15. April 2013
Das Kollektiv Anonymous hat auf Pastebin mehr als 37.000 Datensätze der FDP Plattform my-fdp.de veröffentlicht. Dieser Schritt wird mit der Zustimmung der FDP zur Vorratsdatenspeicherung begründet. Dabei wird die Frage gestellt, wie der Datenschutz bei Bestands- und Vorratsdaten sichergestellt werden könne, wenn eine Partei, die eine solche Speicherung befürworte, nicht zumindest auf ihre eigenen Daten aufpassen könne. Auch die administrativ Verantwortlichen der FDP werden von Anonymous mit Spott bedacht: Wer als Administrator Passwörter wie “Pupi” oder “herakles” verwende, sollte keine “Macht” haben, über Daten von Bürgern zu entscheiden.
Von der Veröffentlichung betroffen sind folgende Daten: Nutzername, Vor- und Nachname, E-Mail Adresse und Passwort Hashes. Bei FDP Mitgliedern wurden zusätzlich noch die Telefonnummern genannt. Von der Preisgabe der Telefonnummern und Adressen der sonstigen Forumsmitglieder sah Anonymous mit der Begründung ab, dass diese “immerhin nichts für die schlechte Sicherheit der FDP” könnten.
Die vorrangig betroffenen Internetangebote my.fdp.de und das Nachfolgeangebot meine-freiheit.de stehen momentan wegen Wartungsarbeiten nicht zur Verfügung. Die Nutzer der betroffenen Websites wurden mittlerweile per E-Mail von Harald Ruppe (Vorstand der Universum Kommunikation und Medien AG, die z.T. für die Webangebote verantwortlich ist) aufgefordert ihre Passworte neu zu setzen, sobald die Dienste wieder zur Verfügung stehen. Weiterhin wurde auf das Risiko hingewiesen, dass zumindest schwache Passwörter mithilfe der Passworthashes geknackt werden könnten. Auch das Schreiben Ruppes wurde von Anonymous auf Pastebin veröffentlicht.
10. Dezember 2012
Der Bundesrat plant, dass der staatliche Zugriff auf TK-Daten erleichtert werden soll. Ein Gesetzesentwurf der Bundesregierung liegt bereits vor.
Der zuständige Rechtsausschuss der Länderkammer empfiehlt , dass dem Provider eine verstärkte Mitwirkungspflicht bei dem Datenzugriff auferlegt werden soll.
Insbesondere soll hierdurch, so die Initiative, die Strafverfolgung effektiver werden, da Providern Auskunftspflichten für PIN-Codes und Passwörter obliegen. Hierdurch werde der staatliche Zugriff auf die Endgeräte und/ oder auf die Cloudspeicher erleichtert.
Verschärft werden müssen nach Ansicht des Bundesrates auch die Überprüfungspflichten der Provider bezüglich der Richtigkeit der Bestandsdaten ihrer Kunden. Es sei angemessen, dass sich die Provider von potentiellen Kunden Personalausweise vorlegen lassen.
Der Wirtschaftsausschuss hegt erhebliche Zweifel an der Verfassungsmäßigkeit der unterbreiteten Vorschläge und verweist auf die bisherigen Anforderungen, die das Bundesverfassungsgericht zur verfassungsmäßigen Speicherung und Herausgabe von Nutzerdaten, Passwörtern und PIN-Codes in der Vergangenheit an die Strafverfolgung und Geheimdienste aufgestellt hat. Besonderes problematisch sei die Vereinbarkeit des Entwurfes mit dem grundrechtlichen Fernmeldegeheimnisses, da Provider hiernach dynamische IP-Adressen und die Inhaber von Internetzugängen zuordnen können. Dies stelle einen Eingriff in das grundrechtlich geschützte Fernmeldegeheimnis dar.
26. Oktober 2012
Auf dem 45. Treffen der Internet Corporation for Assigned Names and Numbers (ICANN), die über die Grundlagen der Verwaltung der Top-Level-Domains (TLDs) entscheidet, wurde Medienberichten zufolge der mit Domainregistraren und Strafverfolgern ausgehandelte Kompromiss für die Aufbewahrung von Transaktionsdaten vorgestellt. Provider, die Domains registrieren, sollen danach zukünftig ihre Transaktionsdaten sechs Monate lang und „alle anderen Daten“ ihrer Kunden bis zu zwei Jahre nach Ende des Vertrages speichern dürfen. Was unter „alle anderen Daten“ zu verstehen ist, soll bis Ende 2012 ausgehandelt werden. Ebenfalls bis Ende des Jahres soll über Ausnahmeregeln für Registrare aus dem Unionsraum und Bestimmungen zur Verifikation von E-Mail-Adressen und Telefonnummern von Domainkunden verhandelt werden.
Kritisch aufgefasst wurde indes, dass das Treffen abermals ohne Beteiligung von Datenschützern stattgefunden hat. So war z.B. die Datenschutzbehörde des Gastgeberlandes Kanada (
The Office of the Privacy Comissioner of Canada) trotz hoher datenschutzrechtlicher Brisanz nicht eingeladen.
25. Juli 2012
Bereits letztes Jahr hat der AK Vorratsdatenspeicherung die Speicherpraxis von sechs großen deutschen Mobilfunkbetreibern bezüglich eingehender Telefonverbindungen und Aufenthaltsorten der Nutzer gegenüber der Bundesnetzagentur angeprangert. Die führte zu einem Verfahren nach §115 TKG, wonach die Mobilfunkprovider der Bundesnetzagentur Auskunft über die Speicherpraxis erteilen müssen.
Daraus ergab sich, dass Standortdaten von Nutzern, welche durch die Einbuchung in eine Funkzelle ermittelt werden, wie folgt gespeichert werden:
- Vodafone bis zu 210 Tage lang
- The Phonehouse Telecom: 120 Tage
- Drillisch/SIMply: 92 Tage
- E-Plus: 80 Tage
- Telekom: 30 Tage
- EWETEL: keine Speicherung
- O2/Telefonica verweigerte die Auskunft mit dem Verweis auf das Geschäftsgeheimnis
Die Bundesnetzagentur hält eine solche Speicherung des Aufenthaltsorts zu Abrechunungszwecken jedoch „nur […] bei standortabhängigem Tarif [für] zulässig“
Unter anderem aufgrund dieser Erkenntnisse möchte nun eine Handy-Nutzerin von dem AG Düsseldorf festgestellt wissen, dass Vodafone verpflichtet ist, unverzüglich nach Beendigung der Verbindung, folgende Daten zu löschen:
- Funkzelle von der der Anruf getätigt wurde (Standortkennung)
- Kennung des genutzten Endgerätes (IMEI)
- Kennung der benutzten SIM-Karte (IMSI)
Der Klage vorausgegangen war der Versuch, Vodafone zu einer Unterlassung der Speicherung dieser Daten zu verpflichten. Begründet wurde dies mit einem Verstoß gegen §§ 96 Abs. 1 S. 3, 97 Abs. 3 S. 2 TKG. Das Begehren wurde von Vodafones Datenschutzbeauftragten jedoch abgelehnt. Die Standortdaten seien zur Abrechnung standortbasierter Dienste, im konkreten Fall etwa zur Abrechnung des Zuhause-Tarifs, notwendig.
Ausweislich der Klageschrift behauptet die Klägerin jedoch, keinen solchen standortbasierten Dienst zu nutzen. Somit muss nun das AG Düsseldorf klären, ob eine solche Speicherung von Standortdaten rechtens ist.
Die Übersicht der Bundesnetzagentur enthält darüber hinaus auch Angaben, wie lange Verbindungsdaten, IMEI und ISMI gespeichert werden. Ausgehende Verbindungen werden dabei selbst bei Nutzung eines Pauschaltarifs von Vodafone bis 210 Tage, bei EWETEL 180 Tage, bei The Phonehouse Telecom 120 Tage, bei Drillisch/SIMply 92 Tage, bei E-Plus 80 Tage und bei der Telekom 30 Tage lang gespeichert.
Gegenüber M-Net beanstandete die Bundesnetzagentur die „Speicherung von Verkehrsdaten bei eingehenden, für den annehmenden Kunden kostenfreien Verbindungen innerhalb Ihres Netzes, bei denen auch kein anderer Serviceprovider beteiligt ist.“ Bei netzinternen „abgehenden kostenfreien sowie pauschal abgegoltenen Verbindungen“ seien „Verkehrsdaten [ebenfalls] nicht abrechnungsrelevant“ und daher „unverzüglich zu löschen“.
Die hier in Rede stehenden Daten fallen bei sämtlichen Mobiltelefonen an – bei Smartphones fallen darüber hinaus wesentlich mehr Daten an, so dass von Wissenschaftlern bereits darüber sinniert wird, ob man Smartphones nicht in Wanzen mit Telefonfunktion umbenennen müsste.