Article submitted 2011/01/01 (no new revision available)

Die Verwendung fiktiver Identitäten für strafprozessuale Ermittlungen in sozialen Netzwerken. Überlegungen zur Grundrechtsrelevanz und Zulässigkeit nach deutschem Recht

Stefan Drackert Stefan Drackert
Published in printed Issue 3/2011 pp 122 – 127

Abstract

The ongoing spread of social networking pages such as Facebook and Google+ recently sparked the interest of German security agencies. In a statement of 14 July 2011, the federal government acknowledged the relevance and conduct of criminal investigations on social networking pages. The government takes the view that the pseudonymous participation does in general not require a specific legal basis since there is no legitimate expectation of privacy on websites which do not require a verification of identity by registration. This view is partly shared in legal writing and refers to a relatively vague section in a recent judgment of the federal constitutional court. The article analyses that argument and reveals that it is too undifferentiated for a transfer to social networks and thus not in accordance with the constitutional requirements in Germany.

Einleitung

Soziale Netzwerke1 bieten Strafverfolgungsbehörden zahlreiche Ermittlungsansätze. Eine Äußerung der Bundesregierung vom 14.07.20112 bestätigt nun das in der Literatur bereits beschriebene3 Interesse der Behörden an eben diesen Informationen. Das Interesse dürfte vor allem auf die weite Verbreitung und Fülle der Inhalte zurückzuführen sein. So haben nach einer aktuellen Studie 76% der deutschen Internetnutzer ein Profil in einem Sozialen Netzwerk. Bei der Gruppe der – auch hinsichtlich der Kriminalitätsbelastung überrepräsentierten4 – unter 30-Jährigen sind es sogar 96%.5 Bei aktiven Nutzern läuft ein Großteil der alltäglichen Kommunikation über die Internetseiten Sozialer Netzwerke. Neben Textmitteilungen zwischen den Nutzern und kurzen Statusangaben mit unterschiedlichen Adressatenkreisen bestehen die Inhalte vor allem aus hochgeladenen Bildern und Videos, welche häufig mit Orts- und Zeitangaben sowie Links zu anderen Seiten verknüpft werden. Daneben finden Diskussionen in Online-Gruppen, Meinungsäußerungen über „Fanpages“ sowie Verabredungen zu Veranstaltungen statt. Der besondere Mehrwert und Reiz für die Nutzer besteht in der Möglichkeit die Inhalte jeweils zu kommentieren und mit anderen Inhalten zu verknüpfen. Hinzu kommt das Profil des Nutzers – eine Art „Online-Visitenkarte“, die neben der Kontaktliste auch Informationen zu Wohn- und Arbeitsstätte, Hobbys, religiösen und politischen Anschauungen enthalten kann.6 Eine Liste verfügbarer Informationen ließe sich beliebig verlängern und zeigt, dass die Sozialen Netzwerke das Potential haben das gesamte Leben eines Nutzers virtuell zu begleiten. Eben dies kann im Rahmen von Ermittlungen zur Identifikation Verdächtiger, zur Kontaktaufnahme mit potentiellen Zeugen und zur allgemeinen Aufklärung des Umfelds einer Zielperson genutzt werden.7 In der Antwort der Bundesregierung heißt es, dass das Bundeskriminalamt (BKA) mit Informationen aus Sozialen Netzwerken vorhandene Erkenntnisse „verdichtet“.8

Der Zugriff auf die relevanten Daten kann entweder vom Betreiber eingeräumt werden oder über ein fremdes oder ein eigens erstelltes Nutzerprofil der Behörde erfolgen. Da soziale Netzwerke bislang keinen Identitätsnachweis9 bei Anmeldung verlangen, lassen sich Profile mit fiktiven Identitäten erstellen und zur Informationserhebung verwenden. Die Registrierung eines eigenen Profils dürfte aufgrund der einfachen und schnellen Realisierung in der Praxis besonders nahe liegen. Ein weiterer Vorteil dieser Variante besteht in der Möglichkeit der aktiven Teilnahme an der Kommunikation. Im Folgenden soll untersucht werden, ob die Verwendung eines unter fiktiver Identität10 erstellten Profils zur anschließenden Kontaktaufnahme mit dem Nutzer eine nach deutschem Recht „grundrechtsneutrale“ Internetbeobachtung darstellt.11

Hierzu ist zunächst die Verfügbarkeit der Inhalte genauer zu beschreiben. Informationen in Sozialen Netzwerken sind in der Regel nur abgestuft öffentlich zugänglich. So wurde etwa bei Facebook standardmäßig12 folgendermaßen differenziert: 1. Informationen, die für alle, also auch über Suchmaschinen außerhalb der „Community“, zugänglich sind, 2. Informationen, die bloß den zur Kontaktliste hinzugefügten Personen („Freunde“) zugänglich sind und schließlich 3. Informationen, die den Kontakten der Kontakte zugänglich sind („Freunde von Freunden“). Zudem kann der Zugang auf bestimmte Nutzer/Gruppen beschränkt werden. Weitere Abstufungen betreffen die Suchmöglichkeiten und biometrisch gewonnene Vorschläge für die Markierung abgebildeter Personen auf Bildern.13 Das Soziale Netzwerk von Google (Google+) differenziert die Zugänglichkeit noch stärker. Dort müssen die Kontakte von den Nutzern in selbst erstellte „Circles“ eingeteilt werden (bspw. Arbeitskollegen/Familie), um so deren Inhalte zu verfolgen und ihnen eigene Inhalte abgestuft zugänglich zu machen.14 Für Ermittlungen dürften gerade die Inhalte interessant sein, für die eine Zugänglichmachung durch den Nutzer erforderlich ist. Um an diese Informationen zu gelangen, müssen die Behörden jedoch ein Nutzerprofil anmelden und die Bestätigung über eine „Kontaktanfrage“ bzw. eine Zustimmung zum „Teilen“ bestimmter Inhalte einholen. Diese Abstufung, die teilweise dem Geschäftsmodell und teilweise den Anforderungen des Datenschutzes geschuldet ist, wird in der Literatur bisher nicht angemessen berücksichtigt. Dies dürfte auch an einer pauschalen Übertragung der für diesen Fall nur eingeschränkt aussagekräftigen Rechtsprechung des Bundesverfassungsgerichts (BVerfG) liegen.

Die Internetaufklärung im Urteil des BVerfG zur Online-Durchsuchung

Die Entscheidung des BVerfG zur Online-Durchsuchung15 wird sowohl in der Antwort der Bundesregierung16 als auch in den ersten Literaturstimmen17 für eine relativ weitgehende Zulässigkeit der in Frage stehenden Ermittlungsmethoden herangezogen. Der mit der Verfassungsbeschwerde erfolgreich angegriffene § 5 Abs. 2 Nr. 11 des nordrhein-westfälischen Verfassungsschutzgesetzes enthielt neben der Befugnis zum Einsatz sog. trojanischer Viren (Online-Durchsuchung) auch die Befugnis zum „heimlichen Beobachten und sonstigen Aufklären des Internet, insbesondere zur verdeckten Teilnahme an seinen Kommunikationseinrichtungen“18 – also Ermittlungsmaßnahmen auf dem „technisch vorgesehenen Weg“.19

Das BVerfG prüft diese zunächst am Maßstab des Telekommunikationsgeheimnisses, Art. 10 Abs. 1 GG. Dessen Schutzbereich umfasst jedoch nicht das personengebundene Vertrauen in den Kommunikationspartner, sondern nur die Überwachung der laufenden Fernkommunikation „von außen“ – also ohne „Autorisierung“.20 Eine Autorisierung liegt vor, wenn der Inhalt für jeden zugänglich ist, oder wenn ein Kommunikationsteilnehmer willentlich den Zugang zu einem nicht öffentlichen Kommunikationsvorgang gewährt. Art. 10 Abs. 1 GG schützt damit die Fernkommunikation vor dem Staat, nicht jedoch vor ungewollter Fernkommunikation mit dem Staat.21 Diese Vorgaben lassen sich auf Täuschungen durch Verwendung einer fiktiven Identität in Sozialen Netzwerken übertragen: Sie greifen nicht in Art. 10 Abs. 1 GG ein, weil sie nicht das Risiko gerade der telekommunikativen Übermittlung betreffen.

Das BVerfG setzt die Prüfung anhand des Allgemeinen Persönlichkeitsrechts, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG fort. Dessen in der Entscheidung entwickelte neue Verbürgung, das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht), soll jedoch nicht einschlägig sein. Die Internetaufklärung erfasse lediglich Daten, für die der Betroffene selbst sein System technisch geöffnet habe. Das Vertrauen darauf, dass solche Informationen nicht erhoben werden, sei nicht schutzwürdig.22

Unklar ist, ob das Gericht damit Zugriffe auf dem technisch vorgesehenen Weg vom IT-Grundrecht generell ausnehmen will,23 oder ob der Schutzbereich deshalb nicht eröffnet sein soll, weil der Nutzer die Inhalte im Internet vorhält. Letzteres würde die „technische Öffnung“ als Einwilligung bzw. Grundrechtsverzicht werten. Beide Schutzbereichsausnahmen lassen sich jedoch auf zugangsbeschränkte Inhalte Sozialer Netzwerke nicht übertragen. Würde das IT-Grundrecht den Zugriff auf dem technisch vorgesehenen Weg generell nicht umfassen, so entstünden zahlreiche Abgrenzungsprobleme. Es stellte sich dann bspw. die Frage, ob schon das Vorhandensein einer Benutzeroberfläche, ggf. mit speziellen Administratorenfunktionalitäten ein Zugriff auf technisch vorgesehenem Weg ist. Aktuelle Entwicklungen wie das „Cloud Computing“ könnten so schutzlos gestellt werden.24 Allein die Nutzung eines Sozialen Netzwerks kann auch nicht als Grundrechtsverzicht verstanden werden, da durch Beschränkung der Zugänglichkeit gerade der gegenteilige Wille deutlich wird. Dass die Privatsphäre-Einstellungen von Sozialen Netzwerken häufig zu weitgehende Standardeinstellungen25 vorsehen und auch im Übrigen aus verschiedenen Gründen nicht mit den Anforderungen des Datenschutzes im Einklang stehen26, kann nicht zulasten der unbefangenen Nutzer gehen. Die im Urteil genannten Schutzbereichsausnahmen für allgemein zugängliche Quellen sind somit nicht auf Inhalte in „privaten“ Bereichen Sozialer Netzwerke übertragbar. Fraglich ist jedoch, ob die Voraussetzungen des IT-Grundrechts im Übrigen gegeben sind und ob eine täuschungsbedingte Autorisation den Schutz entfallen lässt.

1. Eignung des IT-Grundrechts für die Gefährdungslage „Soziales Netzwerk“

Das IT-Grundrecht wurde zum Schutz vor technischer Infiltration durch trojanische Viren entwickelt. In diesen Fällen sieht das Gericht eine Schutzlücke, im Bereich zwischen Art. 10 Abs. 1 GG und dem Grundrecht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. Die Schutzlücke folge daraus, dass sich Art. 10 Abs. 1 GG einerseits nicht auf Inhalte und Umstände außerhalb der laufenden Telekommunikation erstrecke27 und andererseits der „Gesamtzugriff“ auf die zum Teil zwangsläufig bei der Systemnutzung anfallenden Daten einen „äußerst großen und aussagekräftigen Datenbestand“ ohne Notwendigkeit weiterer einzelner Erhebungen ermögliche.28 Die mit letzterem angesprochene Gefährdungslage der Enthüllung wesentlicher Teile der Persönlichkeit „auf einen Schlag“29 liegt auch bei Sozialen Netzwerken vor. Wie oben beschrieben, erlaubt der dort verfügbare Datenbestand umfangreiche Rückschlüsse auf Lebensgewohnheiten des Anwenders.30 Das ergibt sich insbesondere daraus, dass viele der eingestellten Inhalte mit Zeit- und Ortsangaben versehen sind und fortlaufend anfallen. Hinzu kommen die Sichtbarkeit des „Online-Status“ und die Ausgabe von z.T. biometrisch gewonnenen „Markierungsvorschlägen“ für auf Bildern dargestellte Personen. Gerade vor der Möglichkeit, durch „Umfang und Vielfalt“ in einem System enthaltener Daten ein „aussagekräftiges Bild der Persönlichkeit“ zu erhalten, soll jedoch das IT-Grundrecht schützen.31 Auch die „Angewiesenheit“ auf die Nutzung,32 dürfte sich mit zunehmender Verbreitung der Sozialen Netzwerke und Verwendung auch in beruflichen Kontexten33 einstellen. Die „Datenproduktion“ ist auch nicht durchwegs von den Nutzern steuerbar. Dies zeigen die ohne Einwilligung überraschend eingeführten biometrischen Bildvorschläge bei Facebook. Der Nutzer kann sie erst nachträglich abstellen. Ebenfalls nachträglich eingeführt wurden anhand der Kontaktliste mit statistischen Mitteln generierte Kontaktvorschläge an Dritte.

Die übrigen Voraussetzungen, die das Gericht für das neue Grundrecht aufgestellt hat, sind offen für neue Technologien und lassen sich auf Soziale Netzwerke übertragen. So kann sich die notwendige Komplexität des informationstechnischen Systems gerade aus der Vernetzung ergeben und ist nicht an einen „Apparat“ gebunden. Das Erfordernis der Eigennutzung lässt sich auf virtuelle Speicher übertragen. Eine Nutzung durch mehrere Grundrechtsträger im Zusammenwirken ist erfasst, wenn sich Komponenten auswählen lassen, die dem Einzelnen zugeordnet werden können.34 Bei Sozialen Netzwerken lässt sich das dem Nutzer zugeordnete Profil, soweit es die Möglichkeit zur Beschränkung des Zugangs bietet, darunter fassen. Wenn dafür die rechtliche Zuordnung von Belang sein soll,35 so kann man diese in den einschlägigen datenschutzrechtlichen Vorschriften sehen.

2. Verhältnis zu Art. 10 Abs. 1 GG

Das IT-Grundrecht soll jedoch nicht einschlägig sein, wenn ausschließlich Daten aus einer laufenden Kommunikation betroffen sind, insoweit sei allein Art. 10 Abs. 1 GG maßgeblich.36 Die in Sozialen Netzwerken enthaltenen Informationen verbinden jedoch Inhalte klassischer Kommunikation („point-to-point“) mit Informationsangeboten an Personenkreise („point-to-multipoint“) sowie eine „Informationsaufbereitung“ durch den Anbieter. Die Gefährdungslage ergibt sich somit nicht nur aus dem Einschalten eines technisch nicht kontrollierbaren „Übermittlers“, sondern gerade auch aus der multipoligen und potentiell umfassenden Vernetzung der Informationen. Auch können Soziale Netzwerke ähnlich einer virtuellen Festplatte zur Ablage von Bilddateien oder zur Terminplanung auch ohne unmittelbaren kommunikativen Zweck verwendet werden.37 Das mit dem IT-Grundrecht verfolgte Ziel des Schutzes eines bestimmten Lebensbereichs als „Zone der Privatheit“38 bzw. eines Systems als „Vehikel der Persönlichkeitsentfaltung“39 lässt sich daher auf die Gefährdungslage Sozialer Netzwerke zumindest dann übertragen, wenn der Zugriff nicht als Überwachung „von außen“ unter Mitwirkung des Betreibers erfolgt.40

Es stellt sich dann allerdings die Frage, ob – entsprechend zu Art. 10 Abs. 1 GG – eine Autorisierung die Eröffnung des Schutzbereichs ausschließt. Das Konzept der Autorisierung lässt sich jedoch nur mit dem auf den technischen Übermittlungsvorgang durch Dritte beschränkten Schutzzweck von Art. 10 Abs. 1 GG rechtfertigen. Wie beschrieben, beschränken sich die Gefährdungen in Sozialen Netzwerken nicht hierauf. Geschützt ist nicht allein die Integrität, sondern eben auch die Vertraulichkeit des Systems. Die Unerheblichkeit personengebundener Irrtümer wird damit dem IT-Grundrecht nicht gerecht.41

3. Grundrecht auf Informationelle Selbstbestimmung

Sofern man die Eröffnung des Schutzbereichs des IT-Grundrechts jedoch ablehnt, stellt sich die Frage, inwieweit das Recht auf informationelle Selbstbestimmung einschlägig ist.42 Dieses gibt dem Einzelnen „die Befugnis, grundsätzlich selbst über Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“.43 Die Konturierung des Schutzbereichs ist hier besonders problematisch.44 Im Urteil zur Online-Durchsuchung versucht das BVerfG den Schutzbereich zu präzisieren, indem es ihn auf einzelne Datenerhebungen einschränkt, während der „Gesamtzugriff“ auf das System vom IT-Grundrecht erfasst sein soll.45 Unter diesem „dogmatisch entlastenden“46 Impetus sind die darauf folgenden Ausführungen zu öffentlich zugänglichen Informationen zu sehen: Deren Kenntnisnahme sei dem Staat grundsätzlich nicht verwehrt. Öffentlich zugänglich sollen Informationen dann sein, wenn sie sich an jedermann oder an einen nicht weiter abgegrenzten Personenkreis richten.47 Erst gezieltes Zusammentragen, Speichern und Auswerten soll, wenn sich daraus eine besondere Gefahrenlage für die Persönlichkeit des Betroffenen ergibt, einen Eingriff darstellen.48 Zu Ermittlungen unter Verwendung fiktiver Identitäten führt das Gericht aus, dass ein Eingriff nicht schon vorliege, wenn sich eine staatliche Stelle unter einer Legende in eine Kommunikationsbeziehung begibt, sondern erst wenn sie schutzwürdiges Vertrauen des Betroffenen in die Identität und Motivation seines Kommunikationspartners ausnutzt.49 Die „reine Internetaufklärung“ bewirke in aller Regel keinen Grundrechtseingriff, da keine Mechanismen zur Überprüfung von Identität und Wahrhaftigkeit des Kommunikationspartners zur Verfügung stünden – dies soll auch für den Fall längerfristiger Kommunikationsbeziehungen in Form „elektronischer Gemeinschaften“ gelten.50

Diese Vorgaben lassen sich allenfalls auf diejenigen Informationen in Sozialen Netzwerken übertragen, die vom Nutzer auch tatsächlich allgemein, d.h. ohne Einschränkung auf einen bestimmten Adressatenkreises zugänglich gemacht wurden. Bei Informationen, für die die Ermittlungsperson erst täuschungsbedingt eine Zustimmung erwirkt, liegt – sofern man nicht schon das IT-Grundrecht für einschlägig hält – in der Regel ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung vor. Auch die Tatsache, dass eine sichere Authentifizierung in den Netzwerken nicht möglich ist, führt nicht allgemein zu einer Schutzbereichsausnahme. Auch wenn man mit der dem Urteil des BVerfG zugrundeliegenden Literaturansicht51 davon ausgeht, dass allein ein Registrierungsvorgang noch keinen privaten Bereich begründet, so stellt sich die Situation bei durch Täuschung erlangten Zustimmungen in Sozialen Netzwerken doch anders dar. Wenn der Nutzer einem Dritten den Zugang zu seinen Inhalten einräumt, beurteilt er anhand der Umstände und Profilinformationen des Anfragenden dessen Glaubwürdigkeit und Identität. Dies stellt ein „Plus“ gegenüber rein automatisierten Schlüssigkeitsprüfungen des Betreibers beim Anmeldevorgang dar. Auch spricht die starke Kontextualisierung und Dauerhaftigkeit der Nutzung des Accounts für ein schutzwürdiges Vertrauen. In Sozialen Netzwerken kann im Unterschied faktisch der Eindruck einer nicht-pseudonymen-Kontaktsituation sehr glaubhaft hervorgerufen werden.52 Deshalb kann nicht pauschal von einem Ausschluss auf Schutzbereichsebene ausgegangen werden.53 Die Grundrechte haben auch unbefangene und leichtgläubige Nutzer zu schützen. Ermittlungen mittels fiktiver Identitäten in Sozialen Netzen können somit durchaus in das Grundrecht auf informationelle Selbstbestimmung eingreifen.

Dies bedeutet jedoch noch nicht, dass sie immer unzulässig wären oder dass es keinen eingeschränkt geschützten öffentlichen Bereich geben kann. Allein, dessen Grenzen müssen präziser und anhand des Einzelfalls bestimmt werden. Abschließend stellt sich dann die Frage, auf welche Rechtsgrundlage die Ermittlungen gestützt werden können.

Konsequenzen für die Zulässigkeit und Wahl der Rechtsgrundlagen

Die Antwort der Bundesregierung interpretiert das o.g. Urteil so, dass legendierte Teilnahmen an „offener“ Kommunikation in Sozialen Netzwerken mangels Grundrechtsrelevanz gestützt auf die Aufgabenzuweisung zulässig sind.54 Dies verkennt jedoch, dass die „legendierte Teilnahme“ gerade dort erforderlich sein wird, wo zum Zwecke der Freigabe privater Bereiche mit der Zielperson Kontakt aufgenommen werden soll. Dann handelt es sich jedoch nicht um „offene Kommunikation“. Ist die Information öffentlich zugänglich (also auch ohne Registrierung eines Profils) erübrigt sich das verdeckte Vorgehen. Die §§ 161, 163 StPO sollen hingegen als Rechtsgrundlage dienen, soweit ein anhand äußerer Umstände zu beurteilendes Vertrauen vorliegt, Beurteilungsfaktor sei die technische Möglichkeit pseudonymer Anmeldungen.55 Wie oben dargestellt würde jedoch ein Schluss allein von der pseudonymen Anmeldungsmöglichkeit der Nutzung Sozialer Netzwerke nicht gerecht. Zudem darf nicht der Fehler gemacht werden, die noch bestehenden Defizite Sozialer Netzwerke in Bezug auf Authentizität, Transparenz und Gefährdungen für das Persönlichkeitsrecht als Argumente für das Entfallen des grundrechtlichen Schutzes heranzuziehen.56

Geht man von einem Eingriff – zumindest in das Grundrecht auf informationelle Selbstbestimmung – aus, so ist zu hinterfragen, ob die Ermittlungsgeneralklauseln, §§ 161, 163 StPO wirklich eine ausreichende Rechtsgrundlage darstellen. Dies wird in der Literatur teilweise bejaht, wobei die Unterscheidung zwischen öffentlich zugänglichen und abgestuft zugänglichen Inhalten nach Maßgabe der Privatsphäre-Einstellungen in Sozialen Netzwerken soweit ersichtlich bisher noch nicht vorgenommen wird.57 Entsprechend unklar bleibt die Abgrenzung.

Die §§ 161, 163 StPO sind in ihrer jetzigen Fassung eine Reaktion auf die Ausweitung des verfassungsrechtlichen Datenschutzes durch das Grundrecht auf informationelle Selbstbestimmung. Da dessen Beschränkung einer gesetzlichen Grundlage unter Wahrung des Bestimmtheitsgebotes erfordert, gleichzeitig jedoch eine „schwer zu übersehende“ Fülle von Einzelregelungen vermieden werden sollte, hat sich der Gesetzgeber dafür entschieden die vormals bloßen Aufgabenzuweisungsnormen der §§ 161, 163 StPO zu Befugnisvorschriften umzuwandeln.58 Von der traditionellen Methode der Aufzählung einzelner Eingriffsermächtigungen sollte dabei jedoch nicht abgegangen werden, so dass die neuen Generalklauseln nur „begrenzt“ und zu weniger gewichtigen bzw. weniger intensiven Eingriffen ermächtigen sollen.59 Problematisch ist dabei nicht nur die Beurteilung von Gewichtigkeit und Intensität von Eingriffen, sondern auch die Bestimmbarkeit der Normen.60 Teilweise wird deshalb der Anwendungsbereich der §§ 161, 163 StPO mittels unterschiedlicher Kriterien erheblich weiter eingeschränkt,61 oder – mit guten Gründen – auf Nichteingriffe beschränkt.62

Wie dargestellt, liegt ein Eingriff in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG vor, wenn der Beamte pseudonym die Freigabe von Inhalten „erwirkt“. Ein Rückgriff auf die §§ 161, 163 StPO scheitert aber auch wenn man die Kriterien Geringfügigkeit und Intensität anlegt. So erlauben die Inhalte Sozialer Netzwerke weitgehende und präzise Rückschlüsse auf die Persönlichkeit. Ist der Ermittelnde einmal im Kreis der Kontakte, kann er die Nutzeraktivität kontinuierlich verfolgen und bspw. Eintragungen von Wohnortwechseln, aktuelle Aufenthaltsorte und Online-Status nachverfolgen. Die Eingriffsintensität kann insoweit nicht als gering angesehen werden. Gegen die Heranziehung der Generalklauseln sprechen auch mitbetroffene Grundrechte Dritter, etwa der Kontakte des Nutzers, deren Informationen ebenfalls zugänglich werden können.63 Die §§ 161, 163 StPO sind somit keine tauglichen Ermächtigungsgrundlagen für Ermittlungen mittels fiktiver Identitäten in Sozialen Netzwerken.64 Derartige Ermittlungen können jedoch als Annex zu „echten“ verdeckten Ermittlungen gem. § 110a StPO gerechtfertigt werden.65 Daneben sind § 100a StPO und § 98 StPO auf einzelne Kommunikationsinhalte der Sozialen Netzwerke anwendbar. Sofern man auch den teilnehmenden Gesamtzugriff und das „Mitlesen“ der Inhalte ermöglichen will, ist hierzu eine neue Ermächtigungsgrundlage erforderlich.66

Zusammenfassung

Es hat sich gezeigt, dass die in Sozialen Netzwerken enthaltenen Informationen durch Umfang und Vielfalt weitgehende und fortdauernde Rückschlüsse auf die Persönlichkeit und das Verhalten aktiver Nutzer erlauben. Wegen der kontinuierlich zunehmenden Individualisierbarkeit der Adressatenkreise, können die Inhalte nicht pauschal als öffentlich zugänglich erachtet werden. Dies führt dazu, dass die Gefährdungslage bei Ermittlungen in Sozialen Netzwerken mit derjenigen einer Online-Durchsuchung vergleichbar ist. Derartige Ermittlungen können deshalb in das IT-Grundrecht – hilfsweise in das Grundrecht auf informationelle Selbstbestimmung – eingreifen. Auch die fehlende Identitätsprüfung bei Anmeldung eines Profils lässt das schutzwürdige Vertrauen zumindest dann nicht entfallen, wenn Inhalte täuschungsbedingt freigegeben werden. Die Ermittlungsmaßnahmen können deshalb nicht auf die strafprozessualen Generalklauseln, §§ 161, 163 StPO, gestützt werden und sind allenfalls unter den Voraussetzungen „echter“ verdeckter Ermittlungen gem. § 110a StPO zulässig.

Stefan Drackert

Researcher at the Max Planck Institute for Foreign and International Criminal Law, Freiburg, Germany

  1. Gemeint sind Internetseiten wie Facebook und Google+, in denen Nutzer in einer Community Kontakte pflegen und Informationen austauschen können. Zu den Begriffen „Social Software“ und „Social Networks“ vgl. Alby, Web 2.0, 3. Aufl., 2008, S. 89 ff.↩︎

  2. Drs. 17/6587 (Antwort auf eine kleine Anfrage der Fraktion „die Linke“; elektronische Vorabfassung).↩︎

  3. Henrichs/Wilhelm, Kriminalistik 2010, 30–37; Henrichs/Wilhelm, Deutsche Polizei Nr. 10 / (2010), 6–12; Henrichs/Wilhelm, Kriminalistik 2010, 218–224.↩︎

  4. Vgl. Streng, Jugendstrafrecht, 2. Aufl., 2008, Rn. 1; Eisenberg, Kriminologie, 6. Aufl. 2005, S. 763 f.↩︎

  5.  Studie der Forsa im Auftrag des BITKOM, Presseinformation v. 13.04.2011, http://www.bitkom.org/files/documents/BITKOM_Presseinfo_PK_Soziale_Netzwerke_13_04_2011.pdf (zuletzt abgerufen am 18.08.2011).↩︎

  6. Zur Funktionalität vgl. auch Art. 29-Datenschutzgruppe, WP 163, 2009, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_de.pdf (zuletzt abgerufen: 08.09.2011), S. 4–7.↩︎

  7. Weitere Anwendungsbeispiele nennen Henrichs/Wilhelm, Kriminalistik 2010, 218 ff.↩︎

  8. Drs. 17/6587, S. 5.↩︎

  9. Einen solchen ermöglicht in gewissen Grenzen der neue Personalausweis, dazu Borges, NJW 2010, 3334. Auf nicht-virtueller Identitätsprüfung basiert hingegen das verbreitete Postident-Verfahren, dazu Möller, NJW 2005, 1605. Freilich widersprechen beide Verfahren dem auf schnelles und globales Wachstum ausgelegten Geschäftsmodell der Sozialen Netzwerke.↩︎

  10. Zur Vereinfachung genügt es diesen Fall herauszugreifen. Die verfassungsrechtliche Problematik stellt sich bei der Verwendung der Privatidentität ohne Offenlegung der dienstlichen Funktion ebenso.↩︎

  11. Hier ausgeblendet bleiben die Herausgabe von Mitteilungen durch den Betreiber sowie der Zugang über Profile Dritter und die Nutzung von anderweitig erlangten Zugangskennungen.↩︎

  12. Änderungen in Richtung stärkerer Nutzerbestimmung hinsichtlich der jeweiligen Adressaten einzelner Angaben werden gerade umgesetzt: http://www.heise.de/newsticker/meldung/Facebook-renoviert-Datenschutz-Einstellungen-1329378.html (zuletzt abgerufen am 08.09.2011).↩︎

  13. Vgl. die „Datenverwendungsrichtlinien“ in der Fassung vom 19.08.2011, https://www.Facebook.com/privacy/explanation/ . Die Version vom 08.09.2011 enthält bereits die o.g. Änderungen und ist derzeit nur mit einem Facebook-Account abrufbar.↩︎

  14.  http://www.Google.com/support/+/bin/static.py?hl=de&page=guide.cs&guide=1257347&rd=1 (zuletzt abgerufen am 19.08.2011).↩︎

  15. Urteil des Ersten Senats vom 27. Februar 2008 – 1 BvR 370, 595/07; BVerfGE 120, 274.↩︎

  16. Antwort auf Frage Nr. 3, Drs. 17/6587, S. 3.↩︎

  17. Henrichs/Wilhelm, Kriminalistik 2010, 222 f; Bär, ZIS 2011, 58.↩︎

  18. BVerfGE 120, 282.↩︎

  19. BVerfGE 120, 276.↩︎

  20. BVerfGE 120, 340 f.↩︎

  21. Bäcker, in: Rensen/Brink (Hrsg.), Die Vertraulichkeit der Internetkommunikation, 2009, S. 107.↩︎

  22. BVerfGE 120, 344.↩︎

  23. So Bäcker, in: Rensen/Brink (Hrsg.), Die Vertraulichkeit der Internetkommunikation, 2009, S. 129.↩︎

  24. So auch ebd., S. 129.↩︎

  25.  Art. 29-Datenschutzgruppe, WP 163, 2009, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_de.pdf (zuletzt abgerufen: 08.09.2011), S. 8.↩︎

  26. Erd, NJW 2011, 21 f.; vgl. auch Forgó/Krügel, F&L 2011, 183.↩︎

  27. Wie dies bei Online-Zugriff auf gespeicherte Daten und Überwachung der Systemnutzung als solcher der Fall sei, BVerfGE 120, 308.↩︎

  28. BVerfGE 120, 313.↩︎

  29. Vgl. Bäcker, in: Rensen/Brink (Hrsg.), Die Vertraulichkeit der Internetkommunikation, 2009, S. 123.↩︎

  30. Die Profile geben vielfach ein sehr genaues Bild von der Persönlichkeit der Nutzer ab, vgl. Stopfer/Back/Egloff, DuD 2010, 459 ff.↩︎

  31. BVerfGE 120, 314.↩︎

  32. BVerfGE 120, 312 f.↩︎

  33. Vgl. auch die Ausführungen von Viviane Reding im Rahmen der Tagung zur Zukunft der Internetinitiative des Europäischen Rates von Lissabon am 2. Februar 2009 in Brüssel: „shift from Web 2.0 for fun to Web 2.0 for productivity and services“, http://www.future-internet.eu/uploads/media/reding_future_of_the_internet.pdf (zuletzt abgerufen am 08.09.2011).↩︎

  34. Bäcker, in: Rensen/Brink (Hrsg.), Die Vertraulichkeit der Internetkommunikation, 2009, S. 127 f.↩︎

  35. Ebd., S. 128.↩︎

  36. BVerfGE 120, 309.↩︎

  37. Die Entwicklung weißt auch bei Sozialen Netzwerken zu verstärkter Konvergenz in Richtung des „cloud computing“ hin. Beispiel sind die vielfältigen Dienste, die unter dem einheitlichen Google-Account nutzbar sind, z.B. Kalender, virtueller Speicher und eben auch Soziales Netzwerk.↩︎

  38. Bäcker, in: Rensen/Brink (Hrsg.), Die Vertraulichkeit der Internetkommunikation, 2009, S. 123.↩︎

  39. Böckenförde, JZ 2008, Fn. 119.↩︎

  40. Zugriffe auf kommunikative Inhalte über den Betreiber sind dann je nach Zielrichtung entsprechend den Regelungen zur Emailbeschlagnahme bzw. Telekommunikationsüberwachung zu handhaben.↩︎

  41. Weitere Kritikpunkte am Autorisierungskonzept: Schulz/Hoffmann, CR 2010, 133.↩︎

  42. Diese Frage stellt sich unabhängig davon, ob man das IT-Grundrecht generell ablehnt, oder aber den o.g. Beschränkungen auf die Fallkonstellation der Online-Durchsuchung folgt. Zur Kritik am IT-Grundrecht statt vieler: Eifert, NVwZ 2008, 521.↩︎

  43. BVerfGE 65, 43.↩︎

  44. Vgl. Albers, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen II, 2008, Rn. 68.↩︎

  45. BVerfGE 120, 313.↩︎

  46. Bäcker, in: Rensen/Brink (Hrsg.), Die Vertraulichkeit der Internetkommunikation, 2009, S. 124.↩︎

  47. BVerfGE 120, 344 f.↩︎

  48. BVerfGE 120, 345.↩︎

  49. BVerfGE 120, 345.↩︎

  50. BVerfGE 120, 345 f.↩︎

  51. Abgrenzung nach dem „Verteilungsmodus der Zugangsberechtigung“. Verlangt wird eine „individualisierende Verifizierung“, wobei automatisierte Prüfungen (syntaktische Ebene) nicht ausreichen sollen, vgl. Böckenförde, Die Ermittlung im Netz, 2003, S. 205 f., 197.↩︎

  52. Dies stellt m.E. auch den Unterschied zu Chat-Räumen oder Foren dar, anhand derer das restriktive Erfordernis der Identitätsprüfung mittels eines Merkmals der wirklichen Welt entwickelt wurde, vgl. Ebd., S. 246 ff.↩︎

  53. In diese Richtung auch Bäcker, in: Rensen/Brink (Hrsg.), Die Vertraulichkeit der Internetkommunikation, 2009, S. 134 und Hornung, CR 2008, 305, der auf die mögliche Stabilität von Kommunikationsbeziehung im Web 2.0 abstellt.↩︎

  54. Drs. 17/6587, S. 3.↩︎

  55. Drs. 17/6587, S. 3.↩︎

  56. Vgl. auch Petri, DuD 2008, 448.↩︎

  57. Etwa Meyer-Goßner/Schmitt, StPO, 54. Aufl. 2011, § 100a Rn. 7 m.w.N.; KMR-Bär, 2010, § 100a, Rn. 33a, Bär, ZIS 2011, 58.↩︎

  58. Drs. 14/1584, S. 16.↩︎

  59. Drs. 14/1584, S. 17.↩︎

  60. Vgl. Böckenförde, Die Ermittlung im Netz, 2003, S. 155 ff. Zum Bestimmtheitserfordernis beim Grundrecht auf informationelle Selbstbestimmung: BVerfGE 65, 43; für das IT-Grundrecht: BVerfGE 120, 314.↩︎

  61. Statt vieler SK-StPO-Wohlers, § 161, Rn. 10 ff.↩︎

  62. Böckenförde, Die Ermittlung im Netz, 2003, S. 166.↩︎

  63. Vgl. auch Schulz/Hoffmann, CR 2010, 133.↩︎

  64. So auch der Bundesdatenschutzbeauftragte im 23. Tätigkeitsbericht (2009/2010) S. 86 sowie mit Bezug auf die polizeirechtlichen Generalklauseln Petri, in: Lisken/Denninger (Hrsg.), Handbuch des Polizeirechts, 4. Aufl. 2007, S. 936.↩︎

  65. Dazu Böckenförde, Die Ermittlung im Netz, 2003, S. 229 ff., 235, 253 ff.↩︎

  66. Bei einer konsequenten Auslegung des Begriffs „offene Quellen“ entstünden dann allerdings Probleme bei Zugriffen auf ausländische Server, die den Bedarf internationaler Regelungen verdeutlichen. Vgl. Weiterführend: Graf, BeckOK StPO, 11. Aufl. 2011, § 100a Rn. 130 ff.; Bär, ZIS 2011, 53 ff. sowie Seitz, Strafverfolgungsmaßnahmen im Internet, 2004, S. 360 ff.↩︎

Download PDF BibTeX DOI

Author

Stefan Drackert