Der Europäische Gerichtshof hat die Vorratsdatenspeicherung kassiert. Als Reaktion auf das Urteil am 20. September hat Justizminister Marco Buschmann (FDP) angekündigt, innerhalb von 2 Wochen einen Referentenentwurf zum Quick-Freeze-Verfahren vorzulegen. Dieses soll als Alternative zur Vorratsdatenspeicherung Ermittlungen im digitalen Raum sicherstellen.
Neben diesem Instrument ist auch die sogenannte Login-Falle im Gespräch, um Daten anlassbezogen und nicht mehr pauschal auf Vorrat zu sichern. Der Ansatz ist sogar explizit im Koalitionsvertrag von SPD, Grünen und FDP erwähnt. Ob der angekündigte Entwurf neben dem Daten-Schockfrosten auch die Login-Falle enthalten wird, wollte das Bundesjustizministerium im Vorfeld nicht verraten. Derzeit könne man „noch keine Angaben zu den näheren Einzelheiten machen“, heißt es aus der Pressestelle des Ministeriums auf Anfrage.
Innerhalb der Regierung dürfte nun eine Debatte darüber toben, wie viel Datenspeicherung am Ende bleibt. So betonte etwa Innenministerin Nancy Faeser (SPD) vor allem den Bedarf an Internet-Verkehrsdaten, einer IP-Vorratsdatenspeicherung. Doch bei der bisherigen Vorratsdatenspeicherung in Deutschland ging es noch um mehr: etwa Standortdaten beim Mobilfunk oder Informationen, welche Rufnummer mit welcher anderen wie lange telefoniert oder Nachrichten ausgetauscht hat.
Wir haben uns beide Instrumente angeschaut. Was bedeuten die Modelle? Wie funktionieren sie? Wo liegen jeweils Probleme und welche Fragen sind noch offen?
Quick Freeze: Daten speichern, wenn sie gebraucht werden
Bei Quick Freeze werden Daten erst nach einer behördlichen Anordnung „eingefroren“ und gespeichert. Dies würde beispielsweise passieren, wenn ein Verdacht für eine Straftat vorliegt, die über einen bestimmten Anschluss verübt wurde. Üblicherweise löschen die Kommunikationsanbieter solche Verkehrsdaten routinemäßig nach einer Weile, wenn sie diese nicht mehr brauchen, etwa um Rechnungen zu schreiben oder technische Fehler zu erkennen. Diese Löschung wird durch das Einfrieren verhindert. Wollen Ermittlungsbehörden auf die gespeicherten Daten zugreifen, werden sie wieder „aufgetaut“.
Was sind die Vorteile?
Diensteanbieter werden nicht vom Staat gezwungen, über lange Zeiträume hinweg anlasslos und massenhaft Daten zu speichern. Abgesehen von der grundrechtlichen Problematik müssen sie zudem keine umfangreiche Infrastruktur für die Datenhalden aufbauen. Damit sinkt die Gefahr drastischer IT-Sicherheitsvorfälle, Ermittlungsbehörden könnten aber dennoch Straftaten mit Verkehrsdaten verfolgen.
Was sind die Nachteile?
Ermittlungsbehörden beklagen zuweilen, dass für eine Untersuchung notwendige Daten nicht mehr verfügbar sind. Damit solche Fälle auch im Rahmen einer Quick-Freeze-Regelung die Ausnahme bleiben, müsste die Justiz einerseits schnell handeln, um relevante Daten zu sichern. Andererseits müssten die Anbieter rechtzeitig auf solche Anordnungen reagieren. Daten, die bereits routinemäßig gelöscht wurden, können auch nicht mehr eingefroren werden.
Was sind offene Fragen?
Wie grundrechtsfreundlich eine Quick-Freeze-Lösung wirklich ist, hängt von der konkreten Ausgestaltung ab. Denn vorstellbar sind viele Szenarien. Eine sehr spezifische Einfrieranordnung könnte lauten: „Bitte sichere mir die Daten dieses Internetanschlusses für die letzten zwei Tage, weil wir vermuten, dass der Anschlussinhaber eine schwere Straftat begangen hat“. Sie könnte aber auch wesentlich unspezifischer sein: „Bitte sichere die Mobilfunkdaten für das gesamte Stadtgebiet der letzten Wochen, weil es wiederholt zu Autobränden kam.“
Wie eingriffsintensiv ein Quick Freeze ist, hängt auch davon ab, wer das Einfrieren und Auftauen welcher Daten wie anfordern kann. Sollte dazu ein vager Anfangsverdacht der Polizei genügen, könnte dies dazu führen, dass bei Ermittlungen standardmäßig umfassend Daten eingefroren werden. Schon heute fragen Behörden durchschnittlich jede Sekunde, völlig unabhängig von der Vorratsdatenspeicherung, wem eine Telefonnummer gehört. Bei IP-Adressen gibt es keine Statistik, wie häufig die Behörden solche Daten bekommen, weil sie das direkt bei den Internetzugangsanbietern abrufen.
Bundesjustizminister Marco Buschmann forderte bislang einen doppelten Schutz. Schon bei einer Sicherungsanordnung sollte es einen Richtervorbehalt geben, wenn auch mit einer Eilkompetenz für die Staatsanwaltschaft. Das anschließende Auftauen und Auswerten der Daten durch Polizei und Staatsanwaltschaft müsste dann erneut ein Richter genehmigen.
Unklar bleibt vorerst, ob es im geplanten Gesetz Mindestvorgaben für Anbieter geben wird, wie lange sie bestimmte Daten wie IP-Adressen oder Mobilfunkdaten speichern müssen. Der – außer Kraft gesetzten – Regelung zur Vorratsdatenspeicherung nach mussten solche Daten zehn Wochen lang vorgehalten werden, Standortdaten für vier Wochen. Das EuGH-Urteil spricht von einem „auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum“, innerhalb dessen eine gezielte Speicherung notfalls zulässig ist. Zu hohe Pflichtvorgaben wären eine Vorratsdatenspeicherung durch die Hintertür und zudem rechtlich wacklig.
Diesen Konflikt löst aber selbst die beste Quick-Freeze-Lösung nicht auf: Schließlich ergibt sie nur dann Sinn, wenn Daten vorhanden sind, die sich einfrieren lassen. Wie lange Telekommunikationsanbieter Daten für ihre eigenen Zwecke speichern dürfen, beschreibt ein Leitfaden des Bundesdatenschutzbeauftragten. Darin ist etwa vermerkt, dass Anbieter zur „Erkennung, Eingrenzung und Beseitigung von Störungen“ ohne konkreten Anlass sieben Tage lang Daten speichern dürfen. Der Leitfaden bezieht sich jedoch noch auf eine alte Rechtsgrundlage und soll laut der Website des Bundesdatenschutzbeauftragten aktualisiert werden.
Gingen Speicherfristen über die routinemäßigen Zeiträume hinaus, wäre das mit Grundprinzipien des Datenschutzes wie Datensparsamkeit und Datenvermeidung nur schwer vereinbar. Schon vor über zehn Jahren warnten deshalb manche Datenschützer und Juristen davor, dass Quick Freeze in bestimmten Punkten grundrechtlich sogar problematischer sei als eine Vorratsdatenspeicherung.
Login-Falle: Schnittstelle für den Verdachtsfall
Bei der Login-Falle geht es darum, mutmaßliche Täter:innen mittels IP-Adresse zu identifizieren, ohne Daten von Unbeteiligten auf Vorrat speichern zu müssen. Das Konzept dafür stammt vom Digitalverein D64, in einer Präsentation beschreibt er folgendes Szenario: Eine Nutzerin wird auf einer Plattform von einer Person mit dem Pseudonym „Teddy Bär“ beleidigt und bedroht. Sie zeigt den Post bei einer Strafverfolgungsbehörde an. Wenn Staatsanwält:innen einen Anfangsverdacht feststellen, informieren sie die Plattform. Diese muss die Login-Falle aktivieren. Sobald der Account erneut aktiv ist, schnappt die Falle zu, der Plattformbetreiber erhebt die zugehörige IP-Adresse und übermittelt sie an die Ermittlungsbehörden. Die rufen daraufhin beim zuständigen Telekommunikationsanbieter die Bestandsdaten zum entsprechenden Internetanschluss ab.
Laut D64 lässt sich dieses Instrument nicht nur für Hasspostings oder Bedrohungen einsetzen, sondern auch für andere Straftaten, die von Accounts aus begangen werden. „Die Login-Falle ist vor allem eine Kombination von Schnittstellen“, sagt Erik Tuchtfeld von D64. Er und Henning Tillmann haben das Konzept erarbeitet. „Es geht darum, Daten nicht speichern zu müssen, sondern schnell abrufen zu können, wenn es notwendig ist“, so Tillmann. „Alles funktioniert im Netz in Echtzeit, aber die Strafverfolgungsbehörden verschicken immer noch händisch Faxe und E-Mails, was den Prozess über Wochen hinzieht.“
Was sind die Vorteile?
Für die Login-Falle braucht es keine präventive, anlasslose Datenspeicherung und damit, so D64, „keine neuen (massenhaften) Grundrechtseingriffe gegenüber Bürgerinnen und Bürgern“. Damit wird eine Vorratsdatenspeicherung von IP-Adressen obsolet, ebenso wie eine Klarnamenpflicht für Internetdienste. Der Grundgedanke dahinter: Solange Nutzer:innen nichts Strafbares mit ihren Accounts tun, müssen sie nicht befürchten, identifiziert zu werden.
Was sind die Nachteile?
Die Ermittlungsbehörden sind bei der Login-Falle auf die Kooperation der Plattformen angewiesen. Dass auch große Plattformen nicht immer mit den Behörden zusammenarbeiten wollen, hat sich in den letzten Monaten vor allem am Beispiel Telegram gezeigt. Außerdem kann es nötig sein, schnell zu handeln, falls die mutmaßlichen Täter:innen ihre Accounts nur kurz nutzen. D64 formuliert dafür Voraussetzungen, etwa standardisierte digitale Schnittstellen zur Übermittlung der initialen Anzeige oder zur Übertragung der IP-Adressen zwischen Plattform und Ermittlungsbehörden.
Was sind offene Fragen?
Die Login-Falle bietet eine Speicheralternative bei mutmaßlichen Straftaten, die von bestimmten Accounts begangen wurden. Eine Regelung etwa für Telefonverkehre oder Standortdaten kann sie nicht bieten. Außerdem kann sie immer nur einen Anhaltspunkt auf die Tatverdächtigen geben: Denn oft nutzt nicht nur eine Person einen Internetanschluss. Ebenso ist nicht zwingend, dass hinter einem bestimmten Account nur ein Mensch steckt. Dementsprechend müssen die Ermittlungsbehörden nach der Bestandsdatenauskunft weiter ermitteln, um die Täter:innen hinter beispielsweise einem Droh-Posting zu finden oder zu bestätigen.
Die Plattformanbieter müssten mit den Behörden kooperieren und die entsprechenden Schnittstellen einrichten. Dazu hätte D64 positive Rückmeldungen bekommen, sagt Tillmann. Die Anbieter hätten durchaus Erfahrung mit Schnittstellen und würden selbst keine umfassende Datenspeicherung einrichten wollen. Für die Strafverfolgungsbehörden würde die Login-Falle wohl die größte Umstellung bedeuten. Tillmann sagt: „Bei den Strafverfolgungsbehörden ist es noch nicht besonders verbreitet, Dinge digital und automatisiert zu bearbeiten. Das auf den neuesten Stand zu bringen, ist ein dickes Brett.“
„Der Grundgedanke dahinter: Solange Nutzer:innen nichts Strafbares mit ihren Accounts tun, müssen sie nicht befürchten, identifiziert zu werden.“
Ist das eine belastbare Aussage?
Das klingt ähnlich der Werbung: „Wer nichts zu verbergen hat, …“.
Es kommen doch Loginfalle, Bestandsdatenabfrage, usw. Sicherlich wird die Wahrscheinlichkeit geringer, fälschlich in Beifang zu geraten, z.B. wegen zeitlicher oder räumlicher Nähe von irgendwas, ebenso geringer wird die Gefahr, weil die Daten länger vorliegen, ins Visir von irgendwas zu geraten (Abfluss, Spassermittlungen). Mitnichten ist die Möglichkeit verschwunden, wegen nichts oder wegen Bösartigkeiten durchleuchtet zu werden, jedenfalls nicht wegen „nichts strafbares mit meinem Account…“. Denn das sollte bereits jetzt so sein, selbst wenn es Vorratsdatenspeicherung gäbe, denn selbst mit den ganzen Daten gäbe es ja keinen Sinn, dass die Behörden Unbescholtene „identifizieren“ wollen sollten. Kommt aber selbst ohne Vorradsdatenspeicherung schon nicht 100% hin. Also erfordert es Willen und Können in der Gesetzgebung, was derzeit nicht vollumfänglich erkennbar ist (weder EU noch DEU).
Dementsprechend bitte nicht Umgangssprache mit Strafverfolgungslogik gleichsetzen, sonst hätte es auch keine Beschlagnahmungen bei den „Zwiebelfreunden“ geben können, weil die ja nichts illegales getan haben und weil die Behörden sicherlich die Sinnhaftigkeit des Zugriffes fachlich hätten einschätzen können (?).
Der Anbieter hat natürlich in der Hand, etwas zu bauen, wo möglichst wenige Daten gespeichert werden bzw. möglichst wenig langfristig ersichtlich ist, kann sich bei Bestandsdatenauskunft und Loginfallen aber auch nicht wirklich wehren. Daher ist es hochproblematisch, das Vorfeld der Ermittlungen irgendwie offen zu lassen, Kompetenz bei der Einschätzung weder einzufordern noch sicherzustellen, und letztlich auch die Zugriffsmöglichkeiten und Gründe immer weiter auszuweiten (EU-Nachbarn vielleicht noch), während möglichst auch noch offengelassen wird, wie sich ein Dienst wo wehren soll, und ob wir es unter einem Hochofen pro Dorf überhaupt noch machen wollen. Wir reden hier nicht über Facebook und Google u.ä. Ist z.B. wirklich augeschlossen, dass eine Loginfalle für einen Dienst angefordert werden kann, bei dem die Hassäußerung gar nicht getätigt wurde, bzw. unter welchen Umständen? Vgl. Piratenpartei, kürzlich ;).
Der gesamte Unterbau, z.B. Terrorermittlungen der neuen EU-Rechtsachse, ist für eine Einschätzung „vollumfänglich“ zu klären, sonst bröckelt es ganz ganz schnell. Und dann noch wegen Ordungswidrigkeiten mit der Strafverfolgung zusammen in der Presse stehen? Facebook ist sowas egal, schon klar. Es darf hier nichts offengelassen sein, nicht im konkreten Sinne jeglicher einzelner zunkünftiger Ereignisse, sondern eher Cum-Ex betrachtend. Algorithmisch kann man auch mit Quick-Freeze und Freunden alles mögliche erreichen, auch wenn es dann nicht mehr mit 12^2 Zeichen beschreibbar ist, sofern man da zu viel offenlässt. Z.B. wird es lustig, wenn Quick-Freeze nicht nur höherer Aufwand ist, sondern auch auch noch viel öfter angewandt wird, wobei dann der doppelte Vorbehalt in der Praxis bald wieder zu keinem wird. Widerspruchsabhandlung… pro Nick und ohne dass die Abteilung auf der anderen Seite Kenntnis des behördeninternen Zusammenhanges hat… wäre halt einfach mal nahe am direkten beliebigen Zugriff.
Würde das so, wären wir also wieder beim „neuen Paradigma“:
– Nutzer haben offiziell nichts zu befürchten (trappsen: Urheberrecht).
– Anbieter können kacken gehen, wenn sie da nicht heißen: Facebook, Google, Microsoft, (Ubisoft ist das sicherlich auch Schnuppe), …
– (Demnächst in diesem Kino…)
Auf NDR Info lief gerade aus aktuellem Anlass eine Werbesendung für die Vorratsdatenspeicherung.
– Innenminister und Justizminister diskutieren noch.
– Blick auf die Menge: Es gebe ja u.a. jede Menge „Kinder schicken anderen Kindern sachen“, oft ohne sich der Strafbarkeit bewusst zu sein. Die Dunkelziffer sei sicherlich sehr hoch. Die Meldungen kämen nicht von Menschen, sondern meißt von irgendwas/NGO welche die „social media“ beackern.
– Blick auf Ermittler: wollen in die Vergangenheit gucken. Wollen alles immer ermitteln können.
– Einordnung: Fehlanzeige
Einerseits informativ, andererseits Propaganda. Die information aus dem LKA Hamburg ist natürlich interessant, bleibt ohne Einordnung und Aufzählung der Nebenwirkungen einfach mal glattgepupste Propaganda. Und bitte nicht nur mit den Einwänden anderer Minister kommen. Das kann nicht der Auftrag der öffentlich-rechtlichen Medien sein. Kulturfrage noch anhängig.
Als Nachteil für die Login-Falle ist aufgeführt, dass dafür die Kooperation der Plattformen notwendig wäre. Das trifft aber auf jedes andere Verfahren ebenso zu. Wenn Telegram nicht rausrückt, von welcher IP-Adresse ein beanstandeter Kommentar abgesendet wurde, dann kommen die Ermittlungsbehörden auch mit monatelang auf Vorrat gespeicherten Verbindungsdaten nicht weiter.
Umso mehr bei ausländischen Unternehmen, umso mehr bei Unternehmen von außerhalb der EU…
Selbst wenn die Geschäfte hier machen wollen. Deswegen ist es so wichtig, dass hier ein Paradigmenwechsel geschieht.
Was kommt danach?
Nun die Politik, die Entwickler und die Gesellschaft hängt immer 100 Jahre zurück. Das ist normal.
Es ist immer das selbe Muster. 2003 hätten die Geheimdienste die Infos von 2013 gebraucht. und 2023 die Infos von 2013.
Da 2023 aber die Infos von 2033 gebraucht werden, verstehen sie leider nicht was sie tun und fordern. Aktuell wissen die Geräte und Algorithmen und Unternehmen viel mehr, als sich diese Geheimdienste erträumen können weil die Software nun mal in Echtzeit dabei ist und alles ungefiltert sieht. Diese Software verkauft schon Gedanken, gestaltet Entscheidungen und Entwicklungen der Menschen 2022.
Da braucht es eher einen Schutz als einen Geheimdienst. China ist sich dessen etwas mehr bewusst weil dort das Problem und die KI schon frühzeitig verschmolzen sind. Die USA empfindet sich immer noch als unschuldig, da diese nie eine Stasi hatte und nie dieses bereuen, wenn Menschenleben durch Technik oder Politik (falsch) geprägt wurden. Jetzt kocht es hoch es blubbert im Topf und Unschuldige müssen immer leiden, weil die Erkenntnis noch nicht vorhanden war, wie immer.
Ein Quick-Freeze ist ausreichend und gut, noch besser ist mit den Menschen zuvor reden und sie nicht Nudgen weil unschuldige andere diese (Fantasie) haben und sie sich gut verklicken lässt. Gell China? Diese Algorithmen sollten geachtet werden weil diese Waffen auch nicht Menschenwürdig sind, entwickelt dieser sich halt langsamer als die Rechenpower und muss nun mal erst (unschuldig) heran wachen dürfen.
Dumm, dümmer, Login-Falle!
Ein Hoch auf Tor und auf alle none-logging VPN Accessprovider.