Vorratsdaten in Frankreich: Auch Passwörter werden gespeichert [4. Update]

Am 25. Februar ist in Frankreich das Gesetz (eigentlich: Dekret) zur Umsetzung der Vorratsdatenspeicherungs-Richtlinie der EU beschlossen worden, die Veröffentlichung im Amtsblatt erfolgte am 1. März. Neben den bereits bekannten und in der Richtlinie genannten Daten wie IP-Adressen, Telefonnummern, Email-Adressen etc., aus denen man bereits unglaublich viel über die Teilnehmer erfahren kann, ist in letzter Sekunde die Liste der zu speichernden Daten um „Passwörter“ (mots de passe) ergänzt worden.

Das ganze lief offenbar unter Ausschluss der Öffentlichkeit und sogar der Fachgremien ab. In der Version des Gesetzes, die vorher der französischen Datenschutzkommission CNIL [update: und der Telco- und Postaufsicht] zur Kommentierung vorgelegt worden war, tauchten Passwörter noch gar nicht auf. Sie wurden erst in letzter Minute ergänzt und ohne irgendeine öffentliche Debatte abgenickt. Inhaltlich und formal ist das ein Skandal erster Güte.

Der europäische Chefdatenschützer von Google, Peter Fleischer, den ich normalerweise nicht so schätze, bringt die Konsequenzen gut auf den Punkt: Damit ist der Einstieg gemacht in die Vorratsdatenspeicherung von Inhalten, während es bisher ja „nur“ um Verbindungsdaten ging. Man kann nur hoffen, dass es hier bald zu Klagen kommen wird. Bislang wird offenbar noch kaum darüber berichtet.

Update: Es besteht etwas Unklarheit darüber, welche Passwörter gemeint sind. Aus der Maschinenübersetzung des Dekretes lese ich heraus, dass damit Mail-Passwörter gemeint sind, der Mailanbieter also keine MD-5-Hashes des Passworts mehr speichern darf. Das wäre an sich schon eine recht große Sicherheitslücke und außerdem sehr praktisch für die Polizei.

Ein von aprica in den Kommentaren verlinkter AFP-Bericht interpretiert das allerdings so, dass es auch um Foren-Accounts und anderes geht, wo Passwörter anfallen.

Hier gibt es noch einen französischen Blogpost dazu, der ein wenig zur historischen Einordnung schreibt. Nach den dort zitierten Passagen mit Referenz auf das zugrundeliegende Gesetz von 2004 sind eventuell alle Anbieter von im Web gehosteten Angeboten betroffen. Krass.

Das Gesetz macht wohl in Frankreich derzeit unter dem Namen „Le décret Big Brother“ die Runde. Ich warte noch auf weitere Einschätzungen und Infos von Kollegen aus Frankreich. Wer mehr Infos hat: Gerne in die Kommentare!

Update 2: Rigo hat das in den Kommentaren ausführlich in den zeitgeschichtlichen Kontext gestellt. Danke dafür! Damit es nicht untergeht, kopiere ich es mal hier oben rein:


„Das Dekret ist ja nur eine Durchführungsverordnung zum Gesetz von 2004. Die Diskussion und die Auseinandersetzungen, die hier gefordert werden, wurden also schon vor 2004 geführt. Das war ausserdem schon vor Sarkozy. Es ist die Reaktion auf den Fall Altern B bei dem Bilder von Estelle Halliday, die damalige Frau von Johnny Halliday [Rigo meint vermutlich David Hallyday, RB], veröffentlicht wurden. Valentin Lacambre, ein Internet-Pionier in Frankreich, den ich schon ein paarmal getroffen habe, konnte oder wollte nicht mitteilen, wer die Bilder eingestellt hatte. Das Ganze war ein grosser Skandal in Frankreich. Der Gesetzgeber hat darauf mit dem Gesetz von 2004 reagiert und in Art. 6 II bestimmt, dass hosting provider alle Daten speichern um denjenigen zu identifizieren, der einen öffentlichen Inhalt eingestellt hat oder zu seiner Veröffentlichung beigetragen hat.

Die Durchführungsverordnung sollte das konkretisieren. Sie ist durch mehrere Gremien gelaufen. Zweck war immer sicher zu stellen, dass sich Altern B nicht wiederholt. Eine Art Anti-wikileaks. Das ist wohl auch der politische Zusammenhang für das Auftauchen der Durchführungverordnung zum jetzigen Zeitpunkt.

Allerdings hat das Passwort natürlich nichts mit der Feststellung der Identität eines Inhaltsanbieters zu tun. Und genau darin liegt unter anderem das Problem. Da ist ohne Konzertation ein Fremdkörper eingebaut worden von dem eigentlich niemand so richtig weiss, was er da drin soll. Denn an die Passwörter kommt der Geheimdienst auch. Aber was soll die Polizei damit? Und dem Gesetzeszweck dient es auch nicht. Vielleicht ist es eine direkte Reaktion auf wikileaks, wo der Regierung gerichtlich bescheinigt wurde, dass sie keine Handhabe gegen einen Wikileaks mirror hat.

Warum ist das kein Skandal? Weil das eigentlich eine Diskussion aus 2004 ist, weil so viel schief läuft in Frankreich, dass die Leute sich über andere Dinge aufregen, die sie anscheinend direkter betreffen als das Internet.“

Update 3: Roman hat in den Kommentaren darüber informiert, was genau gespeichert werden muss. Danke! Ich kopiere das mal wieder hier oben rein:

„[E]s ist so dass sich dies nur auf kommerzielle Dienste im Internet bezieht wie z.B. Hoster von Videos/Bilder, E-Mailanbieter oder Onlinehändler wodurch die Privatenforen nicht davon betroffen wären.Die Daten müssen ein Jahr gespeichert werden und das ganze unter dem Standpunkt man gehe auf Terroristenjagd damit.

Speichern müssen die Anbieter folgendes:

  • Sämtliche Daten welche erhoben werden bei Abschluss eines Vertrages oder dem erstellen eines Accounts.
  • Name und Vorname, eventuelle Titel oder Firmennamen
  • Die Postanschrift
  • Die verwendeten Pseudonyme
  • Sämtliche E-Mailkonten welche mit dem Account benutzt werden sowie alle Verbindungen zu anderen Accounts der gleichen Person
  • Die Telefonnummer
  • Sowie die Passwörter und alle möglichen Überprüfungsdaten wenn man z.B. sein Passwort vergessen.
  • Die IP-Adresse samt den möglichen Daten z.B. des Routers oder PC´s
  • Anfang- und Endzeit der Verbindung
  • Die Charakateristischen Züge der Leitung des Abonnierten (Was auch immer damit gemeint ist)
  • Auch müssen die Aktionen welche man dort unternommen hat gespeichert werden z.B. ob man eine E-Mail gespeichert hat oder ein Video/Bild runtergeladen hat samt Zeit und Datum.
  • Bei Abschluss eines Vertrages müssen auch Zahlungsart, Gesamtbetrag, Referenznummer sowie Datum und Uhrzeit der Transaktion.

Quelle: Le Monde

  • Neben den oben genannten Daten müssen die Betreiber ebenfalls die Protokolltypen speichern mit welchen die Verbindung zum Betreiber aufgebaut und die Inhalte transferiert werden. Quelle: Korben.info

Was mich ja wirklich irritiert, ist die Speicherung aller „Aktionen, welche man dort unternommen hat“. Das wäre wirklich die Kompletterfassung aller Dinge, die ich auf kommerziellen Web-Plattformen unternehme. Was heisst dabei „kommerziell“? Ich gehe davon aus, dass sowas wie Netzpolitik.org, wo ab und zu mal Werbung läuft, auch darunter fallen würde.

So oder so: Es geht also wirklich weit über die Passwörter hinaus. Weia. Da kann man nur hoffen, dass die angekündigten Verfassungsbeschwerden der französischen Provider und Plattform-Anbieter erfolgreich sind. Die jüngste Entscheidung des Verfassungsgerichtshofs in Paris zu Netzsperren stimmt mich allerdings nicht sehr optimistisch. Es muss daher politischen Widerstand geben.

4. Update: European Digital Rights hatte dazu schon am Mittwoch eine Meldung im Newsletter EDRi-Gram. Die deutsche Übersetzung erscheint in Kürze bei Unwatched.org.

49 Kommentare
Wir wollen 2016 noch schlagkräftiger werden. Unterstütze unsere Arbeit durch eine Spende für mehr netzpolitik.org, damit wir weiter kritisch und unabhängig bleiben können. Spenden