Archiv:2008/Piratenmagazin/Vorratsdatenspeicherung

Die EU-Richtlinie zur Vorratsdatenspeicherung (Data Retention) schreibt allen Mitgliedsdaten die zeitlich befristete Speicherung sämtlicher Verkehrsdaten elektronischer Kommunikation vor und hebt damit auch direkt und ausdrücklich bisherige Gesetze, die so auch in Deutschland mindestens bis Ende 2007 galten, teilweise auf. Zum Beispiel war die Speicherung von solchen Daten bei Internet-Flatrates bisher ausdrücklich verboten (ganz im Sinne des Gebots der Datensparsamkeit: wenn solche Daten nicht zur Abrechnung oder anderen zwingend erforderlichen Zwecken zu erheben nötig sind, dürfen sie nicht gespeichert werden).

Bei der elektronischen Kommunikation fallen zwei Arten von Daten an: Verkehrsdaten wie IP-Adressen, Handy-Standorte und Telefonnummern und Inhaltsdaten, wie der Text einer Email. Die Vorratsdatenspeicherung (VDS) bezieht sich ausschließlich auf Verkehrsdaten. Die Speicherung von Inhaltsdaten wird in der EU-Richtlinie ausdrücklich verboten.

Doch auch so ist der Eingriff schon schwer genug. Anhand der für 6 Monate gespeicherten Daten lassen sich nun umfassende Kommunikationsprofile einzelner Personen oder Personengruppen erstellen. Diese können in Deutschland nicht nur wie vielfach zitiert "zur Aufklärung schwerer Straftaten" (Terrorismus, Völkermord, etc.) genutzt werden, sondern "zur Aufklärung mittels Kommunikation begangener Straftaten". Das kann im Ernstfall auch nur eine Beleidigung sein. Es muss davon ausgegangen werden, dass diese Regelung hauptsächlich der Medienindustrie nutzt und von dieser zur massenhaften Abmahnung von Urheberrechtsverletzungen genutzt werden wird.

Dabei hatte der deutsche Bundestag die Vorratsdatenspeicherung bereits abgelehnt. Über den "EU-Umweg" kam sie jedoch unter Umgehung der demokratischen Institutionen mit dem Argument der Terrorismusbekämpfung dennoch zu Stande. Nicht nur anhand der konkreten Umsetzung der Richtlinie, sondern auch anhand der Äußerungen verschiedener Politiker wird in letzter Zeit klar, dass die Vorratsdatenspeicherung mit Terrorismusbekämpfung wenig bis nichts zu tun hat.

Bisher waren schon diverse Eingriffe in die elektronische Kommunikation seitens des Staates möglich: stets auf richterlichen Beschluss, oder bei nachträglicher solcher Genehmigung bei Gefahr im Verzug ausnahmsweise durch die Staatsanwaltschaft, können z.B. Telefonate abgehört (und damit natürlich ebenso die Partner der Telefonate nicht nur belauscht, sondern auch direkt ermittelt) werden, das Passwort der email-Postfächer konnte vom Provider verlangt werden etc. Das alles erfordert aber stets einen konkreten Verdacht auf die Begehung schwerer Straftaten, den leider vorhandenen Fällen von Missbrauch wird jetzt aufgrund von Platz und Thema nicht weiter nachgegangen (nur eine Anmerkung: richterliche Genehmigungen werden typischerweise allzu leichtfertig erteilt, so dass man weitgehend der Gewissenhaftigkeit staatsanwaltlicher Anträge auf solche Maßnahmen vertrauen muss).

Wichtig an diesen bisher möglichen Maßnahmen ist, dass sie niemals nachträglich stattfanden (d.h. erst nach einem konkreten Anfangsverdacht begonnen wurden) und nur einen sehr kleinen Teil der Bevölkerung betrafen. Anhand des Anstiegs der Telefonüberwachung um 500% alleine in den Jahren 1995-2004 und einem sich fortsetzenden Trend lässt sich aber erkennen, dass solche Überwachungsmaßnahmen zunehmend inflationär verwendet werden.

Dagegen betrifft die VDS zunächst einmal ausnahmslos Jeden (über die Einschränkungen und deren Wirksamkeit später mehr).

Die überwiegende Mehrheit der Internetnutzer erhält von einem Internet Provider zeitlich begrenzt eine IP-Adresse, die typischerweise bei jeder Einwahl bzw. maximal 24 Stunden ("Zwangstrennung") wechselt. Es gibt jedoch auch Provider wie QSC, bei denen zum Einen keine Zwangstrennung stattfindet und zum Anderen bei rascher Wiedereinwahl sogar dieselbe IP-Adresse wie zuvor vergeben wird, was einer statischen IP-Adresse schon recht nahe kommt; sie lässt sich Wochen, teils Monate aufrecht erhalten.

Insbesondere bei Internet-Flatrates durften diese IP-Adressen bisher überhaupt nicht gespeichert werden, was die meisten Provider leider schon heute nicht kümmert. Nur einige wenige Provider bieten Anschlüsse ohne Speicherung der Daten an. Die meisten Provider speichern die Daten schon heute bis zu 6 Monate. Herabsenkungen der Speicherfristen waren hauptsächlich Notlösungen, da einzelne Provider von Anfragen durch Staatsanwaltschaften regelrecht überflutet wurden.

Im Laufe des Jahres 2008 soll dies im Zuge der VDS geändert werden: in Deutschland müssen diese Daten dann sechs Monate gespeichert werden.

Nur über diese IP-Adresse, die einem Anschluss und damit einer Person zugeordnet werden kann, können die meisten Internetdienste direkt Personen zugeordnet werden: z.B. bei Aufruf von Websites (www) ohne Login, Teilnahme am Filesharing wie z.B. BitTorrent, VoIP-Telefonie, IRC, Instant Messaging etc.

Bei Emails, Internettelefonie und herkömmlicher Telefonie wird jeweils der Absender und Empfänger sowie der Zeitpunkt bzw. die Dauer der Kommunikation gespeichert. Im Falle mobiler Kommunikation (SMS, MMS oder Telefonieren mit dem Handy) wird zusätzlich jeweils die Funkzelle und damit der ungefähre Standort zum Zeitpunkt der Kommunikation gespeichert. Vor allem bei Vieltelefonierern lassen sich damit ohne Weiteres Bewegungsprofile erstellen.

Die Vorratsdatenspeicherung kann also dazu benutzt werden das Kommunikationsverhalten einer Person über Mediengrenzen hinweg aufzuzeichnen und damit das soziale Umfeld und andere Tätigkeiten zu analysieren. Dies stellt auch das Hauptproblem dar, weswegen die Vorratsdatenspeicherung von eigentlich allen Datenschützern komplett abgelehnt wird. Sie stellt nicht nur einen schweren Eingriff in die Privatsphäre dar, sondern führt auch bisherige Vertrauensverhältnisse und Berufsgeheimnisse ad absurdum.

Dazu zählen etwa die Berufsgeheimnisse von Ärzten, Anwälten oder Priestern. Ebenso werden Journalisten Probleme haben, Kontakt zu Informanten aufzunehmen. Wenn diese damit rechnen müssen, dass ihre Kommunikation gespeichert wird, können sie nicht mehr unbefangen mit Journalisten kommunizieren und ihnen beispielsweise brisante Fakten mitteilen. Das Gleiche gilt für Drogenberatungsstellen und Telefonseelsorgedienste. Die Vorratsdatenspeicherung führt also in der Summe zur Totalüberwachung des Kommunikationsverhaltens sämtlicher in der EU-lebenden Menschen, schränkt die Pressefreiheit ein und verhindert, dass Menschen in Not geholfen werden kann.

Zusätzlich werden durch die konkrete Umsetzung der Vorratsdatenspeicherung in Deutschland Anonymisierungsdienste ebenfalls zur Speicherung von Verbindungsdaten verpflichtet. Abgesehen davon, dass ein Anonymisierungsdienst der Verbindungsdaten speichert nicht mehr anonymisiert und damit sinnlos ist, verarbeiten die Server dieser Dienste häufig tausende Anfragen pro Sekunde. Damit würde die Speicherung der Daten Unmengen an externem Speicherplatz benötigen. Die Regelung kommt damit einem Verbot von Anonymisierungsdiensten in Deutschland gleich. Zum jetzigen Zeitpunkt ist abzusehen, dass mindestens 90% der in Deutschland betriebenen Anonymisierungsserver abgeschaltet werden müssen oder ins Ausland auswandern werden, falls die Vorratsdatenspeicherung über das Jahr 2008 hinaus Bestand hat.

Folgende Punkte der EU-Leitlinie erscheinen hier erwähnenswert:

• sie wurde am 15. März 2006 verabschiedet, trat zehn Tage später in Kraft, und muss bis spätestens 15. März 2009 von allen EU-Mitgliedsstaaten um- bzw. durchgesetzt werden

• die Speicherfrist muss mindestens sechs Monate und darf höchstens zwei Jahre betragen

• die meisten Mitgliedsstaaten haben gemäß Paragraph 15, Absatz 3 der Richtlinie die Verlängerung der Frist zur Einführung entweder ohne genau Zeitnennung, meistens aber mit 18 bis 36 Monaten (maximal möglich, vgl.o.) beantragt

• die Erfassung der Verkehrsdaten ist Pflicht, die Erfassung der Inhaltsdaten bleibt verboten

• die Mindestanforderungen sind: IP-Adresse und Zeitraum des Kunden des Providers für jeden seiner Kunden für die Dauer der Frist, Telefonnummern und Standortdaten beider Teilnehmer für die Dauer eines Telefonats

• ein Gummiparagraph zur eigenen Ausgestaltung, entsprechend missbrauchsanfällig, ist die Formulierung, dass jeder Staat nur im Rahmen der europäischen Menschenrechtskonvention und nach Maßgabe seiner eigenen, innerstaatlichen Regeln den Zugriff auf die Verbindungsdaten regelt — besonders gefährlich wird dies, da weitergehende Regelungen zur Weitergabe der VDS-Daten an Drittstaaten damit nicht ausgeschlossen werden, was durch andere Regelungen indes ausdrücklich erlaubt bzw. verlangt wird (!)

Da "nur" die Quell-IP-Adressen von Internetnutzern, nicht aber auch die Zieladressen von der VDS erfasst werden, hängt die Möglichkeit, Internetnutzern mittels VDS nachzuspionieren, vom Logging der IP-Adressen durch die Webserver der besuchten Internetseiten ab. Nun ist dieses Logging wie auch das der Benutzernamen nach einem Login zwar generell eingeschaltet, aber jüngst hat der im Arbeitskreis VDS aktive Jurist Patrick Breyer einen juristischen Erfolg erzielt, der mit einiger Wahrscheinlichkeit zu einem allgemeinen Verbot des Loggens dieser personenbezogenen bzw. oft personenbeziehbaren IP-Adressdaten in Deutschland führen wird: nicht nur das ursprüngliche Amtsgericht, auch schon ein Landesgericht entschied, dass das Bundesjustizministerium (!) die Besucher-IP-Adressen nicht einfach wie üblich mitloggen darf. Diese Sache dürfte mindestens bis zum BGH (Bundesgerichtshof), vielleicht sogar BVG (Bundesverfassungsgericht) gehen.

Leider würde dies nur in Deutschland und auch nur theoretisch den VDS-Missbrauch durch Dritte weitgehend unterbinden. Andere Länder sind einstweilen nicht dazu verpflichtet, dies zu unterlassen; so hängt es von der Einstellung der Website-Betreiber ab, ob sie das Logging abschalten oder nicht. In der Firma, in der einer der Autoren als Datenschutzbeauftragter arbeitet, haben wir unserem Webserver dieses Logging bereits abgewöhnt; da es aber bequemer ist, die Standardeinstellung (logging) eingeschaltet zu lassen, sowie teils gesteigertes kommerzielles Interesse seitens der Betreiber an diesen Daten besteht (und wenn nur, um heraus zu finden, aus welchen Ländern die Zugriffe kommen), ist kaum zu erwarten, dass ein nennenswerter Teil des Internet auf diese Standardmaßnahme verzichten wird — teils gibt es auch Sicherheitsbedenken dagegen, weil DDoS (Distributed Denial of Service) Webangriffe so schwerer zu erkennen und zu vereiteln sind.

Auch muss man sich im Klaren sein, dass dies nur die Nutzung von Internetseiten weniger durchleuchtbar macht, Filesharer haben von einer solchen Entscheidung überhaupt nichts.

Der Arbeitskreis Vorratsdatenspeicherung hat kürzlich eine Kampagne gestartet, um Betreiber von Webseiten vom datenschutzgerechten Betrieb zu überzeugen. Jede Seite, die die Daten von Benutzern nicht speichert, kann sich mit einem Datenschutzsiegel schmücken. Weiteres zur Aktion und den Bedingungen findet sich unter wir-speichern-nicht.de

Ein Vergleich von Briefen und Paketen mit Emails ist letztlich entlarvend, wenn man darüber nachdenkt: so findet bei Briefen und Paketen eben keine allgemeine Verkehrsdatenüberwachung statt. Und das, obwohl auch Erpresserschreiben, Briefbomben und andere illegale Dinge per snail mail bzw. klassischer Post verschickt werden, was aber selten ist. Im Internet ist es gar nicht möglich, direkt physisch schädigende Dinge per Email zu versenden, und auch da sind illegale Inhalte die Ausnahme (vom Spam-Problem einmal abgesehen, das hat aber hiermit wenig direkt zu tun). Dennoch soll hier eine Totalüberwachung der kommunizierenden EU-Bürger etabliert werden.

Folgende Motivationen erscheinen denkbar bis plausibel, warum hier mit zweierlei, geradezu inversem Maß gemessen wird:

• die überwiegend alten und wenig Internet-versierten Politiker in Machtpositionen hegen unbewusste Ängste gegen das Internet als Solches

• sowohl Politikern als auch etablierten Massenmedien und der Medienindustrie missfällt die Möglichkeit, die erst das Internet geschaffen hat, dass auch normale Bürger fast kostenlos in der Lage sind, selbst ohne Verleger oder andere Dritte eigene Beiträge zu veröffentlichen, eigene Kreationen zum Download anzubieten oder Meinungen zu verbreiten bzw. zu deren Verbreitung beizutragen: es ist unerwünschte Konkurrenz bzw. kaum zu kontrollierende Kritik

• da die elektronischen Medien — vom Telefon einmal abgesehen — noch relativ neu sind, genießen sie keinen so direkten Grundrechtsschutz wie z.B. die klassische Brief- und Paketpost

• das Abmahnunwesen in Gestalt skrupelloser Anwälte, die Formfehler ausnutzen, um sich an Internetusern persönlich durch Serienabmahnungen zu bereichern, brauchen die IP-Adressen, um ihr halblegales Geschäft betreiben zu können

• korrupte Politiker und Firmen erhoffen sich möglicherweise auch eine Einschüchterung von "Whistleblowern" und Aktivisten durch die VDS

Da aber gerade die Meinungsfreiheit durch das Internet enormen praktischen Aufschwung erfahren hat, gefährdet die VDS diese ganz massiv, indem sie die Internetnutzer durch permanentes Nachspionieren einschüchtert sowie z.B. tatsächlich Versuchen aussetzt, ihre Freiheit auf Meinungsäußerung durch "Seitenangriffe" auszuhebeln. Jemand, dem eine Meinungsäußerung nicht passt, wird zweifellos unter irgendwelchen Vorwänden versuchen, an die VDS-Daten des Missliebigen zu gelangen, sei es legal oder nicht (z.B. Bestechen von Administratoren des Providers des "Gegners"). Das Missbrauchspotenzial ist hier ganz enorm. Gerade im Bereich der Korruptionsbekämpfung muss man hier das Schlimmste befürchten, eigentlich können die sogenannten Whistleblower (Mitarbeiter von Firmen, die Informationen über korrupte Praktiken in ihren Firmen weitergeben) in der EU nur noch in persönlichen Gesprächen oder Briefen ihre Infos an Korruptionsaufklärer weiterleiten, weil die VDS es zu gefährlich macht, dafür elektronische Medien zu nutzen!

Letztlich ist es ein generelles Problem, dass einmal bekannt gegebene Daten nicht mehr aus der Welt zu schaffen sind, was zweifellos ein wesentlicher Grund für die Vorgabe der Datensparsamkeit im Bundesdatenschutzgesetz (BDSG) war und immer noch ist. Der andere ist, wo keine Daten sind, können sie auch gar nicht erst missbraucht werden. Hier wird das BDSG auf den Kopf gestellt, indem fast unvorstellbare Datengebirge und ebenso umfangreiche Missbrauchsmöglichkeiten dafür geschaffen werden. Wer glaubt, die Internet- und Telefonprovider würden solche Daten auch nur halbwegs sicher verwahren, sei auf den Bericht des Bundesdatenschutzbeauftragten Peter Schaar verwiesen, der fast überall schlampigen und nicht gesetzeskonformen Umgang mit Kundendaten in größeren Unternehmen festgestellt hat.

Da selbst die VDS noch keine vollständige Überwachungsmaßnahme ist, obwohl sie sehr weit geht, gibt es natürlich Möglichkeiten, sich ihr zu entziehen. Und anders als manche Politiker glauben machen wollen, werden dies auch viele unbescholtene Bürger tun, die sich nicht bespitzeln lassen wollen.

Der Umfang der geplanten Speicherung macht es zunächst sehr schwierig, sich der Pauschalüberwachung zu entziehen. Verschiedene technische Methoden und die Ausnutzung von Gesetzeslücken machen dies aber möglich. So könnte man auf lokale Mailboxen zurückgreifen, die nicht zur Speicherung verpflichtet sind, Anonymisierungsdienste mit Servern im Ausland benutzen, Remailer benutzen oder das Handy einfach mal ausschalten. Dabei sollte man sich nicht vom BKA einschütchtern lassen, das solche Maßnahmen in der Vergangenheit immer wieder als "konspiratives Verhalten" gewertet hat. Weitere Möglichkeiten zur Umgehung der Vorratsdatenspeicherung und Wahrung der Privatsphäre finden sich auf den folgenden Seiten.

Natürlich werden wir uns keineswegs mit der Vorratsdatenspeicherung abfinden. Zahlreiche Menschen (aktuell 30.000) haben sich unter dem Dach des Arbeitskreis Vorratsdatenspeicherung zusammen gefunden, um die bisher größte Verfassungsbeschwerde in der Geschichte der Bundesrepublik einzulegen. Irland klagt ebenfalls vor dem europäischen Gerichtshof gegen die Richtlinie. Das Land bezweckt zwar, damit längere Speicherfristen möglich zu machen, aber wenn die Richtlinie damit für ungültig erklärt wird, kann uns das nur recht sein.