Vorratsdatenspeicherung. VDS. Böse Geschichte. Keiner will sie, aber die parlamentarischen Zwänge, wisster Bescheid. Ich versuch mich hier mal an einer rationalen Zusammenfassung dessen, worüber wir eigentlich reden, wenn wir rufen "Keine VDS" oder uns zugerufen wird "Aber die EU schreibt das vor" und versuch auch das mit der Neutralität, lasse also möglichst jede Wertung, wie ich persönlich was finde, außen vor.
Disclaimer: Ich garantiere nicht für die juristisch einwandfreie Verwendung von Begriffen, versucht das also bitte mit den Augen eines normalen Menschen zu sehen, wer ne Ungenauigkeit findet, darf sich ein Eis kaufen. Außerdem kratz ich eher an der Oberfläche und versuch nur alles zu streifen, damit klar wird, das wie bei "BGE" hinter den drei Buchstaben "VDS" alles mögliche stecken kann und es notwendig ist, jeweils über die konkrete Implementierung zu reden, statt zu schreien "Das ist VDS, das muss schlimm sein".
Also meine lieben Leser. Stelln wir uns mal janz dumm. Watt is'n Dampfmaschin^WVorratsdatenspeicherung?
Welche Übertragungsformen/Medien betrifft das eigentlich?
Vereinfacht gesagt: "Telefon und Internet". Wir haben da den Mobilfunk also GSM, GPRS, HSUPA, UMTS und wie das alles heißt, Festnetztelefonie, diese abgehangenen Techniken wie ISDN, analoges Telefon (gibts sowas im Backend eigentlich noch?) und Internet, also so grob alles was mit einem TCP/IP-Paket transportiert wird. Überschneidungen (Voice über Internet über UMTS) existieren, ebenso Sonderfälle wie Skype. Für Briefe gibts das Postgeheimnis, da traut sich noch keiner ran. Im Rahmen der VDS geht es seltener darum live mitzuerleben (das ist dann "Quellen-TKÜ", Telefonüberwachung. Lauschangriff usw., noch ne andere böse Geschichte) was über diese Medien geht, sondern eher später nachzulesen, was es so war oder wer mit wem. Daten, Vorrat, Speicherung, ihr erkennt das Muster.
Und von welchen Daten reden wir?
Da gibts einmal die Bestandsdaten, wie halt Kundennummern und Adreßdatensätze, wie sie bei Telefon- und Internetanbietern eben fürn Vertrag gespeichert sind. Rechnungen, Auftragsbestätigungen, Lieferscheine, sowas. Dann gibts "Verkehrsdaten", also im Grunde alles das was unter "Wer, wann, mit wem, wie lange" fällt, gilt für Telefon und E-Mail gleichermaßen. Bei Mobilfunk, Internet per Smartphone usw. kann man das dann noch mit Standortinformationen garnieren, also neben "wer mit wem" auch noch "wo". Und dann noch so Dinge wie "virtuelle Autokennzeichen", also wer hat wann welche IP-Adresse gehabt, wo man bei der Vergabestelle (welche es da gibt: weiter unten) zwar weiß wem die Nummer gehört, aber nicht wo er "langgefahren" ist.
Und wieviel ist das so? Welche Daten sind das genau?
Müssen wir wieder unterscheiden. Beim Handy sind es so Dinge wie Anruflisten, Gesprächsdauer, Standort des Handys usw. Beim Festnetz ähnlich, nur das der Standort da eher statisch ist (Kontinentaldrift kann hier wohl vernachlässigt werden). Also all das, was man im Telefon heutzutage selbst so wiederfindet, aber eben beim Provider gespeichert. Und halt von allen. Bei Internet unterscheidet es sich dann auch in Provider (ISP, sowas wie T-Com) und Diensteanbieter (Facebook wird als Beispiel da gern genommen). Beim Provider haben wir neben den schon erwähnten Vertragsdaten in der Regel noch die statische oder (verbreiteter) dynamische Zuordnung der IP-Adressen zu Anschlüssen (und über die Kundendaten zu deren Inhabern).
Was wir an der Stelle noch nicht haben sind "Surfprotokolle", aus den Listen "Wer hatte wann welche IP" sieht man also nicht, wer mit welcher IP wo im Netz rumgesurft ist. Diese "Protokolle" findet man dann (jeweils separat) bei den einzelnen Diensteanbietern: Amazon, Facebook, dem Angelfreundeforum usw. Dort steht dann so ziemlich all das, was man dem Diensteanbieter so in den Rachen gekippt hat. Theoretisch kann man so ein Angelforum-Logfile mit dem ISP-Logfile verheiraten und rausfinden, von welchem Anschluß "PetriHeil88" Blödsinn ins Forum geschrieben hat. Meist braucht man die IP aber nicht, da man, etwa bei Amazon, ja eh mit Namen, Adresse und Kreditkartennummer verewigt und mit Einkäufen verknüpft ist.
Nicht zu vergessen die gute alte E-Mail, dort sind im Rahmen der VDS die Mailprovider gefragt, GMX, web.de etc. die sich merken sollen wer wann wem eine Mail geschrieben hat und je nach VDS-Wunschliste auch noch was im Betreff stand. Inhalte der Mails interessieren die VDS bisher eher nicht, da gibts dann auch wieder das TKG. In der Regel bezieht sich Vorratsdatenspeicherung aber nicht auf die Daten bei den Diensteanbietern, dafür gibts dann wieder andere Regelungen im TKG oder so, wenn z.B. GMX dem BKA den Inhalt einer Mailbox zeigen muss oder Bedarfsträger über Schnittstellen wie SINA bei größeren Providern einen "Lauschangriff" fahren dürfen.
Und warum speichert man denn überhaupt was? Und wieso?
Hier muss man zwischen Erfassung, Speicherung und Zugriff durch Behörden unterscheiden. Bestimmte Dinge müssen technisch irgendwie zumindest mal "erfasst" werden. Der Mobilfunkprovider muss wissen in welcher Zelle ein Handy grad steckt um einen Anruf durch-, und der ISP wissen welcher Anschluß welche IP hat, um Internetpakete zustellen zu können. Ohne gehts halt nicht. Auch bei Mails ist irgendwann mal notwendig, das irgendwelche Software Absender, Empfänger und Inhalt sieht.
Dann Speicherung. Alles was so "erfasst" wird bzw. technisch zwingend anfällt kann in Logfiles gespeichert werden und oft ist das auch, zumindest kurzfristig, technisch sinnvoll. Hier gibt es Freiheitsgrade bei der Dauer der Speicherung (24h? ne Woche? ein Vierteljahr? 12 Monate?). Neben technischen Notwendigkeiten gibts auch unternehmerische/buchhalterische. Man will dem Kunden auch mal ne Rechnung schreiben, also muss man sich merken wieviele SMS er verschickt hat. Und wegen Reklamationen ist es durchaus sinnvoll sich zu merken wann und an wen er das tat.
Jetzt kommt der Trick und die netzpolitische Gretchenfrage: Wer außer Kunden/Dienstleister darf denn im Bedarfsfall drauf zugreifen? Jeder Dorfpolizist auf Zuruf bei nem umgekippten Blumenkübel? Oder nur der Generalstaatsanwalt nach irgendwas richtig Großen? Polizei, StA, LKA/BKA, Geheimdienste etc, wer hat noch nicht, wer will nochmal? Hier gibts auch wieder viele Freiheitsgrade und Abstufungen, bei nem Betrugsfall ist vielleicht sinnvoll rauszufinden wem die Bestellrechner-IP gehörte aber es wäre sicher grob unverhältnismäßig alle Kunden eines ISP für 3 Monate abzuschnorcheln um zu schauen ob der Typ es sich nochmal traut.
Wir haben also technische Realitäten, die bedingen das bestimmte Daten irgendwo mal langlaufen wo sie gesehen und gespeichert werden können, Freiheitsgrade in Umfang und Dauer einer Speicherung dieser (und weiterer) Daten und wiederum Freiheitsgrade in der Überlegung, wer, wann und unter welchen Vorraussetzungen beim Provider anklopfen und um ne Kopie bitten darf. Und man kann Regelungen treffen, die eine Mindestdauer an Speicherung vorschreiben oder (knappe) Maximalfristen festlegen, die nicht überschritten werden dürfen.
Warum denkt man denn überhaupt über sowas nach?
Auf der einen Seite haben wir da die netzpolitisch hochgehaltenen Fahnen, beschriftet mit "Recht auf Anonymität", "Recht auf in Ruhe gelassen zu werden", "Datenschutz", "Informationelle Selbstbestimmung" usw. Auf der anderen Seite ist dann aber auch das "Recht auf Sicherheit" zu sehen, ein Recht darauf, das bspw. die Polizei bei Straftaten sinnvoll ermitteln und aufklären kann, auch bei "kleineren" Sachen wie Betrug, Stalking, Mobbing usw., auch wenn sie in/mit/über das Internet begangen wären.
Jedes für sich genommen ist wichtig und notwendig, der Staat hat sich nicht dafür zu interessieren wann ich ins Internet gehe, wem ich E-Mails schreibe und wer mich wann anruft. Auf der anderen Seite soll der Staat sich mal bitteschön anstrengen rauszubekommen, wer das blöde Arschloch ist, der mir ständig bei zalando Schuhe ins Büro bestellt und als Anschrift/Bankverbindung die des heise Verlags hinterlegt hat. Das diese beiden Rechte/Ansprüche miteinander kollidieren ist offensichtlich.
Die Aufgabe hier ist also die Abwägung gegeneinander. Wie weit darf ich in die Rechte des Einzelnen eingreifen um das Recht des anderen sicherzustellen und ab wann wirds unverhältnismäßig und sinnvoller auch mal einen Fall unaufgeklärt zu lassen, weil die sonst notwendige Überwachung und Präventivverdächtigung jedes vernünftige Maß sprengen würde. Zu unterscheiden ist wohl auch bei der "Eingriffstiefe" in die einzelnen Rechte, eine einmalige "Halterabfrage" von IP-Adressen ist sicher weniger schlimm als ein komplettes Bewegungsprofil von 12 Monaten, eine nicht aufgeklärte Beleidigung muss man dann halt auch mal hinnehmen, wenn man kein "PreCrime" aufbauen will.
Und die letzte Herausforderung ist dann noch, das alles so zu bauen, das Mißbrauchsmöglichkeiten minimimiert oder gar ausgeschlossen werden. Man kann bspw. solche Eingriffe kostenpflichtig machen, man wird die Betroffenen informieren müssen, die technischen und organisatorischen Prozesse kann man für Bedarfsträger möglichst schmerzhaft gestalten, so das die es sich (neben der kommenden Rechnung) dreimal überlegen, ob bspw. "klassische Ermittlungen" zwar anstrengend sind, aber eine Datenabfrage beim Provider noch viel umständlicher ist.
Das wars?
Ja. Und ihr dürft daraus jetzt nen mentales multiple-choice-Formular basteln, drüber nachdenken und überlegen, wie ihr das ausfüllen würdet und wie man die Gemengelage aus den verschiedenen und wichtigen und konkurrierenden Rechtsgütern so auflöst, das beide Seiten gleichermaßen unzufrieden sind. Genügend Freiheitsgrade und Stellschrauben gibt es ja. Sturbockiges "Wir müssen aber speichern! Alles! Immer! Wegen EU, weißte" ist genausowenig hilfreich wie ein plattes "Nein. Gar nichts. Niemals. GuyFawkes-Masken für alle!"
