Internet-Law

Netzpolitik.org hat heute einen Vertrag zwischen der deutschen Telekom und Voicestream (Vorgänger von T-Mobile USA) einerseits und dem FBI und dem US-Justizministerium auf der anderen Seite geleakt, in dem sich die Telekom verpflichtet, ihre gesamte US-Infrastruktur so zu konfigurieren, dass eine effektive Überwachung durch US-Behörden möglich ist. Der Vertrag stammt aus dem Jahr 2001.

Die Vereinbarung betrifft u.a. gespeicherte Kommunikation sowie drahtgebundene und elektronische Kommunikation die von einer US-Niederlassung der Telekom empfangen wird oder im Account eines Kunden einer US-Niederlassung der Telekom gespeichert wird.

Diese vertrsagliche Verpflichtung lässt die Vorratsdatenspeicherung nach europäischem Strickmuster wie Kinderkram erscheinen. Die US-Administration kann damit nicht nur Verbindungsdaten, sondern Kommunikationsinhalte anfordern. Man muss davon ausgehen, dass alle großen Telcos und Provider in den USA ähnliche Vereinbarungen mit ihrer Regierung und dem FBI getroffen haben.

(via netzpolitik.org)

Die weitreichende TK- und Internetüberwachung der Amerikaner (Prism) und der Briten (Tempora) führt zu durchaus bemerkenswerten Diskussionsbeiträgen. Manche fordern eine Stärkung des Datenschutzes und der Verschlüsselung, während andere dazu raten, nicht so geschwätzig zu sein und vielleicht auch mal wieder unter vier Augen oder im Wald miteinander zu reden. Alles ganz interessante Vorschläge, die aber am Kern des Problems vorbeigehen.

Das Vier-Augen-Gespräch ist kein Surrogat für die Onlinekommunikation und als Bürger möchte ich mich weder von meinem eigenen noch von einem anderen Staat dazu zwingen lassen, laufend zur digitalen Selbstverteidigung greifen zu müssen und meine gesamte Kommunikation verschlüsseln.

Ein Staat, der seine eigenen Bürger oder die Bürger fremder Staaten systematisch überwacht, kann sich nicht zugleich als freiheitlicher Rechtsstaat begreifen. Viele Menschen haben mit dieser Überwachung offenbar aber kein Problem, weil sie glauben, das würde sie nicht betreffen, sondern nur Terroristen oder Terrorverdächtige. Warum diese Annahme naiv und falsch ist, lässt sich im Grunde mit einem Wort erklären: Guantanamo. Dort werden seit Jahren Menschen festgehalten, die zu einem erheblichen Teil unschuldig sind und die nie ein ordentliches Gerichtsverfahren bekommen haben und auch nie eines bekommen werden. Es kann also im Grunde jeder in den Fokus von Geheimdiensten und Sicherheitsbehörden geraten, wenn man zur falschen Zeit am falschen Ort ist, oder wenn die digitale Rasterfahndung aus ein paar ungünstigen Einzelindizien einen unberechtigten Tatvorwurf entstehen lässt. Dieses Phänomen kennt man sogar aus Strafverfahren, die vergleichsweise strikten rechtsstaatlichen Vorgaben folgen. Spätestens dann, wenn es keine nachvollziehbaren Regeln mehr gibt und die Betroffenen überhaupt nicht mehr wissen, welche Einzelinformationen gesammelt wurden und wie diese verknüpft worden sind, wird der Einzelne zum Objekt eines undurchsichtigen Machtapparats. Genau vor dieser Entwicklung sollen uns die Grundrechte schützen, aber sie tun es nicht mehr. Es geht längst nicht mehr nur um einzelne Grundrechte wie die informationelle Selbstbestimmung oder das Fernmeldegeheimnis. Es geht um die Würde des Menschen, um das Recht selbstbestimmtes Subjekt sein zu dürfen, das sich von nichts und niemand zum bloßen Objekt einer undurchsichtigen Überwachungsmaschinerie machen lassen muss.

Diese Diskussion gipfelt letztlich in der Frage, für welches Menschenbild unsere Gesellschaft künftig stehen wird. Für das des Subjekts, das frei und selbstbestimmt handeln kann oder für das des Objekts, das unter dem Vorwand der Sicherheit bloßer Spielball eines Staates ist. Derzeit gaukelt man uns weiterhin das Ideal von der freien Entfaltung der Persönlichkeit in einem freiheitlich-demokratischen Staat vor, während im Hintergrund die Geheimdienste verschiedenster Staaten unsere Kommunikation nahezu lückenlos überwachen bzw. eine solche Überwachung zumindest anstreben. Beide Aspekte sind miteinander unvereinbar.

Ich persönlich gehe gerne in den Wald, aber zum Laufen oder um die Ruhe zu genießen aber nicht um zu kommunizieren. Verschlüsselung ist sinnvoll und notwendig. Aber hätte ich etwa in der alten analogen Welt alle meine Briefe mit einem geheimen Code so verschlüsselt, dass nur mein Gegenüber die Nachricht verstehen bzw. entschlüsseln kann? Nein. Und deshalb ist das auch nicht die digitale Welt in der ich leben will.

Wenn Konstantin von Notz schreibt, dass Überwachungs- und Schnüffelprogramme wie Prism unsere Freiheit und Demokratie bedrohen, trifft er den Nagel auf den Kopf. Die Datenschutzreform der EU ist vermutlich dennoch nicht der richtige oder zumindest nicht der primäre Rahmen um diese Frage zu klären. Wir reden hier jeweils von nationalen Programmen, die allerdings global wirken. Es sind die Bürger die weltweit Druck ausüben müssen. Ohne öffentlichen Druck und mehr Transparenz, die Whistleblower wie Edward Snowden erzeugen, wird sich nichts ändern. Denn die Politik wird nicht freiwillig umsteuern.

Dass die Hinterlist einer lichtscheuen Politik nur durch Publizität vereitelt werden kann, hat Kant bereits 1795 formuliert. Wenn Obama jetzt meint, mit einer Ergreifung Snowdens würde das Recht zum Zug kommen, dann entspricht das ziemlich genau der Hinterlist des lichtscheuen Politikers die Kant angeprangert hat. Obama verstößt gegen die von Kant formulierte transzendentale Formel des öffentlichen Rechts:

Alle auf das Recht anderer Menschen bezogene Handlungen, deren Maxime sich nicht mit der Publizität verträgt, sind unrecht.

Die Schrift Kants aus der ich zitiere, heißt übrigens „Zum ewigen Frieden“, der sich laut Kant nur dann einstellen wird, wenn im öffentlichen Bereich eine größtmögliche, ja sogar radikale Publizität herrscht.

Man muss also erkennen, dass Edward Snowden und Bradley Manning in der Tradition der Aufklärung stehen – was Julian Nida-Rümelin am Beispiel von Wikileaks überzeugend erläutert hat – während mächtige Strömungen in der internationalen Politik ihr entgegen arbeiten. Das Recht steht in diesem Fall ganz eindeutig auf der Seite Snowdens sowie all jener, die für Transparenz oder wie Kant es formulierte Publizität eintreten. Sie brauchen unsere Unterstützung und Solidarität im Kampf gegen lichtscheue Politik, damit das Recht hier letztendlich wirklich zum Zug kommen kann.

Bereits vor knapp zwei Wochen habe ich darauf hingewiesen, dass Prism kein originär amerikanisches Phänomen ist und wir uns auch mit dem beschäftigen sollten, was die deutschen Geheimdienste so treiben. Und kurze Zeit später konnte man auch schon lesen, dass der BND die Internetüberwachung massiv ausbauen will. Das wird flankiert von Aussagen des Bundesinnenministers Hans-Peter Friedrich, der sich bei den USA für Prism bedankte und betonte, man müsse Kontrollverluste über die Kommunikation von Kriminellen durch neue rechtliche und technologische Mittel ausgleichen.

Damit wird hinreichend deutlich, dass der BND und die deutsche Innenpolitik das Internet und die Telekommunikation gerne in denselbem Umfang überwachen würden wie die USA und, dass dies derzeit nur an den begrenzten technologischen und personellen Mitteln des BND scheitert.

Und in der Tat besteht in Deutschland der rechtliche Rahmen hierfür längst. Fündig wird man beispielsweise im Gesetz zur Beschränkung des Post- und Fernmeldehegeimnisses (G10) und im BND-Gesetz. Über den sog. elektronischen Staubsauger hatte ich bereits im letzten Jahr berichtet. In einem äußerst lesenswerten Blogbeitrag erläutert der Kollege Härting die „strategische Fernmeldekontrolle“ durch den BND juristisch und bezweifelt, ob das aktuell bekannte Ausmaß der TK- und Internetüberwachung durch den BND noch verfassungskonform ist. Die Befugnisse des BND zur „strategischen Fernmeldekontrolle“ wurden 2001 durch eine rot-grüne Bundestagsmehrheit erheblich ausgeweitet und auch die gerade unter schwarz-gelb verabschiedeten Regelungen zur Bestandsdatenauskunft führen speziell zugunsten der Dienste zu einer spürbaren Ausweitung der Möglichkeiten der TK-Überwachung.

In diesem Zusammenhang muss man sich auch darüber im Klaren sein, dass das Bundesverfassungsgericht seit längerer Zeit keine Pflöcke mehr einrammt, sondern nur noch kleinere Stöcke, die von den Innenpolitikern dieses Landes immer wieder herausgerissen und anschließend um ein Stück versetzt werden. Auch das wackere Verfassungsgericht betreibt letztlich nur noch Rückzugsgefechte, die den Abbau der Bürgerrechte nur verlangsamen aber nicht aufhalten können.

Wenn man die öffentlichen Erklärungen beispielsweise von Barack Obama oder Hans-Peter Friedrich betrachtet, dann ist klar, dass das Ziel die Vollüberwachung aller Bürger ist. In ihrem sehr guten und klaren Kommentar „PRISM auch für Deutschland“ erläutert die Kollegin Ann-Karina Wrede, dass die neuen rechtlichen und technologischen Mittel die ein Friedrich fordert – obwohl das Pendel ohnehin bereits deutlich in Richtung Überwachungsstaat ausschlägt – letztlich auf die Vorstellung einer Komplettüberwachung sämtlicher Bürger hinausläuft.

Was können wir dagegen tun? Von der (deutschen) Politik ist nicht viel zu erwarten, nachdem schwarz-gelb und zuvor rot-grün immer weiter am Rad der TK-Überwachung gedreht haben. Es bleibt also nur die Möglichkeit öffentlichen Druck aufzubauen und wir müssen, wie Ann-Karina Wrede zu recht schreibt, gegen Überwachung und Programme wie Prism raus auf die Straße.

Die Meldung, dass US-Behörden im Rahmen des Programms Prism das Internet in großem Stil überwachen und angeblich direkt auf Server von Google, Facebook, Apple oder Microsoft zugreifen können, hat weltweit für mediale Aufmerksamkeit gesorgt.

Wer weiß, was bereits deutsche Geheimdienste nach dem Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10) dürfen und was sie tatsächlich praktizieren, dem muss klar sein, dass Geheimdienste weltweit die Telefon- und Internetkommunikation massiv und großflächig überwachen und aufzeichnen. In den USA möglicherweise umfassender und intensiver als in Europa.

Dass dies einer breiten Öffentlichkeit nicht bekannt ist, obwohl wesentliche Rahmenbedingungen nicht wirklich geheim sind, liegt auch an einer unzureichenden Berichterstattung.

Wer nun meint oder behauptet, die EU könne US-Programmen wie Prism etwa durch die geplante Datenschutzgrundverordnung Einhalt gebieten, hat nicht verstanden, auf welcher Grundlage und nach welcher Logik Geheimdienste agieren.

Die Legitimation jedweder Geheimdiensttätigkeit ergibt sich immer aus dem jeweiligen nationalen Recht. Weil es gerade auch darum geht, fremde Staaten und deren Bürger auszuspionieren, ist es zwangsläufig notwendig, sich über die rechtlichen Beschränkungen fremden Staaten hinwegzusetzen. Für die Tätigkeit von US-Diensten ist es also völlig irrelevant, was die EU oder ein europäischer Staat gesetzlich regelt. Das gilt freilich umgekehrt ebenso.

Gegen diese Form der Geheimdienstlogik hilft nur Transparenz, Information und Berichterstattung. Nötig ist vor allen Dingen aber auch ein sicherheitspolitischer Bewusstseinswandel und zwar sowohl in den Köpfen der Bürger als auch in denen der Politiker. Diese Welt wird letztendlich nur dann irgendwann wirklich demokratisch und freiheitlich werden, wenn wir es weltweit schaffen, Phänomene wie (nationale) Geheimdienste zu überwinden. Die Pönalisierung von Whistleblowern wie Bradley Manning ist hier übrigens nur die Kehrseite derselben Medaille. Solange Nationalstaaten Geheimdienste unterhalten, die mit weitreichenden Befugnissen ausgestattet werden, im Verborgenen agieren dürfen und keiner effektiven Kontrolle unterliegen, solange wird man auch diejenigen hart bestrafen, die sich dieser Logik widersetzen, indem sie solche Informationen und Vorgänge öffentlich machen, die dieser merkwürdigen Geheimhaltungslogik unterliegen.

Es wird sich also nur dann etwas ändern, wenn Öffentlichkeit erzeugt wird und es gelingt, die finsteren Hinterzimmer auszuleuchten. Die Medien könnten damit anfangen, die Menschen einfach erst einmal über das Ausmaß der Überwachung zu informieren, das prinzipiell bereits bekannt ist. Ich lese leider wenig über den „elektronischen Staubsauger“ und das, was der BND auf Grundlage des G10 tatsächlich so treibt und frage mich warum. Ist es für Journalisten gefährlich in diesem Umfeld zu recherchieren und Dinge öffentlich zu machen?

Update vom 10.06.2013:
In einem Blogbeitrag für CR-Online stellt der Kollege Härting – lediglich in Bezug auf die kürzlich verabschiedete Bestandsdatenauskunft – die Frage, welche Beschränkungen für den Bundesnachrichtendienst (BND) gelten. Und der Blick ins Gesetz macht deutlich, dass es im Grunde keine nennenswerten Hürden gibt. Denn der BND kann nach der Neuregelung von Providern Daten anfordern, sobald er der Ansicht ist, dass Bestandsdaten zu Erkenntnissen über das Ausland führen können, die ”von außen- und sicherheitspolitischer Bedeutung” sind. Da das niemand effektiv überprüfen kann, hat der BND hier relativ freie Hand.

Das passt ganz gut zur aktuellen Diskussion um das US-Programm prism, in der man auch mal der Frage nachgehen sollte, was der BND und die Verfassungsschutzbehörden in puncto TK- und Internetüberwachung eigentlich dürfen und was sie tatsächlich praktizieren. Der BND darf nach geltemdem Recht (G10, BND-G) schon bedenklich viel und es steht zu befürchten, dass die Praxis noch darüber hinausgeht, nachdem es an einer effektiven Kontrolle der Geheimdiensttätigkeit fehlt.

Interessant ist in diesem Zusammenhang auch, dass sich der BND nach § 1 Abs. 2 S. 2 BND-G nur dann an einschränkende Vorgaben des deutschen Rechts halten muss, wenn die Informationen im Inland erhoben werden. Für die Daten- und Informationsbeschaffung im Ausland sieht das deutsche Recht keine gesetzlichen Beschränkungen vor. Und exakt nach derselben Logik arbeiten alle Geheimdienste weltweit.

Man sollte in diesem Zusammenhang außerdem auch berücksichtigen, dass die internationale Zusammenarbeit der Geheimdienste offenbar besser funktioniert als beispielsweise der Informationsaustausch unter den deutschen Verfassungsschutzbehörden. Die Informationen die die USA im Zuge ihrer weitreichenden Überwachungsmaßnahmen erlangen, landen bei Bedarf dann nämlich auch in Pullach.

Vielleicht bietet der aktuelle Fall ja die Gelegenheit dazu, öffentlich und vor einem großen Publikum die Praktiken der Geheimdienste weltweit zu hinterfragen.

Netzpolitik.org hat ein als „VS – nur für den Dienstgebrauch“ eingestuftes Dokument des Bundesministeriums des Innern veröffentlicht, in dem über die Arbeit des beim BKA eingerichteten Kompetenzzentrums Informationstechnische Überwachung berichtet wird.

Aus dem Dokument ergibt sich u.a., dass eine eigenentwickelte Software für die sog. Quellen-TKÜ nach Einschätzung des BKA bis zum Jahr 2014 fertiggestellt werden kann. Bis dahin will man sich (weiterhin) am Markt mit kommerzieller Software eindecken, konkret mit einem Programm des Herstellers Elaman/Gamma.

Wie man immer wieder hört, sollen bei verschiedensten Behörden, insbesondere auch der Länder, noch andere Programme für eine Online-Durchsuchung / Quellen-TKÜ im Einsatz sein.

Dass für die sog. Quellen-TKÜ derzeit keine ausreichende Rechtsgrundlage vorhanden ist, wird von der Bundesregierung und vom Bundestag ganz offensichtlich hartnäckig ignoriert. Darüber hinaus hat der vom CCC öffentlich gemachte Fall eines Bayerntrojaners gezeigt, dass derartige Programme auch dazu geeignet sind, eine grundrechtswidrige Onlinedurchsuchung durchzuführen und die Behörden von dieser Funktionalität auch Gebrauch gemacht haben.

In Thüringen wurde das Polizeiaufgabengesetz (PAG) 2008 im Hinblick auf die Befugnisse der Polizei zur heimlichen Erhebung von Daten neu geregelt und erweitert. Es geht hierbei u.a. um den Einsatz verdeckter Ermittler, das Abhören von Telefonaten sowie die optische und akustische Wohnraumüberwachung.

Diese Neuregelungen sind vom Thüringischen Verfassungsgerichtshof mit Urteil vom heutigen 21.11.2012 (Az.: VerfGH 19/09) überwiegend für verfassungswidrig erklärt worden. Die Entscheidung wirft sicherlich auch die Frage der Verfassungswidrigkeit ähnlicher Regelungen in den Polizeiaufgabengesetzen anderer Bundesländer auf.

In der Pressemitteilung des Thüringer Verfassungsgerichtshofs heißt es u.a.:

Insbesondere bleibt unklar, inwieweit nach der Vorstellung des Gesetzgebers Berufsgeheimnisträger von polizeilichen Maßnahmen ausgenommen bleiben sollen. Ebenso unzureichend sind die Befugnisse zu heimlichen Datenerhebungen geregelt,
die der Verhütung von Straftaten dienen. Hier reicht es nicht aus, auf einen Katalog von Strafrechtsnormen zu verweisen. Der Charakter der Gefahrenabwehr als Rechtsgüterschutz verlangt insoweit, dass diese polizeilichen Befugnisse das geschützte Rechtsgut und den Grad seiner Gefährdung eindeutig erkennen lassen.
Der durch die Menschenwürde gebotene Schutz des Kernbereichs privater Lebensgestaltung ist lückenhaft ausgestaltet worden. Bei der Überwachung der Telekommunikation und der Erhebung von Daten mit besonderen Mitteln (z. B. beim Abhören des nicht öffentlich gesprochenen Wortes außerhalb einer Wohnung) fehlt eine umfassende und eindeutige Vorschrift, dass im Fall der Verletzung des Kernbereichs die Maßnahme abzubrechen ist. Ebenso hat der Gesetzgeber es unterlassen, die Polizei zu verpflichten, die Tatsache der Erfassung und die Löschung aller kernbereichsrelevanten Daten zu protokollieren. Die Dokumentation ist für den Betroffenen unabdingbar, um eine Verletzung seiner Rechte vor den Gerichten geltend zu machen. Zudem ist der Gesetzgeber den verfassungsrechtlichen Anforderungen nicht gerecht geworden, soweit er die nachträgliche Benachrichtigung über heimliche Überwachungen geregelt hat. Die gesetzlichen Bestimmungen erlauben der Polizei, von der Unterrichtung abzusehen, wenn sie den weiteren Einsatz einer verdeckt ermittelnden Person (z. B. eines verdeckten Ermittlers oder einer Vertrauensperson) beabsichtigt. Diese Regelung lässt außer Acht, dass jeder, der von einer heimlichen Überwachung betroffen ist, einen grundrechtlich gesicherten Anspruch hat, nach Beendigung der Maßnahme von dem Eingriff in seine Privatsphäre informiert zu werden. Ausnahmen müssen den Grundsatz der Verhältnismäßigkeit beachten und im Hinblick auf die Schwere des Grundrechtseingriffs eine Abwägung der widerstreitenden Interessen ermöglichen.

Netzpolitik.org erläutert in einem aktuellen Blogbeitrag, dass die Telekom und Kabel Deutschland das Produkt „Service Control Engine“ von Cisco einsetzen, das eine Deep Packet Inspection (DPI) ermöglicht. Mittels DPI werden sämtliche transportierten Datenpakete systematisch ausgelesen und analysiert. CCC-Mitglied Rüdiger Weis hat das kürzlich gegenüber der taz sehr anschaulich erläutert.

Totalitäre Staaten wie China und jetzt auch Russland benutzen DPI dazu, das Internet zu überwachen und zu zensieren. In Deutschland setzen Provider DPI nach eigenen Angaben dazu ein, um beispielsweise Filesharing auszubremsen oder um Internettelefonie (Skype) zu unterbinden, wenn der von dem Kunden gebuchte Tarif eine solche Nutzung vertraglich nicht zulässt.

Zu dem Thema hatte ich kürzlich bereits gebloggt und die Rechtsansicht vertreten, dass der Einsatz von DPI gegen § 88 TKG verstößt und damit in Deutschland unzulässig ist.

Die Einhaltung des Fernmeldegeheimnisses ist nach dem TKG in der Tat allerdings nicht als Aufgabe der Bundesnetzagentur definiert, weshalb die von netzpolitik.org geschilderte Reaktion der Behörde formal nicht zu beanstanden ist. Es stellt sich hier dennoch die Frage, ob sich der Staat einfach raushalten kann, wenn er erkennt, dass deutsche TK-Anbieter systematisch gegen das (einfachgesetzliche) Fernmeldegeheimnis verstoßen. Denn der Staat hat natürlich auch eine Schutzpflicht für die Grundrechte seiner Bürger. Insoweit stellt sich die Frage, ob das Fernmeldegeheimnis des TKG gesetzlich ausreichend abgesichert ist oder ob der Gesetzgeber nicht doch die Einhaltung des Fernmeldegeheimnisses und eine Sanktionierung von Verstößen behördlicherseits sicherstellen müsste.

Nachdem der Straftatbestand des § 206 StGB erst dann eingreift, wenn Informationen, die dem Fernmeldegeheimnis unterliegen an einen anderen weitergegeben werden, stellt der Verstoß gegen § 88 TKG derzeit wohl (nur) eine zivilrechtliche Verletzung der Rechte des Providerkunden dar, gegen die Unterlassungs- und Schadensersatzansprüche in Betracht kommen.

Die Bundesregierung hat einen Gesetzesentwurf zur Änderung des TKG und zur Neuregelung der Bestandsdatenauskunft beschlossen, wie u.a. Heise berichtet.

Es geht hierbei insbesondere um die Auskunftserteilung durch Provider und TK-Unternehmen gegenüber Strafverfolgungs- und Sicherheitsbehörden. Betroffen hiervon sind die sog. Bestandsdaten. Das sind die Grunddaten des Vertragsverhältnisses, also u.a. Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse, aber auch Kenn- und Passwörter. Umfasst sind prinzipiell alle statischen Daten, die providerseitig gespeichert werden. Die Gesetzesbegründung nennt insoweit beispielhaft auch PIN und PUK.

Die Neuregelung ist deshalb erforderlich, weil das BVerfG Anfang des Jahres die entsprechenden Regelungen des TKG nicht als Eingriffsnormen zugunsten der Behörden gewertet hat, weshalb die langjährige Praxis speziell der Strafverfolgungsbehörden Auskünfte bei Providern einzuholen ohne ausreichende Rechtsgrundlage erfolgte und damit letztlich rechtswidrig war.

An dieser Stelle muss auch der Aussage der Bundesregierung, die Regelung würde keine neuen Befugnisse für Strafverfolgungs- oder Sicherheitsbehörden schaffen, entschieden widersprochen werden. Mit § 100j StPO wird sehr wohl eine gänzlich neue Eingriffsgrundlage geschaffen, die es bislang nicht gab. Dass die Praxis diese Eingriffe bereits in der Vergangenheit ohne Rechtsgrundlage und damit rechtswidrig praktiziert hat, ändert hieran nichts. Die Neuregelung dient letztlich also der Legalisierung einer bereits gängigen, aber bislang rechtswidrigen Behördenpraxis.

Diese Regelung schafft in der Strafprozessordnung erstmals auch die Möglichkeit, für Zwecke der Strafverfolgung aufgrund einer ermittelten dynamischen IP-Adresse vom Provider Auskunft darüber zu verlangen, welcher seiner Kunden die IP-Adresse(n) zu bestimmten Zeitpunkten genutzt hat. Weil dies nach Ansicht des BVerfG einen Eingriff in das Fernmeldegeheimnis beinhaltet, hat der Gesetzgeber klargestellt, dass hierzu auch Verkehrsdaten ausgewertet werden dürfen.

Als besonderer Aufreger hat sich der Vorschlag eines neuen § 113 Abs. 5 S. 2 TKG erwiesen, durch den größere Provider verpflichtet werden sollen, eine elektronische Schnittstelle zur Bestandsdatenabfrage zu schaffen. Man sollte hierzu allerdings berücksichtigen, dass eine vollautomatisierte Abfrage nicht vorgesehen ist. Denn jedes Auskunftsverlangen ist vom Provider durch eine verantwortliche Fachkraft darauf zu prüfen, ob die Anfrage von einer zuständigen Stelle unter Berufung auf eine einschlägige gesetzliche Befugnisnorm erfolgt. Unter diesen Voraussetzungen sehe ich die Eingriffsintensität aber auch nicht höher, als bei der gängigen Praxis der manuellen Auskunft, bei der Staatsanwaltschaften oder Polizeibehörden oftmals per Fax ein Auskunftsersuchen stellen und anschließend die Auskunft auf demselben Weg erhalten. Wenn man die m.E. fragwürdige Begründung des BVerfG zur Verfassungsgemäßheit des § 112 TKG gelesen hat, besteht kein Grund zur Annahme, das BVerfG könnte die geplante Neuregelung des § 113 Abs. 5 TKG für verfassungswidrig halten.

Update:
Was netzpolitik.org und auch Udo Vetter zur elektronischen Schnittstelle schreiben, klingt zwar spektakulär, entspricht aber nicht den Fakten. Eine vollautomatische Abfrage ist gerade nicht vorgesehen. Es ist vielmehr so, wie von mir oben beschrieben.

In einem Interview mit der taz erläutert CCC-Mitglied Rüdiger Weis die Überwachungstechnik Deep Packet Inspection (DPI) und spricht von einer Internetversion des Nacktscanners. Weis erklärt außerdem, dass es Hinweise geben würde, wonach auch deutsche Mobilfunkanbieter und Provider DPI einsetzen. Diese Aussagen decken sich mit den Erkenntnissen der EU-Behörde BEREC, die Anfang des Jahres einen Bericht über Providerpraktiken zum “Traffic Management” vorgelegt hat.

Wenn man eine Parallele zur analogen Welt ziehen will, dann ließe sich der Einsatz von DPI wohl am ehesten damit vergleichen, dass die Post sämtliche von ihr transportierten Postsendungen vor der Auslieferung systematisch liest und die Inhalte analysiert.

Deep Packet Inspection stellt nach meiner Einschätzung einen Verstoß gegen das Fernmeldegeheimnis des § 88 TKG dar. § 88 Abs. 3 TKG normiert ein Kenntnisnahmeverbot des TK-Anbieters sowohl hinsichtlich des Inhalts als auch der näheren Umstände der Telekommunikation. Das Verbot ist somit enger als das der Strafnorm des § 206 StGB, weil dort die bloße Kenntnisnahme noch nicht sanktioniert wird. Das Gesetz spricht zwar in § 88 Abs. 3 TKG davon, dass es dem Provider nur verboten ist, sich über das für die Erbringung des Dienstes erforderliche Maß hinaus Kenntnis zu verschaffen. Daraus lässt sich aber keine Gestattung einer Deep Packet Inpection ableiten. Denn jeder TK-Dienst kann ohne weiteres und ohne Einschränkung auch ohne den Einsatz von DPI erbracht werden. Für die Erbringung der TK-Dienstleistung ist es auch unter dem Aspekt der Systemsicherheit nicht erforderlich, Technologien wie DPI einzusetzen.

Es wäre also durchaus interessant konkret festzustellen, welche Provider solche Technologien einsetzen und in welchem Umfang. Denn als Kunde könnte man dann eine Verletzung des Fernmeldegeheimnisses gegenüber seinem Anbieter geltend machen.

Der letzte Woche zu Ende gegangene 69. Deutsche Juristentag hat eine ganze Reihe fragwürdiger und diskussionsbedürftiger Beschlüsse gefasst, die auf eine stärkere Regulierung und Überwachung des Internets abzielen. Diese Beschlüsse werden von den Fachabteilungen des DJT gefasst, die mir angesichts dessen, was inhaltlich abgestimmt wurde, doch deutlich von einer konservativen und nicht gerade liberalen Grundhaltung dominiert zu sein scheinen.

Die für das Internet relevanten Beschlüsse des DJT finden sich in dem Beschlusspapier u.a. auf S. 9 – 11 (Strafrecht) und S. 23 ff. (IT- und Kommunikationsrecht).

Der DJT spricht sich für eine Vorratsdatenspeicherung, Onlinedurchsuchung (in engen Grenzen) und Quellen-TKÜ aus. Ein Recht auf anonyme Internetnutzung lehnt der DJT ab. Gefordert wird ferner, dass bei der Verarbeitung personenbezogener Daten von Minderjährigen eine Einwilligung des einsichtsfähigen Minderjährigen und seines gesetzlichen Vertreters notwendig sein soll. Das würde natürlich u.a. eine Nutzung sozialer Netze durch Minderjährige erheblich erschweren und ist relativ weit von der Lebenswirklichkeit entfernt.

Eine Auswahl derjenigen Beschlüsse, die mir für das Internet wesentlich erscheinen, habe ich nachfolgend zusammengestellt. Ob der Beschlussvorschlag angenommen oder abgelehnt wurde, ergibt sich aus dem Klammerzusatz am Ende.

Überwachungstechnologien:
Der Gebrauch der existierenden Technologie für eine flächendeckende Überwachung, Filterung und Kontrolle jeglicher elektronischer Kommunikation ist allenfalls mit äußerster Zurückhaltung anzuwenden. Sind Überwachungs- und Filterbefugnisse erst einmal gewährt, so entziehen sie sich einer effektiven Kontrolle durch Justiz und Parlament. (abgelehnt)

Quellen-Telekommunikationsüberwachung:
aa) Ein heimliches Eindringen in ein informationstechnisches System zum Zwecke einer repressiven Quellen-Telekommunikationsüberwachung sollte als Ausgleich für die technisch meist unmögliche Telekommunikationsüberwachung entsprechend den Voraussetzungen der §§ 100a, 100b StPO möglich sein. (angenommen)

bb) Die hierfür eingesetzte Software muss vorab unabhängig zertifiziert werden, z.B. durch den Datenschutzbeauftragten, um sicherzustellen, dass die technischen und rechtlichen Anforderungen eingehalten und die beim Einsatz dieser Software unvermeidlichen Gefahren beherrschbar sind. (angenommen)

cc) Es sollte eine gesetzliche Pflicht geschaffen werden, in jedem Einzelfall nachträglich den Datenschutzbeauftragten zu informieren. (abgelehnt)

Online-Durchsuchung:
aa) Ein heimliches Eindringen in ein informationstechnisches System zum Zwecke einer repressiven Online-Durchsuchung ist angesichts der Möglichkeit einer Verschlüsselung der gespeicherten Daten ein wichtiges Ermittlungsinstrument und sollte daher, wenn auch unter hohen, verfassungsrechtlich vorgegebenen Eingriffsschwellen (vgl. BVerfGE 120, 274) erlaubt werden. (angenommen)

bb) Die hierfür eingesetzte Software muss vorab unabhängig zertifiziert werden, z.B. durch den Datenschutzbeauftragten, um sicherzustellen, dass die technischen und rechtlichen Anforderungen eingehalten und die beim Einsatz dieser Software unvermeidlichen Gefahren beherrschbar sind. (angenommen)

cc) Es sollte eine gesetzliche Pflicht geschaffen werden, in jedem Einzelfall nachträglich den Datenschutzbeauftragten zu informieren. (abgelehnt)

Vorratsdatenspeicherung:
Telekommunikationsanbieter sollten generell und soweit verfassungsrechtlich zulässig nach Maßgabe der RL 2006/24/EG (EU-Vorratsdatenspeicherungsrichtlinie) verpflichtet werden, bestimmte Verkehrsdaten zu sammeln und für mindestens sechs Monate zu speichern. (angenommen)

Anonymität:
a) Im Interesse einer effektiven Durchsetzung des Rechts auf freie Meinungsäußerung im Internet besteht ein schützenswertes Recht der Internetnutzer auf Anonymität. Ansprüche Dritter wegen Rechtsverletzungen durch Internetnutzer sollen weitestmöglich hinter dem Recht auf Anonymität zurückstehen, Identifizierungspflichten von Internetdiensten sind entsprechend zu beschränken (abgelehnt)

b) Ein „Recht auf anonyme Internet-Nutzung“ ist nicht anzuerkennen. Bei aktiver Nutzung des Internets mit eigenen Beiträgen darf der Nutzer nicht anonym bleiben, sondern muss im Rahmen einer Verwendung von Pseudonymen zumindest identifizierbar sein. Nur dann lassen sich Rechtsverstöße wirksam verfolgen. Internet-Dienste sollen den Klarnamen und die Internetverbindung ihrer Nutzer registrieren. (angenommen)

Datenschutz, Persönlichkeitsrecht, Störerhaftung:
Für die wirksame (datenschutzrechtliche, Anm. des Verf.) Einwilligung Minderjähriger ist sowohl die Zustimmung der gesetzlichen Vertreter als auch die Einwilligung des einsichtsfähigen Minderjährigen erforderlich. (angenommen)

Bei behaupteten Persönlichkeitsrechtsverletzungen ist dem Betroffenen – in Anlehnung an §§ 101 UrhG, 19 MarkenG, 140b PatG – ein Auskunftsanspruch zur Benennung des Rechtsverletzers zu gewähren; Ausnahmen sind nur in verfassungsrechtlich gebotenen Fällen zuzulassen. (angenommen)

Der Störerhaftung soll ein Dienstebetreiber nur dann unterliegen, wenn er zumutbare Verhaltens-, namentlich Prüfpflichten verletzt, die nach Art des Internetdienstes unterschiedlich weitreichend sein können. Die vom BGH in der „Blogger“-Entscheidung (Urt. v. 25.10.2011 – VI ZR 93/10) aufgegriffenen Grundsätze – keine Verantwortlichkeit des Providers, wenn er nach Meldung der Rechtsverletzung durch den Rechtsinhaber die Veröffentlichung löscht – sind fortzuentwickeln. Für Äußerungen auf Kommunikationsplattformen sollte ein „Notice-and-take-down“-Verfahren eingeführt werden, in dem auf Meldung eines potentiell Verletzten zunächst der Äußernde zur Stellungnahme aufgefordert wird. Nimmt er nicht in gesetzter Frist Stellung, wird seine Äußerung entfernt; andernfalls findet die rechtliche Auseinandersetzung zwischen Äußerndem und Verletztem statt. (angenommen) (…) Bei anonymen Meinungsäußerungen erfolgt eine umgehende Entfernung der Äußerung (angenommen)

Das geltende Regelungskonzept des Datenschutzes, ein Verbot der Verwendung personenbezogener Angaben mit Erlaubnisvorbehalt, ist grundsätzlich beizubehalten, aber mit deutlich erweiterten Erlaubnistatbeständen für die Internetkommunikation. Datenschutzrechtliche Anforderungen sollten bei überwiegenden Kommunikationsinteressen zurücktreten. (angenommen)

Sowohl die europäische „Datenschutz-Grundverordnung“ als auch die entsprechende nationale Regelung sollten die Verantwortlichkeit von Suchmaschinenbetreibern und deren Umgang mit personenbezogenen Daten regeln. (angenommen)