Auf alle Fälle teuer

Nun ist sie also wieder da, die Vorratsdatenspeicherung, verschiedentlich auch schon als “Zombie der Netzpolitik” tituliert. Nachdem das Bundesverfassungsgericht 2010 den ersten Versuch der CDU/CSU-FDP-Bundesregierung aus dem Jahre 2007 gekippt hatte, unternahm die CDU/CSU-SPD-Bundesregierung einen neuen Anlauf und brachte im Oktober 2015 das Gesetz unter der neuen Bezeichnung “Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten” durch den Bundestag.

Es heißt zwar, was lange währt, würde endlich gut, aber ob diese Redensart auch auf den zweiten Anlauf zur Durchsetzung der Vorratsdatenspeicherung zutrifft, muss dahingestellt bleiben. Die Gegner des Vorhabens haben jedenfalls schon angekündigt, erneut das Verfassungsgericht anzurufen, so dass bis auf Weiteres noch offen bleiben muss, was am Ende herauskommt: ob, mehr aber noch in welcher Form das Gesetz Bestand haben wird.

Quelle: QSC

Quelle: QSC

Solange diese Entscheidung aber nicht gefällt ist, müssen die Telekommunikationsanbieter, die gesetzlich verpflichtet sind, die Vorgaben umzusetzen, davon ausgehen, dass die Vorratsdatenspeicherung gilt. Das allerdings auch nicht sofort, denn auch dafür müssen erst einmal die technischen Voraussetzungen geschaffen werden, und so etwas dauert bekanntlich. Und man kann nicht einmal mit der technischen Umsetzung sofort beginnen, weil zuerst einmal die Bundesnetzagentur einen entsprechenden Anforderungskatalog erarbeiten muss. Darin wird beispielsweise zu regeln sein, wo und wie die Server für die Speicherung der Daten aufzustellen sind, wie Zugriffe von Sicherheitsorganen organisiert werden oder welche Art der Verschlüsselung zum Einsatz kommen soll. Dafür gibt der Gesetzgeber der Bundesnetzagentur zwölf Monate Zeit; sobald der Anforderungskatalog vorliegt, müssen die Telekommunikationsunternehmen die Vorgaben innerhalb von sechs Monaten realisieren.

In der langen Diskussion über die verfassungsrechtlichen Implikationen der Vorratsdatenspeicherung wurde nur selten über die Kosten dieses Gesetzes gesprochen. Das war zwar insofern angemessen, als weder Grundrechte noch Sicherheitsüberlegungen eine Kostenfrage sein können, aber nun, da es an die Umsetzung geht, müssen sich die Telekommunikationsanbieter doch über diesen Aspekt Gedanken machen.

Thomas Bösel - Quelle: QSC

Thomas Bösel – Quelle: QSC

Auch wenn man noch nicht genau weiß, wie die Anforderungen im Einzelnen aussehen werden, soviel steht schon fest: die Vorratsdatenspeicherung II wird aufwändig und teuer. Schon die Kosten der ersten Version werden auf etwa 75 Millionen Euro geschätzt – Aufwendungen, die mit dem Urteil des Bundesverfassungsgerichts sofort und unwiederbringlich verloren waren. Mit der Neuauflage des Gesetzes wollte die Bundesregierung natürlich alles besser machen und ein möglichst wasserdichtes Gesetz auf den Weg bringen, also eines an dem Karlsruhe zumindest im Kern nichts zu beanstanden hat. Das Bundesverfassungsgericht hat mit seinem Urteil von 2010 die Messlatte dafür recht hoch gelegt.

Das betrifft natürlich auch die Vorschriften bei der Umsetzung des Gesetzes, denn auch die müssen wasserdicht sein. Die Bundesregierung weiß, dass es nach einem abermaligen Scheitern der Vorratsdatenspeicherung auf absehbare Zeit wohl keine Neuauflage mehr geben würde. Die Durchführungsbestimmungen sollen daher hinsichtlich Grundrechte- und Datenschutz so sicher gestaltet werden, dass die Kröte im Kern des Gesetzes, die anlasslose Überwachung der digitalen Kommunikation, eher zu schlucken und besser zu verdauen ist.

Der feste Vorsatz, dass diesmal wirklich nichts, aber auch gar nichts schiefgehen darf, schlägt sich – soviel ist jetzt schon sicher – in hohen Anforderungen an die Telekommunikationsanbieter nieder. Sie müssen sich beispielsweise in zweijährigem Turnus einem Auditing unterziehen, in dem geprüft wird, ob sie die Bestimmungen im Sinne des Gesetzes richtig umsetzen. Dazu gehört außerdem entsprechend geschultes Personal und auch organisatorische Maßnahmen sind zu treffen, etwa durch das Vier-Augen-Prinzip bei der Erledigung von Anfragen oder die Einführung eines One-Day-Key, mit dem sichergestellt werden soll, dass genehmigte Zugriffe auf Verbindungsdaten nur an einem einzigen Tag gültig sind. Komplizierte Verfahren, die jeglichen Missbrauch ausschließen und die informationelle Selbstbestimmung weitestgehend schützen sollen, die unterm Strich aber auch zu deutlich höheren Aufwendungen bei den Telekommunikationsunternehmen führen.

Die Gesamtkosten für die Branche werden derzeit auf etwa 300 bis 600 Millionen Euro geschätzt. Aber solange die Bundesnetzagentur ihren Anforderungskatalog noch nicht vorgelegt hat, sind solche Schätzungen noch vage. Es können am Ende auch deutlich höhere Summen stehen – weniger wird es bei derartigen IT-Großprojekten erfahrungsgemäß nicht werden. Sollte allerdings das Bundesverfassungsgericht auch die zweite Auflage der Vorratsdatenspeicherung wieder aus dem Verkehr ziehen, so würde das auf jeden Fall erst nach Ende der Umsetzungsfristen der Fall sein, also dann, wenn die entsprechende Infrastruktur bereits implementiert wurde. Dann wären die neu investierten Millionen genauso in den Sand gesetzt, wie die 75 Millionen der ersten Auflage.

Auch wenn der Aufwand, der für die Übermittlung von Verkehrsdaten und die Auskunftserteilung über Bestandsdaten entsteht, den verpflichteten Telekommunikationsanbietern vom Bund erstattet wird, die Kosten für die Implementierung der entsprechenden Infrastruktur oder für das Auditing müssen sie selbst tragen. Die Unternehmen werden diese Kosten, soweit das im Markt durchsetzbar ist, natürlich auf ihre Kunden abwälzen. Am Ende bezahlen das alles also die Bürger, die als Steuerzahler ja auch noch für die nicht unerheblichen Kosten auf Seiten der Behörden aufzukommen haben – allein die Bundesnetzagentur muss dafür voraussichtlich 25 neue Planstellen schaffen. Gleich was am Ende herauskommt, dass die Angelegenheit ein ziemlich teures Unterfangen wird, das steht jedenfalls jetzt schon fest.

Autor: Thomas Bösel – Leiter Fraudmanagement 
sowie Sicherheits- und Datenschutzbeauftragter bei QSC in Köln

 

Veröffentlicht von:

Alexandra Rüsche
Alexandra Rüsche
Alexandra Rüsche gehört seit 2009 der Redaktion Mittelstand-Nachrichten an. Sie schreibt als Journalistin über Tourismus, Familienunternehmen, Gesundheitsthemen, sowie Innovationen. Alexandra ist Mitglied im DPV (Deutscher Presse Verband - Verband für Journalisten e.V.). Sie ist über die Mailadresse der Redaktion erreichbar: redaktion@mittelstand-nachrichten.de
Veröffentlicht am: