TKÜV: Weniger Überwachungsauflagen für WLAN-Anbieter mit unter 100.000 Nutzern

Inhaltsverzeichnis

Heimlich, still und leise hat die Bundesregierung im März eine erneute Reform der seit Langem umstrittenen Telekommunikations-Überwachungsverordnung (TKÜV) auf den Weg gebracht. Die Initiative soll schon kommenden Freitag durch den Bundesrat, den Bundestag muss sie nicht passieren. Bei dem Vorhaben geht es unter anderem darum, technische und organisatorische Details zur neuen Vorratsdatenspeicherung festzulegen, mit der Provider nach einer 18-monatigen Übergangsfrist vom 1. Juli an starten müssen.

Überwachungsschnittstelle oder E-Mail

Generell müssen laut dem Entwurf Telekommunikationsfirmen mit über 100.000 Kunden eine gesicherte elektronische Überwachungsschnittstelle nach dem Standard ETSI TS 102 657 des Europäischen Instituts für Telekommunikationsnormen bereithalten, die eine "adäquate Verschlüsselung" beinhalten soll. Diese sogenannte ETSI-ESB sei auch von den "berechtigten Stellen für die Übermittlung der entsprechenden Anordnungen an diese Telekommunikationsunternehmen" zu nutzen. Zusätzliche Kosten für die Branchengrößen entstünden damit nicht, da diese die genormte Schnittstelle schon heute für Auskünfte an Sicherheitsbehörden im manuellen Verfahren einsetzen müssten.

Kleinere Provider, die weniger als 100.000 Kunden haben, sollen dagegen laut der Regierung "aus Verhältnismäßigkeitsgründen einen allgemein verfügbaren E-Mail-Dienst nutzen dürfen". Auch dabei müsse der Datenverkehr aber durch "vorgegebene Verschlüsselungsverfahren gegen Veränderungen und unbefugte Kenntnisnahme durch Dritte geschützt werden". Dafür sei eine E- Mail-basierte Schnittstelle vorgegeben, die pro Firma mit rund 15.000 Euro zu Buche schlage. Da insgesamt rund 1000 Provider prinzipiell elektronische Nutzerspuren verdachtsunabhängig erheben müssten und von diesen "etwa 973" unter den skizzierten Grenzwert fielen, kämen auf die Branche insgesamt Kosten von maximal 14,6 Millionen Euro zu.

"Aus der Luft gegriffen"

Im Prinzip gebe es keine Anforderungen an die E-Mail-Schnittstelle, was die Ausgaben tatsächlich im Rahmen halten könnte, erläuterte Klaus Landefeld, Vorstand Infrastruktur und Netze beim eco-Verband der Internetwirtschaft, den Plan gegenüber heise online. Die Mehrzahl der Unternehmen könne einen eigenen kleinen E-Mail-Server nur für diesen Zweck aufsetzen, der nur auf Anforderung angeschaltet und sich dann PGP-verschlüsselt mit der anfragenden Behörde austausche. Die Zahl der 1000 betroffenen Anbieter sei aber weitgehend aus der Luft gegriffen und wohl zu niedrig. Zudem ändere die Bagatellgrenze nichts an den Gesamtkosten der Vorratsdatenspeicherung, die der eco auf mindestens 300 Millionen Euro für die Branche beziffert.

Die Bundesregierung stellt mit dem Papier ferner klar, dass neben reinen E-Mail-Providern auch Erbringer "ausschließlich nichtkennungsbezogener Internetzugangsdienste über ein drahtloses lokales Netzwerk" keine Technik zur allgemeinen Telekommunikationsüberwachung bereithalten müssen, wenn daran "nicht mehr als 100.000 Teilnehmer oder sonstige Endnutzer angeschlossen sind". Aus der Begründung geht weiter hervor, dass dies nur für Zugänge gelten soll, die "alleine auf der Grundlage der bestehenden Gerätekennungen (MAC-Adresse) ohne Vergabe von Zugangskennungen erfolgen". Die Grenze sei sachgerecht und verhältnismäßig, da trotzdem "ein signifikanter Marktanteil abgedeckt wird", große Netzbetreiber etwa mit städteweiten Hotspots also technische und organisatorische Überwachungsvorkehrungen treffen müssten.

Gastronomie nicht betroffen?

Nach wie vor wird nicht ganz klar, inwieweit WLAN-Anbieter von der Pflicht zur Vorratsdatenspeicherung betroffen sind. Im Gesetz hatte es dazu geheißen, dass Betreiber, die ihren Kunden nur eine kurzzeitige Nutzung des Telekommunikationsanschlusses ermöglichen, außen vor bleiben sollen. Laut einer Mitteilung der Bundesnetzagentur gilt dies etwa für Hotels, Restaurants und Cafés, die ihre Kunden mit drahtlosem Internet versorgen.

Offen bleibt laut Landefeld, wie man die Anzahl der Teilnehmer in einem "nichtkennungsbezogenen" Umfeld eigentlich definiere. Der Experte kann sich auch nicht erklären, was eine Vorratsdatenspeicherung bei größeren WLAN-Anbietern wie der Deutschen Bahn bringen sollte, wenn der Anwender ohne Identifikationsmerkmal nicht bekannt sei und individuelle Daten so nicht für die Sicherheitsbehörden ausgeleitet werden könnten. Da praktisch alle Hotspot-Betreiber hier Network Address Translation (NAT) verwendeten, seien vor dem Hintergrund des gesetzlich verfügten Speicherumfangs und dem verfügbaren Auskunftsverfahren keine Auskünfte zum Zugangsdienst möglich. Theoretisch müsse zwar ein System zur Vorratsdatenspeicherung vorgehalten werden, in jedem Fall werde es aber "keine gespeicherten Daten und keine Auskünfte geben", die Pflicht werde also faktisch leerlaufen.

Ein Sprecher des federführenden Bundeswirtschaftsministeriums erklärte gegenüber heise online, dass sich angesichts der Rechtslage nicht pauschal sagen lasse, ob Freifunker Verbindungs- und Standortdaten auf Vorrat speichern müssten. Dies hänge "von konkreten Ausgestaltung des jeweiligen Freifunkangebots ab". Letztlich obliege es im Zweifel der das Gesetz ausführenden Bundesnetzagentur, "jeden einzelnen Fall zu beurteilen".

Zugriff für den BND

Die überarbeitete TKÜV soll auch erstmals die Vorgabe aus dem neuen Gesetzesrahmen für den Bundesnachrichtendienst (BND) umsetzen, wonach dieser ebenfalls auf Vorratsdaten zugreifen darf. In der anfänglichen Debatte um die Speicherpflichten hatte Bundesjustizminister Heiko Maas (BND) noch betont, dass Geheimdienste keinen Zugang zu den begehrten Verbindungs- und Standortinformationen erhalten sollten. Auch Vorgaben für eine teils durchzuführende Überwachung in Echtzeit werden präzisiert.

Im Bundesrat gibt es derweil Widerstand gegen das von der Bundesregierung vorgesehene Aus für eine Klausel, wonach die Justizbehörden derzeit eilbedürftige Überwachungsanordnungen noch per Telefax an die Provider senden können. Diese Bestimmung müsse beibehalten werden, fordern der Innen- und der Rechtsausschuss der Länderkammer in einer Empfehlung für die Plenarsitzung nächste Woche. Es handle sich dabei um ein "unverzichtbares Instrument der Strafverfolgung". Die vorgebrachten Sicherheitsbedenken seien nicht überzeugend.

Update 16.05.18: Artikel weitgehend überarbeitet, unter anderem mit Klarstellung, dass sich Ausnahmen bei E-Mail- und WLAN-Anbietern auf die Pflicht beziehen, von vornherein technische und organisatorische Vorkehrungen zur allgemeinen Telekommunikationsüberwachung treffen. Ergänzt um Einschätzungen des eco-Verbands und des Innenministeriums. (vbr)