Internet-Law

Onlinerecht und Bürgerrechte 2.0

4.9.15

Internetprovider können nicht zur aktiven Überwachung und Filterung auf Basis der StPO verpflichtet werden

Der Ermittlungsrichter am Bundesgerichtshof hatte auf Antrag des Generalbundesanwalts einen Internetserviceprovider verpflichtet, den Ermittlungsbehörden die dynamischen IP-Adressen derjenigen Personen mitzuteilen, die innerhalb eines bestimmten Zeitraums unter Nutzung einer bestimmten Browserversion eine näher bezeichnete Sub-URL einer Internetseite aufrufen. Dazu soll der Provider in einem ersten Schritt diejenigen Anfragen an die von ihm betriebenen DNS-Server, die sich auf die Hauptseite beziehen, auf einen speziell eingerichteten Proxy-Server umleiten; in einem zweiten Schritt sollte der Provider die umgeleiteten Daten auf die weiteren Merkmale – Sub-URL sowie Browserversion – untersuchen. Hinsichtlich der auf diese Weise erlangten IP-Adressen der Anfragenden hat der Generalbundesanwalt gemäß § 100j Abs. 1 und 2 StPO i.V.m. § 113 Abs. 1 Satz 3 TKG angeordnet, dass der Provider schriftlich Auskunft über die jeweils vorhandenen Bestandsdaten zu erteilen hat.

Den zugrundeliegenden Beschluss des Ermittlungsrichters hat der BGH nunmehr mit Beschluss vom 20.08.2015 (Az.: StB 7/15) aufgehoben.

Die dem Provider aufgegebene Filterung nach den Merkmalen „Browserversion“ und „Sub-URL“ stellt nach Ansicht des BGH eine Maßnahme der Überwachung dar, die als solche allein den Ermittlungsbehörden obliegt.

In dem Beschluss des BGH heißt es hierzu:

Die Ermöglichung der Maßnahme ist indes von deren Durchführung zu trennen. Die durch § 100a Abs. 1 StPO gestattete Überwachung und Aufzeichnung der Telekommunikation, mithin die Kenntnisnahme vom Inhalt der Mitteilungen, obliegt allein den Ermittlungsbehörden (vgl. KK-Bruns, StPO, 7. Aufl., § 100b Rn. 13; Meyer-Goßner/Schmitt, StPO, 58. Aufl., § 100b Rn. 8). Diese Aufgabenverteilung ist absolut. Entgegen der Ansicht des Generalbundesanwalts steht das für Mitarbeiter von Telekommunikationsdienstleistern bestehende Verbot, Gespräche mitzuhören, auch bei nicht standardisierten Maßnahmen nicht in Relation zu dem unabhängig davon geltenden Gebot des geringstmöglichen Eingriffs in das Fernmeldegeheimnis des einzelnen Nutzers.

§ 88 Abs. 3 Satz 1 TKG untersagt den Dienstanbietern, sich über das für die geschäftsmäßige Erbringung erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Dieses Verbot bleibt durch § 100b Abs. 3 Satz 1 StPO unberührt. Hierdurch wird den Anbietern lediglich aufgegeben, den Strafverfolgungsbehörden Zugriff auf die Kommunikation zu gewähren (vgl. Eckhardt in Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl., § 88 Rn. 35).

Dabei ist der Zugang gemäß § 5 Abs. 2 Satz 1 TKÜV derart einzuräumen, dass der Verpflichtete (hier: die Beschwerdeführerin) der berechtigten Stelle (hier: den Ermittlungsbehörden) am Übergabepunkt eine vollständige Kopie der Telekommunikation bereitzustellen hat, die über seine Telekommunikationsanlage unter der zu überwachenden Kennung abgewickelt wird. Aus dem Umstand, dass die TKÜV keine detaillierte Regelung über die Umsetzung der verfahrensgegenständlichen Maßnahme enthält, folgt entgegen der Ansicht des Generalbundesanwalts nicht, dass auch deren generelle Regelungen keine Geltung beanspruchen könnten. Diese bleiben über den Verweis in § 100b Abs. 3 Satz 2 StPO weiterhin anwendbar, da sie unabhängig vom Einzelfall Vorgaben zur Abwicklung machen (vgl. auch § 110 Abs. 2 Nr. 1 Buchst. a) TKG).

Der Telekommunikationsdienstleister hat mithin die Kopie für die Ermittlungsbehörden auf der Ebene seiner geschäftsmäßigen Aufgabenerfüllung zu erstellen. Diese liegt beim Aufruf einer Internetseite durch einen Nutzer im Verbindungsaufbau zwischen dessen (dynamischer) IP-Adresse zu der im Ausland belegenen Internetseite, wobei in Deutschland (vgl. § 4 Abs. 2 Satz 1 TKÜV) durch den DNS-Server der Beschwerdeführerin allein die Übersetzung des Seitennamens in eine (statische) IP-Adresse vorgenommen wird, um die Weiterleitung zu ermöglichen. Da die Übersetzung schon allein anhand des Namens der Hauptseite möglich ist, kommt es – was auch der Generalbundesanwalt nicht in Abrede stellt – für die Aufgabenerledigung durch die Beschwerdeführerin auf die letztlich vom Nutzer angesteuerte Sub-URL ebenso wenig an wie auf die von diesem genutzte Browserversion.

Bereits daraus folgt, dass die auf diese Kriterien abstellende weitere Filterung den Ermittlungsbehörden obliegt, letztlich unabhängig davon, ob es sich dabei um „starke“ oder „schwache“ Inhaltsdaten oder lediglich nähere Umstände der Kommunikation handelt. Es kommt mithin nicht mehr darauf an, dass es für die Schwere eines Grundrechtseingriffs keinen Unterschied macht, ob dieser durch die Ermittlungsbehörden selbst oder in deren Auftrag durchgeführt wird.

Der BGH hat also gar nicht darüber entschieden, ob die Maßnahme als solche rechtmäßig ist oder wäre, sondern nur festgestellt, dass die Verpflichtung des Providers zur aktiven Überwachung eines Nutzers rechtswidrig ist. Der Provider kann nur dazu verpflichtet werden, den Ermittlungsbehörden eine vollständige Kopie der Telekommunikation bereitzustellen, die über seine Telekommunikationsanlage unter der zu überwachenden Kennung abgewickelt wird. Das muss aus Sicht des überwachten Nutzers kein Vorteil sein, denn auf diese Art und Weise erhält die Staatsanwaltschaft wesentlich mehr Daten als im Falle einer vorherigen Filterung durch den Provider.

posted by Stadler at 09:16  

1 Kommentar »

  1. Insgesamt ist das aber irgendwie weltfremd, weil welcher Provider speichert denn die Anfragen auf den DNS Servern? Das würde ja bedeuten, dass für den Aufruf einer „üblichen“ URL dutzende Daten anfallen wie Browserversion, Betriebsystem, Zeitstempel usw. Da könnte die Telekom überall noch ein Rechenzentrum dran bauen, um diese Daten zu speichern. Und wenn die das tun würden, wäre es vermutlich so, dass der Datenschutzbeauftragte ihnen diese Idee mit Anlauf um die Ohren haut … und das mit Recht.

    Und was passiert wenn der User z. B. die Google DNS Server (8.8.8.8 oder 8.8.4.4) nutzt? Dann ist doch die ganze Idee für den Müll. Und was soll das auch bringen? Wenn ein Benutzer absichtlich oder nicht die Daten abgerufen hat, warum sollte er sie noch mal abrufen?

    Wenn es sich um rechtswidrige Daten handelt wie dokumentierten Missbrauch würde sich der Provider u. U. sogar richtig in die Nesseln setzen, weil Proxy für gewöhnlich bedeutet, dass die Daten irgendwo zwischengespeichert werden müssen. Vom technischen Standpunkt her sind das für mich Ideen vom anderem Stern.

    Comment by Oliver — 4.09, 2015 @ 11:53

RSS feed for comments on this post.

Leave a comment