Am 21.3.2013 hat der Deutsche Bundestag das Gesetz zur Neuregelung der Bestandsdatenauskunft beschlossen. Heute beschäftigt sich der Bundesrat mit dem Gesetz.

Was sind Bestandsdaten?

Nach § 3 Nr. 3 Telekommunikationsgesetz (TKG) sind “Bestandsdaten” die Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden. Neben dem Namen und der Anschrift des Teilnehmers gelten auch die IP-Adresse und so genannte Zugangssicherungscodes (z.B. PIN und PUK) als Bestandsdatum.

Rückblick

Mit Beschluss (1 BvR 1299/05) vom 24. Januar 2012 hatte das Bundesverfassungsgericht (BVerfG) festgestellt, dass die zu diesem Zeitpunkt gültigen Regelungen des TKG zur Speicherung und Herausgabe von Nutzerdaten, Passwörtern und PIN-Codes an Ermittlungsbehörden und andere staatliche Stellen in Teilen verfassungswidrig sind, da diese zum Teil das Grundrecht auf informationelle Selbstbestimmung verletzen.

Mit diesem Grundrecht unvereinbar wurde insbesondere die Regelung angesehen, die eine spezielle Auskunftspflicht der Telekommunikationsanbieter bezüglich der Zugangssicherungscodes betraf. Diese wurde als unverhältnismäßig bewertet. Die Behörden dürfen die Regelung, unter Einhaltung zusätzlicher vom BVerfG definierter Voraussetzungen, übergangsweise, längstens bis zum 30. Juni 2013, weiter anwenden.

Neuer Gesetzesentwurf

Durch den Gesetzentwurf der Bundesregierung (Drucksache 17/12034) sollen die vom BVerfG als verfassungswidrig angesprochenen Punkte korrigiert und die entsprechenden Regelungen den Anforderungen des Grundgesetzes entsprechen. Nachdem Mitte März im Innenausschuss eine Sachverständigenanhörung stattfand, wurde der Gesetzesentwurf in Punkten überarbeitet. Dieser überarbeitete Entwurf wurde am 21.3.2013 durch den Deutsche Bundestag beschlossen.

Kritik am Gesetzesentwurf

Der Gesetzesentwurf stieß auf eine breite Kritik von verschiedenen Seiten. Auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hatte sich zu diesem geäußert. Dieses würdigt zwar die Nachbesserungen, sieht jedoch einen erheblichen Änderungsbedarf:

Klare Abgrenzung zwischen reiner Bestandsdatenauskunft und Bestandsdatenauskunft unter Nutzung von dynamischen IP-Adressen

Die von BVerfG geforderte klare Differenzierung erfolgt durch den Gesetzesentwurf nicht, da hinsichtlich der materiellen Eingriffsschwellen keine Unterscheidung zwischen beiden Auskunftsarten vorgenommen wird. Gerade bei der Verfolgung von Ordnungswidrigkeiten erscheint eine Differenzierung geboten. Da die Zuordnung dynamischer IP-Adressen zu ihren Anschlussinhabern einen Eingriff in Artikel 10 GG darstellt, fällt eine entsprechende Auskunft unter das Fernmeldegeheimnis und ist nach § 46 Abs. 3 OWiG unzulässig.

Eindeutige Regelung der Voraussetzungen für die Abfrage von Zugangssicherungscodes 

Zugangssicherungscodes haben einen hohen Schutzbedarf. Durch Formulierungen wie „darf die Auskunft nur verlangt werden, wenn die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen“, ist nicht eindeutig, für welche Zwecke und unter welchen Voraussetzungen auf die zugangsgeschützten Inhaltsdaten unter Verwendung der Zugangssicherungscodes zugegriffen werden darf.

Verbesserung der Benachrichtigung der Betroffenen

Die Regelungen zur nachträglichen Benachrichtigung der Betroffenen über entsprechende Maßnahmen entsprechen nicht dem allgemeinen Standard (wie beispielsweise in § 100g StPO oder § 20m BKAG). Zudem fehlt es an einer Verpflichtung zur nachträglichen gerichtlichen Überprüfung der Maßnahme. Ferner ist nicht nachvollziehbar, warum an eine Zurückstellung oder ein Absehen von der Benachrichtigung keine formellen Anforderungen gestellt werden.

Eigene Meinung

Ob die nun beschlossenen Regelungen einer erneuten Prüfung durch das BVerfG standhalten würden, ist mehr als fraglich.

Auch die praktische Umsetzung der Herausgabe von Zugangssicherungscodes erscheint schwierig. Nutzerpasswörter werden  aus Sicherheitsgründen in der Regel nicht mehr im Klartext, sondern als Hashwerte und unter Verwendung von sogenannten Salts gespeichert (vgl. hierzu unseren Beitrag: „Sorgfältiger Umgang mit Passwörtern wird immer wichtiger – was sind eigentlich Hashwerte?“). Die Herausgabe der Zugangssicherungscodes im Klartext wird daher in der Praxis in vielen Fällen gar nicht möglich sein.

In diesen Zusammenhang ist auch die Nutzung von Cloud-Diensten zu überdenken. Cloud-Anbieter gelten als Telekommunikationsanbieter. Dies hätte unter Umständen zur Folge, dass Behörden auf die Backups, Kundendatenbanken oder Geschäfts- bzw- Betriebsgeheimnisse von Unternehmen, die in einer Cloud vorgehalten werden, zugreifen können.