Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

1.    Einführung

Die Strafverfolger haben mit gutem Gespür eine neue Gefahr für unsere Gesellschaft ausfindig gemacht: Cybercrime, das Verbrechen im Internet. Die Bedrohung ist für den einfachen Bundesbürger zwar genau so wenig greifbar wie z.B. die des sog. Organisierten Verbrechens. Doch beide Bedrohungen haben eine ähnlich hohe Plausibilität: Das Internet und insbesondere seine technischen Funktionsmechanismen sind für die Bürgerinnen und Bürger so unergründlich, dass schon von dem Existieren des Netzes subjektiv eine diffuse Gefahr ausgeht. Diesem Reaktionsmuster unterliegen auch viele Menschen in der Politik. Diesen ist aber zugleich auch klar, dass das Internet einen zunehmend wichtigen Wirtschaftsfaktor darstellt. Kritisiert werden darf schon allein deshalb nicht das Netz. Um so wichtiger erscheinen drakonische Strafen bei dessen Missbrauch.

In der Öffentlichkeit muss m.E. immer noch dem Eindruck entgegen gewirkt werden, beim Internet handele es sich um ein Werkzeug, dessen vorrangige Bestimmung das Begehen von Straftaten oder sonstigen Rechtsverstößen sei. Das Gegenteil ist der Fall: Das Internet ist vielmehr einKommunikationsmittel, das völlig neue Möglichkeiten zur Verwirklichung von Freiheitsrechten eröffnet. Information und Kommunikation (Art. 5 GG) stehen im Vordergrund. Demokratische, insbesondere auch kollektive Meinungsäußerung wird hierdurch erleichtert (Art. 8, 9 GG). Der beruflichen (Art. 12 GG) und wirtschaftlichen Tätigkeit (Art. 14 GG) werden völlig neue globale Perspektiven geöffnet.

Unbestreitbar ist aber auch, dass das Internet zum Begehen von Straftaten genutzt werden kann. Das Internet ist kein rechtsfreier Raum. Bei dessen Nutzung sind die Gesetze zu beachten, von staatliche Stellen insbesondere auch die Grundrechte. Die privaten Nutzenden haben insbesondere die Rechte von anderen Menschen - Internetnutzenden oder sonstige Mitbürgern - zu beachten. Da es Rechtsverstöße gibt, muss es auch eine Verfolgung von im Netz begangenen Straftaten geben. Den Strafverfolgungsbehörden müssen hierfür sowohl rechtlich wie auch technisch die erforderlichen und angemessenen Möglichkeiten und Mittel in die Hand gegeben werden.

2.    Die besonderen Rahmenbedingungen von Cyber-Kriminalität

Das Netz setzt andere Rahmenbedingungen für kriminelles Verhalten als dies in der körperlichen Welt der Fall ist. Virtuelle Kriminalität ist real und in keiner Weise künstlich, erfolgt aber nach völlig anderen Mechanismen. Dies hat zur Folge, dass man sich neue Gedanken im Bereich der Prävention wie der Repression machen muss. Neue Antworten auf diese Form technischer Kriminalität bewirken neue Maßnahmen mit einer eigenen Grundrechtsrelevanz. Im Vordergrund strafrechtlicher Ermittlungen stehen definitiv nicht mehr Eingriffe in körperliche Grundrechte (Wohnung, Eigentum, körperliche Unversehrtheit, Freizügigkeit) durch Durchsuchung, Beschlagnahme, unmittelbarer Zwang oder Festnahme. Im Vordergrund stehen informationelle Grundrechtseingriffe, insbesondere in das Telekommunikationsgeheimnis (Art. 10 GG) und ins Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG). Zugleich wird offensichtlich, dass praktisch allen traditionellen Grundrechten auch eine informationelle Bedeutung zuerkannt werden muss.

Der Aufenthaltsort des Cyber-Täters ist fast ebenso beliebig wie der Ort, an dem rechtwidrig ein Schaden verursacht wird. Staatliche und Verwaltungs-Grenzen sind für Netzkriminalität kein Hindernis, wohl aber für die Strafverfolgung. Nationale Strafverfolgung ist oft überfordert. Dies macht internationale Kooperation notwendig. Internationale Strafverfolgung, bei der zugleich auch der Grundrechtsschutz beachtet wird, befindet sich aber noch in den Kinderschuhen.

Gerade im Bereich der Vermögensdelikte im Netz dürften wir es mit einer gewaltigen Dunkelziffer zu tun haben, weil die Geschädigten oft Strafverfolgungsorgane aus nachvollziehbaren Gründen nicht einschalten: Die öffentliche Debatte über Sicherheitsdefizite würde bei den kriminell Geschädigten, wenn es sich um größere Unternehmen auf dem Markt handelt, regelmäßig einen größeren ökonomischen Schaden - v.a. durch Verlust von KundInnen - verursachen als die Hinnahme einer Tat und der nachträgliche Versuch, das festgestellte Sicherheitsleck zu stopfen. Trittbrettfahrer bzw. Nachahmer werden durch öffentliche Aufmerksamkeit besonders angeregt, zumal die Instrumente der Tatbegehung relativ leicht aus dem Netz erlangt werden können. Zudem hätten strafrechtliche Ermittlungen oft zur Folge, dass von seiten der staatlichen Ermittlungsbehörden ein Eindringen in die unternehmensinterne EDV-Organisation erfolgen müsste, womit die Offenlegung von Betriebs- und Geschäftsgeheimnissen verbunden wäre. Nicht zuletzt vertrauen zumindest ökonomisch mächtigere Geschädigte dem technischen Sachverstand selbst bezahlter SicherheitsexpertInnen mehr als dem der staatlichen Ermittlungsbehörden. Es ist daher kein Wunder, dass Selbsthilfe weit verbreitet ist, der Appell an die staatliche Strafverfolgung im Bereich des wirtschaftlichen Cyber-Crimes dagegen eher verhalten.

Die Tätertypen der Cyber-Kriminellen unterscheiden sich fundamental von den Typen aus anderen Kriminalitätsbereichen. Erstere zeichnet regelmäßig hohe technische Kompetenz aus. In vielen Bereichen dürfte die kriminelle Energie dagegen eher gering sein. Die Schädigungen haben oft ihre Motivation in jugendlichem Spieltrieb oder in Geltungsbedürfnis. Zugleich ist es äußerst schwierig, die objektive Schädlichkeit eines virtuellen Angriffs festzustellen, da mit jeder Aufdeckung und Analyse eines solchen Angriffs das Aufdecken von technischen und organisatorischen Sicherheitsdefiziten verbunden sein kann, deren Beseitigung u.U. vor einem Schaden bewahrt, der weit über dem liegt, der angerichtet worden ist.

Die bisherige Diskussion bei Kriminalisten und Politikern geht davon aus, dass die Strafbarkeit von Delikten aus der realen Welt weitgehend ungepüft auf die virtuelle Welt übertragen werden könnte. So scheint es international Konsens zu sein, Delikte gegen Urheberrechte oder Pressedelikte wie im konventionellen Bereich verfolgen zu müssen (z.B. Art. 10 CCC-E). Dabei wird übersehen, dass Kommunikation im Netz eine andere Qualität hat als die konventionelle Kommunikation. Strafverfolgung wird schnell zur Zensur oder zum Eingriff in das Recht auf Meinungsäußerungsfreiheit. Auch Bestrafung, vor allem aber die Strafverfolgung und die damit verbundenen informationellen Eingriffe können dazu tendieren, als Instrument mächtiger Unternehmen und der herrschenden Politik gegen unliebsame Konkurrenz und Opposition eingesetzt zu werden.

 

3.    Die rechtlichen Instrumente

Im Vordergrund der Diskussion über die Bekämpfung der Internet-Kriminalität steht dieTelekommunikationsüberwachung. Die rechtlichen Regelungen hierzu zeichnen sich nicht gerade durch Übersichtlichkeit, Stringenz und Grundrechtsfreundlichkeit aus. Dies gilt für die Überwachung von Bestandsdaten wie auch der Verbindungsdaten und der Inhaltsdaten. Wir finden die Eingriffsgrundlagen in vielen, teilweise nicht zueinander passenden Regelungen. Dies sind zunächst die §§ 88 ff. Telekommunikationsgesetz (TKG), die u.a. die technischen Voraussetzungen für die Überwachung und den Zugriff auf Bestandsdaten regeln. Die Überwachung der Verbindungsdaten ist bisher in § 12 Fernmeldeanlagengesetz (FAG) geregelt. Für die Telekommunikationsüberwachung ist wesentlich, dass die gesuchten Daten für Zwecke der Strafverfolgung erhalten bleiben und nicht sofort nach dem Kommmunikationsvorgang gelöscht werden. Eine solche sofortige Löschung von Verbindungsdaten wird von Art. 6 Abs. 1 der Europäischen Telekommunikationsdatenschutzrichtlinie (EU-TK-DSRL) ebenso gefordert wie vom TKG. Dessen ungeachtet hat der Bundesrat zum Zweck der Strafverfolgung Ende September 2000 die Speicherfrist auf ein halbes Jahr verlängert. Die hierin liegende Vorratsdatenhaltung für Zwecke der Sicherheitsbehörden unterstellt allen Telekommunikationspartnern, ein potenzielles und daher zu überwachendes Sicherheitsrisiko zu sein.

Regelmäßig die sensibelsten Eingriffe erfolgen durch die Überwachung der Inhalte. Bei diesen schwerwiegendsten Grundrechtseingriffen gelten auch die höchsten rechtlichen Anforderungen. Für den Bereich der Gefahrenabwehr steht der Polizei, trotz vereinzelter Gesetzgebungsbemühungen, keine Rechtsgrundlage zur Verfügung. Zu Zwecken der Strafverfolgung sind die §§ 100a f. Strafprozessordnung (StPO) anwendbar. Die Übersichtlichkeit der Überwachungsbefugnisse wird nicht dadurch erhöht, dass für weitere Sicherheitsbehörden weitere Befugnisgrundlagen anwendbar sind, z.B. § 39 Außenwirtschaftsgesetz oder für Geheimdienste das G 10-Gesetz, wobei diese Abhörbefugnisse sich zumindest teilweise mit denen der allgemeinen Gefahrenabwehr- und Strafverfolgungsbehörden überschneiden.

Neben den national-gesetzlichen Bestrebungen gibt es eine Vielzahl unterschiedlicher internationaler Ansätze, die zumeist direkten Einfluss auf die nationale Gesetzgebung hatten. Eine Klärung der Frage, inwieweit eine nationale Strafverfolgungsbehörde die Telekommunikation eines Verdächtigen in einem anderen Staat überwachen lassen kann, versucht das Europäische Rechtshilfeabkommen zu geben. Die Art. 18 ff. des Abkommens regeln die Überwachung des Telekommunikationsverkehrs mit Hilfe einer ausländischen Behörde, eines ausländischen Diensteanbieters, aber auch "ohne technische Hilfe eines anderen Mitgliedstaats". Immerhin sieht ein Art. 23 unter der Überschrift "Schutz personenbezogener Daten" eine gewisse Zweckbindung vor.

Der Europarat arbeitet seit längerem an einem "Übereinkommen über Datennetz-Kriminalität" (Cyber Crime Convention - CCC-E). Inzwischen liegt die 22. Entwurfsfassung vor. In den Art. 2-11 werden Delikte beschrieben, die nach nationalem Recht sanktioniert werden sollen (Verletzung von Vetraulichkeit, Integrität und Verfügbarkeit, illegaler Zugriff, illegales Abhören, Datenveränderung, Systemstörung, Herstellung und Bereitstellung von sog. Hackertools, Computerfälschung, Computerbetrug, Kinderpornografie, Urheberrechtsverletzung). Als Ermittlungsmaßnahmen soll die Durchsuchung und Beschlagnahme von Daten, die Zwangsvorlage, die Sicherstellung, das Abfangen von Daten erlaubt werden. Die einbezogenen Diensteanbieter sollen zur Vertraulichkeit verpflichtet werden (Art. 14-18). In den Art. 20 ff. verpflichten sich die Vertragsparteien zur internationalen Zusammenarbeit und zur gegenseitigen Rechtshilfe. Verblüffend ist, dass im Konventionsentwurf von Grundrechtssicherungen bei der Bekämpfung von Cyber Crimes keine Rede ist. Es findet lediglich ein Verweis auf die "Bedingungen und Garantien gemäß innerstaatlichem Recht" statt. Einer Fußnote des Entwurfes ist zu entnehmen, dass am Ende der Redaktion hierzu noch eine Erläuterung erfolgen werde, mehr nicht.

Daneben gibt es eine große Zahl von internationalen Institutionen, die sich mit speziellen Aspekten der Bekämpfung von Internet-Kriminalität beschäftigen. Seit 1993 arbeiten westliche Länder in einer internationalen Arbeitsgruppe unter dem Namen ILETS an einem Katalog der technischen Anforderungen an die Betreiber von TK-Anlagen. ILETS sucht die Zusammenarbeit mit der Internationalen Fernmeldeunion (ITU) und den internationalen Standardisierungsgremien (ISO), um über eine standardisierte Technik die Telekommunikationsüberwachung auch dann abzusichern, wenn bestimmte Staaten nicht kooperationsbereit sind. Parallelen gibt es zu den US-amerikanischen Standards. Die weitere europäische Kooperation erfolgte in der bei der dritten Säule der EU (Innen/Justiz) angesiedelten Arbeitsgruppe Enfopol, wo die Anpassung an die neuere technischen Entwicklungen der Satellitenkommunikation und im Internet geleistet werden soll. Symptomatisch für die internationale Entwicklung ist, dass sie weitestgehend im Verborgenen bzw. Geheimen erfolgte. Ganz offensichtlich dienen standardisierte Überwachungsschnittstellen nicht nur den Strafverfolgungsorganen, sondern auch den nationalen Geheimdiensten. Europol ist bisher nur für einen eng definierten Katalog von Straftaten zuständig. Dieser kann aber durch einstimmigen Ratsbeschluss erweitert werden. Dass hiervon in Bälde die Computerkriminalität, v.a. Kinderpornografie im Netz, erfasst werden wird, ist absehbar.

Bezüglich über Europa hinausgehender Initiativen tun sich bzgl. der Bekämpfung von Cybercrime die G8-Staaten besonders hervor. Die G8-Arbeitsgruppe "High-Tech Kriminalität" hat mehrere eher formlose Kooperationsformen eingerichtet, u.a. eine 24-Stunden-Kontaktgruppe, über die rund um die Uhr Amtshilfe geleistet wird. Selbst die weltweite Polizeiorganisation Interpol arbeitet daran, sich zu einer zentralen Anlaufstelle in Sachen "Cybercrime" zu machen. Zu nennen sind weiterhin die Vereinten Nationen (UN), die u.a. darüber diskutieren, dem internationalen Gerichtshof im Haag (neben Verbrechen gegen die Menschheit und Völkermord) eine neue Kategorie von Taten zur Beurteilung zuzuweisen, wobei Internetkriminalität und Geldwäsche an vorderster Stelle genannt werden.

4.    Überwachung weltweit

Ein Blick in andere Länder zeigt, dass dort emsige technische und legislative Aktivitäten entfaltet werden, um Sicherheitsbehörden den Zugang zur Telekommunikation allgemein und zu Internet-Daten speziell zu ermöglichen. Die größte Aufmerksamkeit hat insofern zweifellos die geheimdienstliche Überwachungskooperation der Länder Großbritannien, Kanada, Australien unter Führung der US-amerikanischen "National Security Agency" mit dem Namen Echelon gefunden. Derartige Abhörsysteme gibt es - in unterschiedlichen Dimensionen - in sämtlichen Staaten, deren Geheimdienste einen gewissen technischen Standard erreichen.

Jüngst tat sich Großbritannien hervor mit der Verabschiedung des "Regulation of Investigatory Powers Bill" (RIP). Parallel dazu will die britische Regierung ein spezielles Überwachungszentrum für das Internet aufbauen. Eine zentrale Aufgabe soll es sein, verschlüsselte Internet-Botschaften zu entziffern. Hinzu kommen die herkömmliche Überwachung von Telefonen und des Email-Verkehrs. InFrankreich wurde im Juni 2000 ein Multimediagesetz verabschiedet, das unter anderem auch das Internet erfasst. Provider sind danach verpflichtet, bei jeder Veröffentlichung, die nicht eine private Mitteilung ist, für eine korrekte Identifizierung des dafür Verantwortlichen zu sorgen. Das Anonymitätsverbot betrifft nicht nur Veröffentlichungen auf Websites, sondern auch Mitteilungen in Newsgroups, Mailinglisten oder Diskussionsforen. Kennt der Internet- oder Content-Provider die richtige Identität des Autors nicht, so drohen ihm Gefängnis- oder Geldstrafen. Auch kann er dann strafrechtlich für illegale Inhalte verantwortlich gemacht werden. In den USA hat eine neue Technologie des "Federal Bureau of Investigations" (FBI) mit dem sinnfälligen Namen "Carnivore" (Fleischfresser) eine heftige Diskussion ausgelöst. Das System fängt sämtliche Emails in Echtzeit an einem Netzknoten ab und analysiert, indiziert und speichert sie. Es soll in der Lage sein, Millionen von Emails pro Sekunde nach frei wählbaren Kriterien durchzukämmen und zu analysieren. Ein Gesetz, das Geheimdiensten eine praktisch uferlose Internet- und Computerkontrolle erlaubt, wurde 1999 in Australien beschlossen. In Russland findet derzeit eine heftige rechtliche und mediale Diskussion über die Abhörbefugnisse des Internetüberwachungssystems SORM statt. Mit Überwachungsgesetzen und entsprechender Praxis ohne jede demokratische oder rechtsstaatliche Kontrollmöglichkeit zeichnen sich vor allem Diktaturenaus, so etwa China oder Zimbabwe.

5.    Von der Telefon- zur Internet-Überwachung

Sämtliche Rechtsgrundlagen zur Überwachung des Internet haben ihren tatsächlichenAusgangspunkt in der Telefonie. Telefonüberwachung scheint inzwischen als eine klassische etablierte Form sicherheitsbehördlicher Ermittlung. Die hierfür entwickelten Rechtsgrundsätze werden nun auf alle Formen der Online-Kommunikation übertragen. Dies ist aus mehreren Gründen falsch:

Telefonüberwachung war in der Vergangenheit durch die beschränkten technischen Möglichkeitenzahlenmäßig nur eingeschränkt möglich. Durch die Digitalisierung und die massiv gesteigerten Speicherungs- und Auswertungsmöglichkeiten gibt es diese faktisch wirkende technische Form der Grundrechtssicherung nicht mehr. Hinzu kommt, dass das Dienstleistungsangebot im Bereich der Telefonie immer weiter ausgebaut worden ist und das aktuell geführte Gespräch zwischen zwei Personen nur noch eine unter vielen Erscheinungsformen ist: Fax, Voicemail, Telefonkonferenz, Bildtelefon, Komforteinrichtungen vom Anklopfen und automatischen Rückruf bis zur Rufnummernanzeige und vor allem die Mobiltelekommunikation haben die Telefonie nicht nur quantitativ, sondern auch qualitativ verändert.

Dieser Trend hat sich durch die Integration von Telefonie, Internet und neuen Medien weiter verstärkt. Telekommunikation wird nicht mehr nur zur personalen direkten Kommunikation genutzt, sondern praktisch zur Bewältigung fast beliebiger Alltagsaktivitäten. Insbesondere die Verlagerung der wirtschaftlichen Betätigung in elektronische Netze vom Teleshopping bis zum Internetbanking sowie der Einzug der Telekommunikation in die Haushalte lassen Telekommunikationsüberwachung plötzlich von einem situativen Kontrollinstrument zu einem Mittel der Totalkontrolle mutieren. Dem korrespondiert die Feststellung, dass nicht mehr der Schutz des gesprochenen Wortes im Vordergrund steht, sondern plötzlich sämtliche Grundrechte.

Stark eingreifende Instrumente der heutigen Internetüberwachung gehen auf die Tradition der Telefonüberwachung zurück: so selbstverständlich es in der Vergangenheit war, sich der Amtshilfe der staatlichen Post bei der Telefonüberwachung zu bedienen, so selbstverständlich gehen Sicherheitsbehörden davon aus, dass den inzwischen privaten Netz-, Zugangs- und Dienstebetreibern bis hinunter zu Besitzern einer privaten Nebenstellenanlage oder eines lokalen Rechnernetzes die selben Mitwirkungspflichten auferlegt werden könnten. Die Bereitstellung von Bestandsdaten, das Abspeichern von Verbindungsdaten und das Zurverfügungstellen von Abhörschnittstellen sind nicht nur kostenaufwändig, sondern zugleich auch Eingriffe in die Grundrechte der Betreiber.

Eine zentrale Qualitätsveränderung von der Telefonie zur komplexen Online-Kommunikation liegt schließlich darin, dass die Identifizierbarkeit der Kommunikationspartnergeräte nicht mehr zwingend ist. Ist anonymes Telefonieren nur ansatzweise mit öffentlichen Fernsprechern möglich gewesen, so eröffnet sich heute ein gewaltiges technisches Arsenal zur Vermeidung oder zum Verwischen digitaler Kommunikationsspuren: Die Nutzung von anonymen Prepaidkarten, von übertragbaren Mobilfunkkarten, von Anonymitätsdiensten und Remailern, von öffentlichen Terminals und anonymen oder pseudonymen Konten basieren sämtliche auf der gleichen technischen Selbstverständlichkeit: Kommen in Kommunikationsvertragsbeziehungen mehr als ein Kommunikationsmittler ins Spiel, so wird das sicherheitsbehördliche Nachvollziehen der Spuren zur komplexen Aufgabe des Zusammenfügens eines Puzzels, von dem nicht sämtliche Stücke bekannt sind. Diese Aufgabe wird hinsichtlich der Inhaltsdaten weiter kompliziert durch bisher noch nicht knackbare Verschlüsselungstechniken.

6.    Grundrechtsschutz vor Ermittlungsmaßnahmen

Die Rechtsprechung hat es in Deutschland bisher weitgehend geschafft, den Persönlichkeitsschutz den gewandelten technischen, sozialen und ökonomischen Gegebenheiten anzupassen. Von der Sondergewährung des Rechts am eigenen Bild und des gesprochenen Wortes Anfang des 20. Jahrhunderts über die Schadenersatz gewährende Etablierung des allgemeinen Persönlichkeitsrechtes aus Art. 2 Abs.1 i.V.m. Art. 1 Abs. 1 GG bis hin zur Entwicklung des Grundrechts auf informationelle Selbstbestimmung - das rechtliche Instrumentarium zur Abwehr staatlicher oder privater Übergriffe stand und steht bereit. Dies gilt auch nach der Privatisierung der Telekommunikation, wo sich zwar die herrschende Rechtsprechung nicht dazu durchringen konnte, das Fernmeldegeheimnis des Art. 10 GG auch zwischen Privaten gelten zu lassen, der Gesetzgeber dies aber über § 85 TKG nachholte.

Angesichts des zunehmenden Eindringens der Informationstechnik in Beruf und Alltag und der damit verbundenen Möglichkeit der technischen Überwachbarkeit muss das allgemeine Persönlichkeitsrecht heute so verstanden werden, dass es auch einen individuellen Anspruch auf Anonymität gewährleistet. Das Recht, allein gelassen zu werden, ist als Persönlichkeitsrecht schon lange anerkannt. Dieses "right to be let alone" lässt sich in der Informationsgesellschaft nur durch ein Recht auf Anonymitätsicherstellen. Kann ich es im Alltag nicht vermeiden, bei jeder Gelegenheit Datenspuren zu hinterlassen, so muss ich zur Realisierung meiner informationellen Selbstbestimmung die Möglichkeit haben, eine Zuordnung dieser Spuren zu meiner Person zu verhindern. Nur so kann ich vom Ansatz her ausschließen, dass gegen meinen Willen umfassende Persönlichkeitsbilder von mir erstellt werden. Es gibt schon heute einen verfassungsrechtlich abgesicherten Anspruch auf Anonymität.

Dieser Anspruch besteht nicht unbeschränkt. Einschränkungen der informationellen Selbstbestimmung wie des Rechts auf Anonymität sind im überwiegenden Allgemeininteresse zulässig. Voraussetzung ist aber eine verfassungsgemäße normenklare gesetzliche Grundlage. Wollen also die Sicherheitsbehörden im Interesse der Strafverfolgung das Recht auf Anonymität einschränken, so muss dies auf einer den technischen Gegebenheiten angepassten gesetzlichen Grundlage geschehen.

Dies ist leichter gesagt als getan. Bisher hatten wir in der realen Welt angesichts der absehbaren virtuellen Zukunft noch relativ überschaubare Verhältnisse: Werden Daten über mich erhoben, so bin ich zu beteiligen, um hiervon Kenntnis zu haben. Bei allgemein zugänglichen Daten, bei solchen aus der "öffentlichen Sphäre" muss ich mir deren Erhebung und Auswertung zumeist ohne viele Möglichkeiten der Gegenwehr gefallen lassen. Intimes geht dagegen grundsätzlich niemanden etwas an. Diese Prinzipien auf die virtuelle Welt zu übertragen ist nicht einfach, gibt es doch im Netz keine technische Differenzierungsmöglichkeiten bzgl. besonderer Kontexte und Schutzsphären. Wohnung, Familie, politische Betätigung, Gesundheit, persönliche Vertrauensbeziehung - all dies sind Kriterien, die technisch nicht einfach abbildbar sind. Daraus wird teilweise die Schlussfolgerung gezogen, dass es z.B. ein Patientengeheimnis im Netz nicht geben könne. Ein solcher Schluss wäre definitiv ein K.O.-Kriterium für den Einsatz des Netzes in bestimmten Lebensbereichen. Daher muss trotz aller praktischen Widrigkeiten eine rechtliche Struktur aufgebaut werden, mit der diese besonderen Schutzsphären technisch abgebildet werden können und die von Sicherheitsbehörden respektiert werden. Dies können z.B. im Bereich des Gesundheitswesens Health Professional Cards und geschlossene, beschlagnahmefreie Netze sein.

Da es natürliche Grenzen von Schutzsphären im Netz nicht gibt, müssen die virtuellen Grenzen von den Netz-Nutzenden selbst definiert werden (können). Der Selbstschutz gewinnt eine eigenständige Bedeutung und eigene Grundrechtsrelevanz. Kann der Staat dem Einzelnen die Verteidigung seiner Grundrechte nicht zusichern, so muss er ihm die technischen und rechtlichen Voraussetzungen zur Verfügung stellen, sich selbst zu verteidigen. Vielen Formen der Kriminalität sind die Nutzenden im Internet rechtlich schutzlos ausgeliefert. Je leichter es technisch möglich ist, Kommunikationsdaten zu erfassen und auszuwerten, desto wichtiger wird das Recht des Betroffenen, sich durch die technischen Hilfsmittel des Verbergens und Vermeidens von Daten selbst zu schützen. Der Kryptografie, den digitalen Signaturen und den Anonymitätsdiensten kommt somit eine wichtige grundrechtssichernde Funktion zu. Statt Verschlüsselung und andere Formen des Selbstschutzes als ein Strafverfolgungshindernis zu kritisieren, wären die Sicherheitsbehörden gut beraten, diese Instrumente aktiv wegen ihrer kriminalitätsverhütenden Wirkung zu fördern. Ein großer Teil der Internet-Kriminalität richtet sich gegen die Persönlichkeitsrechte der Netznutzenden. Es stünde den Sicherheitsbehörden gut an, hier auch einen Schwerpunkt ihrer Tätigkeit zu legen und insbesondere durch Förderung des Selbstschutzes praktische Kriminalprävention zu betreiben.

Individueller Schutz allein kann aber nicht genügen. Dieser muss eingebettet sein in eine vertrauenswürdige Netz-Infrastruktur. Diese ist angesichts der Globalität des Internet aus nationaler Sicht nur partiell zu realisieren. Insofern aber kommt dem Staat und dem staatlichen Recht eine Gewährleistungsfunktion zu. Den Nutzenden muss eine größtmögliche Transparenz der Datenverarbeitungstrukturen verschafft werden. Dies ist zentrale Voraussetzung für den Selbstschutz wie für die Aufdeckung von Fehlern und Missbräuchen. Transparenz wird zur Grundbedingung für die Verhinderung und für die Verfolgung von Straftaten im Internet. Das Transparenzgebot beginnt mit der Verfügbarkeit der einschlägigen rechtlichen Regelungen für die Nutzung und die staatliche Überwachung des Netzes. Dazu gehört ein Offenlegen der staatlichen Kontrollpraxis. Der Einsatz von "Black Boxes" wie z.B. die amerikanischen "Carnivore" wäre hiermit nicht vereinbar. Weiterhin muss bzgl. nationaler Netzangebote die Frage der Verantwortlichkeit für Netzinhalte und deren Erkennbarkeit eindeutig geklärt sein. Schließlich müssen auch die privaten Anbieter im Netz zur Offenlegung ihrer Privacy Policy gezwungen werden. Ob dies freilich so weit gehen kann, dass die Offenlegung von Quellcodes gefordert wird, ist fraglich.

 

7.    Künftige Überwachungsinstrumente

Die Beschreibung der rechtlichen und der tatsächlichen Lage lässt den politischen Handlungsbedarf erkennen. Dieser besteht zunächst darin, die rechtlichen Grundlagen für die Überwachung internetspezifisch gesetzlich festzulegen. Die Übertragung der Befugnisse der Telefonüberwachung auf die Überwachung sämtlicher Formen elektronischen Datenverkehrs hat auf allen Seiten Rechtsunsicherheit zur Folge gehabt. Weder wissen derzeit die Provider, welche Daten sie unter welchen Voraussetzungen herausgeben dürfen bzw. müssen, noch wissen die Strafverfolgungsbehörden, was sie fordern können. Das Ergebnis dieser Unsicherheit ist eine Praxis, bei der die Netz-Nutzenden zwangsläufig zu kurz kommen; sie werden überhaupt nicht gefragt.

Eingriffe in das Telekommunikationsgeheimnis müssen verhältnismäßig sein. Nicht schon ein unbedeutender Verdacht darf zum Startschuss für die Überwachungsmaschinerie werden. Verfassungsrechtlich nicht tolerabel ist z.B. der immer noch geltende § 12 FAG, der die Überwachung von Verbindungsdaten von keiner Verdachts- oder Intensitätschwelle abhängig macht.

Zur Verhältnismäßigkeitskontrolle strafrechtlicher Ermittlungen gehört es weiterhin, dass derGrundrechtsschutz durch Verfahren normativ festgelegt wird. Insofern hat die Diskussion noch nicht einmal richtig begonnen. Der Richtervorbehalt des § 100b StPO kann nur ein Instrument sein. Flankierend dazu sind Berichtspflichten gegenüber dem Parlament sowie auch nachschauende richterliche Bewertungen notwendig. Die reine Prognose durch den Richter gewährleistet nur eine eingeschränkte Rationalitäts- und Plausibilitätskontrolle. Unumstritten muss bleiben, dass auch im strafrechtlichen Ermittlungsverfahren die unabhängige Kontrolle der Datenschutzbeauftrgaten möglich ist. Hierbei muss in keiner Weise die Ermittlungstätigkeit beeinträchtigt werden.

Klar muss dabei sein, dass Strafverfolgung ausschließlich Aufgabe von Polizei und Staatsanwaltschaft ist. Die Internet-Dienstleister dürfen nicht als deren Außenstellen angesehen und derart behandelt werden. Die zwingende Übernahme von Verantwortung durch die Provider für die Inhalte Dritter ist eine unsinnige und unangemessene Belastung für die Anbieter von Netzwerkdiensten. Sie zwingt diese zur eigenen Durchführung von Überwachungsmaßnahmen und erhöht zugleich den Überwachungsdruck, dem die private Kommunikation ausgesetzt ist.

Die Datenspeicherung von Nutzungsdaten bei den Providern hat sich grundsätzlich daran zu orientieren, ob und inwieweit die Daten zur Abwicklung und Abrechnung der Kommunikation erforderlich sind. Eine pauschale Datenspeicherung aus reiner Vorsorge ausschließlich für Zwecke der Strafverfolgung wäre eine nach der Rechtsprechung des BVerfG verfassungswidrige Vorratsdatenspeicherung. Sie verstößt auch gegen die im Telekommunikationsrecht, z.B. im TDDSG, normierten Grundsätze. Datensparsamkeit, die Verpflichtung zum Angebot pseudonymer und anonymer Dienste oder die Pflicht zur umgehenden Löschung von für Abrechnungszwecke nicht benötigten Daten sind einfachgesetzliche Umsetzungen des genannte Verfassungsgebotes noch durch die schwarz-gelbe Bundesregierung. Mit einer Vorratsdatenspeicherung für polizeiliche Zwecke käme implizit zum Ausdruck, dass sämtliche Internet-Nutzenden als potenzielle Straftäter angesehen werden. Internet-Nutzung ist keine gefahrgeneigte Tätigkeit. Eine solche Sichtweise würde dem Charakter des Internet als zentrales Nervensystem einer sich globalisierenden Informationsgesellschaft nicht gerecht. Dass nun der rot-grüne Normgeber zu einer solchen Sichtweise tendiert, indem er die Aufbewahrungszeit für Telekommunikations-Verbindungsdaten nach der TDSV von 80 Tagen auf 6 Monate verlängerte, ist für mich nicht nachvollziehbar.

Die Internet-Kontrollkompetenzen müssen gegenüber der Telefonüberwachung teilweise modifiziert werden. Gegen das anlass- und verdachtslose polizeiliche Surfen im öffentlichen Teil des Internet, im WWW, ist kaum etwas einzuwenden. Unstreitig dürfte auch sein, dass eine Email-Kommunikation den gleichen Grundrechtsschutz genießen muss wie der Briefverkehr. Anders als in der realen Welt, sind jedoch im Internet die Übergänge fließend. Wie sind offene und geschlossene Mailinglists zu bewerten, wie moderierte und unmoderierte Chats? Soll es Strafverfolgern erlaubt sein, unter Vorspiegelung einer falschen Identität, quasi als Verdeckter Ermittler, im Netz zu kommunizieren? Im Netz gibt es weder Uniformen noch Dienstausweise.

Überwachungsschnittstellen, über die den Strafverfolgern die Möglichkeit des unbeobachteten Ermittelns eingeräumt werden, stellen ein doppeltes Risiko dar. Zum einen eröffnen sie eine unsichere Hintertür, die die Verletzlichkeit vor Angriffen unbefugter Privater erhöht. Nicht weniger problematisch ist die Gefahr vor Innentätern. Solche Schnittstellen bedürfen einer gesetzlichen Grundlage. Dies allein kann aber nicht genügen. In jedem Fall muss, auch bei relativ unsensiblen Daten wie Bestandsdaten, eine Protokollierung und eine nachträgliche Protokollauswertung gewährleistet sein. Außerdem muss mindestens ein Vier-Augen-Prinzip etabliert werden, wobei die kontrollierenden zwei Augen bei Verbindungs- wie bei Inhaltsdaten die einer unabhängigen Person, etwa Richters sein müssen.

Bisher im deutschen Recht ungeregelt geblieben ist, inwieweit Provider im Falle eines konkreten Verdachtes verpflichtet werden können, Nutzerdaten für Überwachungszwecke zu kopieren nach dem Motto einfrieren und auftauen. Das "Auftauen" und Zur-Verfügung-Stellen gegenüber Strafverfolgungsbehörden muss einer rechtsstaatlichen, z.B. richterlichen Kontrolle unterworfen werden.

Nicht akzeptabel sind meines Erachtens die undifferenzierten Regelungen der Art. 14, 15 CCC-E, die nicht nur Zugang zu sämtlichen Computerdaten gewähren sollen, sondern auch zur "Funktionsweise des Computersystems" und zu den "zwecks Sicherung der darin enthaltenen Daten getroffenen Maßnahmen". Damit würde die Diskussion über die Herausgabe von Kryptografie-Schlüsseln auf einem höheren Niveau wiederbelebt. Wer mit guten Gründen auf eine Stärkung des Selbstschutzes setzt, kann durch die Hintertür diese nicht zugleich wieder sabotieren. Zudem darf das verfassungsrechtlich wie durch die Europäische Menschenrechtskonvention abgesicherte Recht, sich nicht selbst belasten zu müssen, bei Ermittlungen gegen Cyber Crime ausgehebelt werden.

Wie die Anonymität im Internet gewährleistet werden kann, ohne dass dadurch der Kriminalität ein allzu großes Tor geöffnet wird, muss zweifellos zwischen allen Beteiligten noch intensiv diskutiert werden. Ergänzend zur der Impressumspflicht bei kommerziellen Angeboten, sollte bei nicht geschäftsmäßigen bzw. kommerziellen Veröffentlichungen im Internet die Kennzeichnung der oder des Verantwortlichen durch ein Pseudonym zugelassen werden. Erst wenn sich herausstellt, dass die Veröffentlichung gegen Rechtsvorschriften verstößt, sollten die Provider nach einem geordneten Verfahren verpflichtet werden können, die Anonymität des Verantwortlichen aufzuheben.

Sensibler ist die Individualkommunikation. Insofern eine Identifizierungspflicht vorzuschreiben, wäre zweifellos unverhältnismäßig. Dessen ungeachtet ist es aber nicht ausgeschlossen, auch von öffentlicher Seite vertrauenswürdige Anonymisierungsverfahren vorzusehen, bei denen im Einzelfall unter strengen rechtlichen Voraussetzungen eine Aufhebung der Anonymität gestattet und möglich ist. Ein solches Verfahren bietet sich etwa bei medizinischer, psychologischer oder Sucht-Beratung an. Über sog. Rechnermixe wird einerseits generell Anonymität zugesichert; durch Beteiligung sämtlicher am Mixrechner kann diese im Einzelfall aber aufgehoben werden.

Zu kurz greifen sämtliche Versuche, sog. Hacker-Tools zu verbieten, so wie dies von Art. 6 CCC-E vorgesehen ist. Die Entwicklung und Verbreitung möglicherweise schädlicher Programme unter Verbot zu stellen, hieße, die technische Entwicklung und Nutzung von Schutzprogrammen zu behindern. Hier soll nicht der amerikanischen Sichtweise gefolgt werden, die Verbreitung von Software sei durch das Recht auf freie Meinungsäußerung gedeckt. Ein Verbot von Hacker-Tools wäre zwar keine Zensur. Ein solches Verbot ließe sich aber kaum rechtssicher definieren. Schon aus dem CCC-E lässt sich erkennen, dass durch ein Abstellen auf die "Absicht" der Nutzung "unerlaubter Vorrichtungen" den Strafverfolgungsbehörden ein zur Willkür einladender Spielraum eingeräumt werden müsste. Problematisch wäre zudem, dass ein solches Verbot den Selbstschutz im Netz und die Kommunikation hierüber im Netz faktisch untergraben würde. Bisher lebte die Entwicklung von Sicherheitstools im Internet stark vom eigeninitiativen Engagement der kritischen Netzgemeinde. Mit einem Verbot wurde dagegen ein Forschungsmonopol für Großunternehmen und staatliche Einrichtungen begründet.

Das Problem bei fast allen informationell eingreifenden Ermittlungsmaßnahmen ist, dass keine wissenschaftlich seriösen Untersuchungen zu der Frage vorliegen, welche Wirksamkeit diese Maßnahmen haben. So hat z.B. die Telekommunikationsüberwachung in den letzten Jahren kontinuierlich zugenommen, ohne dass dessen positiven Effekte für die Strafverfolgung nachgewiesen worden sind. Erst im Jahr 1999 wurde eine Evaluierung der TK-Überwachung ausgeschrieben. Ist die Evaluierung der Telefonüberwachung dringend geboten, so gilt dies erst recht für die Überwachung des Internet. Dabei ist nicht nur eine Überprüfung der Wirkungen für die Sicherheit bzw. für die Strafverfolgung und die Überführung von Tätern erforderlich, sondern auch der Effekte auf die Wahrnehmung der Freiheitsrechte und der Nutzung des Netzes.

 

8.    Sicherheitsperspektiven für die Informationsgesellschaft

Wer als Datenschtüzer die aktuelle Diskussion über Cybercrime-Bekämpfung verfolgt, muss in hohem Grade beunruhigt sein: Datenschutz beschränkt sich hierbei im besten Fall auf Lippenbekenntnisse. Eine rechtsstaatliche Kontrolle ist in weiten Strecken weder gesetzlich vorgesehen noch politisch gewollt. Die Kontrollforderungen der Sicherheitsbehörden sind aus deren Sicht zweifellos verständlich. Doch kann diesen nicht ohne Etablierung rechtsstaatlicher Standards nachgegeben werden. Für diese Notwendigkeit besteht derzeit noch wenig Bewusstsein bei der Politik. Solange aber diese rechtsstaatliche Kontrolle nicht etabliert ist, wird die Entwicklung des Internet allgemein und des E-Commerce speziell massiv behindert bleiben. Eine weitgehend kontrollfreie Internet-Kommunikation ist eine zentrale Standort-Voraussetzung für die informationstechnische Wirtschaft. Es ist für mich nicht überraschend, dass die Verabschiedung des britischen RIP-Überwachungsgesetzes zu Abwanderungsankündigungen internationaler Internet-Anbieter geführt hat.

Mit der Forderung nach immer neuen Eingriffsgrundlagen in die Telekommunikationsfreiheit wird nicht mehr Sicherheit im Internet erreicht. Derartige Forderungen verursachen mehr Verunsicherung als Vertrauen. Viel wichtiger für eine wirksame Prävention und eine wirksame Strafverfolgung ist eine verbesserte technische Ausstattung der Strafverfolgungsbehörden und eine verbesserte Ausbildung der Mitarbeiterinnen und Mitarbeiter.

Wer hofft, durch technische, rechtliche oder organisatorische Maßnahmen die Sicherheitsprobleme im Internet in den Griff bekommen zu können, der täuscht sich. Das Internet ist nicht nach Sicherheitsparametern auf- und ausgebaut worden. Daher bleibt in diesem technisch sich schnell entwickelnden Gebiet der Weg zwischen Bürgerrechtsschutz und Überwachung immer eineGratwanderung. Es werden sich immer wieder bisher unbekannte Risiken zeigen, auf die kurzfristig demokratisch reagiert werden muss. Dabei wäre es fatal, sich allein auf die Sicherheitsbehörden zu verlassen. Nicht nur, dass diese überfordert wären. Das Internet ist ein lebendiges Netz, dessen Gedeihen und dessen Sicherheit von Engagement der gesamten Netzgemeinde abhängt. Mit "zero tolerance" trifft man im Zweifel nicht die tatsächlichen Kriminellen im Netz, sondern die informationstechnische Wirtschaft, gedankenlose User und vor allem die besonders politisch Engagierten. Das Bewusstsein für Benutzer-Sicherheit im Internet ist noch wenig ausgeprägt. Umso wichtiger ist die öffentliche Diskussion hierüber.