Datenschnüffler in Not

Peinliche Fragen an Staatsanwälte: Ein Papier der EU-Kommission versucht, die anhaltende Diskussion um eine wirksamere Kontrolle des Internets auf eine sachliche Grundlage zu stellen

von NIKLAUS HABLÜTZEL

Es überraschte wohl niemanden, wenn nach dem 11. September die Versuche zunähmen, das notorisch im Verdacht des kriminellen Missbrauchs stehende Internet einer schärferen Kontrolle zu unterziehen. Überraschend ist vielmehr, dass bislang nicht viel davon zu sehen ist. Als sei nichts weiter geschehen, hat der Euroaparat letzte Woche eine lange verhandelte Konvention gegen die Verbreitung von Kinderpornografie und Raubkopien urheberrechtlich geschützter Daten über das Netz verabschiedet. Sie soll am 23. November unterzeichnet werden und die Mitgliedsstaaten verpflichten, für einen schnelleren Austausch der strafrechtlich relevanten Erkentnisse zu sorgen und sich für ein internationales Abkommen gegen diese Art der Cyberkriminalität einzusetzen. In der Sache selbst jedoch enthält sie nichts Neues.

Nichts Neues auch in der Provinz: Zur selben Zeit fand in Nordrhein-Westfalen eine Anhörung von etwa 90 Internetprovidern zur Frage rechtsradikaler Propaganda statt. Der Regierungspräsident von Düsseldorf forderte „präzisere rechtliche Regelungen“. Seine Vorschläge zu einer vorgeblich wirksameren Kontrolle lehnten die geladenen Experten allesamt als „technisch nicht machbar“ oder „sinnlos“ ab. Wenn die Mittel der Polizei schon bei der Verfolgung von Pornohändlern und rechtsradikalen Fanatikern so kläglich versagen, ist nicht zu erwarten, dass sie bei der Verfolgung von Terroristen erfolgreicher sind, von Tätern also, denen eine erheblich höhere kriminelle Energie und Professionalität zu unterstellen ist.

Zweifellos nutzen auch sie das Internet und hinterlassen dabei nicht weniger Datenspuren als andere User. Aber das hilft den Ermittlern wenig. Um einige wenige Verdächtige zu finden, müssten sie den Datenstrom an hunderttausenden von Netzknoten ständig überwachen. Selbst wenn die dabei anfallende Datenmasse technisch zu bewältigen wäre, könnte dieser Eingriff in die Rechte privater Bürger wie auch privater Unternehmen kaum durchgesetzt werden. Er würde vor allem am Widerstand der Industrie scheitern, die befürchten müsste, dass kein Geschäfts- oder Betriebsgeheimnis im Internet vertraulich bliebe.

Als einziger Ausweg sind den Regierungen bisher nur Vorschriften für die privaten Firmen eingefallen, die den Usern den Zugang zum Netz vermitteln. In allen europäischen Ländern sind Gesetze in Arbeit oder schon verabschiedet, die sie dazu verpflichten, so genannte Verbindungsdaten ihrer Kunden zu speichern und bei Bedarf den Ermittlungsbehörden zur Verfügung zu stellen. Gemeint sind Angaben über Ort, Zeit, Dauer und Ziel einer Internetverbindung. Ob eine solche, nur nachträgliche Einsicht tatsächlich die Chancen erhöht, intelligente Täter zu fassen, ist umstritten. Sicher ist nur, dass auch damit die Privatsphäre unbescholtener Surfer verletzt werden kann.

Dauerstreit in Brüssel

Noch immer ist es deshalb in der EU nicht gelungen, eine einheitliche, für alle Mitgliedsstaaten verbindliche Regelung zu finden. Bemerkenswerterweise sperrt sich die EU-Komission recht erfolgreich gegen die Wünsche der Regierungen nach möglichst weit gehenden Zugriffsrechten. Aber auch das Europaparlament leistet hartnäckigen Widerstand. Am Dienstag hat es in erster Lesung eine Richtlinie verabschiedet, die zunächst einmal die Position der Kommission stärkt. Der Rat für Telekommunikation hatte im Juli erneut gefordert, dass der Polizei sämtliche Verbindunsgdaten jederzeit zugänglich zu machen seien. Ein Entwurf der Kommission stellte dagegen klar, dass solche Zugriffe nur unter genau definierten rechtsförmigen Bedingungen zulässig seien und grundsätzlich dem Gebot des Datenschutzes und der Persönlichkeitsrechte Rechnung zu tragen hätten.

Diesen Vorbehalten will sich nun offenbar auch das Europaparlament anschließen. Grundlage seiner Debatten ist ein Papier der Kommission, das ausführlich darstellt, welche juristischen, aber auch technischen Schwierigkeiten den Kontrollwünschen der Regierungen entgegenstehen. Unter europa.eu.int/information_society/topics/telecoms/internet/crime/wpapnov/index_en.htm ist der Text abrufbar. Neben den bekannten Hinweisen auf die dezentrale, flexible Struktur des Netzes machen die Autoren auf ein verhältnismäßig neues Problem aufmerksam: Mit den überall geforderten Pauschaltarifen verzichten die Provider auf einen großen Teil ihrer Kundendaten. Die Information über die Dauer der Onlineverbindung oder über die jeweils übertragene Datenmenge hat keine wirtschaftliche Bedeutung mehr, wenn ein fester Pauschalpreis für den Netzzugang vereinbart worden ist.

Bislang aber waren es eben diese, aus betriebswirtschaftlichen Gründen erhobenen Einzelnachweise, auf die sich die Ermittlungsbehörden kostenlos stützen wollten. Die Verpflichtung der Provider, mit staatlichen Ermittlungsbehörden zusammenzuarbeiten, versagt aber umso mehr, je billiger und populärer das Internet wird. Wenn Regierungen weiterhin auch nur die Verbindungsdaten – oder gar die Kommunikationsinhalte selbst – wirksam kontrollieren möchten, können sie diese Aufgaben in Zukunft nicht mehr auf die privaten Firmen abwälzen. Sie müssten eigene technische Anlagen zur zusätzlichen Kontrolle des Netzes installieren – etwa nach dem Vorbild des US-amerikanischen Systems Carnivore, das an jeweils verdächtigen Netzknoten den Datenfluss kopiert und auf zusätzlichen, vom FBI auf eigene Kosten betriebenen Rechnern nach fahndungsrelevanten Merkmalen filtert. Die Kosten wären immens, der praktische Nutzen wäre jedoch nach Meinung der meisten Experten ebenfalls gering.

Bestandsaufnahme

Die Autoren des Kommissionspapiers versuchen gar nicht erst, eigene Vorschläge dieser Art zu entwickeln. Sie stellen lediglich eine Reihe von Fragen, sowohl an die Ermittlungsbehörden als auch an die Kommunikationsindustrie und die Datenschützer. Die Netzwerkbetreiber zum Beispiel sollen Auskunft darüber geben, welche Daten sie heute tatsächlich speichern, für welche Zeiträume und zu welchem Zweck. Noch länger ist die Liste der Fragen an die Ermittler ausgefallen: Sie sollen nicht nur ausführlich darüber berichten, auf welche Daten sie heute schon zugreifen dürfen und wie oft sie das bereits getan haben, sondern außerdem konkrete Fälle schildern, in denen der Mangel an Verbindungsdaten die Ermittlungen behindert hat. Besonders unangenehm dürfte den Staatsanwälten die Frage der Kommission sein, ob sie sich auch andere, mit den Persönlichkeitsrechten besser verträgliche Methoden vorstellen könnten, verdächtige Personen zu ermitteln, die das Internet benutzen – ein unverhohlener Hinweis darauf, dass Täter in der Realität zu verhaften sind, nicht im Datennetz.

Aber auch Datenschützer und Bürgerrechtler müssen sich Fragen stellen, die nicht mit lieb gewordenen Stereotypen zu beantworten sind. Sie sollen im Einzelnen darstellen, warum die bloße Einsicht in Verbindungsdaten in jedem Fall schon eine Verletzung von Freiheitsrechten darstellt. Die Kommission erwartet auch von dieser Seite Zugeständnisse, denn die globale Ablehnung jeder Kontrolle hätte ohnehin keine politische Chance und ist der technischen Komplexität des Netzes nicht angemessen. Eine einheitliche Regelung für alle im Netz anfallenden Daten wird schon an der Fülle völlig unterschiedlicher Funktionen scheitern. Das Kommissionspapier unterscheidet etwa vierzig verschiedene Typen, angefangen von der Konfiguration des PC über Cookies und Logfiles bis hin zu den jeweiligen IP-Adressen.

Was davon darf die Polizei wissen und was in keinem Fall? Am 21. November will die EU-Kommission auf einem Forum in Brüssel über die ersten Antworten auf ihre Fragen diskutieren.

niklaus@taz.de