Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Datenschutz: Opferschutz oder Täter*innenschutz
Geschrieben: 16.12.2020
Letzte Überarbeitung: 09.11.2022
Stichwörter: Verbrechensbekämpfung vs. Datenschutz
Das Problem
Vor ein paar Jahren hatte ich eine Diskussion mit einem Polizisten, als Botnet-Angriffe in hoher Frequenz auf den key.matiq-Server einprasselten. Diese waren zwar erfolglos, aber die Angriffe stammten aus Großbritannien, von einem vermutlich von einem Botnet gekaperten Server, und ich hatte angefragt, ob die Polizei nicht mal bei dem Besitzer anklopfen könnte, nachdem sie auf meine E-Mail nicht reagiert hatten. Damals war das Königreich noch Mitglied der EU.
Der Polizist war sehr kooperativ, hatte allerdings wenig Hoffnung auf Erfolg. Er könne schon die Kollegen in England informieren, doch erfahrungsgemäß würde die Sache im Sande verlaufen: "In dieser Hinsicht sind die noch ein Entwicklungsland."
Er interessierte sich für unsere Arbeit und ich erzählte von key.matiq und bald kam die Frage, ob key.matiq nicht von Kinderpornograph*innen missbraucht werden könnte. Ich sagte, dass wir es durch die beschränkte Größe der Boxen für diese Leute unattraktiv machen, dass man aber auch aufpassen müsse, dass für die Aufklärung von Verbrechen nicht der Datenschutz der normalen Bürger*innen nicht geopfert würde.
"Datenschutz ist oft Täterschutz", sagte mein Gegenüber spontan.
Am Schluss dieses Artikels werden Sie keine perfekte Lösung für dieses Problem finden aber immerhin einen pragmatischen Lösungsansatz.
Kumpanei von Firmen mit kriminellen Kund*innen
Ja es gibt diese Kumpanei. Wir haben es gesehen bei den Panama-Papers. Wir haben erfahren, dass Banken ihren Kund*innen im großen Stil geholfen haben, Steuern zu hinterziehen. Wir haben von EncroChat gelesen, der Crypto-Handys gezielt an organisierte Kriminelle lieferten.*
Und eine kürzliche Meldung über ein Urteil des BGH ließ mich ebenso aufhorchen, auch wenn es auf den ersten Blick gar nicht spektakulär erschien: YouTube bekam vom BGH das Recht zugeprochen, einer geschädigten Firma die Auskunft über einen Urheberrechts-Verletzer zu verweigern.**
Worum ging es beim BGH mit YouTube?
Jemand hatte bei YouTube die Filme "Scary Movie 5" und "Parker" in voller Länge hochgeladen, ein klarer Verstoß gegen das Urheberrecht. Der Rechteinhaber Constantin Film wollte, um gegen diese YouTuber vorgehen zu können, daher deren Nutzer*innendaten bekommen.
Das deutsche Urheberrecht gibt Geschädigten den Anspruch, "Namen und Anschrift" der Schädiger*innen herauszuverlangen. Doch gerade beim Namen und der Postanschrift geben aber viele YouTube-Nutzer*innen Fantasiedaten an. Constantin Film wollte daher die E-Mail-Adresse bekommen. Die wollte aber YouTube nicht herausgeben.
Das BGH hatte den EuGH kontaktiert und dort erfahren, dass in der EU-Richtlinie, auf die das UrhG zurückgeht, mit "Adresse" tatsächlich nur die postalische Anschrift gemeint ist. Deshalb gab es YouTube recht.
Wie ist das Urteil und das Verhalten von YouTube zu bewerten?
Das Urteil ist in Ordnung. Das Gericht hat auf die Einhaltung der Gesetze zu achten, nicht mehr und nicht weniger. Und das Gesetz gab den Auskunftsanspruch über die E-Mail-Adresse nicht her, es hat eine Lücke.
Aber wieso verweigert YouTube die Herausgabe der E-Mail-Adresse überhaupt? Die Nutzer haben eindeutig einen Rechtsbruch begangen und Dritte geschädigt und dafür den YouTube-Dienst missbraucht. Es ist überhaupt nicht erkennbar, was diese Tat rechtfertigen könnte.
Man kann über geistiges Eigentum an anderen Stellen streiten: Software-Patente sind umstritten, weil sie die Weiterentwicklung der Technologie behindern können und etwas schützen, auf das evtl. binnen kurzem jemand anders gekommen wäre. Patente auf gentechnisch veränderte Lebewesen sind kann man durchaus ablehnen.
Was aber soll es rechtfertigen, mit viel Aufwand gedrehte Filme öffentlich hochzuladen und damit die Urheber*innen um die Ernte ihrer Arbeit zu bringen?
Der Anwalt von Constantin Film äußerte also den Verdacht: Wenn Videos hochgeladen werden und Werbung in die Clips geschaltet wird, verdient YouTube bei der Werbung mit. Also schützt YouTube will seine Nutzer*innen nicht verschrecken. Und das sei wohl die Motivation, die E-Mail-Adresse nicht herauszugeben.
Das Motiv kann man nachvollziehen. Aber ist es OK, offensichtliche Kriminelle zu schützen?
Wie sollte ein Internet-Unternehmen mit solchen Fällen umgehen?
Es ist sicher in Ordnung, wenn sich YouTube vor die eigenen Kund*innen stellt, deren Rechte verteidigt und bei Anfragen Dritter zunächst eine Unschuldsvermutung bezüglich der Betroffenen hat.
Wenn aber die Sache so klar ist, wie in besagtem YouTube-Fall, wäre es richtig gewesen, die E-Mail-Adressen herauszugeben, es sei denn, der Datenschutz stünde dieser Herausgabe entgegen.
Hier wird es etwas heikel: Die E-Mail-Adresse ist ein personenbezogenes Datum und darf nur an Dritte weitergegeben werden, wenn dies nach einem in der DSGVO Art. 6 aufgeführten Grund erlaubt ist.
Ich vermute, dass dies der Absatz 1 Punkt 'f' hergibt: "die Verarbeitung [d. h. hier "die Weitergabe" – M. S.] ist zur Wahrung der berechtigten Interessen [...] eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grunfreiheiten, der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen [...]"
Nun, die YouTube-Nutzer*innen, die so dreist gegen das Urheberrecht verstoßen haben und auch noch offenbar falsche Namen und Anschriften angegeben haben, können IMHO kaum behaupten, dass die Geheimhaltung ihrer E-Mail-Adressen höher zu bewerten ist, als das berechtigte Interesse von Constantin Film die Täter*innen ausfindig zu machen.
Wenn YouTube beim zuständigen Landesamt für Datenschutzaufsicht angefragt hätte, und dieser zu der Ansicht gelangt wäre, die Herausgabe der E-Mail-Adressen sei (entgegen meiner eigenen Interpretation der DSGVO) in diesem Fall unzulässig, dann wäre das wohl so. Aber dann hätte dies YouTube sicher in dem Prozess angeführt und wir hätten das erfahren.
So aber lag wohl die Verantwortung bei YouTube. YouTube hätte legal die E-Mail-Adressen herausgeben können, war aber nicht dazu vom Gesetz her gewungen und ist daher wohl lieber eine Kumpanei mit Kriminellen eingegangen, als seinen Kund*innen zu sagen, dass Rechtsbrüche auch Konsequenzen haben können.
Es ist völlig klar, dass die Vorschrift, die Adresse herauszugeben, aus alten Zeiten übernommen wurde, als man Leute noch an ihrer Postanschrift identifizierte. Nachdem diese für den Internetverkehr im Gegensatz zur E-Mail-Adresse kaum noch eine Bedeutung hat (woran YouTube selbst seinen Anteil hat), wird der jetzige Fall nur den Anstoß geben, diese Gesetzeslücke zu schließen.
YouTube hat mit seinem Verhalten aber der Internetbranche einen Bärendienst erwiesen. Es macht es sich selbst und anderen Firmen damit schwerer, dann die Herausgabe von Daten zu verweigern, wenn solch ein Widerstand wirklich angebracht wäre.
Wie behandelt die matiq UG solche Fälle?
Wir weisen in den AGB für key.matiq darauf hin, dass ein Nutzer*in unseren Dienst nicht gegen Dritte missbrauchen darf.*** Wir würden so etwas sicherlich nicht dulden. key.matiq ist kein Service für Kriminelle.
Was aber als "kriminell" gilt, ist keinesweg beliebig. Wir werden natürlich die Rechte unserer Nutzer*innen verteidigen, solange dies vertretbar ist. Und wir orientieren uns dabei an den demokratischen Rechtsmaßstäben Deutschlands, Europas und der UN-Menschenrechtsdeklaration.
Soll heißen: Nichtdeutsche Benutzer*innen, die einen sicheren Ort für ihre digitalen Geheimnisse benötigen, weil Sie gegen undemokratische Verhältnisse in ihrem Land kämpfen werden diesen bei uns finden, auch dann wenn sie selbst in ihrem Land vielleicht als "kriminell" bezeichnet werden.
Warum positionieren wir uns so deutlich?
Gerade bei key.matiq ist Vertrauen wichtig. Ohne Vertrauen funktioniert der ganze Dienst nicht. Wie soll aber eine Kund*in Vertrauen in einen Dienst haben, der keine klare Ethik besitzt? Sollten wir die Schädigung Dritter durch eigene Kund*innen achselzuckend in Kauf nehmen, so wie es offenbar YouTube getan hat, so könnte man sich auch fragen, ob wir nicht, wenn es uns zum Vorteil gereichen würde, auch unsere Kund*innen achselzuckend verraten würden.
Deshalb haben wir hier eine klare und harte Linie. Unser Unternehmensleitbild beinhaltet sowohl, dass unsere Tätigkeit dem Gemeinwohl dienen sollte, als auch dass wir mit unseren Kund*innen fair umgehen.
Was heißt dies für die Ausgangsfrage (Opferschutz oder Täter*innenschutz)?
Zunächst einmal soll key.matiq der breiten Masse helfen, ihre digitale Identität zu schützen. Angesichts vielfältiger Hacker*innen-Angriffe ist dies im Wesentlichen ein Opferschutz.
Wir sehen die Daten der Kund*innen in aller Regel nicht. Die Kerngeheimnisse verschlüsseln wir so, dass wir selbst, ohne die Software zu verändern, keine Möglichkeit haben, an sie heranzukommen. Und gespeicherte Kerngeheimnisse (also nach dem Ende einer Sitzung) könnten wir auch nicht mehr entschlüsseln, egal was wir anstellen.
Die Größe der Boxen macht den Dienst für Kinderpornograph*innen unattraktiv. Der Dienst ist optimiert für normale Benutzer*innen, die viel weniger geheime Daten haben.
Die Kommunikation zwischen mehreren Box-Besitzer*innen ist zwar möglich, aber gegenüber Chats sehr langsam. Diese Form der Kommunikation ist für Terrorist*innen ebenfalls unattraktiv. Sie ist wiederum optimiert für normale Benutzer*innen, die hin und wieder ein Kennwort austauschen, oder einen digitalen Notfallkoffer hinterlegen.
Wir haben also vom Design her missbräuchliche Anwendungen stark eingeschränkt. Der Generalverdacht "Täter*innenschutz" ist also nicht zu rechtfertigen. Sollten dennoch Kriminelle den Dienst missbrauchen: Wenn wir es auf irgendeine Art erfahren, würden wir das aufzuklären versuchen (ohne dabei die selbst gesetzten Datenschutzmaßstäbe zu verletzen). Wenn es zweifelsfrei feststeht, würden wir dagegen vorgehen (wiederum nur im Einklang mit AGB und Datenschutzhinweisen). Wenn es Zweifel gibt, gilt aber "in dubio pro reo".
Also weder Kumpanei mit offensichtlichen Kriminellen, noch Opferung des Datenschutzes auf dem Altar der Aufklärung von Verbrechen. Ganz im Sinne der "Verhältnismäßigkeit", wie sie ja auch regelmäßig von deutschen Gerichten gefordert wird.
*) Siehe Wikipedia – EncroChat.
**) "YouTube muss E-Mail-Adressen nicht nennen", 10.12.2020, von Christoph Kehlbach, ARD-Rechtsredaktion (ursprünglicher Link offline, nun gelinkt zu einem Archiv)
***) "§ 6 Verhaltenpflichen der Kund*in" (AGB Version 3.1.0)