Die Identifizierung von Personen anhand ihrer IP-Adresse im Internet soll zukünftig für deutsche Behörden per Knopfdruck möglich sein. Auch aktuelle Änderungen am Gesetzentwurf zu Bestandsdatenabfrage ändern nichts an diesen Befugnissen. Morgen soll das Gesetz vom Bundestag beschlossen werden – mit den Stimmen von CDU, FDP und SPD.
Erst gestern haben wir berichtet, dass eine große Koalition aus Regierung und SPD den Behörden weitreichende Befugnisse zur Abfrage von Bestandsdaten geben will. Mittlerweile haben wir erneut einen aktuellen Änderungsantrag erhalten, den wir an dieser Stelle veröffentlichen: Änderungsantrag der Fraktionen der CDU/CSU, der FDP und der SPD zu dem Gesetzentwurf der Bundesregierung – Drucksache 17/12034.
Dieser Entwurf mit Stand von gestern enthält nur kosmetische Änderungen gegenüber dem von letzter Woche. Wie Stefan Krempl bei heise online berichtet, hat der Innenausschuss des Bundestags den Entwurf heute angenommen. Bereits morgen Abend soll das Gesetz vom Bundestag verabschiedet werden.
Wie in der gestern veröffentlichten Version enthält auch diese finale Version noch einige kritische Punkte:
Kein Richtervorbehalt für IP-Adressen
So sollen deutsche Behörden zukünftig die Inhaber von Telefonnummern und IP-Adressen vollautomatisiert abfragen können – ganz ohne Richtervorbehalt. Datenschützer hatten das immer kritisiert und gefordert.
Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit:
Auch wenn vom Bundesverfassungsgericht nicht explizit gefordert, halte ich die Einführung eines Richtervorbehalts für die Auskunft über den Inhaber einer IP-Adresse nach § 113 Abs. 1 S. 3 TKG-E für datenschutzrechtlich geboten.
Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein:
Wir regen jedoch angesichts der mit der Abfrage von dynamischen IP-Adressen verbundenen erhöhten Eingriffsintensität einen Richtervorbehalt für diese Abfragen an.
Arbeitskreis Vorratsdatenspeicherung:
Die Identifizierung von Internetnutzern im selben weit reichenden Umfang zuzulassen wie Auskünfte über Rufnummerninhaber ist nicht hinnehmbar. Wir fordern, dass zumindest eine Gleichstellung mit der Verwendung sonstiger Verkehrsdaten (§ 100g StPO) erfolgt, also im Bereich der Strafverfolgung eine richterliche Anordnung zur Voraussetzung gemacht wird und eine Beschränkung auf Straftaten von erheblichem Gewicht sowie auf Gefahren für wichtige Rechtsgüter erfolgt.
IPv6: lebenslange Identifizierung
Diese Identifizierung von Personen zu IP-Adressen wird noch sensibler, da es mit IPv6 möglich wird, dass Geräte lebenslang die gleiche IP-Adresse erhalten. Damit kann einer einmal identifizierten Person quasi jedes Internet-Paket namentlich zugeordnet werden.
Peter Schaar dazu:
Die Notwendigkeit eines Richtervorbehalts bekommt noch eine besondere Bedeutung mit Blick auf die gegenwärtige Umstellung des Internetprotokolls von der Version 4 auf die Version 6. Diese Bedenken wurden auch vom Bundesverfassungsgericht aufgegriffen (BVerfG, Beschluss vom 24.01.2012 – 1 BVR 1299/05, Rn. 161). Durch den Wechsel zu IPv6 ist es künftig möglich, jedem Endgerät eine eigene feste IP-Adresse zuzuteilen.
Dementsprechend bringt die Umstellung der Internetprotokollversion aus Datenschutzsicht jedenfalls ein erhöhtes Gefährdungspotential mit sich. Um diesem von Anfang an angemessen zu begegnen erscheint die Einführung eines Richtervorbehaltes der einzig konsequente Schritt, zumal somit auch der Gefahr vorgebeugt wird, bereits in wenigen Jahren eine erneute gesetzliche Anpassung vornehmen zu müssen, sollte sich das datenschutzrechtliche Gefahrenpotential von IPv6 realisieren.
Im Änderungsantrag zum Gesetzentwurf wird das Problem erstmals akzeptiert und … ein Arbeitskreis eingerichtet:
Die Bundesregierung soll daher unter Einbeziehung der Bundesnetzagentur die technische Entwicklung beobachten und dem Deutschen Bundestag zum Ende des übernächsten Kalenderjahres hierüber Bericht erstatten, um den sich möglicherweise ergebenden Regelungsbedarf rechtzeitig erkennen zu können.
Nutzer-Identifizierung per Schnittstelle
Die Bestandsdaten-Abfrage soll über eine elektronische Schnittstelle erfolgen, die die “etwa 16 größten Dienstanbieter” einrichten müssen und mit der Polizei und Sicherheitsbehörden quasi per Mausklick IP-Adressen zu Personen zuordnen können.
Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein:
Die Einrichtung einer elektronischen Schnittstelle, die eine massenhafte Verarbeitung der Daten erheblich vereinfacht, ist geeignet, nicht nur für Einzelfälle genutzt zu werden.
Der Arbeitskreis Vorratsdatenspeicherung bezeichnet die Abrufschnittstelle als unverhältnismäßig und verfassungswidrig.
Die Befürchtung ist beispielsweise, dass Behörden mit einer Log-Dateiei von einem Webserver über die Schnittstelle automatisch alle Besucher einer Webseite identifizieren können. Dass das nicht abwegig ist, zeigen die Beispiele der Homepageüberwachung, bei denen bereits Besucher von mindestens 150 Behörden-Webseiten überwacht wurden.
Bundeskriminalamt wird zur Internet-Polizei
Die Rolle des Bundeskriminalamts als Zentralstelle wird mit dem Gesetz gestärkt und ausgebaut.
Der Arbeitskreis Vorratsdatenspeicherung:
Anders als bisher soll das Bundeskriminalamt Telefon- und Internetnutzer künftig auch ohne Ersuchen der zuständigen Polizeibehörde identifizieren dürfen. Erstmals soll das Bundeskriminalamt als Zentralstelle sogar in das Fernmeldegeheimnis eingreifen dürfen (§ 7 Abs. 4 BKAG-E).
Der grüne Bundestags-Abgeordnete Konstantin von Notz:
Damit schreitet der auch im IT-Sicherheitsgesetzentwurf angelegte, scheibchenweise Ausbau des BKA zum Bundes-FBI unter Schwarz-Gelb voran. Das BKA wie auch andere Polizeibehörden erhalten einen erleichterten, nahezu voraussetzungslosen Zugang auf die Kundendaten der TK-Provider, obwohl Karlsruhe genau das verhindern wollte.
Bestandsdaten gegen Ordnungswidrigkeiten
Die Abfrage von Bestandsdaten soll nicht nur bei Straftaten möglich sein, sondern auch bei Ordnungswidrigkeiten.
Thilo Weichert dazu:
Dabei wird nicht differenziert nach der Schwere der Ordnungswidrigkeit, sondern die Auskunftspflicht soll bei der Verfolgung jedweder Ordnungswidrigkeit bestehen. Die fehlende Einschränkung auf z.B. schwerwiegende Ordnungswidrigkeiten ist nicht verhältnismäßig, wenn es nicht um die Abfrage von Bestandsdaten, sondern um die Abfrage der dynamischen IP-Adressen geht.
Peter Schaar:
Dies widerspricht jedoch eindeutig den Vorgaben des Bundesverfassungsgerichts aus dem Vorratsdatenspeicherungsurteil, in dem es explizit ausführt, dass eine entsprechende Auskunft ausschließlich zur Verfolgung besonders gewichtiger Ordnungswidrigkeiten zulässig ist, die vom Gesetzgeber explizit benannt werden müssen (BVerfG, Urteil vom 02.03.2010 – 1 BvR 256/08, Rn. 262).
Und nochmal Peter Schaar, gefragt von netzpolitik.org über den Änderungsantrag:
Leider wurden die Abfragemöglichkeiten zur Verfolgung von Ordnungswidrigkeiten nicht begrenzt, obwohl dies einer expliziten Forderung des Bundesverfasungsgerichts aus dem Vorratsdatenspeicherungsurteil entspricht; der Gesetzentwurf ist also weiterhin verfassungsrechtlich bedenklich.
PIN, PUK, E-Mail-Passwörter
Und das waren alles nur die “einfachen” Bestandsdaten, also: Auf welchen Anschlussinhaber ist eine IP-Adresse oder eine Telefonnummer registriert? Eine “erweiterte” Bestandsdaten-Auskunft umfasst auch so genannte Zugangssicherungscodes bei Telekommunikations-Anbietern, also z. B. PIN und PUK von SIM-Karten.
Hierunter fallen aber auch weitere Daten, so Peter Schaar:
Durch die offene Formulierung des Gesetzestextes werden aber neben den klassischen Zugangssicherungen bei Mobilfunkendgeräten wie PIN und PUK auch Passwörter erfasst, die den Zugang zu E-Mail-Konten oder Cloud-Speichern ermöglichen. Dies erlaubt unter Umständen den Zugriff der abfragenden Bedarfsträger auf Informationen, die eventuell sogar der Intimsphäre unterfallen könnten und somit besonders schützenswert sind.
Kai-Uwe Steffens vom Arbeitskreis Vorratsdatenspeicherung:
Wenn die Provider künftig die Passwörter ihrer Kunden im Klartext herausgeben sollen, dann müssen sie diese auch so speichern, und nicht in sicherer Form als sog. Hash-Werte. Das wäre eine Verletzung der gängigen Sicherheitspraxis und ein reales Risiko für alle Kunden. Denn auch solche Daten können in falsche Hände geraten. Die Folgen wären unabsehbar.
Immerhin wurde dafür ein Richtervorbehalt eingebaut – letzte Woche. Die Wikipedia dazu:
Die Praxis der richterlichen Tätigkeit aufgrund von Richtervorbehalten wird vor allem im Strafverfahrensrecht vielfach kritisch gesehen. So belegen rechtstatsächliche Untersuchungen zu Telefonüberwachungen, dass in etlichen Fällen die Entscheidungen nicht sehr gründlich abgefasst werden. Dies hat zu dem Verdacht geführt, dass Richter die schwerwiegenden Eingriffe in Grundrechte nach einer eher oberflächlichen Prüfung anordnen oder genehmigen – obwohl dies nach dem Sinn des Richtervorbehaltes gerade nicht der Fall sein sollte.
Große Koalition aus Regierung und SPD
Die gesetzliche Neuregelung war notwendig geworden, weil das Verfassungsgericht im Januar 2012 die damalige Regelung der Rückverfolgung von dynamischen IP-Adressen als verfassungswidrig eingestuft hat. Der Kläger Patrick Breyer ist im Arbeitskreis Vorratsdatenspeicherung und heute Fraktionsvorsitzender der Piratenfraktion Schleswig-Holstein.
Der Arbeitskreis Vorratsdatenspeicherung bezeichnet auch dieses Gesetz und die neuesten Änderungen als weiter verfassungswidrig:
Der Arbeitskreis Vorratsdatenspeicherung fordert die gewählten Vertreter der Bürger im Bundestag dazu auf, dieser Änderung des Telekommunikationsgesetzes ihre Stimme zu verweigern und grundlegende Gedanken über die Weiterentwicklung der Gesellschaft im informationstechnischen Zeitalter und über die Bedeutung der Anonymität für die Menschen anzustrengen, bevor derartig tiefe Beschneidungen des Brief- und Telekommunikationsfreiheit vorgenommen werden.
Danach sieht es aber nicht aus. Nicht nur CDU und CSU sind für das Gesetz, sondern auch FDP und SPD. Damit dürfte das Gesetz morgen Abend vom Bundestag beschlossen werden. Auch im Bundesrat ist kein Widerspruch abzusehen.
Der Abgeordnete Jimmy Schulz stellt für die FDP klar: Ende gut, alles gut!
Ich freue mich, dass es der Koalition wieder einmal gelungen ist, eine bürgerrechtsfreundliche Gesetzesvorlage vorzulegen und damit Verfehlungen der rot-grünen Regierung auszugleichen.