Vorratsdatenspeicherung: Details und offene Fragen

Während Recherchen zum Stand der Umsetzung der Vorratsdatenspeicherung bei Providern hatte ich die Möglichkeit, mit Klaus Landefeld vom eco – Verband der deutschen Internetwirtschaft e.V. über Details und offene Fragen zu reden.

Technische Richtlinie

Nicht alle Mitgliedsstaaten der EU haben die EG-Richtlinie überhaupt umgesetzt, die Europäische Kommission setzt derzeit säumige Staaten massiv unter Druck, dem endlich nachzukommen und die Richtlinie mittels nationalen Gesetzen verbindlich zu machen.

Dies ist zwar in Deutschland mit dem Umsetzungsgesetz und dem damit neuen § 113a Telekommunikationsgesetz bereits geschehen. Darin werden Telekommunikationsanbieter verpflichtet, seit Beginn des Jahres 2008 Telefon- und Mobilfunk-Verbindungsdaten, sowie ab 2009 die Verbindungsdaten von E-Mail- und VoIP-Kommunikation und IP-Adressen zu speichern. Diese juristische Vorschrift heisst aber noch nicht, dass Telekommunikationsanbieter das auch umsetzen können, denn es fehlt eine technische Richtlinie.

Die Bundesnetzagentur erstellt zur Standardisierung technischer Fragen der Telekommunikationsüberwachung die „Technische Richtlinie zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation“ (TR TKÜ). Diese liegt zur Zeit in Ausgabe 5.1 vor, die im Februar 2008 geupdated wurde. Das Gesetz zur Vorratsdatenspeicherung ist darin jedoch noch nicht berücksichtigt, es gibt noch nicht einmal einen Entwurf, der die Vorratsdatenspeicherung einbezieht. Bisher gibt es nur rudimentäre Vorab-Informationen und eine FAQ.

Die Bundesnetzagentur wiederum richtet sich nach den Vorgaben der Arbeitsgruppe Lawful Interception des Europäischen Instituts für Telekommunikationsnormen ETSI. Diese wird wahrscheinlich erst auf ihrem nächsten Meeting Anfang Oktober einen Draft vorlegen. Davon existiert bislang nur ein erster Vorentwurf, bei dem aber relevante Teile noch leer sind. Anschliessend wird der Draft noch diskutiert und „irgendwann Anfang 2009“ erst kann eine Vorschrift verabschiedet werden. Und erst auf Grundlage dieser ETSI-Vorschrift wird die Bundesnetzagentur die eigene Technische Richtlinie anpassen. Dies kann dann zwar relativ schnell danach passieren, schon 6-8 Wochen nach ETSI kann die TR TKÜ aktuell sein. Im Moment gibt es jedoch keine Chance, vor Ende dieses Jahres eine Richtlinie zu haben.

Das heisst im Klartext, dass deutsche Telekommunikationsanbieter ab 2009 eine Reihe bestimmter Daten speichern müssen, da sie sonst gegen geltendes Recht verstoßen, aber erst irgendwann später Details bekommen, in welchem Format die Daten gespeichert werden sollen, wie die Datenschutz-Anforderungen dafür aussehen, wie die Daten abgerufen werden sollen, etc.

Zwischenzeitlich stehen natürlich auch noch die Klagen vor dem Europäischen Gerichtshof und dem Bundesverfassungsgericht aus, die alles nochmal komplett ändern könnten. Auf deren Ergebnisse warten jedoch ETSI und Bundesnetzagentur nicht.

Unklarheiten

Mindestens bis zum Erscheinen der Technischen Richtlinie existieren eine Vielzahl von offenen Fragen zur Vorratsdatenspeicherung, von denen ich einige in meiner Uni-Arbeit angerissen habe.

So ist beispielsweise immer noch nicht klar, wer denn als Telekommunikationsanbieter definiert wird. Das Gesetz (§ 113a) verpflichtet alle zur Speicherung, die „öffentlich zugängliche Telekommunikationsdienste für Endnutzer [erbringen]“. In seiner FAQ nimmt sich die Bundesnetzagentur dieser Frage an und erläutert für das Beispiel WLAN-Betreiber, dass Hotels, Restaurants und Internetcafés nicht öffentlich zugänglich seien und damit nicht speichern müssen, auf der anderen Seite jedoch WLAN-Anbieter „zur Versorgung von öffentlichen Plätzen“ wie Freifunk und Verkehrsflächen (Flughäfen, Bahnhöfe, Einkaufszentren) wohl durchaus speichern müssen.

Ebenso unsicher ist die Frage, ob es eine Ausnahmeregelung für kleine Anbieter geben wird. Der eco schätzt konservativ, dass mehr als 5.000 Telekommunikationsunternehmen allein in Deutschland von der Verpfichtung betroffen sind. Ein Großteil davon können sich die technische Implementierung der Verpflichtung aber wirtschaftlich gar nicht leisten (und es gibt bei weitem nicht nur Unternehmen, die unter die Speicherpflicht fallen). Mal abgesehen davon, dass die meisten dieser kleinen Unternehmen auch noch nie eine Überwachungsanfrage bekommen haben, wie Oliver Süme vom eco schon als Sachverständiger dem Rechtsausschuss des Bundestags ausgeführt hat:

Im Bereich von Internet-Access sind etwa 80 % kleine und sehr kleine Unternehmen am Markt tätig. Bei der Bereitstellung von E-Mail werden etwa 2/3 der E-Mail Dienste von Anbietern angeboten, die bis zu 1000 Kunden haben. Die Bundesnetzagentur hat ermittelt, dass kleinere Unternehmen durchschnittlich nur etwa alle elf Jahre mit der Umsetzung einer Überwachungsmaßnahme rechnen müssen (vgl. BT Drucksache 16/5846 Seite 72).

Deswegen fordern Branchenverbände seit jeher eine Härtefallregelung für diese kleinen Anbieter, ähnlich der Mindestgrenze von 10.000 Usern für die Verpflichtung der Einrichtung von SINA-Boxen zur E-Mail-Überwachung (§ 3 Abs. 2 Nr. 5 TKÜV). Diese wurde vom Gesetzgeber bisher nie berücksichtigt, die Bundesnetzagentur geht davon aus, dass eine solche Befreiung der Beauskunftungssysteme erfolgen wird. Das bedeuted jedoch nur, dass keine solche Box zur automatischen Übermittlung der Daten eingerichtet werden muss, „eine Befreiung von der Speicherungspflicht ist jedoch nicht vorgesehen“.

Auch Klaus Landefeld geht davon aus, dass irgend eine Art der Deckelung eingeführt wird, alles andere wäre nicht nur unverhältnismäßig, sondern geradezu unmöglich. Den Experten der Bundesnetzagentur traut er auch eine höhere Kompetenz in diesen Fragen zu als dem Gesetzgeber.

Viel Unsicherheit herrscht auch auf dem völlig neuen Feld der Speicherpflicht aller E-Mail-Verbindungsdaten. Wer denn genau Dienste „für die Öffentlichkeit“ bzw. „für Dritte“ erbringt ist selbst für Juristen noch unklar, die Diskussion darüber läuft ebenso noch. Bisher hat wohl die Bundesnetzagentur durchblicken lassen, dass Vereine, die bsp. E-Mail oder VoIP-Dienste nur für ihre Mitglieder anbieten, nicht unter die Speicherpflicht fallen. Sehr wohl fallen darunter aber alle, die diese Services „verkaufen“, wobei dabei nicht unbedingt Geld fliessen muss wie das Beispiel web.de von United Internet zeigt. Unter welche Definition Universitäten fallen ist ebenso unbeantwortet.

Große Fragen werfen mindestens bis zum Erscheinen der Richtlinie alle technischen Details auf. Nur ein Beispiel welches Techniker grübeln lässt ist die Frage der Zeitsynchronisation. Auskunftsersuchen von Behörden nach den Vorratsdaten müssen explizit sein, dass heisst die Ermittler müssen konkrete Uhrzeiten für die von ihnen angeforderten Informationen vorlegen, Zeitspannen sind unzulässig. Nicht alle Server halten sich jedoch an die exakte Zeit und richten sich regelmässig nach Atomuhrenen aus. Auf einem E-Mail-Server mit Dutzenden oder noch (viel) mehr Mails pro Sekunde dann die richtige Verbindung auszumachen scheint unmöglich. Auch IP-Adressen können Minuten später wieder zu ganz anderen Endanschlüssen dynamisch vergeben sein, schon die bisherigen Anfragen der Behörden haben wohl Probleme mit Genauigkeit in diesem Punkt.

Trotz diesem Diskussions- und Definitionsbedarf besagt das geltende deutsche Recht, dass Telekommunikationsanbieter für den Bereich Internet spätestens ab 2009 die Vorratsdaten speichern müssen, andernfalls verhalten sie sich rechtswidrig und können mit Strafen wie Bußgeldern belegt werden. Wie die großen deutschen ISPs damit umgehen und welche Kosten dabei entstehen, erläutere ich im nächsten Teil.