> artikel5   > aufsaetze.html  > ecoveranstaltung2002.html



"Internet Service Provider im Spannungsfeld zwischen Strafverfolgung und Datenschutz" - Bericht von der Veranstaltung in Bonn am 26./27.02.2002

von EXT Andreas Neumann *

EXT Zentrum für Europäische Integrationsforschung
Bonn

Vor wenigen Wochen erließ die Bezirksregierung Düsseldorf erstmals Sperrungsanordnungen auf Grundlage des § 18 Abs. 3 Mediendienstestaatsvertrag (MDStV), mit denen Internet-Access-Provider verpflichtet wurden, den Zugang zu Internet-Angeboten unter zwei bestimmten Domainnamen zu sperren. Unmittelbar zuvor hatte das Electronic Commerce Forum e. V. (kurz: eco e. V.), der in Köln ansässige Verband der deutschen Internetwirtschaft, zusammen mit dem Landeskriminalamt Nordrhein-Westfalen, dem Bundeskriminalamt (BKA) und der Generalbundesanwaltschaft zu einer Veranstaltung mit dem Titel "Internet Service Provider im Spannungsfeld zwischen Strafverfolgung un Datenschutz" in das Bonner "Maritim"-Hotel eingeladen. Angesichts der aktuellen Ereignisse und des durch sie erzeugten Interesses der allgemeinen und der Fachöffentlichkeit sahen sich die Veranstalter einer unerwartet starken Nachfrage gegenüber. Als Folge dieses regen Interesses wurde die ursprünglich vorgesehene Beschränkung auf 40 Teilnehmer gelockert, so dass schließlich insgesamt 60 Mitarbeiter von Providern, Strafverfolgungs- und Datenschutzbehörden, sowie betriebliche Datenschutzbeauftragte und Rechtsanwälte teilnehmen konnten.

1. Tag: Dienstag, 26.02.2002, 15 Uhr-18:40 Uhr

a) Prof. Michael Rotert, EXT eco e. V.

Kurz nach 15 Uhr am Dienstag, 26.02.2002, eröffnete der eco-Vorstandsvorsitzende Prof. Michael Rotert im "Haydn"-Saal des "Maritim" die Veranstaltung. Er schilderte kurz das mit der Veranstaltung verfolgte Ziel. Sie solle umfassend über die Rechte und Pflichten der Internet-Provider einerseits und der Strafverfolgungsbehörden andererseits informieren. Zugleich solle das gegenseitige Verständnis für die jeweiligen Anliegen geweckt und die Zusammenarbeit verbessert werden. Dabei verwies Prof. Rotert auf die vom BKA im Jahre 2000 ausgerichtete Informationsveranstaltung zur Bekämpfung von rechtsextremistischen und fremdenfeindlichen Inhalten im Internet, auf welcher die eco-Veranstaltung gewissermaßen aufbaue. Als Ergebnis der Veranstaltung erhoffe man sich bei eco einen Leitfaden für die Provider, der ihnen bei der praktischen Unterstützung der Strafverfolgungsbehörden behilflich sein könne.

b) Andreas Fick, EXT NetCologne

Den ersten Sachvortrag hielt dann Andreas Fick, Datenschutz- und Telekommunikations-Sicherheitsbeauftragter von NetCologne. Im Rahmen einer kurzen Vorstellung des von ihm vertretenen Unternehmens berichtete Herr Fick, dass NetCologne jährlich zwölf Anordnungen zur Telefonüberwachung zu erfüllen habe - bei ca. 100.000 Kunden im Telefonbereich. Dem stünden, bei etwa 80.000 Kunden in diesem Segment, gerade einmal drei Internet-Überwachungen innerhalb von insgesamt drei Jahren gegenüber, wobei es zumeist um E-Mail-Überwachungen gegangen sei. Für die Zukunft sei aber wohl mit einer Zunahme in diesem Bereich zu rechnen. Anschließend gab Fick einen kurzen Überblick über einige Einzelfragen mit Bezug zum Thema der Veranstaltung. Zunächst stellte er diverse Formen der "Internetkriminalität" vor - worunter er neben Spamming, Denial-of-Service-(DoS)-Angriffen und Inhaltsdelikten (Beleidigung, Bedrohung, Kinderpornographie etc.) auch IP-Spoofing verstanden wissen wollte. Die zur Strafverfolgung notwendigen Eingriffe in das Daten- und Fernmeldegeheimnis stellte Fick anschließend überblicksartig dar, bevor er sich der Abgrenzung zwischen Telekommunikation und Inhalten zuwandte. Während Telefonie, Chats, SMS und Newsgroups zur Telekommunikation gehörten, falle das bloße Surfen im WWW nicht darunter.

Danach stellte Fick kurz die jeweils einschlägigen rechtlichen Grundlagen vor - zunächst die des Telekommunikations-Datenschutzes und dann die der Strafverfolgung. Als die beiden zentralen rechtlichen Problembereiche, die aus seiner Sicht gegenwärtig zu identifizieren sind, nannte Fick die §§ 100 g, h Strafprozessordnung (StPO) und § 18 Abs. 3 MDStV. Des Weiteren müsse auf die Ergänzung der Telekommunikations-Überwachungsverordnung (TKÜV) und verschiedene Initiativen aus Anlass der Terrorismusbekämpfung als geplante Gesetzesänderungen hingewiesen werden. Aus all diesem resultiere ein Gewissenskonflikt der Provider, die sich einerseits den Auskunftsanforderungen der Strafverfolgungsbehörden (mit der Gefahr der Strafbarkeit wegen Strafvereitelung) ausgesetzt sehen und andererseits die Anforderungen des Datenschutzes erfüllen müssten. Aus Sicht des Providers ließen sich daher einige Anforderungen an die Strafverfolgungsbehörden formulieren, welche die Zusammenarbeit zwischen den Providern und den Behörden verbessern könnten - so müsse etwa bei einer Anfrage die Rechtsgrundlage eines Auskunftsbegehren genannt werden. Daran anschließend erläuterte Fick die technischen Details eines Internet-Verbindungsdatensatzes und wies auf die Bedeutung der korrekten Angabe nicht nur der Zeit und das Datums, sondern auch der Zeitzone hin. Nur diese Daten ließen es zu, eine dynamische IP-Adresse einer bestimmten Person zuzuordnen. Fick beendete seine Präsentation dann mit einem kurzen Überblick über die TKÜV und dem Hinweis auf die in der Praxis bestehenden Möglichkeiten zur Umgehung von Sperrungsanordnungen.

In der anschließenden Diskussion wies Frau Jennen, die Vertreterin des Bundesbeauftragten für den Datenschutz (BfD), darauf hin, dass die Speicherung der dynamischen IP-Adresse, wie sie angesichts der technischen Ausführungen von Herrn Fick erfolge, regelmäßig nicht mit den telekommunikations-datenschutzrechtlichen Vorgaben vereinbar sei. Auch müsse der vorgetragenen Abgrenzung zwischen Telekommunikations- und Inhalteebene widersprochen werden. Auch beim Surfen im WWW liege ein Telekommunikationsvorgang vor, es komme nicht darauf an, ob zwei Menschen miteinander kommunizieren. Auf die Frage, wieviele Vollzeitkräfte bei einem Unternehmen wie NetCologne mit Aufgaben des Datenschutzes betraut seien, antwortete Fick, dass dies nur er selbst sei, er aber zur technischen Umsetzung nach Bedarf von weiteren NetCologne-Mitarbeitern unterstützt werde. Für den Fall zeitnah zu beantwortender Auskunftsbegehren käme eine Checkliste zur Anwendung, welche es auch juristisch nicht vorgebildeten NetCologne-Mitarbeitern ermögliche, die Rechtmäßigkeit eines solchen Begehrens zu überprüfen. Angesprochen auf die Maßnahmen, die NetCologne zur Verhinderung von DoS-Attacken treffe, antwortete Fick "Schlicht und einfach: Strafanzeige erstatten."

c) Prof. Dr. Hansjürgen Garstka, EXT Beauftragter für Datenschutz und Informationsfreiheit Berlin

Im Anschluss hielt nun Prof. Dr. Hansjürgen Garstka, der Berliner Beauftragte für Datenschutz und Informationsfreiheit, seinen Vortrag. In einer Vorbemerkung stellte Prof. Garstka klar, dass de lege lata überhaupt kein Konflikt zwischen dem Datenschutz und der Strafverfolgung bestehe. Es handele sich vielmehr um eine rechtspolitische Debatte, bei der es darum gehe, wie die jeweiligen Belange bei der Ausgestaltung der Rechtslage gegeneinander abgewogen werden. In Anschluss an die Ausführungen von Fick erläuterte Prof. Garstka dann das datenschutzrechtliche Schichtenmodell, das zwar nicht in direkter Übernahme, aber doch in Anlehnung an das informationstechnologische OSI-Schichtenmodell zwischen Inhalte-, Dienste- und Netzebene unterscheide.[1] Telekommunikation spiele sich dabei ausschließlich auf der Netzebene ab. Hier griffen die Vorschriften des Telekommunikationsgesetzes (TKG) und der Telekommunikations-Datenschutzverordnung (TDSV). Die auf der Netzebene aufbauende Diensteebene unterfalle hingegen dem Informations- und Kommunikationsdienstegesetz (IuKDG), dem Rundfunkstaatsvertrag (RfStV) und dem Mediendienstestaatsvertrag (MDStV). Auf der Inhalteebene seien schließlich die Vorschriften des Bundesdatenschutzgesetzes (BDSG) sowie der einschlägigen Landesdatenschutzgesetze zu berücksichtigen.

Dieses Schichtenmodell zeigt Garstka zufolge zugleich, dass sich auch die gesamte Telekommunikations-Überwachung ausschließlich auf die Netzebene beschränke. Bloße Anbieter von Tele- oder Mediendiensten seien zu entsprechenden Auskünften oder Überwachungen nicht verpflichtet. Darüber hinaus bestehe für Telekommunikations-Diensteanbieter keine Verpflichtung zur Speicherung von Daten, die zur Diensteerbringung einschließlich der Abrechnung nicht erforderlich sind. Als einzige Ausnahme kämen Maßnahmen der Datensicherheit in Betracht - die hierfür gespeicherten Daten dürften jedoch ausschließlich zu Zwecken der Datensicherheit verwendet werden, nicht aber für Strafverfolgungsmaßnahmen. Kritik übte Garstka an der Ausgestaltung des TKG, welche die eigentlich klare Abgrenzung zwischen Übertragung und Inhalt im Falle der Sprachübertragung durchbreche und hier auch die Dienste- und Inhalteebene dem Telekommunikationsbegriff unterwerfe. Ein ähnliches Problem stelle sich auch im Falle von E-Mail - hier neige die Regulierungsbehörde für Telekommunikation und Post (RegTP) wohl dazu, den Telekommunikationsbegriff ebenfalls zu überdehnen. Mit Blick auf die neu geschaffenen §§ 100g, h StPO stelle sich ein weiteres telekommunikations-datenschutzrechtliches Problem. So sei die Möglichkeit, die Auskunftserteilung auch für zukünftige Telekommunikationsverbindungen anzuordnen, nun gesetzlich ausdrücklich vorgesehen - ungeklärt sei aber, ob dies auch die Speicherung bzw. Übermittlung von Daten rechtfertige, die normalerweise nicht gespeichert würden, bei einer auf vergangene Telekommunikationsvorgänge bezogenen Auskunftsverpflichtung also nicht mitgeteilt worden wären.

Die anschließende rege Diskussion streifte zahlreiche Details und wurde von den anwesenden Providern zur Klärung einiger Unklarheiten über die bestehenden rechtlichen Verpflichtungen genutzt - namentlich hinsichtlich der Frage, inwieweit IP-Adressen gespeichert werden dürfen bzw. welche Verarbeitungsvorgänge noch vom Zweck der Abrechnung gedeckt sind. In zwei weiteren Interventionen wurde die Einschätzung Garstkas bezweifelt, dass einerseits IP-Adressen nicht dem Telekommunikations-Bereich zuzuordnen seien und dass andererseits WWW-Angebote regelmäßig dem Bereich der Massenkommunikation zuzuordnen seien und daher dem MDStV und nicht dem IuKDG unterfielen.

d) EXT Dr. Jürgen P. Graf, Oberstaatsanwalt beim Bundesgerichtshof (BGH)

Nach einer kurzen Kaffeepause, die von den Veranstaltungsteilnehmern für rege Diskussionen genutzt wurde, ergriff Dr. Jürgen Graf, der Vertreter der Generalbundesanwaltschaft, das Wort. Er erläuterte zunächst einige aktuelle Gesetzesänderungen und stellte hierbei zuerst die einschlägigen Vorschriften des Elektronischer-Geschäftsverkehr-Gesetzes (EGG). Sachlich habe sich dabei nicht viel verändert - in erster Linie seien die Vorgaben der E-Commerce-Richtlinie übernommen worden. Nach wie vor fehle es also u. a. an einer ausdrücklichen Haftungsregelung für Hyperlinks. Und auch die Einordnung von Suchmaschinen sei unklar. Er selbst neige jedoch dazu, die Betreiber von Suchmaschinen wie Inhalteanbieter zu behandeln, so dass von einer Verantwortlichkeit (ab Kenntnis) auszugehen sei. Darüber hinaus sei auch der Hinweis auf die "nach allgemeinen Gesetzen" unverändert fortbestehende Verantwortung für die Sperrung von Inhalten in der Sache unverändert geblieben. Dr. Graf erinnerte daran, dass die Generalbundesanwaltschaft bereits im Rahmen des "Radikal"-Verfahrens - gegen die überwiegende Auffassung in der Literatur und auch gegen die Auffassung des für das IuKDG federführenden Ministeriums - die Ansicht vertreten habe, dass hier unter die allgemeinen Gesetze auch das Strafgesetzbuch (StGB) falle. Hiervon abzugehen gebe nach Ansicht von Dr. Graf auch die Novellierung keinen Anlass. Hinsichtlich der Ausführungen von Herrn Fick zur Umgehung von Sperrungsmaßnahmen bemerkte Dr. Graf, dass die Möglichkeit der Umgehung hoheitlicher Verbote den normativen Geltungsanspruch dieser Verbote nicht reduziere und auch nicht gegen sie ins Feld geführt werden könne.

Ausführlich erläuterte Dr. Graf dann die beiden zentralen materiell-rechtlichen Neuerungen, die §§ 100g, h StPO im Vergleich zum früheren § 12 Fernmeldeanlagengesetz (FAG) mit sich gebracht haben. So könnten Auskunftsverlangen nun auch für zukünftige Telekommunikationsvorgänge gestellt werden. Dies stelle auch unter Datenschutzgesichtspunkten eine Verbesserung da, weil man in der Praxis die bisher geltende Einschränkung dadurch umgangen habe, dass man Überwachungsmaßnahmen nach § 100a StPO anordnete, dabei jedoch die Inhalte der Telekommunikation nicht weiter verarbeitete und lediglich auf die angefallenen Verbindungsdaten zurückgriff. Man hatte also bis dato mit "Kanonen auf Spatzen geschossen" (Graf), was mit der neuen Regelung nicht mehr erforderlich sei, da man nun gezielt die Mitteilung nur der (künftig anfallenden) Verbindungsdaten verlangen könne. Die zweite Neuerung, die Verpflichtung der Telekommunikations-Diensteanbieter, die Auskunft "unverzüglich" zu erteilen, hinge schließlich eng mit dieser ersten Neuerung zusammen. Sie sei notwendig geworden, da die Auskunft über vergangene Telekommunikationsvorgänge im Regelfall nicht so eilig sei wie die Auskunft über laufend neu anfallende Telekommunikationsvorgänge.

Anschließend wandte sich der Referent der Überwachung des E-Mail-Verkehrs zu. Voraussetzung hierfür sei stets ein richterlicher Beschluss oder eine staatsanwaltschaftliche Eilanordnung. Unstrittig sei eine Überwachung beim Absender wie auch eine Überwachung beim Empfänger als Maßnahme der Telekommunikationsüberwachung nach § 100a StPO zu qualifizieren. Streit herrsche hingegen über die Rechtsgrundlage für den Zugriff beim Internet-Provider. Während man bislang überwiegend auch hier auf § 100a StPO zurückgegriffen habe und nur gelegentlich die Auffassung vertreten wurde, dass die allgemeinen Vorschriften zur Beschlagnahme (§§ 94, 98 StPO) anwendbar seien, habe sich im Nachgang der Ereignisse vom 11.09.2001 eine Änderung der Rechtspraxis ergeben. Der Ermittlungsrichter beim BGH sei Ende 2001 der Auffassung der Generalbundesanwaltschaft gefolgt, wonach beim Zugriff auf eine beim Internet-Provider "ruhende" E-Mail die Vorschrift über die Postbeschlagnahme (§ 99 StPO) analog anzuwenden sei. Praktisch gehe es den Strafverfolgungsbehörden nur darum, Kopien der zu beschlagnahmenden Mails zu erhalten. Sofern der Provider dies sicherstelle, greife man nicht auf die rechtlich auch zulässige Möglichkeit der weitergehenden Beschlagnahme (z. B. auch des Servers) zurück. Die Beschlagnahme könne insbesondere auch für künftige E-Mails angeordnet werden. Auf Nachfrage erklärte Dr. Graf, dass seiner Auffassung nach eine Beschlagnahmemaßnahme aber nicht gegen solche Mail-Provider gerichtet werde, welche die zu überwachenden E-Mails nur an ein anderes Postfach des Betroffenen weiterleiten.

Zum Abschluss seines Vortrages wandte sich Dr. Graf der TKÜV zu und hier namentlich der in § 12 Abs. 2 S. 2 TKÜV vorgesehenen Frist von drei Tagen, innerhalb deren dem zur technischen Umsetzung der Überwachungmaßnahme verpflichteten Telekommunikations-Diensteanbieter das Original des (vorab zumeist per Fax zugestellten) Anordnungsbeschlusses vorzulegen ist. In der kurzen Zeit, in der die TKÜV nun gelte, habe die Bestimmung dieser Frist große Schwierigkeiten bereitet, da es an einer ausdrücklichen Vorgabe hierzu fehle und die Berechnung von Fristen nach anderen Gesetzen (Bürgerliches Gesetzbuch (BGB), StPO etc.) nicht einheitlich geregelt sei. Dies betreffe insbesondere die Frage, ob der Tag, an dem das fristenauslösende Ereignis, hier also die Beschlussanordnung, stattfindet, mitzuzählen ist. Gerade bei an einem Freitag ergangenen Beschlüssen bestehe hier nach Ansicht von Dr. Graf die Gefahr, dass das Original nicht rechtzeitig zugestellt und daher die Überwachung durch den Diensteanbieter beendet wird.

e) Jürgen Ullrich, EXT Bundesministerium für Wirtschaft und Technologie (BMWi)

Als letzter Redner des Tages kam dann Herr Ullrich aus dem Referat VII B 2 (Sicherheit in der Telekommunikation, Notfallvorsorge, UMTS) des Bundesministeriums für Wirtschaft und Technologie zu Wort. Ullrich erläuterte als Mitarbeiter des für die TKÜV federführenden Referates ausschließlich Fragestellungen im Zusammenhang mit dieser Rechtsverordnung. Dabei wies er zunächst darauf hin, dass die RegTP zur Frage des Beginns der Frist nach § 12 Abs. 2 S. 2 TKÜV dahin gehend Stellung genommen habe, dass nach ihrer Auffassung der Tag, an dem die Anordnung ergeht, nicht mitzuzählen sei. Die Frist habe man in die TKÜV eingebracht, um die bis dahin zu beobachtende Praxis, dass das Original des Beschlusses oftmals erst nur sehr spät oder sogar überhaupt nicht nachgereicht wurde, zu beenden. Die Frist diene damit der Rechtssicherheit für die betroffenen Diensteanbieter.

Gegenwärtig beschäftige das Ministerium jedoch die anstehende Ergänzung der TKÜV, deren Hintergrund Ullrich nun erläuterte. Mit der Novelle des G10-Gesetzes im Sommer 2001 seien die gesetzlichen Grundlagen für eine strategische Überwachung der Auslandskommunikation durch den Bundesnachrichtendienst (BND) auch auf leitungsgebundenen Übertragungswegen geschaffen worden. Das für den BND zuständige Bundeskanzleramt habe daraufhin vierzehn Tage vor der Kabinettssitzung, bei der die TKÜV beschlossen werden sollte, das BMWi darum gebeten, die zur Umsetzung dieser Vorgaben des G10-Gesetzes erforderlichen Maßnahmen in der TKÜV zu berücksichtigen. Angesichts des von der bis dahin ausschließlich auf die Individualüberwachung zugeschnittenen TKÜV fundamental abweichenden Ansatzes der strategischen Telekommunikations-Kontrolle sei eine Lösung bis zur Verabschiedung der TKÜV jedoch nicht mehr möglich gewesen. Noch bevor die TKÜV im Januar 2002 in Kraft getreten ist, habe man daher mit der Arbeit an ihrer Novellierung begonnen. Sachliche Änderungen an den Regeln zur Individualkontrolle werde es nach derzeitigem Stand der Dinge nicht geben. Vielmehr plane man die Einfügung eines neuen Teils für strategische Kontrollmaßnahmen.

Diese geplante Novellierung traf auf reges Interesse der anwesenden Provider. In der zum Teil kontrovers geführten Diskussion bestätigte Ullrich, dass von den Maßnahmen der strategischen Telekommunikations-überwachung andere Unternehmen betroffen seien als von den bisher geltenden Maßnahmen der Individualüberwachung - nämlich vor allem Betreiber von Übertragungswegen. Während ein Veranstaltungsteilnehmer auf die erheblichen Kosten hinwies, welche die Implementierung der geplanten Maßnahmen verursachen werde, lenkte Ullrich die Diskussion abschließend auf eine bislang ungeklärte Frage. Da das G10-Gesetz in § 10 Abs. 4 vorsieht, dass im primär relevanten Bereich maximal 20 Prozent der Auslandstelekommunikation ausgewertet werden darf, müsse jemand diese 20 Prozent auswählen. Im BMWi tendiere man dazu, eine Doppelung des gesamten betroffenen Telekommunikationsverkehrs durch den Betreiber vorzusehen und die Auswahl der auszuwertenden 20 Prozent dem BND zu überlassen. Anderenfalls träfe die Betreiber eine erhebliche Verantwortung, in deren Wahrnehmung sie überdies auch nicht kontrolliert werden könnten.

2. Tag: Montag, 27.02.2002, 9 Uhr-12:40 Uhr

Nachdem am ersten Tag die divergierenden Interessenlagen in Einzelvorträgen dargelegt worden waren, sollten am zweiten Tag der Veranstaltung die zentralen Anliegen der jeweiligen Interessengruppen formuliert und idealerweise aufeinander abgestimmt werden, so dass als Ergebnis dieses Prozesses ein kurzer Leitfaden für die praktische Handhabung erstellt werden könnte. Die derzeit vorbereitete Erweiterung der TKÜV wurde dabei thematisch ausgespart und wird wohl Thema einer eigenständigen Veranstaltung im April 2002 werden. Zu den verbleibenden Fragestellungen wurden nach einer kurzen Ansprache von Prof. Rotert, in welcher dieser auch ein erstes Resümee der Diskussionen vom Vortag zog, drei etwa gleich starke Arbeitsgruppen für die Bereiche "Provider", "Strafverfolgung" und "Datenschutz" gebildet. Diese Arbeitsgruppen versuchten etwa anderthalb Stunden lang, aus der jeweils eingenommenen Sicht die zentralen Aussagen und Anliegen zu formulieren. Dabei wurde sachlich und konzentriert, aber durchauch auch kontrovers diskutiert. Unter besonderen Härten hatten die "Datenschützer" zu leiden, die nicht nur aus Platzgründen den Sitzungssaal verlassen und im Foyer debattieren mussten, sondern dort auch noch von phonintensiven Umbauarbeiten in der Halle des "Maritim" gestört wurden. Der Diskursfreude tat jedoch auch dies keinen Abbruch, so dass alle drei Gruppen nach einer kurzen Kaffeepause, in der munter weiterdiskutiert wurde, gegen 11 Uhr praktische Ergebnisse präsentieren konnten.

a) Provider

Diese Ergebnisse durfte zunächst für die Gruppe der "Provider" Herr Fick von NetCologne präsentieren. Er stellte einleitend die Frage, ob bzw. welche Verbindungsdaten an Strafverfolgungsbehörden herausgegeben dürften. Dabei gehe es einerseits um abrechnungsrelevante Verbindungsdaten und andererseits um solche mit Relevanz für die Datensicherheit. Auch sei es aus Sicht der Provider klärungsbedürftig, ob statt IP-Adressen möglicherweise nur die interne Nutzer-Kennungen gespeichert (und dann auch herausgegeben) werden dürfen. In der Diskussion zu diesem Punkt hielten sowohl Dr. Graf als auch Frau Jennen fest, dass es nicht darauf ankomme, ob der Provider die Daten rechtmäßig gespeichert habe. Herauszugeben sei der vorhandene Datenbestand. Die StPO ziehe hier der Nichtverwertbarkeit sehr enge Grenzen.

Als zweites Anliegen der Provider formulierte Herr Fick anschließend die Bitte, dass die Strafverfolgungsbehörden vor der Formulierung eines Auskunftsbegehrens zunächst bei RIPE denjenigen Provider identifizieren sollten, in dessen Bestand sich die IP-Adresse befindet, zu der Bestandsdaten gesucht werden. In der Praxis komme es nicht selten vor, dass Provider um Auskunft gebeten würden, die mit der betreffenden IP-Adresse nichts zu tun hätten. Die anwesenden Vertreter der Strafverfolgungsbehörden stimmten diesem Anliegen zu, wiesen aber zugleich darauf hin, dass ein solches Vorgehen jedenfalls in ihrem Bereich ohnehin der gängigen Praxis entspreche. Allgemein wurde jedoch ein gewisser Schulungsbedarf für nicht auf Fälle der Internet-Kriminalität spezialisierte Strafverfolgungsbehörden konstatiert.

Ein weiterer Punkt, der der Provider-Seite wichtig sei, betrifft den Ausführungen von Fick zufolge die Vollständigkeit der Angaben bei einem Auskunftsbegehren. Insbesondere reiche die Nennung einer IP-Adresse nicht aus, vielmehr müssten auch Datum und Zeit ihrer Verwendung angegeben werden - wobei namentlich der Angabe der korrekten Zeitzone große Bedeutung zukomme. Verschiedene Provider bestätigten, dass hier in der Praxis nach wie vor erheblicher Verbesserungsbedarf zu konstatieren sei.

Als besonderes Problem bezeichnete Fick dann die Speicherung von IP-Adressen ohne Gerichtsbeschluss, die von den Strafverfolgungsbehörden gelegentlich bei Gefahr in Bezug verlangt werde. Dr. Graf bestätigte bei der Diskussion, dass die Rechtslage hierbei ungeklärt sei, eine ausdrückliche Rechtsgrundlage insoweit nicht bestehe. Allerdings hätten die Strafverfolgungsbehörden - einschließlich der als Hilfsbeamten der Staatsanwaltschaft auftretenden Polizeibeamten - die Möglichkeit, bei Gefahr im Verzug auch ohne richterliche Anordnung die Daten zu beschlagnahmen, so dass sich das "Einfrieren" beim Provider als praktikable und alle Seiten weniger belastende Lösung bewährt habe. Die Herausgabe an die Strafverfolgungsbehörden erfolge dann erst, wenn eine Anordnung vorliege. Insoweit wurde von Providerseite bemängelt, dass hierfür keine klaren Fristenregelungen bestünden. In der Praxis komme es daher vor, dass eine Behörde aufgrund eines angekündigten Beschlusses den Provider zum Speichern (Einfrieren) bestimmter Daten verpflichte, der angekündigte Beschluss jedoch erst nach Monaten oder auch überhaupt nicht nachgereicht würde. Dr. Graf wies hierbei darauf hin, dass die Provider in einem solchen Fall unbedingt nach gewisser Zeit, keinesfalls erst nach Monaten, bei der betreffenden Behörde nachfragen sollten, um zu klären, wie lange die Datenspeicherung noch zu erfolgen habe bzw. ob überhaupt noch mit einem richterlichen Beschluss zu rechnen sei oder die bislang "eingefrorenen" Daten gelöscht werden müssen.

Als ein weiteres Anliegen der Providerseite nannte Fick dann die eindeutige Kennzeichnung hoheitlicher Anfragen. Oftmals fehle es an eindeutigen Aktenzeichen, was insbesondere die Kostenerstattung erschwere, da sich die hierfür zuständige Behörde im Falle des Fehlens einer eindeutigen Kennzeichnung bisweilen außer Stande sehe, den Vorgang nachzuvollziehen und die Kostenerstattung zu gewähren. Des Weiteren sei aus Sicht der Provider auch eine Klärung des bereits am Vortag ausführlich diskutierten Problems der Drei-Tages-Frist für die Zustellung der Originalbeschlüsse im Anwendungsbereich der TKÜV wünschenswert. Abschließend wies Fick dann auch noch auf ein mit Inkrafttreten der §§ 100g, h StPO neu entstandenes praktisches Problem hin. Nachdem nun auch die Herausgabe der Daten über künftige Telekommunikationsvorgänge angeordnet werden könne, stelle sich die Frage, wie oft eine solche Übermittlung zu erfolgen habe. Während die Herausgabe der Daten vergangener Telekommunikationsvorgänge in einem Arbeitsvorgang erledigt werden könne, sei hier offen, ob der Provider die wöchentliche oder gar tägliche Herausgabe sicherstellen müsse - oder ob gar die Einrichtung einer Online-Abfragemöglichkeit gewünscht sei und wer gegebenenfalls für die hierfür anfallenden Kosten aufkomme.

b) Datenschutz

Die Vorstellung der Ergebnisse der "Datenschutz"-Gruppe (sowie deren Diskussionsleitung) hatte Frau Jennen übernommen. Sie machte zunächst deutlich, dass im Bereich der Internet-Kommunikation die deutsche Rechtslage, die nach Telekommunikations- und Telediensten differenziere, erhebliche Rechtsanwendungsprobleme aufwerfe, welche auch in der (einheitlichen) Darstellung gewisse Vereinfachungen erforderten. Des Weiteren stünden die Vorgaben des Datenschutzes eigentlich im Vorfeld eines strafverfolgungsbehördlichen Auskunftsbegehrens. Denn nur solche Daten seien herauszugeben, über die der Provider verfüge. Und über welche er verfüge, richte sich - idealiter - danach, über welche er (datenschutzrechtlich) verfügen dürfe. Dabei ließen sich grob drei Datenkategorien nach dem mit der Speicherung der Daten verfolgten Zweck unterscheiden: personenbezogene Daten, die zur Leistungsbereitstellung benötigt werden, personenbezogene Daten, die zu Abrechnungszwecken benötigt werden, und personenbezogene Daten, die zum ordnungsgemäßen Betrieb des Telekommunikations- bzw. Teledienstes benötigt werden. Alle Datenspeicherungen stünden dabei jedoch unter der strikten Bedingung der Erforderlichkeit mit Blick auf den jeweiligen Zweck.

Die Daten, die zur Leistungsbereitstellung benötigt werden, stellten einen zunächst unter Umständen durchaus umfangreichen Datensatz dar. Dieser müsse jedoch unverzüglich nach Beendigung der jeweiligen Kommunikationsverbindung gelöscht werden. Dabei sei es aus datenschutzrechtlicher Sicht allerdings noch tolerabel, wenn dies aus technischen Gründen einige Tage - bis zu einer Woche - in Anspruch nehme.[2] Keinesfalls könne aber durch den bewußten Rückgriff auf nicht dem Stand der Technik entsprechende Systeme diese Speicherfrist künstlich in die Länge gezogen werden.

Aus den ursprünglich umfassenden Datensätzen dürften länger nur die zu Abrechnungszwecken benötigten Daten gespeichert werden. Diese Daten dürften bis zu sechs Monate nach Rechnungsversand gespeichert werden. Hierbei sei jedoch explizit darauf hinzuweisen, dass es sich um eine bloße "Kann"-Bestimmung handelt, der Provider die Daten also keinesfalls sechs Monate lang speichern muss.[3] Frau Jennen betonte auch ausdrücklich noch einmal, dass hier nur solche Daten gespeichert werden dürften, die zu Abrechnungszwecken wirklich erforderlich seien. Insbesondere eine Speicherung dynamischer IP-Adressen durch auf der Basis von Telefongebühren abrechnende Access-Provider sei regelmäßig rechtswidrig.

Die dritte und letzte Datenkategorie betreffe schließlich solche Daten, die zur Aufrechterhaltung eines ordnungsgemäßen Betriebes erforderlich seien - zu denken sei hierbei insbesondere an die Erkennung und Abwehr von Hackerangriffen und vergleichbaren Attacken auf die Integrität der Kommunikationssysteme. Nach der Diskussion mit einigen anwesenden Providern hielt Frau Jennen hier eine zeitweise Speicherung für durchaus zulässig, um die Datenbestände auf das Auftreten bestimmter Angriffsmuster hin analysieren zu können. Dabei habe sich im Gespräch mit den anwesenden Technikern eine Frist von maximal vier Wochen herauskristallisiert.[4]

Abschließend wies Frau Jennen noch auf zwei Einzelpunkte hin, die in der Diskussion innerhalb der Arbeitsgruppe als besonders bedeutsam eingeschätzt worden waren. So betreffe, erstens, die geschilderte Löschungsfrist nicht statische IP-Adressen, da diese, außerhalb des Kontextes eines konkreten Verarbeitungsvorganges, kein Verbindungsdatum, sondern ein der Telefonnummer vergleichbares Bestandsdatum darstellten. Zweitens bestehe, mit der Ausnahme der Einschaltung Dritter zu Abrechnungszwecken, weder eine Verpflichtung noch eine Berechtigung zur Herausgabe von Verbindungs- oder Nutzungsdaten an Private. Die seitens des Betroffenen nicht erlaubte Übermittlung solcher Daten an Privatpersonen, Firmen oder Urheberverbände sowie an für diese handelnde Rechtsanwälte sei daher datenschutzrechtlich unzulässig und zöge ggf. entsprechende Konsequenzen nach sich. Eine Herausgabe komme nur auf Grundlage staatsanwaltschaftlicher oder richterlicher Anordnungen in Betracht bzw. habe auf eine solche Anordnung hin zu erfolgen.

c) Strafverfolgungsbehörden

Den Abschluss der Ergebnispräsentation übernahm dann Dr. Graf für die Gruppe der "Strafverfolger", deren zentrale Anliegen er in fünf Thesen zusammengefasst hatte. So sei zum ersten mit den derzeitigen Datenschutzregeln eine effektive Strafverfolgung nicht sichergestellt. Aufgrund der Bindung an Abrechnungszwecke seien beispielsweise bei der Nutzung von Flatrates keinerlei Verbindungsdaten vorhanden, liefen Strafverfolgungsmaßnahmen also von vornherein ins Leere. Die zweite These griff die bereits in den vorangegangenen Diskussionen klargestellte Verpflichtung der Provider auf, bei ihnen - aus welchen Gründen auch immer - gespeicherte Daten auf Anordnung der Ermittlungsbehörden herauszugeben. Nicht auf die rechtmäßige Speicherung, sondern nur auf die tatsächliche Speicherung komme es an. Dabei hänge, drittens, der Umfang der Speicherung (mit oder ohne IP-Adresse) von den Belangen der Provider, dem Zweck der Speicherung, ab. Hierin liege eine fundamentale Schwäche der bestehenden Datenschutzbestimmungen, da der Umfang der zu Strafverfolgungszwecken vorhandenen Daten in einem gewissen Maße anbieterseitig bestimmt werden könne (also z. B. durch die Wahl bestimmter Abrechnungsformen, wie eben einer Flatrate). Aus all diesen Gründen ergebe sich, viertens, auch eine schwierige Situation für die Provider. Fünftens und letztens sei auf den Umfang der Kosten für die Datenspeicherung hinzuweisen, die von der betrieblichen Organisation der Provider und der von ihnen verwendeten Technik abhingen. Dr. Graf wies darauf hin, dass die zu gewährende Kostenerstattung in der Praxis regelmäßig auch deutlich hinter den tatsächlich anfallenden Kosten zurückbleibe.

Nachdem nun alle drei Gruppen ihre Ergebnisse vorgestellt und in der Diskussion erläutert hatten, schloß Prof. Rotert die Veranstaltung mit einem kurzen Resümee und der Ankündigung, die angefallenen Materialien sowie eine Zusammenstellung der Arbeitsergebnisse den Veranstaltungsteilnehmern per elektronischer Post baldmöglichst zukommen zu lassen.

Fazit:

Eco hat, in Zusammenarbeit mit den Sicherheitsbehörden, eine interessante Veranstaltung mit einem erfreulich heterogen besetzten Teilnehmerfeld ausgerichtet. Zwar wurde die möglicherweise angesichts der aktuellen Ereignisse gehegte Hoffnung enttäuscht, dass neue Erkenntnisse bezüglich der Sperrungsanordnungen durch die Bezirksregierung Düsseldorf gewonnen werden könnten. Hierzu war die Veranstaltung jedoch auch zu sehr auf die Wahrnehmung repressiver Aufgaben, d. h. solche der Strafverfolgung, zugeschnitten, wohingegen Sperrungsanordnungen als polizeiliche Maßnahmen der (präventiven) Gefahrenabwehr dienen und auch auf gänzlich anderer Rechtsgrundlage als Abhörmaßnahmen und Auskunftsbegehren erfolgen. Nichtsdestotrotz, das zeigten gerade auch die oftmals lebhaft aber immer konstruktiv geführten Diskussionen, waren die behandelten Fragen von zentraler Bedeutung für die Arbeit von Internet-Providern. Hier wurden viele Unklarheiten - bei allen Beteiligten - beseitigt und ersichtlich zur Verbesserung des gegenseitigen Verständnisses beigetragen.

Eine andere Frage ist jedoch, ob in Zukunft Veranstaltungen, in denen es um Grundsatzfragen der Internet-Informationsordnung geht, wirklich als zumindest semi-kommerzielle Tagungen abgehalten werden müssen. Während die Veranstaltung für Behördenvertreter und eco-Mitglieder kostenlos war, mussten Dritte eine Teilnahmegebühr von 300 Euro entrichten. Das ist im Vergleich zu anderen Fachtagungen sicherlich noch günstig und angesichts des luxuriösen Rahmens und der kompetenten Besetzung auch allemal noch angemessen. Gerade Verteter der ebenfalls betroffenen Endnutzerseite werden jedoch mit einer solchen preislichen Barriere de facto ausgeschlossen, so dass die Konsensfindung letzten Endes im Wesentlichen zwischen den am Datenzugriff interessierten Strafverfolgern und den an kontrollierbaren Kosten interessierten Providern erfolgte. Verstärkt wurde diese Ausschlusswirkung überdies faktisch duch die enge Begrenzung der Teilnehmerzahl. Lediglich die wenigen anwesenden Datenschützer stellten eine unmittelbare Interessenwahrnehmung für die Endnutzerseite dar. Gerade die mitveranstaltenden Sicherheitsbehörden als eigentlich dem öffentlichen Interesse und nicht primär Partikularinteressen verpflichtete Institutionen müssen sich durchaus fragen lassen, ob ein solcher Ansatz nicht verbesserungsfähig ist. Denn dass die Veranstaltung sowohl für die Providerseite als auch für die Strafverfolger mit einem durchaus nennenswerten Informationsgewinn verbunden war, wurde in den Diskussionen augenfällig - hieran auch die von den Zwecken der Strafverfolgung dienenden Grundrechtseingriffen Betroffenen stärker zu beteiligen, sollte künftig ein wichtiges Anliegen sein.

* Der Verfasser ist wissenschaftlicher Mitarbeiter am Zentrum für Europäische Integrationsforschung an der Universität Bonn. Er dankt eco für die freundliche Ermöglichung der Teilnahme an der Veranstaltung.
1 Vgl. jedoch auch zu einem durchaus unmittelbar am OSI-Schichtenmodell orientierten Abgrenzunsmodell Helmke/Müller/Neumann, JurPC-WebDok. 93/1998.
2 Aus telekommunikations-datenschutzrechtlicher Sicht ist dies nach Auffassung des Verfassers sehr bedenklich. § 6 Abs. 2 S. 2 TDSV sieht ausdrücklich eine "unverzügliche" Löschung "spätestens am Tag nach Beendigung der Verbindung" vor, vgl. auch Koenig/Neumann, K & R 2000, 417 (421).
3 Vgl. hierzu auch Koenig/Neumann, RDV 2001, 117 (120).
4 Auch diese Auffassung ist nach Ansicht des Verfassers jedenfalls im Bereich des Telekommunikations-Datenschutzes alles andere als unproblematisch. Die TDSV sieht für das Aufklären und Unterbinden von rechtswidriger Inanspruchnahme eines Telekommunikationsnetzes, für die Missbrauchskontrolle, ein gesondertes Verfahren vor, welches die Zulässigkeit der Datenverarbeitung vom Vorliegen tatsächlicher Anhaltspunkte abhängig macht und damit eine präventive Speicherung sämtlicher Verbindungsdaten nicht zulässt. Ob Maßnahmen zur Aufrechterhalten des ordnungsgemäßen Betriebes daneben als Maßnahmen zum Erkennen und Beseitigen von Störungen an Telekommunikationsanlagen zulässig sind, erscheint angesichts der damit möglichen weitgehenden Umgehung dieser strengen Verarbeitungsvoraussetzungen eher zweifelhaft, zumal sowohl die TDSV als auch die einschlägige Ermächtigungsnorm des § 89 Abs. 2 Nr. 1 d) TKG sehr vage bleiben.

[ Seitenanfang ]


[Home] [Inhalt] [Index] [Gesetze] [Aufsätze] [Links] [Suche] [Hilfe] [Impressum]


© artikel5.de (an), 2002 / Stand: 2002-02-27 / URL: http://www.artikel5.de/artikel/ecoveranstaltung2002.html