Wie sicher sind ihre Benutzerdaten?

(c) Udo Vetter, lawblog

Stapelweise Gerichtsbeschlüsse

...Übertragen auf Deutschland ist so ein Gerichtsbeschluss juristisch kein großes Ding – von der politischen Dimension und der Zahl möglicher Betroffener mal abgesehen. Auch bei uns werden tagtäglich stapelweise Gerichtsbeschlüsse erlassen und vollstreckt. Darin werden Provider und soziale Netzwerke zur Herausgabe aller Daten des Nutzers verpflichtet, die sich auf den Servern befinden. Hierzu gehören dann auch nicht nur die sogenannten Bestandsdaten (Benutzerkonto, Logindaten), sondern auch alle Inhalte, die sich in den Mailboxen und auf Profilseiten befinden. 

Praktisch alle großen Anbieter arbeiten mit den deutschen Behörden zusammen, auch wenn sie (offiziell) gar keinen Sitz in Deutschland oder der EU haben. Wer also denkt, seine Daten bei Google, Facebook oder Twitter seien schon irgendwie vor dem Zugriff deutscher Behörden geschützt, irrt. Ich habe noch nie erlebt, dass einer der Global Player im Web 2.0 einen deutschen Gerichtsbeschluss ignoriert oder sich ihm widersetzt hat. Wie auch – den Verantwortlichen des Anbieters drohen Ordnungsgelder und Zwangshaft.
Wohlgemerkt, wir reden über richterlich angeordnete Maßnahmen. Unter diesem Level gibt es aber noch die einfachen Anfragen der Polizei, welche Person hinter einem Account steht. Diese Anfragen sind zahlenmäßig viel häufiger. Denn die Polizei fragt mittlerweile schon fast routinemäßig und inflationär Bestandsdaten ab, wenn sie eine Anzeige mit Internetbezug auf den Tisch bekommt. 

Die meisten Internetanbieter haben für die Polizei sogar eigene Faxanschlüsse geschaltet. Um die Auskunft zu erhalten, genügt dann ein einfaches Musterschreiben des Polizeibeamten. Die Begründung tendiert regelmäßig gegen Null (“Ermittlungsverfahren wegen Warenbetrug”, “üble Nachrede/Beleidigung”). Aber die Auskunft wird, so jedenfalls meine Erfahrung, anstandslos erteilt. 

Wenn man die Provider kritisieren möchte, dann an diesem Punkt. Zwar stellt sich die Polizei regelmäßig auf den Standpunkt, sie dürfe Bestandsdaten abfragen. Damit hat sie natürlich recht. Fragen darf jeder. Allerdings muss der Provider, der die Rolle eines Zeugen einnimmt, nicht antworten. 

Wie jeder andere Zeuge kann er von seinem Recht Gebrauch machen, nicht mit der Polizei zu sprechen. Dann müsste zumindest der Staatsanwalt persönlich die Daten anfordern, was zumindest eine gewisse Kontrolle mit sich bringt. 

Ich habe in letzter Zeit Provider unterstützt, die einfach nicht mehr bereit waren, schwammige Anfragen der Polizei zu beantworten. Das ging teilweise so weit, dass ohne jede nachvollziehbare Begründung die Nutzerdaten von 350 Kunden gleichzeitig eingeholt werden sollten. Wenn man die Polizei abblockt und zumindest auf eine Anordnung durch den Staatsanwalt besteht, kam es in etwa der Hälfte der Fälle zu einem erstaunlichen Effekt. Es herrschte Schweigen im Walde. So wichtig können die Informationen also nicht gewesen sein… 

Im Fall WikiLeaks könnte man also auf Twitter schimpfen, wenn das Unternehmen eine einfache Anfrage der Behörden beantwortet hätte. Aber sich einem Gerichtsbeschluss zu widersetzen, das erscheint mir doch etwas viel verlangt.

Internet-Law zum gleichen Thema