Internet-Law

Onlinerecht und Bürgerrechte 2.0

10.4.14

Ist die Vorratsdatenspeicherung nach der Entscheidung des EuGH tot?

Auf Heise-Online sind vorgestern im Abstand von weniger als 30 Minuten zwei Artikel erschienen, deren Überschriften und inhaltliche Aussage gegensätzlicher nicht sein könnten. Während der frühere Bundesdatenschutzbeauftragte Peter Schaar in einem Gastbeitrag die These vertritt, der EuGH habe die Vorratsdatenspeicherung beerdigt, wird über BKA-Präsident Ziercke berichtet, er würde an der Vorratsdatenspeicherung festhalten.

Kurz nach dem Urteil des EuGH, das schon deshalb überraschend war, weil es die Richtlinie ohne Übergangsregelung rückwirkend für ungültig erklärt hat, stehen sich, was die Bewertung der Entscheidung angeht, zwei Auffassungen gegenüber. Die einen, wie Ziercke und eine Reihe konservativer Politiker, meinen, der EuGH habe in etwa so entschieden wie das BVerfG vor einigen Jahren, weshalb man jetzt in Deutschland, orientiert an den Vorgaben aus Karlsruhe, zügig ein neues Gesetz angehen könne. Die anderen, wie beispielsweise Schaar, meinen, der EuGH habe einer anlasslosen Datenspeicherung eine Absage erteilt und damit eine Vorratsdatenspeicherung praktisch unmöglich gemacht.

Entspricht die Entscheidung des EuGH inhaltlich dem Urteil des BVerfG?

Nach aufmerksamer Lektüre der Entscheidung des EuGH muss man jedenfalls erkennen, dass die Argumentation des EuGH sich nur in Teilen mit der des BVerfG deckt und in einigen Punkten deutlich über den Karlsruher Richterspruch hinausgeht.

Die Rn. 57 – 59 des EuGH-Urteils lassen sich dahingend interpretieren, dass die anlasslose Speicherung sämtlicher TK-Verbindungsdaten, die ohne jede Ausnahme und ohne jede Differenzierung stattfindet, problematisch ist. Der EuGH stellt nämlich explizit darauf ab, dass auch Daten von Personen gespeichert werden, bei denen keinerlei Anhaltspunkt dafür besteht, dass ihr Verhalten in einem auch nur mittelbaren oder entfernten Zusammenhang mit schweren Straftaten steht. Außerdem bemängelt der EuGH, dass die Vorratsspeicherung weder auf die Daten eines bestimmten Zeitraums und/oder eines bestimmten geografischen Gebiets und/oder eines bestimmten Personenkreises beschränkt ist.

Wenn man aus diesen Ausführungen die Schlussfolgerung zieht, dass nicht ausnahmslos alle Daten gespeichert werden können, sondern bereits im ersten Schritt der Speicherung Einschränkungen vorzunehmen sind, ergibt sich ein qualitativ essentieller Unterschied zur Rechtsprechung des BVerfG, die die Speicherung als solche nicht eingeschränkt hat, sondern im Wesentlichen nur den Zugang zu den gespeicherten Daten exakter und restriktiver geregelt haben möchte. Sofern man das Urteil des EuGH in diesem Sinne interpretiert, dürfte eine gesetzliche Neuregelung der Vorratsdatenspeicherung tatsächlich schwierig sein, denn eine Differenzierung und Einschränkung bereits bei den zu speichernden Daten, bzw. den Personen, deren Daten gespeichert werden, steht im Widerspruch zum Konzept der anlasslosen Pauschalspeicherung. Man kann das Urteil des EuGH aber auch dahingehend interpetieren, dass sich die Unverhältnismäßigkeit nicht allein aus diesem Aspekt ergibt, sondern erst aus der Gesamtschau aller bzw. mehrerer vom EuGH beanstandeter Mängel, wie zusätzlich dem Fehlen von Garantien zur Verhinderung des Missbrauchs der Daten bzw. des unberechtigten Zugriffs.

Der EuGH hat zudem erklärt, dass er die von der Richtlinie vorgesehene Speicherdauer von sechs Monaten bis zu zwei Jahren für unverhältnismäßig erachtet, während das BVerfG eine Speicherdauer von sechs Monaten für noch zulässig hält. Der EuGH nennt in seiner Entscheidung allerdings keine konkrete Grenze, weshalb unklar bleibt, ob sechs Monate noch zulässig sind oder ob die Speicherdauer vielleicht auch deutlich verkürzt werden muss, auf beispielsweise zwei oder drei Monate.

Auch die vom BVerfG vorgenommene Differenzierung zwischen unmittelbarem und mittelbarem Abruf von Verkehrsdaten, die im Karlsruher Urteil ausführlich dargestellt wurde, findet sich in der Entscheidung des EuGH nicht wieder. Es muss deshalb davon ausgegangen werden, dass für alle Arten von Daten und für alle Formen des behördlichen Abrufs grundsätzlich dieselben (strengen) Anforderungen zu gelten haben.

Die Übereinstimmung zwischen der Entscheidung des EuGH und des BVerfG besteht insbesondere darin, dass beide Gerichte – in den Worten des BVerfG – hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes verlangen.

Während die Vorgaben des BVerfG noch relativ konkret sind, bleibt nach der Entscheidung des EuGH eher unklar, wie die vom EuGH postulierte Beschränkung der Vorratsdatenspeicherung auf das absolut Notwendige exakt ausgestaltet werden kann bzw. ob eine solche Ausgestaltung überhaupt möglich ist.

Der EuGH hat – anders als das BVerfG – letztlich nur die bestehende Richtlinie als unverhältnismäßig qualifiziert, ohne dem Gesetzgeber klare Kriterien vorzugeben, welche Anforderungen an eine rechtmäßige und grundrechtskonforme Vorratsdatenspeicherung zu stellen sind.

Rechtmäßige Umsetzung der Vorratsdatenspeicherung wird schwierig

Es bleibt festzuhalten, dass der EuGH die Vorratsdatenspeicherung zwar nicht komplett beerdigt hat, aber eine rechtskonforme gesetzliche Regelung gerade auch im Vergleich zu den Vorgaben des BVerfG nochmals deutlich erschwert hat.

Ob sich die EU-Kommission erneut an eine Richtlinie wagen wird, darf angesichts des Umstandes, dass die Entscheidung des EuGH nicht rechtssicher umgesetzt werden kann, eher bezweifelt werden.

Ob sich in Deutschland eine politische Mehrheit für einen Neuanlauf findet, erscheint mir offen zu sein. Der politische Prozess in Deutschland wird allerdings relativ stark von den Vertretern der Polizei- und Sicherheitsbehörden beeinflusst, die den politischen Entscheidern auf Bundes- und Landesebene seit Jahren einreden, die Vorratsdatenspeicherung sei unerlässlich für die Kriminalitätsbekämpfung, obwohl es dafür keinerlei empirischen Nachweise gibt und den Behörden in vielen Fällen wesentlich effektivere und ohnehin bereits bedenklich weitreichende Möglichkeiten der TK-Überwachung zur Verfügung stehen. Die letzten Äußerungen von Innenminister de Maizière und Polizeivertretern deuten jedenfalls nicht darauf hin, dass die Diskussion künftig sachlicher geführt werden wird. Es wird also vieles davon abhängen, wer die Deutungshoheit und Meinungsführerschaft erlangt. Es gibt in allen Parteien Gegner der Vorratsdatenspeicherung. Ob sich diese gegen die Angst-Rhetorik der Innenpolitiker und Polizeibeamten durchsetzen können, wird sich zeigen. Die Uhren sind vom EuGH jedenfalls wieder auf null gestellt worden und diesen Umstand müssen auch wir kritische Bürger nutzen, um uns in dieser Diskussion Gehör zu verschaffen. Denn schließlich sind es unsere Daten, die gespeichert werden sollen.

posted by Stadler at 11:05  

7.4.14

De Maizière trommelt für die Vorratsdatenspeicherung

Der EuGH wird bekanntlich morgen über die Richtlinie zur Vorratsdatenspeicherung entscheiden. Es ist damit zu rechnen, dass der EuGH, entsprechend des Votums des Generalanwalts, die geltende Richtlinie kippen, aber einer Vorratsdatenspeicherung keine generelle Absage erteilen wird. Alles andere wäre jedenfalls eine große Überraschung.

Die Bundesregierung plant aber offenbar – unabhängig davon, ob eine europarechtliche Verpflichtung dazu besteht oder nicht – eine zügige Wiedereinführung der Vorratsdatenspeicherung, wobei man zumindest versuchen wird, die Vorgaben des BVerfG und des EuGH umzusetzen. Dieses Vorhaben dürfte gesetzgeberisch alles andere als trivial sein. Eine Neuregelung wird vermutlich auch neue Verfassungsbeschwerden nach sich ziehen. Der deutsche Gesetzgeber hat aber noch nie davor zurückgeschreckt, verfassungsrechtlich problematische Gesetze auf den Weg zu bringen.

Bundesinnenminister de Maizière trommelt derweil auch schon wieder kräftig für die Vorratsdatenspeicherung und zwar mit der Aussage:

Wir brauchen die zeitlich begrenzte Speicherung von Verbindungsdaten für die Bekämpfung schwerster Verbrechen.

Man darf erstaunt darüber sein, dass es dem Innenminister gelungen ist, in einem derart kurzen Satz drei Unrichtigkeiten unterzubringen.

1.
Die Aussage suggeriert, dass die Vorratsdatenspeicherung nur zur Bekämpfung von Verbrechen angewandt werden soll und zwar zusätzlich eingeschränkt auf schwerste Verbrechen. Richtig ist demgegenüber, dass man einen Katalog sog. schwerer Straftaten aufstellen will, vermutlich angelehnt an § 100a StPO. Dieser Katalog enthält neben Verbrechenstatbeständen auch eine Vielzahl schwerer Vergehen. Die Vorratsdatenspeicherung wird also keineswegs auf schwerste Verbrechen beschränkt bleiben, wie de Maizière behauptet, sondern ein wesentliches größeres Spektrum an schwereren Straftaten abdecken. Alle Polizeibeamte, mit denen ich bisher gesprochen und diskutiert habe, haben sich auch immer nur auf Einzel- und Beispielsfälle aus dem Bereich der Massenkriminalität bezogen, insbesondere aus dem Betrugsbereich. Das wäre in jedem Fall der Hauptanwendungsbereich einer Vorratsdatenspeicherung und keinesfalls die Bekämpfung von Terrorismus oder organisierter Kriminalität.

2.
Es wird vom Innenminister zudem der Eindruck erweckt, es ginge nur um sog. Verbindungsdaten. Tatsächlich hatte die vom BVerfG kassierte Regelung, wie auch die EU-Richtlinie, auch Standortdaten zum Gegenstand. Erst die Kombination von Verbindungs- und Standortdaten ermöglicht ein relativ exaktes Bewegungsprofil einer Person über einen längeren Zeitraum hinweg. Wie so ewtas konkret aussieht, hat der Grünenpolitiker Malte Spitz anhand seiner eigenen Daten mit Unterstütung von ZEIT-Online vor eniger Zeit anschaulich dargestellt.

3.
Die Aussage de Maizières erweckt schließlich den Eindruck, die Vorratsdatenspeicherung sei zur Verbrechensbekämpfung notwendig. Tatsächlich gibt es in ganz Europa keinerlei (empirische) Nachweise für den Nutzen der Vorrastdatenspeicherung zu Zwecken der Kriminalitätsbekämpfung bzw. – vermeidung.

Eine Studie des Max Planck Instituts (MPI) für ausländisches und internationales Strafrecht weist auf diesen Umstand hin und bemängelt, dass eine zuverlässige Einschätzung des Nutzens einer Vorratsdatenspeicherung durch das Fehlen systematischer empirischer Untersuchungen erschwert würde. Gleichwohl deutet eine vom MPI durchgeführte rechtsvergleichende Betrachtung zwischen Deutschland und der Schweiz darauf hin, dass die in der Schweiz seit Jahren praktizierte Vorratsdatenspeicherung nicht zu einer systematisch höheren Aufklärungsquote geführt hat.

Es zeigt sich also einmal mehr, dass Fakten in dieser Diskussion kaum eine Rolle spielen.

posted by Stadler at 14:58  

18.11.13

Mit Europarecht gegen die Abhörpraxis des GCHQ?

Porf. Franz C. Mayer geht im Verfassungsblog der interessanten Frage nach, ob gegen die Abhöraktionen des britischen Geheimdienstes GCHQ mit Mitteln des EU-Rechts vorgegangen werden kann.

Mayer sieht zunächst Kerngewährleistungen des Unionsrechts betroffen, die sich u.a. aus Art. 8 der Charta der Grundrechte, aus Art. 16 AEUV und den Richtlinien zum Datenschutz (95/46/EG und 2002/58/EG) ergeben.

Sodann weist Mayer aber auf den Umstand hin, dass diese Kerngewährleistungen die Mitgliedsstaaten häufig gar nicht binden. Darauf, dass das europäische Datenschutzrecht den Bereich Strafverfolgung, innere Sicherheit und Staatsicherheit der Mitgliedsstaaten nicht regelt und insbesondere keine Handhabe gegen die Datenerhebung durch Geheimdienste bietet, hatte ich hier ebenfalls hingewiesen.

Mayer meint gleichwohl, dass diese Bereichsausnahmen des Europarechts für öffentliche und nationale Sicherheit eventuell nicht eingreifen werden, weil die britischen Maßnahmen zu breit, zu unbestimmt und zu ungezielt sein könnten. Sollte es ein diesbezügliches Verfahren vor dem EuGH geben, dürfte auch die Frage zentral sein, ob die europäischen Grundrechte nur die EU-Organe oder auch die Mitgliedsstaaten binden, was nach der Grundrechtecharta allerdings zweifelhaft erscheint.

Das Ganze ist am Ende aber natürlich auch eine politische Frage. Was ist die Gewährleistung eines hohen Datenschutzniveaus durch die EU denn überhaupt wert, wenn einzelne Mitgliedsstaaten gleichzeitig in uferloser Art und Weise den Internet- und Telefonverkehr überwachen und anlasslos und massenhaft Daten speichern? Zumal dies, wie wir mittlerweile wissen, durchaus auch zum Zwecke der Polit- und Wirtschaftsspionage geschieht.

Mayer fordert in seinem Beitrag schließlich mit Blick auf das deutsche Recht und die Rolle des BND, dass die sog. „strategische Fernmeldeu?berwachung“ – die in der Tat ein Relikt aus dem Kalten Krieg ist – eineinhalb Jahrzehnte nach der letzten Äußerung des BVerfG auf den verfassungsrechtlichen Prüfstand gehört. Eine Forderung, mit der er bei mir offene Türen einrennt.

Wir brauchen insoweit aber nicht nur eine neue juristische Debatte, sondern vor allen Dingen auch eine gesellschaftliche. Der tatsächliche Umfang der Überwachung durch Geheimdienste war einer breiten Öffentlichkeit bislang nicht bekannt, weil er von der Politik gezielt verschleiert wird und die Medien zu wenig berichtet haben. Es ist deshalb essentiell, die Rolle des BND bei der Überwachung des Internets besser auszuleuchten und kritisch zu hinterfragen.

posted by Stadler at 10:52  

13.11.13

Was überwacht der BND?

Das ARD-Magazin FAKT hat gestern über die Internetüberwachung des BND berichtet und darüber, dass der BND im Bereich der Spionage international mitmischen will und deshalb speziell den britischen und amerikanischen Diensten auch etwas anbieten müsse. Die These des Magazins hierzu lautet:

Durch die massenhafte Erfassung von Daten in Frankfurt sieht der BND offensichtlich die Chance, sich im Verbund der westlichen Geheimdienste zu emanzipieren.

Das Manuskript der Sendung kann man bei der ARD downloaden, der Beitrag selbst ist u.a. bei YouTube verfügbar.

Dass der BND angeblich in Frankfurt die Datenleitungen von 25 Internetprovidern am Datenknotenpunkt De-Cix anzapft, wurde bereits vor ca. einem Monat berichtet. Die Maßnahmen wurden laut Spiegel vom Kanzleramt und dem Bundesinnenministerium genehmigt. Offiziell bestätigt haben Bundesregierung oder BND das aber nicht.

Der Bericht der ARD enthält außerdem folgende, merkwürdige Aussage:

Damit die Erhebung und Auswertung wenigstens halblegal stattfindet, ließ sich der BND 2008 vom britischen Geheimdienst helfen, das entsprechende Gesetz neu zu formulieren. Das Ergebnis: Da Daten ständig über Ländergrenzen fließen, wurde der gesamte Datenverkehr per Gesetz zu Auslandskommunikation erklärt – und die darf der BND abhören.

Mir ist nicht klar, welche gesetzliche Änderung das sein sollte. Nach meinem Kenntnisstand fand 2008 insoweit keine einschlägige Gesetzesänderung statt. Eine gesetzliche Regelung, die den gesamten Internetverkehr als Auslandstelekommunikation definiert, mit der Folge, dass der BND (uneingeschränkt) darauf zugreifen könnte, existiert nicht. Das G10-Gesetz besagt in § 5 Abs. 2 S. 2 vielmehr ausdrücklich, dass der BND darauf achten muss, ob Anschlüsse von deutschen Staatsangehörigen erfasst werden. Die Berichterstattung der ARD dürfte an dieser Stelle also unrichtig sein.

Die pauschale Überwachung des Fernmeldeverkehrs und damit auch des Internets durch den BND nennt man im Fachjargon “strategische Fernmeldekontrolle“. Ob die diebsezüglichen Regelungen überhaupt verfassungskonform sind, muss zumindest als offen gelten, wie der Kollege Härting so schön schreibt. Das BVerfG hat die aktuelle Fassung des G10-Gesetzes  jedenfalls noch nicht überprüft.

Daneben stellt sich aber zusätzlich die Frage, ob die tatsächliche Praxis des BND – unabhängig von verfassungsrechtlichen Fragen – überhaupt von den bestehenden gesetzlichen Grundlagen gedeckt ist. Dazu müsste man zunächst natürlich wissen, was der BND tatsächlich macht und das ist nur teilweise bekannt.

Seit einiger Zeit weiß man, dass der BND den E-Mail-Verkehr in größerem Stil überwacht und analysiert. Welcher technischer Mittel er sich dazu bedient und wie die Provider ihn dabei unterstützen, ist aber unklar.

Relativ neu sind demgegenüber die Berichte darüber, dass der BND in großem Stile auch Metadaten erfasst und ganz generell am Datenknotenpunkt De-Cix die Datenleitungen von 25 Internetprovidern anzapft, darunter auch die von deutschen Providern. Diese Maßnahmen sind in der jährlichen Unterrichtung des Bundestages durch das Parlamentarische Kontrollgremium (PKGr) jedenfalls nicht enthalten. Die Bundesregierung ist allerdings gesetzlich dazu verpflichtet, das PKGr umfassend über die allgemeinen Tätigkeiten der Nachrichtendienste des Bundes und über Vorgänge von besonderer Bedeutung zu unterrichten.

Diese Unterrichtung hat im Hinblick auf die Kontrolle des Datenverkehrs am Knotenpunkt der De-Cix durch den BND offensichtlich nicht stattgefunden. Wenn der BND also tatsächlich in Frankfurt in großem Umfang den Internetverkehr überwacht, dann hat die Bundesregierung gegen ihre Pflichten aus dem Kontrollgremiumgesetz verstoßen und das Gremium nicht im gesetzlich vorgeschriebenen Maß unterrichtet.

Die fehlende Einbeziehung des PKGr in die Internetüberwachung würde allerdings auch zur Rechtswidrigkeit der Maßnahme führen. Nach § 5 Abs. 1 G10-Gesetz werden die Telekommunikationsbeziehungen die Gegenstand sog. strategischer Maßnahmen sind, vom Bundesministerium des Inneren mit Zustimmung des Parlamentarischen Kontrollgremiums bestimmt. Wenn diese Zustimmung fehlt, ist auch die Maßnahme als solche rechtswidrig. BND und Bundesregierung sollen bei grundlegenden Entscheidungen nämlich gerade nicht eigenmächtig ohne Zustimmung des Parlaments agieren können.

Für die pauschale Erfassung sowohl von Metadaten als auch von Kommunikationsinhalten an zentralen Internetknotenpunkten hält das deutsche Recht m.E. gar keine ausreichende Rechtsgrundlage bereit. Insbesondere § 5 G10-Gesetz deckt die pauschale Überwachung des Internets nach meiner Einschätzung bereits deshalb nicht ab, weil die Regelung hierfür nicht gemacht wurde und sich die massenhafte und undifferenzierte Erfassung und Speicherung des gesamten Internetverkehrs an zentralen Knotenpunkten schwerlich unter die gesetzliche Regelung subsumieren lässt. Das Gesetz bildet die technische Wirklichkeit nicht ansatzweise ab.

Der des öfteren erhobene Einwand, das G10-Gesetz sei gar nicht einschlägig, wenn der BND nur ausländische Kommunikation überwacht, verfängt nicht. Denn das G10-Gesetz regelt gerade die Überwachung unf Aufzeichnung der Telekommunikation durch Geheimdienste des Bundes. Und diese Maßnahmen finden ganz offensichtlich noch dazu auf deutschem Hoheitsgebiet statt. Maßnahmen der TK-Überwachung durch BND, MAD und Verfassungsschutz unterliegen nach § 1 Abs. 2 G10-Gesetz außerdem der Kontrolle durch das Parlamentarische Kontrollgremium und durch die sog. G 10-Kommission. Der BND muss also in jedem Fall das G10-Gesetz beachten und unterliegt insoweit der parlamentarischen Kontrolle. § 5 Abs. 1 G10-Gesetz spricht im Rahmen sog. strategischer Maßnahmen außerdem ausdrücklich von “internationalen Telekommunikationsbeziehungen”. Das Gesetz gilt also gerade dann, wenn der BND internationale Telekommunikation überwacht. Eine Differenzierung findet in § 5 Abs. 2 S. 2 G10-Gesetz nur zusätzlich danach statt, ob ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden.

posted by Stadler at 15:17  

28.10.13

Darf die NSA in Deutschland die Telekommunikation überwachen?

Der Historiker Josef Foschepoth – dessen Forschung mit Sicherheit verdienstvoll ist – behauptet regelmäßig, die NSA würde deutsche Bürger und deutsche Politiker auch nach deutschem Recht ganz legal abhören. Nachzulesen zuletzt in einem aktuellen Interview mit ZEIT-Online.

Zum Beleg seiner These beruft sich Foschepoth stets auf Verträge zwischen Deutschland und den ehemaligen Alliierten. Konkret sagt er gegenüber ZEIT-Online, dass die ehemaligen Westmächte die gleichen geheimdienstlichen Rechte wie nach dem G10-Gesetz in einem Zusatzvertrag zum Nato-Truppenstatut von 1959 dauerhaft erhalten hätten.

Juristisch betrachtet sind die Aussagen von Foschepoth schlicht falsch. Beschränkungen des Grundrechts aus Art. 10 GG dürfen nur auf Grund eines Gesetzes angeordnet werden. Das von Foschepoth herangezogene Zusatzabkommen zum NATO-Truppenstatut ist kein Gesetz in diesem Sinne, weshalb eine solche Vereinbarung Deutschlands mit den USA, dem UK und Frankreich nicht mit der Verfassung vereinbar wäre.

So weit braucht man aber gar nicht zu gehen, denn ein Blick in das Zusatzabkommen macht sehr schnell deutlich, dass die von Foschepoth behaupteten Überwachungsbefugnisse dort überhaupt nicht geregelt sind.

In einem Interview mit der SZ erläuterte Foschepoth, dass sich beide Seiten in dem Zusatzabkommen zu engster Zusammenarbeit verpflichten, was insbesondere “die Sammlung, den Austausch und den Schutz aller Nachrichten” beinhaltet. Und genau hierauf stützt Foschepoth seine Schlussfolgerung von der Überwachungsbefugnis der NSA.

Er bezieht sich damit offenbar auf Art. 3 Abs. 2 a) dieses Zusatzabkommens, der wie folgt lautet:

Die in Absatz (1) vorgesehene Zusammenarbeit erstreckt sich insbesondere

(a) auf die Förderung und Wahrung der Sicherheit sowie den Schutz des Vermögens der Bundesrepublik, der Entsendestaaten und der Truppen, namentlich auf die Sammlung, den Austausch und den Schutz aller Nachrichten, die für diese Zwecke von Bedeutung sind;

Es stellt bereits eine äußerst kühne These dar, aus dieser Formulierung in dem Abkommen eine Befugnis zur Post- und TK-Überwachung ableiten zu wollen, die den Befugnissen des G10-Gesetzes entspricht. Denn ein Mindestmaß an Bestimmtheit und Normklarheit muss jede Regelung aufweisen. Man kann deshalb unschwer feststellen, dass dieses Zusatzabkommen den USA und anderen Staaten keinerlei Befugnisse verleiht, in Deutschland Maßnahmen der TK-Überwachung durchzuführen. Eine Vereinbarung mit diesem Inhalt existiert nicht. Zumal Art. 3 Abs. 3 b) des Abkommens klarstellt, dass keine Vertragspartei zu Maßnahmen verpflichtet ist, die gegen ihre Gesetze verstoßen würden. Eine derartige Überwachungsbefugnis zugunsten ausländischer Staaten wäre nach deutschem Recht aber nicht nur verfassungswidrig, sondern wegen §§ 98 und 99 StGB auch strafrechtlich relevant.

Die Thesen Foschepoths kann man deshalb mit Fug und Recht als abwegig bezeichnen.

Damit ist natürlich noch nichts darüber ausgesagt, ob frühere Bundesregierungen nicht von einer entsprechenden Tätigkeit ausländischer Geheimdienste Kenntnis hatten und dies geduldet haben. Mit einer derartigen Duldung hätte die Bundesregierung sich allerdings ihrerseits rechtswidrig verhalten. Legal hören amerikanische Dienste in Deutschland jedenfalls nicht ab.

posted by Stadler at 11:46  

6.10.13

Bundesregierung genehmigt das Abhören deutscher Provider durch den BND

Der Spiegel meldet, dass der Bundesnachrichtendienst (BND) die Datenleitungen von 25 Internetprovidern am Datenknotenpunkt De-Cix in Frankfurt anzapft. Darunter sind auch sechs deutsche Provider, nämlich 1&1, Freenet, Strato AG, QSC, Lambdanet und Plusserver. Netzpolitik.org berichtet ebenfalls. Die Maßnahmen wurden laut Spiegel vom Kanzleramt und dem Bundesinnenministerium abgezeichnet. Das entspricht insoweit der gesetzlichen Vorgabe, als Maßnahmen zur Beschränkung des Fernmeldegeheimnisses nach § 5 G10-Gesetz vom Bundesinnenminister angeordnet werden müssen (§ 10 Abs. 1 G10-Gesetz).

Nach § 5 G10-Gesetz ist es dem BND aber nur gestattet, internationale Telekommunikationsverbindungen anhand von Suchbegriffen zu durchsuchen und auszuwerten. Die Vorschrift besagt ausdrücklich, dass keine Suchbegriffe verwendet werden dürfen, die Identifizierungsmerkmale enthalten, die zu einer gezielten Erfassung bestimmter Telekommunikationsanschlüsse führen. Genau das trifft aber auf Telefonnummern, E-Mail-Adressen und IP-Adressen zu. Das gilt allerdings nicht für Telekommunikationsanschlüsse im Ausland, sofern ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden.

Hier zeigt sich wieder einmal das Problem absoluter Geheimhaltung gepaart mit einer fehlenden (gerichtlichen) Kontrolle. BND und Bundesregierung agieren hier faktisch im rechtsfreien Raum. Eine effektive Rechtmäßigkeitskontrolle findet nicht statt.

Die Maßnahmen sind, jedenfalls soweit sie sich an deutsche Provider richten, nämlich mit hoher Sicherheit rechtswidrig. Denn über deutsche Provider wie 1&1 läuft überwiegend Kommunikation mit Inlandsbezug. Es ist technisch unmöglich, wie vom Gesetz gefordert, sicherzustellen, dass ausschließlich solche Kommunikation erfasst wird, die ausländische Anschlüsse betrifft. Wenn der BND angibt, dass er E-Mail-Adressen mit der Endung .de ausfiltert, so handelt es sich hierbei um ein von vornherein untaugliches Ausschlusskriterium. Millionen Deutsche benutzen E-Mail-Adressen die auf .com enden. Das betrifft nicht nur viele international agierende Unternehmen, sondern auch solche Privatpersonen, die E-Mail-Accounts bei großen ausländischen Anbietern wie Google oder Hotmail haben. Selbst deutsche Mailprovider wie GMX bieten E-Mail-Adressen an, die beispielsweise auf .org enden. Wenn jemand über einen deutschen Provider eine Com- Net- oder Org-Domain registriert hat, bietet der Provider den Maildienst natürlich auch über diese Domains an. Die Domainendung besagt also letztlich wenig über die Nationalität oder den Sitz eines Nutzers, zumal viele Top-Level-Domains überhaupt nicht länderspezifisch ausgerichtet sind, sondern von vornherein international.

Hinzu kommt, dass die aktuelle Fassung des G10-Gesetzes vom BVerfG noch nie überprüft worden ist. Ihre Verfassungsgemäßheit dürfte, nicht zuletzt wegen der exzessiven tatsächlichen Praxis des BND, zweifelhaft sein. Hierzu hat der Kollege Härting einen lesenswerten Beitrag verfasst.

Die geschilderten Maßnahmen hat die rot-grüne Koalition durch das Gesetz zur Neuregelung von Beschänkungen des Brief-, Post- und Fernmeldegeheimnisses vom 26. Juni 2001 überhaupt erst möglich gemacht. Denn dieses Gesetz führte die Möglichkeit ein, auch die leitungsgebundene Kommunikation zu überwachen, erweiterte die Kompetenzen u.a. auf die Bekämpfung des internationalen Terrorismus und erhöhte die zulässige Überwachungsquote auf 20 %. Diese gesetzliche Regelung aus dem Jahre 2001 stellt also die zentrale rechtliche Grundlage der Internetüberwachung durch den BND dar. Das auf den Notstandgesetzen des Jahres 1968 beruhende Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses wurde dadurch nochmals entscheidend erweitert.

posted by Stadler at 12:06  

13.9.13

OLG Frankfurt: Anlasslose, siebentägige Speicherung von IP-Adressen durch Telekom zulässig

Das OLG Frankfurt hat mit Urteil vom 28.08.2013 (Az.: 13 U 105/07) erneut entschieden, dass die anlasslose Speicherung von IP-Adressen durch einen Zugangsprovider (Telekom) zulässig ist.

Der Fall hat eine lange Vorgeschichte und war bereits einmal beim BGH und es könnte sein, dass das Verfahren nunmehr erneut dort landet, nachdem das OLG die Revision zugelassen hat.

Die Telekom hatte ihre Praxis, die von ihren Kunden benutzten dynamischen IP-Adressen für die Dauer von sieben Tagen zu speichern, zunächst auf Abrechnungszwecke gestützt. Diese Begründung hat beim BGH im Ergebnis nicht gehalten, weil die Telekom nicht unter Beweis gestellt hat, dass die Speicherung zu Abrechungszwecken bei Flatratekunden erforderlich ist. Gleichzeitig hat der BGH aber darauf hingewiesen, dass eine Speicherung nach § 100 Abs. 1 TKG in Betracht kommt, sofern dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlage erforderlich ist. Diese Entscheidung des BGH ist auf Kritik gestoßen.

Die Telekom hat ihren Vortrag nach der Zurückverweisung angepasst und das OLG Frankfurt hat die Speicherung nunmehr erneut bestätigt, aufgrund der deutlichen Vorgabe des BGH diesmal gestützt auf Fehlererkennung und -beseitigung. Die maßgebliche Passage im Urteil des OLG Frankfurt hierzu lautet:

Angesichts des auf dieser Grundlage erstatteten und im Termin zur mündlichen Verhandlung vom 3.07.2013 mündlich erläuterten und vertieften Gutachtens des gerichtlich bestellten Sachverständigen B vom 28.12.2012 ist der Senat zu der Überzeugung gelangt, dass die Speicherpraxis der Beklagten durch den Erlaubnistatbestand des § 100 I TKG gedeckt ist, weil es – jedenfalls nach dem derzeitigen Stand der Technik – keine anderen Möglichkeiten gibt, Störungen der Telekommunikationsanlagen zu erkennen, einzugrenzen und notfalls zu beseitigen.

Der Sachverständige hat in sich nachvollziehbar dargelegt, dass bei der Beklagten pro Monat mehr als 500.000 Abuse-Meldungen eingehen.

Circa 162.000 dieser Abuse-Meldungen stehen im Zusammenhang mit Spams. Diese Vorfälle werden typischerweise von Botnetzen ausgelöst und führen als Nebeneffekt nicht nur zu unerwünschter Werbung, sondern auch zu Kaperungen von Accounts oder Rechnern, zum Diebstahl von Informationen oder ähnliche Missbräuchen. Derartige Angriffe ermöglichen Cyberkriminellen monetäre Vorteile, weil gestohlene Informationen z. B. in Untergrundforen verkauft oder gekaperte Computer zum Versand von Spam-Nachrichten benutzt werden.

Etwa 164.000 der Abuse-Meldungen stehen im Zusammenhang mit Angriffen auf Business-Kunden und haben damit potentiell direkten Einfluss auf die Infrastruktur und Dienste der Beklagten.

Daneben gibt es weitere Abuse-Meldungen, die vorwiegend im Zusammenhang mit Schadcodes auf Webseiten, Hacking, Portscans und anderen Arten von Missbräuchen stehen.

Der Sachverständige hat weiter plausibel dargelegt, dass den vorstehend beschriebenen Missbräuchen, die der Beklagten durch die entsprechenden Meldungen bekannt werden, durch ein geeignetes Abuse-Handling entgegengewirkt werden muss.

Denn unbehandelte Abuse-Meldungen erlauben es Angreifern, den von ihnen einmal in Gang gesetzten Missbrauch ungestört fortzusetzen und mehr Spams zu versenden, mehr Rechner auszuspähen, größere Botnetze zu erstellen, mehr Hacking-Angriffe auf die Kundeninfrastruktur der Beklagten auszuführen und ähnliche Angriffe durchzuführen.

Durch das Abuse-Handling der Beklagten wird es überhaupt erst ermöglicht, eine große Zahl an infizierten Rechnern zeitnah herauszufiltern. Wollte man das von der Beklagten eingeführte Sicherheitssystem unterbinden oder in zeitlicher oder sonstiger Weise stärker einschränken, als die Beklagte dies bereits in Absprache mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit getan hat, würde die Zahl der infizierten Rechner nicht nur konstant bleiben, sie würde vielmehr – bei entsprechender Zunahme von Spams – ständig zunehmen.

Der Senat ist auf Grund des Gutachtens des gerichtlich bestellten Sachverständigen davon überzeugt, dass das Abuse-Handling der Beklagten es ermöglicht, derartige Missbräuche bereits im Vorfeld einzudämmen. So werden bei ca. 500.000 Abuse-Meldungen pro Monat unter anderem ca. 20.000 Nutzer von infizierten Rechnern über den von diesen regelmäßig nicht erkannten Missbrauch in Kenntnis gesetzt und darüber informiert, wie der Missbrauch behoben werden kann.

Ohne das von der Beklagten praktizierte Abuse-Handling könnte es, so hat der Sachverständige nachvollziehbar dargelegt, neben den beschriebenen Missbräuchen auch zu starken Belastungen – unter Umständen auch zu Überlastungen – des Systems der Beklagten kommen. Denn die Mailserver werden durch Spams überfrachtet. Solange die Kapazität des Systems der Beklagten ausreicht, bleibt das System zwar noch funktionstüchtig. Im anderen Fall, also dem Fall der Überlastung, würde dies jedoch dazu führen, dass Mails überhaupt nicht mehr angenommen werden könnten. Bei der sogenannten Denial-of-Service-Attacke ist die Leistungskapazität erschöpft. Derartige Stabilitätsprobleme sind in der momentanen Praxis zwar glücklicherweise eher selten, würden aber ohne ein entsprechendes Abuse-Handling-System häufiger auftreten; und zwar mit nicht auszuschließenden Auswirkungen auch auf andere Netzbetreiber in Deutschland.

Provider dürfen also aus Gründen des Abuse-Handlings eine Vorratsdatenspeicherung von sieben Tagen praktizieren. Dass der BGH dies anders beurteilen wird, bezweifle ich angesichts seiner Vorentscheidung.

posted by Stadler at 12:07  

22.7.13

Die pauschale Überwachung des Internetverkehrs heißt beim BND “strategische Fernmeldekontrolle”

Deutsche Politiker geben sich in diesen Tagen gerne ahnungslos, was den Umfang der Internet- und Telekommunikationsüberwachung durch amerikanische Dienste und auch die Mitwirkung des Bundesnachrichtendienstes (BND) angeht. Vor ein paar Tagen habe ich darüber gebloggt, was man diesbezüglich allein aus einem ganz offiziellen US-Geheimdienstdokument entnehmen kann.

Heute möchte ich der Frage nachgehen, was sich aus offiziellen deutschen Dokumenten über das Ausmaß der Internetüberwachung, das der BND betreibt, ergibt.

Die gesetzliche Grundlage für eine pauschale und anlassunabhängige Überwachung des Internetverkehrs bietet Art. 5 des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10). Dort ist die sog. strategische Fernmeldeüberwachung geregelt.

Was aufgrund dieser gesetzlichen Ermächtigung genau gemacht wird, kann man beispielsweise in der Unterrichtung des Bundestages durch das Parlamentarische Kontrollgremium vom 10.02.2012 nachlesen:

Strategische Kontrolle bedeutet, dass nicht der Post- und Fernmeldeverkehr einer bestimmten Person, sondern Telekommunikationsbeziehungen, soweit eine gebündelte Übertragung erfolgt, nach Maßgabe einer Quote insgesamt überwacht werden. Aus einer großen Menge verschiedenster Gesprächsverbindungen werden mit Hilfe von Suchbegriffen einzelne erfasst und ausgewertet. Gemäß § 5 Absatz 1 G 10 dürfen auf Antrag des BND Beschränkungen nach § 1 G 10 für internationale Telekommunikationsbeziehungen angeordnet werden, soweit eine gebündelte Übertragung erfolgt.
(…)
Für diese Beschränkungen darf der Bundesnachrichtendienst Suchbegriffe verwenden, die zur Aufklärung von Sachverhalten über den in der Anordnung bezeichneten Gefahrenbereich bestimmt und geeignet sind. Die Suchbegriffe dürfen keine Identifizierungsmerkmale enthalten, die zu einer gezielten Erfassung bestimmter Telekommunikationsanschlüsse führen oder den Kernbereich der privaten Lebensgestaltung betreffen. Dies gilt nicht für Telekommunikationsanschlüsse im Ausland, sofern ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden.
(…)
Mit Zustimmung der G 10-Kommission ordnete das Bundesministerium des Innern im Berichtszeitraum (2010, Anm. d. Verf.) zu folgenden drei Gefahrenbereichen G 10-Maßnahmen an:
– der Begehung internationaler terroristischer Anschläge mit unmittelbarem Bezug zur Bundesrepublik Deutschland (§ 5 Absatz 1 Satz 1und Satz 3 Nummer 2 G 10),
– der internationalen Verbreitung von Kriegswaffen im Sinne des Gesetzes über die Kontrolle von Kriegswaffen sowie des unerlaubten Außenwirtschaftsverkehrs mit Waren, Datenverarbeitungsprogrammen und Technologien in Fällen von erheblicher Bedeutung (§ 5 Absatz 1 Satz 1 und Satz 3 Nummer 3 G 10),
– des gewerbs- oder bandenmäßig organisierten Einschleusens von ausländischen Personen in das Gebiet der Europäischen Union in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland (§ 5 Absatz 1 Satz 1 und Satz 3 Nummer 7 G 10).

Der BND überwacht also, aufgrund einer allgemeinen Anordnung des BMI für die Bereiche internationaler Terrorismus, Verstöße gegen das Kriegswaffenkontrollgesetz und illegale Schleusung, das Internet ohne konkreten Anlass und durchsucht pauschal die erfasste Kommunikation softwaregestützt nach Suchbegriffen.

Dass man hierfür auch entsprechende Software benötigt, die evtl. auch identisch ist mit dem Tools die US-Dienste einsetzen, ist da nicht mehr der eigentliche Skandal.

Fragwürdig ist vielmehr die gesetzliche Gestattung des § 5 G 10. Die aktuelle Fassung dieser Vorschrift ist übrigens vom BVerfG noch nie überprüft worden, ihre Verfassungsgemäßheit dürfte, nicht zuletzt wegen der exzessiven tatsächlichen Praxis des BND, zweifelhaft sein. Hierzu hat der Kollege Härting vor einigen Wochen einen äußerst lesenswerten Beitrag verfasst.

Nach § 10 Abs. 4 S. 4 G 10 kann der BND auf diesem Weg bis zu 20% des Fernmeldeverkehrs komplett überwachen. Das ist ihm offenbar aber immer noch nicht genug, wie aktuelle Medienberichte belegen. Auch beim BND ist das Ziel die Totalüberwachung.

Die geschilderten Maßnahmen wurden von rot-grün durch das Gesetz zur Neuregelung von Beschänkungen des Brief-, Post- und Fernmeldegeheimnisses vom 26. Juni 2001 überhaupt erst ermöglicht. Denn dieses Gesetz führte die Möglichkeit ein, auch die leitungsgebundene Kommunikation zu überwachen, erweiterte die Kompetenzen u.a. auf die Bekämpfung des internationalen Terrorismus und erhöhte die zulässige Überwachungsquote auf 20 %. Diese gesetzliche Regelung aus dem Jahre 2001 stellt also die zentrale rechtliche Grundlage der Internetüberwachung durch den BND dar.

Dass die hierdurch gewonnenen Erkenntnisse und Daten dann auch mit ausländischen Diensten ausgetauscht werden, dürfte mittlerweile offensichtlich sein.

Der Bundestag ist über das Ausmaß dieser, wie gesagt vom Innenministerium angeordneten, Internetüberwachung informiert. Um dies zu erkennen genügt die Lektüre von auf dem Bundestagsserver liegenden Dokumenten.

posted by Stadler at 15:47  

21.3.13

Fragwürdige Berichterstattung zur Bestandsdatenauskunft

In der Diskussion um die Neuregelung der sog. Bestandsdatenauskunft nach dem TKG nimmt die fragwürdige und falsche Berichterstattung leider zu.

Das Portal netzpolitik.org behauptet zum wiederholten Mal, dass eine Abhörschnittstelle geschaffen werden soll, die dafür sorgt, dass “die Identifizierung von Personen anhand ihrer IP-Adresse im Internet zukünftig für deutsche Behörden per Knopfdruck” möglich werden soll. Das suggeriert, die Ermittlungsbehörden könnten künftig automatisiert und direkt Bestandsdaten bei den TK-Providern abrufen.

Das ist aber nicht der Fall. Richtig ist vielmehr, dass das Gesetz eine vollautomatisierte Abfrage nicht ermöglicht. Jedes Auskunftsverlangen muss vom Provider durch eine verantwortliche Fachkraft einzeln darauf geprüft werden, ob die Anfrage von einer zuständigen Stelle unter Berufung auf eine einschlägige gesetzliche Befugnisnorm erfolgt.

Noch absurder ist leider die Berichterstattung, dass sich der Staat mit der Neuregelung Zugriff auf Banking-PINs verschaffen würde. Offenbar hat man hierbei die Begriffe PIN (und PUK) dahingend missverstanden, dass es sich hierbei um Zugangsdaten zum Online-Banking handeln würde.

Das Gesetzesvorhaben ist nach wie vor kritikwürdig, aber haarsträubende Falschbehauptungen wie die oben geschilderten, tragen nur zur Desinformation bei.

posted by Stadler at 15:04  

11.3.13

Neuregelung der Bestandsdatenauskunft möglicherweise erneut verfassungswidrig

Die sog. Bestandsdatenauskunft von TK-Anbietern gegenüber Sicherheits- und Strafverfolgungsbehörden muss wegen einer Entscheidung des Bundesverfassungsgerichts neu geregelt werden. Darüber hatte ich im letzten Jahr bereits ausführlich berichtet.

Der Gesetzesentwurf befindet sich mittlerweile im Gesetzgebungsverfahren, der Innenausschuss hat heute dazu eine Sachverständigenanhörung durchgeführt. Die Einschätzungen der Sachverständigen waren erwartungsgemäß unterschiedlich.

Für lesenswerte halte ich die schriftliche Stellungnahme von Prof. Matthias Bäcker, der die Ansicht vertritt, dass der Entwurf einer Neufassung des § 113 TKG teils die Kompetenzordnung des Grundgesetzes verletzt, reglungsbedürftige Fragen nicht regelt und deshalb gegen Grundrechte verstößt.

Bäcker geht insbesondere davon aus, dass der Bund (im TKG) abschließend regeln muss, aus welchen Anlässen und zu welchen Zielen die Daten übermittelt werden dürfen und dies nicht den fachspezifischen Regelungen von Bund und Ländern überlassen werden darf. Denn der Zweckbindungsgrundsatz erfordert laut Bäcker, dass eine solche Regelung unmittelbar im TKG erfolgt. Der Entwurf regelt aber in 113 Abs. 3 TKG-E nur, an welche Behörden die Daten übermittelt werden dürfen, nicht aber, unter welchen Voraussetzungen dies zulässig ist.

Ferner hält Bäcker beispielsweise auch die geplante Abfrageermächtigung im BKA-Gesetz für verfassungswidrig, weil die in § 7 Abs. 3 BKAG-E enthaltene Ermächtigung dem Bundeskriminalamt in seiner Funktion als Zentralstelle eine zu weitreichende Befugnis zu Bestandsdatenabrufen im Vorfeld konkreter Gefahren oder strafprozessualer Verdachtslagen einräumt. Die vorgesehene Regelung ermöglicht dem BKA laut Bäcker Bestandsdatenabfragen zur Unterstützung von kriminalstrategischen Analysen zu nutzen, die es unabhängig von konkreten Verdachtsmomenten durchführt kann.

Darin könnte man eine Art kleine Vorratsdatenspeicherung durch die Hintertür sehen. Dies ist jetzt allerdings meine eigene Schlussfolgerung und nicht die von Bäcker. Denn wenn das BKA aufgrund einer zu weitreichenden Ermächtigungsnorm verdachtsunabhängig Daten anfordern – und anschließend natürlich auch speichern – kann, wird damit in gewissem Maße faktisch auch eine anlassunabhängige Speicherung von Daten ermöglicht, die später u.U. unkontrolliert für andere strafprozessuale oder präventive Zwecke Verwendung finden könnten.

posted by Stadler at 17:46  
Nächste Seite »