V(iel) P(rivatsphäre) N(ötig)?

Ich sagte es bereits: In Hidemyass habe ich mich getäuscht. Britische Gerichte können die Identität von Nutzern des VPN-Dienstes aufdecken. Die Jahresgebühr, die ich gezahlt habe, ist wohl so etwas wie Lehrgeld. Ich hätte mich ja auch vorher genau informieren können.

Der VPN-Service VPNTunnel funktioniert anders. Das ist ein ehemals schwedischer, nun von den Seychellen aus betriebener Dienst. Das heißt, die Betreiber haben mit EU-Regelungen nichts zu tun – auch nicht mit Vorratsdatenspeicherung.

Konkret heißt das, so schrieb mir ein Mitarbeiter:

We don’t store any logs whatsoever, as our company is based outside the EU and we do not fall under mandatory data retention laws. All we store is our customers‘ usernames and email addresses. All the connection logs are stored on your computer for troubleshooting purposes, and we do not have access to them. 

Also: Sollte irgendein Gericht an die Firma herantreten und meine Daten haben wollen, könnten die Betreiber nur sagen, wer ihre Kunden sind – nicht, wer was wann gemacht hat. Das ist wirklich ziemlich anonym.

Es gibt viele Wege, eine über VPNTunnel gesicherte Verbindung herzustellen – mehrere Windowsprogramme, mehrere Möglichkeiten auch für mobile Geräte. Ich habe sogar meinen Router dazu gebracht, sämtliche über ihn laufende Verbindungen über die fremde IP laufen zu lassen. Die Geschwindigkeit bei deutschen, vor allem aber bei niederländischen Zugriffspunkten ist wirklich gut. Da einige Apps auf unserem Smart-TV jedoch eine deutsche IP brauchen, habe ich die Lösung mit dem Router verworfen und nutze die VPN-Verbindung nun einzeln auf meinem Notebook und meine Mobilgeräten.

Update 3 (19.11.): Vor Vorratsdatenspeicherung schützen

Der Bundestag hat gestern die Vorratsdatenspeicherung beschlossen. Diese von der EU verordnete umfassende Speicherung von Metadaten (Telefon- und Internetverbindungen samt Standort) ist in Deutschland lange umstritten, und auch jetzt sind Klagen zu erwarten. Viele Bürger sehen in dieser anlasslosen (nämlich grundsätzlichen) Speicherung von Verbindungsdaten einen Eingriff in ihre Bürgerrechte. Ich habe damit kein solch großes Problem, wie ich bereits schrieb. Dennoch marschiere ich als Kritiker der NSA-Überwachung gerne Seit‘ an Seit‘ mit anderen, die sich für informationelle Selbstbestimmung aussprechen.
Klar ist: Jedes Metadatum, das in meinen Händen bleibt oder gar nicht entsteht, ist ein gutes Metadatum. Deswegen empfehle ich den Artikel auf netzpolitik.org, der Tipps zur Vermeidung ebendieser gibt. In Stichpunkten:

  • statt SMS lieber Messenger benutzen
  • wenn möglich, am Smartphone Voice over IP-Apps nutzen
  • den Internetverkehr von Smartphone, Tablet und PC über einen VPN-Server leiten

Ein VPN-Dienst leitet den gesamten Internetverkehr zu einem anderen Internetserver, von dem aus dann die gewünschten Internetseiten und Dienste angesteuert werden. Heißt: Für Überwacher ist nur dieser, entfernte, Server als Quelle der Anfrage zu erkennen.
Ich habe gute Erfahrung mit dem Anbieter Hidemyass gemacht, der keine Surfgeschwindigkeit kostet [gelöscht: und – was im Blick auf neugierige natürlich wichtig ist – die Seitenanfragen nicht in meinem Account speichert.] Bzw.: bislang nicht hat. Ob er das im Zuge der Vorratsdatenspeicherung nicht auch muss, habe ich bei ihm, bei netzpolitik und dem Bundesjustizministerium angefragt. Ein Update folgt.

UPDATE:
Gestern hat Hide My Ass in Person von Bojan Dimitrovski, Amtsbezeichnung „Tech Support Maestro“, geantwortet. Er weist darauf hin, dass die VDS noch nicht in Kraft sei, weil viele Internetanbieter noch nicht die Speicherressourcen hätten. Und selbst wenn das der Fall sei, dürfte theoretisch nur ein britisches Gericht bei meinem (deutschen) Internetnabieter die Herausgabe der [anonymen! Was wollen sie damit?] Log-Daten anfordern [weil Hide My Ass ein britisches Unternehmen ist], und das könnten sie nicht [wohl wegen der Grenzen des nationalen Rechtsraums]. Ich bin nicht sicher, ob es nicht doch eine Art Amtshilfe gibt; unplausibel ist sine die Erklärung aber nicht. Leider sagt Herr Dimitrovski nicht, ob sich VPN-Anbieter selbst an der Vorratsdatenspeicherung beteiligen müssen.

UPDATE 2:
Das Justizministerium bestätigt, dass reine VPN-Anbieter von der VDS ausgenommen sind. Per Facebook schreibt die zuständige Redaktion:

Unabhängig von der jeweiligen Einstufung im Einzelfall (und den ansonsten noch angebotenen Diensten), werden REINE Anbieter von VPN-Diensten durch das Gesetz nicht verpflichtet, Verkehrsdaten zu speichern, da es sich dabei weder um Telefondienste noch um Internetzugangsdienste handelt.

UPDATE 3 (19.11.2015)
Ich muss mich korrigieren: Hyde My Ass ist kein sonderlich sicherer VPN-Anbieter. Er speichert sehr wohl meine Original-IP und den VPN-Server, an dem ich angemeldet bin. Und gibt die Daten im Zweifelsfall auch heraus, wenn britische Gerichte das verlangen.
Ein Mitarbeiter schrieb mir:

- a time stamp when you connect and disconnect to our VPN service;
- the amount data transmitted (upload and download) during your session;
- the IP address used by you to connect to our VPN; and
- the IP address of the individual VPN server used by you.

By comparing that data, persons that commit illegal activities can be located.

Just to be clear, we are obliged to respond only to valid UK court orders.

Natürlich können nicht nur Personen, die illegale Aktivitäten vornehmen, lokalisiert werden, sondern jeder. Damit ist die Anonymität dahin und Hide My Ass als Privatsphäreschützer ungeeignet. Im Folgebeitrag werde ich von einer Alternative schreiben.