Die Bundesregierung hat am 24. Oktober 2001 die Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation (Telekommunikationsüberwachungsverordnung, TKÜV) beschlossen. Seit dem 23. November 2001 liegt die Budapester Konvention des Europarates zur Datennetzkriminalität (Cybercrime-Konvention) vor, die nach der Ratifizierung durch fünf Unterzeichnerstaaten in Kraft treten wird.
Die dabei getroffenen oder noch zu erwartenden Regelungen enthalten erhöhte Anforderungen an die Unternehmen der IT-Branche, soweit sie Telekommunikationsdienstleistungen erbringen. Hinzu kommen zusätzliche Überwachungsbefugnisse der Sicherheitsbehörden, die seit den Terroranschlägen vom 11. September vergangenen Jahres diskutiert werden. Darunter sind auch Vorschläge, die den Kern des grundgesetzlich geschützten Fernmeldegeheimnisses in Frage stellen würden.
Technische Grundlage für die ÜberwachungDie TKÜV hat primär die Funktion, Überwachungsmaßnahmen technisch zu ermöglichen, die zuvor nach der Strafprozessordnung zu Zwecken der Strafverfolgung, nach dem G-10-Gesetz (Gesetz zur Neuregelung von Beschränkungen des Brief-, Post- und Fernmeldegeheimnisses; zum Artikel 10 des Grundgesetzes) für die Geheimdienste oder nach dem Außenwirtschaftsgesetz zur Kontrolle illegaler Waffenexporte angeordnet worden sind. Die Verordnung enthält damit selbst keinerlei materielle Überwachungsbefugnisse, sie schafft aber die technische Infrastruktur für eine lückenlose und routinemäßige TK-Überwachung.
Dem liegt der Anspruch der Strafverfolgungsbehörden und Geheimdienste zugrunde, es dürfe in den modernen Telekommunikationsnetzen und insbesondere im Internet keine überwachungsfreien Räume geben. Dabei gerät leicht in Vergessenheit, dass in der analogen Welt Telefongespräche zwar abgehört werden konnten, über ihre Begleitumstände (Verbindungsdaten, insbesondere: Wer hat wann wie lange mit wem telefoniert?) jedoch nach dem Ende der Verbindung keine personenbezogenen Spuren im Netz zurückblieben.
Deshalb ist das Argument unzutreffend, die neuen rechtlichen Regelungen hätten lediglich das Ziel, eine Beschränkung der Ermittlungsmöglichkeiten durch die digitale Technik zu verhindern. Tatsächlich erweitert die moderne Netz- und Vermittlungstechnik die Ermittlungsmöglichkeiten der Strafverfolgungsbehörden erheblich, weil im ISDN-Netz zwangsläufig personenbezogene Verbindungsdaten (Datenspuren) durch jede Form der Telekommunikation erzeugt werden. Diese Spuren sind auch nach dem Beenden der Verbindung noch vorhanden, wenn sie nicht gelöscht werden.
Natürlich muss es auch in digitalen Kommunikationsnetzen möglich sein, aufgrund einer richterlichen Anordnung den Inhalt der Telefonate verdächtiger Personen zu überwachen, wenn nur auf diese Weise bestimmte gravierende Straftaten aufgeklärt werden können. Immer häufiger interessieren sich die Ermittlungsbehörden aber auch oder sogar in erster Linie für die dabei anfallenden Verbindungsdaten, weil sich aus ihnen mögliche Rückschlüsse auf Kontakte oder Verhaltensweisen des Verdächtigen ergeben.
Der Inhalt der Telekommunikation, insbesondere von Telefongesprächen, unterliegt dem als Grundrecht geschützten Fernmelde- oder Telekommunikationsgeheimnis, das alle geschäftsmäßigen Telekommunikationsanbieter zu wahren haben. Dies gilt nach der Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofes für Menschenrechte gleichermaßen für die näheren Umstände der Telekommunikation. Diese Gleichbehandlung ist auch sinnvoll: Gerade bei der Internet-Kommunikation wird deutlich, dass der Unterschied zwischen Inhalts- und Verbindungsdaten an Bedeutung verliert. Die in eine Suchmaschine eingegebenen Suchbegriffe sind inhaltlich ebenso aufgeladen wie die Links beziehungsweise URLs, die als Treffer angezeigt werden. Von der Ebene der Telekommunikation aus betrachtet handelt es sich deshalb um Inhaltsdaten, die genauso schutzwürdig sind wie der Inhalt eines Telefonats.
Schnittstellen im UnternehmenDie TKÜV schreibt die Einrichtung von Überwachungsschnittstellen nur für die Anbieter von Telekommunikationsdienstleistungen für die Öffentlichkeit, also in erster Linie für die Betreiber von Fest- und Mobilfunknetzen, vor. Alle anderen Anwender von Telekommunikationsanlagen und von Verbindungsnetzen, Netzknoten und kleineren öffentlichen Telekommunikationsanlagen, an die nicht mehr als 1000 Teilnehmer angeschlossen sind (beispielsweise Nebenstellenanlagen), müssen zwar keine ständigen Schnittstellen einrichten, aber "eine vollständige Kopie der zu überwachenden Telekommunikation" bereitstellen, wenn dies im Einzelfall nach der Strafprozessordnung, dem G-10-Gesetz oder dem Außenwirtschaftsgesetz angeordnet worden ist. Damit soll der vom Telekommunikationsgesetz sehr weit gezogene Kreis der Verpflichteten aus Gründen der Verhältnismäßigkeit und aus technischen Überlegungen eingeschränkt werden.
Allerdings verpflichtet die TKÜV auch alle Internet-Provider, die einen E-Mail-Dienst anbieten, zur Einrichtung dauernder Überwachungsfenster. Das widerspricht der Grundentscheidung des Gesetzgebers, die Vermittlung des Zugangs zum Internet als anmelde- und zulassungsfreien Teledienst zu betrachten. Wer aber seiner Pflicht zur Vorhaltung von Überwachungsschnittstellen nicht nachkommt, der erhält nicht die notwendige Genehmigung zum Betrieb einer Telekommunikationsanlage. Die Verpflichtung der Internet-Provider macht es zudem technisch möglich, den gesamten Internet-Verkehr, also auch das bloße Surfen, zu überwachen, was nach deutschem materiellen Recht unzulässig ist.
Die Rechenleistung wächst rasantDie vorgeschriebene technische Infrastruktur der Überwachung schießt über das zulässige Maß der Beobachtung von Kommunikation weit hinaus. Der häufig vorgebrachte Einwand, die vorhandene Rechenkapazität zur Überwachung des gesamten Internet-Verkehrs sei allenfalls bei der National Security Agency (NSA) in den Vereinigten Staaten vorhanden, geht schon deshalb fehl, weil ein Großteil des weltweiten Internet-Verkehrs durch die USA geleitet wird. Im Übrigen entwickeln sich die technische Kapazität und Rechengeschwindigkeit der Prozessoren bekanntlich rasant weiter.
Die Datenschutzbeauftragten des Bundes und der Länder haben sich deshalb entschieden gegen den jetzt beschlossenen Entwurf der TKÜV gewandt, ohne dass ihre Kritik berücksichtigt worden wäre. Die Internet-Wirtschaft hat ihren Widerstand dagegen aufgegeben. Nach Auffassung der Datenschutzbeauftragten muss sichergestellt werden, dass auch künftig die zunehmende Nutzung von Telediensten zu Alltagsgeschäften (E-Commerce) generell überwachungsfrei bleibt. Zudem bestehen die Datenschutzbeauftragten auf einer kritischen Evaluation der immer weiter um sich greifenden TK-Überwachung und einer Bereinigung der gesetzlichen Überwachungstatbestände. Diese Evaluation sollte jetzt auch auf die praktische Umsetzung der TKÜV und die in den Unternehmen auftretenden technischen Probleme ausgedehnt werden.
Neben Regelungen auf nationaler Ebene sind auch international - nicht erst seit dem 11. September 2001 - verstärkte Bemühungen zu beobachten, die zwischenstaatliche Zusammenarbeit bei der Telekommunikationsüberwachung zu intensivieren. Dies ist zugleich eines der Hauptziele der Budapester Konvention des Europarats zur Bekämpfung der Datennetzkriminalität (Cybercrime Convention) vom 23. November 2001. Sie ist bereits von mehr als 30 Staaten, darunter auch außereuropäischen Ländern wie den USA, Kanada, Japan und Südafrika, unterzeichnet worden.
Globale Cyber-KriminalitätDiese Konvention verfolgt mehrere unterschiedliche Ziele, die in ihrem Titel nicht zum Ausdruck kommen: die Bekämpfung der Cyber-Kriminalität durch Harmonisierung der materiellen Straftatbestände (etwa Hacking, verteilte Überflutungsangriffe (DDoS) oder Einschleusen von Viren), die Bereitstellung von elektronischen Beweismitteln und Datenbeständen zur Verfolgung aller möglichen Kriminalitätsformen (auch konventionelle - offline begangene - Straftaten) und schließlich die internationale Rechtshilfe bei Cyber-Kriminalität.
Die Hauptkritik an der Cybercrime-Konvention richtet sich dagegen, dass Datenschutzgesichtspunkte - in auffälligem Gegensatz zur Europol-Konvention und zum Schengener Vertrag - trotz der langen Datenschutztradition des Europarates keinen Eingang in diesen ersten internationalen Vertrag zur Bekämpfung der Netzkriminalität gefunden haben. Der Text der Konvention ist vielmehr von einer bemerkenswerten Einseitigkeit zugunsten der Interessen der Strafverfolgungsbehörden gekennzeichnet, was an der Zusammensetzung des Ausschusses liegen mag, der ihn entworfen hat.
Die Konvention begnügt sich damit, die verfahrensmäßigen Voraussetzungen für eine zwischenstaatliche Zusammenarbeit anzugleichen, lässt aber die zumindest ebenso notwendige Harmonisierung der rechtsstaatlichen Schutzvorkehrungen für die Rechte auch unverdächtiger Dritter außer Acht. Zwar sollen die Vertragsstaaten allgemein einen angemessenen Schutz der Menschenrechte sicherstellen, sie werden aber nicht von der Pflicht zur grenzüberschreitenden Kooperation freigestellt, wenn der Empfängerstaat kein solches Schutzniveau vorsieht. Auch weitere außereuropäische Staaten, die keinerlei Datenschutz kennen, können der Konvention beitreten.
Die Cybercrime-Konvention schreibt, anders als die TKÜV, keine Überwachungsschnittstellen vor, enthält aber erstmals Vorschriften zum "fast freeze - quick thaw"-Verfahren, bei dem die Provider im ersuchten Staat verpflichtet werden können, auf Anforderung der Strafverfolger in einem anderen Staat vorhandene Verbindungsdaten vorläufig einzufrieren, bis ein Richter nach nationalem Recht ihre Offenlegung in einem Strafverfahren angeordnet hat.
Dieses Verfahren darf nur im Einzelfall und nicht etwa generell, sozusagen auf Vorrat, durchgeführt werden. Die Bundesregierung hat dieses Modell erstmals im Entwurf für ein Viertes Finanzmarktförderungsgesetz aufgegriffen, durch den auch das Wertpapierhandelsgesetz um eine entsprechende Vorschrift ergänzt werden soll. Eine solche würde die Betreiber von Nebenstellenanlagen zum Einfrieren von vorhandenen Verbindungsdaten verpflichten, wenn Anhaltspunkte für Insidergeschäfte vorliegen.
Inzwischen gehen die Strafverfolgungsbehörden, etwa in der "G-8 Working Group on Hightech Crime" und jüngst auf der ersten Plenarsitzung des "EU Cybercrime Forum" Ende November 2001 in Brüssel, noch einen Schritt weiter: Sie fordern die generelle Speicherung aller Verbindungsdaten für eine bestimmte Mindestfrist, unabhängig von Abrechnungsnotwendigkeiten zur Bekämpfung aller Kriminalitätsformen.
Mit dem Argument, im virtuellen Raum könne man keiner Verdächtigen habhaft werden, sollen pauschal alle realen Menschen, die den Cyberspace nutzen, unter Verdacht gestellt werden. Damit würde das Internet endgültig von einem weltweiten Kommunikationsnetz zu einem Fahndungsnetz und Reservoir zur Verdachtsfindung. Mit dem Telekommunikationsgeheimnis des deutschen Grundgesetzes wäre das nicht mehr zu vereinbaren.
Die Europäische Kommission hat mit Recht in ihrer Mitteilung vom vergangenen Januar für eine sicherere Informationsgesellschaft die Erhöhung der Netzsicherheit als entscheidende Bedingung der effektiven Bekämpfung der eigentlichen Computerkriminalität bezeichnet, bei der das Internet als Angriffsziel dient. Es ist ein gravierender Irrtum anzunehmen, das Vertrauen der Nutzer in die Sicherheit einer Infrastruktur würde erhöht, indem für permanente Überwachungsmöglichkeiten gesorgt und die Unsicherheit damit systemseitig eingebaut wird.
Vorratshaltung der DatenZugleich hat die Kommission ein grundsätzliches Recht auf pseudonymen Zugang und Nutzung von Netzangeboten anerkannt. Die Interessen der Strafverfolgung rechtfertigen es in einem Online-Medium ebensowenig wie in der Offline-Welt, jeden Menschen und jede seiner Bewegungen oder Äußerungen auf Vorrat zu registrieren und ihn einem Identifikationszwang zu unterwerfen. Nur im Einzelfall kann es ausnahmsweise gerechtfertigt sein, bei konkretem Verdacht und unter Einhaltung rechtsstaatlicher Verfahren (richterliche Anordnung) auf vorhandene Daten für Zwecke der Strafverfolgung zuzugreifen (eventuell auch ein Pseudonym aufzudecken), die zu Zwecken der Kommunikation erhoben worden sind. Auch gegen herkömmliche Kriminalitätsformen, bei denen das Internet als Werkzeug benutzt wird oder der Vorbereitung dient, hilft nur eine fallbezogene, nicht aber die lückenlose Überwachung des Netzverkehrs. (ajf)
*Dr. Alexander Dix ist Landesbeauftragter für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg.
LinksDas Angebot an Web-Seiten, die sich im deutschsprachigen Raum mit juristischen Themen beschäftigen, ist riesig. Eine kleine Auswahl soll die Suche erleichtern.
www.advo24.de
www.anwaltonline.com
www.brak.de
www.bsi.bund.de
www.datenschutz.de
www.digi-info.de/recht
www.gigarecht.de
www.jura.uni-sb.de
www.jura-lotse.de
www.jusline.de
www.mego.de/fachanwalt
www.metajur.de
www.metalaw.de
www.netlaw.de
www.netline-recht.de
www.publex.de
www.recht.de
www.recht-online.com
www.rechtonline.com
www.rechtsfinder.de
www.rechtslotse.de
www.rewi.hu-berlin.de/datenschutz/dsb/sh
www.udis.de
www.wdr.de/tv/recht