Erkenntnisse aus dem Werkstattgespräch Telekmmunikatinsüberwachung und Datenabfrage durch staatliche Behörden bei Unternehmen vm 1. Juli 2014 Am 1. Juli 2014 veranstalteten das Walter Hallstein-Institut für eurpäisches Verfassungsrecht (WHI) der Humbldt-Universität zu Berlin, das Kmpetenznetzwerk für das Recht der zivilen Sicherheit in Eurpa (KORSE) am Alexander vn Humbldt Institut für Internet und Gesellschaft (HIIG) und das Privacy Prject der stiftung neue verantwrtung das dritte Werkstattgespräch in einer Reihe. Diskutiert wurde zum Thema Telekmmunikatinsüberwachung und Datenabfrage durch staatliche Behörden bei Unternehmen. An den Diskussinen beteiligten sich rund 25 Teilnehmerinnen und Teilnehmer, darunter Expertinnen und Experten des (eurpäischen) Verfassungsrechts und des IT-Rechts aus Wissenschaft, Plitik und Wirtschaft. Vertreterinnen und Vertreter deutscher und internatinaler Telekmmunikatinsunternehmen teilten ihre Expertise zum Thema Datenzugriffe bei privaten Unternehmen durch Plizei und Geheimdienste. Die erste Sitzung des Werkstattgespräches befasste sich mit Telekmmunikatinsüberwachung, Datenabfrage und der erfrderlichen Transparenz darüber in Deutschland. Frau Haya Hadidi, Leiterin des Referats Autmatisiertes Auskunftsverfahren und PTSG 1 der Bundesnetzagentur, gab hier einen einleitenden Impuls. Die zweite Sitzung behandelte die transnatinalen Aspekte des Themas. Einleitende Impulse durch Frau Drthee Belz vn Micrsft Eurpe und Herrn Wlfgang Kpf der Deutschen Telekm AG beleuchteten die Schwierigkeiten unterschiedlicher und teils widersprüchlicher Regelungen verschiedener Staaten zur Kperatin mit Sicherheitsbehörden und des Datenschutzes für internatinal agierende Unternehmen. Im Flgenden sind einige der Erkenntnisse, ffenen Fragen und angesprchenen Prblematiken aufgelistet. Sessin I: Transparenzberichte und Telekmmunikatinsüberwachung Deutsche Behörden veröffentlichen weder umfassende nch detaillierte Berichte zur Telekmmunikatinsüberwachung (TKÜ) und Datenabfragen bei privaten Unternehmen. Vn staatlicher Seite ist lediglich das Bundesjustizministerium gesetzlich verpflichtet, jähr- 1 Gesetz zur Sicherstellung vn Pstdienstleistungen und Telekmmunikatinsdiensten in besnderen Fällen, http://www.gesetze-im-internet.de/ptsg_2011/bjnr050610011.html (abgerufen 27. Juli 2014)
lich Statistiken zu den Anrdnungen nach 100a und 100g StPO zu veröffentlichen. 2 Über viele andere, teils stark invasive, Überwachungsmaßnahmen wird nicht gesndert berichtet. Hierunter fallen z.b. Funkzellenabfragen, Stille SMS und der Einsatz vn IMSI-Catchern. 3 Die vn der Bundesnetzagentur in ihrem Jahresbericht veröffentlichten Statistiken zum Autmatisierten Auskunftsverfahren ( 112 TKG) sind freiwillig. 4 Da es an klaren rechtlichen Grundlagen fehlt, haben private Unternehmen keine Rechtssicherheit hinsichtlich der Erfrderlichkeit und des Inhalts der Transparenzberichte. 5 Vn Seiten der Behörden werde teilweise argumentiert, dass hhe Transparenz in Bezug auf staatliche Ermittlungsmaßnahmen (Cyber-)Kriminellen ermögliche, Lücken dieser Methden auszumachen und anschließend auszunutzen. S gehe der Abschreckungseffekt, den die Unsicherheit über die technischen Möglichkeiten der Behörden für Kriminelle mit sich bringe, verlren. Daher brauche man Security by Obscurity. Dagegen wurde vrgebracht, dass Security by Obscurity nicht im Einklang mit der Verfassung und dem demkratischen Rechtsstaat stehe. Überwachung diene keinem Selbstzweck, sndern dem Schutz der Bürger. Unsicherheit bzgl. TKÜ-Maßnahmen schrecke jedch nicht nur Kriminelle ab. Vielmehr halte sie auch die Bürger ab, vn ihren Kmmunikatinsgrundrechten Gebrauch zu machen. Es sei daher ein gesellschaftlicher Diskurs über die Ntwendigkeit und die Reichweite der (praktizierten) Überwachungsmaßnahmen zu führen. Das Autmatisierte Auskunftsverfahren: Das System zum Autmatisierten Auskunftsverfahren besteht zwar seit 1999, wurde dennch bis dat nicht vllständig umgesetzt. Drei Arten vn Daten (vgl. aber 111 Abs. 1 Satz 1-6 TKG) können grundsätzlich abgerufen werden: Rufnummer, Name und Anschrift. Nch nicht abrufbar aufgrund technischer Limitatinen sind etwa Geburtsdatum und Gerätenummer (IMEI). Rund 250 Sicherheitsbehörden und Ntrufleitstellen swie 140 Unternehmen sind derzeit an das System zum Autmatisierten Auskunftsverfahren angeschlssen. 2013 wurden sieben Millinen Anfragen gestellt, die zu 36 Millinen Auskünften führten. (Dass eine Anfrage zu mehreren Auskünften führen kann, beruhe darauf, dass eine verdächtigte Persn u.u. mehrere Anschlüsse bei verschiedenen Anbietern haben kann. S gebe es bspw. in Deutschland mittlerweile über 150 Mi. angemeldete SIM- Karten.) Die Bundesnetzagentur prüft weder den Zweck der Abfrage nch, b und wie diese vn den abfragenden Stellen gespeichert der gelöscht werden. Die Prtklldaten der Anfragen werden zu Datenschutzzwecken für ein Jahr durch die BNetzA dppelt verschlüsselt abgespeichert. Dabei ist ein Schlüssel bei der 2 https://www.bundesjustizamt.de/de/themen/buergerdienste/justizstatistik/telekmmunikatin/telekmmu nikatinsueberwachung_nde.html (abgerufen 27. Juli 2014). 3 http://privacy-prject.net/cms/assets/uplads/2014/06/nr.1_pp-white-paper-jpkleinhans.pdf (abgerufen 27. Juli 2014). 4 http://www.bundesnetzagentur.de/de/allgemeines/diebundesnetzagentur/publikatinen/berichte/berichtende.html (abgerufen 27. Juli 2014). 5 https://pste.de/gutachten_transparenzbericht.pdf (abgerufen 27. Juli 2014).
BNetzA, der andere beim Bundesbeauftragten für Datenschutz und die Infrmatinsfreiheit (BfDI) hinterlegt. Zur Präventin vn Missbrauch werden die Prtklldaten mittels eines Vier-Augen-Prinzips durch BNetzA und BfDI einige Male im Jahr überprüft. In der Diskussin wurde bezweifelt, dass dies angesichts vn sieben Mi. Abfragen pr Jahr eine adäquate Kntrlle darstelle. Zum Autmatisierten Auskunftsverfahren wurde abschließend angemerkt, dass dieses Verfahren letztlich nicht der sensibelste Bereich sei. Die eigentliche Gefahr gehe vn der Datenmacht der Unternehmen aus, die durch "Apps" auf dem Smartphne unbemerkt grße Mengen an persönlichen Infrmatinen absaugen. Hinsichtlich der TKÜ sei ein Ging Dark Effect 6 zu bebachten. Kmmunikatin finde zunehmend über Telemediendienste wie Facebk, Twitter, etc. der in der Clud statt und/der werde verschlüsselt. Diese Medien seien durch klassische TKÜ nicht überwachbar. Auch zu der Frage, b und wie diese Telemediendienste überwacht werden müssten, sei eine gesellschaftliche Debatte ntwendig. Da Infrmatinen und Kmmunikatin zu einem grßen Teil über IP-Netze 7 übertragen werden ("data" statt "vice") sei insgesamt fraglich, b die derzeitigen Gesetze zur TKÜ und Datenabfrage nch die technische Realität abbildeten und b sie für den Bürger nch verständlich und nachvllziehbar seien. Um diese Dienste gleichermaßen zu überwachen wie herkömmliche Telekmmunikatinsdienste müsse die TKÜV überarbeitet und eine Rechtsgrundlage geschaffen werden. Das zuständige BMWi warte zur Zeit jedch ab. Cyber-Kriminalität bedrhe immer stärker das Internet der Dinge, wzu etwa allgemein "kritische Infrastrukturen" gehören können, aber auch Steuerungssysteme vn Energie- und Gesundheitssystemen swie vernetzte Auts. In diesem Bereich sei ebenfalls keine TKÜ sei möglich. Im gesellschaftlichen Diskurs sei insfern zu klären, wie und durch wen diese Systeme geschützt werden sllten und wem die Verantwrtung für eventuelle Schäden zugerechnet werden könnte. Mit Blick auf die USA wurde auf die Bedeutung und Auswirkungen der Netwrk Security Agreements 8 hingewiesen. Diese sllen US Behörden (auch hne Gesetz) ungehinderten Zugang zu US-amerikanischen Prvidernetzen ermöglichen. Sessin II: Nach den Micrsft- und Ggle-Urteilen welches Recht gilt für wen, und wenn ja, w? Es sei zu bedenken, dass die USA und Deutschland zwei suveräne Staaten jeweils eigene, vneinander abweichende Entscheidungen zur Ausgestaltung des Spannungsverhältnisses zwischen Sicherheit (durch TKÜ und Datenabfrage) und individueller Freiheit getrffen hätten. Diese Entscheidungen seien grundsätzlich zu respektieren. Nunmehr führe das Internet als glbales Netzwerk jedch dazu, dass die Territrialität der an sich 6 http://www.fbi.gv/news/testimny/ging-dark-lawful-electrnic-surveillance-in-the-face-f-newtechnlgies (abgerufen 27. Juli 2014). 7 http://www.itwissen.inf/definitin/lexikn/ip-netz-ip-netwrk.html (abgerufen 27. Juli 2014). 8 https://publicintelligence.net/us-nsas/ (abgerufen 27. Juli 2014).
suveränen Staaten im Hinblick auf die (Kmmunikatins-)Übertragung aufgehben werde und s die abweichenden Rechtsverständnisse kllidierten. Glbal agierende Unternehmen sehen sich knfligierenden Rechtsvrschriften ausgesetzt. Sie stecken in einem Dilemma, da die Erfüllung der gesetzlichen Vrschriften in einem Staat zum Verstß gegen Nrmen eines anderen Staates führen. 9 Private Unternehmen sehen sich mangels übergerdneter internatinaler Regelungen bzw. Instanzen gezwungen, einen internatinalen Rechtsknflikt selbst zu entscheiden. Unternehmen legen flglich eigenständig fest, mit welchen (vermeintlich) guten Sicherheitsbehörden sie kperieren und mit welchen nicht. Dabei würden sie im Zweifelsfall nach einer pragmatischen kmmerziellen Lösung suchen, um in allen Märkten erflgreich zu sein. Diese Verrtung derartiger Entscheidungsmacht bei privaten Unternehmen wurde als sehr diskussinswürdig erachtet. Zur Strafverflgung slle grundsätzlich das Mittel des Rechtshilfeverfahrens (MLAT) genutzt werden. Dieses Verfahren sei jedch sehr langwierig. Daher versuchten Sicherheitsbehörden direkt beim Diensteanbieter auf die Nutzerdaten zuzugreifen. In diesem Zusammenhang wurde auch auf das laufende Verfahren vn Micrsft in den USA hingewiesen. In erster Instanz hatte der magistrate judge eines New Yrk District Curt entschieden 10, dass Micrsft mit Sitz in den USA auch slche Daten, die auf einem ausländischen Server (hier: Irland) gespeichert seien, an unmittelbar die US Behörden herausgeben müsse. Ein Rechtshilfeverfahren sei zu langwierig und eigne sich daher nicht für die Strafverflgung. Natinales Ruting müsse nicht im Widerspruch zu einem freien und ffenen Internet stehen, da nur der Verkehr, der hnehin für den inländischen Verkehr bestimmt ist, auch im jeweiligen Land bleibe. Ausländischer Datenverkehr bleibe möglich. Der US-amerikanische Datenverkehr werde seit 15 Jahren innerhalb der USA gerutet. Diskutiert wurde, b nach der Festschreibung des Marktrtprinzips im Ggle-Urteil des EuGH das Safe Harbr Abkmmen nch Bestand haben könne. Es wurde angemerkt, dass im ersten Entwurf der Eurpäischen Datenschutzgrundverrdnung 11 durch Art. 41 eine Klausel zur Beschränkung der Übermittlung persnenbezgener Daten kurzfristig enthalten war. Durch intensives "Lbbying" wurde dieser Artikel zunächst entfernt und später wieder in den Entwurf aufgenmmen. 9 http://www.vergabeblg.de/2014-07-01/spy-erlass-des-bundesinnenministeriums/ (abgerufen 27. Juli 2014). 10 https://www.eff.rg/dcument/micrsfts-bjectin-magistrates-pinin (abgerufen 27. Juli 2014). 11 http://ec.eurpa.eu/justice/data-prtectin/dcument/review2012/cm_2012_11_de.pdf (abgerufen 27. Juli 2014).
Teilnehmerinnen und Teilnehmer Inglf Pernice Direktr des Walter Hallstein-Instituts und des Humbldt Instituts für Internet und Gesellschaft Markus Löning stiftung neue verantwrtung, Direktr des Privacy Prjects Drthee Belz Micrsft Eurpe, Vice President Legal and Crprate Affairs Haya Hadidi Bundesnetzagentur, Referatsleiterin Autmatisiertes Auskunftsverfahren und PTSG Wlfgang Kpf Deutschen Telekm AG, Leiter Plitik und Regulierung Annegret Bendiek Stiftung Wissenschaft und Plitik, stellv. Frschungsgruppenleiterin EU-Außenbeziehungen Ansgar Baums Hewlett Packard, Gvernment Relatins Germany Ben Sctt stiftung neue verantwrtung, Direktr Eurpäische Digitale Agenda Claus Schaale Cisc Systems, Clud Cmputing Business Develpment Emma Peters Humbldt Institut für Internet und Gesellschaft, Dktrandin Hannfried Leisterer Humbldt Institut für Internet und Gesellschaft, Dktrand Hansjörg Geiger ehem. Präsident des Bundesverfassungsschutzes und des BND, ehem. Staatssekretär im BMJ Jan-Peter Kleinhans stiftung neue verantwrtung, Prjektmanager Privacy Prject Jenny Paschen Vdafne Deutschland Julian Staben Humbldt Institut für Internet und Gesellschaft, Dktrand Matthias Bergt vn Betticher Rechtsanwälte Pascal Schumacher Nerr Rechtsanwälte Patrik Löhr Pste.de, Geschäftsführer Simn Rinas Humbldt Institut für Internet und Gesellschaft, Dktrand Stefan Heumann stiftung neue verantwrtung, stellv. Direktr Eurpäische Digitale Agenda Susanne Dehmel BITKOM, Bereichsleiterin Datenschutz Tim Klaws Telefnica, Senir Gvernment Relatins Manager Tbias Frevert Nerr Rechtsanwälte, Head f Telecmmunicatins