Owl Content

In dem am 9. November 2007 von der Mehrheit der Abgeordneten des Deutschen Bundestages beschlossenen Entwurfs des Gesetzes zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG ("Vorratsdatenspeicherung") der Bundesregierung ergeben sich bei Inkrafttreten des Gesetzes und Bestand der betreffenden Artikel vor dem Bundesverfassungsgericht für die Betreiber aller Tor Router Betreiber folgende Konsequenzen.

Was für Tor gilt, gilt für alle öffentlich betriebenen Anonymisierungsdienste und deren Teilnehmer, die für den Anonymisierungsdienst Server stellen, also z. B. auch für E-Mail Remailer.

Die Umsetzung der EU-Richtlinie 2006/24/EG verankert im Gesetz die Verpflichtung zur Vorratsdatenspeicherung für jeden, der einen öffentlich erreichbaren Anonymisierungsdient anbietet, dessen Funktionen darauf ausgelegt sind, "maßgebliche" Original-Verkehrsdaten zu verändern, worunter bei Anonymisierungsdiensten primär die IP-Adresse fällt. Das bedeutet für Tor Router Betreiber, das sowohl Tor Eingangs-, Middleman- als auch Ausgangs-Router Betreiber zur sechsmonatigen Vorratsspeicherung der in Verbindung mit dem Betrieb des Routers anfallenden Verkehrsdaten gezwungen sind.

In der Begründung wird jeder Anonymisierungsdienst als Anbieter von Telemedien- und Telekommunikationsdiensten für die Öffentlichkeit definiert, was ihn z. B. mit einem Telefonieanbieter gleichstellt und ihn somit den gleichen Vorratsdatenspeicherverpflichtungen unterwirft. Dabei ist es nicht von Bedeutung, ob eine direkte Endbenutzerbzeihung besteht (wie z. B. bei der Beziehung zwischen Internetnutzer - Anon-HTTP-Proxy) oder nicht (wie z. B. bei einem Tor Middleman Router, der sich in der Mitte einer Tor Router "Kette" befindet). Da er Telekommunikationsdiensteanbieter ist, über den "Straftaten mittels Telekommunikation begangen" werden können, gelten für ihn auch die erweiterten Vorratsdatenspeicherverpflichtungen des Cybercrime-Übereinkommens (s. II.)

Hier als Beispiel das geschätzte Speichervolumen nach eigenen Messungen (November 2007) des Betreibers des Tor Ausgangsrouters gpfTOR1:

Server Traffic: 2.000 KB/s im Durchschnitt
Logdaten für eine Woche: 200 GByte
Logdaten nach Entfernung nicht benötigter Inhalte: 120 GByte
Logdaten komprimiert und verschlüsselt: 20 GByte
Logdaten für 26 Wochen: 500 GByte im Durchschnitt

• Zur Umsetzung der Richtlinie zur "Vorratsspeicherung" von Verkehrsdaten werden im Telekommunikationsgesetz (insbesondere in den §§ 113a, 113b TKG-E) Regelungen über entsprechende Speicherungspflichten sowie in der Strafprozessordnung (§ 100g StPO-E) Regelungen über darauf bezogene statistische Erhebungen und Berichtspflichten geschaffen.

§ 113a Speicherungspflichten für Daten

(6) Wer Telekommunikationsdienste erbringt und hierbei die nach Maßgabe dieser Vorschrift zu speichernden Angaben verändert, ist zur Speicherung der ursprünglichen und der neuen Angabe sowie des Zeitpunktes der Umschreibung dieser Angaben nach Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone verpflichtet.

"...Die Vorgabe des Absatzes 6 ist erforderlich, um einerseits die grundsätzliche Speicherungsverpflichtung nach Absatz 1 auf die Diensteanbieter mit Endnutzerbeziehung beschränken zu können und andererseits gleichwohl eine Rückverfolgbarkeit der Telekommunikation auch im Falle einer Änderung der relevanten Daten durch einen zwischengeschalteten Diensteanbieter ohne Endnutzerbeziehung sicherzustellen..."

Hierbei kommt es auch nicht darauf an, ob die Zwischenschaltung des Diensteanbieters etwa aus technischen oder wirtschaftlichen Gründen durch die an der Erbringung der Telekommunikationsdienste beteiligten Diensteanbieter geschieht oder ob die Zwischenschaltung auf Veranlassung des Endnutzers gezielt zur Veränderung der nach Maßgabe der Absätze 2 bis 4 zu speichernden Daten erfolgt, wie dies etwa bei der Nutzung von Anonymisierungsdiensten der Fall ist. In beiden Fällen besteht die Speicherungsverpflichtung nach Absatz 6, wenn die maßgeblichen Daten bei der Erbringung des Telekommunikationsdienstes verändert werden.

Soweit eine Speicherungsverpflichtung danach auch für die Anbieter von Anonymisierungsdiensten begründet wird, ist zu berücksichtigen, dass auch diese Anbieter öffentlich zugängliche Telekommunikationsdienste erbringen. Öffentlich zugängliche Telekommunikationsdienste sind alle Telekommunikationsdienste im Sinne von § 3 Nr. 24 TKG, die jedermann zugänglich sind. Nach § 3 Nr. 24 TKG fallen darunter die "reinen" Telekommunikationsdienste (also Dienste, die ausschließlich in der Übertragung von Signalen über Telekommunikationsnetze bestehen) sowie Dienste mit Doppelnatur, die zwar auch unter den Rechtsrahmen für Telemedien fallen, aber zugleich Telekommunikationsdienste nach § 3 Nr. 24 TKG sind, weil sie überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Dies sind in erster Linie diejenigen Dienste, die sowohl der Bereitstellung eines Internetzugangs als auch der Übertragung elektronischer Post dienen. Auch Anonymisierungsdienste weisen allerdings eine solche Doppelnatur auf, da ihre Tätigkeit sowohl in der Durchleitung der Nachricht als auch in der Ersetzung der Ausgangskennung des Telekommunikationsnutzers besteht. Diese Dienste sind daher sowohl Telemedien als auch – im Hinblick auf ihre Transportfunktion – Telekommunikationsdienste für die Öffentlichkeit (vgl. hierzu jetzt auch § 11 Abs. 3 des Telemediengesetzes [TMG], ferner Schmitz, in: Spindler/Schmitz/Geis, TDG-Kommen- tar, 2004, § 1 TDDSG, Rn. 16).

Die Umsetzung des Cybercrime-Übereinkommens des Europarates im Gesetz durch Änderung des § 100g der Strafprozessordnung erlaubt den dazu berechtigten Stellen, nach gerichtlicher Anordnung (oder für drei Tage nach staatsanwaltschaftlicher Anordnung bei Gefahr im Verzug) die Verkehrsdaten von Tor Router Betreibern zu erheben und zwar auch in Echzeit und nicht nur als Rückgriff auf bevorratete Speicherungen. Das bedeutet auch, der Betreiber eines Tor Routers muss ggf. in der Lage sein, die bei ihm anfallenden Verkehrsdaten unmittelbar an die berechtigten Stellen weiterzuleiten.

Wenn zum Beispiel jemand einen Tor Ausgangsrouter betreibt, den ein anderer Tor Nutzer benutzt bzw. missbraucht, um eine "Straftat mittels Telekommunikation" zu begehen und dazu seine Identität bzw. seine IP-Adresse über die Tor Nutzung verschleiert, wird für Strafverfolgungsbehörden stattdessen die IP-Adresse des Tor Ausgangsrouters am Ort der Begehung der Straftat (z. B. in der Logdatei) sichtbar. Wenn die Strafverfolgungsbehörden keine Kenntnis über Tor besitzen oder keinen Abgleich mit dem Verzeichnis aller Tor Router durchführen, werden sie von dem Verdacht ausgehen, der Betreiber des Tor Ausgangsrouters sei der "Täter oder Teilnehmer", der "eine Straftat mittels Telekommunikation begangen hat" und deshalb ggf. dessen Verkehrsdaten erheben, die z. B. beim Internet-Zugangsprovider anfallen, wenn der Betreiber den Tor Ausgangsrouter daheim auf seinem privaten PC betreibt.

• Dem durch das Übereinkommen über Computerkriminalität des Europarats veranlassten Regelungsbedarf wird durch die Umgestaltung des § 100g StPO in eine Datenerhebungsbefugnis (...) nachgekommen.

§ 100a (Überwachung und Aufzeichnung von Telekommunikation)

(3) Die Anordnung darf sich nur gegen den Beschuldigten oder gegen Personen richten, von denen auf Grund bestimmter Tatsachen anzunehmen ist, dass sie für den Beschuldigten bestimmte oder von ihm herrührende Mitteilungen entgegennehmen oder weitergeben oder dass der Beschuldigte ihren Anschluss benutzt.

§ 100b (Anordnungen, Richtervorbehalt, Berichtspflicht)

(1) Maßnahmen nach § 100a dürfen nur auf Antrag der Staatsanwaltschaft durch das Gericht angeordnet werden. Bei Gefahr im Verzug kann die Anordnung auch durch die Staatsanwaltschaft getroffen werden.

§ 100g

(1) Begründen bestimmte Tatsachen den Verdacht, dass jemand als Täter oder Teilnehmer

1. eine Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere eine in § 100a Abs. 2 bezeichnete Straftat, begangen hat, in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat oder durch eine Straftat vorbereitet hat oder
2. eine Straftat mittels Telekommunikation begangen hat,

so dürfen auch ohne Wissen des Betroffenen Verkehrsdaten (§ 96 Abs. 1, § 113a des Telekommunikationsgesetzes) erhoben werden, soweit dies für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten erforderlich ist. Im Falle des Satzes 1 Nr. 2 ist die Maßnahme nur zulässig, wenn die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise aussichtslos wäre und die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht. Die Erhebung von Standortdaten in Echtzeit ist nur im Falle des Satzes 1 Nr. 1 zulässig.

(2) § 100a Abs. 3 und § 100b Abs. 1 bis 4 Satz 1 gelten entsprechend. Abweichend von § 100b Abs. 2 Satz 2 Nr. 2 genügt im Falle einer Straftat von erheblicher Bedeutung eine räumlich und zeitlich hinreichend bestimmte Bezeichnung der Telekommunikation, wenn die Erforschung des Sachverhalts auf andere Weise aussichtslos oder wesentlich erschwert wäre.

(3) Erfolgt die Erhebung von Verkehrsdaten nicht beim Telekommunikationsdiensteanbieter, bestimmt sie sich nach Abschluss des Kommunikationsvorgangs nach den allgemeinen Vorschriften.

Absatz 1 wird in Anlehnung an § 100a Abs. 1 StPO-E als allgemeine Befugnis zur Erhebung von Verkehrsdaten ausgestaltet und schafft damit die von Artikel 20 des Übereinkommens über Computerkriminalität geforderte Möglichkeit einer Echtzeiterhebung von Verkehrsdaten.

(...)

§ 100g StPO wird daher nicht mehr allein als Regelung eines Auskunftsanspruchs gegenüber Telekommunikationsdiensteanbietern sondern als umfassende Erhebungsbefugnis für Verkehrsdaten ausgestaltet. Damit wird zugleich Artikel 20 Abs. 1 Buchstabe a1 des Übereinkommens über Computerkriminalität Rechnung getragen, der die Ermöglichung einer Erhebung von Verkehrsdaten in Echtzeit verlangt.

Mit der Ausgestaltung des § 100g Abs. 1 Satz 1 StPO-E als umfassende Befugnis zur Erhebung von Verkehrsdaten entfällt nicht die bislang ausdrücklich in § 100g Abs. 1 StPO enthaltene Auskunftsverpflichtung der Diensteanbieter. Deren Pflicht zur Mitwirkung an einer Ausleitung der Verkehrsdaten in Echtzeit oder zur Auskunftserteilung über gespeicherte Verkehrsdaten folgt vielmehr aus dem Verweis in § 100g Abs. 2 Satz 1 auf § 100b Abs. 3 StPO-E. Hiernach kann über gespeicherte Verkehrsdaten, die Telekommunikationsvorgänge aus der Vergangenheit betreffen, (im Rahmen des Erforderlichen) unbeschränkt Auskunft verlangt werden. Auch kann hiernach weiterhin Auskunft über zukünftig anfallende Verkehrsdaten verlangt werden (...)

Für zukünftig anfallende Verkehrsdaten sieht die Regelung daher zwei Möglichkeiten der Erhebung durch die Strafverfolgungsbehörden vor: Zum einen ist es zulässig, diese Daten in Echtzeit zu erheben, d. h. "live" vom Telekommunikationsdienstleister an die Strafverfolgungsbehörden ausleiten zu lassen; zum anderen kann die Erhebung auch weiterhin in der Weise erfolgen, dass die nach dem Zeitpunkt der Anordnung anfallenden Verkehrsdaten in bestimmten Zeitabständen gebündelt an die Strafverfolgungsbehörde beauskunftet werden.

§ 100g Abs. 1 Satz 1 StPO-E gilt darüber hinaus aus den bereits zu § 100b Abs. 3 StPO-E dargelegten Gründen nicht nur für Verkehrsdaten, die bei Personen oder Stellen gespeichert sind, die geschäftsmäßig Telekommunikationsdienste erbringen oder daran mitwirken, sondern auch für solche Personen und Stellen, die diese Dienste nicht geschäftsmäßig erbringen. Denn die Erforderlichkeit der Erhebung von Verkehrsdaten für Strafverfolgungszwecke wird nicht dadurch beseitigt, dass die Telekommunikationsdienste nicht geschäftsmäßig erbracht werden. Entscheidend ist, dass die Daten, die sich im Herrschaftsbereich eines Telekommunikationsdiensteanbieters befinden, dem von Artikel 10 GG geschützten Telekommunikationsvorgang zuzurechnen sind (...) diese Frage [Anm.: Ob und ggf. welche Vorkehrungen der Telekommunikationsdiensteerbringer für VDS zu treffen hat] bestimmt sich (..) nach (...) dem Telekommunikationsgesetz (z. B. § 113a TKG-E) oder – dem künftigen – Inhalt der Telekommunikations-Überwachungsverordnung.

Für eine Vielzahl der Fälle [Anm.: die Straftat per Telekommunikation betreffen], z. B. bei einer telefonischen Bedrohung, werden gleich geeignete, aber weniger belastende Ermittlungsmaßnahmen oftmals nicht zur Verfügung stehen, wenn außer dem Zeitpunkt des Anrufs keine weiteren Ermittlungsansätze gegeben sind. Für diese Fälle, die etwa dem Bereich des "Stalking" [Anm.: aber nicht Fälle aus dem "Bereich der leichteren Kriminalität" wie z. B. "begangene geringfügige Beleidigungstaten", S. 52) entstammen, ist die Verkehrsdatenerhebung ein unverzichtbares – weil regelmäßig alternativloses – Ermittlungsinstrument.

1 Aus dem Übereinkommen über Computerkriminalität:

Artikel 20 – Erhebung von Verkehrsdaten in Echtzeit

1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um ihre zuständigen Behörden zu ermächtigen,
   1. Verkehrsdaten, die mit bestimmten in ihrem Hoheitsgebiet mittels eines Computersystems übermittelten Kommunikationen in Zusammenhang stehen, durch Anwendung technischer Mittel im Hoheitsgebiet dieser Vertragspartei in Echtzeit zu erheben oder aufzuzeichnen und
   2. einen Diensteanbieter im Rahmen seiner bestehenden technischen Möglichkeiten zu verpflichten,
      1. solche Verkehrsdaten durch Anwendung technischer Mittel im Hoheitsgebiet dieser Vertragspartei in Echtzeit zu erheben oder aufzuzeichnen oder
      2. bei der Erhebung oder Aufzeichnung solcher Verkehrsdaten in Echtzeit mit den zuständigen Behörden zusammenzuarbeiten und diese zu unterstützen.

Die Umsetzung des Cybercrime-Übereinkommens des Europarates im Gesetz durch Änderung des § 110 der Strafprozessordnung erlaubt den dazu berechtigten Stellen, die Rechner in einem Rechenzentrum oder einer Firma, angemietete Root-Server usw., auf denen ein Tor Router läuft, noch vor einer Beschlagnahmung zu durchsuchen, dortige Daten zu erfassen und zu speichern, wenn der Betreiber eines Tor Routers selbst als "Täter oder Teilnehmer" einer Tat in Verdacht gerät (s. o.) oder er zugleich Dritten Zugang auf den Rechner / Server gewährt, die als "Täter oder Teilnehmer" einer Tat verdächtigt werden.

• Dem durch das Übereinkommen über Computerkriminalität des Europarats veranlassten Regelungsbedarf wird durch (...) die Erstreckung der Befugnis zur Durchsicht von Datenträgern auf mit diesen vernetzte – aber räumlich getrennte – Speichermedien (§ 110 Abs. 3 StPO-E) nachgekommen.

12. Dem § 110 wird folgender Absatz 3 angefügt:

"(3) Die Durchsicht elektronischer Speichermedien darf auf räumlich getrennte Speichermedien, auf die der Betroffene den Zugriff zu gewähren berechtigt ist, erstreckt werden. Daten, die für die Untersuchung von Bedeutung sein können, dürfen gespeichert werden, wenn bis zur Sicherstellung der Datenträger ihr Verlust zu besorgen ist; sie sind zu löschen, sobald sie für die Strafverfolgung nicht mehr erforderlich sind."

"Da die Möglichkeit, die Durchsuchung auf weitere Computersysteme auszudehnen, im geltenden Recht noch nicht verankert ist (vgl. Bär, a. a. O., S. 217 ff.; Germann, a. a. O., S. 544 f.; Matzky, Zugriff auf EDV im Strafprozess, 1999, S. 238), erlaubt § 110 Abs. 3 StPO-E die Durchsicht elektronischer Datenträger auf räumlich getrennte Speichereinheiten [Anm.: sie auch S. 27 rechts oben:"(z. B. Netzwerkrechner im Intra- oder Internet)"1], auf die der Betroffene Zugriff zu gewähren berechtigt ist2, zu erstrecken und Daten, die für die Untersuchung von Bedeutung sein können, zu speichern, wenn bis zur Sicherstellung der räumlich getrennten Datenträger ihr Verlust zu besorgen ist."

"Die in § 110 Abs. 3 StPO-E vorgesehene Möglichkeit einer offenen Online-Durchsuchung [Anm.: damit ist nicht die heimliche Online-Durchsuchung bzw. Quellen-TKÜ gemeint, auf die in der Begründung auch eingegangen wird] effektiviert die Ermittlungen und erspart damit nicht näher quantifizierbaren Mehraufwand für alternativ in Betracht zu ziehende – regelmäßig aufwändigere – alternative Ermittlungen."

1 "Dies wird etwa der Fall sein, wenn der Betroffene von einem entsprechenden Anbieter online zugänglichen Speicherplatz gemietet hat. In solchen Fällen steht es dem Betroffenen regelmäßig frei, auch dritten Personen den Zugang zu den virtuell gespeicherten Daten zu ermöglichen."

2 "Soweit § 110 Abs. 3 Satz 1 StPO-E darauf abstellt, dass der Betroffene den Zugang zu gewähren berechtigt sein muss, bedeutet dies nicht, dass die Maßnahme nur zulässig wäre, wenn der Betroffene der Strafverfolgungsbehörde den Zugang auch tatsächlich gewährt. Vielmehr handelt es sich auch bei diesem Teil der Durchsuchung um eine gegenüber dem Betroffenen zwangsweise durchsetzbare Maßnahme."

Wie schnell man als Tor Ausgangsrouter Betreiber als "Mittäter" verdachtigt wird, der sich der "Beihilfe" einer Straftat schuldig macht, die mittels Telekommunikation bzw. den Tor Router begangen wurde, zeigten zuletzt die Erlebnisse eines Tor Ausgangsrouter Betreibers, die im Beitrag Ein deutscher Tor Router Admin und die deutsche Justiz wiedergegeben wurde.

Wenn meine Lesart und Interpretation des Gesetzes und der Begründung richtig ist, gibt es bei Bestand des Gesetzes und entsprechender Auslegung seitens der Strafverfolgungsbehörden und Gerichte ab Januar 2009 keine Möglichkeit mehr, in Deutschland einen Anonymisierungsdienst ohne gleichzeitige Vorratsdatenspeicherung zu betreiben bzw. nach Anordnung zu aktivieren. Fällt der Betreiber von angemieteten Servern im Ausland unter die deutsche Rechtssprechung, trifft dies auch auf Anonymsierungsdienste zu, die auf diesen Servern betrieben werden, deren Integrität nebenbei durch die Durchsuchungs- und Datenspeicherbefugnisse der umgesetzten Artikel des Cybercrime-Übereinkommens nicht mehr zu gewährleisten ist.

Der Titel ist ein Ausspruch eines Tor Router Betreibers auf der or-talk Tor Mailingliste im Verlauf einer Diskussion um die Auswirkungen des beschlossenen Gesetzes auf Tor Router Betreiber.

Sollten es sich um übertriebene oder falsche Interpretationen meinerseits handeln oder wichtige Punkte fehlen, bitte ich um Kommentare.