnlichen Gründen schlicht erst einmal besser noch eine Weile behalten wollten. Förmliche Anweisung zur Speicherung der Rohdaten gab es in den wenigsten der Unternehmen. Die Tabellen wurden in der Praxis daher manchmal natürlich auch erst Monate später gelöscht, wenn der Speicher einfach voll lief und jemand in der IT den Speicherplatz wieder brauchte…
Ohne dass solche Rohdaten in den meist monatlich stattfindenden „Billing-Läufen“ der TK-Unternehmen oder in Tabellen für Einzelverbindungsnachweise einfließen, ist aber beispielsweise die Zuordnung dynamischer IP-Adressen zu einzelnen Nutzern regelmäßig nur nach aufwendiger „händischer“ Bearbeitung möglich und wurde daher mit Ausnahme weniger Einzelfälle nach meiner persönlichen Erfahrung nur äußerst selten vorgenommen. Anfragen von Urheberrechteinhaber konnten jedenfalls schon deswegen nicht beantwortet werden, weil die Rohdaten ohne vorherige Verarbeitung (der „Hochzeit“ mit den Stammdaten des Kunden) eben nicht zu (Bestands-) Daten werden, die herauszugeben wären. Auch diesbezüglich täuscht m.E. das Eckpunktepapier der Ministerin in der Einleitung zu II. Abschnitt über die Tatsachen.
Im Eckpunktepapier wird in I. 3. nunmehr aber einfach behauptet, dass alle von der EU-Richtlinie genannten Datenarten (so ausdrücklich I.8.) von den TK-Unternehmen heute schon zu geschäftlichen Zwecken gespeichert würden. Das aber ist überhaupt nicht zwingend der Fall. Denn Daten die beispielsweise im „Switch“ (Vermittlungsstelle) als Rohdaten zwangsläufig anfallen, sind nämlich ohne bewusste weitere Verarbeitung meist überhaupt nicht identisch mit den Daten, die von der Behörde als Auskunft erwartet werden. Darauf aber nimmt das Eckpunktepapier jedoch nicht etwa im Sinne eines „Best-Effort“-Ansatzes Rücksicht, sondern verpflichtet nach I.4. „die potentiell betroffenen TK-Diensteanbieter“ vielmehr, „auf eigene Kosten Vorkehrungen zu treffen, damit eine Sicherungsanordnung“ entsprechend der Wünsche der anfragenden Behörde „schnell und effektiv […] umgesetzt“ werden kann. Mit anderen Worten: Selbst bei Daten, die vielleicht aus technischen Gründen und damit schon im Sinne des I.3 anfallen, aber für sich noch nicht kundenrelevant sind, müssen sich die Unternehmen künftig auf „Sicherungsmaßnahmen für diese Datenarten einrichten“ und die Rohdaten dazu auch ohne konkrete Sicherungsanordnung künftig laufend kundenbezogen verarbeiten.
3. BGH bestätigte grundsätzliches Gebot der Datenlöschung
Eines der wenigen Unternehmen, dass bereits in der Vergangenheit auch noch nach Umstellung auf Flatrate-Tarife seine Rohdaten zumindest hinsichtlich dynamischer IP-Adressen weiterhin kundenbezogen verarbeitet hat, war T‑Online, der Internet-Provider der Deutschen Telekom (DTAG): In Darmstadt erteilte man daher auch noch entsprechende Auskünfte über die Identität des Nutzers einer dynamischen IP-Adresse, während dieses woanders schon längst nicht mehr verarbeitet wurde. Zehntausende von Kunden der DTAG bekamen daraufhin Abmahnungen wegen angeblichen „Filesharings“, während die Kunden anderer Unternehmen unbehelligt blieben. Wie zu erwarten war, kam es daraufhin zum Eklat: Der BGH bestätigte 2006 (auf Betreiben u.a. von RA Patrick Breyer vom AK Vorrat) das Verbot einer Speicherung aller nicht abrechnungsrelevanten Daten (siehe http://www.heise.de/newsticker/meldung/BGH-bestaetigt-Urteil-zur-Loeschung-von-IP-Adressen-115338.html). IP-Adressen sie danach aufgrund fehlender anderer gesetzlichen Regelungen unmittelbar nach Ende der Verbindung zu löschen.
Anders als in den USA und in anderen Ländern, wo es keinen vergleichbar strengen datenschutzrechtlichen Grundsatz der Löschung gibt, dürfen in Deutschland solche Daten eben ohne rechtliche oder vertragliche Erlaubnis oder besondere Notwendigkeit nicht aufbewahrt werden. Aber nur deswegen funktioniert „Quick Freeze“ in den USA auch problemlos und weitgehend konfliktfrei (ein Umstand, den freilich selbst manche Datenschützer zu übersehen scheinen, vgl. nur den Beitrag von Thilo Weichert http://www.lto.de/de/html/nachrichten/350/Schnell-einfrieren-statt-lange-speichern/). Denn dort werden die sowieso zahlreich von den Unternehmen zu eigenen Zwecken „auf Vorrat“ gespeicherten und z.B. bereits zu Marketingszwecken personenbezogen aufbereiteten Kundendaten auf behördlichen Zuruf hin einfach länger aufbewahrt und ggfs. auch für weit vergangenen Zeiträume herausgegeben. Die Unternehmen bestimmen dort weitgehend selbst, was sie über ihre Kunden wissen und speichern wollen. Die nach dem Urteil des BVerfG (http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg10-011) wieder aktuelle Rechtslage und auch Praxis in Deutschland ist gegenüber den USA aber eine (glücklicherweise) ganz andere: Rechtstreue Unternehmen speichern und verarbeiten (!) – anders als es das Eckpunktepapier des BMJ in I.3. suggerieren will – nach Aufhebung der Regelungen zur VDS weder SMS-Verbindungsdaten noch Telefon- oder Internet-Verbindungsdaten oder sonstiges auf Vorrat, wenn sie wegen ihrer Tarifmodelle nicht zu Abrechnungszwecken oder aufgrund von ausdrücklichen Kundenwünschen (wie Einzelverbindungsnachweise) nötig sind. Und selbst wenn diese Daten „z.B. für sog. Terminierungsentgelte bzw. Wholesale- oder Inter-Carrier-Abrechnungen“ weiterhin anfallen, müssen und werden sie bislang nicht (mehr) mit den Daten der Kunden „verheiratet“, sondern lediglich summenmäßig für das „Netting“ zwischen den unterschiedlichen TK-Unternehmen erfasst und verarbeitet. (sprich: „Ich habe Dir in Deinen Nummernraum drei Millionen Minuten übergeben, Du mir zwei Millionen terminiert, also muss ich Dir noch für eine Million Minuten das vereinbarte/regulierte Entgelt bezahlen“).
Anders als in den USA verhalten sich die meisten TK-Unternehmen in Deutschland entsprechend der Anforderungen des deutschen Datenschutzes insoweit wesentlich „datensparsamer“ und sind die für Überwachungsmaßnahmen gewünschten Daten ganz entgegen der Unterstellungen des Eckpunktepapiers eben auch nicht „aus geschäftlichen Gründen bereits vorhanden“. Was die Autorin des Papiers damit vielmehr offensichtlich zu vertuschen versucht, ist nicht weniger, als dass zur Erfüllung der Quick-Freeze-Verpflichtung die Unternehmen außerhalb der normalen Billing- und Betriebsabläufe zu zusätzlicher (auch kostenmäßig belastenden) Datenverarbeitung von Rohdaten gezwungen werden sollen. Damit überhaupt etwas, was sich in der Vergangenheit ereignet hat, auf Zuruf in geeigneter, also personenbezogen eingefroren werden kann, müssen nämlich verdachtsunabhängig laufend die Rohdaten, die diese Person erzeugt, zumindest soweit laufend mit ihren Stammdaten „verheiratet“ werden, damit überhaupt etwas da ist, was dann auf Zuruf „schockgefroren“ werden kann.
Das eigentlich geltende Datenlöschungsgebot wird damit aufgehoben, die Vorratsdatenspeicherung über den simplen Trick der Ausdehnung der Definition, was vorgeblich gem. § 96 TKG zu geschäftlichen Zwecken mindestens für interne Abrechnungen bei den Unternehmen schon gespeichert wäre, für alle Bereiche und nicht nur IP-Adressen eingeführt. Ohne gesetzlich eindeutige zeitliche Grenzen, vielmehr sollen – wie es I.3. impliziert – sogar mehr als sechs Monate erlaubt sein.
4. Sonderweg der Deutschen Telekom
Der DTAG passte das damalige Urteil des BGH schon 2006 nicht und T‑Online bekam auf eigene Bitten vom Bundesdatenschutzbeauftragten Peter Schaar zur allgemeinen Überraschung die „Erlaubnis“, die „Unmittelbarkeit“ einer Löschung mit einer Woche zu definieren, insbesondere Zuweisungen für IP-Adressen erst sieben Tage nach Ende der Verbindung löschen zu müssen (http://www.heise.de/newsticker/meldung/Datenschuetzer-haelt-siebentaegige-Speicherung-von-Verbindungsdaten-fuer-angemessen-150197.html). Soweit noch vorhanden, waren und sind diese IP-Daten dann auch auf Anordnung herausgeben, wenn rechtzeitig eine berechtigte Anfrage vorliegt.
Das fanden vor allem die Rechtsvertreter der Musikindustrie grundsätzlich eine prima Idee – aber eine viel zu kurze Frist, für die aus ihrer Sicht zu „lahmen“ Richter und Staatsanwälte. Firmen wie die Schweizer Logistep AG überschütteten die TK-Unternehmen daher mit tausendfachen „Quick Freeze“-Sicherungsanfragen nach US-Vorbild. Dem konnten sich die Unternehmen, wenn sie – anders als T‑Online nicht bereit waren, zu diesem Zweck Daten ihrer Kunden herauszurücken – aber zumindest dadurch entziehen, dass sie dem BGH-Urteil folgend und entgegen Peter Schaars Erlaubnis wirklich alle (Roh-) Daten eines Flatrate-Kunden konsequent und sofort nach Ende der Datenverbindung löschten. Das mussten sie aber manchmal auch schon deswegen tun, weil etliche Landesdatenschutzbeauftragte die sieben Tage Speicherzeit von Peter Schaar nicht als „unmittelbare Löschung“ im Sinne des BGH nachvollziehen wollten und – je nach Bundesland des jeweiligen Unternehmenssitzes – auf echte „sofortige“ Löschung der (Roh-) Daten sofort nach Ende der Datenverbindung bestanden. Da es damals (und heute wieder) keine Speicherungsverpflichtung im Gesetz gab, bestand zudem auch keine Berechtigung der Internet Service Provider, die anfallenden Rohdaten mit den Kundendaten aufzubereiten und an Massenabmahner herauszugeben, auch dann nicht, wenn sie eine „Quick-Freeze“ Speicherung verlangten und/oder sich erst nach Ende der Verbindung und somit nach Löschung der Daten meldeten (siehe http://www.heise.de/newsticker/meldung/Juristische-Niederlage-fuer-Strafanzeigen-Maschinerie-gegen-P2P-Nutzer-158274.html).
Unternehmen wie die Logistep AG könnten daher tatsächlich die größten Gewinner der geplanten Neuregelung sein. Denn geht es nach dem Eckpunktepapier werden künftig flächendeckend Datensätze vorhanden sein, deren Beauskunftung sie beantragen können, bzw. über deren Sicherungsanordnung noch nicht mal mehr ein Gericht entscheiden muß.
5. Auskunftsanspruch für „Filesharing-Abmahner“
Selbst nach Umsetzung der EU-„Enforcement“-Richtlinie bekamen die Inhaber von geistigen Schutzrechten in Deutschland bislang zwar einen recht weitgehenden eigenen richterlichen Auskunftsanspruch zugewiesen, jedoch auch nach den Regelungen der aufgehobenen VDS keinen Anspruch darauf, dass die TK-Unternehmen für sie auf Vorrat gespeicherte Daten herausgeben mussten, geschweige denn extra verarbeiten und speichern. Bis heute müssen sich die Rechteinhaber also mindestens beeilen, dass noch überhaupt irgendwelche Daten vorhanden sind, die sie mit einem (zivilrechtlichen) Gerichtsbeschluss sichern und heraus verlangen können. Dass ihnen dazu grundsätzlich sieben Tage genügen belegen die annähernd zweihundertausende Adressen, zu deren Sicherung die DTAG pro monatlich offenbar auf ihr Betreiben hin verurteilt wird (http://www.fr-online.de/politik/in-den-faengen-der-abmahnindustrie/-/1472596/5043408/-/index.html).
Damit wird genau das vorweggenommen, was die geplante Sicherungsanordnung zukünftig generell bewirken könnte: Überall und nicht nur die DTAG dürfte zukünftig massenhafte „Sicherungsanordnungen“ erhalten, aufgrund derer sie hunderttausende Kundendaten viel länger als sieben Tage zur Beauskunftung wird vorhalten müssen.
6. Egal ob schockgefrostet oder aufgewärmt – warum überhaupt die VDS?
Ob es aber jenseits der Verfolgung von Urheberrechtsverletzungen überhaupt ein wirkliches Bedürfnis nach Identifikation von Nutzern anhand ihrer IP-Adressen im Rahmen einer wie auch immer genannten VDS gibt, ist umstritten. Nach Ansicht der Gegner der VDS überwiegt in jedem Fall der gesellschaftliche Schaden den Nutzen (http://www.vorratsdatenspeicherung.de/images/brief_bminj_2011-01–17_anon.pdf).
Das BVerfG jedoch räumt jedenfalls für Ermittlungen im Bereich der Schwerstkriminalität und anderer erheblicher Delikte – wenn auch in deutlich engeren Grenzen als bei dem von ihm aufgehobenen Gesetz – dem Gesetzgeber weiter die Möglichkeit ein, die Daten nahezu aller Bürger auch ohne konkreten Verdacht auf Vorrat speichern zu lassen. Denn wenn es Ermittlungsansätze außerhalb der (dynamischen) IP-Adresse nicht (mehr) gibt, kann es natürlich zur Bekämpfung von Straftaten erforderlich sein, zumindest für einen begrenzten Ausschnitt der Vergangenheit wenigstens die IP-Adressen nachträglich einer ansonsten nicht identifizierbaren, einer konkreten Straftat verdächtigen Person, namentlich zuordnen zu können. Jedenfalls dann, wenn ohne dieses Instrument die Rechtsdurchsetzung im Internet ansonsten generell leerzulaufen droht.
Vielfach wird hiergegen eingewandt, man könne in anderen Ländern auch ohne Vorratsdatenspeicherung die Täter ermitteln. Man solle bei Fällen wie z.B. EBAY-Betrügereien nicht auf die TK-Daten schauen, sondern das konkrete Nutzerverhalten und so die Identität ausermitteln. Auch hier wird oftmals auf das Beispiel USA verwiesen. Aber: Anders als in anderen Staaten muss in Deutschland die anonyme und pseudonyme Nutzung von Internetdiensten nach §13 TMG ausdrücklich ermöglicht werden. Außerhalb des Urheberrechts und des UKlaG besteht zudem kein Auskunftsanspruch z.B. gegen einen Webseitenbetreiber über die bei ihm gespeicherten Teilnehmerdaten eines böswilligen und andere schädigenden Nutzers. Diese sind vom Diensteanbieter von den Nutzungs- und Personendaten zu trennen und grundsätzlich nach Beendigung der Nutzung zu löschen. Anders als in den USA ist es daher regelmäßig in Deutschland auch nicht möglich – selbst nicht durch Gerichtsbeschluss – vom Betreiber eines Internetforums die ihm vielleicht bekannten Daten eines Nutzers z.B. für eine Verleumdungsklage heraus zu verlangen. Anstatt wie in den USA üblich unmittelbar gegen den Täter vorgehen zu können, wird man vielmehr zwangsläufig auf den Webseitenbetreiber als „Verbreiter“ verwiesen, der sich dann aber regelmäßig über seine subjektiv nicht vorhandene Verantwortlichkeit für rechtswidrige Inhalte Dritter beschwert. Und selbst bei schweren Straftaten ist die Identität hinter einer dynamischen IP-Adresse in Deutschland nicht ohne ein Auskunftsersuchen an das jeweilige TK-Unternehmen zu ermitteln.
Das Bundeskriminalamt (BKA) beklagt somit in der politischen und fachlichen Debatte mit nicht ungeschickt, dass es die allergrößten Fallzahlen an Internetstraftaten seit Wegfall der VDS überhaupt nicht mehr bearbeiten könnte. Dabei handele es sich nicht um Fälle der Verbreitung von Kinderpornographie, wie es auch das Eckpunktepapier wieder suggeriert, sondern Kreditkarten- und Konto-Betrug, sog „Phishing“-Fälle. Die Behörde bekäme nach eigenen Angaben aus dem Ausland zu tausenden die IP-Nummern von in Deutschland geknackten Rechnern übermittelt, die sie als Teil eines „Bot-Netzes“ operieren, ohne dass die Opfer davon überhaupt wissen. Man könne die Betroffenen aber auch nicht warnen und damit das „Bot-Netz“ und die Betrügereien auch nicht wirksam stoppen, da man zwar die (dynamische) IP-Adresse des missbrauchten Anschlusses habe, aber ohne VDS eben nicht (mehr) den Teilnehmer, der insoweit Opfer und (unwissentlicher) Täter zugleich ist, ermitteln könnte. Da es sich bei diesem Beispiel um eine Katalogstraftat handelt, wäre die Nutzung von Vorratsdaten für die Ermittlungen auch nach Maßstab des BVerfG-Urteils uneingeschränkt möglich – vorausgesetzt es würden künftig überhaupt dynamische IP-Daten bei den TK-Unternehmen gespeichert.
Weder die Ministerin und mit ihr auch nicht die schärfsten Kritiker der VDS vermochten bislang solchen Beispielen nichts entgegenzusetzen, was auch eine Mehrheit in den Regierungsfraktionen und der Öffentlichkeit davon überzeugt hat, ganz generell über die Grenzen der Überwachung nachzudenken und nicht alle Möglichkeiten zu nutzen, die technisch vielleicht an Überwachung denkbar sind. Die gleiche Mehrheit, die sich zugleich für immer schärfere Datenschutzbestimmungen ausspricht. Das aber führt zwangsläufig zu einem höchst paradoxen Ergebnis, wie es Kollege Thomas Stadler zutreffend beschreibt: „Weil wir ein so strenges Datenschutzrecht haben und es auch fast nirgendwo so eng ausgelegt wird, beklagen sich die Strafverfolgungsbehörden über Ermittlungslücken, was konservativen Sicherheitspolitikern wiederum als Argument für die Wiedereinführung der Vorratsdatenspeicherung dient. Das Datenschutzrecht fordert aber genau das Gegenteil dessen, was die Vorratsdatenspeicherung will. Datenvermeidung und Datensparsamkeit sind die obersten gesetzlichen Ziele des Datenschutzrechts, während die Vorratsdatenspeicherung darauf abzielt, Unmengen von personenbezogenen Daten anzuhäufen.“ http://www.internet-law.de/2011/01/der-zusammenhang-von-vorratsdatenspeicherung-und-datenschutz.html
7. Datenschutzrechtliche Änderungen in jedem Fall zwingend notwendig
Gleichgültig wie man grundsätzlich zur Vorratsdatenspeicherung stehen mag: Um den vom BKA angemeldeten Ermittlungsbedarf zu decken, wäre in jedem Fall eine Änderung der bestehenden (datenschutzrechtlichen) Beschränkungen nötig. Entweder auf Ebene des Diensteanbieters oder in der darunter liegenden Ebene beim TK-Unternehmen. Der vom Eckpunktepapier eingeforderten laufenden Verarbeitung von Rohdaten und ihre Aufbereitung und Speicherung zum Zwecke einer Sicherung auf Zuruf, bedürfte es aber selbst dann nicht zwingend. Denn auch eine Speicherung lediglich von Rohdaten für einen begrenzten Zeitraum würde in schwerwiegenden Fällen bereits hinreichend die Identifizierung von Tätern und Opfern erlauben. Denn vor dem Urteil des BGH im Jahr 2006 und der strikten Durchsetzung der Löschungsverpflichtung durch die Datenschützer, waren die IT-Verantwortlichen in den Unternehmen selbstverständlich im Einzelfall bereit, eine manuelle Auswertung von vorhandenen Rohdaten vorzunehmen, um der Polizei zumindest einige Auskünfte erteilen zu können. Demgegenüber erweist sich das auch vom Bundesdatenschutzbeauftragten präferierte „Quick Freeze plus“ selbst bei einer „nur“ siebentägigen Speicherung auf Vorrat als wesentlich belastender, als die früher übliche Praxis, aber auch belastender als eine bloße „VDS light“ mit kurzer Speicherfrist und engen rechtlichen Grenzen:
Bedingung des Konzeptes des Eckpunktepapiers ist nämlich, dass sowohl das anlassbezogene „Gefriergut“, wie auch die anlasslos und ohne Begrenzung des Verwendungszweckes für sieben Tage zu speichernden IP-Daten bereits in einer aufbereiteten, d.h. dem einzelnen Kunden zuordenbaren Weise vorhanden sein müssen. Nur so kann das Unternehmen nämlich überhaupt umgehend auf Zuruf eine „Sicherungsanordnung“ umsetzen und nur die Daten des darin bezeichneten Kunden, aber auch nur dir ausschließlich (!) diesen Kunden betreffenden Daten, „schockfrosten“. Denn nach I.1 ist in jedem Falle zu vermeiden, dass auch Daten unverdächtiger Bürger vom „Quick Freeze“ erfasst werden, was nur realisierbar ist, wenn alle potentiell relevanten Datenarten personenbezogen vorhanden sind, Roh- und Stammdaten also laufend „verheiratet“ werden, selbst wenn es weder technisch noch geschäftlich dafür sonst eine Notwendigkeit gibt. Während der laufenden Sicherungsanordnung sind dann außerdem nicht nur die für die Vergangenheit noch vorhandenen Daten, sondern auch die künftigen TK-Daten zu sichern.
Zu behaupten, bei IP-Daten würde es sich dann nicht mehr um Verkehrsdaten, sondern nur um eine Art Bestandsdatenabfrage handeln, wenn bereits den Ermittlern eine dynamische IP-Adresse bereits bekannt ist, ist nicht mehr als der Versuch einer rhetorischen Täuschung. Damit soll offensichtlich suggeriert werden, es handle sich bei den abgefragten Daten um eine Datenkategorie, deren Schutzniveau generell schon unter dem anderer Daten, wie beispielsweise der Telefonnummer, läge.
Der Charme des völligen Paradigmenwechsel zugunsten des „Quick Freeze“ besteht aus Sicht der Ministerin vielleicht aber eher in ganz anderen Gründen, mit der sie am Ende doch noch die skeptischen Innenminister und Polizeibehörden auf ihre Seite ziehen kann: Nicht mehr die Staatskasse wird mit den Kosten der Beauskunftungen belastet, wie es noch die aufgehobene Vorratsdatenspeicherung vorgesehen hat, sondern alle Leistungen sind kostenlos von den verpflichteten Unternehmen zu erbringen – die die entstehenden Kosten freilich auf die Kunden umlegen müssen.
8. Ein gordischer Knoten – selbstgestrickt
Deutlich wird damit, dass die Ministerin sich mit ihren Verbündeten in einen nicht auflösbaren politischen Zielkonflikt begeben hat, der mindestens aus den folgenden Elementen besteht:
- eine novellierte Fassung des Gesetzes über die Vorratsdatenspeicherung in verfassungskonformer Weise lehnt Leutheusser-Scharrenberger aus Überzeugung und vielleicht auch mit Rücksicht auf ihre Mitstreiter der Verfassungsbeschwerde strikt ab;
- eine Verpflichtung der Internetdiensteanbieter, Auskünfte über ihre Nutzer geben zu müssen, lehnen die Befürworter möglichst strikter Datenschutzregeln ebenso ab;
- Quick Freeze nach internationalem Vorbild lässt sich wegen des hier gültigen Gebotes der Datenvermeidung und der geltenden Verpflichtung zur Löschung nicht für Abrechnungszwecke benötigter Kundendaten nicht einfach auf Deutschland übertragen;
- eine Überwachung der Telekommunikation mit eigenen Mitteln durch den Staat, wie es die NSA in den USA betreibt, scheitert an fehlendem Geld und Know-How der Behörden und wäre auch politisch nicht durchsetzbar;
- ein völliger Verzicht auf anlassunabhängige Überwachung scheitert an den bestehenden europarechtlichen Verpflichtungen und zumindest bislang nicht mehrheitlich überzeugend widerlegten Argumenten der Ermittlungsbehörden;
- und schließlich soll die von der FDP offensichtlich erwünschte Stärkung des Urheberrechts und seiner Durchsetzung an Leutheusser-Schnarrenbergers Vorschlägen mindestens nicht scheitern.
Das Eckpunktepapier versucht nun, diesen klassischen „gordischen Knoten“ kühn zu zerschlagen. Allein: Präsentiert wird ein Konzept, das sicherlich gut gemeint sein mag, aber am Ende – so wie es m.E. verstanden werden muss – leider nichts Gutes hervorbringen kann:
Stichwort „Sicherungsanordnung“:
Die „Sicherungsanordnung“ dürfte die bisherige richterliche verbindungsdatenbezogene (Überwachungs-) Verfügung in der Praxis weitgehend ersetzen. Eben auch im bislang politisch und juristisch unbestrittenen Feld konkret verdachtsbezogenen Ermittlungen gegen konkrete Personen. Notfalls wird eben in kurzem Abstand und immer wieder aufs Neue und bei einer Vielzahl von auch nur möglichweise relevanten Personen im Umfeld eines Verdächtigen die Polizei die Sicherungsanordnungen „auf Knopfdruck“ und massenhaft erlassen. Erst nach Abschluss oder im weiteren Fortgang der Ermittlungen werden dann dem Richter einzelne Anordnungen nachträglich zur Prüfung und Genehmigung vorgelegt. Denn die Daten werden ansonsten eben ohne nachträgliche Kontrolle, ohne Kosten für die Behörde oder sonstige ihre Anzahl begrenzenden Folgen gelöscht. Weil sie kosten- und risikolos ist, wird die Sicherungsanordnung damit zur polizeilichen Standardmaßnahme. Die Zahl von verbindungsdatenbezogenen Überwachungsmaßnahmen dürfte in bislang unvorstellbare Größenordnungen steigen. Die Kosten hierfür werden alle Internetnutzer in Deutschland zu zahlen haben. Denn gesellschaftlich wird damit genau das vom „BVerfG angesprochene diffus bedrohliche Gefühl des Beobachtetseins“ entstehen, dass laut Eckpunktepapier durch „Quick Freeze plus“ ja angeblich gerade vermieden werden soll (II.1).
Stichwort: Urheberrechtsverletzungen
Unternehmen wie die Logistep AG bekommen für ihr Geschäftsmodell endlich einen Ansatzpunkt, flächendeckend die Sicherstellung von IP-Daten (angeblicher) Urheberrechtsverletzer zu verlangen. Denn anders als in der Vergangenheit dürfte kaum mehr die Begründung gelingen, warum die Anordnung eines „Quick Freeze“ aufgrund der vorgesehenen Leichtigkeit den Ermittlungsbehörden nicht unmittelbar nach Anzeige von strafbaren Urheberrechtsverletzungen (§106 ff StGB) möglich sein sollte – selbst wenn später vor Gericht kein Anspruch auf Herausgabe der Daten festgestellt wird.
Stichwort: Kosten der Überwachung
Die verpflichteten Unternehmen könnten durch das vorgeschlagene „Quick Freeze XXL“ (so die Bezeichnung der Vertreter der DTAG für das jetzt präferierte Modell) finanziell und organisatorisch viel stärker belastet werden, als durch eine „normale“ Vorratsdatenspeicherung. Denn sie müssten – entgegen der falschen Annahmen des Eckpunktepapieres – laufend zusätzlich und mit hohem Aufwand Rohdaten aufbereiten und mit Kundendaten zusammenführen, um die verschiedenen Vorgaben erfüllen zu können. Außerhalb ihrer regulären Billing-Prozesse und zusätzlich zu diesen müßen sie Roh- und Kundendaten miteinander „verheiraten“, damit sie überhaupt in der Lage sind, sowohl das Trennungsgebot, als auch die kurzfristige Sicherungsanordnung kundenbezogen und auf bloßen Zuruf hin erfüllen zu können. Der geringere Bedarf an Speicherplatz aufgrund kürzerer Speicherzeiten dürfte demgegenüber kostenmäßig kaum als Entlastung ins Gewicht fallen, erst recht nicht durch den Wegfall jeglicher Kostenerstattung selbst bei einer Vielzahl nur zum Teil richterlich bestätigten Anfragen.
9. Ausblick – Quick Freeze plus ist der Wolf im Schafspelz
In ihrem Bemühen, die eigentlich überfällige Grundsatzdebatte eines ausgewogenen Verhältnisses von Prinzipien wie Datenvermeidung und Datensparsamkeit auf der einen und der Schaffung neuer Ermittlungsmöglichkeiten auf der anderen Seite zu vermeiden, steuert die Bundesjustizministerin mit ihrem Eckpunktepapier in ein für die Bürgerrechte in Deutschland sehr gefährliches Fahrwasser. Dass „Quick Freeze“ nach US-Vorbild für die anders gelagerte Situation in Deutschland in der Sache nicht taugt, war bereits in der ersten Anhörung im BMJ den meisten Teilnehmern klar. Diese Erkenntnis ist jedoch offenbar nicht nur von Leutheusser-Schnarrenberger, sondern auch von vielen erklärten Gegnern der VDS und überzeugten Datenschützern, politisch nicht gewollt. Anstatt sich konsequent von dieser Fata Morgana zu verabschieden, sollte das Schlagwort „Quick Freeze“ durch Ergänzung um die siebentägige Vorratsdatenspeicherung jedoch offensichtlich unbedingt als politische Alternative präsentiert werden. Um einen gordischen Knoten zu durchschlagen, an dem die Ministerin selbst mit geknotet hat…
Im Ergebnis jedoch erleichtert das vorgesehene Konzept die massenhafte Überwachung der Bevölkerung durch Senkung der rechtlicher Hürden, weicht es die Notwendigkeit eines hinreichenden Tatverdachtes für Überwachungsmaßnahmen auf, verpflichtet die betroffenen Unternehmen nicht nur weitreichend zur Speicherung, sondern auch zu einer laufenden, aufwendigen Verarbeitung von Rohdaten zu personenbezogenen Informationen und belastet so Bürger(rechte) und Wirtschaft. Dies in einem Ausmaß, welches im Ergebnis sogar weit über eine bloße Neuauflage der VDS unter Beachtung der Vorgaben des BVerfG hinausgehen könnte.
Dabei wäre die Alternative viel naheliegender: Entweder auf das Mittel der Vorratsdatenspeicherung wird politisch konsequent auch auf Ebene der EU ganz verzichtet oder es wird ein „VDS light“ ausschließlich für dynamische IP-Adressen eingeführt – mit im Übrigen den hohen rechtlichen Hürden für den Datenzugriff und einer eng begrenzten Speicherverpflichtungen, wie es das BVerfG vorgesehen hat. Zudem ergänzt um einen Anspruch auf volle Kostenerstattung für die verpflichteten Unternehmen, um einen ökonomische Anreiz für eine sparsame Verwendung dieses Mittels der Identitätsermittlung zu setzen und Massenanordnungen unökonomisch zu machen.
So sehr man verstehen kann, dass Ministerin Leutheusser-Schnarrenberger nicht wieder von ihrem Amt zurücktreten will, weil ihr persönlich aufrichtiges Bemühen um den Erhalt bürgerlicher Freiheiten keine Mehrheit in ihrer Regierungskoalition findet: Mit ihrem Eckpunktepapier und dem darin vorgestellten Konzept des „Quick Freeze plus“ tut sie ihrer Sache im Ergebnis leider keinen Gefallen. Lachender Dritter könnten die Befürworter einer möglichst weitgehenden VDS sein. Auch insoweit erweist sich ihr Eckpunktepapier als „Wolf im Schafspelz“.
Danke für die äußerst interessante Analyse.
———————————————————————————————
Nebenbei zur Info, weil der Name der „Firma“ Logistep AG bzw. neuerdings Logistep UG (d.h. nachdem das schweizer Bundesgericht im September deren Machenschaften einen Riegel vorgeschoben hatte).
Und zwar kann man sich bei Interesse einmal dem link folgend einen Überblick darüber verschaffen, mit was für dubiosen (noch vorsichtig ausgedrückt) Machenschaften wir es eigentlich zu tun haben:
http://board.gulli.com/showthread.php?s=57db2a829af3988cd9213688ad5edc13&p=13609424
Dort dann unter Punkt I. (unter Punkt II. und III. einige Infos zum „Turn Piracy Into Profit“-Unternehmen DigiProtect!
Interessant finde ich für meinen Teil auch die Verstrickungen im Zusammenhang mit deren anderen schweizer Firma „Devis AG“ und der elektrischen Zigaretten „Similar4u“, siehe hier:
http://abmahnwahn-dreipage.de/forum/viewtopic.php?p=9527#p9527
Warum das Ganze? Warum platziere ich das hier?
Weil es nun ‚mal solche dubiosen (s.o.: vorsichtig ausgedrückt) „Firmen“ sind, die nachhaltig unsere Rechtsprechung beeinflussen. So waren die Beteiligten bei der „Sommer-unseres-Lebens-WLAN-Störerhaftungs“- Entscheidung des BGH im Mai 2010 eben diese sog. „Firmen“!
Ich persönlich würde im Gesamtzusammenhang sogar so weit gehen und das Thema „filesharing-Abmahnungen“ als einen der größten Justizskandale der Nachkriegszeit bezeichnen! Bei den anderen „Firmen“ (ProMedia, Evidenzia, Zarei… et al) sieht es nicht besser aus! D.h. es werden massenhaft Grundrechte eingeschränkt (Siehe allein § 101 Absatz 10 UrhG – ein Paragraph der „seltsamerweise“ in den Diskussionen stets ignoriert wird…) und das auch noch mit mehr als zweifelhaften Methoden!
———————————————————————————————
Oder wie sehen sie das, Herr Mönikes?
Danke und Gruß, Baxter
dem ist leider nichts hinzuzufügen.
@Baxter
Sie sehen es mir bitte nach, wenn ein Anwalt nichts grundsätzlich schlechtes daran finden kann, dass Unternehmen (und ihre Beauftragten) versuchen, die ihnen vom Gesetzgeber zugewiesenen Rechte auch in der Praxis mit den Mitteln durchsetzen, die das Gesetz dafür vorsieht. Die Verbreitung urheberrechtlich geschützter Werke ist nunmal international verboten und kann auch in Deutschland strafbar sein. Wer tatsächlich in verbotener, urheberrechtsverletzender Weise Filesharing betreibt, muß eben damit leben, dass er deswegen auch erwischt und von einem meiner Kollegen anschließend zumindest kostenpflichtig abgemahnt werden kann. Selbst wenn der Betroffene das im konkreten Fall subjektiv als zu hart und ungerecht empfindet: Wenn er auch bei einer gerichtlichen Prüfung unterliegt oder auf eine gerichtliche Überprüfung gleich ganz verzichtet, muß er das als Rechtsfolge seines Tuns in einem Rechtsstaat eben hinnehmen. Und dort, wo berechtigte Zweifel an der Seriösität des Vorgehens bestehen, bleibt eben leider kein anderer Weg, als sich als Betroffener dagegen mit rechtlichen Mitteln zu wehren.
Das bedeutet natürlich nicht, dass ich finden würde, dass z.B. die aktuelle Rechtsprechung zu den Abmahnkosten dem ursprünglichen Willen des Gesetzgebers entspricht. Oder das man nicht über neue Grenzen des Urheberrechts diskutieren sollte – wie ich das z.B. gerade im Rahmen des 3. CoLab tue. Oder das ich meine, dass die gesellschaftlichen Folgen totaler Internetüberwachung schwerwiegender sind, als die Kosten von Urheberrechtsverletzungen und daher mit Artikeln wie diesem darum werbe, dass man hier am Ende zu anderen politischen Mehrheiten und gesetzlichen Änderungen kommt.
Es geht halt in einer Demokratie am Ende nicht ohne persönliches politisches Engagement (auch außerhalb des Netzes) und verständige, verantwortungsvolle Politiker, wenn sich etwas am bestehenden Recht ändern soll. Ansonsten ist der Weg in einen Unrechtsstaat geebnet, den ich mir jedenfalls nicht wünsche. Selbst wenn mir rechtliche Entscheidungen im Einzelfall persönlich nicht passen mögen.
[…] ist da keineswegs “umgefallen”, er vertritt diese Position schon länger. Siehe auch: Jan Moenikes – Quick Freeze – der Wolf im Schafspelz […]
[…] Mönikes, SPD-Bundestagsabgeordneter, hat einen Blogeintrag dazu, er nennt Quick Freeze einen “Wolf im Schafspelz”. Aber wieso? Ich habe immer […]
[…] hier weiterlesen […]
[…] den Vorschlag der Justizministerin Sabine Leutheusser-Schnarrenberger (FDP) als „Wolf im Schafspelz“: Das was Leutheusser-Schnarrenberger nun aber als ihre politische Lösung präsentiert, […]
OK, Herr Moenikes, Ihr Artikel ist aus juristischer Sicht sehr informativ für mich, da ich mich mit Jura nur sehr allgemein und laienhaft auskenne. Insofern glaube ich Ihnen, Ihre Ausführungen gerne. Doch wenn’s dann um technische Aspekte geht, kommen wir deutlich näher an mein Spezialgebiet. Ich weiß nun nicht, wie tief Ihre IT- Erfahrung einzuschätzen ist, aber bei diesem Thema kann ich sehr genau unterscheiden, was möglich ist und wo Fiktion beginnt. Das BKA argumentiert übrigens häufig im fiktiven Bereich.
„@forenwanderer klar, „gehen“ schon im Sinne Machbarkeit, aber eben nicht im Sinne von „erlaubt“, da datenschutzwidrig. Zielkonflikt! #vds“
In unserer spärlichen Twitter- Korrespondenz lässt sich wenig Zusammenhängendes verdeutlichen. Daher verlege ich die Diskussion auf Ihre Heim- Plattform.
„Die Behörde bekäme nach eigenen Angaben aus dem Ausland zu tausenden die IP-Nummern von in Deutschland geknackten Rechnern übermittelt, die sie als Teil eines „Bot-Netzes“ operieren, ohne dass die Opfer davon überhaupt wissen. Man könne die Betroffenen aber auch nicht warnen und damit das „Bot-Netz“ und die Betrügereien auch nicht wirksam stoppen, da man zwar die (dynamische) IP-Adresse des missbrauchten Anschlusses habe, aber ohne VDS eben nicht (mehr) den Teilnehmer, der insoweit Opfer und (unwissentlicher) Täter zugleich ist, ermitteln könnte. Da es sich bei diesem Beispiel um eine Katalogstraftat handelt, wäre die Nutzung von Vorratsdaten für die Ermittlungen auch nach Maßstab des BVerfG-Urteils uneingeschränkt möglich – vorausgesetzt es würden künftig überhaupt dynamische IP-Daten bei den TK-Unternehmen gespeichert.“
Dies ist eine solche fiktive und grundlegend falsche Argumentation, die ich in meinem Blog bereits genau an diesem Fallbeispiel widerlegen konnte. Nun behaupten Sie, Herr Moenikes, das sei datenschutzwidrig. Mir liegen schriftliche Informationen meines eigenes Providers vor, dass man rechtlich korrekt ohne VDS rein anhand von technischen Maßnahmen (in solch gelagerten Fällen mit sog. Spamtraps und Honeypots) die Zombie- Rechner ausfindig machen kann. Angeblich würde sich der Aufwand lohnen. Gerne kann ich Ihnen nachweisen, wie sowas getan wird und Sie könnten es juristisch bewerten.
Auch meine Analysen der restlichen BKA- Fallbeispiele basieren nach meinem Kenntnisstand auf völlig legitimen Techniken. Meine Lösungsvorschläge pauschal als datenschutzwidrig zu bezeichnen, halte ich für extrem überzogen. VDS ist sowieso datenschutzwidrig und Quick Freeze wäre dies ebenso, trotzdem werden diese Möglichkeiten diskutiert.
Ideal wäre es doch, mit bestehenden Mittel, die Strafverfolgung im Netz zu verbessern. Dort wo datenschutzrechtliche Bedenken herrschen sollten, müsste man eben nachbessern. Bei Quick Freeze oder VDS sind sogar komplexe Änderungen erforderlich.
Gruß,
J.D.
@ Johannes
Ich glaube, für einen Juristen kenne ich mich ganz gut aus, da ich ja bereits seit 16 Jahren mit und für TK-Unternehmen und der Politik über die technischen und rechtlichen Möglichkeiten diskutiere und zudem einige Zeit in einem größeren TK-Unternehmen auch für diesen Bereich in Verantwortung war.
Daher meine ich auch, dass der größte Teil ihrer Kritik an dem, was das BKA an (scheinbaren) Argumenten für die VDS präsentiert, absolut berechtigt ist. Die allermeisten ihrer alternativen Vorschläge sind zudem auch technisch und wahrscheinlich auch ermittlungstaktisch (da kenne ich mich aber nicht aus) gute Lösungen. Allein, sie sind nicht immer mit dem geltenden Datenschutzrecht, den Prinzipien der Datenvermeidung und Datensparsamkeit in Übereinklang zu bringen und daher bei Beachtung der geltenden Rechtslage ihrerseits rechtswidrig. So sind beispielsweise auch die „Logfiles“, auf die sie beim Dienstebetreiber zugreifen wollen, „anlasslos gespeicherte personenbezogene Daten“, die sie nicht aufbewahren dürfen, ohne sie zu Abrechnungszwecken oder aus gesetzlichen Gründen zu benötigen. Zudem ist in der Tat die auch von Ihnen als „unverständlich“ kritisierte Vorschrift des §13 TMG eine, die in der Praxis auf Ebene des Diensteanbieters viele Nutzungen von vorhandenen Daten für Ermittlungen verhindert. Außerhalb des Urheberrechts und des UKlaG gibt es zum Beispiel keinen Anspruch auf Identitätsfeststellung, auch nicht bei schlimmsten Verleumdungen.
In der Praxis verhalten sich viele ISPs schlicht datenschutzwidrig. Sei es bei der Bekämpfung von Viren, Fraud oder in anderen – eigentlich jedem IT´ler und anderen Menschen mit normalem Verstand einsichtigen – Themen. Das liegt oft daran, das bereits die schlichte IP-Adresse von den Datenschutzbehörden als zumindest „personenbeziehbares“ Datum mit den selben Schutzpflichten zu belegen sein soll, wie ein „echtes“ personenbezogenes Datum. Ihr ISP verstößt daher z.B. schon gegen die Vorgaben der meisten Datenschutzbehörden, wenn er die IP-Daten über einen Flatrate-DSL-Tarif nicht SOFORT nach Trennung der IP-Verbindung löscht. Insofern sind gerade die Auskünfte der „Praktiker“ aus den Unternehmen mit großer Vorsicht zu genießen. Die können natürlich oft viel mehr, als sie eigentlich dürften…
Ich bin leider dieses Wochenende unterwegs, will aber gerne hier http://guedesweiler.wordpress.com/2011/01/20/ich-weis-was-du-letzten-sommer-getan-hast/#comments
dann noch zu einzelnen ihrer Vorschläge Stellung nehmen, warum sie zwar vorstellbar, aber leider wegen eigener rechtlicher Probleme für rechtstreue Unternehmen eben auch nicht umsetzbar sind.
Generell empfehle ich aber auch hier noch mal den Beitrag des Kollegen Stadler, der den Kern des Problems auf den Punkt bringt, wenn er sich auch einer expliziten Wertung enthält, ob wir uns nicht vielleicht von einigen überzogenen Ansprüchen der Datenschutzbehörden verabschieden müssten und dann in der Tat in Deutschland nämlich überhaupt kein Bedürfnis mehr für eine VDS auf Netz-Ebene seriös formuliert werden kann: http://www.internet-law.de/2011/01/der-zusammenhang-von-vorratsdatenspeicherung-und-datenschutz.html
Danke Herr Moenikes für die rasche und ausführliche Schilderung.
“ zu einzelnen ihrer Vorschläge Stellung nehmen, warum sie zwar vorstellbar, aber leider wegen eigener rechtlicher Probleme für rechtstreue Unternehmen eben auch nicht umsetzbar sind.“
Das wäre natürlich eine tolle Sache, denn dann gäbe es mal eine technische und gleichsam juristische Betrachtung anhand von Fakten. Ich hasse es, wenn überall im Konjunktiv diskutiert wird, das nutzt der Sache nicht.
Hierzu noch ein womöglich wichtiges Detail:
„So sind beispielsweise auch die “Logfiles”, auf die sie beim Dienstebetreiber zugreifen wollen, “anlasslos gespeicherte personenbezogene Daten”, die sie nicht aufbewahren dürfen, ohne sie zu Abrechnungszwecken oder aus gesetzlichen Gründen zu benötigen.“
Diverse Logfiles fallen ständig an und sind unerlässlich z.B. bei der Fehlersuche. Logfiles mit Daten, die Rückschlüsse auf Benutzer zulassen, können zwar gelöscht werden, doch kann das nicht in Echtzeit geschehen, sonst würden erst gar keine Logfiles angelegt werden. In weniger wichtigen Fällen aus technischer Sicht, werden solche Logfiles mit Benutzerdaten womöglich tagesaktuell gelöscht, doch das kann man nicht grundsätzlich tun. Auch hierfür könnte ich, Herr Moenikes, gerne praxisnahe Beispiele liefern, denn ich bin nicht in der Lage, deren Relevanz aus juristischer Sicht zu bewerten. Ich kann auch nicht beurteilen, wie die jeweiligen Provider bzw. Diensteanbieter damit umgehen, weiß aber aus sicherer Quelle, dass man zum Schutz der eigenen Infrastruktur, Logfiles auswertet, um beispielsweise Botnetze zu zerschlagen. Da werden sogar spezielle technische Fallen (SPAMTRAPS, HONEYPOTS) aufgestellt, um diesem Problem entgegen zu treten. Man versicherte mir, dass man sich im legalen Rahmen bewege und keineswegs anlasslos und verdachtsunabhängig eine Datensammelwut veranstalte, wie es die VDS darstelle.
Mein Interesse an dieser Vorgehensweise ist übrigens durch die offizielle Initiative des BSI und eco geweckt worden: http://www.botfrei.de (Anti-Botnet-Beratungszentrum). Ich zitiere einfach mal:
“ Die Unterstützung erfolgt in gestufter Form: Zunächst wird der betroffene Kunde von seinem Internetzugangsanbieter über eine mögliche Infektion mit einem Schadprogramm informiert, z.B. über eine vorgeschaltete Website, die beim Öffnen des Browsers beim Anwender erscheint; eine weitere Nutzung des Internets ist jedoch möglich. Er wird dann eingeladen, diese Webseite zu besuchen, auf der er Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt bekommt.“
Kommt uns das nicht bekannt vor? Nun wollte ich natürlich wissen, wie sowas geschehen soll, ohne dass man den Datenverkehr der Benutzer kontrolliert. Es ist dabei nicht möglich, ohne tiefgreifende Techniken (DPI oder wenigstens SPI) zu erkennen, ob beispielsweise ein Kunden- PC als Spambot missbraucht wird. Das wäre meines Wissens jedoch ein juristisch bedenklicher Eingriff. Eine Nachfrage bei den Betreibern (eco, BSI) blieb übrigens unbeantwortet. Mein Provider hingegen erläuterte mir, dass sie nach o.g. Verfahren (SPAMTRAPS, HONEYPOTS) solche Dinge analysieren.
Zurück zum Thema VDS: Wenn also meine eingesetzten Techniken zur Strafverfolgung (21 BKA Fallbeispiele) nach Ihrer Auffassung datenschutzwidrig und nicht legal sein sollten, müsste eco und BSI schnellstens ihr Anti- Botnetz- Zentrum außer Betrieb nehmen…?
Ich habe das Gefühl, da habe ich gerade ein großes trübes Fass geöffnet?
Gruß,
J.D.
[…] Quick Freeze – der Wolf im Schafspelz – Jan Mönikes Wow, sehr umfangreiche Analyse der Vorratsdatenspeicherung, bzw. der sogar von Leutheusser-Schnarrenberger unterstützten Vorratsdatenspeicherung light oder wie man es auch jetzt nennt: Quick Freeze Plus. (tags: wrb Vorratsdatenspeicherung) […]
[…] sondern in Ansehung des Eckpunktepapiers und der Anhörung des Justizministeriums darin eher einen “Wolf im Schafspelz” befürchte, bin ich nun doch auf den ersten Blick positiv vom vorliegenden Diskussionsentwurf […]
[…] wollen nicht durch Vortäuschung einer Ablehnung den „Wolf im Schafspelz“ (siehe Blogbeitrag von Jan Mönikes) anbieten. Wir lehnen daher Quick Freeze […]
[…] Belastung und zu weitaus größeren Grundrechtseingriffen führen würde. Als einen gefährlichen „Wolf im Schafspelz“ lehnen die meisten SPD-Netzpolitiker daher das „Quick-Freeze“ Konzept von FDP und GRÜNE ab, […]
[…] Quick Freeze – der Wolf im Schafspelz – Jan Mönikes […]
[…] er mir zu hoch. Es bewahrheitet sich dann nämlich, was ich schon vor mehr als einem Jahr als “Wolf im Schafspelz” bezeichnet habe. Wenn das am Ende wirklich so käme, dann könnte es im Ergebnis deutlich […]
[…] ist eben nicht jede Form von Vorratsdatenspeicherung verfassungswidrig, ist „Quick Freeze“ keine unproblematische Alternative zur VDS und ist vielen Menschen die grundsätzliche Kernthese gut vermittelbar, dass im digitalen […]