Am Donnerstag hat der Bundestag die nächste Etappe im Marathon des
Grundrechteabbaus genommen: ein Gesetz, das die Missachtung der
Grundrechte aus diversen anderen Gesetzesvorhaben durch Weitertreiben zu
heilen versucht. „Ich habe mir den Ringfinger abgesägt. Schneide ich
mir noch den kleinen Finger ab, dann wird es bestimmt besser.”
Konkret hatte das Bundesverfassungsgericht im vergangenen Mai
bemängelt, wie nonchalant Behörden seit den 2013er Änderungen
in Telekommunikationsgesetz (TKG) und Telemediengestz (TMG)
allerlei Daten über Telekommunizierende – das umfasste durchaus auch PINs
und PUKs, auch wenn das offenbar vielen Polizist_innen nicht klar war –
von den Telekommunikationsunternehmen bestellen durften. Regierung und
Parlament hatten nämlich befunden, es brauche dazu nicht mehr als
im Wesentlichen einen Zuruf. Proponenten dieses dreisten Übergriffs hatten
damals ernsthaft argumentiert, das sei ja im Groben wie im Telefonbuch
nachsehen und brauche drum auch keinen stärkeren Schutz.
Im Juni 2020 war sich der Bundestag dann nicht zu schade, nochmal
dreistere Regeln – vor allem den ganz konkreten Anspruch aufs Rausrücken
von Passwörtern – abzunicken, nämlich das „Gesetz zur Bekämpfung des
Rechtsextremismus und der Hasskriminalität“. Wohlgemerkt: in Kenntnis
der Argumentationen des Verfassungsgerichts, das genau diese Sorte von
Generalermächtigung (aber leider auch nicht arg viel mehr) kritisiert
hatte. Und offensichtlich ohne alle Bedenken wegen der semantischen
Nähe von „Hasskriminalität“ zu „Gedankenverbrechen“.
Das war sogar Bundespräsident Steinmeier, der als ehemaliger Dienstherr
des BND sicher nicht als Aushängeschild menschenrechtlicher
Prinzipientreue taugt, zu viel, und er verweigerte die Unterschrift
unter die „Hasskriminalität“.
Vor diesem Hintergrund kam nun dieses „Reparaturgesetz“, das die Spirale
noch etwas weiter dreht; ein Muster, das von der „Anti-Terror“-Datei
bekannt ist. Nach jedem Rüffel aus Karlsruhe genehmigt der Bundestag der
Regierung eine noch krassere Version der verfassungswidrigen Regelung.
Und das, finde ich, ist ein guter Anlass, nochmal den Stand der Dinge
anzusehen, bevor er durch Dutzende Kilobyte Grundrechtsbarock (die am
eigentlichen Verstoß natürlich fast nichts ändern) unkenntlich wird.
Bevors losgeht, will ich kurz erwähnt haben, dass es noch reichlich
Einzelgesetze gibt, die die Zugriffsrechte auf die Daten, um die es hier
geht, nochmal speziell regeln, also etwa der Vorratsdatenspeicherungs-
und Funkzellenabfrageparagraph §100g StPO oder Regelungen in den
Polizeigesetzen der Länder, die nochmal betonen, dass die diskutierten
Daten auch fair game sind, wenn noch gar nichts passiert ist
(„Gefahrenabwehr“). Deren Funktion ist aber nicht, die in TKG und TMG
formulierten Zugriffsrechte einzuhegen. Fast immer versuchen diese
Gesetze, Verhältnismäßigkeitserwägungen auszuhebeln, die ansonsten die
Nutzung der Tk-Daten durch die Polizei verbieten würden – und das klappt
ja in der Regel auch ganz gut, weil niemand so viele dieser autoritären
Machwerke wegklagen kann wie die Parlemente durchwinken.
Bestandsdaten
...werden in §14 Abs 1 TMG definiert als Daten, die für „die
Begründung, inhaltliche Ausgestaltung oder Änderung eines
Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über
die Nutzung von Telemedien erforderlich sind“.
Absatz 2 erlaubt breit („Straftaten und Ordnungswidrigkeiten“) die
Nutzung dieser Daten zu präventiven und repressiven Zwecken durch
allerlei Polizeien und Geheimdienste. Darin ist auch das in seiner
Komposition preiswürdige „zur Abwehr von Gefahren des internationalen
Terrorismus oder zur Durchsetzung der Rechte am geistigen Eigentum“
enthalten.
Während in dem Bereich die Abfrage auf Zuruf stattfand, war bei
zivilrechtlichen Ansprüchen (insbesondere auch nach lex facebook, dem
„Netzwerkdurchsetzungsgesetz“) eine Anordnung durch ein Landgericht
vorgesehen.
Mindeststandards für die Bestandsdaten werden in §111 TKG gesetzt .
Zu erfassen hat der Diensteanbieder (DA) nämlich:
- die Rufnummern und anderen Anschlusskennungen,
- den Namen und die Anschrift des Anschlussinhabers,
- bei natürlichen Personen deren Geburtsdatum,
- bei Festnetzanschlüssen auch die Anschrift des Anschlusses,
- in Fällen, in denen neben einem Mobilfunkanschluss auch ein
Mobilfunkendgerät überlassen wird, die Gerätenummer dieses Gerätes
sowie
- das Datum des Vertragsbeginns
– und zwar auch dann, wenn er diese Daten gar nicht braucht. §111 TKG ist
übrigens auch, was seit ein paar Jahren die unselige Ausweispflicht beim
Kauf einer SIM-Karte begründet.
Für den Zugriff auf diese Daten können Polizeien und Geheimdienste
zwischen zwei Verfahren wählen.
Erstens können sie (wie viele andere Behörden) den Umweg über die
Bundesnetzagentur (BNetzA) gehen. Dazu schreibt §112 TKG
(„automatisiertes Auskunftsverfahren“) vor, dass die BNetzA in den
Dateien des DA so recherchieren kann, dass der DA nicht merkt, was die
BNetzA da so tut – ich wäre mal neugierig, ob es dazu wirklich
technische Maßnahmen gibt oder ob diese Vertraulichkeit auf dem
Erhebet-die-Herzen-Prinzip beruht.
§112 Abs. 2 listet dann im Großen und Ganzen den gesamte Staatsapparat
(insbesondere natürlich alle Polizeien und Geheimdienste) auf als
anfrageberechtigt bei der BNetzA, und da der Abs. 1 erlaubt, auch mit
unvollständigen Daten abzufragen, können all diese Behörden etwa „Daten
von Leuten aus Wattenscheid, die 1982 geboren wurden“ bestellen; das ist
ziemlich klar offiziell so gedacht, jedenfalls dem leicht verschämten
„nicht benötigte Daten löscht [die anfragende Stelle] unverzüglich“ nach
zu urteilen. Dass in irgendeinem Ministerium wer meinte, diese
Datenschutz-Tautologie überhaupt ins TKG reinschreiben zu müssen, ist in
ganz eigener Weise bezeichnend.
Der andere Weg, um an Daten über Tk-Nutzer_innen zu kommen, ist das
manuelle Auskunftsverfahren nach §113 TKG, das nur Polizeien
und Geheimdiensten offen steht (und damit z.B. nicht der BaFin, die in
§112 noch explizit eingeschlossen ist). Dabei reden die Behörden direkt
mit den DAen. Erwähnenswert dabei, dass diese nach §113 Abs. 4 TKG
ihren Kund_innen nicht sagen dürfen, was alles über sie, die Kund_innen,
an die Behörden gegangen ist. Warum, so mögt ihr fragen, würde sich
irgendwer die Arbeit machen, manuell anzufragen, wenn es doch auch das
automatische Verfahren gibt? Nun, die automatischen Abfragen geben
nicht mehr als die oben aufgeführten sechs Punkte. Im manuellen
Verfahren kommen auch Bankverbindungen, Tarifdetails und überhaupt
alles, was die DA so speichern dazu.
Insbesondere, und das hat das BVerfG ganz wesentlich bewegt, die ganze
Norm zu verwerfen, sieht der beanstandete 113er vor:
Dies [Auskunftspflicht] gilt auch für Daten, mittels derer der
Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen
Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt
wird. [...] Für die Auskunftserteilung nach Satz 3 sind sämtliche
unternehmensinternen Datenquellen zu berücksichtigen.
– beides Regelungen von atemberaubender Eingriffstiefe, an denen der
Gesetzgeber, wenn auch mit kleinen Einschränkungen hinsichtlich der
Anlässe, am Donnerstag festgehalten hat.
Also: Die Regierung möchte gerne deine Passwörter bekommen können. Dass
das technisch kompliziert ist, da nun hoffentlich in etwa jede_r
Passwörter gar nicht mehr speichert (sondern nur deren Hashes), besorgt
sie offenbar nicht.
Der 113er spricht aber auch über Verkehrsdaten; die gehören zur zweiten
Kategorie, die im TMG aufgemacht wird:
Nutzungsdaten
...werden in §15 Abs. 1 TMG definiert das das, was es braucht um „die
Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen“.
Im Gegensatz zu den Bestandsdaten, die erst im TKG konkretisiert werden,
ist der Gesetzgeber bei diesen schon im TMG etwas präziser, denn er will
„insbesondere“
- Merkmale zur Identifikation des Nutzers,
- Angaben über Beginn und Ende sowie des Umfangs der jeweiligen
Nutzung und
- Angaben über die vom Nutzer in Anspruch genommenen Telemedien
unter Nutzungsdaten verstanden wissen – das ist wohl Erbe des Furors um
die Vorratsdatenspeicherung, zumal im Zeitalter von Flatrate oder
Volumentarif von all dem normalerweise nicht mehr viel übrigbliebe.
Eine spezielle Sorte Nutzungsdaten (und die eigentlich saftigen) sind
Verkehrsdaten nach §96 TKG, nämlich:
- die Nummer oder Kennung der beteiligten Anschlüsse oder der
Endeinrichtung, personenbezogene Berechtigungskennungen, bei
Verwendung von Kundenkarten auch die Kartennummer, bei mobilen
Anschlüssen auch die Standortdaten [zu denen in §98 TKG noch mehr
zu lesen ist],
- den Beginn und das Ende der jeweiligen Verbindung nach Datum und
Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten
Datenmengen,
- den vom Nutzer in Anspruch genommenen Telekommunikationsdienst,
- die Endpunkte von festgeschalteten Verbindungen, ihren Beginn und
ihr Ende nach Datum und Uhrzeit und, soweit die Entgelte davon
abhängen, die übermittelten Datenmengen,
- sonstige zum Aufbau und zur Aufrechterhaltung der Telekommunikation
sowie zur Entgeltabrechnung [die in §97 genauer geregelt ist]
notwendige Verkehrsdaten.
§96 Abs 1 TKG klingt dann ziemlich streng: „Im Übrigen sind
Verkehrsdaten vom Diensteanbieter nach Beendigung der Verbindung
unverzüglich zu löschen.“ Allerdings ist das Nicht-Übrige etwas wie
Entgeltabrechnung – die nach §97 (3) TKG Speicherung bis zu sechs
Monaten rechtfertigt –, Marketing bei entsprechender Einwilligung und
insbesondere „andere gesetzliche Vorschriften“; gemeint ist natürlich
die Vorratsdatenspeicherung, geregelt in §113b (der derzeit nicht
angewandt wird, da ja die Vorratsdatenspeicherung mehrfach
höchstrichterlich als groteske Missachtung von Grundrechten erkannt
wurde).
Und hier kommen wir zum vom BVerfG angemäkelten §113 TKG zurück, der
nämlich vorsieht, dass sich Behörden in diesem manuellen Verfahren
auch die 96er-Daten bei den DAen abholen können. Das gilt für alle
Tk-Unternehmen, die mit über 100000 Kund_innen müssen sogar eine
„gesicherte elektronische Schnittstelle“ bereitstellen. Immerhin: die
Polizei kann noch nicht frei in den Datenbanken der DAen recherchieren:
„Dabei ist dafür Sorge zu tragen, dass jedes Auskunftsverlangen durch
eine verantwortliche Fachkraft auf Einhaltung der in Absatz 2 [im
Wesentlichen: Textform, es geht um Straftaten oder Ordnungswidrigkeiten,
und Absender ist Polizei oder Geheimdienst] genannten formalen
Voraussetzungen geprüft und die weitere Bearbeitung des Verlangens erst
nach einem positiven Prüfergebnis freigegeben wird“ (§113 Abs. 5 TKG).
Und jetzt?
Soweit erkennbar, tut das am Donnerstag abgenickte Gesetz alles, um
den hier umrissenen (und vom BVerfG als unhaltbar erkannten) Zustand zu
erhalten und zu vertiefen. Wer den Entwurf in Bundestagsdrucksache
19/25294 ansieht, erkennt das Muster: Ab Seite 5 wird über 30 Seiten
genauer ausgeführt, was die alte Regelung „auf …
![[RSS]](../theme/image/rss.png)
.svg){kind=link}