In der Praxis des Auskunftsverfahrens nach § 113 TKG liegen gravierende Sicherheitsprobleme vor. Ersuchen um
Bestandsdaten nach §113 TKG enthalten sensible personenbezogene Informationen. Meist erhalten wir von den
Polizeibehörden Ersuchen, in denen E-Mail-Adressen oder Namen in Verbindung mit einem konkreten Tatvorwurf
genannt werden. Manchmal enthalten die Ersuchen auch vollständige Konto- bzw. Zahlungsdaten einer Person -
oder Aktenzeichen der Ermittlungsbehörden.
Die Ermittlungsbehörden sind u.a. durch das BDSG gesetzlich dazu verpflichtet,
"zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres
Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt
werden können." (BDSG, Anlage, Satz 4)
Viele Ersuchen nach § 113 TKG erreichen uns per E-Mail - und werden uns unsicher bzw. unverschlüsselt
übermittelt. Dieses Vorgehen verstößt gegen die oben genannten, geltenden Datenschutzbestimmungen und ist
rechtswidrig. (Siehe u.a. BDSG § 9, Anlage, Satz 4 und 8 sowie die jeweiligen Regelungen zu den
„technisch-organisatorischen Maßnahmen“ der Landesdatenschutzgesetze). Werden Ersuchen unverschlüsselt
übermittelt, können sie auf ihrem Weg durch das Internet leicht in die Hände von Datendieben gelangen.
Viele Ersuchen nach § 113 TKG weisen darüber hinaus weitere Mängel auf, die ebenfalls Verstöße gegen
datenschutzrechtliche Bestimmungen oder andere Gesetze darstellen. Dazu zählen:
- Zusenden polizeilicher Ersuchen an den Kunden-Support - und nicht an die zuständigen Personen
(Anti-Abuse-Team).
- Verwenden nicht-dienstlicher E-Mail-Postfächer zum Übermitteln von Ersuchen, Angabe solcher Postfächer als
Antwortmöglichkeit
- Ersuchen um Informationen und Daten, deren Herausgabe im Rahmen von Abfragen nach §113 TKG nicht zulässig
ist, z.B. um Verkehrsdaten wie IP-Adressen
- fehlende Angabe einer sicheren Antwortmöglichkeit
- fehlende Angabe der Rechtsgrundlage der Anfrage (gesetzlich vorgeschrieben)
Ein großer Teil der Anfragen nach §113 TKG erreichen uns auf diese Weise (per unverschlüsselter E-Mail).
Gelegentlich erreichen uns per E-Mail auch Ersuchen mit einem unverschlüsselten Dokument im Anhang, das
fälschlicherweise als "Telefax-Nachricht" überschrieben ist. Wir haben uns erstmals im Januar 2015 bei den
jeweils zuständigen Landesdatenschutzbeauftragten über die unsichere Übertragung sensibler Daten durch
Polizeibehörden beschwert. Die Antworten der Datenschützer waren eindeutig: Das Problem der unsicheren
Übermittlung sensibler Daten durch Polizeibehörden ist bekannt und immer wieder Anlass für Gespräche und
Kontrollen. Die Antworten belegen, dass das unsichere Versenden sensibler Informationen durch Polizeibehörden
ein Thema ist, bei dem dringender Handlungsbedarf besteht.
So schrieb uns der nordrhein-westfälische Datenschutzbeauftragte:
„Gegenüber dem Ministerium für Inneres und Kommunales des Landes Nordrhein-Westfalen (MIK NRW) habe ich
wiederholt darauf hingewiesen, dass Anfragen in Ermittlungsverfahren grundsätzlich auf dem Postweg bzw. in
begründeten Fällen auch per Fax erfolgen sollten. Wenn im Ausnahmefall eine Anfrage per E-Mail erforderlich
sein sollte, so müsste entweder die Nachricht selbst verschlüsselt werden oder zumindest die Übermittlung
personenbezogener Daten müsste in einem verschlüsselten Dateianhang erfolgen. Ihre Anfrage werde ich zum
Anlass nehmen, diese Thematik nochmals gegenüber dem MIK NRW aufzugreifen und auf eine datenschutzgerechte
Ausgestaltung der polizeilichen Ermittlungen hinzuwirken.“
(Vollständige Antwort: Siehe Galerie 2, weiter unten)
Und der bayerische Landesdatenschützer teilte uns mit:
„Nachdem die Übermittlung von personenbezogenen Daten in unverschlüsselten E-Mails durch sonstige Behörden
oder durch die Polizei immer wieder Anlass für datenschutzrechtliche Überprüfungen gibt, habe ich mich mit
diesem Thema bereits mehrmals in meinen Tätigkeitsberichten befasst. (…) Zudem kann ich Ihnen versichern,
dass ich dieses Thema auch unabhängig von meinen konkreten Kontrollen mit den zuständigen Stellen der
Polizei regelmäßig erörtere. So stehe ich derzeit mit dem Bayerischen Landeskriminalamt in Kontakt, um die
Ausgestaltung des dort betriebenen Abrufverfahrens bei Telekommunikationsdiensten zu überprüfen.“
(Vollständige Antwort: Siehe Galerie 2, weiter unten)
Der mecklenburgische Datenschutzbeauftragte wurde ebenfalls aktiv:
„Ich habe die betreffende Dienststelle kontaktiert und sie auf ihre Umsetzung von datenschutzrechtlichen
Maßnahmen hingewiesen, damit Sie in Zukunft Anfragen nach § 113 TKG auf sicherem Wege erreichen und die
Rechte des Betroffenen damit nicht verletzt werden. Ebenfalls habe ich das Ministerium für Inneres und Sport
Meckelnburg-Vorpommern auf diesen Missstand aufmerksam gemacht. Das Ministerium (...) versicherte mir, die
Beamtinnen und Beamten hinsichtlich des richtigen Umgangs mit personenbezogenen Daten und des Umgangs mit
TKÜ-Abfragen nach § 113 TKG erneut zu sensiblisieren. “
(Vollständige Antwort: Siehe Galerie 2, weiter unten)
Und der sächsische Datenschutzbeauftragte setzte dem Landespolizeipräsidenten gar ein Ultimatum:
„Wir unterstützen Ihr Anliegen unbedingt. Ich habe deshalb mit heutiger Post den Landespolizeipräsidenten
mit der Bitte um Abhilfe angeschrieben und ihn gebeten, bis zum 15.04.2015 mitzuteilen, welche
Abhilfemaßnahmen er ergriffen hat.“
(Vollständige Antwort: Siehe Galerie 2, weiter unten)
Die Antworten der Landesdatenschützer an uns belegen, dass die unverschlüsselten Ersuchen ein dort bekanntes
Problem sind. Wenn Polizeibehörden sensible Daten, zum Beispiel im Rahmen von Ersuchen nach §113 TKG,
unverschlüsselt durch das Internet senden, ist dies übrigens nicht nur ein Problem aus Datenschutzsicht: Es
ist auch rechtswidrig, verletzt die Rechte des Betroffenen und gefährdet möglicherweise laufende Ermittlungen.
Denn Datendiebe können so leicht an die Ersuchen bzw. die Behörden-Kommunikation gelangen.
In einigen Fällen haben wir die Bürokratie als sehr schwerfällig erlebt. So antwortete uns der Berliner
Datenschutzbeauftragte nach fünf Monaten zu einem Fall zurück:
„Leider konnte die Angelegenheit bislang noch nicht abschließend geklärt werden.“
Einige Monate zuvor hatte er uns bereits schriftlich mitgeteilt, dass er die Polizei um Informationen zu
allgemeinen Vorgaben zu Auskunftsersuchen bzw. zur Versendung personenbezogener Daten gebeten habe.
Fazit: Wir nehmen an, dass insgesamt und flächendeckend Sicherheitsprobleme in der
Praxis der manuellen Bestandsdatenauskunft (nach § 113 TKG) bestehen. Bei Posteo ist zumindest per E-Mail noch
kein einziges Ersuchen von Polizeibehörden eingegangen, das verschlüsselt gewesen wäre und somit den
gesetzlichen Anforderungen an die sichere Übermittlung entsprochen hätte.
Und die Antworten der Datenschützer haben uns bestätigt, dass nicht nur wir betroffen sind.
Leider haben unsere Beschwerden bisher noch nicht zu einer Abhilfe geführt. Uns wurden auch im Laufe der
Jahre 2015 und 2016 weiterhin alle Ersuchen, die per E-Mail eingingen, unsicher übermittelt. Auch aus
Bundesländern, deren Landesdatenschutzbeauftragte sich besonders engagiert gezeigt hatten. Wir fragen uns
deshalb, wie Abhilfe geschaffen werden kann. Wenn Beamte nicht ausreichend auf den sicheren Umgang mit
sensiblen Daten und IT-Technik geschult sind, stellt dies ein grundlegendes Sicherheitsproblem in der
Polizeiarbeit dar.
Wir werden den Datenschutzbeauftragten weiterhin regelmäßiges Feedback aus der Praxis geben und sie über
jedes unverschlüsselt übermittelte Ersuchen informieren, das uns erreicht.
Wir sehen die Sicherheit des Verfahrens in der Praxis derzeit nicht gewährleistet. Deshalb haben wir uns auch
an die Politik gewandt. Es ist schließlich nicht Aufgabe der Provider, das rechtsstaatliche Handeln der
Behörden zu überprüfen oder darauf hinzuwirken. Das muss der Staat selbst leisten und sicherstellen. Im Juli
2015 haben wir bei einem Termin im Posteo Lab dem Vorsitzenden der SPD-Fraktion, Thomas Oppermann, eine
Stellungnahme hierzu übergeben. Thomas Oppermann schrieb daraufhin den Bundesinnenminister, Thomas de
Maiziere, an. Der Bundesinnenminister räumte in seiner Antwort an Thomas Oppermann Rechtsverstöße in der Praxis ein. Er erklärte jedoch, das
BKA würde nur dann im Klartext Bestandsdaten begehren, wenn beim Provider keine Verschlüsselung für die
E-Mail-Kommunikation möglich sei oder es die bei der Polizeibehörde genutzten Methoden nicht unterstütze.
Die Aussagen des Ministers sind bemerkenswert. Offenbar hält er Rechtsverstöße unter bestimmten Umständen hier
für gerechtfertigt. Auch treffen seine Aussagen nicht zu: Wir stellen z.B. die notwendigen Schlüssel zur
sicheren Kommunikation auf unserer Website bereit. Mit uns ist eine verschlüsselte Kommunikation zweifellos
möglich. Dennoch haben wir bereits mehrere Ersuchen des BKA erhalten, die alle unsicher übermittelt wurden.
Jede unsichere Übermittlung ist ein Verstoß gegen das BDSG. Strafverfolger müssen gewährleisten, dass
personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung
auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Bietet ein Provider
keine Möglichkeit zur verschlüsselten Kommunikation an, ist der Fax- oder Postweg zu verwenden. Die Sicherheit
von Behörden-Kommunikation muss dringend verbessert werden, sonst können Datendiebe und Hacker sie leicht
erbeuten.
Um in das nächste Problemfeld einzuführen, das wir in der Praxis von Abfragen nach §113 TKG sehen, bleiben
wir gleich in der Politik: Bereits im Januar 2013 hatte sich der SPD-Abgeordnete Burkhard Lischka mit einer
schriftlichen Anfrage an die Bundesregierung gewandt. Er fragte, ob der Bundesregierung bekannt sei,
„dass in der Praxis zahllose auf § 113 des Telekommunikationsgesetzes (TKG) gestützte Auskunftsersuchen die
Herausgabe von Daten zum Gegenstand haben, die keine Bestandsdaten sind (z. B. Log Files, dynamische
IP-Adressen, (...)“.
Anfrage an die
Bundesregierung (ab Seite 7, Fragen 12, 13 und 14)
Und er fügte hinzu:
„Wenn ja, welche Behörden betreiben diese rechtswidrige Praxis, und was unternimmt die Bundesregierung, um
dies abzustellen?“
Der Hintergrund seiner Anfrage: Einige Monate zuvor hatte der Bundesverband der Informationswirtschaft,
BITKOM, in einer Stellungnahme an den Rechtsausschuss des Deutschen Bundestages wie folgt auf
Missstände bei der Bestandsdatenauskunft aufmerksam gemacht:
„In der Praxis sind zahllose, auf § 113 TKG gestützte Auskunftsersuchen bekannt, die die Herausgabe von
Daten zum Gegenstand haben, die gerade keine Bestandsdaten sind (z.B. log-files, IP-Adressen, Datum und
Uhrzeit des letzten Zugriffs auf einen Account, bekannte E-Mail-Adressen des Betroffenen bei anderen
Providern, Identität der Behörden, die bereits nach denselben Bestandsdaten gefragt haben, etc..). Daraus
folgt, dass die Anbieter bereits heute mit zahlreichen Anfragen umzugehen haben, die der Ausforschung dienen
und weit über den Regelungsgehalt der Norm hinausgehen.“
Stellungnahme des BITKOM vom 17.10.2012
Zur Erklärung: Der BITKOM hatte beanstandet, dass Behörden im Rahmen von Bestandsdatenabfragen (nach § 113
TKG) häufig nach Daten ersuchen, deren Herausgabe bei solchen Abfragen überhaupt nicht rechtmäßig ist.
Behörden dürfen bei Abfragen nach §113 TKG, für die kein Richtervorbehalt existiert, nämlich ausschliesslich
um Bestandsdaten ersuchen - also etwa um Namen und Adressen. Nicht aber nach dynamischen IP-Adressen oder
Logfiles; diese hochsensiblen Verkehrsdaten unterliegen dem Fernmeldegeheimnis und dürfen nur auf Anordnung
eines Richters herausgegeben werden.
In ihrer Antwort vom 28.01.2013 wies die Bundesregierung die Aussagen des BITKOM als „Behauptungen“ zurück:
„Der Bundesregierung sind – abgesehen von der in der Fragestellung zitierten Behauptung in der
Stellungnahme des BITKOM – keine derartigen Vorwürfe bekannt.“
Antwort der
Bundesregierung (ab Seite 7, Fragen 12, 13 und 14)
Die Bundesregierung habe die vom BITKOM erhobenen Vorwürfe allerdings zum Anlass genommen, verschiedene
Ermittlungsbehörden hierzu zu befragen. Und sie konstatierte:
„Die Ergebnisse der Abfrage haben keine Anhaltspunkte für rechtswidrige Anfragen ergeben.“
Wir können die "Behauptungen" des BITKOM bestätigen: In ca. 30% aller Ersuchen von Polizeibehörden, die uns
in den Jahren 2014 - 2016 im Rahmen von Bestandsdatenabfragen nach § 113 TKG erreichten, fragten Polizeibeamte
rechtswidrig nach dynamischen IP-Adressen der Anmeldungen bzw. nach der IP-Adresse des letzten Logins.
Als Beleg veröffentlichen wir hier fortlaufend Beispiele solcher rechtswidriger Ersuchen (geschwärzt): Die
Originale liegen bei Posteo schriftlich vor. In ihnen wird auch deutlich, dass Beamte nicht nur rechtswidrig
um die Herausgabe von IP-Adressen ersuchen, sondern sogar gelegentlich verlangen, diese gesondert für ihre
Ermittlungen zu erheben und zu speichern. Dies ist ebenfalls nicht zulässig.
Wir finden es erstaunlich, dass die Bundesregierung sich im Januar 2013 offenbar nicht über den BITKOM an die
Unternehmen gewandt hat, denen solche rechtswidrigen Anfragen schriftlich vorliegen. Die Bundesregierung hätte
sich unserer Ansicht nach direkt bei den Unternehmen informieren und ggf. geeignete Abhilfemaßnahmen treffen
müssen. Dass sie dies unterlassen hat, obwohl sie von einem großen deutschen Branchenverband über
rechtswidrige Praktiken von Behörden informiert wurde, ist für uns völlig unverständlich. Stattdessen wurden
offenbar lediglich Behörden befragt und die Aussagen des Hightechverbandes wurden als Behauptungen bezeichnet.
Wenn Hinweise auf rechtswidrige Praktiken der Exekutive bestehen, sollte diesen in einem Rechtsstaat
ernsthafter nachgegangen werden.
Der Bundestagsabgeordnete Dieter Janecek (der wirtschaftspolitische Sprecher der Fraktion der Grünen), hat
die Bundesregierung im Sommer 2015 erneut zu diesem Thema befragt. Er wollte wissen, ob sie bei ihrer
Einschätzung bleibt. In seiner Frage verwies der Abgeordnete auf die Stellungnahme des BITKOM sowie auf den
Posteo-Transparenzbericht.
Das Bundesinnenministerium erklärte in seiner Antwort:
"Der Bundesregierung liegen weiterhin keine Anhaltspunkte für rechtswidrige Anfragen vor." Und es fügte
hinzu: "Üblicherweise unterrichten die zuständigen Datenschutzkontrollinstanzen auch die obersten
Bundesbehörden über von ihnen festgestellte Verstöße gegen Datenschutzbestimmungen. Darüber hinausgehender
Verfahren bedarf es nach Ansicht der Bundesregierung nicht.
Antwort der Bundesregierung vom 19.08.2015
Evtl. besteht hier ein Kommunikations-Problem zwischen den Datenschützern und der Bundesregierung: Denn wir
hatten uns in allen Fällen, in denen Polizeibeamte unrechtmäßig nach IP-Adressen ersuchten, bei den jeweiligen
Landesdatenschutzbeauftragten beschwert. In ihren Antworten ging aber keiner der Datenschützer auf unsere
diesbezüglichen Beschwerden ein. Offenbar wurden unsere Beschwerden auch nicht an die "obersten
Bundesbehörden" weitergegeben, wie es nach Aussage des BMI sonst üblich sein soll. Es handelt sich bei
rechtswidrigen Ersuchen um IP-Adressen aber auch nicht um "Verstöße gegen Datenschutzbestimmungen". Das
Ersuchen um IP-Adressen bei Bestandsdatenauskünften ist nach dem Telekommunikationsgesetz (TKG) rechtswidrig.
Betroffen sind nicht nur Landespolizeibehörden. Auch von Ermittlungsbehörden des Bundes haben wir bereits
solche rechtswidrigen Ersuchen erhalten.
Unser Fazit: Die Bundesregierung interessiert es offenbar überhaupt nicht, ob bei der
Bestandsdatenauskunft rechtswidrige Praktiken oder Sicherheitsprobleme bestehen. Das Bundesinnenministerium
bleibt seit Jahren untätig. Da durch solche Anfragen die Rechte von Bürgerinnen und Bürgern regelmäßig
verletzt werden, ist dies unserer Ansicht nach verantwortungslos.
Gerade in Fällen, in denen im Rahmen von Abfragen nach §113 TKG bei Posteo rechtswidrig um Verkehrsdaten
ersucht wurde, ist es in der Folge wiederholt zu Situationen gekommen, in denen wir uns unter Druck gesetzt
und bedroht sahen. Wir gehen stets so vor, dass wir die Beamten auf die geltende Rechtslage verweisen. Wir
weisen sie darauf hin, dass wir uns mit dem Herausgeben von Verkehrsdaten bei Abfragen nach §113 TKG strafbar
machen würden (siehe § 206 StGB) und für die Herausgabe von Verkehrsdaten ein richterlicher Beschluss
vorliegen muss. Wir erläutern den Beamten, dass sie im Rahmen einer Abfrage nach § 113 TKG nur anhand einer
IP-Adresse, die ihnen bereits bekannt ist, nach Bestandsdaten ersuchen dürfen. Dass die umgekehrte Auskunft
nicht zulässig ist, ist Beamten häufig nicht bekannt.
Einige reagieren auf diese Information verwundert bis aufgebracht. Uns gegenüber haben Beamte bereits
wiederholt behauptet, bei anderen Verpflichteten problemlos auch im Rahmen von Abfragen nach § 113 TKG
IP-Adressen zu erhalten. Ob dies zutrifft oder wir nur verunsichert werden sollten, wissen wir nicht. Was wir
aber belegen können: Polizeibeamte ersuchen bei Abfragen nach § 113 TKG regelmäßig und mit einer großen
Selbstverständlichkeit schriftlich um Verkehrsdaten (siehe Bildergalerie mit Beispielen). Deshalb halten wir
es für durchaus möglich, dass die Rechtsvorschriften in der Auskunftspraxis auch von den Verpflichteten (z.B.
von Unternehmen) nicht immer beachtet werden.
Ein möglicher Grund hierfür könnte sein, dass der Kreis der zur Auskunft nach §113 TKG Verpflichteten sehr
groß ist - und nicht auf Telekommunikationsanbieter beschränkt. Viele der Verpflichteten verfügen ggf. nicht
über die notwendigen Rechtskenntnisse, um rechtswidrige Abfragen korrekt als solche identifizieren zu können.
Uns sind durch eskalierte, unrechtmäßige Forderungen nach IP-Adressen wiederholt enorme Anwaltskosten und
insgesamt ein finanzieller Schaden im mittleren fünfstelligen Bereich entstanden. Zum Beispiel, um
"Schutzschriften" bei Gerichten zu hinterlegen, für die Korrespondenz mit Ermittlungsbeamten, Rechtsberatung
etc.. In einem Fall haben wir Ermittlungsbeamte, die uns sogar persönlich aufgesucht hatten, angezeigt. Die
Staatsanwaltschaft gab unseren Anzeigen allerdings keine Folge - wie unsere Anwälte uns schon vorab in
Aussicht gestellt hatten. Sie erklärte, unsere Anzeige sei schlichtweg falsch und stellte das Verfahren gegen
die Beamten ohne weitere Ermittlungen gegen diese ein. Stattdessen beantragte sie einen Strafbefehl wegen
"falscher Verdächtigung", den das Gericht auch erlassen hat. Der Geschäftsführer von Posteo, Patrik Löhr,
wurde zur Zahlung einer Geldstrafe verpflichtet. Den hohen Anwaltskosten steht gegenüber, dass wir theoretisch
für jede Bestandsdatenabfrage nach § 113 TKG achtzehn Euro vom Staat für unseren Aufwand zurückerhalten könnten. Von dieser
Möglichkeit machen wir jedoch keinen Gebrauch. Wir nehmen als datenschutzorientiertes Unternehmen
grundsätzlich kein Geld von Behörden für Abfragen von Kundendaten an.
Wir haben aufgezeigt, dass die Sicherheit des Verfahrens derzeit nicht gewährleistet ist und dass Behörden
bei Abfragen nach §113 TKG bei Posteo regelmäßig rechtswidrig um Verkehrsdaten wie dynamische IP-Adressen
ersuchen. Außerdem haben wir dargelegt, dass das Problem der unsicheren Übermittlung den
Landesdatenschutzbeauftragten bekannt ist. Des weiteren haben wir darauf hingewiesen, dass der Branchenverband
BITKOM die Bundesregierung bereits 2012 auf zahllose rechtswidrige Ersuchen bei Abfragen nach § 113 TKG
aufmerksam gemacht hatte.
Angesichts der Verfahrensmängel möchten wir hiermit darauf aufmerksam machen, dass das Verfahren nach §113
TKG mit der Vorratsdatenspeicherung ("Gesetz zur Einführung einer Speicherpflicht und einer
Höchstspeicherfrist für Verkehrsdaten") an Bedeutung gewinnen wird. Das Gesetz wird eine starke Vergrößerung
der für die Bestandsdatenauskunft zur Verfügung stehenden Datenmengen bewirken.
Berechtigte Stellen werden über das Verfahren künftig viel häufiger die Information erhalten können, welcher
Person zu einem bestimmten Zeitpunkt eine dynamische IP-Adresse zugewiesen war. Ein Beispiel: Ein Beamter
tritt mit einer IP-Adresse an einen Provider heran und möchte wissen, welche Person sich hinter der Adresse
verbirgt. Der Provider gleicht die IP-Adresse mit den IP-Daten ab, die in seinen Datenbanken für die
Vorratsdatenspeicherung vorgehalten werden. Dies ist dem Provider ohne richterlichen Beschluss erlaubt. Dem
Beamten muss er dann mitteilen, welche Person hinter einer IP-Adresse steht (noch einmal: nicht umgekehrt).
Eine sehr begehrte Auskunft, für deren Abfrage kein Richtervorbehalt vorgesehen ist und die bereits bei
Ordnungswidrigkeiten eingeholt werden kann.
Wir gehen deshalb davon aus, dass sich die Anzahl der Abfragen nach § 113 TKG, und somit auch die Anzahl der
unsicheren bzw. rechtswidrigen Abfragen, mit der Einführung des neuen Gesetzes stark erhöhen wird. Für diese
Annahme gibt es einen weiteren Grund: Der Abgleich von IP-Daten und die anschließende Herausgabe von
Bestandsdaten kann nur über das manuelle Auskunftsverfahren nach §113 TKG erfolgen. Über das automatisierte
Verfahren nach §112 TKG ist dies nicht möglich.
Wir sind der Ansicht, dass das Auskunftsverfahren nach § 113 TKG mit seinen derzeitigen offenkundigen
Praxismängeln hierfür keinesfalls geeignet ist. Schon heute wird durch das Verfahren eine große Zahl sensibler
Bürgerdaten unsicher übertragen und es kommt zu zahlreichen rechtswidrigen Abfragen durch Behörden.
Auch die Kontrolle des Verfahrens ist nicht ausreichend: Es existieren unseres Wissens nach aktuell nicht
einmal Statistik-Pflichten für Abfragen nach §113 TKG. Somit könnte nicht einmal evaluiert werden, wie sich
die Einführung des Gesetzes zur Vorratsdatenspeicherung konkret auf die Anzahl der Abfragen auswirkt - und der
Öffentlichkeit würde die Anzahl der Abfragen durch staatliche Stellen auch im Nachhinein nicht bekannt werden.
Es ist auf keinen Fall hinnehmbar, dass sensible Daten der Bürgerinnen und Bürger weiterhin durch Behörden
ungesichert durch das Internet gesendet bzw. abgefragt werden oder dass dynamische IP-Adressen, die dem
Fernmeldegeheimnis unterliegen, auf einfache Anfragen nach §113 TKG ohne richterlichen Beschluss herausgegeben
werden. Unserer Ansicht nach dürfen deshalb auch keine neuen Gesetze oder Richtlinien eingeführt werden, die
die Anzahl der rechtswidrigen und unsicheren Ersuchen noch einmal erhöhen würden.
Deshalb fordern wir, dass die Bundesregierung schnellstmöglich Maßnahmen trifft, die
dazu geeignet sind sicherzustellen, dass die Abfrage bzw. Übertragung von sensiblen Bürgerdaten durch Behörden
nach §113 TKG grundsätzlich auf einem sicheren Wege (keine proprietären Lösungen) und auch sonst gemäß der
gesetzlichen Bestimmungen erfolgt – und wenn sie per E-Mail erfolgt, dann ausschliesslich per verschlüsselter
E-Mail. Darüber hinaus fordern wir, dass die Bundesregierung schnellstmöglich Maßnahmen trifft, die
sicherstellen, dass im Rahmen von Bestandsdatenabfragen nicht mehr rechtswidrig nach Verkehrsdaten ersucht
wird oder um andere Informationen, die weit über den Regelungsgehalt der Norm hinausgehen.
Wir sind der Auffassung, dass hier offenkundiger Bedarf besteht, Prozesse insgesamt in organisatorischer
Hinsicht dahingehend anzupassen, dass eine datenschutzgerechte und rechtsstaatkonforme Ausgestaltung des
Auskunftsverfahrens in Zukunft sichergestellt werden kann. Hierfür schlagen wir unter anderem das Einführen
von Berichtspflichten vor (siehe Abschnitt zur Kontrolle der Auskunftsverfahren).
Bis diesbezüglich Abhilfe geschaffen wurde, ist eine Vorratsdatenspeicherung
("Einführung des Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für
Verkehrsdaten") unserer Ansicht nach alleine schon deshalb nicht vertretbar, da sie in der Praxis die Anzahl
der unsicheren und unzulässigen Datenübermittlungen und der Rechtsbrüche im Rahmen des Auskunftsverfahrens
nach §113 TKG noch weiter erhöhen wird.
Unabhängig davon lehnen wir die Wiedereinführung der Vorratsdatenspeicherung auch aus vielen weiteren Gründen
insgesamt und mit Nachdruck ab, wie z.B. aus Gründen des Datenschutzes und der Datensicherheit sowie aufgrund
der mit ihr einhergehenden verdachtsunabhängigen Grundrechtseinschränkungen, die wir für nicht vertretbar
halten. Bitte lesen Sie hierzu auch unsere Ausführungen zum Kontrollinstrument des
Richtervorbehaltes, das wir in diesem Bericht ebenfalls kritisieren. Zwar sind E-Mailanbieter von der
Vorratsdatenspeicherung ausgenommen. Das Gesetz wird E-Mail-Anbieter wie Posteo bei Abfragen nach § 113 TKG
allerdings mit noch mehr rechtswidrigen Abfragen und den damit einhergehenden Bürokratie- und Anwaltskosten
konfrontieren.
Desweiteren fordern wir, dass das Bundesamt für Sicherheit in der Informationstechnik
(BSI) als unabhängige Bundesbehörde aus dem Geschäftsbereich des Bundesinnenministeriums (BMI) herausgelöst
wird, damit das BSI ein unabhängiger Ansprechpartner in Sicherheitsfragen sein kann.
