In diesem Teil unseres Schwerpunktes zeigen wir auf, dass in der Auskunftspraxis gravierende Sicherheitsprobleme bestehen, es regelmäßig zu Rechtsbrüchen kommt und Kontrolldefizite die Situation weiter verschlimmern. Wir belegen dies mit unserer eigenen Fall-Dokumentation und veröffentlichen Beispiele rechtswidriger Behördenersuchen. Weiterhin veröffentlichen wir unsere Schriftwechsel mit den Landesdatenschutzbeauftragten. Wir zeigen auf, warum die Bundesregierung bereits vor Jahren Abhilfemaßnahmen hätte einleiten können, da sie über einige Missstände informiert war und wiederholt dazu befragt wurde. Erst am Mittwoch (19.08.) ist aus dem Bundesinnenministerium (BMI) die Antwort eingegangen, der Bundesregierung lägen "weiterhin keine Anhaltspunkte für rechtswidrige Abfragen vor". Lesen Sie hier mehr über die unhaltbaren Zustände bei der Bestandsdatenauskunft.

Deutsche Politiker argumentieren aktuell gerne, die Risiken beim Datensammeln gingen nicht vom Staat aus, sondern vielmehr von internationalen Konzernen wie Apple, Google und Facebook. Es sei gar besorgniserregend, dass solchen Konzernen mehr vertraut werde als dem Staat. Dem stimmen wir so keineswegs zu. Nicht nur, weil Internetkonzerne massiv in den Ausbau von Verschlüsselungstechnologien investieren, seit Edward Snowden bekannt machte, dass Nachrichtendienste das Internet flächendeckend überwachen. In unserer Eigenschaft als deutsches Telekommunikationsunternehmen können wir belegen, dass öffentliche Stellen im Rahmen von Auskunftsersuchen häufig auf eine Art und Weise mit sensiblen Daten umgehen, die ein Sicherheitsrisiko darstellt, rechtswidrig ist und sogar laufende Ermittlungen gefährden kann.

1. Massive Sicherheitsprobleme in der Praxis der Auskunftsersuchen nach § 113 TKG

In der Praxis des Auskunftsverfahrens nach § 113 TKG liegen gravierende Sicherheitsprobleme vor, wie wir im Folgenden zeigen. Ersuchen um Bestandsdaten nach §113 TKG enthalten sensible personenbezogene Informationen. Meist erhalten wir von den Polizeibehörden E-Mail-Adressen oder Namen, die in Verbindung mit einem konkreten Tatvorwurf genannt werden. Manchmal enthalten die Ersuchen sogar vollständige Konto- bzw. Zahlungsdaten einer Person. Posteo erhält regelmäßig solche Bestandsdatenabfragen.

Nun ist es so, dass auch Ermittlungsbehörden u.a. durch das BDSG gesetzlich dazu verpflichtet sind, "zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können." (BDSG, Anlage, Satz 4)

Rechtswidrige, unsichere Übertragung sensibler Daten

Die meisten Ersuchen nach § 113 TKG erreichen uns per E-Mail. Und ausnahmslos alle Ersuchen, die wir bisher auf diesem Wege erhalten haben, sind uns durch die Behörden unsicher bzw. unverschlüsselt übermittelt worden. Dieses Vorgehen verstößt gegen die geltenden Datenschutzbestimmungen und ist rechtswidrig. (Siehe u.a. BDSG § 9, Anlage, Satz 4 und 8 sowie die jeweiligen Regelungen zu den „technisch-organisatorischen Maßnahmen“ der Landesdatenschutzgesetze).

Die meisten Ersuchen nach § 113 TKG weisen darüber hinaus weitere Mängel auf, die ebenfalls Verstöße gegen datenschutzrechtliche Bestimmungen oder andere Gesetze darstellen. Dazu zählen:

Zusenden polizeilicher Ersuchen an den Kunden-Support - und nicht an die zuständigen Personen (Anti-Abuse-Team).

Verwenden nicht-dienstlicher E-Mail-Postfächer zum Übermitteln von Ersuchen, Angabe solcher Postfächer als Antwortmöglichkeit

Ersuchen um Informationen und Daten, deren Herausgabe im Rahmen von Abfragen nach §113 TKG nicht zulässig ist, z.B. um Verkehrsdaten wie IP-Adressen oder um Aktenzeichen anderer Behörden, die ggf. bereits nach dem Postfach gefragt hatten

fehlende Angabe einer sicheren Antwortmöglichkeit

fehlende Angabe der Rechtsgrundlage der Abfrage (gesetzlich vorgeschrieben)

Galerie 1: Beispiele für unsicher übermittelte Behördenersuchen

Datenschützern ist das Problem bekannt

Die meisten Anfragen nach §113 TKG erreichen uns auf diese Weise (per unverschlüsselter E-Mail). Der Faxweg wird von den Behörden selten genutzt, auf dem Postweg hat uns bisher nur eine einzige Anfrage erreicht. Gelegentlich erreichen uns per E-Mail auch Ersuchen mit einem unverschlüsselten Dokument im Anhang, das fälschlicherweise als "Telefax-Nachricht" überschrieben ist. Wir haben uns im Januar 2015 bei den jeweils zuständigen Landesdatenschutzbeauftragten über die unsichere Übertragung sensibler Daten durch Polizeibehörden beschwert. Die Antworten der Datenschützer waren eindeutig: Das Problem der unsicheren Übermittlung sensibler Daten durch Polizeibehörden ist bekannt und immer wieder Anlass für Gespräche und Kontrollen. Die Antworten belegen, dass das unsichere Versenden sensibler Informationen durch Polizeibehörden ein Thema ist, bei dem dringender Handlungsbedarf besteht.

So schrieb uns der nordrhein-westfälische Datenschutzbeauftragte:

„Gegenüber dem Ministerium für Inneres und Kommunales des Landes Nordrhein-Westfalen (MIK NRW) habe ich wiederholt darauf hingewiesen, dass Anfragen in Ermittlungsverfahren grundsätzlich auf dem Postweg bzw. in begründeten Fällen auch per Fax erfolgen sollten. Wenn im Ausnahmefall eine Anfrage per E-Mail erforderlich sein sollte, so müsste entweder die Nachricht selbst verschlüsselt werden oder zumindest die Übermittlung personenbezogener Daten müsste in einem verschlüsselten Dateianhang erfolgen. Ihre Anfrage werde ich zum Anlass nehmen, diese Thematik nochmals gegenüber dem MIK NRW aufzugreifen und auf eine datenschutzgerechte Ausgestaltung der polizeilichen Ermittlungen hinzuwirken.“ (Vollständige Antwort: Siehe Galerie 2, weiter unten)

Und der bayerische Landesdatenschützer teilte uns mit:

„Nachdem die Übermittlung von personenbezogenen Daten in unverschlüsselten E-Mails durch sonstige Behörden oder durch die Polizei immer wieder Anlass für datenschutzrechtliche Überprüfungen gibt, habe ich mich mit diesem Thema bereits mehrmals in meinen Tätigkeitsberichten befasst. (…) Zudem kann ich Ihnen versichern, dass ich dieses Thema auch unabhängig von meinen konkreten Kontrollen mit den zuständigen Stellen der Polizei regelmäßig erörtere. So stehe ich derzeit mit dem Bayerischen Landeskriminalamt in Kontakt, um die Ausgestaltung des dort betriebenen Abrufverfahrens bei Telekommunikationsdiensten zu überprüfen.“ (Vollständige Antwort: Siehe Galerie 2, weiter unten)

Der mecklenburgische Datenschutzbeauftragte wurde ebenfalls aktiv:

„Ich habe die betreffende Dienststelle kontaktiert und sie auf ihre Umsetzung von datenschutzrechtlichen Maßnahmen hingewiesen, damit Sie in Zukunft Anfragen nach § 113 TKG auf sicherem Wege erreichen und die Rechte des Betroffenen damit nicht verletzt werden. Ebenfalls habe ich das Ministerium für Inneres und Sport Meckelnburg-Vorpommern auf diesen Missstand aufmerksam gemacht. Das Ministerium (...) versicherte mir, die Beamtinnen und Beamten hinsichtlich des richtigen Umgangs mit personenbezogenen Daten und des Umgangs mit TKÜ-Abfragen nach § 113 TKG erneut zu sensiblisieren. “ (Vollständige Antwort: Siehe Galerie 2, weiter unten)

Und der sächsische Datenschutzbeauftragte setzte dem Landespolizeipräsidenten gar ein Ultimatum:

„Wir unterstützen Ihr Anliegen unbedingt. Ich habe deshalb mit heutiger Post den Landespolizeipräsidenten mit der Bitte um Abhilfe angeschrieben und ihn gebeten, bis zum 15.04.2015 mitzuteilen, welche Abhilfemaßnahmen er ergriffen hat.“ (Vollständige Antwort: Siehe Galerie 2, weiter unten)

Die Antworten der Landesdatenschützer an uns belegen, dass die unverschlüsselten Ersuchen ein dort bekanntes Problem sind. Wenn es gängige Praxis sein sollte, dass Polizeibehörden sensible Daten, zum Beispiel im Rahmen von Ersuchen nach §113 TKG, unverschlüsselt durch das Internet senden, ist dies nicht nur ein Problem aus Datenschutzsicht: Es ist auch rechtswidrig, verletzt die Rechte des Betroffenen und gefährdet möglicherweise laufende Ermittlungen.

In einigen Fällen erleben wir die Bürokratie als sehr schwerfällig. So antwortete uns der Berliner Datenschutzbeauftragte nach fünf Monaten zu einem Fall zurück: „Leider konnte die Angelegenheit bislang noch nicht abschließend geklärt werden.“

Einige Monate zuvor hatte er uns bereits schriftlich mitgeteilt, dass er die Polizei um Informationen zu allgemeinen Vorgaben zu Auskunftsersuchen bzw. zur Versendung personenbezogener Daten gebeten habe.

Fazit: Wir nehmen an, dass insgesamt und flächendeckend Sicherheitsprobleme in der Praxis der manuellen Bestandsdatenauskunft (nach § 113 TKG) bestehen. Bei Posteo ist zumindest per E-Mail noch kein einziges Ersuchen von Polizeibehörden eingegangen, das verschlüsselt gewesen wäre und somit den gesetzlichen Anforderungen an die sichere Übermittlung entsprochen hätte.

Und die Antworten der Datenschützer haben uns bestätigt, dass nicht nur wir betroffen sind.

Galerie 2: Vollständige Antworten von Landesdatenschutzbeauftragten

Beschwerden führen nicht zu Abhilfe

Wir freuen uns, dass unser Nachhaken in verschiedenen Fällen dazu geführt hat, dass Beamte noch einmal auf die Rechtslage hingewiesen und hinsichtlich des richtigen Umgangs mit personenbezogenen Daten sensibilisiert wurden. Leider haben unsere Beschwerden bisher aber nicht zu einer Abhilfe geführt. Uns wurden auch im Laufe diesen Jahres weiterhin alle Ersuchen, die per E-Mail eingingen, unsicher übermittelt. Auch aus Bundesländern, deren Landesdatenschutzbeauftragte sich besonders engagiert gezeigt hatten. Wir fragen uns deshalb, wie Abhilfe geschaffen werden kann. Wenn Beamte nicht ausreichend auf den sicheren Umgang mit sensiblen Daten und IT-Technik geschult sind, stellt dies ein grundlegendes Sicherheitsproblem in der Polizeiarbeit dar.

Eigeninitiative Beschwerden wie die durch Posteo und die mit ihnen einhergehenden Gespräche und Kontrollen stellen unserer Meinung nach eher die sprichwörtlichen Tropfen auf den heißen Stein dar. Zu einer flächendeckenden und zeitnahen Abhilfe tragen sie unserer Erfahrung nach nicht bei. Wir werden uns dennoch auch weiterhin über jedes einzelne umverschlüsselt übermittelte Ersuchen bei den Landesdatenschützern beschweren.

Wir sehen die Sicherheit des Verfahrens in der Praxis derzeit nicht gewährleistet. Wir möchten es deshalb nun auch auf anderem Wege versuchen und haben inzwischen die Politik eingeschaltet. Es ist schließlich nicht Aufgabe der Provider, das rechtsstaatliche Handeln der Behörden zu überprüfen oder darauf hinzuwirken. Das muss der Staat selbst leisten und sicherstellen. Anfang Juli haben wir dem Vorsitzenden der SPD-Fraktion, Thomas Oppermann, bei einem Termin im Posteo Lab eine Stellungnahme, u.a. zum unsicheren Versenden sensibler Daten durch Polizeibehörden, übergeben.

2. Unzulässige Ersuchen nach dynamischen IP-Adressen

Um in das nächste Problemfeld einzuführen, das wir in der Praxis von Abfragen nach §113 TKG sehen, bleiben wir gleich in der Politik: Im Januar 2013 wandte sich der SPD-Abgeordnete Burkhard Lischka mit einer schriftlichen Anfrage an die Bundesregierung. Er fragte, ob der Bundesregierung bekannt sei,

„dass in der Praxis zahllose auf § 113 des Telekommunikationsgesetzes (TKG) gestützte Auskunftsersuchen die Herausgabe von Daten zum Gegenstand haben, die keine Bestandsdaten sind (z. B. Log Files, dynamische IP-Adressen, (...)“. Anfrage an die Bundesregierung (ab Seite 7, Fragen 12, 13 und 14)

Und er fügte hinzu: „Wenn ja, welche Behörden betreiben diese rechtswidrige Praxis, und was unternimmt die Bundesregierung, um dies abzustellen?“

Der Hintergrund seiner Anfrage: Einige Monate zuvor hatte der Bundesverband der Informationswirtschaft, BITKOM, in einer Stellungnahme an den Rechtsausschuss des Deutschen Bundestages wie folgt auf Missstände bei der Bestandsdatenauskunft aufmerksam gemacht:

„In der Praxis sind zahllose, auf § 113 TKG gestützte Auskunftsersuchen bekannt, die die Herausgabe von Daten zum Gegenstand haben, die gerade keine Bestandsdaten sind (z.B. log-files, IP-Adressen, Datum und Uhrzeit des letzten Zugriffs auf einen Account, bekannte E-Mail-Adressen des Betroffenen bei anderen Providern, Identität der Behörden, die bereits nach denselben Bestandsdaten gefragt haben, etc..). Daraus folgt, dass die Anbieter bereits heute mit zahlreichen Anfragen umzugehen haben, die der Ausforschung dienen und weit über den Regelungsgehalt der Norm hinausgehen.“ Stellungnahme des BITKOM vom 17.10.2012

Zur Erklärung: Der BITKOM hatte beanstandet, dass Behörden im Rahmen von Bestandsdatenabfragen (nach § 113 TKG) häufig nach Daten ersuchen, deren Herausgabe bei solchen Abfragen überhaupt nicht rechtmäßig ist. Behörden dürfen bei Abfragen nach §113 TKG, für die kein Richtervorbehalt existiert, nämlich ausschliesslich um Bestandsdaten ersuchen - also etwa um Namen und Adressen. Nicht aber nach dynamischen IP-Adressen oder Logfiles; diese hochsensiblen Verkehrsdaten unterliegen dem Fernmeldegeheimnis und dürfen nur auf Anordnung eines Richters herausgegeben werden.

In ihrer Antwort vom 28.01.2013 wies die Bundesregierung die Aussagen des BITKOM als „Behauptungen“ zurück:

„Der Bundesregierung sind – abgesehen von der in der Fragestellung zitierten Behauptung in der Stellungnahme des BITKOM – keine derartigen Vorwürfe bekannt.“ Antwort der Bundesregierung (ab Seite 7, Fragen 12, 13 und 14)

Die Bundesregierung habe die vom BITKOM erhobenen Vorwürfe allerdings zum Anlass genommen, verschiedene Ermittlungsbehörden hierzu zu befragen. Und sie konstatierte:

„Die Ergebnisse der Abfrage haben keine Anhaltspunkte für rechtswidrige Anfragen ergeben.“

Behörden ersuchen rechtswidrig um dynamische IP-Adressen

Wir bestätigen hiermit die "Behauptungen" des BITKOM: In ca. 30% aller Ersuchen von Polizeibehörden, die uns 2014 im Rahmen von Bestandsdatenabfragen nach § 113 TKG erreichten, fragten Polizeibeamte rechtswidrig nach dynamischen IP-Adressen der Anmeldungen bzw. nach der IP-Adresse des letzten Logins. Dies ist im Rahmen von Abfragen nach §113 TKG unzulässig.

Um zu belegen, dass dies dennoch (und entgegen der Aussage der Bundesregierung) durchaus Praxis ist, veröffentlichen wir hier Beispiele solcher rechtswidriger Ersuchen (geschwärzt): Die Originale liegen bei Posteo schriftlich vor. In ihnen wird auch deutlich, dass Beamte nicht nur rechtswidrig um die Herausgabe von IP-Adressen ersuchen, sondern sogar gelegentlich verlangen, diese gesondert für ihre Ermittlungen zu erheben und zu speichern. Dies ist ebenfalls nicht zulässig.

Galerie 3: Beispiele für unzulässige Behördenersuchen um IP-Adressen

Wir finden es erstaunlich, dass die Bundesregierung sich im Januar 2013 offenbar nicht über den BITKOM an die Unternehmen gewandt hat, denen solche rechtswidrigen Anfragen schriftlich vorliegen. Die Bundesregierung hätte sich unserer Ansicht nach bei den Unternehmen informieren und ggf. geeignete Abhilfemaßnahmen treffen müssen. Dass sie dies unterlassen hat, obwohl sie von einem großen deutschen Branchenverband über rechtswidrige Praktiken von Behörden informiert wurde, ist für uns völlig unverständlich. Stattdessen wurden offenbar lediglich Behörden befragt und die Aussagen des Hightechverbandes wurden als Behauptungen bezeichnet. Wenn Hinweise auf rechtswidrige Praktiken der Exekutive bestehen, sollte diesen in einem Rechtsstaat ernsthafter nachgegangen werden.

Bundesregierung nun erneut befragt

Der Bundestagsabgeordnete Dieter Janecek (der wirtschaftspolitische Sprecher der Fraktion der Grünen), hat die Bundesregierung ganz aktuell erneut zu diesem Thema befragt und wollte wissen, ob sie bei ihrer Einschätzung bleibt. In seiner Frage verwies der Abgeordnete auf die Stellungnahme des BITKOM sowie auf den Posteo-Transparenzbericht 2013. Die Antwort der Bundesregierung ist am Mittwoch, den 19.08.2015, eingegangen.

Das Bundesinnenministerium erklärte:

"Der Bundesregierung liegen weiterhin keine Anhaltspunkte für rechtswidrige Anfragen vor." Und es fügte hinzu: "Üblicherweise unterrichten die zuständigen Datenschutzkontrollinstanzen auch die obersten Bundesbehörden über von ihnen festgestellte Verstöße gegen Datenschutzbestimmungen. Darüber hinausgehender Verfahren bedarf es nach Ansicht der Bundesregierung nicht. Antwort der Bundesregierung vom 19.08.2015

Datenschützer reagierten auf Beschwerden zur IP-Adressen-Problematik nicht

Wir haben uns in allen Fällen, in denen Polizeibeamte unrechtmäßig nach IP-Adressen ersuchten, bei den jeweiligen Landesdatenschutzbeauftragten beschwert. In ihren Antworten ging keiner der Datenschützer auf unsere diesbezüglichen Beschwerden ein. Offenbar wurden unsere Beschwerden auch nicht an die "obersten Bundesbehörden" weitergegeben, wie es nach Aussage des BMI sonst üblich sein soll. Es handelt sich bei rechtswidrigen Ersuchen um IP-Adressen aber auch nicht um "Verstöße gegen Datenschutzbestimmungen". Das Ersuchen um IP-Adressen bei Bestandsdatenauskünften ist nach dem Telekommunikationsgesetz (TKG) rechtswidrig. Betroffen sind nicht nur Landespolizeibehörden, von Ermittlungsbehörden des Bundes haben wir zwar weniger Ersuchen erhalten, aber hier waren alle Ersuchen rechtswidrig.

Unser Fazit: Die Bundesregierung interessiert es offenbar überhaupt nicht, ob bei der Bestandsdatenauskunft rechtswidrige Praktiken bestehen. Das Bundesinnenministerium bleibt seit Jahren untätig. Da durch solche Anfragen die Rechte von Bürgerinnen und Bürgern regelmäßig verletzt werden, ist dies unserer Ansicht nach verantwortungslos.

Auseinandersetzungen wegen IP-Adressen-Problematik

Gerade in Fällen, in denen im Rahmen von Abfragen nach §113 TKG bei Posteo rechtswidrig um Verkehrsdaten ersucht wurde, ist es in der Folge des öfteren zu Situationen gekommen, in denen wir uns unter Druck gesetzt und bedroht sahen. Wir gehen stets so vor, dass wir die Beamten auf die geltende Rechtslage verweisen. Wir weisen sie darauf hin, dass wir uns mit dem Herausgeben von Verkehrsdaten bei Abfragen nach §113 TKG strafbar machen würden (siehe § 206 StGB) und für die Herausgabe von Verkehrsdaten ein richterlicher Beschluss vorliegen muss. Wir erläutern den Beamten, dass sie im Rahmen einer Abfrage nach § 113 TKG nur anhand einer IP-Adresse, die ihnen bereits bekannt ist, nach Bestandsdaten ersuchen dürfen. Dass die umgekehrte Auskunft nicht zulässig ist, ist Beamten häufig nicht bekannt.

Einige reagieren auf diese Information verwundert bis aufgebracht. Uns gegenüber haben Beamte bereits wiederholt behauptet, bei anderen Verpflichteten problemlos auch im Rahmen von Abfragen nach § 113 TKG IP-Adressen zu erhalten. Ob dies zutrifft oder wir nur verunsichert werden sollten, wissen wir nicht. Was wir aber belegen können: Polizeibeamte ersuchen bei Abfragen nach § 113 TKG regelmäßig und mit einer großen Selbstverständlichkeit schriftlich um Verkehrsdaten (siehe Bildergalerie mit Beispielen). Deshalb halten wir es für durchaus möglich, dass die Rechtsvorschriften in der Auskunftspraxis auch von den Verpflichteten (z.B. von Unternehmen) nicht immer beachtet werden.

Ein möglicher Grund hierfür könnte der sein, dass der Kreis der zur Auskunft nach §113 TKG Verpflichteten sehr groß ist - und nicht auf Telekommunikationsanbieter beschränkt. Viele der Verpflichteten verfügen ggf. nicht über die notwendigen Rechtskenntnisse, um rechtswidrige Abfragen korrekt als solche identifizieren zu können.

Folge: Hohe Anwaltskosten

Unserem Unternehmen sind durch eskalierte, unrechtmäßige Forderungen nach IP-Adressen bereits wiederholt enorme Anwaltskosten und insgesamt ein finanzieller Schaden im mittleren fünfstelligen Bereich entstanden. Zum Beispiel, um "Schutzschriften" bei Gerichten zu hinterlegen, für die Korrespondenz mit Ermittlungsbeamten, Rechtsberatung etc.. In einem Fall haben wir Ermittlungsbeamte, die uns sogar persönlich aufgesucht hatten, angezeigt. Die Staatsanwaltschaft gab unseren Anzeigen allerdings keine Folge - wie unsere Anwälte uns schon vorab in Aussicht gestellt hatten. Sie erklärte, unsere Anzeige sei schlichtweg falsch und stellte das Verfahren gegen die Beamten ohne weitere Ermittlungen gegen diese ein. Stattdessen beantragte sie einen Strafbefehl wegen "falscher Verdächtigung", den das Gericht auch erlassen hat. Der Geschäftsführer von Posteo, Patrik Löhr, wurde zur Zahlung einer Geldstrafe verpflichtet. Den hohen Anwaltskosten steht gegenüber, dass wir theoretisch für jede Bestandsdatenabfrage nach § 113 TKG achtzehn Euro vom Staat für unseren Aufwand zurückerhalten könnten. Von dieser Möglichkeit machen wir jedoch keinen Gebrauch. Wir nehmen als datenschutzorientiertes Unternehmen grundsätzlich kein Geld von Behörden für Abfragen von Kundendaten an.

Abfragen nach §113 TKG werden mit Wiedereinführung der Vorratsdatenspeicherung an Bedeutung gewinnen

Wir haben aufgezeigt, dass die Sicherheit des Verfahrens derzeit nicht gewährleistet ist und dass Behörden bei Abfragen nach §113 TKG bei Posteo regelmäßig rechtswidrig um Verkehrsdaten wie dynamische IP-Adressen ersuchen. Außerdem haben wir dargelegt, dass das Problem der unsicheren Übermittlung den Landesdatenschutzbeauftragten bekannt ist. Des weiteren haben wir darauf hingewiesen, dass der Branchenverband BITKOM die Bundesregierung bereits 2012 auf zahllose rechtswidrige Ersuchen bei Abfragen nach § 113 TKG aufmerksam gemacht hatte.

Angesichts der Verfahrensmängel möchten wir hiermit mit Nachdruck darauf aufmerksam machen, dass das Verfahren nach §113 TKG mit der geplanten Wiedereinführung der Vorratsdatenspeicherung ("Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten") an Bedeutung gewinnen wird. Das geplante Gesetz wird eine starke Vergrößerung der für die Bestandsdatenauskunft zur Verfügung stehenden Datenmengen bewirken.

Eine begehrte Auskunft: Mit Abfragen nach §113 TKG werden Internetnutzer identifiziert

Berechtigte Stellen werden über das Verfahren künftig viel häufiger die Information erhalten können, welcher Person zu einem bestimmten Zeitpunkt eine dynamische IP-Adresse zugewiesen war. Ein Beispiel: Ein Beamter tritt mit einer IP-Adresse an einen Provider heran und möchte wissen, welche Person sich hinter der Adresse verbirgt. Der Provider gleicht die IP-Adresse mit den IP-Daten ab, die in seinen Datenbanken für die Vorratsdatenspeicherung vorgehalten werden. Dies ist dem Provider ohne richterlichen Beschluss erlaubt. Dem Beamten muss er dann mitteilen, welche Person hinter einer IP-Adresse steht (noch einmal: nicht umgekehrt). Eine sehr begehrte Auskunft, für deren Abfrage kein Richtervorbehalt vorgesehen ist und die bereits bei Ordnungswidrigkeiten eingeholt werden kann.

Wir gehen deshalb davon aus, dass sich die Anzahl der Abfragen nach § 113 TKG, und somit auch die Anzahl der unsicheren bzw. rechtswidrigen Abfragen, mit der Einführung des neuen Gesetzes stark erhöhen wird. Für diese Annahme gibt es einen weiteren Grund: Der Abgleich von IP-Daten und die anschließende Herausgabe von Bestandsdaten kann nur über das manuelle Auskunftsverfahren nach §113 TKG erfolgen. Über das automatisierte Verfahren nach §112 TKG ist dies nicht möglich.

Anzahl rechtswidriger Abfragen würde sich deutlich erhöhen

Wir sind der Ansicht, dass das Auskunftsverfahren nach § 113 TKG mit seinen derzeitigen offenkundigen Praxismängeln hierfür keinesfalls geeignet ist. Schon heute wird durch das Verfahren eine große Zahl sensibler Bürgerdaten unsicher übertragen und es kommt zu zahlreichen rechtswidrigen Abfragen durch Behörden.

Auch die Kontrolle des Verfahrens ist nicht ausreichend: Es existieren unseres Wissens nach aktuell nicht einmal Statistik-Pflichten für Abfragen nach §113 TKG. Somit könnte nicht einmal evaluiert werden, wie sich die Einführung des Gesetzes zur Vorratsdatenspeicherung konkret auf die Anzahl der Abfragen auswirkt - und der Öffentlichkeit würde die Anzahl der Abfragen durch staatliche Stellen auch im Nachhinein nicht bekannt werden.

Bundesregierung muss handeln: Von Einführung der Vorratsdatenspeicherung muss abgesehen werden

Es ist auf keinen Fall hinnehmbar, dass sensible Daten der Bürgerinnen und Bürger weiterhin durch Behörden ungesichert durch das Internet gesendet bzw. abgefragt werden oder dass dynamische IP-Adressen, die dem Fernmeldegeheimnis unterliegen, auf einfache Anfragen nach §113 TKG ohne richterlichen Beschluss herausgegeben werden. Unserer Ansicht nach dürfen deshalb auch keine neuen Gesetze oder Richtlinien eingeführt werden, die die Anzahl der rechtswidrigen und unsicheren Ersuchen noch einmal erhöhen würden.

Deshalb fordern wir, dass die Bundesregierung schnellstmöglich Maßnahmen trifft, die dazu geeignet sind sicherzustellen, dass die Abfrage bzw. Übertragung von sensiblen Bürgerdaten durch Behörden nach §113 TKG grundsätzlich auf einem sicheren Wege (keine proprietären Lösungen) und auch sonst gemäß der gesetzlichen Bestimmungen erfolgt – und wenn sie per E-Mail erfolgt, dann ausschliesslich per verschlüsselter E-Mail. Darüber hinaus fordern wir, dass die Bundesregierung schnellstmöglich Maßnahmen trifft, die sicherstellen, dass im Rahmen von Bestandsdatenabfragen nicht mehr rechtswidrig nach Verkehrsdaten ersucht wird oder um andere Informationen, die weit über den Regelungsgehalt der Norm hinausgehen.

Wir sind der Auffassung, dass hier offenkundiger Bedarf besteht, Prozesse insgesamt in organisatorischer Hinsicht dahingehend anzupassen, dass eine datenschutzgerechte und rechtsstaatkonforme Ausgestaltung des Auskunftsverfahrens in Zukunft sichergestellt werden kann. Hierfür schlagen wir unter anderem das Einführen von Berichtspflichten vor (siehe Abschnitt zur Kontrolle der Auskunftsverfahren).

Bis diesbezüglich Abhilfe geschaffen wurde, muss von der Wiedereinführung der Vorratsdatenspeicherung ("Einführung des Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten") unserer Ansicht nach alleine schon aus dem Grunde abgesehen werden, dass sich die Anzahl der unsicheren und unzulässigen Datenübermittlungen und der Rechtsbrüche im Rahmen des Auskunftsverfahrens nach §113 TKG durch die Einführung des Gesetzes noch weiter erhöhen würde.

Unabhängig davon lehnt Posteo die Wiedereinführung der Vorratsdatenspeicherung auch aus zahlreichen weiteren Gründen insgesamt und mit Nachdruck ab, wie z.B. aus Gründen des Datenschutzes und der Datensicherheit sowie aufgrund der mit ihr einhergehenden verdachtsunabhängigen Grundrechtseinschränkungen, die wir für nicht vertretbar halten. Bitte lesen Sie hierzu auch unsere Ausführungen zum Kontrollinstrument des Richtervorbehaltes, das wir in diesem Bericht ebenfalls kritisieren. Die bisherigen Pläne der Bundesregierung sehen zwar vor, E-Mailanbieter von der Vorratsdatenspeicherung auszunehmen. Die Gesetzeseinführung würde E-Mail-Anbieter wie Posteo im Rahmen von Abfragen nach § 113 TKG allerdings mit noch mehr rechtswidrigen Abfragen und den damit einhergehenden Bürokratie- und Anwaltskosten konfrontieren.

Desweiteren fordern wir, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) als unabhängige Bundesbehörde aus dem Geschäftsbereich des Bundesinnenministeriums (BMI) herausgelöst wird, damit das BSI ein unabhängiger Ansprechpartner in Sicherheitsfragen sein kann.