Bestandsdatenauskunft auch für Soziale Netzwerke und die Cloud?

In mehr als 28 Städten werden im April Proteste gegen das neue Gesetz zur Bestandsdatenauskunft stattfinden. Die Bestandsdatenauskunft regelt unter welchen Bedingungen Angaben zur Person, PIN und PUK vom Handy, aber auch Zugangsdaten und Personenangaben zu IP-Adressen herausgegeben werden. Neben den bekannten zentralen Kritikpunkten an dem Gesetz sind in Hinblick auf die Zukunft zahlreiche Anwendungsszenarien denkbar, die momentan in der Debatte kaum berücksichtigt worden sind.

Welche Dienste sind betroffen?

㤠113 Manuelles Auskunftsverfahren
(1) Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, darf nach Maßgabe des Absatzes 2 die nach den §§ 95 und 111 erhobenen Daten nach Maßgabe dieser Vorschrift zur Erfüllung von Auskunftspflichten gegenüber den in Absatz 3 genannten Stellen verwenden. Dies gilt auch für Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt
werden, geschützt wird. […]“

„Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt“ ist eine sehr weit gefasste Formulierung. Nun ist es so, das die Zugriffsrechte auf Dienste unterschiedlich nach Telekommunikationsgesetz (TKG) oder Telemediengesetz (TMG) geregelt werden. Der Trend im Bereich Telekommunikation und Telemediendienste geht allerdings immer mehr in Richtung vermischter Geschäftsmodelle, bei denen Diensteanbieter sowohl klassische Telemediendienste als auch Telekommunikationsdienste anbieten. Immer mehr Telemediendienste wirken an Telekommunikationsdiensten mit – und dürften somit unter das neue Gesetz fallen.

Unterschiedliche Rechtsauslegungen

Der Rechtsausschuss des Bundesrats bezieht in die von der Bestandsdatenauskunft nach Telekommunikationsgesetz betroffenen Dienste beispielsweise bereits im Vorfeld Cloud-Dienste wie Dropbox und Google Drive mit ein, obwohl diese Dienste ganz offensichtlich keinerlei Telekommunikationsdienstleistungen anbieten. Es werden ausdrücklich Zugangssicherungscodes für Endgeräte genannt. Das kann bedeuten: Mobiltelefone und Notebooks und deren Speichereinrichtungen. Speichereinrichtungen können sein: USB-Sticks, externe Festplatten und und und.

Es handelt sich jeweils um eine Klarstellung dahingehend, dass den Telekommunikationsanbietern zur Erfüllung der Auskunftsverpflichtung im Vorfeld der Übermittlung auch gewisse aktive Mitwirkungshandlungen treffen können, die über das bloße Heraussuchen der zu beauskunftenden Daten aus eigenen Dateien, Registern oder sonstigen Unterlagen hinausgehen. Dies wird insbesondere in den Fällen der Herausgabe von sogenannten Zugriffssicherungscodes bei Cloud-Anbietern relevant. In Artikel 1 regelt § 113 Absatz 1 Satz 2 TKG-E die Herausgabe von Zugriffssicherungscodes für Endgeräte (Mobiltelefon, Notebook etc.) und deren Speichereinrichtungen (USB-Stick, externe Festplatte etc.). Die Bestimmung trägt grundsätzlich der aktuellen technischen Entwicklung (Cloud-Speicherlösungen wie Dropbox, Google Drive etc.) Rechnung, da der Zugriff auf vom Endgerät „räumlich getrennte“ Speichereinrichtungen ermöglicht wird. Derzeit nicht hinreichend normenklar geregelt erscheint allerdings der Umgang mit Cloud-Anbietern, denen der Zugriffssicherungscode (das Kennwort) nicht unmittelbar, sondern lediglich als sogenannter Hash-Wert vorliegt. Dies trifft bei der weit überwiegenden Anzahl der Anbieter zu. Um einen Zugriff auf diese mittels Zugriffssicherungscodes „geschützten“ Daten zu ermöglichen, kann der Anbieter das Kennwort aktiv zurücksetzen. Die vorgeschlagenen Regelungen stellen die Verpflichtung für eine entsprechende aktive Mitwirkung des Anbieters zum Zurücksetzen eines Kennwortes klar.

Zwar sind die Änderungsvorschläge nur teilweise durchgegangen, – satt zu „ermitteln“ steht immer noch zu „übermitteln“ im aktuellen Gesetzentwurf – jedoch ist ungewiss ob nicht in der Praxis die aktive Zurücksetzung von Passwörtern doch von Anbietern erwartet wird. Die wenigsten Anbieter werden sich mit Behörden in dieser Frage anlegen wollen. Technisch ist bei einer Zurücksetzung möglich, Zugriff auf das Nutzerkonto zu nehmen und anschließend das Passwort wieder auf den Ursprungszustand zurückzusetzen, ohne dass der Nutzer etwas davon bemerkt.

Die Meinung, dass Cloud-Dienste auch unter de Bestandsdatenauskunft nach dem Telekommunikationsgesetz fallen teilt im Übrigen auch der Rechtsausschuss des Bundestages:

„Die Ausgestaltung des Richtervorbehalts stärkt den Rechtsschutz bei heimlichen Maßnahmen, insbesondere im Hinblick auf Zugriffsmöglichkeiten auf Cloud-Dienste ohne das Endgerät.“

Das Unabhängige Landesdatenschutzzentrum meint, dass auch „Versenden von privaten Nachrichten und … Chatten in öffentlichen und geschlossenen Nutzergruppen“ unter das Telekommunikationsgesetz fallen kann. Das würde bedeuten: Twitter, Facebook, Google+, E-Mails, Chatdienste wie ICQ und viele mehr können von Bestandsdatenabfragen nach dem neuen Gesetzentwurf betroffen sein.

Damit steht das ULD nicht alleine da. Meinhart Sarostik, Richter am Landesverfassungsgericht Berlin hat in einem Vortrag ebenfalls angesprochen, dass in Zukunft auch Facebook unter die Bestandsdatenabfrage fallen könnte. Die Behörden werden zumindest versuchen dies so auszulegen, wenn sie auf Daten zugreifen wollen. Und eine großzügige wohlwollende Rechtsauslegung erlaubt dies, da derartige Dienste eben nicht ausdrücklich ausgeschlossen werden.

Hybride Dienste

Die zunehmenden Verflechtungen zwischen Telekommunikations- und Telemediendiensten liefert neue Argumente um Zugriffe für Facebook oder andere Dienste zu beantragen, da viele Dienste neue Telekommunikations-Features einführen. Zudem haben gerade Soziale Netzwerke wie Facebook oder Google+ in den letzten Jahren deutlich in den Bereich Internettelefonie und neue Kommunikationsapplikationen investiert. Facebook und Google bieten bereits einige als Telekommunikationsdienste auslegbare Features an, Facebook hat sogar angekündigt ein Facebook-Handy herauszubringen. Google-Konten können mit zahlreichen Diensten wie Youtube, Gmail, GoogleDrive und Google+ bis hin zum eigenen Chrome-Browser und dem eigenen Smartphone verbunden werden.

Bei Google werden dank der neuen Datenschutz- oder besser gesagt: Datennutzungsbestimmungen Daten von mittlerweile rund 70 Diensten miteinander zusammengeworfen. Viele Nutzer haben einen einzigen Google-Account mit dem sie sich in in mehrere Dienste einloggen. Sowohl Facebook als auch Google fahren eine Klarnamens-Politik, indem sie Nutzer teilweise auch mit Mitteln der Denuziation oder über die Allgemeinen Geschäftsbedingungen zwingen wollen, keine Pseudonyme zu nutzen und stattdessen den bürgerlichen Namen preiszugeben.

Gesetz mit Überraschungs-Faktor

Der Gesetzentwurf ist in vielen Bereichen unklar und lässt weiten Interpretationsspielraum. Zum einen ist kaum abzusehen, welche Dienste alles betroffen sind. Dabei ist aber die Tendenz eindeutig, dass die Behörden grundsätzlich versuchen werden möglichst weitgehend auf die Bestandsdaten bei den unterschiedlichen Diensten zuzugreifen. Zum anderen sind natürlich die Zugriffsbefugnisse sehr weitgehend und gerade bei BKA und Geheimdiensten kann nicht ausgeschlossen werden, dass derartige Abfragen auch für präventive und anlasslose Maßnahmen genutzt werden bei denen kein konkreter und begründeter Verdacht vorliegt. Zudem sind der Richtervorbehalt und auch die Benachrichtigungspflicht äußerst lückenhaft, so weit sie bei den jeweiligen Datensätzen überhaupt besehen. Die Möglichkeit, bei der Bestandsdatenauskunft über eine elektronische Schnittstelle Identitäten zu IP-Adressen zuzuordnen – obwohl dies eindeutig Verkehrsdaten sind und das auch noch ohne Richtervorbehalt – ist eine kleine Vorratsdatenspeicherung durch die Hintertür. Und somit ein großes Problem für die Grundrechte.

Ein Gedanke zu „Bestandsdatenauskunft auch für Soziale Netzwerke und die Cloud?

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Bitte zeig mir, dass du ein Mensch bist! *
Time limit is exhausted. Please reload CAPTCHA.