Reparaturgesetz zur Bestandsdatenauskunft

Am Donnerstag hat der Bundestag die nächste Etappe im Marathon des Grundrechteabbaus genommen: ein Gesetz, das die Missachtung der Grundrechte aus diversen anderen Gesetzesvorhaben durch Weitertreiben zu heilen versucht. „Ich habe mir den Ringfinger abgesägt. Schneide ich mir noch den kleinen Finger ab, dann wird es bestimmt besser.”

Konkret hatte das Bundesverfassungsgericht im vergangenen Mai bemängelt, wie nonchalant Behörden seit den 2013er Änderungen in Telekommunikationsgesetz (TKG) und Telemediengestz (TMG) allerlei Daten über Telekommunizierende – das umfasste durchaus auch PINs und PUKs, auch wenn das offenbar vielen Polizist_innen nicht klar war – von den Telekommunikationsunternehmen bestellen durften. Regierung und Parlament hatten nämlich befunden, es brauche dazu nicht mehr als im Wesentlichen einen Zuruf. Proponenten dieses dreisten Übergriffs hatten damals ernsthaft argumentiert, das sei ja im Groben wie im Telefonbuch nachsehen und brauche drum auch keinen stärkeren Schutz.

Im Juni 2020 war sich der Bundestag dann nicht zu schade, nochmal dreistere Regeln – vor allem den ganz konkreten Anspruch aufs Rausrücken von Passwörtern – abzunicken, nämlich das „Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“. Wohlgemerkt: in Kenntnis der Argumentationen des Verfassungsgerichts, das genau diese Sorte von Generalermächtigung (aber leider auch nicht arg viel mehr) kritisiert hatte. Und offensichtlich ohne alle Bedenken wegen der semantischen Nähe von „Hasskriminalität“ zu „Gedankenverbrechen“.

Das war sogar Bundespräsident Steinmeier, der als ehemaliger Dienstherr des BND sicher nicht als Aushängeschild menschenrechtlicher Prinzipientreue taugt, zu viel, und er verweigerte die Unterschrift unter die „Hasskriminalität“.

Vor diesem Hintergrund kam nun dieses „Reparaturgesetz“, das die Spirale noch etwas weiter dreht; ein Muster, das von der „Anti-Terror“-Datei bekannt ist. Nach jedem Rüffel aus Karlsruhe genehmigt der Bundestag der Regierung eine noch krassere Version der verfassungswidrigen Regelung.

Und das, finde ich, ist ein guter Anlass, nochmal den Stand der Dinge anzusehen, bevor er durch Dutzende Kilobyte Grundrechtsbarock (die am eigentlichen Verstoß natürlich fast nichts ändern) unkenntlich wird. Bevors losgeht, will ich kurz erwähnt haben, dass es noch reichlich Einzelgesetze gibt, die die Zugriffsrechte auf die Daten, um die es hier geht, nochmal speziell regeln, also etwa der Vorratsdatenspeicherungs- und Funkzellenabfrageparagraph §100g StPO oder Regelungen in den Polizeigesetzen der Länder, die nochmal betonen, dass die diskutierten Daten auch fair game sind, wenn noch gar nichts passiert ist („Gefahrenabwehr“). Deren Funktion ist aber nicht, die in TKG und TMG formulierten Zugriffsrechte einzuhegen. Fast immer versuchen diese Gesetze, Verhältnismäßigkeitserwägungen auszuhebeln, die ansonsten die Nutzung der Tk-Daten durch die Polizei verbieten würden – und das klappt ja in der Regel auch ganz gut, weil niemand so viele dieser autoritären Machwerke wegklagen kann wie die Parlemente durchwinken.

Bestandsdaten

...werden in §14 Abs 1 TMG definiert als Daten, die für „die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind“.

Absatz 2 erlaubt breit („Straftaten und Ordnungswidrigkeiten“) die Nutzung dieser Daten zu präventiven und repressiven Zwecken durch allerlei Polizeien und Geheimdienste. Darin ist auch das in seiner Komposition preiswürdige „zur Abwehr von Gefahren des internationalen Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum“ enthalten.

Während in dem Bereich die Abfrage auf Zuruf stattfand, war bei zivilrechtlichen Ansprüchen (insbesondere auch nach lex facebook, dem „Netzwerkdurchsetzungsgesetz“) eine Anordnung durch ein Landgericht vorgesehen.

Mindeststandards für die Bestandsdaten werden in §111 TKG gesetzt [1]. Zu erfassen hat der Diensteanbieder (DA) nämlich:

  1. die Rufnummern und anderen Anschlusskennungen,
  2. den Namen und die Anschrift des Anschlussinhabers,
  3. bei natürlichen Personen deren Geburtsdatum,
  4. bei Festnetzanschlüssen auch die Anschrift des Anschlusses,
  5. in Fällen, in denen neben einem Mobilfunkanschluss auch ein Mobilfunkendgerät überlassen wird, die Gerätenummer dieses Gerätes sowie
  6. das Datum des Vertragsbeginns

– und zwar auch dann, wenn er diese Daten gar nicht braucht. §111 TKG ist übrigens auch, was seit ein paar Jahren die unselige Ausweispflicht beim Kauf einer SIM-Karte begründet.

Für den Zugriff auf diese Daten können Polizeien und Geheimdienste zwischen zwei Verfahren wählen.

Erstens können sie (wie viele andere Behörden) den Umweg über die Bundesnetzagentur (BNetzA) gehen. Dazu schreibt §112 TKG („automatisiertes Auskunftsverfahren“) vor, dass die BNetzA in den Dateien des DA so recherchieren kann, dass der DA nicht merkt, was die BNetzA da so tut – ich wäre mal neugierig, ob es dazu wirklich technische Maßnahmen gibt oder ob diese Vertraulichkeit auf dem Erhebet-die-Herzen-Prinzip beruht.

§112 Abs. 2 listet dann im Großen und Ganzen den gesamte Staatsapparat (insbesondere natürlich alle Polizeien und Geheimdienste) auf als anfrageberechtigt bei der BNetzA, und da der Abs. 1 erlaubt, auch mit unvollständigen Daten abzufragen, können all diese Behörden etwa „Daten von Leuten aus Wattenscheid, die 1982 geboren wurden“ bestellen; das ist ziemlich klar offiziell so gedacht, jedenfalls dem leicht verschämten „nicht benötigte Daten löscht [die anfragende Stelle] unverzüglich“ nach zu urteilen. Dass in irgendeinem Ministerium wer meinte, diese Datenschutz-Tautologie überhaupt ins TKG reinschreiben zu müssen, ist in ganz eigener Weise bezeichnend.

Der andere Weg, um an Daten über Tk-Nutzer_innen zu kommen, ist das manuelle Auskunftsverfahren nach §113 TKG, das nur Polizeien und Geheimdiensten offen steht (und damit z.B. nicht der BaFin, die in §112 noch explizit eingeschlossen ist). Dabei reden die Behörden direkt mit den DAen. Erwähnenswert dabei, dass diese nach §113 Abs. 4 TKG ihren Kund_innen nicht sagen dürfen, was alles über sie, die Kund_innen, an die Behörden gegangen ist. Warum, so mögt ihr fragen, würde sich irgendwer die Arbeit machen, manuell anzufragen, wenn es doch auch das automatische Verfahren gibt? Nun, die automatischen Abfragen geben nicht mehr als die oben aufgeführten sechs Punkte. Im manuellen Verfahren kommen auch Bankverbindungen, Tarifdetails und überhaupt alles, was die DA so speichern dazu.

Insbesondere, und das hat das BVerfG ganz wesentlich bewegt, die ganze Norm zu verwerfen, sieht der beanstandete 113er vor:

Dies [Auskunftspflicht] gilt auch für Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird. [...] Für die Auskunftserteilung nach Satz 3 sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen.

– beides Regelungen von atemberaubender Eingriffstiefe, an denen der Gesetzgeber, wenn auch mit kleinen Einschränkungen hinsichtlich der Anlässe, am Donnerstag festgehalten hat.

Also: Die Regierung möchte gerne deine Passwörter bekommen können. Dass das technisch kompliziert ist, da nun hoffentlich in etwa jede_r Passwörter gar nicht mehr speichert (sondern nur deren Hashes), besorgt sie offenbar nicht.

Der 113er spricht aber auch über Verkehrsdaten; die gehören zur zweiten Kategorie, die im TMG aufgemacht wird:

Nutzungsdaten

...werden in §15 Abs. 1 TMG definiert das das, was es braucht um „die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen“. Im Gegensatz zu den Bestandsdaten, die erst im TKG konkretisiert werden, ist der Gesetzgeber bei diesen schon im TMG etwas präziser, denn er will „insbesondere“

  1. Merkmale zur Identifikation des Nutzers,
  2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
  3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien

unter Nutzungsdaten verstanden wissen – das ist wohl Erbe des Furors um die Vorratsdatenspeicherung, zumal im Zeitalter von Flatrate oder Volumentarif von all dem normalerweise nicht mehr viel übrigbliebe.

Eine spezielle Sorte Nutzungsdaten (und die eigentlich saftigen) sind Verkehrsdaten nach §96 TKG, nämlich:

  1. die Nummer oder Kennung der beteiligten Anschlüsse oder der Endeinrichtung, personenbezogene Berechtigungskennungen, bei Verwendung von Kundenkarten auch die Kartennummer, bei mobilen Anschlüssen auch die Standortdaten [zu denen in §98 TKG noch mehr zu lesen ist],
  2. den Beginn und das Ende der jeweiligen Verbindung nach Datum und Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten Datenmengen,
  3. den vom Nutzer in Anspruch genommenen Telekommunikationsdienst,
  4. die Endpunkte von festgeschalteten Verbindungen, ihren Beginn und ihr Ende nach Datum und Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten Datenmengen,
  5. sonstige zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechnung [die in §97 genauer geregelt ist] notwendige Verkehrsdaten.

§96 Abs 1 TKG klingt dann ziemlich streng: „Im Übrigen sind Verkehrsdaten vom Diensteanbieter nach Beendigung der Verbindung unverzüglich zu löschen.“ Allerdings ist das Nicht-Übrige etwas wie Entgeltabrechnung – die nach §97 (3) TKG Speicherung bis zu sechs Monaten rechtfertigt –, Marketing bei entsprechender Einwilligung und insbesondere „andere gesetzliche Vorschriften“; gemeint ist natürlich die Vorratsdatenspeicherung, geregelt in §113b (der derzeit nicht angewandt wird, da ja die Vorratsdatenspeicherung mehrfach höchstrichterlich als groteske Missachtung von Grundrechten erkannt wurde).

Jandl-Gedichte

2021: Gesetze ähneln immer mehr konkreter Poesie.

Und hier kommen wir zum vom BVerfG angemäkelten §113 TKG zurück, der nämlich vorsieht, dass sich Behörden in diesem manuellen Verfahren auch die 96er-Daten bei den DAen abholen können. Das gilt für alle Tk-Unternehmen, die mit über 100000 Kund_innen müssen sogar eine „gesicherte elektronische Schnittstelle“ bereitstellen. Immerhin: die Polizei kann noch nicht frei in den Datenbanken der DAen recherchieren: „Dabei ist dafür Sorge zu tragen, dass jedes Auskunftsverlangen durch eine verantwortliche Fachkraft auf Einhaltung der in Absatz 2 [im Wesentlichen: Textform, es geht um Straftaten oder Ordnungswidrigkeiten, und Absender ist Polizei oder Geheimdienst] genannten formalen Voraussetzungen geprüft und die weitere Bearbeitung des Verlangens erst nach einem positiven Prüfergebnis freigegeben wird“ (§113 Abs. 5 TKG).

Und jetzt?

Soweit erkennbar, tut das am Donnerstag abgenickte Gesetz alles, um den hier umrissenen (und vom BVerfG als unhaltbar erkannten) Zustand zu erhalten und zu vertiefen. Wer den Entwurf in Bundestagsdrucksache 19/25294 ansieht, erkennt das Muster: Ab Seite 5 wird über 30 Seiten genauer ausgeführt, was die alte Regelung „auf Zuruf“ meinte, mit vielen Punkten, Unterpunkten und Unterunterpunkten. Der neue §113 TKG (ab Seite 29 im PDF) könnte fast schon von Ernst Jandl geschrieben sein.

Dazu kommen noch ein paar praktisch irrelevante Zuckerl, so z.B. im Hinblick auf die Benachrichtigung der Opfer der Maßnahmen, die sich an entsprechenden Regelungen der StPO orientieren. Als repräsentatives Beispiel ist hier der neue §22a Abs.4 Bundespolizeigesetz:

Die Benachrichtigung erfolgt, soweit und sobald hierdurch der Zweck der Auskunft nicht vereitelt wird. Die Benachrichtigung unterbleibt, wenn ihr überwiegende schutzwürdige Belange Dritter oder der betroffenen Person selbst entgegenstehen. Wird die Benachrichtigung nach Satz 2 zurückgestellt oder nach Satz 3 von ihr abgesehen, sind die Gründe aktenkundig zu machen.

In all den Jahren, die ich jetzt Rechtshilfe im Politbereich mache – wo es nun wirklich ständig Observationen, Abhören und sonstige Späße nach §100 a-bis-j StPO gibt, für die Benachrichtigungen vorgesehen sind – habe ich nur ein Mal von so einer Benachrichtigung gehört. In den Akten müssen viele Begründungen liegen...

Nachtrag (2021-02-12): Potz-Blitz! Der Bundesrat hat in seiner 1000. Sitzung für einen Moment seinen Mut gefunden und hat das Reparaturgesetz durchfallen lassen. Schade, dass der Vermittlungsausschuss geheimverhandelt – der Unsinn, der dort vermutlich über die Frage des Passwortzugriffs über PIN und PUK hinaus geredet werden wird, dürfte atemberaubend sein. Und natürlich: Irgendein Oberautoritärer hat gleich gequakt, dass Grüne und Linke, die nicht für diese Zumutung stimmen wollten, jetzt Schuld sind, dass „Hasskriminalität“ im Netz nicht verfolgt werden kann. Diese Rede wäre überzeugender, wenn seine Leute mal mit der Bekämpfung von Hass aus der Berliner Kochstraße anfangen würden. Dazu brauchts keine Gesetze, sondern erstmal nur: Nicht mehr das Geschäft der Springer-Publikationen durch Interviews und Zitate machen. Und stattdessen betonen, was für ein Ausfall der Zivilisation diese doch sind.

[1]Gänzlich zur Komödie wird §111 TKG übrigens in Absatz 2, der versucht, ähnliche Pflichten für Mail-Anbieter zu verordnen, ganz als würde nicht jede_r vernünftige Mensch sich Mailadressen dann nicht in weniger durchgeknallten Jurisdiktionen klicken. Wurde dieser Mumpitz für Mailadressen jemals durchgesetzt?

Zitiert in: Wahlen und Informationstheorie Fortgesetzte Missachtung Ad hominem Motivlage im Rassismus