In dem am 9. In the 9 November 2007 von der Mehrheit der Abgeordneten des Deutschen Bundestages beschlossenen Entwurfs des Gesetzes zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG ("Vorratsdatenspeicherung") der Bundesregierung ergeben sich bei Inkrafttreten des Gesetzes und Bestand der betreffenden Artikel vor dem Bundesverfassungsgericht für die Betreiber aller Tor Router Betreiber folgende Konsequenzen. November 2007 of the majority of Members of the German Bundestag adopted draft law on the reorganization of the telecommunications surveillance and other covert investigative measures, and to implement the Directive 2006/24/EG ( "data retention") of the federal government are at the entry into force of the law and the existence of the article prior to the Federal Constitutional Court for the operators of all gateway router operator following consequences..............................
In dem am 9. November 2007 von der Mehrheit der Abgeordneten des Deutschen Bundestages beschlossenen Entwurfs des Gesetzes zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG ("Vorratsdatenspeicherung") der Bundesregierung ergeben sich bei Inkrafttreten des Gesetzes und Bestand der betreffenden Artikel vor dem Bundesverfassungsgericht für die Betreiber aller Tor Router Betreiber folgende Konsequenzen.
Was für Tor gilt, gilt für alle öffentlich betriebenen Anonymisierungsdienste und deren Teilnehmer, die für den Anonymisierungsdienst Server stellen, also z. B. auch für E-Mail Remailer. What Tor, applies to all publicly operated anonymizing services and its participants, for the anonymity service Server, eg for e-mail Remailer.
Die
Umsetzung der EU-Richtlinie 2006/24/EG verankert im Gesetz die
Verpflichtung zur Vorratsdatenspeicherung für jeden, der einen
öffentlich erreichbaren Anonymisierungsdient anbietet, dessen
Funktionen darauf ausgelegt sind, "maßgebliche" Original-Verkehrsdaten
zu verändern, worunter bei Anonymisierungsdiensten primär die
IP-Adresse fällt. The implementation of the EU Directive
2006/24/EG enshrines in law the obligation of data retention for each
of a publicly accessible anonymity Serves offers to its functions are
designed "significant" original-traffic data to change, including for
anonymity services primarily IP Address drops. Das
bedeutet für Tor Router Betreiber, das sowohl Tor Eingangs-, Middleman-
als auch Ausgangs-Router Betreiber zur sechsmonatigen
Vorratsspeicherung der in Verbindung mit dem Betrieb des Routers
anfallenden Verkehrsdaten gezwungen sind. That means for Router
gateway operators, and the gate entrance, Middleman- and starting
router operator to six months retention in connection with the
operation of the router incurred forced traffic data.
In
der Begründung wird jeder Anonymisierungsdienst als Anbieter von
Telemedien- und Telekommunikationsdiensten für die Öffentlichkeit
definiert, was ihn z. B. mit einem Telefonieanbieter gleichstellt und
ihn somit den gleichen Vorratsdatenspeicherverpflichtungen unterwirft.
In the explanatory memorandum, each anonymizing services as a provider
of Telemedien- and telecommunication services to the public defines
what it eg with a telephony provider him equal footing and thus the
same inventory data storage obligations subordinates. Dabei
ist es nicht von Bedeutung, ob eine direkte Endbenutzerbeziehung
besteht (wie z. B. bei der Beziehung zwischen Internetnutzer -
Anon-HTTP-Proxy) oder nicht (wie z. B. bei einem Tor Middleman Router,
der sich in der Mitte einer Tor Router "Kette" befindet). It is
not important whether a direct end-user relationship (such as the
relationship between the Internet user Anon-HTTP-Proxy) or not (such as
during a goal Middleman router, which is in the middle of a gateway
Router "chain" is located). Da
er Telekommunikationsdiensteanbieter ist, über den "Straftaten mittels
Telekommunikation begangen" werden können, gelten für ihn auch die
erweiterten Vorratsdatenspeicherverpflichtungen des
Cybercrime-Übereinkommens (s. II.) Since he telecommunications
service provider, about the "crimes committed by means of
telecommunications" that can be applied to him and the extended memory
data storage obligations of the Cyber Crime Convention (see II)
Hier als Beispiel das geschätzte Speichervolumen nach eigenen Messungen (November 2007) des Betreibers des Tor Ausgangsrouters
gpfTOR1 :
Here, as an example, the estimated storage volume, according to its own
measurements (November 2007) of the operator of the starting gate
router
gpfTOR1:
Server Traffic: 2.000 KB/s im Durchschnitt Traffic Server: 2,000 KB / s average
Logdaten für eine Woche: 200 GByte Log data for a week: 200 GByte
Logdaten nach Entfernung nicht benötigter Inhalte: 120 GByte Log data after removing unneeded content: 120 GByte
Logdaten komprimiert und verschlüsselt: 20 GByte Log data is compressed and encrypted: 20 GB
Logdaten für 26 Wochen: 500 GByte im Durchschnitt Log data for 26 weeks: 500 GByte on average
§ 113a Speicherungspflichten für Daten § 113a storage requirements for data
(6) Wer Telekommunikationsdienste erbringt und hierbei die nach Maßgabe dieser Vorschrift
zu speichernden Angaben verändert, ist zur Speicherung
der ursprünglichen und der neuen Angabe sowie des Zeitpunktes der
Umschreibung dieser Angaben nach Datum und Uhrzeit unter Angabe der
zugrunde liegenden Zeitzone verpflichtet . (6) Who telecommunications services are provided and in accordance with the requirements of this provision
to save details changed, is to store the
original and the new specification, as well as to the timing of the
transfer of this information by date and time, indicating the
underlying time zone.
In dem am 9. November 2007 von der Mehrheit der Abgeordneten des Deutschen Bundestages beschlossenen Entwurfs des Gesetzes zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG ("Vorratsdatenspeicherung") der Bundesregierung ergeben sich bei Inkrafttreten des Gesetzes und Bestand der betreffenden Artikel vor dem Bundesverfassungsgericht für die Betreiber aller Tor Router Betreiber folgende Konsequenzen.
Was für Tor gilt, gilt für alle öffentlich betriebenen Anonymisierungsdienste und deren Teilnehmer, die für den Anonymisierungsdienst Server stellen, also z. B. auch für E-Mail Remailer.
Die Umsetzung der EU-Richtlinie 2006/24/EG verankert im Gesetz die
Verpflichtung zur Vorratsdatenspeicherung für jeden, der einen
öffentlich erreichbaren Anonymisierungsdient anbietet, dessen
Funktionen darauf ausgelegt sind, "maßgebliche" Original-Verkehrsdaten
zu verändern, worunter bei Anonymisierungsdiensten primär die
IP-Adresse fällt. Das bedeutet für Tor Router Betreiber, das sowohl Tor
Eingangs-, Middleman- als auch Ausgangs-Router Betreiber zur
sechsmonatigen Vorratsspeicherung der in Verbindung mit dem Betrieb des
Routers anfallenden Verkehrsdaten gezwungen sind.
In
der Begründung wird jeder Anonymisierungsdienst als Anbieter von
Telemedien- und Telekommunikationsdiensten für die Öffentlichkeit
definiert, was ihn z. B. mit einem Telefonieanbieter gleichstellt und
ihn somit den gleichen Vorratsdatenspeicherverpflichtungen unterwirft.
Dabei ist es nicht von Bedeutung, ob eine direkte Endbenutzerbeziehung
besteht (wie z. B. bei der Beziehung zwischen Internetnutzer -
Anon-HTTP-Proxy) oder nicht (wie z. B. bei einem Tor Middleman Router,
der sich in der Mitte einer Tor Router "Kette" befindet). Da er
Telekommunikationsdiensteanbieter ist, über den "Straftaten mittels
Telekommunikation begangen" werden können, gelten für ihn auch die
erweiterten Vorratsdatenspeicherverpflichtungen des
Cybercrime-Übereinkommens (s. II.)
Hier als Beispiel das geschätzte Speichervolumen nach eigenen Messungen (November 2007) des Betreibers des Tor Ausgangsrouters
gpfTOR1:
Server Traffic: 2.000 KB/s im Durchschnitt
Logdaten für eine Woche: 200 GByte
Logdaten nach Entfernung nicht benötigter Inhalte: 120 GByte
Logdaten komprimiert und verschlüsselt: 20 GByte
Logdaten für 26 Wochen: 500 GByte im Durchschnitt
§ 113a Speicherungspflichten für Daten
(6) Wer Telekommunikationsdienste erbringt und hierbei die nach Maßgabe dieser Vorschrift zu speichernden Angaben verändert, ist zur Speicherung
der ursprünglichen und der neuen Angabe sowie des Zeitpunktes der
Umschreibung dieser Angaben nach Datum und Uhrzeit unter Angabe der
zugrunde liegenden Zeitzone verpflichtet.
"...Die Vorgabe des Absatzes 6 ist erforderlich, um einerseits die grundsätzliche Speicherungsverpflichtung nach Absatz 1 auf die Diensteanbieter mit Endnutzerbeziehung beschränken zu können und andererseits gleichwohl eine Rückverfolgbarkeit der Telekommunikation auch im Falle einer Änderung der relevanten Daten durch einen zwischengeschalteten Diensteanbieter ohne Endnutzerbeziehung sicherzustellen..."
Hierbei kommt es auch nicht darauf an, ob die Zwischenschaltung des Diensteanbieters etwa aus technischen oder wirtschaftlichen Gründen durch die an der Erbringung der Telekommunikationsdienste beteiligten Diensteanbieter geschieht oder ob die Zwischenschaltung auf Veranlassung des Endnutzers gezielt zur Veränderung der nach Maßgabe der Absätze 2 bis 4 zu speichernden Daten erfolgt, wie dies etwa bei der Nutzung von Anonymisierungsdiensten der Fall ist. In beiden Fällen besteht die Speicherungsverpflichtung nach Absatz 6, wenn die maßgeblichen Daten bei der Erbringung des Telekommunikationsdienstes verändert werden.
Soweit eine Speicherungsverpflichtung danach auch für die Anbieter von Anonymisierungsdiensten begründet wird, ist zu berücksichtigen, dass auch diese Anbieter öffentlich zugängliche Telekommunikationsdienste erbringen. Öffentlich zugängliche Telekommunikationsdienste sind alle Telekommunikationsdienste im Sinne von § 3 Nr. 24 TKG, die jedermann zugänglich sind. Nach § 3 Nr. 24 TKG fallen darunter die "reinen" Telekommunikationsdienste (also Dienste, die ausschließlich in der Übertragung von Signalen über Telekommunikationsnetze bestehen) sowie Dienste mit Doppelnatur, die zwar auch unter den Rechtsrahmen für Telemedien fallen, aber zugleich Telekommunikationsdienste nach § 3 Nr. 24 TKG sind, weil sie überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Dies sind in erster Linie diejenigen Dienste, die sowohl der Bereitstellung eines Internetzugangs als auch der Übertragung elektronischer Post dienen. Auch Anonymisierungsdienste weisen allerdings eine solche Doppelnatur auf, da ihre Tätigkeit sowohl in der Durchleitung der Nachricht als auch in der Ersetzung der Ausgangskennung des Telekommunikationsnutzers besteht. Diese Dienste sind daher sowohl Telemedien als auch – im Hinblick auf ihre Transportfunktion – Telekommunikationsdienste für die Öffentlichkeit (vgl. hierzu jetzt auch § 11 Abs. 3 des Telemediengesetzes [TMG], ferner Schmitz, in: Spindler/Schmitz/Geis, TDG-Kommen- tar, 2004, § 1 TDDSG, Rn. 16).
Die Umsetzung des Cybercrime-Übereinkommens des Europarates im
Gesetz durch Änderung des § 100g der Strafprozessordnung erlaubt den
dazu berechtigten Stellen, nach gerichtlicher Anordnung (oder für drei
Tage nach staatsanwaltschaftlicher Anordnung bei Gefahr im Verzug) die
Verkehrsdaten von Tor Router Betreibern zu erheben und zwar auch in
Echzeit und nicht nur als Rückgriff auf bevorratete Speicherungen. Das
bedeutet auch, der Betreiber eines Tor Routers muss ggf. in der Lage
sein, die bei ihm anfallenden Verkehrsdaten unmittelbar an die
berechtigten Stellen weiterzuleiten.
Wenn zum Beispiel jemand einen Tor Ausgangsrouter betreibt, den ein
anderer Tor Nutzer benutzt bzw. missbraucht, um eine "Straftat mittels
Telekommunikation" zu begehen und dazu seine Identität bzw. seine
IP-Adresse über die Tor Nutzung verschleiert, wird für
Strafverfolgungsbehörden stattdessen die IP-Adresse des Tor
Ausgangsrouters am Ort der Begehung der Straftat (z. B. in der
Logdatei) sichtbar. Wenn die Strafverfolgungsbehörden keine Kenntnis
über Tor besitzen oder keinen Abgleich mit dem Verzeichnis aller Tor
Router durchführen, werden sie von dem Verdacht ausgehen, der Betreiber
des Tor Ausgangsrouters sei der "Täter oder Teilnehmer", der "eine
Straftat mittels Telekommunikation begangen hat" und deshalb ggf.
dessen Verkehrsdaten erheben, die z. B. beim Internet-Zugangsprovider
anfallen, wenn der Betreiber den Tor Ausgangsrouter daheim auf seinem
privaten PC betreibt.
§ 100a (Überwachung und Aufzeichnung von Telekommunikation)
(3) Die Anordnung darf sich nur gegen den Beschuldigten oder gegen
Personen richten, von denen auf Grund bestimmter Tatsachen anzunehmen
ist, dass sie für den Beschuldigten bestimmte oder von ihm herrührende
Mitteilungen entgegennehmen oder weitergeben oder dass der Beschuldigte
ihren Anschluss benutzt.
§ 100b (Anordnungen, Richtervorbehalt, Berichtspflicht)
(1) Maßnahmen nach § 100a dürfen nur auf Antrag der Staatsanwaltschaft
durch das Gericht angeordnet werden. Bei Gefahr im Verzug kann die
Anordnung auch durch die Staatsanwaltschaft getroffen werden.
§ 100g
(1) Begründen bestimmte Tatsachen den Verdacht, dass jemand als Täter oder Teilnehmer
Absatz 1 wird in Anlehnung an § 100a Abs. 1 StPO-E als allgemeine
Befugnis zur Erhebung von Verkehrsdaten ausgestaltet und schafft damit
die von Artikel 20 des Übereinkommens über Computerkriminalität
geforderte Möglichkeit einer Echtzeiterhebung von Verkehrsdaten.
(...)
§ 100g StPO wird daher nicht mehr allein als Regelung eines
Auskunftsanspruchs gegenüber Telekommunikationsdiensteanbietern sondern
als umfassende Erhebungsbefugnis für Verkehrsdaten ausgestaltet. Damit wird zugleich Artikel 20 Abs. 1 Buchstabe a1 des Übereinkommens über Computerkriminalität Rechnung getragen, der die
Ermöglichung einer Erhebung von Verkehrsdaten in Echtzeit verlangt.
Mit der Ausgestaltung des § 100g Abs. 1 Satz 1 StPO-E als umfassende Befugnis zur Erhebung von Verkehrsdaten entfällt nicht die bislang ausdrücklich in § 100g Abs. 1 StPO enthaltene Auskunftsverpflichtung der Diensteanbieter. Deren Pflicht zur Mitwirkung an einer Ausleitung der Verkehrsdaten in Echtzeit oder zur Auskunftserteilung über gespeicherte Verkehrsdaten folgt vielmehr aus dem Verweis in § 100g Abs. 2 Satz 1 auf § 100b Abs. 3 StPO-E. Hiernach kann über gespeicherte Verkehrsdaten, die Telekommunikationsvorgänge aus der Vergangenheit betreffen, (im Rahmen des Erforderlichen) unbeschränkt Auskunft verlangt werden. Auch kann hiernach weiterhin Auskunft über zukünftig anfallende Verkehrsdaten verlangt werden (...)
Für zukünftig anfallende Verkehrsdaten sieht die Regelung daher zwei Möglichkeiten der Erhebung durch die Strafverfolgungsbehörden vor: Zum einen ist es zulässig, diese Daten in Echtzeit zu erheben, d. h. "live" vom Telekommunikationsdienstleister an die Strafverfolgungsbehörden ausleiten zu lassen; zum anderen kann die Erhebung auch weiterhin in der Weise erfolgen, dass die nach dem Zeitpunkt der Anordnung anfallenden Verkehrsdaten in bestimmten Zeitabständen gebündelt an die Strafverfolgungsbehörde beauskunftet werden.
§ 100g Abs. 1 Satz 1 StPO-E gilt darüber hinaus aus den bereits zu § 100b Abs. 3 StPO-E dargelegten Gründen nicht nur für Verkehrsdaten, die bei Personen oder Stellen gespeichert sind, die geschäftsmäßig Telekommunikationsdienste erbringen oder daran mitwirken, sondern auch für solche Personen und Stellen, die diese Dienste nicht geschäftsmäßig erbringen. Denn die Erforderlichkeit der Erhebung von Verkehrsdaten für Strafverfolgungszwecke wird nicht dadurch beseitigt, dass die Telekommunikationsdienste nicht geschäftsmäßig erbracht werden. Entscheidend ist, dass die Daten, die sich im Herrschaftsbereich eines Telekommunikationsdiensteanbieters befinden, dem von Artikel 10 GG geschützten Telekommunikationsvorgang zuzurechnen sind (...) diese Frage [Anm.: Ob und ggf. welche Vorkehrungen der Telekommunikationsdiensteerbringer für VDS zu treffen hat] bestimmt sich (..) nach (...) dem Telekommunikationsgesetz (z. B. § 113a TKG-E) oder – dem künftigen – Inhalt der Telekommunikations-Überwachungsverordnung.
Für eine Vielzahl der Fälle [Anm.: die Straftat per Telekommunikation betreffen], z. B. bei einer telefonischen Bedrohung, werden gleich geeignete, aber weniger belastende Ermittlungsmaßnahmen oftmals nicht zur Verfügung stehen, wenn außer dem Zeitpunkt des Anrufs keine weiteren Ermittlungsansätze gegeben sind. Für diese Fälle, die etwa dem Bereich des "Stalking" [Anm.: aber nicht Fälle aus dem "Bereich der leichteren Kriminalität" wie z. B. "begangene geringfügige Beleidigungstaten", S. 52) entstammen, ist die Verkehrsdatenerhebung ein unverzichtbares – weil regelmäßig alternativloses – Ermittlungsinstrument.
1 Aus dem Übereinkommen über Computerkriminalität:
Artikel 20 – Erhebung von Verkehrsdaten in Echtzeit
Die Umsetzung des Cybercrime-Übereinkommens des Europarates im Gesetz durch Änderung des § 110 der Strafprozessordnung erlaubt den dazu berechtigten Stellen, die Rechner in einem Rechenzentrum oder einer Firma, angemietete Root-Server usw., auf denen ein Tor Router läuft, noch vor einer Beschlagnahmung zu durchsuchen, dortige Daten zu erfassen und zu speichern, wenn der Betreiber eines Tor Routers selbst als "Täter oder Teilnehmer" einer Tat in Verdacht gerät (s. o.) oder er zugleich Dritten Zugang auf den Rechner / Server gewährt, die als "Täter oder Teilnehmer" einer Tat verdächtigt werden.
12. Dem § 110 wird folgender Absatz 3 angefügt:
"(3) Die Durchsicht elektronischer Speichermedien darf auf räumlich getrennte Speichermedien, auf die der Betroffene den Zugriff zu gewähren berechtigt ist, erstreckt werden.
Daten, die für die Untersuchung von Bedeutung sein können, dürfen gespeichert werden,
wenn bis zur Sicherstellung der Datenträger ihr Verlust zu besorgen
ist; sie sind zu löschen, sobald sie für die Strafverfolgung nicht mehr
erforderlich sind."
"Da die Möglichkeit, die Durchsuchung auf weitere Computersysteme auszudehnen, im geltenden Recht noch nicht verankert ist (vgl. Bär, a. a. O., S. 217 ff.; Germann, a. a. O., S. 544 f.; Matzky, Zugriff auf EDV im Strafprozess, 1999, S. 238), erlaubt § 110 Abs. 3 StPO-E die Durchsicht elektronischer Datenträger auf räumlich getrennte Speichereinheiten [Anm.: sie auch S. 27 rechts oben:" (z. B. Netzwerkrechner im Intra- oder Internet)"1], auf die der Betroffene Zugriff zu gewähren berechtigt ist 2, zu erstrecken und Daten, die für die Untersuchung von Bedeutung sein können, zu speichern, wenn bis zur Sicherstellung der räumlich getrennten Datenträger ihr Verlust zu besorgen ist."
"Die in § 110 Abs. 3 StPO-E vorgesehene Möglichkeit einer offenen Online-Durchsuchung [Anm.: damit ist nicht die heimliche Online-Durchsuchung bzw. Quellen-TKÜ gemeint, auf die in der Begründung auch eingegangen wird] effektiviert die Ermittlungen und erspart damit nicht näher quantifizierbaren Mehraufwand für alternativ in Betracht zu ziehende – regelmäßig aufwändigere – alternative Ermittlungen."
1 "Dies wird etwa der Fall sein, wenn der Betroffene von einem entsprechenden Anbieter online zugänglichen Speicherplatz gemietet hat. In solchen Fällen steht es dem Betroffenen regelmäßig frei, auch dritten Personen den Zugang zu den virtuell gespeicherten Daten zu ermöglichen."
2 "Soweit § 110 Abs. 3 Satz 1 StPO-E darauf abstellt, dass der Betroffene den Zugang zu gewähren berechtigt sein muss, bedeutet dies nicht, dass die Maßnahme nur zulässig wäre, wenn der Betroffene der Strafverfolgungsbehörde den Zugang auch tatsächlich gewährt. Vielmehr handelt es sich auch bei diesem Teil der Durchsuchung um eine gegenüber dem Betroffenen zwangsweise durchsetzbare Maßnahme."
Wie schnell man als Tor Ausgangsrouter Betreiber als "Mittäter" verdachtigt wird, der sich der "Beihilfe" einer Straftat schuldig macht, die mittels Telekommunikation bzw. den Tor Router begangen wurde, zeigten zuletzt die Erlebnisse eines Tor Ausgangsrouter Betreibers, die im Beitrag Ein deutscher Tor Router Admin und die deutsche Justiz wiedergegeben wurde.
Wenn meine Lesart und Interpretation des Gesetzes und der Begründung richtig ist, gibt es bei Bestand des Gesetzes und entsprechender Auslegung seitens der Strafverfolgungsbehörden und Gerichte ab Januar 2009 keine Möglichkeit mehr, in Deutschland einen Anonymisierungsdienst ohne gleichzeitige Vorratsdatenspeicherung zu betreiben bzw. nach Anordnung zu aktivieren. Fällt der Betreiber von angemieteten Servern im Ausland unter die deutsche Rechtssprechung, trifft dies auch auf Anonymsierungsdienste zu, die auf diesen Servern betrieben werden, deren Integrität nebenbei durch die Durchsuchungs- und Datenspeicherbefugnisse der umgesetzten Artikel des Cybercrime-Übereinkommens nicht mehr zu gewährleisten ist.
Der Titel ist ein Ausspruch eines Tor Router Betreibers auf der or-talk Tor Mailingliste im Verlauf einer Diskussion um die Auswirkungen des beschlossenen Gesetzes auf Tor Router Betreiber.
Sollten es sich um übertriebene oder falsche Interpretationen meinerseits handeln oder wichtige Punkte fehlen, bitte ich um Kommentare.
Geschrieben von Kai Raven