Die Bestandsdatenauskunft, oder Sie geben ja auch nicht jedem ihren Wohnungsschlüssel

Unsere Passwörter sind der Schlüssel zu unseren digitalen Räumen und Wohnungen.
Würden Sie jeder Behörde, jedem Beamten, einfach Ihren Wohnungsschlüssel in die
Hand drücken?
Nein? Warum sollten Sie dies dann mit Ihren Passwörtern tun?

Letzten Sonntag waren in mehreren Deutschen Städten, unter anderem in Frankfurt/M, Demos gegen die Neuregelung der Bestandsdatenauskunft. Über den Sinn der Demos kann man wohl sehr gut streiten, denn in Anbetracht der Mehrheit im Bundestag – für das Gesetzt haben die Koalitionsparteien sowie die SPD gestimmt – ist die Abstimmung Anfang Mai im Bundesrat eigentlich nur Makulatur. Die einzige Chance, das Gesetz noch vor Karlsruhe zu stoppen wäre, wenn die Rot-Grün regierten Länder gegen das Gesetz stimmen oder sich enthalten. Ein Szenario, was ich persönlich aber für eher unwahrscheinlich halte. Aber: Aufgeben gilt nicht!

Was sind nun Bestandsdaten?

Bestandsdaten im Sinne des Gesetzes sind dabei alle Daten, die ein Anbieter von Telekommunikationsdiensten – also Deutsche Telekom, Vodafone, O2 aber auch Anbieter von Internet-Zugängen oder E-Mail-Diensten – über seine Kunden gespeichert hat und die Teil des Vertrages sind oder die der Anbieter benötigt, um die Dienstleistung zu erbringen und/oder abzurechnen. Im Einzelnen sind dies also Angaben wie Name, Wohnort, Geburtsdatum, Konto-Verbindung, Telefonnummer, E-Mail-Adresse, Kennung von mobilen Endgeräten (soweit diese Teil des Vertrages sind) und so weiter. Seit einer Gesetzesänderung zählt aber auch die IP-Adresse, mit welcher der Router, PC, Smartphone oder Tablet im Internet “unterwegs war” zu diesen Bestandsdaten.

Diese Abfrage sollen die Behörden über eine elektronische Schnittstelle beim Anbieter durchführen können. Auf dem Papier muss zwar beim Anbieter geprüft werden, ob die Anfrage in Ordnung ist, aber dies wird wohl eher eine grobe Prüfung sein – Nach dem Motto: “Ist derjenige überhaupt Kunde bei uns? Ja? Ok, hier sind die Daten. Viel Spaß!” (OK, das ist nun eher polemisch)

Neben dieser Abfrage der einfachen Bestandsdaten regelt das Gesetz aber auch die “erweiterte” Bestandsdaten-Auskunft. Dahinter verbirgt sich nichts weniger als PIN und PUK von SIM-Karten – viele haben ihr persönliches Telefonbuch auf der SIM-Karte abgelegt – aber auch “Daten, mittels derer der Zugriff auf … Speichereinrichtungen … geschützt wird”. Das sind nichts weniger als die Passwörter von E-Mail-Konten wie GMX, GMail oder web.de und, wie manche vermuten, auch die Zugangsdaten zu Cloud-Diensten wie Dropbox oder Google-Drive oder Bilderdiensten wie flickr. Zwar zählen Cloud-Dienste nicht zu den Telekommunikationsdiensten aber ob die Praxis das auch so sieht?

Bezüglich der Passwörter bei Diensten wie Facebook oder Twitter schreibt Patrick Breyer vom AKVorrat:

Ob Passwörter zu Sozialen Netzwerken wie Facebook oder Microbloggingdiensten wie Twitter erfasst sein sollen, ist unklar. Chat-Dienste werden wohl als Telekommunikationsdienste angesehen. Das Unabhängige Landesdatenschutzzentrum meint, das “Versenden von privaten Nachrichten und … Chatten in öffentlichen und geschlossenen Nutzergruppen” über Facebook sei als Telekommunikationsdienst anzusehen, so dass eine Bestandsdatenauskunft über Facebook-Passwörter eingeholt werden könnte. Nach dieser Wertung wäre wohl auch Twitter als Dienst zum “Chatten in öffentlichen … Nutzergruppen” anzusehen.

Das Bestandsdatengesetz droht also genutzt zu werden, um Passwörter zu den folgenden Internetdiensten herauszuverlangen:

  • E-Mail-Postfächer
  • Speicherdienste zum Hochladen von Daten, Fotos usw.
  • Chatdienste
  • Soziale Netzwerke wie Facebook
  • Twitter

Für diese “erweiterten” Bestandsdaten soll, dies wird uns von SPD und FDP als großer Sieg für unsere Grundrechte verkauft, ein Richtervorbehalt gelten.

Der Richtervorbehalt ist eine gesetzliche Zuständigkeitsvorschrift, wonach nur ein Richter für bestimmte staatliche Maßnahmen und Entscheidungen zuständig ist. Diese Zuständigkeitsnormen finden sich im Verfassungsrecht (in Deutschland: Art. 13, Art. 104 Grundgesetz), sowie insbesondere im Strafverfahrensrecht (in Deutschland: diverse Normen der Strafprozessordnung) und im Polizeirecht des Bundes und der Länder, aber auch in anderen Rechtsgebieten (z. B. freiwillige Gerichtsbarkeit, Betreuungsrecht, Ausländerrecht). Danach sind vor allem schwerwiegende oder mißbrauchsanfällige Eingriffe in Rechtsgüter eines Individuums von einer richterlichen Anordnung oder Genehmigung abhängig. Dies betrifft etwa Wohnungsdurchsuchungen, Freiheitsentziehungen, körperliche Eingriffe, Telefonüberwachungen, den sog. großen Lauschangriff oder teilweise auch DNS-Analysen.

(Quelle: Wikipedia)

Klingt doch gut. Was ist das Problem?

Nun, das Problem ist: Der Richtervorbehalt funktioniert nicht. Richard Gutjahr hat sich einmal durch die Statistik und wissenschaftlichen Analysen gearbeitet. Der Richtervorbehalt sieht in Deutschland im Moment so aus:

Richterliche Entscheidung zu beantragten Überwachungsmaßnahmen

Richterliche Entscheidung zu beantragten Überwachungsmaßnahmen (Quelle: G! gutjahrs blog)

Damit der Richtervorbehalt wirklich funktioniert, müssten mehr Richter mit mehr Fachwissen über die Anträge entscheiden. Statt eine Ablehnung schriftlich begründen zu müssen, sollten Gerichte eher die Zustimmung zu Überwachungsmaßnahmen begründen. Allein die zweite Änderung würde die Flut der Anträge massiv zurück gehen lassen, denn die Ermittlungsbehörden müssten bei zu vielen Anträgen damit rechnen, dass die wirklich wichtigen durchfallen.

Damit ist aber wohl eher nicht zu rechnen; jedenfalls dann nicht, wenn die Masse in Deutschland dem Thema weiterhin gleichgültig gegenüber steht. Denn, so die einhellige Meinung vieler: Es würden ja nur die bösen Jungs verfolgt, Mörder, Drogendealer, Terroristen und Kinderschänder. Einzig bei Drogendelikten trifft diese Einschätzung zu, wobei ich da noch die Vermutung habe, dass eher die “kleinen” Fische ins Visier geraten.

So sorglos also viele gegenüber staatlicher Überwachung sind, so sehr würden sich viele Aufregen, wenn der Staat einfach so ihre Wohnung filzen würde. Vor diesem Hintergrund ist es umso weniger verständlich, dass noch so viele nicht verstanden haben, dass ihr AlterEgo im Netz das Spiegelbild ihrer realen Existenz ist, mit allen Konsequenzen.

Wenn also die allermeisten dem Staat nicht einfach ihren Wohnungsschlüssel geben würden, warum sollte man dies dann mit Passwörtern, PINs und PUKs tun?


Welches Ausmaß die Überwachung in Deutschland inzwischen angenommen hat und wie wenig Schutz dabei der Einzelne genießt, hat Richard Gutjahr in seinem Artikel “Bestandsdaten außer Kontrolle” in allen Einzelheiten auseinander genommen. Ich kann daher nur jedem empfehlen, sich diesen Artikel durchzulesen.

Weitere Informationen zu dem Gesetz hat der AK-Vorrat in deren Wiki zusammengetragen.

CC BY-SA 4.0 This work is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License.