Der Journalistische Quellenschutz gilt nur für Daten, die in direkten Gewahrsam von Journalisten sind, nicht jedoch für online gespeicherte Daten. Das sagte der Bundesdatenschutzbeauftragte Schaar gestern auf einer Podiumsdiskussion. Journalisten sollten solche Dienste nicht nutzen, trotzdem muss der Quellenschutz auch für Online-Dienste gelten.
Gestern Abend fand eine Veranstaltung Digitale Quellen: Wer schützt die (Presse-)Freiheit im Internet? von Reporter ohne Grenzen, dem Bundesverband Deutscher Zeitungsverleger und dem Deutschen Journalisten-Verband statt:
Der Quellenschutz ist ein ehernes Prinzip der freien Presse. Doch im digitalen Zeitalter reicht es nicht mehr aus, vertrauliche Papiere sicher zu verwahren und über die Identität von Informanten Stillschweigen zu wahren. Längst erschöpfen sich die Möglichkeiten übereifriger Ermittler oder Geheimdienste nicht mehr darin, Redaktionsräume zu durchsuchen oder Journalisten in Beugehaft zu nehmen. Denn Informationen über deren Quellen finden sie auch anderswo: auf Computerfestplatten und Handys oder in der Datenspur, die Rechercheure im Internet hinterlassen.
Bei der Vorbereitung dazu erfuhr der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar, dass der Quellenschutz nicht für Daten bei Online-Diensten gilt. Gegenüber Daniel Bouhs von der taz sagte Schaar:
Der Quellenschutz, wie er bei uns in der Strafprozessordnung vorgesehen ist, umfasst nur diejenigen Materialien, die sich in Gewahrsam des Journalisten oder der Redaktion befinden. Wenn die Daten ausgelagert sind auf die Cloud ins Internet, dann ist dieser Schutz nicht gegeben. Das heißt, die Daten dürften gegebenenfalls auch von Strafverfolgungsbehörden beschlagnahmt werden.
Zählt eigentlich irgendjemand mit, wie oft berichtet wird, dass „die Cloud“ unsicher ist und Daten dort keineswegs privat sind?
Für alle sensiblen Daten sollte gelten: Die gehören nicht auf Speicher, deren Hardware nicht unter der eigenen Kontrolle ist. Diese Erkenntnis wünscht sich Schaar auch von Journalisten. Zudem fordert er einen „gesetzlichen Schutz“ auf EU-Ebene.
Für alle sensiblen Daten sollte gelten: Die gehören nicht auf Speicher, deren Hardware nicht unter der eigenen Kontrolle ist.
Ich würde diese Aussage noch erweitern:
1. Für alle Daten – denn wer weiß schon, welche für wen „sensibel“ sind.
2. Auf jedem Speicher, auch wenn er auch physisch unter der eigenen Kontrolle steht, müssen Daten verschlüsselt gespeichert werden. Nur weil die Festplatte in den eigenen vier Wänden steht, heißt das noch lange nicht, daß nicht Dritte darauf Zugriff erhalten können (Einbruch, Hausdurchsuchung)
Wie sieht es mit einer private Cloud aus? Gilt dort dasselbe?
Die deutschen Babyboomer, die das Internet von Grund auf hassen, lassen offenbar nichts aus.Wer seine Daten sicherer haben will, sollte vielleicht ins zivilisierte Ausland ausweichen, wie zum Beispiel in die Schweiz:
„Schweizer Bundesgericht bestätigt Quellenschutz für anonyme Kommentare“
http://www.heise.de/newsticker/meldung/Schweizer-Bundesgericht-bestaetigt-Quellenschutz-fuer-anonyme-Kommentare-1134477.html
Auch in den USA ist man sicherer:
http://www.netzpiloten.de/usa-blogger-genieen-quellenschutz/
Interessant ist auch der erste Satz im zugehörigen taz-Artikel:
„Journalistische Recherchen sind in sogenannten Cloud-Lösungen wie Google Drive, Dropbox oder auch Apples iCloud nicht nur der Gefahr von Hackern ausgesetzt, sondern auch staatlichen Ermittlern – und das auch aus Deutschland. “
https://www.taz.de/Unsicherer-Informantenschutz/!115671/
Zum einen sind die aufgezählten Firmen alles US-Firmen. Wie immer, wenn Schaar sich Gedanken macht, wird natürlich Deutschland ausgeklammert, da wir schon seit den 1970er Jahren wissen, dass das Übel in USA beheimatet ist. Wie bei seinem grünen Parteigenossen in Kiel auch. Weiterhin wird zu den Schily-Paketen beharrlich geschwiegen. Trotz NSU-Prozess, trotz rechtswidrig eingesetztem Bundestrojaner. Ich glaube, das nennt man asymmetrischen Datenschutz :-)
Das Problem sind also nicht die ausländischen Server sondern die deutschen Ermittler, die häufig auf den Rechtsstaat scheißen, wie wir beim Bundestrojaner ja auch sehen, zu dem Schaar nachhaltig schweigt und Geheimschutz über die Fakten legt, wie wir hier lesen durften (VS NfD). Da sollte man schon präziser sein. Denn wenn deutsche Ermittler auf ausländische Server zugreifen wollen, dann könnten sie eventuell Schwierigkeiten mit Amtshilfe bekommen, wenn dort ein stärkerer Quellenschutz wirkt als im Arbeitsumfeld von Herr Schaar.
Auf Twitter schreibt Härting zu den Behauptungen von Schaar gerade:
„Daniel Bouhs @daniel_bouhs
Gelernt von @Peter_Schaar: Beschlagnahmeverbot gilt nicht für Cloud-Dienste von Apple, Google & Co. http://bit.ly/120HNDh #Journalismus
Prof. Niko Härting @nhaerting
@daniel_bouhs Ich teile die Einschätzung v @Peter_Schaar nicht. Keine eindeutige Rechtslage, keine Präjudizien, vllt irgendwann mal #BVerfG“
Vielleicht leigt Schaar mit seiner Rechtsauffassung so daneben wie sein grüner Parteifreund Weichert, dessen Rechtsauffassungen über Facebook in Schleswig-Holstein von Gerichten nicht geteilt wird.
Was ist mit Mail? Da liegen die Daten ja meistens auch nur bei einem Dienstleister rum. Was ist mit dem Datenträger im Bankschließfach? Dürfen sich da die demokratisch legitimierten Terrororganisation mit den TLAs auch nach Herzenslust bedienen?
Mein Tipp, alles verschlüsseln, egal ob privat, wichtig unwichtig oder was auch immer. Je größer das Rauschen umso besser. Dagegen hilft dann nur noch ein Verschlüsselungsverbot. Dafür müssten die Freunde von Stasi und Nazitum die Maske fallen lassen.
Nein! Was! Ah!
Ob eigene Festplatte oder Cloud, sensible Quellen sind zu verschlüsseln. Und ob mein TrueCrypt-Archiv nu in der Cloud liegt und da direkt abgegriffen wird oder bei der Durchsuchung is lax.
Das letzte Mal, dass ich als Journalist „sensible Dokumente“ analog zugespielt bekam, war 1995, als unser Fax-Gerät Interna eines Konzerns ausspukte. Header abgeschnitten, mit Kopierer auf anderes Format gebracht, dann gescannt und verschlüsselt. Heute kommt alles mögliche digital. Kopieren, Verschlüsseln und Verstecken ist 1. Journalistenpflicht. Der Umgang mit Truecrypt etc. gehört zur Grundausbildung. Was Schaar anbelangt, so steht IMHO noch aus, was passiert, wenn Ermittler auf verschlüsselte Daten eines Journalisten in der Cloud stoßen. Möglicherweise bekommen wir dann auch in Deutschland juristische Gutachten über einen Dekryptierbefehl, siehe http://heise.de/-1854652
Selbst wenn Gesetze zum journalistischen Quellenschutz auch für die Cloud gelten würden:
Sie gelten ja bereits sehr lange für Redaktionen und JournalistInnen und werden in der Praxis immer wieder missachtet (siehe zahlreiche Beispiele in der unten verlinkten Zusammenstellung).
Das hinterher übliche gerichtliche „die Durchsuchung der Redaktion war rechtswidrig“ und vielleicht laute aber nicht wirklich wirkende herbeigeschriebene „Ohrfeige für Polizei und Staatsanwaltschaft“ bringt dann in der Sache auch nichts mehr, wenn die damit eigentlich zu schützenden Quellen und Whistleblower bereits bekannt geworden und damit in den Brunnen gefallen sind.
Daher auch und erst recht bei Cloud-Diensten (wo Durchsuchungen noch einfacher als in Redaktionen heimlich möglich sind) nicht alleine auf vielleicht oder irgendwann mal geltenden rechtlichen Quellenschutz verlassen, sondern auch durch technischen Datenschutz weitmöglichst selbst drum kümmern: http://www.mandalka.name/datenschutz_fuer_journalisten
Wieso äusserst sich Schaar überhaupt dazu? Ist ja keine Frage des Datenschutzes, sondern des Strafrechts.
Auf den ersten Blick ist auch nicht klar, wieso Schaar richtig liegen sollte. In anderen Ländern jedenfalls gelten Hoster usw. als Hilfspersonen von Geheimnisträgern …