Telekommunikationsgesetz – Koalition verdealt Datenschutz gegen Recht auf Breitband

Die Koalition hat die Novelle des Telekommunikationsgesetzes im Wirtschaftsausschuss beschlossen, morgen wird das Gesetz im Plenum des Bundestages debattiert. Dabei haben sich die Koalitionsfraktionen offenbar auf Kosten des Datenschutzes und auf Kosten des Rechts auf schnelles Internet für alle geeinigt. Oder, anders gesagt: Die Absage an einen Breitband-Universaldienst ist zwischen Union und FDP gegen den erforderlichen Schutz der Grundrechte verdealt worden.

Die Koalition hat die Novelle des Telekommunikationsgesetzes im Wirtschaftsausschuss beschlossen, morgen wird das Gesetz im Plenum des Bundestages debattiert. Dabei haben sich die Koalitionsfraktionen offenbar  auf  Kosten des Datenschutzes und auf  Kosten des Rechts auf schnelles Internet für alle geeinigt. Oder, anders gesagt: Die Absage an einen Breitband-Universaldienst ist zwischen Union und FDP gegen den erforderlichen Schutz der Grundrechte verdealt worden.

Die schwarz-gelbe Koalition kassiert in ihrem erst am Dienstag Abend versandten Änderungsantrags zum Entwurf des Telekommunikationsgesetzes die datenschutzrechtlich dringend notwendige Begrenzung der Speicherfrist für Abrechnungen zwischen Diensteanbietern. Telekommunikationsanbieter können diese Verkehrsdaten zu Abrechnungszwecken gegenwärtig praktisch unbegrenzt speichern. Damit wird den Sicherheitsbehörden Tür und Tor geöffnet. Dass hier die Grundsätze des Datenschutzrechts fahrlässig über Bord geworfen werden, hat auch der Bundesdatenschutzbeauftragte Peter Schaar in der Debatte des Wirtschaftsausschusses am 26.10. deutlich gemacht.

Eigentlich hatte der Entwurf der Regierung für die sogenannte Intercarrier-Abrechung in § 97, Abs. 4 des TKG eine maximal dreimonatige Speicherfrist vorgesehen. Um diese sinnvolle Beschränkung wurde hinter den Kulissen hart gerungen, auch vor dem Hintergrund, dass sich die CSU für einen Breitband-Universaldienst ausgesprochen hat. Die FDP hat der Nicht-Begrenzung offenbar zugestimmt, weil im Gegenzug der von Grünen, Linken, SPD und Teilen der Union geforderte Breitband-Universaldienst aufgegeben wurde. Die Bürgerinnen und Bürger haben den doppelten Schaden: Weder gibt es schnelles Internet für alle, noch angemessenen Datenschutz.

Durchgesetzt haben sich offenbar die innenpolitischen Hardliner der Union, die die Zugriffsmöglichkeiten auf Verkehrsdaten bei Telekommunikationsanbietern erweitern wollen. Dass den Strafverfolgungbehörden die entsprechenden Speicherfristen der Anbieter wohl bekannt sind, hat erst kürzlich ein geleaktes Dokument der Münchner Generalstaatsanwaltschaft gezeigt. Ebenso ist bekannt, dass viel zu oft Daten zu lange vorgehalten werden. Für die FDP ist die Nicht-Begrenzung des Speicherns eine weitere deftige Niederlage in Sachen Datenschutz.

Große Bedenken bestehen auch gegenüber der Art und Weise des parlamentarischen Verfahrens. Die kurzfristige Vorlage eines 117-seitigen Änderungsantrags am  Vorabend der Beratungen ist auch unter Transparenz- und Demokratiegesichtspunkten unterirdisch. Dass das ganze Verfahren nach Gutsherrenart in Windeseile in den Ausschüssen durchgedrückt wird, soll offenbar lediglich die heillose Zerstrittenheit der Koalition verbergen. Im Innenausschuss führte das übereilte, intransparente Vorgehen der Koalition zu einem Eklat, infolgedessen die Fraktionen B90/Die Grünen, SPD und Die Linke geschlossen den Ausschuss verlassen haben.

Wir haben  in einem Entschließungsantrag konkrete Forderungen zum Datenschutz innerhalb TKG-Novelle vorgelegt, die wir hier noch einmal dokumentieren. Wir werden die Koalition in der morgigen Plenardebatte mit ihren Fehlern konfrontieren.

Der Datenschutz in der Telekommunikation ist stark verbesserungswürdig.

Ein stetig zu verbessernder Datenschutz in der Telekommunikation muss auf die Veränderungen des Internetzeitalters antworten. Angesichts des Einsatzes staatlicher Überwachungssoftware, aber auch der Häufung von Datenskandalen in der Privatwirtschaft, die den Missbrauch hochsensibler Daten von der Standortinformation bis zu Kreditkartennummern fahrlässig erlauben, ist das Fernmeldegeheimnis generell zu stärken. Das Recht auf anonyme und pseudonyme Kommunikation muss insgesamt gewahrt bleiben, die Nutzung von Diensten darf nicht zwangsweise an die Preisgabe unnötiger Daten gekoppelt werden.

Jeglicher Form von anlassloser Vorratsdatenspeicherung muss entschieden entgegen getreten werden. Zweckentfremdung und Missbrauch von personenbeziehbaren Daten, die lediglich streng zweckgebunden kürzestmöglich für Abrechnungs- oder Entstörungszwecke gespeichert werden, sind durch engere gesetzliche Regelungen auszuschließen. Zu Abrechnung und Entstörung nicht benötigte Daten sind schnellstmöglich konsequent zu löschen. Dies gilt auch angesichts der laufenden Umstellung auf das neue Internetprotokoll IPv6, bei dem dafür Sorge getragen werden muss, dass neben dauerhaft festen IP-Adressen auch weiterhin wechselnde IP-Adressen vergeben werden.

Die Transparenz der vorgenommenen Datenverarbeitung durch Anbieter von Telekommunikationsdiensten muss generell im Interesse der Nutzerinnen und Nutzer erhöht werden, insbesondere auch angesichts des mittlerweile flächendeckenden Einsatzes von Tracking-Verfahren im Internet, der gesetzlich einzuschränken ist. Vor dem Hintergrund der schnellen technischen Entwicklung der verteilten Speicherung von Informationen  müssen die Anbieter die detaillierten Vorgaben und Hinweise der Konferenz der Datenschutzbeauftragten zum Cloud Computing beachten. Der Einsatz neuer technischer Verfahren, die zur Verkehrssteuerung im Internet auf das willkürliche Durchleuchten von Inhalten zurückgreifen (Deep Packet Inspection), muss untersagt werden.

[…]

Der Deutsche Bundestag fordert die Bundesregierung auf

eine umfassende Revision der Regelungen zum Datenschutz in der Telekommunikation vorzunehmen, da die Gesetzesnovelle hier bisher deutlich zu wenige Verbesserungen im Sinne der Bürgerinnen und Bürger mit sich bringt und hierbei:

  • die Transparenz der Datenverarbeitung deutlich zu verbessern. (§ 93 TKG)
    Kundinnen und Kunden sollten bereits zu Vertragsbeginn über die die Dauer der Aufbewahrung ihrer Daten im Bilde sein. Die Informationspflichten zur Datenspeicherung sind dementsprechend zu konkretisieren. Ferner sollte über die Verarbeitung von personenbezogenen Daten in Staaten außerhalb des Anwendungsbereichs der EU-Datenschutzrichtlinien (95/46/EG) informiert werden und durch eine schnelle elektronische Kontaktmöglichkeit mit den Datenschutzbeauftragten, welche die Diensteanbieter bestellt haben, der Zugang zu weiteren Informationen verbessert werden.
  • die zwangsweise Erhebung von nicht erforderlichen Daten konsequent auszuschließen.
    (§ 95 TKG)

    Diensteanbieter dürfen die Erbringung von Telekommunikationsdiensten nicht von der Angabe personenbezogener Daten abhängig machen, die zur Erbringung der jeweiligen TK-Dienste nicht erforderlich sind (Koppelungsverbot). Dies gilt auch für Einwilligungserklärungen zur Weiterverarbeitung der Daten für andere Zwecke.
  • eine Vorratsdatenspeicherung durch die Hintertür zu vermeiden und dem Missbrauch von Verkehrsdaten entschieden vorzubeugen (§96, § 97, § 100 TKG)
    Die bestehenden Regelungen hinsichtlich von Verkehrsdaten, deren Vorhaltung zu Abrechnungs- und Entstörungszwecken dienen, müssen hinsichtlich der Fristen, Zweckbestimmung und Datenarten kritisch überprüft werden und am Grundsatz der Datensparsamkeit orientiert werden. Die bisherige pauschale Frist von bis zu sechs Monaten nach Versendung der Rechnung soll durch eine differenzierte und dem Datenvermeidungs- bzw. Datensparsamkeitsgrundsatz Rechnung tragende, kürzere Frist ersetzt werden. Insbesondere der missbräuchliche Zugriff von Ermittlungsbehörden auf Verkehrsdaten, die zu Abrechnungs- und Entstörungszwecken über Gebühr lange vorgehalten werden, ist auszuschließen. Einer Umgehung der Löschpflichten bei Verkehrsdaten von Kunden unter Verweis auf Intercarrier-Abrechnungen muss durch ebenso konsequente, am Erforderlichkeitsgrundsatz orientierte Fristen vorgebeugt werden. Die Diensteanbieter sind hinsichtlich der konkreten Speicherzeiten darlegungs- und dokumentationspflichtig. Die Festlegungen unterliegen der Vorabkontrolle des Betriebsdatenschutzbeauftragten.
    Die Erhebung, Speicherung und Nutzung von Verkehrsdaten zu Abrechnungszwecken muss eng an eben diesen Zweck gebunden bleiben. Sämtliche Daten, die nicht zu Abrechungszwecken erforderlich sind, sind unverzüglich zu löschen. Dazu gehören insbesondere dynamisch vergebene IP-Adressen und Standortdaten. Daten, die zwingend zu Abrechnungszwecken benötigt werden, sind spätestens nach drei Monaten und grundsätzlich schnellstmöglich zu löschen.
    Die Erhebung, Speicherung und Nutzung von Bestands-, Verbindungs- und Standortdaten zur Störungsbeseitigung unterliegt einer strikten Zweckbindung durch die Dienstanbieter. Nach Störungsbeseitigung sind die Daten unverzüglich zu löschen. Anwenderinnen und Anwender sind darüber schnellstmöglich zu unterrichten.
  • die Informationspflichten bei Datenpannen zu verschärfen (§109a Abs. 2 TKG-E)
    Die Verpflichtung zur umgehenden Information der Bundesnetzagentur bzw. der betroffenen Nutzerinnen und Nutzer gilt unabhängig vom Vorliegen etwaiger Sicherheitskonzepte. Nähere Festlegungen hinsichtlich der Umstände, unter denen eine Informationspflicht eintritt, sind im Gesetz selbst vorzunehmen. Die Schwelle der Informationspflicht ist bereits bei drohenden erheblichen Beeinträchtigungen der Nutzer in ihren Interessen oder Rechten festzulegen.
  • das Fernmeldegeheimnis auch unter den technischen Bedingungen der Internetkommunikation zu wahren und eine Überwachung, willkürliche Filterung und Unterdrückung von Inhalten mittels Netzwerkmanagement konsequent auszuschließen (Erweiterung des § 88 TKG)
    Das willkürliche technische Durchleuchten des Inhalts der Kommunikationsdaten im Internet, z.B. mit Methoden der Deep Packet Inspection (DPI) ist grundsätzlich gesetzlich zu untersagen. Jeder Zugangsanbieter muss verpflichtet werden, ein Angebot bereitzustellen, das keine DPI enthält. Dabei ist gesetzlich trennscharf zu definieren, welche Methoden des Netzwerkmanagements keine willkürliche Inhalteüberwachung, -filterung oder -blockade darstellen.
  • dem personenbeziehbaren Tracking durch Cookies, Webbugs, Zählpixel und vergleichbare Technologien im Internet klare gesetzliche Grenzen zu setzen, die Transparenz der entsprechenden Datenverarbeitung zu erhöhen und eine die Maßgaben der e-Privacy-Richtlinie respektierende, pragmatisch handhabbare nutzerfreundliche Regelung vorzulegen.
  • im Zuge der sukzessiven Umstellungen auf das neue Internetprotokoll IPv6 Sorge dafür zu tragen, dass neben dauerhaft festen IP-Adressen durch die Provider auch weiterhin wechselnde IP-Adressen vergeben werden.
  • über eine gesetzliche Regelung Mindeststandards dafür festzulegen, unter welchen Umständen personenbezogene beziehungsweise personenbeziehbare Daten geografisch per Cloud Computing ausgelagert werden dürfen.
    Hierbei ist gesetzlich sicher zu stellen, dass die Speicherung und Verarbeitung von personenbezogenen Daten innerhalb des Cloud Computing nur auf deutschen beziehungsweise europäischen Servern möglich ist, bei denen ein hohes Datenschutzniveau sichergestellt ist. Die Anbieter von Clouds haben Art und Ort der Datenverarbeitung offen zu legen und verpflichten sich, Angaben zu den vorgenommenen Sicherheitsmaßnahmen machen.

7 Comments

  1. Pingback: Streit um Telekommunikationsgesetz » Von markus » netzpolitik.org

  2. Christian Scholz

    Sind Cookies und Co. denn TKG oder TMG?

    Und was genau sind die Probleme damit? Was ist an Zählpixeln so schlimm? Irgendwie muss man ja schliesslich Webstatistiken machen können. Von welchen Grenzen sprecht ihr also?

    Und was heisst Transparenz erhöhen? Man sollte dabei ja auch bedenken, dass mehr Information nicht unbedingt mehr Durchblick heisst, nicht jeder ist schliesslich Informatiker. Das heisst nicht, dass ich nicht für mehr Transparenz bin, aber im Zweifel bringt sie halt nichts. Bei mehr Kontrolle sieht es auch so aus. Ist ein FB-Account mit x Reglern, also viel Kontrolle besser als Twitter, wo es im Prinzip nur öffentlich gibt?

    Ich wäre ja immer noch dafür, erst mal zu dokumentieren, wo genau Missbrauch passiert und den dann zu regeln. Nicht nur bei Datenschutz, sondern auch bei Netzneutralität. IMHO wird zu viel zu schnell irgendwie mal reguliert ohne dass eine breite und ruhige Diskussion darüber stattgefunden hätte oder wir aber genau wissen, die die Probleme aussehen, die wir lösen wollen.

  3. Volker

    Wie ist den der Vorschlag zu §88 TKG zu verstehen?

    Paketvermittelnde Netze basieren nunmal auf einer „packet inspection“. Welche Informationen aus dem Paket der Netzbetreiber für das „packet forwarding“ nutzt, richtet sich nach seiner Strategie des Netz/Traffic-Management. Ob er dann deep oder shallow packet inspection betreibt, wird durch diese Strategie bestimmt.

    Jede Handlung, die auf Grundlage dieser Strategie erfolgt, ist nicht willkürlich, sondern bewusst und zielgerichtet. Insofern kann der Netzbetreiber jegliche Art von Packet inspection durchführen. Das sagt ja §88 (2) TKG ja auch so aus:
    „… ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen.“

    DPI ist also grundsätzlich in Ordnung, wenn es für den ordnungsgemäßen Betrieb des Netzes benötigt wird. (?)

    In eurem Vorschlag findet sich noch die Forderung:
    „Jeder Zugangsanbieter muss verpflichtet werden, ein Angebot bereitzustellen, das keine DPI enthält.“

    Das interpretiere ich so, dass jeder Internetzugangsanbieter zumindest eine Transportklasse – zur Anbindung ans Internet – bereithalten muss, innerhalb derer nur ein klar definierter Packet Inspection-Mechanismus benutzt werden. Man müsste dann genau spezifizieren, was Header und was Payload ist. Es gäbe also eine vorgegebene Transportklasse mit definiertem Trafficmanagement.

    Ist das die Idee? Sollte das dann nicht unter dem Paragrafen zur Netzneutralität verankert werden?

    Im übrigen sehe ich DPI gar nicht vom Fernmeldegeheimnis berührt. Die Pakete werden doch sowieso Bit für Bit gelesen, z.B. für Prüfsummenbildung. Der Router nutzt dann die gelesenen Inhalte mehr oder weniger für Routingzwecke. Das Fernmeldegeheimnisse kümmert sich darum, ob diese Informationen an Dritte weiter gegeben werden. Das ist das entscheidende.

    Im jetzigen Telefonnetz wird bei Festnetz-Mobilfunkverbindungen doch auch ein Transcoding durchgeführt. Da wühlt man so richtig tief in dem Nachrichteninhalt. Da hat sich noch nie jemand von juristischer Seite wegen des Fernmeldegeheimnisses beschwert. DPI macht nichts anderes.

  4. Redaktion

    Hallo Herr Sypli,

    hier nur eine kurze Antwort:

    Der Bundesdatenschutzbeauftragte sieht durch DPI das Fernmeldegeheimnis schon jetzt verletzt (Aussage Peter Schaar gestern im Wirtschaftsausschuss). Nötig ist sicherlich eine Differenzierung zwischen Stateful Packet Inpection und Deep Packet Inspection, mit vielen Unschärfen was den Layer 4 betrifft. Dazu gibt es unseres Wissens nach bisher nur eine rechtsinformatische Studie von Mark Bedner [http://kobra.bibliothek.uni-kassel.de/bitstream/urn:nbn:de:hebis:34-2009113031192/5/BednerDeepPacketInspection.pdf], aus dem Jahr 2009. Den § 88, Abs. 2 TKG sollte man sehr eng auslegen, sonst wird er leicht als Einfallstor genutzt.

    Aus grüner Sicht ist die leider üblich gewordene Argumentation „DPI machen wir ja vollautomatisiert, da schaut kein Mensch drauf“ viel zu kurzsichtig: die Einsatzweisen in autoritären Regimen sind zwar im deutschen Rechtsstaat hoffentlich nicht zu erwarten, aber im Staatstrojanerland sollte man darauf nicht zu leichtgläubig setzen.

    Eine Nicht-DPI-Transportklasse würde den Teufel mit dem Beelzebub austreiben: Gegen Qualitätsklassen sprechen sich die Grünen ja eindeutig aus (die mögliche Differenzierung zwischen Transport und Qualität lasse ich jetzt einmal außen vor).

  5. Redaktion

    Hallo Christian,

    die Cookies sind eigentlich TMG. Angedacht war hier ein Artikelgesetz, dass im Rahmen der TKG-Novelle mit eingereicht wird, um die E-Privacy-Richtlinie der EU mit umzusetzen.

    Mit Deinen Bemerkungen zur Transparenz hast Du völlig recht, die darf kein Selbstzweck sein. Aber was, wenn es sie nicht gäbe? Bei Flash-Cookies wird es z.B. schon ziemlich schwierig auch für versierte NormalnutzerInnen, die von Hand per Browsereinstellungen zu entfernen.

    Weder Cookies noch Zählpixel sind an sich „evil“. Es geht v.a. um den möglichen Personenbezug beim Tracking. Anonyme Statistiken sind ja völlig okay, aber das reicht den Doubleclicks dieser Welt leider nicht. Es geht auch nicht darum, den Entwicklern das Leben schwer zu machen – sondern eher um die rechtliche Fundierung des technisch-pragmatischen Selbstdatenschutzes.

    Dies Diskussionen darüber laufen schon länger, schau Dir mal die Do-not-track-Debatte in den USA an.

  6. Christian Scholz

    Naja, aber wozu sonst als zum Personenbezug werden Cookies eingesetzt? Beginnt ja schon beim Login. Und wieso sollten Werbetreibenden nicht versuchen, besser Werbung zu verkaufen? Ich sehe da nicht wirklich die Gefahr.

    Ansonsten ist der Do-Not-Track-Ansatz ja eben nicht wirklich praktikabel, dann doch eher der Personal Data Ecosystem-Ansatz, wobei der aber wieder zuviel Verwaltung erfordert (je nach Umsetzung) und dann auch wieder nur Pseudokontrolle. Insofern würde ich PDE eher dazu nutzen wollen, meine Daten einfacher zu verteilen (und zwar die, die DC nicht hat). Und bei der User Managed Access-Gruppe war ich ja auch genau deswegen mal aktiv (und bei DataPortability ebenso)

    Beim Datenschutz würden mich aber nach wie vor zunächst mal die konkreten Probleme interessieren, die durch Cookie bei Doubleclick entstehen. Dann hätte ich auch eher eine Idee, was man denn genau regeln sollte. Bis dahin hätte ich bei DataPortability eher Probleme, die gelöst werden sollten, aber dann müsste das auch eher in den USA passieren.

  7. Pingback: Infobib » FDP verhindert Breitbandsozialismus im ländlichen Raum

Comments are closed.