1 / 50

Datenschutz: Logfiles und polizeiliche Auskunftsersuche

Datenschutz: Logfiles und polizeiliche Auskunftsersuche. Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht Lehrbeauftragter Fachhochschule Hannover Fachanwalt für Arbeitsrecht. Was sind Log-Files?.

channer
Download Presentation

Datenschutz: Logfiles und polizeiliche Auskunftsersuche

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Datenschutz: Logfiles und polizeiliche Auskunftsersuche Rechtsanwalt Thomas Feil Fachanwalt für Informationstechnologierecht Lehrbeauftragter Fachhochschule Hannover Fachanwalt für Arbeitsrecht

  2. Was sind Log-Files? • Automatisch erstellte Protokolldaten, die Aktivitäten auf dem Internetauftritt aufzeichnen • Automatisch analysierbar • Vielseitig auswertbar • Statistische Auswertung • Zugriffszählung • Suchmaschinenoptimierung • Verbesserung des Auftritts • Fehleranalyse • Erstellung von Nutzerprofilen • usw.

  3. Beispiel für einen typischen Logfile-Eintrag (1) 176.844.121.09 - - [28/Jul/2004:00:09:46 +0200] "GET /mittagskarte.htm HTTP/1.0" 200 512 „http://www.google.de" "Mozilla/5.0 (X11; U; Linux i686; de-DE; rv:1.7.6) Zusätzlich können sogar einzelne Nutzer und deren Verhalten analysiert werden Beispiele für ausgewertete Log-Files

  4. Beispiel für einen typischen Logfile-Eintrag (2) • Wer? – 176.844.121.09 - anfordernde Host-Adresse • Wer genau? Benutzername falls notwendig ansonsten "-" • Passwort? falls Benutzername dann auch Passwort ansonsten auch "-" • Wann? - [28/Jul/2004:00:09:46 +0200] - Zeitstempel (Datum, Uhrzeit, Zeitverschiebung) • Was? - "GET /mittagskarte.htm HTTP/1.0" - Anforderung, eines HTML-Dokuments, Übertragungsprotokoll • Ok? - 200 - Statuscode (200=Erfolgreiche Anfrage) • Wieviel? - 512 - Menge der gesendeten Daten (Byte) • Woher? - "http://google.de/" - Von welcher Internetseite wird angefordert • Womit? - "Mozilla/5.0 (X11; U; Linux i686; de-DE; rv:1.7.6)" - Mit welchem Browser/Betriebssystem/Oberfläche

  5. Abschnitt 1Dürfen Log-Files gespeichert werden?

  6. Ausgangspunkt § 15 TMG § 15 Telemediengesetz (TMG) - Nutzungsdaten (1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere 1. Merkmale zur Identifikation des Nutzers2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

  7. Auslöser: Volkszählungsurteil • BVerfG-Urteil vom 15.12.1983 zum Volkszählungsgesetz • Recht auf informationelle Selbstbestimmung • Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 umfasst. • Seitdem hat Datenschutz den Rang eines verfassungsmäßig garantierten Grundrechts

  8. Was sind personenbezogene Daten? • Im TMG findet sich keine Definition für personenbezogene Daten • Legaldefinition im § 3 Abs.1 BDSG • „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ • Name • Adresse • Religionszugehörigkeit • Geschlecht • usw. • Access-Provider ordnet IP-Adresse einer Person zu. Daher könnte es sich um ein personenbezogenes Datum handeln, sofern die Person hinter der IP-Adresse als bestimmbar gilt

  9. Wann ist eine Person bestimmbar? (1) • Person ist bestimmbar, wenn die Daten verarbeitende Stelle mit Hilfe von verfügbaren Zusatzinformationen den Bezug zu einer Person herstellen kann. (h.M.) • Einschränkungen: • nur wenn kein unverhältnismäßig großer Aufwand betrieben werden muss (str.) • nur, wenn Informationen auf legalem Wege beschafft werden können (str.)

  10. Wann ist eine Person bestimmbar? (2) • Relativität der Bestimmbarkeit • Es kommt nur auf die Möglichkeiten der jeweiligen Stelle an • Ein Datum, das für eine Stelle bestimmbar ist, kann für eine zweite Stelle keinen Personenbezug aufweisen • Beispiel: Frau Schmidt aus H. ist unter dem Pseudonym „burger_queen123“ in einem Kochrezepte-Forum angemeldet. • Für den Forenbetreiber, dem der wirkliche Name und die Anschrift der Frau Schmidt durch die Anmeldung bekannt sind, stellt „burger_queen123“ ein personenbezogenes Datum dar, denn er kann durch einen Abgleich mit der Nutzerdatei eindeutig Frau Schmidt hinter den von ihr geposteten Beiträgen ausmachen. • Für normale Forennutzer, die nur das Pseudonym kennen, liegt damit keine Bestimmbarkeit vor. Sie können nicht feststellen, wer sich hinter „burger_queen123“ verbirgt.

  11. Ist eine IP-Adresse ein personenbezogenes Datum? (1) • Teilweise werden alle IP-Adresse grundsätzlich als personenbezogen gewertet: • z.B. AG Berlin-Mitte (27.3.2007) und LG Berlin (6.9.2007) • „Die Daten, die die Beklagte ... speicherte ..., stellen nach zutreffender Ansicht personenbezogene Daten im Sinne des § 15 Abs. 1 TMG dar. Nach zutreffender Ansicht sind IP-Adressen personenbezogene Daten ...Nach zutreffender Ansicht des Hessischen Datenschutzbeauftragten ... ist es durch die Zusammenführung der personenbezogenen Daten mit Hilfe Dritter bereits jetzt ohne großen Aufwand in den meisten Fällen möglich, Internetnutzer aufgrund ihrer IP-Adresse zu identifizieren...." • Andere werten nur statische IP-Adressen als personenbezogen, aber nicht dynamische IP-Adressen • Dahinter steht der Gedanke, dass ein Kunde sehr lange mit der gleichen Adresse „unterwegs“ ist. Damit besteht die Gefahr des virtuellen Stalkings

  12. Ist eine IP-Adresse ein personenbezogenes Datum? (2) • H.M.: Differenzierung nach allgemeinem Kriterium der relativen Bestimmbarkeit • z.B. AG München (30.09.2008) • „Anders als vom Amtsgericht Berlin entschieden, sind nach hiesiger Auffassung dynamische IP-Adresse keine personenbezogenen Daten ... weil ihnen die notwendige Bestimmbarkeit fehlt. … IP-Adressen werden durch den von der Beklagten verschiedenen sogenannten Access-Provider zeitlich begrenzt an Kunden vergeben, der Access-Provider kann über die Bestandsdaten auch später den entsprechenden Nutzer ermitteln. Diese Möglichkeit steht der Beklagten nicht ohne weiteres zu. Die Beklagte könnte den Nutzer nur mit Hilfe des Access-Provider ermitteln, der aber mangels Rechtsgrundlage den Betreiber eines Internetportals diese Angaben nicht zur Verfügung stellen darf.“ • Danach sind IP-Adressen personenbezogen für • Access-Provider, da den Nutzern die IP-Adresse zuweisen, • für Internetshops und sonstige Diensteanbieter mit Nutzernamen, Kennwort und weiteren Kundendaten (Name, Adresse, etc). • Kein Personenbezug für Website ohne zusätzliche Informationen

  13. Ist eine IP-Adresse ein personenbezogenes Datum? (3) • höhere Instanzen drücken sich vor klarer Leitentscheidung • Zuletzt: OLG Hamburg - Urteil v. 02.07.2008 – „Haftung von Rapidshare IV“ hat in der 73 Seiten langen Urteilsbegründung trotz Gelegenheit und offenkundlicher Relevanz keine Stellung beziehen wollen und sich auf die Feststellung beschränkt, dass die Frage umstritten ist. • „ (Der Senat sieht) keine Veranlassung, sich … mit den komplexen datenschutzrechtlichen Fragen im Zusammenhang mit dem TMG näher zu befassen. Der vorliegende Rechtsstreit bietet dem Senat insbesondere keine Veranlassung, sich mit der in der Rechtsprechung zum Teil kontrovers erörterten Frage zu befassen, ob bzw. unter welchen Voraussetzungen IP-Adressen von Nutzern gespeichert oder gar herausgegeben werden dürfen.“ • Bisher keine obergerichtliche Klärung der Frage erfolgt • Obwohl die besseren Argumente für die relative Bestimmbarkeit (AG München und Teile der Literatur) sprechen, sollte bis zu einer höherinstanzlichen Klärung der Frage davon ausgegangen werden, dass alle IP-Adressen einen Personenbezug aufweisen und die datenschutzrechtlichen Vorschriften Anwendung finden.

  14. Zurück zu § 15 Abs 1 TMG § 15 Abs. 1 TMG - Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (…) • Speicherung nur „soweit“ nötig für (=zeitliche und sachliche Schranke): • technische Zugangserrichtung („um die Inanspruchnahme zu ermöglichen“) • Technisch erforderlich sind IP-Adressen nur während der Datenübertragung zum Nutzer • Abrechnung („abzurechnen“) • Nur bei Pay-per-View-Inhalten. Nicht dagegen bei Flatrates, da die einzelnen Inhaltsaufrufe nicht separat berechnet werden • Speicherung der IP-Adressen in Log-Files unzulässig, wenn der Nutzer nicht explizit eingewilligt hat!

  15. Sind Log-Files also verboten? § 15 Abs. 3 TMG - Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht (…) hinzuweisen. • Log-Files daher erlaubt, wenn • Aufzeichnung für Werbung, Marktforschung oder Verbesserung des Dienstes • Erstellung in pseudonymisierter Form • Hinweis auf Widerspruchsrecht • Kein Widerspruch des Nutzers

  16. Was bedeutet Pseudonymisieren? • Definition in § 3 Abs. 6a BDSG • Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. • Ein Logfile darf daher ohne Einwilligung des Nutzers nicht enthalten: • Den Namen der Person, • Username, • sonstige eindeutige Identifikationsmerkmale eines bestimmten Nutzers. • Beispiel: Automatisches Ersetzen der IP-Adresse und des Nutzernamens durch einen Hash-Wert oder die Anwendung einer sonstigen, einseitig funktionierenden Zuordnungsregel.

  17. Hinweis auf das Widerspruchsrecht § 15 Abs. 3 TMG – „(…) sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht (…) hinzuweisen.“ • „Opt-Out“-Lösung • Aufzeichnung erlaubt, wenn der Nutzer nicht widerspricht • Informationspflicht des Diensteanbieters • Üblich ist Hinweis im Impressum oder unter separatem Punkt „Datenschutz“. • Zeitpunkt des Hinweises muss allerdings vor Beginn des Nutzungsvorgangs liegen. Ein Hinweis im Impressum reicht also nicht aus, weil die Nutzung und Aufzeichnung dann bereits begonnen hat.

  18. Drohen Sanktionen? • Wer rechtswidrig personenbezogene Daten aufzeichnet oder nicht richtig über das Widerspruchrecht informiert, handelt ordnungswidrig und kann zu einer Geldbuße von bis zu 50.000 Euro herangezogen werden. (§ 16 TMG), • Schadensersatzansprüche seitens der betroffenen Nutzer (§§ 7, 8 BDSG), • Unterlassungsansprüche seitens Betroffener (§ 15 IV TMG iVm. § 1004 BGB), • Abmahnungen von Konkurrenten (§ 4 Nr. 11 UWG).

  19. Abschnitt 2Vorratsdatenspeicherung

  20. Was bedeutet Vorratsdatenspeicherung? • Verpflichtung für Anbieter von Telekommunikationsdiensten zur Aufzeichnung bestimmter Daten von elektronischen Kommunikationsvorgängen • Eine Art Vorstufe zur Telekommunikationsüberwachung • Inhalte der Kommunikation werden nicht gespeichert • Durch gespeicherte Daten aber Analyse des Kommunikationsverhaltens eines jeden TK-Teilnehmers möglich • Verdachtsunabhängige Speicherpflicht

  21. Gesetzesgrundlage § 111 TKG - Daten für Auskunftsersuchen der Sicherheitsbehörden (1) Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt und dabei Rufnummern oder andere Anschlusskennungen vergibt oder Telekommunikationsanschlüsse für von anderen vergebene Rufnummern oder andere Anschlusskennungen bereitstellt, hat für die Auskunftsverfahren nach den §§ 112 und 113 1. die Rufnummern und anderen Anschlusskennungen, 2. den Namen und die Anschrift des Anschlussinhabers, 3. bei natürlichen Personen deren Geburtsdatum, 4. bei Festnetzanschlüssen auch die Anschrift des Anschlusses, 5. in Fällen, in denen neben einem Mobilfunkanschluss auch ein Mobilfunkendgerät überlassen wird, die Gerätenummer dieses Gerätes sowie 6. das Datum des Vertragsbeginns vor der Freischaltung zu erheben und unverzüglich zu speichern, auch soweit diese Daten für betriebliche Zwecke nicht erforderlich sind; das Datum des Vertragsendes ist bei Bekanntwerden ebenfalls zu speichern.

  22. Auskunftserteilung aus den Vorratsdaten § 112 TKG - Automatisiertes Auskunftsverfahren (1) Wer Telekommunikationsdienste für die Öffentlichkeit erbringt, hat die nach § 111 Abs. 1 Satz 1, 3 und 4 und Abs. 2 erhobenen Daten unverzüglich in Kundendateien zu speichern (…) Der Verpflichtete hat zu gewährleisten, dass 1. die Bundesnetzagentur für Auskunftsersuchen der in Absatz 2 genannten Stellen jederzeit Daten aus den Kundendateien automatisiert im Inland abrufen kann, 2. der Abruf von Daten unter Verwendung unvollständiger Abfragedaten oder die Suchemittels einer Ähnlichenfunktion erfolgen kann. (2) Auskünfte aus den Kundendateien nach Absatz 1 werden 1. den Gerichten und Strafverfolgungsbehörden, 2. den Polizeivollzugsbehörden (…), 3. dem Zollkriminalamt und den (…), 4. den Verfassungsschutzbehörden (…), 5. den Notrufabfragestellen (…), [… und so weiter …] jederzeit erteilt, soweit die Auskünfte zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich sind und die Ersuchen an die Bundesnetzagentur im automatisierten Verfahren vorgelegt werden.

  23. Wen betrifft die Vorratsdatenspeicherung? (1) • Betroffen sind Telekommunikationsdienste§ 3 Nr. 24 TKG - "Telekommunikationsdienste" in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen • Telekommunikation § 3 Nr. 22 TKG - "Telekommunikation" der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen • TK = Abgrenzung zu Telemediendiensten (Inhaltsdienste) • Rückschluss aus TMG: Telekommunikationsdienste sind Dienste, bei denen die Datenübertragung im Vordergrund steht. Überwiegend meint dabei mehr als 50%.

  24. Wen betrifft die Vorratsdatenspeicherung? (2) • Typische TK-Dienste („TK-Dienstleister“): • Telefondienstleister („Festnetz“, Handy-Provider) • Aber auch: „Access“-Provider i.S.d. § 2 Nr. 1, 2. Alt. TMG • Typische Inhaltsdienste („TMG-Dienstleister“): • Nachrichten-Website • Suchmaschinen • Kann jemand gleichzeitig TMG- und TK-Dienstleister sein? • Bietet ein Unternehmen als Komplettpaket einen Sprachtelefondienst- und Internet-Anschluss an, so ist der Vorgang des Transports des Sprachtelefondienstes und der Internet-Access Telekommunikationsdienst. • Umfasst das Paket etwa auch die Nutzung von Suchmaschinen auf der Internet-Eingangsseite des Dienstleisters, so handelt es sich hierbei um einen Telemediendienst.

  25. Wen betrifft die Vorratsdatenspeicherung? (3) • Access-Provider müssen speichern. • Telefon-Dienstleister müssen speichern. • Problemfall: Sind Großunternehmen als Arbeitgeber TK-Anbieter und unterliegen deshalb der Vorratsdatenspeicherung? • Normale Website-Betreiber sind von der Vorratsdatenspeicherung nicht betroffen.

  26. Wo liegt das (juristische) Problem? (1) • Grundrechtsverstoß ? • Fernmeldegeheimnis (Art. 10 I GG), • Informationelle Selbstbestimmung (Art. 2 I GG), • Meinungs-, Informations- und Rundfunkfreiheit (Art. 5 GG) und • Berufsfreiheit (Art. 12 I GG) und Gleichbehandlungsgebot(*) (Art. 3) [der TK-Anbieter]. (*) Betrifft die Tatsache, dass große Anbieter geringere Pro-Kunden-Einrichtungskosten haben als kleine Anbieter. • Unverhältnismäßigkeit des Grundrechtseingriffs ? • Der Nutzen einer Vorratsdatenspeicherung sei gegenüber ihren schädlichen Folgen unverhältnismäßig gering. • Eine verdachtsunabhängige Protokollierung des Telekommunikationsverhaltens der gesamten Bevölkerung sei exzessiv. Über 99 % der von einer Vorratsdatenspeicherung Betroffenen seien unverdächtig und hätten keinen Anlass zu einer Protokollierung ihrer Kommunikation gegeben. • Untersuchungen zufolge würden weniger als 0,001 % der gespeicherten Daten von den Behörden tatsächlich abgefragt und benötigt.

  27. Wo liegt das (juristische) Problem? (2) Häufig zitiertes Urteil des BVerfG (12.3.2003, Az. 1 BvR 330/96) Die schwerwiegenden Eingriffe in das Fernmeldegeheimnis sind nur verhältnismäßig im engeren Sinne, wenn die Gegenbelange entsprechend gewichtig sind. Das Gewicht des Strafverfolgungsinteresses ist insbesondere von der Schwere und der Bedeutung der aufzuklärenden Straftat abhängig (…). Insofern genügt es verfassungsrechtlichen Anforderungen nicht, dass die Erfassung der Verbindungsdaten allgemein der Strafverfolgung dient (…). Vorausgesetzt sind vielmehr eine Straftat von erheblicher Bedeutung, ein konkreter Tatverdacht und eine hinreichend sichere Tatsachenbasis für die Annahme, dass der durch die Anordnung Betroffene als Nachrichtenmittler tätig wird.

  28. Aktueller Stand • BVerfG hat am 11.3.2008 Anwendungsbereich der Vorratsdatenspeicherung per einstweiliger Anordnung eingeschränkt und die einstweilige Anordnung am 1.9.2008 verlängert. • Speicherpflicht besteht weiter, aber: • Verwendung der Daten durch Ermittlungsbehörden nur bei schweren Straftaten möglich und auch nur mit Genehmigung eines Ermittlungsrichters, • durch Tatsachen begründeter Verdacht nötig, • andere Ermittlungsmöglichkeiten müssen wesentlich erschwert oder aussichtslos. • Vgl. auch Auszug aus: BVerfG, Entscheidung 12.3.2003, Az. 1 BvR 330/96. • Wie aus einstweiliger Anordnung ersichtlich, ist sich BVerfG der Bedeutung der Entscheidung sehr wohl bewusst. • Ausgang ist dennoch ungewiss.

  29. Abschnitt 3Haftung und Strafbarkeit

  30. Haftung (1) § 10 Speicherung von InformationenDiensteanbieter sind für fremde Informationen, die sie für einen Nutzer speichern, nicht verantwortlich, sofern1. sie keine Kenntnis von der rechtswidrigen Handlung oder der Information haben und ihnen im Falle von Schadensersatzansprüchen auch keine Tatsachen oder Umstände bekannt sind, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird, oder2. sie unverzüglich tätig geworden sind, um die Information zu entfernen oder den Zugang zu ihr zu sperren, sobald sie diese Kenntnis erlangt haben. • Keine Haftung von Content-Providern, wenn diese keine Kenntnis von rechtswidrigen Inhalten Dritter haben • oder die Inhalte sofort nach Kenntnisnahme entfernt worden sind.

  31. Haftung (2) • Da grundsätzlich Betreiber einer Content-Website nicht für fremde Inhalte haftet und die IP-Adressen als personenbezogene Daten nicht ohne Einwilligung des Nutzers gespeichert werden dürfen, kann hier eine Haftungslücke auftreten: • Einerseits muss Betreiber bei Kenntnis den Inhalt nur löschen, um einem Schadensersatzanspruch zu entgehen • Andererseits sind die Nutzer, welche die rechtswidrigen Inhalte eingestellt haben, zwar grundsätzlich haftbar, aber mangels gespeicherter personenbezogener Daten nicht ermittelbar

  32. Haftung (3) • Wenn ein Dienst gerade objektiv darauf ausgerichtet ist, rechtswidrige Handlungen in großer Zahl zu fördern, ist der Betreiber der Content-Website nicht schutzwürdig und kann sich nicht auf die Haftungsprivilegierung berufen. Er haftet wie wenn er Kenntnis von den rechtswidrigen Inhalten hätte und diese nicht entfernt hat. • Beispiel: Angebot, anonym Daten hochzuladen, die von vielen Nutzern heruntergeladen werden können. Dies fördert die illegale Verbreitung urheberrechtlich geschützten Materials. • Rapidshare IV-Entscheidung (OLG Hamburg, Urteil vom 2.7.2008) • Haftung kann in solchen Fällen umgangen werden, indem • die IP-Adressen (mit Einwilligung der Nutzer) gespeichert werden und so die einzelnen Nutzer identifizierbar werden • der Dienst so umgestaltet wird, dass rechtswidrige Nutzung unattraktiv wird • Z.B. Einsatz neuer Filtertechnik zum Erkennen rechtswidriger Inhalte • Upload nur durch kennwortgeschützte Authentifizierungsmethode

  33. Nichtanzeige einer geplanter Straftat • Beispiel: In einem Diskussionsforum einer Selbsthilfegruppe beschreibt ein Nutzer detailliert, dass er plane, seinen Chef nächsten Freitag nach Feierabend auf dem Betriebsparkplatz zu überfahren.Betreiber B. glaubt den Ausführungen. Was muss er unternehmen? § 138 Nichtanzeige geplanter StraftatenWer von dem Vorhaben oder der Ausführung (...) eines Mordes (§ 211) oder Totschlags (§ 212) (…) zu einer Zeit, zu der die Ausführung oder der Erfolg noch abgewendet werden kann, glaubhaft erfährt und es unterläßt, der Behörde oder dem Bedrohten rechtzeitig Anzeige zu machen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. • Erforderlich ist • Rechtzeitige Anzeige an zuständige Behörde (z.B. Polizei oder Staatsanwaltschaft) • Tatumstände müssen mitgeteilt werden • Aber keine allgemeine Pflicht zur Ermittlungshilfe. • Log-Files, die zur Ergreifung behilflich wären, müssen nicht ungefragt herausgegeben werden.

  34. Abschnitt 4Darf die Polizei Log-Files herausverlangen?

  35. Herausgabe von Log-Files an die Polizei • § 14 Abs. 2 TMG Auf Anordnung der zuständigen Stellen darfder Diensteanbieter im Einzelfall Auskunft über Bestandsdaten(*) erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist. • (*) gem. § 15 Abs. 5 TMG auch über Nutzungsdaten • Nach allgemeiner Auffassung ermöglicht diese Vorschrift dem Betreiber die Herausgabe der Daten trotz sonst entgegenstehender datenschutzrechtlicher Grundsätze („darf“). Sie stellt aber keine Ermächtigungsgrundlage für die Behörden dar, Daten herauszuverlangen. • Die Ermächtigungsgrundlagen, um an die Log-Files zu kommen, befinden sich in den allgemeinen Vorschriften für die Strafverfolgung und Gefahrenabwehr.

  36. Abschnitt 4.1Strafverfolgung

  37. Herausgabe zum Zweck der Strafverfolgung (1) § 103 StPOBei anderen Personen [als dem Tatverdächtigen] sind Durchsuchungen nur zur Ergreifung des Beschuldigten oder zur Verfolgung von Spuren einer Straftat oder zur Beschlagnahme bestimmter Gegenstände und nur dann zulässig, wenn Tatsachen vorliegen, aus denen zu schließen ist, daß die gesuchte Person, Spur oder Sache sich in den zu durchsuchenden Räumen befindet. § 105 StPO(1) Durchsuchungen dürfen nur durch den Richter, bei Gefahr im Verzug auch durch die Staatsanwaltschaft und ihre Ermittlungspersonen angeordnet werden. (…) • Wegen Art. 13 Grundgesetz („Die Wohnung ist unverletzlich“) unterliegen Wohnungsdurchsuchungen grundsätzlich der richterlichen Anordnung („Richtervorbehalt“). Staatsanwaltschaft oder Polizei dürfen eine Wohnung daher ohne richterliche Anordnung nur bei Gefahr im Verzug durchsuchen. • Bei nicht tatverdächtigen Personen (wie einem typischen Websitebetreiber) darf eine Durchsuchung nur erfolgen, wenn es konkrete Anhaltspunkte gibt, dass sich die zu beschlagnahmende Sachen in der Wohnung befinden (z.B. Log-Files auf CD-ROM). • Die Vorschrift betrifft allerdings nur die physische Durchsuchung von Wohnungen, nicht jedoch die sogenannte Online-Durchsuchung, bei der heimlich ein Spionage-Programm auf den Rechner des Betroffenen geladen wird und dieser dadurch unbemerkt ausspioniert wird.

  38. Herausgabe zum Zweck der Strafverfolgung (2) § 94 StPO (1) Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, sind in Verwahrung zu nehmen oder in anderer Weise sicherzustellen.(2) Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme. • Beispiel: auf CD-ROM gesicherte Log-Files • Betrifft die Sicherstellung und Beschlagnahme von körperlichen Gegenständen. Diese können z.B. bei einer Personen-, Sach- oder Wohnungsdurchsuchung aufgefunden worden sein. Darunter fallen neben Speichermedien auch ganze PCs oder Serveranlagen.

  39. Herausgabe zum Zweck der Strafverfolgung (3) § 110 StPO(3) Die Durchsicht eines elektronischen Speichermediums bei dem von der Durchsuchung Betroffenen darf auch auf hiervon räumlich getrennte Speichermedien, soweit auf sie von dem Speichermedium aus zugegriffen werden kann, erstreckt werden, wenn andernfalls der Verlust der gesuchten Daten zu besorgen ist. Daten, die für die Untersuchung von Bedeutung sein können, dürfen gesichert werden (…) • Neu eingefügt aufgrund des Budapester „Übereinkommens über Computerkriminalität“ zwischen Staaten des Europarats • Wird im Rahmen einer Durchsuchung ein Speichermedium (Festplatte, CD, USB-Stick, Computer) aufgefunden, von welchem aus weitere Daten auf in Deutschland gelegenen Remote-Rechnern einsehbar sind, so kann die Polizei auch darauf zugreifen • Z.B. Log-Files von einem Server herunterladen • Auf Daten in einem fremden Hoheitsgebiet darf die Polizei nur zugreifen, sofern sie offen zugänglich sind oder wenn die freiwillige Zustimmung der Person eingeholt wird, die rechtmäßig befugt ist, die Daten weiterzugeben (Art. 32 des Übereinkommens) • Betrifft nicht die umstrittene „Online-Durchsuchung“, welche im Gegensatz zu § 110 StPO heimlich erfolgt.

  40. Herausgabe zum Zweck der Strafverfolgung (4) • Beispielsfall:In einem Diskussionsforum erzählt ein Nutzer über ein von ihm kürzlich begangenes Tötungsdelikt. • Die Polizei kann nun… • den Betreiber auffordern, die Log-Files herauszugeben • im Weigerungsfall die Wohnung des Betreibers durchsuchen • Datenträger beschlagnahmen und über den PC des Forenbetreibers auf andere Online-Speicherorte zugreifen und dort befindliche Daten sichern • Die Polizei ist aber nicht befugt, eine heimliche Online-Durchsuchung durchzuführen

  41. Abschnitt 4.2Gefahrenabwehr

  42. a Post von der Polizei Beispielsfall:In einem Blog kündigt ein Nutzer einen Amoklauf an. Was kann die Polizei unternehmen?

  43. Herausgabe zum Zweck der Gefahrenabwehr (1) • Neben der Verfolgung von Straftaten hat die Polizei die Aufgabe der Gefahrenabwehr. Gefahrenabwehr beinhaltet die Verhütung von Straftaten, umfasst also präventive Tätigkeiten. • Gefahrenabwehr ist Aufgabe der Bundesländer und daher anderen Regeln unterworfen, als die Strafverfolgung. • Insgesamt aber ähnliche Vorgehensweise.

  44. Herausgabe zum Zweck der Gefahrenabwehr (2) • Auskunftsanspruch bei Dritten • § 8 Abs. 1 iVm. § 12 Abs. 3 und § 31 Abs. 2 Nr. 1 NdsSOG • Auskunftspflicht in der Sache, wenn Polizei eine gegenwärtige Gefahr nicht abwehren kann • Sicherstellung von Sachen • Zur Abwehr eine gegenwärtigen Gefahr • Wohnungsdurchsuchung • Nur mit richterlicher Genehmigung oder bei Gefahr im Verzug • und Aussicht, eine Sache sicherzustellen • oder bei gegenwärtiger Gefahr für Leib und Leben oder Sachen von bedeutendem Wert

  45. Herausgabe zum Zweck der Gefahrenabwehr (3) • Bei Weigerung können Zwangsmittel angewandt werden, §§ 64 ff. NdsSOG • Ersatzvornahme • z.B. Wegnahme von Datenträgern • Zwangsgeld • z.B. täglich zu entrichtender Betrag von X Euro • Ersatzzwangshaft • Wenn Zwangsgeld nicht beigebracht wird • unmittelbarer Zwang • z.B. Türen aufbrechen oder • körperliche Gewalt gegen Personen (nicht Folter!)

  46. Zitierte Urteile (nach Datum) • BVerfG 15.12.1983, BVerfGE 65, 1-71 – Volkszählungsurteil • BVerfG 12.03.2003, 1 BvR 330/96, 1BvR 348/99 – Handyüberwachung • AG Berlin-Mitte 27.03.2007, Az. 5 C 314/06, IP-Adressen I • LG Berlin 06.09.2007, Az. 23 S 3/07 –IP-Adressen II • BVerfG 11.03.2008 & 01.09.2008, Az. 1 BvR 256/08, einstweilige Anordnung: Vorratsdatenspeicherung • OLG Hamburg 02.07.2008, Az. 5 U 73/07 – Haftung für Rapidshare IV

  47. Schlusshinweis Neue Wege zu Anwaltsdienstleistungen: www.shopanwalt.de Erster deutscher Onlineshop für Anwaltsdienstleistungen

  48. Haben Sie noch Fragen?

  49. Schlusshinweis Neue Wege zu Anwaltsdienstleistungen: www.shopanwalt.de Erster deutscher Onlineshop für Anwaltsdienstleistungen

  50. Rechtsanwalt Thomas FeilFachanwalt für InformationstechnologierechtFachanwalt für ArbeitsrechtRechtsanwalt Martin StabnoDipl. VerwaltungswirtRechtsanwältin Dr. Andrea TöllnerGeorgsplatz 9 · 30159 HannoverTel. 0511 / 473906-01 Fax 0511 / 473906-09kanzlei@recht-freundlich.de

More Related