An NSA, BND, MAD und alle, denen Datenschutz fremd ist
Die Frage nach dem Datenschutz: Frau Merkel meint, dass sich alle auf deutschem Boden tätigen Geheimdienste auch an deutsches Recht halten müssen. Doch wie sieht es denn im deutschen Recht in Bezug auf den Schutz unserer personenbezogenen Daten im World Wide Web (WWW) überhaupt aus? Macht sich derjenige, der meine nicht an ihn gerichtete E-Mail abfischt, strafbar? Unter welchen Voraussetzungen dürfen Geheimdienste, Polizeibehörden oder die Staatsanwaltschaft sich überhaupt ohne meine Zustimmung Kenntnis vom Inhalt meiner E-Mail verschaffen?
Datenschutz im WWW?
Geht man mal der Frage nach dem Datenschutz an Hand der aktuellen Rechtslage in Deutschland näher auf den Grund, wird man feststellen, dass es mit dem Schutz der Privatsphäre im WWW nicht weit her ist.
Ein Brief, den ich schreibe, in ein Kuvert stecke und verschließe fällt unter das Briefgeheimnis gem. Artikel 10 des Grundgesetzes. Lesen darf demnach diesen Brief nur der Empfänger und diejenigen, denen es durch Gesetz (Gesetzesvorbehalt) erlaubt ist. Es muss also eine gesetzliche Grundlage geben, wenn Dritte meinen Brief lesen wollen. Ein solches Gesetz gibt es und es heißt „ Gesetz zur Beschränkung des Brief-, Post-und Fernmeldegeheimnisses“ (kurz G 10-Gesetz genannt). Dieses Gesetz regelt unter anderem, dass die Post- und Telekommunikationsunternehmen dem BND personenbezogene Daten zur Verfolgung bestimmter Straftaten (sog. Katalogstraftaten) zu übermitteln haben. Diese Daten können auch mit Zustimmung des Bundeskanzleramtes vom BND an ausländische Stellen weitergereicht werden (§§ 7,7a G 10-Gesetz). Für diesen „Datenaustausch“ existiert in Deutschland sogar ein parlamentarisches Kontrollgremium.
Für meine eingangs erwähnte E-Mail, die z.B. ins Ausland geht, kann der BND auf Antrag und mit Zustimmung des parlamentarischen Kontrollgremiums die „Telekommunikationsbeziehungen“ beschränken. Beschränkung heißt, dass der BND von Telekommunikationsbeziehungen Suchbegriffe verwenden darf, die zur Aufklärung von Sachverhalten über den in der Anordnung bezeichneten Gefahrenbereich bestimmt und geeignet sind. Es dürfen keine Suchbegriffe verwendet werden, die Identifizierungsmerkmale enthalten, die zu einer gezielten Erfassung bestimmter Telekommunikationsanschlüsse führen oder den Kernbereich der privaten Lebensgestaltung betreffen. Dies gilt nicht für Telekommunikationsanschlüsse im Ausland, sofern ausgeschlossen werden kann, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige sind, gezielt erfasst werden (§5 G 10-Gesetz). Mit anderen Worten, auch der BND darf im Ausland soviel im WWW schnüffeln wie er will, Hauptsache es sind davon keine Deutschen betroffen.
Fraglich ist, ob meine auf einem Server gespeicherte E-Mail überhaupt unter den Schutzbereich des Post- und Fernmeldegeheimnisses gem. Artikel 10 Grundgesetz (GG) fällt und wenigstens theoretisch Datenschutz denkbar wäre. Hierzu hat das Bundesverfassungsgericht in einer Entscheidung aus dem Jahre 2009 bereits Stellung bezogen (2 BvR 902/06) und kommt zu dem Ergebnis, dass sehr wohl auch die Beschlagnahme von E-Mails auf einem Server eines Providers ein Eingriff in das Fernmeldegeheimnis gem. Artikel 10 GG darstellt und ein solcher Eingriff einer gesetzlichen Grundlage bedarf und verhältnismäßig sein muss.
Grundsätzlich unterliegt das Mitlesen meiner E-Mail einem Richtervorbehalt. D.h., nur ein Richter darf auf Antrag der Staatsanwaltschaft durch einen Beschluss meine E-Mail beschlagnahmen lassen und sie damit den zuständigen Behörden zugänglich machen. Bisher regelte das § 100a und § 100b Strafprozeßordnung (StPO) ausschließlich für die Verfolgung schwerer und schwerster Verbrechen, wie Hochverrat oder Landesverrat. Seit dem 1. Juli 2013 ist jedoch eine wesentlich von der Öffentlichkeit völlig unbeachtet gebliebene Gesetzesänderung eingetreten. Danach können sich Ermittlungsbehörden auch ohne richterlichen Beschluss (Richtervorbehalt) meine Verbindungsdaten beschaffen. Nach dem neuen § 100j StPO haben die Telekommunikationsunternehmen den Ermittlungsbehörden „für die Erforschung des Sachverhaltes oder die Ermittlung des Aufenthaltsortes eines Beschuldigten“ Verbindungsdaten zur Verfügung zu stellen, insbesondere solche, die einen Zugriff auf Endgeräte und Speichereinrichtungen zulassen. Und das alles ohne über die Staatsanwaltschaft beim zuständigen Ermittlungsrichter einen Beschluss erwirken zu müssen, weil „Gefahr in Verzug“ vorliegt. Diese Daten hat das Telekommunikationsunternehmen den Ermittlungsbehörden nicht nur zur Verfolgung schwerer und schwerster Straftaten zu übermitteln, sondern zur Verfolgung jeglicher Straftaten, also auch Vergehen, und sogar zur Verfolgung von Ordnungswidrigkeiten (§ 113 Telekommunikationsgesetzt). Nach dieser neuen Regelung könnte sogar das Ordnungsamt zur Verfolgung eine Parkverstoßes Verbindungsdaten meines Handy’s vom Telekommunikationsanbieter anfordern. Und das ohne richterliche Kontrolle, weil die Staatsanwaltschaft oder die Polizei von einer „Gefahr in Verzug“ ausgeht. Die Verpflichtung der Ermittlungsbehörden in diesem Fall die richterliche Entscheidung nachholen zu müssen, ist hierbei nur ein schwacher Trost.
FAZIT:
Bevor wir naserümpfend auf die amerikanischen Verhältnisse zeigen, sollten wir erst einmal in unserem eigenen Land die Rechtslage hinsichtlich eines grundrechtskonformen Datenschutzes kritisch hinterfragen. Und wir sollten hier Ordnung schaffen, indem wir den Geheimdiensten immer wieder einbläuen, wo die Grenze ist: beim Datenschutz, Datenschutz, Datenschutz… !
Die (einmalige) Beschlagnahme beim Anbieter im Postfach gespeicherter E-Mails erfolgt nach der Rechtsprechung des BVerfG nach den normalen Beschlagnahmevorschriften der §§ 94, 98 StPO, also gerade nicht unter den hohen Anforderungen des § 100a StPO. Diese greifen nur bei (laufender) Überwachung der E-Mail-Kommunikation, also auf dem Übertragungsweg.
Und, vor allem: § 100j StPO regelt keine Auskunft über Verkehrsdaten, früher als „Verbindungsdaten“ bezeichnet, sondern über *Bestandsdaten*, also bspw. Name, Anschrift und Bankverbindung des Anschlussinhabers oder Nutzers einer E-Mail-Adresse. Dazu gehört auch die Benennung der Bestandsdaten, die zu einer zu einem bestimmten Zeitpunkt genutzten IP-Adresse gehören; das entspricht der Rechtsprechung und Lehre seit 2004/2005 und ist gleichfalls vom BVerfG bereits als verfassungsgemäß bestätigt. Ihre Empörung geht also weit neben der sache vorbei.
Das gilt insbesondere, weil diese Regelungen nicht etwa neu wären, sondern in insoweit inhaltlich unveränderter Form – auch im Hinblick auf die Anforderung von Passwörterbn pp.! – seit 2004, also bald 10 Jahre, bestehen und sich nur insoweit geändert haben, als ein Richtervorbehalt neu eingefügt worden ist.
Empörung in allen Ehren, aber sie sollte zumindest ein wenig mit den Fakten zu tun haben.