Mit
unserer Firma bin auch ich direkt von der Vorratsdatenspeicheurng betroffen. Bei allem Aktivismus und berechtigter Kritik an der ganzen Sache, darf man aber meines Erachtens trotzdem die geltenden Gesetze nicht einfach ignorieren sondern jetzt, da das alles gilt, muss man es auch erst einmal beachten. Natürlich in der Hoffnung, dass das Bundesverfassungsgericht das alles wieder kippt.
Ich habe heute ungelogen einen Tag damit verbracht, das
"Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007" zu finden, zu lesen, die Bezüge zu recherchieren, herauszufunden was uns als E-Mail-Provider betrifft und das alles zu verstehen.
Ich möchte gerne die stellen aus den Gesetzen zitieren, die ich persönlich als einschlägig betrachte. ausdrücklich möchte ich darum bitten, dass jeder, der irgend etwas anders verstanden hat, also denkt, ich hätte etwas falsch aufgefasst oder übersehen, mir das bitte mitteilt. Zudem ist hoffentlich klar, dass von mir zu diesem Thema gegebene Kommentare jeglicher juristischer Sachkunde entbehren und die Gesetzes-Auszüge sich nicht eignen um sich darauf zu verlassen. das ist hier keine Rechtsberatung und so, klar.
ich verlinke an einigen Stellen zu
www.gesetze-im-internet.de. Dort ist jetzt momentan noch die alte, nicht mehr gültige Version der Gesetze zu begutachten, das eignet sich aber gut um das Fließtext-Diff in oben verlinkter PDF-Datei darauf anzuwenden.
Also, sehr einschlägig ist mit Sicherheit das neu überarbeitete
Telekommunikationsgesetz (TKG). Die Begriffsdefinitionen am Anfang verwirren mich sehr stark, insbesondere da dieses Gesetz keinen abgesteckten Geltungsbereich hat. die Begriffsdefinition
"Telekommunikationsanlagen" technische Einrichtungen oder Systeme, die als Nachrichten identifizierbare elektromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren können;
hört sich für mich so an, als würde dies einfach alles abdecken, von E-Mail über Telefon bis Rauchzeichen ("als Nachrichten identifizierbare [...] optische Signale"). Interessant wird's bei der Definition bzgl. eines Blechdosen-Telefons oder Kommunikation über Klopfen an Heizungsrohre, das scheint mir wirklich eine Gesetzeslücke zu sein. wie auch immer, mir scheint, wir betreiben im Sinne des TKG eine Telekommunikationsanlage.
Nun, der Rest des Gesetzes liest sich in ganz vielen Passagen so explizit für Telefon-Anbieter geschrieben, dass ich davon ausgehen muss, dass E-Mails bzw auch aller andere neumodische Kram da nur versehentlich drin ist.
Auch bei den Änderungen zum TKG finde ich bei vielen Sachen nicht so Recht die Beziehung auf E-Mail, daher blende ich das jetzt so weit aus, wie nichts zur E-Mail geschrieben steht. insbesondere mit dem wissen, dass es ja da wo es mich betrifft, speziell auf "elektronische Post" hingewiesen wird.
However, kommen wir zum interessanten Teil bzw. dem Grund für all die Aufregung: Die öffentliche Sicherheit. Geregelt im Abschnitt 3 des TKG, hier im speziellen §111, Abs. 1 TKG:
„(1) Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt und dabei Rufnummern oder andere Anschlusskennungen vergibt oder Telekommunikationsanschlüsse für von anderen vergebene Rufnummern oder andere Anschlusskennungen bereitstellt, hat für die Auskunftsverfahren nach den §§ 112 und 113
- die Rufnummern und anderen Anschlusskennungen,
- den Namen und die Anschrift des Anschlussinhabers,
- bei natürlichen Personen deren Geburtsdatum,
- bei Festnetzanschlüssen auch die Anschrift des Anschlusses,
- in Fällen, in denen neben einem Mobilfunkanschluss auch ein Mobilfunkendgerät überlassen wird, die Gerätenummer dieses Gerätes sowie
- das Datum des Vertragsbeginns
vor der Freischaltung zu erheben und unverzüglich zu speichern, auch soweit diese Daten für betriebliche Zwecke nicht erforderlich sind; das Datum des Vertragsendes ist bei Bekanntwerden ebenfalls zu speichern. Satz 1 gilt auch, soweit die Daten nicht in Teilnehmerverzeichnisse (§ 104) eingetragen werden. Die Verpflichtung zur unverzüglichen Speicherung nach Satz 1 gilt hinsichtlich der Daten nach Satz 1 Nr. 1 und 2 entsprechend für denjenigen, der geschäftsmäßig einen öffentlich zugänglichen Dienst der elektronischen Post erbringt und dabei Daten nach Satz 1 Nr. 1 und 2 erhebt, wobei an die Stelle der Daten nach Satz 1 Nr. 1 die Kennungen der elektronischen Postfächer und an die Stelle des Anschlussinhabers nach Satz 1 Nr. 2 der Inhaber des elektronischen Postfachs tritt. Wird dem Verpflichteten nach Satz 1 oder Satz 3 eine Änderung bekannt, hat er die Daten unverzüglich zu berichtigen; in diesem Zusammenhang hat der nach Satz 1 Verpflichtete bisher noch nicht erhobene Daten zu erheben und zu speichern, sofern ihm eine Erhebung der Daten ohne besonderen Aufwand möglich ist. Für das Auskunftsverfahren nach § 113 ist die Form der Datenspeicherung freigestellt.
Heruntergebrochen und umformuliert auf das, was hier die E-Mail betrifft, komme ich auf das da:
Wer geschäftsmäßig [... E-Mail-Kommunikation anbietet ...], hat für die Auskunftsverfahren nach den §§ 112 und 113
- "Kennungen der elektronischen Postfächer"
- den Namen und die Anschrift des "Inhaber des elektronischen Postfachs"
vor der Freischaltung zu erheben und unverzüglich zu speichern, auch soweit diese Daten für betriebliche Zwecke nicht erforderlich sind; das Datum des Vertragsendes ist bei Bekanntwerden ebenfalls zu speichern.
Ebenfalls interessant, die weitere Änderung des §111 TKG:
Folgende Absätze 4 und 5 werden angefügt:
(4) Die Daten sind mit Ablauf des auf die Beendigung des Vertragsverhältnisses folgenden Kalenderjahres zu löschen.
(5) Eine Entschädigung für die Datenerhebung und -speicherung wird nicht gewährt.
D.h. Stammdaten müssen immer > 12 Monate aufgehoben werden.
Okay, das zu den Stammdaten, kommen wir jetzt zum eigentlichen Teil unserer Vorstellung, der Vorratsdatenspeicherung...
Ich zitiere die einschlägigen Auszüge aus dem neu eingefügten §113a:
§ 113a
Speicherungspflichten für Daten
(1) Wer öffentlich zugängliche Telekommunikationsdienste für Endnutzer erbringt, ist verpflichtet, von ihm bei der Nutzung seines Dienstes erzeugte oder verarbeitete Verkehrsdaten nach Maßgabe der Absätze 2 bis 5 sechs Monate im Inland oder in einem anderen Mitgliedstaat der Europäischen Union zu speichern. Wer öffentlich zugängliche Telekommunikationsdienste für Endnutzer erbringt, ohne selbst Verkehrsdaten zu erzeugen oder zu verarbeiten, hat sicherzustellen, dass die Daten gemäß Satz 1 gespeichert werden, und der Bundesnetzagentur auf deren Verlangen mitzuteilen, wer diese Daten speichert.
[...]
(3) Die Anbieter von Diensten der elektronischen
Post speichern:
- bei Versendung einer Nachricht die Kennung des elektronischen Postfachs und die Internetprotokoll-Adresse des Absenders sowie die Kennung des elektronischen Postfachs jedes Empfängers der Nachricht,
- bei Eingang einer Nachricht in einem elektronischen Postfach die Kennung des elektronischen Postfachs des Absenders und des Empfängers der Nachricht sowie die Internetprotokoll-Adresse der absendenden Telekommunikationsanlage,
- bei Zugriff auf das elektronische Postfach dessen Kennung und die Internetprotokoll-Adresse des Abrufenden,
- die Zeitpunkte der in den Nummern 1 bis 3 genannten Nutzungen des Dienstes nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone.
[...]
(6) Wer Telekommunikationsdienste erbringt und hierbei die nach Maßgabe dieser Vorschrift zu speichernden Angaben verändert, ist zur Speicherung der ursprünglichen und der neuen Angabe sowie des Zeitpunktes der Umschreibung dieser Angaben nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone verpflichtet.
[...]
(9) Die Speicherung der Daten nach den Absätzen 1 bis 7 hat so zu erfolgen, dass Auskunftsersuchen der berechtigten Stellen unverzüglich beantwortet werden können.
Für uns natürlich im Besonderen interessant: Die Übergangsfrist:
(12b) Auf Verstöße gegen die Pflicht zur Speicherung nach § 113a Abs. 1 Satz 1 oder Abs. 6 oder gegen die Pflicht zur Sicherstellung der Speicherung nach § 113a Abs. 1 Satz 2 ist § 149 erstmalig ab dem 1. Januar 2009 anzuwenden. Die Anbieter von Internetzugangsdiensten, Diensten der elektronischen Post oder Internettelefondiensten haben die sie treffenden Anforderungen aus § 111 Abs. 1 Satz 3 und § 113a spätestens ab dem 1. Januar 2009 zu erfüllen.
So, ich denke die anderen Änderungen, die dieses Gesetz bringt, tangieren uns nicht so wirklich. Für mich heißt das jetzt meiner Auffassung nach: Die Stammdaten, also Name, Anschrift und "Kennungen der elektronischen Postfächer", was auch immer dazu alles zählt, muss ich > 12 Monate nach Ende des Vertrages noch speichern und zwar ab sofort ohne Einführungsphase. die Vorratsdaten dagegen erst ab 2009. Hab ich auch 2009 noch keine Vorratsdaten, ist das eine Ordnungswidrigkeit, wenn ich das jetzt richtig verstanden habe.
Kommen wir nun also zum Philosophischen Teil dieser Betrachtung.
Und zwar gibt es hier Begriffe, die so im Gesetz nicht definiert sind. Der schwammigste dabei ist meiner Meinung nach "elektronisches Postfach". Technisch würde ich jetzt sagen, eine POP3- oder IMAP-Mailbox. Dann ist mit »den Namen und die Anschrift des "Inhaber des elektronischen Postfachs"« bei den Stammdaten oben wohl der bei mir registrierte Kunde gemeint. Bei den Vorratsdaten, da heißt es »bei Versendung einer Nachricht die Kennung des elektronischen Postfachs und [...] die Kennung des elektronischen Postfachs jedes Empfängers der Nachricht«. Hoppla? Mein postfach heißt jetzt z.B. »bernd-inbox«, das ist das was mein IMAP-Server weiß und womit er meine Mailbox identifiziert. Das wissen jetzt alle und können in Ihrer VDS auch brav diese Kennung speichern, wann immer an eine meiner E-Mail-Adressen etwas geschickt wird. Aber Vorsicht, wenn ihr Spam schickt, dann landet das nicht in dieser Mailbox, dann wäre es falsch, dies zu protokollieren.
Spaß beiseite, das Gesetz meint also einfach ein paar Paragrafen später eine E-Mail-Adresse anstelle einer Mailbox. ich stelle mir das halbwegs schwerig vor, wenn da später mal eine Daten-Abfrage kommen sollte, das kann ja keine Sau mehr zuordnen. Weiß der Gesetzgeber, dass es da Unterschiede gibt?
Anderer Punkt: "Kennungen der elektronischen Postfächer" zählen zu den Stammdaten, müssen also > 12 Monate gespeichert bleiben. Was sind es denn jetzt? E-Mail-Adressen? Okay, die kann ich anhand von Domains und/oder Useraccounts irgendwie zuordnen. Können die später abfragen machen wie "gab oder gibt es eine E-Mail-Adresse foo@bar"? Um die beantworten zu können, müsste ich jede Änderung an unserer Konfiguration bzgl. E-mail-Adressen genauestens verfolgen. Es ist technisch nicht denkbar, dass ich jede Änderung mitbekomme, da es sich dabei um Erstellen und löschen von Dateien dreht, das geht im Bedarfsfall sehr schnell.
Wenn Mails protokolliert werden, zeichne ich den From-Header auf oder den Envelope? Weiß der Gesetzgeber eigentlich dass es da Unterschiede gibt?
ich glaube ich habe noch etliche weitere Punkte, die geklärt werden sollten. Da ich aber jetzt seit mind. 10 Stunden an diesem Thema arbeite und mir noch immer so viel unklar ist, beende ich hier den Eintrag und hoffe auf reges Feedback. Ich freu mich auch über Links zu ähnlichen Zusammenfassungen und Diskussionen, sodass man hier verschiedene Auffassungen bündeln könnte.