Traceless.me: Vorratsdatenspeicherung vertreibt VPN-Provider
Traceless.me(öffnet im neuen Fenster) ist ein VPN-Anbieter, den drei Sicherheitsenthusiasten aus Berlin und München im Anschluss an die Snowden-Enthüllungen gründeten. Der Dienst soll die Privatsphäre seiner inzwischen rund 5.000 aktiven Nutzer schützen. Doch könnte das Unternehmen durch die Vorratsdatenspeicherung gezwungen werden, die Daten seiner Kunden gegen seinen Willen zu speichern. Golem.de sprach mit einem der drei Firmengründer, Johannes Ludwig, über Konsequenzen des neuen Gesetzes.
Golem.de: Herr Ludwig, die Bundesnetzagentur will in wenigen Tagen ihren Anforderungskatalog zur Vorratsdatenspeicherung veröffentlichen. Was bedeutet das für einen kleinen Anbieter wie Traceless.me?
Johannes Ludwig: Vorratsdatenspeicherung ist ein Angriff auf die Privatsphäre aller und zwingt uns zum Umziehen - oder unsere Grundsätze zu verraten. Uns kostet die Umsetzung nicht nur viel Geld. Das größere Problem ist: Sie steht im kompletten Widerspruch zu unserer Dienstleistung. Es ist nicht akzeptabel für uns, in irgendeiner Art und Weise die Daten der Nutzer zu sammeln.
Golem.de: Wie wollen Sie das verhindern?
Ludwig: Wir sind bereits dabei, uns nach einem anderen Standort umzusehen. Wir würden gerne innerhalb der EU bleiben. Aber es ist schwierig, weil die EU selbst eine Regelung zur Vorratsdatenspeicherung erwägt . Andere europäische Länder wie Island oder die Schweiz haben inzwischen selbst wieder eine Vorratsdatenspeicherung umgesetzt.
Golem.de: Welche Standorte kämen infrage?
Ludwig: Es gibt einige Kandidaten. Ich befinde mich gerade in Serbien und spreche hier mit Anwälten und den lokalen zuständigen Behörden, um herauszufinden, wie und ob wir unseren Service hier betreiben können. Bosnien wäre ein weiterer Kandidat, der nicht zu weit entfernt ist.
Golem.de: Welche Daten speichern Sie denn bisher?
Ludwig: Unser System ist technisch so umgesetzt, dass IP-Adressen nicht gespeichert werden. Nur während der eigentlichen Verbindung liegen die IP-Adressen temporär im RAM vor - das müssen sie, ohne können wir keine VPN-Verbindung erstellen. Langfristig finden sich im System nur Daten, die zwingend zum Betrieb benötigt werden, wie beispielsweise die E-Mail-Adresse des Nutzers und seine Accountlaufzeit. Rückschlüsse auf Aktivität und Onlineverhalten eines bestimmten Nutzers lässt unser Setup nicht zu.
Prinzipiell kann unser kostenloses Paket ohne irgendwelche Angaben zur Person genutzt werden. Unser kostenpflichtiges Angebot kann auch mit Bitcoin bezahlt werden, was komplett ohne die Angabe von Bestandsdaten geht. Man könnte das System aber so verändern, dass die IP-Adressen gespeichert werden.
Golem.de: Das heißt, Sie müssten künftig eigens für die Vorratsdatenspeicherung die Daten erheben?
Ludwig: Davon gehen wir aus. Sobald man die Möglichkeit hat, die Daten zu erheben, ist man nach unserer Einschätzung dazu verpflichtet, das auch zu tun.
Bundesnetzagentur verweigert Auskunft
Golem.de: Haben Sie bei den zuständigen Behörden nachgefragt, ob Sie zur Speicherung verpflichtet sind?
Ludwig: Wir haben die Bundesnetzagentur im Juli gefragt. Damals wurde uns gesagt, dass noch keine Aussagen darüber getroffen werden könnten. Es sei alles noch zu unklar. Wir sollten einfach zu einem späteren Zeitpunkt noch einmal nachfragen.
Golem.de: Wie könnten solche Anfragen von Ermittlungsbehörden denn aussehen?
Ludwig: Wir gehen nicht davon aus, dass Kriminelle unseren Service benutzen und möchten solche auch nicht als Nutzer haben. Ein typischer Anwendungsfall ist bisher, dass Behörden einen Tatbestand feststellen, dem eine unserer IP-Adressen zugeordnet werden kann. Daraufhin stellen diese eine Anfrage, ob wir den Nutzer identifizieren können, der zum betreffenden Zeitpunkt diese Adresse genutzt hat. Aber wir wissen das nicht.
Hinzu kommt, dass wir auch nicht wissen, wer hinter welchem Nutzernamen steckt: Wir speichern nur, dass ein Nutzer bezahlt hat und für welche Dauer - nicht aber die Bezahlmethode oder gar Adressdaten.
Golem.de: Wie häufig gibt es solche Anfragen?
Ludwig: Die Anzahl solcher Anfragen, die wir in zwei Jahren bekommen haben, lässt sich an einer Hand abzählen und zeigt, dass solche Fälle sehr selten sind.
Golem.de: Aber dennoch müssten Sie die erforderliche Infrastruktur für die Speicherung und das Personal für die Anfragen ständig bereithalten?
Ludwig: Das stimmt. Die Kosten dafür sind nicht unerheblich. Zwar gibt es Anspruch auf Vergütung, aber das gilt nur für die Beauskunftung und nicht für die Anfangsinvestitionen.
Golem.de: Die Bundesnetzagentur erlaubt aber die Auslagerung der Daten an einen Dienstleister .
Ludwig: Das Problem dabei liegt darin, dass der einzelne Provider weiterhin für die ordnungsgemäße Umsetzung der Anforderungen verantwortlich ist. Wenn in einem gemeinsamen Datenzentrum ein Fehler passiert, muss immer noch der Provider dafür haften.
Golem.de: Könnten Sie nicht abwarten, dass das Bundesverfassungsgericht wieder die Vorratsdatenspeicherung kippt ?
Ludwig: Wir können jetzt nicht abwarten und hoffen, dass die Verfassungsklagen erfolgreich sind. Daher erarbeiten wir zum einen das geforderte Sicherheitskonzept, zum anderen suchen wir einen neuen Standort.
Golem.de: Was bedeutet solch ein Standortwechsel konkret?
Ludwig: Es geht weniger um die Server. Wir werden weiterhin Nodes in verschiedenen Ländern anbieten. Da die Anfragen verschlüsselt sind, spielt es keine Rolle, ob der Server beispielsweise in Frankreich steht. Es geht aber um den Sitz unseres Unternehmens.
Golem.de: Dann müssten auch alle Einnahmen in dem anderen Land versteuert werden.
Ludwig: Genau, das ist jedoch nur eines der Probleme. Teilweise wird auch gefordert, dass sich ein Geschäftsführer vor Ort befindet. Auch die Gesetze für Telekommunikationsanbieter sind in allen Ländern verschieden. Das hält uns jedoch nicht vom Umziehen ab: Wir finden einen passenden Standort, wo keine Vorratsdatenspeicherung gefordert wird. Wir werden die Privatsphäre unserer Nutzer weiter schützen.