Mitte Dezember hatte heise online über einen Datenschutzvorfall in der bayerischen Gemeinde Markt Kipfenberg berichtet. Zweimal binnen zwei Jahren waren dort kommunale Datenträger mit mutmaßlich sensiblen Einwohnerdaten in offen zugänglichen Kellerräumen eines Wohnhauses aufgetaucht. Ein Anwohner hatte die Ereignisse dokumentiert und uns davon berichtet.

Nachdem wir deshalb Ende November bei der Gemeinde angefragt hatten, kamen offenbar einige Dinge ins Rollen. Am 11. Dezember besuchten Mitarbeiter des bayerischen Landesdatenschutzbeauftragen zusammen mit dem Bürgermeister den Ort. Die Aufsichtsbehörde hatte uns bereits zuvor bestätigt, eine Vor-Ort-Prüfung durchführen zu wollen.

„Fälschlicherweise gelagert“

Am 17. Dezember, also einen Tag, nachdem der Artikel auf heise online erschienen war, äußerte sich Christian Wagner, Bürgermeister von Markt Kipfenberg, auf der Homepage der Gemeinde zu den Vorfällen: „Aufgrund des Rathausumbaus“ seien „im Jahr 2023 Kartons mit Datenträgern fälschlicherweise im Heizraum eines Mietshauses der Gemeinde gelagert“ worden, erläutert er. Auch danach sei versäumt worden, „die Datenträger zu entsorgen und so kam es im Herbst dieses Jahres erneut dazu, dass die Datenträger von einem Mitarbeiter in den Heizraum gestellt wurden, da in dem Raum, in dem die Datenträger versperrt gelagert wurden, von einem Techniker Arbeiten ausgeführt werden mussten“.

Der folgende Satz ist etwas missverständlich geraten, soll aber mutmaßlich bedeuten, dass die Gemeinde einen Abfluss der Daten in Richtung Unbefugte nicht ausschließen kann: „Dadurch, dass der Heizraum teilweise nicht abgesperrt wurde, kann nicht zu 100 Prozent gewährleistet werden, dass Daten in die Hände Dritter gelangt sind. Leider befanden sich auf den Datenträgern auch personenbezogene Daten der Bürgerinnen und Bürger von Kipfenberg.“

Meldung DSGVO-konform?

Diese Ausführungen lassen vermuten, dass ein „voraussichtlich […] hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ gemäß Art. 34 DSGVO besteht. Daraus würden Informationspflichten der Gemeinde gegenüber den Bürgern folgen. Die Meldung auf der Homepage würde da eher nicht genügen, denn laut Art. 34 Abs. 2 DSGVO müsste die Gemeinde als Verantwortlicher „den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen“ nennen, sowie „eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten“ (Art. 33 DSGVO, Abs. 3b und 3c) liefern. Beides fehlt in der Meldung an die Einwohner.

Bereits Ende November hatten wir einige Fragen an die Gemeinde zu den Vorfällen geschickt. Silvia Obermeier, Geschäftsleiterin der Gemeinde Markt Kipfenberg, hatte uns erklärt, man wolle erst Stellung beziehen, wenn die Sachlage mit dem Landesdatenschutzbeauftragten geklärt sei. Am 18. Dezember, also nach dem Vor-Ort-Termin im Heizungskeller, haben wir sie daran erinnert, bis heute aber keine Antwort erhalten.

(hob)

Die Bundesregierung nimmt den dritten Anlauf für eine Vorratsdatenspeicherung in Deutschland. Das Justizministerium von SPD-Ministerin Stefanie Hubig hat einen Gesetzentwurf erarbeitet und heute veröffentlicht.

Erneut versucht die Bundesregierung, den Begriff „Vorratsdatenspeicherung“ zu vermeiden. Das Justizministerium nennt den Gesetzentwurf „IP-Adressspeicherung“. Tatsächlich geht es wieder um eine verpflichtende und anlasslose Speicherung von Daten aller Internet-Nutzer in Deutschland auf Vorrat. Und es geht um weit mehr Daten als nur IP-Adressen.

Die Vorratsdatenspeicherung ist ein zentraler Streitpunkt in der deutschen Netzpolitik. Vor 20 Jahren haben zehntausende Menschen dagegen protestiert.

Anlasslose Vorratsdatenspeicherung

Das neue Gesetz soll Internet-Zugangs-Anbieter verpflichten, IP-Adressen und Port-Nummern sämtlicher Nutzer drei Monate lang zu speichern. Das betrifft jeden Internet-Anschluss in Deutschland, ohne Anlass und ohne Verdacht auf eine Straftat.

Ermittler sollen anhand dieser Daten die Endnutzer identifizieren und ihre Bestandsdaten erhalten. Das passiert auch ganz ohne Vorratsdatenspeicherung. Im vergangenen Jahr hat allein die Deutsche Telekom fast 290.000 Abfragen zu IP-Adressen bekommen – wegen mutmaßlicher Urheberrechtsverletzungen im Internet.

Das Justizministerium hat beim Erarbeiten des Gesetzes mit den vier großen Mobilfunk-Netz-Betreibern gesprochen. Es gibt aber viel mehr Anbieter für Internet-Zugänge. Das Gesetz spricht von „circa 3.000 Verpflichteten, eine Marginalgrenze ist nicht vorgesehen“. Lokale WLAN-Anbieter wie Hotel-Betreiber sind ausgenommen. Ob öffentliche WLAN-Netze wie Freifunk betroffen sind, wird der weitere Gesetzgebungsprozess zeigen.

Kein Nachweis für Notwendigkeit

Die Vorratsdatenspeicherung ist ein Zombie der Netzpolitik. Es gab bereits eine EU-Richtlinie und zwei deutsche Gesetze. Alle Gesetze haben behauptet, die Vorratsdatenspeicherung sei notwendig und verhältnismäßig. Alle Gesetze waren unverhältnismäßig und rechtswidrig und wurden von höchsten Gerichten gekippt.

Statt die Daten aller Menschen ohne Anlass zu speichern, könnte man auch potentiell relevante Daten schnell einfrieren. In Österreich gibt es ein solches „Quick Freeze“-Verfahren. In Deutschland wurde das nie ausprobiert. Vor einem Jahr hat die Ampel-Regierung ein solches Gesetz vorgeschlagen. Es wurde jedoch nie beschlossen.

Das Justizministerium behauptet erneut, dass ihre anlasslose Vorratsdatenspeicherung notwendig sei. Dafür gibt es jedoch keinen wissenschaftlichen Nachweis. Das Max-Planck-Institut für Strafrecht hat Strafverfolgung in Deutschland mit und ohne Vorratsdatenspeicherung untersucht. Das Ergebnis: Es gibt ohne Vorratsdatenspeicherung keine Schutzlücken in der Strafverfolgung.

Kein Nachweis für Verhältnismäßigkeit

Selbst wenn die anlasslose Datenspeicherung notwendig wäre, müssen Umfang und Dauer der gespeicherten Daten auch verhältnismäßig sein. Das Gesetz schreibt eine Speicher-Dauer von drei Monaten vor. Diese Frist wird im Gesetz nicht konkret begründet.

Drei Monate sind ein politischer Kompromiss. In den Koalitionsverhandlungen wollte die Union sechs Monate, die SPD einen Monat, also haben sie sich auf drei Monate geeinigt. Laut Bundeskriminalamt „wäre eine Speicherverpflichtung von zwei bis drei Wochen regelmäßig ausreichend“.

Die neue Vorratsdatenspeicherung soll nicht überprüft werden: „Eine eigenständige Evaluierung ist nicht erforderlich.“

E-Mails, Messenger und Apps

Das neue Gesetz geht weit über IP-Adressen bei Internet-Zugangs-Anbietern hinaus. Ermittler sollen auch Internet-Dienste dazu verpflichten dürfen, Verkehrs- und Standortdaten mit einer „Sicherungsanordnung“ zu speichern. Das Gesetz spricht explizit von Over-The-Top-Diensten wie Messengern und Sprachanruf-Apps als Nachfolger von SMS und Telefonanrufen.

Zu den verpflichteten Diensten gehören auch E-Mail-Anbieter. Die sollen beispielsweise speichern, wann sich welche IP-Adresse bei welchem E-Mail-Postfach eingeloggt hat, die E-Mail-Adressen von Sender und Empfänger einer E-Mail sowie „die Daten aus dem Header der E-Mail“.

Eine solche „Sicherungsanordnung“ soll schon greifen, wenn die Ermittler diese Daten noch gar nicht „erheben“ dürfen. Die Dienste sollen diese Daten auf Zuruf bereits extra abspeichern, damit Ermittler die später abrufen können, auch wenn beispielsweise „der Kunde seinen Account […] selbst löscht“.

Funkzellenabfrage ohne Bundesgerichtshof

Darüber hinaus ändert das Gesetz auch die Vorgaben für die Funkzellenabfrage. Bei einer Funkzellenabfrage erhalten Ermittler alle Verbindungsdaten aller Mobilfunkgeräte, die in bestimmten Funkzellen eingeloggt waren.

Der Berliner Datenschutzbeauftragte hatte 2012 festgestellt, dass die Funkzellenabfrage regelmäßig Gesetze verletzt. Der Bundesgerichtshof hat vergangenes Jahr geurteilt, dass die Funkzellenabfrage nur noch bei besonders schweren Straftaten eingesetzt werden darf.

Das Gesetz dreht jetzt das Urteil des Bundesgerichtshofs zurück. Die Funkzellenabfrage soll wieder bei „Straftaten von erheblicher Bedeutung“ eingesetzt werden dürfen. „Dies entspricht dem Verständnis der Praxis, bis die Entscheidung des Bundesgerichtshofs ergangen ist.“

Mehr Regulierung als EU

Das erste deutsche Gesetz zur Vorratsdatenspeicherung hatte die Bundesregierung damals noch mit einer EU-Richtlinie begründet. Diese gilt seit einem Urteil des Europäischen Gerichtshofs nicht mehr.

EU-Kommission und EU-Staaten arbeiten aktuell an einer Neuauflage der Vorratsdatenspeicherung. Die deutsche Bundesregierung hätte die EU-Gesetzgebung abwarten können, statt kurz vorher ein deutsches Gesetz zu machen.

In anderen Politikbereichen fordert die Regierung weniger Bürokratie und weniger Regulierung für Unternehmen. Nun aber schafft die Bundesregierung neue Regulierung und neue Belastung – gegen den expliziten Willen aller beteiligten Unternehmen und Anbieter.

SPD steht für Vorratsdatenspeicherung

Die Vorratsdatenspeicherung in Deutschland steht und fällt mit der SPD. Das erste deutsche Gesetz 2007 verantwortete SPD-Justizministerin Brigitte Zypries. Das Bundesverfassungsgericht hat es 2010 gekippt. Das zweite deutsche Gesetz 2015 verantwortete SPD-Justizminister Heiko Maas. Das Bundesverfassungsgericht hat es 2023 gekippt.

Jetzt versucht es SPD-Justizministerin Stefanie Hubig zum dritten Mal. Erneut behauptet das Justizministerin, das Gesetz stehe „in Einklang mit Verfassungsrecht“ und sei „mit dem Recht der Europäischen Union vereinbar“.

Das Gesetz geht jetzt ins Kabinett, dann in den Bundestag – und dann wieder vor das Bundesverfassungsgericht.

Nutzen Angreifer eine Schwachstelle in IBM App Connect Enterprise erfolgreich aus, können sie Instanzen abstürzen lassen. Dagegen gerüstete Versionen schaffen Abhilfe.

PCs jetzt schützen

Wie aus einer Warnmeldung hervorgeht, sind Systeme aufgrund von unzureichender Filterung von bestimmten Eingaben angreifbar. Demzufolge könnten Angreifer mit bestimmten Eingaben an der Schwachstelle (CVE-2025-12758 „hoch“) ansetzen. Das führt zu Speicherfehlern, was in der Regel in Abstürzen endet (DoS-Zustand). Bislang gibt es keine Hinweise, dass Angreifer die Schwachstelle bereits ausnutzen. IBM rät Admins aber zu einem zügigen Update.

Die Entwickler versichern, das Sicherheitsproblem in den Versionen IBM App Connect Enterprise v12- Fix Pack Release 12.0.12.21 und IBM App Connect Enterprise v13- Fix Pack Release 13.0.5.2 gelöst zu haben.

(des)