Fragen und Fakten zur Vorratsspeicherung von Telefon- und Internetdaten
Die Vorratsspeicherung von Telefon- und Internetdaten kommt. c't aktuell hat die Anforderungen der beschlossenen Direktive und den bestehenden Klärungsbedarf zusammengestellt.
Die Vorratsspeicherung von Telefon- und Internetdaten kommt. Nach der formalen Bestätigung der entsprechenden EU-Richtlinie zur Aufzeichnung der elektronischen Spuren der rund 450 Millionen EU-Bürger könnten höchstens Gerichte den damit einhergehenden Paradigmenwechsel in der Strafverfolgung und die Generalverdächtigung der Nutzer noch aufhalten. Im Rahmen der langen Debatte um die Einführung der pauschalen Überwachungsmaßnahme und die zahlreichen Gesetzesentwürfe unterschiedlicher Gremien herrscht noch Verwirrung darüber, welche Informationen über die Nutzung von Telekommunikationsdiensten konkret zu speichern sind.
c't aktuell hat die Anforderungen der beschlossenen Direktive und den bestehenden Klärungsbedarf zusammengestellt. Daraus ergeben sich auch Hinweise, welche Lücken das künftige Fahndungsnetz bieten wird und welche Datenschutzmöglichkeiten etwa durch den Einsatz von Verschlüsselungs- und Anonymisierungstechniken erhalten bleiben. Seit langem bekannt ist zudem, dass Nutzer, die den Gang zur Telefonzelle, ins Internet-Café oder zu ausländischen Anbietern von E-Mail oder Prepaid-Mobilfunkkarten nicht scheuen, mit dem Instrument der Vorratsdatenspeicherung nicht zu überwachen sind.
Die Liste der konkret zu speichernden Datentypen in Artikel 5 der Richtlinie (PDF-Datei) ist lang: Sie bezieht sich auf Angaben wie Rufnummern, Benutzerkennungen, IP-Adressen und Namen sowie Anschrift von Teilnehmern zur Rückverfolgung und Identifizierung sowohl der Quelle als auch des Adressaten einer Nachricht. Zudem sollen die Sicherheitsbehörden Informationen erhalten, die zur Bestimmung von Datum, Uhrzeit und Dauer, der Art sowie der (mutmaßlichen) Endeinrichtung einer Nachrichtenübermittlung benötigt werden. Es geht ihnen dabei etwa um die Bezeichnung eines in Anspruch genommenen Internetdiensts oder um die IMSI- und IMEI-Nummern zur Feststellung der Teilnehmer- und Gerätekennung beim Mobilfunk. Zur Bestimmung des Standorts mobiler Geräte müssen die Anbieter ferner die Funkzelle bei Beginn einer Verbindung sowie "Daten zur geographischen Ortung von Funkzellen durch Bezugnahme auf ihre Standortkennung" während des gesamten Speicherzeitraums festhalten.
Im Internetbereich sieht die Direktive eine Beschränkung auf Verbindungsdaten zum Zugang, zu E-Mail und zur Internet-Telefonie vor. Zu speichern sind die zugewiesenen Benutzerkennungen sowie auch hier Name und Anschrift des Teilnehmers, dem eine IP-Adresse, Kennung oder Rufnummer bei VoIP (Voice over IP) zum Kommunikationszeitpunkt zugewiesen war. Beide Listen beziehen sich wieder auf Quelle und Adressat. Darüber hinaus müssen Datum und Uhrzeit der An- und Abmeldung beim Internetzugangsdienst auf der Grundlage einer bestimmten Zeitzone zusammen mit der vom Zugangsanbieter einer Verbindung zugewiesenen dynamischen oder statischen IP-Adresse und die Benutzerkennung des Teilnehmers oder des registrierten Benutzers erhoben werden. Die genauen Zeitangaben sind auch bei der An- und Abmeldung für einen E-Mail- oder VoIP-Dienst aufzuzeichnen. Um den Ermittlern Einsicht in die Art und Form der Nachrichtenübermittlung zu verschaffen, müssen bei einer analogen Einwahl oder bei ISDN die Rufnummer des benutzten Anschlusses beziehungsweise bei DSL-Nutzung der "digitale Teilnehmeranschluss oder ein anderer Endpunkt des Urhebers des Kommunikationsvorgangs" festgehalten werden.
Nach der Aufzählung der betroffenen Informationskategorien macht Artikel 5 noch deutlich, dass keinerlei Daten auf Vorrat gespeichert werden dürfen, "die Aufschluss über den Inhalt einer Kommunikation geben". Gerade bei SMS und E-Mail wird es den Anbietern aber nicht leicht fallen, zwischen Verbindungs- und Inhaltsdaten zu trennen. Beide Dienste vermischen diese Datenformen auf Protokollebene. Hier besteht noch Definitionsbedarf, wie etwa Mailserverbetreiber die gewünschten Absender- und Empfänger-Adressen aus dem Datenstrom herausfiltern sollen. Nach Ansicht von Providerverbänden kann der Richtlinientext aber zumindest nach den vom EU-Parlament beschlossenen Änderungen nicht mehr so interpretiert werden, dass URLs, P2P- sowie FTP-Transfers oder Chat-Sitzungen selbst auch erfasst werden müssen. Schließlich handle es sich dabei um Inhaltsdaten. Nichtsdestoweniger sind aber in diesen Fällen die beim Surfen, bei der Dateiübertragung oder beim Plauschen im Netz verwendeten IP-Adressen und Dienstkennnungen auf Grund der allgemeinen Bestimmungen der Direktive zu speichern.
Der Richtlinientext lässt Fragen und Schlupflöcher offen. Wer Kunde bei T-Online ist, aber seine Mail via POP3 bei GMX abholt, bleibt im Visier der Sicherheitsbehörden. Das Einwählen zum Mailabholen muss nämlich nach Ansicht von Providervertretungen wie eine eigenständige Sitzung interpretiert werden. Nicht betroffen sind allerdings Betreiber wie GMail oder Hotmail in den USA oder andere Anbieter außerhalb von Europa. Diese müssen nichts mitloggen. Wenn dort die Mailabholung innerhalb einer Online-Sitzung von einem deutschen Provider aus passiert, wird dieser Vorgang nicht protokolliert. Zahlreiche Einträge in den Aufzeichnungslisten der Provider und damit Filterprobleme für die Sicherheitsbehörden könnten Nutzer verursachen, die nach einer kurzen Inaktivität des Routers die Verbindung ab- und rasch wieder aufbauen. Das Gleiche gilt für häufige E-Mail-Abrufer, die sich bei SMTP- beziehungsweise POP3-Servern anmelden müssen, und diese Prozedur ständig wiederholen.
Ein weiterer ungeklärter Fall ist, was der Anbieter zu speichern hat, falls ein Nutzer E-Mails nur kryptographisch abgesichert per SSL an den Provider schickt. "Wenn die Adresse verschlüsselt ist, muss gegebenenfalls der Provider den Schlüssel rausrücken", fürchtet Michael Rotert, Vorstandsvorsitzender des Verbands der deutschen Internetwirtschaft eco. "Ich meine aber, dass man durchaus die verschlüsselten Werte mitloggt sowie Sitzungsanfang und Ende der Mailabholung – das ist es dann eben." Weitere Möglichkeiten zum "technischen Selbstschutz" vor einem befürchteten ungerechtfertigten Eingriff in die Privatsphäre haben Hacker auf dem jüngsten Chaos Communication Congress Ende 2005 bereits vorgestellt. Sie beziehen sich vor allem auf den Gebrauch offener WLAN-Zugangspunkte oder von Anonymisierungsdiensten sowie den verstärkten Aufbau abgeschotteter virtueller privater Netze (VPN) im Cyberspace. Für den technisch weniger versierten Surfer dürften derlei Möglichkeiten zur Verschleierung der Kommunikationsspuren jedoch nur schwer nutzbar sein.
Telefongesellschaften und Netzprovider bauen darauf, dass die Bundesregierung einem Antrag des Bundestags nachkommt und die teilweise schwammigen Vorgaben aus Brüssel in den "Minimalanforderungen" umsetzt. So pochen sie insbesondere darauf, dass in Deutschland die Speicherverpflichtung zeitlich auf die Untergrenze von sechs Monaten beschränkt wird. Gleichzeitig begrüßen sie das Ansinnen des Parlaments, eine angemessene Kostenentschädigungsregelung einzuführen. Zur Umsetzung der Richtlinie beziehungsweise bis zur Implementierung der Infrastruktur für die Vorratsdatenspeicherung will die Regierung im Internetbereich die maximale Frist von bis zu 36 Monaten ausschöpfen. Die Regelungen für die Telefonanbieter müssen theoretisch bereits 18 Monate nach dem Inkrafttreten der Direktive greifen. Insbesondere die Internetprovider rechnen nicht damit, dass im Umsetzungsgesetz selbst schon alle noch offenen Fragen geklärt werden. Sie gehen davon aus, dass die zuständige Regulierungsbehörde in Form der Bundesnetzagentur ähnlich wie bei der umstrittenen Telekommunikations-Überwachungsverordnung (TKÜV) Einzelheiten in einer zusätzlichen technischen Richtlinie festlegen wird.
Zur Auseinandersetzung um die Vorratsspeicherung sämtlicher Verbindungs- und Standortdaten, die etwa beim Telefonieren im Fest- oder Mobilfunknetz und der Internet-Nutzung anfallen, siehe den Artikel auf c't aktuell (mit Linkliste zu den wichtigsten Artikeln aus der Berichterstattung auf heise online): (jk)