Onlinerecht und Bürgerrechte 2.0
TK-Überwachung: Auskunftspflicht über Bestandsdaten soll neu geregelt werden
Markenrecht: Kann das Zeichen @ als Marke eingetragen werden?
Urheberrecht/Filesharing: Gesetzesinitiativen zur Beschränkung der Störerhaftung
Datenschutz: Wie sinnvoll und wie demokratisch ist die geplante EU-Datenschutzgrundverordnung?
Soziale Netze: Wie Facebook mit den Ermittlungsbehörden zusammenarbeitet
Die Bundesregierung hat einen Gesetzesentwurf zur Änderung des TKG und zur Neuregelung der Bestandsdatenauskunft beschlossen, wie u.a. Heise berichtet.
Es geht hierbei insbesondere um die Auskunftserteilung durch Provider und TK-Unternehmen gegenüber Strafverfolgungs- und Sicherheitsbehörden. Betroffen hiervon sind die sog. Bestandsdaten. Das sind die Grunddaten des Vertragsverhältnisses, also u.a. Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse, aber auch Kenn- und Passwörter. Umfasst sind prinzipiell alle statischen Daten, die providerseitig gespeichert werden. Die Gesetzesbegründung nennt insoweit beispielhaft auch PIN und PUK.
Die Neuregelung ist deshalb erforderlich, weil das BVerfG Anfang des Jahres die entsprechenden Regelungen des TKG nicht als Eingriffsnormen zugunsten der Behörden gewertet hat, weshalb die langjährige Praxis speziell der Strafverfolgungsbehörden Auskünfte bei Providern einzuholen ohne ausreichende Rechtsgrundlage erfolgte und damit letztlich rechtswidrig war.
An dieser Stelle muss auch der Aussage der Bundesregierung, die Regelung würde keine neuen Befugnisse für Strafverfolgungs- oder Sicherheitsbehörden schaffen, entschieden widersprochen werden. Mit § 100j StPO wird sehr wohl eine gänzlich neue Eingriffsgrundlage geschaffen, die es bislang nicht gab. Dass die Praxis diese Eingriffe bereits in der Vergangenheit ohne Rechtsgrundlage und damit rechtswidrig praktiziert hat, ändert hieran nichts. Die Neuregelung dient letztlich also der Legalisierung einer bereits gängigen, aber bislang rechtswidrigen Behördenpraxis.
Diese Regelung schafft in der Strafprozessordnung erstmals auch die Möglichkeit, für Zwecke der Strafverfolgung aufgrund einer ermittelten dynamischen IP-Adresse vom Provider Auskunft darüber zu verlangen, welcher seiner Kunden die IP-Adresse(n) zu bestimmten Zeitpunkten genutzt hat. Weil dies nach Ansicht des BVerfG einen Eingriff in das Fernmeldegeheimnis beinhaltet, hat der Gesetzgeber klargestellt, dass hierzu auch Verkehrsdaten ausgewertet werden dürfen.
Als besonderer Aufreger hat sich der Vorschlag eines neuen § 113 Abs. 5 S. 2 TKG erwiesen, durch den größere Provider verpflichtet werden sollen, eine elektronische Schnittstelle zur Bestandsdatenabfrage zu schaffen. Man sollte hierzu allerdings berücksichtigen, dass eine vollautomatisierte Abfrage nicht vorgesehen ist. Denn jedes Auskunftsverlangen ist vom Provider durch eine verantwortliche Fachkraft darauf zu prüfen, ob die Anfrage von einer zuständigen Stelle unter Berufung auf eine einschlägige gesetzliche Befugnisnorm erfolgt. Unter diesen Voraussetzungen sehe ich die Eingriffsintensität aber auch nicht höher, als bei der gängigen Praxis der manuellen Auskunft, bei der Staatsanwaltschaften oder Polizeibehörden oftmals per Fax ein Auskunftsersuchen stellen und anschließend die Auskunft auf demselben Weg erhalten. Wenn man die m.E. fragwürdige Begründung des BVerfG zur Verfassungsgemäßheit des § 112 TKG gelesen hat, besteht kein Grund zur Annahme, das BVerfG könnte die geplante Neuregelung des § 113 Abs. 5 TKG für verfassungswidrig halten.
Update:
Was netzpolitik.org und auch Udo Vetter zur elektronischen Schnittstelle schreiben, klingt zwar spektakulär, entspricht aber nicht den Fakten. Eine vollautomatische Abfrage ist gerade nicht vorgesehen. Es ist vielmehr so, wie von mir oben beschrieben.
Wer https://www.facebook.com/records aufruft, gelangt auf eine Seite mit dem Titel „Law Enforcement Online Requests“. Dort kann man als Polizeibehörde eine Abfrage der von Facebook gespeicherten Bestands- und Verkehrsdaten beantragen. Wenn man dort eine E-Mail-Adresse die zu einer deutschen Polizeibehörde gehört, eingibt – z.B. …@polizei.hessen.de – dann erhält man eine automatische Antwortmail mit einem Tokenlink. Wenn man diesen Link aktiviert, gelangt man anschließend auf ein internes Portal von Facebook für die Abfrage von Bestands- und Nutzungsdaten. Es gibt dort eine Suchfunktion namens „Record Request“ in der u.a. Angaben zur anfragenden Stelle und zum Tatvorwurf gemacht werden müssen, sowie dazu, aus welchem Zeitraum man Daten benötigt.
Im Anschluss erhält die anfragende Stelle von Facebook eine Eingangsbestätigung und eine Fallnummer. Über das Portal lässt sich der Status der Anfrage bis zur Beantwortung durch Facebook nachverfolgen. Das Prozedere ist u.a. in einem Infoblatt des hessischen LKA – das mir vorliegt – detailiert beschrieben.
Daneben hat Facebook für Polizei- und Strafverfolgungsbehörden ein Formular zum Anfordern von Daten eines Facebook-Profils sowie ein gesondertes Formular zur Offenlegung von Daten in Notfällen entwickelt. Die Details sind in den „Facebook-Richtlinien für Strafverfolgungsbehörden“ erläutert, einem Dokument, das Facebook als vertraulich und rechtlich geschützt bezeichnet.
Wie großzügig oder restriktiv Facebook mit diesen Tools umgeht und inwieweit hier Unterschiede nach der Art der anfragenden (nationalen) Behörden gemacht werden, ist mir leider nicht bekannt. Facebook kooperiert jedenfalls äußerst eng mit den Sicherheits- und Strafverfolgungsbehörden. Wenn man außerdem berücksichtigt, dass Facebook möglicherweise auch die Chatkommunikation seiner Nutzer belauscht und aufzeichnet, dürfte sich hier für Ermittler ein interessanter Datenpool auftun.
In einem Interview mit der taz erläutert CCC-Mitglied Rüdiger Weis die Überwachungstechnik Deep Packet Inspection (DPI) und spricht von einer Internetversion des Nacktscanners. Weis erklärt außerdem, dass es Hinweise geben würde, wonach auch deutsche Mobilfunkanbieter und Provider DPI einsetzen. Diese Aussagen decken sich mit den Erkenntnissen der EU-Behörde BEREC, die Anfang des Jahres einen Bericht über Providerpraktiken zum “Traffic Management” vorgelegt hat.
Wenn man eine Parallele zur analogen Welt ziehen will, dann ließe sich der Einsatz von DPI wohl am ehesten damit vergleichen, dass die Post sämtliche von ihr transportierten Postsendungen vor der Auslieferung systematisch liest und die Inhalte analysiert.
Deep Packet Inspection stellt nach meiner Einschätzung einen Verstoß gegen das Fernmeldegeheimnis des § 88 TKG dar. § 88 Abs. 3 TKG normiert ein Kenntnisnahmeverbot des TK-Anbieters sowohl hinsichtlich des Inhalts als auch der näheren Umstände der Telekommunikation. Das Verbot ist somit enger als das der Strafnorm des § 206 StGB, weil dort die bloße Kenntnisnahme noch nicht sanktioniert wird. Das Gesetz spricht zwar in § 88 Abs. 3 TKG davon, dass es dem Provider nur verboten ist, sich über das für die Erbringung des Dienstes erforderliche Maß hinaus Kenntnis zu verschaffen. Daraus lässt sich aber keine Gestattung einer Deep Packet Inpection ableiten. Denn jeder TK-Dienst kann ohne weiteres und ohne Einschränkung auch ohne den Einsatz von DPI erbracht werden. Für die Erbringung der TK-Dienstleistung ist es auch unter dem Aspekt der Systemsicherheit nicht erforderlich, Technologien wie DPI einzusetzen.
Es wäre also durchaus interessant konkret festzustellen, welche Provider solche Technologien einsetzen und in welchem Umfang. Denn als Kunde könnte man dann eine Verletzung des Fernmeldegeheimnisses gegenüber seinem Anbieter geltend machen.
Der letzte Woche zu Ende gegangene 69. Deutsche Juristentag hat eine ganze Reihe fragwürdiger und diskussionsbedürftiger Beschlüsse gefasst, die auf eine stärkere Regulierung und Überwachung des Internets abzielen. Diese Beschlüsse werden von den Fachabteilungen des DJT gefasst, die mir angesichts dessen, was inhaltlich abgestimmt wurde, doch deutlich von einer konservativen und nicht gerade liberalen Grundhaltung dominiert zu sein scheinen.
Die für das Internet relevanten Beschlüsse des DJT finden sich in dem Beschlusspapier u.a. auf S. 9 – 11 (Strafrecht) und S. 23 ff. (IT- und Kommunikationsrecht).
Der DJT spricht sich für eine Vorratsdatenspeicherung, Onlinedurchsuchung (in engen Grenzen) und Quellen-TKÜ aus. Ein Recht auf anonyme Internetnutzung lehnt der DJT ab. Gefordert wird ferner, dass bei der Verarbeitung personenbezogener Daten von Minderjährigen eine Einwilligung des einsichtsfähigen Minderjährigen und seines gesetzlichen Vertreters notwendig sein soll. Das würde natürlich u.a. eine Nutzung sozialer Netze durch Minderjährige erheblich erschweren und ist relativ weit von der Lebenswirklichkeit entfernt.
Eine Auswahl derjenigen Beschlüsse, die mir für das Internet wesentlich erscheinen, habe ich nachfolgend zusammengestellt. Ob der Beschlussvorschlag angenommen oder abgelehnt wurde, ergibt sich aus dem Klammerzusatz am Ende.
Überwachungstechnologien:
Der Gebrauch der existierenden Technologie für eine flächendeckende Überwachung, Filterung und Kontrolle jeglicher elektronischer Kommunikation ist allenfalls mit äußerster Zurückhaltung anzuwenden. Sind Überwachungs- und Filterbefugnisse erst einmal gewährt, so entziehen sie sich einer effektiven Kontrolle durch Justiz und Parlament. (abgelehnt)Quellen-Telekommunikationsüberwachung:
aa) Ein heimliches Eindringen in ein informationstechnisches System zum Zwecke einer repressiven Quellen-Telekommunikationsüberwachung sollte als Ausgleich für die technisch meist unmögliche Telekommunikationsüberwachung entsprechend den Voraussetzungen der §§ 100a, 100b StPO möglich sein. (angenommen)bb) Die hierfür eingesetzte Software muss vorab unabhängig zertifiziert werden, z.B. durch den Datenschutzbeauftragten, um sicherzustellen, dass die technischen und rechtlichen Anforderungen eingehalten und die beim Einsatz dieser Software unvermeidlichen Gefahren beherrschbar sind. (angenommen)
cc) Es sollte eine gesetzliche Pflicht geschaffen werden, in jedem Einzelfall nachträglich den Datenschutzbeauftragten zu informieren. (abgelehnt)
Online-Durchsuchung:
aa) Ein heimliches Eindringen in ein informationstechnisches System zum Zwecke einer repressiven Online-Durchsuchung ist angesichts der Möglichkeit einer Verschlüsselung der gespeicherten Daten ein wichtiges Ermittlungsinstrument und sollte daher, wenn auch unter hohen, verfassungsrechtlich vorgegebenen Eingriffsschwellen (vgl. BVerfGE 120, 274) erlaubt werden. (angenommen)bb) Die hierfür eingesetzte Software muss vorab unabhängig zertifiziert werden, z.B. durch den Datenschutzbeauftragten, um sicherzustellen, dass die technischen und rechtlichen Anforderungen eingehalten und die beim Einsatz dieser Software unvermeidlichen Gefahren beherrschbar sind. (angenommen)
cc) Es sollte eine gesetzliche Pflicht geschaffen werden, in jedem Einzelfall nachträglich den Datenschutzbeauftragten zu informieren. (abgelehnt)
Vorratsdatenspeicherung:
Telekommunikationsanbieter sollten generell und soweit verfassungsrechtlich zulässig nach Maßgabe der RL 2006/24/EG (EU-Vorratsdatenspeicherungsrichtlinie) verpflichtet werden, bestimmte Verkehrsdaten zu sammeln und für mindestens sechs Monate zu speichern. (angenommen)Anonymität:
a) Im Interesse einer effektiven Durchsetzung des Rechts auf freie Meinungsäußerung im Internet besteht ein schützenswertes Recht der Internetnutzer auf Anonymität. Ansprüche Dritter wegen Rechtsverletzungen durch Internetnutzer sollen weitestmöglich hinter dem Recht auf Anonymität zurückstehen, Identifizierungspflichten von Internetdiensten sind entsprechend zu beschränken (abgelehnt)b) Ein „Recht auf anonyme Internet-Nutzung“ ist nicht anzuerkennen. Bei aktiver Nutzung des Internets mit eigenen Beiträgen darf der Nutzer nicht anonym bleiben, sondern muss im Rahmen einer Verwendung von Pseudonymen zumindest identifizierbar sein. Nur dann lassen sich Rechtsverstöße wirksam verfolgen. Internet-Dienste sollen den Klarnamen und die Internetverbindung ihrer Nutzer registrieren. (angenommen)
Datenschutz, Persönlichkeitsrecht, Störerhaftung:
Für die wirksame (datenschutzrechtliche, Anm. des Verf.) Einwilligung Minderjähriger ist sowohl die Zustimmung der gesetzlichen Vertreter als auch die Einwilligung des einsichtsfähigen Minderjährigen erforderlich. (angenommen)Bei behaupteten Persönlichkeitsrechtsverletzungen ist dem Betroffenen – in Anlehnung an §§ 101 UrhG, 19 MarkenG, 140b PatG – ein Auskunftsanspruch zur Benennung des Rechtsverletzers zu gewähren; Ausnahmen sind nur in verfassungsrechtlich gebotenen Fällen zuzulassen. (angenommen)
Der Störerhaftung soll ein Dienstebetreiber nur dann unterliegen, wenn er zumutbare Verhaltens-, namentlich Prüfpflichten verletzt, die nach Art des Internetdienstes unterschiedlich weitreichend sein können. Die vom BGH in der „Blogger“-Entscheidung (Urt. v. 25.10.2011 – VI ZR 93/10) aufgegriffenen Grundsätze – keine Verantwortlichkeit des Providers, wenn er nach Meldung der Rechtsverletzung durch den Rechtsinhaber die Veröffentlichung löscht – sind fortzuentwickeln. Für Äußerungen auf Kommunikationsplattformen sollte ein „Notice-and-take-down“-Verfahren eingeführt werden, in dem auf Meldung eines potentiell Verletzten zunächst der Äußernde zur Stellungnahme aufgefordert wird. Nimmt er nicht in gesetzter Frist Stellung, wird seine Äußerung entfernt; andernfalls findet die rechtliche Auseinandersetzung zwischen Äußerndem und Verletztem statt. (angenommen) (…) Bei anonymen Meinungsäußerungen erfolgt eine umgehende Entfernung der Äußerung (angenommen)
Das geltende Regelungskonzept des Datenschutzes, ein Verbot der Verwendung personenbezogener Angaben mit Erlaubnisvorbehalt, ist grundsätzlich beizubehalten, aber mit deutlich erweiterten Erlaubnistatbeständen für die Internetkommunikation. Datenschutzrechtliche Anforderungen sollten bei überwiegenden Kommunikationsinteressen zurücktreten. (angenommen)
Sowohl die europäische „Datenschutz-Grundverordnung“ als auch die entsprechende nationale Regelung sollten die Verantwortlichkeit von Suchmaschinenbetreibern und deren Umgang mit personenbezogenen Daten regeln. (angenommen)
Der Bundesdatenschutzbeauftragte Peter Schaar bekommt keine Einsicht in den Quellcodes des Staatstrojaners. Der Hersteller der in Verruf gekommenen Software zur Quellen-TKÜ, die tatsächlich auch Onlinedurchsuchungen durchführen kann, DigiTask verlangt vom Bundesdatenschutzbeauftragten die Unterzeichnung einer Vertraulichkeitsverpflichtung sowie die Zahlung von EUR 1200,- pro Tag und Mitarbeiter für den Ausgleich der entstehenden Kosten. Peter Schaar hat diese Vorbedingungen im Hinblick auf seine gesetzlichen Pflichten abgelehnt, wie aus einem Schreiben Schaars an den Innenausschuss des Bundestages hervorgeht.
Dass Behörden des Bundes und der Länder im Bereich eingriffsintensiver Software mit zweifelhaften Klitschen wie DigiTask zusammenarbeiten und sich noch nicht einmal vertraglich den Zugriff auf den Quellcode und die Entwicklerdokumentation einräumen lassen, ist nicht nur lächerlich, sondern im Hinblick auf die Schutzpflichten des Staates für die Grundrechte der Bürger in höchstem Maß bedenklich. Das wird leider immer deutlicher.
Die Themen der letzten Woche bei mir im Blog:
Wen betrifft das Leistungsschutzrecht für Presseerzeugnisse eigentlich?
Sind die neuen Rundfunkbeiträge verfassungswidrig?
Alternativentwurf einer EU-Datenschutzverordnung
Hätten sich die Mitglieder von Pussy Riot auch in Deutschland strafbar gemacht?
Facebook legt Berufung gegen das Freundefinder-Urteil des LG Berlin ein
Extern:
Die Ortungswanze in der Tasche (Constanze Kurz in der FAZ über die Funkzellenüberwachung)
Hirnforscher Manfred Spitzer und Blogger Johnny Häusler haben sich diese Woche bei ZDF-Login über die „Digitale Demenz“ gestritten. Martin Lindner hat das Buch Spitzers als das entlarvt, was es ist, nämlich in weiten Teilen unwissenschaftlich (CARTA).
Und der Satz der Woche, über den speziell Verlage nachdenken sollten:
Das Leistungsschutzrecht ist eine teure Baugenehmigung für ein Mondgrundstück.
Der bayerische Datenschutzbeauftragte hat seinen Prüfbericht zur Quellen-TKÜ und damit auch zum Einsatz des sog. Bayerntrojaners vorgelegt.
In rechtlicher Hinsicht teilt der Datenschutzbeauftragte die Rechtsansicht der Konferenz der Datenschutzbeauftragten, wonach die Strafprozessordnung weder für die Quellen-TKÜ noch für die Onlinedurchsuchung eine ausreichende Rechtsgrundlage vorsieht.
Was den Bereich der Quellen-TKÜ angeht, bringt der Datenschutzbeauftragte allerdings zum Ausdruck, dass er die anderslautende Rechtsauffassung der bayerischen Strafgerichte zu respektieren hat. Im Hinblick auf darüberhinausgehende Maßnahmen, macht der Datenschützer allerdings deutlich, dass er diese für klar rechtswidrig hält. Soweit die Software über die Funktion verfügt, über eine Softwareliste alle Namen der auf dem überwachten Rechner installierten Programme auszulesen, ist das nach Einschätzung des Datenschutzbeauftragten ebenso unzulässig wie die Anfertigung und Übermittlung von Browserscreenshots.
Ob die Politik aus dieser rechtlichen Einschätzung des Bayerischen Datenschutzbeauftragten Konsequenzen ziehen wird, bleibt abzuwarten. Vermutlich wird man aber in altbekannter Manier darauf setzen, sämtliche rechtlichen Bedenken zu ignorieren.
Warum die heimliche Installation von Überwachungssoftware nach geltendem Recht nicht zulässig ist, habe ich in einem älteren Beitrag erläutert.
Nach einem Urteil des Landesarbeitsgerichts Hamm vom 10.07.2012 (Az.: 14 Sa 1711/10) können Chatprotokolle, die der Arbeitgeber bei einer Untersuchung des Arbeitsplatzrechners des Arbeitnehmers auffindet, in einem Kündigungsschutzprozess verwertbar sein, und zwar auch dann, wenn die Erlangung gegen das StGB, TKG und das BetrVG verstößt. Voraussetzung ist laut LAG, dass dem Arbeitnehmer nur eine gelegentliche private Nutzung elektronischer Ressourcen gestattet ist und der Arbeitgeber zugleich darauf hingewiesen hat, dass der Mitarbeiter keine Vertraulichkeit erwarten darf und der Arbeitgeber die Nutzung überwachen und bei gegebener Notwendigkeit die Daten einsehen kann.
Das LAG hat die Revision zum BAG zugelassen.
Die Leitsätze des Landesarbeitsgerichts lauten wie folgt:
Stützt sich der Arbeitgeber zum Nachweis des Vorwurfs, der Arbeitnehmer habe ein gegen ihn gerichtetes Vermögensdelikt begangen, auf den Inhalt von Chatprotokollen, die auf dem Arbeitsplatzrechner des Arbeitnehmers nach Ausspruch der Kündigung vorgefunden wurden, handelt es sich nicht um ein Nachschieben von Kündigungsgründen, zu dem der Betriebsrat vorher angehört werden muss.
Aus einer ggf. gegen § 206 StGB, § 88 TKG. § 32 BDSG und § 87 Absatz 1 Nummer 1 und 6 BetrVG. verstoßenden Erlangung der auf einem Arbeitsplatzrechner vorgefundenen abgespeicherten Chatprotokolle folgt kein Beweisverwertungsverbot, wenn der Arbeitgeber seinen Arbeitnehmern lediglich eine gelegentliche private Nutzung elektronischer Ressourcen gestattet und zugleich darauf hinweist, dass bei einer Abwicklung persönlicher Angelegenheiten auf elektronischen Geräten und über das Netzwerk der Mitarbeiter keine Vertraulichkeit erwarten und der Arbeitgeber die Nutzung überwachen und bei gegebener Notwendigkeit die Daten einsehen kann, die der Mitarbeiter anlegt oder mit anderen austauscht. Ein Arbeitnehmer muss, wenn er illegale Aktivitäten gegen seinen Arbeitgeber entwickelt, bei einer derart eingeschränkten Vertraulichkeit der Privatnutzung damit rechnen, dass Spuren, die er durch die Nutzung von elektronischen Ressourcen des Arbeitgebers hinterlässt, in einem Prozess gegen ihn verwendet werden.
Der Arbeitskreis Vorratsdatenspeicherung berichtet aktuell über eine Erhebung der Bundesnetzagentur zur Praxis der Speicherung von Verbindungs- und Staandortdaten durch TK-Unternehmen.
Danach werden z.B. Standortdaten von der Telekom für 30 Tage und von Vodafone sogar für 210 Tage gespeichert. Auch bei Verbindungsdaten ist – selbst bei Flatrates – eine Speicherdauer von 30 Tagen nicht ungewöhnlich, einige Anbieter speichern sogar noch deutlich länger.
Ähnliche Zahlen – die allerdings im Detail differieren – ergeben sich aus einem Leitfaden der Generalstaatsanwaltschaft München.
Wenn man sich dazu noch vor Augen führt, welch eine Fülle an Einzelbefugnissen im Bereich der Telekommuniaktion-Überwachung tatsächlich existiert, ergibt sich in der Gesamtschau ein durchaus beunruhigendes Bild.
Fachanwalt für IT- Recht und Fachanwalt für Gewerblichen Rechtsschutz in der Kanzlei SSB
