Vorratsdatenspeicherung als E-Mail-Provider

Bernds Blog

extrahierte Links

Impressum

Betreiber dieser Seite: Bernd Wurst
Köchersberg 25
71540 Murrhardt

E-Mail: website@bwurst.org
Telefon nach §5 TMG: Nicht vorhanden, da kann ich leider auch nichts machen.

Andere Blogs

und noch ein bisschen Spammer-Futter

Getaggte Artikel

Mittwoch, 2. Januar 2008

Vorratsdatenspeicherung als E-Mail-Provider

Mit unserer Firma bin auch ich direkt von der Vorratsdatenspeicheurng betroffen. Bei allem Aktivismus und berechtigter Kritik an der ganzen Sache, darf man aber meines Erachtens trotzdem die geltenden Gesetze nicht einfach ignorieren sondern jetzt, da das alles gilt, muss man es auch erst einmal beachten. Natürlich in der Hoffnung, dass das Bundesverfassungsgericht das alles wieder kippt.

Ich habe heute ungelogen einen Tag damit verbracht, das "Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007" zu finden, zu lesen, die Bezüge zu recherchieren, herauszufunden was uns als E-Mail-Provider betrifft und das alles zu verstehen.

Ich möchte gerne die stellen aus den Gesetzen zitieren, die ich persönlich als einschlägig betrachte. ausdrücklich möchte ich darum bitten, dass jeder, der irgend etwas anders verstanden hat, also denkt, ich hätte etwas falsch aufgefasst oder übersehen, mir das bitte mitteilt. Zudem ist hoffentlich klar, dass von mir zu diesem Thema gegebene Kommentare jeglicher juristischer Sachkunde entbehren und die Gesetzes-Auszüge sich nicht eignen um sich darauf zu verlassen. das ist hier keine Rechtsberatung und so, klar.

ich verlinke an einigen Stellen zu www.gesetze-im-internet.de. Dort ist jetzt momentan noch die alte, nicht mehr gültige Version der Gesetze zu begutachten, das eignet sich aber gut um das Fließtext-Diff in oben verlinkter PDF-Datei darauf anzuwenden.

Also, sehr einschlägig ist mit Sicherheit das neu überarbeitete Telekommunikationsgesetz (TKG). Die Begriffsdefinitionen am Anfang verwirren mich sehr stark, insbesondere da dieses Gesetz keinen abgesteckten Geltungsbereich hat. die Begriffsdefinition
"Telekommunikationsanlagen" technische Einrichtungen oder Systeme, die als Nachrichten identifizierbare elektromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können;
hört sich für mich so an, als würde dies einfach alles abdecken, von E-Mail über Telefon bis Rauchzeichen ("als Nachrichten identifizierbare [...] optische Signale"). Interessant wird's bei der Definition bzgl. eines Blechdosen-Telefons oder Kommunikation über Klopfen an Heizungsrohre, das scheint mir wirklich eine Gesetzeslücke zu sein. wie auch immer, mir scheint, wir betreiben im Sinne des TKG eine Telekommunikationsanlage.

Nun, der Rest des Gesetzes liest sich in ganz vielen Passagen so explizit für Telefon-Anbieter geschrieben, dass ich davon ausgehen muss, dass E-Mails bzw auch aller andere neumodische Kram da nur versehentlich drin ist.
Auch bei den Änderungen zum TKG finde ich bei vielen Sachen nicht so Recht die Beziehung auf E-Mail, daher blende ich das jetzt so weit aus, wie nichts zur E-Mail geschrieben steht. insbesondere mit dem wissen, dass es ja da wo es mich betrifft, speziell auf "elektronische Post" hingewiesen wird.

However, kommen wir zum interessanten Teil bzw. dem Grund für all die Aufregung: Die öffentliche Sicherheit. Geregelt im Abschnitt 3 des TKG, hier im speziellen §111, Abs. 1 TKG:
„(1) Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt und dabei Rufnummern oder andere Anschlusskennungen vergibt oder Telekommunikationsanschlüsse für von anderen vergebene Rufnummern oder andere Anschlusskennungen bereitstellt, hat für die Auskunftsverfahren nach den §§ 112 und 113

  1. die Rufnummern und anderen Anschlusskennungen,

  2. den Namen und die Anschrift des Anschlussinhabers,

  3. bei natürlichen Personen deren Geburtsdatum,

  4. bei Festnetzanschlüssen auch die Anschrift des Anschlusses,

  5. in Fällen, in denen neben einem Mobilfunkanschluss auch ein Mobilfunkendgerät überlassen wird, die Gerätenummer dieses Gerätes sowie

  6. das Datum des Vertragsbeginns


vor der Freischaltung zu erheben und unverzüglich zu speichern, auch soweit diese Daten für betriebliche Zwecke nicht erforderlich sind; das Datum des Vertragsendes ist bei Bekanntwerden ebenfalls zu speichern. Satz 1 gilt auch, soweit die Daten nicht in Teilnehmerverzeichnisse (§ 104) eingetragen werden. Die Verpflichtung zur unverzüglichen Speicherung nach Satz 1 gilt hinsichtlich der Daten nach Satz 1 Nr. 1 und 2 entsprechend für denjenigen, der geschäftsmäßig einen öffentlich zugänglichen Dienst der elektronischen Post erbringt und dabei Daten nach Satz 1 Nr. 1 und 2 erhebt, wobei an die Stelle der Daten nach Satz 1 Nr. 1 die Kennungen der elektronischen Postfächer und an die Stelle des Anschlussinhabers nach Satz 1 Nr. 2 der Inhaber des elektronischen Postfachs tritt. Wird dem Verpflichteten nach Satz 1 oder Satz 3 eine Änderung bekannt, hat er die Daten unverzüglich zu berichtigen; in diesem Zusammenhang hat der nach Satz 1 Verpflichtete bisher noch nicht erhobene Daten zu erheben und zu speichern, sofern ihm eine Erhebung der Daten ohne besonderen Aufwand möglich ist. Für das Auskunftsverfahren nach § 113 ist die Form der Datenspeicherung freigestellt.


Heruntergebrochen und umformuliert auf das, was hier die E-Mail betrifft, komme ich auf das da:
Wer geschäftsmäßig [... E-Mail-Kommunikation anbietet ...], hat für die Auskunftsverfahren nach den §§ 112 und 113
  1. "Kennungen der elektronischen Postfächer"

  2. den Namen und die Anschrift des "Inhaber des elektronischen Postfachs"

vor der Freischaltung zu erheben und unverzüglich zu speichern, auch soweit diese Daten für betriebliche Zwecke nicht erforderlich sind; das Datum des Vertragsendes ist bei Bekanntwerden ebenfalls zu speichern.


Ebenfalls interessant, die weitere Änderung des §111 TKG:
Folgende Absätze 4 und 5 werden angefügt:
(4) Die Daten sind mit Ablauf des auf die Beendigung des Vertragsverhältnisses folgenden Kalenderjahres zu löschen.
(5) Eine Entschädigung für die Datenerhebung und -speicherung wird nicht gewährt.

D.h. Stammdaten müssen immer > 12 Monate aufgehoben werden.

Okay, das zu den Stammdaten, kommen wir jetzt zum eigentlichen Teil unserer Vorstellung, der Vorratsdatenspeicherung...

Ich zitiere die einschlägigen Auszüge aus dem neu eingefügten §113a:
§ 113a
Speicherungspflichten für Daten

(1) Wer öffentlich zugängliche Telekommunikationsdienste für Endnutzer erbringt, ist verpflichtet, von ihm bei der Nutzung seines Dienstes erzeugte oder verarbeitete Verkehrsdaten nach Maßgabe der Absätze 2 bis 5 sechs Monate im Inland oder in einem anderen Mitgliedstaat der Europäischen Union zu speichern. Wer öffentlich zugängliche Telekommunikationsdienste für Endnutzer erbringt, ohne selbst Verkehrsdaten zu erzeugen oder zu verarbeiten, hat sicherzustellen, dass die Daten gemäß Satz 1 gespeichert werden, und der Bundesnetzagentur auf deren Verlangen mitzuteilen, wer diese Daten speichert.
[...]
(3) Die Anbieter von Diensten der elektronischen
Post speichern:

  1. bei Versendung einer Nachricht die Kennung des elektronischen Postfachs und die Internetprotokoll-Adresse des Absenders sowie die Kennung des elektronischen Postfachs jedes Empfängers der Nachricht,

  2. bei Eingang einer Nachricht in einem elektronischen Postfach die Kennung des elektronischen Postfachs des Absenders und des Empfängers der Nachricht sowie die Internetprotokoll-Adresse der absendenden Telekommunikationsanlage,

  3. bei Zugriff auf das elektronische Postfach dessen Kennung und die Internetprotokoll-Adresse des Abrufenden,

  4. die Zeitpunkte der in den Nummern 1 bis 3 genannten Nutzungen des Dienstes nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone.


[...]
(6) Wer Telekommunikationsdienste erbringt und hierbei die nach Maßgabe dieser Vorschrift zu speichernden Angaben verändert, ist zur Speicherung der ursprünglichen und der neuen Angabe sowie des Zeitpunktes der Umschreibung dieser Angaben nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone verpflichtet.
[...]
(9) Die Speicherung der Daten nach den Absätzen 1 bis 7 hat so zu erfolgen, dass Auskunftsersuchen der berechtigten Stellen unverzüglich beantwortet werden können.

Für uns natürlich im Besonderen interessant: Die Übergangsfrist:
(12b) Auf Verstöße gegen die Pflicht zur Speicherung nach § 113a Abs. 1 Satz 1 oder Abs. 6 oder gegen die Pflicht zur Sicherstellung der Speicherung nach § 113a Abs. 1 Satz 2 ist § 149 erstmalig ab dem 1. Januar 2009 anzuwenden. Die Anbieter von Internetzugangsdiensten, Diensten der elektronischen Post oder Internettelefondiensten haben die sie treffenden Anforderungen aus § 111 Abs. 1 Satz 3 und § 113a spätestens ab dem 1. Januar 2009 zu erfüllen.



So, ich denke die anderen Änderungen, die dieses Gesetz bringt, tangieren uns nicht so wirklich. Für mich heißt das jetzt meiner Auffassung nach: Die Stammdaten, also Name, Anschrift und "Kennungen der elektronischen Postfächer", was auch immer dazu alles zählt, muss ich > 12 Monate nach Ende des Vertrages noch speichern und zwar ab sofort ohne Einführungsphase. die Vorratsdaten dagegen erst ab 2009. Hab ich auch 2009 noch keine Vorratsdaten, ist das eine Ordnungswidrigkeit, wenn ich das jetzt richtig verstanden habe.

Kommen wir nun also zum Philosophischen Teil dieser Betrachtung.

Und zwar gibt es hier Begriffe, die so im Gesetz nicht definiert sind. Der schwammigste dabei ist meiner Meinung nach "elektronisches Postfach". Technisch würde ich jetzt sagen, eine POP3- oder IMAP-Mailbox. Dann ist mit »den Namen und die Anschrift des "Inhaber des elektronischen Postfachs"« bei den Stammdaten oben wohl der bei mir registrierte Kunde gemeint. Bei den Vorratsdaten, da heißt es »bei Versendung einer Nachricht die Kennung des elektronischen Postfachs und [...] die Kennung des elektronischen Postfachs jedes Empfängers der Nachricht«. Hoppla? Mein postfach heißt jetzt z.B. »bernd-inbox«, das ist das was mein IMAP-Server weiß und womit er meine Mailbox identifiziert. Das wissen jetzt alle und können in Ihrer VDS auch brav diese Kennung speichern, wann immer an eine meiner E-Mail-Adressen etwas geschickt wird. Aber Vorsicht, wenn ihr Spam schickt, dann landet das nicht in dieser Mailbox, dann wäre es falsch, dies zu protokollieren.
Spaß beiseite, das Gesetz meint also einfach ein paar Paragrafen später eine E-Mail-Adresse anstelle einer Mailbox. ich stelle mir das halbwegs schwerig vor, wenn da später mal eine Daten-Abfrage kommen sollte, das kann ja keine Sau mehr zuordnen. Weiß der Gesetzgeber, dass es da Unterschiede gibt?

Anderer Punkt: "Kennungen der elektronischen Postfächer" zählen zu den Stammdaten, müssen also > 12 Monate gespeichert bleiben. Was sind es denn jetzt? E-Mail-Adressen? Okay, die kann ich anhand von Domains und/oder Useraccounts irgendwie zuordnen. Können die später abfragen machen wie "gab oder gibt es eine E-Mail-Adresse foo@bar"? Um die beantworten zu können, müsste ich jede Änderung an unserer Konfiguration bzgl. E-mail-Adressen genauestens verfolgen. Es ist technisch nicht denkbar, dass ich jede Änderung mitbekomme, da es sich dabei um Erstellen und löschen von Dateien dreht, das geht im Bedarfsfall sehr schnell.

Wenn Mails protokolliert werden, zeichne ich den From-Header auf oder den Envelope? Weiß der Gesetzgeber eigentlich dass es da Unterschiede gibt?

ich glaube ich habe noch etliche weitere Punkte, die geklärt werden sollten. Da ich aber jetzt seit mind. 10 Stunden an diesem Thema arbeite und mir noch immer so viel unklar ist, beende ich hier den Eintrag und hoffe auf reges Feedback. Ich freu mich auch über Links zu ähnlichen Zusammenfassungen und Diskussionen, sodass man hier verschiedene Auffassungen bündeln könnte.



Geschrieben von Bernd in Politik um 17:41 | Kommentare (3) | Trackbacks (0)
Tags für diesen Artikel: , , , , , , , ,
Artikel mit ähnlichen Themen:

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Interessante Betrachtung. Dass es Unterschiede zwischen Mailbox und E-Mail-Adresse gibt, scheint dem Gesetzgeber wohl wirklich nicht bewusst zu sein - was aber leider zu erwarten war, da sich sowohl in den Ministerien und erst recht bei den Politikern niemand so richtig damit auskennt.

Auch die folgende Betrachtung meinerseits stellt in keinerlei Hinsicht Rechtsbelehrung oder -beratung dar, wie schon der obenstehende Blogeintrag. Ich bin absoluter Laie und die folgenden Aussagen könnten allesamt nicht z sein.

Was die "Mailadresse oder Postfach"-Frage angeht, denke ich auch, dass der Gesetzgeber auf die Mailadressen aus ist - hierüber wird ja nach außen kommuniziert und von außen ist die Struktur der dahinterstehenden Postfächer ja nicht ersichtlich; der Kommunikationspartner bzw. das BKA kann ja nur anhand der E-Mail-Adresse den Übeltäter identifizieren.
Die .courier-Dateien bei jeder Änderung in Kopie mit Datumsstempel zu sichern, wäre sicherlich ein riesen Aufwand, vor allem bei der späteren Zuordnung. Alternativ wäre ich hier dafür, einfach bei der ersten ausgehenden Mail von einer neuen Mailadresse zu sprechen bzw. dies bei der ersten abgerufenen Mail zu tun, die über eine neue Mailadresse hereingekommen ist.


Eine andere Möglichkeit bietet für mich der zweite Satz im §113a Abschnitt 1:

"Wer öffentlich zugängliche Telekommunikationsdienste für Endnutzer erbringt, ohne selbst Verkehrsdaten zu erzeugen oder zu verarbeiten, hat sicherzustellen, dass die Daten gemäß Satz 1 gespeichert werden, und der Bundesnetzagentur auf deren Verlangen mitzuteilen, wer diese Daten speichert."

Da Benutzer des Schokokeks-Dienstes ja auch E-Mail-Adressen und Postfächer an Dritte vergeben können/dürfen (soweit ich das aus dem Wiki richtig entnommen habe), könnten die Benutzer verpflichtet werden, sich selbst um die Speicherung der Verkehrsdaten zu kümmern. Dabei würde ich als Provider den Benutzern eine leichte Konfigurationsmöglichkeit geben, sodass der Aufwand nicht allzu groß wird - der Provider hat ja schließlich "sicherzustellen, dass die Daten [...] gespeichert werden". Der Vorteil bei diesem Weg wäre sicherlich, dass die Benutzer eine gewisse Kontrolle über die erhobenen Daten haben und wissen, was erhoben wird. Außerdem kann dann der Benutzer selbst die E-Mail-Adressen den Dritten Personen zuordnen; wenn das der Provider von den Benutzern verlangen würde, dann wäre das m.E. ein ziemlicher Einschnitt in der Handlungsfreiheit: "Wenn du eine neue E-Mail-Adresse/Postfach über eine .courier-Datei anlegst, dann schalten wir die Änderungen erst frei, wenn du uns glaubhaft mitgeteilt hast, wer die Adresse benutzt." Das wäre für mich als Kunde der absolute Horror, da lege ich mir lieber selber 'nen eigenen Webserver zu ;-)

Vielmehr könnte in diesem Fall eine Software oder Technik eingesetzt werden, die es dem Benutzer über das Konfigurations-Interface erlaubt, die erforderlichen Daten zur Identifikationen einzugeben und die Vorratsdatenspecherung zu konfigurieren. Abschalten sollte man diese über das Konfigurationsinterface freilich nicht können, da sonst wieder der Provider schuld ist, wenn nichts aufgezeichnet wurde.

Allerdings weiß ich nicht, ob ich diesen Satz hier richtig interpretiert habe. Hier sollte u.U. mal ein Rechtsanwalt konsultiert werden, falls die Sache mit der Vorratsdatenspeicherung akut wird.



Soweit mal meine lose Ideensammlung, die hat sicher auch noch eine Menge Lücken und soll nicht als Lösung, sondern als Anregung verstanden werden.

In jedem Fall würde es mich sehr freuen, von der endgültigen bzw. dann zu Anwendung kommenden Lösung (hier im Blog?) zu erfahren.
#1 Bruno am 06.01.2008 12:35 (Reply)
Hat sich jetzt nach dem Urteil des Bundesverfassungsgericht etwas an den oben beschriebenen Auffassungen geändert? Zwar ist es jetzt schwerer obige Informationen für den Gesetzgeber abzurufen (gesetzliche Hürden sind gestiegen), trotzdem ist der Provider ja nun spätestens ab 01.01.09 verpflichtet obige Informatioenen einzuholen.
#2 Thomas (Link) am 02.04.2008 17:11 (Reply)
Ich sehe die Vorratsdatenspeicherung halt in sofern als problematisch an, dass immer mehr Bürger der Daten gespeichert werden müssen und der Staat immer mehr Zugriff auf diese Daten bekommt...
#3 Christian (Link) am 16.07.2009 11:25 (Reply)

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
 
 

Suche

Kalender

Zurück August '22
Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

Aktuelle Einträge

Ein halbes Jahr Elektroauto II: Kalkulation
Mi, 18. Dez 2019
Ein halbes Jahr Elektroauto I: Medien und Gesellschaft
Di, 17. Dez 2019
Linux auf einem 2-in-1-Convertible-PC (Lenovo L380 Yoga)
Fr, 4. Jan 2019

Archive

Blog abonnieren

Kategorien

Creative Commons

Creative Commons License - Some Rights Reserved
Der Inhalt dieses Werkes ist lizensiert unter der Creative Commons Lizenz

Buttons

serendipity Blog
Gentoo Powered
Apache powerded!
PHP-based
Hosted on schokokeks.org