Tag Archives: WhatsApp

Grundrechtsbeschränkung im Schnelldurchgang: Quellen-Telekommunikationsüberwachung und Online-Durchsuchung

Die Fraktionen der CDU/CSU und SPD im Deutschen Bundestag haben am Freitag, dem 16. Juni 2017 im Rechtsausschuss einen Antrag zur Änderung der Strafprozessordnung
eingebracht, der den Strafverfolgungsbehörden die Befugnis zur „Online-Durchsuchung“ und zur „Quellen-Telekommunikationsüberwachung“ einräumen soll. Er beruht auf einer „Formulierungshilfe“ der Bundesregierung vom 15. Mai 2017.
Dieser Antrag soll nach Presseberichten schon in dieser Sitzungswoche (21.-22. Juni 2017) vom Bundestag beschlossen werden.

Parallel dazu hat die Konferenz der Innenminister der Länder am 14. Juni 2017 gefordert, den Polizeibehörden die Überwachung von verschlüsselten Kommunikationsdiensten wie WhatsApp zu ermöglichen. Der Wortlaut des Beschlusses der Innenministerkonferenz wurde bislang nicht veröffentlicht.

Online-Durchsuchung

 

 

Technische Voraussetzung für eine Online-Durchsuchung ist das Aufspielen einer entsprechenden Software in das zu überwachende System. Dies kann entweder über einen Datenträger (Diskette, CD-ROM, USB-Stick etc.) oder online, d. h. über eine bestehende Internet-Verbindung, z. B. als Anhang an eine E-Mail, geschehen. Der Betroffene merkt nichts hiervon. Er kann sich auch durch sog. Firewalls oder Virenschutzsoftware nicht hiergegen schützen. Mit einer Online-Durchsuchung hat eine Sicherheitsbehörde Zugriff auf sämtliche in dem infiltrierten System vorhandene – auch höchst persönliche – Daten. Angesichts des gewandelten gesellschaftlichen Kommunikations- und Nutzungsverhaltens besteht damit regelmäßig nicht nur Zugriff auf gespeicherte E-Mail, sondern auch auf Gesundheits-, Bank-, Finanz-, Steuer- und privateste Daten. Hierzu zählen beispielsweise auch Tagebücher, die zunehmend nicht mehr in Papierform, sondern elektronisch geführt werden. Aus der Zusammenschau dieser Daten entstehen weit reichende Persönlichkeitsprofile der Betroffenen. (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 22. TB, S. 45)

Quellen-Telekommunikationsüberwachung

 

 

Bei dieser Maßnahme installieren die Ermittlungsbehörden heimlich eine Software auf dem Computer der Zielperson. Kommuniziert diese mit Hilfe des betroffenen Computers, werden die entsprechenden Daten an die Ermittlungsbehörden ausgeleitet. Dies betrifft beispielsweise verschlüsselt übertragene Gespräche, für die die Zielperson die IP-Telefoniesoftware „Skype“ benutzt. Die Maßnahme muss sich auf die laufende Telekommunikation beschränken. Die von der Polizeibehörde eingesetzte Software darf also nicht sonstige Inhalte des Computers, z. B. gespeicherte Texte, Bilder oder andere Dateien an die Polizeibehörde übertragen. Dadurch unterscheidet sich die Quellen-Telekommunikationsüberwachung von der sog. Onlinedurchsuchung. (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, 24. TB, S. 95)

Die neuen Befugnisse haben erhebliche Auswirkungen auf die Grundrechte und die Sicherheit informationstechnischer Systeme: Der für beide Maßnahmen erforderliche Online-Zugriff setzt voraus, dass auf den Systemen entsprechende Software installiert wurde. Die zum Einsatz kommenden Verfahren ähneln insoweit denjenigen Methoden, die von Kriminellen zur Manipulation von Computern eingesetzt werden. Deshalb spricht man auch von „Staatstrojanern“. Mit dem online-Zugriff greifen Sicherheitsbehörden in die Integrität und in die Vertraulichkeit der entsprechenden IT-Systeme ein. Sie haben damit grundsätzlich Zugriff auf alle Funktionen und Daten des infiltrierten Systems. Aus diesem Grund versteht das Bundesverfassungsgericht die Gewährleistung der Vertraulichkeit und Integrität als Grundrecht, in das nur für den Schutz überragend wichtiger Rechtsgüter (Schutz von Leben, körperlicher Unversehrtheit und Freiheit) eingegriffen werden darf (Urteil v. 27.2.2008).

Zudem nutzen die Sicherheitsbehörden Kenntnisse beziehungsweise Schwachstellen der Systeme, die gegebenenfalls auch von Dritten eingesetzt werden können. Entsprechende Schwachstellen („Zero-Day-Exploits“) werden auf einem grauen Markt gehandelt. Statt diese Sicherheitslücken zu beseitigen, nutzen sie Geheimdienste und Polizeibehörden für Überwachungsmaßnahmen. Dementsprechend ist es nicht verwunderlich, dass dieselben Schwachstellen auch für kriminelle Zwecke weiterhin verwendet werden. Das spektakulärste Beispiel hierfür die selben Schwachstellen auch für kriminelle Zwecke weiterhin verwendet werden. Das spektakulärste Beispiel für hierfür ist die Infiltration zehntausender Computersysteme mit dem Erpressungstrojaner Wannacry, der eine Schwachstelle verwendete, die amerikanischen Geheimdiensten seit langem bekannt war.

Angesichts dieser sehr schwer wiegenden Auswirkungen halte ich es für unverantwortlich, die entsprechenden Überwachungsbefugnisse in einem parlamentarischen Schnelldurchgang ohne Möglichkeit zur gründlichen Prüfung und Debatte zu beschließen.

Mit freundlichen Grüßen

Peter Schaar

Soziale Netzwerke sind keine Hilfsorgane der Sicherheitsbehörden

Innenpolitiker verschiedener Parteien, Vertreter des Bundesinnenministeriums und der Chef des Bundesamts für Verfassungsschutz fordern dieser Tage einen verbesserten Zugriff auf Daten aus sozialen Netzwerken. Sie berufen sich dabei auf den Amoklauf in München und auf terroristisch motivierte Straftaten in den letzten Wochen.

Facebook – so der Vorwurf – arbeite nur zögerlich mit den deutschen Sicherheitsbehörden zusammen. Deshalb seien Gesetzesänderungen notwendig, um etwa das Unternehmen zur Herausgabe von Nutzerdaten zwingen zu können. Unklar bleibt dabei, worauf sich diese Forderung im einzelnen bezieht: Auf die Herausgabe der Bestands- und Nutzungsdaten des Netzwerks oder auf die dort verbreiteten Informationen? Oder geht es um die vertrauliche Kommunikation mittels Messenger-Diensten wie Skype oder WhatsApp und die dabei ausgetauschten Inhalte?

Manchmal erleichtert ja ein Blick in die Gesetze die Rechtsfindung. Denn selbstverständlich sind die Betreiber sozialer Netzwerke an Recht und Gesetz gebunden und sie dürfen bzw. müssen Daten an Ermittlungsbehörden herausgeben, wenn die rechtlichen Voraussetzungen dafür gegeben sind. Bei sozialen Netzwerken handelt es sich um so genannte „Telemedien“ oder „Teledienste“ – für sie ist das Telemediengesetz (TMG) einschlägig, das Regeln für die Datenherausgabe an Behörden enthält. Zudem brauchen die Behörden eine gesetzliche Befugnis, die den Rahmen für deren Auskunftsverlangen absteckt, denn jede Übermittlung dieser Daten ist ein Eingriff in das Grundrecht auf informationelle Selbstbestimmungsrecht. Das Bundesverfassungsgericht spricht in diesem Zusammenhang von einem „Doppeltürmodell“, denn es verlangt sowohl eine gesetzliche Erlaubnis zur Datenherausgabe durch die Unternehmen als auch eine entsprechende Befugnis zur behördlichen Datenabfrage.

In § 14 Abs. 2 und § 15 Abs. 5 TMG ist festgelegt, dass Diensteanbieter wie Facebook den Polizeibehörden und den Nachrichtendiensten im Einzelfall Auskunft über bestimmte Daten des Nutzers erteilen dürfen, soweit dies für die Erfüllung der Zwecke der Strafverfolgung, zur Gefahrenabwehr und zur Terrorismusabwehr erforderlich ist und eine entsprechende Anordnung vorliegt. Die Anordnungsbefugnis ist in den für die jeweiligen Behörden geltenden Gesetzen festgelegt, insbesondere in der Strafprozessordnung, den Polizeigesetzen des Bundes und der Länder und im Bundesverfassungsschutzgesetz.

Die Strafprozessordnung und die Polizeigesetze von Bund und Ländern enthalten bereits umfangreiche Befugnisse zur Erhebung personenbezogener Daten, soweit es um die Aufklärung und Verhütung von Straftaten geht. Eine Regelungslücke kann ich hier nicht erkennen.

Auch der Verfassungsschutz darf gem. § 8a Bundesverfassungsschutzgesetz im Einzelfall Merkmale zur Identifikation des Nutzers eines Teledienstes, Angaben über Beginn und Ende sowie über den Umfang der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Teledienste verlangen. Die Auskünfte dürfen aber nur verlangt werden, soweit dies im Einzelfall für die Aufgabenwahrnehmung erforderlich ist. Sie dürfen sich nur gegen Personen richten, bei denen tatsächliche Anhaltspunktre vorliegen, dass von ihnen schwerwiegende Gefahren ausgehen. Auch hier sehe ich keinen Bedarf für das weitere Aufbohren der Überwachungsbefugnisse.

Soweit die Behörden die direkte, vertrauliche Kommunikation zwischen Nutzern sozialer Netzwerke bzw. Messenger-Diensten überwachen wollen, müssen sie sich an die Regeln zur Telekommunikationsüberwachung halten. Diese Kommunikationsvorgänge sind durch das Fernmeldegeheimnis (Art. 10 GG) geschützt. Deshalb sind die rechtlichen Hürden hier höher als bei den sozialen Medien. Gleichwohl ist der Zugriff auf Verkehrsdaten der Telekommunikation und sogar die Überwachung der übertragenen Inhalte zur Bekämpfung schwerer Straftaten oder zur Abwehr schwerwiegender Gefährdungen – etwa bei einem angekündigten Amoklauf – zulässig. Die Behörden müssen auch hier ein rechtsstaatliches Verfahren einhalten, was im konkreten Fall bedeuten kann, dass sie eine richterliche Überwachungsanordnung benötigen. Ein solches rechtsstaatliches Verfahren mag lästig sein, ist aber unverzichtbar, wenn man die Grundrechte ernst nimmt.

Die Forderung nach einer darüber hinausgehenden allgemeinen ‚Kooperationspflicht‘ der Internetunternehmen mit Geheimdiensten oder Polizeibehörden würde dazu führen, dass die sozialen Netzwerke zu einer Art Hilfsorgan der Sicherheitsbehörden würden. Keineswegs hinzunehmen wäre etwa die Weitergabe persönlicher Daten bloß auf „Zuruf“ oder die Auswertung und Weitergabe von Massendaten. Die Enthüllungen Edward Snowdens haben gezeigt, welche Konsequenzen ein solcher Kuschelkurs haben kann.

Dagegen halte ich die Forderung für sinnvoll, dass Facebook und andere international agierende soziale Netzwerke Ansprechpartner für Auskunftsersuchen der Sicherheitsbehörden zu bestellen haben. Allerdings wird damit nicht das Problem gelöst, dass beim Zugriff auf Daten, die ein soziales Netzwerk auf Servern außerhalb Deutschlands speichert, auch die gesetzlichen Vorgaben des jeweiligen Staates zu beachten sind. Eine ähnliche Frage – allerdings mit umgekehrten Vorzeichen – wird ja derzeit in den USA diskutiert. Dort fordern Sicherheitsbehörden von Microsoft die Herausgabe von Daten, die auf Servern außerhalb der USA gespeichert werden. Der Ausgang dieses Verfahrens ist bis heute offen. Auch und gerade für den Zugriff auf Daten bei transnationalen Internetangeboten müssen die Grundsätze der Rechtsstaatlichkeit und Verhältnismäßigkeit gelten.

Wer dies aus tagespolitischen Motiven ignoriert, könnte sich schon bald die Augen reiben. Mit welcher Begründung sollte ein Internetdienst etwa die Forderung einer türkischen Behörde nach der Herausgabe der Daten von Kritikern des türkischen Staatspräsidenten ablehnen, wenn andererseits eine sehr weitgehende Kooperation der Unternehmen mit den deutschen Behörden eingefordert wird? Und was sagen wir dem chinesischen Dissidenten, den ein Internetdienst den dortigen Behörden ausliefert?

Wir brauchen internationale Standards, die rechtsstaatlichen Grundsätzen entsprechen – bei der Strafverfolgung und auch beim Datenschutz im Internet. Was wir dagegen nicht brauchen, ist eine „lex München“ oder eine „lex Würzburg“, so schlimm die dortigen Amokläufe auch waren.

Mit freundlichen Grüßen

Peter Schaar

Nachtrag (16. August 2016)

In einer Stellungnahme betont eco, Verband der Internetwirtschaft e.V., er sehe keine Notwendigkeit, Telemediendienstanbieter, insbesondere Social Media Plattformen, dazu zu verpflichten, Nutzerdaten im Rahmen von Terror-Abwehr- oder –Ermittlungsmaßnahmen schneller an Behörden zu übergeben. Eine solche neue Herausgaberegelung sei „überflüssig und darüber hinaus aus datenschutzrechtlicher Perspektive problematisch“, betonte eco Vorstand Politik & Recht Oliver Süme.