Gesetzentwurf zur Vorratsdatenspeicherung: Maas liefert Murks

von RA Jan Mönikes
Man muss nicht in fundamentaler Gegnerschaft zu jeglicher Speicherung von Daten auf Vorrat für polizeiliche Zwecke (VDS) stehen, um nach einem genaueren Blick auf den Gesetzentwurf des Bundesministeriums für Justiz und Verbraucherschutz sagen zu müssen: Das Haus von Heiko Maas hat es erneut nicht geschafft, in einem schwierigen Feld „digitalen Lebens“ ein inhaltlich und handwerklich überzeugendes Gesetz vorzulegen. So hoch dem Minister der Versuch anzurechnen ist, die Vorgaben des EuGH und des BVerfG beachten zu wollen und er sich auch persönlich in Verhandlungen gegen noch weitergehende Forderungen durchgesetzt haben mag: Das, was Maas nun im Eiltempo durchs Parlament treiben will, ist in der Gesamtschau, Entschuldigung, Murks! Es wird jetzt besonders an den Rechtspolitikern der SPD-Bundestagsfraktion, am zuständigen Berichterstatter und seinem Sprecher und der Fraktionsführung liegen, dass wenigstens im Rahmen der parlamentarischen Beratungen noch die schlimmsten handwerklichen Fehler behoben werden, bevor sich das Gesetz einer Nachprüfung durch das BVerfG und den EuGH stellen muss, die die Opposition bereits angekündigt hat.

Gut gemeint ist nicht gleich gut gemacht!

„Klare und transparente Regelungen wahren die Balance zwischen Freiheit und Sicherheit“ meint der sichtlich „fest“ von seinem Werk überzeugte Minister Heiko Maas bei der Präsentation seines Gesetzentwurfes und hob dabei besonders die kurzen Speicherfristen, den Richtervorbehalt ohne eine Eilkompetenz der Staatsanwaltschaft und den gesetzlichen Schutz der Berufsgeheimnisträger hervor. Man habe die strengen Vorgaben der Gerichte „eins zu eins“ umgesetzt. Und, in der Tat liest sich der Gesetzentwurf zumindest an den Stellen, wo das Ministerium auf eindeutige Vorgaben des EuGH und des BVerfG zurückgegriffen hat, durchaus stimmig.

Heftige Kritik formuliert sich – sowohl grundsätzlicher Natur, aber nach und nach auch immer mehr im Detail – inzwischen dennoch von allen Seiten: Vom Anwaltsverein angefangen, über die Datenschützer, bis hin zum SPD nahen Verein D64. Allein das BMJV scheint von der eigenen handwerklichen Leistung so restlos überzeugt zu sein, dass es die bei jedem komplexen Thema eigentlich übliche und dringend gebotene Anhörung der verpflichteten Unternehmen und ihrer Verbände gleich ganz ausgelassen hat, um den Entwurf im Eiltempo noch vor dem Parteikonvent der SPD am 20. Juni 2015 in erster Lesung ins Parlament einbringen zu können. Eine möglichst unveränderte Beschlussfassung soll der Bundestag mit der Mehrheit der großen Koalition noch vor der Sommerpause im Juli abliefern, eine ernsthafte parlamentarische Beratung der einzelnen Regelung ist offensichtlich nicht gewünscht. Nachvollziehbar, denn mit jeder Analyse, mit jedem weiteren Experten, der den Gesetzentwurf öffentlich seziert, droht besonders der SPD und dort vor allem Heiko Maas der öffentlich geführte Nachweis, dass „gut gemeint“ häufig nur das Gegenteil von „gut gemacht“ ist und ausgerechnet das Justizministerium sich zunehmend zum Risiko für Freiheitsrechte entwickelt.

Eine bestimmte Form von Fundamentalopposition gegen jede Art von Vorratsdatenspeicherung, die dazu auch noch einen sehr enge Vorstellung davon hat, was alles kein „Verkehrsdatum“ sein soll, macht es den Befürwortern der VDS dennoch leicht, so zu tun, als wären alle Kritiker des Gesetzes irgendwelche „Netzheinis“, die von einem „rechtsfreien Raum des Internet“ träumen würden: Denn, anders als oft in Blogs und Foren behauptet, ist eben nicht jede Form von Vorratsdatenspeicherung verfassungswidrig, ist „Quick Freeze“ keine unproblematische Alternative zur VDS und ist vielen Menschen die grundsätzliche Kernthese gut vermittelbar, dass im digitalen Raum die Ermittlungsbehörden („endlich“) die notwendigen Mittel und Kompetenzen bekommen müssten, nach der die Innenminister seit Jahren so dringlich rufen. Tatsächlich ist es aus Sicht der Ermittlungsbehörden ein Problem, dass mit dem vor einigen Jahren von den Datenschützern in Deutschland durchgesetzten und sehr weitgehenden Verbot einer Speicherung von dynamischen IP-Adressen die Ermittlung von Anschlussinhabern heute erheblich erschwert wird. Eine verhältnismäßige gesetzliche Regelung ausschließlich hierzu könnte durchaus Sinn machen.

Ob dabei jedoch der von Heiko Maas vorgelegte “Entwurf eines Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten”, wie er ihn als „Kompromiss“ weitgehend persönlich mit Bundsinnenminister de Maizière ausgehandelt hat, überzeugt, dürften selbst viele „Freunde der Überwachung“ bezweifeln. Manche Kritik aus Ermittlerkreisen, die jetzt laut wird, ist sogar nachvollziehbar, denn wer ein Gesetz vorlegt, das Ermittlungsbehörden „ein rechtsstaatlich einwandfreies Instrument zur Strafverfolgung für Verbrechen“ an die Hand geben will, um den „Möglichkeiten der Digitalisierung als Tatwerkzeug“ zu begegnen, muss die Frage beantworten können, warum etwa ausgerechnet in Fällen schwerer Computerkriminalität die VDS-Daten nicht abgefragt werden dürfen, dafür aber selbst in solchen Fällen, in denen es etwa um die Verfolgung eines Vergehens des Handels mit jugendpornographischen Manga-Comics geht…

Auch hat der Bundesjustizminister vor vier Monaten selbst noch die VDS als gänzlich untaugliches Instrument abgelehnt. Allein, nach einem „Machtwort“ von Sigmar Gabriel hat Maas seine bis dato als persönliche Überzeugung vorgestellte Ablehnung der VDS über Bord geworfen. Denn der Parteivorsitzende der SPD hatte angekündigt, das Gesetz notfalls mit Hilfe eines Mitgliederentscheids seiner Partei gegen den eigenen Parteivorstand und den Minister erzwingen zu wollen. Heiko Maas wäre bei einer Ablehnung also politisch nur der Rücktritt vom Amt geblieben – verhindert hätte er den Entwurf damit zwar kaum, ein Zeichen gegen Politikverdrossenheit setzten können dagegen vielleicht schon. Um auch seinen Vorsitzenden vor Gesichtsverlust zu bewahren, verhandelte der brave Minister mit seinem konservativen Kabinettskollegen aber lieber flink und bis spät in die Nacht über ein Gesetz, das er am 15. April 2015 als „Leitlinien“ in seinen Grundzügen öffentlich und in der SPD-Bundestagsfraktion vorstellte und das nun mit dem vom Kabinett verabschiedeten Gesetzentwurf umgesetzt werden sollen.

Da es zur Überzeugung einiger aktueller Führungsfiguren in der SPD zu gehören scheint, dass selbst das, wozu man sich durch den Koalitionspartner gezwungen fühlt, als ein eigener, großartiger Erfolg verkauft sein will, preist inzwischen auch die Generalsekretärin der SPD den angeblich ausgewogenen und gelungenen Gesetzentwurf – wobei Ihre Interpretation der Regelungen allerdings nur zum Teil etwas mit dem tatsächlichen Entwurf zu tun haben. Ob das die inzwischen mehr als 100 Gliederungen der SPD, die einen ablehnenden Antrag für den Parteikonvent gegen den Gesetzentwurf eingebracht oder diejenigen Abgeordneten der SPD-Fraktion, die bereits öffentlich ihre Ablehnung erklärt haben, von der Sinnhaftigkeit der vorgeschlagenen VDS überzeugen wird, dürfte jedoch zweifelhaft sein.

Eine Gewähr, dass es deswegen wenigstens auf dem Parteikonvent der SPD zu der eigentlich längst überfälligen inhaltlichen und vor allem sachlicheren Debatte als bislang kommen wird, ist jedoch nicht gegeben: Schon beim letzten kontrovers ausgetragenen netzpolitischen Thema, den sogenannten „Websperren“ von „Zensursula“ von der Leyen, wurden Initiativanträge, die eine Verabschiedung des Gesetzes verhindern sollten, auf dem Parteitag der SPD gar nicht erst zur Debatte und Abstimmung aufgerufen. Der damals hierfür verantwortliche Sitzungsleiter des Parteitages hieß übrigens: Heiko Maas. Und auch jetzt bereitet die Generalsekretärin bereits einen ähnlichen „Schachzug“ vor, indem sie behauptet, dass der Parteitag der SPD im Jahr 2011 bereits eine Grundsatzentscheidung getroffen hätte, die über den damaligen Bezug hinaus, die rechtlich gebotene Umsetzung der damals noch gültigen EU-Richtlinie, wirksam wäre und daher nur durch den nächsten Parteitag, nicht aber den jetzt anstehenden Konvent, geändert werden könnte.

Die Hoffnung, dass die Parteiführung einen offenen Diskurs in dieser Frage zulassen und die für eine erzwungene Debatte notwendige, entschlossene Mehrheit vorhanden ist, könnte somit eine trügerische sein, die entsprechenden engagierten Protagonisten erneut nur Enttäuschung und Frustration ernten. Denn eines ist in der Tat richtig: Der jetzige Entwurf bemüht sich zumindest darum, die Linie des bestehenden Beschlusses des SPD-Parteitages einzuhalten, auch wenn es ihm in der Sache nicht gelingt – was viele jedoch nicht zur Kenntnis nehmen werden (oder wollen).

Auch die Hoffnungen auf ein korrigierendes Eingreifen des EuGH und des BVerfG könnten trügerisch sein:

Gemessen am Prüfmaßstab der Art. 7 und 8 der Europäischen Grundrechte Charta dürften die geplanten gesetzlichen Regelungen zwar nichtig sein, schon weil der EuGH generell kaum „anlasslose“ Überwachung zulassen will. Ob und inwieweit die Luxemburger Richter jedoch – anders als bei der Nachkontrolle der seinerzeit mit der Harmonisierung des Binnenmarkts begründeten EU-Richtlinie – auch gegen die VDS in der jetzigen Ausformung als „nationales Sicherheitsgesetz“ durchgreifen werden und rechtlich überhaupt können, ist nicht so ganz eindeutig, wie es sich manche Gegner der VDS sicherlich wünschen. Dass es dem Gesetzentwurf bezüglich der Vorgaben des BVerfG insbesondere an der Erfüllung der Anforderungen an Vertraulichkeit bei der Abfrage (Einzelentschlüsselung), der Datensicherheit bei der Übermittlung an Anfragende, der Normenklarheit und -bestimmtheit bei der Bestandsdatenauskunft und einer Gesamtrechnung aller Überwachungsmaßnahmen mangelt, ist ebenfalls keine Garantie für eine Aufhebung, sondern kann auch nur in einigen richterlich angeordnete „Nachbesserungen“ münden, muss die VDS aber nicht komplett verhindern.

Auch wenn es schwerfällt: Man wird sich also m.E. parallel zu allen grundsätzlichen Bedenken und berechtigten Protesten auch mit den einzelnen Regelungen des Gesetzes intensiv zu befassen haben, um zumindest im begrenzten Rahmen noch einiges verhindern zu können. Dazu gehört neben der Vermeidung unverhältnismäßigen Eingriffen in Freiheitsrechte aller Bürger, eben auch die Begrenzung unnötiger Belastungen der vom Gesetz verpflichteten Unternehmen. Denn auch hier droht erheblicher Kollateralschaden, der die Vielfalt an Angeboten und Anbietern in Deutschland erheblich reduzieren kann.

Insbesondere erweist es sich dabei als problematisch, dass viele der vorgeschlagenen Regelungen technisch nicht praktikabel und kaum umsetzbar sind. Gleichzeitig kann das behauptete Ziel des Gesetzes nur teilweise erreicht werden und sind etliche Regelungen (und Auslassungen) so unklar, dass sie nicht nur als Einfallstor für behördliche Willkür und jahrelange Rechtsstreite taugen, sondern auch zu einer viel weitergehenden Überwachung der Datenverkehre führen könnten, als offiziell intendiert ist.

Solches zu vermeiden wird die Aufgabe der Parlamentarier sein, die sich hier auch nicht allein auf die Position einer generellen Ablehnung zurückziehen sollten, sondern zumindest im Rahmen ihrer ureigensten Kompetenzen – notfalls auch gegen den Druck der Bundesregierung und ihrer Partei- und Fraktionsführer – wenigstens das schlimmste verhindern sollten, wenn sie schon keine parlamentarische Mehrheit für eine Ablehnung organisieren können.

Zwei konkrete Beispiele:

1. Anders, als öffentlich behauptet, werden eben nicht nur IP-Adressen „und sonst nix“ gespeichert. Die Regelungen des § 113 b Abs. 3 Nr. 2 TKG-E bedeuten vielmehr, und zwar auch nach Lesart von Vertretern der Sicherheitsbehörden, dass dort, wo ansonsten der Teilnehmeranschluss nicht klar zu identifizieren ist, neben der IP-Adresse jede Art von Kennung mitgespeichert werden muss (also auch etwa Port-Nummern, NATs etc.) und dazu noch („sowie“) jede andere möglicherweise vorhandene Benutzerkennung, die eine eineindeutige Identifizierung des Teilnehmers erlaubt. Streng genommen handelt es sich also durchaus um „Inhalte“ von Datenpaketen, da nur die Speicherung des IP-Headers in vielen Fällen für Zwecke der Teilnehmeranschlussidentifikation nicht hinreichend wären.

2. Somit erweist sich das Versprechen des Verbots der Speicherung von Inhalten und „Daten über aufgerufene Internetseiten und Daten von Diensten der elektronischen Post“ als rhetorisches Mittel eines zumindest nicht richtig informierten Ministers – zugleich aber auch gar nicht als zwingend grundrechtsschonend. Im Gegenteil: Aufgrund der Verpflichtung aus Nr. 1 des neuen § 113 a Abs. 1 TKG-E, wird – anders als in der alten Fassung des Gesetzes – auch ohne das Bestehen einer Endkundenbeziehung nunmehr auch derjenige Provider zu Speicherungen verpflichtet, der „keine der nach dieser Vorschrift zu speichernden Daten selbst erzeugt und verarbeitet“ und das auch in dem Fall, in dem er „nur einige, aber nicht alle zu speichernden Daten selbst erzeugt oder verarbeitet“, jedenfalls soweit er „die Daten bei der Erbringung des Dienstes erzeugt oder verarbeitet“ (vgl. S. 43 der Begründung zu § 113a TKG-E).

Da es auf eine Endkundenbeziehung also nicht mehr ankommen soll, wäre es aufgrund dieser Ausweitung des Kreis der Verpflichteten dann aber nicht abwegig, wenn dieses in der Praxis so zu interpretieren wäre, dass sich für den Provider, der nicht selbst IP-Telefonie als eigenen Dienst i.S.d. § 113 b Abs. 2 Nr. 5 TKG-E, sondern „nur“ den Internetzugang anbietet, die Verpflichtung ergibt, „sicherzustellen“, dass von ihm auch „die nicht von ihm selbst bei der Erbringung seines Dienstes erzeugten oder verarbeiteten Daten“ nach § 113 b TKG zu speichern sind, da schon die Weiterleitung von Daten anderer Anbieter einen eigenen Verarbeitungsvorgang von Daten darstellen dürfte. Die frühere, eindeutige Limitierung, lediglich die Daten von “Resellern” Teilnehmern zuordnen zu können, ist in dieser Fassung des Entwurfs dagegen nicht mehr enthalten.

Sprich: Wenn also ein Internetzugangskunde, der seinen DSL-Zugang verwendet um z.B. selbst installiertes Skype über „seinen“ Internetzugangsdienst zu nutzen, wäre der Zugangsdienstanbieter nunmehr verpflichtet, ggfs. auch diese Daten und eben nicht nur die Daten einer Anmeldung seines Kunden am Internetzugang zu speichern, weil er selbst ja gerade nicht „alle der nach Maßgabe der §§ 113 b bis 113 g zu speichernden Daten selbst erzeugt oder verarbeitet“, aber eben doch einige der zu speichernden Daten „verarbeitet“ – indem er nämlich die IP-Pakete mit dem VoIP-Call zu den Servern von Skype weiterleitet. Da er – anders als Skype – selbst jedoch nicht über alle eigentlich zu speichernden Informationen nach §113 b Abs. 3 TKG-E verfügt, hätte er diesbezüglich zusätzlich (!) noch der BNetzA gem. Abs. 1 Nr. 2 mitzuteilen, dass die weiteren zu der „mitgeschnittenen“ Internetprotokoll-Adresse gehörenden Informationen beim eigentlichen Erbringer des Dienstes, nämlich der Firma Skype, abzufragen sind. Allerdings wird etwa Skype gar nicht vom TKG verpflichtet, steht jedenfalls nicht auf der entsprechenden Liste der BNetzA und muss seine Daten daher auch künftig nicht – anders als der Zugangsprovider – weder in Deutschland speichern, noch zum Abruf den Behörden zur Verfügung stellen.

Sollte also der Internetzugangsprovider wegen dieser oder aufgrund anderer Konstellationen durch die erweiterte Formulierung des Gesetz gezwungen werden „fremde“ IP-Adressen zu protokollieren und auf Vorrat zu speichern, bringt ihn das Verbot nach Abs. 5 noch in ein weiteres Dilemma. Wenn das Gegenteil von „gut gemacht, gut gemeint“ ist, dann hat es Heiko Maas mit § 113 b Abs. 5 TKG-E nämlich ganz besonders gut gemeint:

Auf gar keinen Fall gespeichert (nicht etwa nur nicht beauskunftet oder verwertet) dürfen danach neben den Inhalten einer Kommunikation ausdrücklich eben auch „Daten über aufgerufene Internetseiten und Daten von Diensten der elektronischen Post“. Ist jedoch ein Provider – aus welchen Gründen auch immer – gezwungen, auch Metadaten zu speichern, die nicht durch einen von ihm selbst kontrollierten Dienst erzeugt werden, wird ihm zur Unterscheidung, ob ein IP-Paket dem Transport etwa von VoIP-Inhalten dient (Speicherpflicht) oder aber eine E-Mail abgerufen wird (Speicherverbot), kaum etwas anderes übrig bleiben, als den gesamten IP-Traffic mit Hilfe von Deep Packet Inspection (DPI) zu überwachen und dabei die Pakete zu „öffnen“, um sie zum Zweck der unterschiedlich angeordneten Speicherung filtern zu können. Denn nur, wenn gleichzeitig der Datenteil und der Headerteil des Datenpaketes auf bestimmte Merkmale wie IP-Telefonie untersucht werden, kann der Provider in diesen Fällen eine Speicherpflicht aus §113 a Abs. 1 Nr. 1 TKG-E erfüllen, ohne gegen die Schranken des Abs. 5 zu verstoßen. Im Unterschied zu klassischen Paketfiltern reicht die Überprüfung des Headerteils nämlich nicht für eine Regulierung und Unterscheidung dieser Datenströme aus, da einem Datenpaket „von außen“, also allein bei Untersuchung des IP-Headers, nicht anzusehen ist, ob der Inhalt speicherpflichtig ist oder im Gegenteil dem untauglich formulierten, aber eindeutig weit gemeinten Speicherverbot unterliegt.

Über den Umweg der VDS würde somit also – allen Beteuerungen zum Trotze – eben nicht nur eine “schonende” Speicherung weniger Daten auf Vorrat, sondern würden zudem Investitionen in eine Infrastruktur angeordnet, die die Grundlagen weitreichender Inhaltskontrolle für Zwecke der Überwachung des Internets legt. Und das ausgerechnet wegen einer wahrscheinlich wirklich ernst und besonders „gut“ gemeinten Ausnahmeregelung…

Dass sich SPD und CDU/CSU entgegen dieses Ergebnisses eigentlich einmal im Koalitionsvertrag aus Seite 36 anders festgelegt haben, wäre dann – wie das Versprechen des Ministers – nur noch von historischem Interesse: „Deep Packet Inspection (DPI) zur Diskriminierung von Diensten oder Überwachung der Nutzerinnen und Nutzer werden wir […] gesetzlich untersagen“.

In der Verantwortung: Die Abgeordneten

Soweit sich die Abgeordneten der Regierungskoalition nicht allen Stolz und die letzten Reste der Freiheit ihres Mandates nehmen lassen wollen, werden sie im Rahmen der Beratungen der Fachausschüsse solche Fragen in Ruhe zu klären und andere handwerkliche Schnitzer zu beseitigen haben, insbesondere um noch für eine deutlich größere Verhältnismäßigkeit der Regelungen zu sorgen. Das bedeutet meines Erachtens vor allem:

1. Einführung einer Kappungsgrenze

Im Hinblick auf den viel zu weiten Kreis der Verpflichteten ist die gebotene Verhältnismäßigkeit nicht gegeben.

So stellt das Ministerium schon in der Einleitung des Referentenentwurfs fest: „Von den vorhandenen ca. 1.000 Erbringern öffentlich zugänglicher Telekommunikationsdienste sind 20 so groß, dass sie 98 Prozent des Marktes abdecken, die übrigen sind kleine bis mittlere Unternehmen, die sich voraussichtlich häufig auf eine unbillige Härte berufen werden.“ Dennoch sollen mehr als 980 weitere Unternehmen unterschiedslos verpflichtet und damit unverhältnismäßig hart betroffen werden? Die theoretische Möglichkeit einer Entschädigung, die das Gesetz auch nur ausnahmsweise vorsieht, ändert an der Unbilligkeit nichts! Der Gesetzentwurf sollte sich daher vielmehr an den Vorgaben der bestehenden Telekommunikations-Überwachungsverordnung (TKÜV) orientieren und zumindest eine Bagatellregelung mit der Marginalgrenze von 10.000 Teilnehmern oder sonstige Nutzungsberechtigte vorgesehen werden (§ 3 Abs. 2 Nr. 5 TKÜV). Insbesondere, da es sich bei den 98% ausweislich der Liste der Bundesnetzagentur, die die zur Anmeldung verpflichteten Unternehmen aufzählt, vielfach um kleine und kleinste Unternehmen, Einzelkaufleute und Vereine handelt. Alternativ zu dieser Marginalgrenze könnten auch Ausnahmemöglichkeiten durch Anordnung der BNetzA etwa nach australischem Vorbild erwogen werden.

Die Unverhältnismäßigkeit schlägt sich im Übrigen nicht nur hinsichtlich der Investitionskosten für das geforderte, zusätzliche „VDS-Datensilo“ nieder, sondern bei kleineren Unternehmen auch im Zwang zur Beschäftigung von mindestens zwei besonders qualifizierten Personen zur Gewährleistung des Vier-Augen-Prinzips nach § 113 c TKG-E. Dies verursacht für die vielen Kleinst-Unternehmen unter den 98%, bei denen schon die Investitionen in die Technik eine unbillige Härte darstellen, durch nichts zu rechtfertigende weitere laufende Kosten, denn ein dem Aufwand entsprechendes Abfragevolumen durch die Behörden dürfte aufgrund des geringen Marktanteils solcher Kleinunternehmen nicht zu erwarten sein, eine sonstige Möglichkeit einer Beschäftigung des geforderten besonders qualifizierten Personals aber gerade bei kleineren Unternehmen, Einzelkaufleuten oder Vereinen nicht gegeben sein.

2. Keine Doppelverpflichtungen zur Speicherung

Der Gesetzentwurf verordnet – anders als sein Titel suggeriert – keine Höchstfrist für die Speicherung von Daten, sondern regelt vielmehr eine Mindestspeicherfrist von vier bzw. zehn Wochen für solche Daten, die nicht schon aus betrieblichen Gründen und zu Abrechnungszwecken vom Provider gespeichert werden (müssen). Selbst, wenn also bereits viel mehr und länger zu speichernde Informationen beim betroffenen Unternehmen im In- oder Ausland gespeichert vorhanden sein sollten (also die Daten, die aus betrieblichen Gründen oder aufgrund anderer gesetzlicher Vorgaben sowieso gespeichert wurden, sog.“Geschäftsdaten“), wird der Betreiber gezwungen, ein zweites (!) „Datensilo“ im Inland zu errichten und mit (identischen oder ggfs. reduzierten) Kopien der ansonsten gleichen Daten zusätzlich (!) zu befüllen. Die bisherige Pflicht zur Speicherung dieser Daten bleibt also neben der weiteren Speicherpflicht unverändert bestehen und auch die Ermittlungsbehörden können im gleichen Ausmaß wie bislang und ohne (!) neue Hürden, also etwa auch noch nach Ablauf von 10 Wochen, auf solche zusätzlichen Informationen zugreifen. Jedenfalls soweit identische Geschäftsdaten, etwa für Abrechnungszwecke, nach § 97 TKG bereits gespeichert werden, verstößt dies Modell doppelter „Datensilos“ somit gegen das Gebot der Datensparsamkeit. Zugleich ist die Speicherverpflichtung nach § 113 d Abs. 2 TKG-E gerade solcher “Geschäftsdaten“, die auch weiterhin aus betrieblichen Gründen gespeichert werden müssen, in zusätzliche, „gesonderten, von den für die üblichen betrieblichen Aufgaben getrennten Speichereinrichtungen“, unverhältnismäßig und steht im Widerspruch zur Annahme, dass „Unternehmen teilweise auf die bereits getätigten Investitionen zurückgreifen können“ (S. 3 des Entwurfs). Rückgriffsmöglichkeiten auf bestehende Investitionen sind nach vielen Jahren der Aufhebung der alten VDS in Wahrheit marginal, zudem erfordert die Erfüllung der geplanten Regelungen ganz neuen und technisch anderen Aufwand.

Ebenfalls relevant in diesem Zusammenhang ist, dass § 113 b Abs. 2 Nr. 5 nun auch die Verpflichtung zur Speicherung von IP Adressen bei Internettelefonie vorsieht. Dass ausgerechnet VoIP-Anbieter wie Skype & Co. jedoch nicht zum Kreis der Verpflichteten zählen sollen, allerhöchstens die Transporteure ihrer Daten zur Speicherung verpflichtet sein könnten (s.o.), dürfte zu erheblichen Wettbewerbsverzerrungen führen und programmiert geradezu baldige Nachforderungen der Ermittlungsbehörden, weil viele Kriminelle, aber eben auch um ihre Privatsphäre besorgte Bürger, in diesen „sicheren Hafen“ ausweichen werden.

3. Herausnahme von Wholesale-Angeboten

Problematisch ist zudem die Doppelverpflichtung zur Speicherung im Bezug aus Wholesale-Angebote.

Da § 113 a und b Abs. 2 TKG-E des Entwurfs die „Erbringer öffentlich zugänglicher Telefondienste“ pauschal verpflichtet werden, sind einerseits diejenigen zur Speicherung verpflichtet, die über die jeweilige Beziehung zum Endkunden verfügen, als auch zusätzlich noch diejenigen Anbieter, die z.B. lediglich Transitleistungen für genau dieselben Telefonate erbringen. Auch die Vorgaben des § 113 a Abs. 1 Satz 2 TKG-E sehen lediglich gesonderte Verpflichtungen für diejenigen Diensteanbieter vor, die die zu speichernden Daten nicht alle selbst erzeugen oder verarbeiten.

Soweit diese Regelung lediglich auf eine mögliche Umgehung der Speicherverpflichtung bei Resale-Nachfragern abzielt und nicht auf die Anbieter von Vorleistungsprodukten, bedarf es hier dringend einer Klarstellung (s.o.). Wesentlich für eine Pflicht zur Speicherung und Auskunft muss – wie in der alten Fassung der VDS – stets eine Endkundenbeziehung sein. Fehlt es daran, ist die Speicherung überflüssig, weil auch die möglichen Auskünfte faktisch wertlos sind. Um entsprechend überflüssige und somit unverhältnismäßige Doppelspeicherungen zu vermeiden, sollte in den § 113 a und ggf. b TKG-E zur Klarstellung eingefügt werden: „Erbringer öffentlich zugänglicher Telefondienste für Endkunden“

4. Keine Verpflichtung zur doppelten Datenspeicherung im Inland

Nach § 113 b Abs. 1 TKG-E sind die Daten im Inland zu speichern. Die Begründung findet sich auf S. 43 des Entwurfs:

„Abweichend von § 113a TKG a. F. sind die Daten ausschließlich im Inland zu speichern; eine Erfüllung der Speicherpflicht durch die Speicherung in einem anderen Mitgliedstaat der Europäischen Union ist nicht mehr vorgesehen. Die Beschränkung der Speicherung der Vorratsdaten auf das Inland ist eine Beschränkung der Dienstleistungsfreiheit im Sinne von Artikel 56 AEUV.

Eine solche [Beschränkung] lässt sich rechtfertigen, wenn sie notwendig ist, um zwingenden Gründen des Allgemeininteresses gerecht zu werden und wenn sie zudem verhältnismäßig ist.[…] Bei einer Speicherung im europäischen Ausland könnte nicht ausgeschlossen werden, dass entgegen der strengen Verwendungsbeschränkung in § 113c TKG-E der ausländische Staat nach Maßgabe seines (innerstaatlichen) Rechts Zugriff auf die auf seinem Hoheitsgebiet gespeicherten Daten nimmt, was angesichts jüngerer Erfahrungen nicht als nur theoretische Gefahr erscheint.”

Das ist gleich in mehrerlei Hinsicht Unsinn: In vielen Sektoren bedienen sich (Geschäfts-) Kunden bewusst der Dienste internationaler Unternehmen, weil sie an ihrem ausländischen Hauptquartier mehr Nähe zu ihrem Dienstleister haben. Worin sich ihre besondere Schutzwürdigkeit oder gar Interesse einer Speicherung ihrer Daten in Deutschland ergeben soll, ist nicht nachvollziehbar.

Im grenzüberschreitenden Verkehr vermag eine zusätzliche (!) Speicherpflicht von VDS-Daten im Inland, die zugleich als Geschäftsdaten im Ausland in unter Umständen viel größerem Ausmaß (auf Kundenwunsch, wegen betrieblicher Notwendigkeit oder aufgrund eines anderen Gesetzes) ebenfalls gespeichert sind, im gleichen Ausmaß wie bislang, jedenfalls nicht dem „Allgemeininteresse“ dienen. Denn, wenn das Risiko für die gleichen Daten, die wegen woanders geltender nationaler Regelungen nicht im europäischen Ausland gespeichert werden, angeblich so hoch ist, wie der Entwurf unterstellt und „nicht als nur theoretische Gefahr erscheint“, dann wäre es schlicht zu wenig, wenn nur eine reduzierte Kopie nach Deutschland „heimgeholt“ wird.

Der tatsächliche Nutzen dieser Regelung ist also Null, der Schaden aber enorm: Europäische Wettbewerbsunternehmen werden erheblich in der Ausübung ihrer unternehmerischen Tätigkeit beschränkt und damit entgegen der Regelungen zum Binnenmarkt der EU Nachteile gegenüber Unternehmen mit Hauptsitz in Deutschland erleiden – ohne, dass dem aber irgendein nachvollziehbarer Nutzen für den Bürger in Deutschland entgegen stünde.

Diese Regelung ist, wie leider andere im Gesetz auch, schlicht populistischer Unsinn, der lediglich symbolisch gemeint ist, aber leider real schadet. Soweit die Bundesregierung wirklich Bedenken mit Blick auf ein unterschiedliches Datenschutzniveau in den jeweiligen Mitgliedsstaaten umtreibt, hat sie dem im Rahmen der Neuregelung der Datenschutzgrundverordnung politisch und rechtlich zu begegnen und zugleich auch hierzulande die (legalen, illegalen oder halblegalen) Aktivitäten von Geheimdiensten einzuhegen. Diese Probleme werden im grenzüberschreitenden Fluss von Daten nicht durch die hier offensichtlich gewollte Re-Nationalisierung von Infrastrukturen gelöst werden können, ohne einem freien Internet und der europäischen Idee nachhaltigen Schaden zuzufügen.

5. Verlängerung der Übergangsregelung

Die Umsetzungsfrist ist zu kurz bemessen (§ 150 Abs. 13 § 12 StPO, S. 16 und 50 des Gesetzentwurfs).

Zwar sollen den Verpflichteten TK-Dienstleistern offiziell 18 Monate zur Verfügung stehen – de-facto sind es jedoch nur sechs Monate, da erst nach 12 Monaten der Anforderungskatalog der BNetzA zur Verfügung gestellt werden muss, auf dessen Grundlage die Anbieter die Umsetzung des Gesetzes in der Praxis überhaupt erst werden vornehmen können. Aufgrund des erheblichen Aufwands, den dieses Gesetz für tausende Unternehmen auslöst, muss die Übergangsfrist wenigstens auf 18 Monate nach Ergehen des Anforderungskatalogs verlängert werden.

Eine Regelung, wann die Änderung des JVEG für Entschädigungen bei Auskunftsersuchen in Kraft treten soll, fehlt im Übrigen.

6. Umsetzungsdefizite zum Urteil des BVerfG beheben

In § 113 b Abs. 6 TKG-E sind Ausnahmen der Speicherpflicht nach § 99 Abs. 2 TKG vorgesehen. Damit sind Berufsgeheimnisträger wie Anwälte, Ärzte etc. , anders als z.B. die Telefonseelsorge, nicht erfasst. Sie wären es auch dann nicht, wenn sie ihre Anschlüsse als solche (freiwillig) kenntlich machen würden. Ein sachlicher Grund für diese mangelnde Privilegierung von Berufsgeheimnisträgern ist jedoch nicht ersichtlich, insbesondere da ihre anlasslos gespeicherten Daten grundsätzlich sowieso nicht verwertbar sein sollen.

§ 113 c TKG-E regelt die Verwendung der Daten. Es fehlt jedoch die vom BVerfG geforderte klare Begrenzung der Auskunftspflicht.

§ 113 d-g TKG-E trifft Bestimmungen zum Sicherheitskonzept der VDS. Es fehlt jedoch eine Regelung zur Datensicherheit des Abrufverfahrens, zudem dürften technisch „besonders sichere Verschlüsselungsverfahren“ beim Abruf angesichts der Vielzahl der Abfrageberechtigten schwer durchsetzbar sein. Das BVerfG hat zudem die Einzelentschlüsselung der Daten gefordert, was nicht geregelt wird und gerade bei der Funkzellenabfrage auch schwer erfüllbar sein dürfte.

7. § 202 d StGB-E – Datenhehlerei überarbeiten oder besser ganz streichen

Die Vorschriften zur Datenhehlerei, die im Huckepack mit diesem Gesetz verabschiedet werden sollen, ohne Bezug zur VDS zu haben, verdienen eigentlich eine sehr viel längere Würdigung, als an dieser Stelle möglich.

Da sie gegen Fälle wie z.B. den Missbrauch von Daten ehemaliger Mitarbeiter eines Unternehmens gar nicht einschlägig sind, dürften sie im wesentlichen nämlich vor allem dazu führen, dass Plattformen wie Wikileaks auch in Deutschland kriminalisiert würden. Denn: Ausschließlich solche Personen, die „berufsmäßig“ publizistisch tätig sind und Informationen auch nur in diesem Rahmen weitergeben, könnten sich weiterhin auf das Presseprivileg berufen. Aktivisten, egal mit welcher Intention, dagegen aller Voraussicht nach eben nicht.
Besonders mit Blick auf das subjektive Merkmal einer „Schädigungsabsicht“ würde damit ein weiterer „Gummiparagraph“ eingeführt, der es der Entscheidung und damit ggfs. eben auch der Willkür eines Staatsanwaltes überlässt, ob er gegen heikle Informationsverbreitungen vorgehen will oder nicht.

Diese Liste dringend überarbeitungswürdiger Gesetzesteile ist sicherlich nicht abschließend, denn nach jedem erneuten Durchlesen und nach jedem fachlichen Gespräch fallen mir viele weitere Punkte auf, die, wenn sie schon vielleicht keine Ablehnung des Gesetzesvorhabens insgesamt, so doch wenigstens die Notwendigkeit einer gründlichen Überarbeitung nahelegen.

Die Verantwortung für das persönliche Ansehen von Heiko Maas in der Öffentlichkeit wird man ihm selbst und Sigmar Gabriel, der diesen Gesichtsverlust verursacht hat, nicht abnehmen können. Daran könnte auch ein weiteres „Durchpeitschen“ dieses vielleicht wirklich rundum gut gemeinten, aber insgesamt doch verunglückten Gesetzentwurfes durch das Parlament nichts ändern. Vorrangige Aufgabe der Abgeordneten des Deutschen Bundestages – in dieser Situation besonders derjenigen der SPD – ist es m.E. jedoch, die Freiheit ihres Mandates im Interesse unseres Landes und seiner Bevölkerung dafür zu nützen, ihrer gesetzgeberischen Verantwortung gerecht zu werden.

1 Kommentar zu „Gesetzentwurf zur Vorratsdatenspeicherung: Maas liefert Murks“

  • Blocher Eberhard:

    Sehr gute Zusammenfassung. Ich muß die unbedingt noch ausführlich lesen. Habe sie gerade erst mal überfolgen.

    Fragen

    1) Wenn neben der IP-Adresse jede Art von Kennung mitgespeichert werden muss (also auch etwa Port-Nummern, NATs etc.) und dazu noch („sowie“) jede andere möglicherweise vorhandene Benutzerkennung, die eine eineindeutige Identifizierung des Teilnehmers erlaubt: wieso soll das problematisch sein? Ich denke, wenn man das nicht macht, ergibt die VDS keinen Sinn. Gerade bei mobilen Internetverbindungen ist eine VDS ohne Port-Nummer witzlos, weil sie schlicht nichts aussagt.

    2) Wieso sind E-Mails von der VDS ausgeschlossen? Auch ohne E-Mails macht die VDS wenig Sinn, weil gerade diese oft strafrechtlich relevant sind.

    3) Ist eine Höchstspeicherfrist von 10 Wochen wirklich ausreichend? Nach aller Lebenserfahrung wären 6 Monate realistischer. So schnell schießen die Preussen (also die Polizeibeamten) nicht, und Richtigkeit geht bei diesen Ermittlungen jedenfalls immer vor Schnelligkeit. Gerade, wenn es sich um sensible Daten handelt, ist der Grundrechtsschutz der Bürger m.E. besser gewahrt, wenn die Ermittlungsbehörden ohne übermässigen Zeitdruck arbeiten können – 10 Wochen ist viel zu kurz!

Kommentieren

Sie müssen angemeldet sein, um kommentieren zu können.

Aus Veranstaltungen von ISOC.DE
  • Sicherheit zwischen Kryptographie und Überwachung
    2016 währed der IETF96 in Berlin
    Bringt mehr Überwachung mehr Sicherheit? Welche Rolle spielt Kryptographie für die Sicherheit im Netz? Gefährden Backdoors die Sicherheit?
  • Wer Macht das Internet?
    2013 gemeinsam mit dem Bundesministerium für Wirtschaft und Technologie
    Wer "macht" eigentlich tatsächlich das Internet und wem wächst damit welche “Macht” zu? Was ist die Rolle der Politik?
  • Wie das Netz nach Deutschland kam
    2006 gemeinsam mit dem Haus der Geschichte, Bonn
    Wo kommt das Internet in Deutschland her? Was passierte in den 80ern und frühen 90ern? Was waren die Diskussionen und Visionen?
ISOC.DE

Die Internet Society German Chapter e.V. (ISOC.DE e.V.) ist ein eingetragener Verein, der die Verbreitung des Internets in Deutschland fördert und dessen Entwicklung sowohl in technischer als auch in gesellschaftlicher Hinsicht begleitet.
Folgen Sie uns auf Twitter! Twitter-logo
Abonnieren Sie unseren RSS feed! RSS Logo

Your IP Address is: