Deep Packet Inspection auch in Deutschland?
Netzpolitik.org erläutert in einem aktuellen Blogbeitrag, dass die Telekom und Kabel Deutschland das Produkt „Service Control Engine“ von Cisco einsetzen, das eine Deep Packet Inspection (DPI) ermöglicht. Mittels DPI werden sämtliche transportierten Datenpakete systematisch ausgelesen und analysiert. CCC-Mitglied Rüdiger Weis hat das kürzlich gegenüber der taz sehr anschaulich erläutert.
Totalitäre Staaten wie China und jetzt auch Russland benutzen DPI dazu, das Internet zu überwachen und zu zensieren. In Deutschland setzen Provider DPI nach eigenen Angaben dazu ein, um beispielsweise Filesharing auszubremsen oder um Internettelefonie (Skype) zu unterbinden, wenn der von dem Kunden gebuchte Tarif eine solche Nutzung vertraglich nicht zulässt.
Zu dem Thema hatte ich kürzlich bereits gebloggt und die Rechtsansicht vertreten, dass der Einsatz von DPI gegen § 88 TKG verstößt und damit in Deutschland unzulässig ist.
Die Einhaltung des Fernmeldegeheimnisses ist nach dem TKG in der Tat allerdings nicht als Aufgabe der Bundesnetzagentur definiert, weshalb die von netzpolitik.org geschilderte Reaktion der Behörde formal nicht zu beanstanden ist. Es stellt sich hier dennoch die Frage, ob sich der Staat einfach raushalten kann, wenn er erkennt, dass deutsche TK-Anbieter systematisch gegen das (einfachgesetzliche) Fernmeldegeheimnis verstoßen. Denn der Staat hat natürlich auch eine Schutzpflicht für die Grundrechte seiner Bürger. Insoweit stellt sich die Frage, ob das Fernmeldegeheimnis des TKG gesetzlich ausreichend abgesichert ist oder ob der Gesetzgeber nicht doch die Einhaltung des Fernmeldegeheimnisses und eine Sanktionierung von Verstößen behördlicherseits sicherstellen müsste.
Nachdem der Straftatbestand des § 206 StGB erst dann eingreift, wenn Informationen, die dem Fernmeldegeheimnis unterliegen an einen anderen weitergegeben werden, stellt der Verstoß gegen § 88 TKG derzeit wohl (nur) eine zivilrechtliche Verletzung der Rechte des Providerkunden dar, gegen die Unterlassungs- und Schadensersatzansprüche in Betracht kommen.
Die erste Frage bei 88 TKG ist, ob durch DPI überhaupt „Kenntnis“ des Providers vorliegt, das hast Du im verlinkten Text nicht behandelt. Meines Erachtens, ohne dass ich mich da tiefer mit befasst hätte, kann man da zwei meinungen zu haben. Wie kann eine Maschine „Kenntnis“ haben? Sie hat kein Bewusstsein. Man muss also die Frage stellen, ob man die Verarbeitung einer Information einem Menschen bzw einer Organisation zurechnet und da sind wir nicht nur mitten in der Technikphilosophie, sondern auch beim Schutzzweck der Norm. Wenn Sie Sphären schützen will, dann sind diese durch Maschinen nicht betroffen.
Gibt es dazu nicht verschiedene Auffassungen?
Comment by Christoph Kappes — 9.11, 2012 @ 12:56
@1: Guter Hinweis. Allerdings liegt hier ja nicht nur der Fall vor, dass eine Maschine eine Analyse macht, zu einem Ergebnis kommt, und dieses dann für sich behält, sondern sie führt dann ja bestimmte Aktionen aufgrund eines bestimmten identifizierten Inhalts – wie im beschriebenen Fall Filesharing bzw. Skype – durch. Mittelbar erhält der Provider also Kenntnis vom Inhalt, wenn er erkennen kann, dass ein bestimmter Zugriff geblockt wurde. Es ist schwer vorstellbar, dass das schweigend passiert, d.h. der Kunde merkt, dass Skype nicht funktioniert, aber beim Provider gibt es keine Spuren. Es ist also fraglich, ob hier positive Kenntnis erforderlich ist.
Ich habe mich noch zu wenig mit 88 TKG beschäftigt, allerdings sind dort ja Ausnahmen vorgesehen, unter denen Kenntnis erlaubt ist. Dürften diese in den genannten Fällen, insb. Skype, nicht zutreffen ?
Comment by Oliver — 9.11, 2012 @ 13:50
Hm, §206 StGB, Absatz 2 haut doch auch ohne Weitergabe an andere hin, oder?
„öffnen oder sich von ihrem Inhalt ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschaffen“ und „eine einem solchen Unternehmen zur Übermittlung anvertraute Sendung unterdrücken“ sollte doch genau den Punkt bei DPI treffen. Die einzige offene Frage ist, ob das „unterdrücken“ auch das verzögerte oder verlangsamte Weiterleiten beinhaltet. Aber eine Weitergabe ist gar nicht nötig zum Verstoß.
Und mit dem dritten Punkt „eine der in Absatz 1 oder in Nummer 1 oder 2 bezeichneten Handlungen gestattet oder fördert“ hat man die Leute auch an der Nase, wenn nur die Maschine reinguckt und filtert.
Comment by Tak — 9.11, 2012 @ 14:01
@Tak (Nr. 3). „Anvertraut und verschlossen“. Das passt nicht.
@Christoph Kappes:
Der Kommentator Nr. 2 hat es eigentlich schon dargestellt.
Der Maschine muss ja vorher gesagt werden was, sie tun muss. Sie analysiert den Datenverkehr nach vorgegebenen Kriterien, stellt dann fest, aha Filesharing und drosselt oder blockiert dann entsprechend, was auch aufgezeichnet wird. Wenn man jetzt kleinlich auslegt, dann findet die Kenntnisverschaffung immer erst dann statt, wenn ein Mensch tatsächlich nachvollzieht, dass im konkreten Fall Filesharingtraffic abgebremst wurde. Ich meine aber, dass auch die automatisierte Ermittlung bestimmter Inhalte oder bestimmter Kommunikationsumstände darunter fallen muss.
Comment by Stadler — 9.11, 2012 @ 16:46
Wäre hier eine Musterklage sinnvoll, um das zu klären? Ich wäre dabei.
Comment by Peter Hense — 9.11, 2012 @ 21:37
Also ein solch überwachtes Internet brauchen wir nicht da gehen wir lieber zur alten Mailbox über mit nur 50.000 bit/s und das war es dann.
Wenn sich die eine Seite nicht an die Freiheit hält, dann geht es eben nicht anders.
Dann ist nix mehr mit Email und sonstigen Sachen.
Ciao
Comment by Habnix — 10.11, 2012 @ 17:16
Ist es möglich, dass dein Server anonyme VPNs blockt, oder sie dich?
telnet internet-law.de 80
Trying 82.165.83.95…
telnet: connect to address 82.165.83.95: Connection refused
Auf anderer Route funktioniert es.
Comment by Off topic — 12.11, 2012 @ 12:17
Ich weiß, dass das ein extrem strittiges Thema ist, aber mal von verschlüsselten Inhalt abgesehen – und der kann (noch) nicht in Echtzeit (!!!) entschlüsselt werden – ist es doch quasi so, dass sich zwei links und rechts an einen Marktplatz stellen und sich „Geheimnisse“, wie etwa, wir reden jetzt mal über’s Filesharing und welche DVDs der eine schon hat, zubrüllen. Jeder auf dem Platz hört, worum es geht. Das Fernmeldegeheimnis bezieht sich doch sprachlich noch auf rein anachronistische Briefpost und was die sog. DPI-Engine von Cisco hier lediglich macht, ist auf den Brief zu schauen… Ich weiß nicht, ob das für Musterklagen reicht.
Darüber hinaus: Internet Service Provider nutzen derartige Technologien sicher nicht um zu schnüffeln, sonder um Quality of Service sicherzustellen (Mobilfunknetze…). Wenn sie also nicht handeln, ningeln die Kunden wegen der schlechten Anbindung, handeln sie, ningeln die Kunden auch. Also ist es quasi egal. Und pragmatisch betrachtet ist der Ausbau einer wie auch immer gearteten Technik für QoS sicher auch kosteneffizienter als ein Massiver Netzausbau. Wir lebe immerhin in einem Turbokapitalismus…
Comment by icke — 12.11, 2012 @ 19:11
Wie sollen denn die Bestandsdaten ohne die Nutzungs- und Verbindungsdaten erilmtett werden? Sollte die Lfccke aber so existieren, dann ist sie sicherlich nicht zufe4llig da.btw: a7 160 Abs. 5 gibts nicht
Comment by Diane — 27.11, 2012 @ 08:00