Die Reaktionen kamen ebenso schnell – wie vorhersehbar: Bereits einen Tag nach den blutigen Anschlägen von Paris forderte Jörg Radek, stellvertretender Vorsitzender der Gewerkschaft der Polizei, die Ausweitung der umstrittenen Vorratsdatenspeicherung. Und ebenso reflexhaft konterte der FDP-Parteivize Wolfgang Kubicki die Forderung umgehend als unsinnig. Gerade die Terroranschläge hätten bewiesen, dass die in Frankreich seit 2006 praktizierte Datenspeicherung ebendiese Anschläge nicht habe verhindern können.
Das aber ist gar nicht ihr Ziel. Der Disput um die Speicherung der Standort- und Verbindungsdaten ist dominiert von falschen Versprechungen, Unterstellungen und grundlegenden Missverständnissen.
Der Versuch einer Bestandsaufnahme: Was geht? Was nicht? Und warum erfasst die Vorratsdatenspeicherung die brisantesten Daten überhaupt nicht?
Vorratsdatenspeicherung – seit Jahren ein Zankapfel
Telekommunikationsunternehmen in Europa sollen bestimmte Daten von Bürgern auf Vorrat speichern – für den Fall, dass Terrorfahnder oder Polizei sie später einmal brauchen. Basis dafür ist eine EU-Richtlinie (2006/24/EG). Sie verpflichtet die Mitglieder, dafür zu sorgen, dass Telekom-Unternehmen ohne Anfangsverdacht oder konkrete Gefahr Verbindungsdaten von Privatleuten über Telefonate und E-Mails festhalten. Gesprächsinhalte sind nicht betroffen.
In Deutschland ist die Vorratsdatenspeicherung gesetzlich noch nicht geregelt. Zwar trat im Januar 2008 ein Gesetz in Kraft, das die Speicherung der Verbindungsdaten von Telefon oder Internet für sechs Monate vorsah. Im März 2010 erklärte das Bundesverfassungsgericht die Regelung allerdings für verfassungswidrig – bis dahin gesammelte Daten mussten gelöscht werden. Die EU-Richtlinie selbst stellten die Richter nicht infrage, sie sprachen sich für eine Neufassung des deutschen Gesetzes aus.
In der schwarz-gelben Koalition (2009-2013) sperrte sich die FDP gegen die Vorratsdatenspeicherung - allen voran die damalige Bundesjustizministerin Sabine Leutheusser-Schnarrenberger. Vehement plädierte sie dafür, vor einer Wiedereinführung die Entscheidung des Europäischen Gerichtshofs über die EU-Richtlinie abzuwarten.
Im Koalitionsvertrag von Union und SPD heißt es nun: „Wir werden die EU-Richtlinie (...) umsetzen. (...) Dabei soll ein Zugriff auf die gespeicherten Daten nur bei schweren Straftaten und nach Genehmigung durch einen Richter sowie zur Abwehr akuter Gefahren für Leib und Leben erfolgen. (...) Auf EU-Ebene werden wir auf eine Verkürzung der Speicherfrist auf drei Monate hinwirken.“
Beweisen die Pariser Anschläge tatsächlich, dass die Vorratsdatenspeicherung nichts bringt?
Nein, denn die Speicherung der Kommunikationsdaten dient gar nicht dem Zweck der Prävention, sondern der Aufklärung von Verbrechen. Wer erwartet, dass die Vorratsdatenspeicherung solche Anschläge verhindern müsse, erliegt einem der größten Missverständnisse im langen und erbitterten Streit um die Datenerfassung: Denn sie ist von ihrer Konstruktion her gar kein Mittel der Verbrechensverhinderung, sondern primär der – in der Regel nachträglichen – Entschlüsselung der Zusammenhänge.
Schließlich werden die erfassten Daten in Deutschland zwar „anlasslos“ gespeichert, aber sie stehen den Ermittlern nur bei gerichtlich überprüfbaren „Verdachtsfällen“ zur Verfügung. Die bei den unterschiedlichen Kommunikationsanbietern für derzeit vier bis zehn Wochen gesicherten Verbindungsdaten werden also weder nach Stichworten wie „Anschlag“, „Attentatsplan“ oder „IS“ gefiltert, noch werden die Ermittlungsbehörden überhaupt automatisiert über Nachrichteninhalte benachrichtigt. Daten zum E-Mail-Verkehr werden gemäß der Mitte Oktober beschlossenen Neuregelung des Vorratsdatenspeicherung-Gesetzes sogar gar nicht erst erfasst.
Im Grunde dümpeln die erfassten Gigabytes an Verbindungs- und Positionsdaten zum allergrößten Teil ungenutzt in speziell abgesicherten Datenspeichern in den Rechenzentren der Netzbetreiber, um nach vier (Standortdaten), beziehungsweise zehn Wochen (Verbindungsdaten) zum weit überwiegenden Teil gelöscht zu werden.
Tatsächlich illustrieren Terrorakte wie die zuletzt in Paris das Grunddilemma, in dem Sicherheitsbehörden in rechtsstaatlichen Gesellschaften wie der Bundesrepublik aber eben auch Frankreich stecken. Einerseits werden Polizei und Verfassungsschutz nicht (mehr) nur daran gemessen, dass sie Straftaten aufklären, sondern auch daran, dass sie idealerweise verhindern, dass überhaupt welche geschehen. Zugleich aber müssen die Ermittler beim Versuch der Vorabaufklärung die Privatsphäre aller Bürgerinnen und Bürger respektieren.
Erst im Nachhinein (oder wenn es vorab konkrete Verdachtsmomente gegen potenzielle Straftäter gibt) ermöglicht sie, mithilfe eines Zugriffs auf die Verbindungsdaten, rasch festzustellen, ob, wann und mit wem ein als Straftäter (oder Verdächtiger) identifizierter Mensch kommuniziert hat.
Dass das funktioniert, und wie schnell es geht, zeigt das Beispiel von Paris geradezu exemplarisch: Sowohl nach dem Angriff auf Charlie Hebdo als auch am Freitag wieder nach den Anschlägen, waren die französischen Sicherheitsbehörden binnen kürzester Zeit in der Lage, große Teile der Kommunikationswege der Attentäter nachzuvollziehen.
Erwecken die Befürworter der Vorratsdatenspeicherung falsche Erwartungen?
Die Diskussion um die Vorratsdatenspeicherung ist in der Tat geprägt von einer Vielzahl von falschen Versprechungen und falschen Behauptungen. Wohlmeinend kann man hoffen, dass es sich nur um Irrtümer handelt, böswillig lässt sich aber auch bewusste Täuschung unterstellen.
In jedem Fall ist weder die von manchen Verfechtern der Vorratsdatenspeicherung propagierte Wirksamkeit zur Straftatverhinderung irgendwie belegbar, noch die von ihren Kritikern unterstellte Behauptung nachvollziehbar, die Vorratsdatenspeicherung verwandle Deutschland in einen Überwachungsstaat. Zumindest wer der Bundesrepublik eine – im Großen und Ganzen – funktionierende Gewaltenteilung zugesteht, sollte zur Kenntnis nehmen, dass die Rechtsprechung (als dritte Gewalt) der Exekutive (als zweiter Gewalt) beim Zugriff auf die im Zuge der Vorratsdatenspeicherung erfassten Daten der Bürger enge Grenzen setzt.
Dabei ist unbestritten, dass die anlasslose Speicherung der Informationen einen Verstoß gegen die rechtsstaatliche Unschuldsvermutung bedeutet. Ob die nun beschlossene Lösung des Zugriffs mit Richtervorbehalt ein grundgesetzkonformer Kompromiss ist, wird – erneut – das Bundesverfassungsgericht zu entscheiden haben. Auch das ist übrigens ein Zeichen einer funktionierenden Gewaltenteilung.
Die Tatsache jedenfalls, dass es in Paris schon wieder zu einem brutalen Attentat gekommen ist, eignet sich nicht als Beleg dafür, dass die Vorratsdatenspeicherung ein nutzloser Eingriff in die Bürgerrechte darstellt, sondern bloß, dass Befürworter oder Gegner bewusst oder unbewusst die falschen Erwartungen an die Speicherung geweckt haben.
Was soll eine Ausweitung der Datenerfassung dann überhaupt bringen?
Schon die – zwischenzeitlich vom Bundesverfassungsgericht gekippte – Erstfassung der deutschen Vorratsdatenspeicherung gab den Ermittlern längst nicht so weit reichende Datenzugriffsoptionen wie es etwa die im Juni beschlossene Verschärfung der Rechtslage in Frankreich oder die aktuell geplante Gesetzesänderung in Großbritannien zulassen.
In Frankreich ist inzwischen eine Speicherung von Daten über bis zu fünf Jahre möglich. Und weder bei der Speicherung noch bei der Nutzung von (Staats-) Trojanern ist eine richterliche Vorabkontrolle vorgesehen. Und auch in Großbritannien sollen Ermittlungsbehörden ohne richterliche Genehmigung Zugang zu Verbindungsprotokollen erhalten, wie Innenministerin Theresa May Anfang November im Londoner Parlament angekündigt hat. Auch die Überprüfung, wer welche Webseiten aufgerufen hat, soll möglich sein. Nur, wenn es um den Zugriff auf die vollständigen Inhalte der Kommunikation geht – also etwa das Mitlesen von Nachrichten, oder das Mithören von Anrufen oder Sprach-Chats – ist eine juristische Genehmigung vorgesehen.
Und was fordern nun deutsche Ermittler wie GdP-Vize Radek? Weder den Wegfall der richterlichen Kontrolle, noch umfassenden Zugriff auf alle Daten. Stattdessen geht es vor allem um eine Verlängerung der Zugriffsfristen. Aus Sicht der Fahnder sollten die Daten erst nach einem Jahr gelöscht werden.
Zum einen, weil der für die Herausgabe einzelner Datensätze erforderliche Nachweis eines begründeten Verdachts gegenüber dem Richter oft erst Wochen nach deren Erfassung möglich sei. Zum anderen, weil in vielen Ermittlungsfällen Hinweise, die die Relevanz einzelner Datensätze belegten, überhaupt erst nach Ablauf der Speicherfrist gefunden werden.
Allzu oft, bemängeln deshalb Fahnder, werde daher erst nach Löschung der Daten klar oder nachweisbar, dass bestimmte Verbindungs- oder Positionsinformationen überhaupt für die Aufklärung von Straftaten nützlich sein könnten – oder dass es wichtig sein könnte, mit wem ein zwischenzeitlich verhafteter Verdächtiger wann kommuniziert habe. Eine längere Datenhaltung verhindere daher nur, so die Fahnder, dass potenzielle Beweismittel vernichtet werden, und bedeute nicht den Einstieg in den umfassenden Überwachungsstaat.
Das klingt schlüssig, umso mehr als die deutsche Vorratsdatenspeicherung neben dem E-Mail-Verkehr auch eine Vielzahl weiterer Kommunikationswege gar nicht erfasst.
Warum versagt die Vorratsdatenspeicherung als Frühwarnsystem?
Eine Art digitaler Schleppnetzfahndung in den gespeicherten Kommunikationsdaten, wie sie Kritiker der Vorratsdatenspeicherung befürchten, und die sich mancher Ermittler vielleicht als Mittel zur Vorabaufklärung von Anschlägen wie etwa jetzt in Paris wünschen würde, ist bei der Vorratsdatenspeicherung weder politisch vorgesehen, noch unter den gegebenen Umständen technisch praktikabel.
Wenn etwa ein unbescholtener Bürger an einen anderen unbescholtenen Bürger eine Mail mit dem Inhalt schreibt, dass er den Kölner Dom in die Luft sprengen will, geht bei keiner deutschen Sicherheitsbehörde die Alarmanlage an. Das versicherte der ehemalige Bundesinnenminister Hans-Peter Friedrich erst kürzlich gegenüber der „WirtschaftsWoche“. Denn anders als in den USA gibt es in Deutschland keinen „Patriots Act“ und damit auch kein systematisches Ausspionieren des gesamten Internetverkehrs.
Die Überwachung eines Internetanschlusses darf in Deutschland erst stattfinden, wenn die Ermittlungsbehörden bei einem konkreten Verdacht die erforderliche richterliche Erlaubnis einholen. Nur bei einem solchen konkreten Verdacht dürfen Telefon, Handy und Internetanschluss überwacht werden. Doch auch dann bekommen die Ermittler nur die Kontrolle über traditionelle Kommunikationskanäle.
Internetaffine Attentäter weichen längst auf Kommunikationsmittel aus, auf die die Behörden keinen oder nur begrenzten Zugriff haben. Dazu zählen nicht nur die bekannten Messaging-Dienste wie WhatsApp und Twitter. Inzwischen tauschen sie sich auch über die Social-Media-Plattformen von Online-Spielen wie etwa Sonys Playstation aus. Eine Taktitk, die offenbar auch die Attentäter von Paris genutzt haben. Im Untergrund spricht sich schnell herum, wo es Abhör- und Mitlesemöglichkeiten der Geheimdienste und Ermittlungsbehörden gibt. Dann wenden sich Kriminelle sehr schnell einer neuen Plattform zu.
Wer wirklich ungestört Informationen austauschen will, kauft für sein Smartphone eine Prepaid-Karte und wirft sie nach einem einzigen Telefonat sofort wieder weg. Diese Methode wenden insbesondere mafia-ähnlich organisierte Banden an und stellen damit sicher, dass niemand ihre Telefonate zurückverfolgen kann.
Wo setzen andere Überwachungsmittel wie der Staatstrojaner an?
Um die blinden Flecken bei der Überwachung der Online-Kommunikation zu schließen, setzen die Ermittler eine Technik ein, mit der ansonsten Hacker heimlich in fremde Computersysteme eindringen. Diese Schnüffelprogramme, sogenannte „Trojaner“, sind in der Lage die Inhalte in den Rechnern auszuspionieren. Entsprechend sind die „Staatstrojaner“ Programme, mit deren Hilfe staatliche Stellen verdeckte Online-Durchsuchungen auf PCs, Laptops oder Smartphones starten.
Ziel dieser Online-Durchsuchung ist, in Einzelfällen und nach einem richterlichen Beschluss die privaten Computer von Schwerkriminellen zu durchforsten, um auf diesem Weg an Hintermänner oder das gesamte Netzwerk einer gefährlichen Organisation zu gelangen.
Datenschützer kritisieren den Einsatz solcher Staatstrojaner als massiven Angriff in die Privatsphäre. Denn das Missbrauchspotenzial ist riesig. Staatstrojaner werden meist von staatsnahen Firmen wie FinFisher oder dem Hacking Team entwickelt und mitunter auch an nicht demokratisch legitimierte Regime in Entwicklungsländern verkauft. Sie benutzen die Schnüffelprogramme zum Ausspionieren von Bürgerrechtsbewegungen und Regimekritikern.
Lassen sich Terroranschläge durch Big Data verhindern?
Nach Ansicht von Sicherheitsexperten wie der Gewerkschaft der Polizei lässt sich mit Polizeischutz allein kein Terroranschlag verhindern. Die einzige Chance sei, Tätern im Vorfeld bei der Planung auf die Spur zu kommen. Auch brutale Anschläge, wenn sie wie jetzt in Paris zeitgleich an mehreren Orten stattfinden, brauchen eine längere Planungsphase. Damit böte sich den Geheimdiensten theoretisch die Chance, den Terroristen auf die Spur zu kommen.
Genauso wie Unternehmen riesige Datenberge (Big Data) ihrer Kunden anhäufen und zukünftiges Kaufverhalten vorauszuahnen, könnten auch die Polizeibehörden diese Werkzeuge zur Datenanalyse einsetzen. Auch Google wertet beispielsweise aus, welche Web-Seiten die Nutzer ansteuern und nutzt diese Daten für gezielte Werbeeinblendungen.
In US-Städten nutzen bereits verschiedene Polizeibehörden spezielle Software, um Kriminalitätsvorhersagen zu erstellen und in den (zumindest statistisch) gefährdeteren Stadtteilen mehr Präsenz zu zeigen. Solche Ansätze, genannt „Predictive Policing“ – sinngemäß als „präventiver Polizeieinsatz“ übersetzt –, werden auch in Deutschland intensiv diskutiert. Von entsprechenden Überlegungen, etwa in Niedersachsen, hatte unter anderem das Blog netzpolitik.org berichtet . Auch das Bundeskriminalamt beschäftigt sich nach Angaben des Bundesinnenministeriums mit dem Thema.
Der für die Auslandsaufklärung verantwortliche Bundesnachrichtendienst setzt solche Instrumente bei seinen Fahndungen im World Wide Web ein. Doch im Gegensatz zu anderen ausländischen Nachrichtendiensten, die schon vor Jahren speziell ausgebildete Cyber-Einheiten aufbauten, gehören die Deutschen hier zu den Nachzüglern. Die Software für die gezielte Suche nach anormalen Verhaltensmustern im Datenverkehr kommt überwiegend von Startups aus den USA, Israel und Großbritannien, die eng mit den heimischen Nachrichtendiensten kooperieren und auch Forschungsaufträge von dort erhalten.
Wo sind die Grenzen der elektronischen Aufklärung?
Wie so oft, entscheidet am Ende auch bei der digitalen Verbrechensbekämpfung der Mensch. Und das leider offenbar immer wieder falsch – wie nun auch der Umgang mit Informationen im Vorfeld der Anschläge in Paris zeigt.
Die bayerische Polizei hatte bereits am 5. November an der Autobahn Salzburg – München einen Mann festgenommen, in dessen Wagen mit montenegrinischem Kennzeichen mehrere Kalaschnikows, Pistolen, Handgranaten und Sprengstoff versteckt waren. Das Navigationsgerät verriet, dass er auf dem Weg nach Paris war.
Gut möglich, dass diese Waffen beim Terroranschlag der vergangenen Woche eingesetzt werden sollten. Das bayrische Landeskriminalamt hatte den Vorfall sofort an die französischen Ermittlungsbehörden gemeldet. Doch die ersten Reaktionen signalisierten geringes Interesse. Möglicherweise wurde dadurch eine wichtige Spur missachtet.
Und auch die Vorratsdatenspeicherung hätte an einer solchen menschlichen Fehlentscheidung nichts geändert.
