Kritik an Gesetzentwurf: Eco hält Vorratsdatenspeicherung für nicht umsetzbar
Die anlasslose Speicherung von Verkehrsdaten verursacht bei den deutschen Providern möglicherweise Kosten in Höhe von rund 600 Millionen Euro. Damit werde die neue Vorratsdatenspeicherung für die Unternehmen doppelt so teuer wie die gerichtlich gestoppte Vorgängerregelung aus dem Jahr 2008, sagte Oliver Süme vom Vorstand des IT-Branchenverbands Eco am Mittwoch vor Journalisten in Berlin. Angesichts des geringen polizeilichen Nutzens der Datenspeicherung müsse daher die Frage ihrer Verhältnismäßigkeit neu gestellt werden. Anstatt das "Blitzgesetz" im Eiltempo zu beschließen, müsse sorgfältig über dessen Folgen diskutiert werden, forderte Süme(öffnet im neuen Fenster) .
Die Bundesregierung hat den Gesetzentwurf Anfang der Woche den Verbänden zukommen lassen. Eine Stellungnahme ist nicht vorgesehen, denn schon in der kommenden Woche soll der Entwurf vom Kabinett beschlossen werden. Noch vor der Sommerpause soll der Bundestag darüber abstimmen. Dem Verband geht das viel zu schnell. Denn das Gesetz stellt den Providern weitreichende Anforderungen an die Datensicherheit, die anschließend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) konkretisiert werden müssen. Nach Ansicht Sümes muss jedoch jetzt darüber diskutiert werden, ob die gesetzlichen Vorgaben sinnvoll und erfüllbar sind.
Internetzugang auf vom Internet entkoppelte Rechner
So verlangt der Entwurf unter anderem den "Einsatz eines besonders sicheren Verschlüsselungsverfahrens" sowie die "Speicherung mit einem hohen Schutz vor dem Zugriff aus dem Internet auf vom Internet entkoppelten Rechnern" . Letzteres ist nach Ansicht von Technikvorstand Klaus Landefeld technisch gar nicht umsetzbar. Schließlich erfolge der Zugriff der Behörden auf die Daten mit Hilfe einer SINA-VPN-Verbindung(öffnet im neuen Fenster) über das Internet. "Wie soll das mit einem System gehen, das physikalisch getrennt ist?" , fragte Landefeld und fügte hinzu: "Man kann sich wohl kaum vorstellen, dass irgendjemand mit USB-Sticks durch die Gegend rennt."
Problematisch dürfte nach Ansicht des Verbandes auch die geforderte Verschlüsselung sein. Diese laufe auf eine separate Verschlüsselung der einzelnen Daten hinaus, da eine beständige Ver- und Entschlüsselung der gesamten Datenbank nicht sinnvoll sei und nicht den Vorgaben des Bundesverfassungsgerichts entspreche. Dann stelle sich aber die Frage, wie die einzelnen Daten gefunden werden könnten. Zwar sei eine Indexierung nach bestimmten Kriterien vorstellbar, was aber die Suchmöglichkeiten stark einschränken könne. Ein Beispiel: Wenn die Polizei wissen will, ob es eine Mobilnummer gibt, die zu bestimmten Zeiten in zwei verschiedenen Funkzellen eingeloggt war, lässt sich das laut Eco mit verschlüsselten Daten kaum herausfinden. Es sei kaum möglich, solche "kreativen Anfragen" im Voraus zu programmieren, sagte Süme.
Kleine Firmen müssen mit 80.000 Euro Kosten rechnen
Auch das geplante Vier-Augen-Prinzip bei den Providern führt nach Ansicht des Verbandes zu höheren Kosten bei kleinen Anbietern, da stets zwei befugte Techniker anwesend sein müssten. Anders als die Bundesregierung, die von 1.000 betroffenen Firmen ausgeht, rechnet Eco mit mindestens 2.500 speicherpflichtigen Unternehmen. Auf diese kämen je nach Größe sehr unterschiedliche Kosten zu. Während die fünf größten Konzerne mit jeweils 30 Millionen Euro rechnen müssten, seien es für die folgenden 15 nach Einschätzung von Eco acht Millionen Euro. Die restlichen Top 300 der Provider könnten Kosten in Höhe von 500.000 Euro erwarten. Die mehr als 2.000 mittelständischen Anbieter müssten demnach rund 80.000 Euro für die Vorratsdatenspeicherung aufbringen.
Damit kommt Eco auf eine Gesamtsumme von 596 Millionen Euro. Während die großen Firmen die Kosten leichter schultern könnten, seien sie für die kleineren erheblich und damit ein "echter Mittelstandskiller" . Lediglich bei einer drohenden Insolvenz könne ein Antrag auf Unterstützung gestellt werden. Landefeld wies zudem darauf hin, dass Bußgelder in Höhe von 500.000 Euro drohten, wenn die Speichersysteme beispielsweise von außen gehackt würden. Kleine Firmen, die sich nicht so aufwendige Sicherheitssysteme leisten könnten, könnten so in den Ruin getrieben werden.
Whatsapp und Skype müssen nicht speichern
Obwohl die Regierung versucht habe, die Vorgaben der Karlsruher Richter zu erfüllen, sei eine verfassungsgemäße Umsetzung aufgrund des technischen Wandels kaum zu leisten. Der Verband verweist darauf, dass aufgrund des knapp gewordenen IPv4-Adressraums viele Provider den Nutzern keine öffentlichen IP-Adressen mehr gäben, sondern einzelne IP-Adressen auf mehrere Nutzer verteilten. Um einen Anschluss eindeutig zu identifizieren, "müsste durch die Anbieter zunächst eine neue, riesige Datenbank aufgebaut werden" , heißt es in einem Hintergrundpapier. Der Provider müsste neben dem benutzten Port auch die exakten Nutzungszeiten aufzeichnen. Trotz der kürzeren Speicherfristen könnte damit "ein vollständiges Nutzerprofil des Einzelnen erstellt werden" .
Ohnehin sei die Vorratsdatenspeicherung "nicht mehr zeitgemäß" , wenn Kommunikationsdienste wie Skype oder Whatsapp nicht davon betroffen seien. Vor dem Hintergrund, dass Dienste wie SMS immer weniger genutzt würden , sei das kaum verständlich. Dem Gesetzentwurf zufolge sind nur Unternehmen betroffen, die unter das deutsche Telekommunikationsgesetz (TKG) fallen. Andere Dienste, die unter das Telemediengesetz fallen, hingegen nicht. Was zumindest bedeutet, dass die Anforderungen der Vorratsdatenspeicherung nicht für Anbieter von offenen WLANs gelten.
SPD-Fraktion will Effektivität prüfen
Obwohl es innerhalb der SPD deutlichen Widerstand gegen die Vorratsdatenspeicherung gibt, dürften die Pläne nicht an der SPD-Bundestagsfraktion scheitern. Der Innenpolitiker und IT-Rechtsexperte Christian Flisek hält es allerdings für nicht ausgeschlossen, dass der Zeitplan der Bundesregierung nicht eingehalten wird. Der Entwurf sei aber der "mit Abstand grundrechtschonendste, den es jemals zu einem Vorratsdatenspeicherungsgesetz gegeben hat" , sagte er Golem.de. Da er sich an den Urteilen des Bundesverfassungsgerichts und des Europäischen Gerichtshofs (EuGH) entlang hangele, sei nicht wirklich etwas Überraschendes drin. Flisek plädierte dafür, das neue Gesetz von Anfang mit einem Monitoring-Prozess zu verbinden, um die Wirksamkeit der Datenspeicherung zu ermitteln. Ebenso wie die Parlamentarische Geschäftsführerin der SPD-Fraktion, Christine Lambrecht, brachte er den Vorschlag ins Spiel, das Gesetz zeitlich zu befristen.
Bis die Datenspeicherung überhaupt wirksam wird, dürften noch anderthalb Jahre vergehen. Denn zunächst hat das BSI ein Jahr lang Zeit, die Anforderungen an die Firmen zu konkretisieren. Dann müssen die Firmen innerhalb von sechs Monaten ein Konzept erstellen, vom BSI genehmigen lassen und umsetzen. Erst dann haben sie laut Eco die Möglichkeit, vor dem Verfassungsgericht die Neuregelung anzufechten. Wie die Entscheidung ausfallen wird, steht für Süme schon fest: "Der vorliegende Gesetzesentwurf wird vor dem Bundesverfassungsgericht keinen Bestand haben, sondern nur wieder verbrannte Erde hinterlassen."