Unverschlüsselte Auskunftsverlangen durch Polizeien und Geheimdienste des Bundes
der Abgeordneten Andrej Hunko, Jan Korte, Frank Tempel, Annette Groth, Inge Höger, Ulla Jelpke, Dr. Alexander S. Neu, Petra Pau, Harald Petzold (Havelland), Dr. Petra Sitte, Kersten Steinke, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
Das Bundeskriminalamt (BKA) fragt mitunter, ohne die erforderlichen Absicherungen bei Providern, Bestandsdaten im Rahmen der Telekommunikationsüberwachung ab (heise online vom 19. Oktober 2015). Sensible Daten seien laut in einem manuellen Verfahren dem Bundesminister des Innern, Dr. Thomas de Maizière „per unverschlüsselter E-Mails verschickt worden“. Einschränkend erklärte der Bundesminister, das BKA habe nur dann im Klartext Bestandsdaten begehrt, wenn beim Provider keine Verschlüsselung für die E-Mail-Kommunikation möglich sei oder der Zugangsanbieter die bei der Polizeibehörde genutzten Methoden nicht unterstütze. Eine Sprecherin des Providers Posteo e.K. widersprach den Angaben jedoch. Posteo stelle Schlüssel bereit, mit denen „problemlos mittels PGP oder S/Mime kommuniziert werden“ könne. Das BKA schicke dem Anbieter Ersuchen, die unsicher übermittelt worden seien. Laut einem Transparenzbericht des Unternehmens habe Posteo bislang alle Ersuchen unverschlüsselt erhalten. In den E-Mails würden teils konkrete Tatvorwürfe oder Zahlungsdaten einer Person aufgeführt. Auch werde unzulässigerweise immer wieder nach dynamischen IP-Adressen gefragt. Auch Polizeibehörden der Länder handelten auf diese Weise.
Posteo hat bereits mit Landesdatenschutzbeauftragten kommuniziert, das Problem sei laut dem Bericht „dort bekannt, aber noch nicht gelöst“. Das BKA verstoße deshalb laut Posteo gegen das Bundesdatenschutzgesetz. Strafverfolger müssten gewährleisten, dass ausgetauschte personenbezogene Daten „nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können“. Biete ein Provider keine Möglichkeit zur verschlüsselten Kommunikation an, müsse der Fax- oder Postweg verwendet werden. Gremien und Arbeitsgruppen des Bundes und der Bundesländer entwickelten laut heise.de eine „elektronische Schnittstelle“ für größere Anbieter mit über 100 000 Kunden. Diese seien schon jetzt gesetzlich verpflichtet, eine „automatische Kontaktmöglichkeit“ vorzuhalten.
Wir fragen die Bundesregierung:
Fragen22
Welche Anwendungen existieren bei Bundesbehörden zur digitalen Übermittlung von Auskunftsverlangen zur Abfrage von Bestandsdaten im Rahmen der Telekommunikationsüberwachung (bitte sämtliche Programme, Clients und benötigte Plug-ins aller Behörden des Bundesministeriums des Innern (BMI) und des Bundeskanzleramtes aufführen)?
Welche Verschlüsselungsverfahren werden von den jeweiligen Anwendungen verwendet (bspw. SSL, PGP, S-MIME)?
Seit wann wird bei besagten Behörden zum Versand von Auskunftsverlangen per E-Mail das SSL-Verfahren zur Übertragung genutzt?
Sofern noch nicht alle Behörden über SSL-Verschlüsselung verfügen, wann soll dies bei welchen Behörden verfügbar sein?
Seit wann wird bei besagten Behörden zum Versand von Auskunftsverlangen per E-Mail PGP-Verschlüsselung zur Übertragung genutzt?
Sofern noch nicht alle Behörden über PGP bzw. benötigte Plug-ins verfügen, wann soll dies bei welchen Behörden verfügbar sein?
In welchem Umfang verschicken Behörden des BMI und des Bundeskanzleramts sensible Daten in einem manuellen Verfahren bezüglich eines Auskunftsverlangens „per unverschlüsselter E-Mails“?
Welche Datenfelder werden hierbei im Regel- und im Einzelfall verlangt?
Inwieweit hält die Bundesregierung diese Praxis für vereinbar mit dem Bundesdatenschutzgesetz, wonach Behörden gewährleisten müssen, dass ausgetauschte personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können?
Auf welche Weise werden die Mitarbeiterinnen und Mitarbeiter entsprechender Behörden darüber informiert, wie Auskunftsverlangen im rechtlich zugelassenen Rahmen durchzuführen sind?
Inwiefern trifft es zu, dass vom BKA oder anderen Bundesbehörden auch konkrete Tatvorwürfe oder Zahlungsdaten einer Person unverschlüsselt übertragen werden?
Inwieweit und auf welcher Rechtsgrundlage hält die Bundesregierung die Abfrage dynamischer IP-Adressen im Rahmen eines Auskunftsverlangens für zulässig?
Auf welche Weise wird vor der Übersendung eines Auskunftsverlangens geprüft, ob die betroffenen Anbieter eine PGP-Verschlüsselung für die E-Mail-Kommunikation ermöglichen?
Wann und auf welche Weise hatte das BKA geprüft, ob der Provider Posteo Schlüssel bereitstellt, mit denen mittels PGP oder S/Mime kommuniziert werden kann?
Inwiefern trifft es wie von Posteo berichtet zu, dass das Unternehmen Ersuchen des BKA unverschlüsselt erhält, und welche Gründe sind hierfür maßgeblich?
Aus welchen Gründen hat das BKA dem Anbieter Ersuchen unsicher übermittelt, obwohl Posteo gut sichtbar einen PGP-Schlüssel zum Download anbietet (https://posteo.de/other/support@posteo.de_pub.asc)?
Seit wann verfügen welche Bundesbehörden über eine elektronische Schnittstelle für Abfragen von Telekommunikationskennungen, seit wann wird diese von den einzelnen Behörden genutzt, und wo ist diese angesiedelt?
Welche Gremien und Arbeitsgruppen des Bundes sind in welchen Zusammenarbeitformen mit Bundesländern damit befasst, eine „elektronische Schnittstelle“ für größere Telekommunikationsdiensteanbieter mit über 100 000 Kunden zu entwickeln bzw. die Provider anzuhalten, diese „automatische Kontaktmöglichkeit“ zu nutzen?
In wie vielen Fällen wurden seit 2010 von Bundesbehörden Auskunftsverlangen nach dem Telekommunikationsgesetz gestellt, und in wie vielen Fällen wurde diesem Auskunftsverlangen von den Anbietern jeweils entsprochen (bitte nach den einzelnen Jahren darstellen)?
Wie viele dieser Auskunftsverlangen wurden unverschlüsselt über eine paketvermittelte Verbindung übertragen?
Wie viele dieser Auskunftsverlangen wurden über eine gesicherte elektronische Schnittstelle gestellt?
Aus welchen Gründen wurden Auskunftsverlangen von den Anbietern zurückgewiesen?