EU-Richtlinie von Technik überholt
In Frankreich wurde die umstrittene EU-Richtlinie zur Speicherpflicht von Telefonie- und Internet-Verbindungsdaten sofort per Dekret umgesetzt, in Österreich hat man bis 2008 Zeit. Die rasant wachsende Internet-Telefonie führt die Überwachungsrichtlinie schon jetzt an ihre Grenzen.
Frankreich überholt die EU
Die bis zuletzt umstrittenene EU-Richtlinie zur verpflichtenden Speicherung von Verkehrsdaten aus Telefonnetzen und dem Internet [Data Retention] wird EU-weit in völlig unterschiedlichen Zeitplänen umgesetzt.
In Frankreich wurde die Richtlinie am 26. März per einfache Verordnung umgesetzt, denn das zugehörige nationale Gesetz war bereits im November 2001 verabschiedet, aber nicht in Kraft gesetzt worden. Die EU-Richtlinie ist hingegen noch nicht offiziell gültig, weil sie im EU-Journal [= Brüsseler Amtskalender] noch nicht publiziert ist [siehe unten].
Gleichheit für alle
Ab nun sind nicht nur französische Telekoms und "echte" Internet-Provider verpflichtet, die Verkehrsdaten [wer mit wem wann wo telefoniert] bzw. die Internet-Logfiles ein Jahr lang zu speichern.
Von der Fast-Food-Kette, die nebenbei auch Wireless LAN anbietet, bis zu Hotels, gemeinnützigen Organisationen und Privatpersonen fallen auch alle "Nebenbei-Anbieter" unter die Speicherpflicht.
Österreich: Ab Sommer 2007
In Österreich hat man es mit der Umsetzung weniger eilig. Die Richtlinie sei momentan im Übersetzungsstadium, also noch nicht einmal offiziell veröffentlicht, hieß es auf Anfrage aus dem Büro von Justizministerin Karin Gastinger [BZÖ].
Die einjährige Speicherdauer für Telefonie-Verkehrsdaten könne frühestens im Sommer 2007 gesetzlich verankert werden. Für die Internet-Daten habe Österreich zusammen mit anderen EU-Staaten eine weitere Übergangsfrist von zusätzlichen 18 Monaten ausgehandelt.
"In keinem Verhältnis zu den Kosten"
Letzteres findet der Generalsekretär der österreichischen Internet-Provider, Kurt Einzinger, zwar verdienstvoll, bleibt aber bei der Ablehnung der Richtlinie.
Zum einen werde es zu technischen Problemen kommen, zum anderen sei die Verhältnismäßigkeit nicht gewahrt. "Die erreichbaren Effekte stehen in keinem Verhältnis zu den hohen Kosten und der Schwere des Eingriffs in die Grundrechte", sagt Einzinger.
Anforderungen aus der Modem-Zeit
Es sind vor allem die in der Richtlinie festgeschriebenen technischen Anforderungen, die im Zeitalter von Breitband und Internet-Telefonie absurd anmuten. Die Anforderungen stammen nämlich aus einer Zeit, als analoge Modems noch die Regel waren und der jeweilige Internet-Provider auch Alleinversorger des Kunden mit E-Mail-Service war.
Irgendwann ab 2008/9 müssen dann Österreichs Breitband-Provider Log-Dateien führen, in denen registriert wird, wann der Kunde sich "mit dem Internet verbindet" und welche Mac-Adresse [Seriennummer] das Kabel- oder DSL-Modem bzw. der DSL-Router auf der Kundenseite hat.
In der Regel sind Breitband-Kunden entweder dauernd online oder in Achtstundenrhythmen automatisch eingewählt, das verwendete Equipment stellt zumeist der Provider.
Datenerfassung bei E-Mail
Falls der Kunde die E-Mail-Services des Providers in Anspruch nimmt, ist jeder Zugriff auf die Mailbox sowie der Absendezeitpunkt jeder E-Mail zu registrieren - nach dem Telefoniemodell: Die Telekoms müssen erheben, wer wann mit wem telefoniert.
Wer von MSN bis Yahoo einen der zahllosen freien Webmail-Provider nutzt, dessen E-Mail-Kommunikationsdaten werden ebenso wenig registriert wie die eines Benutzers, der irgendwo im Netz einen eigenen Mailserver unterhält.
Internet-Telefonie
Die derzeit rasant wachsende Internet-Telefonie - Skype, vor allem aber der SIP-Standard für Voice over Internet Protocol [VoIP] - ist von der Überwachung gleichfalls ausgenommen - wegen Aussichtslosigkeit.
Einzig Voice-over-IP-Anrufe, die in einem Telefonnetz enden, müssen am Switch [Verbindungsknoten zum Festnetz] erfasst und registriert werden.
Anders als bei Verkehrsdaten aus Telefonnetzen, die etwa eindeutig geografisch zuordenbar sind, ist hier längst nicht alles eindeutig.
Die bei Anrufen via Internet erhaltenen Verbindungsdaten sind nämlich völlig anders geartet als solche, die in der geradlinigen Welt der Telefonie anfallen.
Wer weiß was bei VoIP?
Ein Anruf endet im österreichischen Festnetz bei einer bestimmten Nummer, die überwacht wird. Der Anruf kommt von einem Gateway [Verbindungsknoten] in London, bloß woher sonst?Die verwendete VoIP-Telefonnummer wurde von einem Web-Anbieter in den USA vergeben, an wen, weiß nur dieser US-Provider.
Ob dieser Anruf ins österreichische Festnetz über das WLAN einer Wiener McDonald's-Filiale oder aus einem Internet-Cafe in Bangalore erfolgt ist, kann so nicht einfach eruiert werden.
Wer der Anrufende ist, weiß nur der US-Anbieter, und auch das nur ungefähr. Der Kundenverkehr samt Rechnungslegung spielt sich ausschließlich über ein Web-Formular bzw. E-Mail ab, bezahlt wird in der Regel im Voraus, per Banküberweisung, PayPal und ähnliche Bezahlservices oder Kreditkarte.
Ein Kunde, mehrere Provider
Dazu kommt noch, dass bei den zahlreichen frei erhältlichen Telefonie-Softwares schon jetzt die Möglichkeit besteht, Konten bei verschiedenen VoIP-Providern zu verwalten.
Bei jedem Anbieter bekommt man eine eigene VoIP-Nummer zugeteilt, der Nutzer selbst entscheidet, ob er diese Nummern über die ENUM-Datenbank miteinander verknüpfen und somit nachverfolgbar machen will oder nicht.
Im Jahr 2008/2009 müssen Österreichs Internet-Provider damit beginnen, "Einwahlen ins Internet" sowie die [dem Provider ohnehin bekannten] Hardware-Adressen des eigenen Equipments [Router, DSL-Modems] zu registrieren.
Die Gesetzeslage - andersherum
Warum man es mit der Umsetzung der Richtlinie hier zu Lande nicht so eilig hat, erklärt ein Blick auf die derzeit gültige österreichische Gesetzeslage. Paragraf 93 im Telekom-Gesetz lautet: "(1) Dem Kommunikationsgeheimnis unterliegen die Inhaltsdaten, die Verkehrsdaten und die Standortdaten. Das Kommunikationsgeheimnis erstreckt sich auch auf die Daten erfolgloser Verbindungsversuche."
Paragraf 99: "(1) Verkehrsdaten dürfen außer in den gesetzlich geregelten Fällen nicht gespeichert werden und sind vom Betreiber nach Beendigung der Verbindung unverzüglich zu löschen oder zu anonymisieren."
(Erich Moechel)