Internet
Internet
Bildquelle: Leon Seibert, Lizenz

Vorratsdatenspeicherung als „Juristenfolklore“

Wegen Missbrauchspotenzialen und diverser Unzulänglichkeiten habe die Vorratsdatenspeicherung weiterhin keine Aussicht auf Bestand.

Der Beitrag stellt eine zitierende Kurz-Fassung der Stellungnahme von Dipl.-Inform. Hadmut Danisch als Sachverständiger zur Anhörung eines erneuten Antrages zur Einführung der Vorratsdatenspeicherung im Rechtsausschuss des Deutschen Bundestages am 11. Oktober 2023 dar. Der Autor sieht in Abstimmung den Beitrag seitens unserer Redaktion über sein Sachgutachten (bzw. die gekürzte Wiedergabe) über die Zitate als – wie üblich und rechtlich möglich – zitierfähig an.

Die Redaktion dokumentiert bzw. geht auf die Inhalte seines Sachgutachtens ein, da er als Diplom-Informatiker gute Vorschläge zur Datenspeicherung macht, z.B. dass ein Vieraugenprinzip von Staatsanwalt und Richter bei Datenabfragen gelten sollten oder, dass die Daten von den Providern nur an die Judikative und nicht an die Executive, also nicht an die Polizei, herausgeben werden sollten – doch dazu ausführlich in unserem Beitrag seitens der Redaktion Tarnkappe mit den einzelnen Zitaten, Berichten und Auffassungen aus dem Original-Gutachten von Hartmut Danisch, der 2009 leitend für die Aufsicht über die damals neu eingeführte (aber rechtlich entsprechend kritisch gewürdigte) Vorratsdatenspeicherung und sonstige Beauskunftung sowie für die Eingangsprüfung der Auskunftsersuchen zuständig war und ca. 2.000 Anfragen in diesem Jahr bearbeitete.

Erfahrung mit Auskunftsersuchen

Hartmut Danisch leitet in seinem Sachgutachten zur Vorratsdatenspeicherung ein: „Ich war als der Informatiker in der Rechtsabteilung eines großen Telefon- und Internet- Providers in Deutschland über das Jahr 2009 – nicht in meiner eigentlichen Tätigkeit, sondern als Vertretung eines langer erkrankten Kollegen – leitend für die Aufsicht über die damals neu eingeführte Vorratsdatenspeicherung und sonstige Beauskunftung und für die Eingangsprüfung der Auskunftsersuchen zuständig, und habe in dieser Zeit eine Grössenordnung von ungefähr 2.000 Fallen bearbeitet.

Ganz grob und aus der lange zurückliegenden Erinnerung geschätzt wurde

  • ein Drittel der Anfragen als ungerechtfertigt, unverhältnismäßig, sach- oder rechtsfehlerhaft, oder sogar missbräuchlich und zweckfremd (dazu später mehr),
  • mindestens ein weiteres Drittel als entweder fragwürdig oder mangels Begleitinformation als nicht einzuordnen,
  • höchstens ein Drittel, eher weniger, als für mich rechtlich nachvollziehbar, verfassungsrechtlich haltbar und begründet

einstufen.

Es gab jedoch einige Fälle schwerer und schwerster Kriminalität, die durch – und den Umständen nach oft nur durch – die Vorratsdatenspeicherung aufgeklärt oder in denen wohl sogar Menschenleben hätten gerettet werden können.“

Als Beispiel benennt Danisch: „In einem Fall war morgens ein Kind ermordet und tot aufgefunden worden. Nach der Sachlage, der Art der Tötung und anderen Erkenntnissen ergab sich der äußerst drin­gende Verdacht, dass es sich beim Täter um einen Berufsverbrecher handelte, der an diesem Tag unterwegs war, um mehrere Kinder zu töten. Es waren eine Reihe drin­gendster Auskunftsersuchen zu beantworten, um sowohl den Vorfall aufzuklären, als auch die noch gefährdeten Kinder ausfindig zu machen und in Sicherheit zu bringen.

Der Sachgutachter berichtet noch von einem weiteren Fall: „In einem anderen Fall hatte jemand in einem Forum anonym/pseudonym äußerste und ausfällige Wut über eine örtliche Filiale eines Unternehmens geäußert, dass er im Besitz einer Bombe sei und jetzt sofort losfahre, um die da alle in die Luft zu sprengen. Leser des Forums hatten direkt die Polizei alarmiert, welche sofort mit Blaulicht und mehreren Fahrzeugen zur Filiale eilte. Der Administrator des Forums hatte dazu die IP-Adresse mitgeteilt, zu der das Polizeipräsidium telefonisch bei mir anfragte und mich in einer Dreierkonferenz zum Einsatzleiter im Fahrzeug durchschaltete, um die Be­auskunftung schnellstmöglich zu erteilen. Name und Anschrift wurden von mir beaus­kunftet.

Das Präsidium lieferte dazu aus der Halterabfrage die Fahrzeugbeschreibung und die Erkenntnis, dass der Täter nach seinem Wohnort vermutlich dieselbe Haupt­straße benutze, auf der auch die Polizei zur Filiale unterwegs war. Tatsächlich wurde dann – live am Telefon mitgehört – auf dieser Straße das Fahrzeug des Täters ent­deckt, abgedrängt, zum Halten gebracht, der Täter überwältigt und festgenommen. Im Fahrzeug wurde ein mutmaßlicher Sprengkörper gefunden. Ob echt oder Attrappe ha­be ich nicht mehr erfahren, weil die Polizei dann auflegte um das Bombenkommando zu rufen.

Dazu seien einige wenige weitere Fälle angekündigter erweiterter Suizide gekommen. Er weise aber darauf hin, dass dies Einzelfälle waren und kein durchgängiges Muster darstellen, deshalb nicht ohne weiteres geeignet seien, die Bedingungen des EuGH, die so eine Speicherung rechtfertigten, zu erfüllen.

Vorratsdatenspeicherung

Die Vorratsdatenspeicherung mit Portadressen ist auch technisch unzulänglich

Eine Speicherung von IP-Adressen mit genauen Port-Adressen könne es laut Danisch kaum geben, weil sie hinter einer „NAT“ sind:

Hinter NAT „versteckte“ bzw. gesicherte Geräte

Der Diplom-Informatiker erläutert das NAT-Verfahren wie folgt:

„Die sogenannte „Network Address Translation“ bezeichnet eine seit langem üb­liche und bewährte Technik, die jeder – auch ohne es zu merken – in seinem Firmen-oder Heimnetz verwendet.

Genauer gesagt, handelt es sich um eine Sammlung ähnlicher, aber unterschied­licher Verfahren, es gibt verschiedene Arten von NAT.

Statt, wie eigentlich technisch erforderlich, jedem Gerät im lokalen Netz (Firma, Wohnung, Behörde, …) eine eigene offizielle Adresse zu vergeben, und damit viel Adressen für den jeweiligen Anwender vergeben zu müssen, verwendet man den äußeren, an das Internet angeschlossenen Router als eine Art Stellvertre­ter, und gibt nur diesem eine offizielle IP-Adresse, benötigt also nur eine. Diese Konstellation wird als „Hide-NAT“ bezeichnet, weil sie ein ganzes Netzwerk hin­ter einer einzelnen IP-Adresse versteckt. Auch die Bezeichnung „Masquerade“ ist für diese Betriebsarbeit gebräuchlich, weil es nach außen hin eine Maskerade hinter der IP-Adresse des Routers darstellt.

Allen anderen Geräten im Netz gibt man Adressen aus einem Kontingent (definiert in RFC 1918) von Bereichen (nämlich 10/8, 172.16/12 und 192.168/16), die nicht öffentlich verwendet und geroutet werden dürfen, und deshalb innerhalb lo­kaler Netze auch mehrfach verwendet werden können. Der äußere Router oder die Firewall des Netzwerkes müssen dann diese IP-Adressen immer durch die öffentliche IP-Adresse des Routes ausgetauscht werden.

Deshalb haben Rechner im Wohnungsnetz immer Adressen etwa wie 192.168.., und das selbst dann, wenn der Nachbar in seiner Wohnung diesel­ben Adressen verwendet, weil die Router, mit denen man an das Internet ange­schlossen ist, diese Adressen hinter ihrer einen, offiziellen Adresse verstecken. Auf diese Weise werden Mehrdeutigkeiten verhindert, obwohl viele Haushalte dieselben IP-Adressen verwenden.“

Der Diplom-Informatiker führt weiter aus:

„Um das tun und eingehende Pakete auch wieder richtig rückübersetzen und dem einzelnen Gerät zuordnen zu können, müssen sich die Router den Kontext, die Verbindungen merken, und das – bei den Protokollen wie TCP und UDP – in­dem sie sich die sogenannten Portnummern merken, mit denen der Rechner verschieden Verbindungen auseinanderhält und man auswählt, welchen Dienst man auf dem Zielrechner ansprechen will. Beispielsweise sind das 80 für HTTP (Webseiten), 443 für HTTPS (verschlüsselte Webseiten) oder 25 für SMTP (E-Mail). Aber auch auf der Seite des Clients (Nutzers) werden solche Portnummern verwendet, allerdings zufällig gewählte. Die muss der Router sich für eine Verbin­dung merken, um die Pakete, die als Antwort zurückkommen, richtig zuordnen zu können.

Dieses Konzept ist seit rund 30 Jahren erfolgreich im Einsatz und hat sich be­währt (vgl. RFC 1631).“

Sehr leistungsstarke Firewalls könnten diese Zuordnungen auch protokollieren. In der Regel würden sie aber nicht protokolliert, weil sie eine riesige Menge von Daten lieferten.

Hadmut Danisch präzisiert: „Der Einsatz von NAT bei IPv4 ist der Grund, warum man bei Abfragen der IP-Adresse nur den Anschlussinhaber, nicht aber das einzelne Gerät abfragen kann, weil man die NAT-Zuordnung von äußerer, offizieller IP-Adresse zum jeweiligen Gerät von außen nicht ersehen kann. (…) Forensisch führt Provider-NAT zu dem Problem, dass die IP-Adresse aus dem Inter­net nicht mehr bis zum Endanschluss, sondern nur bis zum nächsten NAT-Punkt zu­rückverfolgbar ist, und hier deshalb nicht mehr bis zum Anschlussinhaber und dessen Wohnung oder Firmenräume, sondern nur noch bis zum NAT-Punkt – also dem Rou­ter – des Providers, und damit die Zuordnung zum Endkundenanschluss nachträglich nicht mehr möglich ist.

Viele Gedanken im Zusammenhang mit der Vorratsdatenspeicherung unterlägen daher technischen und auch rechtlichen Fehlern. Und: es sei aus Sicherheitsgründen auch gut, die Rechner z.B. einer Firma hinter einem NAT-Punkt bzw. einer Firewall zu „verstecken“.

Und weiter: Bei dynamischen NAT-Verbindungen würden diese nur für die Dauer einer TCP-Verbindung zugewiesen, und lägen damit im Sekunden oder sogar Millisekunden-Bereich.

Es gibt aber im Allgemeinen auf Internet-Geräten keine hinreichend genaue und zu­verlässige Zeitmessung dafür. Und: Server-Hardware-Uhren seien erfahrungsgemäß oft sehr ungenau und müssten ständig per Software korrigiert oder nachgezogen werden, weil sie oft mehrere Sekunden pro Monat driften.

Server-Uhren seien eben nicht spezifiziert, eine Genauigkeit im Sekunden- oder Mil­lisekundenbereich zu leisten:

Die Serversoftware sein nicht dazu geschrieben, die Uhrzeit in definierter Präzision zu loggen. Erkommt zu dem Ergebnis: „Typische Server-Systeme wie Linux oder Windows sind nicht echtzeitfähig.

Es gibt keine Rechtssicherheit im Internet

Damit gäbe es auch kein Rechtssicherheit im Internet: „Man kann IP-Adressen nicht „rechtssicher“ speichern, weil das Internet selbst nicht „rechtssicher“ ist, und auch nie dafür gebaut wurde. Das ist nicht Teil der Spezifikation und damit auch keine durch Konstruktion und Aufbau hergestellte Eigenschaft“, stellt Hardmut Danisch heraus.

Und bringt es auf den Punkt: „Das Internet ist nicht dafür gebaut, rechtssicher zu sein. Es wurde nicht als rechtssi­cher bestellt, und deshalb auch nicht als rechtssicher geliefert. Insbesondere wurde es nicht an deutschen Rechtsvorstellungen ausgerichtet.

Die „rechtssichere Speicherung von IP-Adressen“ ist also nur Juristenfolklore.

Fälschung der IP-Adresse

Wesentlicher Argumentationspunkt von Danisch ist: Man könne IP-Adressen nicht rechtssicher speichern, weil sie (ohne zusätzliche Maßnahmen) nicht authentisch seien:

Das Internet-Protokoll leistet keine Authentizität, und es ist auch keine solche spezifi­ziert: Es gibt auf IP-Ebene keinerlei Sicherstellung darüber, dass die IP-Adresse, die beim Server als Absender ankommt, auch mit der überein stimmt, die vom Client kam.

Unsicheres Logging

Auch ein rechtssicheres Logging sei im Allgemeinen nicht gegeben:

Das liegt schon daran, dass über die Integrität des loggenden Serversystems nichts bekannt ist. Es gibt heute praktisch keine vollständig angriffssichere Serversoftware und kein hinreichend sicheres, geeignetes Betriebssystem mehr, und viele Server sind nicht aktuell und nicht sehr gepflegt.

Er fragt daher die Bundesregierung: „Woher will man wissen, ob die Software tatsäch­lich die wahrheitsgemäße IP-Adresse eines echten Vorgangs geloggt hat, und nicht falsche Log-Einträge erzeugt hat? Woher weiß man, dass die Log-Dateien tatsächlich das zeigen, was der Server geloggt hat, also Integrität herrscht, und nicht jemand böswillig falsche Log-Einträge hinzuge­fügt oder bestehende verändert hat? Was hindert einen Administrator oder Angreifer daran, in einer Logdatei IP-Adressen auszutauschen? Oder die Programmbibliothek für das Logging zu manipulieren?

Antworten wie auch weitere im Beitrag von Claudio Unterbrink aufgegriffene Fragen sind über die Provider hinweg nicht nur unterschiedlich, sondern für die politischen Entscheider auch unbeantwortet.

Danisch habe vor 20 Jahren schon in Sicherheitsworkshops live vor Publikum vorgeführt, wie er auf triviale Weise falsche Log-Einträge erzeugen konnte, ohne den Server selbst zu kompromittieren.

Ende der Route?

Auch folgender technischer Aspekt spreche gegen eine Vorratsdatenspeicherung: „Nur weil eine IP-Adresse eines Haushaltes angegeben ist, bedeutet das noch lange nicht, dass das das Ende der Route war, die die IP-Pakete nahmen. Wenn sich ein Angreifer beispielsweise Zugang zum Wohnungsrouter oder zur Unternehmensfirewall verschafft, und beispielsweise einen VPN-Tunnel einrichtet und später wieder löscht, werden die Pakete nach außen weitergeroutet. Jeder Radiowecker, jeder Fernseher, jeder Kühlschrank mit Internetanschluss und un­sicherer Firmware könnte heute als Relay missbraucht werden“, warnt Hadmut Danisch vor den technischen Missbrauchspotenzialen einer Vorratsdatenspeicherung.

vorratsdatenspeicherung, Server, Deutsche Telekom, Korinth
Foto: Thorsten Korinth, mit freundlicher Genehmigung.

Insuffizienz und personelle Unzulänglichkeiten bei den Staatsgewalten

Hadmut Danisch ist überzeugt: Der Staat türme einen immer größeren Stapel an Anforderungen, Pflichten, Berichts-zwängen, Formalismen auf, die immer schwieriger zu erfüllen sind, und die Unterneh­men vor immer größere Aufgaben, Probleme und Kosten stellen.

Dabei sei es als symptomatisch zu beobachten, dass vor allem der Gesetzgeber sein Han­deln selbst immer weniger verstehe, und immer mehr davon auf andere, auf die Judi­kative, die Exekutive, die Privatwirtschaft, die Bürger abwälze – obwohl unserer Staats­konstruktion von Demokratie wegen die Pflicht innewohnt, dass der Gesetzgeber alle wesentlichen Entscheidungen selbst treffen müsse. Er zieht dazu ein Fazit: „In einem demokratischen Staat ist der Gesetzgeber ein Macher. In dieser Bundesre­publik ist der Gesetzgeber ein Wünscher und Verlanger“.

Judikative: „Bei den Blinden fehlt ein Vieraugenprinzip“ – sonst bleibe es eine „Operettenveranstaltung ohne Sachkunde“

Hadmut Dansich stellt heraus, dass parallel zu seiner Tätigkeit im Jahr 2009 vor dem Bundesverfassungsgericht das Verfahren über Verfassungsbeschwerden gegen die Vorratsdatenspeicherung stattfand. Zunächst sei die Anwendung über eine einstweilige Anordnung vom 11. März 2008 geregelt worden, die jeweils verlängert wurde, und schließlich am 2. März 2010 geurteilt ( 1 BvR 256/08 ).

Der Diplom-Informatiker erinnere sich noch gut: „Ich habe damals auch die wesentli­chen Teile der Stellungnahme des Branchenverbands Bitkom e.V. zu einem Fragenka­talog des Bundesverfassungsgerichts verfasst. Dabei zeigte sich das Verfahren des Bundesverfassungsgerichts als reine Operetten­veranstaltung ohne Sachkunde: Im gesamten Verfahren war (außer zufällig und indirekt mir, weil der Bitkom intern angefragt und ich gerade Zeit hatte), soweit erkennbar, kein Einziger beteiligt, der kon­krete Kenntnisse und Erfahrungen mit der Vorratsdatenspeicherung hatte. Tatsächliche Probleme der Vorratsdatenspeicherung wurden nicht erkannt, nicht er­fasst, nicht verstanden, nicht behandelt. Es war ein Laienkonzil, das einen Laienkon­sens gefasst und sich dann gefeiert hat. Die einstweilige Anordnung war verfehlt und fast völlig wirkungslos, weil laien­haft und schlecht formuliert.

Urteil zur Vorratsdatenspeicherung war „laienhaft

Hadmut Danisch bringt den Sachverhalt sehr „vereinfacht gesagt“ auf den Punkt: „Das Bundesverfassungsgericht hat laienhaft beschlossen, dass man nicht abfragen darf, welche IP-Adresse ein namentlich genannter Kunde zum gegebenen Zeitpunkt verwendete, was praktisch nie vorkam, während die Polizei in der Realität fragte, wer der Nutzer einer IP-Adresse zum gegebenen Zeitpunkt war.

Und berichten einen wesentlichen Punkt aus seiner Praxis: „In der gesamten Zeit meiner Tätigkeit (1 Jahr, ungefähr 2.000 Fälle) gab es insgesamt nur einen eindeutigen und einen Zweifelsfall, der überhaupt von der Anordnung erfasst wurde. Ich hatte deshalb gemäß der Anordnung nur zwei Kuverts im Tresor liegen. Von etwa 2.000 Auskunftsersuchen und einer nicht erfassten Zahl von abgefragten Daten, vielleicht 10.000 oder 20.000. Also ein Effekt unterhalb des Promillebereichs.

Denn: Ein zentrales rechtsstaatliches Sicherheitselement des Strafverfahrensrechtes sei es, dass bei den Überwachungen, die in das Post- und Fernmeldegeheimnis eingreifen, von denen aber der Betroffene nichts erfahren darf, ein Vieraugenprinzip verankert ist, damit kein Fehler oder Missbrauch eines einzelnen oder einer Behörde möglich sei.

Diplom-Informatiker Hadmut Damisch fordert daher: „Die Staatsanwaltschaft muss es beantragen, und der Richter muss es beschließen. Keiner von beiden soll allein ohne den anderen in das Grundrecht eingreifen können.

Berichte aus der Praxis

Es sei immer wieder passiert, dass ein „dringender“ Gerichtsbeschluss hereingekommen sei, dem zwar zu entnehmen sei, dass er unverzüglich umzusetzen sei, gerne auch mit Strafandrohung, aber in dem nicht gestanden habe, was denn angefragt werde. Meist läge das nach der Praxis Erfahrung von Danisch daran, dass die Gerichte aus Gründen der Rechtssicherheit und um Rechtsmittel und Re­vision standzuhalten, Formulierungen direkt aus dem Gesetz übernähmen, und etwa wie in § 100a StPO formuliert, anordneten, „die Telekommunikation“ aufzuzeichnen, ohne dies näher zu beschreiben.

Er berichtet: „Ich habe dann immer den Richter des Beschlusses angerufen und gefragt, was es denn heute sein dürfe. Eher was Telefonisches, oder doch das Internet. Wenn er beide nähme, könnte ich ihm auch noch eine e-Mail-Ausleitung oder Mobilfunkzellenabfrage draufpacken, wir hätten gerade Angebotswochen. Drei zum Preis von zweien. Einen gibt’s gratis dazu. Die Antwort war stets die gleiche: Das wisse er doch nicht. Ermittlungsrichter müssten 20 Fälle am Tag abarbeiten und hätten die Akten dabei höchstens für eine halbe Stunde auf dem Tisch, könnten diese nicht lesen, und schon gar nicht hinterher sagen, worum es gehe.

Es sei unmöglich, danach Fragen zur Sa­che zu beantworten oder zu klären, worauf sich ihr Beschluss eigentlich beziehe. Ich müsse mich an den Staatsanwalt wenden, der sei Herr des Verfahrens und im Besitz der Akte. Der habe doch den Beschluss beantragt. Der ach so heilige „Richtervorbehalt“ heißt in der Realität, dass Beschlüsse völlig un­geprüft und unverstanden am Fließband einfach durchbeschlossen, und dabei unklar und mehrdeutig formuliert werden, weil man das dann für „Rechtssicherheit“ hält.

Aber auch die Staatsanwälte habe Danisch befragt: „Fragte ich aber die Staatsanwälte, kam auch von denen die immer gleiche Antwort: Woher solle er wissen, was der Richter sich dabei gedacht habe. Das müsse ich doch den Richter fragen, der habe das doch beschlossen. Es sei doch dessen Beschluss. Jeder zeigt nur auf den anderen.

vorratsdatenspeicherung

Rechtsschutz, Richtervorbehalt und Vieraugenprinzip ad absurdum geführt

Der Einzige, der am Ende weiß, was eigentlich gebraucht und verlangt werde, sei der ermittelnde Polizist. Im Rahmen seiner – von Danisch in seinem umfänglichen Beitrag weiter ausführlich beschriebenen – arg begrenzten Sach­kunde. Der Polizist sage einem das dann am Telefon, was der Beschluss beinhalten solle, ob­wohl er das eigentlich nicht zu entscheiden habe und Entscheidungen schriftlich zu er­folgen hätten. In den Akten sei später aber dann nichts mehr nachvollziehbar. Danisch kommt bei dieser wichtigen Forderung zu einem Vier-Augen-Prinzip innerhalb der Judikativen zu dem Punkt: „Damit sind der Rechtsschutz, der Richtervorbehalt und das Vieraugenprinzip völlig wertlos, völlig ad absurdum geführt.“

Exekutive: Fehlende Ausbildung und Einweisung in IT-Kenntnisse bei der Polizei

Aber auch bei der Exekutiven, der Polizei, sieht Hatmud Danisch eine fehlende Ausbildung und Einweisung in IT-Kenntnisse:

Als Anfang 2009 die Vorratsdatenspeicherung eingeführt werden sollte, war ich etwa das erste Vierteljahr praktisch täglich damit beschäftigt, Polizisten Einweisungen und Erklärun­gen zu geben, die anriefen um sich erklären zu lassen, was das jetzt eigentlich sei und wie man das benutze. In vielen Polizeidienststellen wurde einer ausgesucht, der die Aufgaben dann „an der Backe“ hatte. Manchmal war es der Jüngste, weil man sagte, er sei am Internet­affinsten. Manchmal der Älteste, weil der nicht mehr außendiensttauglich war. Es fiel immer wieder auf, dass man die Polizei überhaupt nicht aufgeklärt, angeleitet, eingewiesen hatte, was für ein Werkzeug das ist und wie es zu gebrauchen war.

Er habe damals überlegt, eine Broschüre oder ein Buch dazu herauszugeben, insofern ist es gut, dass er seine Erfahrungen nun in dem Sachverständigen Gutachten für den Bundestag dokumentiert hat.

Es sei unverständlich, warum niemand in der Lage gewesen sei, gegenüber den eigenen Poli­zisten den Umgang, die Anwendung, die Rechtsgrenzen darzulegen. Eine Folge der mangelnden Ausbildung und Einweisung der Polizei sei, neben den Problemen mit der Stellung der Anfragen, auch, dass die Polizeien regelrecht Hilfe suchten und die Provider quasi als Hilfsermittler einsetzten wollten.

Provider wurden zum Hilfsermittler der Polizei!

Er erinnert sich: „Besonders in den ersten Monaten kam es häufig vor, dass keine Anfrage gestellt wur­de, sondern mehr oder weniger die gesamte Ermittlungsakte mit der Bitte um Hilfe und Beratung durchgefaxt wurde, um aus dem Sachverhalt auf mögliche und erfolg­versprechende Anfragen zu kommen und geeignete Anfragen zu formulieren.

Diese Akten waren mitunter sehr unterhaltsam, führten gelegentlich zu Gelächter, aber es kann bei Lichte betrachtet nicht angehen, dass die Provider damit indirekt zu Hilfs­sheriffs der Polizei werden und hoheitliche Aufgaben so völlig ohne Rechtsgrundlage in die Privatwirtschaft ausgelagert werden.

Missbrauchspotentiale der Vorratsdatenspeicherung

Hadmut Danisch sieht wesentliche Missbrauchspotentiale in der Vorratsdatenspeicherung und bringt diese umgehend auf den Punkt:

Vorratsdatenspeicherung bedeutet ein völlig unvertretbares Miss­brauchspotential.“ Und gibt eine Antwort auf eine Frage, die in einer unzulässigen Arbeitsweise mündet:

Die Frage: Wer hatte zum Zeitpunkt Z die IP-Adresse A? ist eine unzulässige Verkehrsprotokollierung.

Hätte man insbesondere die kompletten NAT-Zuordnungen sehr aufwändig protokolliert – und damit weitaus mehr Daten als nur bei der IP-Adress-Zuordnung – würden nach Danisch gänzlich andere Anfragen möglich, ob im Wege des Auskunftsersuchens oder der Beschlagnahme: Und das sei nach EU-Recht und der EuGH-Entscheidung unzulässig.

In Verbindung mit einem möglichen Missbrauch von hoheitlichen Befugnissen durch heimliche unzulässige Abfragen aus politischen Motiven ergibt sich daraus ein völlig unvertretbares Missbrauchspotential,“ resümiert Danisch.

Denn genauso könnte man – heimlich – abfragen: Listen Sie uns alle Kunden, die diesen Blog lesen. Es liefe auf eine komplette Verkehrsaufzeichnung zwar nicht der Inhalte, aber der Verbindungen hinaus:

Das Ansinnen der Vorratsdatenspeicherung ist damit verfassungs- und EU-rechtswidrig und geht weit über eine Vorratsdatenspeicherung hinaus und eine Verletzung des Post-und Fernmeldegeheimnisses (Art. 10 GG).

Es ist zwar festzustellen, dass der EuGH feststellt, dass EU-Datenschutzrecht die Vorrats­datenspeicherung im Allgemeinen verbietet, dann aber einen Katalog von besonderen Ausnahmen davon mit besonderen Bedingungen aufstellt, der Ausnahmen vom Verbot rechtfertige. Darin findet sich durchgängig als Bedingung die Formulierung

· zum Schutz der nationalen Sicherheit,

· als auch zur Bekämpfung schwerer Kriminalität

· und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit.“

Auch folgende Argumentation als Grund zur Einführung einer Vorratsdatenspeicherung gelte für Danisch nicht: „Es erscheint überaus fraglich, ob selbst der bloße Besitz von Kinderpornographie in Form von Dateien auf einem Computer bereits eine so schwere Straftat ist, dass die vom EuGH gezogene Grenze überschritten ist: Denn der EuGH gibt eine Schwelle vor, die mit der nationalen Sicherheit und der Verhütung schwerer Bedrohungen der öffentlichen Sicherheit auf einer Stufe stehen müssen.

Kontrolle des Auskunftsverfahren fehlt

Die Quintessenz sei, dass der Gesetzgeber es nicht vermochte, ein gleichermaßen praktikables und grundrechtskonformes Auskunftsverfahren zu konstruieren. Es gehe immerhin um Eingriffe in das Post- und Fernmeldegeheimnis aus Artikel 10 GG, das dort als unverletzlich geschützt ist, in der Praxis aber nach Danisch Erfahrung „wie auf dem Rummelplatz behandelt werde“.

Bereits die bisherige Konstruktion und die Praxis der Gestattungsverfahren genügten den Anforderungen, die der EuGH hier stelle, nicht. Einen Rechtsschutz für die Betroffenen gäbe es zudem nicht, und es sei nicht einmal gewährleistet, dass die Betroffenen von dem Eingriff überhaupt erführen. „Eine Missbrauchskontrolle fin­det praktisch nicht statt“ – moniert der Sachverständige.

Private Nutzung

Ja, viel mehr noch. Die auf Vorrat gespeicherten Daten würden auch privat genutzt. „Während meiner Tätigkeit in der Vorratsdatenspeicherung im Jahr 2009 habe ich mehrfach (echte) Polizisten bei dem Versuch ertappt, Anfragen für rein private Zwecke zu stellen. Das Erkennen dieser Versuche war aber nur möglich, weil sie sich dabei besonders auffällig und ungewöhnlich angestellt haben und seltsam bedächtig per Telefon ange­fragt hatten, um keine Spuren zu hinterlassen. Sich dabei anhörten wie Kinder, die Kekse geklaut haben. Anfragen dürfen aber (außer in Fällen allerhöchster und drin­gendster Gefahr im Verzuge) weder telefonisch gestellt noch beauskunftet werden. Beide klappten bei kritischer Rückfrage zusammen.

Zumindest hält der Sachverständige für veraltete Arten der technologischen Übertragungen von Daten hält der Autor rückblickend fest: „Bei den normalen Anfragen per Fax bestand keine Möglichkeit, Missbrauch und Zweckentfremdung zu erkennen.“ – Und bei zunehmender Abschaffung der Fax-Technologie ist fraglich, ob die modernen Technologien zur Datenabfrage eine private Nutzung noch sicher ausschließen und mit welcher Verschlüsselung.

Fehlende Authentizität der Anfragen

Anfragen zu IP-Adressen fehle zudem die Authentizität, wirft der Diplom-Informatiker als Themenpunkt zumindest für die vergangene Zeit auf. „Es gab im Jahr 2009 keinen praktikablen Weg, die Echtheit einer Anfrage zu prüfen. Irgendwer schickte ein Fax, und das musste beauskunftet werden, ohne dass dabei zuverlässig klar wurde, ob die Anfrage echt ist und es die angegebene Polizeidienststelle überhaupt gab. Im Prinzip stand die Vorratsdatenspeicherung für jeden offen, der wusste, wie die An­fragen aussehen und formuliert werden müssen“.

Geschäftsmodelle und Geheimdienstschnittstellen

Urheberrechtsklagen sieht der Sachverständige für den Bundestag als kritisches Geschäftsmodell – die ggf auch als dubios zu bewerten seien:

Es gab seinerzeit eine Reihe von Anfragen wegen Urheberverletzungen. Diese waren seinerzeit nach § 101 UrhG nach Einholung eines Gestattungsbeschlusses vom Landgericht zu beauskunf­ten, sofern kein Nutzungsende und damit Löschung der IP-Adresse bestand.

Ein Anbieter einer gewissen Art von urheberrechtlich geschützten Produkten umging dieses Verfahren indem er massenweise Strafanzeigen stellte, die allesamt eingestellt werden mussten, für die die Staatsanwaltschaften aber zunächst Auskunft einholen mussten, um dann Akteneinsicht zu nehmen und die Leute teuer abzumahnen. Die Frage kam auf, ob das Kerngeschäft dieses Herstellers in seinen Produkten oder doch eher im Abmahngeschäft besteht und die Produkte nur der Köder dafür sind.

Auffälliger waren aber oft die Auskunftsersuchen, die mit korrektem Gestattungsbe­schluss eingereicht wurden. Es ist äußerst dubios, wenn jemand behauptet, dass seine Urheberrechte in exakt 500 oder 1500 Fällen verletzt worden seien“.

server

Fazit: Auf absehbare Zeit keine Aussicht auf Bestand: Es gehe um „die Verfolgung politisch Andersdenkender“

Es gäbe zwar gute tatsächliche Gründe für eine Vorratsdatenspeicherung zur Verfolgung und Abwehr schwerster Straftaten.

Die Begründung der Einführung einer Vorratsdatenspeicherung über den bloßen Vorwand und moralischen Hebel des Schutzes der Kinder wecke den starken Verdacht, dass man trotz unserer Demokratie vielmehr politisch Andersdenkende verfolgen wolle:

Es ist aber sehr zweifelhaft, ob schon der reine Konsum und Besitz von Kinderpornographie die vom EuGH aufgestellte Schwelle der Bedrohung für die Gesellschaft erreicht, wie im Bundestagsauschuss „Recht“ gemäß dem dort vorliegenden Antrag angefragt wird.

Es bestehen außerdem schwere Zweifel daran, dass der Schutz der Kinder der wahre Grund für einen erneuten Antrag der Vorratsdatenspeicherung ist. Ich halte das für einen bloßen Vorwand, der als moralischer Hebel verhindern soll, dass man noch dagegen (gegen die Vorratsdatenspeicherung) sein könnte. Es wird der starke Verdacht geweckt, dass es auch hier um die Verfolgung politisch Andersdenkender geht!

Schon deshalb wäre die Vorratsdatenspeicherung abzulehnen.“

Dieser Staat sei nach Ansicht des Sachverständigen in seinem derzeitigen Zustand in allen drei Staatsgewalten mei­lenweit davon entfernt, die vom EuGH geforderten rechtsstaatlichen Qualitäten und Garantien aufzubringen.

Diplom-Informatiker und referierender Sachverständiger für den Bundestag Hardmut Danisch resümiert zur Vorratsdatenspeicherung: „Keine der drei Staatsgewalten ist auch nur annähernd in einem Zustand, der eine Vorratsdatenspeicherung tragen und rechtfertigen könnte. Angesichts der massiven Mängel und des aufgedeckten strukturellen Miss­brauchspotenzial dürfte eine Vorratsdatenspeicherung in Deutschland auf absehbare Zeit keine Aussicht auf Bestand vor dem EuGH haben.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.