Internet-Law

Der Arbeitskreis Vorratsdatenspeicherung berichtet aktuell über eine Erhebung der Bundesnetzagentur zur Praxis der Speicherung von Verbindungs- und Staandortdaten durch TK-Unternehmen.

Danach werden z.B. Standortdaten von der Telekom für 30 Tage und von Vodafone sogar für 210 Tage gespeichert. Auch bei Verbindungsdaten ist – selbst bei Flatrates – eine Speicherdauer von 30 Tagen nicht ungewöhnlich, einige Anbieter speichern sogar noch deutlich länger.

Ähnliche Zahlen – die allerdings im Detail differieren – ergeben sich aus einem Leitfaden der Generalstaatsanwaltschaft München.

Wenn man sich dazu noch vor Augen führt, welch eine Fülle an Einzelbefugnissen im Bereich der Telekommuniaktion-Überwachung tatsächlich existiert, ergibt sich in der Gesamtschau ein durchaus beunruhigendes Bild.

Seit zwei Jahren kursierte immer wieder mal die Meldung, dass der irische HighCourt dem EuGH die Vorabprüfung der Frage, ob die Richtlinie über die Vorratsdatenspeicherung mit den europäischen Grundrechten vereinbar ist, vorgelegt hätte. Erst vor einigen Wochen hatte Telemedicus allerdings berichtet, dass eine derartiges Verfahren beim EuGH nicht anhängig ist.

Nunmehr ist am 11.06.2012 aber offenbar doch noch ein entsprechender Antrag des irischen HighCourts beim Europäischen Gerichtshof eingegangen (C-293/12), wie der Kollege Lehofer in seinem Blog berichtet. Die Vorlagefragen sind im Wortlaut aber noch nicht veröffentlicht. Der irische HighCourt hat für diese Vorlageentscheidung damit geschlagene 2 Jahre gebraucht, was ebenfalls Fragen aufwirft.

Mit dem Vertragsverletzungsverfahren, das die Kommission derzeit gegen Deutschland wegen Nichtumsetzung der Richtlinie über die Vorratsdatenspeicherung anstrengt, hat dieses Verfahren übrigens nichts zu tun. In dem Vertragsverletzungsverfahren kann und wird der EuGH die Frage der Vereinbarkeit der Richtlinie mit den Grundrechten nämlich nicht überprüfen.

Der Chaos Computer Club sowie seine beiden Sprecher Constanze Kurz und Frank Rieger erhalten am 12.05.2012 den Werner-Holtfort-Preis für bürger- und menschenrechtliches Engagement.

In der Pressemitteilung der Holtfort-Stiftung heißt es zur Begründung:

Der CCC erhält den Preis für seine langjährige intensive Aufklärungsarbeit gegen die ausufernde staatliche und privatwirtschaftliche Überwachung der Bürgerinnen und Bürger und die Aufdeckung immer neuer unerlaubter Ausforschungsversuche staatlicher und privater Stellen, zuletzt die sog. Staatstrojaner, welche von der Polizei ohne ausreichende Rechtsgrundlage heimlich zur vollständigen Überwachung privater Computer genutzt werden.

Die beiden Preisträger betreiben durch allgemeinverständliche Vorträge und Veranstaltungen eine intensive Aufklärung und werden inzwischen als kritische Sachverständige von dem Bundesverfassungsgericht hinzugezogen.

Der Preis ist übrigens dotiert mit 5.000,– Euro, die  in kleinen gebrauchten und nicht registrierten Scheinen ausbezahlt werden.;-)

Der vor 20 Jahren verstorbene Stifter Werner Holtfort war Rechtsanwalt, Mitglied des Bundesvorstands der Humanistischen Union und Mitbegründer des Republikanischen Anwältinnen- und Anwältevereins. Die Holtfort-Stiftung als Alleinerbin verleiht entsprechend der testamentarischen Vorgaben den Werner-Holtfort-Preis für herausragende Leistungen zur Verteidigung der Bürgerrechte.

Was den Schutz personenbezogener Daten angeht, haben sich EU-Kommission und EU-Parlament in letzter Zeit nicht mit Ruhm bekleckert. Im Rahmen von bilateralen Verträgen wie dem SWIFT-Abkommen und dem Fluggastdatenabkommen liefert man den USA die Bankdaten europäischer Bürger und die Daten von Fluggästen, die in die USA reisen, praktisch auf dem Silbertablett. Weil man das, was die USA können – nämlich personenbezogene Daten von Passagieren fünf Jahre lang zu speichern – selbst natürlich auch können muss, wollen die europäischen Innenminister jetzt auch bei innereuropäischen Flügen personenbezogene Daten von Passagieren für die Dauer von 5 Jahren (!) speichern. Die Bundesregierung hat sich in dieser Frage wieder einmal vornehm enthalten, denn man weiß in Berlin natürlich, dass das BVerfG bei der Vorratsdatenspeicherung – und nichts anderes ist die anlasslose Speicherung von Fluggastdaten – bereits eine Speicherdauer von 6 Monaten als gerade noch zulässig angesehen hat.

Der Eindruck, dass Europa mehrheitlich von Technokraten und Antidemokraten regiert und gelenkt wird, verdichtet sich zur Wahrheit.

Dass man auf Ebene der EU gerade parallel über ein besseres und effektiveres Datenschutzrecht diskutiert, kann vor diesem Hintergrund allenfalls noch als Groteske durchgehen. Wer von Unternehmen und Bürgern die Achtung der Privatsphäre und den effektiven Schutz personenbezogener Daten verlangt, der muss selbst mit gutem Beispiel vorangehen. Ein Staat bzw. eine Staatengemeinschaft die demgegenüber für sich reklamiert, personenbezogene Daten praktisch nach Belieben und ohne jeden Anlass auf Vorrat speichern und an Drittstaaten übermitteln zu dürfen, lässt die notwendige Vorbildfunktion vermissen und darf auf keine Akzeptanz im Bereich des Datenschutzes hoffen.

Den dazu passenden Treppenwitz liefert einmal mehr EU-Kommissarin Cecilia Malmström. Auf die Frage, ob man die Richtlinie über die Vorratsdatenspeicherung nicht dahingehend ändern könnte, dass den Mitgliedsstaaten eine Umsetzung freigestellt wird, hat Frau Malmström folgendes geantwortet:

Optionale Maßnahmen mit offenkundigen Konsequenzen für das Recht auf Datenschutz und Privatsphäre würden im Gegenteil dem Bürger gemeinsame Mindeststandards für diese Grundrechte in der EU vorenthalten.

Die zwingende Umsetzung einer Vorratsdatenspeicherung ist mit anderen Worten deshalb notwendig, um das Recht der EU-Bürger auf Datenschutz und Privatsphäre zu gewährleisten. Das erinnert mich an den alten Witz, dass man nur die Daten schützen kann, die man zuvor erhoben hat.

In der Zeit, als man noch ernsthaft versucht hat, Datenschutz zu betreiben, galt das Prinzip der Datenvermeidung als die oberste Maxime des Datenschutzrechts. Dieses Grundprinzip des Datenschutzrechts möchte die EU-Kommission offenbar in sein Gegenteil verkehren und die massenhafte und anlasslose Datenspeicherung zum neuen Leitbild erheben. Dann liebe EU-Kommission, sollte man konsequenterweise aber auch das Schattenboxen, das parallel um eine EU-Verordnung zum Datenschutz stattfindet, beenden und das Post-Privacy-Zeitalter ganz offiziell einläuten. Die EU-Kommission pfeift ganz ersichtlich auf den Datenschutz und das Recht auf informationelle Selbstbestimmung und sollte diese Haltung dann wenigstens auch konsequent und offen an den Tag legen.

Das EU-Parlament, das der Entwicklung bisher fast nichts entgegengesetzt hat, wird sich in Zukunft verstärkt die Frage stellen müssen, ob man sich weiterhin von bürgerrechtsfeindlichen Technokraten dominieren lassen will, oder gelegentlich vielleicht doch im Interesse der europäischen Bürger stimmen sollte, von denen man gewählt wurde.

Zum selben Thema siehe auch die Beiträge von Patrick Breyer beim AK Vorrat und Andre Meister bei netzpolitik.org.

Im Verfassungsschutzausschuss des Berliner Abgeordnetenhauses hat der Vertreter der Piratenpartei Pavel Mayer gegen einen Antrag der Linken gestimmt, der vorsah, die im Haushalt geplanten fünf neuen Stellen beim Berliner Verfassungsschutz nicht einzurichten und das Geld stattdessen für zivilgesellschaftliches Engagement gegen Rechts einzusetzen. Bei der Abstimmung über den erweiterten Verfassungsschutzhaushalt hat sich Mayer der Stimme enthalten.

In einem längeren Blogbeitrag begründet Mayer seine Entscheidung. Insbesondere seine Aussage:

„dann kann ich mit einem Verfassungsschutz leben, der sich an die Gesetze hält und sich von gewählten Bürgervertretern aller politischen Lager kontrollieren lässt.“

erscheint mir erwähnenswert, denn sie zeugt von einer politischen Naivität die mich beunruhigt.

Die Verfassungsschutzbehörden des Bundes und der Länder brechen seit Jahrzehnten regelmäßig und konsequent das geltende Recht. Die meisten Verfassungsschutzberichte sind nachweislich rechtswidrig. Eine gerichtliche Kontrolle findet kaum statt und die parlamentarische Kontrolle funktioniert nicht ansatzweise. Der Verfassungsschutz agiert – z.T. auch mit ausdrücklicher Billigung und Unterstützung der Politik – faktisch im rechtsfreien Raum.

Warum die Institution Verfassungsschutz unsere Demokratie bedroht, habe ich in einem längeren Beitrag ausführlich dargelegt. Allein der Umstand, dass der Verfassungsschutz sich weiterhin durch die rechtswidrige Überwachung kritischer Demokraten hervortut, im Kampf gegen den rechten Terror aber vollständig versagt hat, muss Grund genug sein, das Gesamtkonzept zu überdenken und auf den Prüfstand zu stellen.

Der Verfassungsschutz stellt in seiner jetzigen Ausgestaltung einen Staat im Staat dar und damit in einem demokratischen Rechtsstaat einen Fremdkörper.

Bei den Piraten muss man sich vor diesem Hintergrund ganz ernsthaft fragen, ob ihre Forderung nach größtmöglicher (politischer) Transparenz nur Phrasendrescherei darstellt. Denn die Transparenz ist der natürliche Feind der Verfassungsschutzbehörden. Man kann nicht einerseits Transparenz fordern und zugleich die Beibehaltung bzw. sogar den Ausbau des bestehenden Strukturen des Verfassungsschutzes unterstützen. Damit begibt man sich 9in einen unauflösbaren Widerspruch.

Heribert Prantl hat die relevanten Fragen im Zusammenhang mit den Verfassungsschutzbehörden bereits sehr klar formuliert: „Nur überflüssig oder gar gefährlich?“ und „Wer schützt die Verfassung vor dem Verfassungsschutz?“.

Es müsste also eigentlich darum gehen, eine Diskussion zu beginnen, die die Notwendigkeit der Verfassungsschutzbehörden kritisch hinterfragt. Eine große Koalition die von der Union über die SPD bis hin zu den Grünen reicht, will diese Diskussion aber augenscheinlich nicht führen und hat ersichtlich kein Interesse daran, am status quo zu rütteln. In diese Koalition reiht sich jetzt offenbar auch die Piratenpartei ein.

Um es ganz deutlich zu sagen: Die Haltung von Pavel Mayer ist aus bürgerrechtlicher Sicht gänzlich inakzeptabel. Er wird mir als Wähler, dem die Bürgerrechte am Herzen liegen, auch nicht erklären können, warum ich dann nicht gleich die Union wählen soll. Das hätte zumindest den Vorteil, dass man sich anschließend nicht darüber ärgern muss, wenn Piraten plötzlich konservative und bürgerrechtsfeindliche Positionen einnehmen.

Worüber netzpolitik.org gerade berichtet, ist nicht weniger als ein wirkliches Gustostück der Bundesregierung. Denn das Justizministerium verweigert die Einsicht in die dort geführten Akten zu ACTA und die Beantwortung der Frage, wer für die Bundesregierung an den Verhandlungen teilgenommen hat, mit dem Hinweis auf eine drohende Gefährdung der öffentlichen Sicherheit (sic!).

Nun hat das Bundesverwaltungsgericht erst Ende des letzten Jahres entschieden, dass das Informationsfreiheitsgesetz für die gesamte Tätigkeit der Bundesministerien gilt. Weil also der Einwand, es sei Regierungshandeln betroffen, nicht mehr zieht, behilft man sich mit einer noch kurioseren Begründung. Die Herausgabe der Informationen würde die öffentliche Sicherheit gefährden, weil in einzelnen Internetforen eine vom sachlichen Regelungsgehalt der Bestimmungen des Abkommens losgelöste, emotionale Diskussion geführt werde, bei der auch ehrverletzende Äußerungen und Drohungen mit Gewalt gegen an ACTA beteiligte Personen ausgesprochen würden.

Eine kontroverse öffentliche Diskussion, bei der zwangsläufig – wie bei jeder Diskussion im Netz – durch ein paar Wenige auch kräftig getrollt wird, soll also die öffentliche Sicherheit gefährden? Wenn diese Begründung bei den Verwaltungsgerichten hält, dann hätte die Bundesregierung den Schlüssel dafür gefunden, wie man das Informationsfreiheitsgesetz nach Belieben aushebeln kann.

Wenn Transparenz als Gefahr für die öffentliche Sicherheit dargestellt wird, dann haben wir es mit einer Begründungstechnik zu tun, die totalitäre Züge trägt und die der Regierung eines demokratischen Staates unwürdig ist.

Wenn das Bundeswirtschaftsministerium hinter verschlossenen Türen über die Einführung eines „freiwilligen“ Two-Strike-Modells mit Providern verhandelt, nennt man das Wirtschaftsdialog.

Diese Veranstaltung hatte bereits im Vorfeld für Wirbel gesorgt, weil einige Bürgerrechtsorganisationen wie der AK Zensur und der Digitale Gesellschaft e.V auch auf Nachfrage hin nicht zu der Veranstaltung zugelassen wurden.

Die Bundesregierung versucht also, ähnlich wie einst bei den Netzsperren, Grundrechtseingriffe durch eine freiwillige Selbstverpflichtung der Wirtschaft zu erreichen, was bereits aus verfassungsrechtlicher Sicht in höchstem Maße problematisch ist. Der Staat kann sich nämlich seiner Grundrechtsbindung nicht dadurch entledigen, dass er in das Privatrecht ausweicht bzw. den Grundrechtseingriff Privaten (Providern) überlässt.  Die Nutzung zivilrechtlicher Formen befreit die staatliche Gewalt nicht von ihrer Bindung an die Grundrechte. Das hat das BVerfG erst unlängst in der Fraport-Entscheidung klargestellt.

Dass das Ministerium bei einem solchen Vorhaben zivilgesellschaftliche Gruppen, die auf die Einhaltung der Grundrechte pochen, als Störfaktor betrachtet, ist wenig überraschend. Die Bundesregierung hat offenbar weiterhin nicht verstanden, dass das Zeitalter intransparenter und gleichzeitig rechtsstaatswidriger Geheimverhandlungen zu Ende geht.

Erfreulicherweise sind die als Wirtschaftsdialog bezeichneten Verhandlungen mit den Providern aber gescheitert, wie Heise berichtet. Denn die Internet-Service-Provider haben kein Interesse derartige Wanrhinweismodelle einzuführen, zumal sie wissen, wie die zivilgesellschaftlichen Gruppen hierauf reagieren.

Die EU-Kommission hat sich mit den USA bereits Ende letzten Jahres auf ein Fluggastdatenabkommen geeinigt. Danach sollen die Airlines verpflichtet werden, 19 Einzelinformationen vorab über jeden europäischen Fluggast an die US-Behörden zu übermitteln. Diese Daten sollen in den USA bis zu 5 Jahren in einer aktiven Datenbank und anschließend weitere 10 (!) Jahre in einer „ruhenden Datenbank“ gespeichert werden. Die Daten sollen zwar nach 6 Monaten anonymisiert werden, wobei diese Anonymisierung wieder rückgängig gemacht werden kann, womit letztlich natürlich keine Anonymisierung vorliegt. Die EU-Innenminister haben dem Vorhaben ebenfalls zugestimmt, Deutschland hatte sich trotz rechtsstaatlicher Bedenken nur dazu entschlossen, sich zu enthalten.

Nur das Europaparlament kann das evident rechtswidrige Abkommen noch stoppen. MdEP Jan Philipp Albrecht hat seine Kollegen bereits dazu aufgefordert. Der Digitale Gesellschaft e.V. ruft zusammen mit der europäischen Kampagnenopnr.org dazu auf, eine Online-Aktion gegen das umstrittene Fluggastdatenabkommen zu unterstützen. Schreiben Sie Ihren Abgeordneten!

Das Bundesverfassungsgericht hat über die Verfassungsmäßigkeit von §§ 111 – 113 TKG entschieden (Beschluss vom 24.01.2012, Az.:  1 BvR 1299/05) und dabei den Zugriff von Ermittlungsbehörden auf Telekommunikationsdaten von Bürgern (vorübergehend) etwas eingeschränkt. Die Entscheidung ist auf Zustimmung aber durchaus auch auf Kritik gestoßen. Dass die Kritik nicht nur aus den Reihen der innenpolitischen Hardlinern kommt, sondern gerade auch aus liberalen Kreisen, ist angesichts des Inhalts des Karlsruher Beschlusses wenig verwunderlich.

Der automatisierte Bestandsdatenzugriff (§ 112 TKG) wurde vom Bundesverfassungsgericht nämlich überhaupt nicht beanstandet. Die Begründung des Gerichts ist nicht nur erstaunlich, sondern auch ein wenig beängstigend. Denn mit dieser Argumentation des Bundesverfassungsgerichts

„Trotz des nicht unerheblichen Eingriffsgewichts erweist sich die Regelung als verhältnismäßig. Immerhin bleiben die abrufberechtigten Behörden enumerativ begrenzt. Bei den Zwecken, für die ihnen Auskünfte nach § 112 Abs. 2 TKG erteilt werden, handelt es sich um zentrale Aufgaben der Gewährleistung von Sicherheit. Angesichts der zunehmenden Bedeutung der elektronischen Kommunikationsmittel und des entsprechend fortentwickelten Kommunikationsverhaltens der Menschen in allen Lebensbereichen sind die Behörden dabei in weitem Umfang auf eine möglichst unkomplizierte Möglichkeit angewiesen, Telekommunikationsnummern individuell zuordnen zu können. Es ist insoweit eine verfassungsrechtlich nicht zu beanstandende Entscheidung des Gesetzgebers, wenn er die Übermittlung dieser Auskünfte erlaubt, um Straftaten und Gefahren aufzuklären, verfassungsbedrohliche Entwicklungen zur Information der Regierung und der Öffentlichkeit zu beobachten oder in Notsituationen zu helfen. Weil solche Ermittlungen oft schnell und ohne Kenntnis der Betroffenen durchgeführt werden müssen, ist für sie ein automatisiertes Auskunftsverfahren von besonderer Bedeutung. Auch die Effektivierung der Arbeit der Gerichte ist ein Anliegen, dessen Gewicht eine solche Regelung trägt.“

kann man letztlich nahezu jedwede Pflicht zur Speicherung von TK-Daten und zur Auskunftserteilung gegenüber Sicherheits- und Strafverfolgungsbehörden rechtfertigen. Dass das Bundesverfassungsgericht der „Gewährleistung von Sicherheit“ im Argumentationsstil innenpolitischer Hardliner schablonenhaft Vorrang vor dem Grundrecht auf informationelle Selbstbestimmung einräumt, lässt für die künftige Entwicklung nicht viel Gutes erahnen. Der scheibchenweise Abbau der Grundrechte ist seit 20 Jahren in Gang und er scheint immer mehr an Fahrt aufzunehmen. Zumal der 1. Senat des Bundesverfassungsgerichts aktuell nicht in ausreichendem Maße über Richterpersönlichkeiten wie Hans-Jürgen Papier oder Wolfgang Hoffmann-Riem zu verfügen scheint, die sich mit der nötigen Vehemenz gegen die gesetzgeberische Beschneidung der Grundrechte stemmen.

Der Beschluss des Bundesverfassungsgerichts enthält allerdings auch Passagen die aufhorchen lassen. Denn was die Frage der Verfassungsgemäßheit von § 112 TKG anbelangt, hat sich das Gericht mit Blick auf IPv6 ein Hintertürchen offen gehalten und gleichzeitig dem Gesetzgeber eine Beobachtungs- und gegebenenfalls Nachbesserungspflicht auferlegt:

„Allerdings kann § 112 TKG ein erheblich größeres Eingriffsgewicht erhalten, wenn statische IP-Adressen künftig – etwa auf der Basis des Internetprotokolls Version 6 – in größerem Umfang die Grundlage der Internetkommunikation bilden sollten. Denn für die Frage des Eingriffsgewichts der Identifizierung einer IP-Adresse kommt es – auch wenn insoweit verschiedene Grundrechte maßgeblich sind – nicht primär darauf an, ob eine IP-Adresse technisch dynamisch oder statisch zugeteilt wird, sondern darauf, welche tatsächliche Bedeutung die Begründung einer entsprechenden Auskunftspflicht hat. Wenn aber in der Praxis auch Privatpersonen in weitem Umfang statische IP-Adressen zugeteilt werden, kann das möglicherweise dazu führen, dass hierdurch generell oder zumindest in weitem Umfang die Identität von Internetnutzern ermittelt und Kommunikationsvorgänge im Netz nicht nur für eine begrenzte Zeit, sondern auch dauerhaft deanonymisiert werden können. Eine solche weitreichende Möglichkeit zur Deanonymisierung der Kommunikation im Internet geht über die Wirkung eines traditionellen Rufnummernregisters hinaus. Zwar weist die Auskunft über die Zuordnung einer IP-Adresse zu einem Anschlussinhaber eine gewisse Ähnlichkeit mit der Identifizierung einer Telefonnummer auf. Auch hier sind mögliche – über die bloße Zuordnung der IP-Adresse hinausgehende – weitere Informationsgehalte nicht der Auskunft selbst zu entnehmen, sondern ergeben sich erst im Zusammenhang mit Kenntnissen, die die Behörde anderweitig bereits erlangt hat oder aufgrund eigener Rechtsgrundlagen noch erlangen könnte. Gleichwohl kann die Zuordnung einer IP-Adresse zu einem Anschlussinhaber vom Gewicht für den Betroffenen her mit der Identifizierung einer Telefonnummer nicht gleichgesetzt werden, weil erstere die Erschließung von nach Umfang und Inhalt wesentlich weiterreichenden Informationen ermöglicht (vgl. BVerfGE 125, 260 <342>). Angesichts dieses erhöhten Informationspotenzials wäre die generelle Möglichkeit der Identifizierung von IP-Adressen nur unter engeren Grenzen verfassungsrechtlich zulässig (vgl. BVerfGE 125, 260 <343 f., 356 ff.>). Den Gesetzgeber trifft insoweit eine Beobachtungs- und gegebenenfalls Nachbesserungspflicht.“

Natürlich darf man auch die erfreulichen Aspekte der Entscheidung nicht verschweigen. Bislang war es durchaus üblich, dass Polizeibehörden bei Internet-Service-Providern via Telefax, das mit „Auskunftsersuchen nach § 113 TKG“ überschrieben war, eine Zuordnung einer dyamischen IP-Adresse zu einem bestimmten Providerkunden verlangt haben.

Damit ist in dieser Form jedenfalls vorerst Schluss, weil es nach der Ansicht des Gerichts an einer hinreichend klaren Entscheidung des Gesetzgebers, ob und unter welchen Voraussetzungen eine solche Identifizierung erlaubt werden soll, fehlt. Es wird vermutlich allerdings nicht lange dauern, bis der Gesetzgeber hier erneut aktiv werden und nachbessern wird.

Als verfassungswidrig hat das Gericht lediglich § 113 Abs. 1 Satz 2 TKG angesehen, der den Zugriff auf Daten betrifft, die der  Zugangssicherung dienen, also Passwörter, die PIN oder die PUK. Die Regelung ist primär deshalb verfassungswidrig, weil sie den Zugriff der Behörden unabhängig davon erlaubt, für welche Zwecke diese Daten abgefragt werden. Die Auskunftserteilung über solche Zugangssicherungen muss nach der Entscheidung des BVerfG aber an den konkret erstrebten Nutzungszweck angekoppelt werden. Auch inosweit wird der Gesetzgeber sicherlich in Kürze tätig werden.

Warum der Gesetzgeber vermutlich nur ein bisschen nachjustieren muss erklärt Wolfgang Bär – übrigens ein erklärter Befürworter der Quellen-TKÜ auf Grundlage der geltenden StPO – in der Legal Tribune Online. Und man kann ihm kaum widersprechen.

Die Entscheidung des Bundesverfassungsgerichts ist unter dem Strich also nicht der große Wurf, sondern wohl eher eine große Enttäuschung. Dennoch haben Patrick Breyer vom AK Vorrat und sein Bruder mit ihrer Verfassungsbeschwerde gegen §§ 11 – 113 TKG einmal mehr für unsere Bürgerrechte gekämpft und mit ihrem Teilerfolg erneut eine Duftmarke in Karlsruhe gesetzt.

Weil ich mehrfach gefragt worden bin, ob sich die Entscheidung auch auf die Fälle des Filesharing auswirkt, hierzu abschließend noch ein Exkurs. Im Netz kursierte als Reaktion auf den Beschluss des Bundesverfassungsgerichts die verwegene These, die Entscheidung würde den Filesharing-Abmahnungen den Todesstoß versetzen. Das ist schon deshalb unzutreffend, weil die Provider die Zuordnung von IP-Adressen zu einem konkreten Kunden nicht nach dem TKG vornehmen, sondern auf Grundlage von § 101 Abs. 2 und Abs. 9 UrhG. Diese Vorschrift enthält einen Richtervorbehalt – der in der Praxis allerdings keinerlei vernünftige Einzelfallprüfung mehr bewirkt – und beachtet auch das Zitiergebot Art. 19 Abs. 1 Satz 2 GG und erfüllt insoweit die vom BVerfG definierten Anforderungen.

In diesem Zusammenhang ist es aber durchaus interessant, dass die Vorschrift des § 101 Abs. 9 UrhG, die die richterliche Anordnung regelt, den Provider nicht zur Herausgabe von Kundendaten verpflichtet, sondern ihm nur datenschutzrechtlich erlaubt, eine solche Auskunft zu erteilen. Ob er die Auskunft dann tatsächlich erteilen muss, bestimmt sich nach § 101 Abs. 2 UrhG. Neben der nach wie vor umstrittenen Frage, ob und unter welchen Voraussetzungen ein privater Filesharer in gewerblichem Ausmaß handelt, muss die Rechtsverletzung auch offensichtlich sein. In diesem Zusammenhang sind eine ganze Reihe von Punkten umstritten. Fraglich ist u.a. ob sich das Merkmal der Offensichtlichkeit auch auf die Person des Anschlussinhabers beziehen muss. Nachdem der Anschlussinhaber in den Filesharing-Fällen nicht zwangsläufig auch der Rechtsverletzer ist, sondern die Verletzungshandlung vielmehr in zahlreichen Fällen von Familienangehörigen oder Mitbewohnern des Anschlussinhabers begangen worden ist, liegt in der Person des Providerkunden und Anschlussinhabers keinesfalls eine offensichtliche Rechtsverletzung vor. Wenn man dieser Rechtsauffassung folgt, dann müssen die Provider also keineswegs eine Auskunft erteilen, weil es an den tatbestandlichen Voraussetzungen von § 101 Abs. 2 UrhG fehlt. Andererseits können sie diese Auskunft ohne eigenes Haftungsrisiko erteilen, weil ihnen ein Gericht nach § 101 Abs. 9 UrhG bescheinigt hat, dass sie das zumindest dürfen.

Der Bundesdatenschutzbeauftragte Peter Schaar hat den Einsatz einer Überwachungssoftware der Fa. DigiTask („Bundestrojaner„) durch Bundesbehörden in seinem „Bericht gemäß § 26 Abs. 2 Bundesdatenschutzgesetz über Maßnahmen der Quellen-Telekommunikationsüberwachung bei den Sicherheitsbehörden des Bundes“ erheblich beanstandet.

Für besonders interessant halte ich die Ausführungen Schaars im Hinblick auf die technischen Anforderungen an derartige Überwachungssysteme.

Bei der technischen Umsetzung sind laut Schaar aus rechtlichen Gründen eine Reihe technischer Maßnahmen durchzuführen, die weit über die Anforderungen an gängige Überwachungssoftware hinausgehen.

In dem Papier des Bundesbeauftragten heißt es u.a., dass Software für Maßnahmen der Quellen-TKÜ technisch nicht wie Schadsoftware, Viren, Spionageprogramme und Hackerprogramme funktionieren kann. Sie muss vielmehr die gesetzlichen Vorgaben und Standards des Datenschutzes und der IT-Sicherheit erfüllen. Hierzu gehören Maßnahmen zu Gewährleistung der Transparenz, Vertraulichkeit, Verfügbarkeit und Unversehrtheit, aber auch zu Revisionssicherheit und Löschbarkeit.

Schaar hält hierzu die Vorlage des Quellcodes und einer umfassenden Dokumentation für unerlässlich.

Außerdem müsse laut Schaar sichergestellt sein, dass die Daten auf dem Weg zur Sicherheitsbehörde nicht verändert oder verfälscht werden können, woraus sich strenge Anforderungen an die Daten- und Instanzauthentisierung ergeben. Da aufgrund verfassungsrechtlicher und gesetzlicher Vorgaben der Kernbereich privater Lebensgestaltung besonders geschützt ist, muss die für die Maßnahme eingesetzte Software außerdem in der Lage sein, nach der Speicherung der Informationen jederzeit eine gezielte Löschung kernbereichsrelevanter Inhalte durchzuführen.

Um eine Kontrolle durch den Betroffenen oder eine Datenschutzbehörde zu ermöglichen, ist eine Protokollierung der wichtigsten Rahmenbedingungen und zu den übermittelten Daten erforderlich. Schaar merkt außerdem an, dass in der Software keine Funktionen vorhanden sein dürfen, die über die gesetzlich vorgesehenen Überwachungsmaßnahmen hinaus gehen. Es müsse sichergestellt werden, dass keine über die Überwachung der laufenden Telekommunikation hinausgehende Überwachung stattfindet.

Schaar weist schließlich darauf hin, dass beim Bundestrojaner weder der Quellcode noch eine hinreichende Programmdokumentation vorliegt, weshalb die notwendige und vom BKA vorzunehmende Prüfung der Software, erst gar nicht möglich sei.

Der Bundesdatenschutzbeauftragte kommt insoweit zu dem Ergebnis,dass ein schwerwiegender Verstoß gegen die Regelungen des § 9 BDSG und § 20k BKAG vorliegt.