Schlagwort-Archive: BVerfG

Eine Stunde mit Deinem Computer – oder: Grundlagen des IT-Grundrechts in der Praxis (c’t 20/2014, S. 85 ff.)

Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Dies ist der erste Leitsatz des Urteils des Bundesverfassungsgerichts vom 27.2.2008 (BVerfG, Urt. v. 27.2.2008 – BvR 370/07, NJW 2008, 822). Mit dem Urteil hat das Bundesverfassungsgericht ein „neues Grundrecht“ aus der Taufe gehoben, das – als Ausprägung des allgemeinen Persönlichkeitsrechts – zwischen den quasi darum herum angeordneten Grundrechten Fernmeldegeheimnis (Art. 10 GG), informationeller Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) und Unverletzlichkeit der Wohnung (Art. 13 GG) angesiedelt ist.

Das Urteil des Bundesverfassungsgerichts hat etwas Neues geschaffen und große Diskussion ausgelöst. Die Folgen in der (wahrnehmbaren) Praxis sind bisher eher gering geblieben (so auch Baum/Kurz/Schantz, FAZ v. 26.2.2013: „Das vergessene Grundrecht“).

Dennoch handelt es sich um ein wichtiges Urteil. Dies zeigt der aktuelle Titel der Zeitschrift c’t (20/2014), der ein eindrucksvolles Beispiel für die Sensibilität der durch tägliche Computernutzung entstehenden Datenmengen liefert (insb. Rittelmeier, „Wer ist Miriam?“, c’t 20/2014, S. 95). Im folgenden sollen die Ausführungen des Bundesverfassungsgerichts kurz dargestellt und am Beispiel von „Miriam“ aufgezeigt werden. Danach stelle ich die Frage nach den (persönlichen) Schlussfolgerungen.

1. Grund für den Schutz durch das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ (IT-Grundrecht)

Das Bundesverfassungsgericht hat sich im Jahr 2008 – fachlich beraten durch Sachverständige (durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Andreas Bogk, Dirk Fox, Professor Dr. Felix Freiling, Professor Dr. Andreas Pfitzmann und Professor Dr. Ulrich Sieber, Rn. 129 des Urteils) – mit den Auswirkungen der sog. Online-Durchsuchung von Computern befasst (Rn. 171 ff.):

Die jüngere Entwicklung der Informationstechnik hat dazu geführt, dass informationstechnische Systeme allgegenwärtig sind und ihre Nutzung für die Lebensführung vieler Bürger von zentraler Bedeutung ist. … Heutige Personalcomputer können für eine Vielzahl unterschiedlicher Zwecke genutzt werden, etwa zur umfassenden Verwaltung und Archivierung der eigenen persönlichen und geschäftlichen Angelegenheiten, als digitale Bibliothek oder in vielfältiger Form als Unterhaltungsgerät.

Dabei handelt es sich nicht nur um Daten, die der Nutzer des Rechners bewusst anlegt oder speichert. Im Rahmen des Datenverarbeitungsprozesses erzeugen informationstechnische Systeme zudem selbsttätig zahlreiche weitere Daten, die ebenso wie die vom Nutzer gespeicherten Daten im Hinblick auf sein Verhalten und seine Eigenschaften ausgewertet werden können. In der Folge können sich im Arbeitsspeicher und auf den Speichermedien solcher Systeme eine Vielzahl von Daten mit Bezug zu den persönlichen Verhältnissen, den sozialen Kontakten und den ausgeübten Tätigkeiten des Nutzers finden. Werden diese Daten von Dritten erhoben und ausgewertet, so kann dies weitreichende Rückschlüsse auf die Persönlichkeit des Nutzers bis hin zu einer Profilbildung ermöglichen …

Bei einem vernetzten, insbesondere einem an das Internet angeschlossenen System werden diese Gefährdungen in verschiedener Hinsicht vertieft. Zum einen führt die mit der Vernetzung verbundene Erweiterung der Nutzungsmöglichkeiten dazu, dass gegenüber einem alleinstehenden System eine noch größere Vielzahl und Vielfalt von Daten erzeugt, verarbeitet und gespeichert werden. Dabei handelt es sich um Kommunikationsinhalte sowie um Daten mit Bezug zu der Netzkommunikation. Durch die Speicherung und Auswertung solcher Daten über das Verhalten der Nutzer im Netz können weitgehende Kenntnisse über die Persönlichkeit des Nutzers gewonnen werden. …

Ein Dritter, der auf ein solches System zugreift, kann sich einen potentiell äußerst großen und aussagekräftigen Datenbestand verschaffen, ohne noch auf weitere Datenerhebungs- und Datenverarbeitungsmaßnahmen angewiesen zu sein. Ein solcher Zugriff geht in seinem Gewicht für die Persönlichkeit des Betroffenen über einzelne Datenerhebungen, vor denen das Recht auf informationelle Selbstbestimmung schützt, weit hinaus.

…, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Person zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten. Eine solche Möglichkeit besteht etwa beim Zugriff auf Personalcomputer, einerlei ob sie fest installiert oder mobil betrieben werden. Nicht nur bei einer Nutzung für private Zwecke, sondern auch bei einer geschäftlichen Nutzung lässt sich aus dem Nutzungsverhalten regelmäßig auf persönliche Eigenschaften oder Vorlieben schließen.

2. Eine Stunde mit Deinem Computer

In der aktuellen c’t hat ein Computerforensiker den PC von „Miriam“ für eine Stunde in die Hand bekommen. Es handelte sich um ein Experiment, um herauszufinden, was der Forensiker in dieser kurzen Zeit über „Miriam“ herausfinden kann. Dabei lohnt sich zuvor ein Blick ins Editorial der c’t 20/2014 von Ingo T. Storm: Darin berichtet er von der Idee, doch einen Computer eines der Kollegen auf der Arbeit für eine Stunde untersuchen zu wollen, um darüber einen Artikel zu schreiben. Doch – oh Wunder – keiner der Kollegen ist begeistert davon:

… jeder seiner Kollegen hatte einen anderen Grund, warum SEIN PC für das Experiment doch lieber nicht zur Verfügung steht …

Die c’t-Redaktion hat doch jemanden gefunden, außerhalb der c’t, nämlich „Miriam“. Und was der Forensiker bei nur oberflächlicher Suche findet, ist tatsächlich beachtlich:

… auf den ersten Blick sticht mir eine Datei „adressen_firma.xls“ ins Auge, die anscheinend gelöscht wurde. Die Wiederherstellung kostet einen Klick. Es handelt sich um eine Excel-Tabelle mit Kontaktdaten von Kollegen, teilweise inklusive privater Nummern und Adressen.

Die Dame ist wohl verheiratet.

Ihre Aufgabe in der Firma kenne ich jetzt auch.

… dass ihr Mann „Mark“ heißt und mit Gebäudeplanung zu tun hat. …

Darin finde ich … Unterlagen zu allen bisherigen und dem aktuellen Arbeitgeber. Dabei Bewerbungen, Arbeitsverträge, Tabellen mit den gezahlten Gehältern.

Der Scan einer Bescheinigung zum Mutterschutz …

Fahrzeugschein …

Eine Datei „Kontakte Verlobung.csv“ liefert mir … einen Einblick in Miriams Bekanntenkreis.

[Das Verzeichnis] enthält die Steuererklärung eines Jahres (gemeinsame Veranlagung, ein Kind).

Ich beschließe, mich dem Verzeichnis „Bilder“ nur sehr oberflächlich zu widmen: … lasse ich nach gelöschen Bilddateien suchen … Bilder beim Stillen. Ein Bild oben ohne am Strand.

Der Artikel zeigt nicht nur, wie viel sich wie leicht mit Zugang zum Computer herausfinden lässt, darüber hinaus ist das Unbehagen des Untersuchenden praktisch zu spüren. Der Forensiker geht bewusst oberflächlich vor, liest keine E-Mails und hört vor Ablauf einer Stunde mit der Untersuchung auf. Er hat – auch über die oben genannten Daten hinaus – viel über „Miriam“, ihre Familie, ihren Beruf, ihre Kontakte etc. herausgefunden. Alles Daten, die ein genaues Bild über „Miriam“ ermöglichen und Ansatzpunkte für eventuelle weitere Maßnahmen (Phishing, Kontakt knüpfen durch V-Mann/Detektiv etc.) bereit halte.

3. Schlussfolgerung (?)

Der Artikel und der gesamte Titel der aktuellen c’t gibt (reichlich) Anlass, darüber nachzudenken, was auf dem eigenen Computer so alles schlummert. Bewerbungen und Lebenslauf hat vermutlich fast jeder auf dem Computer, zusätzlich Scans aller dafür benötigten Unterlagen. Über E-Mails, Adressbücher etc. lässt sich der Bekanntenkreis schnell herausfinden. Und Fotos, die nicht jeder sehen sollte (und wenn es nur das peinliche Party-Bild oder die schlechte Laune im letzten verregneten Urlaub ist), schlummern vermutlich auch auf der Festplatte – oder vielleicht der (vermutlich unverschlüsselten) Backup-Festplatte?

Das Problematische daran ist, dass der Trend zu mehr (auch lokalen) Daten geht. Wer geht denn ersthaft alle Jubeljahre die eigene Festplatte durch und löscht alte Bewerbungen, alte Lebensläufe, alte E-Mails, entfernt Bekannte aus dem Adressbuch, mit denen kein Kontakt mehr besteht etc.? Im Ergebnis sammeln wir selbst eine immer genauer werdende Geschichte unseren Lebens auf dem eigenen Computer.

Das Bundesverfassungsgericht hat 2008 diese Gefahren erkannt und den Einzelnen unter Schutz vor dem Zugriff durch die Staatsgewalt gestellt. Das Problem ist seither eher größer geworden. Denn unsere mobilen IT-Geräte (Smartphone, Tablet, Laptop, Wearables) begleiten uns immer mehr und sammeln (auch lokal) immer mehr Daten über uns. Die mobilen Geräte ersetzen nach und nach den heimischen PC und sind trotzdem weitaus angreifbarer als der in der Regel ausgeschaltete PC im Arbeitszimmer zu Hause. Wer unsere Geräte einsehen kann, kann leicht nachvollziehen, was wir getan haben, was uns bewegt – und was wir als nächstes tun werden?

Es lohnt sich, den Artikel und die übrigen Artikel des aktuellen Titels der c’t zu lesen. Es lohnt sich aber auch, darüber nachzudenken, was das für einen selbst bedeutet oder bedeuten sollte, also ob und welche Aktionen folgen sollten.

Für mich steht zumindest eines (allerdings schon länger) eindeutig fest: Einen Computer mit Festplatte werde ich nicht mehr verkaufen. Und vielleicht sollte ich doch mal meinen Computer (inklusive alter Backups) aufräumen …

Und zuletzt ist auch dieses Beispiel ein Anlass, sich weiter an der Debatte über digitale Bürgerrechte zu beteiligen. Oder mit Baum/Kurz/Schantz (FAZ v. 26.2.2013):

Wenn wir aber alles wissen können, geht es am Ende um die Frage, auf welche Informationen und welche Methoden wir bewusst verzichten wollen, auch wenn sie zur Abwehr terroristischer Gefahren oder der Bekämpfung von Kriminalität zumindest potentiell dienen könnten. Welche Schranken wir uns auferlegen, entscheidet darüber, ob auch die digital erfassten Gedanken in Zukunft noch frei sein werden.

S. auch:

 

(Keine) Auswirkungen des Vorratsdatenspeicherungsurteils auf Filesharing-Fälle

IP-Notiz hat einen Beitrag zu den Auswirkungen des Urteils des BVerfG zur Zulässigkeit der Vorratsdatenspeicherung veröffentlicht. Denn teilweise wurde als Schlussfolgerung aus dem Urteil gezogen, dass auch die Daten (=IP-Adressen), die für die Ermittlung der Bestandsdaten von Filesharing-Nutzern verwendet werden, z.B. durch den Auskunftsanspruch nach § 101 UrhG (s. dazu hier), betroffen seien. Diese Auffassung habe ich im privaten Umkreis auch mehrfach gehört.

Der Beitrag bei IP-Notiz erläutert richtigerweise, dass dies nicht der Fall ist. Denn die Auskunft durch den Access Provider in Filesharingfällen erfolgt in aller Regel aufgrund von Daten, die nach §§ 96 ff. TKG zur Abrechnung oder zur Vermeidung von Missbrauch durch die Provider gespeichert werden (s. dazu Gietl/Mantz, CR 2008, 810, 812; zum Auskunftsanspruch ausführlich Welp, Auskunftspflicht von Access-Providern, 2009). Es handelt sich also (idealerweise) um vollkommen getrennte Datenpools (so auch die Ergebnisse einer Bitkom-Umfrage unter deutschen Providern, s. dazu hier).

Damit hat das Urteil des BVerfG auf Filesharing-Fälle keinerlei Auswirkung.

Links:

Vorratsdatenspeicherung-Verfassungsbeschwerde: Stellungnahmen online

Auf den Seiten des AK Vorratsdatenspeicherung sind die Stellungnahmen zur Vorratsdatenspeicherung aus dem Verfahren vor dem BVerfG online.

Im einzelnen sind dies:

  1. Stellungnahme von Prof. Dr. Ruland vom 08.06.2009
  2. Stellungnahme der Berliner Beauftragten für den Datenschutz vom 09.06.2009
  3. Stellungnahme des VATM Verbandes der Anbieter von Telekommunikations- und Mehrwertdiensten e.V. vom 09.06.2009
  4. Stellungnahme des BITKOM Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. vom 10.06.2009
  5. Stellungnahme der Bundesbeauftragten für den Datenschutz vom 10.06.2009
  6. Stellungnahme von Prof. Dr. Pfitzmann vom 10.06.2009
  7. Stellungnahme von Prof. Dr. Roßnagel vom 10.06.2009
  8. Stellungnahme des Chaos Computer Club e.V. vom 13.06.2009
  9. Stellungnahme des Herrn Freiling vom 20.06.2009

Die Stellungnahmen sind sehr aufschlussreich und interessant. Sie vermitteln auf der einen Seite ein Bild darüber, wie die Rechtmäßigkeit einzelner Maßnahmen bewertet wird und andererseits, wie in tatsächlicher Hinsicht die Vorratsdatenspeicherung durchgeführt wird und welche Auswirkungen das haben kann.

Im folgenden sollen ausgewählte Punkte aus den Stellungnahmen vorgestellt werden. Eine umfassende Besprechung aller Stellungnahmen ist mir leider nicht möglich.

1. CCC

Besonders hervorzuheben sind die Analysen des Chaos Computer Club e.V. (CCC). Die Schlussfolgerungen, die aufgrund von Verkehrsdaten mit aktuellen Methoden und Modellen gezogen werden können, sind tatsächlich beeindruckend. Constanze Kurz und Frank Rieger verstehen es, diese doch recht komplexen Methoden kurz und verständlich darzustellen. Die Autoren ziehen für die Bewertung zudem die Technische Richtlinie zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation heran – ein guter und gelungener Ansatz, denn tatsächlich lässt sich aus der technischen Umsetzung auf die Zielrichtung der Vorratsdatenspeicherung schließen.

Außerdem bewerten Kurz und Rieger die Sicherheit der Daten eher kritisch:

Das Risiko, daß auf die Verbindungsdaten unberechtigt zugegriffen wird, ist dabei keinesfalls theoretisch. Die Datenskandale der letzten Jahre haben deutlich gemacht, daß auch und gerade große Telekommunikationsunternehmen nicht in der Lage sind, sensible Datenbestände vor Mißbrauch oder Verlust zu schützen. […]

Die Gefahr von Datenmißbräuchen sowie die Möglichkeiten, Rückschlüsse auf intime Details, Aufenthaltsorte, Gewohnheiten und Vorlieben im Leben jedes einzelnen Bürgers zu ziehen, stehen in keinem Verhältnis zu dem möglicherweise
im Einzelfall bestehenden Vorteil bei der Strafverfolgung. Die Vorratsdatenspeicherung potenziert vielmehr die Risiken und Überwachungsfolgen in einer zunehmend digitalisierten Gesellschaft. Die Telekommunikationsunternehmen ohne konkreten Anlaß zu verpflichten, auf Vorrat alle Verbindungs- und Nutzungsdaten über den unmittelbaren Zweck der Abrechnung hinaus für die Verwendung gegen etwaige zukünftige
Verdächtige oder für geheimdienstliche Operationen zu speichern, muß daher unbedingt vermieden werden.

2. Bitkom e.V.

Spannend sind ferner die Antworten des Bitkom, der offenbar seine eigenen Mitglieder befragt hat.

Dass Internetzugangsnutzer mittlerweile dauerhaft bzw. länger eingewählt sind, „führt dazu, dass der Bedingungszusammenhang zwischen tatsächlicher Nutzung und Einwahlzeitraum im Internet nicht mehr notwendigerweise gilt.“

In diesem Zusammenhang stellt sich bereits jetzt die Frage nach der Verantwortlichkeit des Anschlussinhabers bzw. deren Beweisbarkeit (s. dazu die Musterklageerwiderung von Solmecke; Schultz, MIR 2008, Dok. 102; Gietl/Mantz, CR 2008, 810).

Interessant ist auch, dass die Provider nach Angaben des Bitkom Vorratsdaten tatsächlich physisch getrennt von den übrigen Daten vorhalten (s. dazu schon Gietl/Mantz, CR 2008, 810, 812).

3. Alexander Roßnagel, Universität Kassel

Bei Roßnagel finde ich insbesondere die Ausführungen zur Datensicherheit interessant. Roßnagel geht sehr stark ins Detail, welche Sicherungsmaßnahmen die Betreiber ergreifen könnten – und welche sie auch ergreifen müssen. Verschlüsselung als Form der Zugangs- und Änderungskontrolle, starke (möglichst physische) Trennung von Daten etc. Zusätzlich vertritt Roßnagel die Auffassung, dass Sicherungsmaßnahmen en detail im Gesetz geregelt werden müssen und nicht in eine Technische Richtlinie verschoben werden dürfen (S. 9).

Die Vorgabe von Sicherheitsmaßnahmen in Technischen Richtlinien, die ohne Beteiligung des Gesetzgebers geändert und gelockert werden können, kann den verfassungsrechtlichen Schutzauftrag nicht ausreichend erfüllen. Bereits auf Gesetzesebene müssen die Mindestanforderungen an die technisch/organisatorische Sicherheit verbindlich gemacht werden. Dies betrifft vor allem die Trennung der Daten, die Zugangsauthentifikation, die technische Sicherung durch Verschlüsselung der Daten und die Zugriffsdokumentation.

4. Andreas Pfitzmann, TU Dresden

Bereits die ersten Punkte, die „großen Fragen“ und Abwägungen sind deutlich:

Im Gegensatz zum Innenministerium sind wir der Meinung, dass überwachungsfreie Räume für Menschen als soziale Wesen notwendig sind (und technische Eliten sie sich und anderen sowieso schaffen werden).

5. Felix Freiling, Universität Mannheim

Es ist zudem absehbar, dass über Verkehrsdaten in Zukunft sehr viel stärker auf Kommunikationsinhalte geschlossen werden kann als heute, insbesondere durch die Erstellung von Bewegungsprofilen in der Mobilkommunikation. Kritisch ist vor allem die dynamische IP-Adresse zu sehen. Eine dynamische IP-Adresse verrät nicht nur die Tatsache, dass kommuniziert wurde. Sie lässt in Zukunft verstärkt auch Rückschlüsse über den aktuellen Aufenthaltsort zu. Eine dynamisch vergebene IP-Adresse hat somit klare Bezüge zu einem konkreten Telekommunikationsvorgang. Eine Zuordnung von dynamischer IP-Adresse zum Anschlussinhaber sollte also mindestens dieselben Eingriffsschranken besitzen wie eine reine Verkehrsdatenabfrage.

5. Bundesbeauftragter für den Datenschutz Peter Schaar

Schaar ist der Auffassung, dass entgeltliche und unentgeltliche Dienste gleich zu behandeln sind (S. 8 und 9). S. dazu näher hier und bei daten-speicherung.de.

6. Berliner Beauftragter für den Datenschutz Alexander Dix

Zwar sieht dies Dix ähnlich, er betrachtet die Einteilung aber vor dem Hintergrund der Richtlinie als „zweifelhaft“ (S. 9) und verweist hierfür auch auf die Ausführungen von Patrick Breyer bei daten-speicherung.de.

Dabei geht Dix insbesondere auf den Anonymisierungsdienst AN.ON ein – sehr interessant.

7. Fazit

Die verschiedenen Stellungnahmen offenbaren, dass die Sachverständigen die Pflicht zur Vorratsdatenspeicherung wenigstens in Teilen eher kritisch sehen. Sie legen bei unterschiedlichen Punkten den Finger offen in die Wunde. Nun wird das BVerfG sich daraus seine Meinung bilden müssen.

Meldungen zum Thema: