Video: Experten zerpflücken geplante Surfprotokollierung (25.05.2009) |
In einer Anhörung des Bundestages äußerten Experten scharfe Kritik an einem Gesetzentwurf des Bundesinnenministers Wolfgang Schäuble, der dem Staat die verdachtslose Aufzeichnung unseres Surfverhaltens auf staatlichen Internetportalen erlauben soll. Der Arbeitskreis Vorratsdatenspeicherung, der alle Bürger im Rahmen einer Kampagne zum Protest gegen das Vorhaben aufruft, dokumentiert hier die Anhörung der Sachverständigen als Video. Video der AnhörungZusammenfassungSebastian Edathy (SPD) sagte zur Eröffnung der Anhörung am 11. Mai 2009, die Abgeordneten hätten zu dem Vorhaben "in den vergangenen Wochen auch zahlreiche Bürgereingaben bekommen". Der Jurist Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung wies die Abgeordneten darauf hin, "dass eine flächendeckende und anlasslose Erfassung personenbezogener Daten nicht verfassungsmäßig ist." Frank Hofmann (SPD) teilte daraufhin mit, dass die Koalition die ursprünglich geplante Surfprotokollierung durch Privatanbieter "in diesem Gesetzgebungsverfahren nicht weiterverfolgen" werde. Mit Ausnahme des Präsidenten des Bundesamts für Sicherheit in der Informationstechnik kritisierten jedoch alle Experten auch das weitere Vorhaben, dem Amt künftig die Aufzeichnung des Surfverhaltens auf staatlichen Internetportalen zu erlauben. Es sprachen die folgenden Sachverständigen:
Auszüge aus dem Wortprotokoll:SV Dr. Patrick Breyer: Mein Name ist Patrick Breyer, ich bin Mitglied im Arbeitskreis Vorratsdatenspeicherung und wie Sie schon richtig erwähnt haben, bewegt dieses Thema „Surfprotokollierung“ sehr viele Menschen. Wir haben den Prozess der Einführung des Gesetzes zur Vorratsdatenspeicherung mit vielen Demonstrationen, bei denen Zehntausende auf der Straße waren, mit Verfassungsbeschwerden – der größten Verfassungsbeschwerde in der Geschichte der Bundesrepublik – begleitet und waren entsprechend schockiert, dass wenige Tage, nachdem die letzte Stufe der Vorratsdatenspeicherung Anfang des Jahres in Kraft getreten ist, nun ein Gesetzentwurf vorgelegt worden ist, der letztlich das legalisieren würde, was eigentlich nie passieren sollte, nämlich auch Inhalte auf Vorrat zu speichern: welche Seiten im Internet aufgerufen worden sind, nach welchen Suchworten man gesucht hat, was man im Internet geschrieben und gelesen hat. Das sind sehr sensible Daten. Es geht im Unterschied zu § 100 Telekommunikationsgesetz (TKG), der in der Gesetzesbegründung genannt wird, nicht nur um die Person der Kontaktpartner, sondern darum, wofür wir uns interessieren, wonach wir suchen, in welcher Lebenssituation wir gerade sind. Es informiert sich jemand in einer Notlage über Drogen oder Eheprobleme, oder er sucht vielleicht auf Google nach bestimmten Sachen, oder er sieht sich auf eBay bestimmte Erotikprodukte an. Es sind äußerst sensible Daten, wer sich wofür im Internet interessiert und wonach er sucht. Deswegen ist die vorgesehene Ermächtigung im Telemediengesetz (TMG), solche Daten zur Störungsbeseitigung speichern zu dürfen, eine sehr schwerwiegende Änderung. Ebenso die Änderung in § 5 des beabsichtigten BSI-Gesetzes, die eine ganz ähnliche Vorratsdatenspeicherung ermöglichen würde, nämlich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erlauben würde, zu speichern, auf welchen Seiten man sich bei Bundesbehörden auf deren Portalen informiert hat. In der Sache ist eine solche Vorratsdatenspeicherung nicht geeignet zur Abwehr von Angriffen oder Gefahren. Man kann Angriffe nur verhindern, indem man Sicherheitslücken schließt, die Systeme auf dem aktuellen Stand hält, Firewalls installiert und ähnliche Maßnahmen ergreift, aber nicht, indem man Daten ansammelt. Aus der Praxis kann man anführen, dass selbst das Bundeskriminalamt (BKA), ebenso wie das Bundesjustizministerium (BMJ) oder der Bundesbeauftragte für den Datenschutz (BfDI), auf solche Speicherungen verzichtet und damit keineswegs häufiger Störungen hat als Seiten, die solches auf Vorrat speichern. Was die verfassungsrechtliche Frage angeht, meine ich, dass diese Vorschriften nicht zu rechtfertigen sind, denn wir haben in den Entscheidungen zur Videoüberwachung, zur Rasterfahndung, zum Kfz-Massenabgleich und jetzt auch zur Vorratsdatenspeicherung gehört, dass eine flächendeckende und anlasslose Erfassung personenbezogener Daten nicht verfassungsmäßig ist. Deswegen bitte ich darum, diese beiden Vorschriften aus dem Gesetzentwurf zu streichen. Danke schön! Frank Hofmann (Volkach) (SPD): Ich halte es für sinnvoll und bin mit Herrn Binninger einig, dass wir bei § 15 TMG den Artikel 3 in diesem Gesetzgebungsverfahren, nicht weiterverfolgen werden und dass es sinnvoll ist, dies jetzt schon in der Anhörung zu berücksichtigen, so dass dazu nicht mehr vorgetragen werden muss. Gisela Piltz (FDP): Meine nächste Frage geht an Herrn Prof. Dr. Poscher und Herrn Dr. Breyer. Heute, gleichzeitig oder zeitversetzt, hat es hier im Haus eine Anhörung zum Arbeitnehmerdatenschutz gegeben und überhaupt zu Fragen, die Arbeitnehmer angehen. Wenn ich das jetzt richtig verstehe, könnte man mit diesem Gesetzentwurf auch alle Arbeitnehmer, zumindest des Bundes, überwachen oder alles aufzeichnen. Sie wollen das nicht, überwachen, das ist nur ein zufälliges Abfallprodukt und deshalb meine Frage: Ist das ein wirkliches Problem dieses Gesetzentwurfes und wenn ja, wie könnte man dem begegnen? SV Dr. Patrick Breyer: Danke. Die Frage, die Sie an mich gerichtet hatten, war, inwiefern dieser § 5 BSIG-Entwurf auch eine Arbeitnehmerüberwachung vorsieht oder was er für die Arbeitnehmer der Bundesverwaltung bedeuten würde. Insofern bin ich dankbar, dass Sie darauf aufmerksam machen, dass nicht nur die Nutzer betroffen sind, d.h. diejenigen, die sich die Internetportale des Bundes anschauen, sondern auch diejenigen, die aus dem Bund heraus auf das Internet zugreifen. Und da ist in der Tat eine gravierende Auswirkung in diesem § 5 enthalten: Bisher ist es so, wenn E-Mails ankommen bei einer Behörde, können die natürlich gefiltert werden, können Virenscanner eingesetzt werden etc., nach Maßgabe der Mitbestimmungsgesetze. Sie haben auch erläutert, wie das BSI das bisher schon macht in Abstimmung mit der Behörde und in Abstimmung mit der Mitarbeitervertretung. Nach diesem § 5 soll das ganz anders laufen. Da soll eine zentrale Stelle, nämlich das BSI, für die gesamte Informationstechnik des Bundes in eigener Verantwortung und ohne Abstimmung mit den Mitarbeitervertretungen zuständig sein, nach Abs. 1 Nr. 1 Protokolldaten zu sammeln, d.h. insbesondere auch Surfprotokolle, also was die Mitarbeiter aufgerufen haben im Internet. Nach Nr. 2 soll es den Inhalt automatisch rastern können, d.h. das, was bisher bei den Behörden selbst passiert. Und nach Abs. 2 sollen die Protokolldaten auch aufbewahrt werden, noch länger als es nach Abs. 1 vorgesehen ist. Das würde für die Mitarbeiter eine Durchbrechung des Fernmeldegeheimnisses bedeuten. Denn das BSI steht noch nicht beim Empfänger, sondern vor dem Empfänger, deswegen ist das Fernmeldegeheimnis anwendbar. Erst recht natürlich bei privaten Telefonaten oder E-Mails ist ein Eingriff in das Fernmeldegeheimnis da. Da bringt auch eine Pseudonymisierung nichts. Denn die Protokolle sind schon pseudonym. Sie haben ja in Surfprotokollen nicht drinstehen: Herr XY hat zugegriffen, sondern die IP-Adresse. Deswegen ist eine Pseudonymisierung ohne zusätzlichen Wert. Man muss auf jeden Fall anonyme Daten nutzen. Dazu ist auch schon viel gesagt worden, wie gut das bisher in der Praxis funktioniert. Von daher – ausgehend von den Ausführungen von Herrn Dr. Helmbrecht – frage ich mich, warum die bisherige Praxis nicht reichen soll. Sie haben geschildert wie viel das BSI schon macht und dass es nur ganz seltene Fälle offenbar sind, in denen weitere Daten benötigt werden. Deswegen schafft diese Regelung, meines Erachtens, Risiken auch für die informationelle Selbstbestimmung der Mitarbeiter, setzt sie den Risiken von Datenpannen aus, von versehentlichen Veröffentlichungen. Man kann die Sicherheit von Informationssystemen nicht schützen, indem man noch mehr Daten Sicherheitsrisiken aussetzt. Frank Hofmann (Volkach) (SPD): Eine andere Frage, die richtet sich insbesondere an Herrn Dr. Breyer, Herrn Prof. Dr. Pfitzmann und Herrn Prof. Dr. Pohl. Sie haben dafür plädiert, sich nicht so sehr um die Schadprogramme zu kümmern, sondern die Sicherheitslücken zu schließen. Und Herr Dr. Breyer, Sie haben den Kopf geschüttelt, als es hieß: Mit zertifizierten Produkten, das würde nicht funktionieren. Da möchte ich nur einmal wissen, was ihre Reaktion darauf ist. Ich denke, dass das die erste Entscheidung ist. Kann ich sagen, wir können die Sicherheitslücken schließen, dann müssen wir uns um das andere nicht kümmern. Aber gibt es zumindest ein „time lag“, wo ich doch an Schadprogramme heran gehen muss und mich darum kümmern muss? Das ist für mich die entscheidende Frage für dieses Gesetz hier. SV Dr. Patrick Breyer: An mich war die Frage gerichtet, wie das Verhältnis von Sicherheit und Überwachung ist, d.h. Sicherheit der Informationstechnik im Verhältnis zu der Protokollierung und Auswertung, wie sie hier vorgesehen ist. Das Verhältnis ist relativ leicht darzustellen: Die Surfprotokollierung, wie sie hier in dem § 5 vorgesehen ist, hat nichts mit einem Schutz der Informationstechnik zu tun. Sie ist dazu ungeeignet. Das liegt schon an dem Wesen der Protokollierung. Bei einer Protokollierung schreiben Sie mit. Sie können damit nichts verhindern. Deswegen hat beides miteinander nichts zu tun. Auch Ihre Frage, ob es vielleicht für Fälle erforderlich ist, in denen eine Sicherheitslücke ausgenutzt worden ist, die noch nicht geschlossen ist, das sog. „time lag“, ob es in diesen Fällen erforderlich ist, da sage ich auch da: Nein. Denn in diesen Fällen bringt eine Protokollierung nichts, um diese Sicherheitslücke zu schließen. Es ist auch nicht dazu erforderlich, wie in der Begründung des Gesetzentwurfs steht, damit man jetzt nachschaut, wer die Sicherheitslücke in der Vergangenheit ausgenutzt hat. Sondern, wenn ein Schadprogramm aufgetreten ist, muss die gesamte Bundesverwaltung natürlich daran gehen, ihre Systeme zu überprüfen und Virenscanner updaten, was auch immer man da ergreift. Da nützt es nichts, nachträglich nachzuverfolgen, was da vielleicht gemacht worden ist, was auch im Fall der meisten Schadprogramme gar nicht funktioniert, das anhand von Protokolldaten nachzuvollziehen. Sie haben gefragt, warum ich den Kopf geschüttelt habe, als gesagt worden ist: Sichere Produkte sind nicht machbar. Da ist sehr wohl sehr viel zu machen, was der Gesetzgeber noch tun könnte. Ich gehe ein paar Ideen einmal durch: Zum einen gibt es im Bereich der Automobiltechnik den TÜV, der ab und zu einmal routinemäßig überprüft, wie es um die Sicherheit des Autos bestellt ist. So etwas könnte man vielleicht auch für national wichtige Informationstechnik einführen. Zum zweiten die Produkthaftung. Wir haben im Bereich der Produkthaftung ein sehr erfolgreiches Gesetz, das dazu geführt hat, dass die Zahl der Unfälle und der unsicheren Produkte sehr zurückgegangen ist. Dadurch, dass die Hersteller einfach dafür haften, wenn sie unsichere Produkte in die Welt gesetzt haben. Die Produkthaftung gilt aber bisher nur für Vermögensschäden. Wenn man das ausweiten würde, dass die Hersteller etwa auch für Datenpannen, für nicht materielle Schäden haften oder für nicht körperliche Schäden, könnte das auch etwas bringen. Oder wenn man eine Haftung der Anbieter vorsehen würde, die unsichere Systeme betreiben und deswegen plötzlich personenbezogene Daten im Internet veröffentlichen. Also, das Haftungsrecht ist ein sehr effizientes Instrument, das noch nicht ausreichend ausgeschöpft ist. Und was den Bereich der Datensicherheit angeht: Da ist die beste Sicherheit die Datensparsamkeit. Es freut mich, wenn Herr Dr. Helmbrecht vorhin gesagt hat: Ziel dieses Gesetzentwurfes ist auch, personenbezogene Daten zu schützen. Nur, der beste Schutz, sichere Daten, sind nur nicht gespeicherte Daten. Die können dann auch nicht versehentlich veröffentlicht oder angegriffen oder sonst Gegenstand von Datenpannen werden. Man müsste im Telemediengesetz durchsetzen, dass wir anonym surfen können, natürlich auch auf Behördenwebsites. Deshalb ist diese Regelung genau das Gegenteil von dem, was es bräuchte, um die Sicherheit in der Informationstechnik zu gewährleisten. Ulla Jelpke (DIE LINKE): von Herrn Prof. Dr. Pfitzmann und Herrn Dr. Breyer würde ich ganz gerne eine verfassungsrechtliche Würdigung des § 5 im Regierungsentwurf haben wollen und Sie bitten, wenn es denn eine ersatzlose Streichung gäbe, aus zuführen, was denn die Alternativen wären. SV Dr. Patrick Breyer: Sie hatten zwei Fragen an mich gerichtet. Die verfassungsrechtliche Würdigung dieses § 5 und Alternativen, wenn wir ihn streichen würden. Was die verfassungsrechtliche Würdigung angeht. Es ist erst einmal wichtig, sich im Klaren zu sein, was der überhaupt bedeutet, was da drinsteht. Und da hatte ich vorhin schon ein paar Worte dazu gesagt. Meines Erachtens würde die Nummer 1, Protokolldaten zu erheben, es ermöglichen, das gesamte Surfverhalten auf Bundesportalen in personenbezogener Form zu speichern, und die Daten müssten dann „unverzüglich“ ausgewertet werden. Es ist von Gerichten schon dahingehend ausgelegt worden, dass „unverzüglich“ sieben Tage heißen soll. D.h., schon diese Nummer 1 würde eine Vorratsdatenspeicherung des Surfverhaltens ermöglichen. Bei Nummer 2 soll eine automatisierte Auswertung mit Hilfe von Software erfolgen, um Datenströme auf Schadsoftware zu überprüfen, und bei Absatz 2 soll eine Vorratsspeicherung der Protokolldaten noch für einen Zeitraum von bis zu drei Monaten erfolgen, und zwar unter Voraussetzungen, die so niedrig sind – Herr Prof. Dr. Pfitzmann hat es schon gesagt –, dass flächendeckend und permanent eine Aufzeichnung des Surfverhaltens möglich wäre. Verfassungsrechtlich kann ich ein paar Entscheidungen des Bundesverfassungsgerichts dazu anführen: Wir haben einmal die Entscheidung zur Videoüberwachung in Bayern, aus der hervor geht, dass das Merkmal „erforderlich“ nicht reicht, um solch eine Eingriffsermächtigung zu begrenzen. Wir haben die Entscheidung zur Rasterfahndung, aus der hervor geht, dass bestimmte Gefahrenstufen vorhanden sein müssen und dass man nicht ins „Blaue“ hinein solche Maßnahmen zulassen darf. Wir haben die Entscheidung zum Kfz-Massenabgleich gerade vom letzten Jahr, in der es ausdrücklich im Leitsatz heißt, dass solche Maßnahmen nicht flächendeckend und auch nicht anlasslos vorgenommen werden dürfen. Damit kollidiert diese Bestimmung massiv. Und wir haben letztlich die einstweiligen Anordnungen zur Vorratsdatenspeicherung, die deutlich machen, dass das Einzige, was diese Regelungen stützt, das zwingende Europarecht ist, welches die Vorratsdatenspeicherung vorgibt. Hier, bei diesem § 5, haben Sie kein Europarecht, das sich anführen lässt. D.h., die Norm würde der umfassenden Kontrolle des Bundesverfassungsgerichts unterliegen und in dieser Fassung mit Sicherheit keinen Bestand haben, weil sie nicht anlassbezogen ist und weil sie keine enge und konkrete Zweckbindung vorsieht und weil sie im Übrigen, ich hatte das vorhin schon näher ausgeführt, aus meiner Sicht auch nicht geeignet ist, um Sicherheitslücken überhaupt durch eine Protokollierung zu schließen. Was wären die Alternativen, wenn man diesen § 5 streichen würde, der übrigens bisher in dieser Form nicht besteht - und bisher kommen die Bundesbehörden auch ohne diese Vorschrift gut zurecht -? – Zwischenrufe, nicht rekonstruierbar – Die Alternative zur Protokollierung des Surfverhaltens ist eben, keine Protokollierung vorzunehmen, und zwar keine personenbezogene. Ich hatte eingangs schon genannt, dass etwa das BMJ, der Bundesdatenschutzbeauftragte oder selbst das Bundeskriminalamt das Surfverhalten auf ihren Seiten nicht protokollieren und das offensichtlich auch nicht erforderlich ist, um Störungen zu beheben. Stattdessen muss eben die Software regelmäßig aktualisiert, Sicherheitslücken geschlossen und ein Grundschutz vorgesehen werden, wie Herr Prof. Dr. Pohl auch schon näher ausgeführt hat. Und die Alternative zur automatisierten Auswertung auf Schadprogramme ist eben, dass dies, wie bisher, bei den Behörden passiert oder in Abstimmung mit den Behörden, die Empfänger der Nachrichten sind, und auch in Abstimmung dann ggf. mit deren Personalräten, und nicht dass das zentral das BSI erledigt. Aus meiner Sicht ist auch eine zentralisierte Infrastruktur anfälliger für Angriffe und ist daher eine dezentrale Lösung vorzuziehen. Hier sind bisher zwei konkrete Beispiele genannt worden in der Anhörung. Herr Dr. Helmbrecht hat eine E-Mail angeführt, an die ein Trojaner angehängt ist. Dafür brauchen Sie diese Norm überhaupt nicht, denn in der E-Mail sind alle Daten sowieso vorhanden, auch die IP-Adresse des Absenders. Da brauchen Sie keine Protokollierung. Das zweite Beispiel war, dass man infizierte Webseiten erkennen will. Wenn wirklich eine Webseite mit einem Sicherheitsrisiko verbunden ist, müssen Sie sofort die Software aktualisieren, damit der Browser sich nicht auf diese Art und Weise ausnutzen lässt. Sie können die Webseite bis dahin auch für Zugriffe sperren. All das ist bisher schon möglich, da braucht es keinen § 5 und insbesondere keine Protokollierung des Surfverhaltens. Wolfgang Wieland (Grüne): Eine Frage an Herrn Dr. Breyer: Sie haben uns ein schönes Schema zur Verfügung gestellt, was der Bundesrat will, was der Innenausschuss des Bundesrates zum Telemediengesetz will. Was kann man denn da auf das BSI-Gesetz übertragen? Mir ist z.B. die fehlende Bußgeldmöglichkeit aufgefallen. Wir reden hier immer, die öffentlich Bediensteten werden sich demnächst wie die Bahn- und wie die Telekom-Beschäftigten behandeln lassen müssen, dann ist auch die Frage spannend, was kann man denn gegen die tun, die möglicherweise verstoßen gegen die Möglichkeiten, die dieses Gesetz hier schafft? SV Dr. Patrick Breyer: An mich hatten Sie die Frage gerichtet, inwiefern das Schema, was ich auf Seite 2 meiner Stellungnahme entwickelt hatte, auch auf das BSI-Gesetz übertragbar ist. Ich will gerne versuchen, da auch § 5 BSI-Gesetz eine Surfprotokollierung einschließt, diese Kriterien einmal darauf anzuwenden. Also, der § 5 legt erstens nicht fest, aus welchem Anlass die Nutzungsprotokolle erstellt werden dürfen. Und legalisiert deswegen, meiner Befürchtung nach, eine permanente flächendeckende Surfprotokollierung. Und wenn Sie die Stellungnahmen anderer Verbände oder des Anwaltsvereins sehen, ist nicht nur meine Auslegung so, sondern auch andere lesen das so, dass tatsächlich eine permanente und flächendeckende Protokollierung damit erfolgen würde. Zweitens ist die Protokollierung auch nicht auf den Einzelfall beschränkt. Drittens ist die maximale Aufbewahrungsdauer zwar festgelegt, aber nur im Absatz 2 und auf drei Monate, was natürlich völlig inakzeptabel ist. Wenn man im Einzelfall tatsächlich konkret protokollieren will, weil ein aktueller Angriff oder eine aktuelle Sicherheitslücke vorhanden ist, reicht es natürlich, das am folgenden Tag jeweils zu bearbeiten. Es wäre auch viel zu spät, darauf erst nach Tagen oder Wochen zu reagieren. Viertens ist eine Zweckbindung nicht vorgesehen, sondern, wie Sie schon gesagt hatten, eine Öffnung für ganz andere Zwecke. Fünftens ist auch die Weitergabe von Nutzungsprotokollen nicht ausgeschlossen und die Vertraulichkeit der Internetnutzung nicht garantiert. D.h., wenn ich auf der Seite des Bundesamt für gesundheitliche Aufklärung mich über Drogen oder ähnliches informiere, ist nicht gewährleistet, dass das anonym bleibt und dass das auch wenigstens bei der Zentrale bleibt. Sechstens, die Bußgeldpflicht wäre natürlich wenig sinnvoll für das BSI, wenn also der Bund an sich selbst ein Bußgeld zahlen muss. Hier müsste man etwa mit einem Schadenersatzanspruch der Betroffenen arbeiten. Wir fordern schon lange, dass diejenigen, die von Datenmissbrauch betroffen sind, eine Pauschalsumme auch für ihre immateriellen Schäden bekommen. Vielleicht 100 oder 200 Euro. Das könnte durchaus eine Abschreckungswirkung auch beim Bund entfalten. Und der siebte Punkt, dass Internetprotokolladressen dem Datenschutz und diesen Regelungen unterliegen, ist nicht ausdrücklich vorgesehen. Man sollte das im Telemediengesetz klarstellen, weil im Moment es leider noch Anbieter gibt, die sagen, unsere Surfprotokolle unterfallen gar nicht dem Datenschutz, weil die nicht personenbezogen seien. Darüber herrscht Streit, und es wäre wichtig, wenn man das gesetzlich klarstellen würde. Eine letzte Anmerkung: Vor wenigen Wochen ging durch die Medien, dass das Bundeskriminalamt seine Praxis eingestellt hat, die Besucher von Fahndungsseiten nachzuverfolgen, und dabei wohl Dutzende und Hunderte von Pressevertretern und sonstige unschuldige Menschen, die sich einfach dafür interessiert haben, ermittelt hat. Mit diesem § 5 würde genau das wieder eingeführt: Es wird alles protokolliert, worauf man surft, auch auf die Fahndungsseiten des Bundeskriminalamts. Und wie Sie gesagt haben, könnte das Bundeskriminalamt die Daten auch anfordern. Und sie könnten dann übermittelt werden nach diesem Absatz 4. Und deswegen wäre es aus meiner Sicht ein Rückschritt. Weitere Informationen |
< Prev | Next > |
---|