Urteil: Online-Dienste müssen überwachen können

https://blog.wdr.de/digitalistan/online-dienste-muessen-ueberwachen-koennen/

Urteil: Online-Dienste müssen überwachen können

Kommentare zum Artikel: 9

Der Berliner Mail-Anbieter Posteo ist bekannt für seine Diskretion. Datenschutz und Privatsphäre nehmen bei ihm einen hohen Stellenwert ein.

Das sieht jeder, der sich das Angebot näher anschaut: Nachrichten können hier verschlüsselt werden, die Postfächer lassen sich mühelos mit der 2-Faktor-Authentifizierung absichern (was leider nicht selbstverständlich ist) – und der Anbieter loggt keine IP-Adressen. Es lässt sich also nicht nachvollziehen, wer sein Postfach leert – oder Mails über Posteo verschickt. Überwachung? Unmöglich!

Berliner Mail-Dienst Posteo muss User auf richterliche Anordnung überwachen können; Rechte: WDR/Schieb

Berliner Mail-Dienst Posteo muss User überwachen können

Auf richterliche Anordnung müssen Daten her

Doch 2016 wollten Behörden in einem Fall von Schwerstkriminalität ermitteln – und haben Posteo per Gerichtsbeschluss aufgefordert, die Aktivitäten eines speziellen Postfachs zu überwachen und die IP-Adressen herauszugeben. “Machen wir nicht”, hat Posteo gesagt – “und können wir auch nicht”. Denn Posteo setzt eine besondere Technik der Verschleierung ein, die eine Herausgabe der IP-Adressen unmöglich macht. Die IP-Adressen liegen schlichtweg nicht vor.

Wichtig zu wissen: Über die IP-Adresse lassen sich – sofern keine Verschleierung eingesetzt wurde – die Nutzer ermitteln.

Posteo musste ein Ordnungsgeld zahlen. Es folgten Rechtsstreitigkeiten, die am Ende sogar vor dem Bundesverfassungsgericht gelandet sind. Die höchsten Richter haben nun klipp und klar gesagt: Zumindest bei einer richterlichen Anordnung muss Posteo in der Lage sein, IP-Adressen zu ermitteln und diese auch herauszugeben. Posteo meint, es würde 12 Monate dauern, das umzusetzen – und 80.000 Euro kosten. Das erscheint mir allerdings doch arg übertrieben.


Das sind IP-Adressen: Damit lässt sich ermitteln, wer online gegangen ist

Das BVG-Urteil: Ein gesunder Kompromiss

Datenschutz in allen Ehren, aber es gibt Grenzen. Wenn Behörden auf richterliche Anordnung zur Kooperation auffordern, um in Fällen von Schwerstkriminalität zu ermitteln, so muss das möglich sein. Das ist keine “Vorratsdatenspeicherung durch die Hintertür”, wie es gelegentlich heißt. Bei der Vorratsdatenspeicherung werden diverse Daten “auf Vorrat” gespeichert, also anlasslos. Davon ist hier keine Rede. Es geht um konkrete Einzelfälle, vom Richter angeordnet.

Mir scheint das Urteil des Bundesverfassungsgerichts deshalb wegweisend zu sein. Denn es ist ein guter Kompromiss zwischen sinnvollem Datenschutz und Privatsphäre auf der einen Seite und den berechtigten Interessen von Strafverfolgungsbehörden auf der anderen Seite. Wir müssen also nun nicht befürchten, dass alle Online-Dienste und Mail-Anbieter in Sachen Überwachung aufrüsten.

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

9 Kommentare

  1. Das TMG (§ 13(6)) legt dem Diensteanbieter Pflichten bezüglich Anonymität auf.

    § 13 (6) TMG: „Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.“

    Alle personenbezogenen- oder beziehbaren Daten, die der Diensteanbieter speichert, muss er dem Kunden mitteilen. Das sehe ich auch so, dass da auch mitgeteilt werden muss, ob die Daten temporär ohne Logging und Zugriff gespeichert werden, oder ob sie geloggt werden bzw. auf Anfrage geloggt werden können. Das gehört alles zur Einwilligung dazu — andernfalls kann der Kunde ja z.B. entscheiden, über Tor auf Posteo zugreifen, wenn er seine IP-Adresse verschleiern möchte.

    Zwar sagt § 113 TKG, dass man dem Überwachten nicht sagen darf, dass er überwacht wird, aber das steht in keinem Widerspruch dazu, dass man den *nicht überwachten* Kunden generell sagen muss, wie man ihre Daten verarbeitet (Informationspflicht nach § 13(6) TMG). Das beinhaltet alle Vorkehrungen zur Überwachung.

    Interessant finde ich auch, wie das BVerfG hier das Recht auf Eigentum, also das Geschäftsmodell bewertet: Das wird einfach mit einem Handstreich weggewischt. Alle Leute, die ich so kenne, die Posteo nutzen, nutzen das wegen genau diesem Feature; sonst kann man ja auch Gmail, GMX oder Outlook verwenden. Ich glaube nicht, dass es verhältnismäßig ist, eine Firma zu ruinieren, nur weil man einen einzigen Verbrecher belauschen will. Hier fehlt mir völlig eine Rechtsgüterabwägung.

  2. Solange das wirklich nur Einzelfälle bleiben und nicht alle beobachtet werden, die auch nur mal einen Kaugummi schief angeschaut haben.

  3. Echter Datenschutz ist etwas für Blauäugige.
    In wahrheit gibt es den nicht. Sollte man sich mit abfinden, oder zurück in die Steinzeit wandern.

    • Klaus Kellner am

      Ich teile Ihre Einschätzung, dass der Glaube an “echten Datenschutz” etwas für “Blauäugige” ist. Mit meinen blauen Augen lehne ich aber vehement die von Ihnen vorgeschlagene Konsequenz ab, sich damit abzufinden. Mit Ihrer Alternative habe ich auch Probleme, mir fehlen Daten über den Datenschutz in der Steinzeit.

  4. Klaus Kellner am

    Man muss sich am Postgeheimnis klarmachen, wie weit wir schon über das Jahr 1984 (Orwell) hinaus sind. Es wäre selbst für Stasi und Gestapo unvorstellbar gewesen, bei jedem Briefeinwurf Zeitpunkt und Person zu notieren. Genau das läuft bei Speicherung der IP-Adressen ab. Mir fehlt wirklich jedes Verständnis dafür, egal um welche Straftat es sich handelt. Ich habe nebenbei aber auch kein Verständnis für für den letzten Satz auf dieser Seite.

    Für diesen Kommentar verwische ich meine IP mit dem Tor-Netzwerk. Cookies werden blind geblockt. Nach Empfehlung von Datenschutzbeauftragten verwende ich Ghostery als Blocker für Tracker; hier werden 2 Tracker geblockt, Website-Analytics und INFOnline. WDR.de steht in meinem Script-Blocker zwar auf „vertrauen“, dafür stehen Scipte von ioam.de schon lange bei mir auf „misstrauen“. Neu für mich war, dass hier Scripte von vimeo.com vorgesehen sind; natürlich habe ich das US-Videoportal auch sofort auf „misstrauen“ gesetzt.

    Herr Schieb, vielen Dank für die Empfehlung den Flash-Player aus Sicherheitsgründen zu deaktivieren (es ist schon ein Weilchen her). Vermutlich geht daher keine ARD-Mediathek mehr und Phoenix.de startet erst gar nicht – aber das ist dann eben so.

    • “Für diesen Kommentar verwische ich meine IP mit dem Tor-Netzwerk.”
      Sie nutzen Tor, um Ihren Kommentar auf einer WDR-Seite zu verwischen, haben aber kein Problem damit, durch die Nutzung von Ghostery, den Firmen Cliqz und der Hubert Burda Mediengruppe Ihre Surfpräferenzen mitzuteilen? Sinn und Logik dieser gegenläufigen Maßnahmen, erschließen sich mir nicht.

      • Klaus Kellner am

        Dino, ich komme nicht aus dem Problem raus, dass sich Programme zum Schutz der Privatsphäre nicht an die Privatsphäre halten. Das kann ich nicht kontrollieren, so wie der WDR nicht die eingebundenen Drittanbieter kontrollieren kann. Ich bin der Empfehlung von Datenschutzbeauftragten gefolgt, die bei der Kontrolle auch ihre Grenzen haben. Die Feed-Back-Funktion von Ghostery habe ich jedenfalls nicht freigegeben.

  5. Ich finde es etwas schwierig. Auch wenn es ein Kompromiss ist führt es dazu, dass das Gesetz in dem Fall gelockert wird und von Lockerung zu Lockerung wird die Strenge des Schutzes der Anonymität geschwächt. Ich denke, dass es besser ist, wenn Logins immer mit 2 Faktoren Authorisierungen versehen werden.
    Bei Strafverlogung muss ein handfester Beweis vorhanden sein um dort in den Datenschutz einzugreifen.

  6. Die Branche hat schon längst (seit 2004/2005) aufgerüstet. Grundlage war bzw. ist die “Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation (Telekommunikations-Überwachungsverordnung – TKÜV)”. Aber nicht nur dieses Gesetz tangiert die Branche. Hinzu kommt noch die sog. “strategische Überwachung” durch den Bundesnachrichtendienst nach dem G-10-Gesetz, die jegliche Telekommunikation mit internationalen Servern überwacht und mit Suchbegriffen auswertet (hier sei auch z. B. auf den Geschäftsbesorgungsvertrag “Transit” zwischen BND und Telekom hingewiesen).
    Zusätzlich noch die Aktivitäten des “Gemeinsamen Terrorismusabwehrzentrums (GTAZ)”, dem von prominenten Datenschützern vorgeworfen wird, das Trennungsgebot von Polizei und Nachrichtendiensten zu umgehen, da es von keinem parlamentarischen Gremium kontrolliert wird und daher datenschutzrechtlich mehr oder weniger frei agieren kann. Gleiches wird auch dem “Gemeinsamen Extremismus- und Terrorismusabwehrzentrum (GETZ)” vorgeworfen.
    Und weil das überwachungsseitig scheinbar noch nicht genug ist, sei hier auch noch auf die jeweiligen Entwürfe/Umsetzungen der länderspezifischen, sog. Polizeigesetze bzw. Polizeiaufgabengesetze bzw. Sicherheits- und Ordnungsgesetze hingewiesen. So sollen, z. B. in NRW, künftig auch verschlüsselte Inhalte aus Messenger-Diensten offengelegt werden können.
    Nur zwei EU-Länder agieren zur Zeit überwachungstechnisch noch härter als Deutschland: Frankreich und das FiveEyes-Mitglied Großbrittanien. Dort gibt es faktisch heute schon keinerlei private Internet- bzw. Telekommunikation mehr! Aber, wie im Artikel 6 des “Aachener Vertrages” nachzulesen ist, dürfte sich das schon bald ändern (“Im Bereich der inneren Sicherheit VERSTÄRKEN die Regierungen beider Staaten weiter ihre bilaterale Zusammenarbeit bei der Bekämpfung des Terrorismus und der organisierten Kriminalität sowie im Bereich der JUSTIZ, der NACHRICHTENDIENSTE und der POLIZEI”.).
    Nicht nur deshalb, wird dieses augenscheinlich “wegweisende Urteil” bzw. dieser “gute Kompromiss” zwischen Datenschutz, Privatsphäre und berechtigten Interessen von Strafverfolgungsbehörden nur von kurzer Dauer sein. Final und fatal: Adieu, Datenschutz & Privatsphäre.

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Top