Die Vorratsdatenspeicherung in ihrer alten Form ist tot, jetzt suchen Politiker:innen nach Alternativen zur anlasslosen Datensammlung. Mit der Login-Falle und Quick-Freeze stehen zwei Möglichkeiten bereit, doch damit drohen auch neue Probleme.
Der Europäische Gerichtshof hat die Vorratsdatenspeicherung kassiert. Als Reaktion auf das Urteil am 20. September hat Justizminister Marco Buschmann (FDP) angekündigt, innerhalb von 2 Wochen einen Referentenentwurf zum Quick-Freeze-Verfahren vorzulegen. Dieses soll als Alternative zur Vorratsdatenspeicherung Ermittlungen im digitalen Raum sicherstellen.
Neben diesem Instrument ist auch die sogenannte Login-Falle im Gespräch, um Daten anlassbezogen und nicht mehr pauschal auf Vorrat zu sichern. Der Ansatz ist sogar explizit im Koalitionsvertrag von SPD, Grünen und FDP erwähnt. Ob der angekündigte Entwurf neben dem Daten-Schockfrosten auch die Login-Falle enthalten wird, wollte das Bundesjustizministerium im Vorfeld nicht verraten. Derzeit könne man „noch keine Angaben zu den näheren Einzelheiten machen“, heißt es aus der Pressestelle des Ministeriums auf Anfrage.
Innerhalb der Regierung dürfte nun eine Debatte darüber toben, wie viel Datenspeicherung am Ende bleibt. So betonte etwa Innenministerin Nancy Faeser (SPD) vor allem den Bedarf an Internet-Verkehrsdaten, einer IP-Vorratsdatenspeicherung. Doch bei der bisherigen Vorratsdatenspeicherung in Deutschland ging es noch um mehr: etwa Standortdaten beim Mobilfunk oder Informationen, welche Rufnummer mit welcher anderen wie lange telefoniert oder Nachrichten ausgetauscht hat.
Wir haben uns beide Instrumente angeschaut. Was bedeuten die Modelle? Wie funktionieren sie? Wo liegen jeweils Probleme und welche Fragen sind noch offen?
Quick Freeze: Daten speichern, wenn sie gebraucht werden
Bei Quick Freeze werden Daten erst nach einer behördlichen Anordnung „eingefroren“ und gespeichert. Dies würde beispielsweise passieren, wenn ein Verdacht für eine Straftat vorliegt, die über einen bestimmten Anschluss verübt wurde. Üblicherweise löschen die Kommunikationsanbieter solche Verkehrsdaten routinemäßig nach einer Weile, wenn sie diese nicht mehr brauchen, etwa um Rechnungen zu schreiben oder technische Fehler zu erkennen. Diese Löschung wird durch das Einfrieren verhindert. Wollen Ermittlungsbehörden auf die gespeicherten Daten zugreifen, werden sie wieder „aufgetaut“.
Was sind die Vorteile?
Diensteanbieter werden nicht vom Staat gezwungen, über lange Zeiträume hinweg anlasslos und massenhaft Daten zu speichern. Abgesehen von der grundrechtlichen Problematik müssen sie zudem keine umfangreiche Infrastruktur für die Datenhalden aufbauen. Damit sinkt die Gefahr drastischer IT-Sicherheitsvorfälle, Ermittlungsbehörden könnten aber dennoch Straftaten mit Verkehrsdaten verfolgen.
Was sind die Nachteile?
Ermittlungsbehörden beklagen zuweilen, dass für eine Untersuchung notwendige Daten nicht mehr verfügbar sind. Damit solche Fälle auch im Rahmen einer Quick-Freeze-Regelung die Ausnahme bleiben, müsste die Justiz einerseits schnell handeln, um relevante Daten zu sichern. Andererseits müssten die Anbieter rechtzeitig auf solche Anordnungen reagieren. Daten, die bereits routinemäßig gelöscht wurden, können auch nicht mehr eingefroren werden.
Was sind offene Fragen?
Wie grundrechtsfreundlich eine Quick-Freeze-Lösung wirklich ist, hängt von der konkreten Ausgestaltung ab. Denn vorstellbar sind viele Szenarien. Eine sehr spezifische Einfrieranordnung könnte lauten: „Bitte sichere mir die Daten dieses Internetanschlusses für die letzten zwei Tage, weil wir vermuten, dass der Anschlussinhaber eine schwere Straftat begangen hat“. Sie könnte aber auch wesentlich unspezifischer sein: „Bitte sichere die Mobilfunkdaten für das gesamte Stadtgebiet der letzten Wochen, weil es wiederholt zu Autobränden kam.“
Wie eingriffsintensiv ein Quick Freeze ist, hängt auch davon ab, wer das Einfrieren und Auftauen welcher Daten wie anfordern kann. Sollte dazu ein vager Anfangsverdacht der Polizei genügen, könnte dies dazu führen, dass bei Ermittlungen standardmäßig umfassend Daten eingefroren werden. Schon heute fragen Behörden durchschnittlich jede Sekunde, völlig unabhängig von der Vorratsdatenspeicherung, wem eine Telefonnummer gehört. Bei IP-Adressen gibt es keine Statistik, wie häufig die Behörden solche Daten bekommen, weil sie das direkt bei den Internetzugangsanbietern abrufen.
Bundesjustizminister Marco Buschmann forderte bislang einen doppelten Schutz. Schon bei einer Sicherungsanordnung sollte es einen Richtervorbehalt geben, wenn auch mit einer Eilkompetenz für die Staatsanwaltschaft. Das anschließende Auftauen und Auswerten der Daten durch Polizei und Staatsanwaltschaft müsste dann erneut ein Richter genehmigen.
Jetzt werbefreien Journalismus unterstützen.
Deine Spende ermöglicht unsere Arbeit.
Unklar bleibt vorerst, ob es im geplanten Gesetz Mindestvorgaben für Anbieter geben wird, wie lange sie bestimmte Daten wie IP-Adressen oder Mobilfunkdaten speichern müssen. Der – außer Kraft gesetzten – Regelung zur Vorratsdatenspeicherung nach mussten solche Daten zehn Wochen lang vorgehalten werden, Standortdaten für vier Wochen. Das EuGH-Urteil spricht von einem „auf das absolut Notwendige begrenzten, aber verlängerbaren Zeitraum“, innerhalb dessen eine gezielte Speicherung notfalls zulässig ist. Zu hohe Pflichtvorgaben wären eine Vorratsdatenspeicherung durch die Hintertür und zudem rechtlich wacklig.
Diesen Konflikt löst aber selbst die beste Quick-Freeze-Lösung nicht auf: Schließlich ergibt sie nur dann Sinn, wenn Daten vorhanden sind, die sich einfrieren lassen. Wie lange Telekommunikationsanbieter Daten für ihre eigenen Zwecke speichern dürfen, beschreibt ein Leitfaden des Bundesdatenschutzbeauftragten. Darin ist etwa vermerkt, dass Anbieter zur „Erkennung, Eingrenzung und Beseitigung von Störungen“ ohne konkreten Anlass sieben Tage lang Daten speichern dürfen. Der Leitfaden bezieht sich jedoch noch auf eine alte Rechtsgrundlage und soll laut der Website des Bundesdatenschutzbeauftragten aktualisiert werden.
Gingen Speicherfristen über die routinemäßigen Zeiträume hinaus, wäre das mit Grundprinzipien des Datenschutzes wie Datensparsamkeit und Datenvermeidung nur schwer vereinbar. Schon vor über zehn Jahren warnten deshalb manche Datenschützer und Juristen davor, dass Quick Freeze in bestimmten Punkten grundrechtlich sogar problematischer sei als eine Vorratsdatenspeicherung.
Login-Falle: Schnittstelle für den Verdachtsfall
Bei der Login-Falle geht es darum, mutmaßliche Täter:innen mittels IP-Adresse zu identifizieren, ohne Daten von Unbeteiligten auf Vorrat speichern zu müssen. Das Konzept dafür stammt vom Digitalverein D64, in einer Präsentation beschreibt er folgendes Szenario: Eine Nutzerin wird auf einer Plattform von einer Person mit dem Pseudonym „Teddy Bär“ beleidigt und bedroht. Sie zeigt den Post bei einer Strafverfolgungsbehörde an. Wenn Staatsanwält:innen einen Anfangsverdacht feststellen, informieren sie die Plattform. Diese muss die Login-Falle aktivieren. Sobald der Account erneut aktiv ist, schnappt die Falle zu, der Plattformbetreiber erhebt die zugehörige IP-Adresse und übermittelt sie an die Ermittlungsbehörden. Die rufen daraufhin beim zuständigen Telekommunikationsanbieter die Bestandsdaten zum entsprechenden Internetanschluss ab.
Laut D64 lässt sich dieses Instrument nicht nur für Hasspostings oder Bedrohungen einsetzen, sondern auch für andere Straftaten, die von Accounts aus begangen werden. „Die Login-Falle ist vor allem eine Kombination von Schnittstellen“, sagt Erik Tuchtfeld von D64. Er und Henning Tillmann haben das Konzept erarbeitet. „Es geht darum, Daten nicht speichern zu müssen, sondern schnell abrufen zu können, wenn es notwendig ist“, so Tillmann. „Alles funktioniert im Netz in Echtzeit, aber die Strafverfolgungsbehörden verschicken immer noch händisch Faxe und E-Mails, was den Prozess über Wochen hinzieht.“
Was sind die Vorteile?
Für die Login-Falle braucht es keine präventive, anlasslose Datenspeicherung und damit, so D64, „keine neuen (massenhaften) Grundrechtseingriffe gegenüber Bürgerinnen und Bürgern“. Damit wird eine Vorratsdatenspeicherung von IP-Adressen obsolet, ebenso wie eine Klarnamenpflicht für Internetdienste. Der Grundgedanke dahinter: Solange Nutzer:innen nichts Strafbares mit ihren Accounts tun, müssen sie nicht befürchten, identifiziert zu werden.
Was sind die Nachteile?
Die Ermittlungsbehörden sind bei der Login-Falle auf die Kooperation der Plattformen angewiesen. Dass auch große Plattformen nicht immer mit den Behörden zusammenarbeiten wollen, hat sich in den letzten Monaten vor allem am Beispiel Telegram gezeigt. Außerdem kann es nötig sein, schnell zu handeln, falls die mutmaßlichen Täter:innen ihre Accounts nur kurz nutzen. D64 formuliert dafür Voraussetzungen, etwa standardisierte digitale Schnittstellen zur Übermittlung der initialen Anzeige oder zur Übertragung der IP-Adressen zwischen Plattform und Ermittlungsbehörden.
Was sind offene Fragen?
Die Login-Falle bietet eine Speicheralternative bei mutmaßlichen Straftaten, die von bestimmten Accounts begangen wurden. Eine Regelung etwa für Telefonverkehre oder Standortdaten kann sie nicht bieten. Außerdem kann sie immer nur einen Anhaltspunkt auf die Tatverdächtigen geben: Denn oft nutzt nicht nur eine Person einen Internetanschluss. Ebenso ist nicht zwingend, dass hinter einem bestimmten Account nur ein Mensch steckt. Dementsprechend müssen die Ermittlungsbehörden nach der Bestandsdatenauskunft weiter ermitteln, um die Täter:innen hinter beispielsweise einem Droh-Posting zu finden oder zu bestätigen.
Die Plattformanbieter müssten mit den Behörden kooperieren und die entsprechenden Schnittstellen einrichten. Dazu hätte D64 positive Rückmeldungen bekommen, sagt Tillmann. Die Anbieter hätten durchaus Erfahrung mit Schnittstellen und würden selbst keine umfassende Datenspeicherung einrichten wollen. Für die Strafverfolgungsbehörden würde die Login-Falle wohl die größte Umstellung bedeuten. Tillmann sagt: „Bei den Strafverfolgungsbehörden ist es noch nicht besonders verbreitet, Dinge digital und automatisiert zu bearbeiten. Das auf den neuesten Stand zu bringen, ist ein dickes Brett.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires