Editorial: Datenschutz mit zweierlei Maß
Datenschutz mit zweierlei Maß
Bild: dpa
Zwei Urteile der vergangenen Woche machen deutlich, dass es künftig
beim Datenschutz zweierlei Maß gibt: Gegenüber Firmen hat der Bürger
- zumindest auf dem Papier - recht viele Rechte. Gegenüber staatlichen
Mitlauschern wie den Geheimdiensten hingegen gar keine.
Die Internet Corporation for Assigned Names and Numbers, kurz ICANN, ist beim Landgericht Bonn mit dem Ansinnen abgeblitzt, den Domain-Registrar EPAG weiterhin dazu zu verpflichten, bei der Domain-Registrierung nicht nur den Domain-Inhaber zu verfassen, sondern darüber hinaus zwei Ansprechpartner für rechtliche und technische Belange (Admin-C und Tech-C). Letzteres verstößt nach Ansicht der EPAG gegen das Datensparsamkeitsgebot der DSGVO. Dieser Auffassung schloss sich das Landgericht Bonn in einem Verfügungsverfahren an. Es ist damit eines der ersten Beschlüsse eines Gerichts in einem Verfahren nach der neuen DSGVO.
Datenschutz mit zweierlei Maß
Bild: dpa
Dazu diametral entgegengesetzt
fällt das Urteil des Bundesverwaltungsgerichts Leipzig aus:
Der DE-CIX, der (gemessen am Traffic) nicht nur der größte öffentliche
Internetaustauschknoten Deutschlands, sondern der ganzen Welt ist, muss
es weiter hinnehmen, dass der BND über so genannte Spiegelports einen
Mitschnitt aller transportierten Daten zugespielt bekommt. Die
Betreiber des DE-CIX müssen darauf vertrauen, dass der BND aus dem
"full feed" sich dann selber jene Daten herauspickt, auf die er
legal zugreifen darf, nämlich rein ausländische Kommunikation,
während Kommunikation von Deutschen untereinander und von Deutschen
mit Personen im Ausland grundsätzlich durch das grundgesetzlich
garantierte Fernmeldegeheimnis vor dem Pauschalzugriff durch den
BND geschützt ist. Nur bei begründeten Verdacht auf eine Straftat
darf nach richterlicher Anordnung die Telekommunikation aufgezeichnet
werden.
Ins Verhältnis gesetzt
Bei Admin-C und Tech-C geht es am Ende um einige Gigabyte an Daten, die zudem in den meisten Fällen vergleichsweise wenig Nutzen haben: Bei den allermeisten Domains ist als Admin-C der Domain-Inhaber eingetragen, so dass die Daten eh bereits vorhanden sind, und als Tech-C trägt sich der Provider meist automatisch selber ein. Letzteren kann man meist auch auf anderem Weg ermitteln, beispielsweise über die IP-Adresse des Servers. Bei seriös betriebenen Webauftritten findet man den Admin-C zudem im Impressum. Die Impressumspflicht wurde durch das genannte Urteil übrigens nicht abgeschafft.
Beim DE-CIX geht es hingegen um ein halbes Terabyte - jede Sekunde! So viele Daten fließen nämlich über die insgesamt 19 Rechenzentren des DE-CIX. Dass sich darunter ungleich mehr interessanter Beifang befindet als in den whois-Daten, brauche ich sicherlich nicht extra zu erwähnen. Übrigens: Voice over IP wird immer beliebter. Und die meisten VoIP-Endgeräte, wie Telefonanlagen, DSL-/Kabel-Router oder SIP-Telefone, beherrschen bis heute weder SIPS noch SRTP, geschweige denn das Ende-zu-Ende-abgesicherte ZRTP, sondern nur ungesichertes SIP und RTP. Rufnummern und Gesprächsinhalte, alles wird unverschlüsselt übertragen. Natürlich auch über den DE-CIX.
Die vorletzte Hoffnung ist, dass die Betreiber des DE-CIX vor dem Bundesverfassungsgericht doch noch Recht bekommen. Falls sie auch dort abblitzen, wäre der Europäische Gerichtshof für Menschenrechte (EGMR) dann die allerletzte Instanz.