Musik Herald: Warum in die Ferne schweifen, wenn das Ausland liegt so nah? Das ist der wunderschöne Titel des nächsten Talks von Klaus Landefeld und ich weiß nicht ob ihr's wusstet aber gemessen am Datendurchsatz ist der DE-CIX Internetknoten in Frankfurt am Main der größte seiner Art auf der Welt. Doch wie sagt man so schön: Da wo ein Daten-Trog ist da kommen die Geheimdienste und in Deutschland ganz konkret der Bundesnachrichtendienst mit Berufung auf Anordnung nach „G 10“-Gesetz und möchte dort eben Daten abgreifen und tut dies auch. Die Betreiber des Frankfurter Internetknotens haben gegen diese Überwachung geklagt. Sie wollen das nicht auf sich sitzen lassen und der nächste Sprecher ist Vorstand beim eco e.V. dem Verband der deutschen Internetwirtschaft und Aufsichtsrat der DE-CIX International AG. Bitte ein ganz ganz herzlichen Applaus für Klaus Landefeld. Applaus Landefeld: So. Ja vielen Dank. Ich mache mal so einen ähnlichen Disclaimer wie so viele andere auch: Ich spreche ausnahmsweise mal für mein Unternehmen wofür ich da bin, nein, also die Meinung die ich jetzt hier vertrete ist nicht nur meine private Meinung, sondern tatsächlich auch das was wir als Verband der Internetwirtschaft und als DE-CIX auch nach außen tragen und wo wir der festen Überzeugung sind, dass das richtig ist. Es wird jetzt hier nicht nur um Überwachung am DE-CIX gehen, sondern ich werde mal versuchen überhaupt mal diese ganze Überwachung bisschen einzuordnen. Ich stelle nämlich leider fest, bei vielen Talks auch, dass das so ein bisschen, ja, von Fehlinformationen teilweise geprägt ist oder eigentlich nicht so klar ist, was gibt es eigentlich für Maßnahmen, wie sieht das operativ eigentlich, aus was funktioniert da eigentlich so. Vielleicht als allererste Einordnung mal: Was denn eigentlich das Problem? Warum ist Überwachung überhaupt so ein Thema? Klar ist, die Gerichte haben dazu eine ganz eindeutige Position: Das Bundesverfassungsgericht hat 2010 gesagt, dass die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf. Das ist verfassungsrechtliche Identität der Bundesrepublik Deutschland für deren Wahrung sich die Bundesrepublik in europäischen, internationalen Zusammenhängen einsetzen muss. Das heißt unsere Bundesregierung müsste eigentlich überall, in Europa, auf der Welt und so weiter sich für diese Freiheitsrechte einsetzen. Das kann ich nicht beobachten. Das ist eher so ein Problem. Im Gegenteil ist eine Aussage under Bundesinnenminister dieses jahr getroffen hat nämlich: Es ist nicht Aufgabe des Gerichts ständig den Gesetzgebern in Sachen Sicherheit in den Arm zu fallen. So das typische Verhalten das leider zu beobachten ist. Er hat das gesagt, nachdem das aktuelle BKA-Gesetz ihm so in Teilen gekippt worden ist, wo es wieder um Überwachungen in Form von Hacking von Systemen und ähnlichen Sachen, also sprich Bundestrojaner weggenommen worden ist. Das ist aber das Spannungsfeld in dem wir uns befinden, es gibt immer dieses Spannungsfeld zwischen dem, was sagen unsere Gesetze eigentlich, was ist ist die Rechtslage in Deutschland die tatsächlich im internationalen Vergleich sehr gut ist, gegen der Positionen der sogenannten Bedarfsträger wie man immer so hübsch sagt. Das EuGH hat sich dazu sehr klar geäußert - einmal in 2014, das war das Urteil zur Vorratsdatenspeicherung zur ersten und da ging es um diese Metadaten über die wir immer so hübsch reden: Sie sagten ganz klar, aus der Gesamtheit dieser Daten können sehr genaue Schlüsse auf das Privatleben der Personen deren Daten auf Vorrat gespeichert wurden gezogen werden. Also Gewohnheiten des täglichen Lebens: Wo hält man sich auf, was tut man, mit wem kommuniziert man, was sind die Rhythmus - also wo ist man, wann kann man erwarten, dass man denjenigen da antrifft und solche Sachen. Das ist alles das, was in Metadaten oder Verkehrsdaten, wie wir das in Deutschland nennen, eigentlich erfasst wird. Quasi verbatim das gleiche ist am 22.12. wieder gesagt worden, als Vorratsdatenspeicherung noch mal für ungültig, beziehungsweise für unzulässig erklärt wurde. Dort hat das EuGH ganz klar gesagt: „Leute so geht das nicht, es kann nicht sein, dass für alle Bürger pauschal Vorratsdatenspeicherung gemacht wird. Da muss immer irgendeinen Bezug da sein, es muss targeted sein.“ Leider ging es dabei nicht um das Gesetz dass wir in Deutschland momentan gerade haben, sondern es ging um eine Überprüfung für Dänemark und Großbritannien. Das heißt unser Gesetz ist damit leider nicht automatisch aufgehoben. Was gibt es denn überhaupt für Elemente der formellen Überwachung? Das wird nämlich auch gerne falsch verstanden, sag ich mal. Es gibt die gezielten behördlichen Maßnahmen. Was heißt das? Das heißt, es wird gegen irgendeine Person ermittelt, es gibt schon irgendeinen Anlass weshalb man von demjenigen irgendetwas erfassen will. Das ist in der Regel anbietergestützt, das heißt irgendein Telekommunikationsanbieter ist dazu verpflichtet Daten auszuleiten. Klassische TKÜ, legal interception, wie man es im Englischen Sprachgebrauch nennt, dazu gehört im Prinzip auch die Vorratsdatenspeicherung, dazu gehören auch Funkzellenabfragen, Bestandsdatenauskunft, das ist tatsächlich das Einzige, was vollautomatisch läuft in Deutschland, also Bestandsdatenauskünfte nach 112 oder aber natürlich auch die angriffsbasierten, die gehören auch dazu, also alles was eine Onlinedurchsuchung, Quellen-TKÜ oder sowas ist. Für alle diese Maßnahmen brauchen wir einen Gerichtsbeschluss in Deutschland. Da muss klar drin stehen: Gegen wen richtet sich das. Warum wird das gemacht. Was soll damit eigentlich ermittelt werden. Es gibt noch so ein bisschen eine Ausnahme, das ist das G 10 im Inland, dies darf eigentlich nur der Bundesverfassungsschutz machen. Seit letztem Jahr leider auch mit Unterstützung des Bundesnachrichtendienstes für den Phänomenbereich Cybergefahren. Cybergefahren ist leider so ein bisschen abstrakt gefasst. Cybergefahren sind alles was Hacking wäre, Angriffe auf IT-Systeme oder ähnliche Geschichten. Das sind alles Cybergefahren - theoretisch seit letztem Jahr möglich - habe ich jetzt in der Praxis noch nicht gesehen, dass es hier tatsächlich für Inlandsmaßnahmen sowas schon vorgekommen ist. Dann gibt es eben die ungezielte, sogenannte strategische Überwachung. Das ist das, was wir eigentlich als Massenüberwachung bezeichnen würden. Wobei, so lang wir das nach dem deutschen Gesetz machen, was strategisch heißt, eben naja mal gucken wir uns mal einen Teil an, wir versuchen, etwas rauszukriegen. Das ist das, was mit diesem schönen „G 10“-Gesetz gemacht wird. Immer wenn über G 10 geredet wird, reden wir eigentlich darüber, dass sogenannte strategische Überwachung gemacht wird. Das heißt eigentlich nur für Auslandsbezug, im Inland ist das nicht zulässig. Sind immer Leitungen da die irgendwie oder Kommunikationsbeziehungen, die vom Inland ins Ausland führen. Witzigerweise gab es für den Bereich Ausland-Ausland, also Transitverkehre, die durch Deutschland durchlaufen nur, eigentlich keine Gesetzesgrundlage. Da komme ich gleich noch mal drauf, das hat nämlich zu einer interessanten Rechtssituation mit dem Bundesnachrichtendienst geführt. Und dann eben für Verfassungsschutz für Cyberbedrohungen habe ich eben schon gesagt, theoretisch im Inland auch mögliche ungezielte strategische Überwachung zu machen, die muss aber ausführlich begründet werden und braucht auch einen Beschluss eines Richters, sonst wäre das nicht zulässig. Das ist oft ein Missverständnis, wenn man sagt, es wird hier einfach so bei uns auch überwacht. Dafür gibt's tatsächlich keine Gesetzesgrundlage. Ich kann mich nicht dazu äußern, ob das trotzdem gemacht wird oder so was ähnliches, das müsste natürlich der Dienst beantworten, aber es wäre auf jeden fall illegal und wäre in Deutschland nicht zulässig. Wie ist denn die Entwicklung nach Snowden gewesen, hat sich da irgendetwas getan? Da gab es glaube ich ein, zwei getrennte Talks zu, wenn ich mich recht erinnere. Es gab leider eine systematische Erweiterung der Befugnisse in Deutschland seit 2013. Das ist vielleicht unerwartet, aber das ist die Ist-Situation. Es gab zuallererst mal dieses sogenannte Gesetz zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes. Das ist im November 2015 beschlossen worden. Klingt erstmal nicht so, als hat das irgendwas mit Überwachung zu tun, war auch nicht der Teil, der in der Presse war, in der Presse ist ausschließlich der Teil diskutiert worden, wo es um den NSU-Teil ging, wo es im Prinzip um die NSU- Untersuchung ging, und dort die Veränderung, wie man mit V-Leuten arbeitet und so. Leider gab es einen zweiten Teil in dem Gesetz, der sich mit Telekommunikationsüberwachung beschäftigt hat und der eben diesen Gefahrenbereich „Cyber“ zum Beispiel völlig neu definiert hat und überhaupt erstmalig in die Überwachung eingeführt hat in Deutschland. Das gab es vorher nicht und das ermöglicht jetzt theoretisch auch das Überwachen von Backbone-Leitungen im Inland für Cyber- Gefahren, ausschließlich für diesen Bereich Cyber-Gefahren. Das Nächste war dann dieses Gesetz zur Einführung einer Speicherpflicht in einer Höchstspeicherfrist zu Verkehrsdaten, sprich Verkehrsdatenspeicherung 2.0, VDS 2.0. Das ist im Dezember 2015 beschlossen worden. Ist jetzt so ein bisschen originell, dass dieses Gesetz tatsächlich ab 2017-01-01 die Anbieter erstmalig verpflichten würde, etwas aufzuzeichnen, also sprich übermorgen, aber jetzt durch das EuGH-Urteil so ein bisschen, der Jurist sagt materiell unwirksam ist. Das heißt... Das gilt zwar immer noch, das ist damit nicht aufgehoben, weil aufheben können Gesetze bei uns nur unser Verfassungsgericht oder halt durch den Bundestag wieder. Aber da das EU-Recht hier der Sache jetzt so ein bisschen im Weg steht, würde wahrscheinlich jeder Anbieter, der dagegen klagt, voraussichtlich erstmal Recht bekommen oder zumindest eine Aussetzung dafür beantragen können. Und dann, ganz neu, das Gesetz zur Auslands-Auslands- Fernmeldeaufklärung vom 2016-10-21. Jetzt müssten wir hier eigentlich alle mal aufstehen und eine Schweigeminute einlegen, weil leider ist es heute, heute Morgen im Bundesgesetzblatt veröffentlicht worden und damit ist ab morgen theoretisch Überwachung im Inland zulässig. Ich werde das noch mal ausführen jetzt gleich, aber tatsächlich ist heute ein ganz schwarzer Tag, was Überwachung und Deutschland angeht. Wie ist denn die Position der Sicherheitsbehörden dazu? Gut, die sind ganz klar der Meinung, wenn man mit denen redet, wenn man in einer Diskussion ist, warum, was, in welchem Umfang, und so weiter, heißt ganz klar: Wir haben keine Maßnahmen gegen den globalen Terrorismus und gegen „Cyber Threats“. Wir wissen nicht, wo wir ansetzen sollen und wir finden meistens nichts hinter im Nachhinein, wenn es erstmal passiert ist, finden dann im Nachhinein nicht mehr, wer war es, wo kam es her und so weiter. Wenn da nichts aufgezeichnet wird, dann wissen wir nicht, wo wir ansetzen sollen. Es gibt natürlich eine Diskrepanz zwischen den Sicherheitsbehörden und den Geheimdiensten. Also da müssen wir ganz klar trennen, also Sicherheitsbehörden in dem Fall Polizeien des Bundes und der Länder. Die arbeiten ganz anders, die haben insbesondere immer das Problem, alles was sie erheben, muss beweissicher sein, es muss klar sein, wer hat es gemacht, es muss artikulierbar sein auf irgendjemand. Bei den Geheimdiensten, da ist das nicht ganz so wichtig, da reicht es, wenn man so eine grobe Idee bekommt, aus welcher Richtung was kommt oder dass das vielleicht zu irgendeinem Bereich gehört. Da ist es nicht ganz so wichtig, exakt zu wissen, dass das tatsächlich die handelnde Person war und der das auch irgendwie nachweisen zu können, sodass man das in einem Gerichtsverfahren vorlegen kann. Was sie alle haben, ist das sogenannte „going dark“ als Problem. Das ist tatsächlich nachvollziehbar, das kommt durch Geräte- und Diensteverschlüsselung. Ist natürlich ein bisschen ärgerlich, wenn man dann viel Aufwand betreibt, um irgendwas aufzuzeichnen und kann es hinterher nicht auswerten oder kann nicht reingucken, blöde Sache, aber das ist natürlich das, was passiert, also das ist tatsächlich auch ein positives Ergebnis, nach Snowden jetzt, der Verschlüsselungsgrad, wir sehen das am Knoten sehr genau, ist von so 10-15 Prozent auf mittlerweile deutlich über 50 Prozent angestiegen. Applaus Während ich den Applaus sehr gut finde, muss ich leider dazu sagen, dass das fast alles HTTPS ist zu den großen Diensten, also... aber immerhin. Es ist - auch da ist es natürlich wichtig, es gilt genau das gleiche, es ist nicht mehr so genau zu erkennen, wer es ist, wer kommuniziert, das ist nicht eindeutig. Aber auch im E-Mail-Bereich sollten... hat die Verschlüsselung stark zugenommen. Und wo sich alle drin einig sind, sämtliche Dienste, Sicherheitsbehörden, alles, ist: die systematische Verkehrsdatenerfassung ist notwendig, um die Beziehungsgeflechte darzustellen. Wenn law enforcement, wenn die Polizei heute irgendwas macht, das erste was sie macht ist Verkehrsdaten ziehen - mit wem hat derjenige telefoniert, mit wem hat er kommuniziert, was läuft. Das ist der erste Schritt von allem. Diese leidige Verkehrsdaten- Diskussion finde ich immer besonders spannend, weil da immer so getan wird, als sei das alles nicht so wichtig, nicht so schlimm oder so. Und da nehmen wir uns mal so ein Gesetz, blättern das auf, in dem Fall das Strafgesetzbuch, da steht im Absatz 5 von 206, 206 ist der Paragraf, der die Verletzung des Telekommunikationsgeheimnisses unter Strafe stellt, und er sagt ganz klar, dass dem Fernmeldegeheimnis nicht nur die Inhalte der Telekommunikation, sondern auch die näheren Umstände, also sprich alles, das Verkehrsdaten sind, insbesondere auf die Tatsache, wer daran beteiligt war, dass das alles das gleiche Schutzniveau genießt. Es wird nicht differenziert. Wird aber leider in der Praxis differenziert. Woran liegt das? Das liegt natürlich daran, dass es sehr viel einfacher ist, Verkehrsdaten aufzuarbeiten, systematisch zu verarbeiten, Verkehrsdaten zu korrelieren. Inhaltsdaten zu korrelieren ist immer ein schwieriges Geschäft, im Zweifelsfall ist es auch verschlüsselt. Verkehrsdaten sind im seltensten Fall verschlüsselt. Verschleierung von Verkehrs- oder Metadaten ist extrem aufwändig, geht eigentlich nur wenn man Netzwerk wie Tor oder sowas verwendet. Ansonsten sind die Verkehrsdaten immer da. Aber, wie man hier eben sieht, ganz klar, eigentlich ist da nicht zu differenzieren, und es ist eigentlich auch schon nicht in Ordnung, dass es dann in den aktuellen Gesetzen gemacht wird. Da werden nämlich aus irgendeinem Grund dann auf einmal Inhalts- und Verkehrsdaten unterschiedlich bewertet, obwohl die Rechtssituation ganz eindeutig ist. Grundsätzlich ist ein globaler Trend: Massenerhebung und Filterung. Man will also nicht mehr gezielt irgendwelche Daten erheben, sondern die Dienste versuchen, systematisch Konnektoren in alle Telekommunikationsdienste aufzubauen, um die dann bei Bedarf nutzen zu können. Dabei geht es natürlich um Verkehrsdaten von den Telekommunikationsanbietern, die man idealerweise automatisiert abfragen können möchte. Es geht aber auch um Inhaltsdaten, wie gesagt bei uns immer mit gerichtlichem Beschluss, in manchem Ausland nicht mit gerichtlichen Beschluss, da gibt es Massenbeschlüsse zur Erhebung, die gibt es bei uns nicht, das muss immer ein Einzelbeschluss sein. Dazu zählt aber natürlich auch Zugang, automatisierte Konnektoren in die privaten Datensammlungen der großen Dienste, also der Social Networks, aber auch CloudDrive, sonstwas und so weiter. All das wird versucht, mit dem automatischen Konnektor zu versehen, den ich nur noch eben mit diesem, mit dieser individuellen Überwachungsanordnung beschicken muss, um dann automatisiert die Antwort innerhalb weniger Minuten zu bekommen. Problematischer ist das, was ich tatsächlich dann als anlasslose Massenüberwachung bezeichnen würde, wenn es dann kombiniert wird mit so einem Datenspeicher, wie GCHQ das gemacht hat. Das heißt, wo tatsächlich einfach mal ohne irgendein Ansehen von irgendwas alle Daten, die über eine Leitung liefen, einfach gespeichert wird, um dann, wenn ich Bedarf habe, so ein paar Wochen später noch rein gucken zu können. Damit werden dann tatsächlich Beziehungsnetze und Beziehungsgeflechte aufgebaut, weil genau dieses Übereinanderlegen der Daten, zu sagen: „Oh mhm, der hat kommuniziert mit dem Dienst, wann hat er denn das noch gemacht?“, dann wieder zurück zu gucken, zu sagen: „Okay mit welchem Dienst hat er denn damals noch kommuniziert?“ Das ist so das Schwierige, das ist so eine Art Geheimdienst-Big Data, sage ich mal, wo das alles dann übereinander gelegt wird, auch aus den verschiedenen Quellen, um dann tatsächlich ein Bild zu bekommen, in welchem sozialen Geflecht, welchem Beziehungsgeflecht ist jemand drin. Das ist tatsächlich die - das, was auch passiert. In den gleichen Bereich gehören natürlich auch die Spionage Software, Trojans, Malware, Spyware, die man ganz klar mittlerweile auch Staaten zuordnen kann. Sollte jetzt gerade hier in dem Umfeld nicht neu sein, dass das so ist. Es stellt sich aber immer mehr heraus, dass eben viel von der Malware und Spyware, die unterwegs ist, tatsächlich eben aus staatlichen Quellen kommt. Wie sieht's jetzt mit der anlasslosen Überwachung in Deutschland aus? Um mal konkret zu werden: Vor Oktober, beziehungsweise vor heute war das eigentlich nur nach G 10 in einem sehr engen Rahmen zulässig. Klare Aussage war: Nur für Leitung mit Auslandsbezug, Begrenzung auf 20 Prozent der Leitungskapazität dieser einen Leitung dann, man musste immer, wenn der Antrag gestellt wurde, schon sagen, ey, nach was suchen wir eigentlich, was sind die Suchbegriffe - das klingt so ein bisschen seltsam, weil diese Anordnung laufen für drei Monate. Zu sagen, ich weiß am Anfang, wenn ich den Antrag stelle schon, nach was ich in drei Monaten suchen will, ist eigentlich völlig irrwitzig, da kommt aber so ein bisschen auch diese Selektoren- Diskussion her. Es gibt alle vier Stunden neue Selektoren. Wie man das kombinieren soll mit der eigentlichen legalen Anforderung, dass alle Selektoren vorher in der Anordnung stehen, schließt sich so ein bisschen aus. Da müsste ich auch mal sagen, wenn der Geheimdienst irgendwas tun soll, dann muss er natürlich dynamisch die aktuellen Selektoren verwenden können. Es bringt ja nichts, wenn er nicht nach dem sucht, was aktuelle Bedrohungslage ist. Aber diese Genehmigungen müssen auf jeden Fall auch alle drei Monate überprüft werden, das macht die sogenannte G-10-Kommission bei uns, die auch das genehmigt. Und es sind keine gezielten Suchbegriffe zulässig, das heißt, es darf nichts drin sein, was eine Person identifiziert. Keine Telefonnummer, keine E-Mail-Adresse oder sowas ähnliches – dass darf da nicht drin sein. Es müssen alles so globale Suchbegriffe sein wo man nach irgendeinem Konzept oder sowas sucht und es dürfen keine Inhalte des Kernbereichs privater Lebensgestaltung dabei aufgezeichnet werden. Das ist alles das, was dann wirklich privat wird, wo man sich sehr privat unterhält oder ähnliches. Wenn's, was weiß ich, wenn man mit der Freundin über das Intimleben redet oder sowas. Das ist alles da nicht zulässig, das darf nicht aufgezeichnet werden, muss sofort gelöscht werden. Das ist das Gesetz. Das ist die Gesetzesgrundlage dafür. Was muss der BND jetzt machen? Oder was ist eigentlich sein Job? Sein Job wäre es, grundsätzliche Aufgabe des Bundesnachrichtendienstes ist es, die abzu... so ist es tatsächlich, das ist das offizielle Auftragsprofil des Bundesnachrichtendienstes, seine Abnehmer – das ist die Regierung und andere Regierungsbehörden – zur richtigen Zeit bedarfsgerecht mit belastbaren Informationen umfassend zu versorgen. Klingt total toll. Also wenn ich Dienstleister wäre ist das ein super Profil. Und um was geht es dabei: um die wichtige politische, wirtschaftliche, aber auch technische Entwicklung, militärische Fragestellung und abstrakte und konkrete Bedrohung für die Sicherheit der Bundesrepublik Deutschland und deren Bürger. Dieser letzte Teil, der allerletzte Satz ist eigentlich das größte Problem, weil damit kann man fast alles erschlagen. Die Frage „Was bedroht die Sicherheit der Bundesrepublik Deutschland und deren Bürger?“ da kann man eigentlich alles drunter fassen. Was ist momentan das Aktuelle, was sie tun sollen? Die thematischen Aufklärungsziele, das sind immer diese sogenannten Phänomenbereiche, auf denen gesucht wird, ist Proliferation, das ist Waffenhandel, internationaler Terrorismus, Staatszerfall – also sprich alle die Ecken zu beobachten, wo Bürgerkriege sind und ähnliche Sachen – und Auseinandersetzung um Ressourcen. Also das, was man tatsächlich sieht praktisch ist ist natürlich aktiv ist Proliferation, internationaler Terrorismus, das sind sie wirklich sehr aktiv, Staatszerfall mit Sicherheit auch, wenn man so Afghanistan oder sowas sich anguckt. Auseinandersetzung um Ressourcen hab ich noch nie gesehen, kann aber natürlich sein. Regionale Aufklärungsziele sollen sein: Naher und mittler Osten, Nordafrika, West- und Zentralasien. Deckt sich nicht so ganz damit, dass da zum Beispiel 40.000 Selektoren gefunden wurden, die auch EU und ähnliche Sachen überwachen, aber ok, gut, das fällt vielleicht auch unter regionale Aufklärungsziele. Der BND hat dafür, um das dann doch irgendwie hinzubekommen, was sie eigentlich nicht tun dürfen, so ein paar interessante Theorien entwickelt. Sehr bekannt geworden ist die „offene Himmel“-Theorie. Das ist so eine völlig freie Interpretation des Rechtsrahmens. Der Dienst ist der Meinung er ist im Ausland tätig, da sich die Satelliten in der Umlaufbahn befinden und die Erfassung ja am Satellit erfolgt. Nur die Auswertung und die Speicherung ist in Bad Aibling auf deutschem Boden und damit ist das eine Auslandsaufklärung und es sind also nur in Ausnahmefällen Filter für den Grundrechtsschutz nach Art 10 GG anzuwenden. Alle weiteren Daten sind frei verwendbar, können frei getauscht werden auch mit anderen Diensten. Das wird unter anderem ja auch gleich zusammen mit der NSA betrieben in Bad Aibling. Uns selbst als DE-CIX insbesondere getroffen ist so ne Art Lex DE-CIX ist das virtuelle Ausland in Frankfurt – dafür halte ich hier auch den Talk – das funktioniert ungefähr so, dass DE-CIX ein internationaler Netzknoten ist, wo also internationale Netze aufeinander treffen, und deswegen eigentlich ein Auslandsbezug für alle Leitungen anzunehmen ist und deswegen sind wir virtuelles Ausland. Es ist nicht ganz nachvollziehbar, weil wir transportieren Daten innerhalb Frankfurt von Routern in Frankfurt zu anderen Routern in Frankfurt, aber gut ich mein Neuland ist ja auch sehr virtuell, also es ist ein bisschen schwierig den Bezug herzustellen. Das ist aber die Theorie, die man verwendet hat und mit der man auch die G-10-Kommission überzeugen konnte, dass also Überwachung in Frankfurt zulässig sein soll. Ansonsten hätte der BND nämlich bei uns gar nicht tätig werden können. Das Ganze... Das Problem kommt so ein bisschen auch daher, dass natürlich Carrier, auch ausländische Carrier, die angeschlossen sind bei uns, da eventuell deutsche Kunden hinten dran haben. Das wissen wir gar nicht. Das können wir nicht beurteilen. Wir sehen einen Router in Frankfurt, dahinter ist ein Netz. Was alles an dieses Netz angeschlossen ist, das können wir als DE-CIX nicht sehen und können das nicht vollständig bewerten. Wir gehen davon aus, dass hier immer noch bei sehr vielen von den Leitungen, die als Auslandsbezug oder als ausländische Carrier gelten, deutsche Kunden mit erfasst werden, was eigentlich unzulässig wäre. Komm ich gleich noch mal drauf. Die Ausleitung erfolgt auf jeden Fall auf Basis einer „G 10“-Anordnung, immer. Was Anderes ist derzeit noch, also bis morgen früh, eigentlich nicht zulässig, und es ist grundsätzlich so, dass immer ein „G 10“-Filter laufen muss, also sprich die Frage, sind da Inlandsdaten dabei, sind dort, werden die 20 Prozent überschritten von den Inlands- nach Auslandsdaten? Leider fällt hier durch die Lücke dieser Auslands-Auslandsverkehr, diese Frage, was geschieht mit Verkehren von - die eigentlich nur Transit sind, und das ist ganz klar das, was man bei uns eigentlich erlangen will. Das Ziel ist es, Auslands-Auslandsverkehre zu bekommen, die dann quasi nach dieser Methodik zu sagen: „Haha, dafür gibt es keinen Verbotsvorbehalt“, also die Theorie - deswegen dieses virtuelle Ausland - sagt eigentlich es ist nicht explizit verboten, es gibt kein Gesetz, in dem steht, dass es verboten ist, deswegen dürfen wir das. Also es ist nicht andersrum. Grundsätzlich sagen wir ja, Telekommunikation ist geschützt und es muss eine Ausnahme geben warum es überwacht werden darf, dass gilt... Das steht in unserem Grundgesetz drin, das ist Artikel 10, und Ausnahmen werden geregelt über das G10-Gesetz oder über Telekommunikationsüberwachungsverordnung usw. Hier ist das Gegenteil der Fall, hier sagt man dafür gibt es keinen Verbotsvorbehalt, also dürfen wir das. Das hat sich eigentlich jetzt im NSA -Untersuchungsausschuss gezeigt, dass es nicht ganz so einfach ist. Unsere Bedenken als mal zu uns kam, man ist Ende 2008, Anfang 2009 zu uns gekommen, man hat gesagt: Überwachung. Ich kann euch das erzählen, weil der NSA- Untersuchungsausschuss das gefragt hat. Damit ist es öffentlich. Sonst dürfte ich da gar nicht drüber reden. Wir haben uns damals hingestellt und haben gesagt, Leute, G 10, ist ja alles: a) Da steht was von Leitungen, machen wir nicht, wir machen paketorientierte Kommunikation, wie ist denn der Leitungsbezug? Das ist alles nur Mischverkehre, innerdeutsche Verkehre, Auslandsverkehre, Inlands- Auslandsverkehre, ist alles gemischt auf den Leitungen. Wo ist denn die Leitung mit Auslandsbezug? Wissen wir nicht. Leitungskapazität, Verkehr für 20 Prozent, wie mache ich denn das auf eine IP-Leitung? Also im Prinzip mit den alten, so wie das Gesetz ist, „G 10“-Gesetz, wo kommt es her, sagt eigentlich: Da ist eine Leitung, und die hat 1000 Kanäle, 1000 Leitungen drauf, also Subleitungen, und davon dürft ihr jetzt 20 Prozent nehmen. Also, was weiß ich, 200 von den 1000. Ist bei IP natürlich ein bisschen schwierig, ist nicht so ganz klar, wie viele Verbindungen sind da drauf, und Voice, Chats, sonst was, all das was den Dienst eigentlich interessiert, das ist sowieso nur ein ganz kleiner Teil davon. Also wie messe ich diese 20 Prozent? Da gibt es sehr unterschiedliche Meinungen. Der Dienst ist der Meinung: Das bezieht sich ausschließlich auf die Leitung. Also wir dürfen 20 Prozent der Leitungskapazität nehmen. Wenn das eine Gigabitleitung ist, dürfen wir 200 Megabit nehmen. Natürlich sehr spannend, da ja allein IP-Leitungen nie zu 100 Prozent ausgelastet werden. Im Schnitt an so einem Knoten wie bei uns sind es zwischen 30 und 50 Prozent. Was Carrier auf die Leitung benutzen. Das heißt, es ist schon mal faktisch das Doppelte vom absoluten Kommunikationsanteil, was eigentlich ausgewertet wird, und die Frage, was ich dann wegwerfe, ob ich selektiv wegwerfen kann, ob ich zum Beispiel sagen kann, „Ach, Videos interessieren mich nicht, die das lass' mal weg, wir gucken uns das an, dann sind die anderen, schon 20 Prozent immer gedeckt, ist gar kein Problem. Kann man sich 100 Prozent angucken. Transport von rund und zu Routern innerhalb Frankfurts, das war unser genau unser Hauptbedenken, zu sagen, hey, wir sind im Inland, wir machen nur im Inland, was wollt ihr eigentlich von uns? Und das hatte ich eben schon gesagt, die Abgrenzung der Carrier im Nationalen und Internationalen ist sehr, sehr schwierig. Außerdem sind wir der Meinung, um überhaupt sowas machen zu können muss, man erst mal alle Verkehre zwischenspeichern, im Prinzip diese einzelnen IP-Streams erstmal wieder zusammensetzen. Damit habe ich ja sie schon gespeichert, um sie dann anschließend auszuwerten, das heißt die Selektion findet immer erst danach statt. Auch die ganze Filterung und so findet danach statt. Das passt nicht zu der zudem „G 10“-Teil, wo es heißt man darf eben nur in 20 Prozent überhaupt mal reingeguckt haben oder die überhaupt mal berühren, diese 20 Prozent und dann natürlich insbesondere die Frage: Wenn, dann anschließend auf die einzelnen Streams im Filter angewendet wird, wie wird der Artikel 10 eigentlich sichergestellt. In welche Ebene guckt man rein, guckt man in die Header, guckt man in die Inhalte. Was guckt Ihr euch eigentlich an? Das haben wir schon in 2009 gefragt und wir haben gesagt: „schwierig“ Damals sind wir ins Kanzleramt zitiert worden und da hieß es alles innerhalb des zulässigen Rechtsrahmens wurde ausführlich geprüft vom BND und vom Kanzleramt. Das ist alles in Ordnung. Jetzt war das 2009. Da sah die Welt noch so ein bisschen anders aus und ich muss - Asche, Schutt und kleine Steinchen über mein Haupt - sagen wir haben es damals gesagt: „Okay dann mach'wir das halt.“ Wir haben „G 10“-Anordnung bekommen und haben das dann getan, dann kam jetzt der NSA -Untersuchungsausschuss und dort sind ja mehrere Sachverständige, Zeugen und so weiter gehört worden - als aller erstes mal ein paar Verfassungsrechtler. Die sagten dann erstmal „Öh puh, Grundrechtsschutz sollten hier eigentlich..., der gilt doch auch für Ausländer - Artikel 10 - alles unter 20 sind Menschenrechte - das sind keine deutschen Rechte, das gilt natürlich auch für Ausländer. Wieso freier Himmel, virtuelles Ausland, was ist denn das für Unsinn? Und es zeigte sich die Rechtsauffassung, die da vom BND und vom Kanzleramt vertreten wurde, die ist schwierig zu halten. Ich hab keinen Verfassungsrechtler gefunden, der sich dieser Rechtsauffassung anschließen konnte. Hab mit vielen geredet. Es zeigte sich auch, dass dieses DAFIS, dieses Daten-Filtersystem, das den Grundrechtsschutz eigentlich herstellen soll äußerst rudimentär ist und wesentlich schlimmer als befürchtet. Zum Beispiel die IP-Adressen, die hat man sich selber zusammengestellt aus Datenbanken und Registrierungsdatenbanken. Wurde so von Zeugen ausgesagt. Das würde sie - naja - es würde ein paar Prozent an Filtergenauigkeit wegnehmen. Drücken wir es mal so aus und auch die Bundesbeauftrag... oder damals noch der Bundesbeauftragte für den Datenschutz - jetzt die Frau Voßhoff - hat das dann noch einmal rechtlich prüfen lassen und da kam ganz klar aus DAFIS kann nicht alles ausfiltern, was geschützt werden sollte, sprich die Grundrechte werden nicht eingehalten, damit werden nicht zuverlässig alle Verkehre von Deutschen oder Inlandsverkehre zumindest ausgefiltert. Klar ist auch, dass alle nicht als „G 10“-Verkehre markierten Daten getauscht werden, dass das vermutlich der hauptsächliche Grund ist weshalb man die Ausleitung überhaupt gemacht hat. Es geht so weit, dass der ehemalige Vorsitzender der G-10-Kommission sich hingestellt hat - auch im NSA-Untersuchungsausschuss - und gesagt hat also er findet dieses Vorgehen als im höchsten Maße unredlich, wenn „G 10“ -Anordnungen dafür verwendet werden Daten zu erlangen für die es sonst keine Gesetzesgrundlage gibt. Sprich ohne diese „G 10“-Anordnung hätte man gar nicht zu uns kommen können dann gebt mir mal diese Auslandsleitung um diesen Auslandsverkehr zu bekommen. Da gab es keine Rechtsgrundlage für und gezeigt hat sich auch aus dem Bericht der Datenschutzbeauftragten, dass die Daten zum Teil auch ohne Anordnung länger gespeichert werden und für Verkehrsdaten auch eine sehr sehr große Tiefe gemacht wird dies VERAS-System - da gab es auch schon eine Präsentation zu - geht teilweise bis in den 14. Grad. Das ist natürlich ein bisschen originell, wenn man auf der einen Seite diese Theorie hat das nach sechs Hops im Prinzip jeder jeden kennt, aber gut, okay, hier kann man eigentlich davon ausgehen, dass im Prinzip jeder erfasst ist. Jetzt haben wir uns gedacht, okay so geht das nicht mehr weiter, wenn sich alle unsere Bedenken im Prinzip bestätigt haben, da müssen wir das mal ordentlich untersuchen lassen und haben den ehemaligen Vorsitzenden das Bundesverfassungsgerichts Herr Hans-Jürgen Papier gefragt ob er doch ein Gutachten für uns dazu zu schreiben. In dem hat er ganz klar festgestellt dieser Artikel 10 ist eben ein Menschenrecht kein Deutschen- Recht. Diese Interpretation kann man so nicht stehen lassen. Er sagte auch ganz klar die Verfassung gilt seiner Meinung nach bereits wenn ein deutscher Dienst tätig ist. Man kann grundsätzlich natürlich nicht sagen unsere Verfassung gilt überall und ist im Ausland anwendbar. Das wäre eine Anmaßung, aber sobald ein deutscher Dienst tätig ist, dann gilt: Der muss sich natürlich an unsere Verfassung halten. Ich kann das Argument nachvollziehen. Das ging dann noch einen Schritt weiter und sagt aber allerspätestens, wenn der Deutsche Dienst im Inland tätig ist muss doch unsere Verfassung gelten. ...sieht man beim Kanzleramt nicht so, aber ich kann es nicht ändern, ja! Aber das ist eigentlich das das Problem vor dem man hier steht und er kam auch ganz klar zu dem Ergebnis, der Professor Papier, der sagte diese Anordnung sind insgesamt unzulässig - so wie er sie gesehen hat. Das führt natürlich dazu, dass wir sagen müssen sämtliche Bedenken die wir 2009 hatten sind bestätigt worden und wir müssen jetzt einfach klagen. Uns bleibt gar nichts anderes mehr übrig als... man macht sich ja strafbar, wenn man hier nicht klagt. [Wir] sind dann nach leipzig gezogen, haben September die Klage eingereicht. Das läuft noch. Die Bundesregierung war bis jetzt... Applaus Die Bundesregierung war bis jetzt nicht fähig dazu eine Replik erstmal zu geben. Die schwärzen noch. Mal gucken. Wir werden in die Akten rein gucken dürfen. Das ist vielleicht ein Teil davon. Da sind wir jetzt schon einen kleinen Schritt weiter als Herr Herting zum Beispiel dem die Akteneinsicht leider verwehrt wurde bis jetzt. Es gibt auch einen großen Vorteil. Da wir ja selbst Anordnungsempfänger sind, ist diese Unzulässigkeit, bzw. dass man kein rechtliches Standing hat, dass man nicht klagen darf, das fält bei uns sozusagen flach von daher wird die verhandelt und damit tatsächlich ernsthaft mal inhaltlich verhandelt werden. Auf jeden Fall und wir gehen eigentlich davon aus, wenn das Gericht nicht selber meint sich das zumuten zu können, dass es das dann vielleicht nach Karlsruhe vorlegt. Müssen wir mal gucken. Nächste Runde ist jetzt irgendwann... Applaus Leider Gottes hat man uns so ein bisschen hier den Weg... na ja... man hat sich ein Gesetz ausgedacht, was das Ganze jetzt wieder legal machen soll. Es wurde Ende letzten Jahres noch sehr lange darüber verhandelt und man nicht G 10 reformiert. Das wurde uns auch... Das ist einer der Gründe weshalb die Klage zu spät kam, sonst wäre sie vor einem Jahr gekommen. ...war dass man politisch diskutiert hat G10 zu reformieren und wir das noch abwarten wollten. Das war so Dezember/Januar/Februar hauptsächlich und Februar hat man gesagt: "Mach'mer alles nicht mehr" und sind im Mai/Anfang Juni mit dem Gesetz zu Auslands-Auslands- Fernmeldeaufklärung um die Ecke gekommen, was ein paar ganz originelle Inhalte hat. Was man damit regeln will ist genau diese Rechtslücke: Es gibt keine Erlaubnis für Transitverkehre. Das soll damit behoben werden und das löst man dadurch, dass man also... zuerst mal werden die verfassungsrechtlichen Fragen darin überhaupt nicht berührt. So ob das auch Für Ausländer gilt unser Grundrechtsschutz oder nicht interessiert dieses Gesetz nicht: Steht nicht drin. Man macht eine Trennung der Kommunikation in Kommunikation von deutschen EU-Bürgern und anderen Ausländern. Das ist auch etwas, wenn man mit Verfassungsrechtlern redet, die kratzen sich ein bisschen am Kopf und sagen moment mal das kann eigentlich nicht sein. Unsere Verfassung unterscheidet da nicht. Grundsätzlich solle eine Datenweitergabe an Partner und Dienste möglich sein. Es wird eine völlig neue Kontrollinstanz geschaffen die neben der G-10-Kommission, neben dem parlamentarischen Kontrollgremium und neben den Vertrauensausschuss des Bundestages... klirrende Flasche ...jetzt als weitere sogenannte unabhängiges Gremium diese Anordnung hiernach genehmigen soll. Das ist sehr originell. Es gibt zwar mehr Sachen, die genehmigt werden müssen, aber die haben alle keine Kontrolltiefe mehr. Das ist auch schön. Das ist für den Dienst sehr günstig und aus unserer Sicht werden alle bestehenden Praktiken legalisiert, also all das, was man eigentlich angreift, wird jetzt hier durch dieses Gesetz erst mal wieder legalisiert. Es gab ein sehr interessantes Zitat von Klaus-Dieter Fritsche. Das ist der zuständige Staatssekretär im Kanzleramt. Er wurde bei einer Veranstaltung in Berlin gefragt: „Wenn es um die Frage geht ob Rechtssicherheit für den Dienst oder Rechtsstaatlichkeit für die Bürger hergestellte wird, was ist ihnen wichtig Herr Fritsche?“ Und er sagt so ganz klar - mit dieser Frage konfrontiert - ist ihm primär die Rechtssicherheit für den Dienst wichtig - für die Angestellten. Für die sei er verantwortlich. Ihm sei wichtig, dass die hier Rechtssicherheit hätten. Ob das die Rechtsstaatlichkeit einhält, dass sei für ihn zweitrangig. Ich finde es eine schwierige Aussage für einen Staatssekretär im Bundeskanzleramt. Applaus Applaus Was macht jetzt dieses Gesetz? Und das ist eigentlich das Prekäre; Es regelt die Erhebungsgrundlage neu. Wie können Daten erlangt werden vom Dienst im Inland. Dieser Auslandsbezug von Leitungen fällt vollständig weg. Das ändert sich auch. Das geht nicht mehr auf die Leitung. Anordnung nach dem neuen Gesetz gehen gegen ein Netz. Es benutzt dabei die Definition eines Netzes aus dem Telekommunikationsgesetz. D. h. sämtliche Leitungen, sämtliche Router, sämtliche anderen Geräte, die damit verbunden sind und so weiter, das ist das Netz und die neuen Anordnungen richten sich gegen ein Netz. Also man muss nicht mehr sagen: „Diese Leitung interessiert uns, die führt vom Inland ins Ausland. Da haben wir als Auslandsgeheimdienst irgendwie... da können wir sinnvoll sagen: ‚da ist was‘“ Nein! Jetzt muss nur noch gesagt werden: „...das ganze Netz... und irgendwo im Netz gibt es Auslandsverkehr“ Jetzt äh... Ich bau schon sehr lange Backbones. Ich glaub ich hab schon seit 20 Jahren keinen mehr gesehen in dem keine Auslandsverkehre sind. Das heißt das ist keine besondere Hürde, ja? Auslandsbezug ist immer gegeben. Es fallen sämtliche Kapazitäts schranken weg. Der Dienst kann verfassen so viel er will. Die Begründung im Gesetz - man hat sich tatsächlich nicht entblödet - ich kann es nicht anders nennen - da rein zu schreiben: „Nein, eine Kapazitätsschranke ist nicht mehr notwendig, weil das Budget des Dienstes lässt sich ja nur zu einem kleinen Teil der weltweiten Kommunikation überhaupt zu erfassen und auszuwerten“ Das steht da Wort für Wort drin, also das ist in sich schon... also unabhängig davon dass auch gesetzmäßig eigentlich gar nicht geht, weil es muss immer einen Bezug geben und auch irgend eine Beschränkung in einem solchen Gesetz. Budgets sind was das kann man ändern. Wenn man jetzt irgendwie der Meinung ist man bräuchte aus einem Netz besonders viel und das kostet jetzt ein paar hundert Millionen mehr, eine andere oder neue Bundesregierung - ja wir wählen auch was komisches - dann mag vielleicht das morgen anders sein. Dann mag auf einmal ein Riesenbudget dafür da sein und das ist natürlich ein großes Problem. Wie gesagt: Es gibt keine... Der Dienst kann dann selber zu dem Netz gehen, kann in einer sogenannten technischen Fachdiskussion sagen diese Leitung interessiert uns die hätten wir gerne. Gibt uns diese Leitung; Kopiert uns sie eins-zu-eins! Witzigerweise ist... Was heißt witzigerweise? Tragischerweise (!) ist das nicht mehr Teil des Kontrollprozesses. Es geht auch nicht zurück an das unabhängige Gremium oder muss berichtet werden. Wieviel Leitungen, wie viel Prozent, wie viele Daten man da dann tatsächlich erfasst: „Nicht Teil des Kontrollprozesses“ Das Einzige was uns noch schützt, auch als Innerdeutsche, weil diese Leitungen, diese Backboneleitungen - haben ja immer auch einen sehr großen innerdeutschen Anteil, ist dann dieses Filtersystem, das schon mehrfach kritisiert wurde. Dieses DAFIS-System stellt auf einmal den Grundrechtsschutz auch für Inland, für die Leitung mit Inlandsbezug oder mit überwiegendem Inlandsbezug, dar. Ich hatte ein paar Kommentare gemacht zu dem Gesetz. Ich hab zum Beispiel gesagt: „Wie wärs denn, wenn Ihr denn wenigstens mal schreibt: ‚Leitungen mit überwiegendem Auslandsbezug‘ oder so etwas Ähnliches?“ Nein! Es geht alles! Jede Leitung. Auf einmal ist dieses Filtersystem also elementar und absolut wichtig. Die Bewertung und die Filterung selbst erfolgt alles im Kontrollbereich des Dienstes. Die Leitung wird bei dem Carrier, gegen den sich die Anordnung richtet, kopiert, wird zum Dienst ausgeleitet. Dort steht das Filtersystem. Was genau gefiltert wird, bekommt man überhaupt nicht mehr mit. Dieses Filtersystem unterliegt keiner Kontrolle, der Umfang des Filtersystems, was man genau sucht, wie es funktioniert, keine Kontrolle. Es unterliegt keiner parlamentarischen Kontrollee in keinem Gremium. Es darf sogar für sechs Monate abgeschaltet werden zur Eignungsprüfung. Eignungsprüfung heißt: Oh, wir können mal gucken, ob wir in den Daten irgendetwas finden, was wir vielleicht in anderen Anordnungen verwenden können. Dafür gibt es dann eine Einschränkung, wo man sagt: „Ja, wenn das abgeschaltet ist und da in Daten dann gesucht wird, dann dürfen wir die Ergebnisse nicht verwenden. Es sei denn, wir finden da drin was, was dem Produkt, also was dem Auftragsprofil des Dienstes entspricht. Dann dürfen wir es natürlich trotzdem verwenden“ Heißt so viel wie: Alles, was die Sicherheit der Bundesrepublik Deutschland gefährdet oder die der Bürger, dann darf’s trotzdem verwendet werden. Also alles, nach was der Dienst eigentlich suchen soll, das darf trotzdem verwendet werden. Und das kann für sechs Monate einfach passieren. Interne Anordnung des Dienstes, wird nicht bei dem... Für die Hauptanordnung ist wenigstens das Kanzleramt zuständig. Für diese interne Anordnung „Filtersystem abschalten“, kann innerhalb des Dienstes passieren. Das ist nicht nur keine externe Kontrolle, sondern noch nicht mal Kontrolle innerhalb der Regierung. Das ist das größte Problem. Wir haben keinerlei Grundrechtsschutz an dieser Stelle mehr. Was soll das Filtersystem überhaupt machen? Grundsätzlich sind es vier Stufen: Es hat einen IP-Filter, also Geolocation. Das ist ein Typfilter. Also alles, was HTTPS, SMTP, Videochat und so weiter, kann man wegwerfen, wird... macht der Dienst natürlich auch. Was will er mit 60 Prozent Video, irgendwelche TV oder Streamings oder irgend sowas. Ist natürlich völlig uninteressant. Interessant sind Chats, E-Mails, alles, was Individualkommunikation ist. Dann gibt's natürlich einen Metadatenfilter Inhalte. Also wenn man sich überlegt, wie ist das aufgebaut? Hat man natürlich auch so Sachen wie ZIP-Header, E-Mail-Header und ähnliche Geschichten. Da fängt es dann schon an, spannend zu werden. Und bis dahin kommt man auf jeden Fall. Die Verschlüsselung setzt in der Regel erst danach an. Und dann gibt es Inhaltsfilter. Qualität des Systems. Da sind diverse Gutachten mittlerweile darüber erstellt worden, wird geschätzt auf 98,5 bis 99 Prozent. Die besten kommerziellen Filter, die ich so finden konnte, die in die gleiche Richtung gehen also aus dem Bereich Geoblocking oder Inhaltsanalysesysteme für große kommerzielle Firmen, die eben versuchen, Malware oder sonst was in ihren Netzen zu detecten, gehen so auch so in diese Bereiche 99 bis 99,5. Klar ist auch, dass zumindest die Analysen der Stufe 3 und 4, also die, wo die Metadaten oder die Inhaltsdaten dann schon analysiert werden, völlig klar nach ständiger Rechtsprechung des Bundesgerichtshofs eine Verletzung sind, die eine Notifizierung des Bürgers, der dann da betroffen wurde, nach sich ziehen müssen. Die Gesetzeslage ist völlig eindeutig. Sieht der Dienst aber auch ein bisschen anders. Deswegen mache ich mal eine Rechnung auf. Die Rechtsleute sagen immer: „Ludex non calculat.“ (Der Richter rechnet nicht) Deswegen machen wir das für Sie. Verkehrsaufkommen DE-CIX: 5,5 Terabit momentan. Ungefähr 10 Millionen Flows pro Sekunde momentan. 3,4 im Average, 6 Millionen Flows. Sind ungefähr 500 Milliarden Verbindungen am Tag. Da rechne ich jetzt mal die Metadaten nicht ganz so, wie der Dienst sie immer so gerne hochrechnet und sagt: „Oh, ich habe dann in einer Verbindung mehrere Metadaten oder sowas.“ Nein, nein, das sind tatsächlich Verbindungen, einzelne Verbindungen. Wenn man jetzt die Filterqualitäten da dran hängt, also erwartet sind ja eigentlich mehr so 99 Prozent, vielleicht 99,5. Vielleicht hat der Dienst wirklich den besten Filter der Welt und erreicht 99,9. Ich weiß nicht, wo er ihn her hat, aber vielleicht sind das absolut fähige Techniker. Weiß nicht, wer so angeworben werden konnte. Dann wären das immer noch eine halbe Milliarde Verbindungen pro Tag, die einfach falsch bewertet werden, wo Grundrechte verletzt werden, was eigentlich nicht passieren dürfte. Aber natürlich sind das nicht alles relevante Kommunikationen. Nehmen wir mal an, dass ungefähr 20 Prozent vom Verkehr, das wären so unsere Schätzungen, dass die tatsächlich interessant sind, also diesen Bereich E-Mail, Chat, sonst wie... Messengerdienste und so was gehen. Und eben... Nehmen wir mal an, es würde 1 Prozent der Daten erfasst von so einem Knoten. Ich darf Euch leider nicht sagen, wie viele es tatsächlich sind. Dann wären das ungefähr eine Million Verbindungen pro Tag. Eine Million Grundrechtsverstößen pro Tag, systematisch jeden Tag allein bei uns. Neues Gesetz. Fand man irgendwie nicht so tragisch, weil... naja, also Information des Betroffenen ist ja vorgesehen dafür. Budget im Gesetz: Null Euro. Die Aussetzung kann auch natürlich nach dem neuen Gesetz... Das tut ja keine Grundrechtsverletzung gestatten. Das ist eine sehr interessante Sache. Eigentlich müsste man in so ein Gesetz rein reinschreiben, wenn es Grundrechte verletzt. Das ist das so genannte Zitiergebot. Also wenn ein Grundrecht verletzt wird von einem oder eingeschränkt wird, ist der korrekte juristische Fachbegriff, von einem Gesetz, dann muss das da drin stehen. Da muss stehen: „Dieses Gesetz schränkt ein: Artikel 10 Grundgesetz.“ Das steht da nicht. Weil da würde man ja zugeben, dass es auch für Ausländer gilt. Deswegen zitiert dieses Gesetz das nicht. Deswegen muss die G-10-Kommission jetzt wieder eingeschaltet werden, die ansonsten in dem Gesetz überhaupt nicht vorkommt. Also immer dann, wenn eine Verletzung da wäre, dann müsste die G-10-Kommission entscheiden, ob der Einzelne identifiziert wird oder nicht und dem Identifizierten das weitergegeben wird. Das darf dann... muss alle drei Monate überprüft werden. Wenn man gesagt hat: „Der wird nicht informiert, es wird zurückgestellt.“ Also man kann nicht sagen: „Der wird nicht informiert", sondern es muss zurückgestellt werden. Erst nach fünf Jahren Zurückstellung kann man sagen: „Das wird dann doch gelöscht.“ In der Zwischenzeit dürfen diese Daten aber nicht gelöscht werden. Das heißt, das ist auch ein Weg, mal fünf Jahre lang Daten aufheben zu können, die man sonst nach sechs Monaten löschen müsste. Aber wenn man das kurz hochrechnet, dann sind das ungefähr 10 hoch 8 Fälle, die sich da stapeln. Und dafür ist immer eine Einzelprüfung alle drei Monate für jeden einzelnen Fall notwendig. Also selbst bei den niedrigen Kosten, die wir heute bei Big Data haben, glaube ich, dass man das mit Null Euro Budget nicht hinbekommt. Das ist eine äußerst problematische Geschichte. Man hat sich nicht damit beschäftigt, um’s mal ganz klar zu sagen, was passiert mit Grundrechtsverstößen? Interessanterweise gibt es in einem Gesetz, das keine Grundrechtsverstöße vorsieht oder erlaubt, so zwei Paragrafen drin, die ganz klar sagen, eben was dann zu passieren hat, wenn dann doch Grundrechtsverstöße... ...da war zum Beispiel eben die G-10-Kommission zu informieren. Das führte dazu, dass auch zum Beispiel der Wissenschaftliche Dienst gesagt hat: „Ne, so Leute geht’s nicht“, und es ist trotzdem ohne Änderungen beschlossen worden. Dass das Vertrauen hier vielleicht nicht ganz so gerechtfertigt ist, sieht man auch an dem, was die Frau Voßhoff ja berichtet hat, die schon sagte: „Beim BND gibt es 18 schwerwiegende Rechtsverstöße, 12 offizielle Beanstandungen. BND hat ohne Rechtsgrundlage personenbezogene Daten erhoben, systematisch weiter verwendet.“ Gerade dieses VERAS-System ohne Anordnung, ohne Dateianordnungsgrundlage äußerst problematisch. Von daher weiß ich nicht, ob das Vertrauen da im Moment gerechtfertigt ist, dass der Dienst das mit dem neuen Gesetz besser macht. Aber wie gesagt: Jetzt auch alle Daten aus dem Inland, jetzt auch Daten von uns. Und die BND-Datenschützerin selbst hat bemängelt, dass bei ihrem Amtsantritt... das fehlende Verständnis für die Grundrechte in Funktion des Grundrechtsschutzes in der Abteilung Technische Aufklärung. Hmm... Applaus husten und räuspern Applaus Applaus Nur um das zu sagen: Das sind die Leute, die dann die Entscheidung treffen, ob jetzt gerade irgendwas dem Kernbereich privater Lebensgestaltung beinhaltet, also ob jetzt aufgehört werden muss oder ob das gelöscht werden muss oder das beibehalten wird. Wenn dort kein Verständnis dafür vorliegt, wo der Grundrechtsschutz anfängt und wo er aufhört, ist es mit der Löschung äußerst schwierig zu handhaben. Wie ist also die Einordnung des Gesetzes gewesen? Der Gesetzgeber selbst meint, dass schränkt kein Grundrecht ein. Es sei hinreichend bestimmt. Also das Budget reicht. Wissenschaftlicher Dienst hat das sehr kritisch gefunden. Alle Sachverständigenanhörungen haben es sehr kritisch gefunden. Die Koalition ist der Meinung, es ist ein sehr gutes Gesetz mit internationalem Beispielcharakter. [Publikum lacht] Dem möchte ich mich nicht anschließen. Erste Klagen dagegen vorm Verfassungsgericht sind jetzt schon anhängig. einzelnes Klatschen Und das fand ich auch sehr gut. Danke, ja. Applaus Applaus Applaus Und wir haben also auch dem Dienst schon mitgeteilt, wenn wir die ersten Anordnungen auf dieser Basis kriegen, dann werden wir sofort wieder in Leipzig dafür stehen. Vielen Dank. Applaus [Applaus] Ja, ich würd', wenn Bedarf besteht, auch noch ein Fragen beantworten. Herald: Thank you very much. Vielen, vielen Dank. So, es gibt jetzt noch mal die Möglichkeit, Fragen zu stellen. Und wir haben eine Frage schon aus dem Internet bekommen, die würde ich jetzt als Erste dran nehmen. Signal Angel: Also natürlich ist im IRC auch die Bezeichnung „virtuelles Ausland“ auf viel Resonanz gestoßen, mit Gründen. Darf jetzt DE-CIX auf deutschem Grund Botschaften gründen, virtuelle Botschaften mit besonderen Rechten oder...? Applaus, Lachen Landefeld: Interessante Idee! Signal Angel: Oder darf sogar DE-CIX Server im virtuellen Ausland anbieten, auf denen dann diverse Sachen erlaubt sind? Applaus, Lachen Landefeld: Über so kreative Geschäftsmodelle haben wir noch nicht nachgedacht. Aber müssen wir mal... Signal Angel: Die etwas ernst gemeintere Frage von Tox ist: Kann sichergestellt werden, dass besonders geschützte Berufsfelder wie zum Beispiel Ärzte, Rechtsanwälte, Journalisten nicht gescannt werden? Und wenn nicht: Wie wird das juristisch bewertet? Landefeld: Das ist tatsächlich im Rahmen dieses Gesetzes überhaupt nicht adressiert worden. Weil im Rahmen dieses Gesetzes... also des neuen Auslands-Auslands- Fernmeldeaufklärungsgesetzes ja gar nicht alles für Deutsche gar nicht speicherbar ist, sondern sofort gelöscht werden müsste. Das steht so im Gesetz drin. Das ist nur nicht darstellbar. Die Antwort auf die Frage nehmen wir aber vielleicht besser aus der Vorratsdatendiskussion, weil da wurde ganz klar gestellt, es gibt diese Liste für Organisationen. Das ist alles für einzelne, also die... das sind die besonderen Schutz haben, so kirchliche Organisationen und so Hotlines und so weiter und so fort. Aber für, was weis ich, Arzte Journalisten sonst was, können wir die Liste nicht providen und das müssen dann erst die Dienste bei der Auswertung dann feststellen, dass diese Daten nicht weiter verwenden dürfen und müssen sie dann wieder löschen. Da liegen sie aber erstmal schon beim Dienst vor. das heißt wir als Telekommunikationsanbieter bekommen keine Liste mit der wir das ausfiltern können. Herald: So die nächste Frage hier aus dem Raum von Mikro Nummer 1. Mikro 1: Hallo! Eine Frage, habt ihr im Zuge zum Druck aufbauen beim Einreichen Eurer Klage, die Ausleitung irgendwie gleich eingeschränkt? Landefeld: Das haben wir versucht das ist durch eine... also es gibt da so ein Rechtmittel. Wenn du eine Anordnung bekommst und wehrst dich gegen ein Verwaltungsakt, dann kann der sofortige Vollzug wieder angeordnet werden. Das ist hier passiert. Also sprich, der juristische Versuch ist zu unterlassen. Das haben wir getan aber es ist uns sozusagen wieder auferlegt worden das hier weiter zu führen. Herold: So... [Applaus] Herold: Nächste Frage von Mikro Nummer 3. Mikro 3: Ja, ganz herzlichen Dank erstmal Klaus Landefeld für den Vortrag, den ich denke er macht sehr schön deutlich, was für Skandalgesetze da eigentlich gerade verabschiedet worden sind. Eine Ergänzung zu den Klagen, die dann... du hast ja freundlicherweise darauf hingewiesen, auf die Klage von Amnesty die eingereicht worden ist, zusammen mit der Gesellschaft für Freiheitsrechte. Das ist die Klage gegen das alte G 10 und gegen das neue G 10 oder das neue BND Gesetz wird auch gerade eine Verfassungsbeschwerde vorbereitet. Die ist längst noch nicht finanziert. Wer sich dafür interessiert findet auf freiheitsrechte.org weitere Informationen und wir freuen uns natürlich auch über Unterstützung dieser Verfassungsbeschwerde. Vielen Dank. [Applaus] Herold: Nochmal eine Erinnerung, bitte nur Fragen... aber spendet für diese Verfassungsbeschwerden. Landefeld: Das war wirklich... genau... ja danke uns... lacht auf jeden Fall... genau... [Applaus] Landefeld: Ich möchte es auch unterstützen, das ist sehr wichtig. Herold: So! Als nächstes hätten wir hier nochmal Fragen von Mikro Nummer 2. Mikro 2: Ja, danke für den Talk. Eine Frage: Habt ihr auch schon mal überlegt das Beamtendienstrecht vielleicht zum Druckaufbau zu benutzen. Weil wenn jemand grob fahrlässig handelt, ist er als Organträger persönlich haftbar zu machen und es wär doch mal ganz schön, wenn Jemand offensichtlich Unwahres behauptet, den auch mal persönlich anzugehen damit das nicht ganz so... Landefeld: Im Prinzip ist das eine Möglichkeit, aber ich möcht... nicht dass hier ein Missverständins entsteht. Wir sind... also immer noch ein Wirtschaftsverband und wenn die Gesellschaft das für nötig erachtet, dass gewisse Überwachung stattfindet, dann sehen wir das auch als notwendig an, aber das muss auf dem - warte mal ga... - auf dem Boden der gesetzlichen Tatsachen passieren. Das ist uns wichtig, dass das alles seine Richtigkeit hat. Ansonsten darf das einfach nicht sein und den persönlichen Bezug, der hier gegen die handelnden Personen oder so was ähnliches auszulösen wäre, dass würden wir auf eine Arbeitsebene auf keinen Fall machen wollen. Wenn müsste man das gegen Kanzleramt oder gegen Chef BND oder so was ähnliches tun. Das ist... Ich weiß nicht ob es im Moment bei einer Klage gegen, so wie wir sie momentan führen, vor dem Verwaltungsgericht hilfreich ist, wenn wir dann einzelne Personen handeln an diesem Fall angehen würden. Theoretische Möglichkeit ja, haben wir nicht in Erwägung gezogen, weil wir nicht der Meinung sind dass hier jetzt die Einzelnen handelnden Personen tatsächlich etwas, tun dass man nicht von Ihnen verlangt hat und auf einer Regierungsebene oder so. [Applaus] Herold: Als nächstes hätten wir noch eine Frage aus dem Internet: Signal Angel: Buffstop lässt fragen, woher bekannt ist, dass der verschlüsselte Verkehr im Internet zunahm also wurde das durch Stichproben herausgefunden? Welche Daten wurden angeschaut und vor allem wer hat diese Daten angeschaut? Landefeld: Also dafür muss ich keine besondere Verkehrsanalyse oder sowas machen. Dass es sich nicht immer um port- technischen https handelt gegenüber http wie vorher oder so. Was der überwiegende Teil der Zunahme ist, dass sieht man natürlich sofort. Auch ssl Ports sind da, natürlich, nur um das kann ich auch offen legen. Natürlich sehen wir das am Knoten. Unsere Mitglieder verlangen das insoweit, als sie dort Portanalysen ihrer Ports haben wollen, um zu sehen wie sich ihr Traffic zusammensetzt. Deswegen ist das ein Dienst den wir für unsere Mitglieder haben. Und als ein Ergebnis dieses Dienstes, wissen wir als Knoten natürlich, wie sich der Verkehr zusammensetzt. Das passiert aber auf einer komplett anonymisierten Basis, also die IP-Adressen zum Beispiel, laufen dort überhaupt nicht mit rein, das wird auch nur sofort analysiert und wieder gelöscht und das auf Anforderung unserer Carrier also unserer Mitglieder. verhaltener Applaus Herold: Na kommt, Ihr müsst Euch schon entscheiden, jetzt klatscht mal. Applaus Herold: So eine weitere Frage von Nummer 5. Mikro 5: Gab es jetzt eine Trennung zwischen Deutscher und Ausländer? Ich frage nur, weil wenn man dann bedenkt dass viele Leute auch doppelte Staatsbürgerschaft haben, ist man dann Ausländer? Andere Ausländer wahrscheinlich. Landefeld: Das ist eine sehr beliebte Frage. Die... tatsächlich ist es so, dass erst mal das ganze für Deutsche und Ausländer im Inland einheitlich gehandhabt wird. Das ist ganz klar, da geht es um Leute die sich auf dem Territorium der Bundesrepublik Deutschland aufhalten unbeachtlich der Staatsbürgerschaft. Interessant wird das Ganze erst im Ausland, weil es zum Beispiel so ist, das auch dieses Gesetz sieht auch vor, dass für Deutsche im Ausland keine Erfassung zulässig ist. Wie auch immer man das trennen will. Für Europäer zum Beispiel sagt man, oh nö, für Franzosen können wir das nicht trennen aber für Deutsche können wirs. Keine Ahnung wie sie das differenzieren wollen, aber so sieht es aus. Wie das mit der doppelten Staatsbürgerschaft... Das ist eine interessante Frage. Im Gesetz steht für Deutsche, wenn du es doppelt hast, würde ich mal sagen, dann gilt es auf jeden Fall auch für denjenigen der die doppelte Staatsbürgerschaft hat, weil dem kann ich ja wohl seine Staatsbürgerschaft nicht aberkennen aber für Rechtsinterpretation, da bin ich jetzt nicht der Experte für. Herold: Dann noch einmal eine Frage von Nummer 1. Mikro 1: Ich habe eine Frage zum Technischen: Wenn ich jetzt quasi so ein traceroute von München nach Berlin mach und das geht irgendwie über Frankfurt und man kriegt da in Frankfurt plötzlich irgendwie zehn Millisekunden drauf, ist dass dann dieser G 10 Filter? Lachen, Applaus Landefeld: Also zuerst mal: Die technische Aussage, die passen garantiert nicht auf unsere Infrastruktur drauf. Ich... lacht Also, da gibt es einfach die Durchlaufzeiten nicht, die befinden sich in Submillisekundenbereich. Das würde man nicht sehen. Also grundsätzlich ist es so, egal welche Ausleitenmethode zum Einsatz ge... Es gibt grundsatzlich drei Methoden, aber jeder dieser Auswertungsmethoden ist völlig transparent für den Datenverkehr der durchläuft sind alles im Prinzip Spiegelungen, egal ob man jetzt die Glasfaser spiegelt den Port spiegelt oder eine Trafic-Kopie im Router macht nichts davon würde eine spürbare Erhöhung geben. Es ist im übrigen auch für Sachen, wenn law enforcement oder sogar und Ausleitung verlangt von einem ist sogar gefordert, dass es natürlich nicht nach außen sichtbar sein kann, also das ist immer eine Anforderung an die technische Realisierung, dass so etwas nicht sichtbar ist für den eigentlich Verkehr. Herold: Dann noch mal eine Frage aus dem Internet: Signal Angel: hauptshop lässt fragen ob DE-CIX international AG nicht die gleiche Entscheidung wieder Betreiber von Lavabit betreffen müsste und den Service schließen, weil die Nutzer einfach nicht mehr schützbar sind? Lachen Landefeld: Das ist tatsächlich eine interessante Frage. Grundsätzlich müsste ich jetzt erst mal sagen, die... also... erstmal sind die Nutzer nicht unsere Nutzer sondern wir haben hier nur als Kunden Carrier dahinter. Das heißt bei den Carriern werden bei uns die Daten eingelieferten wir transportieren Daten von Carrier; Dem einzelnen Nutzer können wir das Ganze garnicht zuordnen. Wir wissen so zu sagen nicht wer der einzelne Nutzer ist, der irgendwo dahinter steht. Als Austauschdienst fallen wir da grundsätzlich erstmal raus. Die Frage ob man... Wir versuchen ja das momentan gerade erst mal zu klären. Wenn überhaupt müsste man so eine Entscheidung meiner Meinung nach Treffen, wenn man verlieren würde, vor Ge... Noch haben wir die massive Hoffnungen gehen tatsächlich davon aus, dass man sich unserer Meinung anschließt, dass das unzulässig ist, diese Form der Überwachung. So eine Entscheidung oder so eine Diskussion könnte man frühestens dann aus meiner persönlichen - das ist meine persönliche Sicht - könnte man frühestens erst dann führen, wenn man im Prinzip das verloren hat und sagt es ist keine Rechtsstaatlichkeit herstellbar und hier wird etwas... Wir werden dazu gezwungen etwas zu machen was illegal ist und dann müsste man so etwas überlegen, aber es ändert ja nichts dran. Das gleiche passiert auf den Leitungen zwischen den Carriern. Wenn es über einen Netzknoten im Ausland läuft, ist noch schlimmer. Herold: Dann noch eine Frage von Nummer 5: Mikro 5: Ja, das geht ein bisschen in die selbe Richtung, was würdet ihr denn eigentlich genau sozusagen für Folgen befürchten, wenn Ihr dieser massenhaften Überwachung einfach gar nicht zustimmen würde und das gar nicht ermöglichen würdet. Landefeld: Naja, also als Geschäftsführer des Unternehmens hättest du ein echtes Problem, ja, weil das geht bis die Zwangshaft rein. Wir können auch so Unternehmen mit einigen hunderttausend Euro pro Fall (!) belastet werden, also das Ganze ist... Hier geht es ja um eine Rechtedurchsetzung, wenn es eben eine entsprechende Rechtsanordnung gibt, ja, eine belastbare Anordnung. Und das ist natürlich immer sehr schwierig. Stelle ich mich als Wirtschaftsunternehmen hin und sage ich leiste etwas was, vom Gericht im Zweifelsfall festgestellt wird, nicht Folge? Die Frage musst du dir immer stellen, wenn du sagst: „Ich mache das nicht“, dann landet... entweder hat man hohe Zwangsgelder oder man geht in den Knast, also das ist so ein bisschen schwierig. Deswegen muss es auch auf einer Rechts... muss es erstmal rechtlich dargestellt werden: Was ist denn die Situation? Ob man sich dann entscheidet...? Da müssten wir auch unsere Mitglieder fragen, was ja alles Carrier sind: „Was wollt Ihr dann machen?“ Das kann ich tatsächlich nicht wirklich gut beantworten Herold: Eine letzte Frage noch aus dem Internet: Signal-Angel: pfeydeff lässt fragen: Euphemistisch ausgesprochen: Welche Einschränkungen gibt es für das DE-CIX Daten zu nutzen? Landefeld: Artikel 10 Grundgesetz, also wir dürfen in die Daten nicht reingucken. Wir dürfen uns auch von dem Inhalt keine Kenntnis verschaffen. Das gleiche ist diese... Das Maximale was gemacht wird ist eben dieses Verkehrsdaten scanning für statistische Zwecke wo nichts gespeichert wird. Also tatsächlich ist es völlig unzulässig, wenn wir uns dort drüber Kenntnisse verschaffen würden, würden wir uns gegen Artikel 10 Grundgesetz wofür wir halt das Strafgesetz 206, was ich vorhin aufgelegt ha... das mit bis zu fünf Jahren Freiheitsstrafe belastet... also von daher... ja... Das sind die Grenzen. Das sind die rechtlichen Grenzen dazu, dass zu tun. Technisch s... naja gut, dass jeder der Netz betreibt... theoretisch kann man sich natürlich die Daten kopieren, aber deswegen gibt es dieses Gesetz. Das ist ja genau das gleiche... ja.. ich mein technisch kann ich auch in eine Bank spazieren und Geld mitnehmen, aber es gibt... Es sind halt die Gesetze, die das verhindern und das relativ hohe Strafenmaß, nämlich mit fünf Jahren ist das eigentlich schon ein relativ hohes Strafmaß. Herald: Ja, an dieser Stelle sind wir leider durch mit unserer Zeit für Fragen. Ich hoffe ihr habt viel dazu gelernt. Ich habe viel dazugelernt in der letzten Stunde. Deshalb noch einmal einen ganz herzlichen Applaus für Klaus Landefeld. [Applaus] [Applaus] Landefeld: Vielen Dank. [Applaus] [Musik] subtitles created by c3subtitles.de in the year 2018. Join, and help us!