Laut einem neuen Entwurf für die Telekommunikations-Überwachungsverordnung soll ein Großteil der Hotspot-Betreiber nicht gezwungen werden, von vornherein Nutzerdaten zu speichern. Für kleinere Provider gibt es darüber hinaus einige Sonderregeln.

Heimlich, still und leise hat die Bundesregierung im März eine erneute Reform der seit langem umstrittenen Telekommunikations-Überwachungsverordnung (TKÜV) auf den Weg gebracht. Die Initiative soll schon kommenden Freitag durch den Bundesrat, den Bundestag muss sie nicht passieren. Bei dem Vorhaben geht es darum, technische und organisatorische Details zur neuen Vorratsdatenspeicherung festzulegen, mit der Provider nach einer 18-monatigen Übergangsfrist vom 1. Juli an starten müssen.

Keine Speicherpflicht für Cafés

Die Bundesregierung stellt mit dem Entwurf unter anderem klar, inwieweit WLAN-Anbieter von der neuen Überwachungspflicht betroffen sind. Im Gesetz steht dazu nur, dass Betreiber, die ihren Kunden nur eine kurzzeitige Nutzung des Telekommunikationsanschlusses ermöglichen, außen vor bleiben sollen. Laut der Bundesnetzagentur sollte dies etwa für Hotels, Restaurants und Cafés gelten, die ihre Kunden mit drahtlosem Internet versorgen.

In dem Papier heißt es nun, dass neben reinen E-Mail-Providern auch Erbringer "ausschließlich nichtkennungsbezogener Internetzugangsdienste über ein drahtloses lokales Netzwerk" keine Technik zur Vorratsdatenspeicherung bereithalten müssen, wenn daran "nicht mehr als 100.000 Teilnehmer oder sonstige Endnutzer angeschlossen sind". Aus der Begründung geht weiter hervor, dass dies nur für Zugänge gelten soll, die "alleine auf der Grundlage der bestehenden Gerätekennungen (MAC-Adresse) ohne Vergabe von Zugangskennungen erfolgen". Die Grenze sei sachgerecht und verhältnismäßig, da trotzdem "ein signifikanter Marktanteil abgedeckt wird", große Netzbetreiber etwa mit städteweiten Hotspots also anlasslos Verbindungs- und Standortdaten aufbewahren müssten.

Was bringt das?

Offen bleibe dabei, wie man die Anzahl der Teilnehmer in einem "nichtkennungsbezogenen" Umfeld eigentlich definiere, kritisierte Klaus Landefeld, Vorstand Infrastruktur und Netze beim eco-Verband der Internetwirtschaft, den Plan gegenüber heise online. Unklar sei zudem, was eine Vorratsdatenspeicherung bei größeren WLAN-Anbietern wie etwa der Deutschen Bahn bringen solle, wenn der Anwender ohne Identifikationsmerkmal nicht bekannt sei und individuelle Daten so nicht für die Sicherheitsbehörden ausgeleitet werden könnten.

Generell müssen laut dem Entwurf Telekommunikationsfirmen mit über 100.000 Kunden eine gesicherte elektronische Überwachungsschnittstelle nach dem Standard ETSI TS 102 657 des Europäischen Instituts für Telekommunikationsnormen bereithalten, die eine "adäquate Verschlüsselung" beinhalten soll. Diese sogenannte ETSI-ESB sei auch von den "berechtigten Stellen für die Übermittlung der entsprechenden Anordnungen an diese Telekommunikationsunternehmen" zu nutzen. Zusätzliche Kosten für die Branchengrößen entstünden damit nicht, da diese die genormte Schnittstelle schon heute für Auskünfte an Sicherheitsbehörden im manuellen Verfahren einsetzen müssten.

Ausnahmen für kleinere Provider

Kleinere Provider, die weniger als 100.000 Kunden haben, sollen dagegen laut der Regierung "aus Verhältnismäßigkeitsgründen einen allgemein verfügbaren E-Mail-Dienst nutzen dürfen". Auch dabei müsse der Datenverkehr aber durch "vorgegebene Verschlüsselungsverfahren gegen Veränderungen und unbefugte Kenntnisnahme durch Dritte geschützt werden". Dafür sei eine E- Mail-Schnittstelle vorgegeben, die pro Firma mit rund 15.000 Euro zu Buche schlage. Da insgesamt rund 1000 Provider prinzipiell elektronische Nutzerspuren verdachtsunabhängig erheben müssten und von diesen "etwa 973" unter den skizzierten Grenzwert fielen, kämen auf die Branche insgesamt Kosten von maximal 14,6 Millionen Euro zu.

Im Prinzip gebe es keine Anforderungen an die E-Mail-Schnittstelle, was die Ausgaben tatsächlich im Rahmen halten könnte, erläutert Landefeld diesen Punkt. Die Mehrzahl der Unternehmen könne einen eigenen kleinen E-Mail-Server nur für diesen Zweck aufsetzen, der nur auf Anforderung angeschaltet und sich dann PGP-verschlüsselt mit der anfragenden Behörde austausche. Die Zahl der 1000 betroffenen Anbieter sei aber weitgehend aus der Luft gegriffen und wohl zu niedrig. Zudem ändere die Bagatellgrenze nicht an den Gesamtkosten der Vorratsdatenspeicherung, die der eco auf mindestens 300 Millionen Euro für die Branche beziffert.

Zugriff für den BND

Die überarbeitete TKÜV soll auch erstmals die Vorgabe aus dem neuen Gesetzesrahmen für den Bundesnachrichtendienst (BND) umsetzen, wonach dieser ebenfalls auf Vorratsdaten zugreifen darf. In der anfänglichen Debatte um die Speicherpflichten hatte Bundesjustizminister Heiko Maas (SPD) noch betont, dass Geheimdienste keinen Zugang zu den begehrten Verbindungs- und Standortinformationen erhalten sollten. Auch Vorgaben für eine teils durchzuführende Überwachung in Echtzeit werden präzisiert.

Im Bundesrat gibt es derweil Widerstand gegen das von der Bundesregierung vorgesehene Aus für eine Klausel, wonach die Justizbehörden derzeit eilbedürftige Überwachungsanordnungen noch per Telefax an die Provider senden können. Diese Bestimmung müsse beibehalten werden, fordern der Innen- und der Rechtsausschuss der Länderkammer in einer Empfehlung für die Plenarsitzung nächste Woche. Es handle sich dabei um ein "unverzichtbares Instrument der Strafverfolgung". Die vorgebrachten Sicherheitsbedenken seien nicht überzeugend. (vbr)