201729.06.

Bundesnetzagentur setzt Vorratsdatenspeicherung vorerst aus

Nach dem Urteil des Oberverwaltungsgericht NRW vom 22.06.2017 hat die Bundesnetzagentur die logischen Konsequenzen gezogen und die Vorratsdatenspeicherung bis zur Entscheidung im Hauptsacheverfahren ausgesetzt.

Dazu die BNetzA:

Mitteilung zur Speicherverpflichtung nach § 113b TKG

Die Erbringer öffentlich zugänglicher Telefondienste und Internetzugangsdienste sind gemäß § 113b TKG zur Speicherung der dort genannten Verkehrsdaten ab dem 01.07.2017 von Gesetzes wegen verpflichtet. Mit Beschluss vom 22.06.2017 hat das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in einem Verfahren des einstweiligen Rechtsschutzes festgestellt, dass der klagende Internetzugangsdiensteanbieter bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens nicht verpflichtet ist, die in § 113b Abs. 3 TKG genannten Telekommunikationsverkehrsdaten zu speichern (Az. 13 B 238/17). Aufgrund dieser Entscheidung und ihrer über den Einzelfall hinausgehenden Begründung sieht die Bundesnetzagentur bis zum rechtskräftigen Abschluss eines Hauptsacheverfahrens von Anordnungen und sonstigen Maßnahmen zur Durchsetzung der in § 113b TKG geregelten Speicherverpflichtungen gegenüber allen verpflichteten Unternehmen ab. Bis dahin werden auch keine Bußgeldverfahren wegen einer nicht erfolgten Umsetzung gegen die verpflichteten Unternehmen eingeleitet.

201726.06.

OVG NRW: Vorratsdatenspeicherung verstößt gegen Unionsrecht

Die verdachtsunabhängige, flächendeckende Speicherung von IP-Adressen, zu der Internetprovider ab dem 1. Juli 2017 gemäß des Gesetzes zur Vorratsdatenspeicherung vom Dezember 2015 verpflichtet sind, sei nicht mit Unionsrecht vereinbar. So entschied das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW, Beschluss v. 22.06.2017 – Az. 13 B 238/17) im Eilverfahren, das der Internetprovider SpaceNet AG mit der Unterstützung des Verbandes der Internetwirtschaft (ECO) angestrengt hatte. Das Unternehmen SpaceNet ist somit von der Pflicht zur anlasslosen Speicherung ausgenommen.

SpaceNet hatte argumentiert, das Gesetz verletze Freiheits- und Schutzrechte, die durch die Grundrechtecharta der EU (GRCh) besonders geschützt seien, etwa die Berufsfreiheit, die unternehmerische Freiheit, den Schutz der Privatsphäre, des Familienlebens und auch den Schutz von personenbezogenen Daten. Das Verwaltungsgericht Köln folgte dieser Argumentation nicht und lehnte den Antrag SpaceNets auf Erlass einer einstweiligen Anordnung ab (VG Köln, Beschluss v. 25.01.2017 – Az.  9L 1009/16). Den Erfolg erreichte SpaceNet dann aber vor dem OVG des Landes NRW in Münster. Die Richter verwiesen auf die Entscheidungen des EuGH vom Dezember 2016 (Az.: C-203/15 u. C-698/15) in denen ein Verstoß der Vorratsdatenspeicherung gegen die europäische Datenschutzrichtlinie von 2002 festgestellt wurde und deuteten damit den wahrscheinlichen Ausgang im nun anstehenden Hauptverfahren an.

Obwohl nur SpaceNet von der Pflicht zur Vorratsdatenspeicherung ausgenommen ist, hat das Unternehmen durch die Bemühungen wichtige Vorarbeit für andere Unternehmen geleistet, die nun mit einer gewissen Sicherheit dem Beispiel folgen könnten. Der Verein Digitale Gesellschaft hat in einer Stellungnahme alle Verbraucher dazu aufgerufen, bei ihren Internetprovidern die Gegenwehr zu fordern und entsprechend Druck aufzubauen.

Die Telekom argumentiert momentan vor dem VG Köln, die anlasslose Speicherung von IP-Adressen sei nicht geeignet, um die Strafverfolgung zu unterstützen. IP-Adressen würden nur begrenzt vergeben und besonders bei mehreren Nutzern, die nicht individuell identifizierbar seien, wie in den Fällen eines HotSpots, sei die Speicherung von weiteren Daten notwendig, aber nach geltender Rechtslage unzulässig.

Die Bundesregierung hat durch den erneuten Anlauf, eine flächendeckende, anlasslose Vorratsdatenspeicherung einzuführen, möglicherweise (Fehl-)Investitionen in Millionenhöhe in die für die Speicherung notwendige Infrastruktur durch die Internetprovider erzwungen. Ab dem 1. Juli sind die Provider mit der Ausnahme von aktuell SpaceNet jedenfalls dazu verpflichtet, ein unionsrechtswidriges Gesetz umzusetzen, um nicht die Verhängung von Bußgeldern durch die Bundesnetzagentur fürchten zu müssen. Es ist zwar denkbar, dass die Maßnahmen der Bundesnetzagentur bis zur endgültigen Klärung der Rechtslage ausgesetzt werden, jedoch gibt es bisher keine offiziellen Stellungnahmen, die der nun geschaffenen großen Rechtsunsicherheit für Internetprovider entgegenwirken könnten.

In einer Stellungnahme äußerte sich der Verband ECO erfreut, der Vorstand Oliver Süme teilte mit:

„Die Entscheidung des Oberverwaltungsgerichts Nordrhein-Westfalen ist der erste Schritt in die richtige Richtung. Aber jetzt ist es an der Zeit für eine Grundsatzentscheidung, um die Vorratsdatenspeicherung endgültig zu stoppen, andernfalls laufen die Unternehmen Gefahr, ein europarechts- und verfassungswidriges Gesetz umsetzen zu müssen und damit Gelder in Millionenhöhe in den Sand zu setzen. Die Vorratsdatenspeicherung ist eine netzpolitische Fehlentscheidung, vor der wir in der Vergangenheit immer wieder gewarnt haben und die vermeidbar gewesen wäre, wenn sich die Bundesregierung sorgfältiger mit den Einwänden der Wirtschaft auseinandergesetzt hätte“.

Und auch der Vorstand der SpaceNet AG, Sebastian von Bomhard, sieht die Position des Unternehmens SpaceNet bestätigt:

Es ist schön zu sehen, dass wir mit unserer Klage und dem Eilantrag den richtigen Weg gegangen sind. Auch wenn das Gericht formal zunächst nur über den Eilantrag entschieden hat, findet sich in der Urteilsbegründung einiges, was den Ausgang der Sache zu Gunsten der Position der Spacenet AG präjudiziert.

201517.10.

Bundestag beschließt Vorratsdatenspeicherung

Am 16.10.2015 hat der Bundestag trotz massiver Kritik von Datenschützern, Juristen und Teilen der Bevölkerung die Vorratsdatenspeicherung mit 404 Ja-Stimmen, 7 Enthaltungen und 148 Nein-Stimmen beschlossen.

Meine Bedenken gegen das Gesetz habe ich im Blog schon mehrfach erläutert: Warum wir keine Vorratsdatenspeicherung brauchen und Kritik am Gesetzentwurf zur Vorratsdatenspeicherung.

Entsprechende Gesetze wurden bereits von den Verfassungsgerichten in Belgien, den Niederlanden, Rumänien und Tschechien kassiert. Es bleibt zu hoffen, dass das Bundesverfassungsgericht zeitnah ein weiteres Mal das informationelle Selbstbestimmungsrecht verteidigt und die anlasslose Massenüberwachung durch dieses Gesetz für unwirksam erklärt.

201513.06.

Kritik am Gesetzentwurf zur Vorratsdatenspeicherung

Update (15.06.2015): Ende letzter Woche hat das belgische Verfassungsgericht die nationale Regelung zur Einführung der Vorratsdatenspeicherung für nichtig erklärt (Urteil im Volltext in deutscher Sprache; siehe dazu auch netzpolitik.org).

Eine entsprechende Entscheidung zur deutschen Regelung ist auch vom Bundesverfassungsgericht zu erhoffen.


Relativ kurz nach dem Amoklauf von Paris und den ersten Forderungen nach einer Vorratsdatenspeicherung („VSD“) in Deutschland habe ich dargelegt warum eine anlasslose VSD unverhältnismäßig und verfassungswidrig ist.

Inzwischen hat das Justizministerium einen Gesetzentwurf zur Vorratsdatenspeicherung („VSD“) vorgelegt, den das Kabinett am 27. Mai 2015 beschlossen hat. Die Regelungen sind insbesondere in den neuen § 100g Strafprozessordnung, §§ 113a – 113g Telekommunikationsgesetz und § 202d Strafgesetzbuch verankert.

Der Gesetzentwurf weist m.E. erhebliche Mängel auf und wird einer verfassungsrechtlichen Prüfung nicht standhalten. Am gravierendsten ist, dass der im Gesetz vorgesehene Richtervorbehalt ausgehöhlt wird. Zwar soll über den direkten Abruf von Vorratsdaten grundsätzlich immer ein Gericht entscheiden. Durch eine Nebenabrede zur Bestandsdatenauskunft wurde jedoch geregelt, dass eine Auskunft über die Bestandsdaten auch anhand der nach § […] TKG-E gespeicherten Daten verlangt werden kann. Möchte die Polizei also wissen, welcher Anschlussinhaber zu einem bestimmten Zeitpunkt eine IP-Adresse genutzt hat, muss der Telekommunikationsanbieter unter Rückgriff auf Vorratsdaten Auskunft erteilen. Die Vorratsdaten werden also ohne Richtervorbehalt genutzt. Eine solche Abfrage durch die Polizei ist dabei auch bei geringfügigen Tatvorwürfen wie bspw. einer Beleidigung im Internet möglich, was erneut die Unverhältnismäßigkeit des Gesetzentwurfs zeigt.

Die Erhebung von Vorratsdaten von Geheimnisträgern wie Ärzten, Journalisten, Rechtsanwälten oder Seelsorgern wird ironischerweise in § 100g Abs. 4 StPO für unzulässig erklärt. Die Regelung sieht ein Beweisverwertungsverbot und eine Löschpflicht vor, wobei die Löschung aktenkundig! zu machen ist. Technisch werden natürlich dennoch sämtliche Daten erhoben. Insofern besteht die Gefahr, dass die technische Umsetzung der Löschpflicht in der Praxis eine erhebliche Herausforderungen und Belastung für die Telekommunikationsunternehmen darstellen wird. Schließlich eröffnet der Gesetzentwurf unglücklicherweise mit der Erhebung und Speicherung dieser sehr sensiblen Daten auch ein nicht unerhebliches Missbrauchsrisiko.

Im Ergebnis erscheint auch die Verpflichtungen für Telekommunikationsunternehmen zu umfangreichen technischen und organisatorischen Maßnahmen unverhältnismäßig. Als Beispiel sei die Verpflichtung zur Vorhaltung eines getrennten Datenpools für die Vorratsdaten genannt. Die deutsche Internetwirtschaft schätzt die Kosten auf ca. 600 Millionen Euro.

Schließlich führt der Gesetzentwurf mit § 202d StGB den neuen Straftatbestand der Datenhehlerei ein:

Wer Daten die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. […]

Nach der der Gesetzesbegründung soll nahezu jede beliebige Vortat ausreichen. Verwendet man „Daten“ synonym mit „Informationen“, führt dies zu einem erweiterten Schutz von Betriebs- und Geschäftsgeheimnissen. Whistleblower-Schutz, der wünschenswert wäre, sieht anders aus. Im Grunde stellt der Normentwurf genau das Gegensteil dar. Betreiber von Enthüllungsplattformen könnten nach Inkraftreten des Gestzes, anderes als derzeit, strafrechtlich verfolgt werden, wenn sie vertrauliche Dokumente aus Deutschland veröffentlichen.

Ausdrücklich ausgenommen von der Regelung ist interessanterweise die Datenhehlerei von Amtsträgern, sofern die so erlangten Daten in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren verwendet werden sollen. Die Steuer-CD lässt grüßen… wobei sich der private Verkäufer solcher CD’s wohl der Datenhehlerei nach § 202d StGB strafbar machen würde.

201520.03.

Warum wir keine Vorratsdatenspeicherung brauchen

Eine anlasslose Vorratsdatenspeicherung (“VDS”) ist in Deutschland unter den derzeitigen rechtlichen Rahmenbedingungen nicht möglich; und das ist auch gut so. Das Risiko von Einzelattentaten Krimineller kann nicht die vollständige Überwachung aller Bürger auf Vorrat rechtfertigen. Das sollte sich eigentlich von selbst verstehen… Denjenigen, die das nicht so sehen, sei hier dringend die (nochmalige) Lektüre von Orwells 1984 angeraten.

Und dennoch wird nach den Anschlägen von Paris im Januar 2015 lauter denn je die Einführung der Vorratsdatenspeicherung gefordert. Und das wohlgemerkt oft plakativ, oberflächlich, populistisch und offensichtlich gestützt auf oder kokettierend mit gefährlichem Halbwissen. Die einschlägige und eindeutige Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs, die Gesetze bzw. die Richtlinie zur Vorratsdatenspeicherung für unwirksam erklärt haben, wird dabei ebenso ignoriert wie die Grundrechte aus dem Grundgesetz. Der Europäische Gerichtshof hatte erst 2014 entscheiden, dass die Vorratsdatenspeicherung klar begrenzt sein muss und dass eine anlasslose Speicherung nicht gerechtfertigt ist. Eine verfassungskonforme Umsetzung einer anlasslosen Vorratsdatenspeicherung dürfte demnach kaum mehr möglich sein.

Es drängt sich der Eindruck auf, dass vielen die Bedeutung des Grundrechts auf informationelle Selbstbestimmung, also das Recht eigenständig zu entscheiden was mit den eigenen Daten geschieht, nicht hinreichend bewusst ist. Eine Sensibilität dafür wird sich wohl erst einstellen, wenn man selbst betroffen ist, etwa in Fällen von Identitätdiebstahl oder Hackerangriffen – es sei denn,  ein gesellschaftliches und politisches Umdenken findet statt. Leider ist vielen ebenso nicht bewusst, wie gläsern jeder Einzelne durch eine VDS theoretisch werden kann. Wie mächtig solche Instrumente in “Perfektion” sein können, lassen die Dokumente von Edward Snowden seit nunmehr über einem Jahr auf erschreckende Weise erahnen: Denkbar ist damit ein Profil zu jedem Bürger, aggregiert und aufbereitetet aus Metadaten zu Standort/Bewegungsprofil (GPS), Socializing (GPS Abgleich mit anderen Bürgern), Online Aktivitäten (besuchte Webseiten, genutze Apps & Cloud Services, Social Media), Kommunikation (Telefon, Email, Social Media) und Interessen (aggregiert aus Online/Offline Aktivitäten). Keineswegs handelt es sich hier um rein technische Daten, die kaum einen persönlichen Bezug haben. Über diese Metadaten kann man automatisiert und in der Masse mehr über die Persönlichkeit, Gewohnheiten und Vorlieben einzelner Personen herausfinden, als es sich die Stasi je erträumt hätte. Die Unschuldsvermutung und das Prinzip des strafrechtlichen Anfangsverdachts werden ad absurdum geführt.

Sogesehen bringt es der Verfassungsgerichtshof Rumäniens in seinem Urteil gegen die Vorratsdatenspeicherung (Entscheidung Nr. 1258, 8. Oktober 2009) auf den Punkt:

Diese Maßnahme betrifft alle Personen gleichermaßen, unabhängig davon, ob sie eine strafbare Handlung begangen haben oder nicht, ob gegen sie ein Strafverfahren geführt wird oder nicht, was die Ge­fahr birgt, dass die Unschuldsvermutung ausgehebelt wird und alle Nutzer elekt­ronischer Kommunikationsdienste und öffentlicher Kommunikationsnetze a priori in den Verdacht der Begehung terroristischer oder sonstiger schwerer Straftaten geraten.

Beginnt man ersteinmal damit, solche Massen an Daten auf Vorrat zu sammeln, ergibt sich das Erfordernis eine Methode zu entwickeln um diese Datenflut zu analysieren und effizient zu nutzen von selbst; und damit im Übrigen auch ein erhebliches Macht- und Missbrauchpotential.

Ein entsprechendes Gesetz zur Vorratsdatenspeicherung müsste insbesondere dem Grundsatz der Verhältnismäßigkeit genügen. Dies ist der Fall, wenn das Gesetz geeignet ist den bezweckten Erfolg zu erfüllen (Geeignetheit), kein milderes, gleichwirksames Mittel zur Verfügung steht um den bezweckten Erfolg zu erreichen (Erforderlichkeit) und keine unverhältnismäßige Einschränkung von Grundrechten (Angemessenheit) vorliegt.

Schon das Kriterium der Geeignetheit wirft erhebliche Fragen auf. Es darf mit guten Gründen bezweifelt werden, dass die VDS überhaupt geeignet ist, einen Gesetzeszweck à la Schutz der Zivilbevölkerung vor terroristischen Gefahren, zu erfüllen, denn:

die VDS ist faktisch wirkungslos.

Die Erfahrungen aus anderen Ländern sprechen für sich. Sowohl in England (2009-2010 und ab 2014) als auch in Frankreich (seit 2006) wird die VDS, mit Unterbrechungen, eingesetzt. Dennoch kam es in beiden Ländern zu terroristischen Anschlägen von Einzeltätern. Darüber hinaus gibt es auch in keinem anderen EU-Mitgliedsstaat Belege dafür, dass die Vorratsdatenspeicherung zu einer erhöhten Aufklärungsquote oder zum Schutz vor terroristischen Attentaten geführt hat, obwohl sie in vielen EU-Staaten (u.a. Irland, Niederlande (verfassungswidrig, außer Kraft), Schweden, Ungarn, Rumänien (verfassungswidrig, außer Kraft), Tschechien (verfassungswidrig, außer Kraft) über Jahre eingesetzt worden ist.

Ohne Frage verbleibt durch entsprechende VDS Maßnahmen theoretisch und abstrakt eine Restwahrscheinlichkeit, dass auch Anschläge oder Ähnliches verhindert werden. Aber, wie Benjamin Franklin sinngemäß sagte, wer Freiheit für Sicherheit aufgibt, wird beides verlieren. Und genau das ist der Punkt. Es ist äußert bedauerlich, aber man wird das Risiko, dass solche Einzelattentate verübt werden, leider nie ganz ausschließen können. Auch nicht mit einer umfassenden Speicherung aller Daten der Bürger eines Landes. Wahrscheinlich sogar, insbesondere nicht dadurch.

Denn die Terroristen, gegen die sich die VDS ja primär richten soll, werden sich darauf einstellen und sich anpassen. Zum einen technisch, etwa durch die Nutzung von Verschlüsselung und/oder Anonymisierungstools, zum anderen natürlich auch in ihrem Verhalten, etwa durch den bewussten Verzicht auf elektronische Kommunikation. Ein schönes Negativbeispiel für ein solches Anpassen an verstärkte rechtliche und technische Rahmenbedingungen sind etwa vereinzelte Hidden Services im TOR-Netzwerk, sog. Darknet oder Deepweb (z.B. BlackMarket, SilkRoad, SilkRoad 2.0), auf denen in den letzten Jahren sämtliche illegalen Geschäfte und Waren “frei”, und lange ohne Strafverfolgung, gehandelt werden konnten .

Was bleibt ist die massive Einschränkung der Persönlichkeitsrechte sämtlicher Bürger, ohne dass dadurch der Zweck eines solches Gesetzes, der Schutz der Zivilbevölkerung vor Terrorismus, auch nur ansatzweise erfüllt wird; und im Übrigen auch nicht erfüllt werden könnte. Aber es kommt noch schlimmer, denn:

die VDS birgt Risiken

Logischerweise bringt die massenhafte Speicherung von Daten auch ein erhebliches Risiko mit sich. Auch hier zeigt die Erfahrung der letzten Jahre die Anfälligkeit von IT-Systemen nur zu deutlich. Zudem lassen die Snowden Dokumente erahnen welche technischen Fähigkeiten einige Geheimdienste und, wahrscheinlich etwas abgeschwächt, Kriminelle haben. Folgerichtig wird stets ein nicht unerhebliches Manipulations- und Missbrauchspotential hinsichtlich der vorgehaltenen Daten bestehen. Denkbar sind zum Beispiel Identitätsdiebstahl, die Manipulationen von erhobenen Daten oder sogar das Abgreifen und Nutzen von Daten zum Nachteil einzelner Bürger (Datenmissbrauch, Kreditkartenmissbrauch, Ausspähen von Daten, Stalking).

Es ist dringend erforderlich gesellschaftspolitisch über die Frage zu sprechen, ob wir als Bürger die vermeintliche Sicherheit der Freiheit vorziehen und es zulassen wollen, dass der Staat sämtliche Verbindungs- und Standortdaten der Telekommunikation eines jeden Bürgers ohne begründeten Verdacht speichert.