Daten speichern auf Vorrat?

Nach den Anschlägen in Madrid und London wurde mit einer EG-Richtlinie 2006 beschlossen, die Internet- und Telefonprovider zur Datenspei-cherung (Data-Retention) zu verpflichten. 2010 soll es trotz EU-weit unterschiedlicher Datenschutzniveaus nun auch in Österreich zu einem entsprechenden Gesetz kommen.
Die Vorratsdatenspeicherung, also die über mindestens ein halbes Jahr gespeicherten Daten der Telefon- und Internetkommunikation (wer wen wann von wo aus kontaktiert hat), verlangt, dass Daten anlasslos und verdachtsunabhängig, sozusagen als präventive Sicherheitsmaßnahme, gespeichert werden. Ein Problem, das die Vorratsdatenspeicherung mitsichbringt, ist, dass politischer Missbrauch nicht auszuschließen ist. Ein Mailinterview mit Rainer Ruprechtsberger, Vorstandmitglied von servus.at, das die Vorratsdatenspeicherung erhellt.

Mit der Vorratsdatenspeicherung sollen alle Telefon- und Internetkommunikationsdaten gespeichert werden. Wie ist ein solcher zentralistischer Zugriff vorstellbar? Passiert die Fahndung nach dem Prinzip Zufall, Trial-Error-Methode oder nach spezifischer Suche in Clustern?

Vorstellbar ist leider sehr viel. Das Argument, dass soviele Daten überhaupt nicht auswertbar sind wurde vom technischen Fortschritt längst überholt. Wie das konkret aussehen wird, wird unter anderem von den im Gesetz verankerten Schwellen, wann auf die Daten zugegriffen werden darf, abhängen. Die Möglichkeiten sind allerdings erschreckend und wenn mensch das als Innenpolitik verkaufte Kabarett parlamentarischer Kontrolle von Polizei und Geheimdienst und die doch beträchtliche Anzahl von Fällen, in denen Daten aus der Polizei in andere Hände gelangen, betrachtet, wäre alles andere als das Schlimmste zu erwarten fahrlässig. Ich denke, der aktuelle Prozess gegen die TierrechtlerInnen illustriert hier ganz gut die Mentalität der österreichischen Sicherheitsbehörden.

Erfasst werden Kontaktdaten, nicht die Inhalte. Doch welche Aussagekraft haben diese Daten? Welchen Gewinn für die Allgemeinheit verspricht man sich im Eingriff in die Sphäre des Einzelnen? Eine IP-Adresse oder ein Mobiltelefon sind eben nicht unbedingt mit einer Person identisch; Logfiles können gefälscht werden ...

Das ist durchaus richtig. Wir dürfen aber nicht vergessen, dass wir es mit einer Regierung zu tun haben, die selbst Elektronische Wahlen für unproblematisch hält. Es steht zu befürchten, dass dieses blinde Vertrauen in die Technik in Kombination mit mangeldem Verständnis der selben hier defacto eine Beweislastumkehr bringen wird. Und der Nachweis, dass du nicht vor deinem Rechner gesessen oder dein Mobiltelefon selber benutzt hast, wird gegebenfalls sehr schwierig. Wir kennen das aus dem Bereich E-Banking: die Systeme gelten als 'sicher', das heißt, du hast die Überweisung selbst getätigt, außer du kannst nachweisen, dass es möglich ist, dass es auch wer anders gewesen sein könnte. Wie willst du jedoch die Möglichkeit der Manipulation im Logsystem von z.B. A Online beweisen? Ein E-Banking System kann ja zumindest von außen 'angefasst' und theoretisch zumindest teilweise nach Lücken abgeklopft werden.
Die Befürchtung ist, dass die Daten hier als korrekt betrachtet werden und die Möglichkeit der Manipulation negiert wird. Dabei ist selbst eine zweifelsfreie Zuordnung von IP zu einem Menschen, der zu einem Zeitpunkt A vor dem Gerät mit dieser saß, noch kein Beweis: die fragliche Verbindung könnte ja auch von einem Programm (Trojaner, Spyware, Rootkit...), welches ohne das Wissen der BenutzerIn läuft, stammen.
Das größere Problem liegt hier aber mehr in der geheimdienstlichen Auswertung (z.B. in der Form der 'allgemeinen Gefahrenabwehr und Terrorbekämpfung' durch Polizeibehörden) als in der polizeilichen Ermittlung in einem konkreten Kriminalfall. Die fehlende Beweiskraft eines einzelnen Datum wird hier durch Statistik ausgeglichen. Die geheimdienstlichen Möglichkeiten sind auch der eigentliche Zweck der Übung, selbst das deutsche BKA geht in einer eigenen Studie von 2007 von einer möglichen Erhöhung der Aufklärungsquote von 0,006 Prozentpunkten aus, das Max Plank Institut für Strafrecht kommt in einer Studie zu dem Schluss, »dass die Verfolgung von Straftaten zu gerade einmal 0,002% durch eine Vorratsspeicherung von Verkehrsdaten effektiviert werden könnte.¹«

Gibt es wie von BM Bures proklamiert, tatsächlich die technische Möglichkeit einer »Vorratsdatenspeicherung light«?

Diese Bezeichnung ist ein Euphemismus, der in Anbetracht des Eingriffs in die Privatsphäre Brechreiz verursacht. Überwachung erzeugt immer auch Konformitätsdruck, Menschen passen sich an die sozialen Erwartungen der Gesellschaft an. Die Marginalisierung abweichender Ideen und gesellschaftspolitischer Entwürfe wird dadurch verstärkt: wenn aufgezeichnet wird, dass ich damit in Kontakt getreten bin, riskiere ich damit assoziiert zu werden, auch wenn ich mich nur unverbindlich informieren will. Damit wird Überwachung immer auch zu einer Gefahr für die Demokratie, selbst wenn Missbrauch der Daten vernachlässigt wird. Selbst eine minimale Umsetzung der EU Richtline schafft hier keine Abhilfe. Der Spielraum, es noch schlimmer zu machen als vorgegeben, ist jedoch groß und die österreichische Sozialdemokratie hat ja bei der letzten Fremdenrechtsnovelle gezeigt wieviel Wert solche Aussagen haben.

Vor welchen Problemen stehen nun die Internetprovider?

Diese Frage lässt sich noch nicht beantworten. Zur Zeit ist noch nicht klar, wer überhaupt welche Daten in welcher Form speichern muss. Wir warten hier gespannt auf eine Definition von Provider, für die Speicher-pflicht gilt. Der erste Vorschlag ist 2007 ja mehr oder weniger an der breiten Definition von Provider (das hätte z.B. auch servus.at betroffen) gescheitert – der Bund wollte die Infrastruktur nicht zahlen und all die kleinen Webserver-BetreiberInnen hätten das auch nicht gekonnt, wenn sie gezwungen worden wären. Zu diesem Thema ist aber noch nichts öffentlich geworden.
Letzlich werden wir alle für unsere Überwachung aber selber bezahlen. Die offene Frage ist, ob in der Form von Steuern oder höheren Kosten für Telekommunikation. Letzteres hätte allerdings sehr große Auswirkungen auf den Markt für Telekommunikationsdienste. Kapitalstarke Gesellschaften können es sich länger leisten, die Kosten nicht auf ihre KundInnen abzuwälzen als kleine Provider, deren Kosten auf KundInnen aufgerechnet wahrscheinlich auch höher liegen werden. Die großen Konzerne am Markt werden sich so eine Chance auf einen kurzfristigen Vorteil nicht entgehen lassen, um ihre Marktanteile zu erhöhen und dabei eine Reihe kleinere Provider killen.

Inwieweit hilft TOR oder PGP?

PGP bzw. GnuPG dient zur Verschlüsselung bzw. Signatur, meist von Email, aber nicht nur dafür findet es Verwendung. Damit schützt mensch sich nicht vor der Speichung der Verbindungsdaten. Nicht umsonst wird der Vergleich mit einem Brief bzw. einer Postkarte beim Verschlüsseln von Email strapaziert. Beiden gemeinsam ist allerdings, dass AbsenderIn und EmpfängerIn für alle lesbar – damit auch speicherbar – oben stehen. Verschlüsselung ist jedoch eine Voraussetzung für Anonymisierung. Ein einzelner Knoten eines Netzwerks darf ja niemals die gesamte Kette kennen und Verschlüsselung ist die einzig sichere Methode das zu realisieren. Damit kann mensch sich auch wirksam vor Vorratsdatenspeicherung schützen. Spam sei Dank ist Email über Tor aber kaum möglich, die meisten Exit Nodes haben den Port 25 (auf dem Email Server standardmäßig erreichbar sind) gesperrt. Aber für Email gibt es seit längerem andere Lösungen wie mixmaster – hier wird PGP zur Verschlüsselung eingesetzt. Komplizierter ist das Ganze mit sozialen Netzen und anderen Webapplikationen, ohne die personalisierte Accounts nicht benutzbar sind. Wenn dieser Account einer Person zuordenbar und die Server auf denen die Applikationen laufen von der Vorratsdatenspeicherung erfasst werden, dann kann mich Tor maximal davor schützen, dass implizit auch der Ort, von wo ein Zugriff erfolgte, gespeichert wird. Finster wird es jedoch, wenn mensch an Mobiltelefone denkt. Anonyme Wertkarten sind zwar in Österreich noch erhältlich, aber dank Kameraüberwachung von Geschäften auch nicht wasserdicht.

Betriebssysteme: gibt es Vor- und Nachteile? Sind Linux-UserInnen von der Überwachung weniger betroffen? Einen Reality Check bitte.

Grundsätzlich gibt es keinen Unterschied, welches System mensch verwendet, auch keinen, welche Geräteklasse – das heißt die Vorratsdatenspeicherung schlägt auch an, wenn z.B. mit einem Smartphone in einem Geschäft nachgeschaut wird, ob ein Produkt mit meinen Allergien vereinbar ist oder – um ein verbreitetes Beispiel zu strapazieren – meine Topfpflanze twittert. Die Unterschiede ergeben sich erst wenn mensch zur digitalen Selbstverteidigung greift und sich schützen will. Die Voraussetzung dafür ist, dass ich das Verhalten meiner Geräte überhaupt beeinflussen kann. Freie Systeme sind hier die Voraussetzung, überhaupt Einfluss nehmen zu können. »What you can't open you don't own« wird hier zu »What you can't open will betray you«. Digital Restriction Management und proprietäre Formate werden damit noch bösartiger als sie ohnehin schon sind und es liegt auf der Hand, dass man sich mit proprietären Systemen und Zusammenhang mit Verbindungsdatenspeicherung in einen Teufelskreis begibt.

Danke für das Interview!
(Pamela Neuwirth, servus.at Vorstand)

Vollständiges Interview unter www.servus.at