Bestandsdatenauskunft 2015Behörden haben alle vier Sekunden abgefragt, wem eine Telefonnummer gehört

Im letzten Jahr haben deutsche Behörden über 7 Millionen mal abgefragt, wem eine Telefonnummer gehört. Das geht aus den Zahlen der Bundesnetzagentur zur automatischen Bestandsdatenauskunft hervor. Die Abfragen zu IP-Adressen dürften noch häufiger sein, dazu gibt es aber leider keine Statistiken.

Coverbild des Jahresberichts der Bundesnetzagentur.

Regelmäßig berichten wir über die so genannte Bestandsdatenauskunft, bei der über 100 staatliche Stellen automatische Anfragen nach Telefonnummern und Anschlussinhabern stellen können. Dieses „Behördentelefonbuch“ wird von der Bundesnetzagentur verwaltet, die darüber regelmäßig Statistiken veröffentlicht: 2012, 2013, 2014.

Wir haben die Zahlen aus dem aktuellen Jahresbericht 2015 extrahiert und visualisiert:

Rufnummernersuchen: Wem gehört diese Telefonnummer?

(hier als Bild)

Namensersuchen: Welche Telefonnummern gehören zu diesem Namen?

(hier als Bild)

Unser bisheriger Tipp, dass man bei der Registrierung von Prepaid-SIM-Karten einen falschen Namen angeben kann, ist seit dem neuen Anti-Terror-Paket, das im Juni beschlossen wurde, leider nicht mehr möglich.

Preisfrage: Wem gehört diese IP-Adresse?

Noch spannender als die Abfragen von Telefonnummern dürften die Abfragen von IP-Adressen sein. Die schwarz-gelbe Bundesregierung hatte 2013 die Bestandsdatenauskunft für IP-Adressen eingeführt und die schwarz-rote Bundesregierung hatte 2015 mit der geheimen Nebenabrede zur Vorratsdatenspeicherung beschlossen, dass diese Daten auch ohne Richterbeschluss abfragbar sind.

Letztes Jahr schrieben wir:

Diese Abfragen sind jedoch nicht „automatisiert“ nach § 112 TKG, sondern „manuell“ nach § 113 TKG. Das heißt, die Bedarfsträger stellen ihre Anfragen direkt bei den TK-Anbietern statt bei der Bundesnetzagentur. Aus diesem Grund gibt es leider auch keine offiziellen Statistiken darüber. Ich würde ja wetten, dass die Zahlen für IP-Adressen weit über denen von Telefonnummern sind.

Das stimmt noch immer, wie die Bundesnetzagentur auf Anfrage von netzpolitik.org bestätigte:

Ihre Aussage zum automatisierten Auskunftsverfahren nach § 112 Telekommunikationsgesetz beziehungsweise zum manuellen Auskunftsverfahren nach § 113 Telekommunikationsgesetz sind weiterhin grundsätzlich zutreffend.

Weil die Behörden direkt bei den Providern nachfragen, wem eine IP-Adresse zugeordnet ist, gibt es nirgendwo eine zentrale Statistik wie bei Telefonnummern. Die Bundesnetzagentur bestätigt uns, dass dafür wohl ein Gesetz geändert werden muss:

Wenn die Einführung solcher Berichtspflichten für Unternehmen gewünscht wird, bedürfte dies sicherlich einer gesetzlichen Regelung.

Linke: „Statistik dringend notwendig, werden nachfragen“

Wir haben Vertreter aller Parteien im Bundestag gefragt, ob sie eine Statistik über Abfragen von IP-Adressen sinnvoll finden, und was sie dafür unternehmen. Nur die Linksfraktion hat uns geantwortet.

Jan Korte, stellvertretender Vorsitzender der Linksfraktion, kommentiert gegenüber netzpolitik.org:

Selbstverständlich ist so eine Statistik nicht nur sinnvoll, sondern dringend notwendig, da ansonsten weder Regierung noch Öffentlichkeit die Möglichkeit haben das Ausmaß der behördlichen Praxis zu überprüfen.

Abfragen durch Behörden des Bundes können auch ohne gesetzliche Grundlage durch das BMI erstellt werden, das setzt lediglich politischen Willen voraus. Daneben wäre denkbar, entweder auch die Provider-Anfragen wie die TK-Bestandsdatenabfrage zentral über die Bundesnetzagentur laufen zu lassen oder eine Meldepflicht einzuführen.

Wir werden den Bundesminister des Innern mit dieser Problematik konfrontieren, wenn er im Januar den Innenausschuss aufsucht und eine entsprechende Anfrage an die Bundesregierung richten.

Über sieben Millionen Bestandsdatenabfragen 2015

Hier der komplette Abschnitt „Automatisiertes Auskunftsverfahren nach § 112 TKG“ von Seite 82 f. des BNetzA-Berichts (Hervorhebung von uns):

Das Auskunftsverfahren nach § 112 TKG trägt erheblich dazu bei, die öffentliche Sicherheit in Deutschland zu gewährleisten. Gesetzlich berechtigte Stellen, meist Sicherheits- und Strafverfolgungsbehörden, können bei der Bundesnetzagentur bestimmte Kundendaten wie Name, Anschrift oder Rufnummer ersuchen. Dies ist zulässig, soweit die Auskünfte zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich sind. Die Bundesnetzagentur leitet die Ersuchen automatisiert als Abfrage an die TK-Diensteanbieter weiter und führt die Antworten zusammen. Derzeit sind 107 Behörden als berechtigte Stellen registriert, 116 Telekommunikationsunternehmen nehmen am Verfahren teil.

Im Jahr 2015 gingen insgesamt 7,62 Mio. Ersuchen bei der Bundesnetzagentur ein. Daraus resultierten im vergangenen Jahr zusammengenommen 34,83 Mio. Abfragen bei TK-Unternehmen.

Bei einem Namensersuchen erhalten Anfrageberechtigte die Rufnummer(n) oder die Information, dass es keine Rufnummer zu dem abgefragten Namen am angegebenen Wohnort gibt. Namensersuchen werden von der Bundesnetzagentur an alle teilnehmenden TK-Diensteanbieter weitergeleitet, da unbekannt ist, bei wem eine Person welche und wie viele Rufnummern innehat. Somit erzeugen verhältnismäßig wenige Namensersuchen (0,22 Mio.) eine große Anzahl Abfragen bei TK-Unternehmen (25,19 Mio.).

Bei einem Rufnummernersuchen erhalten Anfrageberechtigte Auskünfte zu Namen, Anschrift und Netzbetreiber/Service-Provider der abgefragten Rufnummer. Im Falle eines Rufnummernersuchens muss dieses an eine wesentlich geringere Anzahl von verpflichteten Unternehmen weitergeleitet werden, die Anzahl von Abfragen entspricht daher deutlich eher der Anzahl an Ersuchen. Durch das Nutzen von Filtermechanismen gab es im Jahr 2015 bei 7,4 Mio. Rufnummernabfragen von Sicherheitsbehörden lediglich 9,64 Mio. Abfragen an TK-Unternehmen.

20 Ergänzungen

  1. Hmmm … Sieben Millionen Terrorverdächtige!
    … klar sind auch ein paar Telefonterrornummern aus der Akquisitionsbranche dabei, aber das sind nur wenige!
    Das meiste werden die AA (Arbeitsämter) abgefragt haben … VoIP sage ich da nur!
    Du bist arbeitslos in Kiel gemeldet und zur Jobsuche in München … „Die“ rufen auf der Festnetznummer bei dir zu Hause an und du bist 2 Tage nicht zu Hause für diese Leute!
    … gibst du eine VoIP Nummer an, rufen sie dich in München an und sie „Denken“ du wärst zu Hause!

    Zitat:“Unser bisheriger Tipp, dass man bei der Registrierung von Prepaid-SIM-Karten einen falschen Namen angeben kann, ist seit dem neuen Anti-Terror-Paket, das im Juni beschlossen wurde, leider nicht mehr möglich.“

    Tut mir jetzt aber Leid, dieses negieren zu müssen!
    Ich habe erste letzten Monat mehrere SIM Karten auf diverse Namen aktiviert … wie?
    Nun … es ist easy … nur etwas Skrupellosigkeit ist nötig!
    Mehr schreibe ich hier nicht, man sägt nicht die Äste ab, auf denen man sitzt!

    1. Wir sind ja unter uns. Hab mir eine O2-Karte offiziell bei O2 besorgt, Ausweis war nicht nötig, nur eine Lieferadresse.

      1. Es steht schon im Gesetz (§ 150 TKG), aber die Mobilfunkanbieter haben noch eine Übergangszeit bis Mitte 2017:

        Die Pflichten zur Überprüfung der Richtigkeit der erhobenen Daten nach § 111 Absatz 1 Satz 3 und zur Speicherung der Angaben nach § 111 Absatz 1 Satz 5 sind spätestens ab dem 1. Juli 2017 zu erfüllen.

        1. Da steht zwar, die Richtigkeit der Angaben ist zu überprüfen, aber nicht, dass keine Karte verkauft werden darf, wenn die Angaben nicht stimmen.

          1. Les mal § 111

            Bei im Voraus bezahlten Mobilfunkdiensten ist die Richtigkeit der nach Satz 1 erhobenen Daten vor der Freischaltung zu überprüfen durch:

            1.
            Vorlage eines Ausweises im Sinne des § 2 Absatz 1 des Personalausweisgesetzes,
            2.
            Vorlage eines Passes im Sinne des § 1 Absatz 2 des Passgesetzes

            https://www.gesetze-im-internet.de/tkg_2004/__111.html

        2. Mhh, also was ich mir für den Plattenbau Berlin bis 1. Juli 2017 vorstellen könnte:

          Wegwerfaddresse bei Protonmail besorgen
          Fantasienamen bei Bestellung angeben
          Briefkastenschild „ergänzen“.

          Wüsste nicht, gegen welches Gesetz man dabei verstößt. Wie verhält es sich eigentlich bei Prepaidkarten aus PL oder CZ, die man fürs Roaming in Deutschland einsetzt?

  2. „Derzeit sind 107 Behörden als berechtigte Stellen registriert,“

    Wehr sind den diese Behörden? Kann man das mal hier aufzeigen? Habe gar nicht gewußt das es so viel Behörden gibt.

    1. FAQ der BNetzA zum Auskunftsverfahren:

      Abfrageberechtigt sind die in § 112 Abs. 2 Telekommunikationsgesetz aufgezählten Behörden und Notrufzentralen (110, 112 und 124=Seenotruf). Die Aufzählung ist abschließend. So sind z. B. Behörden, die lediglich Ordnungswidrigkeiten verfolgen nicht abfrageberechtigt, ausgenommen Behörden, die die Schwarzarbeit bekämpfen.

      § 112 Automatisiertes Auskunftsverfahren Telekommunikationsgesetz (TKG):

      (2) Auskünfte aus den Kundendateien nach Absatz 1 werden

      1. den Gerichten und Strafverfolgungsbehörden,
      2. den Polizeivollzugsbehörden des Bundes und der Länder für Zwecke der Gefahrenabwehr,
      3. dem Zollkriminalamt und den Zollfahndungsämtern für Zwecke eines Strafverfahrens sowie dem Zollkriminalamt zur Vorbereitung und Durchführung von Maßnahmen nach § 23a des Zollfahndungsdienstgesetzes,
      4. den Verfassungsschutzbehörden des Bundes und der Länder, dem Militärischen Abschirmdienst, dem Bundesnachrichtendienst,
      5. den Notrufabfragestellen nach § 108 sowie der Abfragestelle für die Rufnummer 124 124,
      6. der Bundesanstalt für Finanzdienstleistungsaufsicht sowie
      7. den Behörden der Zollverwaltung für die in § 2 Abs. 1 des Schwarzarbeitsbekämpfungsgesetzes genannten Zwecke über zentrale Abfragestellen

      nach Absatz 4 jederzeit erteilt, soweit die Auskünfte zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich sind und die Ersuchen an die Bundesnetzagentur im automatisierten Verfahren vorgelegt werden.

  3. Muss man wohl aus [2] einzeln auseinander klamüsern:
    Abfrageberechtigt sind die in § 112 Abs. 2 Telekommunikationsgesetz aufgezählten Behörden und Notrufzentralen (110, 112 und 124=Seenotruf). Die Aufzählung ist abschließend. So sind z. B. Behörden, die lediglich Ordnungswidrigkeiten verfolgen nicht abfrageberechtigt, ausgenommen Behörden, die die Schwarzarbeit bekämpfen.

    [1] FAQ Bundesnetzagentur
    [2] TKG § 112 Automatisiertes Auskunftsverfahren
    [3]„Sie übergeben uns nur Ihre Kundendaten im XML-Format über gesicherte Kommunikationswege“

  4. Über 7 Millionen mal? Das wäre ja bald jeder 10. Mensch dieses landes, oder rechne ich jetzt falsch? Kann das sein, das wir komplett überwacht werden? Dann müsste man unsere Regierung ja als Regime bezeichnen, oder?

    1. Natürlich … aber sage es nicht zu laut, wenn dich der Blockwart hört, kann es sein, das dieser dich auf die „Gefährderliste“ setzt und du bei der nächsten Rasterfahndung mit „gerastert“ wirst!

      Ernst oder Humor? Nun, etwas von beidem!

      Fakt ist, das unsere Behörden gerne mal Nummern überprüfen!
      … die Arge stellt gerne mal fest, ob der Bittsteller von zu Hause anruft oder von dem Telefon einer anderen Person, um dem Bittsteller zu unterstellen, eine Bedarfsgemeinschaft mit eben dieser Person zu bilden, die dann z.B. für das Auskommen des Bittstellers sorge tragen könnte!
      Ich kenne da zwei Fälle, wo das unterstellt wurde, alle beteiligten wurden genötigt, eidesstattliche Versicherungen abzugeben!
      … bei dem einen war z.B. die Telefonleitung gestört und dieser gab dann, für diesen Zeitraum, die seiner Schwester an … und für eben diesen Zeitraum wollte die Arge nicht zahlen … nur so als Background!

  5. Die Abfragen von Telefonnummern und IP Adressen ist eine wirksame Methode der Law Enforcement Behörden um Cyberkriminalität und Terrorismus zu bekämpfen. Im Rahmen von Forschungsprojekten der European Union wird daran gearbeitet neue Verfahren zu entwickeln um besser ausleuchten zu können was in den Datennetzen passiert. Nähere Informationen gibt es in den Papern http://www.it.uc3m.es/muruenya/papers/MCSS10XplicoAlerts.pdf https://www.sbs.ox.ac.uk/cybersecurity-capacity/system/files/IP%20addresses%20subject%20to%20Personal%20Data%20Regulation.pdf Das erste entstand im Rahmen des EU FP7 Forschungsprojektes, das zweite beschreibt EU Regularien zum Schutz vor Cyberthreats.

  6. Die 7 Millionen müssen relativiert werden, weil häufig mehrere SIM Karten auf eine Person registriert sind und dann vermutlich noch unzählige SIM Karten in Schubladen verstauben. Der Zusatz mit den IP Adressen dient wohl nur der Meinungsmache – entweder mit Zahlen belegen oder weglassen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.