You can read the English version here: Minister Blümel's Ominous De-Anonymization Software

Geht es nach der Bundesregierung, wird für das geplante Ende der Anonymität im Netz wohl ein Dienst zum Einsatz kommen, den mehrere österreichische Mobilfunkanbieter, darunter A1, T-Mobile und "3", kommendes Jahr starten wollen. Mit dem Dienst "Mobile Connect" soll eine Authentifizierung – nicht nur in Onlineforen – ermöglicht werden. Doch dabei ergeben sich mehrere rechtliche Barrieren, wie aus Recherchen des STANDARD hervorgeht.

Die Regierung hat am Mittwoch die Pläne für ein neues Gesetz vorgestellt, das eine Art Ausweispflicht im Netz vorsieht. Nutzer müssen sich gegenüber den Betreibern von Plattformen ausweisen, diese müssen die Daten an Behörden weitergeben, wenn eine Ermittlung stattfindet, oder an Private, wenn etwa eine Beleidigung vorliegt.

Für User bedeutet das konkret, dass sie ihren Namen und ihre Adresse gegenüber den Betreibern von Plattformen, bei denen sie Postings verfassen, angeben müssen. Diese müssen dafür sorgen, dass es sich um korrekte Daten handelt. Wie genau der Verifizierungsprozess funktionieren soll, bleibt laut dem Gesetzestext ihnen überlassen. Medienminister Gernot Blümel (ÖVP) erklärte in einem Gespräch mit der "ZiB 2", dass es "technische Möglichkeiten gibt, wo im hinteren Bereich eine Software abläuft, die gleich identifiziert: Passt da diese angemeldete Handynummer mit dem Namen und der Adresse zusammen oder nicht?"

"Mobile Connect" in Vorbereitung

Genauere Details lieferte er auf Nachfrage nicht, jedoch könnte er eine Software gemeint haben, die bei dem Gesetzgebungsprozess zentral in den Überlegungen war, wie Informationen, die dem STANDARD vorliegen, belegen. Der Dienst heißt "Mobile Connect" und soll laut einer informierten Person kommendes Jahr, voraussichtlich im September, starten. Die Pläne zur digitalen Ausweispflicht sollen übrigens im Herbst 2020 umgesetzt werden.

Die Rundfunkbehörde RTR arbeitet aktuell in einer Arbeitsgruppe mit Mobilfunkern und Providern an Möglichkeiten zur Einführung des Dienstes, wie auf Anfrage des STANDARD bestätigt wird. "Hintergrund der Initiative ist ein Ersuchen von A1, die Einführung von Mobile Connect im Rahmen eines Workshops gemeinsam mit Interessierten zu beleuchten", heißt es weiter. Die RTR will mit der Maßnahme sicherstellen, dass auch Mitbewerber von A1 an Mobile Connect teilnehmen.

Bei dem Angebot des internationalen Mobilfunkerverbands GSMA können Nutzer sich als Alternative zu einem regulären Log-in über eine Handy-Identifikation anmelden. Möglich ist das, indem User ihre Handynummer angeben und daraufhin per SMS einen Link erhalten. Daraufhin erhalten der jeweilige Netzanbieter und der Plattformbetreiber eine Bestätigung, dass es sich tatsächlich um den jeweiligen Nutzer handelt. In Kombination mit regulären Log-in-Daten ist eine sogenannte Zwei-Faktor-Authentifizierung möglich, da ein solcher Account erst mit zwei verschiedenen Prüfschritten verifiziert wird.

Registrierungspflicht ohne Adresse

Der Service könnte, so zumindest die Überlegung der Gesetzesverfasser, bei dem "Bundesgesetz für Sorgfalt und Verantwortung im Netz" insofern tragend werden, als seit Anfang des Jahres eine Registrierungspflicht für SIM-Karten gilt. Wer eine Wertkarten-SIM nutzt, muss sich mit einem Lichtbildausweis eindeutig identifizieren.

Hinweise für den Fokus auf Mobile Connect liefern auch frühere Entwürfe des Gesetzes, in denen mehrfach explizit Vorgaben formuliert werden, die der Definition des Dienstes entsprechen. Etwa war von einer Identifikationsnummer, wie sie durch den Service erteilt wird, die Rede. Im Begutachtungsentwurf wird Anbietern zwar noch die Wahl gelassen, doch auch dort wird in den Erläuterungen auf eine Bestätigung mittels Mobiltelefonnummer und Zwei-Faktor-Authentifizierung verwiesen. Zudem wird "gegebenenfalls" eine "Kooperation mit dem Betreiber des Telefondienstes" in Aussicht gestellt.

Der Vorschlag könnte jedoch insofern problematisch umzusetzen sein, als die SIM-Karten-Registrierungspflicht zwar einen Ausweis – somit Vor- und Nachname, Teilnehmernummer, akademischen Grad – vorsieht, nicht aber die Adresse des Users.

Verstoß gegen das TKG?

Dazu kommt, dass Plattformbetreiber selbst eine Datenbank mit den Informationen zu Nutzern speichern müssen, da sie dazu verpflichtet sind, die Informationen weiterzugeben. Damit diese auf ihre Richtigkeit geprüft werden können, sollen sie mit den Daten der Mobilfunker abgeglichen werden. Das dürfte allerdings gegen das Telekommunikationsgesetz (TKG) verstoßen, wie von der Kanzlei Windhager erläutert wird.

Dieses sieht vor, dass Stammdaten – zu denen etwa Name, Anschrift und Geburtsdatum gehören – nur zu bestimmten Zwecken, beispielsweise der Verrechnung der Entgelte, verwendet werden dürfen. In den Erläuterungen zum neuen Gesetz wird ausdrücklich festgehalten, dass eine Herausgabe der Daten an Private nach dem TKG gesetzlich nicht gedeckt ist – woran auch der jetzt vorliegende Entwurf nichts ändern würde. Auch daraus ergibt sich, dass Mobile Connect zunächst angedacht war.

Sonstige Methoden könnten etwa sein, dass User ihren Ausweis und ihren Meldezettel an Betreiber weitergeben müssen. Jedoch bleibt offen, wie die Umsetzung funktionieren soll – zum Beispiel bei Adressen, die sich häufig ändern können. So wird nicht angegeben, wie oft Betreiber etwa die Richtigkeit der Daten überprüfen müssen.

"Es ist bemerkenswert, wie wenige Gedanken man sich gemacht hat", kritisiert Thomas Lohninger von der Grundrechts-NGO Epicenter Works in diesem Zusammenhang gegenüber dem STANDARD. Zudem müssten große Diskussionsforen ihren Betrieb einstellen, da die Umsetzung zu teuer werden könnte. (Muzayen Al-Youssef, 11.4.2019)