Aus Linux-Magazin 01/2005

E-Mail-Provider und die Kosten von Überwachungsmaßnahmen

Schöne neue Zeit. Per Gesetz werden Telekommunikationsdienstleister zum Helfershelfer staatlicher Spitzel gemacht. Wer nicht mitspielt, wird bestraft. Aber wer muss mitspielen?

Dass und wie Provider die Telekommunikation ihrer Kunden überwachen müssen, regelt die Telekommunikations-Überwachungsverordnung (TKÜV,[1]). Die TKÜV ist zwar schon seit Ende Januar 2002 in Kraft, doch aufgrund einer Übergangsphase müssen die Provider erst spätestens ab Anfang 2005 entsprechend gerüstet sein. Wer das versäumt, dem drohen hohe Geldbußen – bis zu 500000 Euro.

Nach dem Gesetz muss der Verpflichtete auf Antrag der berechtigten Stelle eine vollständige Kopie der Telekommunikation liefern, die über seine Anlage abgewickelt wurde. Nach Paragraf 3 des Telekommunikationsgesetzes (TKG,[2]) ist Telekommunikation jeder “technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen”. Da solche Anlagen alle “technischen Einrichtungen oder Systeme” sind, “die als Nachrichten identifizierbare elektromagnetische oder optische Signale” handhaben können, betrifft das auch E-Mail-Dienste.

Stein den Anstoßes ist jedoch nicht, dass die Dienstleister auf einzelne Anordnung den E-Mail-Verkehr ihrer Nutzer speichern und abliefern müssen – das ist nichts Neues (siehe Kasten “Warum wird eigentlich …”). Was sauer aufstößt, ist die Pflicht, die nötige Technik und eventuell erforderliches Personal auf eigene Kosten bereitzustellen, ob später tatsächlich Überwachungsmaßnahmen angeordnet werden oder nicht. Die Kosten für eine entsprechende Mindestausstattung gehen leicht in die Zigtausende. Für kleinere Provider ist das existenzbedrohend.

Öffentlich oder nicht

Paragraf 3 der TKÜV verpflichtet zunächst jeden, der Telekommunikationsanlagen betreibt und sein Angebot an die Öffentlichkeit richtet. Weil jeder Computer, auf dem irgendeine Art Mail-Server oder -Zustellungsdienst läuft, als Telekommunikationsanlage gilt, kommt es darauf an, was hier unter Öffentlichkeit zu verstehen ist. Zur Definition verweist die Vorschrift auf das TKG, wo der Begriff der Öffentlichkeit aber nicht ausreichend definiert ist.

Um ihn im gesetzlichen Sinne zu bestimmen, bleibt nur die Abgrenzung zum Gegenteil, also zu geschlossenen Benutzergruppen. Während es sich in der Regel um eine geschlossene Benutzergruppe handeln dürfte, wenn auf einem Multi-User-fähigen Linux-PC zu Hause jedes Familienmitglied ein eigenes Benutzerkonto besitzt, ist ein E-Mail-Terminal in der Postfiliale jedermann zugänglich und damit öffentlich. Ob es sich um ein Angebot an die Öffentlichkeit handelt, wird daher daran festzumachen sein, unter welchen Voraussetzungen eine Person oder eine Firma in den Kreis der Benutzer aufgenommen wird.

Angebot an alle

Während auf dem Familien-PC allenfalls noch der Onkel oder der Freund der Tochter ein Benutzerkonto erhält und damit am Mailsystem teilnehmen darf, ist ein Vertrag mit einem größeren Provider oder Hoster für jeden ohne große Umstände möglich. Demnach gilt für den Personenkreis die Regel: Wessen (Vertrags-)Angebot sich an jedermann richtet, dessen Telekommunikationsangebot ist öffentlich, er fällt zunächst unter die TKÜV.

Die Kommunikation per E-Mail hat eine Sender- und eine Empfängerseite: Selbst wenn auf der einen Seite nur Teilnehmer aus einer geschlossenen Benutzergruppe stehen, können auf der anderen Seite beliebige Versender oder Empfänger beteiligt sein. Interpretiert man diese technische Möglichkeit als öffentliches Angebot, würde das den Kreis der Betroffenen zu stark erweitern. Sachgerecht ist es, darauf abzustellen, ob sich das vollständige Telekommunikationsangebot – also Senden und Empfangen – an die Öffentlichkeit richtet oder nur an einen begrenzten Personenkreis.

Für die E-Mail-Provider, die jetzt immer noch unter die TKÜV fallen, hält das Gesetz Ausnahmevorschriften parat. Wer beispielsweise weniger als 1000 Teilnehmer hat, muss nach Paragraf 3 Absatz 2 Satz 2 Ziffer 5 TKÜV die technische Ausstattung nicht vorhalten, sondern nur bei einzelnen Anordnungen die Überwachung umsetzen.

Teilnehmer und Endnutzer

Was Teilnehmer sind, definiert wieder Paragraf 3 TKG: Jede natürliche oder juristische Person, die mit einem Anbieter von Telekommunikationsdienstleistungen einen Vertrag über die Erbringung derartiger Dienste geschlossen hat. Das wirft zumindest im Reseller-Bereich die Frage auf, ob für die Bestimmung der 1000-Teilnehmer-Grenze nur die eigenen Kunden oder auch deren Kunden zu berücksichtigen sind.

Zwar kennt Paragraf 3 des TKG neben den Teilnehmern auch Endnutzer, nämlich jede “juristische oder natürliche Person, die weder öffentliche Telekommunikationsnetze betreibt noch Telekommunikationsdienste für die Öffentlichkeit erbringt”, doch führt diese Definition hier nicht weiter. Hätte der Gesetzgeber nicht von 1000 Teilnehmern, sondern von 1000 Endnutzern gesprochen, wäre die Frage nach den Ketten-Kunden auch noch offen.

Physische Verbindung

Die Lösung muss daher beim Anschluss liegen. Den Teilnehmeranschluss definiert Paragraf 3 TKG als “physische Verbindung, mit der der Netzabschlusspunkt in den Räumlichkeiten des Teilnehmers mit den Hauptverteilerknoten oder mit einer gleichwertigen Einrichtung in festen öffentlichen Telefonnetzen verbunden wird”. Das bedeutet, nur die Teilnehmer zählen, deren Anschluss in ihren eigenen Räumen liegt.

Damit fielen zwar die E-Mail-Provider aus der 1000er Grenze heraus, nicht aber jene Hoster, deren Kunden und Folgekunden lediglich einen dedizierten oder virtuellen E-Mail-Server angemietet haben. Denn dann besteht keine physische Verbindung mit einem Endpunkt beim Kunden.

Ob diese Konsequenz im Sinne des Gesetzgebers liegt, wird sich zeigen: Gerade das Telekommunikationsrecht ist mit seinen ständigen Überarbeitungen ein Beispiel für Flickschusterei. Nach dem derzeitigen Wortlaut haben aber gerade die kleineren Anbieter gute Argumente gegen die Investitionspflichten. Auch wer mehr als 1000 Teilnehmer hat, aber nicht mehr als 10000, darf hoffen. Paragraf 21 TKÜV sieht Ausnahmegenehmigungen vor. Unter anderem ist es möglich, dass die mitgeschnittenen Daten vor Ort, also in der Serverfarm, von der Behörde abgeholt werden. Das bedeutet, der Provider spart sich die teure Fernzugriffs-Box. (mhu)

Warum wird eigentlich
überwacht?

Die Überwachung ist nichts Neues. Staatliche Eingriffe in die private Lebenssphäre und das Brief- oder Fernmeldegeheimnis erfolgen schon seit jeher. In jedem Rechtsstaat, etwa den der Europäischen Union zugehörigen, setzt ein Eingriff in die durch die jeweils geltenden Verfassungen geschützte Privatsphäre aber eine besondere gesetzliche Ermächtigungsgrundlage voraus.

Konkrete Anhaltspunkte

In der Bundesrepublik durften die Strafverfolgungsbehörden auch früher schon Wohnungen durchsuchen, Briefe öffnen und das Telefon abhören. Solche Maßnahmen setzten allerdings konkrete Anhaltspunkte dafür voraus, dass der Betroffene besonders schwere Straftaten verübt oder plant.

Darüber hinaus standen solche Überwachungsmaßnahmen unter dem Richtervorbehalt, das heißt die Behörden als Organe der Verwaltung durften nicht selbst entscheiden, ob oder wen sie abhörten, sondern mussten dies vorab bei einem Gericht (als Organ der rechtsprechenden Gewalt) beantragen. Erst wenn das Gericht den Antrag geprüft und genehmigt hatte, durften die entsprechenden Maßnahmen durchgeführt werden. Weil bis vor einigen Jahren der Staat selbst das Post- und Fernmeldemonopol inne hatte, kümmerten die so angeordneten Überwachungsmaßnahmen eigentlich kaum jemanden. Die Post als staatliche Behörde setzte im Auftrag der Staatsanwaltschaften die Überwachung technisch um und trug die Kosten und den Aufwand. Die Kosten wurden in die Post- oder Telefongebühren einkalkuliert.

Inzwischen ist das Fernmeldemonopol gefallen und private Telekommunikationsdienstleister und Provider teilen den Markt unter sich auf. Weil gleichzeitig der Umfang der vielen Arten von Telekommunikation wuchs, will der Staat sicherstellen, auch weiterhin nötige Überwachungsmaßnahmen durchführen zu können. Daher verpflichtet er nicht nur die Diensteanbieter, die erforderliche Technik bereitzustellen, er legt auch fest, dass die für die Technik anfallenden Kosten die Provider tragen. Diese legen sie als Betriebskosten wieder auf Ihre Kunden um.

Kleine Anbieter in Bedrängnis

Was für den Monopolisten früher genauso wenig ein Problem war wie für große Anbieter heute, bringt den kleinen Provider oder Telekommunikationsdienstleister in Bedrängnis. Wer nur wenige Kunden hat, für den geraten die Kosten für die Einrichtung der durch die TKÜV geforderten Anlagen leicht außer Verhältnis zum Umsatz. Dem versucht die TKÜV dadurch gerecht zu werden, dass sie kleinere Anbieter von der Verpflichtung befreit, die entsprechenden Einrichtungen “ins Blaue hinein” vorzuhalten – ob tatsächlich einmal Überwachungsmaßnahmen angeordnet werden oder nicht. Für den konkret anfallenden Aufwand, eine Überwachung durchzuführen, werden die Kleinen jedoch genau so entschädigt wie die Großen.

Ohne richterliche Kontrolle

In den letzten Jahren versucht der Staat zunehmend, Instrumente zur präventiven Bekämpfung von Kriminalität, Terror und Gefahren für die Sicherheit zu etablieren. Seit Juni 2001 ermächtigt das Artikel-10-Gesetz (G10) in Deutschland die Verfassungsschutzbehörden des Bundes und der Länder, den Bundesnachrichtendienst und den Militärischen Abschirmdienst im Rahmen ihrer Aufgaben das Brief-, Post- und Fernmeldegeheimis zu brechen. Eine richterliche Kontrolle findet nicht statt.

Dies und die geplante Ausweitung der Vorratsdatenspeicherung, bei denen Telcos und Provider die Verbindungsdaten ihrer Kunden über einen längeren Zeitraum hinweg für eventuellen Bedarf staatlicher Behörden vorhalten müssen, sorgt für Proteste nicht nur der Datenschutzbehörden, sondern auch von Seiten des Bundesverfassungsgerichts[3].

Infos

[1] Telekommunikations-Überwachungsverordnung: [http://www.bmwa.bund.de/Redaktion/Inhalte/Pdf/TKUEV1,property=pdf.pdf]

[2] Telekommunikationsgesetz: [http://bundesrecht.juris.de/bundesrecht/tkg/]

[3] BVerfG, 1 BvR 2378/98: [www.bundesverfassungsgericht.de/entscheidungen/rs20040303_1bvr237898]

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben