Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

July 23 2013

Telekom hat Überwachungsvereinbarung mit FBI und US-Justizministerium geschlossen

Netzpolitik.org hat heute einen Vertrag zwischen der deutschen Telekom und Voicestream (Vorgänger von T-Mobile USA) einerseits und dem FBI und dem US-Justizministerium auf der anderen Seite geleakt, in dem sich die Telekom verpflichtet, ihre gesamte US-Infrastruktur so zu konfigurieren, dass eine effektive Überwachung durch US-Behörden möglich ist. Der Vertrag stammt aus dem Jahr 2001.

Die Vereinbarung betrifft u.a. gespeicherte Kommunikation sowie drahtgebundene und elektronische Kommunikation die von einer US-Niederlassung der Telekom empfangen wird oder im Account eines Kunden einer US-Niederlassung der Telekom gespeichert wird.

Diese vertrsagliche Verpflichtung lässt die Vorratsdatenspeicherung nach europäischem Strickmuster wie Kinderkram erscheinen. Die US-Administration kann damit nicht nur Verbindungsdaten, sondern Kommunikationsinhalte anfordern. Man muss davon ausgehen, dass alle großen Telcos und Provider in den USA ähnliche Vereinbarungen mit ihrer Regierung und dem FBI getroffen haben.

(via netzpolitik.org)

June 25 2013

Von der Hinterlist einer lichtscheuen Politik

Die weitreichende TK- und Internetüberwachung der Amerikaner (Prism) und der Briten (Tempora) führt zu durchaus bemerkenswerten Diskussionsbeiträgen. Manche fordern eine Stärkung des Datenschutzes und der Verschlüsselung, während andere dazu raten, nicht so geschwätzig zu sein und vielleicht auch mal wieder unter vier Augen oder im Wald miteinander zu reden. Alles ganz interessante Vorschläge, die aber am Kern des Problems vorbeigehen.

Das Vier-Augen-Gespräch ist kein Surrogat für die Onlinekommunikation und als Bürger möchte ich mich weder von meinem eigenen noch von einem anderen Staat dazu zwingen lassen, laufend zur digitalen Selbstverteidigung greifen zu müssen und meine gesamte Kommunikation verschlüsseln.

Ein Staat, der seine eigenen Bürger oder die Bürger fremder Staaten systematisch überwacht, kann sich nicht zugleich als freiheitlicher Rechtsstaat begreifen. Viele Menschen haben mit dieser Überwachung offenbar aber kein Problem, weil sie glauben, das würde sie nicht betreffen, sondern nur Terroristen oder Terrorverdächtige. Warum diese Annahme naiv und falsch ist, lässt sich im Grunde mit einem Wort erklären: Guantanamo. Dort werden seit Jahren Menschen festgehalten, die zu einem erheblichen Teil unschuldig sind und die nie ein ordentliches Gerichtsverfahren bekommen haben und auch nie eines bekommen werden. Es kann also im Grunde jeder in den Fokus von Geheimdiensten und Sicherheitsbehörden geraten, wenn man zur falschen Zeit am falschen Ort ist, oder wenn die digitale Rasterfahndung aus ein paar ungünstigen Einzelindizien einen unberechtigten Tatvorwurf entstehen lässt. Dieses Phänomen kennt man sogar aus Strafverfahren, die vergleichsweise strikten rechtsstaatlichen Vorgaben folgen. Spätestens dann, wenn es keine nachvollziehbaren Regeln mehr gibt und die Betroffenen überhaupt nicht mehr wissen, welche Einzelinformationen gesammelt wurden und wie diese verknüpft worden sind, wird der Einzelne zum Objekt eines undurchsichtigen Machtapparats. Genau vor dieser Entwicklung sollen uns die Grundrechte schützen, aber sie tun es nicht mehr. Es geht längst nicht mehr nur um einzelne Grundrechte wie die informationelle Selbstbestimmung oder das Fernmeldegeheimnis. Es geht um die Würde des Menschen, um das Recht selbstbestimmtes Subjekt sein zu dürfen, das sich von nichts und niemand zum bloßen Objekt einer undurchsichtigen Überwachungsmaschinerie machen lassen muss.

Diese Diskussion gipfelt letztlich in der Frage, für welches Menschenbild unsere Gesellschaft künftig stehen wird. Für das des Subjekts, das frei und selbstbestimmt handeln kann oder für das des Objekts, das unter dem Vorwand der Sicherheit bloßer Spielball eines Staates ist. Derzeit gaukelt man uns weiterhin das Ideal von der freien Entfaltung der Persönlichkeit in einem freiheitlich-demokratischen Staat vor, während im Hintergrund die Geheimdienste verschiedenster Staaten unsere Kommunikation nahezu lückenlos überwachen bzw. eine solche Überwachung zumindest anstreben. Beide Aspekte sind miteinander unvereinbar.

Ich persönlich gehe gerne in den Wald, aber zum Laufen oder um die Ruhe zu genießen aber nicht um zu kommunizieren. Verschlüsselung ist sinnvoll und notwendig. Aber hätte ich etwa in der alten analogen Welt alle meine Briefe mit einem geheimen Code so verschlüsselt, dass nur mein Gegenüber die Nachricht verstehen bzw. entschlüsseln kann? Nein. Und deshalb ist das auch nicht die digitale Welt in der ich leben will.

Wenn Konstantin von Notz schreibt, dass Überwachungs- und Schnüffelprogramme wie Prism unsere Freiheit und Demokratie bedrohen, trifft er den Nagel auf den Kopf. Die Datenschutzreform der EU ist vermutlich dennoch nicht der richtige oder zumindest nicht der primäre Rahmen um diese Frage zu klären. Wir reden hier jeweils von nationalen Programmen, die allerdings global wirken. Es sind die Bürger die weltweit Druck ausüben müssen. Ohne öffentlichen Druck und mehr Transparenz, die Whistleblower wie Edward Snowden erzeugen, wird sich nichts ändern. Denn die Politik wird nicht freiwillig umsteuern.

Dass die Hinterlist einer lichtscheuen Politik nur durch Publizität vereitelt werden kann, hat Kant bereits 1795 formuliert. Wenn Obama jetzt meint, mit einer Ergreifung Snowdens würde das Recht zum Zug kommen, dann entspricht das ziemlich genau der Hinterlist des lichtscheuen Politikers die Kant angeprangert hat. Obama verstößt gegen die von Kant formulierte transzendentale Formel des öffentlichen Rechts:

Alle auf das Recht anderer Menschen bezogene Handlungen, deren Maxime sich nicht mit der Publizität verträgt, sind unrecht.

Die Schrift Kants aus der ich zitiere, heißt übrigens “Zum ewigen Frieden”, der sich laut Kant nur dann einstellen wird, wenn im öffentlichen Bereich eine größtmögliche, ja sogar radikale Publizität herrscht.

Man muss also erkennen, dass Edward Snowden und Bradley Manning in der Tradition der Aufklärung stehen – was Julian Nida-Rümelin am Beispiel von Wikileaks überzeugend erläutert hat – während mächtige Strömungen in der internationalen Politik ihr entgegen arbeiten. Das Recht steht in diesem Fall ganz eindeutig auf der Seite Snowdens sowie all jener, die für Transparenz oder wie Kant es formulierte Publizität eintreten. Sie brauchen unsere Unterstützung und Solidarität im Kampf gegen lichtscheue Politik, damit das Recht hier letztendlich wirklich zum Zug kommen kann.

Reposted byverschwoerermadgyverlautenist

June 18 2013

Das Ziel lautet Totalüberwachung

Bereits vor knapp zwei Wochen habe ich darauf hingewiesen, dass Prism kein originär amerikanisches Phänomen ist und wir uns auch mit dem beschäftigen sollten, was die deutschen Geheimdienste so treiben. Und kurze Zeit später konnte man auch schon lesen, dass der BND die Internetüberwachung massiv ausbauen will. Das wird flankiert von Aussagen des Bundesinnenministers Hans-Peter Friedrich, der sich bei den USA für Prism bedankte und betonte, man müsse Kontrollverluste über die Kommunikation von Kriminellen durch neue rechtliche und technologische Mittel ausgleichen.

Damit wird hinreichend deutlich, dass der BND und die deutsche Innenpolitik das Internet und die Telekommunikation gerne in denselbem Umfang überwachen würden wie die USA und, dass dies derzeit nur an den begrenzten technologischen und personellen Mitteln des BND scheitert.

Und in der Tat besteht in Deutschland der rechtliche Rahmen hierfür längst. Fündig wird man beispielsweise im Gesetz zur Beschränkung des Post- und Fernmeldehegeimnisses (G10) und im BND-Gesetz. Über den sog. elektronischen Staubsauger hatte ich bereits im letzten Jahr berichtet. In einem äußerst lesenswerten Blogbeitrag erläutert der Kollege Härting die “strategische Fernmeldekontrolle” durch den BND juristisch und bezweifelt, ob das aktuell bekannte Ausmaß der TK- und Internetüberwachung durch den BND noch verfassungskonform ist. Die Befugnisse des BND zur “strategischen Fernmeldekontrolle” wurden 2001 durch eine rot-grüne Bundestagsmehrheit erheblich ausgeweitet und auch die gerade unter schwarz-gelb verabschiedeten Regelungen zur Bestandsdatenauskunft führen speziell zugunsten der Dienste zu einer spürbaren Ausweitung der Möglichkeiten der TK-Überwachung.

In diesem Zusammenhang muss man sich auch darüber im Klaren sein, dass das Bundesverfassungsgericht seit längerer Zeit keine Pflöcke mehr einrammt, sondern nur noch kleinere Stöcke, die von den Innenpolitikern dieses Landes immer wieder herausgerissen und anschließend um ein Stück versetzt werden. Auch das wackere Verfassungsgericht betreibt letztlich nur noch Rückzugsgefechte, die den Abbau der Bürgerrechte nur verlangsamen aber nicht aufhalten können.

Wenn man die öffentlichen Erklärungen beispielsweise von Barack Obama oder Hans-Peter Friedrich betrachtet, dann ist klar, dass das Ziel die Vollüberwachung aller Bürger ist. In ihrem sehr guten und klaren Kommentar “PRISM auch für Deutschland” erläutert die Kollegin Ann-Karina Wrede, dass die neuen rechtlichen und technologischen Mittel die ein Friedrich fordert – obwohl das Pendel ohnehin bereits deutlich in Richtung Überwachungsstaat ausschlägt – letztlich auf die Vorstellung einer Komplettüberwachung sämtlicher Bürger hinausläuft.

Was können wir dagegen tun? Von der (deutschen) Politik ist nicht viel zu erwarten, nachdem schwarz-gelb und zuvor rot-grün immer weiter am Rad der TK-Überwachung gedreht haben. Es bleibt also nur die Möglichkeit öffentlichen Druck aufzubauen und wir müssen, wie Ann-Karina Wrede zu recht schreibt, gegen Überwachung und Programme wie Prism raus auf die Straße.

June 07 2013

Prism ist kein originär amerikanisches Phänomen

Die Meldung, dass US-Behörden im Rahmen des Programms Prism das Internet in großem Stil überwachen und angeblich direkt auf Server von Google, Facebook, Apple oder Microsoft zugreifen können, hat weltweit für mediale Aufmerksamkeit gesorgt.

Wer weiß, was bereits deutsche Geheimdienste nach dem Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10) dürfen und was sie tatsächlich praktizieren, dem muss klar sein, dass Geheimdienste weltweit die Telefon- und Internetkommunikation massiv und großflächig überwachen und aufzeichnen. In den USA möglicherweise umfassender und intensiver als in Europa.

Dass dies einer breiten Öffentlichkeit nicht bekannt ist, obwohl wesentliche Rahmenbedingungen nicht wirklich geheim sind, liegt auch an einer unzureichenden Berichterstattung.

Wer nun meint oder behauptet, die EU könne US-Programmen wie Prism etwa durch die geplante Datenschutzgrundverordnung Einhalt gebieten, hat nicht verstanden, auf welcher Grundlage und nach welcher Logik Geheimdienste agieren.

Die Legitimation jedweder Geheimdiensttätigkeit ergibt sich immer aus dem jeweiligen nationalen Recht. Weil es gerade auch darum geht, fremde Staaten und deren Bürger auszuspionieren, ist es zwangsläufig notwendig, sich über die rechtlichen Beschränkungen fremden Staaten hinwegzusetzen. Für die Tätigkeit von US-Diensten ist es also völlig irrelevant, was die EU oder ein europäischer Staat gesetzlich regelt. Das gilt freilich umgekehrt ebenso.

Gegen diese Form der Geheimdienstlogik hilft nur Transparenz, Information und Berichterstattung. Nötig ist vor allen Dingen aber auch ein sicherheitspolitischer Bewusstseinswandel und zwar sowohl in den Köpfen der Bürger als auch in denen der Politiker. Diese Welt wird letztendlich nur dann irgendwann wirklich demokratisch und freiheitlich werden, wenn wir es weltweit schaffen, Phänomene wie (nationale) Geheimdienste zu überwinden. Die Pönalisierung von Whistleblowern wie Bradley Manning ist hier übrigens nur die Kehrseite derselben Medaille. Solange Nationalstaaten Geheimdienste unterhalten, die mit weitreichenden Befugnissen ausgestattet werden, im Verborgenen agieren dürfen und keiner effektiven Kontrolle unterliegen, solange wird man auch diejenigen hart bestrafen, die sich dieser Logik widersetzen, indem sie solche Informationen und Vorgänge öffentlich machen, die dieser merkwürdigen Geheimhaltungslogik unterliegen.

Es wird sich also nur dann etwas ändern, wenn Öffentlichkeit erzeugt wird und es gelingt, die finsteren Hinterzimmer auszuleuchten. Die Medien könnten damit anfangen, die Menschen einfach erst einmal über das Ausmaß der Überwachung zu informieren, das prinzipiell bereits bekannt ist. Ich lese leider wenig über den “elektronischen Staubsauger” und das, was der BND auf Grundlage des G10 tatsächlich so treibt und frage mich warum. Ist es für Journalisten gefährlich in diesem Umfeld zu recherchieren und Dinge öffentlich zu machen?

January 17 2013

BKA kauft wieder kommerzielle Trojanersoftware

Netzpolitik.org hat ein als “VS – nur für den Dienstgebrauch” eingestuftes Dokument des Bundesministeriums des Innern veröffentlicht, in dem über die Arbeit des beim BKA eingerichteten Kompetenzzentrums Informationstechnische Überwachung berichtet wird.

Aus dem Dokument ergibt sich u.a., dass eine eigenentwickelte Software für die sog. Quellen-TKÜ nach Einschätzung des BKA bis zum Jahr 2014 fertiggestellt werden kann. Bis dahin will man sich (weiterhin) am Markt mit kommerzieller Software eindecken, konkret mit einem Programm des Herstellers Elaman/Gamma.

Wie man immer wieder hört, sollen bei verschiedensten Behörden, insbesondere auch der Länder, noch andere Programme für eine Online-Durchsuchung / Quellen-TKÜ im Einsatz sein.

Dass für die sog. Quellen-TKÜ derzeit keine ausreichende Rechtsgrundlage vorhanden ist, wird von der Bundesregierung und vom Bundestag ganz offensichtlich hartnäckig ignoriert. Darüber hinaus hat der vom CCC öffentlich gemachte Fall eines Bayerntrojaners gezeigt, dass derartige Programme auch dazu geeignet sind, eine grundrechtswidrige Onlinedurchsuchung durchzuführen und die Behörden von dieser Funktionalität auch Gebrauch gemacht haben.

November 21 2012

Überwachungsbefugnisse im Thüringischen PAG z.T. verfassungswidrig

In Thüringen wurde das Polizeiaufgabengesetz (PAG) 2008 im Hinblick auf die Befugnisse der Polizei zur heimlichen Erhebung von Daten neu geregelt und erweitert. Es geht hierbei u.a. um den Einsatz verdeckter Ermittler, das Abhören von Telefonaten sowie die optische und akustische Wohnraumüberwachung.

Diese Neuregelungen sind vom Thüringischen Verfassungsgerichtshof mit Urteil vom heutigen 21.11.2012 (Az.: VerfGH 19/09) überwiegend für verfassungswidrig erklärt worden. Die Entscheidung wirft sicherlich auch die Frage der Verfassungswidrigkeit ähnlicher Regelungen in den Polizeiaufgabengesetzen anderer Bundesländer auf.

In der Pressemitteilung des Thüringer Verfassungsgerichtshofs heißt es u.a.:

Insbesondere bleibt unklar, inwieweit nach der Vorstellung des Gesetzgebers Berufsgeheimnisträger von polizeilichen Maßnahmen ausgenommen bleiben sollen. Ebenso unzureichend sind die Befugnisse zu heimlichen Datenerhebungen geregelt,
die der Verhütung von Straftaten dienen. Hier reicht es nicht aus, auf einen Katalog von Strafrechtsnormen zu verweisen. Der Charakter der Gefahrenabwehr als Rechtsgüterschutz verlangt insoweit, dass diese polizeilichen Befugnisse das geschützte Rechtsgut und den Grad seiner Gefährdung eindeutig erkennen lassen.
Der durch die Menschenwürde gebotene Schutz des Kernbereichs privater Lebensgestaltung ist lückenhaft ausgestaltet worden. Bei der Überwachung der Telekommunikation und der Erhebung von Daten mit besonderen Mitteln (z. B. beim Abhören des nicht öffentlich gesprochenen Wortes außerhalb einer Wohnung) fehlt eine umfassende und eindeutige Vorschrift, dass im Fall der Verletzung des Kernbereichs die Maßnahme abzubrechen ist. Ebenso hat der Gesetzgeber es unterlassen, die Polizei zu verpflichten, die Tatsache der Erfassung und die Löschung aller kernbereichsrelevanten Daten zu protokollieren. Die Dokumentation ist für den Betroffenen unabdingbar, um eine Verletzung seiner Rechte vor den Gerichten geltend zu machen. Zudem ist der Gesetzgeber den verfassungsrechtlichen Anforderungen nicht gerecht geworden, soweit er die nachträgliche Benachrichtigung über heimliche Überwachungen geregelt hat. Die gesetzlichen Bestimmungen erlauben der Polizei, von der Unterrichtung abzusehen, wenn sie den weiteren Einsatz einer verdeckt ermittelnden Person (z. B. eines verdeckten Ermittlers oder einer Vertrauensperson) beabsichtigt. Diese Regelung lässt außer Acht, dass jeder, der von einer heimlichen Überwachung betroffen ist, einen grundrechtlich gesicherten Anspruch hat, nach Beendigung der Maßnahme von dem Eingriff in seine Privatsphäre informiert zu werden. Ausnahmen müssen den Grundsatz der Verhältnismäßigkeit beachten und im Hinblick auf die Schwere des Grundrechtseingriffs eine Abwägung der widerstreitenden Interessen ermöglichen.

November 09 2012

Deep Packet Inspection auch in Deutschland?

Netzpolitik.org erläutert in einem aktuellen Blogbeitrag, dass die Telekom und Kabel Deutschland das Produkt “Service Control Engine” von Cisco einsetzen, das eine Deep Packet Inspection (DPI) ermöglicht. Mittels DPI werden sämtliche transportierten Datenpakete systematisch ausgelesen und analysiert. CCC-Mitglied Rüdiger Weis hat das kürzlich gegenüber der taz sehr anschaulich erläutert.

Totalitäre Staaten wie China und jetzt auch Russland benutzen DPI dazu, das Internet zu überwachen und zu zensieren. In Deutschland setzen Provider DPI nach eigenen Angaben dazu ein, um beispielsweise Filesharing auszubremsen oder um Internettelefonie (Skype) zu unterbinden, wenn der von dem Kunden gebuchte Tarif eine solche Nutzung vertraglich nicht zulässt.

Zu dem Thema hatte ich kürzlich bereits gebloggt und die Rechtsansicht vertreten, dass der Einsatz von DPI gegen § 88 TKG verstößt und damit in Deutschland unzulässig ist.

Die Einhaltung des Fernmeldegeheimnisses ist nach dem TKG in der Tat allerdings nicht als Aufgabe der Bundesnetzagentur definiert, weshalb die von netzpolitik.org geschilderte Reaktion der Behörde formal nicht zu beanstanden ist. Es stellt sich hier dennoch die Frage, ob sich der Staat einfach raushalten kann, wenn er erkennt, dass deutsche TK-Anbieter systematisch gegen das (einfachgesetzliche) Fernmeldegeheimnis verstoßen. Denn der Staat hat natürlich auch eine Schutzpflicht für die Grundrechte seiner Bürger. Insoweit stellt sich die Frage, ob das Fernmeldegeheimnis des TKG gesetzlich ausreichend abgesichert ist oder ob der Gesetzgeber nicht doch die Einhaltung des Fernmeldegeheimnisses und eine Sanktionierung von Verstößen behördlicherseits sicherstellen müsste.

Nachdem der Straftatbestand des § 206 StGB erst dann eingreift, wenn Informationen, die dem Fernmeldegeheimnis unterliegen an einen anderen weitergegeben werden, stellt der Verstoß gegen § 88 TKG derzeit wohl (nur) eine zivilrechtliche Verletzung der Rechte des Providerkunden dar, gegen die Unterlassungs- und Schadensersatzansprüche in Betracht kommen.

October 26 2012

Auskunftspflicht von Providern über Bestandsdaten der Kunden soll neu geregelt werden

Die Bundesregierung hat einen Gesetzesentwurf zur Änderung des TKG und zur Neuregelung der Bestandsdatenauskunft beschlossen, wie u.a. Heise berichtet.

Es geht hierbei insbesondere um die Auskunftserteilung durch Provider und TK-Unternehmen gegenüber Strafverfolgungs- und Sicherheitsbehörden. Betroffen hiervon sind die sog. Bestandsdaten. Das sind die Grunddaten des Vertragsverhältnisses, also u.a. Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse, aber auch Kenn- und Passwörter. Umfasst sind prinzipiell alle statischen Daten, die providerseitig gespeichert werden. Die Gesetzesbegründung nennt insoweit beispielhaft auch PIN und PUK.

Die Neuregelung ist deshalb erforderlich, weil das BVerfG Anfang des Jahres die entsprechenden Regelungen des TKG nicht als Eingriffsnormen zugunsten der Behörden gewertet hat, weshalb die langjährige Praxis speziell der Strafverfolgungsbehörden Auskünfte bei Providern einzuholen ohne ausreichende Rechtsgrundlage erfolgte und damit letztlich rechtswidrig war.

An dieser Stelle muss auch der Aussage der Bundesregierung, die Regelung würde keine neuen Befugnisse für Strafverfolgungs- oder Sicherheitsbehörden schaffen, entschieden widersprochen werden. Mit § 100j StPO wird sehr wohl eine gänzlich neue Eingriffsgrundlage geschaffen, die es bislang nicht gab. Dass die Praxis diese Eingriffe bereits in der Vergangenheit ohne Rechtsgrundlage und damit rechtswidrig praktiziert hat, ändert hieran nichts. Die Neuregelung dient letztlich also der Legalisierung einer bereits gängigen, aber bislang rechtswidrigen Behördenpraxis.

Diese Regelung schafft in der Strafprozessordnung erstmals auch die Möglichkeit, für Zwecke der Strafverfolgung aufgrund einer ermittelten dynamischen IP-Adresse vom Provider Auskunft darüber zu verlangen, welcher seiner Kunden die IP-Adresse(n) zu bestimmten Zeitpunkten genutzt hat. Weil dies nach Ansicht des BVerfG einen Eingriff in das Fernmeldegeheimnis beinhaltet, hat der Gesetzgeber klargestellt, dass hierzu auch Verkehrsdaten ausgewertet werden dürfen.

Als besonderer Aufreger hat sich der Vorschlag eines neuen § 113 Abs. 5 S. 2 TKG erwiesen, durch den größere Provider verpflichtet werden sollen, eine elektronische Schnittstelle zur Bestandsdatenabfrage zu schaffen. Man sollte hierzu allerdings berücksichtigen, dass eine vollautomatisierte Abfrage nicht vorgesehen ist. Denn jedes Auskunftsverlangen ist vom Provider durch eine verantwortliche Fachkraft darauf zu prüfen, ob die Anfrage von einer zuständigen Stelle unter Berufung auf eine einschlägige gesetzliche Befugnisnorm erfolgt. Unter diesen Voraussetzungen sehe ich die Eingriffsintensität aber auch nicht höher, als bei der gängigen Praxis der manuellen Auskunft, bei der Staatsanwaltschaften oder Polizeibehörden oftmals per Fax ein Auskunftsersuchen stellen und anschließend die Auskunft auf demselben Weg erhalten. Wenn man die m.E. fragwürdige Begründung des BVerfG zur Verfassungsgemäßheit des § 112 TKG gelesen hat, besteht kein Grund zur Annahme, das BVerfG könnte die geplante Neuregelung des § 113 Abs. 5 TKG für verfassungswidrig halten.

Update:
Was netzpolitik.org und auch Udo Vetter zur elektronischen Schnittstelle schreiben, klingt zwar spektakulär, entspricht aber nicht den Fakten. Eine vollautomatische Abfrage ist gerade nicht vorgesehen. Es ist vielmehr so, wie von mir oben beschrieben.

September 25 2012

Ist Deep Packet Inspection in Deutschland erlaubt?

In einem Interview mit der taz erläutert CCC-Mitglied Rüdiger Weis die Überwachungstechnik Deep Packet Inspection (DPI) und spricht von einer Internetversion des Nacktscanners. Weis erklärt außerdem, dass es Hinweise geben würde, wonach auch deutsche Mobilfunkanbieter und Provider DPI einsetzen. Diese Aussagen decken sich mit den Erkenntnissen der EU-Behörde BEREC, die Anfang des Jahres einen Bericht über Providerpraktiken zum “Traffic Management” vorgelegt hat.

Wenn man eine Parallele zur analogen Welt ziehen will, dann ließe sich der Einsatz von DPI wohl am ehesten damit vergleichen, dass die Post sämtliche von ihr transportierten Postsendungen vor der Auslieferung systematisch liest und die Inhalte analysiert.

Deep Packet Inspection stellt nach meiner Einschätzung einen Verstoß gegen das Fernmeldegeheimnis des § 88 TKG dar. § 88 Abs. 3 TKG normiert ein Kenntnisnahmeverbot des TK-Anbieters sowohl hinsichtlich des Inhalts als auch der näheren Umstände der Telekommunikation. Das Verbot ist somit enger als das der Strafnorm des § 206 StGB, weil dort die bloße Kenntnisnahme noch nicht sanktioniert wird. Das Gesetz spricht zwar in § 88 Abs. 3 TKG davon, dass es dem Provider nur verboten ist, sich über das für die Erbringung des Dienstes erforderliche Maß hinaus Kenntnis zu verschaffen. Daraus lässt sich aber keine Gestattung einer Deep Packet Inpection ableiten. Denn jeder TK-Dienst kann ohne weiteres und ohne Einschränkung auch ohne den Einsatz von DPI erbracht werden. Für die Erbringung der TK-Dienstleistung ist es auch unter dem Aspekt der Systemsicherheit nicht erforderlich, Technologien wie DPI einzusetzen.

Es wäre also durchaus interessant konkret festzustellen, welche Provider solche Technologien einsetzen und in welchem Umfang. Denn als Kunde könnte man dann eine Verletzung des Fernmeldegeheimnisses gegenüber seinem Anbieter geltend machen.

September 23 2012

Beschlüsse des Juristentages sind in der Tendenz bürgerrechts- und internetfeindlich

Der letzte Woche zu Ende gegangene 69. Deutsche Juristentag hat eine ganze Reihe fragwürdiger und diskussionsbedürftiger Beschlüsse gefasst, die auf eine stärkere Regulierung und Überwachung des Internets abzielen. Diese Beschlüsse werden von den Fachabteilungen des DJT gefasst, die mir angesichts dessen, was inhaltlich abgestimmt wurde, doch deutlich von einer konservativen und nicht gerade liberalen Grundhaltung dominiert zu sein scheinen.

Die für das Internet relevanten Beschlüsse des DJT finden sich in dem Beschlusspapier u.a. auf S. 9 – 11 (Strafrecht) und S. 23 ff. (IT- und Kommunikationsrecht).

Der DJT spricht sich für eine Vorratsdatenspeicherung, Onlinedurchsuchung (in engen Grenzen) und Quellen-TKÜ aus. Ein Recht auf anonyme Internetnutzung lehnt der DJT ab. Gefordert wird ferner, dass bei der Verarbeitung personenbezogener Daten von Minderjährigen eine Einwilligung des einsichtsfähigen Minderjährigen und seines gesetzlichen Vertreters notwendig sein soll. Das würde natürlich u.a. eine Nutzung sozialer Netze durch Minderjährige erheblich erschweren und ist relativ weit von der Lebenswirklichkeit entfernt.

Eine Auswahl derjenigen Beschlüsse, die mir für das Internet wesentlich erscheinen, habe ich nachfolgend zusammengestellt. Ob der Beschlussvorschlag angenommen oder abgelehnt wurde, ergibt sich aus dem Klammerzusatz am Ende.

Überwachungstechnologien:
Der Gebrauch der existierenden Technologie für eine flächendeckende Überwachung, Filterung und Kontrolle jeglicher elektronischer Kommunikation ist allenfalls mit äußerster Zurückhaltung anzuwenden. Sind Überwachungs- und Filterbefugnisse erst einmal gewährt, so entziehen sie sich einer effektiven Kontrolle durch Justiz und Parlament. (abgelehnt)

Quellen-Telekommunikationsüberwachung:
aa) Ein heimliches Eindringen in ein informationstechnisches System zum Zwecke einer repressiven Quellen-Telekommunikationsüberwachung sollte als Ausgleich für die technisch meist unmögliche Telekommunikationsüberwachung entsprechend den Voraussetzungen der §§ 100a, 100b StPO möglich sein. (angenommen)

bb) Die hierfür eingesetzte Software muss vorab unabhängig zertifiziert werden, z.B. durch den Datenschutzbeauftragten, um sicherzustellen, dass die technischen und rechtlichen Anforderungen eingehalten und die beim Einsatz dieser Software unvermeidlichen Gefahren beherrschbar sind. (angenommen)

cc) Es sollte eine gesetzliche Pflicht geschaffen werden, in jedem Einzelfall nachträglich den Datenschutzbeauftragten zu informieren. (abgelehnt)

Online-Durchsuchung:
aa) Ein heimliches Eindringen in ein informationstechnisches System zum Zwecke einer repressiven Online-Durchsuchung ist angesichts der Möglichkeit einer Verschlüsselung der gespeicherten Daten ein wichtiges Ermittlungsinstrument und sollte daher, wenn auch unter hohen, verfassungsrechtlich vorgegebenen Eingriffsschwellen (vgl. BVerfGE 120, 274) erlaubt werden. (angenommen)

bb) Die hierfür eingesetzte Software muss vorab unabhängig zertifiziert werden, z.B. durch den Datenschutzbeauftragten, um sicherzustellen, dass die technischen und rechtlichen Anforderungen eingehalten und die beim Einsatz dieser Software unvermeidlichen Gefahren beherrschbar sind. (angenommen)

cc) Es sollte eine gesetzliche Pflicht geschaffen werden, in jedem Einzelfall nachträglich den Datenschutzbeauftragten zu informieren. (abgelehnt)

Vorratsdatenspeicherung:
Telekommunikationsanbieter sollten generell und soweit verfassungsrechtlich zulässig nach Maßgabe der RL 2006/24/EG (EU-Vorratsdatenspeicherungsrichtlinie) verpflichtet werden, bestimmte Verkehrsdaten zu sammeln und für mindestens sechs Monate zu speichern. (angenommen)

Anonymität:
a) Im Interesse einer effektiven Durchsetzung des Rechts auf freie Meinungsäußerung im Internet besteht ein schützenswertes Recht der Internetnutzer auf Anonymität. Ansprüche Dritter wegen Rechtsverletzungen durch Internetnutzer sollen weitestmöglich hinter dem Recht auf Anonymität zurückstehen, Identifizierungspflichten von Internetdiensten sind entsprechend zu beschränken (abgelehnt)

b) Ein „Recht auf anonyme Internet-Nutzung“ ist nicht anzuerkennen. Bei aktiver Nutzung des Internets mit eigenen Beiträgen darf der Nutzer nicht anonym bleiben, sondern muss im Rahmen einer Verwendung von Pseudonymen zumindest identifizierbar sein. Nur dann lassen sich Rechtsverstöße wirksam verfolgen. Internet-Dienste sollen den Klarnamen und die Internetverbindung ihrer Nutzer registrieren. (angenommen)

Datenschutz, Persönlichkeitsrecht, Störerhaftung:
Für die wirksame (datenschutzrechtliche, Anm. des Verf.) Einwilligung Minderjähriger ist sowohl die Zustimmung der gesetzlichen Vertreter als auch die Einwilligung des einsichtsfähigen Minderjährigen erforderlich. (angenommen)

Bei behaupteten Persönlichkeitsrechtsverletzungen ist dem Betroffenen – in Anlehnung an §§ 101 UrhG, 19 MarkenG, 140b PatG – ein Auskunftsanspruch zur Benennung des Rechtsverletzers zu gewähren; Ausnahmen sind nur in verfassungsrechtlich gebotenen Fällen zuzulassen. (angenommen)

Der Störerhaftung soll ein Dienstebetreiber nur dann unterliegen, wenn er zumutbare Verhaltens-, namentlich Prüfpflichten verletzt, die nach Art des Internetdienstes unterschiedlich weitreichend sein können. Die vom BGH in der „Blogger“-Entscheidung (Urt. v. 25.10.2011 – VI ZR 93/10) aufgegriffenen Grundsätze – keine Verantwortlichkeit des Providers, wenn er nach Meldung der Rechtsverletzung durch den Rechtsinhaber die Veröffentlichung löscht – sind fortzuentwickeln. Für Äußerungen auf Kommunikationsplattformen sollte ein „Notice-and-take-down“-Verfahren eingeführt werden, in dem auf Meldung eines potentiell Verletzten zunächst der Äußernde zur Stellungnahme aufgefordert wird. Nimmt er nicht in gesetzter Frist Stellung, wird seine Äußerung entfernt; andernfalls findet die rechtliche Auseinandersetzung zwischen Äußerndem und Verletztem statt. (angenommen) (…) Bei anonymen Meinungsäußerungen erfolgt eine umgehende Entfernung der Äußerung (angenommen)

Das geltende Regelungskonzept des Datenschutzes, ein Verbot der Verwendung personenbezogener Angaben mit Erlaubnisvorbehalt, ist grundsätzlich beizubehalten, aber mit deutlich erweiterten Erlaubnistatbeständen für die Internetkommunikation. Datenschutzrechtliche Anforderungen sollten bei überwiegenden Kommunikationsinteressen zurücktreten. (angenommen)

Sowohl die europäische „Datenschutz-Grundverordnung“ als auch die entsprechende nationale Regelung sollten die Verantwortlichkeit von Suchmaschinenbetreibern und deren Umgang mit personenbezogenen Daten regeln. (angenommen)

September 01 2012

August 02 2012

Prüfbericht des Bayerischen Datenschutzbeauftragten zur Quellen-TKÜ

Der bayerische Datenschutzbeauftragte hat seinen Prüfbericht zur Quellen-TKÜ und damit auch zum Einsatz des sog. Bayerntrojaners vorgelegt.

In rechtlicher Hinsicht teilt der Datenschutzbeauftragte die Rechtsansicht der Konferenz der Datenschutzbeauftragten, wonach die Strafprozessordnung weder für die Quellen-TKÜ noch für die Onlinedurchsuchung eine ausreichende Rechtsgrundlage vorsieht.

Was den Bereich der Quellen-TKÜ angeht, bringt der Datenschutzbeauftragte allerdings zum Ausdruck, dass er die anderslautende Rechtsauffassung der bayerischen Strafgerichte zu respektieren hat. Im Hinblick auf darüberhinausgehende Maßnahmen, macht der Datenschützer allerdings deutlich, dass er diese für klar rechtswidrig hält. Soweit die Software über die Funktion verfügt, über eine Softwareliste alle Namen der auf dem überwachten Rechner installierten Programme auszulesen, ist das nach Einschätzung des Datenschutzbeauftragten ebenso unzulässig wie die Anfertigung und Übermittlung von Browserscreenshots.

Ob die Politik aus dieser rechtlichen Einschätzung des Bayerischen Datenschutzbeauftragten Konsequenzen ziehen wird, bleibt abzuwarten. Vermutlich wird man aber in altbekannter Manier darauf setzen, sämtliche rechtlichen Bedenken zu ignorieren.

Warum die heimliche Installation von Überwachungssoftware nach geltendem Recht nicht zulässig ist, habe ich in einem älteren Beitrag erläutert.

July 31 2012

June 18 2012

Die Speicherpraxis der TK-Unternehmen

Der Arbeitskreis Vorratsdatenspeicherung berichtet aktuell über eine Erhebung der Bundesnetzagentur zur Praxis der Speicherung von Verbindungs- und Staandortdaten durch TK-Unternehmen.

Danach werden z.B. Standortdaten von der Telekom für 30 Tage und von Vodafone sogar für 210 Tage gespeichert. Auch bei Verbindungsdaten ist – selbst bei Flatrates – eine Speicherdauer von 30 Tagen nicht ungewöhnlich, einige Anbieter speichern sogar noch deutlich länger.

Ähnliche Zahlen – die allerdings im Detail differieren – ergeben sich aus einem Leitfaden der Generalstaatsanwaltschaft München.

Wenn man sich dazu noch vor Augen führt, welch eine Fülle an Einzelbefugnissen im Bereich der Telekommuniaktion-Überwachung tatsächlich existiert, ergibt sich in der Gesamtschau ein durchaus beunruhigendes Bild.

Vorratsdatenspeicherung nun doch beim EuGH

Seit zwei Jahren kursierte immer wieder mal die Meldung, dass der irische HighCourt dem EuGH die Vorabprüfung der Frage, ob die Richtlinie über die Vorratsdatenspeicherung mit den europäischen Grundrechten vereinbar ist, vorgelegt hätte. Erst vor einigen Wochen hatte Telemedicus allerdings berichtet, dass eine derartiges Verfahren beim EuGH nicht anhängig ist.

Nunmehr ist am 11.06.2012 aber offenbar doch noch ein entsprechender Antrag des irischen HighCourts beim Europäischen Gerichtshof eingegangen (C-293/12), wie der Kollege Lehofer in seinem Blog berichtet. Die Vorlagefragen sind im Wortlaut aber noch nicht veröffentlicht. Der irische HighCourt hat für diese Vorlageentscheidung damit geschlagene 2 Jahre gebraucht, was ebenfalls Fragen aufwirft.

Mit dem Vertragsverletzungsverfahren, das die Kommission derzeit gegen Deutschland wegen Nichtumsetzung der Richtlinie über die Vorratsdatenspeicherung anstrengt, hat dieses Verfahren übrigens nichts zu tun. In dem Vertragsverletzungsverfahren kann und wird der EuGH die Frage der Vereinbarkeit der Richtlinie mit den Grundrechten nämlich nicht überprüfen.

February 29 2012

Der elektronische Staubsauger

Vor einigen Tagen wurde bekannt, dass die Geheimdienste im Jahr 2011 ca. 37 Millionen E-Mails überprüft haben, weil darin Begriffe wie “Bombe” auftauchten. Diese Zahlen besagen allerdings auch, dass noch wesentlich mehr gescannt wurde und “nur” in 37 Millionen Mails diejenigen Suchbegriffe enthalten waren, nach denen der Bundesnachrichtendienst gesucht hatte und von denen er glaubt, dass sie beispielsweise zur Früherkennung der Gefahr terroristischer Anschläge taugen. Die gescannten Mails, die keine der vorgegebenen Suchbegriffe enthielten, tauchen in der Statistik von vornherein nicht auf.

Die Rechtsgrundlage für das Vorgehen des Bundesnachrichtendiensts, das in der Presse gerne elektronischer Staubsauger genannt wird, findet sich in  § 5 des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10).

Der BND darf für diese “strategischen Maßnahmen”, durch die das Fernmeldegeheimnis eingeschränkt wird, nur solche Suchbegriffe verwenden, die geeignet sind zur Aufklärung von Sachverhalten über den in der Anordnung genannten Gefahrenbereich beizutragen. Das sind aber gerade so allgemeine Begriffe wie Bombe, Al Quaida oder Anschlag.

Wie sich dem Bericht des Parlamentarischen Kontrollgremiums vom 10.02.2012 entnehmen lässt, hat das Innenministerium im Jahr 2010 derartige Maßnahmen für drei große Bereiche (internationaler Terrorismus, internationale Verbreitung von Kriegswaffen sowie unerlaubter Außenwirtschaftsverkehr mit Waren, Datenverarbeitungsprogrammen und Technologien und gewerbs- oder bandenmäßig organisiertes Einschleusen von Ausländern) genehmigt.

Im Jahr 2010 hat die Bundesregierung allein im Bereich “Internationaler Terrorismus” 2752 (!) allgemeine Suchbegriffe zugelassen. Anhand dieser Suchbegriffe hat der BND den Telekommunikationsverkehr gescannt und nur für den Terrorismusbereich 10 213 329 Vorgänge näher untersucht, davon 10 208 525 E-Mails.

Grundsätzlich müssen diese Maßnahmen nach dem Gesetz zwar auf  internationale Telekommunikationsbeziehungen beschränkt werden. Wie man diese Einschränkung aber speziell beim E-Mail-Verkehr umsetzen und einhalten will, ist unklar. Die Ansicht des Abgeordneten Ströbele, dass Deutsche kaum betroffen sein dürften, kann man deshalb getrost als naiv bezeichnen. Es muss vielmehr davon ausgegangen werden, dass der BND zunächst unterschiedslos (nahezu) den gesamten E-Mail-Verkehr scannt.

Diese flächendeckende Form der Telekommunikationsüberwachung, die zutreffend als elektronischer Staubsauger bezeichnet wird – weil zunächst alles angesaugt wird – wurde 1999 vom Bundesverfassungsgericht in einer äußerst fragwürdigen Entscheidung abgesegnet. Damals war allerdings das Ausmaß der Überwachung nicht vorhersehbar. Das Gericht ging vielmehr davon aus, dass die täglich erfassten Telekommunikationsvorgänge aus technischen Gründen auf 15 000 beschränkt bleiben würden. Tatsächlich sind es mittlerweile über 100 000 jeden Tag.

Sowohl die parlamentarische, als auch die gerichtliche Kontrolle hat sich in diesem Bereich also als gänzlich wirkungslos erwiesen. Das Grundrecht aus Art. 10 GG ist zumindest mit Blick auf die Geheimdienste nur noch eine leere Hülle. Die Dienste können praktisch nach Belieben agieren, zumal die Bundesregierung die ohnehin sehr weit gefassten Anordnungen nach § 5 G 10 äußerst großzügig erlässt.

 

 

February 27 2012

Kein großer Wurf

Das Bundesverfassungsgericht hat über die Verfassungsmäßigkeit von §§ 111 – 113 TKG entschieden (Beschluss vom 24.01.2012, Az.:  1 BvR 1299/05) und dabei den Zugriff von Ermittlungsbehörden auf Telekommunikationsdaten von Bürgern (vorübergehend) etwas eingeschränkt. Die Entscheidung ist auf Zustimmung aber durchaus auch auf Kritik gestoßen. Dass die Kritik nicht nur aus den Reihen der innenpolitischen Hardlinern kommt, sondern gerade auch aus liberalen Kreisen, ist angesichts des Inhalts des Karlsruher Beschlusses wenig verwunderlich.

Der automatisierte Bestandsdatenzugriff (§ 112 TKG) wurde vom Bundesverfassungsgericht nämlich überhaupt nicht beanstandet. Die Begründung des Gerichts ist nicht nur erstaunlich, sondern auch ein wenig beängstigend. Denn mit dieser Argumentation des Bundesverfassungsgerichts

“Trotz des nicht unerheblichen Eingriffsgewichts erweist sich die Regelung als verhältnismäßig. Immerhin bleiben die abrufberechtigten Behörden enumerativ begrenzt. Bei den Zwecken, für die ihnen Auskünfte nach § 112 Abs. 2 TKG erteilt werden, handelt es sich um zentrale Aufgaben der Gewährleistung von Sicherheit. Angesichts der zunehmenden Bedeutung der elektronischen Kommunikationsmittel und des entsprechend fortentwickelten Kommunikationsverhaltens der Menschen in allen Lebensbereichen sind die Behörden dabei in weitem Umfang auf eine möglichst unkomplizierte Möglichkeit angewiesen, Telekommunikationsnummern individuell zuordnen zu können. Es ist insoweit eine verfassungsrechtlich nicht zu beanstandende Entscheidung des Gesetzgebers, wenn er die Übermittlung dieser Auskünfte erlaubt, um Straftaten und Gefahren aufzuklären, verfassungsbedrohliche Entwicklungen zur Information der Regierung und der Öffentlichkeit zu beobachten oder in Notsituationen zu helfen. Weil solche Ermittlungen oft schnell und ohne Kenntnis der Betroffenen durchgeführt werden müssen, ist für sie ein automatisiertes Auskunftsverfahren von besonderer Bedeutung. Auch die Effektivierung der Arbeit der Gerichte ist ein Anliegen, dessen Gewicht eine solche Regelung trägt.”

kann man letztlich nahezu jedwede Pflicht zur Speicherung von TK-Daten und zur Auskunftserteilung gegenüber Sicherheits- und Strafverfolgungsbehörden rechtfertigen. Dass das Bundesverfassungsgericht der “Gewährleistung von Sicherheit” im Argumentationsstil innenpolitischer Hardliner schablonenhaft Vorrang vor dem Grundrecht auf informationelle Selbstbestimmung einräumt, lässt für die künftige Entwicklung nicht viel Gutes erahnen. Der scheibchenweise Abbau der Grundrechte ist seit 20 Jahren in Gang und er scheint immer mehr an Fahrt aufzunehmen. Zumal der 1. Senat des Bundesverfassungsgerichts aktuell nicht in ausreichendem Maße über Richterpersönlichkeiten wie Hans-Jürgen Papier oder Wolfgang Hoffmann-Riem zu verfügen scheint, die sich mit der nötigen Vehemenz gegen die gesetzgeberische Beschneidung der Grundrechte stemmen.

Der Beschluss des Bundesverfassungsgerichts enthält allerdings auch Passagen die aufhorchen lassen. Denn was die Frage der Verfassungsgemäßheit von § 112 TKG anbelangt, hat sich das Gericht mit Blick auf IPv6 ein Hintertürchen offen gehalten und gleichzeitig dem Gesetzgeber eine Beobachtungs- und gegebenenfalls Nachbesserungspflicht auferlegt:

“Allerdings kann § 112 TKG ein erheblich größeres Eingriffsgewicht erhalten, wenn statische IP-Adressen künftig – etwa auf der Basis des Internetprotokolls Version 6 – in größerem Umfang die Grundlage der Internetkommunikation bilden sollten. Denn für die Frage des Eingriffsgewichts der Identifizierung einer IP-Adresse kommt es - auch wenn insoweit verschiedene Grundrechte maßgeblich sind - nicht primär darauf an, ob eine IP-Adresse technisch dynamisch oder statisch zugeteilt wird, sondern darauf, welche tatsächliche Bedeutung die Begründung einer entsprechenden Auskunftspflicht hat. Wenn aber in der Praxis auch Privatpersonen in weitem Umfang statische IP-Adressen zugeteilt werden, kann das möglicherweise dazu führen, dass hierdurch generell oder zumindest in weitem Umfang die Identität von Internetnutzern ermittelt und Kommunikationsvorgänge im Netz nicht nur für eine begrenzte Zeit, sondern auch dauerhaft deanonymisiert werden können. Eine solche weitreichende Möglichkeit zur Deanonymisierung der Kommunikation im Internet geht über die Wirkung eines traditionellen Rufnummernregisters hinaus. Zwar weist die Auskunft über die Zuordnung einer IP-Adresse zu einem Anschlussinhaber eine gewisse Ähnlichkeit mit der Identifizierung einer Telefonnummer auf. Auch hier sind mögliche – über die bloße Zuordnung der IP-Adresse hinausgehende – weitere Informationsgehalte nicht der Auskunft selbst zu entnehmen, sondern ergeben sich erst im Zusammenhang mit Kenntnissen, die die Behörde anderweitig bereits erlangt hat oder aufgrund eigener Rechtsgrundlagen noch erlangen könnte. Gleichwohl kann die Zuordnung einer IP-Adresse zu einem Anschlussinhaber vom Gewicht für den Betroffenen her mit der Identifizierung einer Telefonnummer nicht gleichgesetzt werden, weil erstere die Erschließung von nach Umfang und Inhalt wesentlich weiterreichenden Informationen ermöglicht (vgl. BVerfGE 125, 260 <342>). Angesichts dieses erhöhten Informationspotenzials wäre die generelle Möglichkeit der Identifizierung von IP-Adressen nur unter engeren Grenzen verfassungsrechtlich zulässig (vgl. BVerfGE 125, 260 <343 f., 356 ff.>). Den Gesetzgeber trifft insoweit eine Beobachtungs- und gegebenenfalls Nachbesserungspflicht.”

Natürlich darf man auch die erfreulichen Aspekte der Entscheidung nicht verschweigen. Bislang war es durchaus üblich, dass Polizeibehörden bei Internet-Service-Providern via Telefax, das mit “Auskunftsersuchen nach § 113 TKG” überschrieben war, eine Zuordnung einer dyamischen IP-Adresse zu einem bestimmten Providerkunden verlangt haben.

Damit ist in dieser Form jedenfalls vorerst Schluss, weil es nach der Ansicht des Gerichts an einer hinreichend klaren Entscheidung des Gesetzgebers, ob und unter welchen Voraussetzungen eine solche Identifizierung erlaubt werden soll, fehlt. Es wird vermutlich allerdings nicht lange dauern, bis der Gesetzgeber hier erneut aktiv werden und nachbessern wird.

Als verfassungswidrig hat das Gericht lediglich § 113 Abs. 1 Satz 2 TKG angesehen, der den Zugriff auf Daten betrifft, die der  Zugangssicherung dienen, also Passwörter, die PIN oder die PUK. Die Regelung ist primär deshalb verfassungswidrig, weil sie den Zugriff der Behörden unabhängig davon erlaubt, für welche Zwecke diese Daten abgefragt werden. Die Auskunftserteilung über solche Zugangssicherungen muss nach der Entscheidung des BVerfG aber an den konkret erstrebten Nutzungszweck angekoppelt werden. Auch inosweit wird der Gesetzgeber sicherlich in Kürze tätig werden.

Warum der Gesetzgeber vermutlich nur ein bisschen nachjustieren muss erklärt Wolfgang Bär – übrigens ein erklärter Befürworter der Quellen-TKÜ auf Grundlage der geltenden StPO – in der Legal Tribune Online. Und man kann ihm kaum widersprechen.

Die Entscheidung des Bundesverfassungsgerichts ist unter dem Strich also nicht der große Wurf, sondern wohl eher eine große Enttäuschung. Dennoch haben Patrick Breyer vom AK Vorrat und sein Bruder mit ihrer Verfassungsbeschwerde gegen §§ 11 – 113 TKG einmal mehr für unsere Bürgerrechte gekämpft und mit ihrem Teilerfolg erneut eine Duftmarke in Karlsruhe gesetzt.

Weil ich mehrfach gefragt worden bin, ob sich die Entscheidung auch auf die Fälle des Filesharing auswirkt, hierzu abschließend noch ein Exkurs. Im Netz kursierte als Reaktion auf den Beschluss des Bundesverfassungsgerichts die verwegene These, die Entscheidung würde den Filesharing-Abmahnungen den Todesstoß versetzen. Das ist schon deshalb unzutreffend, weil die Provider die Zuordnung von IP-Adressen zu einem konkreten Kunden nicht nach dem TKG vornehmen, sondern auf Grundlage von § 101 Abs. 2 und Abs. 9 UrhG. Diese Vorschrift enthält einen Richtervorbehalt – der in der Praxis allerdings keinerlei vernünftige Einzelfallprüfung mehr bewirkt – und beachtet auch das Zitiergebot Art. 19 Abs. 1 Satz 2 GG und erfüllt insoweit die vom BVerfG definierten Anforderungen.

In diesem Zusammenhang ist es aber durchaus interessant, dass die Vorschrift des § 101 Abs. 9 UrhG, die die richterliche Anordnung regelt, den Provider nicht zur Herausgabe von Kundendaten verpflichtet, sondern ihm nur datenschutzrechtlich erlaubt, eine solche Auskunft zu erteilen. Ob er die Auskunft dann tatsächlich erteilen muss, bestimmt sich nach § 101 Abs. 2 UrhG. Neben der nach wie vor umstrittenen Frage, ob und unter welchen Voraussetzungen ein privater Filesharer in gewerblichem Ausmaß handelt, muss die Rechtsverletzung auch offensichtlich sein. In diesem Zusammenhang sind eine ganze Reihe von Punkten umstritten. Fraglich ist u.a. ob sich das Merkmal der Offensichtlichkeit auch auf die Person des Anschlussinhabers beziehen muss. Nachdem der Anschlussinhaber in den Filesharing-Fällen nicht zwangsläufig auch der Rechtsverletzer ist, sondern die Verletzungshandlung vielmehr in zahlreichen Fällen von Familienangehörigen oder Mitbewohnern des Anschlussinhabers begangen worden ist, liegt in der Person des Providerkunden und Anschlussinhabers keinesfalls eine offensichtliche Rechtsverletzung vor. Wenn man dieser Rechtsauffassung folgt, dann müssen die Provider also keineswegs eine Auskunft erteilen, weil es an den tatbestandlichen Voraussetzungen von § 101 Abs. 2 UrhG fehlt. Andererseits können sie diese Auskunft ohne eigenes Haftungsrisiko erteilen, weil ihnen ein Gericht nach § 101 Abs. 9 UrhG bescheinigt hat, dass sie das zumindest dürfen.

 

February 19 2012

Bundesdatenschutzbeauftragter kritisiert Bundestrojaner deutlich

Der Bundesdatenschutzbeauftragte Peter Schaar hat den Einsatz einer Überwachungssoftware der Fa. DigiTask (“Bundestrojaner“) durch Bundesbehörden in seinem “Bericht gemäß § 26 Abs. 2 Bundesdatenschutzgesetz über Maßnahmen der Quellen-Telekommunikationsüberwachung bei den Sicherheitsbehörden des Bundes“ erheblich beanstandet.

Für besonders interessant halte ich die Ausführungen Schaars im Hinblick auf die technischen Anforderungen an derartige Überwachungssysteme.

Bei der technischen Umsetzung sind laut Schaar aus rechtlichen Gründen eine Reihe technischer Maßnahmen durchzuführen, die weit über die Anforderungen an gängige Überwachungssoftware hinausgehen.

In dem Papier des Bundesbeauftragten heißt es u.a., dass Software für Maßnahmen der Quellen-TKÜ technisch nicht wie Schadsoftware, Viren, Spionageprogramme und Hackerprogramme funktionieren kann. Sie muss vielmehr die gesetzlichen Vorgaben und Standards des Datenschutzes und der IT-Sicherheit erfüllen. Hierzu gehören Maßnahmen zu Gewährleistung der Transparenz, Vertraulichkeit, Verfügbarkeit und Unversehrtheit, aber auch zu Revisionssicherheit und Löschbarkeit.

Schaar hält hierzu die Vorlage des Quellcodes und einer umfassenden Dokumentation für unerlässlich.

Außerdem müsse laut Schaar sichergestellt sein, dass die Daten auf dem Weg zur Sicherheitsbehörde nicht verändert oder verfälscht werden können, woraus sich strenge Anforderungen an die Daten- und Instanzauthentisierung ergeben. Da aufgrund verfassungsrechtlicher und gesetzlicher Vorgaben der Kernbereich privater Lebensgestaltung besonders geschützt ist, muss die für die Maßnahme eingesetzte Software außerdem in der Lage sein, nach der Speicherung der Informationen jederzeit eine gezielte Löschung kernbereichsrelevanter Inhalte durchzuführen.

Um eine Kontrolle durch den Betroffenen oder eine Datenschutzbehörde zu ermöglichen, ist eine Protokollierung der wichtigsten Rahmenbedingungen und zu den übermittelten Daten erforderlich. Schaar merkt außerdem an, dass in der Software keine Funktionen vorhanden sein dürfen, die über die gesetzlich vorgesehenen Überwachungsmaßnahmen hinaus gehen. Es müsse sichergestellt werden, dass keine über die Überwachung der laufenden Telekommunikation hinausgehende Überwachung stattfindet.

Schaar weist schließlich darauf hin, dass beim Bundestrojaner weder der Quellcode noch eine hinreichende Programmdokumentation vorliegt, weshalb die notwendige und vom BKA vorzunehmende Prüfung der Software, erst gar nicht möglich sei.

Der Bundesdatenschutzbeauftragte kommt insoweit zu dem Ergebnis,dass ein schwerwiegender Verstoß gegen die Regelungen des § 9 BDSG und § 20k BKAG vorliegt.

 

January 19 2012

Massenhafte Funkzellenabfrage auch in Berlin

Netzpoliik.org berichtet heute darüber, dass auch in Berlin, ähnlich wie in Dresden, massenhafte Funkzellenabfragen stattgefunden haben. Belegt wird dies durch Akten der Berliner Polizei, die netzpolitik.org zugespielt wurden und die das Blog veröffentlicht hat.

Man mag dies als Skandal betrachten, sollte aber wissen, dass die sog. Funkzellenabfrage zum Standardrepertoire der Telekomunikationsüberwachung gehört und von Ermittlungsbehörden bundesweit regelmäßig eingesetzt wird. Ein vor einigen Monaten geleakter “Leitfaden zum Datenzugriff” der Generalstaatsanwaltschaft München gibt einen interessanten Überblick über die in der Praxis angewandten Maßnahmen der TK-Überwachung. Diese Übersicht macht auch deutlich, welche Fülle an Möglichkeiten den Ermittlungsbehörden tatsächlich zur Verfügung steht. Während in der innenpolitischen Diskussion gerne das Zerrbild von angeblich fehlenden Befugnissen gezeichnet wird, ist Deutschland in Wirklichkeit, zumindest unter den demokratischen Staaten, sehr weit vorne dabei, wenn es um die Überwachung der Telekommunikation geht.

Bei einer Funkzellenabfrage werden mittels eines Auskunftsverlangens an Mobilfunkanbieter sämtliche Verkehrsdaten mit Tatzeit- und Tatortbeziehung erhoben. Jeder, der also in zeitlicher und räumlicher Nähe des Tatorts mit seinem Handy auf Empfang war, wird erfasst. Davon sind in Großstädten dann zwangsläufig tausende oder zehntausende Unbeteiligte betroffen. Das Ergebnis wird anschließend im Rahmen  der sog. Funkzellenauswertung mit bereits vorliegenden anderen Daten abgeglichen, in der Hoffnung, weitere Erkenntnisse zu erlangen. Dieser Ablauf ist bekannt, er wird ganz offiziell auch auf Websites der Kriminalpolizei so geschildert und dargestellt.

Nachdem der Polizei immer mehr Datenbanken zur Abfrage zur Verfügung stehen, werden die Erkenntnisse zwangsläufig auch immer zahlreicher. Das führt natürlich dazu, dass man als Bürger sehr schnell in den Fokus der Ermittler gelangen kann, wenn man zur falschen Zeit am falschen Ort ist und/oder mit den falschen Leuten Kontakt hat. Hier bietet es sich aus aktuellem Anlass an, ein Beispiel im Zusammenhang mit der gerade beschlossenen “Verbunddatei Rechtsextremismus” zu bilden. Wenn die Polizei wegen einer Straftat mit rechtsradikalem Hintergrund ermittelt, würde man also nach einer Funkzellenabfrage mit den erlangten Daten weitere Datenbanken füttern, z.B. die Verbunddatei Rechtsextremismus. Wenn jemand in dieser Datei geführt wird und gleichzeitig sein Handy zur Tatzeit empfangsbereit in der Nähe des Tatorts war, wird damit fast zwangsläufig ein Tatverdacht auf ihn fallen.

Genau das ist auch das fatale an diesen rasterartigen, IT-gestützten Ermittlungsmaßnahmen. Die klassische kriminalistische Arbeit der Polizei wird immer stärker zurückgedrängt – sie wird auch gar nicht mehr so intensiv gelehrt wie früher – zugunsten der Abfrage von immer mehr Datenbanken. Hierbei werden fragmentarische Einzelinformationen aus unterschiedlichen Datenbeständen zusammengefügt. Weil an dieser Stelle die Qualität und Genauigkeit der Einzelinformationen häufig nicht kritisch genug überprüft wird und man um einen Ermittlungserfolg zu erzielen, gerne auch nur das sieht, was man sehen möchte, entsteht mithilfe dieser Technik sehr schnell ein Zerrbild, das mit der Wirklichkeit nicht viel zu tun hat, aber den Ermittlern dennoch schlüssig erscheint.

Die Problematik der Funkzellenabfrage ist übrigens wegen des Dresdener Falles mittlerweile auch in der politischen Diskussion angekommen. Die Grünen haben vor einigen Monaten einen Gesetzesentwurf zur rechtsstaatlichen und bürgerrechtskonformen Ausgestaltung der Funkzellenabfrage vorgelegt, die LINKE will die Funkzellenabfrage ganz abschaffen. Beide Gesetzesentwürfe sind allerdings nicht mehrheitsfähig.

Es kann jedenfalls nicht schaden, wenn auch einer breiteren Öffentlichkeit immer mehr bewusst wird, in welchem Umfang die Telekommunikation in Deutschland tatsächlich überwacht werden kann und auch überwacht wird. Das was netzpolitk.org jetzt aufgedeckt hat, ist letztlich “Business As Usual”.

January 10 2012

Zulässigkeit der heimlichen Installation von Überwachungssoftware

Unter dem Titel “Zulässigkeit der heimlichen Installation von Überwachungssoftware” ist gerade ein Aufsatz von mir in der Zeitschrift MultiMedia und Recht (MMR 2012, 18) erschienen, der nicht online verfügbar ist. Es wird dort der Frage nachgegangen, ob die sog. Quellen-TKÜ oder noch weitergehende Maßnahmen der Onlinedurchsuchung nach geltendem Recht zulässig sind.

Meine Thesen lauten zusammengefasst:

1. Die sog. Quellen-TKÜ ist zwar in rechtlicher Hinsicht eine Telefonüberwachung, stellt aber in technischer Hinsicht eine Onlinedurchsuchung dar, weil sie zwingend die heimliche Infiltration eines Computers mit einer Spähsoftware voraussetzt.

2. Dieses Spannungsverhältnis hat das BVerfG  in seiner Entscheidung zur Onlinedurschsuchung erkannt und versucht, eine verfahrensrechtliche Lösung zu finden. Diese setzt allerdings voraus, dass der Gesetzgeber tatsächlich in der Lage ist, die Gefahr, die die Installation eines Trojaners mit sich bringt dahingehend zu beherrschen, dass die Maßnahme trennscharf auf die Quellen-TKÜ begrenzt werden kann. Es stellt sich insoweit die Frage, ob die vom Bundesverfassungsgericht vorgenommene juristisch nachvollziehbare Differenzierung zwischen Onlinedurchsuchung und Quellen-TKÜ in technischer Hinsicht überhaupt praktikabel und zuverlässig möglich ist. Ist das nicht der Fall, dann wäre das Gericht von unzutreffenden tatsächlichen Annahmen ausgegangen. Das würde wiederum bedeuten, dass eine gesetzliche Regelung der Quellen-TKÜ nicht an den Vorschriften der TK-Überwachung, sondern vielmehr an den deutlich engeren Vorgaben einer Onlinedurchsuchung zu messen wäre.

3. Um die Anforderungen des BVerfG auch für die sog. Quellen-TKÜ zu erfüllen, muss der Gesetzgeber konkrete Vorgaben bzgl. der Funktionalität der einzusetzenden Software machen. Der Einsatz multifunktionaler Programme ist grundsätzlich problematisch, da bei solchen Programmen nie ausgeschlossen werden kann, dass im Einzelfall mehr gemacht wird als zulässig ist. Genau dies muss der Gesetzgeber aber verhindern. Erforderlich ist in jedem Fall eine ausreichende Qualitätssicherung und Überprüfung. Die derzeitige Praxis des Ankaufs von Computerprogrammen, bei denen die Behörden noch nicht einmal in Besitz des Quellcodes sind und die nach den Feststellungen des CCC auch erhebliche programmiertechnische Mängel aufweisen, entspricht nicht ansatzweise den Vorgaben des Verfassungsgerichts und ist zu unterbinden.

Fazit:
Die Quellen-TKÜ ist nach geltendem Recht nicht von der Vorschrift des § 100a StPO gedeckt. Es ist Aufgabe des Gesetzgebers eine spezifische gesetzliche Regelung zu schaffen, die die Vorgaben des Bundesverfassungsgerichts aus der Entscheidung zur Onlinedurchsuchung umsetzt und die insbesondere sicherstellt, dass Maßnahmen, die über eine Überwachung der Internettelefonie hinausreichen, ausgeschlossen sind. Die derzeitige Praxis des Einsatzes von multifunktionaler Software ist durch entsprechende gesetzliche Vorgaben zu verhindern.

Mit dem Themenkreis Staatstrojaner und Quellen-TKÜ setzen sich auch (erneut) Florian Albrecht und Sebastian Dienst in einem lesenswerten Aufsatz für JurPC auseinander. Die Autoren bezweifeln die technische Realisierbarkeit einer verfassungskonformen Quellen-TKÜ und sind darüber hinaus der Ansicht, dass auch die Regelung des § 20a BKA-G, die dem BKA eine Onlinedurchsuchung in engen Grenzen erlaubt, verfassungswidrig ist.

Reposted byurfin urfin
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl