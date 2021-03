Das Bundesinnenministerium (BMI) will kurzfristig noch in die Novellierung des Telekommunikationsgesetzes (TKG) hereinverhandeln, dass Nutzer:innen von WhatsApp, Zoom, Skype, Signal, Threema, Telegram, iMessage, Facebook-Messenger, E-Mail und allen anderen „nummernunabhängigen interpersonellen TK-Diensten“ ihre Personalien bei den jeweiligen Anbietern verifiziert hinterlegen müssen. Das geht aus einem internen Papier des Ministeriums von Horst Seehofer (CSU) hervor. Betroffen wären damit auf jeden Fall E-Mail-Dienste und alle Arten von Messengern. Da viele soziale Netzwerke auch Messenger anbieten, gibt es hier unter Umständen noch weitere Dienste, die darunter fallen könnten. Das BMI will, dass die Bürger:innen ihren Namen, die Anschrift sowie ihr Geburtsdatum den Anbietern übergeben. Diese sollen die Angaben verifizieren müssen, etwa mit Personalausweis oder Ident-Diensten.

Im BMI-Papier, welches der E-Mail-Anbieter Posteo am Dienstagabend veröffentlicht hat und das wir hier im Volltext publizieren, heißt es: „TK-Dienste sollen verpflichtet werden, Identifizierungsmerkmale zu erheben, zu verifizieren und im Einzelfall den Sicherheitsbehörden zur Verfügung zu stellen.“ Die Daten der Bürger:innen sollen zum Zweck einer möglichen künftigen Strafverfolgung flächendeckend gespeichert werden. Zusätzlich zur Vorratsdatenspeicherung der IP-Adressen, sollen nun also bei dieser Personen-Vorratsdatenspeicherung auch die Namen und Adressen aller Bürger:innen anlasslos festgehalten werden.

Posteo berichtet in dem Blogpost auch von informierten Kreisen, die bestätigten, dass das BMI möglichst viele der 15 Punkte aus dem Forderungspapier auf den letzten Metern in das Gesetz verhandeln wolle. Schon im Entstehungsprozess des Gesetzes hatte es viel Gerangel der beteiligten Ministerien gegeben, weil das Innenministerium möglichst viele Überwachungsbefugnisse in das Gesetz packen wollte.

„Beispielloser Angriff auf das freie Internet“

Linus Neumann, Sprecher des Chaos Computer Clubs, kritisiert gegenüber netzpolitik.org einen massiven Eingriff in die Grundrechte und einen maßlosen Ausbau der Überwachung aller Bürger:innen:

Das wäre ein beispielloser Angriff auf europäische Werte und das freie Internet. Dinge, mit denen wir uns sonst so gerne von China abgrenzen. Dieser Angriff auf die Kommunikationsfreiheit aller und die Meinungsfreiheit von Minderheiten sucht seinesgleichen und wäre ein maßloser Versuch, Grundrechte einzuschränken. Eine anlasslose Speicherung von Personendaten unbescholtener Bürger:innen auf Vorrat ist außerdem unverhältnismäßig und von einem autoritären Denken durchzogen, welches dem Grundgesetz widerspricht.

Es gibt noch weitere Gefahren, die mit dem Vorschlag einhergehen: Nutzer:innen müssten werbegetriebenen Datenkonzernen wie Google oder Facebook ihre wahre Identität samt Alter offenlegen. Die Verteilung von verifizierten Personendaten an Internetunternehmen in der ganzen Welt erhöht nicht nur die Attraktivität von Hacker-Angriffen, sondern führt bei Datenverlusten dazu, dass verifizierte Personendaten in Umlauf gelangen und beispielsweise für Identitätsdiebstahl genutzt werden können. Was vom BMI als Gewinn für die Sicherheit verkauft wird, würde für die Internetnutzer:innen zu mehr Unsicherheit führen.

Auch denkbar sind laut Posteo Auswirkungen auf die deutsche Internetwirtschaft, die von einer Abwanderungsbewegung der Nutzer:innen betroffen sein könnte. Das wiederum könnte dazu führen, dass internationale Dienste deutsche Nutzer:innen aussperren müssen. Inwieweit die Forderung überhaupt praktikabel umsetzbar wäre, ist ebenfalls unklar.

Nur eine Blendgranate?

Der Vorstoß von Innenminister Seehofer mutet auch deshalb absurd an, weil es in den letzten Monaten bereits Überlegungen der Bundesregierung gab, einen Identifikationszwang für Messenger einzuführen – und man sich explizit dagegen entschied. Die Idee stammt ursprünglich aus der Innenministerkonferenz und das Wirtschaftsministerium hatte erwogen, sie im neuen Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) umzusetzen. In einer schriftlichen Verbändeanhörung wurde sie jedoch von allen Seiten zerrissen. Die einhellige Meinung in Wirtschaft und Zivilgesellschaft: Grundrechtswidrig, teuer und unpraktikabel.

Am Ende entschied das Ministerium von Seehofers Unions-Kollege Peter Altmaier sich gegen den Identifizierungszwang (wir berichteten). Der Innenminister hat den Gesetzentwurf für das TTDSG gemeinsam mit dem Bundeskabinett im Februar beschlossen, jetzt versucht er es auf einem anderen Weg.

Posteo weist in seinem Blogbeitrag allerdings darauf hin, dass die Forderung nach Identifizierung aller Nutzer:innen nur ein Ablenkungsmanöver sein könnte, um von den 14 anderen Punkten des Papiers abzulenken. Es könnte dem Koalitionspartner SPD ermöglichen, das Schlimmste herauszuverhandeln und den anderen Punkten stillschweigend zuzustimmen.

Denn diese weiteren Punkte haben es in sich. So will das BMI auch Internetcafes, Krankenhäuser oder Hotels verpflichten, Daten für Auskunftsersuchen der Sicherheitsbehörden zu erheben und zu speichern. Der Kreis derer, die Daten für eine spätere mögliche Auskunft an den Staat speichern müssen, würde im großen Stil ausgebaut.

Der E-Mail-Dienstleister Posteo, der bislang nur wenige keine Daten seiner Nutzer:innen sammelt (Korrektur: Posteo wies uns daraufhin, dass sie explizit keine Daten sammeln), sieht darin einen Versuch, die Anbieter in eine ganz neue Rolle zu drängen: „Hier wird nun zielgerichtet konstruiert, dass immer alles erfasst werden muss, was für die Strafverfolgung notwendig ist – und nicht – wie bisher bei E-Mail-Diensten – nur das, was aus betrieblichen Gründen erforderlich ist.“

Mitwirkung beim Aufspielen von Staatstrojanern

Darüber hinaus will das Innenministerium Unternehmen, die Internetzugangs- oder Signalübertragungsdienste anbieten, verpflichten im Rahmen einer so genannten Quellen-TKÜ sowie bei Online-Durchsuchungen „Auskünfte zu erteilen und Hilfestellung zu gewähren“. Diese Anbieter sollen also verpflichtet werden, im Fall des Einsatzes von Staatstrojanern den Datenstrom so umzuleiten oder hierzu die notwendigen Hilfestellungen zu geben, dass die Sicherheitsbehörden Geräte von Nutzer:innen überwachen können.

Update, 3. März, 19:56 Tilo Jung hat in der Bundespressekonferenz bei der Bundesregierung nachgefragt zum Papier des BMI. Darin bestätigt das BMI nicht nur die Echtheit des Papiers, sondern rechtfertigt die geforderte Ausweispflicht bei Messengern und E-Mail: https://twitter.com/TiloJung/status/1367126037176459264 Der CDU-Digitalpolitiker und Abgeordnete Thomas Jarzombek sagte auf Twitter, dass das Papier keine Position der Regierung sei. Es handele sich um „Punkte des BMI, die in der Ressortabstimmung durchgefallen sind.“

Offenlegung: Posteo spendet regelmäßig an netzpolitik.org.

Hier das Dokument in Volltext:

Datum: 23. Februar 2021

23. Februar 2021 Behörde: Bundesministerium des Innern, für Bau und Heimat

TKG-Novelle – Themen für das parlamentarische Verfahren

Innenpolitische Forderungen / Regelungsvorschläge

1. TK-Dienste zur Mitwirkung bei der QTKÜ/ODS verpflichten

Regelungsort: Art. 1 § 169 Abs. X [neu] TKG-E (Umsetzung von Überwachungsmaßnahmen, Erteilung von Auskünften) Forderung: TK-Dienste, die Internetzugangs- oder Signalübertragungsdienste anbieten, sollen im Rahmen einer Quellen-TKÜ bzw. Online-Durchsuchung verpflichtet werden, Auskünfte zu erteilen und Hilfestellung zu gewähren (Mitwirkungspflichten bei QTKÜ/ODS). Die QTKÜ/ODS ist erforderlich, um beispielsweise nicht erfassbare Kommunikationsprogramme oder spezielle Eigenentwicklungen überwachen zu können. Erläuterung: Bestimmte TK-Diensteanbieter sollen zur Mitwirkung bei einer QTKÜ/ODS verpflichtet werden, sofern die entsprechenden Voraussetzungen zur Durchführung der QTKÜ/ODS vorliegen. Es wird mit der Regelung keine Änderung bzgl. der Rechtsgrundlage vorgenommen, sondern lediglich eine Mitwirkung im TKG konkretisiert. Dabei sollen nur diejenigen TK-Diensteanbieter verpflichtet werden, die Internetzugangs- oder Signalübertragungsdienste anbieten. Diese sollen dabei mitwirken, dass die Sicherheitsbehörden selbständig und zielgerichtet auf dem zu überwachenden Endgerät (ausschließlich auf diesem), die entsprechende Software aufbringen können. Der TK-Diensteanbieter ist damit weder für die Überwachungssoftware selbst noch für dessen Einbringung verantwortlich, sondern wirkt – wie bspw. in der Strafprozessordnung vorgegeben (z.B. gemäß §100a Abs 4 StPO) – an der Telekommunikationsüberwachung mit. Mit der vorgeschlagenen Regelung soll der TK-Diensteanbieter für die Sicherheitsbehörden den Datenstrom so umleiten bzw. die hierzu notwendigen Hilfestellungen geben, damit die Sicherheitsbehörden entsprechend die Software aufbringen können. Darüber hinausgehende Unterstützungsleistungen werden von den Unternehmen dagegen nicht abverlangt. Insbesondere eröffnet die Vorschrift nicht die Möglichkeit, Unternehmen zur Modifikation ihrer Anwendungen zu verpflichten, damit mittels dieser Anwendungen dann aus dem Endgerät Informationen ausgeleitet werden. Auch ergibt sich aus der Vorschrift keine Verpflichtung der Unternehmen, spezifische technische Vorkehrungen für die Umleitung der Kommunikation über technische Einrichtungen der berechtigten Stelle vorzuhalten. Es bleibt dabei, dass die berechtigten Stellen ausschließlich mit eigenen Werkzeugen arbeiten, und es geht ausschließlich um deren Einbringung, die ggf. von den genannten Unternehmen durch die Mithilfe bei der Umleitung des Datenstroms zu unterstützen ist. TK-Diensteanbieter, die beispielsweise ausschließlich Messengerdienste anbieten und somit keinen eigenen Zugang zum Internet anbieten, sind von dieser Regelung daher nicht betroffen. Auch werden keine Anbieter von Webseiten, Online-Händler oder Ähnliches verpflichtet. Regelungsvorschläge: Art. 1 § 169 neuer Absatz „(x) Wer eine Telekommunikationsanlage betreibt, mit der Internetzugangsdienste oder Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, erbracht werden, hat den berichtigten Stellen die zur Durchführung einer Maßnahme nach § 100a Absatz 1 Satz 2 und 3 und §100b Absatz 1 der Strafprozessordnung, §§ 49 und 51 des BKA-Gesetzes oder nach § 11 Absatz 1a des Artikel 10-Gesetzes erforderlichen Auskünfte zu erteilen und Hilfestellungen zu gewähren, insbesondere 1. die Aufstellung und den Betrieb von technischen Mitteln für die Durchführung von Maßnahmen nach § 100a Absatz 1 Satz 2 und 3 und § 100b Absatz 1 der Strafprozessordnung, §§ 49 und 51 des BKA-Gesetzes oder § 11 Absatz 1a des Artikel 10 Gesetzes in seinen Räumen zu dulden und Bediensteten der für diese Maßnahmen zuständigen Stelle Zugang zu diesen technischen Mitteln zur Erfüllung ihrer gesetzlichen Aufgaben zu gewähren sowie 2. den für den in der Anordnung genannten Anschluss bestimmten Datenstrom über technische Mittel der berechtigten Stellen für die Durchführung von Maßnahmen nach § 100a Absatz 1 Satz 2 und 3 und § 100b Abs. 1 der Strafprozessordnung, §§ 49 und 51 des BKA-Gesetzes, 11 Absatz 1a des Artikel 10 Gesetzes umzuleiten, auch wenn sich diese nicht in ihren Räumen befinden, soweit dies jeweils technisch möglich und zumutbar ist.“

2. Nummernunabhängige TK-Dienste zur Speicherung von Identifizierungsmerkmalen verpflichten

Regelungsort: Art. 1 § 171 Abs. 3 TKG-E (Daten für Auskunftsersuchen der Sicherheitsbehörden) Forderung: Diese Forderung basiert auf einer Forderung der Innenministerkonferenz (NdS / MVP). TK-Dienste sollen verpflichtet werden, Identifizierungsmerkmale zu erheben, zu verifizieren und im Einzelfall den Sicherheitsbehörden zur Verfügung zu stellen. Somit kann zur Aufklärung von Straftaten im Einzelfall die Anonymität aufgehoben werden. Erläuterung: Es wird auch weiterhin sehr schwer möglich sein, Straftäter, die anonym im Netz agieren und sich hierzu insbesondere der Messengerdienste bedienen, zu identifizieren. Die Anbieter nummernunabhängiger interpersoneller Telekommunikationsdienste sollen zukünftig verpflichtet werden von den Nutzern bei Anmeldung zu ihrem jeweiligen Telekommunikationsdienst sog. Identifizierungsmerkmale (Name, Anschrift, Geburtsdatum) zu erheben und zu speichern. Nach den aktuellen Vorgaben in § 111 TKG sind Anbieter von Telekommunikationsdiensten, die Rufnummern oder andere Anschlusskennungen vergeben, verpflichtet, konkret benannte Bestandsdaten vor der Freischaltung zu erheben und unverzüglich zu speichern. Anbieter von Prepaid-Mobilfunkdiensten sind darüber hinaus verpflichtet, die erhobenen Bestandsdaten vor Freischaltung zu verifizieren. Bei dieser Verpflichtung geht es um diejenigen TK-Diensteanbieter, die nummernunabhängige TK-Dienste anbieten, also insbesondere Messenger-Dienste und E-Mail-Dienste. Die auf diese Weise erhobenen Identifizierungsmerkmale können dann durch die Sicherheitsbehörden im Einzelfall bei Vorliegen der rechtlichen Voraussetzung im Rahmen einer Bestandsdatenabfrage abgefragt werden. In erster Linie zielt diese Regelung auf Messengerdienste ab, die primär durch ausländische Anbieter wie bspw. WhatsApp und Facebook angeboten werden. Diese haben inzwischen die klassische Telefonie und SMS in vielen Fällen abgelöst. Bei nummerngebundenen interpersonellen TK-Diensten mit Laufzeitverträgen (z.B. Festnetz- und Mobiltelefonverträgen) ist eine Verpflichtung zur Verifikation der erhobenen Daten im Regelfall nicht notwendig, da diese – bspw. für die Rechnungsstellung – ein Eigeninteresse an validen Identifizierungsmerkmalen haben und daher i.d.R. auch beauskunften können. Da im Rahmen des TKG keine Vorgaben für Telemediendienste geregelt werden, fallen die Dienste vieler Start-Ups, wie beispielsweise Anbieter von Webseiten, Online-Händler oder Ähnliches nicht unter diese Regelung. Es ist davon auszugehen, dass der Aufwand auf Seiten der verpflichteten TK-Diensteanbieter sich – zumindest teilweise – in Grenzen hält, da bereits Identifizierungsmerkmale zum Teil jetzt schon erhoben werden, um diese als geldwerten Vorteil zu nutzen. Des Weiteren wäre selbst ein Erfüllungsaufwand im hohen zweistelligen Millionen-Bereich verhältnismäßig, da dem ein geringfügiger Mehraufwand des einzelnen Nutzers und eine signifikante Verbesserung der Strafverfolgung gegenüberstehen. Regelungsvorschläge: Einfügung eines Satzes zu Beginn des Art. 1 § 171 Absatz 2 Satz 1 TKG-E neu (2) Die Richtigkeit der nach Absatz 1 Satz 1 Nummer 3 und 4 erhobenen Daten ist zu überprüfen. Sowie Einfügungen in Art. 1 § 171 Absatz 3 TKG-E: „(3) Die Verpflichtung zur unverzüglichen Erhebung und Speicherung nach Absatz 1 Satz 1 gilt hinsichtlich der Daten nach Absatz 1 Satz 1 Nummer 1, 3 und 4 entsprechend für denjenigen, der nummernunabhängige interpersonelle Telekommunikationsdienste erbringt und dabei Daten nach Absatz 1 Satz 1 Nummer 1, 3 und 4 erhebt, wobei an die Stelle der Daten nach Absatz 1 Satz 1 Nummer 1 die entsprechenden Kennungen des Dienstes und an die Stelle des Anschlussinhabers nach Absatz 1 Satz 1 Nummer 3 der Nutzer des Dienstes tritt. Die Richtigkeit der nach Absatz 1 Satz 1 Nummer 3 und 4 erhobenen Daten ist zu überprüfen. Absatz 2 Satz 2 gilt entsprechend“

3. TK-Dienste zur unverzüglichen, vollständigen Übermittlung von Bestandsdaten verpflichten

Regelungsort: Art. 1 § 173 Abs. 6 TKG-E (Manuelles Auskunftsverfahren) Forderung: Übernahme der im aktuell geltenden TKG bereits bestehenden Verpflichtung zur unverzüglichen und vollständigen Übermittlung von Bestandsdaten. Im derzeit geltenden TKG ist diese Verpflichtung noch enthalten. Im dem vom Kabinett am 16.12.2020 beschlossenen Entwurf fehlt diese Regelung. Erläuterung: In Einzelfällen und sofern die rechtlichen Voraussetzungen vorliegen, sollen die TK-Diensteanbieter verpflichtet werden, „unverzüglich und vollständig“ die Bestandsdaten an die Sicherheitsbehörden zu übermitteln. In der aktuellen Fassung des TKG-E ist die Regelung zur „unverzüglichen und vollständigen“ Beauskunftung entfallen. Wie im geltenden Telekommunikationsgesetz geregelt (§ 113 Abs. 4 TKG) soll auch weiterhin derjenige, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, verpflichtet werden, zu beauskunftende Daten unverzüglich und vollständig zu übermitteln. Diese Pflicht für TK-Diensteanbieter im TKG ist für die Sicherheitsbehörden zwingend notwendig, um bei zeitkritischen Lagen (z. B. Anschlagsgefahr) entsprechend reagieren zu können. Auch das vom Bundestag beschlossene Gesetz zur Anpassung der Regelungen über die Bestandsdatenauskunft an die Vorgaben aus der Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020 überführt diese Regelung unverändert. Regelungsvorschlag: Einfügung eines neuen Satzes 1 in § 173 Abs. 6 TKG-E (6) Derjenige, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, hat die zu beauskunftenden Daten unverzüglich und vollständig zu übermitteln. Über das Auskunftsersuchen und die Auskunftserteilung haben die Verpflichteten gegenüber den Betroffenen sowie Dritten Stillschweigen zu wahren.

4. Regelungen der Pflichten für TK-Diensteanbieter im TKG

Regelungsort: BMI wünscht Anpassung der Gesetzesbegründung zu Art. 1 § 169 TKG-E (Umsetzung von Überwachungsmaßnahmen, Erteilung von Auskünften) Forderung: Es muss auch zukünftig in der Gesetzesbegründung klar formuliert werden, wie das Verhältnis bzw. die Systematik zwischen TKG und den jeweiligen Fachgesetzen (bspw. BPolG oder BKAG) ist. Erläuterung: Wenn aufgrund des Verfahrensstandes keine Änderungen mehr in der Gesetzesbegründung aufgenommen werden können, sollte im Ausschussbericht ein Hinweis erfolgen. Formulierungsvorschlag für Beschlussempfehlung des federführenden Wirtschaftsausschusses: Es wird klargestellt, dass die Novellierung des TKG die bestehende Systematik zwischen TKG und den jeweiligen Fachgesetzen (z. BKAG, BVerfSchG BPolG) nicht verändert. Die Anforderungen an die Telekommunikationsdienste hinsichtlich der Umsetzung der Maßnahmen zur Telekommunikationsüberwachung regelt das TKG auch weiterhin. Gleiches gilt für die unverzügliche und vollständige Übermittlung der zu beauskunftenden Bestandsdaten durch Telekommunikationsdienste.

5. Begriffsbestimmung Bestandsdaten anpassen

Regelungsort: Art. 1 § 3 Nr. 6 TKG-E (Begriffsbestimmungen) Forderung: Beibehaltung der Begriffsbestimmung des geltenden TKGs, damit von der Begriffsdefinition alle Bestandsdaten umfasst werden, die durch den TK-Diensteanbieter erhoben werden. Erläuterung: Die Begriffsdefinition muss alle Bestandsdaten erfassen, die durch die TK-Diensteanbieter erhoben werden, dies entspricht auch dem geltenden Recht (Begriffsdefinition in § 3 Nummer 3 TKG). Welche Bestandsdaten im Einzelfall an die berechtigten Stellen dann beauskunftet werden dürfen, regelt § 173 TKG-E in Verbindung mit den Fachgesetzen und der DS-GVO. Die Zulässigkeit der Verarbeitung richtet sich nach den datenschutzrechtlichen Bestimmungen der DS-GVO. Da Bestandsdaten ein wesentliches erstes Instrument für die weitere Ermittlung darstellen, gefährdet jede zusätzliche Einschränkung den Ermittlungserfolg. Die aktuelle Fassung des TKG-E schränkt bereits in der Definition den Begriff der Bestandsdaten auf „Bestandsdaten, die erforderlich sind, für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste“, erheblich ein. Im noch geltenden TKG gibt es diese Beschränkung nicht. Bestandsdaten dürfen gemäß § 95 Absatz 1 TKG nur erhoben und verwendet werden, soweit dies für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erforderlich ist. Im Rahmen der Bestandsdatenauskunft nach § 113 TKG werden die nach §§ 95 und 111 TKG erhobenen Bestandsdaten beauskunftet. Regelungsvorschlag: Streichung und Ergänzung des § 3 Nummer 6 TKG-E 6. „Bestandsdaten“ Daten eines Endnutzers, die erforderlich sind für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden; Neufassung des Satzes 1 in Art. 1 § 173 Abs. 1 TKG-E: Wer Telekommunikationsdienste erbringt oder daran mitwirkt, darf von ihm nach der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) erhobene Bestandsdaten sowie die nach § 171 erhobenen Daten nach Maßgabe dieser Vorschrift zur Erfüllung von Auskunftspflichten gegenüber den in Absatz 3 genannten Stellen verwenden.

6. Begriffsbestimmung Verkehrsdaten anpassen

Regelungsort: Art. 1 § 3 Nr. 70 TKG-E (Begriffsbestimmungen) Forderung: Beibehaltung der Begriffsbestimmung des geltenden TKGs, damit von der Begriffsdefinition alle Verkehrsdaten umfasst werden, die durch den TK-Diensteanbieter erhoben werden. Erläuterung: Die aktuelle Fassung des TKG-E schränkt bereits in der Definition den Begriff der „Verkehrsdaten“ auf „Verkehrsdaten, deren Erhebung, Verarbeitung oder Nutzung bei der Erbringung eines Telekommunikationsdienstes erforderlich sind“, erheblich ein. Die Begriffsdefinition muss alle Verkehrsdaten erfassen, die durch die TK-Diensteanbieter erhoben werden, dies entspricht auch dem geltenden Recht (Begriffsdefinition in § 3 Nummer 30 TKG). Welche Verkehrsdaten im Einzelfall an die berechtigten Stellen beauskunftet werden dürfen, regelt § 176 TKG-E in Verbindung mit den Fachgesetzen und dem Telekommunikations- und Telemediendatenschutzgesetz (TTDSG-E). § 9 TTDSG-E ersetzt die Regelung des § 96 TKG. Da Verkehrsdaten ein wesentliches Instrument für die weitere Ermittlung darstellen, gefährdet jede zusätzliche Einschränkung den Ermittlungserfolg. Regelungsvorschlag: Ergänzung und Streichung im Art. 1 § 3 Nummer 70 TKG-E „Verkehrsdaten“ Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden; deren Erhebung, Verarbeitung oder Nutzung bei der Erbringung eines Telekommunikationsdienstes erforderlich sind;

7. Verpflichtung zur Datenerhebung für Auskunftsersuchen

Regelungsort: Art. 1 § 171 Abs. 1 Satz 1 TKG-E (Daten für Auskunftsersuchen der Sicherheitsbehörden) Forderung: Die bestehenden Regelungen des aktuell geltenden TKG (§ 111 TKG) sind in das Gesetz zu übernehmen, damit auch künftig u.a. diejenigen von der Datenerhebungspflicht erfasst werden, die an einem TK-Dienst mitwirken. Ziel ist es, auch zukünftig alle wesentlichen Anbieter von TK-Diensten zu verpflichten, beispielsweise Rufnummern, Anschlusskennungen und Anschrift des Anschlussinhabers herauszugeben. Wichtig ist zudem aus Sicht der Sicherheitsbehörden, dass auch die Internetzugangsdienste hier als Verpflichtete explizit im Gesetzeswortlaut aufgenommen werden. Erläuterung: Alle TK-Diensteanbieter einschließlich der an der Erbringung der TK Dienste Mitwirkenden sollen verpflichtet werden, Daten für Auskunftsersuchen der Sicherheitsbehörden zu erheben und zu speichern. Dies entspricht dem geltenden Recht in § 111 Absatz 1 TKG. Die Erfassung von Mitwirkenden ist erforderlich, wenn diese einen eigenverantwortlichen Zugriff auf die zu schützenden Daten erlangen und nicht ohnehin bereits dadurch als Diensteanbieter zu klassifizieren sind. Es ist denkbar, dass auch Auftragsverarbeiter an der Erbringung von Telekommunikationsdiensten mitwirken. Des Weiteren können Fallkonstellationen bestehen, in denen Dritte einen eigenen Zugriff auf die Daten haben und datenschutzrechtlich mitverantwortlich sind, ohne aber selbst Diensteanbieter zu sein. Neben den nummerngebundenen interpersonellen Telekommunikationsdiensten und Signalübertragungsdiensten (die im aktuellen Entwurf erfasst sind) sollen auch Internetzugangsdienste und insbesondere alle Mitwirkenden ausdrücklich miterfasst werden. Telekommunikationsdienste sind verpflichtet, wie auch bislang, die erhobenen Daten auf ihre Richtigkeit hin zu überprüfen. Es handelt sich bei diesem Satz lediglich um eine Klarstellung. Die Vorgaben zur Erhebung von Daten für Zwecke der Auskunftserteilung an Sicherheitsbehörden verfehlten ihren Sinn und Zweck, wenn nicht auch korrekte Daten erhoben würden. Ohne eine Überprüfung der Daten kann keine verlässliche Datengrundlage geschaffen werden. Für im Voraus bezahlte Mobilfunkdienste muss diese Prüfung vor Freischaltung erfolgen. Bei anderen Diensten kann dies zu einem anderen Zeitpunkt erfolgen. Regelungsvorschlag: Ergänzungen im Art. 1 § 171 Absatz 1 TKG-E § 171 – Daten für Auskunftsersuchen der Sicherheitsbehörden (1) Wer nummerngebundene interpersonelle Telekommunikationsdienste, Internetzugangsdienste oder Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, erbringt oder daran mitwirkt und dabei Rufnummern oder andere Anschlusskennungen vergibt oder Telekommunikationsanschlüsse für von anderen vergebenen Rufnummern oder andere Anschlusskennungen bereitstellt, hat für die Auskunftsverfahren nach den §§ 172 und 173 vor der Freischaltung folgende Daten zu erheben und unverzüglich zu speichern, auch soweit diese Daten für betriebliche Zwecke nicht erforderlich sind: 1. die Rufnummern, 2. andere von ihm vergebene Anschlusskennungen, 3. den Namen und die Anschrift des Anschlussinhabers, 4. bei natürlichen Personen deren Geburtsdatum, 5. bei Festnetzanschlüssen die Anschrift des Anschlusses, 6. in Fällen, in denen neben einem Mobilfunkanschluss auch ein Mobilfunkendgerät überlassen wird, die Gerätenummer dieses Gerätes sowie 7. das Datum der Vergabe der Rufnummer und soweit abweichend das Datum des Vertragsbeginns. Das Datum der Beendigung der Zuordnung der Rufnummer und sofern davon abweichend das Datum des Vertragsendes sind bei Bekanntwerden ebenfalls zu speichern. Die Sätze 1 und 2 gelten auch, sofern die Daten nicht in Endnutzerverzeichnisse eingetragen werden. Die Richtigkeit der nach Satz 1 Nummer 3 und 4 erhobenen Daten ist zu überprüfen. Für das Auskunftsverfahren nach § 173 ist die Form der Datenspeicherung freigestellt.

8. Zusammenhängende und vollständige Überwachungskopie

Regelungsort: Art. 1 § 169 Abs. 6 TKG-E (Umsetzung von Überwachungsmaßnahmen, Erteilung von Auskünften) Forderung: Bereits heute liegen bei Telekommunikationsüberwachungsmaßnahmen (TKÜ-Maßnahmen) oftmals Überwachungskopien vor, die bsp. in verschiedene Fragmente aufgeteilt oder passagenweise gedoppelt sind. Es wird daher gefordert, dass im Rahmen einer TKÜ nicht nur eine vollständige, sondern genau eine zusammenhängende Überwachungskopie durch den Anbieter von TK-Diensteanbieter an die Sicherheitsbehörde auszuleiten ist. Erläuterung: In der Ermächtigungsgrundlage für die Technische Richtlinie für die Umsetzung von Maßnahmen zur Telekommunikationsüberwachung (TR TKÜV) soll ausdrücklich die Möglichkeit aufgenommen werden, Vorgaben zur Sicherstellung einer zusammenhängenden Erfassung der zu überwachenden Telekommunikation zu machen. Dies ist insbesondere bei zeitkritischen Lagen zwingend notwendig, um zeitnah die Gesprächsinhalte auswerten zu können. Da bisher keine Verpflichtung für die Anbieter besteht eine zusammenhängende und vollständige Kopie auszuleiten, muss zunächst seitens der Sicherheitsbehörden dies entweder selbst vorgenommen werden oder es müssen parallel Auswertungen vorgenommen werden, die zu großen Teilen den selben Inhalt aufweisen können. Neben dem erhöhten Aufwand auf Seiten der Sicherheitsbehörden kann dies insbesondere in Zeitkritischen Lagen (Überwachung potentieller Attentäter oder mögliche kurz bevorstehende Anschläge) zu erheblichen und gefährlichen Zeitverzögerungen bei der Auswertung führen. Die Bundesnetzagentur wird berechtigt und verpflichtet technische Einzelheiten festzulegen, um die Sicherstellung einer zusammenhängenden und vollständigen Erfassung der zur überwachenden Telekommunikation zu garantieren. Aufgrund der komplexen Architektur der 5G-Netztechnologie (u. a. durch Virtualisierungen und Network Slicing) werden zukünftig mitunter mehrere Erfassungspunkte und unterschiedliche zu überwachende Kennungen innerhalb einer TKÜ-Maßnahme existieren, weshalb diese Regelung an Bedeutung gewinnen wird. Derzeit werden die geschilderten Probleme und mögliche Lösungen im Rahmen einer federführend vom LKA Stuttgart gegründeten Bund-Länder-Expertengruppe diskutiert KomGÜT). An dieser Expertengruppe wirken die Bundesnetzagentur, alle Netzbetreiber, verschiedene berechtigten Stellen (u.a. BKA) und vor allem die Hersteller der Auswertetechnik der berechtigten Stellen mit. Sofern hier Optimierungsmöglichkeiten gefunden werden, können diese durch eine Anpassung der TR TKÜV verpflichtend vorgegeben werden. Regelungsvorschlag: Ergänzung im Art. 1 §171 Abs. 7 TKG-E (7) Die Bundesnetzagentur legt technische Einzelheiten zur Umsetzung von Maßnahmen zur Überwachung der Telekommunikation, insbesondere technische Einzelheiten, die zur Sicherstellung einer zusammenhängenden und vollständigen Erfassung der zu überwachenden Telekommunikation und zur Auskunftserteilung sowie zur Gestaltung des Übergabepunktes zu den berechtigten Stellen und zur Speicherung der Anordnungsdaten sowie zu den Mitwirkungspflichten bei technischen Ermittlungsmaßnahmen bei Mobilfunkendgeräten nach § 170 erforderlich sind, in einer im Benehmen mit den berechtigten Stellen und unter Beteiligung der Verbände und der Hersteller zu erstellenden Technischen Richtlinie fest. Dabei sind internationale technische Standards zu berücksichtigen; Abweichungen von den Standards sind zu begründen.

9. TK-Dienste zur unverschlüsselten Ausleitung in Roaming-Fällen verpflichten

Regelungsort: Art. 1 § 169 Abs. 13 neu TKG-E (Umsetzung von Überwachungsmaßnahmen, Erteilung von Auskünften) Forderung: Strafverfolgungsbehörden sollen auch bei Roaming von ausländischen Endgeräten/SIM-Karten, die in DEU eingesetzt werden, eine unverschlüsselte Überwachungskopie erhalten. Erläuterung: Sofern die rechtlichen Bedingungen vorliegen, sollen die Netzbetreiber bei Roaming-Szenarien verpflichtet werden, auch weiterhin Gesprächsinhalte von Straftätern auszuleiten. Derzeit besteht eine Regelung, nach der im Rahmen der TKÜ eine unverschlüsselte Ausleitung von Gesprächen erfolgen muss, wenn das TK-Unternehmen die Verschlüsselung selbst vornimmt und die Verschlüsselung daher aufheben kann. In den Fällen, bei denen der ausländische Heimnetzbetreiber die Verschlüsselung vornimmt, ist dies nicht möglich. Die Änderung der technischen Abwicklung von Roaming-Gesprächen (verschlüsselte VOIP Telefonate ins Heimnetz) hat erhebliche Auswirkungen auf die Wirksamkeit von TKÜ-Maßnahmen. Roaming-Partner werden zukünftig oftmals lediglich einen verschlüsselten Gesamtdatenstrom transportieren. Somit besteht für die Netzbetreiber in Deutschland – da Sie die Verschlüsselung nicht selbst initiiert haben – faktisch keine Möglichkeit zur Entschlüsselung. Dies bedeutet in der Praxis, dass Gesprächsinhalte von Straftätern, die ihre Gespräche in Deutschland über eine ausländische SIM-Karte führen, nicht mehr im Klartext ausgeleitet werden können. Vor diesem Hintergrund wird eine neue Pflicht für Betreiber öffentlicher Mobilfunknetze eingeführt, die vorschreibt, eine unverschlüsselte Kopie in ihren Roaming-Verträgen in der EU vorzusehen, sofern Standards hierfür existieren. Die Regelung ist auf Roamingpartner in der EU beschränkt. Eine von den Endnutzern selbst aufgebrachte Verschlüsselung bleibt hiervon unberührt. Die Pflicht kann jedoch nur eingehalten werden, wenn deutsche Netzbetreiber dies mit ihren Roaming-Vertragspartnern entsprechend vertraglich vereinbaren. Regelungsvorschläge: Einfügung eines neuen Absatzes 13 in Art. 1 § 169 Absatz 1 (13) Betreiber von öffentlichen Mobilfunknetzen, die Nutzer eines Betreibers von öffentlichen Mobilfunknetzen in der europäischen Union nach Absprache anschließen und zu dessen Telekommunikationsanlage vermitteln, haben bei der durch ihn bereitzustellenden Überwachungskopie sicherzustellen, dass eine durch den ausländischen Betreiber netzseitig aufgebrachte Verschlüsselung zu dessen Nutzern aufgehoben wird, soweit hierfür standardisierte Verfahren zur Verfügung stehen, die in der Technischen Richtlinie nach Absatz 6 beschrieben werden. Einfügung eines neuen Buchstaben f) in Art. 169 Abs. 5 (5) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates 1. Regelungen zu treffen a) über die grundlegenden technischen Anforderungen und die organisatorischen Eckpunkte für die Umsetzung von Überwachungsmaßnahmen und die Erteilung von Auskünften einschließlich der Umsetzung von Überwachungsmaßnahmen und der Erteilung von Auskünften durch einen von dem Verpflichteten beauftragten Erfüllungsgehilfen und die Speicherung von Anordnungsdaten sowie zu den Mitwirkungspflichten bei technischen Ermittlungsmaßnahmen bei Mobilfunkendgeräten nach § 168, b) über den Regelungsrahmen für die Technische Richtlinie nach Absatz 6, c) für den Nachweis nach Absatz 1 Nummer 4 und 5, und d) für die nähere Ausgestaltung der Duldungsverpflichtung nach Absatz 1 Nummer 6, e) für die nähere Ausgestaltung der Auskunftserteilung nach Absatz 12 und f) für die nähere Ausgestaltung der Sicherstellungspflichten nach Absatz 13 sowie 2…

10. Unentdeckte Nutzung des IMSI-Catchers sicherstellen

Regelungsort: Art. 1 § 170 Satz 1 TKG-E (Mitwirkung bei technischen Überwachungsmaßnahmen) Forderung: Es ist durch die Mobilfunknetzbetreiber sicherzustellen, dass die Sicherheitsbehörden IMSI-Catcher einsetzen können, ohne dass dies dem Endnutzer bekannt wird. Erläuterung: Nach dem TKG-E werden Mobilfunkbetreiber verpflichtet, auch weiterhin den Einsatz von IMSI-Catchern bei gesetzlich geregelten Ermittlungsmaßen zu ermöglichen. Bislang ist eine Mitwirkungshandlung der Mobilfunknetzbetreiber beim Einsatz des IMSI-Catchers nicht erforderlich, da diese Geräte sich „einfach“ selbst im Mobilfunknetz als Funkzelle ausgeben. In neuen Mobilfunknetzen müssen dagegen ins Netz eingebrachte Geräte vom Netz aktiv „akzeptiert“ werden, und können ansonsten nicht genutzt werden. Dadurch wird die Einbringung von IMSI-Catchern „bisheriger Machart“ in den neuen Netzen nicht mehr möglich sein. Positiv zu würdigen ist, dass zukünftig somit Unbefugte, wie z.B. ausländische Nachrichtendienste diese nicht mehr einsetzen können. Gleichzeitig wird es dadurch aber auch den deutschen Sicherheitsbehörden nicht mehr möglich ohne eine Mitwirkung des Mobilfunkbetreibers einen IMSI-Catcher einzusetzen. Die hierfür notwendigen Regelungen zur Mitwirkung des Mobilfunkbetreibers sind bereits im Entwurf des TKG enthalten, jedoch fehlt die notwendige Ergänzung, dass die Einbringung eines IMSI-Catchers seitens befugter deutscher Sicherheitsbehörden dem Endnutzer nicht bekannt werden darf. Regelungsvorschlag: Art. 1 § 170 TKG-E § 170 – Mitwirkung bei technischen Ermittlungsmaßnahmen bei Mobilfunkendgeräten Jeder Betreiber eines öffentlichen Mobilfunknetzes hat den berechtigten Stellen nach § 100i Absatz 1 der Strafprozessordnung, § 53 BKAG, § 22a BPolG, [ZfdG], § 9 Absatz 4 des Bundesverfassungsschutzgesetzes, auch in Verbindung mit § 5 des MAD-Gesetzes und § 5 des BND-Gesetzes, oder nach Landesrecht nach Maßgabe der Rechtsverordnung nach § 169 Absatz 5 und der Technischen Richtlinie nach § 169 Absatz 6 ohne dass dies dem Endnutzer bekannt wird Folgendes zu ermöglichen: 1. den Einsatz von technischen Mitteln der berechtigten Stellen in seinem Mobilfunknetz, die der zur Ermittlung folgender Informationen von Mobilfunkendgeräten dienen: a) des Standortes, b) der Gerätenummer, c) der Kennung zur Identifizierung des Anschlusses und d) der des Standortes von empfangsbereiten Mobilfunkendgeräten und zur Ermittlung von temporären oder dauerhaften Anschlusskennungen, die Mobilfunkendgeräten in seinem Mobilfunknetz zugewiesen sind, zu ermöglichen sowie 2. eine automatisierte Auskunftserteilung über die temporär und dauerhaft in seinem Mobilfunknetz zugewiesenen Anschlusskennungen unverzüglich zu erteilen. § 169 Absatz 6 und 10 gilt entsprechend. Verpflichtungen nach Maßgabe des § 169 bleiben unberührt.

11. Erhebung von genaueren Standortdaten

Regelungsort: Art. 39 Nummer 4 neu § 7 Abs. 1 Nummer 7 TKÜV Forderung: Die Provider sollten verpflichtet werden in spezifischen Gefahrenlagen (Terrorlagen, Entführungen, suizidgefährdete Personen), alle vorhandenen Daten nach dem Stand der Technik und mit der größtmöglichen Genauigkeit zum Standort eines Endgeräts an die Sicherheitsbehörden zu übermitteln. Derzeit werden von den Providern nur die Standortdaten der Funkmasten aber nicht die Standortdaten der Mobilfunkendgeräte übermittelt. Diese Daten sind bei spezifischen Gefahrenlagen aber viel zu ungenau. Erläuterung: Sofern die rechtlichen Bedingungen vorliegen, sollen die Mobilfunkbetreiber genaue Standortdaten an die Sicherheitsbehörden übermitteln. Im Rahmen einer Telekommunikationsüberwachung werden derzeit lediglich die GPS-Koordinaten des Funkanlagenstandortes („Funkzelle“) durch die Verpflichteten an die berechtigte Stelle übermittelt. Je nach Standort und topografischen Gegebenheiten, kann durch eine Funkzelle ein sehr großer Radius von bis zu 70 km rund um den Standort des Funkanlagenstandortes versorgt werden, in dem sich das zu überwachende bzw. zu lokalisierende Endgerät befindet. Für die Ortung von beispielsweise Entführten oder Vermissten sind diese Genauigkeiten in Wald- oder Stadtgebieten unzureichend. In den Mobilfunknetzen aller Generationen liegen aber bereits jetzt schon dem Mobilfunkbetreiber standortrelevante Daten vor, die eine weitaus genauere Positionierung des mobilen Endgerätes zulassen. Zur Rechtssicherheit und Rechtsklarheit soll nunmehr geregelt werden, dass nicht nur wie bisher die Standortdaten des Funkanlagenstandortes („Funkzelle“) an die berechtigte Stelle zu übermitteln sind, sondern auch zusätzlich der tatsächliche Standort des mobilen Endgerätes. Dies soll mit der bestmöglichen Genauigkeit nach dem aktuellen Stand der Technik umgesetzt werden. Hierbei sind explizit die Standortdaten adressiert, die dem Netzbetreiber aufgrund des Betriebs der mobilen Endgeräte bereits jetzt schon zur Verfügung stehen. Vor diesem Hintergrund soll geregelt werden, dass die BNetzA und die berechtigten Stellen in der TKÜV im Einzelnen festlegen können, welche Standortdaten im Netz zur Verfügung stehen und bei der TKÜ mitgeteilt werden müssen. Regelungsvorschlag: Einfügung neuer Nummer 4 in Art. 39 Änderung der Telekommunikations-Überwachungsverordnung (TKÜV) § 7 Absatz 1 Nummer 7 wird wie folgt gefasst: „bei einer zu überwachenden Kennung, deren Nutzung nicht ortsgebunden ist, Angaben zum Standort des Endgerätes mit der größtmöglichen Genauigkeit, die in dem das Endgerät versorgenden Netz für diesen Standort nach Maßgabe der Technischen Richtlinie nach § 36 unter Berücksichtigung des Stands der Technik zur Verfügung steht; zur Umsetzung von Anordnungen, durch die Angaben zum Standort des empfangsbereiten, der zu überwachenden Kennung zugeordneten Endgerätes verlangt werden, hat der Verpflichtete seine Überwachungseinrichtungen so zu gestalten, dass sie diese Angaben automatisch erfassen und an die berechtigte Stelle weiterleiten;“.

12. Erreichbarkeiten der TK-Dienste verbessern

Regelungsort: Art. 1 § 173 Abs. 7 Satz 4 TKG-E (Manuelles Auskunftsverfahren) Forderung: Die Erreichbarkeit von TK-Diensten im Rahmen der manuellen Bestandsdatenauskunft ist zu verbessern. Eine Regelung ist nun notwendig, da sich auf dem Markt neben den etablierten Diensteanbietern (mit guter Erreichbarkeit) inzwischen weitere Diensteanbieter hinzugekommen sind. Erläuterung: Verpflichteter ist wer Telekommunikationsdienste erbringt oder daran mitwirkt. Mit der Regelung soll sichergestellt werden, dass die Reaktionszeiten, die bisher nur für die Umsetzung von Anordnungen zur Überwachung der Telekommunikation gelten, künftig auch für Auskunftsverlangen der Sicherheitsbehörden im Rahmen des Manuellen Auskunftsverfahrens nach § 173 des Telekommunikationsgesetzes gelten sollen, weil die erfragten Bestandsdaten der Vorbereitung der Anordnungen dienen und insbesondere für den Erlass sog. Eilanordnungen in kurzer Zeit (auch außerhalb der Dienstzeit) benötigt werden. Ohne diese Regelung treten bei den Sicherheitsbehörden nicht vertretbare zeitliche Verzögerungen bei Ermittlungen und insbesondere der Gefahrenabwehr ein. Sicherheitsbehörden müssen bei ihrer Aufgabenerfüllung auf aktuelle Telekommunikationsdaten zurückgreifen. Ohne Mindestspeicherfristen für Telekommunikationsdaten kann der Anschluss zu einer IP-Adresse häufig nur bestimmt werden, so lange die Verbindung besteht. Daher laufen Datenabfragen bei Providern zu IP-Adressen teilweise bereits mit nur wenigen Stunden Verzögerung ins Leere. Im Bereich der Cyberabwehr ist eine schnellstmögliche Umsetzung von Überwachungsmaßnahmen notwendig, um die Angreifer überhaupt ermitteln zu können. Der nachfolgende Vorschlag führt für die TK-Unternehmen zu einem überschaubaren Mehraufwand, da die damit Verpflichteten ohnehin einen Bereitschaftsdienst für die Umsetzung von Überwachungsmaßnahmen eingerichtet haben. Regelungsvorschläge: Einfügung Paragraphenverweis in Art. 1 § 173 Absatz 7 TKG-E (7) Wer öffentlich zugängliche Telekommunikationsdienste erbringt, hat für die Entgegennahme der Auskunftsverlangen sowie für die Erteilung der zugehörigen Auskünfte gesicherte elektronische Schnittstellen nach Maßgabe der Verordnung nach § 169 Absatz 5 und der Technischen Richtlinie nach § 169 Absatz 6 bereitzuhalten, durch die auch die gegen die Kenntnisnahme der Daten durch Unbefugte gesicherte Übertragung gewährleistet ist. Dabei haben Verpflichtete mit 100 000 oder mehr Nutzern die Schnittstelle sowie das E-Mail-basierte Übermittlungsverfahren nach der Technischen Richtlinie nach § 169 Absatz 6 bereitzuhalten. Verpflichtete mit weniger als 100 000 Nutzern müssen nur das E-Mail-basierte Übermittlungsverfahren bereithalten. Darüber hinaus gilt für die Entgegennahme der Auskunftsverlangen sowie für die Übermittlung der zugehörigen Auskünfte § 12 Abs. 1, § 31 Absatz 2 Satz 2 bis 4 sowie Absatz 6 und 7, § 34 Absatz 1 Satz 1 und 3 und Absatz 2 sowie § 35 der Verordnung nach § 169 Absatz 5 entsprechend. Die Verpflichteten haben dafür Sorge zu tragen, dass jedes Auskunftsverlangen durch eine verantwortliche Fachkraft auf Einhaltung der in Absatz 2 genannten formalen Voraussetzungen geprüft und die weitere Bearbeitung des Verlangens erst nach einem positiven Prüfergebnis freigegeben wird. Die Prüfung und Freigabe durch eine verantwortliche Fachkraft nach Satz 5 kann unterbleiben, sofern durch die technische Ausgestaltung der elektronischen Schnittstelle die Einhaltung der in Absatz 2 genannten formalen Voraussetzungen automatisch überprüft werden kann. Einfügung eines Satzes in § 12 Abs. 1 TKÜV Art. 39 Änderungen der Telekommunikations-Überwachungsverordnung (TKÜV) Nummer 5 neu 5. In § 12 Absatz 1 wird folgender Satz angefügt: „Die Sätze 1 bis 6 gelten entsprechend für Auskunftsverlangen nach § 171 des Telekommunikationsgesetzes für diejenigen Verpflichteten, die nach § 3 verpflichtet sind, technische Vorkehrungen für die Umsetzung von Überwachungsmaßnahmen vorzuhalten.“

13. TK-Dienste zur Erteilung von Auskünften u.a. zu Netzstrukturen verpflichten

Regelungsort: Art. 1 § 169 Abs. 12 neu TKG-E (Umsetzung von Überwachungsmaßnahmen, Erteilung von Auskünften) Forderung: Netzbetreiber, Betreiber von TK-Anlagen und Anbieter von TK-Diensten – auch Anbieter von Messengerdiensten (Over-The-Top-Dienste) – sollen verpflichtet werden, Sicherheitsbehörden Auskünfte über die Struktur der Netze, Anlagen und Dienste zu erteilen, damit die Überwachungsmaßnahmen durchgeführt werden können. Diese Auskünfte sind erforderlich, da die heutigen Netzstrukturen, Anlagen und Dienste zunehmend komplexer werden und somit die Überwachungstechnik individueller auf die jeweiligen Architekturen und Szenarien abgestimmt werden muss. Erläuterung: Die Norm begründet für Betreiber von Telekommunikationsnetzen und von Telekommunikationsanlagen sowie Anbieter von Telekommunikationsdiensten die Pflicht, den berechtigten Stellen, die für die einzelfallbezogene Umsetzung von Überwachungsmaßnahmen erforderlichen Auskünfte über die Strukturen der von ihnen betrieben Telekommunikationsnetze und Telekommunikationsanlagen sowie über die von ihnen erbrachten Telekommunikationsdiensten zu erteilen. Diese Auskünfte dienen dem Zweck, die angeordneten Einzelmaßnahmen der informationstechnischen Überwachung minimalinvasiv umzusetzen und sind daher unter Verhältnismäßigkeitsgesichtspunkten geboten. Die technische Fortentwicklung der Telekommunikationsnetze führt zu immer komplexeren Netzstrukturen. Dies gilt sowohl für den Festnetz- als auch für den Mobilfunkbereich. Gleiches gilt für Telekommunikationsdienste und die für diese notwendigen Telekommunikationsanlagen. Die berechtigten Stellen werden daher bei der Umsetzung von Überwachungsmaßnahmen oftmals mit neuen Herausforderungen konfrontiert und es wird ihnen in vielen Fällen aufgrund der Unkenntnis des Netzaufbaus nicht mehr möglich sein ihre Befugnisse auch überhaupt umsetzen zu können. Die neue Regelung in Absatz 12 soll diesem Umstand Rechnung tragen. Die entsprechenden Auskünfte über die Strukturen der Telekommunikationsnetze, Telekommunikationsanlagen und Telekommunikationsdienste sollen lediglich im Einzelfall zur Durchführung einer konkreten Maßnahme bei den Verpflichteten eingeholt werden. Regelungsvorschläge: Einfügung eines neuen Absatzes 12 in Art. 1 § 169 TKG-E „(12) Betreiber von Telekommunikationsnetzen und von Telekommunikationsanlagen sowie Anbieter von Telekommunikationsdiensten haben den berechtigten Stellen auf Anfrage zur Durchführung von Einzelfallmaßnahmen nach §§ 100a, 100b und 100i Absatz 1 StPO, § 49, 51 und 53 BKAG, § 22a BPolG, [ZfdG], §§ 3, 11 Artikel 10-Gesetzes G-10, § 9 Abs. 4 BVerfSchG, auch in Verbindung mit § 5 MAD-Gesetz und § 5 BND-Gesetz, oder nach Landesrecht Auskünfte über die Strukturen der von ihnen betriebenen Telekommunikationsnetze und Telekommunikationsanlagen sowie über die von ihnen erbrachten Telekommunikationsdienste zu erteilen. Entsprechende Anfragen sind nur zulässig, wenn und soweit die Auskunft zur Durchführung einer konkreten Maßnahme erforderlich ist. Die Verwendung einer nach dieser Vorschrift erlangten Auskunft zu anderen Zwecken ist ausgeschlossen.“ Einfügung eines neuen Absatz 3 in Art. 1 § 169 TKG-E (3) Für am Betrieb einer Telekommunikationsanlage nach Absatz 1 Mitwirkende gilt Absatz 12 entsprechend. Einfügung eines neuen Buchstaben e) in Art. 169 Abs. 5 TKG-E (5) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates 1. Regelungen zu treffen a) über die grundlegenden technischen Anforderungen und die organisatorischen Eckpunkte für die Umsetzung von Überwachungsmaßnahmen und die Erteilung von Auskünften einschließlich der Umsetzung von Überwachungsmaßnahmen und der Erteilung von Auskünften durch einen von dem Verpflichteten beauftragten Erfüllungsgehilfen und die Speicherung von Anordnungsdaten sowie zu den Mitwirkungspflichten bei technischen Ermittlungsmaßnahmen bei Mobilfunkendgeräten nach § 168, b) über den Regelungsrahmen für die Technische Richtlinie nach Absatz 6, c) für den Nachweis nach Absatz 1 Nummer 4 und 5, und d) für die nähere Ausgestaltung der Duldungsverpflichtung nach Absatz 1 Nummer 6, e) für die nähere Ausgestaltung der Auskunftserteilung nach Absatz 12 und f) für die nähere Ausgestaltung der Sicherstellungspflichten nach Absatz 13 sowie 2. zu bestimmen, a) in welchen Fällen und unter welchen Bedingungen vorübergehend auf die Einhaltung bestimmter technischer Vorgaben verzichtet werden kann, b) dass die Bundesnetzagentur aus technischen Gründen Ausnahmen von der Erfüllung einzelner technischer Anforderungen zulassen kann und c) bei welchen Telekommunikationsanlagen und damit erbrachten Telekommunikationsdiensten aus grundlegenden technischen Erwägungen oder aus Gründen der Verhältnismäßigkeit abweichend von Absatz 1 Nummer 1 keine technischen Einrichtungen vorgehalten und keine organisatorischen Vorkehrungen getroffen werden müssen.

14. TK-Dienste zur besonderen Absicherung bei der Speicherung von Anordnungsdaten im Zusammenhang mit TKÜ-Maßnahmen verpflichten

Regelungsort: Art. 39 § 14 Abs. 1 TKÜV Forderung: Verpflichtung zur besonderen Absicherung bei der Speicherung von Anordnungsdaten im Rahmen der Umsetzung von TKÜ-Maßnahmen . Es sollte verhindert werden, dass die TK-Diensteanbieter die zu überwachenden Anschlüsse im Rahmen von TKÜ-Maßnahmen unsicher speichern. Erläuterung: Verpflichteter ist, wer nach der TKÜV technische oder organisatorische Vorkehrungen zur Umsetzung von Anordnungen treffen muss. Dies gilt für Betreiber von Telekommunikationsanlagen, mit denen öffentlich zugängliche Telekommunikationsdienste erbracht werden. Bisher physisch vorhandene Netzwerkkomponenten werden zunehmend virtualisiert, eine Verstärkung des Trends durch 5G ist zu erwarten. Es besteht die Möglichkeit der Verlagerung von in DEU wahrgenommen Funktionen ins Ausland: z.B. Wartung von Mobilfunkmasten von China aus, Betrieb zentraler Managementdienste (z.B. Kunden-/ Nutzerdatenbanken) im Ausland. Aufgrund dessen könnte auf Seiten des Providers im Rahmen von TKÜ-Maßnahmen die Notwendigkeit zur Übertragung von Listen zu überwachender Anschlüsse / Personen ins Ausland entstehen. Die Vorschrift gilt für Betreiber von Telekommunikationsanlagen mit denen öffentlich zugängliche Telekommunikationsdienste erbracht werden. Die Regelung stellt klar, dass Anordnungsdaten der deutschen Sicherheitsbehörden im Rahmen einer Telekommunikationsüberwachungsmaßnahme nach den Vorgaben des TKG und der TR TKÜV zu schützen sind. Die bestehenden Schutzanforderungen gelten unabhängig davon, ob sich die entsprechende Telekommunikationsanlage im Inland oder im Ausland befindet. Auch im Falle eines Standorts im Ausland ist das vorgegebene Schutzniveau einzuhalten, um die sensiblen Daten der zu überwachenden Anschlüsse/Personen vor dem unbefugten Zugriff zu schützen Regelungsvorschlag: Einfügung eines neuen Satzes in § 14 Absatz 1 TKÜV in Art. 39 Änderungen der Telekommunikations-Überwachungsverordnung (TKÜV) Nummer 7 neu 7. In § 14 Absatz 1 wird folgender Satz angefügt: „Der Verpflichtete hat die Anordnungsdaten, die bei der technischen Umsetzung einer Anordnung aus technischen Gründen in einer Telekommunikationsanlage gespeichert oder hinterlegt werden müssen, nach Vorgaben des Telekommunikationsgesetzes sowie der Technischen Richtlinie nach § 169 Absatz 6 des Telekommunikationsgesetzes gegen unbefugte Kenntnisnahme zu schützen.“

15. Meldepflicht an BKA bei Datenleak Fällen

Regelungsort: Art. 1 § 168 Abs. 4 neu TKG-E (Daten- und Informationssicherheit) Forderung: Wenn den Anbietern – auch Over-The-Top-Dienste – bekannt wird, dass ihre Daten unrechtmäßig abfließen bzw. abgeflossen sind, haben die Anbieter das BKA darüber unverzüglich zu unterrichten. Erläuterung: Anbieter öffentlich zugänglicher Telekommunikationsdienste werden verpflichtet, unverzüglich das Bundeskriminalamt über eine unrechtmäßige Übermittlung oder unrechtmäßige Kenntniserlangung von Daten (sog. Doxing/Datenleak Vorfälle) zu unterrichten, sofern die Tatbestandsvoraussetzungen erfüllt sind. Die Meldepflicht dient der Ermöglichung der Strafverfolgung durch die zuständigen Strafverfolgungsbehörden der Länder oder der Einleitung von Gefahrenabwehrmaßnahmen durch die Polizeien der Länder oder des Bundes, um nach einer Sichtung der Meldung auf Relevanz für Strafverfolgung oder Gefahrenabwehr die zuständige Stelle feststellen und den Vorgang dorthin verfügen zu können. Das Bundeskriminalamt ist in der Lage, entsprechende Hinweise schnell zu bearbeiten und die erforderlichen Folgemaßnahmen, etwa die Information zuständiger Dienststellen bei den Ländern, einzuleiten. Auf diese Weise kann sichergestellt werden, dass ein Beweismittelverlust nicht eintritt, vor allem aber größere und zusammenhängende Szenarien (u.a. Doxingfälle) erkannt werden und so bzw. negative Folgen aufgrund der Straftat minimiert werden. Regelungsvorschlag: Einfügung eines neuen Absatzes 4 in Art. 1 § 168 TKG-E (4) Anbieter öffentlich zugänglicher Telekommunikationsdienste teilen Tatsachen, die den Verdacht einer Straftat nach § 202a bis d des Strafgesetzbuchs begründen, unverzüglich dem Bundeskriminalamt als Zentralstelle mit, sofern eine unrechtmäßige Übermittlung oder unrechtmäßige Kenntniserlangung von Daten vorliegt und dies 1. eine große Zahl von Personen, oder 2. einen Datenbestand von großem Ausmaß oder 3. einen Datenbestand von Behörden oder Einrichtungen des Bundes oder deren Mitgliedern oder sicherheitsempfindlicher Stellen von lebenswichtigen Einrichtungen, bei deren Ausfall oder Zerstörung eine erhebliche Bedrohung für die Gesundheit oder das Leben von Menschen zu befürchten ist oder die für das Funktionieren des Gemeinwesens unverzichtbar sind, 4. oder fremde Geheimnisse, namentlich Betriebs- und Geschäftsgeheimnisse, betrifft. Die Mitteilung muss die Daten enthalten, die erforderlich sind zur 1. Feststellung der örtlich und sachlich zuständigen Strafverfolgungsbehörde, 2. Bewertung des Ausmaßes der Tat sowie 3. Identifizierung von Tatverdächtigen. Dies schließt insbesondere bekannte IP-Adressen einschließlich zugehöriger Portnummern und Zeitstempel unter Angabe der jeweils zugrundeliegenden Zeitzone ein. Die Mitteilung hat in elektronischer, weiterverwertbarer, vom Bundeskriminalamt vorgegebener Form zu erfolgen.