201729.06.

Die (vorläufige) Rückkehr des Staatstrojaners

Der Entwurf eines Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens (BT-Drs. 18/11277), der vom Bundestag am 22. Juni 2017 verabschiedet wurde, sieht eine Änderung der Strafprozessordnung vor, mit der die Überwachungsmöglichkeiten des Staates erneut massiv ausgeweitet werden.

Mit der Einsatzerlaubnis für den sog. Staatstrojaner oder Bundestrojaner und andere Spionagesoftware soll der zunehmenden Verschlüsselung der Kommunikation durch die Bevölkerung entgegengewirkt werden. Der Einsatz von Software, die auf dem Gerät des Betroffenen installiert wird, erlaubt das Mitlesen und Abgreifen der Kommunikation, bevor diese verschlüsselt und an den Empfänger übertragen wird. Hierbei sollen die Geräte der Betroffenen auf Hinweise zu einer Vielzahl von Straftaten untersucht werden dürfen (z.B. Hehlerei, Geldwäsche, Bestechung) ohne dass die Betroffenen die Überwachung bemerken oder von dieser Kenntnis erlangen. Damit wird eine Maßnahme, die zuvor als Maßnahme gegen Terrorismus im Gesetz verankert wurde, zur Standardmaßnahme der Polizei erhoben, die unverhältnismäßig in das Recht auf informationelle Selbstbestimmung eingreift.

Die Bundesregierung hat die Anwendung von Spionagesoftware in dem Maßnahmenpaket “Programm zur Stärkung der Inneren Sicherheit” (PSIS, vom 9. November 2006) als Maßnahme beschrieben, um “entfernte PCs auf verfahrensrelevante Inhalte hin zu durchsuchen, ohne tatsächlich am Standort des Gerätes anwesend zu sein”.

Der BGH hatte sich in dem Beschluss vom 31. Januar 2007 (Az. StB 18/06) mit der Anwendung von Spionagesoftware zur verdeckten Durchsuchung eines Computers auseinandergesetzt und hohe Hürden formuliert. Kurz danach, im Februar 2008 hat auch das Bundesverfassungsgericht (Az. 1 BvR 370/07) gegen die Anwendung des Staatstrojaners in Nordrhein-Westfalen geurteilt. Es wurde festgestellt, dass das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG auch das Recht auf Gewärhleistung der Vertraulichkeit und der Integrität informationstechnischer Systeme umfasse. Das heimliche Infiltrieren von informationstechnischen Systemen zur Überwachung und Durchsuchung sei nur dann gestattet, wenn eine konkrete Gefahr für ein überragend wichtiges Rechtsgut, wie das menschliche Leben, bestehe oder allgemeine Rechtsgüter, wie die Grundlagen der Existenz der Menschen oder der Bestand des Staates bedroht seien. Es wurde zudem der Vorbehalt einer entsprechenden richterlichen Anordnung für die verfassungsrechtliche Zulässigkeit vorausgesetzt. Das zum Eingriff ermächtigende Gesetz sollte auch Vorkehrungen enthalten, um den Kernbereich der privaten Lebensgestaltung möglichst zu schützen.

Das jetzt vom Bundestag verabschiedete Gesetz ist unverhältnismäßig, da es weit über die vom Bundesverfassungsgericht geforderten überragend wichtigen Rechtsgüter hinausgeht und etwa Vermögensdelikte des Strafrechts erfasst werden. Das Gesetz wird einer verfassungsrechtlichen Kontrolle des Bundesverfassungsgericht nicht standhalten. Die Gesellschaft für Freiheitsrechte hat erfreulicherweise bereits eine entsprechende Verfassungsbeschwerde angekündigt.

Die Kritik an solchen Überwachungsgesetzen drängt sich zwingend auf. Die Heimlichkeit eines exekutiven Handelns in Form von polizeilichen Maßnahmen verstößt grundsätzlich gegen rechtsstaatliche Prinzipien. Rechtsstaatlichkeit erfordert die Kontrolle durch die Öffentlichkeit oder zumindest durch unabhängige Stellen, die wiederum der Kontrolle der Öffentlichkeit ausgesetzt sind. Dieser Wesenskern der Rechtsstaatlichkeit wird durch die Anwendung des Staatstrojaners untergraben und kann durch die vom Bundesverfassungsgericht formulierten Voraussetzungen für die Anwendung der Spionagesoftware nur teilweise abgefedert werden.

Auch das Missbrauchspotential ist nicht zu unterschätzen. Die Spionagesoftware ist auch ohne die richterliche Freigabe den Mitarbeitern der Behörden zugänglich und kann unrechtmäßig benutzt werden, wie ein im August 2007 bekannt gewordener Fall aufzeigt, in dem der BND-Mitarbeiter den Staatstrojaner zu privaten Zwecken nutzte. Dem steht gegenüber, dass die Spionagesoftware ohnehin nicht dem Verhältnismäßigkeitsgrundsatz genügen könnte. Während Beteiligte an schwerer Kriminalität immer ein gewisses Maß an Vorsicht und des organisierten Schutzes gegen bekanntermaßen angewendete Ermittlungsmöglichkeiten vorweist, sind es gerade die höchstens leicht kriminellen Menschen oder auch nur fälschlicherweise verdächtigten Bürger, die durch den Staatstrojaner ausgespäht werden können. Auch ein so bestehender Anfangsverdacht, der sich als unbegründet erweist, kann durch die Anwendung des Staatstrojaners zum Fund von Hinweisen auf Bagatelldelikte bzw. auf geringfügige Straftaten führen, für dessen Ermittlungen der Staatstrojaner gerade nicht ein verhältnismäßiges Mittel zur Beweiserhebung darstellt oder dazu dienen sollte. Es bleibt auch zu befürchten, dass der Anfangsverdacht, so unbegründet er eigentlich sein mag, mangels der rechtsstaatlichen Kontrolle und mangels der Möglichkeiten einer Entgegnung durch den Überwachten oder dessen anwaltlichen Beirat, von den Behörden auf eine Art und Weise dem zuständigen Richter glaubhaft gemacht wird, der sich, zumindest mit Rückblick auf die tatsächlichen Begebenheiten, für dessen Ermittlung die beantragende Polizei ohnehin selbst verantwortlich wäre, nicht gebietet.

Schließlich ist darauf hinzuweisen, dass der Einsatz von solchen Staatstrojanern immer auch die Ausnutzung von Sicherheitslücken voraussetzt. Dies wird dazu führen, dass der Staat in Zukunft Sicherheitslücken nicht den Softwareherstellern melden, sondern vielmehr für das eigene “Staatstrojaner-Arsenal” sammeln wird. Diese Überlegungen widersprechen dem Verständnis der Vertraulichkeit und Integrität informationstechnischer Systeme (sog. Computergrundrecht) das vom Bundesverfassungsgericht im Grundsatzurteil 2008 formuliert wurde.

Es bleibt abzuwarten, ob der Staat wegen seiner eigenen technischen Unfähigkeit (siehe Bayerntrojaner) gezwungen sein wird, entsprechende Trojanersoftware bei Drittanbietern auf dem “Schwarzmarkt” einzukaufen und so unkalkulierbare Risiken für die Betroffenen in Kauf nehmen wird (etwa Datenabfluss an Dritte). Hintergrund dieser Überlegungen ist, dass bei solchen Drittanbietern der Quellcode typischerweise nicht offen gelegt wird, sodass Käufer nicht vollständig nachvollziehen können, welche Funktionen oder auch Sicherheitslücken die Trojanersoftware hat (z.B. Datenabfluss an Dritte, Zugriff vom Hersteller, Bugs).

RA Sebastian Schwiering
Wiss. Mit. Burak Zurel

201729.06.

Bundesnetzagentur setzt Vorratsdatenspeicherung vorerst aus

Nach dem Urteil des Oberverwaltungsgericht NRW vom 22.06.2017 hat die Bundesnetzagentur die logischen Konsequenzen gezogen und die Vorratsdatenspeicherung bis zur Entscheidung im Hauptsacheverfahren ausgesetzt.

Dazu die BNetzA:

Mitteilung zur Speicherverpflichtung nach § 113b TKG

Die Erbringer öffentlich zugänglicher Telefondienste und Internetzugangsdienste sind gemäß § 113b TKG zur Speicherung der dort genannten Verkehrsdaten ab dem 01.07.2017 von Gesetzes wegen verpflichtet. Mit Beschluss vom 22.06.2017 hat das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in einem Verfahren des einstweiligen Rechtsschutzes festgestellt, dass der klagende Internetzugangsdiensteanbieter bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens nicht verpflichtet ist, die in § 113b Abs. 3 TKG genannten Telekommunikationsverkehrsdaten zu speichern (Az. 13 B 238/17). Aufgrund dieser Entscheidung und ihrer über den Einzelfall hinausgehenden Begründung sieht die Bundesnetzagentur bis zum rechtskräftigen Abschluss eines Hauptsacheverfahrens von Anordnungen und sonstigen Maßnahmen zur Durchsetzung der in § 113b TKG geregelten Speicherverpflichtungen gegenüber allen verpflichteten Unternehmen ab. Bis dahin werden auch keine Bußgeldverfahren wegen einer nicht erfolgten Umsetzung gegen die verpflichteten Unternehmen eingeleitet.

201726.06.

OVG NRW: Vorratsdatenspeicherung verstößt gegen Unionsrecht

Die verdachtsunabhängige, flächendeckende Speicherung von IP-Adressen, zu der Internetprovider ab dem 1. Juli 2017 gemäß des Gesetzes zur Vorratsdatenspeicherung vom Dezember 2015 verpflichtet sind, sei nicht mit Unionsrecht vereinbar. So entschied das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW, Beschluss v. 22.06.2017 – Az. 13 B 238/17) im Eilverfahren, das der Internetprovider SpaceNet AG mit der Unterstützung des Verbandes der Internetwirtschaft (ECO) angestrengt hatte. Das Unternehmen SpaceNet ist somit von der Pflicht zur anlasslosen Speicherung ausgenommen.

SpaceNet hatte argumentiert, das Gesetz verletze Freiheits- und Schutzrechte, die durch die Grundrechtecharta der EU (GRCh) besonders geschützt seien, etwa die Berufsfreiheit, die unternehmerische Freiheit, den Schutz der Privatsphäre, des Familienlebens und auch den Schutz von personenbezogenen Daten. Das Verwaltungsgericht Köln folgte dieser Argumentation nicht und lehnte den Antrag SpaceNets auf Erlass einer einstweiligen Anordnung ab (VG Köln, Beschluss v. 25.01.2017 – Az.  9L 1009/16). Den Erfolg erreichte SpaceNet dann aber vor dem OVG des Landes NRW in Münster. Die Richter verwiesen auf die Entscheidungen des EuGH vom Dezember 2016 (Az.: C-203/15 u. C-698/15) in denen ein Verstoß der Vorratsdatenspeicherung gegen die europäische Datenschutzrichtlinie von 2002 festgestellt wurde und deuteten damit den wahrscheinlichen Ausgang im nun anstehenden Hauptverfahren an.

Obwohl nur SpaceNet von der Pflicht zur Vorratsdatenspeicherung ausgenommen ist, hat das Unternehmen durch die Bemühungen wichtige Vorarbeit für andere Unternehmen geleistet, die nun mit einer gewissen Sicherheit dem Beispiel folgen könnten. Der Verein Digitale Gesellschaft hat in einer Stellungnahme alle Verbraucher dazu aufgerufen, bei ihren Internetprovidern die Gegenwehr zu fordern und entsprechend Druck aufzubauen.

Die Telekom argumentiert momentan vor dem VG Köln, die anlasslose Speicherung von IP-Adressen sei nicht geeignet, um die Strafverfolgung zu unterstützen. IP-Adressen würden nur begrenzt vergeben und besonders bei mehreren Nutzern, die nicht individuell identifizierbar seien, wie in den Fällen eines HotSpots, sei die Speicherung von weiteren Daten notwendig, aber nach geltender Rechtslage unzulässig.

Die Bundesregierung hat durch den erneuten Anlauf, eine flächendeckende, anlasslose Vorratsdatenspeicherung einzuführen, möglicherweise (Fehl-)Investitionen in Millionenhöhe in die für die Speicherung notwendige Infrastruktur durch die Internetprovider erzwungen. Ab dem 1. Juli sind die Provider mit der Ausnahme von aktuell SpaceNet jedenfalls dazu verpflichtet, ein unionsrechtswidriges Gesetz umzusetzen, um nicht die Verhängung von Bußgeldern durch die Bundesnetzagentur fürchten zu müssen. Es ist zwar denkbar, dass die Maßnahmen der Bundesnetzagentur bis zur endgültigen Klärung der Rechtslage ausgesetzt werden, jedoch gibt es bisher keine offiziellen Stellungnahmen, die der nun geschaffenen großen Rechtsunsicherheit für Internetprovider entgegenwirken könnten.

In einer Stellungnahme äußerte sich der Verband ECO erfreut, der Vorstand Oliver Süme teilte mit:

„Die Entscheidung des Oberverwaltungsgerichts Nordrhein-Westfalen ist der erste Schritt in die richtige Richtung. Aber jetzt ist es an der Zeit für eine Grundsatzentscheidung, um die Vorratsdatenspeicherung endgültig zu stoppen, andernfalls laufen die Unternehmen Gefahr, ein europarechts- und verfassungswidriges Gesetz umsetzen zu müssen und damit Gelder in Millionenhöhe in den Sand zu setzen. Die Vorratsdatenspeicherung ist eine netzpolitische Fehlentscheidung, vor der wir in der Vergangenheit immer wieder gewarnt haben und die vermeidbar gewesen wäre, wenn sich die Bundesregierung sorgfältiger mit den Einwänden der Wirtschaft auseinandergesetzt hätte“.

Und auch der Vorstand der SpaceNet AG, Sebastian von Bomhard, sieht die Position des Unternehmens SpaceNet bestätigt:

Es ist schön zu sehen, dass wir mit unserer Klage und dem Eilantrag den richtigen Weg gegangen sind. Auch wenn das Gericht formal zunächst nur über den Eilantrag entschieden hat, findet sich in der Urteilsbegründung einiges, was den Ausgang der Sache zu Gunsten der Position der Spacenet AG präjudiziert.

201720.06.

EuGH: Bereitstellung und Betreiben von Filesharing-Plattform kann Urheberrechtsverletzung sein

Die Bereitstellung und das Betreiben einer Plattform für das Online-Filesharing urheberrechtlich geschützter Werke kann gem. eines aktuellen Urteils des EuGH (Urteil v. 14.06.2017 – Az.: C‑610/15) eine Urheberrechtsverletzung darstellen. Selbst wenn die betreffenden Werke von den Nutzern der Plattform online gestellt würden, nehme der Betreiber der Plattform bei der Zurverfügungstellung eine zentrale Rolle ein. Das Urteil reiht sich in eine Serie von Entscheidungen des EuGH ein, die schon in den Verhandlungen zu den Fällen “Svensson” und “BestWater International” den Begriff der “öffentlichen Wiedergabe” und damit bereits zuvor die urheberrechtliche Verantwortung von Linksetzenden ausweitete.

Die Internetzugangsanbieter Ziggo und XS4ALL wurden von dem niederländischen Verband “Stichting Brein”, der die urheberrechtlichen Interessen von Rechteinhabern in den Niederlanden wahrnimmt, aufgefordert, die Domainnamen und die IP-Adressen von The Pirate Bay zu sperren. Nachdem die erste Instanz dem Verband und die zweite Instanz den Internetzugangsanbietern Recht gegeben hatte, legte der oberste Gerichtshof in den Niederlanden (Hoge Raad) dem EuGH eine Frage zur Auslegung des Begriffs “öffentliche Wiedergabe” vor und erhielt diese abschließende Beurteilung. Vor dem Hintergrund der bisherigen Urteile zur Linkhaftung ist diese erneute Ausweitung der urheberrechtlichen Verantwortung nicht überraschend.

Der Begriff „öffentliche Wiedergabe“ sei nämlich dahin auszulegen, dass er unter Umständen die Bereitstellung und das Betreiben einer Filesharing-Plattform im Internet erfasst, die durch die Indexierung von Metadaten zu geschützten Werken und durch das Anbieten einer Suchmaschine den Nutzern dieser Plattform ermöglicht, diese Werke aufzufinden und sie im Rahmen eines “Peer-to-peer”-Netzes zu teilen.

Um eine derartige Filesharing-Plattform handelte es sich bei der streitgegenständlichen Webseite, The Pirate Bay. Filesharing-Plattformen bieten Dateien selbst nicht an, sondern stellen lediglich Links bzw. Downloads von Dateien bereit, die einen dezentralen Download von Dateien ermöglichen, die von anderen Nutzern der Plattform angeboten werden. Die Plattform indexiert diese sog. Torrent-Dateien, sodass diese leichter aufgefunden und heruntergeladen werden können. The Pirate Bay bietet zudem eine interne Suchmaschine an, der die Ergebnisse nach ihrer Art, ihrem Genre oder nach ihrer Beliebtheit in Kategorien unterteilt und sortiert. Zudem haben die Betreiber von The Pirate Bay ein System implementiert, das durch ein Meldeverfahren ein zügiges Löschen von veralteten oder fehlerhaften Torrent-Dateien ermöglicht und den Betreibern erlaubt, Inhalte zu filtern.

201713.06.

KG Berlin zum Streit mit Facebook: Datenschutz und digitales Erbrecht; Revision zugelassen

Das KG Berlin hat mit Urteil vom 31. Mai 2017 (Az. 21 U 9/16) die Klage einer Mutter abgewiesen, die einen erbrechtlichen Anspruch gegen Facebook auf den Zugang zum Facebook-Konto ihres verstorbenen Kindes durchsetzen wollte. Das Gericht war der Ansicht, dem Anspruch stände das Fernmeldegeheimnis entgegen, das durch die Einsichtnahme in die Kommunikation der Tochter mit Dritten verletzt würde.

Das KG Berlin befasste sich nicht abschließend mit der Frage, ob die Eltern des Kindes als Erben den Nutzungsvertrag mit Facebook übernommen hatten. Zwar sei es grundsätzlich möglich, dass die Übernahme des Nutzungsvertrages durch die Erben eingetreten sei, obgleich nur durch Erhalt eines passiven Leserechts anstelle eines aktiven Rechts auf die Fortführung des Profils. Insbesondere stände der Vererbung keine Regelung in den Nutzungsbedingungen von Facebook und auch nicht das wesentliche Leistungsprinzip eines solchen Nutzungsvertrages entgegen. Social Media-Netzwerke seien Kommunikationsplattformen und vermittelten nur Inhalte. Diese Leistung könne auch nach einem Todesfall unverändert und weiterhin angeboten und von den Erben beansprucht werden.

Andererseits gehe aus den Regelungen des deutschen Erbrechts nicht hervor, ob höchstpersönliche Rechtspositionen ohne vermögensrechtliche Auswirkungen vererbbar seien. Die Vererbung setze die Verkörperung im Eigentum des Verstorbenen voraus und könne deshalb nicht E-Mails und ähnliche lediglich virtuell existierende Gegebenheiten betreffen. Die Abgrenzung solcher Sachverhalte von den Fällen, in denen die Inhalte aufgrund ihres nicht nur höchstpersönlichen, sondern auch wirtschaftlichen Bezuges vermögensrechtlich bedeutsam und damit wiederum vererbbar seien, würde auf erhebliche Probleme und Abgrenzungsschwierigkeiten stoßen.

Deshalb verzichtete das KG Berlin auf die abschließende Beurteilung der erbrechtsbezogenen Fragen und widmete sich dem Fernmeldegeheimnis und den Bestimmungen des Telekommunikationsgesetzes (TKG). Das TKG habe ursprünglich nur Telefonanrufe betreffen wollen, das dem TKG zugrundeliegende Fernmeldegeheimnis in Art. 10 Grundgesetz stelle aber unabhängig davon eine objektive Wertentscheidung unserer Verfassung dar. Aus ihr ergäben sich weitergehende Schutzpflichten des Staates und auch privater Telekommunikationsdienstleister, um diese grundgesetzliche Wertentscheidung ausreichend abzubilden.

Das Gericht verweist auf eine Entscheidung des BVerfG vom 16.09.2009 (Az.: 2 BvR 9002/06), das den Schutzbereich des Fernmeldegeheimnisses auf E-Mails ausweitete, die auf den Servern eines Diensteanbieters gespeichert sind. Es wurde eine grundsätzliche Schutzbedürftigkeit der Nutzer angenommen, der nicht die notwendigen technischen Möglichkeiten habe, um eine Weitergabe der E-Mails durch den Diensteanbieter zu verhindern. Diese Ausführungen seien entsprechend auf Kommunikationsverläufe anzuwenden, die bei Facebook gespeichert und ebenso nur für einen beschränkten Nutzerkreis bestimmt sind. Die Anwendung von gesetzlichen Ausnahmetatbeständen und die Einschränkung des Fernmeldegeheimnisses durch das Erbrecht lehnte das KG Berlin entschieden ab.

Eine Besonderheit des verhandelten Sachverhalts ist der Umstand, dass die verstorbene Tochter der erbenden Mutter ihre Zugangsdaten vor dem Erbfall mitgeteilt hatte. Die klagende Mutter sah darin einen Verzicht auf den Schutz des Fernmeldegeheimnisses, wurde jedoch vom Gericht darauf hingewiesen, dass durch die Einsichtnahme auch das Fernmeldegeheimnis aller in den Kommunikationsverläufen abgebildeten Personen berührt und somit die Verzichtserklärung aller Betroffenen erforderlich wäre.

Damit wird eine rechtliche Hürde aufgestellt, die praktisch unmöglich zu überwinden ist. Nicht nur der nötige Aufwand für die Ermittlung der Betroffenen ohne vorherige Einsicht in das Benutzerkonto ist unermesslich. Selbst wenn dies praktisch möglich wäre, ist nicht davon auszugehen, dass ausnahmslos alle Beteiligten eine entsprechen Verzichterklärung abgeben und so jegliche private Daten einem Dritten zugänglich machen würden.

Das Gericht lehnte auch einen Zugangsanspruch außerhalb des Erbrechts, etwa aus dem Recht der elterlichen Fürsorge und dem Totenfürsorgerecht ab. Ersteres erlösche mit dem Tode des Kindes, während Letzteres nicht zur Begründung eines solchen Zugangsanspruchs dienen könne. Den durchaus verständlichen Wunsch der Eltern, die Umstände, die zum Tod ihres Kindes geführt haben zu erforschen, könne auch nicht mit Rücksicht auf das durchaus berührte allgemeine Persönlichkeitsrecht entsprochen werden. Das allgemeine Persönlichkeitsrecht müsse dann auch vielfältige andere Ereignisse umfassen, womit es zu einem konturenlosen bzw. nicht mehr handhabbaren Grundrecht gewandelt würde.

Das Kammergericht hat die Revision zugelassen; man darf auf die weitere Entwicklung gespannt sein.