In einem wegweisenden Aufsatz hat sich der Strafrechtler Tobias Singelnstein daran gemacht, den „Digitalen Tsunami“ einer umfangreichen juristischen Prüfung zu unterziehen. Unter dem Titel „Möglichkeiten und Grenzen neuerer strafprozessualer Ermittlungsmaßnahmen“ untersucht er das Ausmaß neuer Ermittlungsmaßnahmen im Bereich der Telekommunikation, der Datenbeschlagnahme und der Datenverarbeitung. Hintergrund ist der zunehmende Einsatz neuer digitaler Technologien für polizeiliche Ermittlungszwecke, der sich vielfach in einer rechtlichen Grauzone bewegt. Denn die gesetzlichen Eingriffsgrundlagen tragen den neuen erweiterten Datenerhebungs- und Verwendungsmöglichkeiten nicht angemessen Rechnung:
Diese Entwicklung schafft neue Erkenntnismöglichkeiten für die Strafverfolgungsbehörden, die ohne weiteres die Erstellung von umfassenden Persönlichkeitsprofilen ermöglichen. Die rechtsstaatliche Einhegung strafprozessualer Eingriffsmaßnahmen hinkt dem hinterher und muss diesen Herausforderungen entsprechend fortentwickelt werden. Dies gilt insbesondere auch für den Bereich der weiteren Datenverwendung.
Tobias Singelnstein ist Juniorprofessur für Strafrecht und Strafverfahrensrecht an der Freien Universität Berlin. Sein 14-seitiger Artikel erschien in der November-Ausgabe der „Neuen Zeitschrift für Strafrecht“ und ist lediglich in einer Kurzzusammenfassung online verfügbar. Er trägt dort zusammen, welche rechtlichen Grundsätze bzw. deren Auslegung gemeinhin für Anordnungen verschiedener Maßnahmen zur Telekommunikationsüberwachung herangezogen werden.
Kern der Untersuchung ist die Frage, inwieweit die Strafprozessordnung überhaupt ausreichend Regelungen zur Ausforschung neuer Erscheinungsformen digitaler Kommunikation trifft und wie dies mit den Grundrechten in Konflikt gerät. Singelnstein beginnt seine Ausarbeitung mit einer Aufzählung des technischen Fortschritts im Bereich neuer Kommunikationssysteme. Während sich die analoge Telekommunikationsüberwachung früher lediglich auf das Abhören von Gesprächen beschränkte, sieht Singelnstein heute neben den Aufenthaltsorten der Kommunikationspartner „wahre Ströme ganz verschiedener Daten überwachbar“. Von ungeklärter Bedeutung für strafprozessuale Maßnahmen seien vor allem Cloud Computing, das Internet der Dinge und Ubiquitous Computing. Als Beispiele führt er Messaging-Dienste, location-based Services oder Diebstahlortungssysteme in Fahrzeugen an. Von Interesse seien aber auch Navigationsgeräte, Haustechnik oder Daten von RFID-Chips:
Alleine auf Computern finden sich daher zumeist eine Vielzahl auch sensibler Daten, die in der Gesamtschau umfassend Auskunft über das Leben der Betroffenen geben können. Dies macht es erforderlich, den Zugriff auf solche Daten zu beschränken.
Polizeiarbeit im Wandel begriffen
Angesichts der weiter ausufernden digitalen Ermittlungsmethoden hält Singelnstein fest, dass viele Formen der Datenübertragung unter das Fernmeldegeheimnis fallen. Damit seien sie durch Artikel 10 Grundgesetz geschützt, der sich auf eine Kommunikation mit einem klar abgrenzbaren Personenkreis bezieht. Hierzu gehöre demnach jede Kommunikation, „die von der Vertraulichkeit des Mediums ausgeht“: Etwa Chats, Foren, Messaging-Dienste etc. Juristisch betrachtet sei nicht abschließend geklärt, inwiefern die Datenübertragung etwa beim Online-Banking oder dem Cloud Computing dem Telekommunikationsbegriff zu unterstellen sei. Singelnstein fordert aber, auch diese Formen dem Artikel 10 Grundgesetz zuzurechnen, da dieser einen „entwicklungsoffenen Charakter“ trage. Außerhalb des eigenen Rechners gespeicherte Daten seien überdies vom Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (GGVIiS) gedeckt. An mehreren Stellen der Ausarbeitung wird das Grundrecht auf informationelle Selbstbestimmung betont. Singelnstein stellt klar, dass dies den Maßstab für die Datenverarbeitung im Strafverfahren herstellt:
Es gewährleistet das Recht des Einzelnen, selbst über die Offenheit persönlicher Lebenssachverhalte zu entscheiden, und macht die staatliche Verarbeitung personenbezogener Daten rechtfertigungsbedürftig.
Hierzu gehöre auch der Zugriff auf Verkehrsdaten, also auf darüber welche Anschlüsse wann und wo miteinander kommunizieren. Dies definiert Singelnstein ebenso wie abgehörte Inhalte als intensiven Grundrechtseingriff. Die Auseinandersetzung um die Vorratsdatenspeicherung sei ein Beleg für die immense Bedeutung, den die Strafverfolgungsbehörden den Verkehrsdaten beimessen:
Aus grundrechtlicher Sicht stellt die Verkehrsdatenabfrage einen schwerwiegenden Eingriff in das Fernmeldegeheimnis dar, das neben den Inhalten auch die Umstände der TK schützt. Aus den Daten lassen sich vielfältige, sensible Erkenntnisse ziehen, wie etwa Sozial- bzw. Kommunikationsprofile und Bewegungsbilder.
Die Polizeiarbeit ist laut dem Verfasser in einem generellen Wandel begriffen, da immer mehr heimliche Zugriffe auf die digitale Kommunikation möglich sind. Das liege unter anderem an den verschiedenen Phasen der Speicherung von Kommunikationsdaten und ihrer rechtlich jeweils unterschiedlichen Bedeutung. Singelnstein erläutert dies anhand des polizeilichen Zugriffs auf eine E-Mail:
Wird die Mail erstens gerade übertragen, stellt ein Zugriff einen Eingriff in Artikel 10 GG dar, der nur auf Grundlage des § 100a StPO zu rechtfertigen ist. Zweitens kann sich die E-Mail – noch oder schon – bei einem Beteiligten der TK, also Sender oder Empfänger befinden. Drittens kann sich der Zugriff auf E-Mails richten, die beim Anbieter gespeichert sind, solange der Nutzer sie noch nicht aus seinem Postfach gelöscht hat. Selbst danach können die Daten – etwa als Sicherungskopien – noch beim Anbieter zu finden sein.
„Vergeheimdienstlichung“ des Strafverfahrens
Sofern sich die Strafverfolgungsbehörden die Kommunikation beim Sender oder Empfänger per richterlichem Beschluss zur Herausgabe besorgen, ist laut dem Bundesverfassungsgericht nur das Recht auf informationelle Selbstbestimmung verletzt. Denn die Daten würden ja nicht mehr übertragen, sondern hätten ihre Bestimmung erreicht. Eine solche Beschlagnahme beim Sender oder Empfänger muss jedoch offen, also nicht heimlich erfolgen. Folglich sind heimliche Durchsuchungen von Rechnern oder Smartphones, etwa in Gewahrsam oder beim Grenzübertritt, von strafprozessualen Vorschriften nicht gedeckt. Singelnstein verweist hierfür auf die Firma Radiotactics, die hierfür regelrechte Terminals vertreibt. Ausgelesen werden Anruflisten, Fotos, SMS, E-Mails und Daten aus sozialen Netzwerken. Die Bundespolizei verfügt für das offene oder verdeckte Auslesen von Mobiltelefonen Technik der Firma Cellebrite.
Singelnstein arbeitet heraus, wie das „Regel-Ausnahmeverhältnis“ von offenen und verdeckten Maßnahmen aus den Fugen gerät. Die wachsenden Datensammlungen werden überdies zweckfremd genutzt. Dies gelte für Daten von Meldeämtern, Bibliotheken oder dem Kraftfahrtbundesamt ebenso wie für Einträge in Polizeidatenbanken:
Selbst innerhalb des strafrechtlichen Bereichs dürfen einmal erhobene Daten ohne weiteres nur für das konkrete Strafverfahren genutzt werden, für das sie erhoben wurden.
Dass der damit angesprochene Grundsatz der Zweckbindung personenbezogener Daten im polizeilichen Bereich durch entsprechende Vorschriften vielfach durchbrochen wird , illustriert die massenhafte Funkzellenabfrage bei den Protesten gegen den Naziaufmarsch in Dresden 2010. Diese wurde überhaupt erst bekannt, als deren – zur Ausforschung einer vermeintlichen kriminellen Antifa-Gruppe erhobenen Datensätze – auch in andere Ermittlungsverfahren wegen geringfügiger Verstöße gegen das Versammlungsgesetz eingeflossen waren. Zudem bringe laut Singelnstein die Funkzellenabfrage als Maßnahme mit „enormer Streubreite“ größtenteils Unbeteiligte ins Visier der Behörden, weshalb der Verhältnismäßigkeitsgrundsatz der Maßnahme enge Grenzen ziehe. Dieser Trend sei auch bei der Nutzung der Daten zur Vorfeldaufklärung oder Gefahrenabwehr zu beobachten:
Solche Datensammlungen dienen weniger der Aufklärung in einem konkreten Strafverfahren, sondern der Strafverfolgungsvorsorge und der Aufklärung von Lagen. Beide Entwicklungen werden als Vergeheimdienstlichung des Strafverfahrens angesehen.
Daten werden überdies nicht mehr lediglich abgeschöpft, sondern die Kommunikationstechnik – etwa im Falle staatlicher Trojaner oder „Stiller SMS“ – sogar manipuliert. Singelnstein legt dar, wie sich die gegenwärtige Rechtsprechung zur „Quellen-TKÜ“ und der „Online-Durchsuchung“ positioniert und kommt zu dem Schluss, dass es keinen qualitativen Unterschied zwischen beiden gebe. Denn ausschlaggebend sei die Verletzung der Integrität des infiltrierten Systems, wenn darauf ein Schadprogramm installiert wird. Damit habe die Maßnahme eine „ganz andere Intensität“ als etwa das Anbringen eines Peilsenders. Ähnliches gelte für die Nutzung von Ortungsimpulsen, die über das Versenden „Stiller SMS“ an die Mobiltelefone von Observierten erzeugt werden. Dadurch wird von der Polizei ein Verkehrsdatensatz erzeugt, der für die Betroffenen unsichtbar bleibt und auf den sie keinen Einfluss haben. Behörden ziehen diese Methode der herkömmlichen Verkehrsdatenabfrage vor, da die über eine „Stille SMS“ erlangten Standortdaten genauer sind. Das Abfragen dieses heimlich erzeugten Kommunikationsvorgangs über den Provider mag zwar als „passive Maßnahme“ durch die Strafprozessordnung gedeckt sein. Das Versenden des Ortungsimpulses ist laut Singelnstein allerdings eine „aktive Maßnahme“ und stelle also einen rechtfertigungsbedürftigen Eingriff dar.
Jede polizeiliche Ermittlung im Internet braucht Rechtsgrundlage
Zu einem ähnlich problematischen Ergebnis kommt der Artikel hinsichtlich der Nutzung von WLAN-Catchern oder WLAN-Sniffern zum Abhören von Verbindungen über Funknetzwerke. Denn die NutzerInnen gehen von der Vertraulichkeit der Systeme aus, wenn sich das genutzte Gerät über den Router mit dem Internet verbindet. Während das Feststellen verbundener Geräte noch über die Paragrafen 100a und 100b der Strafprozessordnung zu rechtfertigen wäre, sei das Abhören der Inhalte ein Eingriff in Artikel 10 Grundgesetz.
Die Studie beschreibt überdies, wie neue Methoden der Datenverarbeitung und -analyse die erlangten Informationen immer besser auswerten und erschließen können. Durch die Kombination von Datensätzen sollen Strukturen und Beziehungen erkannt werden. Gemeint ist, dass die Datenbestände durch Kombination und Automatisierung miteinander verknüpft werden können und dadurch neue Information produziert wird. Den dadurch erlangten „Mehrwert“ bezeichnet Singelnstein als Vorstufe zum Data Mining. Als Beispiel wird das EU-Sicherheitsforschungsprojekt INDECT angeführt. Die dort beforschte Mustererkennung soll gewährleisten, dass unerwünschte Verhaltensweisen computergestützt erkennt und polizeiliche Maßnahmen eingeleitet werden können, darunter auch die Verfolgung mit fliegenden Kameras. Die Besorgnis gilt überdies bei der Nutzung von Daten, die von den entsprechenden Abteilungen sozialer Netzwerke herausgegeben wurden. So würde etwa Facebook „enorme Mengen personenbezogener Daten“ speichern und „dauerhaft und grundsätzlich unwiderruflich“ verfügbar machen:
So lässt sich nicht nur ermitteln, wer wann was im Netz gemacht hat und von wo dies geschehen ist, sondern es können ebenso persönliche Interessen und Sozialstrukturen aufgeklärt und wesentliche Elemente eines Persönlichkeitsprofils zusammengetragen werden.
Doch nicht nur die Ausforschung geschlossener Foren ist rechtlich fragwürdig. Singelnstein macht darauf aufmerksam, dass das Erheben öffentlich im Internet zugänglicher Information zwar laut dem Bundesverfassungsgericht erlaubt ist. Anders verhält es sich demnach aber, wenn diese Informationen gezielt zusammengetragen werden. Während also die „Online-Streife“ ohne Datenerhebung zulässig sei, bedürfe die Suche nach Informationen über ein und dieselbe Person einer Rechtsgrundlage. Sofern dabei Passwörter oder andere Zugangsbeschränkungen überwunden werden, liegt eine Verletzung des Artikel 10 GG vor.
Demgegenüber wird der Einsatz verdeckter Ermittler im Internet eher lax gehandhabt: Ein Eingriff in das Recht auf informationelle Selbstbestimmung wird nach gängiger Rechtsprechung nur dann gesehen, wenn dadurch personenbezogene Daten erlangt werden. Anders bei nur für FreundInnen sichtbaren Informationen in sozialen Netzwerken: Dort müssen die Spitzel die gleichen rechtlichen Hürden beachten, wie sie auch im realen Leben, etwa durch den Richtervorbehalt vorgesehen sind. Gleiches gilt, wenn sich die Spitzel dabei auf ausländischen Servern tummeln: Weil der Einsatz als Zwangsmaßnahme gilt, muss zuvor ein Rechtshilfeersuchen gestellt werden.
Der Artikel geht in einem längeren Absatz der Frage nach, was eine polizeiliche „Datenerhebung“ bei privaten Unternehmen für die Beteiligten bezüglich rechtlicher Rahmenbedingungen bedeutet. Singelnstein zählt hierzu:
Bankdaten, Bestandsdaten bei TK-Anbietern, Kundendaten bei Warenhäusern – die u.a. über Rabatt- und Kundenkarten ermittelt werden –, BahnCard-Daten, Flugdaten, Daten über Postversendungen ebenso wie Kfz- und Navigationsdaten, soweit diese Systeme diese an den Anbieter übertragen, oder GPS-Daten von Smartphones, die von Anbietern lokationsbasierter Dienste aufgezeichnet werden.
Als „besonders relevant“ eingestufte Daten müssen die entsprechenden Unternehmen den Behörden in automatisierten Verfahren zur Verfügung stellen. Hierzu gehören etwa alle Kreditinstitute. Dass dies aber auch für Anbieter von Telekommunikationsdiensten gilt, bezweifelt Singelnstein. Stattdessen müssten die Strafverfolger ein „abgestuftes Verfahren“ nutzen, das zunächst die Herausgabe verlangt oder auch ZeugInnen hört. Ansonsten sei der Verhältnismäßigkeitsgrundsatz ausgehöhlt.
Rechtsstaatliche Begrenzungen für „Big Data“ bei Polizeibehörden gefordert
Das Bundesverfassungsgericht hat 2009 bestimmt, dass bei einer Datenabfrage beim Provider nicht nur das Recht auf informationelle Selbstbestimmung verletzt ist, sondern auch ein Eingriff in das Fernmeldegeheimnis vorliegt. Entsprechende Maßnahmen müssen stets mit einem „Ausgleich“ einher gehen, also der Unterrichtung der Betroffenen, die so früh wie möglich erfolgen muss – laut Gesetz kann dies sogar im Vorfeld der Maßnahme geschehen. Singelnstein bemängelt, dass die Abfrage der grundrechtsintensiven Daten bei den Anbietern „unter den denkbar geringsten Voraussetzungen möglich“ sei, denn es brauche lediglich die „Annahme“ eines Tatverdachts. Singelnstein betont deshalb die Notwendigkeit, die Einzelmaßnahmen strenger zu prüfen und zu beschränken. Eine „geringe Beweisbedeutung“ oder ein „geringer Auffindeverdacht“ beim Provider müssten einem richterlichen Beschluss ggf. entgegenstehen. Wird die spätere Auswertung der sichergestellten digitalen Kommunikation nicht eingeschränkt oder stattdessen sogar „Zufallsfunde“ gezielt gesucht, sei dies rechtswidrig.
Weil bei der Abfrage aber auch der Telekommunikationsanbieter in seinen Grundrechten betroffen ist, obwohl dieser dafür keinen Anlass gegeben hat, darf die Datenerhebung dort unter keinen Umständen heimlich erfolgen. Technische Möglichkeiten zum Knacken der Passwörter von Cloud-Diensten würden sich laut Singelnstein also für die Strafverfolgung verbieten, da diese nicht von der Strafprozessordnung gedeckt seien. Auch sogenannte „Black Boxes“ zum heimlichen Ausleiten des Datenverkehrs dürften demnach nicht betrieben werden.
Die „Zukunftsgruppe“ unter Leitung von Wolfgang Schäuble, die das im Dezember 2009 von der Europäischen Union verabschiedete „Stockholmer Programm“ vorbereitete, hatte angesichts der sich eröffnenden neuen Ermittlungsmethoden von einem „digitalen Tsunami“ geschwärmt. Die in diesem Gremium vereinten Innenminister von neun EU-Staaten hatten dabei allerdings keine Katastrophe vor Augen, sondern begeisterten sich über die „gewaltigen Informationsmengen, die für öffentliche Sicherheitsorganisationen nützlich sein können“. Eine Vorstellung über das Volumen dieser Datenhalden gibt die Industrie, die bis zum Jahr 2020 mit einer „Explosion von Unternehmensdaten um das 44-Fache“ rechnet und ebenfalls einen „Daten-Tsunami“ heraufziehen sieht. Auch das Bundeskriminalamt beklagt sich über Datenbestände, die sich jährlich verdoppeln würden. Die Studie des Strafrechtlers Tobias Singelnstein bestätigt die Befürchtungen von AktivistInnen, AnwältInnen, Bürgerrechtsgruppen und netzpolitisch Interessierten, dass sich die neu eingeführten Überwachungs- und Analysemethoden negativ auf die Grundrechte auswirken:
Für eine wirksame rechtliche Eingrenzung einschlägiger Strafverfolgungsmaßnahmen müssen erstens bestehende Befugnisse stets restriktiv ausgelegt werden. Dies bedeutet hinzunehmen, dass rechtlich nicht alles zulässig und rechtspolitisch nicht alles wünschenswert ist, was technisch machbar wäre. […] Rechtsstaatliche Begrenzungen führen hierbei zwangsläufig zu Beschränkungen und Mehraufwand – das ist gerade ihr Sinn.
Der Mensch ist auch Mitautor des lesenswerten Buches „Die Sicherheitsgesellschaft – Soziale Kontrolle im 21. Jhd“.
Und, nein, ich bin mit dem weder verwandt, verschwägert, liiert oder sonstwas.
OT: Kann man diese Seite als PDF speichern oder gibt es eine Druck-Version?
Kann die Seite nämlich nicht speichern (darf leider nur IE benützen!), und zu Hause habe ich derzeit keinen Internetzugang.
Vielen Dank im Voraus,
Florian
Danke für den Beitrag
Danke für die guten Informationen zum Strafrecht. Aktuell sieht es allerdings noch nicht besser aus, wenn bei den Zwiebelfreunden ohne Grundlage einfach alle IT beschlagnahmt wird. Es bleibt zu hoffen, dass die EU hier einheitlicherer Regeln schafft, um die Unbescholtenen besser zu schützen.