Hi, schön, dass ihr es während draußen die Sonne scheint in den letzten und dunkelsten Raum geschafft habt.

Geht doch noch nicht. Wir wollen jetzt nicht jede Menge Frontalunterricht machen. Wenn ihr Zwischenfragen habt, gerne jederzeit. Am Ende wollen wir auch noch genug Zeit beschlossen für Q&A. Aber ich hätte gerne erstmal eine Frage an euch. Wir haben das übertitelt für Anfänger und Fortgeschrittene.

Wer fühlt sich denn schon als Fortgeschrittene im Thema Vorratsdatenspeicherung? Wer weiß denn, was das ist? Wer hat denn die politischen Prozesse verfolgt und kennt die Technik dahinter? Ihr solltet mal eure Hände heben. Okay, ein paar. Und wer ist eher Einsteiger? Gut, da haben wir viele Erklärfolien, da müssen wir die doch nicht skippen.

Dann können wir euch das Thema nochmal ausführlich erläutern. Das so ungefähr haben wir vor. Das Thema uns vorstellen. Was ist Vorratsdatenspeicherung? Was sind die Gefahren dabei? Was hat das alles mit der NSA zu tun? Was waren die politischen Prozesse zur Vorratsdatenspeicherung? Was bedeutet das alles und geht das irgendwann auch wieder weg?

Eine Einführung haben wir kurz schon bekommen. Wir schreiben beide auf diesem Blog netzpolitik.org, das hier auch Mitveranstalter ist. Gut, zu uns brauchen wir nicht weiter sagen. Das ist Anna, ich bin Andre. So, was ist denn überhaupt Vorratsdatenspeicherung?

Vorratsdatenspeicherung ist eine Aufzeichnung von sogenannten Metadaten. Und staatlich festgelegt wird festgeschrieben, dass Internetprovider, Mobilfunkanbieter, Telefonanbieter Kommunikationsdaten speichern sollen. Zum Beispiel, wann sie mit jemandem kommunizieren, wann sie mit jemandem telefonieren.

Jeder einzelne Telefonanruf, der in Deutschland in der EU getätigt wird, fällt in einer Datenbankreihe an. Welche Telefonnummer telefoniert mit welcher anderen Telefonnummer? Eventuell auch mehrere Gesprächspartner, Datum, Uhrzeit, Anschlussinhaber dazu jeweils.

Was ist das für Telefon? Inklusive für E-Mails. Wer schickt wann welche E-Mail-Account, welchen anderen E-Mail-Accounts eine E-Mail? Von welcher IP-Adresse? Welche IP-Adresse wird benutzt, ein eigenes Postfach abzuholen? Wann sind die E-Mails geschickt worden? Inhalte nicht, aber das ist schon auch mal ziemlich viel. Und Location-Daten von Mobilfunkgeräten.

Wer hat denn hier kein Smartphone-Einstecken? Wer hat kein Handy-Einstecken? Ein Mensch ohne Handy, du bist der einzige Mensch, der doch ein Handy, alles klar. Niemand, nicht nur die NSAs, sondern auch euer Mobilfunkanbieter und damit die deutschen Behörden wissen, in welcher Funkzelle euer Handy ist, damit ihr euch aufhaltet

und dass ihr mit all diesen anderen Leuten in einem Raum seid. Das funktioniert so, dass euer Handy sich natürlich mit einem Mobilfunknetz, mit mobilen Antennen verbindet. Das sind diese kleinen Antennen auf dem Dach. Und werdet ihr nicht in einer Mobilfunkzelle, wüsste der Mobilfunkanbieter ja gar nicht, wenn ihr einen Anruf bekommt, wo ihr den Anruf hinleiten soll, an welches Gerät.

Und in einer Stadt wie Berlin ist das auf wenige hundert Meter genau so eine Funkzelle. Also fällt in einer Datenbank permanent an, wo euer Handy gerade ist. Wenn ihr einen Anruf bekommt, einen Anruf abzendet, eine SMS, eine MMS oder eine Datenverbindung. Nur mal kurz Twitter checken oder sogar einen Background-Prozess, der das automatisch macht.

Alle paar Minuten fällt in einer Datenbank an, wo euer Handy ist, mit eurem Namen drauf. Diese Daten sollen anlasslos gespeichert werden. Ihr müsst gar nicht erst für Dächtige irgendeine Straftat sein. Und von 250 Millionen Menschen in der EU bis vor, manchmal das Urteil, 8. April, vor wenigen Wochen,

hatten wir eine seit 2006 gültige Richtlinie in der EU. Anna wird das dann nochmal genau erklären. Die hat vorgeschrieben, dass die Mitgliedstaaten der EU auch Deutschland ihr Setzer erlassen müssen, um genau das zu tun. Diese Daten von jeglichen digitalen Kommunikationsvorgang zu speichern,

von 250 Millionen Menschen in der EU, von 80 Millionen Menschen in der Bundesrepublik. Und wir haben auch ein Beispiel, wie diese teilweise etwas abstrakten Daten aussehen. Und jetzt hoffe ich, dass diese lustige Technik hier funktioniert. Das ist ein bisschen klein.

Das sind Vorratsdaten, Live-Vorratsdaten von einer Person, dem grünen Politiker Malte Spitz, der die vor einigen Jahren mal freigeklagt hat von der Telekom.

Das ist eine Person, ein Gerät, sein Mobilfunkgerät von einem Tag, zwar dem 11. September 2011. Und wir können hier sehen, könnt ihr das lesen? Wir können hier den Beginn und Ende jeder Kommunikation sehen, welchen Dienst dabei genutzt wird.

Dann sehen wir auch ein paar SMS und Anrufe, die Telefonnummer, die dabei verwendet wird. Das ist auch noch schön.

Nicht nur die Telefonnummer, sondern auch die eindeutige Kennung der SIM-Karte, die sogenannte IMSI, und auch eure Gerätenummer. Quasi jedes iPhone, jedes Smartphone, jedes andere Telefon hat eine eindeutige Gerätenummer, die auch mitgespeichert wird, nicht nur von dem Anrufenden, sondern auch von den Gesprächspartnern.

Eine IP-Adresse stand auch mit drin, die man dabei verwendet hat. Die wurden hier gext, die hat Malte leider nicht mitbekommen. Und diese lustigen Daten sind die sogenannten Funkzellendaten, in welcher die weißen Antennen,

die ich vorhin als Bild gezeigt habe, eine eindeutige ID und eine Geokoordinate haben. Damit kann man eben sehen, in welcher Funkzelle ein Handy eingeloggt war. Und zwar für alle diese 500, 200, 300 Daten von einer Person, von einem Tag.

Sowas fällt von jedem einzelnen von euch permanent beim Mobilfunkanbieter an und nicht nur dort. Und diese Daten werden von euch gespeichert, egal ob die notwendig sind oder nicht, denn ihr könntet ja irgendwann mal verdächtig werden.

Genau, 320 Datenschüsse, Datensätze, das habe ich jetzt gesagt. Mal ein bisschen fürbildlich. Am Anfang hatte ich lustige Plakate, die wir beim Digitalen Gesellschaft e.V. verwendet haben. Vielen Dank an Alexander Swensen für die Motive.

Das war jetzt eine ziemlich technische Tabelle. Ich weiß nicht, ob ihr jetzt schon genau vorstellt, was unter den Daten alles Aussagekräftiges sein soll. Da steht nur drin, wen ich angerufen habe. Aber tatsächlich sind diese Daten nicht nur ziemlich aussagekräftig, sondern auch ziemlich gefährlich. Dafür haben wir ein paar Beispiele. Der genannte Malte Spitz, der seine Daten von der Telekom T-Mobile frei geklagt musste,

damit er die Daten überhaupt bekommt, obwohl das seine Daten sind, die von ihm gespeichert werden, hat die eben alle mal bekommen. Und eine befreundeten Datenschonalisten, den Leuten von Open Data City, vor allem Michael Krall, gegeben.

Und die haben aus dieser harmlosen Excel-Tabelle eine grafische Aufbereitung gemacht. Was kann man denn in den Daten ansehen? Und hier sehen wir eine Karte von Berlin. Das ist ungefähr der Bereich, den eine Funkzelle abdeckt. In dieser Funkzelle war Malte zu der Zeit eingeloggt. Hier kann man sehen, wohin er sich bewegt hat, wenn er in einer Minute in einer Funkzelle war,

in fünf Minuten später in der nächsten. Dann weiß man genau, wo man sich bewegt hat. Und da drüben gehen wir für einen Tag. Wie viele Anrufe, wie lange SMS, Internetverbindung. Ziemlich lang online, wie jeder hier.

Ich weiß nicht, wie viele von euch diese Aufbereitung kennen. Mal hin hoch. Ui, noch weniger als gedacht. Guckt euch das mal an, gibt es auch verräterisches Handy, wenn man danach googelt. Das ist ein Projekt von Zeit.de. Ich glaube, Zeit.de malte Spitz Vorratsdaten oder so. Mit ein bisschen googeln findet man es. Es ist eine interaktive Karte.

Man kann das vor- und zurückscrollen lassen. Man kann irgendeinen Kartengebiet in Deutschland auswählen und darauf klicken, wann malte Spitz dort war. Und damit konnten wir zum ersten Mal visualisieren, was bedeuten denn diese harmlosen Metadaten, Verbindungsdaten. Hat ziemlich Eindruck gemacht, aber das ist noch nicht alles, was man daraus sehen kann.

Man kann noch Kommunikationsmuster sehen. Hier haben wir einmal für 10 Mobilfunkanschlüsse, mit denen Malte kommuniziert hat per Anruf und SMS, aufbereitet, zu welchen Uhrzeiten im Verlauf eines Tages er denn immer kommuniziert. Hier gibt es eine gelbe Handynummer mit dem Anschluss 106. Da hat er den ganzen Tag immer mal wieder mit telefoniert.

Und dann, sogar bis in die Nacht, mit den anderen hat er das nicht gemacht. Das könnte dann wahrscheinlich eher privat sein. Und mit anderen zu Kernarbeitszeiten. Daraus kann man ziemlich viel Kommunikationsmuster, Kommunikationsraster rausfinden aus diesen Daten. Und ein Kumpel von mir hat ein anderes Projekt noch gemacht.

Er hat sich die Daten einfach mal genommen. Man hat ja die Geokoordinate immer, wo er ist, wenn er sich das letzte Mal einloggt am Tag um 12. Und wenn er sich das erste Mal einloggt morgens um 7. Ja, wo hat Malte denn überhaupt geschlafen? Lässt sich aus all euren Vorratsdaten rausfinden. Ich habe die Daten von einem Monat mal genommen, wo es ziemlich eindeutig war. Man kann auch rausfinden, wie lange er schläft und wann er nachts mal aufsteht.

Das sind die Geokoordinaten, die sind noch nicht so aussagekräftig. Aber wenn man die in Google Maps haut, findet man dann Gebiete in Berlin Mitte raus. Und wenn man noch ein bisschen googelt oder das wissen möchte, dann findet man auch raus, dass Malte dort seine Wohnung hat. Es gibt zwei Funkzellen, die von seiner Wohnung aus erreichbar sind.

Deswegen sind die Geokoordinaten unterschiedlich. Aber man kann auch ganz genau sehen, wann er nicht nur in einer Stadt ist, sondern auch wo ungefähr. Und dass er, wenn er am ersten Weihnachtsfeiertag abends ins Bett geht, dann ist das bestimmt irgendwo bei einer Familie in Koblenz. Und das war kurz vor seinem Winterurlaub.

Kann man aus diesen harmlosen, wer hat mit wem angerufenen Daten, alles einfach rausbekommen. Erst letzte Woche hat das Team um Open Data City den ganzen Spaß nochmal gemacht, mit noch viel mehr Daten, von einem schweizergrünen Abgeordneten Baldtasar Klettli. Und hat nicht nur die Verkehrsdaten, die Vorratsdaten, die von ihm gespeichert worden sind,

sondern vom einem Mobilfunkanbieter, was wir damals mit Malte gemacht haben, sondern auch noch seine Online-Kommunikation, seine E-Mails, seine Facebook-Posts und so. Analysiert alles nur harmlose Metadaten, die uns immer wieder begründet wird. Und auch hier können wir sehen, wann war der Abgeordnete in einer Funkzelle.

In Zürich ist das hier, er ist ja in der Schweiz. Und dieses Mal ist er Bahn gefahren an dieser Bahnlinie. Und da drüben kann man noch sehen, während er Bahn fährt, nicht nur in welcher Funkzelle war er, sondern auch wann hat er wen angerufen, wen ruft er an, wenn er in eine Stadt verlässt,

von wem kriegt er einen Anruf, wenn er in eine neue Stadt kommt. Gibt es auch online, das habe ich jetzt hier auch als Offline-Projekt, das fühle ich jetzt aber nicht live und in Farbe vor, klickt auf VDS Open Data City, googelt einfach nach Balthasar Gladly

oder nach Vorratsdaten Schweiz, das wird aufkommen. Macht sehr viel Spaß darin, mal rumzuspielen, das ist wieder interaktiv. Man kann auf Play drücken und wirklich über ein halbes Jahr lang nachvollziehen, wo sich der Abgeordnete aufgehalten hat. Man kann wieder andere Informationen aus diesen extrahieren.

Das Team hat einen wunderbaren Reisekalender gemacht, wo in der Schweiz sich der Herr Abgeordnete dann aufgehalten hat. Wir haben das jetzt für vier aufeinanderfolgende Wochen mal so genommen. Ziemlich viel in Zürich ist gelb, das wird er dann wahrscheinlich wohnen und arbeiten. In Bern ist er immer mal wieder, hier im Verlaufe eines Donnerstags und Freitags.

Dort ein paar einzelne Tage und Basel sollte eigentlich auch zu finden sein, oder das war die nächste Folge. Es gibt noch vier weitere Städte, man kann sehen, wo jemand sich die ganze Zeit aufhält und in welchen Städten man lebt und in welchen Städten man zu welcher Zeit ist.

Das sieht erstmal ein bisschen uneindeutig aus. Aber das ist ein Kommunikationsnetzwerk. Hier haben wir die E-Mail-Daten, nicht ich, Michael Kreil und das Team um Open Data City von Balthasar Glettli genommen, seine E-Mail-Inbox.

Ich glaube, die allermeisten von euch werden wahrscheinlich ab und zu mal E-Mailen. Und da von E-Mails genauso die Verbindungsdaten, wann, wer, mit wem kommuniziert, gespeichert werden, kann man schön analysieren. Mit wem kommuniziert denn der gute Herr so? Und was sind das für Menschen, was haben die gemeinsam, was sind das für Gruppen? Und all diese blaue großen Punkte,

also je größer ein Punkt, desto öfters hat Balthasar mit dieser Person eine E-Mail kommuniziert, entweder eine geschrieben oder eine erhalten. Diese großen blauen Netzwerke sind alles Abgeordnete des Schweizer Bundesparlaments. Die hier drüben sind ein paar Abgeordnete oder Politiker der Grünen Partei.

Das da oben, mit dieser Person hat Balthasar Glettli am meisten kommuniziert. Es stellt sich heraus, dass seine Frau, die ist auch politisch aktiv und kommuniziert genauso. Wir sehen Streifen zurück mit anderen Abgeordneten im ganzen Bundesparlament

und auch von der Partei. Er hat aber noch zwei weitere Netzwerke. Das da unten und das da oben sind Asylrechtsaktivisten, von denen die roten Punkte alle Anwälte sind.

Und das da unten sind Mietrechtsaktivisten, von denen auch die roten Punkte wieder Anwälte sind, die eigentlich schon mal ein besonders geschütztes Kommunikationsverhältnis haben. Und mit dieser Person scheint er fast so viel zu kommunizieren wie mit seiner Frau. Fällt mir auch jetzt erst auf. Man kann übrigens, wenn man sich das interaktiv anguckt, auch draufklicken

und man sieht auch wann er mit den Leuten kommuniziert. Das heißt, man kann zum Beispiel sehen, dass er mit seiner Frau Kernzeit bis 1 Uhr nachts telefoniert oder E-Mails schreibt und mit einigen anderen Personen auch, während einige andere Personen gerade so in dieser 9 bis 18 Uhr Arbeitszeit liegen. Genau, das ist jetzt nur ein statisches Bild, das wir auf die Folie geworfen haben.

Das gibt es alles in interaktiv. Ruhig mal kurz danach googeln. GLATLY, G-L-E-T-T-L-I heißt der gute Mann. Und Vorratsdatenspeicherung eingeben. Und das ist sehr imposant aufbereitet, wie aussagekräftig diese Daten wirklich sind und wie aussagekräftig ein Kommunikationsnetzwerk ist,

was man von jeder einzelnen Person in der EU erstellen kann. Das haben die Vorlinie davor hat Michael Krall gemacht. Der hat Ahnung von Open Data und Visualisierung und so. Bei der Polizei sieht das dann eher so aus. Das ist eine Software von IBM, nennt sich Analyst Notebook. Die wird auf einem offenen Markt verkauft.

Gibt es, ist zwar scheiße teuer, aber könnten wir auch kaufen. Uns fehlt nur auf die Datenbasis für sowas. Und wenn wir eine haben, dann macht es Michael Krall eh besser. Aber Behörden nutzen tatsächlich diese Daten, die werfen die hinten rein und dann kommen bei denen so eine bunte Bilder heraus. Und hier sehen wir genau das, was Michael Krall gerade gemacht hat. Ein Kommunikationsnetzwerk.

Und dann auch Daten, die man an einzelne Personen markieren, zu welchen Zeiten damit kommuniziert wurde, wie ja, Closeness, wie eng mit denen kommuniziert wird. Es geht ja für ein ganzes Netzwerk und nicht nur für einzelne Personen. Das ist auch Live-Software, wie sie die Polizei diesmal in den Staaten einsetzt.

Da werden ähnliche Daten reingeworfen. Und was wir vorhin bei Maltdichtung gesehen haben und bei Glettli vor dem Kommunikationsnetz auch wieder. Wir haben wieder Kommunikationsnetze, aber dazu auch Ortsdaten wieder. Also das ist jetzt nicht irgendwas, was wir da draus gemacht haben, sondern so sieht das tatsächlich bei Ermittlungsbehörden aus.

Und zwar nicht bei der NSL, sondern bei jeder Polizeibehörde, die einfach diese Software nutzt und die an diese Daten kommt. Genau, und das war, glaube ich, noch mal San Francisco. Immer noch dieselbe Software. Die wird mittlerweile auch immer, ja, sieht grafisch besser aus, ob das inhaltlich besser ist. Überlasse ich euch. So, jetzt haben wir in den letzten 11 Monaten

ziemlich genau, ziemlich viel über Geheimdienste gehört, über NSA, über GCHQ, über die Five Eyes, auch für den BND. Die haben alle diese Daten. Immer. Die haben noch viel mehr Daten. Die haben eure Bankdaten, die haben eure Reiseverkehrsdaten, die haben jede elektronische digitale Kommunikation,

die sie in die Finger kriegen können, was so ziemlich jede Kommunikation ist. Diese Behörde ist die NSA. Das steht oben in Moabit. Mitte. Und die schnoscheln alle diese Daten auch ab. Entweder fangen sie die direkt auf der Leitung ab mit Unterseekabeln

oder sie hacken den Mobilfunkprovider, wie in Belgien passiert. Aber die Geheimdienste haben auch alle diese Daten. Warum machen wir dann trotzdem noch diesen Vortrag? Warum regen wir uns über die Vorratsdatenspeicherung auf, wenn die Daten doch eh alle weg sind? Nun, es geht nicht nur um Geheimdienste. Es geht auch um Polizeibehörden.

Geheimdienste haben keine unmittelbar exekutive Gewalt. Die schon. Die sind die exekutive Gewalt. Die ermitteln nicht nur Netzwerke und den angeblichen Terror- und Wirtschaftsspionage, von denen vielleicht nicht jeder von euch betroffen ist. Die ermitteln aber auch wegen BTMG.

Das ist eines der Hauptermittlungsinstrumente, Hauptgründe, warum Telekommunikationsüberwachung und eben auch so eine Metadaten massenhaft angefragt werden. Betäubungsmittelgesetz oder der Enkeltrick, ganz beliebt, warum uns immer wieder verklickert wird, wir brauchen unbedingt Vorratsdatenspeicherung.

Eigentlich hieß es mal Terror und dann schwerste Kriminalität. Und dann bei den Omas rufen Leute aus, geben sich als Enkel aus und sagen, ey Oma, du kannst dich noch an mich erinnern, ich brauch grad mal nen Tausigsteck in ner komischen Situation. Schwerste Straftaten ist das nicht. Kommen dann nochmal kurz zur Funkzellenabfrage.

Das passiert genau auf diesen Daten. Zur Funkzellenabfrage können wir noch eigene Vorträge halten, aber die Funkzellenabfrage wird nicht nur für brennende Autos und ähnlich für den Enkeltrick verwendet, sondern in Sachsen haben wir einen Fall gefunden, da wurden Bierquester geklaut. Die waren auch noch leer. Aber man hat erstmal ne Funkzellenabfrage gemacht und zehntausende Handys diese Verbindungsdaten eingeholt,

um zu gucken, ob man damit nen Täter fassen könnte. Und die Vorratsdatenspeicherung wurde eigentlich mit Terror und schwerste Kriminalität begründet. Im deutschen Umsetzungsgesetz fanden sich dann aber auch Sachen wie per Telekommunikation begangene Straftaten, worunter auch Beleidigung fällt. Wobei ich keine Ahnung hab, was das damit zu tun hat. So, kurz zur Geschichte der Vorratsdatenspeicherung.

Ich leite über zu Anne. Genau, und da kann man sich irgendwie fragen, wie hat das alles angefangen und wer kam überhaupt auf die Idee. Und angefangen hat das Ganze so in seiner heutigen Form in Brüssel. Das heißt, wir sehen das Belemontgebäude, wo die EU-Kommission sitzt. Die haben 2006 oder 2005 den Entwurf zur Vorratsdatenspeicherung eingebracht.

Ursprünglich war die Idee nicht unumstritten. Das heißt, das EU-Parlament hat erstmal auch Vorstöße vom Rat abgelehnt. Dann aber letztlich doch diesem Entwurf zugestimmt. Seitdem hatte man in der EU eine Richtlinie zur Vorratsdatenspeicherung. Aber diese Richtlinie hieß eben noch nicht, dass die Vorratsdatenspeicherung überall in Kraft ist,

sondern dass die in nationale Gesetze umgesetzt werden muss. Das heißt, man hatte wirklich nur sehr grobe Rahmenbedingungen. Man sollte eine Vorratsdatenspeicherung zwischen 6 und 24 Monaten einführen. Man sollte die nur für schwere Straftaten benutzen, wobei keiner weiß, was schwere Straftaten sind. Und man sollte irgendwie schauen, dass da nur das Nötigste irgendwie gespeichert wird

und nur die nötigsten Personen drauf zugreifen. Das heißt, man hatte eine sehr schwammige Regelung, die dann in Deutschland unter Innenminister Schäuble umgesetzt wurde. Wir hatten dann eben in Deutschland die Vorratsdatenspeicherung, die erstmal gesagt hat, wir speichern für 6 Monate alle Kommunikationsdaten.

Das hatte man ab 2008, aber schon im Vorfeld gab es Proteste, die sich eben formiert haben, weil das eben auch nicht so ganz reibungslos über die Gebühne gelaufen ist. Was, glaube ich, ganz plakativ ist, ist, dass bei der ersten Demo gegen die Vorratsdatenspeicherung 250 Leute waren. Ein Jahr später war das ungefähr das Hundertfache.

Das heißt, genaue Zahlen zwischen 15.000 und 25.000 war die Rede. Es hat also eine ganze Bevölkerung bewegt und auch zu massiven Protesten geführt. Unter anderem der größten Sammelklage, die es bis dahin gab, mit 35.000 Unterstützern. Man sieht, dass extra ein Transporter angemietet werden musste, um die ganzen Papiere vor das Bundesverfassungsgericht zu bringen.

Das sind die Leute vom Acker Vorrat, die das damals mitgetragen haben. Und 2010 gab es dann eben auch das Urteil vom Bundesverfassungsgericht, zwei Jahre später, und das Bundesverfassungsgericht ist zu dem Schluss gekommen, dass die Ausgestaltung der Vorratsdatenspeicherung, so wie sie in Deutschland eben passiert ist, nicht rechtmäßig ist.

Das heißt, ab diesem Punkt gab es in Deutschland offiziell keine Vorratsdatenspeicherung mehr, was aber dann eben auch nur die konkrete deutsche Richtlinie betroffen hat. Nicht nur in Deutschland gab es diesen Widerstand, den Widerstand gab es auch EU-weit. Wir sehen hier eine Klage aus Österreich und es gab auch weitere Klagen,

zum Beispiel von Datenschützern aus Irland, sogar zwei Stück. Die erste wurde abgewiesen aufgrund formaler Kriterien, die zweite hat es geschafft und das ist auch zusammen mit der Klage aus Österreich oder mit der Vorlage aus Österreich das, was wir in dem EU-Urteil jetzt zu hören bekommen haben,

nämlich, dass die Vorratsdatenspeicherung nichtig ist. Aber was heißt das? Also was sagt dieses EU-Urteil aus? Sind wir die Vorratsdatenspeicherung damit jetzt endgültig los? Können wir aufatmen? Nicht ganz. Denn das EU-Urteil hat gesagt, die Vorratsdatenspeicherung ist nicht in ihrer Gänze grundrechtswidrig,

sondern die konkrete Richtlinie, die EU-Richtlinie und das aus gewissen Gründen. Nämlich aus dem Grund, dass sie eben die gesamte Bevölkerung unter einen Generalverdacht stellt. Das heißt, eigentlich haben wir die Unschuldsvermutung. Und eigentlich ist in der Vorratsdatenspeicherung erstmal jeder verdächtig

und man hat quasi diesen Paradigmenwechsel, dass man sagt, wir verdächtigen die Bevölkerung. Außerdem hat man überhaupt keine Einschränkungen darauf, wer es ist oder zu welchen Straftaten das eben geschehen muss. Wir haben immer nur diese schwere Straftat. In Deutschland wurde die Vorratsdatenspeicherung de facto auch dazu benutzt, um gegen Urheberrechtsverstöße vorzugehen,

was glaube ich zweifelsfrei nicht unbedingt eine schwere Straftat ist. Und man hatte auch von den Personengruppen keine Einschränkungen. Das heißt, was passiert, wenn ich mit meinem Arzt telefoniere, wenn ich jetzt mehrmals mit der Drogenberatungsstelle telefoniere, was sagt das über mich aus? Es gibt einfach keinen Schutz. Oder was passiert, wenn ich als Journalist mit Quellen telefoniere? All das wird durch die Vorratsdatenspeicherung massiv in Gefahr gebracht

und damit steht eben nicht nur das Fernmeldegeheimnis in Zweifel, sondern eben auch das Recht auf freie Meinungsäußerung. Weiterhin ist eben auch überhaupt nicht geregelt in der EU-Richtlinie, wer Zugriff auf diese Daten hat. Das heißt, hat das jetzt jeder beliebige Admin,

kann der sich die Daten in seiner Freizeit angucken, um zu gucken, mit wem seine Freundin gestern telefoniert hat. Haben die Daten die Strafverfolgungsbehörden? Können die Daten nur bestimmte Menschen in der Strafverfolgungsbehörde ansehen? All das ist in der Richtlinie überhaupt nicht geregelt. Außerdem ist überhaupt nicht geregelt, wie die Daten geschützt sein sollen. Das heißt, man sagt, ja, ein angemessenes Schutzniveau und so weiter.

Aber was das genau heißt, sagt niemand. Und vor allem ist genau der Punkt, dass man auch im Bundesverfassungsgerichtsurteil schon davon ausgegangen ist, dass man die Daten gar nicht effektiv schützen kann. Das heißt, wir sehen, das Bundesverfassungsgericht sagte, wir müssen die Daten vor unberechtigten Zugriff schützen. Jetzt, wenn wir die ganzen NSA-Enthüllungen nehmen,

wissen wir, wir können die Daten nicht vor unberechtigten Zugriff schützen. Und die EU-Richtlinie hat zum Beispiel noch nicht mal gesagt, dass die Daten auf EU-Gebiet gespeichert werden müssen. Das heißt, es gibt überhaupt keine wirksamen Vorkehrungen, um zu verhindern, dass dritte Geheimdienste, Unbefugte,

irgendwelche Hackerkriminellen, von denen immer so gerne die Rede ist, auf diese Daten zugreifen können. Das Ganze kam dann zu dem einfachen Schluss, dass der EuGH gesagt hat, das Ganze ist nicht zu rechtfertigen in der Form, in der es jetzt besteht.

Jetzt haben wir aber die Freunde der Überwachung, die sagen, ja, der EuGH hat ja gesagt, nur diese Richtlinie. Und wir kriegen das jetzt hin, uns so auszudrücken, dass wir die Vorratsdatenspeicherung trotzdem einführen können, denn wir brauchen die ja, um Enkeltrickbetrüger zu fangen oder Terroristen oder Leute, die Kinderpornos gucken oder was auch immer.

Das heißt, auch nicht die Vorratsdatenspeicherung ist weg, sondern die Pflicht zur Vorratsdatenspeicherung ist weg. Was auf nationaler Ebene geschieht, ist erst mal frei momentan. Das ist in vielen Staaten in der Diskussion. Was aber auch bei den Providern selbst passiert, ist momentan nicht wirklich.

Vielleicht hake ich da nochmal kurz ein. Wir hatten tatsächlich die Situation von 2006 an, als die EU-Richtlinie verabschiedet wurde, hat die EU den Mitgliedstaaten vorgeschrieben, allen damals 26, heute 28 Staaten. Ihr müsst ein Gesetz erlassen, was eine Vorratsdatenspeicherung in eurem Land regelt,

was alle Telekommunikationsanbieter verpflichtet, diese Daten zu speichern. Wir haben das Glück, in Deutschland wurde das damals verabschiedete Gesetz vom Bundesverfassungsgericht wieder gekippt und kein neues gemacht. Und jetzt wurde die EU-Richtlinie gekippt. Das heißt, wir haben jetzt auf EU-Ebene und auf Bundesebene derzeit keine aktive Verpflichtung zur Speicherung.

In mindestens 26 anderen EU-Mitgliedstaaten gibt es aber immer noch die Gesetze und die sind immer noch in Kraft. Wir haben jetzt gerade aus Slowenien gehört, dass das Umsetzungsgesetz nach dem EGH-Urteil tatsächlich gekippt wurde. Und in anderen Staaten in Irland und Österreich, die ihre eigenen Verfassungsklagen an den EGH überwiesen haben,

werden demnächst auch Urteile kommen. Aber wir haben in fast allen Staaten der EU immer noch eine Verpflichtung zur Vorratsdatenspeicherung. Und leider sieht es so aus, als ob wir die auch auf national-staatlicher Ebene wieder bekämpfen müssen. Ich glaube, ein ganz drastisches Beispiel ist ein Beispiel aus Schweden. Da gab es zum Anfang keine Vorratsdatenspeicherung in Schweden selbst,

die aber später eingeführt wurde, um eben auch den Strafzahlungen zu entgehen, die auch Deutschland gedroht haben, dann aber im Nachhinein nicht richtig geworden sind. Da haben Provider, also Internetprovider und Dienstanbieter gesagt, nachdem dieses EU-Urteil raus war, wir hören jetzt auf zu speichern. Und nicht nur, wir hören jetzt auf zu speichern, sondern wir löschen einfach alles, was wir gespeichert haben,

wozu wir verpflichtet waren. Und da sind die Strafverfolgungsbehörden in Schweden gegen vorgegangen und haben die Provider verklagt. Also man muss sich quasi diesen politischen Willen anschauen, in den Ländern die Vorratsdatenspeicherung trotzdem weiter, solange es geht, durchzusetzen, obwohl dieses EuGH-Urteil raus ist. Es gibt noch andere drastische Beispiele.

Die Art, wie die EU-Richtlinie durchgesetzt wurde. Anna hat es schon mal angerissen. Eigentlich wollte man das schon mal machen auf EU-Ebene, ist aber damit gescheitert, weil die nationalen Parlamente inklusive der Bundestag gesagt haben, anlasslose Totalüberwachung aller Bürger, es geht nicht aus Grundrechtsperspektive. Also hat man eine sogenannte Binnenmarktharmonisierung gemacht

und hat nicht gesagt, wir machen das gegen den Terror, sondern damit die Telekommunikationsanbieter in einem EU-Markt konkurrieren können und da ähnliche Marktchancen haben, quasi ähnliche Speicherfristen und Voraussetzungen zu haben. Es gibt Beispiele wie Polen, die wollten 5 Jahre Speicherpflicht. Irland wollte auch eine 3 Jahre Speicherpflicht.

Insofern ist für solche Staaten, die 6 bis 24 Monate, die die EU-Richtlinie vorgeschrieben hatte, tatsächlich eine Verkürzung gewesen. Und ob wir das in Polen so einfach wegbekommen, wissen wir noch nicht genau. Außerdem haben wir eben den Fakt, dass die Provider weiter speichern. Die haben damals, als die Voraussetzungs-Speicherung gekippt wurde,

so einen Leitfaden bekommen, in dem drin stand, wie lange sie so datenschutzkonform speichern können, aus Gründen wie Rechnungserstellungen, aus Gründen wie wir wollen Fehler suchen, wir wollen Betrüger finden, die ihre Rechnungen manipulieren wollen. Und das sind Fristen, die sind bei manchen Providern so um die 90 Tage. Und die Daten bleiben natürlich nicht nur bei den Providern, um die zu speichern,

weil eigentlich muss der Provider überhaupt nicht wissen, in welcher Funkzelle man ist, nachdem er ermittelt hat, wie viel das gekostet hat. Das heißt, es gibt eigentlich überhaupt keine Notwendigkeit, das zu tun. Die Provider tun es trotzdem. Der muss die Geräte-ID nicht kennen. Der muss nicht wissen, ob die Funkzelle von der Person war, die ich angerufen habe. Der muss nicht wissen, in was die Funkzellen oder überhaupt,

der ein Verbindungsversuch war, von einem erfolglosen Anruf. Aber all das wird permanent gespeichert. Und bei E-Mail gibt es überhaupt keine. Außer bei D-Mail, wo nach einzelner D-Mail ein paar Cent verlangt werden, überhaupt keinen Grund zu speichern, wann wem eine E-Mail schreibt. Und das wird eben auch dazu ausgenutzt,

um dann die Daten von den Strafverfolgungsbehörden trotzdem anzuschauen, nämlich aus berechtigtem Interesse. Denn man braucht ja Ermittlungsinstrumente. Und dazu zählt dann zum Beispiel die Funkzellenabfrage. Das ist ein Beispiel aus Berlin, als die Autobrenne in Friedrichshain waren. Da hat man massiv Funkzellen abgefragt mit dem Ergebnis, dass man kein Ergebnis daraus gezogen hat.

Vielleicht nochmal kurz, was eine Funkzellenabfrage ist. Diese Daten, von denen ich euch vorhin den Datensatz von einer Person, von einem Tag, gezeigt habe von Malte Spitz, die fallen von jedem Mobilfunkgerät, von allen von euch, bei jedem Mobilfunkanbieter permanent an. Das sind Zehntausende Log-Einträge, Datenbank-Einträge pro Stunde.

Und es ist jetzt Mode geworden als Ermittlungsinstrument, zu sagen, okay, wir hatten eine Straftat in Gegend X. Und wenn du mal nicht weiter weißt, gehen wir mal zu den Mobilfunkanbietern und fragen, geben Sie uns mal die Daten von allen Handys,

die zwischen 6 und 24 Uhr im Bereich Friedrichshain Notkeys eingebucht waren. Da fallen dann nicht nur so eine Logdatei von einer Person an, sondern von Zehntausenden Personen. Und gerade letzte Woche hatten wir eine Mitteilung ans Berliner Abgeordnetenhaus, dass allein in der Stadt Berlin im letzten Jahr 50 Millionen solcher Datensätze

bei der Polizei gelandet sind, komplett ohne Vorratsdatenspeicherung und komplett ohne Verdacht gegen irgendeine dieser Zehntausenden beteiligten Personen. Aber wenn ihr in Berlin wohnt oder in Berlin mit einem Handy unterwegs seid, ist statistisch gesehen auch eure Kommunikation da 14-mal im letzten Jahr bei den Behörden gelandet.

Ein Ermittlungsinstrument ins Blaue hinein, einfach nur weil es die Daten gibt und weil Provider die speichern. Wir hatten damals auch 2010, als diese Funkzellenabfragen aktuell wurden, dass der Berliner Datenschutzbeauftragte eben erst mal sagte, das war ihm gar nicht so bewusst und dann eben auch wirklich scharf kritisiert hat,

dass eine Funkzellenabfrage eigentlich ein Instrument für schwere Straftaten sein sollte, aber dass es quasi so ein Alltagsermittlungsinstrument geworden ist und einfach mal so benutzt wird. Enke, Trick und Bierfesse. Damit in Zusammenhang steht die Bestandsdatenauskunft, die man eben auch benutzt, um Anschlussinhaber zu identifizieren,

um eben zu schauen, wem gehört dieses Handy, das in dieser Funkzelle ist, wem gehört diese E-Mail-Adresse, wem gehört diese IP-Adresse. Und die Bestandsdatenauskunft soll eben auch nur für schwere Straftaten benutzt werden, wird aber auch in manchen Bundesländern, vor allem so wie Sachsen und Thüringen und Hessen, dafür benutzt, Ordnungswidrigkeiten zu ernten.

Zum Beispiel Falschparker. Das heißt, wenn ich falsch parke, berechte ich das Behörden dazu, in der Funkzelle Leute zu identifizieren. Ob das verhältnismäßig ist, weiß man nicht so richtig. Genauso wie Quellen-TKÜ. Bundesdrujaner sagt uns allen, glaube ich, noch was. Und Anschlussüberwachungen müssen zwar begründet werden,

aber ob die Begründung immer stichfest ist, weiß man nicht. Das Ganze haben uns auch die Transparenzberichte gezeigt, die jetzt gerade am Anfang der Woche veröffentlicht wurden. Posteo hat da ein bisschen vorgelegt und gesagt, sie veröffentlichen jetzt, wie viele Bestandsdatenanfragen und wie viele Quellen-TKÜ-Anfragen sie bekommen haben. Bei Posteo, das ist ein relativ kleiner Anbieter,

waren das insgesamt acht Stück, von denen sie aber sieben abwehren konnten, weil sie eben auch überhaupt nicht erheben, wer bei ihnen ein E-Mail-Konto hat, um das eben anonym zu machen. Da bringt natürlich die beste Bestandsdaten aus, kommt nichts. Einer TKÜ mussten sie sich trotzdem geschlagen geben, gehen aber momentan dagegen vor. Die Telekom noch? Genau, die Telekom hat ein paar andere Zahlen zu bieten.

Die Telekom hat fast eine Million Anschlussinhaber identifiziert, ausschließlich wegen Urheberrechtsverstößen. Das ist nur ein Internetanbieter und ein Mobilfunkbetreiber von vielen in Deutschland. Nur ein Jahr und komplett ohne Vorratsdatenspeicherung,

ohne deutsches Gesetz, ohne Umsetzung. Die Daten werden trotzdem weiter gespeichert und wie wir sehen, nicht zu knapp verwendet und bei Weitem nicht nur für Terrorismus. Was man sich in Relationen dazu anschauen kann, die Telekom hat insgesamt ungefähr 31 Millionen registrierte Anschlüsse. Das heißt, jeder 30. wurde dann mal identifiziert. Das kann man ganz gut durchzählen, sind einige hier.

Verkehrsdatensätze und Bestandsdatenabfragen. Verkehrsdatensätze ist das, was wir auch bei der Vorratsdatenspeicherung kriegen. Wir wurden eben auch doch recht inflationär abgefragt. Das werden ungefähr jede 60. für den Verkehrsdatensätze abgefragt werden. Und 50.000 Anschlussüberwachungen geschräglich Quellen TKÜ

sind doch auch eine ganze Menge, wenn man sich das so anschaut. Genau, wir kommen schon zum Fazit und fragen uns jetzt natürlich, wie geht das weiter, wofür das hin, kriegen wir das weg, ist das tot und da kommt das einfach wieder. Die Sache jetzt ist, wir müssen ein bisschen abwarten,

weil Europawahlen stehen vor der Tür und die EU-Kommission zum Beispiel hat sich auch sehr vage geäußert, dass man erst mal abwarten will, was so in den Europawahlen passiert. Und dass wir deshalb noch nicht wissen, was nach der Wahl im Mai von der EU zu erwarten ist. Das heißt, ob es eine Wiederauflage geben wird, weil wir eben auch den einmaligen Fall haben,

dass mit dem EuGH-Urteil zum ersten Mal eine Richtlinie einfach komplett aufgehoben wurde. Das heißt, man hatte die Empfehlung von dem Generalanwalt Wileron, dass man die Richtlinie ändern müsse. Und aber zum ersten Mal den Fall, dass der EuGH darüber hinausgegangen ist und hat gesagt, die Richtlinie ist weg. Und zwar sogar nicht nur ab jetzt, sondern rückwirkend. Das können wir ruhig nochmal betonen.

Wir hatten Anfang der Nullerjahre den Versuch, auf manchen Mitgliedstaatenebene und auf EU-Ebene eine Vorratsdatenspeicherung einzuführen. Der erste Versuch wurde abgeschmettert. Nach den Terroranschlägen in Madrid und London kamen die dann auch so von hinten durch die Brust durchs Auge eben über den Moment Binnenmarktharmonisierung doch durch in der EU.

Wir haben es jetzt tatsächlich aber nach acht Jahren harten Kampf geschafft, die ganze Zeit gültige EU-Richtlinie zu kippen. Das ist das erste Mal auf EU-Ebene, dass eine Richtlinie vom EuGH komplett unmittelbar am selben Tag des Urteils zurückgenommen wurde. Das ist ein ganz ganz großer Erfolg. Aber ähnlich wie wir das in Deutschland sehen,

nachdem das Bundesverfassungsgericht hier das damalige Gesetz gekippt hat, sofort kommen wieder die üblichen Verdächtigen nicht nur von der Gewerkschaft der Polizei und ein paar Uls, sondern von weiten Teilen der Union, sogar der SPD und anderen Bereichen der Gesellschaft diese höchst sensiblen Daten sofort wieder anfallen zu lassen.

Man brauche die ja, für Begründungen haben wir genug. Wir könnten dann sogar noch einen Bonus-Track machen. Aber wie wir es in Deutschland bisher geschafft haben, das zu verhindern, das hat tatsächlich ganz schön viel mit der FDP zu tun gehabt, haben wir jetzt in der EU so eine Schieflage. Wir haben demnächst Wahlen. Bis dahin wird die Kommission nichts machen. Danach gibt es eine neue Kommission irgendwann im Herbst.

Und dann wird sich die Zukunft der Richtlinie entscheiden, ob es eine Neuauflage gibt, schon wieder den dritten Anlauf auf EU-Ebene zu starten, eine Vorratsdatenspeicherung einzuführen. Wir haben die Befürchtung, irgendjemand kommt auf die Idee, dass man das mal wieder machen muss. Wir stehen aber zurzeit sehr gut da. Wir haben zwei höchstrichterliche Urteile,

dass diese anlasslose Massenüberwachung der kompletten Bevölkerung massiv Grundrechte verletzt, anlasslos ist und so nicht durchgeführt werden kann. Wir hoffen, diese Einsicht setzt sich auch in Brüssel durch und wir bleiben weiter dran und arbeiten. Genau. Und vor allem haben wir, glaube ich, wirklich zwei Argumente, die nicht tot zu kriegen sind. Nämlich das eine Argument, dass die Vorratsdatenspeicherung

schon quasi im Sinne des Begriffes eine Speicherung auf Vorrat und eben anlasslos ist. Und alle unter Generalverdacht steht, was man nicht wegdiskutieren kann, was man auch gesetzlich nicht wegregeln kann. Und das zweite Argument, das wirklich stehen bleibt, ist der mangelnde Datenschutz. Wir haben gesehen, dass wir Daten nicht vor unberechtigtem Zugriff schützen können.

Und das kann man auch nicht durch irgendwelche Gesetzesregelungen wegdiktieren. Man kann auch nicht einfach sagen, wir speichern die Daten nur noch auf deutschen Boden oder nur noch auf europäischen Boden, weil wir mittlerweile wissen, dass es nichts bringt. Das heißt, wir können fast davon ausgehen, dass egal in welcher Form die Vorratsdatenspeicherung vielleicht im schlimmsten Fall wieder aufersteht, dass man sie trotzdem wieder totbekommt

und im Zweifelsfall, indem man wieder vor das Bundesverfassungsgericht zieht und indem man wieder vor den EuGH geht. Deshalb ist unser Schlussstatement. Die Vorratsdatenspeicherung ist ein Zombie und wir sollten sie immer wieder im Zweifelsfall versuchen, endlich tot zu kriegen.

Vielen Dank. Wir haben nicht so überzogen, wie ich das befürchtet habe. Wir kommen gleich zu Q&A. Wir wollten das auch, wie gesagt, gar nicht so vortragsmäßig machen. Stellt uns Fragen. Wir hätten auch noch einen Bonus,

falls ihr wieder erwartet, doch keine Fragen habt. Mit Argumenten der Befürworter, die wir gerne noch im Einzelfall zerlegen könnten oder auch technischen Selbstschutz schießt los. Hier gibt es noch einen kleinen Bonus. Wer weiß, was das ist, kriegt nicht nur ein Bienchen, sondern sollte das auch weiter verbreiten. Das sind die Fingerabdrücke von unseren Open-PGP-Keys. Macht ein Foto, damit könnt ihr verifizieren,

dass diese Keys uns gehören. Schickt uns, wenn ihr Mails verschickt, am besten verschlüsselt. Hilft zwar nicht gegen die Vorratsdatenspeicherung, aber gegen Inhaltsanalyse. Eure Fragen. Hallo. Ich bin Maria und ich wollte noch mal ganz kurz nachfragen, ob ich es jetzt wirklich richtig verstanden habe.

Die Vorratsdatenspeicherung, diese Richtlinie, die gab es, die wurde wieder aufgehoben, aber im Grunde sind die Daten trotzdem da. Die wurden nicht gelöscht, sondern die sind immer noch da und werden fleißig genutzt. Habe ich das richtig verstanden? Das Problem mit der Löschung ist noch ein anderes. Es wird gesagt, dass die Daten nach einem gewissen angemessenen Zeitraum gelöscht werden sollen.

Oder dass sie für 3, 6, 24 Monate gespeichert werden sollen. Aber wann die Löschung wirklich passiert, ist unklar. Da gibt es wahrscheinlich auch keine Instanz, die das irgendwie kontrolliert. Man kann es ja schlecht kontrollieren. Man kann ja jetzt schlecht alle 6 Monate zur Telekom rennen und sagen, habt ihr die Daten der letzten 6 Monate gelöscht? Vielleicht kann ich noch mal kurz einhaken.

Die Richtlinie und das deutsche Gesetz, die haben aus Gesetzesperspektive den Anbietern, nicht nur Mobilfunk, sondern auch E-Mail, Voice over IP und so weiter und so fort, Internetanschlüssen gesagt, ihr müsst diese Daten speichern. Und zwar in Deutschland für ein halbes Jahr und in anderen Staaten für zwei Jahre. Was wir jetzt gekippt haben, ist diese Gesetze, die sagen,

ihr müsst diese Daten speichern. Es gibt sowohl auf EU-Ebene als auch auf Bundesebene immer noch Gesetze, die sagen, ihr dürft diese Daten speichern. Und manche Daten, tatsächlich wann ich wen angerufen habe, wenn ich einen Mobilfunkvertrag habe, sind tatsächlich für eine Rechnungserstellung nötig. Aber es gibt Datenschutzgesetze, die sagen, sobald diese Daten nicht für eine Rechnung, für Abrechnungszwecke

oder, und das ist ein kleines Loophole, technische Zwecke benötigt werden, dann müssen die schnellstmöglich gelöscht werden. Und wir haben ziemlich viele Beispiele gebracht. Also E-Mail-Daten ist komplett irrelevant, wann wer wen in eine E-Mail schreibt, auch in welcher Funkzelle ich bin. Es reicht höchstens ein Flag, wenn ich eine Homezone habe oder so, ist in der Homezone oder nicht.

Gerätenummern und so, wir haben viel zu viele Daten, die gespeichert werden und vor allem viel zu lange. Der Bundesdatenschutzbeauftragte hat in einer Gruppe mit den Mobilfunkanbietern und Telekommunikationsanbietern ohne öffentliche zivilgesellschaftliche Beteiligung einen Leitfaden erlassen, wie lange die diese Daten speichern dürfen. Es gab einen der vier großen Mobilfunkanbieter in Deutschland,

die haben die Daten, die fast alle Datentypen nur für sieben Tage gespeichert, sieben Tage nach Rechnungserstellung. Und dann haben die die gelöscht. Es gab andere deutsche Mobilfunkprovider, die haben die trotzdem 180 Tage gespeichert, auch nach Rechnungsversand. Unser Argument, es geht ja, es gibt keine technische und keine Abrechnungsrelevanz nach sieben Tagen.

Ihr könnt die nach sieben Tagen löschen, aber derzeit ist der Stand, die meisten deutschen Anbieter speichern die Tage 30 Tage nach Rechnungsversand und die wenigsten anonymisieren, die speichern fast alle, die Nummern, die ihr angerufen habt, die irrelevant sind, die Nummern, die ihr euch angerufen habt und wo ihr dabei wart. Eine Angst war auch bis vor kurzem,

es könnte ja wieder ein deutsches Gesetz geben und wir haben die ganze Speicherinfrastruktur schon und wenn wir das jetzt alles löschen, technisch umbauen und dann wieder neu implementieren müssen, wenn ein neues Gesetz ist, dann lassen wir es lieber gleich so wie es ist. Aber es gibt Klagen, unter anderem von dem großartigen Anwalt Udo Vetter, der auch schon die Bundesverfassungsgerichtsklage gemacht hat, gegen existierende Speicherpraxis von Mobilfunkanbietern

und wir hoffen, dass die erfolgreich ist. Ich bin Claudia, ich wüsste jetzt gerne Hilfe zur Selbsthilfe.

Was macht man denn jetzt? Tatsächlich gegen Mobilfunk. Immer wenn das Handy an ist, immer wenn ich eine Mobilfunkverbindung habe, weiß das Mobilfunknetz, wo mein Handy ist. Das geht nicht anders, sonst könnten die euch keinen Anruf durchstellen, keine SMS durchstellen.

Tatsächlich sollte man sich manchmal überlegen, muss das Handy immer an sein? Ist in Deutschland legal? Man kann Prepaid SIM-Karten kaufen. Man kann zu solchen Resellern gehen und gibt es in manchen Supermärkten. Ich kaufe mir eine SIM-Karte,

geht auch mit LTE. Da muss ich keinen Personalausweis zeigen, ich muss keine Kontonummer angeben, sondern ich muss die einfach nur auf einen Namen registrieren. Ich bin nicht verpflichtet, meinen echten Namen anzugeben und die Firma ist nicht verpflichtet, meinen echten Namen zu überprüfen. Es gibt Leute, die haben Prepaid-Karten, da steht nicht ihr echter Name drauf.

Das heißt, das landet in der Datenbank, aber die Möglichkeit, den eigenen Namen damit zu verknüpfen, ist eine Stufe komplizierter, als einfach nur danach den Namen direkt draufstehen zu haben. Bei E-Mail und Internetverbindungen, wer wann welche IP-Adresse hat, helfen Tools wie Tor, VPNs, um

der Gegenseite im Internet, mit dem man kommuniziert, eben nicht die eigene IP-Adresse zu zeigen oder auch öffentliche WLANs zunutzen, die nicht auf den eigenen Namen registriert sind, Uni-Accounts. Tatsächlich ist das alles ein bisschen Arbeit. Das Allerwichtigste ist tatsächlich, wir müssen dafür sorgen, dass es gar nicht erst solche bescheuerten Gesetze gibt, die unsere Daten

spreichern, obwohl wir unverdächtig sind. Also meine Frage, die ist wirklich ernst gemeint und auch wenn sie sich jetzt im ersten

Moment komisch und blöd anhört, aber wie steht ihr zu Überwachungskameras an öffentlichen Plätzen etc. pp.? Ich meine, das ist mehr oder minder offline, aber es geht ja in die gleiche Richtung. Also habt ihr da eine Haltung dazu? Ich glaube, man muss ganz stark unterscheiden, ja, man kann nicht einfach sagen, eine Überwachungskamera. Das heißt, eine Überwachungskamera an einem

öffentlichen Platz kann sein, das ist eine Kamera, da ist ein Monitor hinter, da sitzt ein Mensch davor, da wird nichts gespeichert. Das ist eine Sache. Es kann sein, das ist eine Kamera, die zeichnet auf, da sitzt vielleicht ein Mensch davor, das wird gespeichert und für ewig lange aufgehoben oder ist es eine Kamera, da wird was automatisch analysiert. Ich finde, eine Pauschalaussage dazu kann man nicht machen,

außer, dass Kameras einfach nicht zu mehr Sicherheit beitragen. Das heißt, es gibt wirklich keine Argumente, Kameras in großem Maße zu benutzen. Kameras im öffentlichen Raum sind ein sehr sensibles Thema. Tatsächlich gibt es dazu einige Forschung. Kameras tragen zu einer gefühlten Sicherheit

bei, Kameras tragen aber nicht wirklich zu einer wirklichen Sicherheit bei. Gerade in Großbritannien, die wirklich flächendeckend CCTV-Kameras an jeder Ecke haben, hat das überhaupt nicht zu einer Verminderung von Kriminalität geführt, nur zu einer Verlagerung in andere Gegend, wo keine Kameras sind. Also Kameras im öffentlichen Raum

helfen tatsächlich statistisch nicht. Die tragen nur zu einem Gefühl der Sicherheit bei. Und man kann sich eben auch, ich glaube aus der gleichen Studie sogar in Großbritannien ist hervorgegangen, dass viel effektiver ist, die Straßenbeleuchtung besser zu machen. Das heißt, man muss sich einfach mal so, statt den dunklen Park zu überwachen, den Park einfach hell machen. So, meine Frage von vorhin

zielt nochmal auf das, was du zuerst gesagt hast zum Thema ein bisschen Selbstschutz. Jetzt habe ich ja das Problem, dass meine Bewegungsdaten, das heißt, wenn ich telefoniere, wenn ich SMS schicke, ich denke mal SMS dürfte jetzt langsam ein Thema sein, was nicht mehr ganz so relevant ist. Du hast eine Datenverbindung permanent Das ist richtig, ja. Jetzt hast du gesagt zum Beispiel VPN. Ist es dann eventuell auch eine Möglichkeit oder wie stehst du dazu, dass man auch versucht,

Kommunikation auf Medien auszulagern, die tatsächlich nicht mehr auf Punkt-zu-Punkt-Verbindung basieren? Also bei einer SMS ist es immer so, mein Gerät schickt eine SMS an ein anderes Gerät. Wenn ich jetzt IP-basierte Dienste nutze, also ich benutze irgendeinen Messenger, der verschlüsselt über irgendeinen VPN geht, dann wird das ja schon schwieriger. Gibt es da irgendwie auch eine Bewegung in die Richtung, dass das einfacher wird?

Weil letzten Endes hast du auch gesagt, wir müssen versuchen zu vermeiden, dass solche Gesetze entwickelt werden. Amerika hat eindrucksvoll bewiesen, dass es scheißegal ist, was es für Gesetze gibt, weil sich kein Schwein daran hält, was irgendwo geschrieben ist. Wenn die das machen wollen, haben die das Geld, dann haben die auch die Mittel, dann machen die das einfach. Also die Frage ist klar, ein Kriegsschauplatz, auf dem wir agieren müssen, aber die Frage ist auch, können wir es

trotzdem noch erschweren, unabhängig davon, ob es nun erlaubt ist oder nicht? Also gibt es irgendwie sinnvolle Möglichkeiten, wie wir uns da schützen können. Weil Gesetze alleine bringen nicht viel. Das ist zwar irgendwo niedergeschrieben, aber wo kein Kläger da, kein Richter und von der NSA-Affäre hat kein Schwein was gewusst, bis Snowden rauskam mit seinen Dokumenten. Und da hat nie einer danach gekräht, ob sowas passiert

oder nicht. Und Gesetze dagegen gab es jede Menge. Wir haben es schon gesagt, wir konnten es noch nicht beweisen. Also vielleicht fangen wir mal mit dem ersten Punkt an, selbst wenn du einen VPN benutzt, aber du hast eine Datenverbindung mit deinem Handy, dann fällt immer noch dein Mobilfunkanbieter an, wann sich dein Handy mit dem Mobilfunknetz verbunden hat. Das heißt, selbst wenn du einen Tunnel durchmachst,

man sieht dann zwar am Ende des VPNs gegenüber nicht mehr von welchem Anbieter du kamst und welche IP-Adresse du hattest. Dein Mobilfunk weiß aber immer noch permanent, wo du bist. Technischer Selbstschutz ist ein ganz großes und ganz weites Thema. Du hast auch gleich das ganz große NSA-Fass aufgemacht. Es kommt da so ein bisschen drauf an,

gegen was man sich schützen will, was das eigentliche Threat Level ist. Ich glaube, niemand kann sagen, dass wenn er die NSA als Threat Level nimmt und er sich gegen die NSA schützen muss, dass es da plausibler, ernstzunehmende technische Schutzmaßnahmen gibt. Gegen die gezeigten Beispiele von der deutschen Polizei, die gegen Enkeltrick

oder gegen geklaute Bierfässer ermitteln, dagegen gibt es technische Selbstschutzmaßnahmen. Unter anderem, ich glaube, die allermeisten Autobahn-Stiftungen, die in Deutschland, die in Berlin mit hunderten Funkzellen erfragen, zehntausenden beteiligten Personen und Handys ermittelt wurden, die haben

keine einzige Person gefangen. Weil stellt sich raus, Leute, die Autos anzünden, nehmen ihr Handy einfach nicht mit. Das ist gar kein technischer Selbstschutz, das ist einfach nur ein bisschen Nachdenken. Wir können euch aufrufen, nutzt Tor, nutzt VPN, nutzt Verschlüsselungen, nutzt OTR, verschlüsselt eure Chats, nutzt genug PG, wir haben hier unsere

Keys und verschlüsselt eure E-Mails. Das ist eine Frage, gegen was schützt man sich? Gegen die NSA nicht? Gegen das Berliner LKA? Vielleicht. Gegen den Nachbar, den das eigene offene WLAN mitsnimmt? Gegen den auch. Aber ein weiterer Punkt, finde ich, der relativ einfach ist, mit dem man sich ein bisschen schützen kann oder es ein bisschen schwieriger

machen kann, das wirklich auf sich selbst zurückzuführen, ist eben, sich nicht nur unter einer Identität zu bewegen. Das heißt, es zwingt dich keine eine SIM-Karte zu haben, es zwingt dich keine ein Handy zu haben. Man kann mehrere Identitäten annehmen, man kann zum Beispiel auch zu E-Mail-Providern gehen, die nicht darauf aufbauen, dass du dich ausweist und dass man weiß, wer hinter dem E-Mail-Account steckt.

Das heißt, wenn ich eine Bestandsdaten-Anfrage an einen E-Mail-Provider gebe, der nicht mehr weiß, wer du bist, dann, ja, was soll der tun? Selbst wenn er das wollen würde. Und einfach dadurch, dass man so ein bisschen schaut, mit welcher Identität man sich gerade im Netz wo bewegt, kann man schon einiges im Hinsicht von, ich mache es schwerer erreichen. Natürlich, wenn man das will, ich kann, selbst wenn du

alle zwei Tage die SIM-Karte an deinem Handy wechselst, habe ich immer noch die Geräte-ID. Das ist natürlich, das muss man sich immer bewusst machen, was ist möglich, aber man kann immerhin schauen, was macht es schwerer? Die Vorratsdatenspeicherung habe ich ganz hier hinten links. Die Vorratsdatenspeicherung habe ich, denke ich, ganz gut verstanden. Ich hätte gerne noch ein Wort hinsichtlich der Bestandsdaten-Auskunft.

Was heißt es denn konkret? Beispiel, ich würde einen VPN in Deutschland betreiben und natürlich rechne ich das mit den Kunden ab und es laufen mehrere Kunden über einen Server. Muss ich irgendwelche Daten vorhalten, wenn ja, welche, oder welche Daten muss ich denn als Bestandsdaten herausgeben? Das wäre schon ein erster Punkt, wie man jemanden ermitteln kann. Danke.

Ich frage mich gleich, ob du das allgemein oder persönlich für deinen Dienst, den du betreibst, fragst. Ganz allgemein, eine Bestandsdaten-Auskunft ist eine Anfrage in den allermeisten Fällen. Wir haben hier eine IP-Adresse und eine Uhrzeit, an der die genutzt wurde. Ich gehe zu Telekom und frage, welcher Anschluss ist darauf registriert? Welche natürliche oder juristische Person hat diesen

Internetanschluss, diesen Mobilfunkanschluss, wie auch immer, genutzt zu der Zeit? Was sind die Bestands-, also die Daten, die ihr über diesen Anschluss und diese Person in der Rückhand habt, also in eurem Rechnungssystem? Da sind so Sachen wie Name, Anschrift, Geburtstatum,

Kontonummer, von der das bezahlt wird, Einzugseinmächtigung und so weiter und so fort. Meistens die Identifikation eines Users, einer Userin, hinter entweder einer IP-Adresse oder auch einer Mobilfunknummer. Aber auch, was man noch schauen muss, ist, dass das irgendwie für Anbieter ab einer gewissen Größe gilt. Das heißt, ich glaube, bis zu 6.000 Kunden, wenn ich mich nicht ganz

irre, ich bin mir nicht sicher. Auf jeden Fall für kleinere Anbieter gilt das in dem Maße erstmal nicht. Nur, wenn man größer wird, muss man es einrichten. Und was ganz kritisch ist, ist, dass zumindest in Sachsen geht die Entwicklung momentan dahin, dass man gesagt hat, Bestandsdaten, das ist nicht nur deine Rechnungsadresse und dein Name, das ist auch dein Passwort.

Also, die Daten, die der Vorbeider über ihn hat. Die PIN-Daten zum Beispiel deines Handys. Wenn man so ein Handy hat, dann kriegt man so eine PIN mitgeschickt, die darf man frei rubbeln. Das sind dann auch Bestandsdaten. Und wenn man sich überlegt, man hat irgendwie so ein gewisses Standardpasswort für seinen E-Mail-Account von der Telekom vielleicht, das man irgendwie nie geändert hat, dann kann das einfach mal so, dein E-Mail-Account geöffnet

werden und mit der Kenntnis des E-Mail-Account kann man normalerweise auch sowas wie Facebook-Passwörter zurücksetzen. Das heißt, man kann so ein bisschen Paranoide werden und sich überlegen, was man mit Bestandsdaten auch so Schönes machen kann. Aber deine Frage klang ziemlich konkret. Du kannst doch gleich nach dem Talk nochmal kommen und dann können wir eventuell ein konkretes Beispiel das nochmal erörtern.

Ich habe noch eine kurze Hinweis zu, was kann man machen zwecks vier. E-Mail. Ihr habt zwar eure Schlüssel, aber auch wenn ich E-Mails verschlüssel, werden ja auch die Metadaten fallen an. Das heißt, es gibt ja auch so ein kleines Programm BitMessage Org, wo keine Metadaten anfallen. Da wäre auch nochmal der Hinweis darauf, dass man das verwenden kann, weil einfach nur Daten erzeugt werden und keiner weiß,

von wo von wo gehen die hin. Also BitMessage Org wäre auch noch eine E-Mail-Alternative. Oder wir haben schon gesagt, man muss halt nicht unbedingt die E-Mail-Adresse von T-Online, web.de oder auch Gmail nutzen, wo das alles bis in alle Ewigkeit gespeichert wird. Sondern nutzt einen kleinen Anbieter oder wenn ihr nötig genug seid, setzt

einen eigenen E-Mail-Server auf. Nimmt euch niemand weg, das ist euer Recht. Und dann bestimmt ihr, welche Daten gespeichert werden. Und ihr könnt es sogar kontrollieren, nicht wie bei allen anderen. Ja, hallo. Du sagtest, wir können uns gegen die deutsche Polizei wehren, gegen die NSA nicht. Ist es nicht so, dass die Daten einfach unter den Partnern ausgetauscht werden?

Also ist das nicht auch das irgendwie so ein bisschen Quatsch? Ja, die deutsche, also Berlin LKA-Beamter kommt jetzt nicht an den NSA-Dat, ich hatte es dran, so gerne sie würden. Aber ich sag mal, LKA geht ans BKA und BKA geht dann vielleicht Das NSA kriegt das, was die Berliner Polizei hat, aber die Berliner Polizei kriegt nicht das, was die NSA hat. Okay. Es geht eben auch darum,

gegen was wehre ich mich? Wehre ich mich jetzt dagegen, dass der Enkeltrick bei mir greift oder also die Ermittlung gegen den Enkeltrick oder die Ermittlung gegen das Urheberrecht oder gegen das BTMG oder wehre ich mich gegen die NSA? Man muss halt wirklich immer sehen. Genau. Gegen eine Filesharing-Abmahnung kannst du das schützen. Wenn du die NSA hast, dann

solltest du das lieber offline machen. Ich bin ein bisschen skeptisch, was diesen Selbstschutz angeht, weil ich bin der Ansicht, es bringt nur bedingt was, wenn die 0,1 Prozent der Bevölkerung, die Nerds und Blogger und sonst irgendwas oder die technischen Geeks

sich dagegen schützen, wenn eben die anderen 99,9 Prozent der Bevölkerung das einfach nicht machen. Und die Gefahr ist nicht, dass man jetzt selber irgendwas zu verbergen hat, sondern dass die gesamte Bevölkerung als in ihrer Gesamtheit eben was zu verbergen hat und dass man

einfach nicht diese Machtkonzentration haben will. Deshalb finde ich es so ein bisschen trügerisch zu glauben, dass wenn man jetzt selber seinen PGP benutzt, dass das Problem löst. Meiner Meinung nach müsste man eigentlich mehr darauf dringen. Zum einen, dass diese Daten nie anfallen und dass diese ganzen Verschlüsselungssachen einfach verpflichtend für alle werden.

Also es gibt auch keinen technischen Grund mehr, dass man heutzutage einen Instant Messenger in Verkehr bringt, der nicht Ende zu Ende verschlüsselt zum Beispiel. War zwar keine Frage, aber das haben wir hoffentlich genauso gesagt. Also wir müssen dafür sorgen, dass diese Daten gar nicht erst gespeichert werden. Technischer Selbstschutz macht nur eine kleine Gruppe, aber das wollen wir hoffentlich auch

ändern, denn wenn ihr gestern diesen Talk von Jacob Applebaum und Jillian Seyock nicht gesehen habt, dann tut das nochmal. Es sollte auch zum wie damals Safer 6 zum Standard geworden ist, auch Safer Internet Practices zum Standard werden und jeder sollte verschlüsseln und anonymisieren. Aber tatsächlich das Problem sind die Gesetze.

Ich glaube auch gerade, wenn man quasi der Nerd ist, der das tut und wenn man quasi zu dieser kleinen Gruppe gehört, sollte man nicht nur den Leuten sagen, benutzt Verschlüsselung, benutzt dieses und jenes, sondern man sollte auch selber daran arbeiten, die Techniken für Leute zugänglicher zu machen. Das heißt, wir haben das Problem, dass es Leuten aus Gründen zu aufwendig ist, eben PGP zu benutzen

oder das klappt dann nicht, weil sie mit ihremselben, also mit ihrem eigenen Schlüssel für andere Leute verschlüsseln und so weiter und so fort. Und eben da muss man auch als Mensch in der Verantwortung eben ansetzen und schauen, dass man das einfach benutzbar macht, dass man das von Anfang an in die Anwendung einbaut und dass man eben auch seiner Mutter dabei hilft, das zu installieren. Der Applebaum Talk ist genau das, worauf ich hinweisen wollte.

Es bringt nichts, wenn sich nur einer in diesem Kommunikationsverkehr schützt. Wenn der Partner, der direkt daneben ist, mit einem Handy immer in Begleitung ist, dann bringt es auch nichts, wenn ich mein eigenes ausschalte. So viel zu den eigentlichen Selbstschutzmaßnahmen. Wir müssen sehen, dass wir unsere Datenspur löchriger kriegen, nicht mehr so aussagekräftig

und vielleicht ein bisschen mehr Verzicht üben, wo es denn möglich ist und nicht allzu weh tut. Aber im Kern muss die Gesetzesebene heran und geregelt werden. Da dürfen wir uns nicht auf den Füßen stehen lassen und uns zu scharfem machen lassen. Können wir das so als Schlusswort stehen lassen?

Mit Blick auf die Uhr würde ich auch alle, die jetzt noch Fragen haben, bitten, vielleicht gleich nach vorne zu kommen. Ich denke, ihr beiden seid noch ein bisschen da. Vielen Dank, Anna und André, für diesen Vortrag. Hier geht es um Viertel nach Vier weiter.