Der Bürgerrechtler Patrick Breyer, Spitzenkandidat der Piratenpartei zur anstehenden Europawahl, hält die heute veröffentlichte Zurückweisung einer Verfassungsbeschwerde des E-Mail-Providers posteo durch das Bundesverfassungsgericht für richtig:
“Bei Verdacht einer schweren Straftat kann auf richterliche Anordnung auch ein ansonsten anonymer Internetnutzer anhand seiner IP-Adresse identifiziert werden. Anbieter müssen das im Einzelfall ermöglichen. Diese Entscheidung belegt, dass eine wirksame, gezielte Strafverfolgung auch ohne die völlig unverhältnismäßige allgemeine Vorratsdatenspeicherung möglich ist und das Gesetz zur Vorratsdatenspeicherung endlich weg muss!”
“Dass die deutsche Strafprozessordnung bis heute Metadaten weniger schützt als den Kommunikationsinhalt, widerspricht der Wahrung des Rechts auf Privatsphäre. Auch die Identifizierung von Internetnutzern mithilfe von Bestandsdatenauskünften, die keinerlei nennenswerten Hürden unterworfen sind, wird den aktuellen Erkenntnissen über die intime Aussagekraft unserer Internetnutzung nicht gerecht. Ebenso greift das allgemeine Verbot anonymer SIM-Karten unverhältnismäßig in unsere Kommunikationsfreiheit ein und sollte daher abeschafft werden. Nur Anonymität schützt vor Datenmissbrauch, Datenpannen und Datenklau. Whistleblower und Presseinformanten, Stalking-Opfer, Prominente oder Beratungssuchende sind oftmals auf den Schutz der Anonymität angewiesen. Als Bürgerrechtler kämpfe ich seit vielen Jahren dafür, dass rechtschaffenen Bürgern, die keiner Straftat verdächtig sind, der Schutz der Anonymität zugestanden wird.”
Der Jurist und digitale Freiheitskämpfer Breyer klagt zurzeit vor dem Bundesverfassungsgericht gegen das Gesetz zur Vorratsdatenspeicherung (Az. 1 BvR 2683/16) und zur Bestandsdatenauskunft (Az. 1 BvR 1873/13), vor dem Landgericht Berlin gegen die personenbezogene Aufzeichnung der Nutzung staatlicher Internetportale (Az. 57 S 87/08) und vor dem Europäischen Gerichtshof für Menschenrechte gegen das Verbot anonymer SIM-Handykarten (Az. 50001/12 EGMR).
Es gibt keine “ansonsten anonyme Internetnutzer”.
Entweder ist eine nichtanonymer Nutzer mit einer IP-Adresse unterwegs, die allenfalls Pseudonym ist.
Oder er ist ein tatsächlich anonymer Nutzer, der IP-Adressen Dritter nutzt.
Das “Bei Verdacht kann anhand seiner IP-Adresse identifiziert werden” ist in seiner Allgemeinheit dummes Geschwurbel:
Zum Einen gilt bis Verurteilung Unschuldsvermutung. Zum Zweiten ist es eine pure Theorie aus den Gefilden der Störerhaftung, dass Anschlussinhaber tatsächlich auch gleichzeitig Kommunizierender war.
Die “Logik” folgt einem “Die Tatwaffe gehört ihm, also ist er durch die Tatwaffe identifiziert worden.” ohne tatsächlich zu fragen, wer denn genau die Tatwaffe für die Straftat genutzt habe.
Wenn das Bundesverfassungsgericht gesagt hätte, bestimmte ausgewählten Kommunikationsdaten müssen immer zugreifbar sein um sie ggf. zu überwachen, so hätte dies das Ergebnis einer ausgewogenen Abwägung sein können.
Das BVerfG ist jedoch weit über das Ziel hinausgeschossen. In gewisser Weise ist es deutlich über die Vorratsdatenspeicherung hinaus gegangen. Während dort nur eine gewisse Auswahl an Daten gesammelt werden, verlangt das BVerfG, dass alle Daten bei Bedarf an die Überwachungsbehörden ausgeleitet werden können sollen.
Wer sein System nach den Regeln der Kunst, d.h. konform zu Regeln der IT-Sicherheit und des Datenschutzes baut und dabei Privacy by Design verwendet, muss nun jederzeit mit einem Ordnungsgeld rechnen. Denn das BVerfG hat die ggf. offenzulegenden Daten in keiner Weise eingeschränkt. Von daher könnte z.B. auch das konsequente Hashen von Passwörtern künftig mit einem Bußgeld belegt werden.
Die Regelung ist in dieser Breite europarechtswidrig. Strafverfolgungsbehörden können in Einzelfällen die Herausgabe von Daten verlangen. Strafverfolgungsvorschriften können ggf. sogar bereits vorab die Einrichtung einer im Einzelfall nutzbaren Ausleitvorrichtung vorschreiben. Sie können aber nicht vorschreiben, dass die technischen Vorgaben der DSGVO generell nicht zu beachten sind. Privacy by Design wurde aber generell für strafbar zu erklärt, da damit ggf. die Arbeit der Strafverfolgungsbehörden erschwert würde, wenn diese zufällig genau diese Information angefordert wird. Ein solches weitgehendes Verbot von Privacy-by-Design wäre aber europarechtswidrig.
Das Bundesverfassungsgericht hat hier eine Gelegenheit versäumt, die digitale Gesellschaft mitzubestimmen. Die Frage, wie weit es eine Pflicht gibt, Privacy by Design nicht einzusetzen, wenn der Staat ein Interesse an bestimmten Informationen haben könnte, muss ausführlich diskutiert werden. Hätte das BVerfG hier abgewogen, welche Daten da gefordert wurden und welche Motivation für Privacy-by-Design vorlag, hätte es Maßstäbe setzen können. So aber wird diese Frage vermutlich zunächst in anderen Ländern und dann vom EuGH geklärt werden. Das BVerfG zeichnete sich einst durch feinsinnige Abwägungen von Interessen aus. Damit wurde neues Recht gesetzt. Der eigentlich Sieg einer Partei vor dem Gericht dagegen war nicht selten ein Pyrrhussieg.
Mit diesem Urteil setzt sich der Weg des BVerfG in die Bedeutungslosigkeit nicht nur fort, sondern beschleunigt sich noch.