Internet-Law

In der Diskussion um die Neuregelung der sog. Bestandsdatenauskunft nach dem TKG nimmt die fragwürdige und falsche Berichterstattung leider zu.

Das Portal netzpolitik.org behauptet zum wiederholten Mal, dass eine Abhörschnittstelle geschaffen werden soll, die dafür sorgt, dass “die Identifizierung von Personen anhand ihrer IP-Adresse im Internet zukünftig für deutsche Behörden per Knopfdruck” möglich werden soll. Das suggeriert, die Ermittlungsbehörden könnten künftig automatisiert und direkt Bestandsdaten bei den TK-Providern abrufen.

Das ist aber nicht der Fall. Richtig ist vielmehr, dass das Gesetz eine vollautomatisierte Abfrage nicht ermöglicht. Jedes Auskunftsverlangen muss vom Provider durch eine verantwortliche Fachkraft einzeln darauf geprüft werden, ob die Anfrage von einer zuständigen Stelle unter Berufung auf eine einschlägige gesetzliche Befugnisnorm erfolgt.

Noch absurder ist leider die Berichterstattung, dass sich der Staat mit der Neuregelung Zugriff auf Banking-PINs verschaffen würde. Offenbar hat man hierbei die Begriffe PIN (und PUK) dahingend missverstanden, dass es sich hierbei um Zugangsdaten zum Online-Banking handeln würde.

Das Gesetzesvorhaben ist nach wie vor kritikwürdig, aber haarsträubende Falschbehauptungen wie die oben geschilderten, tragen nur zur Desinformation bei.

Die sog. Bestandsdatenauskunft von TK-Anbietern gegenüber Sicherheits- und Strafverfolgungsbehörden muss wegen einer Entscheidung des Bundesverfassungsgerichts neu geregelt werden. Darüber hatte ich im letzten Jahr bereits ausführlich berichtet.

Der Gesetzesentwurf befindet sich mittlerweile im Gesetzgebungsverfahren, der Innenausschuss hat heute dazu eine Sachverständigenanhörung durchgeführt. Die Einschätzungen der Sachverständigen waren erwartungsgemäß unterschiedlich.

Für lesenswerte halte ich die schriftliche Stellungnahme von Prof. Matthias Bäcker, der die Ansicht vertritt, dass der Entwurf einer Neufassung des § 113 TKG teils die Kompetenzordnung des Grundgesetzes verletzt, reglungsbedürftige Fragen nicht regelt und deshalb gegen Grundrechte verstößt.

Bäcker geht insbesondere davon aus, dass der Bund (im TKG) abschließend regeln muss, aus welchen Anlässen und zu welchen Zielen die Daten übermittelt werden dürfen und dies nicht den fachspezifischen Regelungen von Bund und Ländern überlassen werden darf. Denn der Zweckbindungsgrundsatz erfordert laut Bäcker, dass eine solche Regelung unmittelbar im TKG erfolgt. Der Entwurf regelt aber in 113 Abs. 3 TKG-E nur, an welche Behörden die Daten übermittelt werden dürfen, nicht aber, unter welchen Voraussetzungen dies zulässig ist.

Ferner hält Bäcker beispielsweise auch die geplante Abfrageermächtigung im BKA-Gesetz für verfassungswidrig, weil die in § 7 Abs. 3 BKAG-E enthaltene Ermächtigung dem Bundeskriminalamt in seiner Funktion als Zentralstelle eine zu weitreichende Befugnis zu Bestandsdatenabrufen im Vorfeld konkreter Gefahren oder strafprozessualer Verdachtslagen einräumt. Die vorgesehene Regelung ermöglicht dem BKA laut Bäcker Bestandsdatenabfragen zur Unterstützung von kriminalstrategischen Analysen zu nutzen, die es unabhängig von konkreten Verdachtsmomenten durchführt kann.

Darin könnte man eine Art kleine Vorratsdatenspeicherung durch die Hintertür sehen. Dies ist jetzt allerdings meine eigene Schlussfolgerung und nicht die von Bäcker. Denn wenn das BKA aufgrund einer zu weitreichenden Ermächtigungsnorm verdachtsunabhängig Daten anfordern – und anschließend natürlich auch speichern – kann, wird damit in gewissem Maße faktisch auch eine anlassunabhängige Speicherung von Daten ermöglicht, die später u.U. unkontrolliert für andere strafprozessuale oder präventive Zwecke Verwendung finden könnten.

Netzpolitik.org erläutert in einem aktuellen Blogbeitrag, dass die Telekom und Kabel Deutschland das Produkt “Service Control Engine” von Cisco einsetzen, das eine Deep Packet Inspection (DPI) ermöglicht. Mittels DPI werden sämtliche transportierten Datenpakete systematisch ausgelesen und analysiert. CCC-Mitglied Rüdiger Weis hat das kürzlich gegenüber der taz sehr anschaulich erläutert.

Totalitäre Staaten wie China und jetzt auch Russland benutzen DPI dazu, das Internet zu überwachen und zu zensieren. In Deutschland setzen Provider DPI nach eigenen Angaben dazu ein, um beispielsweise Filesharing auszubremsen oder um Internettelefonie (Skype) zu unterbinden, wenn der von dem Kunden gebuchte Tarif eine solche Nutzung vertraglich nicht zulässt.

Zu dem Thema hatte ich kürzlich bereits gebloggt und die Rechtsansicht vertreten, dass der Einsatz von DPI gegen § 88 TKG verstößt und damit in Deutschland unzulässig ist.

Die Einhaltung des Fernmeldegeheimnisses ist nach dem TKG in der Tat allerdings nicht als Aufgabe der Bundesnetzagentur definiert, weshalb die von netzpolitik.org geschilderte Reaktion der Behörde formal nicht zu beanstanden ist. Es stellt sich hier dennoch die Frage, ob sich der Staat einfach raushalten kann, wenn er erkennt, dass deutsche TK-Anbieter systematisch gegen das (einfachgesetzliche) Fernmeldegeheimnis verstoßen. Denn der Staat hat natürlich auch eine Schutzpflicht für die Grundrechte seiner Bürger. Insoweit stellt sich die Frage, ob das Fernmeldegeheimnis des TKG gesetzlich ausreichend abgesichert ist oder ob der Gesetzgeber nicht doch die Einhaltung des Fernmeldegeheimnisses und eine Sanktionierung von Verstößen behördlicherseits sicherstellen müsste.

Nachdem der Straftatbestand des § 206 StGB erst dann eingreift, wenn Informationen, die dem Fernmeldegeheimnis unterliegen an einen anderen weitergegeben werden, stellt der Verstoß gegen § 88 TKG derzeit wohl (nur) eine zivilrechtliche Verletzung der Rechte des Providerkunden dar, gegen die Unterlassungs- und Schadensersatzansprüche in Betracht kommen.

Sascha Lobo schreibt in seiner Kolumne bei SPON, dass man ein Telemediengeheimnis bräuchte, quasi als Ergänzung zum Brief- und Fernmeldegeheimnis. Der Grund für Sascha Lobos Erregung ist der Umstand, dass Facebook nach Ansicht Lobos die Chatkommunikation seiner Nutzer flächendeckend aufzeichnet und analysiert. Hierzu verweist Lobo u.a. auf einen Artikel in der SZ und beendet seinen Kommentar mit den Worten:

“Wir brauchen ein Telemediengeheimnis. Die Eltern des Grundgesetzes hätten es so gewollt”

Jetzt besteht das verfassungsrechtliche Problem zunächst darin, dass Grundrechte nur im Verhältnis zwischen Staat und Bürger gelten. Nachdem Facebook aber keine Behörde oder staatliche Stelle ist, kann es auch nicht (unmittelbar) an Grundrechte gebunden sein. Selbst ein neues Grundrecht würde also nicht unmittelbar gegenüber Facebook helfen.

Deshalb gibt es in § 88 TKG ergänzend das einfachgesetzliche Fernmeldegeheimnis – das manche etwas moderner auch Telekommunikationsgeheimnis nennen – durch das sog. Diensteanbieter verpflichtet werden. Dem Fernmeldegeheimnis unterliegt sowohl der Inhalt der Kommunikation als auch der Umstand, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war.

Facebook ist – soweit es Kommunikation ermöglicht – auch Diensteanbieter im Sinne des TKG, denn Telekommunikation ist der technische Vorgang des Aussendens, Übermittelns und Empfangs von Nachrichten. Und diese technische Dienstleistung erbringt Facebook für seine Nutzer. Das Chat-System und das Direktnachrichtensystem von sozialen Medien unterliegt daher dem Fernmeldegeheimnis des TKG. Wir brauchen also keineswegs ein Telemediengeheimnis. Es besteht insoweit keine Gesetzeslücke.

Was wir hier vielmehr beobachten können, ist ein altbekanntes Problem speziell im Umgang mit US-Anbietern, das ich als Vollzugsdefizit bezeichnen würde. Anbieter wie Facebook oder Gooogle verstoßen häufiger gegen deutsches und europäisches Recht, u.a. auch beim Datenschutz. Der deutsche Staat, wie auch die EU, sind in vielen Fällen nur nicht mehr dazu in der Lage, ihr Recht gegenüber diesen Anbietern durchzusetzen.

Der Arbeitskreis Vorratsdatenspeicherung berichtet aktuell über eine Erhebung der Bundesnetzagentur zur Praxis der Speicherung von Verbindungs- und Staandortdaten durch TK-Unternehmen.

Danach werden z.B. Standortdaten von der Telekom für 30 Tage und von Vodafone sogar für 210 Tage gespeichert. Auch bei Verbindungsdaten ist – selbst bei Flatrates – eine Speicherdauer von 30 Tagen nicht ungewöhnlich, einige Anbieter speichern sogar noch deutlich länger.

Ähnliche Zahlen – die allerdings im Detail differieren – ergeben sich aus einem Leitfaden der Generalstaatsanwaltschaft München.

Wenn man sich dazu noch vor Augen führt, welch eine Fülle an Einzelbefugnissen im Bereich der Telekommuniaktion-Überwachung tatsächlich existiert, ergibt sich in der Gesamtschau ein durchaus beunruhigendes Bild.

Vor einigen Tagen wurde bekannt, dass die Geheimdienste im Jahr 2011 ca. 37 Millionen E-Mails überprüft haben, weil darin Begriffe wie “Bombe” auftauchten. Diese Zahlen besagen allerdings auch, dass noch wesentlich mehr gescannt wurde und “nur” in 37 Millionen Mails diejenigen Suchbegriffe enthalten waren, nach denen der Bundesnachrichtendienst gesucht hatte und von denen er glaubt, dass sie beispielsweise zur Früherkennung der Gefahr terroristischer Anschläge taugen. Die gescannten Mails, die keine der vorgegebenen Suchbegriffe enthielten, tauchen in der Statistik von vornherein nicht auf.

Die Rechtsgrundlage für das Vorgehen des Bundesnachrichtendiensts, das in der Presse gerne elektronischer Staubsauger genannt wird, findet sich in  § 5 des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10).

Der BND darf für diese “strategischen Maßnahmen”, durch die das Fernmeldegeheimnis eingeschränkt wird, nur solche Suchbegriffe verwenden, die geeignet sind zur Aufklärung von Sachverhalten über den in der Anordnung genannten Gefahrenbereich beizutragen. Das sind aber gerade so allgemeine Begriffe wie Bombe, Al Quaida oder Anschlag.

Wie sich dem Bericht des Parlamentarischen Kontrollgremiums vom 10.02.2012 entnehmen lässt, hat das Innenministerium im Jahr 2010 derartige Maßnahmen für drei große Bereiche (internationaler Terrorismus, internationale Verbreitung von Kriegswaffen sowie unerlaubter Außenwirtschaftsverkehr mit Waren, Datenverarbeitungsprogrammen und Technologien und gewerbs- oder bandenmäßig organisiertes Einschleusen von Ausländern) genehmigt.

Im Jahr 2010 hat die Bundesregierung allein im Bereich “Internationaler Terrorismus” 2752 (!) allgemeine Suchbegriffe zugelassen. Anhand dieser Suchbegriffe hat der BND den Telekommunikationsverkehr gescannt und nur für den Terrorismusbereich 10 213 329 Vorgänge näher untersucht, davon 10 208 525 E-Mails.

Grundsätzlich müssen diese Maßnahmen nach dem Gesetz zwar auf  internationale Telekommunikationsbeziehungen beschränkt werden. Wie man diese Einschränkung aber speziell beim E-Mail-Verkehr umsetzen und einhalten will, ist unklar. Die Ansicht des Abgeordneten Ströbele, dass Deutsche kaum betroffen sein dürften, kann man deshalb getrost als naiv bezeichnen. Es muss vielmehr davon ausgegangen werden, dass der BND zunächst unterschiedslos (nahezu) den gesamten E-Mail-Verkehr scannt.

Diese flächendeckende Form der Telekommunikationsüberwachung, die zutreffend als elektronischer Staubsauger bezeichnet wird – weil zunächst alles angesaugt wird – wurde 1999 vom Bundesverfassungsgericht in einer äußerst fragwürdigen Entscheidung abgesegnet. Damals war allerdings das Ausmaß der Überwachung nicht vorhersehbar. Das Gericht ging vielmehr davon aus, dass die täglich erfassten Telekommunikationsvorgänge aus technischen Gründen auf 15 000 beschränkt bleiben würden. Tatsächlich sind es mittlerweile über 100 000 jeden Tag.

Sowohl die parlamentarische, als auch die gerichtliche Kontrolle hat sich in diesem Bereich also als gänzlich wirkungslos erwiesen. Das Grundrecht aus Art. 10 GG ist zumindest mit Blick auf die Geheimdienste nur noch eine leere Hülle. Die Dienste können praktisch nach Belieben agieren, zumal die Bundesregierung die ohnehin sehr weit gefassten Anordnungen nach § 5 G 10 äußerst großzügig erlässt.

Ein schwäbischer Strafrichter hat zu einer ungewöhnlichen Maßnahme gegriffen, die aber in Zukunft durchaus Schule machen könnte. Er hat die Beschlagnahme eines Facebook-Accounts angeordnet, um an die Kommunikation eines Angeklagten zu gelangen. Der Amtsrichter erhofft sich davon Anhaltspunkte für die Aufklärung eines Einbruchsdiebstahls. Der Beschlagnahmebeschluss umfasst das Benutzerkonto bzw. die ein- und ausgehenden Nachrichten, sowie die bereits gespeicherten Nachrichten.

Die Maßnahme ist auf Basis des deutschen Rechts grundsätzlich denkbar. Sowohl das Bundesverfassungsgericht als auch der Bundesgerichtshof haben entschieden, dass E-Mails, die sich auf dem Mailserver des Providers befinden, nach der Strafprozessordnung beschlagnahmt werden können. Gleiches dürfte grundsätzlich auch für die Beschlagnahme der nicht öffentlich geführten Kommunikation in sozialen Netzwerken wie Facebook gelten.

Das Amtsgericht Reutlingen steht allerdings vor dem Problem, dass Facebook offiziell in Deutschland keine selbständige Niederlassung unterhält. Der Jugendrichter hat von Facebook hierzu die wenig überraschende Antwort erhalten, dass deutsche Angestellte von Facebook nicht in der Lage seien auf die Nutzerdaten zuzugreifen. Facebook hat vielmehr auf seine europäische Niederlassung in Irland verwiesen. Eine Antworttechnik Facebooks, die man aus dem Datenschutzrecht kennt.

Die weitere Entwicklung des Falles dürfte also durchaus spannend sein. Wenn es dem Amtsrichter gelingt, die Nutzerdaten aus Irland zu bekommen, dann wird es künftig wohl häufiger eine Beschlagnahme von Facebook-Account geben.

Update:
Den Beschlagnahmebeschluss finden Sie hier.

Das Bundeswirtschaftsministerium hat eine vergleichende Studie über Modelle zur Versendung von Warnhinweisen durch Internet-Zugangsanbieter an Nutzer bei Urheberrechtsverletzungen – je nach Ausgestaltung als Two-Strikes-, Three-Strikes- oder nach französischem Vorbild (Hadopi) ausgestaltetes Modell bezeichnet – veröffentlicht.

Das von Prof.  Rolf Schwartmann vorgelegte Gutachten stellt zunächst eine rechtsvergleichende Untersuchung an und befasst sich anschließend auch mit der Frage, ob ein solches Modell in Deutschland möglich wäre (S. 303 ff. des Gutachtens) und insbesondere mit dem deutschen Verfassungsrecht in Einklang stünde.

Das lobbyfreundliche Gutachten Schwartmanns schlägt für Deutschland ein Modell vor, das an das britische Konzept angelehnt ist. Die Zugangsprovider sollen verpflichtet werden, Warnhinweise an solche Anschlussinhaber zu versenden, deren IP-Adresse im Zusammenhang mit einer ihnen gemeldeten Rechtsverletzung ermittelt wurde. Die Provider sollen ergänzend eine gegenüber Dritten anonymisierte Verstoßliste führen und diese Liste ab einer bestimmten Anzahl von Verstößen, dem Rechteinhaber bekannt geben. Dieser kann dann vom Provider, wie derzeit bereits üblich, im Wege eines gerichtlichen Auskunftsverlangens die Bekanntgabe von Namen und Anschrift des betroffenen Nutzers verlangen und anschließend im Wege einer Abmahnung und ggf. gerichtlich gegen den Nutzer vorgehen.

Dieses Modell könnte allerdings in Widerspruch zu einer aktuellen Entscheidung des EuGH stehen, die von Schwartmann kürzlich in durchaus beachtenswerter Art und Weise kommentiert wurde.

Das Gutachten hat jedenfalls erkannt, dass diejenigen Modelle, an deren Ende eine Sperrung des Internetzugangs steht, schwerlich mit den deutschen Grundrechten in Einklang zu bringen sind.

Der Vorschlag Schwartmanns führt allerdings zu einer Verfestigung und Ausweitung des derzeitigen Konzepts der Filesharing-Abmahnungen, das sich unter dem Motto “Turn Piracy Into Profit” zu einem weitgehend fragwürdigen Geschäftsmodell entwickelt hat. Für Internetzugangsprovider dürfte die Führung einer Verstoßliste – in der ja sämtliche einem Provider gemeldeten Verstöße erfasst werden müssen – außerdem einen beträchtlichen Aufwand mit sich bringen.

Noch bedenklicher ist allerdings der Umstand, dass die längerfristige Speicherung im Rahmen einer Verstoßliste faktisch eine Kombination aus einer Vorratsdatenspeicherung und einem Quick-Freeze darstellt. Der Provider speichert quasi auf Zuruf die Daten vermeintlicher Einzelverstöße – ohne jede Prüfung wohlgemerkt – und führt diese in einer Verstoßliste zusammen, die ein Rechteinhaber später abrufen kann. Diese Liste wird für Rechteinhaber damit praktisch auf Vorrat gespeichert. Die Frage wäre dabei allerdings dann auch, ob diese Verstoßliste sämtliche gemeldeten Rechtsverstöße verschiedener Rechteinhaber umfasst oder ob nach Rechteinhabern getrennte Verstoßlisten geführt werden müssten. Dieses System dürfte es dem Betroffenen, in noch stärkerem Maße als dies schon aktuell beim Filesharing der Fall ist,  erschweren bzw. unmöglich machen, sich gegen eine Inanspruchnahme als Verletzer zur Wehr zu setzen. Bereits das aktuelle System der Beauskunftung und anschließenden Inanspruchnahme ermöglicht dem Betroffenen in Fällen des Filesharing in der Praxis keinen ausreichenden, effektiven Rechtsschutz mehr. Diese Schieflage würde durch den Vorschlag Schwartmanns noch verstärkt werden.

Ein Artikel auf ZEIT Online, der freilich keine Informationen enthält, die nicht ohnehin längst öffentlich bekannt waren, hat für Aufregung in den Blogs gesorgt. Der Autor des Artikels hat mich auf Nachfrage hin auf Christian Bahls verwiesen, der auf dem 28C3 einen Vortrag zum Thema White-IT gehalten hat. Aber auch dessen Handout fördert keine wirklich neuen Erkenntnisse zu Tage.

Dass versucht wird, Tools zu entwickeln, die kinderpornografische Inhalte automatisiert aufspüren sollen, ist wohl kaum mehr eine Meldung wert. Wir kennen das Konzept auch aus dem Urheberrecht seit Jahren. Rechteinhaber scannen das Web und P2P-Netzwerke auf Teufel komm raus nach rechtsverletzendem Content. Hieraus resultieren allein in Deutschland hunderttausende von Abmahnungen jährlich.

Die Frage ist allenfalls die, wer solche Software einsetzen soll, wenn es um die Erforschung von Straftaten geht und in welchen Bereichen diese Tools zum Einsatz kommen sollen. Und genau an diesem Punkt ist die Darstellung, die man bei ZEIT Online geboten bekommt, doch eher dürftig.

Zwei Aspekte sollte man aber im Hinterkopf behalten. Die Aufklärung und Erforschung von Straftaten ist Sache von Polizei und Staatsanwaltschaft. Es geht anders als im Urheberrecht nicht um den Schutz und die Verteidigung zivilrechtlicher Rechtspositionen. Die Erforschung von Kommunikationsinhalten stellt jedenfalls außerhalb des frei zugänglichen Teils des Netzes einen Eingriff in das Fernmeldegeheimnis dar.

Dass aufgrund des Artikels bei ZEIT Online gar über einen Neubeginn der Internet-Zensur-Debatte spekuliert wird, obwohl es keine wirklich neuen Erkenntnisse und Informationen gibt, ist aber wohl auch nur ein Reflex auf eine aufgeregte Berichterstattung, dem man sich nicht unkritisch hingeben muss.

Die juristische Fachzeitschrift K&R hat einen ganz aktuellen Aufsatz (K&R 2011, 681) von Frank Braun online veröffentlicht, der sich mit der Frage beschäftigt, ob ein rechtmäßiger Einsatz von Trojanern zum Zwecke der Strafverfolgung überhaupt in Betracht kommt und ob die Vorschriften der §§ 100a, 100b StPO eine ausreichende Grundlage für eine sog. Quellen-TKÜ darstellen.

Das Fazit des Autors ist eindeutig:

Die Rechtslage war stets klar: Die Nutzung von Staatstrojanern und der damit verbundene Grundrechtseingriff sind unzulässig, solange nicht 1. eine rechtskonforme Software und 2. eine den Vorgaben des BVerfG entsprechende Ermächtigungsnorm existiert.

Braun betont, dass technisch gewährleistet werden müsse, dass die Funktionen des Trojaners auf eine Quellen-TKÜ beschränkt bleiben, dass aber ungeachtet dessen, die §§ 100a, 100b StPO in ihrer jetzigen Ausgestaltung keine ausreichende Rechtsgrundlage für eine solche Quellen-TKÜ darstellen.

Diese Ansicht deckt sich mit der herrschenden Meinung in der juristischen Literatur, auch wenn einige Gerichte das anders entschieden haben, viele Staatsanwaltschaften dies anders praktizieren und auch in der politischen Diskussion Gegenteiliges behauptet wird.