Urteile

Editorial: Datenschutz mit zweierlei Maß

Der BND darf alles mitschneiden, der Domain-Registrar hingegen nichts veröffentlichen: Widersprüchliche Urteile in Sachen Datenschutz
AAA
Teilen (15)

Zwei Urteile der vergangenen Woche machen deutlich, dass es künftig beim Datenschutz zweierlei Maß gibt: Gegenüber Firmen hat der Bürger - zumindest auf dem Papier - recht viele Rechte. Gegenüber staatlichen Mitlauschern wie den Geheimdiensten hingegen gar keine.

Die Internet Corporation for Assigned Names and Numbers, kurz ICANN, ist beim Landgericht Bonn mit dem Ansinnen abgeblitzt, den Domain-Registrar EPAG weiterhin dazu zu verpflichten, bei der Domain-Registrierung nicht nur den Domain-Inhaber zu verfassen, sondern darüber hinaus zwei Ansprechpartner für rechtliche und technische Belange (Admin-C und Tech-C). Letzteres verstößt nach Ansicht der EPAG gegen das Datensparsamkeitsgebot der DSGVO. Dieser Auffassung schloss sich das Landgericht Bonn in einem Verfügungsverfahren an. Es ist damit eines der ersten Beschlüsse eines Gerichts in einem Verfahren nach der neuen DSGVO.

Datenschutz mit zweierlei MaßDatenschutz mit zweierlei Maß Dazu diametral entgegengesetzt fällt das Urteil des Bundesverwaltungsgerichts Leipzig aus: Der DE-CIX, der (gemessen am Traffic) nicht nur der größte öffentliche Internetaustauschknoten Deutschlands, sondern der ganzen Welt ist, muss es weiter hinnehmen, dass der BND über so genannte Spiegelports einen Mitschnitt aller transportierten Daten zugespielt bekommt. Die Betreiber des DE-CIX müssen darauf vertrauen, dass der BND aus dem "full feed" sich dann selber jene Daten herauspickt, auf die er legal zugreifen darf, nämlich rein ausländische Kommunikation, während Kommunikation von Deutschen untereinander und von Deutschen mit Personen im Ausland grundsätzlich durch das grundgesetzlich garantierte Fernmeldegeheimnis vor dem Pauschalzugriff durch den BND geschützt ist. Nur bei begründeten Verdacht auf eine Straftat darf nach richterlicher Anordnung die Telekommunikation aufgezeichnet werden.

Ins Verhältnis gesetzt

Bei Admin-C und Tech-C geht es am Ende um einige Gigabyte an Daten, die zudem in den meisten Fällen vergleichsweise wenig Nutzen haben: Bei den allermeisten Domains ist als Admin-C der Domain-Inhaber eingetragen, so dass die Daten eh bereits vorhanden sind, und als Tech-C trägt sich der Provider meist automatisch selber ein. Letzteren kann man meist auch auf anderem Weg ermitteln, beispielsweise über die IP-Adresse des Servers. Bei seriös betriebenen Webauftritten findet man den Admin-C zudem im Impressum. Die Impressumspflicht wurde durch das genannte Urteil übrigens nicht abgeschafft.

Beim DE-CIX geht es hingegen um ein halbes Terabyte - jede Sekunde! So viele Daten fließen nämlich über die insgesamt 19 Rechenzentren des DE-CIX. Dass sich darunter ungleich mehr interessanter Beifang befindet als in den whois-Daten, brauche ich sicherlich nicht extra zu erwähnen. Übrigens: Voice over IP wird immer beliebter. Und die meisten VoIP-Endgeräte, wie Telefonanlagen, DSL-/Kabel-Router oder SIP-Telefone, beherrschen bis heute weder SIPS noch SRTP, geschweige denn das Ende-zu-Ende-abgesicherte ZRTP, sondern nur ungesichertes SIP und RTP. Rufnummern und Gesprächsinhalte, alles wird unverschlüsselt übertragen. Natürlich auch über den DE-CIX.

Die vorletzte Hoffnung ist, dass die Betreiber des DE-CIX vor dem Bundesverfassungsgericht doch noch Recht bekommen. Falls sie auch dort abblitzen, wäre der Europäische Gerichtshof für Menschenrechte (EGMR) dann die allerletzte Instanz.

Teilen (15)

Weitere Editorials