Internet-Law

Onlinerecht und Bürgerrechte 2.0

29.1.18

Der Staatstrojaner: Überwachung von Smartphones direkt beim Nutzer

Seit einigen Tagen wird in den Medien darüber berichtet, dass das Bundeskriminalamt Überwachungssoftware einsetzt, um Smartphones oder Computer zu überwachen und dort gespeicherte Informationen auszulesen.

Während die klassische Telefonüberwachung bei TK-Anbietern wie Telekom oder Vodafone ansetze und dort Telefonate belauschte, tritt im Zeitalter der internetgestützten Telekommunikation an deren Stelle ein Instrumentarium, das man gerne verharmlosend als Quellen-TKÜ bezeichnet. Die Überwachung findet hier an der Quelle, also direkt beim Nutzer statt. Für diese Form der Telekommunikationsüberwachung ist es allerdings grundsätzlich erforderlich, das Computersystem des Gesprächsteilnehmers heimlich mit einer speziellen Überwachungssoftware zu infiltrieren, die anschließend die Kommunikation überwacht und die Kommunikationsinhalte an die Strafverfolgungsbehörden übermittelt.

In technischer Hinsicht eng verwandt ist die sog. Online-Durchsuchung, bei der es ebenfalls erforderlich ist, auf dem Rechner des Betroffenen heimlich eine Spionagesoftware zu installieren. Diese Software überwacht dann allerdings nicht nur die laufende Kommunikation, sondern durchsucht die Festplatte des Betroffenen oder erfasst andere Kommunikationsvorgänge, wie beispielsweise die Nutzung des WWW.

Um zu verstehen, warum auch die neugeschaffene gesetzliche Regelung zur sog. Quellen-TKÜ in § 100a Abs. 1 S. 2 StPO nicht den verfassungsrechtlichen Anforderungen genügt, reicht die Lektüre folgender Passage aus der Entscheidung des BVerfG zur Onlinedurchsuchung:

Die Quellen-TKÜ ist in technischer Hinsicht also eine Online-Durchsuchung, die vom Gesetzgeber im Käfig der Telefonüberwachung gehalten werden muss, um rechtmäßig sein zu können. Dies hat der Gesetzgeber durch die Abs. 5 und 6 von § 100a StPO versucht. Juristisch interessant ist hierbei u.a. die Frage, was bei einer Kommunikation mittels eines Messenger wie WhatsApp konkret unter laufender Kommunikation verstanden werden soll. Bei der Sprachtelefefonie ist die laufende Kommunikation klar durch den Anfang und das Ende eines Telefonats begrenzt. In einem Messenger erfolgt die Kommunikation nicht in Echtzeit, so dass allein hierdurch eine massive qualitative Ausweitung erfolgt. Ist eine Unterhaltung via WhatsApp, die sich über Tage hinweg fortsetzt und immer wieder durch längere Pausen unterbrochen wird, noch laufend?

Den Vorgaben des BVerfG hätte der Gesetzgeber auch nur dann gerecht werden können, wenn er konkrete Vorgaben an die Anforderungen der einzusetzenden Software definiert hätte. Dies wird stattdessen den Ermittlungsbehörden überlassen, so dass faktisch kein Unterschied zwischen Quellen-TKÜ und Onlinedurchsuchung besteht. Der Einsatz multifunktionaler Programme wird vom Gesetzgeber gerade nicht unterbunden. Das Gesetz macht keinerlei Vorgaben zur Qualitätssicherung und Überprüfung der eingesetzten Software.

Die vom BVerfG vorgegebene Differenzierung zwischen Online-Überwachung und Quellen-TKÜ wird vom Gesetzgeber nicht nachvollzogen. Es stellt sich aber auch ganz generell die Frage, ob dies in technischer Hinsicht überhaupt trennscharf und zuverlässig möglich ist, denn die Quellen-TKÜ ist in technischer Hinsicht stets eine Onlinedurchsuchung. Der Begriff des Staatstrojaners erscheint daher mehr als passend.

Schwer wiegt auch der Umstand, dass die gesetzliche Regelung die Ermittlungsbehörden ermutigt, vorhandene  Sicherheitslücken auszunutzen, um fremde informationstechnischen Systeme mit Schadsoftware zu infiltrieren. Der Staat verhält sich also wie ein Cyberkrimineller. Das schafft, wie Ulf Buermeyer in seiner sachverständigen Stellungnahme für den Bundestag beklagt, fatale Fehlanreize, weil die Behörden damit ein erhebliches Interesse daran haben, Sicherheitslücken in informationstechnischen Systemen nicht an die Hersteller zu melden, sondern sie vielmehr gezielt aufrecht zu erhalten. Das läuft dem Allgemeininteresse an möglichst sicheren informationstechnischen System zuwider und begründet eine Gefährdung der IT-Sicherheit, die sich auf allen Ebenen (Staat, Unternehmen, Bürger) auswirkt und insgesamt eine Gefahr gerade für sicherheitskritische Infrastrukturen begründet. Aufgabe des Staates wäre es freilich, derartige Gefahren zu vermeiden und abzuwehren. Wer die Fortsetzung der GroKo für vernünftig hält, sollte auch derartige Gesetze in seine Betrachtung einbeziehen.

posted by Stadler at 21:50  

24.1.18

Zu vulgär: Fack Ju Göhte nicht als Unionsmarke schutzfähig

Das Europäische Gericht (EuG) hat mit Urteil vom 24.01.2018 (Az.: T-69/17) eine Entscheidung des Amts der Europäischen Union für geistiges Eigentum (EUIPO) bestätigt, wonach der Filmtitel „Fack Ju Göhte“ nicht als Unionsmarke eintragungsfähig ist. Amt und Gericht sind der Auffassung, dass es sich dabei um eine geschmacklose, anstößige und vulgäre Beleidigung handle. Der ergänzende Bestandteil „Göhte“, mit dem der hochangesehene Schriftsteller Johann Wolfgang von Goethe posthum in herabwürdigender und vulgärer Weise verunglimpft werde, noch dazu in fehlerhafter Rechtschreibung, könne vom verletzenden und gegen die guten Sitten verstoßenden Charakter der Beschimpfung „Fack Ju/fuck you“ keinesfalls ablenken.

Ob die etwas humorlose Entscheidung des Gerichts durch den EuGH noch korrigiert wird, bleibt abzuwarten. Constantin Film wird als Anmelder der Marke die Entscheidung des Gerichts aber vermutlich angreifen.

Die Entscheidung des EuG ist mindestens in zweierlei Hinsicht bemerkenswert. Das Gericht weist darauf hin, dass der Schutz der freien Meinungsäußerung im Bereich des Markenrechts nicht bestünde. Das halte ich für eine gewagte These, denn die Grundrechte müssen jegliche staatliche Gewalt bei jedweder Entscheidung binden. Dass die Meinungsfreiheit also kein vom Amt bei der Markeneintragung zu beachtender Aspekt sei, wird sich schwerlich in rechtsstaatlicher Art und Weise vertreten lassen.

Wenig überzeugend ist auch der Ansatz des Gerichts, es sei nicht möglich, vom großen Publikumserfolg des Films „Fack Ju Göhte“ darauf zu schließen, dass das Publikum in dem in Rede stehenden Zeichen unmittelbar den Filmtitel erkennen werde und nicht von dem angemeldeten Zeichen abgestoßen wäre. Dies zumal das Amt ja davon ausgeht, dass maßgeblich auf die angesprochenen Verkehrskreise in Deutschland und Österreich abzustellen sei. Als Angehöriger der angesprochenen Verkehrskreise wage ich die Behauptung, dass nahezu jederman darin unmittelbar den Filmtitel erkennen wird.

Die Frage, was man als gegen die guten Sitten verstoßend empfindet, erfordert immmer eine Wertung. Und diese Wertung ist hier in sehr konservativer und eher engstirniger Art und Weise vorgenommen worden. Mit solch einer Begründung sollte im Jahr 2018 keine Markeneintragung mehr abgelehnt werden.

posted by Stadler at 18:00  

22.1.18

BGH: Keine Geldentschädigung bei vorangegangener Ehrverletzung

In einer gerade veröffentlichten Entscheidung (Urteil vom  14.11.2017, Az.: VI ZR 534/15) zur Frage der Geldentschädigung bei ehrverletzendem/beleidigendem Verhalten, hat der BGH den Rechtsgedanken des § 199 StGB – nach dieser Vorschrift kann der Strafrichter im Falle von wechselseitigen Beleidigungen beide Täter für straffrei erklären, wenn eine Beleidigung auf der Stelle erwidert wird – auch für das Zivilrecht herangezogen. Auch im Falle einer groben Beleidigung ist ein Ausgleich der daraus resultierenden Beeinträchtigung nicht geboten, wenn diese Beleidigung durch eine vorangegangene, ebenfalls schwerwiegende Kränkung/Ehrverletzung provoziert worden ist.

Außerdem erläutert der BGH in dieser Entscheidung, dass die für einen Unterlassungsanspruch grundsätzlich notwendige Wiederholungsgefahr ausnahmsweise entfallen kann, wenn der Eingriff durch eine einmalige Sondersituation veranlasst gewesen ist. Dies gilt insbesondere dann, wenn eine spezielle, nicht wiederholbare Situation vorliegt, wie beispielsweise eine emotionale Ausnahmesituation aufgrund einer schweren Erkrankung.

posted by Stadler at 20:37  

10.1.18

Die Debatte um das NetzDG ist unsachlich

Die aktuelle Debatte um das Für und Wider des Netzwerkdurchsetzungsgesetzes (NetzDG) ist hysterisch, eine ruhige und sachliche Auseinandersetzung ist selten erkennbar, auch nicht bei den zahlreich diskutierenden Juristen. Dies passt zum Zeitgeist und ist Ausdruck einer Debattenkultur, die nahezu zwanghaft auf Polarisierung setzt, nur noch schwarz und weiß kennt und in der die differenzierte Betrachtung nicht mehr viel gilt.

Das Gesetz geht zunächst ein tatsächlich vorhandenes Problem an. Soziale Netzwerke wie Facebook oder Twitter löschen nur einen Bruchteil derjenigen Inhalte, die strafbar oder rechtswidrig sind. Gleichzeitig, und das geht in der aktuellen Debatte stark unter, entfernen soziale Netzwerke häufiger Postings und Inhalte, die erkennbar rechtmäßig sind. Die Kriterien, nach denen Facebook & Co. ihre Löschentscheidungen treffen, waren bislang weder transparent noch nachvollziehbar. Zum Teil sind falsche Löschentscheidungen einfach auch dem Umstand geschuldet, dass die Anbieter nicht genügend und vor allem kein ausreichend geschultes Personal vorhalten. Wenn wir also wollen, dass rechtswidrige Inhalte in größerem Umfang als bislang gelöscht werden, dann ist es unumgänglich den Betreibern sozialer Netze entsprechende Pflichten aufzuerlegen und Verstöße auch zu sanktionieren.

Man kann das NetzDG mit guten Gründen wegen Verstoß gegen das Herkunftslandprinzip und die Haftungsprivilegierungstatbestände der E-Commerce-Richtlinie für europarechtswidrig halten. Wer die Rechtsprechung des EuGH zur Provider- und Linkhaftung verfolgt, weiß aber auch, dass wir es allzu oft mit einer Wundertüte zu tun haben. Man sollte also nicht darauf wetten, dass der EuGH das deutsche Gesetz tatsächlich am Ende auch für europarechtswidrig halten wird, sollte es ihm vorgelegt werden. In diesem Zusammenhang muss man auch berücksichtigen, dass die Kommission bereits Überlegungen anstellt, die in eine ganz ähnliche Richtung gehen und eher noch weiter reichen werden. Es spricht also einiges dafür, dass die künftige europäische Marschroute ähnlich verlaufen wird.

Ein ebenfalls oft gehörtes Argument ist das von der Privatisierung der Rechtsdurchsetzung, das mir allerdings wenig stichhaltig erscheint. Facebook und Twitter werden ja nicht dazu angehalten, Aufgaben der Strafverfolgung zu übernehmen, sondern nur dazu, strafbare Inhalte zu löschen. Wer sich das Gesetz genau ansieht, wird außerdem erkennen, dass das NetzDG gar keine neuen Löschpflichten begründet, sondern wie schon bisher das TMG von bereits bestehenden Löschpflichten ausgeht. Was manche offenbar zu irritieren scheint, ist der Umstand, dass Facebook & Co. in zunehmendem Maße wie Medienanbieter betrachtet werden und nicht mehr so sehr wie Provider. Würde man einem Fernsehsender oder einer Zeitung gestatten, rechtswidrige Inhalte zu verbreiten? Und wer anders als der Plattformbetreiber sollte rechtswidrige/strafbare Inhalte denn löschen? Der Vorwurf der Privatisierung der Rechtsdurchsetzung greift letztlich nicht. Die Strafjustiz wird außerdem niemals in der Lage sein, Millionen strafbarer Einzelinhalte zu verfolgen und schon gar nicht zeitnah. Wer also rechtswidrige Inhalte aus dem Netz bekommen will, muss den Plattformbetreibern entsprechende Pflichten auferlegen. Hierzu gibt es keine praktikable Alternative.

Auch der immer wieder erhobene Zensurvorwurf ist nicht durchgreifend. Abgesehen davon, dass die Zensur im Sinne des Grundgesetzes jedenfalls nach überwiegender Ansicht nur die Vorzensur meint, ist nicht wirklich erkennbar, warum die Ausgestaltung eines Verfahrens zur Löschung strafbarer Inhalte in sozialen Netzen als Zensur zu betrachten sein sollte. Dieser Logik folgend wäre der Straftatbestand, der die Verbreitung bestimmter Inhalte untersagt oder eine richterliche Unterlassungsentscheidung ebenfalls Zensur.

In sachlicher Hinsicht macht das NetzDG nichts anderes, als den Betreibern sozialer Netzwerke Verfahrensregeln aufzuerlegen, die sicherstellen sollen, dass bestimmte strafbare Inhalte kurzfristig entfernt werden. Zumindest die gesetzgeberische Intention kann man m.E. im Grundsatz nicht ernsthaft kritisieren.

Das bedeutet freilich noch nicht, dass dem Gesetzgeber eine sinnvolle Umsetzung gelungen ist. Denn das Gesetz schafft einen einseitigen Löschanreiz. Vor diesem Hintergrund hätte das NetzDG von vornherein Maßnahmen gegen die Gefahr des Overblockings ergreifen müssen. Denn der Gesetzgeber darf nicht allzu leichtfertig die fälschliche Löschung von rechtmäßigen Inhalten in Kauf nehmen, weil dies in der Tat sowohl die Meinungs- als auch die Informationsfreiheit beeinträchtigt. Vor diesem Hintergrund wäre zumindest eine Art Rechtsbehelf des von der Löschung Betroffenen in das Verfahren zu implementieren gewesen. Möglicherweise müsste man an dieser Stelle sogar noch einen Schritt weiter gehen und hätte dem Betroffenen unmittelbar ein effektives behördliches oder gerichtliches Verfahren an die Hand geben müssen, das es ihm gestattet, vor einem inländischen Gericht oder einer Behörde gegen die Löschentscheidung des Netzwerkbetreibers vorzugehen, wenn der Betreiber auf die Beschwerde des Nutzers hin nicht abhilft.

Um die Gefahr des Verstoßes gegen europarechtliche Vorgaben zu reduzieren, wäre es zudem sinnvoll, den Wortlaut von § 3 Abs. 2 an den von § 10 TMG bzw. Art. 14 ECRL anzupassen. Zumal die jetzige Differenzierung zwischen rechtswidrigen und offensichtlich rechtswidrigen Inhalten wenig sinnvoll erscheint und den Betreiber nur vor ein zusätzliches Abgrenzungsproblem stellt.

posted by Stadler at 21:35  

5.1.18

Portabilität: Ab 1.4.2018 müssen Streamingdienste auch bei vorübergehendem Aufenthalt im EU-Ausland verfügbar sein

Mit der Portabilitätsverordnung regelt die EU, dass die Abonnenten von portablen Online-Inhaltediensten während eines vorübergehenden Aufenthalts in einem anderen EU-Staat auch dort auf diese Dienste zugreifen dürfen und sie nutzen können. Die Verordnung gilt ab dem 1.4.2018 und nicht wie vielerorts berichtet wurde bereits ab dem 20.03.2018. In der ursprünglichen Fassung war als Geltungsbeginn der 20.3.18 genannt, dieses Datum wurde dann aber auf den 1.4.2018 berichtigt.

Die unmittelbar in allen EU-Staaten geltende Verordnung betrifft sog. Online-Inhaltsdienste. Das sind Dienste, die ein Anbieter einem Abonnenten in dessen Wohnsitzmitgliedstaat zu vereinbarten Bedingungen, online und kostenpflichtig erbringt, die portabel sind und bei denen es sich entweder um einen audiovisuellen Mediendienst im Sinne der AVMD-RL oder um einen Dienst handelt, dessen Hauptmerkmal die Bereitstellung des Zugangs zu Werken, anderen Schutzgegenständen oder die Übertragungen von Rundfunkveranstaltungen ist.

Die Verordnung betrifft damit insbesondere internetbasierte, kostenpflichtige Streaming-Dienste wie Netflix, Amazon Prime oder Spotify und auch internetbasierte Pay-TV-Angebote wie Sky Go.

Nicht in den zwingenden Anwendungsbereich der Verordnung fallen kostenfreie Dienste. Das bedeutet, dass internetbasierte Free-TV- oder Streaming-Angebote wie die Mediatheken von ARD und ZDF zunächst nicht umfasst sind. Nach Art. 6 können die Anbieter solcher Dienste aber entscheiden, ihren Abonnenten/Kunden während eines vorübergehenden Aufenthalts in einem ausländischen EU-Mitgliedstaat den Zugriff auf den Dienst zu ermöglichen. In diesem Fall muss der Anbieter aber, wie der Anbieter kostenpflichtiger Dienste auch, den Wohnsitzmitgliedstaat des Abonnenten entsprechend der Verordnung überprüfen.

Besteht eine Verpflichtung zur Ermöglichung der Portabilität, muss der Online-Inhaltedienst in dem ausländischen Mitgliedstaat des vorübergehenden Aufenthalts grundsätzlich in der gleichen Art und Weise und im gleichen Umfang angeboten werden wie im Wohnsitzmitgliedstaat. Dies ist Ausfluss der Fiktion, mit der die Portabilitäts-VO arbeitet. Es wird nämlich fingiert, dass der Zugriff und die Nutzung des Dienstes weiterhin ausschließlich im Wohnsitzmitgliedstaat des Abonnenten erfolgt (Art. 4). Infolge dessen muss der Anbieter nach Art. 3 Abs. 1 der VO den Zugriff exakt in derselben Form wie in seinem Wohnsitzmitgliedstaat ermöglichen, indem der Zugriff auf dieselben Inhalte, für dieselben Arten und dieselbe Zahl von Geräten, für dieselbe Zahl von Nutzern und mit demselben Funktionsumfang gewährt wird. Der Dienst darf also grundsätzlich weder in seinem Umfang beschränkt werden, noch darf eine Beschränkung bei den Geräten vorgenommen werden. Erwägungsgrund 21 spricht davon, dass eine Beschränkung der Funktionen des Dienstes oder der Qualität seiner Bereitstellung als Verstoß gegen die Verordnung gilt. Lediglich für Beschränkungen vor Ort, die außerhalb der Einflussphäre des Anbieters liegen, wie beispielsweise schlechte Internetverbindungen, soll der Anbieter nicht verantwortlich sein.

Für die Anbieter wird es daher in jedem Fall erforderlich sein, den Zugriff über das Web und über Mobile-Apps uneingeschränkt und in demselben Umfang zu ermöglichen wie in Deutschland.

Der unionsweite ungehinderte Zugriff ist zu gewähren, wenn sich ein Verbraucher vorübergehend in einem anderen Mitgliedsstaat aufhält. Erwägungsgrund 1 der Verordnung nennt hier beispielhaft Urlaubs-, Reise- oder Geschäftsreisezwecke oder solche der Lernmobilität.

Eine konkrete Dauer legt die Verordnung nicht fest, weshalb hier erhebliche Rechtsunsicherheit besteht. Andererseits besagt Art. 7 Abs. 1 der VO, dass Vertragsbestimmungen, die die grenzüberschreitende Portabilität auf einen bestimmten Zeitraum beschränken, nicht durchsetzbar sind.

In der Literatur wird ein Zeitraum von drei Monaten für angemessen gehalten (Ranke/Glöckler, MMR 2017, 378), mit der Begründung, dass dies der Zeitraum sei, für den man sich ohne behördliche Meldung in einem anderen Mitgliedsstaat aufhalten darf. Andererseits stellt sich die Frage, ob der Anbieter wegen Art. 7 Abs. 1 nicht jedwede technische Beschränkung auf einen bestimmten Zeitraum zu unterlassen hat und das alleinige Differenzierungskriterium der vorübergehende Aufenthalt ist. Nachdem aber auch Lernmobilität explizit angesprochen worden ist,  soll offenbar auch Studenten, die ein oder mehrere Auslandssemester absolvieren, dieser Zugriff durchgehend ermöglicht werden. Die Verordnung geht also davon aus, dass auch ein längerfristiger Auslandsaufenthalt u.U. noch als vorübergehend anzusehen ist. Da die Verordnung insoweit keine griffigen Kriterien vorgibt, besteht an dieser Stelle eine erhebliche Rechtsunsicherheit, zumal die Rechteinhaber nicht begeistert sein werden, wenn die Anbieter ihren Dienst ohne jegliche zeitliche Beschränkung und damit faktisch dauerhaft auch für das EU-Ausland zur Verfügung stellen. Insoweit besteht natürlich auch ein erhebliches Missbrauchspotential, zumal für die Überprüfung des Wohnsitzmitgliedsstaats des eigenen Kunden, die der Anbieter vorzunehmen hat, auch softe Kriterien wie die IP-Adressen, über die der Kunde regelmäßig auf den Dienst zugreift oder Zahlungsinformationen (inländische Konto- oder Kreditkartennummer) ausreichend sind.

posted by Stadler at 22:09  

3.1.18

beA: Der Berliner Flughafen der Anwaltschaft

Viele Menschen haben in den letzten Tagen vermutlich erstmals vom sog. Besonderen Elektronischen Anwaltspostfach (beA) gehört. Noch bevor es richtig in Betrieb gehen konnte, wurde es aufgrund von Sicherheitsmängeln schon wieder vom Netz genommen. Was hat es mit diesem beA überhaupt auf sich?

§ 31a Bundesrechtsanwaltsordnung (BRAO) verpflichtet die Bundesrechtsanwaltskammer (BRAK) dazu, jedem in Deutschland zugelassenen Anwalt ein besonderes elektronisches Anwaltspostfach empfangsbereit einzurichten. Mit diesem beA sollen die Anwälte am elektronischen Rechtsverkehr mit den Gerichten teilnehmen. Der Gesetzgeber stellt sich dabei vor, dass dieses Verfahren von einem sehr hohen Maß an Datensicherheit geprägt ist. Das kommt u.a. in § 31 a Abs. 3 BRAO zum Ausdruck.

Kurz vor Weihnachten hat Markus Drenger vom CCC bemerkt, dass der beA-Client den bei der Verschlüsselung notwenigen privaten Schlüssel, der geheim zu halten ist, online bereitstellte. Er hat dies dem Anbieter des Sicherheitszertifikats und dem BSI mitgeteilt. Das Zertifikat musste daher vom Anbieter umgehend für ungültig erklärt werden. Die BRAK forderte ihre Mitglieder anschließend auf Empfehlung des beauftragten IT-Dienstleister Atos dazu auf, ein neues Zertifikat zu installieren, womit das Sicherheitsproblem allerdings nicht gelöst, sondern drastisch verschärft wurde, weil das neue Zertifikat wiederum den privaten Schlüssel verteilte und es sich zudem um ein Root-Zertifikat handelte, das beliebige andere Zertifikate signieren kann. Details hierzu lassen sich bei Golem und dem Kollegen Bergt nachlesen.

In seinem Vortrag auf dem 34C3 hat Markus Drenger außerdem erläutert, warum das beA über keine wirkliche Ende-zu-Ende-Verschlüsselung verfügt, sondern alle Nachrichten von der BRAK bzw. dem technischen Dienstleister Atos geöffnet werden. Drenger ist der Meinung, dass der beA-Client komplett neu geschrieben werden müsste, um gängigen Sicherheitsstandards zu entsprechen und dies nicht innerhalb eines Zeitraums von drei bis vier Monaten möglich sein dürfte. Die fehlende Ende-zu-Ende-Verschlüsselung ist auch deshalb brisant, weil das beA als TK-Dienst grundsätzlich auch Überwachungsregelungen wie der Vorratsdatenspeicherung unterliegt, selbst wenn insoweit die einschränkenden Regelungen für Berufsgeheimnisträger gelten.

Auch wenn allein die Empfehlung von Atos, ein eigenes Root-Zertifikat als Workaround zu installieren, sicherlich ausreichend Grund dafür geboten hätte, den Vertrag mit dem Dienstleister außerordentlich aus wichtigem Grund zu kündigen, hat man sich bei der BRAK offenbar dazu entschlossen, weiter auf diesen Dienstleister zu setzen. Das ist ganz bestimmt keine gute Idee, zumal das Vertrauen der Anwaltschaft in die Sicherheit und Funktionsfähigkeit des von Atos entwickelten Systems erschüttert ist. Aber nicht nur die technisch mangelhafte und nicht den gesetzlichen Vorgaben des § 31a Abs. 3 BRAO genügende Sicherheitsarchitektur des beA wirft Fragen auf, sondern auch die immensen Entwicklungskosten von bislang 38 Mio. EUR, zu denen laufende Kosten von jährlich 11 Mio. EUR hinzukommen.

Es hat ganz den Anschein, als würde sich das beA zum Berliner Flughafen der Anwaltschaft entwickeln. Die vorhandenen Sicherheitsmängel lassen einen baldigen Betrieb in der ersten Jahreshälfte kaum zu. Jedenfalls dann nicht, wenn man es mit dem gesetzlich geforderten hohen Sicherheitsniveau bei der BRAK diesmal ernst nimmt.

posted by Stadler at 22:05