Ist das Quick-Freeze-Verfahren im Vergleich zum Verfahren der Login-Falle etwa eine Vorratsdatenspeicherung durch die Hintertür?
Es bestehen noch technische Fragen – oder: Ist das Quick-Freeze-Verfahren gegenüber dem Verfahren der Login-Falle eine Vorratsdatenspeicherung durch die Hintertür?
Ein Gastbeitrag von Claudio Unterbrink
Aktuell diskutier(t)en Mitglieder des Bundestages und der Ausschüsse wieder über die Vorratsdatenspeicherung.
Der vorliegende Beitrag dokumentiert mehr als vier Dutzend Fragen von technischer Seite, die von Expert:inn:en schon vor einiger Zeit intern an Mitglieder des Digitalausschuss des Bundestages weitergereicht wurden – ob sie von diesem Ausschuss, den ministeriellen Referent:inn:en oder den Oppositions-Parteien als Kleine Anfrage formal zur Beantwortung durch die Bundesregierung aufgegriffen werden oder nicht: dieser Beitrag dokumentiert diese hier uns vorliegenden Tech-Fragen und erläutert sie auch aus journalistischer Perspektive für eine Gestaltung des Politikfeldes der Netzpolitik durch die politisch aktiv Handelnden.
Eine (notwendige) Beantwortung wird dazu neue Themenstellungen aufwerfen, die bislang unbeantwortet sind: Insbesondere zu den technischen Prozessen von IP-Re-Assign, IP-Hybrid-Pairing sowie zur Speicher-Nachwirkung (und dessen rechtliche Situation zur Verwendung der sensiblen Daten) besteht viel Intransparenz. Und: Diese Nachwirkung, auch als Cache-Speicherung von IP-Adressen bekannt, ist ein zentrales Argument, warum das sog. Quick-Freeze-Verfahren als eine ebenso auf Verfassungswidrigkeit zu prüfende Einführung einer Vorratsdatenspeicherung durch die Hintertüre eingeschätzt werden kann.
Eine Vorratsdatenspeicherung ist verfassungswidrig, wenn sie in einer anlasslosen und flächendeckenden Gestaltung zu einem dauerhaften, nicht strikt zeitbegrenzten problematischen Grundrechtseingriff bei allen wird – so wurde es durch die Auffassung der Verfassungsrichter:innen bestätigt zuletzt europaweit im Urteil des Europäischen Gerichtshofs (EuGH) (vom 20. September 2022, Az. C-793/19 und C-794/19).
Aktuell hat in diesem Jahr das Bundesverwaltungsgericht die anlasslose und flächendeckende Vorratsdatenspeicherung ebenso als vollständig europarechtswidrig eingestuft (Bundesverwaltungsgericht 2023, BVerwG 6 C 6.22): Die deutsche Verpflichtung der Telekommunikationsanbieter zur Vorratsspeicherung von Telekommunikations-Verkehrsdaten ist also in vollem Umfang unionsrechtswidrig.
Dabei hatte das Bundesverfassungsgericht bereits im Jahr 2010 die deutsche Regelung zur anlasslosen Speicherung von Telefonverbindungsdaten und anderen Telekommunikationsdaten schon gekippt und im Jahr 2014 dann hat der Europäische Gerichtshof die EU-Regelung zur anlasslosen Speicherung von Telefonverbindungsdaten und anderen Telekommunikationsdaten wiederum nicht zugelassen.
2015 wurde von der damaligen „Großen -Koalition“ (SPD/Union) dennoch eine Neuregelung eingeführt: z.B. Telefonverbindungsdaten und IP-Adressen von Endnutzer:innen und besuchten Web-Seiten sollten demnach für einen Zeitraum von zehn Wochen (= 70 Tage lang) gespeichert werden.
Der EuGH, Europäischer Gerichtshof, 2022 bzw. das deutsche Bundesverwaltungsgericht 2023 haben also inhaltlich nochmals bestätigt: Diese Regelungen zur Vorratsdatenspeicherung entsprechen nicht den verfassungsrechtlichen Anforderungen.
Grund: Alle Bürger:innen stehen sonst unter einem Generalverdacht, wenn Daten pauschal und flächendeckend gespeichert werden. Auch 10 Wochen bzw. 70 Tage sollen die Daten aller nicht gespeichert werden! – Das rückwirkende Wühlen in Massendaten der Vergangenheit ist ohne konkrete Anlässe nicht verfassungskonform. Denn es ist auch festzustellen, dass keine objektiven Kriterien bestimmt werden können, die einen Zusammenhang zwischen den zu speichernden Daten und einem verfolgten, also zu benennenden, Ziel herstellen.
Aus technischer Sicht ist festzuhalten, dass bei den Datenarten keine unterschiedlichen „Eingriff-Tiefen“ in unsere Grundrechte bestehen können. Denn: IP-Daten können mobile IP-Adressen sein, die somit auch den Standort am Funkmast (un-)mittelbar preisgeben und Anruf-Daten sind heutzutage auch meist Anrufe über eine IP-Adresse (Voice over LTE / Wifi). Beides, Text- und Sprach-Nachrichten werden in Messengern über die IP kommuniziert. Jegliche Daten sind sich komplementär bedingende Daten und nicht anlasslos für alle zu speichern. Bei IP-Speicherung handelt es sich daher um keinen geringfügigeren Eingriff in die Grundrechte, als beispielsweise der Standortspeicherung am Handy, und: sie stellen Verkehrsdaten bereit. Genau das war die Aussage von Edward Snowden schon vor 10 Jahren: wer nur wenige Knotenpunkte auswerten kann, kennt auch die IP-Adress-Verläufe z.B. beim Surfen.
Daher gilt die Beachtung der Hoheit des Vorhandenseins eines Anlasses: Der Beginn z.B. einer IP-Datenspeicherung nur bei einzelnen, strafverdächtigen Menschen muss ein sogenannter „Anlass“ sein. Nach bisherigem Bekunden und dem Koalitionsvertrag stimmen auch die drei Parteien der derzeitigen Ampel-Bundesregierung darin überein.
Der Start für einen begründeten Anlass zur Datenspeicherung muss in der Regel also eine richterliche Entscheidung bzw. der gleichwertige Beschluss sein.
Kurz und gut – für Politiker:innen gilt: Eine anlasslose Massenüberwachung bei allen Bürger:innen ist verfassungswidrig – weder mit dem Grundgesetz noch mit der EU-Grundrechtecharta vereinbar – und steht einer anlassbezogenen Daten-Speicherung von einzelnen Personen oder einer kleinen Gruppe von verdächtigen Individuen also klar gegenüber.
Damit sind die grundlegenden Regeln seit geraumer Zeit definiert und bestätigt.
Die derzeitige Praxis bei den Internet Service Providern (ISPs) z.B. beim Umgang mit IP-Adress-Daten sollte damit entsprechend verfassungskonform ausgestaltet und regelbar sein. Leider ist sie das derzeit nicht und bedarf gesetzlicher Vorgaben für die Datenschutzbeauftragten und die Internet-Unternehmen.
Die individuelle Auswertung von in einer Vergangenheit angesammelten Daten aller Bürger:innen ohne Anlass-Startpunkt sehen die Verfassungsrichter:innen als nicht verfassungskonform an.
Und für Techniker:innen gilt kurz und gut: Ohne Anlass-Bestätigung keine Speicherung von IP-Daten, und, individuelle Ausnahmen sind in jedem Fall strikt zeitbegrenzt zu sehen: jede individuelle Speicherung benötigt die Vorlage einer Begründung/eines richterlichen Beschlusses und auch ein Start- und End-Datum.
Die derzeit diskutierten und eingebrachten Konzepte einer „Login-Falle“ (seitens SPD, D64 2022) oder eines „Quick-Freeze“ (seitens FDP, 2022) sehen daher auch als „Startpunkt“ in der Zeit- und Prozess-Kette immer einen „Anlass“ vor, der zuvor als erstes richterlich begründet wird. Doch ist das so?
(Im Koalitionsvertag (2021) hat sich die Bundesregierung gegen das Quick-Freeze Verfahren entschieden und stattdessen das Instrument der „Login-Falle“ bestätigt. Entscheiden heißt Verzichten – auch im Hinblick auf eine sog. „Überwachungs-Gesamt-Rechnung“ (Digitalcourage 2015), nach der erst nach Vorlage eines Überblicks weitere Überwachungsmaßnahmen zu beurteilen sind. Im Koalitionsvertrag wurde für alle drei Ampelparteien vermerkt: „Mit der Login-Falle wollen wir grundrechtsschonende und freiheitsorientierte Instrumente schaffen, um die Identifizierung der Täter:innen zu erreichen“ (S. 87), auch wenn der FDP-Justizminister erklärte, nun nur noch am Instrument Quick-Freeze zu arbeiten (Golem 25.10.2022). Das bedingte jedoch – im Falle eines anlasslosen Charakters oder einer rückwirkenden Datenaufnahme von allen vor einer richterlichen Bestätigung des Beginns einer Ermittlungstätigkeit mit IP-Adress-Daten – eine für alle dauerhafte Speicherung bei allen und wäre damit eine Vorratsdatenspeicherung durch die Hintertüre: Denn Internet Service Provider würden ggf. aus technischen Gründen schon vorher aufzeichnen, bevor es einen Start-Impuls gibt – dazu auch mehr am Ende dieses Beitrages).
Aus Abgeordneten-Kreisen berichten Medien wie die ZDF-Sendung Frontal (05.09.2023, ab Min. 4), dass die FDP gesetzliche Regelungen zu einem Mietendeckel blockiere, solange die SPD an ihrem Konzept der Login-Falle festhalte und nicht bereit sei, auf das Quick-Freeze-Verfahren einzuschwenken und ihr Login-Verfahren zu begraben. Das Quick-Freeze-Verfahren erfordert jedoch je nach Ausgestaltung ein vorheriges Speichern von IP-Adressen bei allen.
Derzeit ist die technische Praxis zur IP-Speicherung der Internet Service Provider sehr unterschiedlich und intransparent und entspricht m.E. voraussichtlich sehr oft nicht diesen Regeln, wie es am Beispiel von IP-Re-Assign, IP-Hybrid-Pairing und der 7-Tage-Nachwirkung hinsichtlich einer verfassungs- und gesetzeskonformen technischen Ausgestaltung zu thematisieren ist (und mit diesem Beitrag entsprechend zusammenzufassen und anzufragen ist, wie es auch schon in verschiedenen Fach-Foren (z.B. Arbeitskreis Vorratsdatenspeicherung, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, Digitale Gesellschaft, Gesellschaft für Freiheitsrechte bzw. Gesellschaft für Informatik, u.a.) und Online-News-Plattformen und anderen Formaten, Gruppen und Vereinen von ganz unterschiedlichen Personen, Lesern und Gästen kommentiert und diskutiert wurde).
Die technischen Ausgestaltungen von IP-Re-Assign, IP-Hybrid-Pairing und einer 7-Tage-Nachwirkung sind geprägt von der rechtswidrigen Regelung aus dem Jahr 2015. Diese Regeln in der derzeitigen technischen Praxis sind als nicht transparent und nach Analyse bei vorliegender Transparenz ggf. nach Prüfung auch derzeit nicht als verfassungskonform anzusehen, wie einige Verfahrensweisen bereits heute vermuten lassen. Es bedarf daher einer Analyse und Änderung der technischen Regeln und Verfahrensweisen.
Weiterhin bedarf es einer klaren gesetzlichen Ausgestaltung zur Adressierung an die Techniker:innen der Internet Service Provider und an die Datenschutzbeauftragten in den entsprechenden Unternehmen sowie in den Ländern und im Bund, wie mit den Themen IP-Re-Assign, IP-Hybrid-Pairing und einer 7-Tage-Nachwirkung umzugehen ist.
Eine heutige oder auch morgige Forderung nach einer Vorratsdatenspeicherung darf nun spätestens nach dem o.g. EuGH-Urteil (2022) und dem Urteil des Bundesverwaltungsgerichtes (2023) nicht weiterhin zu einem „rechtstaatlichen Karneval“ (Günter Krings, schon 2011) führen oder gar zur „unendlichen Geschichte eines juristischen Zombies“ (Marco Buschmann, 2023) mutieren, wenn dieses Bild aufgegriffen werden darf.
Denn es wird weiterhin vielfach versucht, die Vorratsdatenspeicherung „Wider besseren Wissens“ (Die Linksfraktion, 2022) einzuführen. Insbesondere, wenn dieselben Fragen und sogar Sachverständigen nach acht Jahren auf der Agenda sind, wie schon 2015: Diskussionen um das Aufgreifen von Daten von allen aus der Vergangenheit – ohne richterliches Start-Datum – müssten nun endlich die Idee eines nicht verfassungskonformen Vorrats beenden? – Und warum sollte das Quick-Freeze-Verfahren je nach Ausgestaltung ebenso dazu gehören und stattdessen besser die im Koalitionsvertrag fixierte Login-Falle in Betracht gezogen werden?
Doch zunächst zu den technischen Zusammenhängen mit relevanten Fragen in Bezug zur aktuellen Rechtsprechung.
I. IP-RE-ASSIGN
IP-Re-Assign im Zusammenhang mit der Vorratsdatenspeicherung bzw. in der derzeitigen Praxis der Internet Service Provider bedeutet, dass nach einer Trennung der Internet-Verbindung (sei es durch den Internet Service Provider selbst oder durch die Kund:inn:en (z.B. mit einer Zeitschaltuhr am Router, die für eine Strom-Unterbrechung von wenigen Minuten sorgt) oder durch einen unvorhergesehenen Strom-Ausfall) die gleiche IP-Adresse nochmals dem Router zuhause bei den Kunden:innen zugewiesen wird.
Dadurch werden dynamische IP-Adressen quasi statisch und verbleiben nicht nur bis zu einer Trennung, sondern sind identisch zeitlich weit über eine Trennung hinaus. Das Verfahren kann im Einzelfall bis zu drei Jahre und länger währen und die IP-Adresse bleibt den Nutzer:innen quasi statisch dauerhaft, aber nicht weniger sensibel, zugewiesen.
Allein durch die technische Zuweisungs-Praxis von IP-Adressen wäre eine Ausformulierung eines Gesetzes zur Vorratsdatenspeicherung nicht notwendig, weil die Speicherung einer IP-Adresse zur Adresse der Kund:inn:en bei zahlreichen Providern in der Praxis durch das IP-Re-Assing schon besteht.
Nach einer Verbindungs-Trennung muss jedoch eine differierende IP-Adresse zugewiesen werden, wenn der Servicevertrag keine statische IP-Adresse vorsieht – dieses unterscheidet statische IP-Adressen von dynamischen IP-Adressen. Alles andere erzeugt eine Vorratsdatenspeicherung mit Daten von allen aus der Vergangenheit, die weit über 24 Stunden, weit über 7 Tage und ja noch weiter als über 70 Tage hinausgehen kann.
Es ist zu prüfen, ob diese Praxis, mit IP-Re-Assign aus einer dynamischen IP-Adresse quasi eine statische IP-Adresse zu machen, unserer Verfassung und den Vorgaben zur Vorratsdatenspeicherung entspricht.
Es gibt zudem keine Transparenz, wie die Internet Service Provider derzeit IP-Adressen zuweisen und speichern: Manche haben Regeln, z.B. eine 24-h Zwangstrennung – mit oder ohne Zuweisung einer neuen IP-Adresse nach der Trennung. Oder es besteht ein Re-Assign der bestehenden IP-Adresse nach definierten, aber unbekannten Regeln und Algorithmen, die eine dynamische IP-Adresse zu einer quasi statischen IP-Adresse werden lassen können.
Doch die Algorithmen dazu sind also voraussichtlich nicht nur den Kund:inn:en, sondern der Öffentlichkeit sowie – wie es zu fragen ist – auch den politisch Aktiven ggf. oftmals unbekannt. Die Internet Service Provider werden sagen: nach einer bestimmten Zeit bekommt man halt eine neue IP, oder nochmal dieselbe IP. Was unterscheidet also Vodafone von der Telekom mit ihrer Zwangstrennung nach 24 Stunden, die aber nichts über deren Speicherzeiträume aussagt?
Es wird von der Anzahl der Trennungen, der Anzahl der Online-Kund:innen und der Anzahl der verfügbaren IP-Adressen abhängen oder auch der Zeitdauer des Router-Stromverlustes oder dem Zeitpunkt, wann diese multifaktoriellen Dinge zusammenkommen.
Die Telekom, die für eine 24-h-Zwangstrennung bekannt ist, was zu überprüfen wäre, speichert voraussichtlich nach IP-Ende die Zuordnung der IP-Adresse an die Kund:inn:en noch sieben Tage. Vodafone z.B. soll nach Kenntnisstand einiger Bundestagsabgeordneten die sieben Tage angeblich nicht speichern, macht dafür aber ein theoretisch zeitlich nicht begrenztes IP-Re-Assign, selbst wenn der Router über eine Stunde durch eine Zeitschaltuhr auf Kund:inn:en-Seite getrennt wurde.
Das gelingende IP-Re-Assign mag damit zusammenhängen, dass wenn niemand anderes aus dem Kreis der Kund:inn:en eine bestehende IP-Adresse „weggeschnappt“ hat, dass dieselbe IP-Adresse dann wieder dem gleichen Router zugewiesen werden kann und wird. Oder verdeckte Ermittler:innen es beauftragen.
Das heißt: Das kann – je nach Algorithmus, Ereignissen und Faktoren – über Monate, Quartale und Jahre so gehen. Die Parameter dieser Regeln, sind unbekannt. Es entsteht mit dieser technischen Praxis eine Vorratsdatenspeicherung von IP-Adressen durch die Hintertüre.
Technische Anfragen an die politisch Aktiven zum IP-Re-Assign:
- Nach welcher Zeitdauer geht die Bunderegierung (technisch) davon aus, dass aus einer dynamischen IP-Adresse eine quasi statische IP-Adresse geworden ist, z.B. bei IP-Re-Assign?
- Hält die Bundesregierung es vor dem Hintergrund der Rechtsprechung zu Konzepten der Vorratsdatenspeicherung für problematisch, wenn bei einer dynamischen IP-Adresse keine 24-H-Trennung erfolgt und eine quasi statische IP-Adresse gebildet wird?
- Ist die Bundesregierung in Kenntnis, ob es bei einem der folgenden größten ISPs in Deutschland jeweils eine Zwangstrennung, ein IP-Re-Assing, ein IP-Hybrid-Pairing oder eine Speicherung nach IP-Ende (und wie lange) gibt? 1&1 Internet AG; Alice / Telefónica; AOL; BT Germany; Congstar; Deutsche Telekom; DOKOM21; Drillisch AG; Easybell; EWETEL; Freenet; Ginlo GmbH, GMX; HanseNet; Hotmail (Microsoft); Kabel Deutschland; KabelBW; KielNET; Manitu; Merlinux GmbH Microsoft Hotmail; M-Net; NetCologne; QSC; Quix (Inexio); Telefónica; The Phone House Company; T-Mobile D1; T-Online; Unity Media; Versatel Deutschland; Vodafone (D2); Vodafone/Arcor (Festnetz/DSL); web.de; Yahoo Mail.
- Falls Ja, also eine Zwangstrennung besteht, nach welcher Zeit wird diese Trennung durchgeführt?
- Kann es bei der Zwangstrennung (bei je o.g. Providern) vorkommen, dass nach der Trennung die gleiche IP-Adresse dem Router nochmals zugewiesen wird?
- Falls keine Zwangstrennung seitens des ISP erfolgt, wird bei Trennung durch Stromverlust auf Kundenseite nochmals die gleiche IP-Adresse zugewiesen?
- Wie lange muss die Trennung bei den (o.g.) einzelnen Internet Service Providern zeitlich durch den Kunden mindestens erfolgen, damit eine neue IP-Adresse zugewiesen wird?
- Wenn die Zuweisung der gleichen, vor der Stromtrennung innehabenden IP erfolgt, solange sie noch frei ist, wie viele neue IP-Adressen stehen bei einem jeweiligen Provider im Schnitt zur Verfügung, die von anderen Teilnehmer:inne:n erst genommen werden müssten, bis ein:e andere:r eine ursprüngliche IP-Adresse weg nehmen könnte und Kund:inn:en eine Chance auf eine neue, „frische“ IP bekommen?
- Erfolgt diese Praxis von IPV4-Adressen auch für IPV6 Adressen? Falls nein, worin weicht die Praxis für IPV6 ab, jeweils zu oben und unten genannten Fragen bei den o.g. Providern?
- Wie ist der Quotient von Anzahl Kund:inn:en zu Anzahl verfügbarer (unbelegter) IP-Adressen und wie ist der Quotient von Kund:inn:en zu Fällen kund:innen:enseitiger Trennungen im Schnitt bei o.g. Service Providern, so dass dieselbe oder eine andere IP erfolgt pro Tag oder Zeiteinheit?
- Durch welche Rechtsvorschriften sollen durch klare und präzise Regeln sichergestellt werden, dass bei IP-Re-Assign die geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die betroffenen Bürger:innen wie auch Provider über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen?
Es wird gesetzlich zu definieren sein, dass jeglicher Internet Service Provider bei Internet Service Verträgen mit einer dynamischen IP-Adresse alle 24 Stunden eine Zwangstrennung durchführt und auf ein IP-Re-Assign nach einer Trennung, gleich von welcher Seite, verzichtet wird, so dass nicht mit derselben IP-Adresse eine erneute Verbindung vorgenommen wird. Dieses muss für IPV4 wie auch IPV6 Adressen gelten.
Es wäre zudem folgerichtig gesetzlich festzuschreiben, dass Verträge mit statischen und dynamischen IP-Adressen im Wesentlichen nach Wuchergrundsätzen keine unterschiedlichen Preisgestaltungen aufweisen.
Sollte dennoch keine Zwangstrennung seitens des Internet Service Providers durchgeführt werden, ist in jedem Falle sicherzustellen, dass bei kund:inn:en-seitiger Trennung des Routers dann bei Neu-Verbindung eine neue, differierende IP-Adresse im obigen Sinne zugewiesen wird.
II. IP-Hybrid-Pairing
Das IP-Hybrid-Pairing bezeichnet das Verfahren, ein internetfähiges Gerät wie einen Router oder ein Tablet bzw. Smartphone sowohl mit einer IPV4- als auch einer IPV6-Adresse zu versehen. (In einer unbekannteren, aber dennoch weniger selteneren Spezifikation auch: zwei IPV6-Adressen).
IPV6-Adressen sind mit bis zu 32 Zeichen deutlich länger als die bislang verwendeten, maximal zwölfstelligen IPV4-Adressen. IPV6-Adressen bestehen in der Regel aus insgesamt acht Blöcken mit jeweils vier Zeichen und sehen zum Beispiel so aus: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344.
Die 8 Blöcke werden einmal vorne den Netzen zugeordnet, hinten die letzten Blöcke werden den Geräten zugeordnet.
Die obige Abbildung stellt das Format einer IPV6 Adresse dar, das sich aus einem vorderen Teil zusammensetzt, dem Präfix (oder auch Subnetz-Präfix genannt).
Der zweite Teil, der „Interface-Identifier“, bleibt immer derselbe und ist auch an die gerätespezifische MAC -Adresse gebunden.
Kommt es bei IP-Hybrid-Pairing zu einer Trennung oder Zwangstrennung, wird zwar eine neue IPV4-Adresse vergeben, wenn kein IP-Re-Assign erfolgt, aber in jedem Falle wird eine identische IPV6-Adresse im zweiten Teil dauerhaft vergeben.
Kund:inn:en von Internet Service Providern und beim Kauf von entsprechenden Verbindungsgeräten muss es daher per Gesetz möglich sein, sich frei für drei Optionen zu entscheiden: Betrieb nur über IPV4, Betrieb nur über IPV6, sowie drittens einen Betrieb über IPV4 und hybride gleichzeitig auch über IPV6.
Es ist gesetzlich festzulegen, dass IPV6 nach einer Trennung ebenso eine neue IP-Adresse generiert und zuschreibt, wie es auch bei IPV4 der Fall ist. Andernfalls muss bei „untergeschobenem“, hybriden IPV6 davon ausgegangen werden, dass damit die bei IPV4 nicht definierten und nicht geltenden Speicherungen bei allen Bürger:inn:en durch IPV6 über den Haufen geworfen werden.
IPV6 ist dieser Auffassung nach beim anlasslosen, massenhaften und drittens nicht abwählbaren bzw. von vorneherein (per default) nicht abgestellten Gestaltungen verfassungswidrig, da es eine dauerhafte strukturelle Speicherung umsetzt, die insbesondere hinsichtlich des „Interface-Identifiers“ nicht strikt zeitbegrenzt ist.
Nutzer:innen können dieses mit zwei zeitlich versetzen Screenshots eines Smartphones nachvollziehen, wenn dieses einmal in den Flugmodus versetzt wurde. In den erweiterten Einstellungen unter Mobilfunknetz-Einstellungen werden oft sowohl eine IPV4-, als auch eine IPV6-Adresse gezeigt. Nach der Trennung durch den Flugmodus ist der zweite Teil der IPV6-Adresse, der sog. „Interface Identifier“, weiterhin identisch und in jeder Speicherung auffindbar als einheitliches Merkmal.
Mit IPV6 wird es also nur noch Einzelzuweisungen von IP-Adressen geben und damit werden quasi dauerhafte statische IP-Adressen bzw. Identifier vergeben. Um IPV6 Adressen nach einer Trennung anders und differierend zusammenzusetzen, bedarf es installierter „Privacy Extensions“ sowie einer gesetzlich verpflichtenden Regelung, dass auch die Identifier nach einer Trennung differieren, um mit den Regeln zur Vorratsdatenspeicherung kompatibel zu sein. Bislang ist das in einer freiwilligen Ausgestaltung der Provider geregelt.
Weiterhin ist eine Identifizierung bei IPV6-Adressen aber auch durch das sog. „Präfix“ möglich, da dieses nur durch den Provider geändert werden kann: „Eine Identifikation eines IPV6-Nutzers kann auch über das Präfix erfolgen, aber dieses kann sich natürlich auch nur ändern, wenn zum Beispiel der Provider dieses regelmäßig wechselt. Man kann dann noch das Netz identifizieren, aber nicht mehr eine einzelne Person bzw. ein einzelnes Gerät der einzelnen Person.“
Und weiter heißt es für die technische Dokumentation: „Dass Privacy Extensions also die Privatsphäre schützen, ist leider nur die halbe Wahrheit. Zwar wechselt eine Privacy Extension ständig den Hostanteil (= zweiter Teil. bzw. Identifier) einer IPV6-Adresse, doch das Präfix bleibt gleich. So .. wäre ein bestimmter Client immer noch über das Präfix (vordere 64 Bit) einer IPV6-Adresse identifizierbar. Bei privaten Internet-Zugängen ist der Internet-Provider für die Zuteilung des IPV6-Präfixes zuständig. Manche der ISPs gehen auch über die Verhaltensweisen einer Privacy Extension für den zweiten Teil hinaus und verbessern den Datenschutz erheblich, in dem sie den Internet-Zugangs-Routern ihrer Kund:inne:n auch regelmäßig ein neues Präfix zuteilen“ (Elektronik Kompendium 2023).
Es ist zu vermuten: Die Algorithmen zu „Präfix“ und „Privacy Extensions“ der einzelnen Internet Service Provider dazu sind dem Bundestag ebenso unbekannt, und können daher nicht im Lichte der Rechtsprechung zur Vorratsdatenspeicherung seitens der politisch aktiv Handelnden zugrunde gelegt werden.
Und schließlich kann sich IP-Hybrid-Pairing auch auf zwei IPV6-Adressen beziehen, bei einer bleibt Präfix und Identifier jeweils konstant und bei der zweiten IPV6-Adresse wird mit einer Privacy-Extension vorwiegend nur der Identifier verändert.
Insbesondere das Windows-Betriebssystem arbeitet mit doppelten IPV6 Adressen, bei der eine Adresse sich nicht ändert (ausführlich und explizit nachzulesen im Elektronik Kompendium 2023 zu IPV6 & Privacy Extensions).
Bei den Mobil-Providern wissen politische Gestalter:innen oft nicht, wie viele Nutzer sich eine IP-Adresse teilen und wann diese wechselt und nach welchen Bedingungen aufgezeichnet wird, welches Handy welche IP-Adresse hatte. Auch hier ist der Algorithmus für ein IP-Re-Assign unbekannt zudem wird oft auch IP-Hybrid-Pairing angewandt.
Braucht es also vor einer weiteren Regelung zur Zuteilung, Trennung und Speicherung von IPV6-Adressen im Hinblick auf Diskussionen und Gestaltungen von (Vorrats-) Datenspeicherungen weitere Gutachten aus informationstechnischer, rechtlicher und gesellschaftswissenschaftlicher Sicht, wie die mit dem (ohne Privacy-Extension) dauerhaft gleichem End-Teil einer IPV6-Adresse, dem „Interface-Identifier“ zu verfahren ist? – Denn alle gespeicherten IPV6-Adressen bleiben anhand des „Interface-Identifier“ ohne Privacy Extension jederzeit durchsuchbar. Ebenso ist die Praxis der Internet Service Provider für das IPV6-Präfix zu ermitteln und (auch juristisch, informationstechnisch und gesellschaftswissenschaftlich) zu bewerten.
Folgende weitere Fragen haben die Expert:inn:en nicht zugehörig zum Arbeitskreis Vorratsdatenspeicherung oder anderen Vereinigungen, aber aus deren näheren Umfeld der Techniker:innen zusammengetragen:
Technische Anfragen an die politisch Aktiven zum IP-Hybrid-Pairing:
- Wie hoch ist bei mobilen Geräten der Quotient von shared IPV6-Adressen zu (weiterhin) shared IPV4-Adressen für letztes Jahr und (weiterhin) im Zeitverlauf der letzten 5 Jahre?
- Stimmt die Bundesregierung damit überein, dass allen Routern und Geräten in der festgelegten Voreinstellung keine IPV6-Einstellung aktiv haben sollte?
- Stimmt die Bundesregierung damit überein, dass alle Bürger:innen in ihren Geräten und Routern die Möglichkeit haben sollten, das IPV6 Protokoll abzuwählen?
- Stimmt die Bundesregierung damit überein, dass eine flächendeckende, strukturell vorgegebene Einstellung zu IPV6 dauerhafte Verbindungsdaten und damit zu einer Vorratsdatenspeicherung führt, wenn die Bürger:innen in den Geräten keine Option bzw. Voreinstellung haben, dass nur IPV4 voreingestellt ist und IPV6 ein sog. Opt-In Verfahren sein muss, Kund:innen also selbst aktiv das Protokoll in ihrem Router anwählen müssen?
- Sieht die Bundesregierung ein Opt-Out-Verfahren bei IPV6 als rechtskonform an und falls ja, wie soll dann mit Geräten verfahren werden, die keine Möglichkeit haben, IPV6 auszuschalten oder gar kein IPV4 anbieten?
- Um bei IPV6 dynamische Daten zu erzeugen, bedarf es erstens „Privacy Extensions“ für den Identifier und zweitens die aktive Gestaltung eines „zufälligen Prefixes“ seitens der Internet Service Provider. Von welchen Providern hat die Bundesregierung Kenntnis, dass diese IPV6 mit Privacy Extensions einsetzen?
- Von welchen Providern hat die Bundesregierung Kenntnis, dass diese IPV6 auch im Prefix aktiv wandeln?
- Nach welchen Algorithmen und Grundsätzen erfolgt diese Wandlung insbesondere im IPV6-Präfix bei den einzelnen Service Providern?
- Wenn die Bundesregierung von keinem oder nur wenigen Providern Kenntnis hat, dass diese bei IPV6 Privacy Extensions und eine Präfix-Wandlung einsetzen, kommt die Bundesregierung dann zu der Bewertung, dass IPV6 nicht verfassungskonform im Sinne der (bisherigen) Regeln für eine (Vorrats-)Datenspeicherung ist?
- Plant die Bundesregierung ein Gesetz einzuführen, dass IPV6 nur mit Privacy Extensions und Präfix-Wandlung nach erneutem Verbindungsaufbau allen Kund:inn:en und damit Bürger:innen angeboten werden darf?
- Bei der Umsetzung von IPV6 sowie IPV6 mit Privacy Extensions können zahlreiche Fehler gemacht werden – welche Fehler sind der Bundesregierung bekannt und mit welchen Maßnahmen durch wen sollen die Fehler verhindert werden, damit der IPV6-Einsatz verfassungskonform gestaltet werden kann?
- Wie bewertet die Bundesregierung den Fehler, IPV6 Privacy Extensions ohne Präfix-Wandlung zu installieren?
- Welche Präfix-Wandler sind bei welchen Internet Service Providern öffentlich bekannt und dokumentiert?
- Durch welche Rechtsvorschriften sollen durch klare und präzise gesetzliche Regeln für die Bundesrepublik Deutschland sichergestellt werden, dass beim IP-Hybrid-Pairing (IPV4 mit IPV6) sowie beim spezifischen IP-Hybrid-Pairing (IPV6 mit IPV6) die geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen, insbesondere z.B. hinsichtlich IPV6-Privacy-Extensions und IPV6-Präfix-Wandlung bei erneuter Verbindung sowie sog. „temporary deprecated“-IPV6-Verbindungen, die weiterhin bestehen, auch bei neuer zugewiesener IP-Adresse, weil das Gerät nicht ausgeschaltet wurde? Sollte eine nationale Regelung zur Datenspeicherung aus Sicht der Bundesregierung diese wesentlichen Vorgänge dieses bereits allgegenwärtigen Zukunftsprotokolls bereits heute umfassen?
- In IT-Kreisen wird über das Update sehr vieler Fritz-Router-Boxen des Herstellers AVM, der sich zu Gründen dieses umfassenden Updates „bedeckt“ (Teltarif 2023) hält, gemunkelt, dass es auch im Zusammenhang mit dem IPV6-Protokoll und der Rechtsprechung zur Vorratsdatenspeicherung stehen könnte. Welche Gründe sind der Bundesregierung für dieses Update bekannt? – Damit generell die Router Deutschlands nicht als verfassungswidrige Geräte und Erfüllungsgehilfen einer Vorratsdatenspeicherung gelten: Sollte IPV6 nun auf allen Router insbesondere seitens der Nutzer:innen oder per Default-Einstellung seitens der Hersteller deaktivier-bar sein und wird es dazu eine gesetzliche Vorschrift geben?
Rechtlich zu prüfen wäre also eine Konformität der Vorratsdatenspeicherung durch die Hintertüre von IPV6. Wenn IPV6 nicht abwählbar ist, ist zu prüfen, ob die bisherigen Gestaltungen den bekannten verfassungsrechtlichen Kriterien zur Vorratsdatenspeicherung genügen.
Kund:inn:en von Internet Service Providern und beim Kauf von entsprechenden Verbindungsgeräten sollte es per Gesetz möglich sein, sich frei für o.g. drei Optionen zu entscheiden: Betrieb nur über IPV4, Betrieb nur über IPV6, sowie drittens einen Betrieb über IPV4 und hybride gleichzeitig auch über IPV6. Ein IP-Hybrid-Pairing darf nicht als voreingestellte Standardeinstellung bestehen und ungefragt eine IPV6-Adresse zuweisen (IPV6-Opt-In-Verfahren). In Deutschland verkaufte Geräte sollten also eine Abwahl von IPV6 als IP-Protokoll ermöglichen.
Internet-Service Provider wären zu verpflichten beim Ausspielen von IPV6 Adressen sogenannte Privacy Extensions und Präfix-Wandler zu installieren, die die IPV6 Adresse bei einer erneuten Verbindung differierend gestalten gegenüber einer bereits zugewiesenen Adresse.
Denn die Internet Service Provider sind dafür verantwortlich, dass sich bei Zuweisung einer neuen IPV6-Adresse sowohl der vordere Teil (Subnetz-Präfix) als auch der zweite Teil einer IPV6-Adresse (Interface-Identifier) verändern und keinen Zusammenhang zur vorherigen IPV6 Adresse aufweisen.
Diese Prozesse sind Bürger:inne:n und Kund:inne:n nicht nur öffentlich und als Verlinkung in den Service-Verträgen des ISP zu dokumentieren, sondern auch durch die Datenschutzbeauftragten zu auditieren, damit sie rechtskonform gestaltbar sind. Es ist zu vermuten: Schwer-Straftäter:innen wissen um diese IPV6-Falle, verwenden nur klassisches IPV4 – und überlassen IPV6 den jugendlichen Musik-Downloader:innen?
Um dieses weitergehend begleitend zu evaluieren, sollten drei wiss. Gutachten zur rechtswissenschaftlichen, informationstechnischen sowie gesellschaftswissenschaftlichen Einschätzung auch im Kontext der Datenspeicherung umgesetzt werden? – wie es einige Datenschützer:innen für eigene Handlungssicherheit in den IT-Firmen erfragten.
Denn ohne die Beantwortung all der zunächst technischen Fragen aus interdisziplinären Blickwinkeln lassen sich m. E. keine gültigen Überblicke verschaffen für eine rechtskonforme Gestaltung von IP-Speicherungen ohne Vorrat.
III. 7-Tage-Nachwirkung
Neben der Gestaltung von Maßnahmen, die kritisch und unannehmbar vor dem Hintergrund der Urteile der Verfassungsrichter:innen zur Vorratsdatenspeicherung gelten könnten, ist die Praxis bei den Internet Service Providern zur nachwirkenden Speicherung von IP-Daten (sowie ggf. weiterer Daten) derzeit ein weiterer Bereich, der intransparent ist bzw. einer im Zusammenhang mit der Vorratsdatenspeicherung der expliziteren Transparenz bedarf.
Manche Provider speichern die IP-Adresse zugeordnet zu den postalischen Adressen der Kund:inn:en nicht, andere speichern diese schon, beispielsweise für 7 Tage. Ob in der Praxis auch mehr oder weniger Tage gespeichert wird, ist für die jeweiligen Provider den Bundestagsabgeordneten unbekannt. Die Löschung der Speicherungen ist oftmals nicht auditiert oder mit Bußgeldern bei Unternehmen, Geschäftsführer:inne:n und Datenschutzbeauftragten der Unternehmen belegt. Auch haben die Landes- und der Bundes-Datenschutzbeauftragte keine Rollen in diesen Prozessen.
Der EuGH hat festgelegt, dass auch eine kollektive anlasslose Speicherung von 70 Tage keine Option ist.
Eine gesetzliche Regelung für die Speicherung auch nur von 7 Tagen besteht nicht auf Basis aktueller Rechtsgrundlagen: Die Speicherung von 7 Tagen wäre/ist also ebenso normativ und zu begründen und auf entsprechende gesetzliche Grundlagen zu stellen. Warum sind es nicht 4 oder 6 Tage?
Bei den Internet Service Providern kann nach derzeitiger Rechtslage für alle Kund:inn:en weder die Bekämpfung schwerer Kriminalität noch die Verhütung ernster Bedrohungen der öffentlichen Sicherheit vorliegen gemäß EuGH 2022 RN 72+73, um überhaupt eine Speicherung und Herausgabe der IP-Adressen bzw. Zuordnung der IP-Adressen zu postalischen Adressen der Kund:inn:en nach Trennung der IP-Verbindung zu rechtfertigen.
An dieser Stelle sei etwas zum bisherigen historischen Verlauf der Vorratsdatenspeicherung erläutert: Obwohl das deutsche Bundesverfassungsgericht schon die damaligen deutschen Vorschriften zur Vorratsdatenspeicherung mit Urteil vom 2. März 2010 für verfassungswidrig und nichtig erklärte, wurde am 18.12.2015 mit der damaligen Mehrheit der Großen Koalition ein weiteres Gesetz zur Vorratsdatenspeicherung verabschiedet (vgl. Speicherpflichten im damaligen TKG 2016 (§ 150 Abs. 13 TKG, bzw. auch § 113b TKG, vgl. f. aktuell auch § 100g Absatz 2 StPO und in den §§ 175 bis 181 des aktuellen TKG ab 2021; auch die Wikipedia dokumentiert den historischen Verlauf sehr gut).
Das Oberverwaltungsgericht des Landes Nordrhein-Westfalen stellte dann mit Beschluss vom 22. Juni 2017 fest, dass die gesetzlichen Regelungen zur Vorratsdatenspeicherung in Deutschland gegen EU-Recht verstoßen: In Vermittlung des Bundesdatenschutzbeauftragten zur Bundesnetzagentur wurde vereinbart, dass IP-Adressen – je nach Anbieter – nicht mehr oder maximal sieben Tage lang gespeichert werden. Auch wenn es allgemein heißt, dass durch die Bundesnetzagentur die Vorratsdatenspeicherung „faktisch ausgesetzt“ sei, indem von Anordnungen und Bußgeldverfahren wegen Nichtumsetzung der Speicherpflicht abgesehen werde, sprechen auch heute noch einige (auch im Bundestag) davon, dass die Internet Service Provider die Daten 7 Tage „freiwillig“ speicherten. Diese „Freiwilligkeit“ ist jedoch m.E. auch davon abhängig, inwieweit diese ein IP-Re-Assign wie oben benannt anwenden und damit eine de-facto-technische-Vorratsdatenspeicherung per Mogelei bei allen Bürger:inne:n betreiben.
Die heute noch fortwährende Praxis der Internet Service Provider beruht auf einem quasi „Gentlemans Agreement“ zwischen Bundesdatenschutzbeauftragten und der Bundesnetzagentur aus dem Jahre 2016 zu einem niemals (hinsichtlich der Speicherfristen) zur Gültigkeit gelangten TKG, das weiterhin auf einer nur bis zum 30.11.2021 geltenden Fassung beruhte, die ab dem 1.12.2021 geltenden Fassung TKG-Fassung beinhaltet ebenso mit Stand heute keine gültige Vorratsdatenspeicherung und keine gültigen Speicherfristen.
Die Urteile 2010 (Bundesverfassungsgericht), 2017 (Oberverwaltungsgericht NRW) und 2022 (EuGH) sowie 2023 (Bundesgerichtshof) verpflichten deutsche Telekommunikationsanbieter jedoch vielmehr zur sofortigen Löschung der bis dahin gesammelten Daten. De Facto ist die Vorratsdatenspeicherung mit der 7-Tage-Speicherung der IP-Adresse und Nachwirken der Verknüpfung der IP-Adresse mit der postalischen Identität jedoch „faktisch nicht ausgesetzt“. Das muss dringend geändert werden: Ein „Gentlemens Agreement“ sollte daher auf geltende Gesetze eines Rechtsstaates gestellt werden.
Muss die Speicherung daher nach derzeit geltendem Recht unterbleiben und auf null statt sieben Tage gesetzt werden? Die Bundesregierung ist aufgefordert, entsprechendes Recht auch umzusetzen und die Einhaltung bei den Internet Service Providern entsprechend zu kontrollieren.
Es wäre analog so, als wenn alle Besucher:innen eines Autohauses in Berlin sich dauerhaft ausweisen und registrieren müssten, nur weil in Zukunft – sagen wir in 7 oder 70 Tagen – ein Auto aus dem Autohaus gestohlen werden könnte. So funktionieren in der realen Welt weder Autohäuser noch Supermärkte. Wer ein Ladenlokal, ein Autohaus oder einen Supermarkt, wieder verlassen hat, kann nicht mehr von Kaufhausdetektiv:innen als Ladendieb:in festgehalten werden. Gleiches muss nach derzeitiger Rechtslage für das Verlassen einer IP-Adresse gelten – der Laden wurde verlassen und es gibt keine flächendeckend registrierte Kund:inn:en der Vergangenheit.
Dieses Vorgehen bestätigt auch der bisherige, aktuelle Referent:inn:en-Entwurf zur Vorratsdatenspeicherung des Bundesministeriums der Justiz als Alternative: „C. Alternativen: Eine Alternative bestünde in der ersatzlosen Streichung der Regelungen zur Vorratsdatenspeicherung“ (veröffentlicht über Netzpolitik, ebenda 25.10.2022).
Es ist daher nach dem EuGH-Urteil und weiteren ebenso eine Bewertung nach derzeitiger Rechtlage seitens der Bundesregierung vorzunehmen, ob eine 7-Tage-Speicherfrist ausgesetzt werden kann, ob die 7-Tage-Frist ausreichend ist oder nicht besser eine 10- oder 70-Tage Speicherfrist sein solle oder aber die 7-Tage-Speicherfrist durch eine IP-Re-Assign oder durch den Zaubertrick des Doppelten Bodens mit einem IP-Hybrid-Pairing ersetzt werden können? Dieses hat nichts mit zwischen den Ministerien noch nicht abgeschlossenen Absprachen zur Einigkeit über Speicherungen zu tun, sondern ist eine notwendige Bewertung der derzeitigen gesetzlichen Realität seitens der Bundesregierung.
Alle diese Praxisverfahren zur Speicherung von IP-Adressen auf Basis von Absprachen aus 2016 und seitdem ggf. gewandelten Anpassungen sind derzeit beliebig und intransparent und sind zu analysieren, prüfen und beurteilen, ob sie den verfassungsrechtlichen Regeln und deutschen (ggf. zu korrigierenden) Gesetzen genügen, die eine anlasslose Massen-Speicherung nur bei Vorliegen einer ernsten Bedrohung der Nationalen Sicherheit oder zum Nachweis schwerer Kriminalität rechtfertigt (EuGH 2022 RN 72/73).
Technische Anfragen an die politisch Aktiven zur 7-Tage-Nachwirkung:
- Vodafone speichert die IP-Adressen nach deren Ende angeblich nicht. Hat die Bundesregierung Kenntnis davon, ob dieses richtig ist? Warum darf die Telekom die IP-Adressen sieben Tage lang speichern? Hat die Bundesregierung davon Kenntnis, ob die Telekom IP-Adressen auch nach Verbindungsende noch weitere Tage speichert? Falls ja, wie lange? Wie wird dieses in Bezug zur derzeitigen EU-Gesetzeslage seitens der Regierung bewertet? Ist eine Aufforderung an die Telekom erfolgt, IP-Adressen wie Vodafone NICHT zu speichern, auch 7 Tage nicht?
- Wie werden die Löschungen der IP-Adressen vollzogen bei den einzelnen Internet Service Providern? Werden sie automatisiert oder manuell umgesetzt? Werden Backups angefertigt? Wie werden diese Löschungen dokumentiert und wer zeichnet in welchem Rhythmus verantwortlich dafür – bei dem jeweiligen ISP?
- Welche objektiven Kriterien bestehen bei den jeweiligen Internet Service Providern, um die IP-Adressen 7 Tage lang zu speichern oder sie auch nicht zu speichern? Welches Ziel wird mit den Kriterien für eine Speicherung bei dem jeweiligen Provider verfolgt? Welche Ziele gemäß EuGH 2022 RN 72 und 73 liegen bei einem jeweiligen Provider vor und liegen die Ziele bei allen deren Kund:inne:n vor? Werden die Ziele der Speicherung bei einem jeweiligen der oben genannten Provider transparent gemacht zu Bürger:innen?
- Stimmt die Bundesregierung der Auffassung zu, dass eine 7 Tage Speicherfrist auf Basis der heutigen Gesetzeslage von den Internet Service Providern ausgesetzt werden kann, d.h. auf null Tage reduziert werden kann?
- Ist die Bundesregierung der Auffassung, dass die 7-Tage-Frist ausreichend ist und/oder nicht besser eine 10 oder 70 Tage Speicherfrist sein sollte?
- Teilt die Bundesregierung die Auffassung, dass die 7-Tage Speicherfrist durch eine IP-Re-Assign oder durch den Zaubertrick des Doppelten Bodens mit einem IP-Hybrid-Pairing ersetzt oder ergänzt werden kann?
- Hat die Bundesregierung Kenntnis darüber, das Internet Service Provider derzeit auch länger als 7 Tage IP-Adress-Daten speichern?
- Wir stellen weiterhin die Anfrage an die Bundesregierung, ob sie die Aussagen des EuGH ebenso nach einer kollektiven (allgemeinen unterschiedslosen) und individuellen (personenbezogenen) Vorratsdatenspeicherung unterscheidet – auch hinsichtlich der Einführung und den zugeordneten Zeiträumen? – wie es folgende, in einem Forum von rechtswissenschaftlich Studierenden argumentativ vertreten und ausgearbeitet wurde und in diesem Beitrag diese Rechtsfrage zum Verständnis der Bundesregierung zu dem Kriterium eines „unterschiedslosen“ „Zeitraumes“ im Sinne des EuGH 2022 gerne dazu journalistisch mit aufgegriffen und angefragt werden soll: Die Argumentationsfigur aus dieser Diskussion zitierend lässt sich daher wie folgt zusammenfassen: Es ist vielmehr festzustellen, dass im EuGH 2022 Urteil zur Vorratsdatenspeicherung mit der Formulierung „auf das absolut Notwendige beschränken“ oftmals Eingriffe, Maßnahmen, Einschränkungen gemeint sind. Auf einen Zeitraum bezieht sich „das absolut Notwendige“ in folgenden RNs des EuGH 2022: RN 72: bei einer „ernsten Bedrohung für die nationale Sicherheit“, RN 75: bezieht sich auf „zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit“ und RN 131 bezieht sich auf: „zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit“. Es wird zwar herausgestellt, dass sich „das absolut Notwendige“ auf einen verlängerbaren Zeitraum beziehen kann, es wird jedoch nicht herausgestellt, wie lange der Zeitraum für „das absolut Notwendige“ definiert ist. Es wird in der Ausarbeitung der Länder dazu ggf. unterschiedliche Vorstellungen geben, selbst bei der unterschiedslosen Vorratsdatenspeicherung. Weiterhin ist nicht geklärt, ob die Anwendung der Vorratsdatenspeicherung kollektiv eingeführt werden kann (zum Beispiel ab Januar), ein Zeitraum der Beschränkung auf das „absolut Notwendige“ sich dann aber individuell orientieren soll (z.B. 7 Tage nach IP-Verbindung von Herrn Mayer). Denn: Auch wird eine zeitliche Definition des „absolut Notwendigen“ durch ein Start-Datum und ein End-Datum gekennzeichnet. Dabei ist die Rechtsauffassung zu klären, eine Vorratsdatenspeicherung deutschlandweit kollektiv einzuführen mit einem kollektiven Startdatum „SD-K-1“ ohne Enddatum und im weiteren Verlauf die Anwendung individuell bei einer Einzelperson mit einem weiteren individuellem Startdatum „SD-I-1“ der Speicherung ab Bestehen der IP-Verbindung bis hin zu einem individuellen Enddatum (ED-I-1) zu operationalisieren. Die Anwendung von End-Daten, wann die Speicherung zu Ende ist, nach welchem Datum eine Verlängerung des Zeitraumes eintreten soll, ist bei der Speicherung bei betroffenen Personen gültig. Es ist eine gezielte Vorratsdatenspeicherung. Hier kann verlängert werden. Es ist eine individuelle Vorratsdatenspeicherung. Die kollektive, im EuGH-Urteil als „allgemeine und unterschiedslose Vorratsdatenspeicherung“ bezeichnete Vorratsdatenspeicherung muss im Sinne einer Beschränkung auf das Notwendige explizit auch eine zeitliche Ausgestaltung berücksichtigen: Ein Start-Datum und ein End-Datum. Der Satz „kann zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit für einen auf das absolut Notwendige begrenzten Zeitraum eine allgemeine und unterschiedslose Vorratsspeicherung der IP‑Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen“ könnte also operationalisiert bedeuten: Deutschland kann im Januar die VDS anschalten, muss sie dann aber nach einem Zeitraum X wieder abschalten, z.B. dann, wenn die nationale Sicherheit nicht mehr bedroht ist. Dazu ist die Vorratsdatenspeicherung ja unterschiedslos. Schwere Kriminalität des Herr Meyer rechtfertigt also nicht, dass sie dauerhaft für alle eingeschaltet bleibt. Sowohl die „unterschiedslose“ (ggf. war eine „an Verbrechens- bzw. Schutz-Arten zweckgebundene Vorratsdatenspeicherung“ gemeint; EuGH 2022 RN 132 zweiter Spiegelstrich) wie auch die „Personen-bedingte“ Vorratsdatenspeicherung (EuGH 2022 RN 132 dritter Spiegelstrich) sind zeitlich befristet („begrenzten Zeitraum“ bzw. „begrenzter Zeitraum“). Es gibt also ein End-Datum. Die beiden Spiegelstriche sind nicht umsonst getrennt: bezeichnen Sie doch eine individuelle (personenbezogene) bzw. kollektive Maßnahme. Das End-Datum einer kollektiven Maßnahme als ein End-Datum einer individuellen Maßnahme zu sehen, ist m.E. jedoch abenteuerlich. Und, weiterhin ganz profan operationalisiert: Die unterschiedslose Vorratsdatenspeicherung kann also keinen Unterschied machen, wenn Herr Meyer M-X Tage mit seiner IP-Adresse im Internet ist und diese dann noch M-Y Tage gespeichert wird – bis zu einer Löschung; und Herr Schmidt S-X Tage mit seiner IP-Adresse im Internet ist und diese dann noch S-Y Tage gespeichert wird. Eine Operationalisierung „immer dann, wenn du Online kommst, greift für Dich ein Speicherzeitraum Z“ ist nicht die Ausgestaltung eines begrenzten unterschiedslosen Zeitraums, da die Maßnahme dann für alle und für alle unterschiedlich, also nicht unterschiedslos, gilt. Zudem könnten Zeiträume auch an dem Datum der Straftat oder dem Datum der Verbindungstrennung ausgestaltet sein. Wird das Datum der Verbindungstrennung gewählt ist undefiniert, ob eine Straftat am Vortag einer Verbindungstrennung in den Zeitraum hineinfällt, damit die Speicherung unterschiedslos ist. Das Rechtsverständnis des (EuGH 2022 RN 132 dritter Spiegelstrich) muss insofern viel mehr operationalisiert werden: Beispielsweise: Aufgrund einer erwarteten Bedrohung der Nationalen Sicherheit in Deutschland im Zuge der kriegerischen Auseinandersetzungen in Spezialoperationen zwischen Russland und der Ukraine schaltet Deutschland die Vorratsdatenspeicherung im Januar (kollektiv) an – und schaltet sie aufgrund der Notwendigkeit eines definierten Zeitraumes im Mai wieder (kollektiv) aus. Dieses gilt unterschiedslos auch in Beispielen zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit. Genau genommen ist mit beiden Absätzen des zweiten und dritten Spiegelstriches im EuGH Urteil 2022 RN 132 definiert worden, dass es keine unbegrenzte Zeiträume einer Vorratsdatenspeicherung geben kann! Hätte der EuGH eine unbefristete dauerhafte Vorratsdatenspeicherung für alle ohne Anlass durchgewunken, hätte er die Schutzrechte von Bürger:innen gar nicht erst abwägen müssen! Die Vorratsdatenspeicherung wäre von vorneherein gültig. Lediglich der vierte Spiegelstrich von EuGH RN 132 sieht keinen Verweis auf eine Zeitbeschränkung vor. Hier sind „Daten“ gemeint, die die „Identität der Nutzer“ betreffen, also beispielsweise deren Adresse. Hier wäre ggf. zum eindeutigeren Verständnis das Wort „Personendaten“ oder „Adressdaten“ ergänzenswert gewesen. Eine nationale Regelung, die bei allen einzelnen Bürger:innen eine individuelle aber allgemeine und unterschiedslose Speicherung vorsehen möchte, kann keine dauerhafte individuelle Regelung sein. Das Start-Datum, einer kollektiven Regelung kann auch nicht davon abhängen, wann eine:r Einzelne:r die jeweilige Internet-Sitzung beginnt. Dieses wäre eine personenbezogene Vorratsdatenspeicherung. Es kann dieser Argumentation zufolge also keine Vorratsdatenspeicherung geben, die kollektiv begonnen wird, aber dann individuell endet. Auch kann der Zeitraum durch technische Praxis von verschiedenen vorgenannten Ereignissen abhängen und zu ganz individuellen und damit nicht mehr unterschiedslosen Zeiträumen führen.
- Durch welche Rechtsvorschriften sollen durch klare und präzise Regeln sichergestellt werden, dass bei einer nachwirkenden oder zeitraumdefinierten Speicherung der IP-Adresse die geltenden materiellen und prozeduralen Voraussetzungen eingehalten werden und dass die Betroffenen über wirksame Garantien zum Schutz vor Missbrauchsrisiken verfügen?
- Welche Dauer eines Zeitraumes einer IP-Datenspeicherung will die Bundesregierung vorsehen?
- Durch welche Rechtsvorschriften soll die Vorwirkung der Speicherung einer IP-Adresse (die Tage, die rechnerisch über den gesetzlich definierten Speicherzeitraum hinaus gehen und vor dem Start des Aufzeichnungszeitraumes liegen z.B. nach einem Re-Connect und bei IP-Re-Assing) im Sinne des EuGH unterschiedslos für eine Zeitraumdefinition umgesetzt werden?
- Verlängern (auch vorgelagerte) Nutzungszeiten einer IP-Adresse den seitens des EuGH zu definierenden Speicherzeitraum einer IP-Adresse? Welcher Tag gilt dann als Start-Datum eines gesetzlich definierten Speicherzeitraumes?
- Plant die Bundesregierung auch die Option eines rückwirkenden Start-Datums eines Speicherzeitraumes und wird es rechtlich möglich sein, dieses Start-Datum auch vor dem Datum eines richterlichen Beschlusses festzulegen?
- Geht die Bundesregierung damit überein, dass die sog. Budapester Konvention schon aus dem Jahr 2001 insbesondere in Artikel 16 lediglich eine individuelle, personenbezogene Vorratsdatenspeicherung meint und keine kollektive Vorratsdatenspeicherung?
- Welche technischen Maßnahmen, Werkzeuge und Protokolle sind der Bundesregierung bekannt, mit der Bürger:innen eine Vorratsdatenspeicherung umgehen könnten?
- Sieht die Bundesregierung das Instrument einer Log-In-Falle unter dem Gebot einer individuellen (personenbezogenen) Vorratsdatenspeicherung, und falls ja, warum?
- Sieht die Bundesregierung das Instrument eines „Quick Freeze“ unter dem Gebot einer kollektiven (allgemeinen, unterschiedslosen) Vorratsdatenspeicherung und falls nein, warum nicht?
- Wie wird bei einer vorliegenden Definition über den Speicher-Zeitraum sichergestellt, dass Internet Service Provider den Datenschutz bei der Übermittlung der Daten an die Sicherheitsbehörden berücksichtigen: Welche Verschlüsselung und Übertragungsmethode soll eingesetzt werden, um Speicherdaten zu transferieren und wie wird sichergestellt, dass nur Daten ab dem Start-Datum des definierten Speicherzeitraumes übertragen werden?
Internet Service Provider könnten sich dazu verpflichtet fühlen, nach Nutzung einer IP-Adresse keine Speicherung bei allen vorzunehmen, solange es kein verfassungskonformes Gesetz zur Speicherung von IP-Adressen anlasslos bei allen gibt.
Datenschutz-beauftragte wachen in jeglicher Ausgestaltung über die Einhaltung der Prozeduren und Löschung der zugewiesenen IP-Adresse nach Verbindungsende und Verhinderung der erneuten Zuweisung derselben IP-Adresse bei einem erneuten Verbindungsaufbau.
IV. Quick-Freeze vs. Login-Falle: Droht eine Einführung der Vorratsdatenspeicherung durch die Hintertüre?
Eine Quick-Freeze Regelung, die nicht explizit darauf hinweist, dass IP- Daten, die zeitlich vor einem Datum eines richterlichen Beschlusses liegen, in der Betrachtung ausgeschlossen bleiben müssen, wäre eine Regelung, die ebenso nach bisherigen Urteilen verfassungsrechtlich zu prüfen wäre als Vorratsdatenspeicherung durch die Hintertüre.
Der Zeitpunkt des Beginns der Speicherung ist entscheidend
Ab wann, ab welchem Datum, soll im Einzelfall die Aufzeichnung z.B. des Surfverhaltens eines Individuums beginnen? – fragen Techniker:innen in dieser Diskussion.
Denn: Der Zeitpunkt der richterlichen Entscheidung ist nicht unbedingt ein Zeitpunkt einer ersten Tat.
Es hilft ggf. der Vergleich „wie bei der ZDF-Hitparade“: es gilt der Zeitpunkt, ab wann jemand die Aufnahmetaste seines Kassetten-Recorders vor dem Fernseher drückt, um die Musik aufzunehmen (wie in alten Zeiten).
Liegt das Datum der Tat in der Vergangenheit vor dem Datum des richterlichen Beschlusses, dann müsste eine Aufzeichnung bei allen anlasslos greifen, es wäre eine Vorratsdatenspeicherung, die dann für den Einzelfall ausgefiltert wird. Und das ist und bleibt eine Vorratsdatenspeicherung bei allen – und für fast alle anlasslos. Das Konstrukt: „Wir zeichnen von allen auf, greifen aber im Bedarfsfall nur auf Einzelpersonen-Daten zu“, ist brüchig.
Wenn diese Zeitpunkte des Aufzeichnungsbeginns und der Tat deckungsgleich (oder schon zu einem Zeitpunkt davor, um die Tat-Planung recherchieren zu können) sein sollen, muss eine richterliche Entscheidung rückwirkende Daten umfassen. Es erfordert immer eine Cache-Speicherung bei den technischen Providern bei allen Menschen anlasslos, für den Fall, dass eine:r dann mit schwerer Straftat auffallen sollte.
Quick-Freeze erfordert eine Aussage zu historischen Alt-Daten
Diese Cache-Speicherung – gleich für wieviel historische Tage nach dem Quick-Freeze-Konzept – ist eine Vorratsdatenspeicherung durch die Hintertüre und mit allen bisherigen gerichtlichen Entscheidungen zu prüfen, wenn das Quick-Freeze-Konzept nicht die Conditio explizit benennt, dass der Zeitpunkt der richterlichen Entscheidung als Startdatum gilt.
Diese Cache-Speicherung ist dem Quick-Freeze also ohne die oben genannte Bedingung immanent, insbesondere aus technischer Sicht und führt ebenso zur Prüfungsnotwendigkeit und ggf. Widrigkeit des Instrumentes Quick-Freeze. Wer dieses Instrument gestalten möchte, muss sich bei der Konzeptgestaltung die Frage gefallen lassen, ob technische Infrastrukturen aufgebaut werden sollen, die einer illegalen Vorratsdatenspeicherung bislang zuträglich wären.
Denn: Auch nur kurze Aufzeichnungen von allen gelten bereits jetzt schon als verfassungswidrig!
Wie lange dürfte sonst der Tatzeitpunkt vor dem Zeitpunkt der Richter-Entscheidung liegen?
Quick-Freeze mit einem Filter für nur eine Person aus historischen Daten von allen wirft alle Fragen aus mehr als 15 Jahren Diskussion um die Vorratsdatenspeicherung wieder auf.
Nachwirkende Cache-Speicherung hinfällig: Gilt derzeit rechtlich eine kurze „VDS-Light“?
Wie viele Tage sollte ein Provider IP-Adressen mit dem Vorwand von nötigen „Betriebsdaten“ speichern dürfen? Ist das zehn Jahre alte Agreement zwischen Bundesdatenschützer und der Netzagentur (basierend auf u.g. BGH-Urteil) jetzt nach dem EuGH-Urteil hinfällig hinsichtlich einer 7-Tage-Speicherfrist und heißt es für die IT-Provider nun: keine weitere Speicherung der IP-Adresse nach deren Nutzungsende?
Für die Internet-Provider gibt es keine wirklichen allgemeingültigen betrieblichen Gründe zur Speicherung der IP-Adresse über deren Nutzungszeit hinaus – denn auch diese Cache-Speicherung – bei allen anlasslos angewandt – ist eine mit entsprechenden Bedingungen nicht zulässige Vorratsdatenspeicherung – solange es auch andere Provider gibt, die dieses für einen bestimmten Grund eben nicht tun.
Eine Mini-Vorratsdatenspeicherung oder Vorratsdatenspeicherung-Light von z.B. 7 Tagen, um nicht-schwere Verbrechen zu verfolgen, würde bedeuten, Urheberrechtsverletzungen durch Musik-Downloads gleichzusetzen mit einem nationalen Notstand oder schweren Verbrechen z.B. im Bereich der Banden-Kriminalität.
Zeugt es zudem von völliger Naivität, zu sagen, die kleine Vorratsdatenspeicherung von 7 Tagen der VDS-Light wird nur für leichte Verbrechen wie Musik-Downloads genutzt, aber nicht für die schweren Verbrechen? Es ist in jedem Fall eine Vorratsdatenspeicherung, die zunächst anlasslos bei allen technisch aufgezeichnet werden müsste.
Ist es wohl mit den höchst-richterlichen Urteilen derzeit so, dass, wenn die IP-Adresse erloschen ist, auch kein Verbrechen mehr nachvollzogen werden kann – egal ob leicht oder schwer?
Es muss also sauber abgegrenzt werden: Eine „kleine Vorratsdatenspeicherung“ der IP-Daten, um leichte Verbrechen durch eine „VDS-light“ zu erkunden, steht auf keinem rechtlich sicheren (d.h. für eine Vorratsdatenspeicherung verfassungsrechtlichen und höchstrichterlichen) Boden – es würden/werden Daten von allen anlasslos gespeichert.
Auch kann es hier keine „betriebliche Übung“ geben, die die Provider bislang unisono für andere übernahmen. Die Betrachtung einer 7-Tage-Aufzeichnung bei einer VDS-Light mit Daten aus der Vergangenheit ist ebenso eine Vorratsdatenspeicherung wie die 7-Tage nachwirkende Speicherung nach Nutzungsende einer IP-Adresse, die schon nur in einer Woche die Daten komplett zu historischen Daten einer Vorratsdatenspeicherung macht – einfach durch Zeitablauf. „Immer wieder Sonntags …“: Es fänden damit – sieben Tage in der Rückschau, wie auch sieben Tage in einer zukünftig anhaltenden Speicherung – an jedem Tag der Woche anlasslose Speicherungen auf Vorrat statt, die massenhaft in „Erinnerung“ kommen könnten, falls sie im Einzelfall strafrechtlich relevant werden sollten.
Diese Befürchtung bzw. den Status-Quo der Rechtsrealität haben auch einzelne Akteure erkannt: Maciej Szpunar, Generalanwalt am Europäischen Gerichtshof, befürwortet nun dennoch eine Vorratsdatenspeicherung für leichte Straftaten wie Urheberrechtsverletzungen im Bereich des Filesharings von Musik- und Kinofilm-Downloads (Szpunar 2023).
Vor dem Datum eines, und ohne einen richterlichen Beschluss sollte nichts an IP-Speicherung da sein? Eine Frage zur Speicherung, die die Bundesregierung und Jurist:inn:en im derzeitigen Rechtszustand an die Techniker: innen beantworten können sollten – erst dann kann man sich über den nicht-freiwilligen Speicherzeitraum einigen, der morgen schon das Heute als gestern definiert.
Manche meinen, der Zeitraum müsse sowohl in der Vorschau (Nachwirkende Speicherung) als auch in der Rückschau (Speicherung historischer Daten inkl. Löschfrist) derzeit bei Null liegen – daher speichern einige Provider die IP-Adresse und ihre Zuordnung zu Kund:inn:en nach Ende der Nutzung ja gar nicht, weil die Unternehmen vor ihren Datenschutzbeauftragten eine rechtswidrige Speicherung für alle nicht „freiwillig“ bzw. „incompliant“ ohne Rechtsgrundlage für höchst-richterlich bestätigte Löschfristen durchführen, um die Daten dann an Externe herauszugeben (vgl. BGH, Urteil v. 3.7.2014, III ZR 391/13: RN 23: „Ein Zugriff von Polizei oder Staatsanwaltschaft auf die gespeicherten Daten ist in dieser Rechtsgrundlage nicht vorgesehen“; sowie f. s. a. TKG § 100 (Abs. 1, Satz 4) Störungen von Telekommunikationsanlagen und TKG § 96 Verkehrsdaten jeweils altes TKG bis 30.11.2021 bzw. ab 01.12.2021 aktuelles TKG § 165 Abs. 3 sowie STPO § 100j Abs. 2 mit Verweis auf heutiges rechtswidriges TKG § 176: Pflichten zur Speicherung von Verkehrsdaten).
IP-Adressen sind nicht nur „sensible Bestandsdaten“, sondern müssen selbst bei Analysen nach einer „Störungsbeseitigung“ „unverzüglich gelöscht“ sein – doch automatisierte Analysen von eingetretenen Störungen und Gefahren oder Bedrohungen scheinen zur „kontinuierlichen“ Dauerstörung geführt zu haben: Darf man also ein `Störgefühl´ entwickeln, wenn man fragt: Mit welcher aktuellen „Rechtsgrundlage“ dürfte man Provider also Verräter oder Kronzeuge nennen, weil sie betriebsinterne Daten, die eigentlich (seit wann?) gelöscht sein müssten, (mit welcher Speicher- bzw. Existenz-Begründung?) an „Externe“ herausgeben – sei es an Anwält:innen oder Polizist:inn:en – sei es mit oder ohne richterlichen Beschluss – und sei es bei leichten oder schweren Verbrechen? Diese verfassungsrechtlichen Fragen hinsichtlich Grundrechtseingriffen können auch nicht individualvertraglich zwischen Providern und Kund:inn:en beantwortet werden.
Ein latent-immanent-virtuelles Cyber-Risiko, das wir nicht Bedrohung der Nationalen Sicherheit nennen, rechtfertigt weder Grundrechtseingriffe in Form einer Vorratsdatenspeicherung bei allen – noch, und das ist hier entscheidend, eine IP-Speicherung nach Ende der IP-Nutzung anlasslos bei allen, deren sensible Bestands-Daten ohne richterlichen Beschluss an Provider-Externe herausgegeben werden sollen.
Unterschiede zwischen Login-Falle und Quick-Freeze
Der Unterschied zwischen Login-Falle und Quick-Freeze ist, dass bei der Login-Falle je nach Konzept-Ausgestaltung nur Wiederholungstäter gefasst werden. Historische Daten werden dann nicht herangezogen. Es wäre eine Falle für einen weiteren, erneuten Login, denn so stellt man – für definierte Umgebungen – Fallen.
Bei Quick-Freeze hingegen möchte man je nach Konzeptausgestaltung eine anlasslose Vorratsdatenspeicherung bei allen, um aber dann nur per Filterung bei denen auf die Daten zugreifen, die auffällig wurden.
Tik-Tok-er:innen nennen es oft wie folgt: „Da ist ein Filter drauf.“ Nehmen wir den Filter vom Quick-Freeze, verbirgt sich in dieser Annahme eine anlasslose Vorratsdatenspeicherung bei allen dahinter. Diese Cache-Speicherung benennt die Vorratsdatenspeicherung nur in „Quick-Freeze“ um.
Daher kann Quick-Freeze eine Mogelpackung sein und müsste eigentlich Vorratsdatenspeicherung heißen bzw. kann eine Einführung der VDS durch die Hintertüre bedeuten, wenn das Speicherdatum X Tage (wie viel Tage genau?) vor einem Datum des richterlichen Beschlusses liegen soll und dieses Konstrukt nicht im Einklang mit den bisherigen Urteilen zur Vorratsdatenspeicherung wäre. Um dieses klar als konform vertreten zu können, muss das Start-Datum der Aufzeichnung als identisch mit dem Datum des richterlichen Beschlusses explizit definiert sein. Quick-Freeze ist daher in mehrfacher Hinsicht eine Nebelkerze bzw. ein potenzieller Taschenspielertrick für eine Mogelpackung.
Aufgrund der notwendigen Ressort-Abstimmungen über die Ministerien und Parteien hinweg, erstens zur Verfahrens-Wahl zwischen Login-Falle oder Quick-Freeze, und zweitens ggf. zur Ausgestaltung eines Quick-Freeze, wird bei vielen Abgeordneten davon ausgegangen, dass es in dieser Legislatur keine Antworten auf die weiteren rechtlichen, konzeptionellen, parteipolitischen, prozessualen und vor allen technischen Fragestellungen geben wird, wie sie in diesem Beitrag aus den technischen Diskussionskreisen dokumentiert sind. Lediglich die Streichungen im § 176 TKG zu den widerrechtlichen Pflichten zur Speicherung von Verkehrsdaten werden in dieser Legislatur realistisch, notwendig und erwartbar sein.
Ein Zwischenstand mit Ausblick: Stärkung des Richterlichen Beschlusses notwendig
Quick-Freeze ohne Conditio zu historischen Alt-Daten, aber mit Filter für den Einzelfall aus der anlasslosen Massenaufzeichnung, ist also eine Mogelpackung, die wir besser weiterhin nicht-rechtskonforme Vorratsdatenspeicherung nennen.
Quick-Freeze mit Conditio, also mit Start-Datum der Aufzeichnung ab dem Datum des Vorliegens eines richterlichen Beschlusses, ist zwar möglich, aber ebenso eine konzeptionelle und ggf. parteipolitische Mogelpackung wie dargestellt, weil wir dieses Konstrukt besser weiterhin „Richterlichen Beschluss“ nennen – und es ohne neue Gesetzgebung bereits heute möglich ist, Individuen zu „tracken“. Und: dieses Quick-Freeze kann dann also nur ab dem Datum eines richterlichen Beschlusses gelten.
Damit kommt man zu dem Ergebnis, dass es keines Quick-Freeze bedarf.
Man muss sich verabschieden von zwei Bedingungen: Erstens der anlasslosen Speicherung in Massen von allen. Und zweitens von der Nutzung von historischen Alt-Daten. Historisch meint Daten, die vor dem Datum des Vorhandenseins eines richterlichen Beschlusses liegen und bei allen erhoben werden – wie derzeit (ohne aktuelle Rechtsgrundlage).
Die Advokat:inn:en zur Vorratsdatenspeicherung müssen nun nach all den jahrelangen Urteilen aus den Gerichtssälen gehen, und die Entscheidungen der Gerichte anerkennen. Oder anders ausgedrückt: Ein totes Pferd begraben. Oder zugespitzt: der „Karneval“ des „Zombies“ darf nicht zur „politischen“ – Techniker:innen würden sagen – „Trollerei“ werden, die 2030 nochmals widerrechtlich ins Gesetz geschrieben wird.
Ermittler:innen bleiben auch ohne Freifahrtschein bei Grundrechtseingriffen bei ihren Ermittlungen nicht Instrumente-los: Der richterliche Beschluss ist die zukünftige Gestaltungs-Grundlage – ohne historische Daten aus einer Vorratsdatenspeicherung (oder ggf. mit einer Login-Falle für Wiederholungstäter:innen mit zukünftigen Daten, egal ob die Login-Falle nun rechtlich definiert wurde oder nicht).
Nicht für alle Straftaten ist überhaupt eine IP-Adresse erforderlich und Urheberrechtsverletzungen durch den Download einer Musik-Datei sind von schweren Straftaten inhaltlich (wie auch in der Statistik) zu unterscheiden: Diese Anliegen von Kanzlei-Anwält:innen stellen m.E. keine unmittelbare Regelungslücke für die Arbeit der Polizist:inn:en dar. Auch ohne IP-Adressen einer Vorratsdatenspeicherung führen weitere Maßnahmen zudem nicht zu nennenswert schlechteren Ermittlungserfolgen. Strafmaße gegen schwere Kriminalität wie Bandenkriminalität oder kriminellen Handel und weitere Anliegen könnten als notwendige und geeignete Maßnahmen noch weiter erhöht werden.
Strafverfolgung ohne IP-Daten bleibt eine Strafverfolgung ohne richterlichen Beschluss zur Zielperson oder den Zielpersonen einer Gruppe bzw. Bande.
Abstimmung eines mögl. Gesetzentwurfes – nach Beantwortung technischer Fragen durch Gutachten
Statt einer Vorratsdatenspeicherung wäre also vielmehr – nach Klarheit bei technischen Fragen auch durch Beauftragung von transdisziplinär einschätzenden Gutachten – eine rechtlich kurze Ausgestaltung zum richterlichen Beschluss etwa wie folgt zu diskutieren:
Verkehrsdaten (das sind IP-Adressen gemäß TKG und auch des Telekommunikation-Telemedien-Datenschutz-Gesetzes)
· einer/eines Beschuldigten sowie
· von Personen, bei denen auf Grund bestimmter Tatsachen anzunehmen ist, dass sie für die/den Beschuldigte:n bestimmte oder von ihr/ihm herrührende Mitteilungen entgegennehmen oder weitergeben oder dass Beschuldigte ihren Anschluss oder ihr informationstechnisches System benutzen,
dürfen ab dem Datum eines richterlichen Beschlusses – für eine im Vorhinein für den Individualfall begrenzte, aber verlängerbare Zeitdauer – erhoben werden, wenn
- bestimmte Tatsachen den per richterlichem Beschluss gefassten Verdacht begründen, dass jemand als Täter:in oder Teilnehmer:in eine schwere Straftat von im Einzelfall erheblicher Bedeutung, insbesondere eine in § 100a Absatz 2 bezeichnete Straftat, begangen hat, in dazu zugehörigen Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat oder durch eine entsprechende Straftat vorbereitet hat,
- die Erhebung der IP-Verkehrsdaten für die Erforschung des Sachverhalts oder zur Ermittlung des Aufenthaltsortes der/des Beschuldigten in einem richterlichen Beschluss dokumentiert als erforderlich angesehen wird und
- die Erhebung der IP-Verkehrsdaten ab dem Datum des richterlichen Beschusses in einem angemessenen Verhältnis zur Bedeutung der Sache stehend richterlich eingeschätzt und dokumentiert wird und keine anderen ermittelnde Maßnahmen abgewogen werden können (wie beispielsweise Telefonnummern für digitale und analoge Kommunikationsüberwachung oder Kopie-Ausleitungen bei Providern oder Peilsender für die Standort-Erfassung, und weiteren verdeckten Ermittlungen, etc.).
V. Referenzen
Ahlers, Ernst (2019): Was ist IPV6?
Budapester Konvention: Übereinkommen über Computerkriminalität, Sammlung Europäischer Verträge – Nr. 185, Budapest, 23.11.2001.
Bundesverwaltungsgericht (2023): Gesetzliche Verpflichtung der Telekommunikationsanbieter zur Vorratsspeicherung von Telekommunikations-Verkehrsdaten unionsrechtswidrig, Pressemitteilung Nr. 66/2023 vom 07.09.2023 zum BVerwG 6 C 6.22 – Urteil vom 14. August 2023.
Buschmann, Marco (2022): Erlauben Sie mir dieses Bild eines Zombies, Deutscher Bundestag – 20. Wahlperiode – 33. Sitzung. Berlin, 11.05.2022, S. 2950.
D64 – Zentrum für Digitalen Fortschritt (2022): Die Login-Falle: Strafverfolgung im Internet ohne Massenüberwachung (Präsentation).
Die Linke (2022): Themenpapiere der Fraktion: Wider besseres Wissen: Zur Vorratsdatenspeicherung.
Digitalcourage (2015): Überwachungsgesamtrechnung: Einführung.
Elektronik Kompendium (2023): Privacy Extensions (RFC 4941).
EuGH (2022): Urteil zur Vorratsdatenspeicherung.
FDP (2022): Quick-Freeze-Verfahren schafft Rechtssicherheit.
Golem (2022): Vorratsdatenspeicherung: Justizminister plant nur Quick-Freeze und keine Login-Falle, 25.10.2022.
Koalitionsvertrag (2021): Mehr Fortschritt wagen – Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit.
Krings, Günter; in Heise (2011): FDP-Politiker legen sich mit Malmström wegen Vorratsdatenspeicherung an, 24.04.2011.
Szpunar, Maciej (2023): Vorratsspeicherung und der Zugriff auf Identitätsdaten, die mit der IP-Adresse verknüpft sind, sollten erlaubt sein, PM Nr. 151/23, Luxemburg, 28.09.2023.
Teltarif (2023): FRITZ!Box-Update: Offenbar große Sicherheitslücke.
Vielen Dank an Claudio Unterbrink für seinen ausführlichen Gastbeitrag und seine Geduld, bis dieser endlich veröffentlicht war.