taz.de hat ein neues Dossier aufgesetzt zum Thema Überwachung und Datenschutz. Gefällt mir gut: Interessante und aktuelle Artikel, die dieses hochaktuelle Thema umfassend behandeln.

Brigitte Zypries, die durchaus streitbare Bundesjustizministerin, fordert in einem Aufsatz in der FAZ Datenschutz als Grundrecht. Nachdem Zypries in der Regierung Schröder eher als Handlangerin von Medienindustrie und Patentlobbyisten aufgefallen ist, ist sie in der Großen Koalition eine der wenigen Sympathieträger, und zwar vor allem dadurch, dass sie das einzige Regierungsmitglied ist, das Wolfgang Schäubles Überwachungswahn Paroli zu bieten gewillt und befähigt ist.

„You have zero privacy anyway. Get over it!“ hat der vormalige Vorstandschef von Sun Microsystems, Scott McNealy, als Devise für das digitale Zeitalter ausgegeben. Ich meine: Natürlich kann das nicht unsere Antwort auf die neuen Herausforderungen sein. Wenn es um die Grundrechte seiner Bürger geht, ist es für einen Rechtsstaat keine Option, die Flinte ins Korn zu werfen. Was wir stattdessen brauchen, ist eine breite Debatte darüber, wie wir Privatheit im digitalen Zeitalter verfassungsrechtlich - und in der Folge einfachrechtlich - gewährleisten können.
Brigitte Zypries in der FAZ (online auf FAZ.net)

Datenschutz als Grundrecht ist bitter nötig. Der digitale Wandel und völlig neue Geschäftsmodelle einerseits, offenbar grenzenlose Begehrlichkeiten bei Behörden andererseits machen es notwendig, dass die Privatsphäre endlich Verfassungsrang erhält. Bislang muss das Recht auf Privatsphäre zum einen ständig durch juristische und staatsphilosophische Hilfskonstrukte legitimiert werden, zum anderen und bedingt durch die scheinbar nur konstruiert Legitimität fällt es Sicherheitsfanatikern und anderen Gegnern des Datenschutzes leicht, das Recht auf Privatheit und die persönliche Integrität zu unterwandern.

Daher wollen wir hoffen, dass Frau Zypriesens Vorschlag nicht nur Strohfeuer oder Wichtigtuerei ist. Das aber glaube ich nicht — denn dazu hat Datenschutz momentan keine genügend starke Lobby, bei der man sich einschleimen müsste, zum anderen wäre ausgerechnet die FAZ nicht die geeignetste Plattform, um Freunden des Datenschutzes zu begegnen. Dennoch weiß man, dass nicht alles, was Politiker aufs Tapet bringen auch mit Herzblut vorangetrieben wird. Somit ist es nun an den Verfechtern der Freiheitsrechte, die Diskussion aufzunehmen und andere Politiker wie auch Medien mit dem Thema Datenschutz und Privatsphäre zu konfrontieren.

“Überwacht die Überwacher” ist ein beliebtes Motto dieser Tage, in denen problembewusste Bürger nach Wegen suchen, dem allgegenwärtigen Überwachungswahn zu begegnen. Eine dieser Überwacher-Überwachungsaktionen ist die “Aktion Überwach!“, die Zugriffe von Dienststellen der Landes- und Bundesbehörden auf deutsche Webserver protokolliert und auswertet.

Das ist an sich eine gut gemeinte Aktion, an der ich auch durchaus teilnehmen würde. Nur leider ist sie technisch schlecht umgesetzt: Zur Protokollierung der Zugriffe auf externen Websites will die Aktion Überwach Zählpixel und JavaScript-Schnipsel eingebunden wissen — und diese sind als clientseitige Methoden für eine halbwegs ernsthafte “Überwachung” kaum zu gebrauchen.

Denn was macht der sicherheitsbewusste Administrator? Richtig: Keine Bilder von Drittservern laden lassen und JavaScript deaktivieren. Man kann also davon ausgehen, dass außer ein paar mittagspausesurfenden Kleinstadtbeamten kaum jemand von dieser Aktion behelligt wird (ok, die Statistiken sagen anderes; das spricht nicht gerade für die Administratoren der jeweiligen Behörde). Abgesehen davon versagen die o.g. Methoden völlig, wenn ein Crawler (von, sagen wir: dem BND) vollautomatisch, systematisch und im großen Stil Websites analysiert, denn diese Programme laden keine Bilder und führen auch kein JavaScript aus.

Auch in einem weiteren Punkt ist die Technologie der Aktion Überwach nicht durchdacht: Es werden die IP-Adressen und -Adressbereiche in einer JavaScript-Datei abgelegt. Das ist für die “Opfer” der Überwachungsmaßnahme doppelt schön. Zum einen können sie selbst sehen, welche Bereiche überwacht werden, und ggf. auf andere Bereiche ausweichen (falls sie, siehe oben, überhaupt das JavaScript ausführen). Zum anderen ändert es mit jeder Aktualisierung dieser IP-Listen die Ausgangsbedingungen für die Datenerhebung; und nach einem halben Jahr bzw. 10 Aktualisierungen des Code-Schnipsels sind die damit erhobenen Daten kaum noch zu gebrauchen. Im Klartext: Wenn auf verschiedenen Servern unterschiedliche IP-Listen verwendet werden, kann man später nicht sagen, ob Nullergebnisse daraus resultieren, dass die Software die IP-Adresse nicht kannte oder ob es keinen Zugriff mit dieser Adresse gegeben hat.

Fazit: Gut erdacht, schlecht gemacht — vor der Aktion Überwach brauchen Schlapphüte derzeit kaum Angst zu haben.

Effektivere Überwachung der Überwacher

Was also tun, damit die Aktion nicht ins Leere läuft? Die Lösung ist an sich einfach: Es muss eine serverseitige Protokollierung stattfinden. Das heißt, es muss nicht der Rechner des “Opfers” den Protokollvorgang anstoßen, sondern der Server des Aktion-Überwach-Partners. Dieser muss bei jedem Seitenaufruf die Daten an den Aktion-Überwach-Server übermitteln. Technisch ist das kaum schwieriger, in PHP kann das (vereinfacht) bspw. so aussehen:

$url = "http://www.uberwach.de/log.php?myurl=".
urlencode('http://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']).
"remoteip=".$_SERVER['REMOTE_IP'];
file_get_contents($url);

Natürlich hat eine serverseitige Implementierung ganz andere Probleme als die clientseitige: Schon im obigen Beispiel ist die Funktion file_get_contents() problematisch, denn es kann sein, dass der Server-Administrator oder -Hoster diese Funktion oder gleich den gesamten Zugriff auf externe Ressourcen gesperrt hat. Wenn das der Fall ist, dann wird der Webmaster die Lösung nicht einsetzen können. Zum Glück ist aber meines Wissens nur bei einem geringen Teil der Webserver bei deutschen Hostern der Zugriff nach außen komplett gesperrt; mit fsockopen() und ähnlichen Funktionen in anderen Programmiersprachen kann man eine serverseitige Lösung normalerweise realisieren.

Weiterhin ist diese Lösung aus datenschutzrechtlicher Sicht problematisch: Es werden Daten erhoben und an Dritte weitergegeben, was bedeutet, dass (a) geprüft werden muss, ob und inwieweit diese Datenweitergabe rechtmäßig ist und welche Datenschutzmaßnahmen zu treffen sind, und dass (b) der Besucher deutlich darauf hingewiesen werden muss. Andererseits benutzt die Aktion Überwach ein Zählpixel, falls der betroffene Rechner kein JavaScript ausführt, was bedeutet, das ohnehin bereits Daten wahllos auf einen Drittserver übermittelt werden. Insofern darf davon ausgegangen werden, dass auf dem Aktion-Überwach-Server bereits entsprechende Datenschutztechniken implementiert sind.

Um das Problem mit den sich ändernden IP-Adressen zu umgehen, müssen die IP-Adressen langfristig aufbewahrt werden und erst am Ende eines bestimmten Intervalls mit einer Liste abgeglichen werden. Das verschärft natürlich wiederum das Datenschutzproblem: Man müsste die IP-Adressen zumindest anonymisieren, beispielsweise indem sie nur als Hashwerte gespeichert werden (wobei allerdings eine Regenbogentabelle für IP-Adressen nicht besonders schwierig zu erstellen ist, d.h. es müssten weitere Datenschutzmaßnahmen getroffen werden).

Zusammenfassend lässt sich sagen, dass eine serverseitige Verarbeitung zwar leichte technische und schwerwiegende Datenschutzprobleme aufwirft, letztendlich aber die deutlich geeignetere Methode zu einer systematischen Überwachung von Behördenzugriffen ist. Denn üblicherweise sind Behördenrechner sicher konfiguriert, und insbesonderere sensible Behördenaktivitäten lassen sich mit den derzeitigen Methoden der Aktion Überwach ganz und gar nicht nachvollziehen. Abgesehen davon, es werden sich wirklich sensible Aktivitäten mit keiner quantitativen Methode erkennen bzw. nachvollziehen lassen.

Bleibt am Ende die Frage: Quo vadis, Aktion Überwach? Schäublische Schaumschlägerei und Pseudoüberwachung — oder eine anspruchsvollere Herangehensweise mit womöglich brauchbaren Ergebnissen?

Der irrwitzige Haftbefehl gegen Andrej Holm ist aufgehoben, ob das aber das Ende der quasi-faschistoiden Schikane seitens der deutschen Exekutive(!) bedeutet, ist mehr als fraglich.

Was ich im Zusammenhang mit dem heutigen BGH-Urteil besonders traurig finde, ist, dass die BGH-Richter nicht die Chance be- und ergriffen haben, sich mit dem allgegenwärtigen und häufig missbrauchten Begriff des Terrorismus auseinanderzusetzen.

Die Frage, was eigentlich als Terrorismus bzw. terroristische Handlung und terroristische Gruppierung zu gelten hat, ist eine der wichtigsten Fragen der westlichsten Gesellschaften, denn Politiker von ultrarechts bis ultralinks (wobei das schon fast wieder gleichbedeutend ist, aber das steht auf einem anderen Blatt) benutzen den Begriff als Kampfmittel und Totschlagargument. Wann immer es darum geht, unpopuläre Maßnahmen zu rechtfertigen, ist “Terrorismus” eine höchst willkommenes und praktisch immer funktionierendes Argument.

Warum haben die BGH-Richter nicht die Chance ergriffen und die Arbeit gemacht, die sie früher oder später sowieso machen müssen (wenn es nicht das BVerfG tut)? Man muss fast vermuten, dass die BGH-Richter zu faul oder zu feige sind, sich mit der Frage zu beschäftigen; zumindest liest sich die Pressemitteilung zum Urteil so, als sei man in Karlsruhe glücklich, dass man irgendwo ein billiges Paragräflein gefunden hat, um das ohnehin notwendige Aufheben des Haftbefehls zu rechtfertigen.

[…] Jedoch darf nach den Bestimmungen der Strafprozessordnung (§ 112 Abs. 1 Satz 1 StPO) ein Haftbefehl nur dann erlassen werden, wenn der Beschuldigten einer Straftat dringend verdächtig ist. Dies ist nur der Fall, wenn die große Wahrscheinlichkeit besteht, dass er der ihm vorgeworfenen Tat schuldig ist und deswegen verurteilt werden wird. Eine solche Wahrscheinlichkeit, dass er sich an einer terroristischen Vereinigung mitgliedschaftlich beteiligt hat, kann im Fall des Beschuldigten zur Zeit nicht bejaht werden; denn die in den bisherigen Ermittlungen aufgedeckten Indizien sprechen nicht hinreichend deutlich für eine mitgliedschaftliche Einbindung des Beschuldigten in die “militante gruppe”, sondern lassen sich ebenso gut in anderer Weise interpretieren.

Der Haftbefehl konnte schon aus diesem Grund keinen Bestand haben. Der 3. Strafsenat musste sich daher bei seiner Entscheidung nicht mit der Frage befassen, ob es sich bei der “militanten gruppe” nach den Maßstäben der einschlägigen Strafvorschrift (§ 129 a Abs. 2 Nr. 2 StGB) tatsächlich um eine terroristische Vereinigung handelt.

Aus der Pressemitteilung zum Urteil

Abgesehen davon ist die Aussage “die […] Indizien sprechen nicht hinreichend deutlich für eine mitgliedschaftliche Einbindung” eine Sauerei, denn wie mittlerweile jeder weiß, bestehen die “Indizien” der Ermittler aus Google-Anfragen, die der Wissenschaftler zwecks Recherche gestartet hat sowie einem geplanten Treffen, ebenfalls zu Forschungszwecken. Und das soll ausreichen, einen Wissenschaftler und seine Familie zu überwachen und zu schikanieren? Wo sind denn da all die rechtsstaatlichen Errungenschaften wie Unschuldsvermutung und Schutz der Menschenwürde?

Liebe BGH-Richter des 3. Strafsenats, Sie haben heute eine historische Chance verpasst, der deutschen Gesellschaft etwas von der Freiheit zurückzugeben, die in unserer Pseudoverfassung festgehalten ist und die wir in unserer Nationalhymne besingen. Hoffen wir, dass es nicht aus Faul- oder Feigheit geschah, sondern in der Absicht, Andrej Holm schnellstmöglich Recht widerfahren zu lassen. Ich persönlich hoffe außerdem, dass Monika Harms (ihr Name ist so passend, mehr sogar im Englischen) in Revision geht, denn dann gibt es noch einmal die Chance, sich mit dem Begriff des Terrorismus auseinanderzusetzen und seinem allgegen- und oft widerwärtigen Missbrauch Grenzen zu setzen.

Man kann Wolfgang Schäuble verstehen: Wenn man sich sehr in eine fixe Idee reingesteigert hat, kann man manchmal — trotz (oder gerade wegen?) massiven Widerstandes — nicht aufgeben. So ist es wohl auch bei Herrn Schäuble und der Onlinedurchsuchung.

Jeden Tag gibt es neue Verlautbarungen zur Onlinedurchsuchung: Erst sollte sie ein Trojaner sein, dann eine Remote Forensic Software. Erst gegen Terroristen, dann gegen Kinderpornografie und Mafia. Erst als Universalwerkzeug, nun als maßgeschneidertes Einzelstück. Und natürlich nur 10 Einsätze pro Jahr — klaro. Dumm nur, dass Herr Schäuble schon in einem Interview mit der taz (bezüglich der Zweckbindung der Mautdaten) gesagt hat: “Von mir hören Sie keine Versprechungen mehr, dass alles so bleibt, wie es ist.” Deshalb muss das mit den 10 mal pro Jahr auch Schäubles Dackel, Jörg Ziercke, ständig vorbringen.

Schäuble: Da sie in Ihrem Wahn ohnehin nicht auf die Stimmen der Vernunft hören, schlage ich Ihnen folgendes vor: Sie bekommen Ihren Onlineforensiktrojaner. Aber im Gegenzug darf auch jeder Bürger auf Ihren PCs (dienstlich und privat) schnüffeln. Mal sehen, wie viele E-Mails mit “Jobangeboten” der Sicherheitsindustrie wir finden. Gerne auch mehr Wohnraumüberwachung, wenn im Gegenzug jeder Bürger sich in Ihren Gemächern umtun darf. Mal sehen, wie viele schwarze Koffer wir noch finden, die Ihr ehrenwerter Freund Kohl noch bei Ihnen untergestellt hat.

Nein — im Ernst, Schäuble: Sie und Ihre CDU/CDU-Junta verdienen nicht den geringsten Funken Vertrauen. Sie sind ein Irrer, ein kleiner Robespierre. Zwar ist Ihnen Tugend ein Fremdwort, doch auch Ihr Metier ist der staatliche Terror.