Nützliche Brancheninformationen, aktuelle Presseartikel und Neuerungen zu unserem Cloud-Speicher & Datenraum-Dienst iDGARD erhalten Sie auch über RSS und unsere Seiten in den sozialen Netzwerken.
privacyblog newsletter Lieber das Neueste aus dem privacy blog per eMail erhalten? Melden Sie sich hier für unseren kostenlosen Newsletter an.
privacyblog rss feed Der privacy blog als RSS feed für Ihren Reader.
Folgen Sie uns: Uniscon on Twitter Uniscon on Facebook Uniscon on LinkedIn Uniscon on YouTube Uniscon on google+ Uniscon on Xing

Vorratsdatenspeicherung und Sealed Freeze – das müssen Sie wissen

Mit der Vorratsdatenspeicherung ist das so eine Sache. Jahrelang schwebte sie als dräuendes Damoklesschwert über unseren Köpfen, Bürgerrechtler und Bundesregierung ringen bis heute miteinander, sage und schreibe zehn Verfassungsbeschwerden sind derzeit gegen das Gesetz anhängig. Noch kann niemand mit Sicherheit sagen, ob sie bleibt, aber eines ist vorerst einmal sicher: sie kommt. Der entsprechende Gesetzentwurf kann auf der Webseite des Bundestages eingesehen werden.

Warum überhaupt Vorratsdatenspeicherung?

police-1141039_1920

Vorratsdaten sollen dabei helfen, schwere Straftane aufzuklären.

CDU/CSU und SPD argumentieren, dass Verkehrsdaten, wie sie im Rahmen der Vorratsdatenspeicherung erhoben werden, ein wichtiges Hilfsmittel bei der Aufklärung schwerer Straftaten seien. Bei der aktuellen Gesetzeslage ist es den Telekommunikationsanbietern überlassen, wie lange sie die Verkehrsdaten ihrer Kunden speichern – die Dauer reicht von wenigen Tagen bis zu mehreren Monaten. Dies, so die Regierungsfraktionen, führe zu Lücken bei der Strafverfolgung sowie bei der Gefahrenabwehr und könne zur Folge haben, dass Ermittlungen ohne Erfolg blieben. Und genau das soll sich mit der Vorratsdatenspeicherung nun ändern.

Wer ist verpflichtet?

Laut § 113a des Telekommunikationsgesetzes (TKG) sind alle „Erbringer von öffentlich zugänglichen Telekommunikationsdiensten“ zur Speicherung der anfallenden Verkehrsdaten verpflichtet. Hier wird unterschieden zwischen „Erbringern“ und „Mitwirkenden“ – letztere sind von der Vorratsdatenspeicherung ausgenommen.

Erbringer zeichnen sich dadurch aus, dass den Kunden regelmäßig ein eigener, in der Regel auf unbestimmte Dauer angelegter, Telekommunikationsanschluss zur selbständigen Verwendung überlassen wird.

Mitwirkende hingegen ermöglichen ihren Kunden lediglich eine kurzzeitige Internet- oder Telefonnutzung. Das umfasst beispielsweise Hotels, Bars, Cafés und Restaurants, die ihren Kunden WLAN oder einen Telefonanschluss zur Verfügung stellen sowie Hotspot-Anbieter mit höchstens 100.000 WLAN-Nutzern.

Ebenfalls ausgenommen nach § 113b TKG sind Anbieter von reinen E-Maildiensten.

Was wird gespeichert?

In § 113b TKG ist exakt geregelt, welche Daten von den TK-Anbietern gespeichert werden müssen. Hier ist zwischen Telefon- und Internetzugangsdiensten zu unterscheiden.

phone-2209528_1920

Wer mit wem, wann und wie lange? Ab Juli werden alle Verkehrsdaten 10 Wochen lang gespeichert.

Telefondienstleister müssen folgende Daten speichern:

  • Die Rufnummern aller beteiligten Gesprächsteilnehmer einschließlich Weiterleitungen
  • Start- und Endpunkt der Kommunikation
  • Bei SMS: Der Zeitpunkt des Versands und Empfangs der Nachricht
  • Die Art des genutzten Dienstes
  • Die internationale Kennung des anrufenden und angerufenen GSM- oder UMTS-Endgeräts (IMEI)
  • Die internationale Kennung des anrufenden und angerufenen Netzteilnehmers (IMSI)
  • Bei Prepaid-Diensten: Der Zeitpunkt der erste Aktivierung
  • Bei Internet-Telefondiensten: Die zugewiesene IP und die Benutzerkennung des anrufenden sowie des angerufenen Anschlusses
  • Die Bezeichnung der Funkzelle des anrufenden und angerufenen Anschlusses bei Beginn des Anrufs
  • Koordinaten und Hauptstrahlrichtung der genutzten Funkantenne

Erbringer von Internetzugangsdiensten müssen folgende Daten speichern:

  • Die zugewiesene IP-Adresse
  • Die eindeutige Anschlusskennung
  • Die zugewiesene Benutzerkennung
  • Start- und Endzeitpunkt der Internetnutzung inkl. Zeitzone
  • Die Bezeichnung der Funkzelle bei Beginn der Internetnutzung

Ausgenommen von der Speicherpflicht sind sogenannte privilegierte Rufnummern nach § 99 TKG sowie – nach Auffassung der Bundesnetzagentur und der Bundesbeauftragten für Datenschutz Andrea Voßhoff – Verkehrsdaten zu fehlgeschlagenen Anrufversuchen.

Privilegierte Telefonnummern sind beispielsweise Rufnummern der Seelsorge oder anderer Beratungsstellen, die auf Antrag in eine entsprechende Liste aufgenommen werden. TK-Anbieter sind verpflichtet, ihre Daten mit dieser Liste abzugleichen.

Wie und wie lange sind die Daten zu speichern?

Die genannten Daten sind nach § 113a TKG im Inland zu speichern und müssen nach zehn Wochen gelöscht werden. Standortinformationen (Koordinaten und Funkzelle) müssen nach § 113b bereits nach vier Wochen gelöscht werden.

files-1614223_1920

Wie und wie lange die Vorratsdaten gespeichert werden müssen, ist im Anforderungskatalog der BNetzA ganz genau geregelt.

Weiterhin ist es zulässig, auf nach § 96 TKG zu betrieblichen Zwecken gespeicherte Daten zuzugreifen – Standortdaten dürfen allerdings nicht für zeitlich zurückliegende Anfragen ermittelt werden.

Um die Sicherheit der gespeicherten Daten zu gewährleisten, müssen die Verpflichteten außerdem die folgenden Anforderungen der Bundesnetzagentur erfüllen:

Speicherung auf einem physisch separaten System, gesondert von nach § 96 TKG gespeicherten Verkehrsdaten

  • Bereits im Vorfeld der Speicherung müssen Maßnahmen zur automatisierten Fehlererkennung und Plausibilitätsprüfung getroffen werden.
  • Die Speicherung hat zweckgebunden zu erfolgen
  • Die Speicherung hat in einem zutrittskontrollierten und alarmgeschützten Bereich zu erfolgen
  • Die Vorratsdaten müssen verschlüsselt und unter Verwendung täglich wechselnder Schlüssel zu speichern
  • Daten, die auf Anfrage an Behörden ausgehändigt werden müssen, müssen entsprechend gekennzeichnet werden
  • Die Daten müssen so gespeichert sein, dass Anfragen unverzüglich beantwortet werden können
  • Personenbezogene Daten sind verschlüsselt aufzubewahren
  • Der Zutritt zu den Datenverarbeitungsanlagen muss eingeschränkt sein
  • Bei Datenabfragen ist das Vier-Augen-Prinzip anzuwenden
  • Alle Zugriffe auf die Daten sind zu protokollieren; die Protokollierung hat revisionssicher zu erfolgen
  • Ein Fernzugriff auf die Daten durch Dritte darf nur lesend über gesicherte Verbindungen erfolgen
  • Alle Maßnahmen sind zu dokumentieren und der Bundesnetzagentur vorzulegen
  • Die Umsetzung dieser Anforderungen wird kontrolliert
  • Verstöße gegen die Anforderungen der BNetzA werden mit Bußgeldern in Höhe von bis zu 500.0000 Euro geahndet.

Welche Folgen hat das?

Diesen Anforderungen zu entsprechen bedeutet für die Verpflichteten einen enormen technischen, organisatorischen, finanziellen und personalen Aufwand, der vor allem viele kleinere TK-Anbieter überfordern dürfte – denn die Kosten dafür sind von den Erbringern selbst zu tragen.

Hinzu kommt, dass die weitreichende Vorratsdatenspeicherung bereits sowohl vom BGH als auch vom EuGH als unzulässig bewertet wurde und auch gegen den aktuellen Gesetzentwurf, wie bereits eingangs erwähnt, mehrere Verfassungsklagen anhängig sind. Die VDS ist also ab dem 1. Juli 2017 für alle Erbringer verpflichtend, könnte aber nach Ansicht von Bürgerrechtlern und Datenschützern schon nach einigen Monaten wieder gekippt werden, was die Kosten-Nutzen-Rechnung für die Anbieter in einem noch schlechteren Verhältnis erscheinen lässt.

Wie hilft Sealed Freeze?

Hier kommt Sealed Freeze, die Cloud-Lösung für Vorratsdatenspeicherung as a Service ins Spiel. Denn damit können auch die kleinere Anbieter die Anforderungen der BNetzA kostengünstig und ohne technischen Aufwand realisieren und zusätzlich mit Datenschutz punkten: Eine willkürliche Datenermittlung oder ein Zugriff auf die Daten durch den Anbieter sind durch technische Maßnahmen ausgeschlossen.

Leser dieses Artikels interessieren sich auch für folgende Inhalte:

Privacyblog: Lizenzvergabe: So können Sie Nutzer hinzufügen und entfernen

Privacyblog: Datenschutz in der Gesundheits-IT: Die Sealed Cloud auf der conhIT

Privacyblog: EFF: Datenschutz-Handbuch für USA-Reisende

War diese Information neu für Sie? Könnte sie auch für Ihre Freunde und Kollegen nützlich sein? Teilen Sie diesen Artikel in den sozialen Netzen! Hier klicken: