Internet-Law

Wegen der anhaltenden Diskussion über den Behördentrojaner ist ein anderer, nicht minder bedenklicher Akt der TK-Überwachung etwas in Vergessenheit geraten. Die massenhafte sog. Funkzellenabfrage zu Jahresbeginn am Rande einer Demonstration in Dresden („Handygate“).

Auch wenn dieser Vorgang durch eine sächsische Justiz begünstigt scheint, bei der erhebliche rechtsstaatliche Defizite feststellbar sind, so hat der Vorfall doch gezeigt, dass die Befugnisnorm des § 100 g Abs. 2 S. 2 StPO, die in diesen Fällen angewandt wird, zu unbestimmt und zu weitreichend ist.

Die Grünen haben hierzu einen „Entwurf eines Gesetzes zu einer rechtsstaatlichen und bürgerrechtskonformen Ausgestaltung der Funkzellenabfrage als Ermittlungsmaßnahme“ vorgelegt, der die Eingriffsschwelle anheben und die richterliche Begründungspflicht ausweiten möchte.

Dieser sinnvolle Gesetzesentwurf wird morgen im Bundestag debattiert. Angesichts der bestehenden Mehrheitsverhältnisse hat er freilich keine Aussicht auf Erfolg.

Das OLG Hamburg hat mit Urteil vom 16.08.2011 (Az.: 7 U 51/10) über die Frage entschieden, ob Google als Suchmaschinenbetreiber auf Unterlassung in Anspruch genommen werden kann, weil nach einer Google-Suche in der Trefferliste auf Webseiten verwiesen wird, die wiederum bestimmte Äußerungen über die Person des Klägers enthalten.

Obwohl das OLG Hamburg die Klage abgewiesen hat, wird das Urteil noch für Diskussionen sorgen, denn das OLG Hamburg hält eine Störerhaftung von Google nicht per se für ausgeschlossen.

In der Urteilsbegründung wird u.a. ausgeführt:

Dem Betreiber einer Suchmaschine zumutbar dürfte eine Prüfpflicht hinsichtlich der von der Suchmaschine aufgefundenen Internetseiten nur dann sein, wenn sie sich auf eine konkrete, formal erfassbare Verletzungsform bezieht; denn eine Suchmaschine sucht im Internet nach Eingabe des Suchbegriffs nicht nach gedanklichen Inhalten, sondern, ihrer Anlage als Maschine entsprechend, rein mechanisch nach Buchstaben- und Zeichenfolgen oder geometrischen Formen. Nur abstrakt beschriebene Inhalte kann sie in einem Internetauftritt nicht als Inhalte erkennen, wenn dessen Verfasser sie nicht offenbar, sondern verklausuliert oder in sonstiger Weise verborgen ausdrückt.

Das OLG hat die vom Bundesgerichtshof entwickelten Grundsätze über die Störerhaftung bei der bloßen Mitwirkung an der Verbreitung von Äußerungen Dritter – u.a. aus der Schöner-Wetten-Entscheidung –  auf den Betrieb einer Suchmaschine übertragen und meint deshalb, dass in Bezug auf einen konkret bezeichneten Inhalt Unterlassungsansprüche gegeben sein können.

Ob man hierbei allerdings tatsächlich redaktionelle Links und Suchmaschinentreffer ohne weiteres vergleichen kann, erscheint mir eher zweifelhaft. Wegen der überragenden Bedeutung der Suchmaschinen für die Suche im Web und dem Umstand, dass sowohl die Indexierung als auch die Suche vollständig automatisiert ablaufen, erscheint es vielmehr naheliegend von einem grundsätzlichen Ausschluss der Haftung eines Suchmaschinenanbieters auszugehen.

Die heutige aktuelle Stunde im deutschen Bundestag zum Thema Behördentrojaner offenbarte phasenweise starke kaberettistische Züge und mutete stellenweise wie eine Episode von „Neues aus der Anstalt“ an. In Abwesenheit von Innenminister Friedrich durfte Hans-Peter Uhl die Rolle des Anstaltsleiters übernehmen.

Den einsamen Höhepunkt der Rede Uhls bildete allerdings nicht das naheliegende CCC-Bashing, sondern folgende Aussage:

„Das Land wird von Sicherheitsbehörden geleitet (…) es wird regiert von Sicherheitsbeamten“

Das ist das Outing eines Zwangsdemokraten. Für ein Land, das von Sicherheitsbehörden geleitet und regiert wird, gibt es einen äußerst prägnanten Begriff: Polizeistaat. Dessen Apologet Hans-Peter Uhl hat heute für die Union im Bundestag gesprochen. Wirkliche Angst kann einer wie Uhl dennoch nicht mehr verbreiten. Dafür agiert sein Widersacher der CCC zu überzeugend und zu souverän. Und das haben mittlerweile auch die Kommentatoren der konservativen Presse erkannt.

Dass das Landgericht Hamburg eine durchaus diskussionsbedürftige Auffassung von Meinungsfreiheit hat, war hier schon mehrfach Thema. Es ist deshalb immer wieder aufgehoben worden, in letzter Zeit verstärkt bereits durch das Oberlandesgericht Hamburg.

Über den Fall des Blogs regensburg-digital, das von der Diözese Regensburg abgemahnt und schließlich vom Landgericht Hamburg zur Unterlassung verurteilt worden ist, hatte ich im letzten Jahr berichtet. Es ging um einen Missbrauchsfall in der katholischen Kirche, zu dem das Blog u.a. geäußert hatte, dass die Diözese Schweigegeld an die Angehörigen des Opfers bezahlt habe. Im letzten Jahr hatte ich hierzu geschrieben:

Die Chancen, dass derartige Entscheidungen auch beim OLG Hamburg halten, sind freilich gesunken, nachdem auch das Oberlandesgericht erkennen musste, dass die Hamburger Linie beim Bundesgerichtshof keinen Rückhalt hat.

Diese Einschätzung hat sich bestätigt. Wie das Blog berichtet, hat das OLG Hamburg heute der Berufung des Blogebtreibers Stefan Aigner in vollem Umfang stattgegeben (Az 7U 38/11) und das Urteil des Landgerichts aufgehoben.

Ein guter Tag für Blogger und die Meinungsfreiheit.

Die juristische Fachzeitschrift K&R hat einen ganz aktuellen Aufsatz (K&R 2011, 681) von Frank Braun online veröffentlicht, der sich mit der Frage beschäftigt, ob ein rechtmäßiger Einsatz von Trojanern zum Zwecke der Strafverfolgung überhaupt in Betracht kommt und ob die Vorschriften der §§ 100a, 100b StPO eine ausreichende Grundlage für eine sog. Quellen-TKÜ darstellen.

Das Fazit des Autors ist eindeutig:

Die Rechtslage war stets klar: Die Nutzung von Staatstrojanern und der damit verbundene Grundrechtseingriff sind unzulässig, solange nicht 1. eine rechtskonforme Software und 2. eine den Vorgaben des BVerfG entsprechende Ermächtigungsnorm existiert.

Braun betont, dass technisch gewährleistet werden müsse, dass die Funktionen des Trojaners auf eine Quellen-TKÜ beschränkt bleiben, dass aber ungeachtet dessen, die §§ 100a, 100b StPO in ihrer jetzigen Ausgestaltung keine ausreichende Rechtsgrundlage für eine solche Quellen-TKÜ darstellen.

Diese Ansicht deckt sich mit der herrschenden Meinung in der juristischen Literatur, auch wenn einige Gerichte das anders entschieden haben, viele Staatsanwaltschaften dies anders praktizieren und auch in der politischen Diskussion Gegenteiliges behauptet wird.

Prof. Jochen Schneider, einer der renommiertesten IT-Rechtler in Deutschland, hat gerade einen Vorstoß gestartet, der auf eine vollständige Neugestaltung des Datenschutzrechts abzielt. Im Editorial der aktuellen NJW skizziert Schneider seine Ideen, die er u.a. in einem Aufsatz in der Zeitschrift für Datenschutz (ZD 2011, 63) zusammen mit Niko Härting näher erläutert. In einem weiteren Aufsatz im Anwaltsblatt (AnwBl. 2011, 233) erklärt Schneider das Verbotsprinzip des § 4 BDSG zum zentralen Hemmnis für einen modernen Datenschutz und stellt „12 Thesen zu einem Stufenmodell“ vor.

Die Ausführungen Schneiders treffen ins Schwarze und decken sich in Teilen mit der von mir in diesem Blog wiederholt geäußerten Kritik. Leider findet man aber auch unter den Internetaktivisten viele, die sich als Datenschützer begreifen und hierbei nicht verstehen, dass das geltende Datenschutzrecht und das Wesen der Internetkommunikation in einem unauflösbaren Spannungsverhältnis stehen.

Schneider hat dasVerbotsprinzip, von dem  das deutsche und europäische Datenschutzrecht geprägt wird, zutreffend als zentrales Hemmnis beschrieben. Worin das Problem genau besteht, ist relativ einfach zu erklären.

Das deutsche und auch das europäische Recht (Art. 7 DSRL) gehen davon aus, dass jede Art von Datenverarbeitung und damit auch die Datenübermittlung grundsätzlich verboten ist, solange nicht ein Gesetz die Datenverarbeitung ausdrücklich erlaubt (Verbot mit Erlaubnisvorbehalt).

Wenn wir das auf die Internetkommunikation herunterbrechen, bedeutet dies Folgendes: Im Netz werden fortwährend personenbezogene Daten verarbeitet, zumal Datenschützer bereits jede IP-Adresse als personenbezogen betrachten. Das bedeutet letztlich, dass die Internetkommunikation nach dem System des deutschen und europäischen Rechts grundsätzlich zunächst verboten ist und nur durch punktuelle gesetzliche Gestattungstatbestände erlaubt wird. Diese Gestattungstatbestände – insbesondere §§ 28, 29 BDSG – stammen nun allerdings aus einer Zeit, als vom Internet noch keine Rede war, sondern Daten auf Großrechnern in Rechenzentren verarbeitet wurden.

Das Grundkonzept unseres Datenschutzrechts ist somit nicht internetkompatibel.

Schneider spitzt es darauf zu, dass ein Verbot (mit Erlaubnisvorbehalt) im Zeitalter des Internets auf ein Kommunikationsverbot hinauslaufen würde, weil die laufende Verarbeitung personenbezogener Daten zu den Grundmerkmalen digitaler Kommunikation gehört. Eine konsequente Anwendung eines überholten, auf dem Verbotsprinzip basierenden Datenschutzrechts – die freilich nicht stattfindet – würde zwangsläufig mit der Kommunikatonsfreiheit des Art. 5 GG kollidieren.

Damit ist die Post-Privacy-Debatte in gewisser Weise auch in der rechtswissenschaftlichen Diskussion angekommen, wobei die Kollision zwischen der tradierten Form des Datenschutzes und der Meinungs- und Kommunikationsfreiheit ein bislang nicht ausreichend gewürdigter Aspekt ist.

Die Internet-Enquete-Kommission, die bislang leider primär durch absurde Streitereien und weniger durch konstruktive Anregungen aufgefallen ist, thematisiert die von Schneider aufgeworfene Problematik in ihrem Papier zum Datenschutz, soweit ich erkennen kann, ebenfalls nicht.

Man darf gespannt sein, welchen Widerhall die Thesen Schneiders finden werden.

Im Auftrag der Piratenpartei Bayern habe ich heute Strafanzeige gegen Staastminister Joachim Herrmann, den Präsidenten des LKA sowie gegen verantwortliche Beamte des Innenminsteriums und des Landeskrimalamts erstattet.

Die Strafanzeige stützt sich darauf, dass der gezielte Einsatz des Behördentrojaners zum Zwecke einer grundgesetzwidrigen Onlinedurchsuchung gegen die Strafvorschriften der §§ 202a (Ausspähen von Daten), 202b (Abfangen von Daten) und 202c StGB (Vorbereiten des Ausspähens und Abfangens von Daten) verstößt.

Weil die Analyse des CCC zudem ergeben hat, dass der Trojaner auch eine Fernsteuerung des Rechners des Beschuldigten ermöglicht und den Zugriff auf die dort gespeicherten Datenbestände, ist sogar die Annahme einer Datenveränderung und einer Computersabotage nach §§ 303a, 303b StGB naheliegend.

Es besteht ein erheblicher Tatverdacht dahingehend, dass diejenigen Personen, die am Einsatz des Trojaners mitgewirkt haben, diejenigen die ihn angeordnet haben sowie diejenigen, die den Erwerb der Software angeordnet haben, sich strafbar gemacht haben.

Pressemitteilung der Piratenpartei Bayern

Aus einer eher unscheinbaren Meldung aus dem Bayernteil der gestrigen Ausgabe der Süddeutschen Zeitung (SZ vom 13.10.2011, S. R 17) ergibt sich, dass das bayerische Landeskriminalamt mittlerweile eingeräumt hat, den „Bayerntrojaner“ seit Anfang 2009 in insgesamt 22 Fällen eingesetzt zu haben, wobei 12 Fälle allein auf das laufende Jahr entfallen.

Das bedeutet zunächst, dass es weit mehr als die fünf Fälle gibt, die die Staatsregierung zunächst gegenüber dem Landtag zugegeben hat. Hier zeigt sich zunächst, dass die Staatsregierung eine parlamentarische Anfrage der Grünen vom 25.03.2011, woraufhin zunächst nur vier Fälle eingeräumt wurden, unzutreffend beantwortet hat. Die Staatsregierung hatte dann im Juni 2011 fünf Fälle eingeräumt, was sich ebenfalls nicht mit den jetzigen Auskünften des LKA deckt. Entweder hat also die Staatsregierung die Öffentlichkeit und den Landtag falsch informiert oder ist selbst vom LKA falsch informiert worden. Beides ist nicht akzeptabel.

Die jetzt eingeräumten 22 Fälle beziehen sich nach dem Bericht der SZ auf solche Ermittlungen, bei denen zusätzlich zur Quellen-TKÜ alle paar Sekunden heimlich Browser-Screenshots angefertigt und an das LKA geschickt wurden.

Das ist besonders pikant, da das Landgericht Landshut genau diese Praxis bereits mit Beschluss vom 20.01.2011 für rechtswidrig erklärt hat. Es ist auch juristisch evident, dass es sich hierbei um eine rechtswidrige Onlinedurchsuchung handelt, für die es keine Rechtsgrundlage gibt und die nach der Entscheidung des BVerfG die Grundrechte verletzt.

Die bayerischen Behörden haben also den Beschluss des Landgerichts Landshut bewusst ignoriert und in voller Kenntnis der Rechts- und Verfassungswidrigkeit den Bayerntrojaner im Jahre 2011 weiterhin zum Einsatz gebracht und zwar in mindestens 12 Fällen.

Die Behörden können sich hierfür auch dann nicht auf eine richterliche Gestattung berufen, und zwar selbst dann nicht, wenn ein Ermittlungsrichter eine sog. Quellen-TKÜ angeordnet haben sollte. Wie der Beschluss des Landgerichts Landshut – der den Wortlaut der richterlichen Anordnung des Amtsgerichts Landshut wiederholt – nämlich zeigt, ist die richterliche Anordnung explizit auf die Internettelefonie beschränkt. Im Beschluss heißt es wörtlich:

„Unzulässig sind (…) das Kopieren und Übertragen von Daten von einem Computer, die nicht die Telekommunikation des Beschuldigten über das Internet mittels Voice-Over-IP betreffen.“

Hierüber setzen sich das bayerische Landeskriminalamt und auch die Staatsanwaltschaften, die immerhin als sog. Herren des Ermittlungsverfahrens gelten, weiterhin gezielt hinweg.

Diese bewusste Verletzung der Grundrechte ist von einer neuen Qualität und in dieser Form neu. Es war also keineswegs übertrieben, als Heribert Prantl in der SZ unlängst von einer neuen Form der Staatskriminalität sprach.

Das Landgericht Frankfurt hat mit Beschluss vom 26.08.2011 (Az.: 2-06 O 427/11) entschieden, dass eine Werbung mit Fachanwaltstiteln die es nicht gibt, wie „Fachanwalt für Vertragsrecht“ oder „Fachanwalt für Unterhaltsrecht“, wettbewerbswidrig ist.

Mit Beschluss vom 06.10.2011 (Az. 2-03 O 437/11) hat das LG Frankfurt eine noch weiterreichende Entscheidung getroffen, mit der einem Onlineportal untersagt wurde, eine Suchfunktion (Auto-Complete-Funktion) anzubieten, durch die dem Rechtssuchenden Vorschläge für Fachanwälte, z.B. Fachanwalt für Markenrecht oder Fachanwalt für Domainrecht, unterbreitet werden, die es nach der Fachanwaltsordnung nicht gibt.

(via Rauschhofer Rechtsanwälte)

In der aktuellen Diskussion um den Einsatz eines „Staatstrojaners“ durch Landeskriminalämter verschiedener Bundesländer wird seitens der Sicherheitsbehörden immer damit argumentiert, dass man lediglich eine sog. Quellen-TKÜ durchführe, die richterlich genehmigt worden sei.

Was hat es also mit dieser Quellen-TKÜ auf sich? Die Quellen-Telekommunikationsüberwachung zielt auf das Abhören von IP-Telefonaten (Skype) ab. Die simple juristische Grundüberlegung dahinter ist die, dass in den Fällen, in denen eine Überwachung der herkömmlichen Telefonie nach der Strafprozessordnung zulässig ist, auch das Abhören von Internet-Telefonaten zulässig sein muss, weil es sich in beiden Fällen um Sprachtelefonie handelt, auch wenn sie technisch grundlegend unterschiedlich sind.

Das leuchtet zwar auf den ersten Blick ein, aber bereits bei der Frage der technischen Umsetzung zeigt sich, dass die Überwachung der IP-Telefonie eine ganz andere Eingriffsintensität erfordert als die der herkömmlichen Sprachtelefonie.

Schon an diesem Punkt stellt sich allerdings auch die Frage, warum man sich insbesondere im Fall von Skype nicht direkt an den Anbieter wenden kann, wie man das bei der herkömmlichen TKÜ auch macht. Hier wird seitens der deutschen Justiz immer behauptet, den Ermittlungsbehörden würde die Möglichkeit eines Zugriffs direkt über den Anbieter Skype nicht zur Verfügung stehen. Das wird beispielsweise vom Richter am Oberlandesgericht Wolfgang Bär in einer aktuellen Urteilsbesprechung ausdrücklich wieder betont (MMR 2011, 691 f.). Demgegenüber deutet die Formulierung in den Datenschutzbedingungen von Skype an, dass das Unternehmen Verkehrsdaten und Kommunikationsinhalte auf Aufforderung an die „zuständigen Behörden“ übermittelt. Andere europäische Staaten nutzen diese Möglichkeit nach Medienberichten auch.

Sollte dies tatsächlich möglich sein, wäre eine Quellen-TKÜ in jedem Fall unzulässig, weil ein Abgreifen von Gesprächsinhalten direkt bei Skype das mildere Mittel darstellt und die Quellen-TKÜ damit unverhältnismäßig wäre. Ein Aspekt den Ulf Buermeyer im „Küchenradio“ anspricht. Buermeyer, der Richter am Landgericht Berlin ist und früher wissenschaftlicher Mitarbeiter am BVerfG war, erläutert in diesem hörenswerten Format die juristischen Zusammenhänge in lockerem Plauderton.

Die Quellen-TKÜ setzt zwingend voraus, dass die Polizei auf dem Computer bzw. Endgerät des Betroffenen (heimlich) eine Software installiert, die dort vor der Verschlüsselung – also an der Quelle – die Gesprächsinhalte anzapft. Diese heimliche Infiltration eines Computers stellt einen deutlich schwerwiegenderen Eingriff dar, als die klassische Telefonüberwachung. Bereits deshalb ist die Gleichsetzung beider Arten der Telefonie problematisch. Denn man muss die verfassungsmäßige Rechtfertigung nach der Schwere des Eingriffs beurteilen und nicht danach, ob es sich in beiden Fällen um vergleichbare Formen von Telefonie handelt. Hierin liegt eines der Grundprobleme der Betrachtungsweise der Sicherheitspolitiker und Polizeibehörden.

Das Bundesverfassungsgericht hat klargestellt, dass eine Onlinedurchsuchung nur in extremen Ausnahmefällen zulässig sein soll. In der gleichen Entscheidung hat man aber die sog. Quellen-TKÜ zugelassen, wenn sichergestellt ist, dass keine weiterreichenden Überwachungsmaßnahmen durchgeführt werden.

Diese Differenzierung ist hochproblematisch, weil sich die Onlinedurchsuchung und die Quellen-TKÜ in technischer Hinsicht zunächst nicht unterscheiden, nachdem in beiden Fällen die Installation von Software auf einem Computer/Endgerät des Betroffenen erforderlich ist.

Außerdem verfügt das Strafprozessrecht bislang über keine eigenständige Rechtsgrundlage für die sog. Quellen-TKÜ, weshalb sich einige Gerichte (zuletzt beispielsweise das Landgericht Hamburg und das Landgericht Landshut) mit einer großzügigen Ausweitung des geltenden Rechts behelfen und die Maßnahme nach § 100a StPO zulassen. Hiergegen sind in der juristischen Literatur durchgreifende Bedenken vorgebracht worden, u.a. von Albrecht und Buermeyer/ Bäcker.

Es muss hier auch die Frage gestellt werden, ob die juristisch nachvollziehbare Differenzierung zwischen Onlineüberwachung und Quellen-TKÜ in technischer Hinsicht überhaupt trennscharf möglich ist. Wenn das nämlich nicht der Fall ist – und dafür sprechen die Analysen des CCC – dann ist das BVerfG in tatsächlicher Hinsicht von unzutreffenden Annahmen ausgegangen.

Update vom 13.10.11:
Ulf Buermeyer hat ein kleines Einmaleins der Quellen-TKÜ (nicht nur) für Ermittlungsrichter verfasst.