Französische Hosting-Provider müssen Login-Daten speichern

In Frankreich ist Anfang März eine Verordnung der französischen Regierung in Kraft getreten, wonach Hosting-Provider Informationen zur Nutzer-Identifizierung einschließlich Passwörtern ein Jahr aufbewahren müssen. Das Dekret bezieht sich auf alle Anbieter von Inhalte-Plattformen, also auch Video- oder Foto-Sharing-Seiten oder die Betreiber von Blogdiensten und Online-Foren. Gegner des Vorhabens, das mittlerweile in Weblogs und den klassischen Medien für Aufsehen sorgt, beklagen eine neue Form der ungerechtfertigten Vorratsdatenspeicherung.

Französische oder in Frankreich tätige Hosting-Plattformen müssen Verbindungskennungen zum Start eines Kommunikationsvorgangs, vom Informationssystem selbst vergebene Kennungen und die Arten der bei der Verbindung und der Übertragung von Inhalten genutzten Protokolle speichern. Sie müssen Zeit und Dauer eines Login-Vorgangs sowie gegebenenfalls zusätzlich verwendete Kennungen archivieren. Darüber hinaus müssen sie Bestandsdaten wie vollständige Namen und Adresse, Telefonnummer, E-Mail-Adresse, Login-Name, Pseudonyme, PINs und andere Passphrasen auch bis zu einem Jahr nach Löschung eines Kontos aufbewahren.

Anbieter bezahlpflichtiger Dienste müssen Informationen über die verwendete Bezahlmethode, den gezahlten Betrag und Zeitangaben zur Transaktion festhalten. Dazu kommen Kennungen von Terminals oder IP-Adressen von Anschlüssen, über die ein Service gebucht wurde.

Die französische Datenschutzbehörde CNIL (Commission nationale de l' informatique et des libertés) rügte das Vorhaben bereits Ende 2007, als ein Verordnungsentwurfs bekannt wurde. Sie monierte in einer Stellungnahme, die sie nun offiziell veröffentlicht hat, dass schon der Begriff einer "Hosting-Firma" ungenau definiert und rechtlich unsicher sei. Unklar bleibe auch, was die Regierung mit "Kennungen" meine. So würden bei einem DSL-Anschluss etwa ganz andere Informationen erfasst als etwa bei einem Betreiber eines kostenlosen WLAN-Hotspots.

Die Verordnung schlägt mittlerweile höhere Wellen, nachdem Experten wie Googles Chefdatenschützer Peter Fleischer sie als Zusatzbestimmung zur Umsetzung der heftig umkämpften EU-Richtlinie zur Vorratsspeicherung von Verbindungs- und Standortdaten interpretierten. Diese verpflichtet im Gegensatz zu dem Dekret alle Zugangsanbieter zur verdachtsunabhängigen Protokollierung von Nutzerspuren wie IP-Adressen oder Rufnummern. Inhaltsdaten dürfen dabei im Einklang mit den Brüsseler Vorgaben nicht erfasst werden.

Obwohl die Verordnung eine spezielle Gruppe von Providern trifft, wächst der Widerstand in der Branche. Vereinigungen der französischen Internetwirtschaft mit Mitgliedern wie Dailymotion, Google oder Facebook wollen Klage gegen das Dekret einreichen. Sie wollen neben den Mehrdeutigkeiten im Verordnungstext vor allem angreifen, dass Passwörter vorgehalten werden müssen, da diese nutzlos seien für die reine Identifizierung von Nutzern. Weiter stört sie, dass selbst rechtswidrige Inhalte gespeichert werden müssen und eine Entschädigung bislang nicht gezahlt werde. Die Verordnung sieht eine Ausgleichszahlung zwar vor, dafür müsste die Regierung aber erst ein Zusatzdekret erlassen.

Hierzulande läuft bereits seit 2005 eine Verfassungsbeschwerde gegen Überwachungsklauseln im Telekommunikationsgesetz (TKG), die deren Initiatoren zufolge mit den französischen Auflagen vergleichbar sind. Ihrer Ansicht nach würden mit den Paragraphen 112 und 113 TKG "viele Behörden" ermächtigt, "Auskünfte über Name, Anschrift, Rufnummern, PINs, Passwörter und weitere persönliche Daten von Telefon-, Handy-, E-Mail- und Internetnutzern verlangen zu können". Paragraph 95 TKG sehe die Pflicht zur Aufbewahrung solcher Kundendaten ein Jahr über das Vertragsende hinaus vor. Die Beschwerdeführer argumentieren, es sei grob unverhältnismäßig, persönliche Daten der gesamten Bevölkerung auf Vorrat zu erfassen und für staatliche Zwecke vorzuhalten, nur weil ein Bruchteil davon zur "Missbrauchsbekämpfung" einmal nützlich sein könnte. (anw)