Internet-Law

Der Bundesrat hat mit einer am 18.03.2011 angenommenen Entschließung die Bundesregierung aufgefordert, datenschutzrechtliche Reglungen zum verbrauchergerechten Einsatz der Radiofrequenz-Identifikations-Technologie (RFID) zu treffen.

Die Bundesregierung soll nach dem Wunsch der Bundesländer eine Empfehlung der EU-Kommission zur Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen in nationales Recht umsetzen.

Das Kammergericht Berlin hat mit Beschluss vom 25. Oktober 2010 (Az.: 10 W 127/10) entschieden, dass es Google nicht untersagt werden kann, für seinen Dienst Street View Häuserfassaden vom frei zugänglichen Teil einer Straße aus zu fotografieren.

Das Kammergericht und auch die Vorinstanz das Landgericht Berlin deuten aber an, dass die Bewertung anders ausfallen kann, wenn Google mittels einer drei Meter hohen Kamera Aufnahmen des nicht einsehbaren Vorgartens oder von Innenräumen des Hauses macht, wenn in diesen Fällen eine Umfriedung, wie z.B. eine hohe Hecke, überwunden wird. Nachdem insoweit allerdings von der Antragstellerin kein konkreter Vortrag gekommen war, haben Landgericht und Kammergericht den Antrag auf Erlass einer einstweiligen Verfügung zurückgewiesen.

Während man vor einigen Jahrzehnten die sog. informationelle Selbstbestimmung in Deutschland und Europa als (neues) zentrales Bürgerrecht definiert hat, formieren sich in letzter Zeit auch hierzulande die Post-Privacy-Propheten, deren Postulat lautet, dass wir die Kontrolle über unsere persönlichen Daten ohnehin längst verloren haben und dies nun auch endlich einsehen müssten. Sie nennen sich selbst die „datenschutzkritische Spackeria“ und hängen den Ideen von Marshall McLuhan an. Man gibt sich progressiv und bezeichnet die Datenschützer als konservativ und ideologisch.

Wer den Datenschutz als Ideologie betrachtet und gleichzeitig eine „Utopie“ als neues Modell verkaufen will, muss zumindest bei mir zunächst mit Skepsis rechnen.

Die Post-Privacy-Utopie leidet bei näherer Betrachtung auch unter einem kaum auflösbaren inneren Widerspruch, der sich sehr anschaulich anhand eines Interviews von Julia Schramm – sie ist eine der Protagonstinnen der Datenschutz-Spackos – verdeutlichen lässt. Gegenüber SPON erklärt Schramm wörtlich:

„Im Internet ist es eben vorbei mit der Privatsphäre, darüber sollte man sich klar sein. Schon der Begriff Datenschutz gaukelt eine falsche Sicherheit vor, die es praktisch nicht mehr gibt. Die einzige Alternative ist, anonym zu surfen.“

Hierin zeigt sich das Dilemma der Post-Privacy-Apologeten. Denn sie betrachten die Möglichkeit sich im Netz anonym zu bewegen als Selbstverständlichkeit, ohne zu erkennen, dass gerade dies bereits einen unmittelbaren Ausfluss des Rechts auf informationelle Selbstbestimmung darstellt. Wer für sich das Recht reklamiert, anonym zu surfen, hat damit bereits anerkannt, dass es ohne die informationelle Selbstbestimmung nicht geht. Wer sie nicht mehr will, der muss auch auf die Möglichkeit verzichten, anonym zu surfen. Der Vorbehalt von Anonymität und die Vorstellung von absoluter Transparenz aller Daten sind nicht miteinander in Einklang zu bringen. Die Vorstellung von einer Gesellschaft, die keine Privatssphäre mehr kennt, atmet den Geist des Totalitarismus. Transparenz bedeutet Kontrolle. Aus diesem Grund muss der freiheitlich-demokratische Staat, der vom Spannungsverhältnis Staat-Bürger geprägt ist, dafür sorgen, dass die öffentliche Gewalt transparent agiert, während dem Bürger die größtmögliche Intransparenz zuzubilligen ist. Wer den gläsernen und transparenten Bürger fordert, steht deshalb in der Tradition der Unfreiheit, wie sie den Überwachungsstaaten eigen ist.

In letzter Konsequenz geht es um die uralte Frage, was der Mensch ist und was ihn ausmacht. Eine Werteordnung, die sich zu unveräußerlichen Menschenrechten bekennt, erkennt damit zugleich an, dass jeder Mensch das Recht haben muss, sich als Individiuum in Freiheit selbst zu verwirklichen. Unser Grundgesetz bezeichnet dies als Menschenwürde. Deren oberste Prämisse lautet, dass der Mensch keiner Behandlung ausgesetzt werden darf, die ihn zum bloßen Objekt degradiert. Aber genau darauf läuft die Forderung der datenschutzkritischen Spackeria hinaus. Wie viele andere zum Scheitern verurteilte Utopien davor, verkennt die Post-Privacy-Ideologie das Wesen des Menschen.

Man muss den Verfechtern von Post-Privacy allerdings eine in weiten Teilen zutreffende Zustandsbeschreibung zugute halten. Die derzeit geltenden Regeln des Datenschutzes werden im Netz fast zwangsläufig gebrochen, weil eine konsequente und enge Anwendung unseres jetzigen Datenschutzregimes mit der üblichen und allgemein praktizierten Nutzung des Internets nicht in Einklang zu bringen ist. Die berufsmäßigen Datenschützer haben in ihrem Elfenbeinturm weitgehend den Bezug zur Realität verloren. Ihre Ansätze, wie die unterschiedslose und unbedingte Qualifizierung von IP-Adressen als personenbezogende Daten oder die Vorstellung vom Hosting als eine den Anforderungen des § 11 BDSG unterliegende Auftragsdatenverarbeitung, sind nicht internetkonform. Würden sich diese Vorstellungen durchsetzen, dann würde dies das Ende des Netzes wie wir es kennen, bedeuten.

Man sollte sich allerdings davor hüten, aus einer zunächst (in Teilen) zutreffenden Zustandsbeschreibung vorschnell die falschen Schlussfolgerungen zu ziehen. Die Lösung kann nicht in einer Preisgabe des Datenschutzes bestehen, sondern nur in seiner Neudefinition. Das Recht des Individuums sich frei entfalten zu können, muss dabei erhalten bleiben. Auch denjenigen, die das Internet überhaupt nicht nutzen wollen und denjenigen, die es nur absolut anonym nutzen wollen und es ablehnen, irgendwelche personenbezogenen Daten, sei es bei Facebook oder anderso, im Netz zu hinterlassen, darf man keine Ordnung aufzwingen, die keine Privatheit mehr kennt. Ihr Recht, in Ruhe gelassen zu werden und sich so zu entfalten, wie sie es sich selbt vorstellen, ist zu respektieren und muss um jeden Preis geschützt werden. Und zu diesem Schutz ist der Gesetzgeber berufen.

Die Forderung der Datenschutz-Spackeria würde demgegenüber den Weg hin zu einer informationellen Fremdbestimmung ebnen. Sie ist deshalb Ausfluss einer illiberalen Geisteshaltung, der es entgegen zu treten gilt.

Die bisherige Umsetzung des sog. SWIFT-Abkommens, durch das US-Behörden Zugriff auf Bankdaten europäischer Bürger erhalten sollen, hat die bereits bestehenden Befürchtungen vollumfänglich bestätigt.

Im Rahmen des SWIFT-Abkommens werden Bankdaten ohne ausreichende Überprüfung durch EUROPOL sehr großzügig übermittelt. Nach den Ergebnissen des Europol Inspection Reports vom 01.03.2011 waren die bisherigen Anfragen der US-Behörden so abstrakt formuliert, dass eine konkrete Prüfung auf Einhaltung der Vereinbarungen überhaupt nicht möglich war. Gleichwohl hat Europol jede dieser Anfragen genehmigt. Der Bericht weist außerdem darauf hin, dass mündliche Informationen der USA eine Rolle gespielt haben sollen. Diese mündlichen Informationen werden Europol von den USA aber nur unter der Voraussetzung gegeben, dass keine Aufzeichnungen gemacht werden. Damit wird genau die Intransparenz erzeugt, die das SWIFT-Abkommens eigentlich vermeiden sollte.

Der Bundesdatenschutzbeauftragte sieht dringenden Handlungsbedarf, der Vorsitzende des österreichischen Datenschutzrates Johann Maier fordert die Aussetzung des SWIFT-Abkommens.

Warum das SWIFT-Abkommen jeden Europäer betreffen kann, habe ich in einem älteren Beitrag erläutert. Gekoppelt mit einer laxen Übermittlungspraxis von EUROPOL führt dies im Ergebnis dazu, dass die Amerikaner praktisch nach Belieben die Bankdaten europäischer Bürger abfragen können. Das Europäische Parlament hat sich im letzten Jahr, nach einer kurzen Phase des Aufbäumens, leider dem Druck des Rates und der USA gebeugt und das Abkommen bestätigt. Der zahnlose Tiger EU-Parlament schützt die Rechte der europäischen Bürger nicht ausreichend. Gleiches gilt für die Bundesregierung, deren Mitglieder ansonsten gerne ein hohes Datenschutzniveau fordern. Damit könnte man bei SWIFT ja endlich anfangen.

Heise berichtet über einen aktuellen Fall in dem der niedersächsische Datenschutzbeauftragte den Einsatz des Werbeprogramms Google AdSense, des Amazon Partnerprogramms und des IVW-Pixels als datenschutzwidrig beanstandet hat und zudem das Webhosting als Auftragsdatenverarbeitung (i.S.v. § 11 BDSG) qualifiziert. Dem Betreiber von zwei Internetforen wurde aufgegeben, die Übermittlung personenbezogener Daten über die Dienste Google AdSense, Amazon Einzeltitel-Links sowie IVW-Box einzustellen und die Anwendungen aus dem Quelltext zu entfernen. Aus dem Schreiben des Landesbeauftragten für den Datenschutz – das mir vorliegt – ergibt sich zudem, dass die Datenschutzbehörde der Ansicht ist, beim Hosting würde eine sog. Auftragsdatenverabeitung nach § 11 BDSG stattfinden. Der Forenbetreiber wurde aufgefordert, die Zulässigkeit der Auftragsdatenverarbeitung durch seinen Host-Provider (Host Europe) nachzuweisen.

Die Datenschützer schießen  mit solchen Maßnahmen sehr weit über das Ziel hinaus. Die konsequente Schlussfolgerung aus der Haltung des niedersächsischen Datenschutzbeauftragten ist letztlich die, dass sämtliche Websites, die Werbung mit Hilfe von Partnerprogrammen bzw. des Affiliate-Marketing treiben, gegen das Datenschutzrecht verstoßen.

Wenn man zudem das Hosting, wie es der Landesdatenschutzbeauftragte tut, als Auftragsdatenverarbeitung im Sinne von § 11 BDSG begreift, müssten damit eigentlich fast alle deutschen Websites vom Netz genommen werden und Massenhoster wie 1&1 und Strato könnten ihr Geschäft sofort einstellen.  Denn wenn die Rechtsansicht der Datenschutzbehörde zutreffend wäre, würde dies bedeuten, dass  jeder Webseitenbetreiber mit seinem Host-Provider eine schriftliche Vereinbarung über eine Auftragsdatenverarbeitung abschließen müsste, die die äußerst strengen Anforderungen von § 11 Abs. 2 BDSG erfüllt. Die Haltung des niedersächsischen Landesbeauftragten kann man daher getrost als aberwitzig bezeichnen.

Für mich ist das Vorgehen der Datenschützer aber auch ein weiterer Beleg dafür, dass das deutsche und europäische Datenschutzrecht nach wie vor den Anforderungen des Internetzeitalters nicht gewachsen ist und die Datenschutzbehörden dieses Problem durch eine exzessive Auslegung datenschutzrechtlicher Bestimmungen noch zusätzlich befeuern.

Das ist auch deshalb fragwürdig, weil die Datenschutzbehörden oft genug die von ihnen gestellten Anforderungen selbst nicht erfüllen. Das habe ich hier vor einiger Zeit am Beispiel des Hamburger Datenschutzbeauftragten schon dargestellt.

Für den hier agierenden niedersächsischen Datenschutzbeauftragten gilt nichts anderes, wie ein Blick in seine eigene Datenschutzerklärung zeigt. Dort werden zunächst mit dem TDG und dem MDStV gesetzliche Regelungen genannt, die es seit Jahren nicht mehr gibt.

Die Datenschutzerklärung genügt aber auch den Vorgaben der geltenden gesetzlichen Regelungen des § 13 TMG nicht. Der Datenschutzbeauftragte informiert nicht ausreichend über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten. Insbesondere wird nicht erklärt, welche Daten beim Aufruf des Servers „lfd.niedersachsen.de“ genau erhoben werden. Wenn Daten, wie angeben, in einer Protokolldatei gespeichert werden, dann dürfte es sich hierbei um nichts anderes als die Logdateien des Webservers handeln. Und dort werden dann gerade auch die IP-Adressen der Anfragenden erfasst. Man muss also, ausgehend von der eigenen Datenschutzerklärung des Datenschutzbeauftragten, annehmen, dass der Webserver „lfd.niedersachsen.de“ IP-Adressen speichert und zwar für einen Zeitraum von zwei Monaten.

In der Datenschutzerklärung des niedersächsischen Datenschutzbeauftragten heißt es ferner, dass alle allgemein zugänglichen Seiten benutzt werden können, ohne dass Cookies gesetzt werden. Diese Aussage ist schlicht falsch. Bereits beim Aufruf der Privacy-Seite setzt der Server des Landesbeauftragten ein Cookie, wie der nachfolgende Screenshot zeigt:

Die Datenschutzerklärung des niedersächsischen Datenschutzbeauftragten ist im Ergebnis also veraltet, unvollständig und falsch. Belegt wird dadurch einmal mehr, dass die Datenschutzbehörden, die hohen Anforderungen, die sie anderen abverlangen, selbst nicht erfüllen.

Ein Artikel des Heise-Newstickers hat mich an ein Thema erinnert, zu dem ich vor Weihnachten schon mal etwas bloggen wollte. Es geht um das geplante Gesetz zum Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht („Rote-Linie-Gesetz“), das offenbar derzeit in den Ministerien abgestimmt wird. Hiermit wird sich der zweite Teil dieses Beitrags befassen, aber zuerst noch ein paar Worte  zu den Aussagen von Michael Wettengel, Mitglied der IT-Steuerungsgruppe des Bundes und Zentralabteilungsleiter im Kanzleramt. Wettengel plädiert dafür, sich stärker mit den ethischen und moralischen Herausforderungen des Internets zu beschäftigen und meint damit sicherlich nichts anderes als eine weiterreichende Netzregulierung. Es folgt dann leider aber nur die Wiederholung der netzpolitischen Plattitüde schlechthin „Das Internet darf kein rechtsfreier Raum sein“ sowie eine Kritik an der Verwendung von Pseudonymen im Netz.

Das von Wettengel ebenfalls angesprochene sog. „Rote-Linie-Gesetz“ will u.a. einen neuen § 38b in das BDSG einführen, der lautet:

§ 38b Unzulässige Veröffentlichungen in Telemedien

Die Veröffentlichung von personenbezogenen Daten in Telemedien durch Stellen im Sinne des § 1 Absatz 2, wodurch ein besonders schwerer Eingriff in das Persönlichkeitsrecht des Betroffenen herbeigeführt wird, ist unzulässig, soweit nicht eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene ausdrücklich und gesondert eingewilligt hat oder ein überwiegendes schutzwürdiges Interesse an der Veröffentlichung besteht. Ein besonders schwerer Eingriff in das Persönlichkeitsrecht des Betroffenen liegt insbesondere vor, wenn in Telemedien personenbezogene Daten veröffentlicht werden,

1. die geschäftsmäßig gezielt zusammengetragen, gespeichert und gegebenenfalls unter Hinzuspeicherung weiterer Daten ausgewertet wurden und die dadurch ein umfangreiches Persönlichkeits- oder Bewegungsprofil des Betroffenen ergeben können oder

2. die den Betroffenen in ehrverletzender Weise beschreiben oder abbilden.

In systematischer Hinsicht kann man einwenden, dass diese Vorschrift nicht in das BDSG gehört, weil die datenschutzrechtlichen Regelungen zu Telemedien entsprechend des bereichsspezifischen Konzepts des deutschen Datenschutzrechts bislang im TMG angesiedelt waren. Außerdem handelt es sich im Kern nicht um eine datenschutzrechtliche Regelung, sondern um eine solche des Zivil- bzw. Deliktsrechts. Der Schutz der Ehre und des Persönlichkeitsrechts ist keine originäre Aufgabe des Datenschutzrechts.

Sachlich stellt sich die Frage des Regelungsbedarfs. Schwerwiegende Eingriffe in das Persönlichkeitsrecht sind bereits nach geltendem Recht unzulässig. Inhaltlich bietet der Entwurf eines § 38b BDSG deshalb keinerlei Neuerungen. Er schließt weder eine Regelungslücke, noch löst er eine Streitfrage auf.

Vielleicht sollte man irgendwann einfach damit anfangen, sich den regelungsbedürftigen Aspekten zuzuwenden.

In einer ausführlich begründeten Entscheidung (Urteil vom 13. Januar 2011, Az.: III ZR 146/10) legt der BGH dar, unter welchen Voraussetzungen Internet-Service-Provider dynamische IP-Adressen ihrer Kunden speichern dürfen.

Der BGH führt zunächst aus, dass die Erhebung und Verwendung von IP-Adressen nur dann statthaft ist, wenn eine gesetzliche Regelung dies ausdrücklich erlaubt.

Soweit IP-Adressen zum Zwecke der Abrechnung und Entgeltermittlung gespeichert werden, muss der Provider darlegen und beweisen, dass dies erforderlich ist. Ansonsten kann insoweit auch ein Anspruch des Kunden auf sofortige Löschung bestehen.

Der BGH schließt sich außerdem der Rechtsansicht des Bundesdatenschutzbeauftragten an, wonach die Speicherung von IP-Adressen für die Dauer von sieben Tagen denkbar ist, sofern dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen gemäß § 100 Abs. 1 TKG erforderlich ist. Dafür müssen noch keine konkreten Anhaltspunkte für eine Störung oder einen Fehler vorliegen. Es genügt vielmehr, dass die in Rede stehende Datenerhebung und -verwendung geeignet, erforderlich und im engeren Sinn verhältnismäßig ist, um abstrakten Gefahren für die Funktionstüchtigkeit des Telekommunikationsbetriebs entgegenzuwirken.

Verschiedene Blogs und Medien berichten darüber, dass die Dating-Plattform „Lovely Faces“ Daten aus Millionen von Facebook Profilen – einschließlich von Fotos – übernommen und daraus Profile für eine Partnerbörse erstellt hat. Die Betreiber von Lovely Faces verfolgen aber keine kommerziellen Interessen, sondern bezeichnen ihr Vorgehen als „soziales Experiment“, das als Kritik an sozialen Medien wie Facebook gedacht ist und u.a. zeigen soll, wie einfach der Identitätsdiebstahl aus sozialen Netzwerken funktioniert.

Dieses „social hacking“ wirft nicht nur datenschutzrechtliche Fragen auf, sondern verstößt u.a. auch gegen das allgemeine Persönlichkeitsrecht und das Recht der betroffenen Nutzer am eigenen Bild.

Möglicherweise schafft dieses „Experiment“ aber auch das Bewusstsein dafür, dass Daten und Informationen die man selbst ins Netz gestellt hat, nur schwer wieder zu entfernen sind und jederzeit die Gefahr besteht, dass diese Informationen an anderen Stellen und in einem anderen Kontext wieder auftauchen. Man muss die Aktion daher auch als Akt einer aufklärenden Meinungsäußerung betrachten.

Die Diskussion über eine Wiedereinführung der Vorratsdatenspeicherung ist in vollem Gange. Der Bundesvorstand der CDU hat in seiner sog. Mainzer Erklärung verlauten lassen, man wolle die Vorratsdatenspeicherung gemäß den Vorgaben des Bundesverfassungsgerichts ermöglichen. Das bedeutet nichts anderes, als dass man Telekommunikationsverbindungsdaten aller Bürger dieses Landes ohne jeden Anlass auf Vorrat speichern will und zwar exakt bis an die Grenze dessen, was das Verfassungsgericht zulässt. Demgegenüber hat Justizministerin Leutheusser-Schnarrenberger erklärt, dass eine Neuauflage der Vorratsdatenspeicherung nicht zu machen sei. Vielmehr plädiert sie für das sog. Quick-Freeze-Verfahren, das sie um eine kurzfristige Speicherung von IP-Adressen von sieben Tagen ergänzen möchte. Einen ähnlichen Vorschlag hatte der Bundesdatenschutzbeauftragte Schaar vor zwei Monaten schon gemacht.

In der Diskussion ist bislang zu selten auf den Zusammenhang zwischen Datenschutz und Vorratsdatenspeicherung hingewiesen worden. Der Umstand, dass die Ermittler beklagen, ihnen würde  der Ermittlungsansatz IP-Adresse praktisch nicht mehr zur Verfügung stehen, hat seine Ursache darin, dass Internet Service Provider die IP-Adressen mit denen ihre Kunden online gehen, entweder gar nicht mehr aufzeichnen oder, wie die Telekom, nur noch für sieben Tage. Das war bis vor einigen Jahren anders, weil Verbindungsdaten, also auch IP-Adressen, früher zu Abrechnungszwecken üblicherweise 80 Tage lang gespeichert worden sind. Nachdem aber die Flatrates Einzug gehalten haben, haben die Provider – zumeist nicht freiwillig, sondern auf Druck der Datenschutzbehörden – ihre Speicherpraxis entsprechend umgestellt.

Die jetzige Situation ist also in gewisser Weise paradox. Weil wir ein so strenges Datenschutzrecht haben und es auch fast nirgendwo so eng ausgelegt wird, beklagen sich die Strafverfolgungsbehörden über Ermittlungslücken, was konservativen Sicherheitspolitikern wiederum als Argument für die Wiedereinführung der Vorratsdatenspeicherung dient. Das Datenschutzrecht fordert aber genau das Gegenteil dessen, was die Vorratsdatenspeicherung will. Datenvermeidung und Datensparsamkeit sind die obersten gesetzlichen Ziele des Datenschutzrechts, während die Vorratsdatenspeicherung darauf abzielt, Unmengen von personenbezogenen Daten anzuhäufen.

Dennoch stellen sich Mitglieder der Bundesregierung wie Ilse Aigner oder Thomas De Maiziere immer wieder hin und versprechen eine Verbesserung  des Datenschutzes, während sie beinahe im selben Atemzug die Vorratsdatenspeicherung fordern. Dass Justizministerin Sabine Leutheusser-Schnarrenberger eine andere Position einnimmt, zeugt davon, dass sie Bürgerrechte auch immer noch als Abwehrrechte gegen den Staat betrachtet und nicht versucht, den Schwerpunkt der Diskussion allein auf datensammelwütige US-Unternehmen zu verlagern. Ihr Vorschlag eines Quick-Freeze, neuerdings ergänzt um eine siebentägige Vorratsdatenspeicherung, dient aber wohl auch nur dem politischen Zweck, eine Alternative zur Vorratsdatenspeicherung präsentieren zu können, die in Wirklichkeit freilich keine ist. Das von ihr hierzu vorgestellte „Eckpunktepapier“ wirft zudem neue Fragen auf, insbesondere unter welchen erleichterten Voraussetzungen dieses „Quick-Freeze“ zulässig sein soll und inwieweit dadurch das Erfordernis eines konkreten Tatverdachts aufgeweicht werden wird. Auch hier schließen sich verfassungsrechtliche Fragen an.

Man muss die Diskussion daher anders führen und auf die zentralen Fragen zuspitzen, die lauten: Wollen wir dem Staat erlauben, die Verbindungsdaten aller Bürger – und zwar ohne jeden konkreten Anlass – für längere Zeit zu speichern, damit er anschließend die Möglichkeit hat, diese Daten für strafrechtliche Ermittlungen zu benutzen. Oder wird damit vielmehr die Grenze zum Überwachungsstaat bereits überschritten?

Im Internet hinterlassen die Menschen mehr (Daten-)Spuren als in der realen Welt, wodurch auch die Ermittlung von Straftaten in vielen Fällen erleichtert wird. Hieraus resultiert dann auch eine beachtlich hohe Aufklärungsquote bei Online-Straftaten. Eigentlich müsste dieser Umstand aus Sicht der Bürgerrechte dazu führen, dass man die Ermittlungsbefugnisse einschränkt. Das Gegenteil ist freilich der Fall, weil man offenbar der Ansicht ist, dass man alles was technisch möglich ist, auch machen sollte.

Hierbei wird vergessen, dass sich genau an diesem Punkt der Rechtsstaat vom Unrechtsstaat unterscheidet. Der Rechtsstaat kann gerade nicht alles zulassen, was technisch möglich ist und muss auf manches verzichten, was in einem Unrechtsstaat geht. Dieser Unterschied scheint vielen Sicherheitspolitikern, gerade aus den Reihen der Union, nicht mehr geläufig zu sein. Wie selbstverständlich gehen sie davon aus, dass natürlich alles, was technisch machbar ist, vom Staat auch praktiziert werden soll. Denjenigen, die gegen diese Haltung rechtsstaatliche Bedenken vorbringen, wird gerne Verantwortungslosigkeit vorgeworfen.

In der alten Offline-Welt haben sich diese Fragen oft deshalb nicht gestellt, weil man bereits aus tatsächlichen Gründen keine Spuren mehr gefunden hat. Das ist online anders, weil man im Grunde alles später noch nachvollziehen kann, wenn man nur vorher genügend Daten gespeichert hat. Dieser Umstand legitimiert aber nicht die Ausweitung von Ermittlungsbefugnissen.

Der Abbau der Grundrechte ist in den letzten zwanzig Jahren kontinuierlich vorangetrieben worden, u.a. von Innenpolitikern wie Wolfgang Schäuble und Otto Schily. Diese Entwicklung hat leider auch vor dem Bundesverfassungsgericht nicht Halt gemacht. Eine Regelung wie die zur Vorratsdatenspeicherung wäre in Karlsruhe vor 20 Jahren in Gänze als offensichtlich verfassungswidrig qualifiziert worden. Allein die Diskussion darüber, TK-Verbindungsdaten ohne jeden Anlass für längere Zeit zu speichern, hätte man damals als orwellsche Überwachungsfantasie betrachtet.

Vor diesem Hintergrund muss man sich eben irgendwann auch hinstellen und sagen: Bis hierhin und nicht weiter. Die Vorratsdatenspeicherung ist aus grundsätzlichen rechtsstaatlichen Erwägungen heraus abzulehnen und es hat dabei zu bleiben, dass deutschen Ermittlungsbehörden nicht dieselben Imstrumente an die Hand gegeben werden dürfen, wie den Behörden totalitärer Staaten. Zudem wäre wünschenswert, dass die Diskussion um die Vorratsdatenspeicherung stärker in den Kontext des Datenschutzes gestellt wird. Denn die Politik kann nicht einerseits ein hohes Datenschutzniveau, das nur durch die gesetzlich normierten Ziel der Datenvermeidung und Datensparsamkeit erreichbar ist, propagieren und andererseits eine Vorratsdatenspeicherung fordern. Diese beiden Forderungen sind nicht in Einklang zu bringen.

Das OLG Frankfurt hat im letzten Jahr entschieden, dass die Praxis der Telekom IP-Adressen für 7 Tage zu speichern, nicht zu beanstanden ist und Flatrate-Kunden nicht verlangen könne, dass IP-Adressen überhaupt nicht gespeichert werden.

Dieses Urteil soll nun vom BGH (Az.: III ZR 146/10) aufgehoben und an das OLG zurückverwiesen worden sein, wie Patrick Breyer vom AK Vorrat berichtet. Auf der Website des Bundesgerichtshofs findet man dazu aber noch nichts.

Sollte der BGH selbst die kurzfristige Speicherung von IP-Adressen für unzulässig erachten, würde dies wohl das Ende der Massenabmahnungen im Bereich des Filesharings bedeuten, weil die Internet Service Provider damit faktisch keine Auskünfte mehr dazu erteilen könnten, welche ihrer Kunden zu einem bestimmten Zeitpunkt mit einer bestimmten IP-Adresse online waren. Für eine solche Schlussfolgerung ist es derzeit allerdings noch zu früh. Man muss vielmehr zunächst die Urteilsbegründung des BGH abwarten, um zu sehen, was der Grund für die Zurückverweisung an das Berufungsgericht war.