Rechtsstaat außer Kontrolle: Unhaltbare Zustände bei der manuellen Bestandsdatenauskunft nach §113 TKG
1. Massive Sicherheitsprobleme in der Praxis der Auskunftsersuchen nach § 113 TKG
In der Praxis des Auskunftsverfahrens nach § 113 TKG liegen gravierende Sicherheitsprobleme vor. Ersuchen um Bestandsdaten nach §113 TKG enthalten sensible personenbezogene Informationen. Meist erhalten wir von den Polizeibehörden Ersuchen, in denen E-Mail-Adressen oder Namen in Verbindung mit einem konkreten Tatvorwurf genannt werden. Manchmal enthalten die Ersuchen auch vollständige Konto- bzw. Zahlungsdaten einer Person - oder Aktenzeichen der Ermittlungsbehörden.
Die Ermittlungsbehörden sind u.a. durch das BDSG gesetzlich dazu verpflichtet,
"zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können." (BDSG, Anlage, Satz 4)
Rechtswidrige, unsichere Übertragung sensibler Daten
Viele Ersuchen nach § 113 TKG erreichen uns per E-Mail - und werden uns unsicher bzw. unverschlüsselt übermittelt. Dieses Vorgehen verstößt gegen die oben genannten, geltenden Datenschutzbestimmungen und ist rechtswidrig. (Siehe u.a. BDSG § 9, Anlage, Satz 4 und 8 sowie die jeweiligen Regelungen zu den „technisch-organisatorischen Maßnahmen“ der Landesdatenschutzgesetze). Werden Ersuchen unverschlüsselt übermittelt, können sie auf ihrem Weg durch das Internet leicht in die Hände von Datendieben gelangen.
Viele Ersuchen nach § 113 TKG weisen darüber hinaus weitere Mängel auf, die ebenfalls Verstöße gegen datenschutzrechtliche Bestimmungen oder andere Gesetze darstellen. Dazu zählen:
- Zusenden polizeilicher Ersuchen an den Kunden-Support - und nicht an die zuständigen Personen (Anti-Abuse-Team).
- Verwenden nicht-dienstlicher E-Mail-Postfächer zum Übermitteln von Ersuchen, Angabe solcher Postfächer als Antwortmöglichkeit
- Ersuchen um Informationen und Daten, deren Herausgabe im Rahmen von Abfragen nach §113 TKG nicht zulässig ist, z.B. um Verkehrsdaten wie IP-Adressen
- fehlende Angabe einer sicheren Antwortmöglichkeit
- fehlende Angabe der Rechtsgrundlage der Abfrage (gesetzlich vorgeschrieben)
Galerie 1: Beispiele für unsicher übermittelte Behördenersuchen
Datenschützern ist das Problem bekannt
Ein großer Teil der Anfragen nach §113 TKG erreichen uns auf diese Weise (per unverschlüsselter E-Mail). Gelegentlich erreichen uns per E-Mail auch Ersuchen mit einem unverschlüsselten Dokument im Anhang, das fälschlicherweise als "Telefax-Nachricht" überschrieben ist. Wir haben uns erstmals im Januar 2015 bei den jeweils zuständigen Landesdatenschutzbeauftragten über die unsichere Übertragung sensibler Daten durch Polizeibehörden beschwert. Die Antworten der Datenschützer waren eindeutig: Das Problem der unsicheren Übermittlung sensibler Daten durch Polizeibehörden ist bekannt und immer wieder Anlass für Gespräche und Kontrollen. Die Antworten belegen, dass das unsichere Versenden sensibler Informationen durch Polizeibehörden ein Thema ist, bei dem dringender Handlungsbedarf besteht.
So schrieb uns der nordrhein-westfälische Datenschutzbeauftragte:
„Gegenüber dem Ministerium für Inneres und Kommunales des Landes Nordrhein-Westfalen (MIK NRW) habe ich wiederholt darauf hingewiesen, dass Anfragen in Ermittlungsverfahren grundsätzlich auf dem Postweg bzw. in begründeten Fällen auch per Fax erfolgen sollten. Wenn im Ausnahmefall eine Anfrage per E-Mail erforderlich sein sollte, so müsste entweder die Nachricht selbst verschlüsselt werden oder zumindest die Übermittlung personenbezogener Daten müsste in einem verschlüsselten Dateianhang erfolgen. Ihre Anfrage werde ich zum Anlass nehmen, diese Thematik nochmals gegenüber dem MIK NRW aufzugreifen und auf eine datenschutzgerechte Ausgestaltung der polizeilichen Ermittlungen hinzuwirken.“
(Vollständige Antwort: Siehe Galerie 2, weiter unten)
Und der bayerische Landesdatenschützer teilte uns mit:
„Nachdem die Übermittlung von personenbezogenen Daten in unverschlüsselten E-Mails durch sonstige Behörden oder durch die Polizei immer wieder Anlass für datenschutzrechtliche Überprüfungen gibt, habe ich mich mit diesem Thema bereits mehrmals in meinen Tätigkeitsberichten befasst. (…) Zudem kann ich Ihnen versichern, dass ich dieses Thema auch unabhängig von meinen konkreten Kontrollen mit den zuständigen Stellen der Polizei regelmäßig erörtere. So stehe ich derzeit mit dem Bayerischen Landeskriminalamt in Kontakt, um die Ausgestaltung des dort betriebenen Abrufverfahrens bei Telekommunikationsdiensten zu überprüfen.“
(Vollständige Antwort: Siehe Galerie 2, weiter unten)
Der mecklenburgische Datenschutzbeauftragte wurde ebenfalls aktiv:
„Ich habe die betreffende Dienststelle kontaktiert und sie auf ihre Umsetzung von datenschutzrechtlichen Maßnahmen hingewiesen, damit Sie in Zukunft Anfragen nach § 113 TKG auf sicherem Wege erreichen und die Rechte des Betroffenen damit nicht verletzt werden. Ebenfalls habe ich das Ministerium für Inneres und Sport Meckelnburg-Vorpommern auf diesen Missstand aufmerksam gemacht. Das Ministerium (...) versicherte mir, die Beamtinnen und Beamten hinsichtlich des richtigen Umgangs mit personenbezogenen Daten und des Umgangs mit TKÜ-Abfragen nach § 113 TKG erneut zu sensiblisieren. “
(Vollständige Antwort: Siehe Galerie 2, weiter unten)
Und der sächsische Datenschutzbeauftragte setzte dem Landespolizeipräsidenten gar ein Ultimatum:
„Wir unterstützen Ihr Anliegen unbedingt. Ich habe deshalb mit heutiger Post den Landespolizeipräsidenten mit der Bitte um Abhilfe angeschrieben und ihn gebeten, bis zum 15.04.2015 mitzuteilen, welche Abhilfemaßnahmen er ergriffen hat.“
(Vollständige Antwort: Siehe Galerie 2, weiter unten)
Die Antworten der Landesdatenschützer an uns belegen, dass die unverschlüsselten Ersuchen ein dort bekanntes Problem sind. Wenn Polizeibehörden sensible Daten, zum Beispiel im Rahmen von Ersuchen nach §113 TKG, unverschlüsselt durch das Internet senden, ist dies übrigens nicht nur ein Problem aus Datenschutzsicht: Es ist auch rechtswidrig, verletzt die Rechte des Betroffenen und gefährdet möglicherweise laufende Ermittlungen. Denn Datendiebe können so leicht an die Ersuchen bzw. die Behörden-Kommunikation gelangen.
In einigen Fällen haben wir die Bürokratie als sehr schwerfällig erlebt. So antwortete uns der Berliner Datenschutzbeauftragte nach fünf Monaten zu einem Fall zurück:
„Leider konnte die Angelegenheit bislang noch nicht abschließend geklärt werden.“
Einige Monate zuvor hatte er uns bereits schriftlich mitgeteilt, dass er die Polizei um Informationen zu allgemeinen Vorgaben zu Auskunftsersuchen bzw. zur Versendung personenbezogener Daten gebeten habe.
Fazit: Wir nehmen an, dass insgesamt und flächendeckend Sicherheitsprobleme in der Praxis der manuellen Bestandsdatenauskunft (nach § 113 TKG) bestehen. Bei Posteo ist zumindest per E-Mail noch kein einziges Ersuchen von Polizeibehörden eingegangen, das verschlüsselt gewesen wäre und somit den gesetzlichen Anforderungen an die sichere Übermittlung entsprochen hätte.
Und die Antworten der Datenschützer haben uns bestätigt, dass nicht nur wir betroffen sind.
Galerie 2: Vollständige Antworten von Landesdatenschutzbeauftragten
Beschwerden führen nicht zu Abhilfe
Leider haben unsere Beschwerden bisher noch nicht zu einer Abhilfe geführt. Uns wurden auch im Laufe der Jahre 2015 und 2016 weiterhin alle Ersuchen, die per E-Mail eingingen, unsicher übermittelt. Auch aus Bundesländern, deren Landesdatenschutzbeauftragte sich besonders engagiert gezeigt hatten. Wir fragen uns deshalb, wie Abhilfe geschaffen werden kann. Wenn Beamte nicht ausreichend auf den sicheren Umgang mit sensiblen Daten und IT-Technik geschult sind, stellt dies ein grundlegendes Sicherheitsproblem in der Polizeiarbeit dar.
Wir werden den Datenschutzbeauftragten weiterhin regelmäßiges Feedback aus der Praxis geben und sie über jedes unverschlüsselt übermittelte Ersuchen informieren, das uns erreicht.
Wir sehen die Sicherheit des Verfahrens in der Praxis derzeit nicht gewährleistet. Deshalb haben wir uns auch an die Politik gewandt. Es ist schließlich nicht Aufgabe der Provider, das rechtsstaatliche Handeln der Behörden zu überprüfen oder darauf hinzuwirken. Das muss der Staat selbst leisten und sicherstellen. Im Juli 2015 haben wir bei einem Termin im Posteo Lab dem Vorsitzenden der SPD-Fraktion, Thomas Oppermann, eine Stellungnahme hierzu übergeben. Thomas Oppermann schrieb daraufhin den Bundesinnenminister, Thomas de Maiziere, an. Der Bundesinnenminister räumte in seiner Antwort an Thomas Oppermann Rechtsverstöße in der Praxis ein. Er erklärte jedoch, das BKA würde nur dann im Klartext Bestandsdaten begehren, wenn beim Provider keine Verschlüsselung für die E-Mail-Kommunikation möglich sei oder es die bei der Polizeibehörde genutzten Methoden nicht unterstütze. Die Aussagen des Ministers sind bemerkenswert. Offenbar hält er Rechtsverstöße unter bestimmten Umständen hier für gerechtfertigt. Auch treffen seine Aussagen nicht zu: Wir stellen z.B. die notwendigen Schlüssel zur sicheren Kommunikation auf unserer Website bereit. Mit uns ist eine verschlüsselte Kommunikation zweifellos möglich. Dennoch haben wir bereits mehrere Ersuchen des BKA erhalten, die alle unsicher übermittelt wurden. Jede unsichere Übermittlung ist ein Verstoß gegen das BDSG. Strafverfolger müssen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Bietet ein Provider keine Möglichkeit zur verschlüsselten Kommunikation an, ist der Fax- oder Postweg zu verwenden. Die Sicherheit von Behörden-Kommunikation muss dringend verbessert werden, sonst können Datendiebe und Hacker sie leicht erbeuten.
2. Unzulässige Ersuchen nach dynamischen IP-Adressen
Um in das nächste Problemfeld einzuführen, das wir in der Praxis von Abfragen nach §113 TKG sehen, bleiben wir gleich in der Politik: Bereits im Januar 2013 hatte sich der SPD-Abgeordnete Burkhard Lischka mit einer schriftlichen Anfrage an die Bundesregierung gewandt. Er fragte, ob der Bundesregierung bekannt sei,
„dass in der Praxis zahllose auf § 113 des Telekommunikationsgesetzes (TKG) gestützte Auskunftsersuchen die Herausgabe von Daten zum Gegenstand haben, die keine Bestandsdaten sind (z. B. Log Files, dynamische IP-Adressen, (...)“.
Anfrage an die Bundesregierung (ab Seite 7, Fragen 12, 13 und 14)
Und er fügte hinzu:
„Wenn ja, welche Behörden betreiben diese rechtswidrige Praxis, und was unternimmt die Bundesregierung, um dies abzustellen?“
Der Hintergrund seiner Anfrage: Einige Monate zuvor hatte der Bundesverband der Informationswirtschaft, BITKOM, in einer Stellungnahme an den Rechtsausschuss des Deutschen Bundestages wie folgt auf Missstände bei der Bestandsdatenauskunft aufmerksam gemacht:
„In der Praxis sind zahllose, auf § 113 TKG gestützte Auskunftsersuchen bekannt, die die Herausgabe von Daten zum Gegenstand haben, die gerade keine Bestandsdaten sind (z.B. log-files, IP-Adressen, Datum und Uhrzeit des letzten Zugriffs auf einen Account, bekannte E-Mail-Adressen des Betroffenen bei anderen Providern, Identität der Behörden, die bereits nach denselben Bestandsdaten gefragt haben, etc..). Daraus folgt, dass die Anbieter bereits heute mit zahlreichen Anfragen umzugehen haben, die der Ausforschung dienen und weit über den Regelungsgehalt der Norm hinausgehen.“
Stellungnahme des BITKOM vom 17.10.2012
Zur Erklärung: Der BITKOM hatte beanstandet, dass Behörden im Rahmen von Bestandsdatenabfragen (nach § 113 TKG) häufig nach Daten ersuchen, deren Herausgabe bei solchen Abfragen überhaupt nicht rechtmäßig ist. Behörden dürfen bei Abfragen nach §113 TKG, für die kein Richtervorbehalt existiert, nämlich ausschliesslich um Bestandsdaten ersuchen - also etwa um Namen und Adressen. Nicht aber nach dynamischen IP-Adressen oder Logfiles; diese hochsensiblen Verkehrsdaten unterliegen dem Fernmeldegeheimnis und dürfen nur auf Anordnung eines Richters herausgegeben werden.
In ihrer Antwort vom 28.01.2013 wies die Bundesregierung die Aussagen des BITKOM als „Behauptungen“ zurück:
„Der Bundesregierung sind – abgesehen von der in der Fragestellung zitierten Behauptung in der Stellungnahme des BITKOM – keine derartigen Vorwürfe bekannt.“
Antwort der Bundesregierung (ab Seite 7, Fragen 12, 13 und 14)
Die Bundesregierung habe die vom BITKOM erhobenen Vorwürfe allerdings zum Anlass genommen, verschiedene Ermittlungsbehörden hierzu zu befragen. Und sie konstatierte:
„Die Ergebnisse der Abfrage haben keine Anhaltspunkte für rechtswidrige Anfragen ergeben.“
Behörden ersuchen rechtswidrig um dynamische IP-Adressen
Wir können die "Behauptungen" des BITKOM bestätigen: In ca. 30% aller Ersuchen von Polizeibehörden, die uns in den Jahren 2014 - 2016 im Rahmen von Bestandsdatenabfragen nach § 113 TKG erreichten, fragten Polizeibeamte rechtswidrig nach dynamischen IP-Adressen der Anmeldungen bzw. nach der IP-Adresse des letzten Logins.
Als Beleg veröffentlichen wir hier fortlaufend Beispiele solcher rechtswidriger Ersuchen (geschwärzt): Die Originale liegen bei Posteo schriftlich vor. In ihnen wird auch deutlich, dass Beamte nicht nur rechtswidrig um die Herausgabe von IP-Adressen ersuchen, sondern sogar gelegentlich verlangen, diese gesondert für ihre Ermittlungen zu erheben und zu speichern. Dies ist ebenfalls nicht zulässig.
Galerie 3: Beispiele für unzulässige Behördenersuchen um IP-Adressen
Wir finden es erstaunlich, dass die Bundesregierung sich im Januar 2013 offenbar nicht über den BITKOM an die Unternehmen gewandt hat, denen solche rechtswidrigen Anfragen schriftlich vorliegen. Die Bundesregierung hätte sich unserer Ansicht nach direkt bei den Unternehmen informieren und ggf. geeignete Abhilfemaßnahmen treffen müssen. Dass sie dies unterlassen hat, obwohl sie von einem großen deutschen Branchenverband über rechtswidrige Praktiken von Behörden informiert wurde, ist für uns völlig unverständlich. Stattdessen wurden offenbar lediglich Behörden befragt und die Aussagen des Hightechverbandes wurden als Behauptungen bezeichnet. Wenn Hinweise auf rechtswidrige Praktiken der Exekutive bestehen, sollte diesen in einem Rechtsstaat ernsthafter nachgegangen werden.
Bundesregierung im Jahr 2015 erneut befragt
Der Bundestagsabgeordnete Dieter Janecek (der wirtschaftspolitische Sprecher der Fraktion der Grünen), hat die Bundesregierung im Sommer 2015 erneut zu diesem Thema befragt. Er wollte wissen, ob sie bei ihrer Einschätzung bleibt. In seiner Frage verwies der Abgeordnete auf die Stellungnahme des BITKOM sowie auf den Posteo-Transparenzbericht.
Das Bundesinnenministerium erklärte in seiner Antwort:
"Der Bundesregierung liegen weiterhin keine Anhaltspunkte für rechtswidrige Anfragen vor." Und es fügte hinzu: "Üblicherweise unterrichten die zuständigen Datenschutzkontrollinstanzen auch die obersten Bundesbehörden über von ihnen festgestellte Verstöße gegen Datenschutzbestimmungen. Darüber hinausgehender Verfahren bedarf es nach Ansicht der Bundesregierung nicht.
Antwort der Bundesregierung vom 19.08.2015
Datenschützer reagierten auf Beschwerden zur IP-Adressen-Problematik nicht
Evtl. besteht hier ein Kommunikations-Problem zwischen den Datenschützern und der Bundesregierung: Denn wir hatten uns in allen Fällen, in denen Polizeibeamte unrechtmäßig nach IP-Adressen ersuchten, bei den jeweiligen Landesdatenschutzbeauftragten beschwert. In ihren Antworten ging aber keiner der Datenschützer auf unsere diesbezüglichen Beschwerden ein. Offenbar wurden unsere Beschwerden auch nicht an die "obersten Bundesbehörden" weitergegeben, wie es nach Aussage des BMI sonst üblich sein soll. Es handelt sich bei rechtswidrigen Ersuchen um IP-Adressen aber auch nicht um "Verstöße gegen Datenschutzbestimmungen". Das Ersuchen um IP-Adressen bei Bestandsdatenauskünften ist nach dem Telekommunikationsgesetz (TKG) rechtswidrig. Betroffen sind nicht nur Landespolizeibehörden. Auch von Ermittlungsbehörden des Bundes haben wir bereits solche rechtswidrigen Ersuchen erhalten.
Unser Fazit: Die Bundesregierung interessiert es offenbar überhaupt nicht, ob bei der Bestandsdatenauskunft rechtswidrige Praktiken oder Sicherheitsprobleme bestehen. Das Bundesinnenministerium bleibt seit Jahren untätig. Da durch solche Anfragen die Rechte von Bürgerinnen und Bürgern regelmäßig verletzt werden, ist dies unserer Ansicht nach verantwortungslos.
Auseinandersetzungen wegen IP-Adressen-Problematik
Gerade in Fällen, in denen im Rahmen von Abfragen nach §113 TKG bei Posteo rechtswidrig um Verkehrsdaten ersucht wurde, ist es in der Folge wiederholt zu Situationen gekommen, in denen wir uns unter Druck gesetzt und bedroht sahen. Wir gehen stets so vor, dass wir die Beamten auf die geltende Rechtslage verweisen. Wir weisen sie darauf hin, dass wir uns mit dem Herausgeben von Verkehrsdaten bei Abfragen nach §113 TKG strafbar machen würden (siehe § 206 StGB) und für die Herausgabe von Verkehrsdaten ein richterlicher Beschluss vorliegen muss. Wir erläutern den Beamten, dass sie im Rahmen einer Abfrage nach § 113 TKG nur anhand einer IP-Adresse, die ihnen bereits bekannt ist, nach Bestandsdaten ersuchen dürfen. Dass die umgekehrte Auskunft nicht zulässig ist, ist Beamten häufig nicht bekannt.
Einige reagieren auf diese Information verwundert bis aufgebracht. Uns gegenüber haben Beamte bereits wiederholt behauptet, bei anderen Verpflichteten problemlos auch im Rahmen von Abfragen nach § 113 TKG IP-Adressen zu erhalten. Ob dies zutrifft oder wir nur verunsichert werden sollten, wissen wir nicht. Was wir aber belegen können: Polizeibeamte ersuchen bei Abfragen nach § 113 TKG regelmäßig und mit einer großen Selbstverständlichkeit schriftlich um Verkehrsdaten (siehe Bildergalerie mit Beispielen). Deshalb halten wir es für durchaus möglich, dass die Rechtsvorschriften in der Auskunftspraxis auch von den Verpflichteten (z.B. von Unternehmen) nicht immer beachtet werden.
Ein möglicher Grund hierfür könnte sein, dass der Kreis der zur Auskunft nach §113 TKG Verpflichteten sehr groß ist - und nicht auf Telekommunikationsanbieter beschränkt. Viele der Verpflichteten verfügen ggf. nicht über die notwendigen Rechtskenntnisse, um rechtswidrige Abfragen korrekt als solche identifizieren zu können.
Folge: Hohe Anwaltskosten
Uns sind durch eskalierte, unrechtmäßige Forderungen nach IP-Adressen wiederholt enorme Anwaltskosten und insgesamt ein finanzieller Schaden im mittleren fünfstelligen Bereich entstanden. Zum Beispiel, um "Schutzschriften" bei Gerichten zu hinterlegen, für die Korrespondenz mit Ermittlungsbeamten, Rechtsberatung etc.. In einem Fall haben wir Ermittlungsbeamte, die uns sogar persönlich aufgesucht hatten, angezeigt. Die Staatsanwaltschaft gab unseren Anzeigen allerdings keine Folge - wie unsere Anwälte uns schon vorab in Aussicht gestellt hatten. Sie erklärte, unsere Anzeige sei schlichtweg falsch und stellte das Verfahren gegen die Beamten ohne weitere Ermittlungen gegen diese ein. Stattdessen beantragte sie einen Strafbefehl wegen "falscher Verdächtigung", den das Gericht auch erlassen hat. Der Geschäftsführer von Posteo, Patrik Löhr, wurde zur Zahlung einer Geldstrafe verpflichtet. Den hohen Anwaltskosten steht gegenüber, dass wir theoretisch für jede Bestandsdatenabfrage nach § 113 TKG achtzehn Euro vom Staat für unseren Aufwand zurückerhalten könnten. Von dieser Möglichkeit machen wir jedoch keinen Gebrauch. Wir nehmen als datenschutzorientiertes Unternehmen grundsätzlich kein Geld von Behörden für Abfragen von Kundendaten an.
Abfragen nach §113 TKG werden mit Wiedereinführung der Vorratsdatenspeicherung an Bedeutung gewinnen
Wir haben aufgezeigt, dass die Sicherheit des Verfahrens derzeit nicht gewährleistet ist und dass Behörden bei Abfragen nach §113 TKG bei Posteo regelmäßig rechtswidrig um Verkehrsdaten wie dynamische IP-Adressen ersuchen. Außerdem haben wir dargelegt, dass das Problem der unsicheren Übermittlung den Landesdatenschutzbeauftragten bekannt ist. Des weiteren haben wir darauf hingewiesen, dass der Branchenverband BITKOM die Bundesregierung bereits 2012 auf zahllose rechtswidrige Ersuchen bei Abfragen nach § 113 TKG aufmerksam gemacht hatte.
Angesichts der Verfahrensmängel möchten wir hiermit darauf aufmerksam machen, dass das Verfahren nach §113 TKG mit der Vorratsdatenspeicherung ("Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten") an Bedeutung gewinnen wird. Das Gesetz wird eine starke Vergrößerung der für die Bestandsdatenauskunft zur Verfügung stehenden Datenmengen bewirken.
Eine begehrte Auskunft: Mit Abfragen nach §113 TKG werden Internetnutzer identifiziert
Berechtigte Stellen werden über das Verfahren künftig viel häufiger die Information erhalten können, welcher Person zu einem bestimmten Zeitpunkt eine dynamische IP-Adresse zugewiesen war. Ein Beispiel: Ein Beamter tritt mit einer IP-Adresse an einen Provider heran und möchte wissen, welche Person sich hinter der Adresse verbirgt. Der Provider gleicht die IP-Adresse mit den IP-Daten ab, die in seinen Datenbanken für die Vorratsdatenspeicherung vorgehalten werden. Dies ist dem Provider ohne richterlichen Beschluss erlaubt. Dem Beamten muss er dann mitteilen, welche Person hinter einer IP-Adresse steht (noch einmal: nicht umgekehrt). Eine sehr begehrte Auskunft, für deren Abfrage kein Richtervorbehalt vorgesehen ist und die bereits bei Ordnungswidrigkeiten eingeholt werden kann.
Wir gehen deshalb davon aus, dass sich die Anzahl der Abfragen nach § 113 TKG, und somit auch die Anzahl der unsicheren bzw. rechtswidrigen Abfragen, mit der Einführung des neuen Gesetzes stark erhöhen wird. Für diese Annahme gibt es einen weiteren Grund: Der Abgleich von IP-Daten und die anschließende Herausgabe von Bestandsdaten kann nur über das manuelle Auskunftsverfahren nach §113 TKG erfolgen. Über das automatisierte Verfahren nach §112 TKG ist dies nicht möglich.
Anzahl rechtswidriger Abfragen würde sich deutlich erhöhen
Wir sind der Ansicht, dass das Auskunftsverfahren nach § 113 TKG mit seinen derzeitigen offenkundigen Praxismängeln hierfür keinesfalls geeignet ist. Schon heute wird durch das Verfahren eine große Zahl sensibler Bürgerdaten unsicher übertragen und es kommt zu zahlreichen rechtswidrigen Abfragen durch Behörden.
Auch die Kontrolle des Verfahrens ist nicht ausreichend: Es existieren unseres Wissens nach aktuell nicht einmal Statistik-Pflichten für Abfragen nach §113 TKG. Somit könnte nicht einmal evaluiert werden, wie sich die Einführung des Gesetzes zur Vorratsdatenspeicherung konkret auf die Anzahl der Abfragen auswirkt - und der Öffentlichkeit würde die Anzahl der Abfragen durch staatliche Stellen auch im Nachhinein nicht bekannt werden.
Bundesregierung muss handeln: Von Einführung der Vorratsdatenspeicherung muss abgesehen werden
Es ist auf keinen Fall hinnehmbar, dass sensible Daten der Bürgerinnen und Bürger weiterhin durch Behörden ungesichert durch das Internet gesendet bzw. abgefragt werden oder dass dynamische IP-Adressen, die dem Fernmeldegeheimnis unterliegen, auf einfache Anfragen nach §113 TKG ohne richterlichen Beschluss herausgegeben werden. Unserer Ansicht nach dürfen deshalb auch keine neuen Gesetze oder Richtlinien eingeführt werden, die die Anzahl der rechtswidrigen und unsicheren Ersuchen noch einmal erhöhen würden.
Deshalb fordern wir, dass die Bundesregierung schnellstmöglich Maßnahmen trifft, die dazu geeignet sind sicherzustellen, dass die Abfrage bzw. Übertragung von sensiblen Bürgerdaten durch Behörden nach §113 TKG grundsätzlich auf einem sicheren Wege (keine proprietären Lösungen) und auch sonst gemäß der gesetzlichen Bestimmungen erfolgt – und wenn sie per E-Mail erfolgt, dann ausschliesslich per verschlüsselter E-Mail. Darüber hinaus fordern wir, dass die Bundesregierung schnellstmöglich Maßnahmen trifft, die sicherstellen, dass im Rahmen von Bestandsdatenabfragen nicht mehr rechtswidrig nach Verkehrsdaten ersucht wird oder um andere Informationen, die weit über den Regelungsgehalt der Norm hinausgehen.
Wir sind der Auffassung, dass hier offenkundiger Bedarf besteht, Prozesse insgesamt in organisatorischer Hinsicht dahingehend anzupassen, dass eine datenschutzgerechte und rechtsstaatkonforme Ausgestaltung des Auskunftsverfahrens in Zukunft sichergestellt werden kann. Hierfür schlagen wir unter anderem das Einführen von Berichtspflichten vor (siehe Abschnitt zur Kontrolle der Auskunftsverfahren).
Bis diesbezüglich Abhilfe geschaffen wurde, ist eine Vorratsdatenspeicherung ("Einführung des Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten") unserer Ansicht nach alleine schon deshalb nicht vertretbar, da sie in der Praxis die Anzahl der unsicheren und unzulässigen Datenübermittlungen und der Rechtsbrüche im Rahmen des Auskunftsverfahrens nach §113 TKG noch weiter erhöhen wird.
Unabhängig davon lehnen wir die Wiedereinführung der Vorratsdatenspeicherung auch aus vielen weiteren Gründen insgesamt und mit Nachdruck ab, wie z.B. aus Gründen des Datenschutzes und der Datensicherheit sowie aufgrund der mit ihr einhergehenden verdachtsunabhängigen Grundrechtseinschränkungen, die wir für nicht vertretbar halten. Bitte lesen Sie hierzu auch unsere Ausführungen zum Kontrollinstrument des Richtervorbehaltes, das wir in diesem Bericht ebenfalls kritisieren. Zwar sind E-Mailanbieter von der Vorratsdatenspeicherung ausgenommen. Das Gesetz wird E-Mail-Anbieter wie Posteo bei Abfragen nach § 113 TKG allerdings mit noch mehr rechtswidrigen Abfragen und den damit einhergehenden Bürokratie- und Anwaltskosten konfrontieren.
Desweiteren fordern wir, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) als unabhängige Bundesbehörde aus dem Geschäftsbereich des Bundesinnenministeriums (BMI) herausgelöst wird, damit das BSI ein unabhängiger Ansprechpartner in Sicherheitsfragen sein kann.
