Vor wenigen Wochen erlie die Bezirksregierung Dsseldorf erstmals Sperrungsanordnungen auf Grundlage des 18 Abs. 3 Mediendienstestaatsvertrag (MDStV), mit denen Internet-Access-Provider verpflichtet wurden, den Zugang zu Internet-Angeboten unter zwei bestimmten Domainnamen zu sperren. Unmittelbar zuvor hatte das Electronic Commerce Forum e. V. (kurz: eco e. V.), der in Kln ansssige Verband der deutschen Internetwirtschaft, zusammen mit dem Landeskriminalamt Nordrhein-Westfalen, dem Bundeskriminalamt (BKA) und der Generalbundesanwaltschaft zu einer Veranstaltung mit dem Titel "Internet Service Provider im Spannungsfeld zwischen Strafverfolgung un Datenschutz" in das Bonner "Maritim"-Hotel eingeladen. Angesichts der aktuellen Ereignisse und des durch sie erzeugten Interesses der allgemeinen und der Fachffentlichkeit sahen sich die Veranstalter einer unerwartet starken Nachfrage gegenber. Als Folge dieses regen Interesses wurde die ursprnglich vorgesehene Beschrnkung auf 40 Teilnehmer gelockert, so dass schlielich insgesamt 60 Mitarbeiter von Providern, Strafverfolgungs- und Datenschutzbehrden, sowie betriebliche Datenschutzbeauftragte und Rechtsanwlte teilnehmen konnten.

1. Tag: Dienstag, 26.02.2002, 15 Uhr-18:40 Uhr

a) Prof. Michael Rotert, eco e. V.

Kurz nach 15 Uhr am Dienstag, 26.02.2002, erffnete der eco-Vorstandsvorsitzende Prof. Michael Rotert im "Haydn"-Saal des "Maritim" die Veranstaltung. Er schilderte kurz das mit der Veranstaltung verfolgte Ziel. Sie solle umfassend ber die Rechte und Pflichten der Internet-Provider einerseits und der Strafverfolgungsbehrden andererseits informieren. Zugleich solle das gegenseitige Verstndnis fr die jeweiligen Anliegen geweckt und die Zusammenarbeit verbessert werden. Dabei verwies Prof. Rotert auf die vom BKA im Jahre 2000 ausgerichtete Informationsveranstaltung zur Bekmpfung von rechtsextremistischen und fremdenfeindlichen Inhalten im Internet, auf welcher die eco-Veranstaltung gewissermaen aufbaue. Als Ergebnis der Veranstaltung erhoffe man sich bei eco einen Leitfaden fr die Provider, der ihnen bei der praktischen Untersttzung der Strafverfolgungsbehrden behilflich sein knne.

b) Andreas Fick, NetCologne

Den ersten Sachvortrag hielt dann Andreas Fick, Datenschutz- und Telekommunikations-Sicherheitsbeauftragter von NetCologne. Im Rahmen einer kurzen Vorstellung des von ihm vertretenen Unternehmens berichtete Herr Fick, dass NetCologne jhrlich zwlf Anordnungen zur Telefonberwachung zu erfllen habe - bei ca. 100.000 Kunden im Telefonbereich. Dem stnden, bei etwa 80.000 Kunden in diesem Segment, gerade einmal drei Internet-berwachungen innerhalb von insgesamt drei Jahren gegenber, wobei es zumeist um E-Mail-berwachungen gegangen sei. Fr die Zukunft sei aber wohl mit einer Zunahme in diesem Bereich zu rechnen. Anschlieend gab Fick einen kurzen berblick ber einige Einzelfragen mit Bezug zum Thema der Veranstaltung. Zunchst stellte er diverse Formen der "Internetkriminalitt" vor - worunter er neben Spamming, Denial-of-Service-(DoS)-Angriffen und Inhaltsdelikten (Beleidigung, Bedrohung, Kinderpornographie etc.) auch IP-Spoofing verstanden wissen wollte. Die zur Strafverfolgung notwendigen Eingriffe in das Daten- und Fernmeldegeheimnis stellte Fick anschlieend berblicksartig dar, bevor er sich der Abgrenzung zwischen Telekommunikation und Inhalten zuwandte. Whrend Telefonie, Chats, SMS und Newsgroups zur Telekommunikation gehrten, falle das bloe Surfen im WWW nicht darunter.

Danach stellte Fick kurz die jeweils einschlgigen rechtlichen Grundlagen vor - zunchst die des Telekommunikations-Datenschutzes und dann die der Strafverfolgung. Als die beiden zentralen rechtlichen Problembereiche, die aus seiner Sicht gegenwrtig zu identifizieren sind, nannte Fick die 100 g, h Strafprozessordnung (StPO) und 18 Abs. 3 MDStV. Des Weiteren msse auf die Ergnzung der Telekommunikations-berwachungsverordnung (TKV) und verschiedene Initiativen aus Anlass der Terrorismusbekmpfung als geplante Gesetzesnderungen hingewiesen werden. Aus all diesem resultiere ein Gewissenskonflikt der Provider, die sich einerseits den Auskunftsanforderungen der Strafverfolgungsbehrden (mit der Gefahr der Strafbarkeit wegen Strafvereitelung) ausgesetzt sehen und andererseits die Anforderungen des Datenschutzes erfllen mssten. Aus Sicht des Providers lieen sich daher einige Anforderungen an die Strafverfolgungsbehrden formulieren, welche die Zusammenarbeit zwischen den Providern und den Behrden verbessern knnten - so msse etwa bei einer Anfrage die Rechtsgrundlage eines Auskunftsbegehren genannt werden. Daran anschlieend erluterte Fick die technischen Details eines Internet-Verbindungsdatensatzes und wies auf die Bedeutung der korrekten Angabe nicht nur der Zeit und das Datums, sondern auch der Zeitzone hin. Nur diese Daten lieen es zu, eine dynamische IP-Adresse einer bestimmten Person zuzuordnen. Fick beendete seine Prsentation dann mit einem kurzen berblick ber die TKV und dem Hinweis auf die in der Praxis bestehenden Mglichkeiten zur Umgehung von Sperrungsanordnungen.

In der anschlieenden Diskussion wies Frau Jennen, die Vertreterin des Bundesbeauftragten fr den Datenschutz (BfD), darauf hin, dass die Speicherung der dynamischen IP-Adresse, wie sie angesichts der technischen Ausfhrungen von Herrn Fick erfolge, regelmig nicht mit den telekommunikations-datenschutzrechtlichen Vorgaben vereinbar sei. Auch msse der vorgetragenen Abgrenzung zwischen Telekommunikations- und Inhalteebene widersprochen werden. Auch beim Surfen im WWW liege ein Telekommunikationsvorgang vor, es komme nicht darauf an, ob zwei Menschen miteinander kommunizieren. Auf die Frage, wieviele Vollzeitkrfte bei einem Unternehmen wie NetCologne mit Aufgaben des Datenschutzes betraut seien, antwortete Fick, dass dies nur er selbst sei, er aber zur technischen Umsetzung nach Bedarf von weiteren NetCologne-Mitarbeitern untersttzt werde. Fr den Fall zeitnah zu beantwortender Auskunftsbegehren kme eine Checkliste zur Anwendung, welche es auch juristisch nicht vorgebildeten NetCologne-Mitarbeitern ermgliche, die Rechtmigkeit eines solchen Begehrens zu berprfen. Angesprochen auf die Manahmen, die NetCologne zur Verhinderung von DoS-Attacken treffe, antwortete Fick "Schlicht und einfach: Strafanzeige erstatten."

c) Prof. Dr. Hansjrgen Garstka, Beauftragter fr Datenschutz und Informationsfreiheit Berlin

Im Anschluss hielt nun Prof. Dr. Hansjrgen Garstka, der Berliner Beauftragte fr Datenschutz und Informationsfreiheit, seinen Vortrag. In einer Vorbemerkung stellte Prof. Garstka klar, dass de lege lata berhaupt kein Konflikt zwischen dem Datenschutz und der Strafverfolgung bestehe. Es handele sich vielmehr um eine rechtspolitische Debatte, bei der es darum gehe, wie die jeweiligen Belange bei der Ausgestaltung der Rechtslage gegeneinander abgewogen werden. In Anschluss an die Ausfhrungen von Fick erluterte Prof. Garstka dann das datenschutzrechtliche Schichtenmodell, das zwar nicht in direkter bernahme, aber doch in Anlehnung an das informationstechnologische OSI-Schichtenmodell zwischen Inhalte-, Dienste- und Netzebene unterscheide.^[1] Telekommunikation spiele sich dabei ausschlielich auf der Netzebene ab. Hier griffen die Vorschriften des Telekommunikationsgesetzes (TKG) und der Telekommunikations-Datenschutzverordnung (TDSV). Die auf der Netzebene aufbauende Diensteebene unterfalle hingegen dem Informations- und Kommunikationsdienstegesetz (IuKDG), dem Rundfunkstaatsvertrag (RfStV) und dem Mediendienstestaatsvertrag (MDStV). Auf der Inhalteebene seien schlielich die Vorschriften des Bundesdatenschutzgesetzes (BDSG) sowie der einschlgigen Landesdatenschutzgesetze zu bercksichtigen.

Dieses Schichtenmodell zeigt Garstka zufolge zugleich, dass sich auch die gesamte Telekommunikations-berwachung ausschlielich auf die Netzebene beschrnke. Bloe Anbieter von Tele- oder Mediendiensten seien zu entsprechenden Ausknften oder berwachungen nicht verpflichtet. Darber hinaus bestehe fr Telekommunikations-Diensteanbieter keine Verpflichtung zur Speicherung von Daten, die zur Diensteerbringung einschlielich der Abrechnung nicht erforderlich sind. Als einzige Ausnahme kmen Manahmen der Datensicherheit in Betracht - die hierfr gespeicherten Daten drften jedoch ausschlielich zu Zwecken der Datensicherheit verwendet werden, nicht aber fr Strafverfolgungsmanahmen. Kritik bte Garstka an der Ausgestaltung des TKG, welche die eigentlich klare Abgrenzung zwischen bertragung und Inhalt im Falle der Sprachbertragung durchbreche und hier auch die Dienste- und Inhalteebene dem Telekommunikationsbegriff unterwerfe. Ein hnliches Problem stelle sich auch im Falle von E-Mail - hier neige die Regulierungsbehrde fr Telekommunikation und Post (RegTP) wohl dazu, den Telekommunikationsbegriff ebenfalls zu berdehnen. Mit Blick auf die neu geschaffenen 100g, h StPO stelle sich ein weiteres telekommunikations-datenschutzrechtliches Problem. So sei die Mglichkeit, die Auskunftserteilung auch fr zuknftige Telekommunikationsverbindungen anzuordnen, nun gesetzlich ausdrcklich vorgesehen - ungeklrt sei aber, ob dies auch die Speicherung bzw. bermittlung von Daten rechtfertige, die normalerweise nicht gespeichert wrden, bei einer auf vergangene Telekommunikationsvorgnge bezogenen Auskunftsverpflichtung also nicht mitgeteilt worden wren.

Die anschlieende rege Diskussion streifte zahlreiche Details und wurde von den anwesenden Providern zur Klrung einiger Unklarheiten ber die bestehenden rechtlichen Verpflichtungen genutzt - namentlich hinsichtlich der Frage, inwieweit IP-Adressen gespeichert werden drfen bzw. welche Verarbeitungsvorgnge noch vom Zweck der Abrechnung gedeckt sind. In zwei weiteren Interventionen wurde die Einschtzung Garstkas bezweifelt, dass einerseits IP-Adressen nicht dem Telekommunikations-Bereich zuzuordnen seien und dass andererseits WWW-Angebote regelmig dem Bereich der Massenkommunikation zuzuordnen seien und daher dem MDStV und nicht dem IuKDG unterfielen.

d) Dr. Jrgen P. Graf, Oberstaatsanwalt beim Bundesgerichtshof (BGH)

Nach einer kurzen Kaffeepause, die von den Veranstaltungsteilnehmern fr rege Diskussionen genutzt wurde, ergriff Dr. Jrgen Graf, der Vertreter der Generalbundesanwaltschaft, das Wort. Er erluterte zunchst einige aktuelle Gesetzesnderungen und stellte hierbei zuerst die einschlgigen Vorschriften des Elektronischer-Geschftsverkehr-Gesetzes (EGG). Sachlich habe sich dabei nicht viel verndert - in erster Linie seien die Vorgaben der E-Commerce-Richtlinie bernommen worden. Nach wie vor fehle es also u. a. an einer ausdrcklichen Haftungsregelung fr Hyperlinks. Und auch die Einordnung von Suchmaschinen sei unklar. Er selbst neige jedoch dazu, die Betreiber von Suchmaschinen wie Inhalteanbieter zu behandeln, so dass von einer Verantwortlichkeit (ab Kenntnis) auszugehen sei. Darber hinaus sei auch der Hinweis auf die "nach allgemeinen Gesetzen" unverndert fortbestehende Verantwortung fr die Sperrung von Inhalten in der Sache unverndert geblieben. Dr. Graf erinnerte daran, dass die Generalbundesanwaltschaft bereits im Rahmen des "Radikal"-Verfahrens - gegen die berwiegende Auffassung in der Literatur und auch gegen die Auffassung des fr das IuKDG federfhrenden Ministeriums - die Ansicht vertreten habe, dass hier unter die allgemeinen Gesetze auch das Strafgesetzbuch (StGB) falle. Hiervon abzugehen gebe nach Ansicht von Dr. Graf auch die Novellierung keinen Anlass. Hinsichtlich der Ausfhrungen von Herrn Fick zur Umgehung von Sperrungsmanahmen bemerkte Dr. Graf, dass die Mglichkeit der Umgehung hoheitlicher Verbote den normativen Geltungsanspruch dieser Verbote nicht reduziere und auch nicht gegen sie ins Feld gefhrt werden knne.

Ausfhrlich erluterte Dr. Graf dann die beiden zentralen materiell-rechtlichen Neuerungen, die 100g, h StPO im Vergleich zum frheren 12 Fernmeldeanlagengesetz (FAG) mit sich gebracht haben. So knnten Auskunftsverlangen nun auch fr zuknftige Telekommunikationsvorgnge gestellt werden. Dies stelle auch unter Datenschutzgesichtspunkten eine Verbesserung da, weil man in der Praxis die bisher geltende Einschrnkung dadurch umgangen habe, dass man berwachungsmanahmen nach 100a StPO anordnete, dabei jedoch die Inhalte der Telekommunikation nicht weiter verarbeitete und lediglich auf die angefallenen Verbindungsdaten zurckgriff. Man hatte also bis dato mit "Kanonen auf Spatzen geschossen" (Graf), was mit der neuen Regelung nicht mehr erforderlich sei, da man nun gezielt die Mitteilung nur der (knftig anfallenden) Verbindungsdaten verlangen knne. Die zweite Neuerung, die Verpflichtung der Telekommunikations-Diensteanbieter, die Auskunft "unverzglich" zu erteilen, hinge schlielich eng mit dieser ersten Neuerung zusammen. Sie sei notwendig geworden, da die Auskunft ber vergangene Telekommunikationsvorgnge im Regelfall nicht so eilig sei wie die Auskunft ber laufend neu anfallende Telekommunikationsvorgnge.

Anschlieend wandte sich der Referent der berwachung des E-Mail-Verkehrs zu. Voraussetzung hierfr sei stets ein richterlicher Beschluss oder eine staatsanwaltschaftliche Eilanordnung. Unstrittig sei eine berwachung beim Absender wie auch eine berwachung beim Empfnger als Manahme der Telekommunikationsberwachung nach 100a StPO zu qualifizieren. Streit herrsche hingegen ber die Rechtsgrundlage fr den Zugriff beim Internet-Provider. Whrend man bislang berwiegend auch hier auf 100a StPO zurckgegriffen habe und nur gelegentlich die Auffassung vertreten wurde, dass die allgemeinen Vorschriften zur Beschlagnahme ( 94, 98 StPO) anwendbar seien, habe sich im Nachgang der Ereignisse vom 11.09.2001 eine nderung der Rechtspraxis ergeben. Der Ermittlungsrichter beim BGH sei Ende 2001 der Auffassung der Generalbundesanwaltschaft gefolgt, wonach beim Zugriff auf eine beim Internet-Provider "ruhende" E-Mail die Vorschrift ber die Postbeschlagnahme ( 99 StPO) analog anzuwenden sei. Praktisch gehe es den Strafverfolgungsbehrden nur darum, Kopien der zu beschlagnahmenden Mails zu erhalten. Sofern der Provider dies sicherstelle, greife man nicht auf die rechtlich auch zulssige Mglichkeit der weitergehenden Beschlagnahme (z. B. auch des Servers) zurck. Die Beschlagnahme knne insbesondere auch fr knftige E-Mails angeordnet werden. Auf Nachfrage erklrte Dr. Graf, dass seiner Auffassung nach eine Beschlagnahmemanahme aber nicht gegen solche Mail-Provider gerichtet werde, welche die zu berwachenden E-Mails nur an ein anderes Postfach des Betroffenen weiterleiten.

Zum Abschluss seines Vortrages wandte sich Dr. Graf der TKV zu und hier namentlich der in 12 Abs. 2 S. 2 TKV vorgesehenen Frist von drei Tagen, innerhalb deren dem zur technischen Umsetzung der berwachungmanahme verpflichteten Telekommunikations-Diensteanbieter das Original des (vorab zumeist per Fax zugestellten) Anordnungsbeschlusses vorzulegen ist. In der kurzen Zeit, in der die TKV nun gelte, habe die Bestimmung dieser Frist groe Schwierigkeiten bereitet, da es an einer ausdrcklichen Vorgabe hierzu fehle und die Berechnung von Fristen nach anderen Gesetzen (Brgerliches Gesetzbuch (BGB), StPO etc.) nicht einheitlich geregelt sei. Dies betreffe insbesondere die Frage, ob der Tag, an dem das fristenauslsende Ereignis, hier also die Beschlussanordnung, stattfindet, mitzuzhlen ist. Gerade bei an einem Freitag ergangenen Beschlssen bestehe hier nach Ansicht von Dr. Graf die Gefahr, dass das Original nicht rechtzeitig zugestellt und daher die berwachung durch den Diensteanbieter beendet wird.

e) Jrgen Ullrich, Bundesministerium fr Wirtschaft und Technologie (BMWi)

Als letzter Redner des Tages kam dann Herr Ullrich aus dem Referat VII B 2 (Sicherheit in der Telekommunikation, Notfallvorsorge, UMTS) des Bundesministeriums fr Wirtschaft und Technologie zu Wort. Ullrich erluterte als Mitarbeiter des fr die TKV federfhrenden Referates ausschlielich Fragestellungen im Zusammenhang mit dieser Rechtsverordnung. Dabei wies er zunchst darauf hin, dass die RegTP zur Frage des Beginns der Frist nach 12 Abs. 2 S. 2 TKV dahin gehend Stellung genommen habe, dass nach ihrer Auffassung der Tag, an dem die Anordnung ergeht, nicht mitzuzhlen sei. Die Frist habe man in die TKV eingebracht, um die bis dahin zu beobachtende Praxis, dass das Original des Beschlusses oftmals erst nur sehr spt oder sogar berhaupt nicht nachgereicht wurde, zu beenden. Die Frist diene damit der Rechtssicherheit fr die betroffenen Diensteanbieter.

Gegenwrtig beschftige das Ministerium jedoch die anstehende Ergnzung der TKV, deren Hintergrund Ullrich nun erluterte. Mit der Novelle des G10-Gesetzes im Sommer 2001 seien die gesetzlichen Grundlagen fr eine strategische berwachung der Auslandskommunikation durch den Bundesnachrichtendienst (BND) auch auf leitungsgebundenen bertragungswegen geschaffen worden. Das fr den BND zustndige Bundeskanzleramt habe daraufhin vierzehn Tage vor der Kabinettssitzung, bei der die TKV beschlossen werden sollte, das BMWi darum gebeten, die zur Umsetzung dieser Vorgaben des G10-Gesetzes erforderlichen Manahmen in der TKV zu bercksichtigen. Angesichts des von der bis dahin ausschlielich auf die Individualberwachung zugeschnittenen TKV fundamental abweichenden Ansatzes der strategischen Telekommunikations-Kontrolle sei eine Lsung bis zur Verabschiedung der TKV jedoch nicht mehr mglich gewesen. Noch bevor die TKV im Januar 2002 in Kraft getreten ist, habe man daher mit der Arbeit an ihrer Novellierung begonnen. Sachliche nderungen an den Regeln zur Individualkontrolle werde es nach derzeitigem Stand der Dinge nicht geben. Vielmehr plane man die Einfgung eines neuen Teils fr strategische Kontrollmanahmen.

Diese geplante Novellierung traf auf reges Interesse der anwesenden Provider. In der zum Teil kontrovers gefhrten Diskussion besttigte Ullrich, dass von den Manahmen der strategischen Telekommunikations-berwachung andere Unternehmen betroffen seien als von den bisher geltenden Manahmen der Individualberwachung - nmlich vor allem Betreiber von bertragungswegen. Whrend ein Veranstaltungsteilnehmer auf die erheblichen Kosten hinwies, welche die Implementierung der geplanten Manahmen verursachen werde, lenkte Ullrich die Diskussion abschlieend auf eine bislang ungeklrte Frage. Da das G10-Gesetz in 10 Abs. 4 vorsieht, dass im primr relevanten Bereich maximal 20 Prozent der Auslandstelekommunikation ausgewertet werden darf, msse jemand diese 20 Prozent auswhlen. Im BMWi tendiere man dazu, eine Doppelung des gesamten betroffenen Telekommunikationsverkehrs durch den Betreiber vorzusehen und die Auswahl der auszuwertenden 20 Prozent dem BND zu berlassen. Anderenfalls trfe die Betreiber eine erhebliche Verantwortung, in deren Wahrnehmung sie berdies auch nicht kontrolliert werden knnten.

2. Tag: Montag, 27.02.2002, 9 Uhr-12:40 Uhr

Nachdem am ersten Tag die divergierenden Interessenlagen in Einzelvortrgen dargelegt worden waren, sollten am zweiten Tag der Veranstaltung die zentralen Anliegen der jeweiligen Interessengruppen formuliert und idealerweise aufeinander abgestimmt werden, so dass als Ergebnis dieses Prozesses ein kurzer Leitfaden fr die praktische Handhabung erstellt werden knnte. Die derzeit vorbereitete Erweiterung der TKV wurde dabei thematisch ausgespart und wird wohl Thema einer eigenstndigen Veranstaltung im April 2002 werden. Zu den verbleibenden Fragestellungen wurden nach einer kurzen Ansprache von Prof. Rotert, in welcher dieser auch ein erstes Resmee der Diskussionen vom Vortag zog, drei etwa gleich starke Arbeitsgruppen fr die Bereiche "Provider", "Strafverfolgung" und "Datenschutz" gebildet. Diese Arbeitsgruppen versuchten etwa anderthalb Stunden lang, aus der jeweils eingenommenen Sicht die zentralen Aussagen und Anliegen zu formulieren. Dabei wurde sachlich und konzentriert, aber durchauch auch kontrovers diskutiert. Unter besonderen Hrten hatten die "Datenschtzer" zu leiden, die nicht nur aus Platzgrnden den Sitzungssaal verlassen und im Foyer debattieren mussten, sondern dort auch noch von phonintensiven Umbauarbeiten in der Halle des "Maritim" gestrt wurden. Der Diskursfreude tat jedoch auch dies keinen Abbruch, so dass alle drei Gruppen nach einer kurzen Kaffeepause, in der munter weiterdiskutiert wurde, gegen 11 Uhr praktische Ergebnisse prsentieren konnten.

a) Provider

Diese Ergebnisse durfte zunchst fr die Gruppe der "Provider" Herr Fick von NetCologne prsentieren. Er stellte einleitend die Frage, ob bzw. welche Verbindungsdaten an Strafverfolgungsbehrden herausgegeben drften. Dabei gehe es einerseits um abrechnungsrelevante Verbindungsdaten und andererseits um solche mit Relevanz fr die Datensicherheit. Auch sei es aus Sicht der Provider klrungsbedrftig, ob statt IP-Adressen mglicherweise nur die interne Nutzer-Kennungen gespeichert (und dann auch herausgegeben) werden drfen. In der Diskussion zu diesem Punkt hielten sowohl Dr. Graf als auch Frau Jennen fest, dass es nicht darauf ankomme, ob der Provider die Daten rechtmig gespeichert habe. Herauszugeben sei der vorhandene Datenbestand. Die StPO ziehe hier der Nichtverwertbarkeit sehr enge Grenzen.

Als zweites Anliegen der Provider formulierte Herr Fick anschlieend die Bitte, dass die Strafverfolgungsbehrden vor der Formulierung eines Auskunftsbegehrens zunchst bei RIPE denjenigen Provider identifizieren sollten, in dessen Bestand sich die IP-Adresse befindet, zu der Bestandsdaten gesucht werden. In der Praxis komme es nicht selten vor, dass Provider um Auskunft gebeten wrden, die mit der betreffenden IP-Adresse nichts zu tun htten. Die anwesenden Vertreter der Strafverfolgungsbehrden stimmten diesem Anliegen zu, wiesen aber zugleich darauf hin, dass ein solches Vorgehen jedenfalls in ihrem Bereich ohnehin der gngigen Praxis entspreche. Allgemein wurde jedoch ein gewisser Schulungsbedarf fr nicht auf Flle der Internet-Kriminalitt spezialisierte Strafverfolgungsbehrden konstatiert.

Ein weiterer Punkt, der der Provider-Seite wichtig sei, betrifft den Ausfhrungen von Fick zufolge die Vollstndigkeit der Angaben bei einem Auskunftsbegehren. Insbesondere reiche die Nennung einer IP-Adresse nicht aus, vielmehr mssten auch Datum und Zeit ihrer Verwendung angegeben werden - wobei namentlich der Angabe der korrekten Zeitzone groe Bedeutung zukomme. Verschiedene Provider besttigten, dass hier in der Praxis nach wie vor erheblicher Verbesserungsbedarf zu konstatieren sei.

Als besonderes Problem bezeichnete Fick dann die Speicherung von IP-Adressen ohne Gerichtsbeschluss, die von den Strafverfolgungsbehrden gelegentlich bei Gefahr in Bezug verlangt werde. Dr. Graf besttigte bei der Diskussion, dass die Rechtslage hierbei ungeklrt sei, eine ausdrckliche Rechtsgrundlage insoweit nicht bestehe. Allerdings htten die Strafverfolgungsbehrden - einschlielich der als Hilfsbeamten der Staatsanwaltschaft auftretenden Polizeibeamten - die Mglichkeit, bei Gefahr im Verzug auch ohne richterliche Anordnung die Daten zu beschlagnahmen, so dass sich das "Einfrieren" beim Provider als praktikable und alle Seiten weniger belastende Lsung bewhrt habe. Die Herausgabe an die Strafverfolgungsbehrden erfolge dann erst, wenn eine Anordnung vorliege. Insoweit wurde von Providerseite bemngelt, dass hierfr keine klaren Fristenregelungen bestnden. In der Praxis komme es daher vor, dass eine Behrde aufgrund eines angekndigten Beschlusses den Provider zum Speichern (Einfrieren) bestimmter Daten verpflichte, der angekndigte Beschluss jedoch erst nach Monaten oder auch berhaupt nicht nachgereicht wrde. Dr. Graf wies hierbei darauf hin, dass die Provider in einem solchen Fall unbedingt nach gewisser Zeit, keinesfalls erst nach Monaten, bei der betreffenden Behrde nachfragen sollten, um zu klren, wie lange die Datenspeicherung noch zu erfolgen habe bzw. ob berhaupt noch mit einem richterlichen Beschluss zu rechnen sei oder die bislang "eingefrorenen" Daten gelscht werden mssen.

Als ein weiteres Anliegen der Providerseite nannte Fick dann die eindeutige Kennzeichnung hoheitlicher Anfragen. Oftmals fehle es an eindeutigen Aktenzeichen, was insbesondere die Kostenerstattung erschwere, da sich die hierfr zustndige Behrde im Falle des Fehlens einer eindeutigen Kennzeichnung bisweilen auer Stande sehe, den Vorgang nachzuvollziehen und die Kostenerstattung zu gewhren. Des Weiteren sei aus Sicht der Provider auch eine Klrung des bereits am Vortag ausfhrlich diskutierten Problems der Drei-Tages-Frist fr die Zustellung der Originalbeschlsse im Anwendungsbereich der TKV wnschenswert. Abschlieend wies Fick dann auch noch auf ein mit Inkrafttreten der 100g, h StPO neu entstandenes praktisches Problem hin. Nachdem nun auch die Herausgabe der Daten ber knftige Telekommunikationsvorgnge angeordnet werden knne, stelle sich die Frage, wie oft eine solche bermittlung zu erfolgen habe. Whrend die Herausgabe der Daten vergangener Telekommunikationsvorgnge in einem Arbeitsvorgang erledigt werden knne, sei hier offen, ob der Provider die wchentliche oder gar tgliche Herausgabe sicherstellen msse - oder ob gar die Einrichtung einer Online-Abfragemglichkeit gewnscht sei und wer gegebenenfalls fr die hierfr anfallenden Kosten aufkomme.

b) Datenschutz

Die Vorstellung der Ergebnisse der "Datenschutz"-Gruppe (sowie deren Diskussionsleitung) hatte Frau Jennen bernommen. Sie machte zunchst deutlich, dass im Bereich der Internet-Kommunikation die deutsche Rechtslage, die nach Telekommunikations- und Telediensten differenziere, erhebliche Rechtsanwendungsprobleme aufwerfe, welche auch in der (einheitlichen) Darstellung gewisse Vereinfachungen erforderten. Des Weiteren stnden die Vorgaben des Datenschutzes eigentlich im Vorfeld eines strafverfolgungsbehrdlichen Auskunftsbegehrens. Denn nur solche Daten seien herauszugeben, ber die der Provider verfge. Und ber welche er verfge, richte sich - idealiter - danach, ber welche er (datenschutzrechtlich) verfgen drfe. Dabei lieen sich grob drei Datenkategorien nach dem mit der Speicherung der Daten verfolgten Zweck unterscheiden: personenbezogene Daten, die zur Leistungsbereitstellung bentigt werden, personenbezogene Daten, die zu Abrechnungszwecken bentigt werden, und personenbezogene Daten, die zum ordnungsgemen Betrieb des Telekommunikations- bzw. Teledienstes bentigt werden. Alle Datenspeicherungen stnden dabei jedoch unter der strikten Bedingung der Erforderlichkeit mit Blick auf den jeweiligen Zweck.

Die Daten, die zur Leistungsbereitstellung bentigt werden, stellten einen zunchst unter Umstnden durchaus umfangreichen Datensatz dar. Dieser msse jedoch unverzglich nach Beendigung der jeweiligen Kommunikationsverbindung gelscht werden. Dabei sei es aus datenschutzrechtlicher Sicht allerdings noch tolerabel, wenn dies aus technischen Grnden einige Tage - bis zu einer Woche - in Anspruch nehme.^[2] Keinesfalls knne aber durch den bewuten Rckgriff auf nicht dem Stand der Technik entsprechende Systeme diese Speicherfrist knstlich in die Lnge gezogen werden.

Aus den ursprnglich umfassenden Datenstzen drften lnger nur die zu Abrechnungszwecken bentigten Daten gespeichert werden. Diese Daten drften bis zu sechs Monate nach Rechnungsversand gespeichert werden. Hierbei sei jedoch explizit darauf hinzuweisen, dass es sich um eine bloe "Kann"-Bestimmung handelt, der Provider die Daten also keinesfalls sechs Monate lang speichern muss.^[3] Frau Jennen betonte auch ausdrcklich noch einmal, dass hier nur solche Daten gespeichert werden drften, die zu Abrechnungszwecken wirklich erforderlich seien. Insbesondere eine Speicherung dynamischer IP-Adressen durch auf der Basis von Telefongebhren abrechnende Access-Provider sei regelmig rechtswidrig.

Die dritte und letzte Datenkategorie betreffe schlielich solche Daten, die zur Aufrechterhaltung eines ordnungsgemen Betriebes erforderlich seien - zu denken sei hierbei insbesondere an die Erkennung und Abwehr von Hackerangriffen und vergleichbaren Attacken auf die Integritt der Kommunikationssysteme. Nach der Diskussion mit einigen anwesenden Providern hielt Frau Jennen hier eine zeitweise Speicherung fr durchaus zulssig, um die Datenbestnde auf das Auftreten bestimmter Angriffsmuster hin analysieren zu knnen. Dabei habe sich im Gesprch mit den anwesenden Technikern eine Frist von maximal vier Wochen herauskristallisiert.^[4]

Abschlieend wies Frau Jennen noch auf zwei Einzelpunkte hin, die in der Diskussion innerhalb der Arbeitsgruppe als besonders bedeutsam eingeschtzt worden waren. So betreffe, erstens, die geschilderte Lschungsfrist nicht statische IP-Adressen, da diese, auerhalb des Kontextes eines konkreten Verarbeitungsvorganges, kein Verbindungsdatum, sondern ein der Telefonnummer vergleichbares Bestandsdatum darstellten. Zweitens bestehe, mit der Ausnahme der Einschaltung Dritter zu Abrechnungszwecken, weder eine Verpflichtung noch eine Berechtigung zur Herausgabe von Verbindungs- oder Nutzungsdaten an Private. Die seitens des Betroffenen nicht erlaubte bermittlung solcher Daten an Privatpersonen, Firmen oder Urheberverbnde sowie an fr diese handelnde Rechtsanwlte sei daher datenschutzrechtlich unzulssig und zge ggf. entsprechende Konsequenzen nach sich. Eine Herausgabe komme nur auf Grundlage staatsanwaltschaftlicher oder richterlicher Anordnungen in Betracht bzw. habe auf eine solche Anordnung hin zu erfolgen.

c) Strafverfolgungsbehrden

Den Abschluss der Ergebnisprsentation bernahm dann Dr. Graf fr die Gruppe der "Strafverfolger", deren zentrale Anliegen er in fnf Thesen zusammengefasst hatte. So sei zum ersten mit den derzeitigen Datenschutzregeln eine effektive Strafverfolgung nicht sichergestellt. Aufgrund der Bindung an Abrechnungszwecke seien beispielsweise bei der Nutzung von Flatrates keinerlei Verbindungsdaten vorhanden, liefen Strafverfolgungsmanahmen also von vornherein ins Leere. Die zweite These griff die bereits in den vorangegangenen Diskussionen klargestellte Verpflichtung der Provider auf, bei ihnen - aus welchen Grnden auch immer - gespeicherte Daten auf Anordnung der Ermittlungsbehrden herauszugeben. Nicht auf die rechtmige Speicherung, sondern nur auf die tatschliche Speicherung komme es an. Dabei hnge, drittens, der Umfang der Speicherung (mit oder ohne IP-Adresse) von den Belangen der Provider, dem Zweck der Speicherung, ab. Hierin liege eine fundamentale Schwche der bestehenden Datenschutzbestimmungen, da der Umfang der zu Strafverfolgungszwecken vorhandenen Daten in einem gewissen Mae anbieterseitig bestimmt werden knne (also z. B. durch die Wahl bestimmter Abrechnungsformen, wie eben einer Flatrate). Aus all diesen Grnden ergebe sich, viertens, auch eine schwierige Situation fr die Provider. Fnftens und letztens sei auf den Umfang der Kosten fr die Datenspeicherung hinzuweisen, die von der betrieblichen Organisation der Provider und der von ihnen verwendeten Technik abhingen. Dr. Graf wies darauf hin, dass die zu gewhrende Kostenerstattung in der Praxis regelmig auch deutlich hinter den tatschlich anfallenden Kosten zurckbleibe.

Nachdem nun alle drei Gruppen ihre Ergebnisse vorgestellt und in der Diskussion erlutert hatten, schlo Prof. Rotert die Veranstaltung mit einem kurzen Resmee und der Ankndigung, die angefallenen Materialien sowie eine Zusammenstellung der Arbeitsergebnisse den Veranstaltungsteilnehmern per elektronischer Post baldmglichst zukommen zu lassen.

Fazit:

Eco hat, in Zusammenarbeit mit den Sicherheitsbehrden, eine interessante Veranstaltung mit einem erfreulich heterogen besetzten Teilnehmerfeld ausgerichtet. Zwar wurde die mglicherweise angesichts der aktuellen Ereignisse gehegte Hoffnung enttuscht, dass neue Erkenntnisse bezglich der Sperrungsanordnungen durch die Bezirksregierung Dsseldorf gewonnen werden knnten. Hierzu war die Veranstaltung jedoch auch zu sehr auf die Wahrnehmung repressiver Aufgaben, d. h. solche der Strafverfolgung, zugeschnitten, wohingegen Sperrungsanordnungen als polizeiliche Manahmen der (prventiven) Gefahrenabwehr dienen und auch auf gnzlich anderer Rechtsgrundlage als Abhrmanahmen und Auskunftsbegehren erfolgen. Nichtsdestotrotz, das zeigten gerade auch die oftmals lebhaft aber immer konstruktiv gefhrten Diskussionen, waren die behandelten Fragen von zentraler Bedeutung fr die Arbeit von Internet-Providern. Hier wurden viele Unklarheiten - bei allen Beteiligten - beseitigt und ersichtlich zur Verbesserung des gegenseitigen Verstndnisses beigetragen.

Eine andere Frage ist jedoch, ob in Zukunft Veranstaltungen, in denen es um Grundsatzfragen der Internet-Informationsordnung geht, wirklich als zumindest semi-kommerzielle Tagungen abgehalten werden mssen. Whrend die Veranstaltung fr Behrdenvertreter und eco-Mitglieder kostenlos war, mussten Dritte eine Teilnahmegebhr von 300 Euro entrichten. Das ist im Vergleich zu anderen Fachtagungen sicherlich noch gnstig und angesichts des luxurisen Rahmens und der kompetenten Besetzung auch allemal noch angemessen. Gerade Verteter der ebenfalls betroffenen Endnutzerseite werden jedoch mit einer solchen preislichen Barriere de facto ausgeschlossen, so dass die Konsensfindung letzten Endes im Wesentlichen zwischen den am Datenzugriff interessierten Strafverfolgern und den an kontrollierbaren Kosten interessierten Providern erfolgte. Verstrkt wurde diese Ausschlusswirkung berdies faktisch duch die enge Begrenzung der Teilnehmerzahl. Lediglich die wenigen anwesenden Datenschtzer stellten eine unmittelbare Interessenwahrnehmung fr die Endnutzerseite dar. Gerade die mitveranstaltenden Sicherheitsbehrden als eigentlich dem ffentlichen Interesse und nicht primr Partikularinteressen verpflichtete Institutionen mssen sich durchaus fragen lassen, ob ein solcher Ansatz nicht verbesserungsfhig ist. Denn dass die Veranstaltung sowohl fr die Providerseite als auch fr die Strafverfolger mit einem durchaus nennenswerten Informationsgewinn verbunden war, wurde in den Diskussionen augenfllig - hieran auch die von den Zwecken der Strafverfolgung dienenden Grundrechtseingriffen Betroffenen strker zu beteiligen, sollte knftig ein wichtiges Anliegen sein.