Internet-Law

Gastbeitrag von Rechtsanwalt und FA IT-Recht Stephan Schmidt, TCI Rechtsanwälte Mainz

Am 19.08.2011 hat das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) mit einer Presseerklärung unter der Überschrift „ULD an Webseitenbetreiber: Facebook-Reichweitenanalyse abschalten“ alle Stellen in Schleswig-Holstein aufgefordert, ihre Fanpages bei Facebook und Social-Plugins (insbesondere den „Gefällt mir“-Button) von ihren Webseiten zu entfernen, nachdem man nach einer eingehenden technischen und rechtlichen Analyse zu dem Ergebnis gekommen sei, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Die zitierte Analyse hat das ULD gestern ebenfalls – in Form eines Arbeitspapiers – veröffentlicht. Das ULD droht den betreffenden Unternehmen und Stellen für den Fall, dass der Aufforderung nicht bis Ende September 2011 Folge geleistet wird, Untersagungsverfügungen und Bußgeldverfahren an. Als maximale Bußgeldhöhe nennt das ULD 50.000 Euro. Die Presseerklärung und das Arbeitspapier sind abrufbar unter https://www.datenschutzzentrum.de/facebook.

Dazu ist zunächst festzustellen, dass bereits die Überschrift missverständlich ist, da eine „Abschaltung“ der Facebook-Reichweitenanalyse gar nicht möglich ist. Was das ULD eigentlich fordert, ist  einen Verzicht auf Facebook Fanpages – also Facebook-Seiten von Unternehmen, Vereinen und Institutionen – und damit schlichtweg ein Boykott von Facebook insgesamt durch schleswig-holsteinische Unternehmen und Institutionen. Offensichtlich hat man sich beim ULD aber dazu entschlossen, diese Forderung lieber im Fließtext zu verstecken.

Das Arbeitspapier des ULD geht dabei meiner Meinung nach bereits von einer grundsätzlich falschen Annahme aus. Denn entgegen der Ansicht des ULD hat der Betreiber einer Fanpage bei Facebook oder der Verwender des „Gefällt mir“-Button gerade keinerlei Kontrolle darüber welche Daten in welchem Umfang und zu welchem Zeitpunkt von Facebook erhoben werden. Vielmehr sorgt die Einbindung des entsprechenden HTML-Codes lediglich dafür, dass der Internetbrowser des Nutzers eventuell eine Übertragung von Daten vornimmt. Dies ist nichts anderes als das Klicken eines Links, wobei das „Anklicken“ hier automatisiert vom Browser vorgenommen wird, wenn der Nutzer es nicht durch eine entsprechende Einstellung seines Browsers verhindert. Der Fanpage-Betreiber oder derjenige, der einen „Gefällt mir“-Button einbaut erhebt aber selbst keine Daten, noch läuft die etwaige Übertragung der Daten über ihn oder seine Webseite. Es fehlt daher bereits an einer Datenverarbeitung im Sinne des BDSG.

Es ist insoweit nicht nachvollziehbar, wie das ULD bei der beschriebenen Konstellation davon ausgehen kann, dass der Diensteanbieter „aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuern“ kann. Dies ist gerade nicht der Fall. Würde man dieser Argumentation folgen, und wäre allein die Löschung der entsprechenden Plugins und Fanpages das Mittel der Wahl um einer Verantwortlichkeit zu entgehen, müsste man Webseitenbetreibern zukünftig wohl grundsätzlich dazu raten, auf jegliche Links oder Dienste Dritter zu verzichten, weil stets die Gefahr besteht, dass die verlinkte Webseite oder der verlinkte Dienst Daten des Nutzers, beispielsweise dessen IP-Adresse, erhebt. Das Einbinden von You-Tube Videos wäre demnach ebenfalls datenschutzrechtlich unzulässig, da auch in diesen Fällen durch entsprechende HTML-Codes Daten von allen Besuchern der Webseite übertragen werden – auch wenn diese das Video gar nicht anklicken.

Ebenfalls falsch sind die Ausführungen des ULD, dass durch alleiniges Aufrufen einer Webseite, welche einen „Gefällt mir“-Button verwendet, bereits entsprechende Profile erstellt werden. Zwar wird die IP-Adresse übertragen – so funktioniert nun mal das Internet – eine Zuordnung geschieht aber nur dann, wenn der Nutzer auch bei Facebook registriert ist. Nach Angaben von Facebook werden die IP-Adressen nach 90 Tagen gelöscht.

Es bleibt daher abzuwarten ob sich die Ansicht des ULD tatsächlich durchsetzt und das ULD seine Drohung, Unterlassungsverfügungen und Bußgelder zu verhängen, wahrmacht. Vielleicht wird hier ja auch gerade nur mal wieder ein wenig auf den Busch geklopft, um eine durchaus wünschenswerte Verbesserung der Facebook-Dienste aus datenschutzrechtlicher Sicht zu erreichen. Ähnlich war ja bereits der Hamburger Datenschutzbeauftragte Caspar Anfang des Jahres vorgegangen, als er Bußgelder gegen Nutzer von Google Analytics ankündigte und so Google an den Verhandlungstisch zurückholte. Ich würde mir jedoch vielmehr wünschen, dass es bald zu einer gerichtlichen Klärung der offenen Fragen kommt, damit nicht weiter die zumindest diskussionswürdigen Rechtsansichten einzelner Landesdatenschützer als verbindlich behandelt werden und deutsche Unternehmen endlich rechtssicher Social Media einsetzen können. Denn an der Nutzung von Social Media Angeboten führt nun einmal kein Weg mehr vorbei, wenn man nicht relevante Zielgruppen völlig verlieren will – wer das grundsätzlich verhindern will, lebt im Gestern.

DISCLAIMER: Diese Ausführungen stellen ausschließlich die persönliche Ansicht des Verfassers dar, die nicht notwendigerweise mit den Auffassungen der Kanzleien des Verbundes TCI Rechtsanwälte übereinstimmen.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) fordert in einer Pressemitteilung vom 19.08.2011 alle Webseitenbetreiber in Schleswig-Holstein auf, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen, weil man nach eingehender technischer und rechtlicher Prüfung zu dem Ergebnis gelangt sei, dass diese Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Das ULD droht den Diensteanbietern sogar mit Untersagungsverfügungen und Bußgeldern, sollten sie der Aufforderung nicht nachkommen.

Das ULD hat seine vollständige Analyse ebenfalls veröffentlicht.

Dass Facebook jedenfalls verpflichtet ist, deutsches Datenschutzrecht zu beachten, hatte ich gestern in einem ausführlichen Beitrag dargestellt.

Update:
Gegenüber Heise-Online legt Thilo Weichert nach und erklärt „Wir werden die Eskalation suchen und dazu das gesamte Instrumentarium nutzen„. Man kann sich da natürlich die Frage stellen, warum das ULD die Eskalation gegenüber Webseitenbetreibern sucht und nicht unmittelbar gegen Facebook – ggf. in Zusammenarbeit mit anderen Landesbehörden – agiert. Das gesamte Instrumentarium würde jedenfalls ein Vorgehen deutscher Datenschutzbehörden gegen Facebook umfassen.

Update:
Es sieht irgendwie so aus, als würde das ULD selbst Plugins von Facebook und Twitter benutzen. Oder was ist das am unteren Bildschirmrand Herr Weichert?

Das sind offenbar nur Share-Links. Außerdem wurde ich darauf hingewiesen, dass es sich um eine Seite des Landes handelt und nicht um eine offizielle Seite des Datenschutzbeauftragten. Dennoch zeigt das Beispiel den schwierigen Umgang auch der offiziellen Stellen mit Facebook und Co.

In Bezug auf Facebook kann man immer wieder lesen, dass das soziale Netzwerk sich nicht an deutsche Datenschutzstandards hält. Aber gilt das deutsche Datenschutzrecht für Facebook überhaupt?

Der norwegische Datenschutzbeauftragte ist beispielsweise der Ansicht, dass das norwegische Datenschutzrecht auf Facebook keine Anwendung findet, sondern für norwegische Facebook-Nutzer vielmehr irisches Datenschutzrecht gelten soll, weil sich der europäische Hauptsitz von Facebook in Irland befindet. Nachdem Norwegen die Datenschutzrichtlinie der EU ebenso wie Deutschland umgesetzt hat, stellt sich die Frage, ob die norwegische Einschätzung korrekt ist und ob sie auch auf Deutschland übertragen werden kann.

Für grenzüberschreitende Sachverhalte enthält § 1 Abs. 5 Bundesdatenschutzgesetz (BDSG) Kollisionsregeln, die in Umsetzung der Datenschutzrichtlinie geschaffen wurden. Das BDSG gilt jedenfalls dann, wenn eine Niederlassung in Deutschland als verantwortliche Stelle Daten erhebt, verarbeitet oder nutzt. Befindet sich die Niederlassung in einem anderen Mitgliedsstaat der EU, ist das dortige nationale Datenschutzrecht anzuwenden. Befindet sich die maßgebliche Niederlassung demgegenüber im EU-Ausland – also z.B. in den USA – gilt wiederum das BDSG, wenn eine Datenerhebung im Inland erfolgt.

Eine derartige Niederlassung ist aber nur dann gegeben, wenn sie auch die datenschutzrelevanten Handlungen vornimmt. Erwägungsgrund 19 der Richtlinie spricht davon, dass in der Niederlassung die effektive und tatsächliche Ausübung einer (datenverarbeitenden) Tätigkeit mittels fester Einrichtungen erfolgen muss. Vor diesem Hintergrund dürfte Facebook weder in Deutschland noch in Irland eine entsprechende Niederlassung unterhalten.

Die Datenverarbeitung findet nämlich nicht in Deutschland statt und auch die zu Grunde liegenden wesentlichen Entscheidungen werden nicht von europäischen Niederlassungen getroffen, sondern allein von der amerikanischen Facebook-Mutter.

Die abweichende norwegische Ansicht stützt sich primär auf die Nutzungsbedingungen von Facebook, in denen es u.a. heißt, dass für Nutzer außerhalb der USA und Kanada eine Vertragbeziehung nur mit Facebook Irland zustande kommt. Nachdem § 1 Abs. 5 BDSG aber nicht vertraglich abbedungen werden kann, ist allein entscheidend, wo die datenverarbeitende Tätigkeit tatsächlich stattfindet und welche Stelle hierüber entscheidet. Bereits ein Blick in die Datenschutzrichtlinie von Facebook bestätigt, dass die Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika (so wörtlich Ziff. 9) erfolgt. In den Nutzungsbedingungen (Ziff. 16) heißt es ebenfalls:

Du bist damit einverstanden, dass deine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden.

Facebook gibt also selbst an, dass die Datenverarbeitung in den USA stattfindet. Damit ist aber auch klar, dass die Facebook Inc. verantwortliche Stelle im datenschutzrechtlichen Sinne ist.

Dafür spricht auch der Umstand, dass Facebook ein weltweit einheitlicher Dienst ist, der zentral von Kalifornien aus betrieben und gesteuert wird. Die wesentlichen Entscheidungen fallen also weder in Deutschland noch in Irland, sondern allein in den USA.

Das BDSG ist in solchen Fällen wie gesagt dann anwendbar, wenn die verantwortliche Stelle Daten im Inland (Deutschland) erhebt, verarbeitet oder nutzt. Die entscheidende Frage lautet bei sozialen Netzwerken wie Facebook, Google Plus oder auch Twitter also, ob Daten in Deutschland erhoben werden. Die Anbieter sozialer Netze erheben zweifellos Daten von inländischen Nutzern, die diese an ihrem heimischen Rechner eingeben. Ob das als Datenerhebung im Inland zu qualifizieren ist, hängt nach Art. 4 Abs. 1 der Richtlinie  davon ab, ob der Verantwortliche auf Mittel zurückgreift, die sich im Inland befinden. Nach überwiegender Ansicht ist der Standort des Clients – also des Rechners des Nutzers – zumindest dann ein maßgebliches Mittel, wenn sich der Anbieter erkennbar (auch) an deutsche Nutzer richtet bzw. auf den deutschen Markt abzielt. Das trifft aber auf die großen sozialen Netzwerke durchwegs zu.

Die letzte Frage ist dann die, ob die Kollisionsregel des § 1 Abs. 5 BDSG auch für die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) gilt. Aus § 1 Abs. 5 TMG ergibt sich, dass das TMG keine Regelungen im Bereich des Internationalen Privatrechts trifft, weshalb es bei den allgemeineren Kollisionsregeln, also § 1 Abs. 5 BDSG, verbleibt.

Facebook (wie auch Google+ und Twitter) müssen deshalb im Hinblick auf ihre deutschen Nutzer die datenschutzrechtlichen Vorschriften der §§ 11 ff. TMG und die des BDSG befolgen. Dieselbe rechtliche Schlussfolgerung ist nach meiner Einschätzung auch für alle anderen EU-Staaten zu ziehen.

Seit einigen Wochen wird über einen vom Bundesrat bereits beschlossenen Gesetezsentwurf zur Änderung des Telemediengesetzes diskutiert.

Nach dem Willen der Bundesländer sollen damit u.a. die E-Privacy-Richtlinie, gerne auch Cookie-Richtlinie genannt, umgesetzt werden, sowie mit einem neuen §13a TMG strengere Datenschutzregelungen für soziale Netzwerke etabliert werden. In den Medien kolportiert wurde auch die Aussage, dass geplant sei, die Nutzung sozialer Netzwerke erst ab 16 zu erlauben.

Für diese Regelungen zeichnet sich, zumindest in dieser Form, keine Mehrheit im Bundestag ab. In der Stellungnahme der Bundesregierung (am Ende des Dokuments ab S. 13) wird der Gestzesvorschlag in den zentralen Punkten abgelehnt. Zu der geplanten Regelung des § 13 Abs. 8 TMG, in der es um die Cookie-Thematik geht, hat die Bundesregierung eigene Vorschläge im Rahmen der laufenden TKG-Novellierung angekündigt. Was die datenschutzrechtlichen Aspekte anbelangt, möchte die Bundesregierung zunächst nach Lösungen auf europäischer Ebene suchen.

Vor drei Tagen habe ich darüber berichtet, dass der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung verkündet hat, dass das Tracking-Tool der Fa. INFOnline GmbH, das u.a. von der IVW für ihre Reichweitenmessung eingesetzt wird, nunmehr datenschutzkonform sei.

Kris Köhntopp hat diese Aussage aus technischer Sicht unter die Lupe genommen und erläutert anschaulich, warum eine Verbesserung des Datenschutzniveaus gerade nicht erreicht worden ist. Denn das Tracking des IVW basiert auf dem Einsatz von Cookies, wobei nach Ansicht Köhntopps im konkreten Fall mehr Daten erhoben werden als für die statistischen Zwecke der IVW notwendig.

Auf Google+ hatte zuvor bereits Jürgen Kuri von der c’t darauf hingewiesen, dass das IVW-Zählverfahren offensichtlich dadurch datenschutzkonform gemacht wird, dass eine Opt-out-Möglichkeit eingeführt wird, die wiederum ein permamentes Cookie setzt. Denn durch dieses Cookie erkennt die IVW, dass man nicht gezählt werden möchte.

Das ist aus datenschutzrechtlicher Sicht gänzlich widersinnig, um nicht zu sagen absurd und verdeutlicht einmal mehr, dass der Datenschutz in seiner bisherigen Form im Netz schlecht bis gar nicht funktioniert. Und ein Landesdatenschutzbeauftragter bejubelt den zusätzlichen Einsatz von Cookies als Durchbruch für den Datenschutz.

Mir stellt sich hier dann aber auch die Frage, wie die Anbieter solcher Tools reagieren werden, wenn dieses Gesetzgebungsvorhaben tatsächlich das Ende der Cookies ohne Einwilligung einläutet? Was dann Herr Caspar?

Wann kommt der längst überfällige Reality-Check im Datenschutzrecht?

Innenminister Friedrich wirft seinen Kritikern „intellektuelle Plattheit“ vor. Dass es vielleicht seine eigene Plattheit ist, die Häme hervorrruft, scheint er nicht in Betracht zu ziehen.

Friedrich legt auch gleich mit ein paar weiteren Plattitüden nach und fordert, dass im weltweiten Netz „Klarheit, Wahrheit und Verlässlichkeit“ gebraucht würden. Wirklich? Die notwendige Klarheit hat der deutsche Gesetzgeber durch die Pflichten zur Anbieterkennzeichnung in § 5 TMG und § 55 RStV längst geschaffen.

Der Nutzer, der sich ansonsten anonym im Netz bewegt, macht von seinem Grundrecht auf informationelle Selbstbestimmung Gebrauch. Die Transparenz, die Friedrich einfordert, zielt demgegenüber auf staatliche Kontrolle ab. Und genau das ist mit dem Grundkonzept der Grund- und Bürgerrechte schwerlich in Einklang zu bringen.

Der freiheitlich-demokratische Staat ist vom Spannungsverhältnis zwischen Staat und Bürger geprägt und muss eigentlich dafür sorgen, dass die öffentliche Gewalt so transparent wie möglich agiert, während er dem Bürger als dem Träger der Grundrechte die größtmögliche Intransparenz zubilligen muss.

Diese Grundprämisse scheint langsam in Vergessenheit zu geraten. Die Politik will sich nämlich am Liebsten nicht so genau auf die Finger schauen lassen, während sie gleichzeitig dem Bürger immer mehr Transparenz abverlangt und von ihm auch immer mehr Daten erhebt und speichert.

Nachdem, ausgelöst durch Äußerungen von Innenminister Friedrich, gerade allerorten über das Für und Wider von Anonymität im Netz diskutiert wird, erscheint es mir angebracht zu erwähnen, dass die Bundesregierung ganz generell ein Problem mit der Anonymität (im Netz) hat und deshalb nichts unversucht lässt, diese, wo es nur geht, zurückzudrängen.

Der Entwurf eines Gesetzes zur Optimierung der Geldwäscheprävention möchte der anonymen Onlinebezahlung und derjenigen durch (anonym) erworbene Pre-Paid-Karten den Garaus machen. Verkaufsstellen sollen nämlich künftig den Kunden identifizieren müssen.

Der Gesetzesentwurf enthält außerdem die Regelung, dass Betriebe mit mehr als 9 Mitarbeitern künftig einen Geldwäschebeauftragten ernennen müssen und, dass rechtsberatende Berufe und Steuerberater bestimmte verdächtige Zahlungsvorgänge melden sollen. Dienstleister oder Händler sollen, wenn es sich bei dem Vertragspartner um eine Person handelt, die ein wichtiges öffentliches Amt ausübt oder ausgeübt hat (politisch exponierte Personen), ebenfalls zu einer Meldung verpflichtet sein.

Nicht nur Datenschützer halten diese Regelungen für höchst bedenklich. Das Gesetz wird außerdem die Entwicklung des E-Commerce in Deutschland stark behindern. Denn im Netz wäre es vielmehr notwendig, in noch viel stärkerem Maße als bisher, Micropayment-Systeme zu etablieren, damit auch Kleinbeträge relativ einfach und unbürokratisch bezahlt werden können. Gerade in diesem Bereich dürfte auch kaum die Gefahr der Geldwäsche bestehen, weshalb die Begründung der Geldwäschebekämpfung lediglich vorgeschoben erscheint.

Der Hamburgische Datenschutzbeauftragte hatte sich Anfang des Jahres als Steinewerfer im Glashaus entpuppt, nachdem er einräumen musste, dass seine eigene Website – damals Teil von „hamburg.de“ – gemessen an den eigenen Kriterien nicht datenschutzkonform war. Ein zentraler Kritikpunkt war das Tracking-Tool der Fa. INFOnline GmbH, das u.a. von der IVW für ihre Reichweitenmessung eingesetzt wird.

Dieses Tracking-Tool soll nunmehr datenschutzkonform ausgestaltet sein, wie der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung erläutert, u.a. weil die erfassten IP-Adressen um das letzte Oktett gekürtzt werden, wie es heißt.

Das würde dann aber auch bedeuten, dass Google Analytics ebenfalls datenschutzkonform sein müsste, wenn das von Google angebotene sog. IP-Masking eingesetzt wird. Ich bin gesapnnt, ob der Hamburger Datenschutzbeauftragte, der auch für Google zuständig ist, diese Schlussfolgerung ebenfalls ziehen wird.

Die Datenschutzerklärung von hamburg.de bleibt allerdings in Teilen dieskussionswürdig, insbesondere was die Passage zu den Social-Plug-Ins (Ziff. 6) angeht.

Endlich wieder ein Innenminister der so richtig polarisiert und Emotionen weckt. Blogger pauschal anzugreifen und gleichzeitig Sarrazin zu verteidigen, ist ganz großes Kino.

Was De Maiziere nicht mehr so richtig gelungen war, schafft Friedrich wieder spielend, nämlich speziell die Netzgemeinde gegen sich aufzubringen. Man muss deshalb froh sein, dass es ihn gibt.

Was die Rechtskenntnisse angeht, besteht bei Innenminister Friedrich – immerhin Jurist – allerdings noch erheblicher Nachholbedarf. Es mag Herrn Friedrich überraschen, aber das offene Visier für Blogger, das er fordert, ist längst gesetzlich verankert. Nach deutschem Recht besteht bereits eine Impressumspflicht für Blogger, die sie dazu verpflichtet, in ihrem Blog zumindest ihren Namen und ihre Anschrift anzugeben. Dass sich nicht alle daran halten, kennen wir beispielsweise auch aus dem Bereich des Datenschutzes. Juristen nennen das Vollzugsdefizit. Das beseitigt man freilich nicht durch immer schärfere Gesetze, zumal wenn solche bereits existieren. Aber an dieser Stelle erinnern mich deutsche Innenpolitiker in zunehmenden Maße an den Pawlowschen Hund.

Die Anschläge in Norwegen haben die deutsche Diskussion über die Wiedereinführung der Vorratsdatenspeicherung, sowie generell eine stärkere TK- und Internetüberwachung, erneut angeheizt. Von Innen- und Sicherheitspolitikern wird hierbei gerne der Eindruck erweckt, den Ermittlungsbehörden stünden keine ausreichenden Instrumentarien zur Verfügung.

Tatsächlich existiert eine Fülle von gesetzlichen Überwachungsbefugnissen, deren Umfang und Reichweite den meisten Menschen vermutlich gar nicht bewusst ist und die in der Gesamtschau bereits ein bedenkliches Ausmaß angenommen haben.

Ich möchte deshalb einmal einen Überblick über die Ermittlungsmaßnahmen geben, die deutsche Staatsanwaltschaften und Polizeibehörden im Bereich der Telekommunikation tatsächlich praktizieren. Für die meisten dieser Maßnahmen existieren gesetzliche Regelungen, deren Anwendbarkeit auf die jeweilige Maßnahme aber nicht immer völlig zweifelsfrei zulässig ist. Gelegentlich werden von den Behörden aber auch evident rechtswidrige Maßnahmen ergriffen, wie der vieldiskutierte Einsatz des Bayern-Trojaners zeigt.

Überblick über Ermittlungsmaßnahmen im Bereich der Telekommunikation und des Internets:

• Überwachung und Aufzeichnung des Inhalts eines Telekommunikationsvorgangs (§ 100a StPO)
• Auswertung von Daten aus Gerätespeicher oder SIM-Karten (§ 94 StPO)
• Auskunft über Bestandsdaten von TK-Anbietern (§§ 161 Abs.1, 163 Abs. 1 StPO i.V.m. § 113  Abs. 1 TKG) und von Telemedienanbietern (§ 14 Abs. 2 TMG)
• Personenauskunft zu einer vorhandenen Rufnummer (§§ 112,  113 TKG) und zu vorhandenen dynamischen oder statischen IP-Adressen sowie E-Mail-Adressen (§ 113 TKG)
• Ermittlung von Standortdaten von Mobiltelefonen über Mobilfunknetze (§§ 100a oder 100g StPO)
• Ermittlung von Standortdaten von Mobiltelefonen in Echtzeit (§ 100g Abs. 1 S. 3 StPO)
• Auskunft über Rechnungsdaten (§§ 96, 97 TKG, 100g StPO)
• Auskunft über künftig anfallende Verkehrsdaten (§ 100g Abs. 1 StPO)
• Auskunft über in der Vergangenheit angefallene Verkehrsdaten. Derzeit faktisch eingeschränkt dadurch, dass keine Verpflichtung zur Vorratsdatenspeicherung mehr besteht. Da einige Provider aber auch ohne Vorratsdatenspeicherung bis zu 3 Monaten speichern, kann auch hier oftmals noch erfolgreich ermittelt werden
• Ermittlung von PIN/PUK  (§§ 113 Abs. 1 S. 2 TKG, 161, 163 StPO)
• Aufzeichnung des E-Mail-Verkehrs während der Übertragungsphase (§ 100a StPO)
• Kontrolle/Sicherstellung des E-Mail-Verkehrs während der Zwischenspeicherung auf dem Mail-Server des Providers (§§ 94 ff. bzw. § 99 StPO)
• Sicherstellung von E-Mails auf dem Computer des Empfängers (§§ 94 ff. StPO)
• Ermittlung der sog. IMSI zur Identifizierung oder Lokalisierung durch sog. IMSI-Catcher (§ 100i StPO). Die IMSI (International Mobile Subscriber Identity) ist eine Kennung mit der ein Mobilfunkteilnehmer in den Funknetzen eindeutig identifiziert werden kann
• Ermittlung der sog. IMEI (§ 113 TKG). IMEI (International Mobile Equipment Identity) bezeichnet die Hardwarekennung des Mobiltelefons
• Feststellung, welche Mobiltelefone zu einer bestimmten Zeit in einer bestimmten Funkzelle eine Netzverbindung aufgebaut hatten, sog. Funkzellenabfrage (§ 100g Abs. 2 S. 2 StPO)
• Einsatz von GPS-Technik zur Observation Verdächtiger (§ 100h Abs. 1 Nr. 2 StPO)
• Zugriff auf Daten in geschlossenen Internetforen mithilfe von  Zugangsdaten, die ohne oder gegen den Willen der Kommunikationsbeteiligten erlangt wurden (§ 100a StPO bei Liveüberwachung  über Netzbetreiber; §§ 94, 98 StPO gegenüber Telemediendiensten nach Abschluss des Telekommunikationsvorgangs, betrifft z.B. Chatprotokolle, Bilder etc.)
• Kfz-Ortung bei Fahrzeugen mit SIM-Modul, z.B. BMW-Assist/ConnectedDrive oder Audi-Ortungsassistent Cobra (bei Katalogstraftaten: § 100a StPO, fraglich wenn keine Katalogtat)
• Ermittlung von Nachrichten, die auf einer Mailbox gespeichert sind (§§ 94, 98 bzw. 99 StPO analog)
• Online-Durchsuchung und Einsatz/Installation von Spionagesoftware wie Trojaner, Keylogger u.a. (derzeit keine gesetzliche Grundlage, wird in Bayern dennoch praktiziert)
• Stille SMS, auch Silent Message oder stealthy ping; dient der Ermittlung des Aufenthaltsortes sowie der Erstellung von  Bewegungsprofilen von Personen, die Mobiltelefone nutzen. Die Ermittler schicken einen ping an eine ihnen bekannte Handynummer. Beim Mobilfunkbetreiber wird dadurch ein Datensatz mit Verbindungsdaten erzeugt, u.a. mit Angaben zur Funkzelle, in der sich das Handy befindet. Auf entsprechende Anordnung werden diese Daten vom Mobilfunkbetreiber an die Ermittlungsbehörde weitergeleitet (rechtlich zweifelhaft)
• Aufzeichnung von Internettelefonie (Voice over IP) unter Verwendung entsprechender Überwachungssoftware, sog. Quellen- TKÜ (§ 100a StPO, streitig)
• W-LAN-Catcher (WiFi-Catcher); ein Gerät zur Erfassung kabelloser Datenströme. Dient der Ermittlung der exakten geographischen Ausbreitung des versorgten Bereichs eines W-LANs und der Identifizierung aller eingeloggten Endgeräte sowie der Überwachung/Aufzeichnung des Datenverkehrs (§§ 161, 163 StPO; § 100i StPO; § 100a StPO)
• Zielwahlsuche; ermöglicht die Ermittlung von Rufnummern, von denen Verbindungen zu einem bekannten Anschluss hergestellt werden (§ 100g Abs. 1 StPO)