Internet-Law

Onlinerecht und Bürgerrechte 2.0

5.3.15

Wieviel Prozent der Telekommunikation darf der BND eigentlich überwachen?

Auf netzpolitik.org ist gerade ein Beitrag erschienen mit dem Titel „Geheimer Prüfbericht: Wie der BND die gesetzlich vorgeschriebene 20-Prozent-Regel hintertreibt„.

Worum geht es hierbei genau? Das Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10) ermächtigt den Bundesnachrichtendienst (BND) unter bestimmten Voraussetzungen, die § 5 G10 näher beschreibt, internationale Telekommunikationsbeziehungen zu überwachen. Das wird in § 10 Abs. 4 G10 aber weiter eingeschränkt, der wie folgt lautet:

In den Fällen der §§ 5 und 8 sind die Suchbegriffe in der Anordnung zu benennen. Ferner sind das Gebiet, über das Informationen gesammelt werden sollen, und die Übertragungswege, die der Beschränkung unterliegen, zu bezeichnen. Weiterhin ist festzulegen, welcher Anteil der auf diesen Übertragungswegen zur Verfügung stehenden Übertragungskapazität überwacht werden darf. In den Fällen des § 5 darf dieser Anteil höchstens 20 vom Hundert betragen.

Wenn in dem maßgeblichen Prüfbericht des BSI von einer gesetzlich geforderten Anteilreduzierung auf maximal 20 % des gesamten Auslandsverkehrs die Rede ist, entspricht das bereits im Ansatz nicht den gesetzlichen Anforderungen. Denn nach dem Gesetz muss in einem ersten Schritt das Gebiet (ein Land oder eine Region) definiert werden, auf das sich die konkrete Überwachungsmaßnahme bezieht. Der gesetzliche Anknüpfungspunkt ist also nicht pauschal der gesamte Auslandsverkehr, sondern immer nur ein bestimmtes Gebiet. Für dieses Gebiet müssen dann die Übertragungswege, die überwacht werden sollen, vom BND näher bezeichnet werden. Von der gesamten auf diesen Übertragungswegen zur Verfügung stehenden Übertragungskapazität darf nur ein Anteil von 20 % überwacht werden. Das bedeutet, dass die gesetzliche Regelung u.U. durchaus auch eine hunderprozentige Überwachung der vom BND definierten Übertragungswege ermöglicht, solange die Auslastung dieser Übertragungswege 20 % nicht überschreitet.

Abgesehen davon, dass die Einhaltung dieser 20 Prozentgrenze von niemandem effektiv kontrolliert werden kann, stellt sich natürlich die Frage der Vereinbarkeit der gesetzlichen Regelung mit Art. 10 GG.

Dass der BND die gesetzlich vorgeschriebene 20-Prozent-Regel hintertreibt, kann man allerdings nicht wirklich behaupten. Das Problem ist die gesetzliche Regelung, die verfassungswidrig sein dürfte. Denn diese Regelung ist – übrigens unter rot-grün 2001 eingeführt – gezielt so konzipiert worden, dass u.U. auch eine Vollüberwachung in Betracht kommt. Dass alle Übertragunswege in ein bestimmte Land/Gebiet vollständig ausgelastet sind, ist praktisch undenkbar. Wenn man also 20 % der Übertragungskapazität überwachen darf, dann ist vornherein klar, dass effektiv wesentlich mehr als 20 % der tatsächlich stattfindenden Kommunikation überwacht werden kann. Das war dem Gesetzgeber bewusst und von ihm so gewollt.

posted by Stadler at 12:10  

12.4.11

Der Tätigkeitsbericht des Bundesdatenschutzbeauftragten

Der alle zwei Jahre erscheinende Tätigkeitsbericht des Bundesdatenschutzbeauftragten ist heute veröffentlicht worden. Das mehr als 200 Seiten starke Papier beschäftigt sich mit einer ganzen Fülle von Fragen. Zwei Themen, die im Netz viel diskutiert werden, habe ich mir näher angeschaut, nämlich das Cloud Computing und die Qualifizierung von IP-Adressen.

Cloud Computing wird von Peter Schaar als Auftragsdatenverarbeitung nach § 11 BDSG betrachtet und ist nach der Ansicht Schaars  in seiner Reinform – als ein offenes, globales Modell – mit dem geltenden Datenschutzrecht schwer in Einklang zu bringen. Unabhängig davon, sind die Anforderungen des § 11 BDSG, der eine schriftliche Vereinbarung über die Auftragsdatenverarbeitung und die Einhaltung der dort genannten strengen Voraussetzungen erfordert, zumindest im Massengeschäft kaum zu erfüllen. Oder um es deutlicher zu sagen: Cloud Computing geht nach unserem Datenschutzrecht eigentlich nicht. Nachdem manche Landesdatenschutzbehörden auch das Hosting als Fall des § 11 BDSG betrachten, wäre auch dieses Massengeschäft foglich datenschutzwidrig. Siehe hierzu auch meinen Beitrag „Das Datenschutzproblem„.

Der Bundesdatenschutzbeauftragte befasst sich auch mit der Kontroverse um den Personenbezug von IP-Adressen. Schaar räumt zumindest ein, dass die durchgehende und absolute Qualifizierung von IP-Adressen als personenbezogene Daten nicht einhellige Ansicht ist. Er weist darauf hin, dass das BMI und das BSI IP-Adressen dann nicht als personenbezogen betrachten, wenn sie beim Anbieter einer Website als Nutzungsdaten anfallen. Nach dieser Ansicht dürfen sie deshalb dort beliebig lange gespeichert und sowohl für Statistik- als auch für Datensicherheitszwecke verwendet werden.

Das wird auch von einigen Gerichten so gesehen. An dieser Stelle muss man natürlich berücksichtigen, dass speziell das BMI ein Interesse an dieser Rechtsauslegung hat, weil damit natürlich auch eine Vorratsdatenspeicherung ein Stück weit überflüssig wird. Daten die unbeschränkt lang in zulässiger Weise gespeichert werden, stehen damit natürlich auch für einen Zugriff von Polizei- und Sicherheitsbehörden grundsätzlich zur Verfügung.

posted by Stadler at 16:27  

22.9.10

Sicherheitsprobleme beim neuen Personalausweis

Der CCC hat massive Sicherheitsprobleme des neuen elektronischen Personalausweises aufgezeigt und dem Innenminister fällt nicht mehr ein als in der Tagesschau zu sagen:

„Irgendwelche Hacker mögen immer irgendwas hacken können, aber, die Zuverlässigkeit und Sicherheit des neuen Personalausweises steht nicht in Frage“

Wer derartig die Fakten ignoriert, dem wird hoffentlich bald ein öffentlicher Tornado ins Gesichts blasen. Man sollte zum Thema die Berichterstattung bei Heise, ZEIT ONLINE und Fefe gelesen haben. Auch der WDR (heute 21:55 Uhr) wird sich mit dem Thema befassen und kündigt einen Bericht an, in dem dargelegt wird, dass selbst die elektronische Unterschrift auf dem neuen Dokument fälschbar ist.

Wenn die Datensicherheit nicht gewährleistet ist, dann darf dieser neue Personalausweis auch nicht eingeführt werden.

posted by Stadler at 18:20  

9.6.09

Surfprotokollierung durch das BSI kommt wohl doch

Das umstrittene BSI-Gesetz, dessen Entwurf in § 5 eine Befugnis des Bundesamts für Sicherheit in der Informationstechnologie (BSI) vorsieht, bei der Kommunikation des Bundes Protokolldaten zu erheben und auszuwerten, kommt nun offenbar doch. Im Innenausschuss des Bundestages wurden zwar noch Korrekturen vorgenommen, die Vorschrift des § 5 Abs. 1 des ursprünglichen Entwurfs blieb aber unangetastet.

Damit erhält das BSI u.a. auch die Befugnis, die Websites des Bundes zu loggen und entsprechend auszuwerten. Eine Weitergabe an Strafverfolgungsbehörden ist unter gewissen Voraussetzungen ebenfalls vorgesehen. Der Arbeitskreis Vorratsdatenspeicherung spricht deshalb von einer verfassungswidrigen Surfprotokollierung.

Bevor man sich dieser Einschätzung vorschnell anschließt, sollte man sich freilich klar machen, dass der Bund damit nichts anderes macht, als das was fast jeder Betreiber eines Webservers macht, er führt Logdateien. Das machen die Bundesbehörden vermutlich bereits jetzt, künftig dann eben auf gesetzlicher Grundlage.

Die Einschätzung des AK Vorrat, dass User damit anhand der protokollierten IP-Adressen jederzeit ohne richterliche Anordnung rückverfolgt und identifiziert werden können(§ 113 TKG)und das Gesetz deshalb verfassungswidrig ist, teile ich nicht. Das Problem ist insoweit einmal mehr wohl eher die problematische Vorschrift des § 113 TKG.

posted by Stadler at 12:45  

11.5.09

Journalisten kritisieren geplantes BSI-Gesetz

Das Bündnis der Medienverbände und -unternehmen beanstandet in einer Stellungnahme an den Innenausschuss des Bundestages den Entwurf des Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes als verfassungswidrig.

Der Journlistenverband kritisiert vor allem, dass dem Bundesamt ermöglicht werden soll, sämtliche elektronische Kommunikation der Bundesbehörden mit Dritten auszuwerten und damit auch die Kommunikation mit Journalisten zu überwachen.

An dem Gesetz wird außerdem kritisiert, dass die Möglichkeit einer anlasslosen Aufzeichnung des Surfverhaltens geschaffen werden soll.

posted by Stadler at 12:58  

19.3.09

Schäuble kann Kritiker des BSI-Gesetzes nicht ernst nehmen

Wolfgang Schäuble kann die Bedenken gegen das geplante BSI-Gesetz nicht ernst nehmen. Das denke ich mir zu Herrn Schäuble auch gelegentlich.

Dass man im BSI-Gesetz völlig systemwidrig eine Änderung des TMG versteckt hat, scheint gar nicht mehr Thema zu sein.

posted by Stadler at 16:38