Das Bundesverfassungsgericht hat zur Vorratsdatenspeicherung gesprochen. Leider alles andere als positiv. Was ich befürchtet habe, ist eingetreten, wie schon bei der Onlinedurchsuchung oder der Kennzeichenerfassung sprach das höchste Gericht einen faulen Formelkompromiss. Allerdings ist dieser noch deutlich fauler als die bisherigen.

Auch wenn der AK Vorrat selbst dies als Sieg verkaufen will, ich sehe das deutlich anders und versuche darzulegen wieso.

Kurz gesprochen lautet die Entscheidung: Gespeichert wird weiterhin, einzig der Abruf bleibt auf schwere Straftaten beschränkt. Eine endgültige Entscheidung gab es noch nicht, diese wird erstmal auf die lange Bank geschoben, insofern ist natürlich jede Einschätzung nicht endgültig und ich widerrufe alles hier gesagte, sollte das BVerfG. in absehbarer Zeit weiteres entscheiden.

Das Kern des Problems: Das BVerfG. sieht einen schwerwiegenden Grundrechtseingriff erst beim Abrufen der Daten, insofern beschränkt es diese auf schwere Verbrechen. So interpretiert etwa ein ARD-Rechtsexperte:

»Dass die Verbindungsdaten bis auf weiteres sechs Monate lang gespeichert - allerdings nicht ausgewertet - werden. Es sei denn, der Bürger gerät in Verdacht, eine schwere Straftat begangen zu haben. Dann muss ein Richter anordnen, dass die Verbindungsdaten den Ermittlern zugänglich gemacht werden.«

Das ist nun aber, gelinge gesagt, völliger Blödsinn. Es macht nur dann Sinn, wenn man davon ausgeht, dass ein Mißbrauch der Daten prinzipiell auszuschließen ist. Angesichts der Häufigkeit, in der gehackte Foren, größere Kundendaten von Unternehmen etc. immer mal wieder auftauchen, kann das nur glauben, wer die Realität vollkommen ausblendet.

Genau aus diesem Grund spricht man bei sinnvollem Datenschutz vom Konzept der Datensparsamkeit: Daten, die nicht erhoben werden, können auch nicht mißbraucht werden. Wenn sensible Daten erhoben werden, werden sie genutzt, mit hoher Warscheinlichkeit auch außerhalb ihrer ursprünglichen Zweckbestimmung. Dass das BVerfG. den Grundsatz der Datensparsamkeit mit seiner Entscheidung offensichtlich nicht beachtet, das ist das traurige an der heutigen Entscheidung.

Für die »Datenschutzbewegung«, den AK Vorrat und andere, stellt sich hier natürlich eine nicht unkritische Strategiefrage. Bislang galt das BVerfG. immer als letzte Hoffnung für den Datenschutz (was ja in mehreren Fällen der Vergangenheit durchaus berechtigt war). Meiner Ansicht nach täte nach dieser Entscheidung eine kritischere Haltung dem höchsten Gericht gegenüber Not. Das dies nicht einfach ist, als gesellschaftlich zwar wachsende aber immer noch schwache Strömung, die die große Mehrheit beider Volksparteien gegen sich hat, versteht sich.

(Hier stand noch ein Satz mit Link zu dieser Meldung, wo ich aber zugegebenermaßen unsauber recherchiert habe: Die Meldung ist zwei Jahre alt und wurde längst dementiert.)

Update: Bei den Piraten sieht man das Urteil ähnlich kritisch, lesenswert.

Heute früh hat das Bundesverfassungsgericht geurteilt, das ganze so, dass jeder sich ein bißchen als Sieger fühlen darf. Grob lautet das Urteil, dass Onlinedurchsuchungen zwar prinzipiell zulässig sind, aber nur unter extrem eingeschränkten Bedingungen und mit Richtervorbehalt. Letzterer wird leider allzu oft als Allheilmittel gegen Mißbrauch gesehen, was sich dummerweise mit der Realität äußerst selten deckt.

Das Problem, was ich bei Diskussionen über die sogenannte »Onlinedurchsuchung« erlebe, ist, dass meine Hauptbedenken erst da anfangen, wo das technische Verständnis der meisten anderen (insbesondere auch der entscheidenden Politiker) längst aufgehört hat. Ich gebe mich heute dem Versuch hin, selbige Bedenken auszuformulieren, ohne alle Nicht-Techies abzuhängen.

Zunächst mal muss man ungefähr begrifflich fassen, was »Onlinedurchsuchung« sein soll. Im Regelfall meint man damit, dass in ein fremdes Computersystem eingedrungen werden soll und dort Daten geholt oder manipuliert werden (Detailunterscheidungen in Datenbeschlagnahmung, Quellen-TKÜ o.ä. unterlasse ich jetzt mal). Nun ist der vielfach herzitierte Vergleich mit der Hausdurchsuchung ein problematischer, weil Computer üblicherweise keine virtuelle »Tür« haben. In der Realwelt wird eine Tür eben eingetreten oder das Schließsystem anderweitig umgangen (ja, es gibt elegantere Wege, die kenn ich auch). Sowas ist jetzt erstmal bei einem Computersystem nicht zwangsweise möglich, weil es nichts gibt, was man im Zweifel mit roher Gewalt (Türe) überwinden kann.

Um dennoch in ein System einzudringen, macht man sich üblicherweise Sicherheitslücken in Systemen zu Nutze. Und hier kommen wir meiner Ansicht nach zum Kern des Problems: Nämlich der Umgang mit dem Wissen über Sicherheitslücken. Im Hacker-Slang unterscheidet man manchmal zwischen Whitehats (»gute« Hacker) und Blackhats (»böse« Hacker). Whitehats sind solche, die ihr erlangtes Wissen über Sicherheitslücken lediglich dazu nutzen, diese zu beheben, indem sie etwa den Hersteller des Systems/der Software informieren und die Lücke anschließend publizieren. Blackhats sind solche, die die Kenntnis über Sicherheitslücken nutzen, um in fremde Systeme einzudringen.

Nun haben wir den etwas ungewohnten Fall, dass der Staat als Blackhat agieren will, sprich Sicherheitslücken NICHT publiziert, weil er sie für Onlinedurchsuchungen nutzen möchte. An diesem Punkt wird auch klar, dass das Thema eben nicht nur für die von einer Durchsuchung Betroffenen relevant ist, sondern für praktisch jeden. Woher der Staat diese Informationen bekommt, wäre eine eigene spannende Frage.

Nun ergeben sich daraus einige interessante Folgefragen. Ab und an kommt es ja vor, dass ein Computervirus mal eben das halbe Wirtschaftsleben lahmlegt (vor nicht allzu langer Zeit wurde ein Großteil der Rechner der Deutschen Post befallen). Bei zukünftigen derartigen Fällen wird man, nicht zu Unrecht, die Frage stellen, ob ein solcher Vorfall möglicherweise hätte verhindert werden können, hätte der Staat sein Wissen über Sicherheitsprobleme mit dem Rest der Menschheit geteilt. Was das für eventuelle Schadensersatzansprüche bedeutet, damit mag sich ein ambitionierter Jurist vielleicht einmal beschäftigen.

Ein weiterer, möglicherweise durchaus nicht unspannender Aspekt, der sich auftut: Der Staat begibt sich hier auf ein Gebiet, auf dem gewisse Regeln nicht unbedingt so gelten wie andernorts. Um oben genanntes Beispiel einer Hausdurchsuchung heranzuziehen, dürfte es in aller Regel so sein, dass ein Staat eine Hausdurchsuchung durchsetzen kann, egal in welcher Form sich die Hausinsassen wehren, aus dem simplen Grund, dass der Staat ein übermächtiges Repertoire an Gewaltmitteln zur Verfügung hat (zumindest gilt derartiges für westeuropäische Industrieländer).
Nun begibt sich der Staat in Außeinandersetzungen, wo dieser Vorteil plötzlich schwindet. Was der Staat hier tut, darauf hat er kein Monopol. »Onlinedurchsuchung«, das kann der Spammer, der Terrorist oder der Feierabendhacker möglicherweise genau so gut.

Spontan erfuhr man gestern, dass die gesamte Prominenz der Berliner Politik (das komplette Bundeskabinett) sich in Karlsruhe im Verfassungsgericht aufhält. Angesichts der Mobilisierungsdauer (eMail der Form »kommt alle JETZT SOFORT«) waren wir immerhin doch zu viert.

Bilder inklusive denen vom Dienstag und Kurzvideo.

Update: nh24.de hat ein Video.