Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

November 18 2013

Mit Europarecht gegen die Abhörpraxis des GCHQ?

Porf. Franz C. Mayer geht im Verfassungsblog der interessanten Frage nach, ob gegen die Abhöraktionen des britischen Geheimdienstes GCHQ mit Mitteln des EU-Rechts vorgegangen werden kann.

Mayer sieht zunächst Kerngewährleistungen des Unionsrechts betroffen, die sich u.a. aus Art. 8 der Charta der Grundrechte, aus Art. 16 AEUV und den Richtlinien zum Datenschutz (95/46/EG und 2002/58/EG) ergeben.

Sodann weist Mayer aber auf den Umstand hin, dass diese Kerngewährleistungen die Mitgliedsstaaten häufig gar nicht binden. Darauf, dass das europäische Datenschutzrecht den Bereich Strafverfolgung, innere Sicherheit und Staatsicherheit der Mitgliedsstaaten nicht regelt und insbesondere keine Handhabe gegen die Datenerhebung durch Geheimdienste bietet, hatte ich hier ebenfalls hingewiesen.

Mayer meint gleichwohl, dass diese Bereichsausnahmen des Europarechts für öffentliche und nationale Sicherheit eventuell nicht eingreifen werden, weil die britischen Maßnahmen zu breit, zu unbestimmt und zu ungezielt sein könnten. Sollte es ein diesbezügliches Verfahren vor dem EuGH geben, dürfte auch die Frage zentral sein, ob die europäischen Grundrechte nur die EU-Organe oder auch die Mitgliedsstaaten binden, was nach der Grundrechtecharta allerdings zweifelhaft erscheint.

Das Ganze ist am Ende aber natürlich auch eine politische Frage. Was ist die Gewährleistung eines hohen Datenschutzniveaus durch die EU denn überhaupt wert, wenn einzelne Mitgliedsstaaten gleichzeitig in uferloser Art und Weise den Internet- und Telefonverkehr überwachen und anlasslos und massenhaft Daten speichern? Zumal dies, wie wir mittlerweile wissen, durchaus auch zum Zwecke der Polit- und Wirtschaftsspionage geschieht.

Mayer fordert in seinem Beitrag schließlich mit Blick auf das deutsche Recht und die Rolle des BND, dass die sog. „strategische Fernmeldeu?berwachung“ – die in der Tat ein Relikt aus dem Kalten Krieg ist – eineinhalb Jahrzehnte nach der letzten Äußerung des BVerfG auf den verfassungsrechtlichen Prüfstand gehört. Eine Forderung, mit der er bei mir offene Türen einrennt.

Wir brauchen insoweit aber nicht nur eine neue juristische Debatte, sondern vor allen Dingen auch eine gesellschaftliche. Der tatsächliche Umfang der Überwachung durch Geheimdienste war einer breiten Öffentlichkeit bislang nicht bekannt, weil er von der Politik gezielt verschleiert wird und die Medien zu wenig berichtet haben. Es ist deshalb essentiell, die Rolle des BND bei der Überwachung des Internets besser auszuleuchten und kritisch zu hinterfragen.

November 13 2013

Was überwacht der BND?

Das ARD-Magazin FAKT hat gestern über die Internetüberwachung des BND berichtet und darüber, dass der BND im Bereich der Spionage international mitmischen will und deshalb speziell den britischen und amerikanischen Diensten auch etwas anbieten müsse. Die These des Magazins hierzu lautet:

Durch die massenhafte Erfassung von Daten in Frankfurt sieht der BND offensichtlich die Chance, sich im Verbund der westlichen Geheimdienste zu emanzipieren.

Das Manuskript der Sendung kann man bei der ARD downloaden, der Beitrag selbst ist u.a. bei YouTube verfügbar.

Dass der BND angeblich in Frankfurt die Datenleitungen von 25 Internetprovidern am Datenknotenpunkt De-Cix anzapft, wurde bereits vor ca. einem Monat berichtet. Die Maßnahmen wurden laut Spiegel vom Kanzleramt und dem Bundesinnenministerium genehmigt. Offiziell bestätigt haben Bundesregierung oder BND das aber nicht.

Der Bericht der ARD enthält außerdem folgende, merkwürdige Aussage:

Damit die Erhebung und Auswertung wenigstens halblegal stattfindet, ließ sich der BND 2008 vom britischen Geheimdienst helfen, das entsprechende Gesetz neu zu formulieren. Das Ergebnis: Da Daten ständig über Ländergrenzen fließen, wurde der gesamte Datenverkehr per Gesetz zu Auslandskommunikation erklärt – und die darf der BND abhören.

Mir ist nicht klar, welche gesetzliche Änderung das sein sollte. Nach meinem Kenntnisstand fand 2008 insoweit keine einschlägige Gesetzesänderung statt. Eine gesetzliche Regelung, die den gesamten Internetverkehr als Auslandstelekommunikation definiert, mit der Folge, dass der BND (uneingeschränkt) darauf zugreifen könnte, existiert nicht. Das G10-Gesetz besagt in § 5 Abs. 2 S. 2 vielmehr ausdrücklich, dass der BND darauf achten muss, ob Anschlüsse von deutschen Staatsangehörigen erfasst werden. Die Berichterstattung der ARD dürfte an dieser Stelle also unrichtig sein.

Die pauschale Überwachung des Fernmeldeverkehrs und damit auch des Internets durch den BND nennt man im Fachjargon “strategische Fernmeldekontrolle“. Ob die diebsezüglichen Regelungen überhaupt verfassungskonform sind, muss zumindest als offen gelten, wie der Kollege Härting so schön schreibt. Das BVerfG hat die aktuelle Fassung des G10-Gesetzes  jedenfalls noch nicht überprüft.

Daneben stellt sich aber zusätzlich die Frage, ob die tatsächliche Praxis des BND – unabhängig von verfassungsrechtlichen Fragen – überhaupt von den bestehenden gesetzlichen Grundlagen gedeckt ist. Dazu müsste man zunächst natürlich wissen, was der BND tatsächlich macht und das ist nur teilweise bekannt.

Seit einiger Zeit weiß man, dass der BND den E-Mail-Verkehr in größerem Stil überwacht und analysiert. Welcher technischer Mittel er sich dazu bedient und wie die Provider ihn dabei unterstützen, ist aber unklar.

Relativ neu sind demgegenüber die Berichte darüber, dass der BND in großem Stile auch Metadaten erfasst und ganz generell am Datenknotenpunkt De-Cix die Datenleitungen von 25 Internetprovidern anzapft, darunter auch die von deutschen Providern. Diese Maßnahmen sind in der jährlichen Unterrichtung des Bundestages durch das Parlamentarische Kontrollgremium (PKGr) jedenfalls nicht enthalten. Die Bundesregierung ist allerdings gesetzlich dazu verpflichtet, das PKGr umfassend über die allgemeinen Tätigkeiten der Nachrichtendienste des Bundes und über Vorgänge von besonderer Bedeutung zu unterrichten.

Diese Unterrichtung hat im Hinblick auf die Kontrolle des Datenverkehrs am Knotenpunkt der De-Cix durch den BND offensichtlich nicht stattgefunden. Wenn der BND also tatsächlich in Frankfurt in großem Umfang den Internetverkehr überwacht, dann hat die Bundesregierung gegen ihre Pflichten aus dem Kontrollgremiumgesetz verstoßen und das Gremium nicht im gesetzlich vorgeschriebenen Maß unterrichtet.

Die fehlende Einbeziehung des PKGr in die Internetüberwachung würde allerdings auch zur Rechtswidrigkeit der Maßnahme führen. Nach § 5 Abs. 1 G10-Gesetz werden die Telekommunikationsbeziehungen die Gegenstand sog. strategischer Maßnahmen sind, vom Bundesministerium des Inneren mit Zustimmung des Parlamentarischen Kontrollgremiums bestimmt. Wenn diese Zustimmung fehlt, ist auch die Maßnahme als solche rechtswidrig. BND und Bundesregierung sollen bei grundlegenden Entscheidungen nämlich gerade nicht eigenmächtig ohne Zustimmung des Parlaments agieren können.

Für die pauschale Erfassung sowohl von Metadaten als auch von Kommunikationsinhalten an zentralen Internetknotenpunkten hält das deutsche Recht m.E. gar keine ausreichende Rechtsgrundlage bereit. Insbesondere § 5 G10-Gesetz deckt die pauschale Überwachung des Internets nach meiner Einschätzung bereits deshalb nicht ab, weil die Regelung hierfür nicht gemacht wurde und sich die massenhafte und undifferenzierte Erfassung und Speicherung des gesamten Internetverkehrs an zentralen Knotenpunkten schwerlich unter die gesetzliche Regelung subsumieren lässt. Das Gesetz bildet die technische Wirklichkeit nicht ansatzweise ab.

Der des öfteren erhobene Einwand, das G10-Gesetz sei gar nicht einschlägig, wenn der BND nur ausländische Kommunikation überwacht, verfängt nicht. Denn das G10-Gesetz regelt gerade die Überwachung unf Aufzeichnung der Telekommunikation durch Geheimdienste des Bundes. Und diese Maßnahmen finden ganz offensichtlich noch dazu auf deutschem Hoheitsgebiet statt. Maßnahmen der TK-Überwachung durch BND, MAD und Verfassungsschutz unterliegen nach § 1 Abs. 2 G10-Gesetz außerdem der Kontrolle durch das Parlamentarische Kontrollgremium und durch die sog. G 10-Kommission. Der BND muss also in jedem Fall das G10-Gesetz beachten und unterliegt insoweit der parlamentarischen Kontrolle. § 5 Abs. 1 G10-Gesetz spricht im Rahmen sog. strategischer Maßnahmen außerdem ausdrücklich von “internationalen Telekommunikationsbeziehungen”. Das Gesetz gilt also gerade dann, wenn der BND internationale Telekommunikation überwacht. Eine Differenzierung findet in § 5 Abs. 2 S. 2 G10-Gesetz nur zusätzlich danach statt, ob ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden.

October 28 2013

Darf die NSA in Deutschland die Telekommunikation überwachen?

Der Historiker Josef Foschepoth – dessen Forschung mit Sicherheit verdienstvoll ist – behauptet regelmäßig, die NSA würde deutsche Bürger und deutsche Politiker auch nach deutschem Recht ganz legal abhören. Nachzulesen zuletzt in einem aktuellen Interview mit ZEIT-Online.

Zum Beleg seiner These beruft sich Foschepoth stets auf Verträge zwischen Deutschland und den ehemaligen Alliierten. Konkret sagt er gegenüber ZEIT-Online, dass die ehemaligen Westmächte die gleichen geheimdienstlichen Rechte wie nach dem G10-Gesetz in einem Zusatzvertrag zum Nato-Truppenstatut von 1959 dauerhaft erhalten hätten.

Juristisch betrachtet sind die Aussagen von Foschepoth schlicht falsch. Beschränkungen des Grundrechts aus Art. 10 GG dürfen nur auf Grund eines Gesetzes angeordnet werden. Das von Foschepoth herangezogene Zusatzabkommen zum NATO-Truppenstatut ist kein Gesetz in diesem Sinne, weshalb eine solche Vereinbarung Deutschlands mit den USA, dem UK und Frankreich nicht mit der Verfassung vereinbar wäre.

So weit braucht man aber gar nicht zu gehen, denn ein Blick in das Zusatzabkommen macht sehr schnell deutlich, dass die von Foschepoth behaupteten Überwachungsbefugnisse dort überhaupt nicht geregelt sind.

In einem Interview mit der SZ erläuterte Foschepoth, dass sich beide Seiten in dem Zusatzabkommen zu engster Zusammenarbeit verpflichten, was insbesondere “die Sammlung, den Austausch und den Schutz aller Nachrichten” beinhaltet. Und genau hierauf stützt Foschepoth seine Schlussfolgerung von der Überwachungsbefugnis der NSA.

Er bezieht sich damit offenbar auf Art. 3 Abs. 2 a) dieses Zusatzabkommens, der wie folgt lautet:

Die in Absatz (1) vorgesehene Zusammenarbeit erstreckt sich insbesondere

(a) auf die Förderung und Wahrung der Sicherheit sowie den Schutz des Vermögens der Bundesrepublik, der Entsendestaaten und der Truppen, namentlich auf die Sammlung, den Austausch und den Schutz aller Nachrichten, die für diese Zwecke von Bedeutung sind;

Es stellt bereits eine äußerst kühne These dar, aus dieser Formulierung in dem Abkommen eine Befugnis zur Post- und TK-Überwachung ableiten zu wollen, die den Befugnissen des G10-Gesetzes entspricht. Denn ein Mindestmaß an Bestimmtheit und Normklarheit muss jede Regelung aufweisen. Man kann deshalb unschwer feststellen, dass dieses Zusatzabkommen den USA und anderen Staaten keinerlei Befugnisse verleiht, in Deutschland Maßnahmen der TK-Überwachung durchzuführen. Eine Vereinbarung mit diesem Inhalt existiert nicht. Zumal Art. 3 Abs. 3 b) des Abkommens klarstellt, dass keine Vertragspartei zu Maßnahmen verpflichtet ist, die gegen ihre Gesetze verstoßen würden. Eine derartige Überwachungsbefugnis zugunsten ausländischer Staaten wäre nach deutschem Recht aber nicht nur verfassungswidrig, sondern wegen §§ 98 und 99 StGB auch strafrechtlich relevant.

Die Thesen Foschepoths kann man deshalb mit Fug und Recht als abwegig bezeichnen.

Damit ist natürlich noch nichts darüber ausgesagt, ob frühere Bundesregierungen nicht von einer entsprechenden Tätigkeit ausländischer Geheimdienste Kenntnis hatten und dies geduldet haben. Mit einer derartigen Duldung hätte die Bundesregierung sich allerdings ihrerseits rechtswidrig verhalten. Legal hören amerikanische Dienste in Deutschland jedenfalls nicht ab.

October 06 2013

Bundesregierung genehmigt das Abhören deutscher Provider durch den BND

Der Spiegel meldet, dass der Bundesnachrichtendienst (BND) die Datenleitungen von 25 Internetprovidern am Datenknotenpunkt De-Cix in Frankfurt anzapft. Darunter sind auch sechs deutsche Provider, nämlich 1&1, Freenet, Strato AG, QSC, Lambdanet und Plusserver. Netzpolitik.org berichtet ebenfalls. Die Maßnahmen wurden laut Spiegel vom Kanzleramt und dem Bundesinnenministerium abgezeichnet. Das entspricht insoweit der gesetzlichen Vorgabe, als Maßnahmen zur Beschränkung des Fernmeldegeheimnisses nach § 5 G10-Gesetz vom Bundesinnenminister angeordnet werden müssen (§ 10 Abs. 1 G10-Gesetz).

Nach § 5 G10-Gesetz ist es dem BND aber nur gestattet, internationale Telekommunikationsverbindungen anhand von Suchbegriffen zu durchsuchen und auszuwerten. Die Vorschrift besagt ausdrücklich, dass keine Suchbegriffe verwendet werden dürfen, die Identifizierungsmerkmale enthalten, die zu einer gezielten Erfassung bestimmter Telekommunikationsanschlüsse führen. Genau das trifft aber auf Telefonnummern, E-Mail-Adressen und IP-Adressen zu. Das gilt allerdings nicht für Telekommunikationsanschlüsse im Ausland, sofern ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden.

Hier zeigt sich wieder einmal das Problem absoluter Geheimhaltung gepaart mit einer fehlenden (gerichtlichen) Kontrolle. BND und Bundesregierung agieren hier faktisch im rechtsfreien Raum. Eine effektive Rechtmäßigkeitskontrolle findet nicht statt.

Die Maßnahmen sind, jedenfalls soweit sie sich an deutsche Provider richten, nämlich mit hoher Sicherheit rechtswidrig. Denn über deutsche Provider wie 1&1 läuft überwiegend Kommunikation mit Inlandsbezug. Es ist technisch unmöglich, wie vom Gesetz gefordert, sicherzustellen, dass ausschließlich solche Kommunikation erfasst wird, die ausländische Anschlüsse betrifft. Wenn der BND angibt, dass er E-Mail-Adressen mit der Endung .de ausfiltert, so handelt es sich hierbei um ein von vornherein untaugliches Ausschlusskriterium. Millionen Deutsche benutzen E-Mail-Adressen die auf .com enden. Das betrifft nicht nur viele international agierende Unternehmen, sondern auch solche Privatpersonen, die E-Mail-Accounts bei großen ausländischen Anbietern wie Google oder Hotmail haben. Selbst deutsche Mailprovider wie GMX bieten E-Mail-Adressen an, die beispielsweise auf .org enden. Wenn jemand über einen deutschen Provider eine Com- Net- oder Org-Domain registriert hat, bietet der Provider den Maildienst natürlich auch über diese Domains an. Die Domainendung besagt also letztlich wenig über die Nationalität oder den Sitz eines Nutzers, zumal viele Top-Level-Domains überhaupt nicht länderspezifisch ausgerichtet sind, sondern von vornherein international.

Hinzu kommt, dass die aktuelle Fassung des G10-Gesetzes vom BVerfG noch nie überprüft worden ist. Ihre Verfassungsgemäßheit dürfte, nicht zuletzt wegen der exzessiven tatsächlichen Praxis des BND, zweifelhaft sein. Hierzu hat der Kollege Härting einen lesenswerten Beitrag verfasst.

Die geschilderten Maßnahmen hat die rot-grüne Koalition durch das Gesetz zur Neuregelung von Beschänkungen des Brief-, Post- und Fernmeldegeheimnisses vom 26. Juni 2001 überhaupt erst möglich gemacht. Denn dieses Gesetz führte die Möglichkeit ein, auch die leitungsgebundene Kommunikation zu überwachen, erweiterte die Kompetenzen u.a. auf die Bekämpfung des internationalen Terrorismus und erhöhte die zulässige Überwachungsquote auf 20 %. Diese gesetzliche Regelung aus dem Jahre 2001 stellt also die zentrale rechtliche Grundlage der Internetüberwachung durch den BND dar. Das auf den Notstandgesetzen des Jahres 1968 beruhende Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses wurde dadurch nochmals entscheidend erweitert.

September 13 2013

OLG Frankfurt: Anlasslose, siebentägige Speicherung von IP-Adressen durch Telekom zulässig

Das OLG Frankfurt hat mit Urteil vom 28.08.2013 (Az.: 13 U 105/07) erneut entschieden, dass die anlasslose Speicherung von IP-Adressen durch einen Zugangsprovider (Telekom) zulässig ist.

Der Fall hat eine lange Vorgeschichte und war bereits einmal beim BGH und es könnte sein, dass das Verfahren nunmehr erneut dort landet, nachdem das OLG die Revision zugelassen hat.

Die Telekom hatte ihre Praxis, die von ihren Kunden benutzten dynamischen IP-Adressen für die Dauer von sieben Tagen zu speichern, zunächst auf Abrechnungszwecke gestützt. Diese Begründung hat beim BGH im Ergebnis nicht gehalten, weil die Telekom nicht unter Beweis gestellt hat, dass die Speicherung zu Abrechungszwecken bei Flatratekunden erforderlich ist. Gleichzeitig hat der BGH aber darauf hingewiesen, dass eine Speicherung nach § 100 Abs. 1 TKG in Betracht kommt, sofern dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlage erforderlich ist. Diese Entscheidung des BGH ist auf Kritik gestoßen.

Die Telekom hat ihren Vortrag nach der Zurückverweisung angepasst und das OLG Frankfurt hat die Speicherung nunmehr erneut bestätigt, aufgrund der deutlichen Vorgabe des BGH diesmal gestützt auf Fehlererkennung und -beseitigung. Die maßgebliche Passage im Urteil des OLG Frankfurt hierzu lautet:

Angesichts des auf dieser Grundlage erstatteten und im Termin zur mündlichen Verhandlung vom 3.07.2013 mündlich erläuterten und vertieften Gutachtens des gerichtlich bestellten Sachverständigen B vom 28.12.2012 ist der Senat zu der Überzeugung gelangt, dass die Speicherpraxis der Beklagten durch den Erlaubnistatbestand des § 100 I TKG gedeckt ist, weil es – jedenfalls nach dem derzeitigen Stand der Technik – keine anderen Möglichkeiten gibt, Störungen der Telekommunikationsanlagen zu erkennen, einzugrenzen und notfalls zu beseitigen.

Der Sachverständige hat in sich nachvollziehbar dargelegt, dass bei der Beklagten pro Monat mehr als 500.000 Abuse-Meldungen eingehen.

Circa 162.000 dieser Abuse-Meldungen stehen im Zusammenhang mit Spams. Diese Vorfälle werden typischerweise von Botnetzen ausgelöst und führen als Nebeneffekt nicht nur zu unerwünschter Werbung, sondern auch zu Kaperungen von Accounts oder Rechnern, zum Diebstahl von Informationen oder ähnliche Missbräuchen. Derartige Angriffe ermöglichen Cyberkriminellen monetäre Vorteile, weil gestohlene Informationen z. B. in Untergrundforen verkauft oder gekaperte Computer zum Versand von Spam-Nachrichten benutzt werden.

Etwa 164.000 der Abuse-Meldungen stehen im Zusammenhang mit Angriffen auf Business-Kunden und haben damit potentiell direkten Einfluss auf die Infrastruktur und Dienste der Beklagten.

Daneben gibt es weitere Abuse-Meldungen, die vorwiegend im Zusammenhang mit Schadcodes auf Webseiten, Hacking, Portscans und anderen Arten von Missbräuchen stehen.

Der Sachverständige hat weiter plausibel dargelegt, dass den vorstehend beschriebenen Missbräuchen, die der Beklagten durch die entsprechenden Meldungen bekannt werden, durch ein geeignetes Abuse-Handling entgegengewirkt werden muss.

Denn unbehandelte Abuse-Meldungen erlauben es Angreifern, den von ihnen einmal in Gang gesetzten Missbrauch ungestört fortzusetzen und mehr Spams zu versenden, mehr Rechner auszuspähen, größere Botnetze zu erstellen, mehr Hacking-Angriffe auf die Kundeninfrastruktur der Beklagten auszuführen und ähnliche Angriffe durchzuführen.

Durch das Abuse-Handling der Beklagten wird es überhaupt erst ermöglicht, eine große Zahl an infizierten Rechnern zeitnah herauszufiltern. Wollte man das von der Beklagten eingeführte Sicherheitssystem unterbinden oder in zeitlicher oder sonstiger Weise stärker einschränken, als die Beklagte dies bereits in Absprache mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit getan hat, würde die Zahl der infizierten Rechner nicht nur konstant bleiben, sie würde vielmehr – bei entsprechender Zunahme von Spams – ständig zunehmen.

Der Senat ist auf Grund des Gutachtens des gerichtlich bestellten Sachverständigen davon überzeugt, dass das Abuse-Handling der Beklagten es ermöglicht, derartige Missbräuche bereits im Vorfeld einzudämmen. So werden bei ca. 500.000 Abuse-Meldungen pro Monat unter anderem ca. 20.000 Nutzer von infizierten Rechnern über den von diesen regelmäßig nicht erkannten Missbrauch in Kenntnis gesetzt und darüber informiert, wie der Missbrauch behoben werden kann.

Ohne das von der Beklagten praktizierte Abuse-Handling könnte es, so hat der Sachverständige nachvollziehbar dargelegt, neben den beschriebenen Missbräuchen auch zu starken Belastungen – unter Umständen auch zu Überlastungen – des Systems der Beklagten kommen. Denn die Mailserver werden durch Spams überfrachtet. Solange die Kapazität des Systems der Beklagten ausreicht, bleibt das System zwar noch funktionstüchtig. Im anderen Fall, also dem Fall der Überlastung, würde dies jedoch dazu führen, dass Mails überhaupt nicht mehr angenommen werden könnten. Bei der sogenannten Denial-of-Service-Attacke ist die Leistungskapazität erschöpft. Derartige Stabilitätsprobleme sind in der momentanen Praxis zwar glücklicherweise eher selten, würden aber ohne ein entsprechendes Abuse-Handling-System häufiger auftreten; und zwar mit nicht auszuschließenden Auswirkungen auch auf andere Netzbetreiber in Deutschland.

Provider dürfen also aus Gründen des Abuse-Handlings eine Vorratsdatenspeicherung von sieben Tagen praktizieren. Dass der BGH dies anders beurteilen wird, bezweifle ich angesichts seiner Vorentscheidung.

July 22 2013

Die pauschale Überwachung des Internetverkehrs heißt beim BND “strategische Fernmeldekontrolle”

Deutsche Politiker geben sich in diesen Tagen gerne ahnungslos, was den Umfang der Internet- und Telekommunikationsüberwachung durch amerikanische Dienste und auch die Mitwirkung des Bundesnachrichtendienstes (BND) angeht. Vor ein paar Tagen habe ich darüber gebloggt, was man diesbezüglich allein aus einem ganz offiziellen US-Geheimdienstdokument entnehmen kann.

Heute möchte ich der Frage nachgehen, was sich aus offiziellen deutschen Dokumenten über das Ausmaß der Internetüberwachung, das der BND betreibt, ergibt.

Die gesetzliche Grundlage für eine pauschale und anlassunabhängige Überwachung des Internetverkehrs bietet Art. 5 des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10). Dort ist die sog. strategische Fernmeldeüberwachung geregelt.

Was aufgrund dieser gesetzlichen Ermächtigung genau gemacht wird, kann man beispielsweise in der Unterrichtung des Bundestages durch das Parlamentarische Kontrollgremium vom 10.02.2012 nachlesen:

Strategische Kontrolle bedeutet, dass nicht der Post- und Fernmeldeverkehr einer bestimmten Person, sondern Telekommunikationsbeziehungen, soweit eine gebündelte Übertragung erfolgt, nach Maßgabe einer Quote insgesamt überwacht werden. Aus einer großen Menge verschiedenster Gesprächsverbindungen werden mit Hilfe von Suchbegriffen einzelne erfasst und ausgewertet. Gemäß § 5 Absatz 1 G 10 dürfen auf Antrag des BND Beschränkungen nach § 1 G 10 für internationale Telekommunikationsbeziehungen angeordnet werden, soweit eine gebündelte Übertragung erfolgt.
(…)
Für diese Beschränkungen darf der Bundesnachrichtendienst Suchbegriffe verwenden, die zur Aufklärung von Sachverhalten über den in der Anordnung bezeichneten Gefahrenbereich bestimmt und geeignet sind. Die Suchbegriffe dürfen keine Identifizierungsmerkmale enthalten, die zu einer gezielten Erfassung bestimmter Telekommunikationsanschlüsse führen oder den Kernbereich der privaten Lebensgestaltung betreffen. Dies gilt nicht für Telekommunikationsanschlüsse im Ausland, sofern ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden.
(…)
Mit Zustimmung der G 10-Kommission ordnete das Bundesministerium des Innern im Berichtszeitraum (2010, Anm. d. Verf.) zu folgenden drei Gefahrenbereichen G 10-Maßnahmen an:
– der Begehung internationaler terroristischer Anschläge mit unmittelbarem Bezug zur Bundesrepublik Deutschland (§ 5 Absatz 1 Satz 1und Satz 3 Nummer 2 G 10),
– der internationalen Verbreitung von Kriegswaffen im Sinne des Gesetzes über die Kontrolle von Kriegswaffen sowie des unerlaubten Außenwirtschaftsverkehrs mit Waren, Datenverarbeitungsprogrammen und Technologien in Fällen von erheblicher Bedeutung (§ 5 Absatz 1 Satz 1 und Satz 3 Nummer 3 G 10),
– des gewerbs- oder bandenmäßig organisierten Einschleusens von ausländischen Personen in das Gebiet der Europäischen Union in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland (§ 5 Absatz 1 Satz 1 und Satz 3 Nummer 7 G 10).

Der BND überwacht also, aufgrund einer allgemeinen Anordnung des BMI für die Bereiche internationaler Terrorismus, Verstöße gegen das Kriegswaffenkontrollgesetz und illegale Schleusung, das Internet ohne konkreten Anlass und durchsucht pauschal die erfasste Kommunikation softwaregestützt nach Suchbegriffen.

Dass man hierfür auch entsprechende Software benötigt, die evtl. auch identisch ist mit dem Tools die US-Dienste einsetzen, ist da nicht mehr der eigentliche Skandal.

Fragwürdig ist vielmehr die gesetzliche Gestattung des § 5 G 10. Die aktuelle Fassung dieser Vorschrift ist übrigens vom BVerfG noch nie überprüft worden, ihre Verfassungsgemäßheit dürfte, nicht zuletzt wegen der exzessiven tatsächlichen Praxis des BND, zweifelhaft sein. Hierzu hat der Kollege Härting vor einigen Wochen einen äußerst lesenswerten Beitrag verfasst.

Nach § 10 Abs. 4 S. 4 G 10 kann der BND auf diesem Weg bis zu 20% des Fernmeldeverkehrs komplett überwachen. Das ist ihm offenbar aber immer noch nicht genug, wie aktuelle Medienberichte belegen. Auch beim BND ist das Ziel die Totalüberwachung.

Die geschilderten Maßnahmen wurden von rot-grün durch das Gesetz zur Neuregelung von Beschänkungen des Brief-, Post- und Fernmeldegeheimnisses vom 26. Juni 2001 überhaupt erst ermöglicht. Denn dieses Gesetz führte die Möglichkeit ein, auch die leitungsgebundene Kommunikation zu überwachen, erweiterte die Kompetenzen u.a. auf die Bekämpfung des internationalen Terrorismus und erhöhte die zulässige Überwachungsquote auf 20 %. Diese gesetzliche Regelung aus dem Jahre 2001 stellt also die zentrale rechtliche Grundlage der Internetüberwachung durch den BND dar.

Dass die hierdurch gewonnenen Erkenntnisse und Daten dann auch mit ausländischen Diensten ausgetauscht werden, dürfte mittlerweile offensichtlich sein.

Der Bundestag ist über das Ausmaß dieser, wie gesagt vom Innenministerium angeordneten, Internetüberwachung informiert. Um dies zu erkennen genügt die Lektüre von auf dem Bundestagsserver liegenden Dokumenten.

May 02 2013

Verstoßen die Drosselpläne der Telekom gegen das Fernmeldegeheimnis des TKG?

Die Telekom hat vor gut einer Woche angekündigt, auch für Festnetzinternetzugänge Volumenbeschränkungen (“integrierte Highspeed-Volumina”) einzuführen, mit der Folge, dass der Internetanschluss nach dem Verbrauch eines bestimmten Datenvolumens erheblich gedrosselt werden soll.

Nach aktuellen Pressemeldungen hat Niek Jan van Damme, Vorstandsmitglied der Telekom AG und Sprecher der Geschäftsführung der Telekom Deutschland GmbH, erklärt, man sei offen für Gespräche mit Marktgrößen wie YouTube. Wenn diese Anbieter direkt an die Telekom bezahlen, sei es denkbar, dass die Nutzung solcher Dienste das Datenvolumen der Nutzer/Kunden nicht aufbrauchen. Praktiziert wird dieses System von der Telekom bereits aktuell im Mobilfunkbereich für den Musikstreamingdienst Spotify.

Diese Aussage und Ankündigung wirft rechtliche Fragen auf, die über das hinausgehen, was aktuell rechtspolitisch unter dem Stichwort Netzneutralität diskutiert wird.

§ 88 TKG regelt das (einfachgesetzliche) Fernmeldegeheimnis, das Absatz 1 der Vorschrift wie folgt definiert:

Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche.

TK-Diensteanbietern wie der Telekom ist es nach § 88 Abs. 3 TKG ausdrücklich

untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden.

Wenn die Telekom allerdings die Nutzung bestimmter Dienste / Inhaltsangebote wie YouTube oder Spotify von dieser Volumenbegrenzung ausnimmt, dann setzt das voraus, dass die Telekom das Internetnutzungsverhalten jedes einzelnen Kunden genau aufzeichnet und auch ermittelt, welche Websites und Inhaltsangebote der Kunde im einzelnen aufruft und welches Datenvolumen hierbei anfällt. Anders lässt sich nämlich nicht bestimmen, ob und in welchem Umfang der Telekomkunde priviligierte Dienste wie Spotify nutzt.

Damit verschafft sich die Telekom Kenntnis vom Inhalt und den näheren Umständen der Telekommunikation. Die Telekom wird nun damit argumentieren, dies sei für die geschäftsmäßige Erbringungen ihrer TK-Dienste erforderlich. Aber lässt sich diese Ansicht wirklich vertreten? § 88 Abs. 3 TKG normiert grundsätzlich ein sog. Kenntnisnahmeverbot des TK-Dienstleisters. Würde man sich nun auf die Argumentation der Telekom einlassen, dann hätte es der TK-Anbieter beliebig in der Hand, dieses gesetzliche Kenntnisnahmeverbot zu umgehen. § 88 Abs. 3 TKG wäre weitgehend ausgehöhlt. Das entspricht aber gerade nicht dem Sinn und Zweck der gesetzlichen Regelung.

Und hier sind wir dann auch beim Aspekt der Netzneutralität angelangt. Man wird es der Telekom grundsätzlich nach geltendem Recht nicht verbieten können, Flatrates durch Volumentarife zu ersetzen, bzw. ab einem gewissen Volumen zu drosseln. Was § 88 TKG allerdings verbietet, ist die vollständige inhaltliche Analyse des Internetnutzungsverhalten der Kunden, mit dem Ziel einzelne Internetdienste zu priviligieren. Für die Erbringung der TK-Dienstleistung ist es nicht erforderlich zu analysieren, ob der Kunde YouTube oder Spotify nutzt.

Nach meiner Einschätzung verstößt damit bereits das, was die Telekom im Mobilfunk aktuell im Hinblick auf Spotify macht, gegen § 88 TKG.

March 21 2013

Fragwürdige Berichterstattung zur Bestandsdatenauskunft

In der Diskussion um die Neuregelung der sog. Bestandsdatenauskunft nach dem TKG nimmt die fragwürdige und falsche Berichterstattung leider zu.

Das Portal netzpolitik.org behauptet zum wiederholten Mal, dass eine Abhörschnittstelle geschaffen werden soll, die dafür sorgt, dass “die Identifizierung von Personen anhand ihrer IP-Adresse im Internet zukünftig für deutsche Behörden per Knopfdruck” möglich werden soll. Das suggeriert, die Ermittlungsbehörden könnten künftig automatisiert und direkt Bestandsdaten bei den TK-Providern abrufen.

Das ist aber nicht der Fall. Richtig ist vielmehr, dass das Gesetz eine vollautomatisierte Abfrage nicht ermöglicht. Jedes Auskunftsverlangen muss vom Provider durch eine verantwortliche Fachkraft einzeln darauf geprüft werden, ob die Anfrage von einer zuständigen Stelle unter Berufung auf eine einschlägige gesetzliche Befugnisnorm erfolgt.

Noch absurder ist leider die Berichterstattung, dass sich der Staat mit der Neuregelung Zugriff auf Banking-PINs verschaffen würde. Offenbar hat man hierbei die Begriffe PIN (und PUK) dahingend missverstanden, dass es sich hierbei um Zugangsdaten zum Online-Banking handeln würde.

Das Gesetzesvorhaben ist nach wie vor kritikwürdig, aber haarsträubende Falschbehauptungen wie die oben geschilderten, tragen nur zur Desinformation bei.

March 11 2013

Neuregelung der Bestandsdatenauskunft möglicherweise erneut verfassungswidrig

Die sog. Bestandsdatenauskunft von TK-Anbietern gegenüber Sicherheits- und Strafverfolgungsbehörden muss wegen einer Entscheidung des Bundesverfassungsgerichts neu geregelt werden. Darüber hatte ich im letzten Jahr bereits ausführlich berichtet.

Der Gesetzesentwurf befindet sich mittlerweile im Gesetzgebungsverfahren, der Innenausschuss hat heute dazu eine Sachverständigenanhörung durchgeführt. Die Einschätzungen der Sachverständigen waren erwartungsgemäß unterschiedlich.

Für lesenswerte halte ich die schriftliche Stellungnahme von Prof. Matthias Bäcker, der die Ansicht vertritt, dass der Entwurf einer Neufassung des § 113 TKG teils die Kompetenzordnung des Grundgesetzes verletzt, reglungsbedürftige Fragen nicht regelt und deshalb gegen Grundrechte verstößt.

Bäcker geht insbesondere davon aus, dass der Bund (im TKG) abschließend regeln muss, aus welchen Anlässen und zu welchen Zielen die Daten übermittelt werden dürfen und dies nicht den fachspezifischen Regelungen von Bund und Ländern überlassen werden darf. Denn der Zweckbindungsgrundsatz erfordert laut Bäcker, dass eine solche Regelung unmittelbar im TKG erfolgt. Der Entwurf regelt aber in 113 Abs. 3 TKG-E nur, an welche Behörden die Daten übermittelt werden dürfen, nicht aber, unter welchen Voraussetzungen dies zulässig ist.

Ferner hält Bäcker beispielsweise auch die geplante Abfrageermächtigung im BKA-Gesetz für verfassungswidrig, weil die in § 7 Abs. 3 BKAG-E enthaltene Ermächtigung dem Bundeskriminalamt in seiner Funktion als Zentralstelle eine zu weitreichende Befugnis zu Bestandsdatenabrufen im Vorfeld konkreter Gefahren oder strafprozessualer Verdachtslagen einräumt. Die vorgesehene Regelung ermöglicht dem BKA laut Bäcker Bestandsdatenabfragen zur Unterstützung von kriminalstrategischen Analysen zu nutzen, die es unabhängig von konkreten Verdachtsmomenten durchführt kann.

Darin könnte man eine Art kleine Vorratsdatenspeicherung durch die Hintertür sehen. Dies ist jetzt allerdings meine eigene Schlussfolgerung und nicht die von Bäcker. Denn wenn das BKA aufgrund einer zu weitreichenden Ermächtigungsnorm verdachtsunabhängig Daten anfordern – und anschließend natürlich auch speichern – kann, wird damit in gewissem Maße faktisch auch eine anlassunabhängige Speicherung von Daten ermöglicht, die später u.U. unkontrolliert für andere strafprozessuale oder präventive Zwecke Verwendung finden könnten.

November 09 2012

Deep Packet Inspection auch in Deutschland?

Netzpolitik.org erläutert in einem aktuellen Blogbeitrag, dass die Telekom und Kabel Deutschland das Produkt “Service Control Engine” von Cisco einsetzen, das eine Deep Packet Inspection (DPI) ermöglicht. Mittels DPI werden sämtliche transportierten Datenpakete systematisch ausgelesen und analysiert. CCC-Mitglied Rüdiger Weis hat das kürzlich gegenüber der taz sehr anschaulich erläutert.

Totalitäre Staaten wie China und jetzt auch Russland benutzen DPI dazu, das Internet zu überwachen und zu zensieren. In Deutschland setzen Provider DPI nach eigenen Angaben dazu ein, um beispielsweise Filesharing auszubremsen oder um Internettelefonie (Skype) zu unterbinden, wenn der von dem Kunden gebuchte Tarif eine solche Nutzung vertraglich nicht zulässt.

Zu dem Thema hatte ich kürzlich bereits gebloggt und die Rechtsansicht vertreten, dass der Einsatz von DPI gegen § 88 TKG verstößt und damit in Deutschland unzulässig ist.

Die Einhaltung des Fernmeldegeheimnisses ist nach dem TKG in der Tat allerdings nicht als Aufgabe der Bundesnetzagentur definiert, weshalb die von netzpolitik.org geschilderte Reaktion der Behörde formal nicht zu beanstanden ist. Es stellt sich hier dennoch die Frage, ob sich der Staat einfach raushalten kann, wenn er erkennt, dass deutsche TK-Anbieter systematisch gegen das (einfachgesetzliche) Fernmeldegeheimnis verstoßen. Denn der Staat hat natürlich auch eine Schutzpflicht für die Grundrechte seiner Bürger. Insoweit stellt sich die Frage, ob das Fernmeldegeheimnis des TKG gesetzlich ausreichend abgesichert ist oder ob der Gesetzgeber nicht doch die Einhaltung des Fernmeldegeheimnisses und eine Sanktionierung von Verstößen behördlicherseits sicherstellen müsste.

Nachdem der Straftatbestand des § 206 StGB erst dann eingreift, wenn Informationen, die dem Fernmeldegeheimnis unterliegen an einen anderen weitergegeben werden, stellt der Verstoß gegen § 88 TKG derzeit wohl (nur) eine zivilrechtliche Verletzung der Rechte des Providerkunden dar, gegen die Unterlassungs- und Schadensersatzansprüche in Betracht kommen.

July 17 2012

Brauchen wir ein Telemediengeheimnis?

Sascha Lobo schreibt in seiner Kolumne bei SPON, dass man ein Telemediengeheimnis bräuchte, quasi als Ergänzung zum Brief- und Fernmeldegeheimnis. Der Grund für Sascha Lobos Erregung ist der Umstand, dass Facebook nach Ansicht Lobos die Chatkommunikation seiner Nutzer flächendeckend aufzeichnet und analysiert. Hierzu verweist Lobo u.a. auf einen Artikel in der SZ und beendet seinen Kommentar mit den Worten:

“Wir brauchen ein Telemediengeheimnis. Die Eltern des Grundgesetzes hätten es so gewollt”

Jetzt besteht das verfassungsrechtliche Problem zunächst darin, dass Grundrechte nur im Verhältnis zwischen Staat und Bürger gelten. Nachdem Facebook aber keine Behörde oder staatliche Stelle ist, kann es auch nicht (unmittelbar) an Grundrechte gebunden sein. Selbst ein neues Grundrecht würde also nicht unmittelbar gegenüber Facebook helfen.

Deshalb gibt es in § 88 TKG ergänzend das einfachgesetzliche Fernmeldegeheimnis – das manche etwas moderner auch Telekommunikationsgeheimnis nennen – durch das sog. Diensteanbieter verpflichtet werden. Dem Fernmeldegeheimnis unterliegt sowohl der Inhalt der Kommunikation als auch der Umstand, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war.

Facebook ist – soweit es Kommunikation ermöglicht – auch Diensteanbieter im Sinne des TKG, denn Telekommunikation ist der technische Vorgang des Aussendens, Übermittelns und Empfangs von Nachrichten. Und diese technische Dienstleistung erbringt Facebook für seine Nutzer. Das Chat-System und das Direktnachrichtensystem von sozialen Medien unterliegt daher dem Fernmeldegeheimnis des TKG. Wir brauchen also keineswegs ein Telemediengeheimnis. Es besteht insoweit keine Gesetzeslücke.

Was wir hier vielmehr beobachten können, ist ein altbekanntes Problem speziell im Umgang mit US-Anbietern, das ich als Vollzugsdefizit bezeichnen würde. Anbieter wie Facebook oder Gooogle verstoßen häufiger gegen deutsches und europäisches Recht, u.a. auch beim Datenschutz. Der deutsche Staat, wie auch die EU, sind in vielen Fällen nur nicht mehr dazu in der Lage, ihr Recht gegenüber diesen Anbietern durchzusetzen.

June 18 2012

Die Speicherpraxis der TK-Unternehmen

Der Arbeitskreis Vorratsdatenspeicherung berichtet aktuell über eine Erhebung der Bundesnetzagentur zur Praxis der Speicherung von Verbindungs- und Staandortdaten durch TK-Unternehmen.

Danach werden z.B. Standortdaten von der Telekom für 30 Tage und von Vodafone sogar für 210 Tage gespeichert. Auch bei Verbindungsdaten ist – selbst bei Flatrates – eine Speicherdauer von 30 Tagen nicht ungewöhnlich, einige Anbieter speichern sogar noch deutlich länger.

Ähnliche Zahlen – die allerdings im Detail differieren – ergeben sich aus einem Leitfaden der Generalstaatsanwaltschaft München.

Wenn man sich dazu noch vor Augen führt, welch eine Fülle an Einzelbefugnissen im Bereich der Telekommuniaktion-Überwachung tatsächlich existiert, ergibt sich in der Gesamtschau ein durchaus beunruhigendes Bild.

February 29 2012

Der elektronische Staubsauger

Vor einigen Tagen wurde bekannt, dass die Geheimdienste im Jahr 2011 ca. 37 Millionen E-Mails überprüft haben, weil darin Begriffe wie “Bombe” auftauchten. Diese Zahlen besagen allerdings auch, dass noch wesentlich mehr gescannt wurde und “nur” in 37 Millionen Mails diejenigen Suchbegriffe enthalten waren, nach denen der Bundesnachrichtendienst gesucht hatte und von denen er glaubt, dass sie beispielsweise zur Früherkennung der Gefahr terroristischer Anschläge taugen. Die gescannten Mails, die keine der vorgegebenen Suchbegriffe enthielten, tauchen in der Statistik von vornherein nicht auf.

Die Rechtsgrundlage für das Vorgehen des Bundesnachrichtendiensts, das in der Presse gerne elektronischer Staubsauger genannt wird, findet sich in  § 5 des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10).

Der BND darf für diese “strategischen Maßnahmen”, durch die das Fernmeldegeheimnis eingeschränkt wird, nur solche Suchbegriffe verwenden, die geeignet sind zur Aufklärung von Sachverhalten über den in der Anordnung genannten Gefahrenbereich beizutragen. Das sind aber gerade so allgemeine Begriffe wie Bombe, Al Quaida oder Anschlag.

Wie sich dem Bericht des Parlamentarischen Kontrollgremiums vom 10.02.2012 entnehmen lässt, hat das Innenministerium im Jahr 2010 derartige Maßnahmen für drei große Bereiche (internationaler Terrorismus, internationale Verbreitung von Kriegswaffen sowie unerlaubter Außenwirtschaftsverkehr mit Waren, Datenverarbeitungsprogrammen und Technologien und gewerbs- oder bandenmäßig organisiertes Einschleusen von Ausländern) genehmigt.

Im Jahr 2010 hat die Bundesregierung allein im Bereich “Internationaler Terrorismus” 2752 (!) allgemeine Suchbegriffe zugelassen. Anhand dieser Suchbegriffe hat der BND den Telekommunikationsverkehr gescannt und nur für den Terrorismusbereich 10 213 329 Vorgänge näher untersucht, davon 10 208 525 E-Mails.

Grundsätzlich müssen diese Maßnahmen nach dem Gesetz zwar auf  internationale Telekommunikationsbeziehungen beschränkt werden. Wie man diese Einschränkung aber speziell beim E-Mail-Verkehr umsetzen und einhalten will, ist unklar. Die Ansicht des Abgeordneten Ströbele, dass Deutsche kaum betroffen sein dürften, kann man deshalb getrost als naiv bezeichnen. Es muss vielmehr davon ausgegangen werden, dass der BND zunächst unterschiedslos (nahezu) den gesamten E-Mail-Verkehr scannt.

Diese flächendeckende Form der Telekommunikationsüberwachung, die zutreffend als elektronischer Staubsauger bezeichnet wird – weil zunächst alles angesaugt wird – wurde 1999 vom Bundesverfassungsgericht in einer äußerst fragwürdigen Entscheidung abgesegnet. Damals war allerdings das Ausmaß der Überwachung nicht vorhersehbar. Das Gericht ging vielmehr davon aus, dass die täglich erfassten Telekommunikationsvorgänge aus technischen Gründen auf 15 000 beschränkt bleiben würden. Tatsächlich sind es mittlerweile über 100 000 jeden Tag.

Sowohl die parlamentarische, als auch die gerichtliche Kontrolle hat sich in diesem Bereich also als gänzlich wirkungslos erwiesen. Das Grundrecht aus Art. 10 GG ist zumindest mit Blick auf die Geheimdienste nur noch eine leere Hülle. Die Dienste können praktisch nach Belieben agieren, zumal die Bundesregierung die ohnehin sehr weit gefassten Anordnungen nach § 5 G 10 äußerst großzügig erlässt.

 

 

February 10 2012

Amtsgericht lässt Facebook-Account beschlagnahmen

Ein schwäbischer Strafrichter hat zu einer ungewöhnlichen Maßnahme gegriffen, die aber in Zukunft durchaus Schule machen könnte. Er hat die Beschlagnahme eines Facebook-Accounts angeordnet, um an die Kommunikation eines Angeklagten zu gelangen. Der Amtsrichter erhofft sich davon Anhaltspunkte für die Aufklärung eines Einbruchsdiebstahls.

Die Maßnahme ist auf Basis des deutschen Rechts grundsätzlich denkbar. Sowohl das Bundesverfassungsgericht als auch der Bundesgerichtshof haben entschieden, dass E-Mails, die sich auf dem Mailserver des Providers befinden, nach der Strafprozessordnung beschlagnahmt werden können. Gleiches dürfte grundsätzlich auch für die Beschlagnahme der nicht öffentlich geführten Kommunikation in sozialen Netzwerken wie Facebook gelten.

Das Amtsgericht Reutlingen steht allerdings vor dem Problem, dass Facebook offiziell in Deutschland keine selbständige Niederlassung unterhält. Der Jugendrichter hat von Facebook hierzu die wenig überraschende Antwort erhalten, dass deutsche Angestellte von Facebook nicht in der Lage seien auf die Nutzerdaten zuzugreifen. Facebook hat vielmehr auf seine europäische Niederlassung in Irland verwiesen. Eine Antworttechnik Facebooks, die man aus dem Datenschutzrecht kennt.

Die weitere Entwicklung des Falles dürfte also durchaus spannend sein. Wenn es dem Amtsrichter gelingt, die Nutzerdaten aus Irland zu bekommen, dann wird es künftig wohl häufiger eine Beschlagnahme von Facebook-Account geben.

February 03 2012

Gutachten des BMWi schlägt Three-Strikes-Modell nach britischem Vorbild vor

Das Bundeswirtschaftsministerium hat eine vergleichende Studie über Modelle zur Versendung von Warnhinweisen durch Internet-Zugangsanbieter an Nutzer bei Urheberrechtsverletzungen – je nach Ausgestaltung als Two-Strikes-, Three-Strikes- oder nach französischem Vorbild (Hadopi) ausgestaltetes Modell bezeichnet – veröffentlicht.

Das von Prof.  Rolf Schwartmann vorgelegte Gutachten stellt zunächst eine rechtsvergleichende Untersuchung an und befasst sich anschließend auch mit der Frage, ob ein solches Modell in Deutschland möglich wäre (S. 303 ff. des Gutachtens) und insbesondere mit dem deutschen Verfassungsrecht in Einklang stünde.

Das lobbyfreundliche Gutachten Schwartmanns schlägt für Deutschland ein Modell vor, das an das britische Konzept angelehnt ist. Die Zugangsprovider sollen verpflichtet werden, Warnhinweise an solche Anschlussinhaber zu versenden, deren IP-Adresse im Zusammenhang mit einer ihnen gemeldeten Rechtsverletzung ermittelt wurde. Die Provider sollen ergänzend eine gegenüber Dritten anonymisierte Verstoßliste führen und diese Liste ab einer bestimmten Anzahl von Verstößen, dem Rechteinhaber bekannt geben. Dieser kann dann vom Provider, wie derzeit bereits üblich, im Wege eines gerichtlichen Auskunftsverlangens die Bekanntgabe von Namen und Anschrift des betroffenen Nutzers verlangen und anschließend im Wege einer Abmahnung und ggf. gerichtlich gegen den Nutzer vorgehen.

Dieses Modell könnte allerdings in Widerspruch zu einer aktuellen Entscheidung des EuGH stehen, die von Schwartmann kürzlich in durchaus beachtenswerter Art und Weise kommentiert wurde.

Das Gutachten hat jedenfalls erkannt, dass diejenigen Modelle, an deren Ende eine Sperrung des Internetzugangs steht, schwerlich mit den deutschen Grundrechten in Einklang zu bringen sind.

Der Vorschlag Schwartmanns führt allerdings zu einer Verfestigung und Ausweitung des derzeitigen Konzepts der Filesharing-Abmahnungen, das sich unter dem Motto “Turn Piracy Into Profit” zu einem weitgehend fragwürdigen Geschäftsmodell entwickelt hat. Für Internetzugangsprovider dürfte die Führung einer Verstoßliste – in der ja sämtliche einem Provider gemeldeten Verstöße erfasst werden müssen – außerdem einen beträchtlichen Aufwand mit sich bringen.

Noch bedenklicher ist allerdings der Umstand, dass die längerfristige Speicherung im Rahmen einer Verstoßliste faktisch eine Kombination aus einer Vorratsdatenspeicherung und einem Quick-Freeze darstellt. Der Provider speichert quasi auf Zuruf die Daten vermeintlicher Einzelverstöße – ohne jede Prüfung wohlgemerkt – und führt diese in einer Verstoßliste zusammen, die ein Rechteinhaber später abrufen kann. Diese Liste wird für Rechteinhaber damit praktisch auf Vorrat gespeichert. Die Frage wäre dabei allerdings dann auch, ob diese Verstoßliste sämtliche gemeldeten Rechtsverstöße verschiedener Rechteinhaber umfasst oder ob nach Rechteinhabern getrennte Verstoßlisten geführt werden müssten. Dieses System dürfte es dem Betroffenen, in noch stärkerem Maße als dies schon aktuell beim Filesharing der Fall ist,  erschweren bzw. unmöglich machen, sich gegen eine Inanspruchnahme als Verletzer zur Wehr zu setzen. Bereits das aktuelle System der Beauskunftung und anschließenden Inanspruchnahme ermöglicht dem Betroffenen in Fällen des Filesharing in der Praxis keinen ausreichenden, effektiven Rechtsschutz mehr. Diese Schieflage würde durch den Vorschlag Schwartmanns noch verstärkt werden.

December 27 2011

Aufregung um White-IT

Ein Artikel auf ZEIT Online, der freilich keine Informationen enthält, die nicht ohnehin längst öffentlich bekannt waren, hat für Aufregung in den Blogs gesorgt. Der Autor des Artikels hat mich auf Nachfrage hin auf Christian Bahls verwiesen, der auf dem 28C3 einen Vortrag zum Thema White-IT gehalten hat. Aber auch dessen Handout fördert keine wirklich neuen Erkenntnisse zu Tage.

Dass versucht wird, Tools zu entwickeln, die kinderpornografische Inhalte automatisiert aufspüren sollen, ist wohl kaum mehr eine Meldung wert. Wir kennen das Konzept auch aus dem Urheberrecht seit Jahren. Rechteinhaber scannen das Web und P2P-Netzwerke auf Teufel komm raus nach rechtsverletzendem Content. Hieraus resultieren allein in Deutschland hunderttausende von Abmahnungen jährlich.

Die Frage ist allenfalls die, wer solche Software einsetzen soll, wenn es um die Erforschung von Straftaten geht und in welchen Bereichen diese Tools zum Einsatz kommen sollen. Und genau an diesem Punkt ist die Darstellung, die man bei ZEIT Online geboten bekommt, doch eher dürftig.

Zwei Aspekte sollte man aber im Hinterkopf behalten. Die Aufklärung und Erforschung von Straftaten ist Sache von Polizei und Staatsanwaltschaft. Es geht anders als im Urheberrecht nicht um den Schutz und die Verteidigung zivilrechtlicher Rechtspositionen. Die Erforschung von Kommunikationsinhalten stellt jedenfalls außerhalb des frei zugänglichen Teils des Netzes einen Eingriff in das Fernmeldegeheimnis dar.

Dass aufgrund des Artikels bei ZEIT Online gar über einen Neubeginn der Internet-Zensur-Debatte spekuliert wird, obwohl es keine wirklich neuen Erkenntnisse und Informationen gibt, ist aber wohl auch nur ein Reflex auf eine aufgeregte Berichterstattung, dem man sich nicht unkritisch hingeben muss.

 

October 18 2011

(Un)Zulässigkeit von Staatstrojanern

Die juristische Fachzeitschrift K&R hat einen ganz aktuellen Aufsatz (K&R 2011, 681) von Frank Braun online veröffentlicht, der sich mit der Frage beschäftigt, ob ein rechtmäßiger Einsatz von Trojanern zum Zwecke der Strafverfolgung überhaupt in Betracht kommt und ob die Vorschriften der §§ 100a, 100b StPO eine ausreichende Grundlage für eine sog. Quellen-TKÜ darstellen.

Das Fazit des Autors ist eindeutig:

Die Rechtslage war stets klar: Die Nutzung von Staatstrojanern und der damit verbundene Grundrechtseingriff sind unzulässig, solange nicht 1. eine rechtskonforme Software und 2. eine den Vorgaben des BVerfG entsprechende Ermächtigungsnorm existiert.

Braun betont, dass technisch gewährleistet werden müsse, dass die Funktionen des Trojaners auf eine Quellen-TKÜ beschränkt bleiben, dass aber ungeachtet dessen, die §§ 100a, 100b StPO in ihrer jetzigen Ausgestaltung keine ausreichende Rechtsgrundlage für eine solche Quellen-TKÜ darstellen.

Diese Ansicht deckt sich mit der herrschenden Meinung in der juristischen Literatur, auch wenn einige Gerichte das anders entschieden haben, viele Staatsanwaltschaften dies anders praktizieren und auch in der politischen Diskussion Gegenteiliges behauptet wird.

 

October 14 2011

Bayerntrojaner: Behörden setzen sich gezielt über das Recht hinweg

Aus einer eher unscheinbaren Meldung aus dem Bayernteil der gestrigen Ausgabe der Süddeutschen Zeitung (SZ vom 13.10.2011, S. R 17) ergibt sich, dass das bayerische Landeskriminalamt mittlerweile eingeräumt hat, den “Bayerntrojaner” seit Anfang 2009 in insgesamt 22 Fällen eingesetzt zu haben, wobei 12 Fälle allein auf das laufende Jahr entfallen.

Das bedeutet zunächst, dass es weit mehr als die fünf Fälle gibt, die die Staatsregierung zunächst gegenüber dem Landtag zugegeben hat. Hier zeigt sich zunächst, dass die Staatsregierung eine parlamentarische Anfrage der Grünen vom 25.03.2011, woraufhin zunächst nur vier Fälle eingeräumt wurden, unzutreffend beantwortet hat. Die Staatsregierung hatte dann im Juni 2011 fünf Fälle eingeräumt, was sich ebenfalls nicht mit den jetzigen Auskünften des LKA deckt. Entweder hat also die Staatsregierung die Öffentlichkeit und den Landtag falsch informiert oder ist selbst vom LKA falsch informiert worden. Beides ist nicht akzeptabel.

Die jetzt eingeräumten 22 Fälle beziehen sich nach dem Bericht der SZ auf solche Ermittlungen, bei denen zusätzlich zur Quellen-TKÜ alle paar Sekunden heimlich Browser-Screenshots angefertigt und an das LKA geschickt wurden.

Das ist besonders pikant, da das Landgericht Landshut genau diese Praxis bereits mit Beschluss vom 20.01.2011 für rechtswidrig erklärt hat. Es ist auch juristisch evident, dass es sich hierbei um eine rechtswidrige Onlinedurchsuchung handelt, für die es keine Rechtsgrundlage gibt und die nach der Entscheidung des BVerfG die Grundrechte verletzt.

Die bayerischen Behörden haben also den Beschluss des Landgerichts Landshut bewusst ignoriert und in voller Kenntnis der Rechts- und Verfassungswidrigkeit den Bayerntrojaner im Jahre 2011 weiterhin zum Einsatz gebracht und zwar in mindestens 12 Fällen.

Die Behörden können sich hierfür auch dann nicht auf eine richterliche Gestattung berufen, und zwar selbst dann nicht, wenn ein Ermittlungsrichter eine sog. Quellen-TKÜ angeordnet haben sollte. Wie der Beschluss des Landgerichts Landshut – der den Wortlaut der richterlichen Anordnung des Amtsgerichts Landshut wiederholt – nämlich zeigt, ist die richterliche Anordnung explizit auf die Internettelefonie beschränkt. Im Beschluss heißt es wörtlich:

“Unzulässig sind (…) das Kopieren und Übertragen von Daten von einem Computer, die nicht die Telekommunikation des Beschuldigten über das Internet mittels Voice-Over-IP betreffen.”

Hierüber setzen sich das bayerische Landeskriminalamt und auch die Staatsanwaltschaften, die immerhin als sog. Herren des Ermittlungsverfahrens gelten, weiterhin gezielt hinweg.

Diese bewusste Verletzung der Grundrechte ist von einer neuen Qualität und in dieser Form neu. Es war also keineswegs übertrieben, als Heribert Prantl in der SZ unlängst von einer neuen Form der Staatskriminalität sprach.

 

October 10 2011

“nur soweit es die gesetzlichen Vorgaben erlauben”

Immer mehr Bundesländer räumen ein, den Behördentrojaner einzusetzen. Der niedersächsische Innenminister Schünemann betont laut NDR, der Einsatz erfolge “nur, soweit es die gesetzlichen Vorgaben erlauben”. Sein bayerischer Amtskollege Herrmann behauptet, dass man den Trojaner lediglich für die Quellen-TKÜ und ausschließlich im Rahmen der Vorgaben des BVerfG einsetze.

Die Aussage Herrmanns ist allein deshalb falsch, weil ein rechtswidriger Einsatz des Bayerntrojaners bereits gerichtlich festgestellt worden ist.

Für den Einsatz eines Trojaners mit einer Funktionalität wie sie der CCC beschrieben hat, besteht zumindest im Bereich der Strafprozessordnung keinerlei Rechtsgrundlage. Eine Onlinedurchsuchung ist in der StPO nicht vorgesehen. Nach den Vorgaben des BVerfG wäre eine solche Maßnahme auch nur dann zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Das sind Leib, Leben und Freiheit einer Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Die bayerische Staatsregierung hatte aber bereits eingeräumt, dass mithilfe des Bayerntrojaners Straftaten wie banden- und gewerbsmäßiger Betrug oder Handel mit Betäubungs- und Arzneimitteln aufgeklärt werden sollen. Damit steht aber auch der Rechtsverstoß des LKA fest, denn in diesen Fällen sind die erheblichen Einschränkung des BVerfG missachtet worden.

Auch der Hinweis auf die ohnehin äußerst umstrittene Quellen-TKÜ verfängt übrigens nicht. Denn die heimliche Installation eine Software, die Browser-Screenshots machen und andere Daten des Nutzers erfassen und übermitteln kann, infiltriert ein informationstechnisches System.

Die Innenminister Herrmann und Schünemann, die diese Praxis sehenden Auges rechtfertigen, haben den Boden unseres Grundgesetzes verlassen.

Die Gerichte müssen sich gut überlegen, ob sie künftig Anträgen auf Anordnung einer sog. Quellen-TKÜ überhaupt noch stattgeben können, denn diese gehen augenscheinlich regelmäßig mit einer unzulässigen Onlinedurchsuchung Hand in Hand.

Eine Erläuterung der Rechtslage bietet der Richter am Landgericht Ulf Buermeyer  in einem Interview mit rechtspolitik.org. Lesen!

Die Diskussion nach der Trojaner-Enthüllung des CCC

Während sich eine ganze Reihe von Politikern angesichts der Enthüllungen des Chaos Computer Clubs (CCC) beunruhigt zeigen – natürlich hat wieder einmal niemand etwas gewusst – fordert der innenpolitische Hardliner der CDU Wolfgang Bosbach Beweise vom CCC. Warum er das tut, bleibt aber unklar, weil Bosbach sogleich ergänzt, dass er auf heimlich installierte Computerprogramme nicht generell verzichten will.

Das Bundesverfassungsgericht hat hierzu entschieden, dass die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, verfassungsrechtlich nur zulässig ist, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Vor diesem Hintergrund ist für heimlich installierte Software verfassungsmäßig wenig Raum, Trojaner wie sie der CCC vorgefunden hat, können verfassungskonform überhaupt nicht eingesetzt werden.

Dass die Rechtspraxis ganz anders aussieht, beweist der Einsatz des Bayerntrojaners durch das bayerische LKA. Man muss jetzt nur eins und eins zusammenzählen, um zu erkennen, dass dies einer der Fälle ist, die der CCC untersucht hat.

In solchen Fällen werden übrigens auch die Gerichte belogen, bei denen die zuständige Staatsanwaltschaft die notwendige richterliche Anordnung einholt. Weil es für eine Onlinedurchsuchung keine rechtliche Grundlage gibt, wird eine “Quellen-TKÜ” nach § 100a StPO beantragt, um die Telefonie mittels Skype zu überwachen. Dass anschließend allerdings ein Trojaner installiert wird, der noch weit mehr macht, muss den Gerichten natürlich verschwiegen werden. Damit wird allerdings der Richtervorbehalt, dessen Effizienz ohnehin stark überschätzt wird, vollkommen ad absurdum geführt.

Vielleicht findet ja jetzt eine parlamentarische Aufarbeitung in den Landtagen und im Bundestag statt. Das wäre in Bayern freilich nach dem Bekanntwerden des Einsatzes des Bayerntrojaners ohnehin nötig gewesen, zumal das bayerische Justizministerium längst eingeräumt hatte, dass der Trojaner mindestens in fünf Fällen zum Einsatz gekommen ist. Die bayerische Staatsregierung scheint mit diesem evident rechtswidrigen Vorgehen des LKA und der Staatsanwaltschaften offenbar aber keine Probleme zu haben.

Update:
Es ist jetzt auch bekannt, dass zumindest einer der Fälle des CCC in Bayern spielt und der Trojaner vom bayerischen LKA im Rahmen eines Ermittlungsverfahrens eingesetzt worden ist. (via vieuxrenard)

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl