Angesichts behördlichem Ausspähungsbegehr und Vorratsdatenzwang überlegt mancher, seine Server ins Ausland zu verlegen. Entkommt er so der deutschen Justiz?
Was liegt näher, als vor staatlichem Überwachungsdrang, riskanten Abmahnungen oder drohender Haftung für dies und das in ferne Länder zu entfliehen? Nicht gleich durch einen Umzug, hier lebt es sich ja nicht schlecht, es sollte genügen, wenn der eigene Server andernorts haust. Doch wer seinen Server ins Ausland stellt, entgeht nicht zwingend der deutschen Gerichtsbarkeit.
Grundlegendes
Denn: Wer als Diensteanbieter unter das Telemediengesetz (TMG, [1]) fällt, muss damit rechnen, nach deutschem Recht behandelt und hier verklagt zu werden. Paragraf 3 TMG bestimmt dies ausdrücklich für Anbieter mit Firmen- oder Wohnsitz in Deutschland.
Wer keinen Sitz in Deutschland hat, landet über dem Umweg des Wahlgerichtsstands vor Gericht. Nämlich dann, wenn ein Geschädigter glaubhaft macht, dass ihm in Deutschland Schaden entstanden ist. Das ist etwa bei Rechteverwertern der Fall, deren raubkopierte Werke von Deutschland aus im Internet abrufbar sind. Die Bestimmungen hierzu finden sich im Einführungsgesetz zum Bürgerlichen Gesetzbuch (EGBGB, [2]).
Einen weiteren Gerichtsstand für unerlaubte Handlungen bieten die Vorschriften von Paragraf 32 der Zivilprozessordnung (ZPO, [3]), gegebenenfalls in Verbindung mit Artikel 5 der EuGVVO [4] für ausländische Serverbetreiber. Auch dann sind deutsche Gerichte zuständig.
Durchsuchungsvarianten
Während nach dem ersten Murren der Bevölkerung über die Online-Durchsuchung die Politiker eher noch unnachgiebiger argumentierten, führt ein Beschluss des Bundesverfassungsgerichts vom Februar 2008 zur Einsicht: Es soll keine unzulässige Beschränkung der Freiheitsrechte geben, die Durchsuchung soll nur in Verdachtsfällen schwerster Kriminalität auf Anordnung eines Gerichts erlaubt sein.
Jetzt, da das Verfassungsgericht die weitreichende Unzulässigkeit der Online-Durchsuchung festgestellt hat, ist der Ruf nach einer Rechtsgrundlage zu hören, am besten mit einem großzügigen Katalog an Straftaten, die eine solche Durchsuchung rechtfertigten. Um sich Begründungen zu ersparen, käme eine aufzählende Liste gerade recht. Der österreichische Verfassungsschutz, der Spyware schon auf dem PC eines Terrorverdächtigen installierte, argumentiert gar damit, dass es sich um keine Online-Durchsuchung gehandelt habe.
Fakt ist, dass Durchsuchungs- und Überwachungsprogramme verfügbar sind und zum Einsatz kommen und dass kosten- und aufwandsoptimierte Möglichkeiten, diese Programme auf fremden Rechnern zu installieren, ganz im Interesse der staatlichen Schnüffel-Spezialisten sind – und nicht nur der staatlichen.
Staatsanwalt genügt
Während in Österreich noch keine Rechtsgrundlage für den Einsatz eines Bundestrojaners existiert, ist dort der Online-Überwachung weitgehend freier Raum gegeben durch erweiterte Befugnisse der Polizei und Ermittlungsbehörden – weil diese inzwischen auch ohne richterlichen Beschluss Online-Ermittlungen durchführen dürfen.
Das österreichische System, dass Ermittlungsrichter – in richterlicher Unabhängigkeit – Ermittlungen gegen Tatverdächtige absegnen mussten beziehungsweise selbst federführend die Ermittlungen bestimmten, ist passé. Seit Kurzem ist dies Aufgabe der Staatsanwaltschaften, ähnlich wie seit Langem in Deutschland.
Demokratiebewusstsein
Dass freie, unabhängige, unversetzbare und weisungsfrei handelnde Richter – die Judikative – die Strafverfolgung der weisungsgebundenen Exekutive kontrollieren, ist Merkmal der Gewaltenteilung, wie sie seit der französischen Revolution zum Demokratiebewusstsein liberaler Gesellschaften gehört. Diese staatliche Selbstkontrolle fällt Kosten- und Effizienz-Gründen zum Opfer.
Interessant ist auch hier die Darstellung von Mitarbeitern des in Österreich zuständigen Bundesamts für Verfassungsschutz und Terrorismusbekämpfung (BVT) in einem Verfahren gegen einen Terrorismus-Verdächtigen. Eine richterlich angeordnete Innenraum-Video-Überwachung schien den Einsatzbeamten nicht möglich, weshalb sie einen Screenshot- und Keyboard-Scanner auf dem Computer des Verdächtigen installierten. Dass es sich dabei nicht um eine “Online-Durchsuchung”, sondern nur um eine “Online-Überwachung” handelte, sei, so der BVT-Mitarbeiter im Prozess, ein wesentlicher Unterschied.
Eine ressortübergreifende Expertengruppe berät in Österreichs Ministerien derzeit über Voraussetzung und Umsetzung einer Rechtsgrundlage für Online-Durchsuchungen. Tenor: Derartige Maßnahmen erwäge man nur bei “dringendem Verdacht” schwerer oder terroristischer Verbrechen, abhängig vom angedrohten Strafmaß und einer richterlichen Genehmigung. Nachträglich ist die Verständigung des Betroffenen samt Beschwerdemöglichkeit vorgesehen. Wohl auch die richterliche Kontrolle, denn das unterscheidet eine Anordnung von der Genehmigung: Erstere kann auch nachträglich erfolgen!
Die Online-Durchsuchung ist in Österreich programmiert und ihre Voraussetzungen dürften sich von denen in Deutschland kaum unterscheiden. Ebenso wenig wie sich strafrechtliche Normen und das allgemeine Haftungsrecht unterscheiden. Dafür sorgt schon die Rechtsangleichung innerhalb der EU, praktisch ergänzt durch wesentlich schnellere und leichtere Amtshilfe der einzelstaatlichen Behörden untereinander. Das gilt gerade auch für den Strafverfolgungsbereich.
Die Schweiz denkt nach
Das Gleiche gilt wohl auch für die Schweiz. Dort existiert ebenfalls noch keine Rechtsgrundlage für den Einsatz kriminalistischer Spyware, doch auch dort denkt man über “Kommissar Trojaner” bereits laut nach. Haftungs- wie Strafrecht entsprechen darüber hinaus schon wegen der geschichtlichen Parallelentwicklung nahezu dem deutschen oder österreichischen Recht.
Kontrolle via Patriot Act
Im Land der unbegrenzten Möglichkeiten kontrollieren spätestens seit Erlass des “Patriot Act” [5] staatliche Institutionen und Behörden noch wesentlich mehr als in Europa. Gesicherte Erkenntnisse über Einsatz oder auch nur Funktionsfähigkeit entsprechender Spyware gibt es ebenso wenig wie in Zentraleuropa. Klar ist jedoch, dass Homeland Security & Co. über wesentlich bessere Finanzpolster verfügen als hiesige Innenministerien. Deswegen können sich die US-Amerikaner auch schneller bessere Software leisten.
Weil so etwas wie Datenschutz in den USA nur rudimentär vorhanden ist und zwar kaum Zensur stattfindet, doch jeder wegen Nichtigkeiten mit millionenschweren Schadensersatzklagen rechnen muss, bieten die Staaten kaum einen alternativen Serverstandort. Ein auf einem Verschlüsselungs- oder Anonymisierungsdienst beschränkter Server ist denkbar, doch gerade bei denen ist davon auszugehen, dass mehr Ohren mithören, als man glaubt.
Anonym und verschlüsselt
Daten und Kommunikation zu verschlüsseln ist nicht verboten und nicht strafbar. Auch die Nutzung von Anonymisierungsdiensten fällt unter die grundgesetzlich geschützte allgemeine Handlungsfreiheit. Der Betrieb eines eigenen Anonymisierungs-Servers, etwa über Tor, ließe sich jedoch als Beihilfe zu Straftaten, deren Vorbereitung oder gar der Mitgliedschaft in einer terroristischen Vereinigung werten – wenn die Justiz davon ausgeht, dass es dem Betreiber gerade darauf ankommt, solche Straftaten durch den eigenen Server zu fördern oder der Admin das zumindest billigend in Kauf nimmt.
Kein vernünftiger Admin will, dass gemeingefährliche Täter seinen Server nutzen, doch gerade bei Anonymisierungsdiensten ist dies nicht auszuschließen. Juristen grenzen dann gerne strafbaren bedingten Vorsatz von strafloser bewusster Fahrlässigkeit ab. Angesichts der politischen Entwicklung darf sich der Admin darauf nicht verlassen. Zu groß ist das Risiko, als Mittäter zu gelten. Selbst wenn ein liberaler Richter letztlich freispricht, sind die Nachteile eines Ermittlungsverfahrens und einer Anklage existenzbedrohend.
Außerdem sind auch Anonymisierungsnetze nicht immer vertrauenswürdig. Der Schwede Dan Egerstad hatte im vergangenen Jahr eine Reihe von Passwörtern und Daten mit eigenen Tor-Servern ausgespäht, unter anderem von Botschaften und Konsulaten. Sein Server ist inzwischen vom Netz.
Die Frage ist: Schlagen jene, die nach totaler Überwachung rufen, nur über die Stränge oder versuchen sie bereits die freiheitlich demokratische Grundordnung zu beseitigen? Dem hätten die Verfassungsgeber immerhin wirksame Mittel entgegengesetzt. Oder haben sie am Ende Recht und die Freiheit des Einzelnen muss hinter der Sicherheit aller zurückstehen?
Abbildung 1: Der Einsatz von Anonymisierungs- und Vermummungstechniken birgt Gefahren. Dem Administrator, der Anonymisierungsdienste einsetzt, drohen staatliche Ermittlungen. (Bild: © Lovrenc-Gasparin, fotolia.com)
Hiergeblieben
Den Server ins Ausland verlagern nutzt wenig. In Europa sorgen vereinheitlichte Normen und erleichterte Amtshilfe für ein Null-Ergebnis an Freiheitsgewinn. Die USA sind auch kein idealer Standort: Zwar gilt das Recht auf “Free Speech” dort viel, doch die Befugnisse staatlicher Überwachungseinrichtungen reichen wesentlich weiter als bei uns. Dazu kommt ein Kosten- und Haftungsrisiko, das für Europäer wegen der teils völlig anderen Rechtslage ebenso wenig bekannt wie durchschaubar ist.
Letztlich ist auch jeder Rechner, auf den man nicht physikalischen Zugriff hat, ein leichteres Ziel für Überwachung oder Spionage, die dem Admin verborgen bleibt. Wer weiß schon, wer andernorts gerade das Gehäuse öffnet? Bleiben Anonymisierer: Wie bereits das Beispiel des österreichischen Terrorverdächtigen zeigt, konnten die Ermittler zwar seinen Datentransfer nachverfolgen, die Daten aber nicht entschlüsseln.
Aktive Gegenwehr?
Technisch derzeit zwar kaum möglich, weil Details von Überwachungssystemen wie dem Bundestrojaner noch nicht bekannt sind, stellt sich dennoch die Frage, ob sich der Bürger nicht straflos wehren darf. Neben der passiven Abwehr durch Verschlüsselung und Anonymisierer ist aktive Gegenwehr zumindest denkbar. Setzen die Behörden auf Standardsoftware, die sie – wie oft kolportiert – eingekauft haben, ist die Wahrscheinlichkeit hoch, dass Details über die Codebasis in der engeren Community auftauchen. Möglicherweise ließe sich eine Lücke ausnutzen, um Code einzuschleusen – sei es, um weiterem Ausspionieren wirksam entgegenzutreten, sei es, um das System zu kapern und für eigene Zwecke einzusetzen.
Der Clou: Weil das jeweilige Opfer den Schadcode ohne Wissen des Täters selbst auf sein System zieht, ist schon die Frage nach einer Strafbarkeit zweifelhaft. Und selbst wenn einige ganz Staatstreue dies doch bejahen, einen öffentlichen Prozess dürfte es aus Prestigegründen nicht geben. Denn was ein solcher Prozess zutage fördert, könnte für Überwachungsbefürworter peinlich sein. Im Prinzip besteht diese Gefahr auch bei Eigenentwicklungen einheimischer Kripobeamter oder Verfassungsschützer, auch wenn die Informationen in diesem Fall schwieriger zu erlangen wären. Der normale Linux-Admin dürfte aber kaum an solche Geheimnisse gelangen, weil suchmaschinenfreundliche Webauftritte nicht des Crackers liebstes Kind sind.
Spezialfall Auslandspost
Der Zwang zur Vorratsdatenspeicherung [6] ist ein weiterer potenzieller Grund, um in die ausländische Serverlandschaft zu schielen. Die Speicherpflicht umfasst die Verkehrsdaten der elektronischen Kommunikation. Neben Mobiltelefon-Verbindungen sind das vor allem Internetzugriffe über die Provider-Einwahl oder E-Mails. Bei Standorten in Deutschland lassen sich die ersten beiden Varianten nicht umgehen, ausländische E-Mail-Server unterliegen aber nicht den Bestimmungen des Gesetzes zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG [7].
Mit diesem Gesetz sind unter anderem im Telekommunikationsgesetz (TKG) oder in der Strafprozessordnung die gesetzlichen Voraussetzungen dafür geschaffen, die Telekommunikationsanbieter dazu zu verpflichten, alle Verkehrsdaten für einen Zeitraum von sechs Monaten zu speichern, damit sich Strafverfolger jederzeit aus diesem Datenpool bedienen können.
Die daraus folgenden Normen im TKG verpflichten Provider im Wirkungsbereich dieses Gesetzes dazu, Identifikationsdaten, Sender- und Empfängeradresse oder Zeitpunkt der Verbindung zu speichern, nicht aber die Kommunikationsinhalte selbst. Die Verpflichtung betrifft auch Privatpersonen, allerdings nur, wenn sie etwa einen öffentlichen WLAN-Zugang anbieten oder einen öffentlichen E-Mail-Server betreiben. Das Gesetz spricht hier von Anbietern, geschäftsmäßigen Anbietern oder Betreibern öffentlicher Dienste. Das bedeutet, der eigene Mailserver fällt, sofern privat benutzt, nicht unter das Gesetz.
Speicherfreier Mailserver
Das öffnet die Option, ausländische E-Mail-Anbieter zu nutzen und einen eigenen Mailserver im Ausland zu betreiben, ohne sich strafbar zu machen oder eine Ordnungswidrigkeit zu begehen. Es bedeutet außerdem, dass ein eigener Mailserver auch im Inland nicht den Speicherungsvorschriften unterliegt, wenn keine Dienste für Dritte angeboten werden, sondern lediglich eigener Mailverkehr fließt.
Auf diese Weise lässt sich, zumindest für den eigenen Versand, die Verkehrsdatenspeicherung umgehen, wenn nicht ein in Deutschland ansässiger Mailserver für die Weiterleitung zum Einsatz kommt. Dabei besteht zusätzlich die Möglichkeit, die E-Mail-Header frei umzuschreiben. Leider entfällt auf diese Weise die Absender-Verifizierung, was Spam-Verdacht hervorruft.
Zudem fällt der Empfänger oder dessen E-Mail-Provider, wenn er in Deutschland sitzt, trotzdem in den Wirkungsbereich der Pflicht zur Vorratsdatenspeicherung: So wird, egal ob aus dem Inland oder aus dem Ausland versandt, der Empfang protokolliert. Mögliche Ausnahme: Auch auf der Empfängerseite sitzt ein privater Mailserver und die Namensauflösung ist entsprechend eingerichtet.
Warnhinweis
Wer seinen E-Mail-Server ins Ausland verlagern möchte, sei gewarnt: In anderen Ländern wird kaum weniger spioniert oder gespeichert. Privacy International hat eine Weltkarte [8] veröffentlicht, in der die Länder nach “Schutzgehalt” der Privatsphäre kategorisiert sind. Hiernach sieht es in vielen Staaten ziemlich düster aus: Die ersten beiden Stufen der siebenstufigen Skala erreicht kein einziges Land.
Dabei sind Überwachungsmaßnahmen, die ohne ausdrückliche Ermächtigung laufend oder im Einzelfall erfolgen, gar nicht erfasst. Gerade in Industriestaaten ist derlei jedoch Gang und Gäbe. Indiskretionen zeigen regelmäßig, dass auch gemacht wird, was technisch machbar ist. Erst vor Kurzem sorgte der Bericht eines Insiders für Aufsehen, der eidesstattlich versicherte [9], dass das US-amerikanische FBI einen eigenen Server bei einem Mobilfunkprovider “untergestellt” hatte, um über eine 45 GBit/s-Anbindung anfallende Kommunikationsdaten zu überwachen – natürlich ohne Gerichtsbeschluss oder gar gesetzliche Ermächtigung. (uba)
|
Infos |
|---|
|
[1] TMG: [http://www.gesetze-im-internet.de/tmg/] [2] EGBGB: [http://www.gesetze-im-internet.de/bgbeg/index.html] [3] ZPO: [http://www.gesetze-im-internet.de/zpo/index.html] [4] EuGVVO: [http://www.internet4jurists.at/gesetze/eugvvo01.htm] [5] Patriot Act: [http://de.wikipedia.org/wiki/USA_PATRIOT_Act] [6] Wikipedia: [http://de.wikipedia.org/wiki/Vorratsdatenspeicherung] [7] BT-Drucksache: [http://dip.bundestag.de/btd/16/058/1605846.pdf] [8] Privacy International:[http://www.privacyinternational.org/article.shtml?cmd[347]=x-347-559597] [9] Erklärung Babak Pasdar, Bat Blue Corporation: [http://blog.wired.com/27bstroke6/files/Affidavit-BP-Final.pdf] |
|
Der Autor |
|---|
|
|
