Laura Löffler | Tübingen, den 31.01.97 |
Internet und andere Kommunikationsnetze -
ein rechtsfreier Raum?
zum Thema
Kontrolle national und international
bei
Prof. H. Ketz
und
RAss. M. Gerblinger
WS 1996/97
von
Laura Löffler
lloeffle@transtec.de(lloeffle@transtec.de)
Tübingen
Inhaltsverzeichnis
1. Einleitung
1.1 Historie des Internet
1.2 Wovor haben wir Angst, bzw. wozu braucht man eine Kontrolle im Internet
2.1 WWW - World Wide Web
2.2 News
2.3 E-Mail - electronic mail
2.4 FTP - File Transfer Protocol
2.5 IRC - Internet Chat Relay
3. Sichere Kommunikation über unsichere Netze
3.1 Asymmetrische Verschlüsselungsverfahren
3.2 Symmetrische Verschlüsselungsverfahren
3.3 Basic Authentification
3.4 Elektronische Signaturen
3.5. PGP
3.6 Überblick über Kryptographie-Regelungen weltweit
4. Strafrechtliche Verbote im Netz
4.1 Allgemeine Fragen
4.2 Ausspähen von Daten
4.3 Betrieblicher Geheimschutz und Schutz des geistigen Eigentums
4.4 Datenveränderung, Computersabotage, Computerbetrug und unbefugte Anlagennutzung
4.5 Datenschutzstrafrecht
4.6 Verbreitung von Informationen mit strafbarem Inhalt
5. Problematiken die sich aus der Benutzung des Internets ergeben am Beispiel:
5.1 E-Mail
5.2 Mailboxen
6. Legislative Möglichkeiten zur Kontrolle im Datennetz
6.1 Multimediagesetz
6.2 Urheberrecht
6.3 Eingriffbefugnisse zur Strafverfolgung
6.4 Datenschutz
6.5 Schutz von Datenbanken
6.6 Internationales Strafrecht
6.7 Internationale Wellen computerspezifischer Gesetzesreformen
7. Sonstige Möglichkeiten zur Kontrolle im Datennetz
7.1 Rating-Verfahren
7.2 Freiwillige Kontrollinstanzen
7.3. Schutz der Netze durch Technik
7.4 Netiquette
9. Literatur
Der Ursprung des Internet liegt in den USA. In den Anfangszeiten war das Netz dazu
gedacht den Pentagon mit den in der ganzen Welt verteilten Stützpunkten zu
verbinden.
Von der DARPA
(1)
gesponsert, wurde 1969 von der Firma Bolt, Baranek und Newman
(jetzt BBN Communications, Inc., Cambridge, MA) unter der Bezeichnung
ARPANET eine Hochgeschwindigkeitsverbindung zwischen den wichtigsten
Rechnern einiger Bildungs- und Forschungseinrichtungen geschaffen. Bald kam man
zur Erkenntnis, daß dadurch die Möglichkeit bestand, mehrere Netzwerke damit zu
verbinden. Zwar bestand das Netz in den 70-er Jahren hauptsächlich aus gemieteten
Punkt-zu-Punkt-Verbindungen aber gleichzeitig entstand ein Entwurf einer
allgemeinen Netzwerktechnologie, das TCP/IP-Protokoll
(2)
. 1984 wurde das
ARPANET in das MILNET, für den Austausch offener militärischer Informationen,
und das ARPANET, für Forschungs- und nichtmilitärische Daten, aufgeteilt. Im
gleichen Jahr wurde von der NSF
(3)
das NSFNET entwickelt. Es setzte eine neue
moderne und besonders schnelle Technologie ein, so daß im Juni 1990 das ARPANET
vom U.S.-Verteidigungsministerium für veraltet erklärt und aufgelöst wurde.
Seit den Anfängen dieser Verbindung von Computern über größere Entfernungen ist
die Anzahl der Anbindungen an das Netz der Netze fast exponentiell gewachsen. Lag
die Zahl der Hosts
(4)
im Internet 1981 bei nur ca. 300 so waren es 1994 schon 2
Millionen. Eine ähnliche Entwicklung gab es auch bei den verbundenen Netzwerken.
Hier waren 1988 ca. 200 Netze über das Internet miteinander verbunden. 1994 waren
es hingegen schon mehr als 50000. Diese Entwicklung hält auch heute noch an. Die
Welt wird somit immer kleiner und damit die Probleme der internationalen Kooperation
größer, was eine nationale oder auch international Kontrolle nur erschwert.
Man hat schon viele Horrorstories aus und über das Internet gehört, angefangen von
pornographischen Inhalten, die von als obszön geltenden Darstellungen in Wort und
Bild, über sado-masochistische Praktiken bis zu sexuellen Handlungen an und/oder mit
Kindern und Tieren reichen.
Neben dem KuKluxKlan , der Stormfront und Skinnet, die Schwarze und Juden zu
ihren Feinden erklärt haben, und KZ-Spielen mit Sieg-Heil"-rufenden Wächtern und
Hakenkreuzfahnen, findet man ebenso extreme Linke und Anti-Faschos" im Netz der
Unmöglichkeiten.
(5)
Natürlich dürfen die Satanisten und Sekten darin nicht fehlen, wie die allgegenwärtige
Scientlogy, die ihre Macht auch schon im Internet ausspielt. So haben Gegner dieser
Sekte auf dem alt.religion.scientology-Newsboard gegen sie gewettert, worauf die
Sekte eine Option des NNTP-Protokoll
(6)
(Cancel-Messages) benutzte um die jeweilige
Nachricht weltweit zu löschen. In Deutschland dürfte diese Art von Selbstjustiz nach §
303a StGB strafbar sein. Eine andere Episode aus der Geschichte der Scientology-Sekte erzählt, daß der Amerikaner Dennis Ehrlich Auszüge aus Büchern der Sekte als
Beweis für die fragwürdige Methoden in die News postete. Daraufhin wurde er von
Scientology-Mitgliedern wegen Verletzung der Urheberrechts verklagt.
(7)
Es finden sich auch andere Abartigkeiten, die man nicht unkontrolliert auf die Benutzer
des Internets zulassen sollte. Hier ein paar Beispiele querbeet:
(8)
- In einem virtuellen Museum für Entartete Kunst" kann man die bildhafte
Dokumentation eines Mordes in 12 Fotos samt menschenverachtenden Kommentaren
finden.
- Alles was Sie schon immer über Drogen wissen wollten und sich nicht zu fragen
trauten finden Sie auf der Seite
http://hyperreal.com/drugs
. Oder sucht jemand
Informationen, wie man Hanf (möglichst unauffällig) anbauen kann, so findet er die
Antwort auf der Seite
http://www.paranoia.com/drugs
. Vielleicht sucht auch jemand
eine Herstellernachweis für Ecstasy, so sollte er die Seite
http://ecstasy.org
ansteuern.
- Auch Betrüger und Hochstapler finden ihre Antworten im Internet. So gibt es z.B.
eine Auflistung von Methoden zum Abzocken argloser Leute unter
http://www.igc.apc.org/cbbb/pubs.html
- Sollte man sich mal aus der eigenen Wohnung aussperren, so findet man Tips und ein
Lexikon zum Schlösserknacken unter
http://www.lysator.linse/mit-guide/mit-guide.html
- Sogar Tips zum perfekten Mord gibt es unter
http://www.demon.co.uk/xyz/scandals/,
und sogar Scotland Yard erklärt wie man einer Verfolgung durch die britische Polizei
entkommen kann, wenn man die 3%-Klausel" bei einem Mord anwendet
(
http://www.open.gov.uk/police/mps/home.htm
- Selbst Selbstmörder und Euthanasie-Anhänger finden alles für die endgültige
Lebensreise" unter
http://www.islandnet.com/~deathnet
- Auch Prostituierte finden ein Bildungsnetz unter
http://www.creative.net/~penet
- Wer nur den Staat etwas schädigen möchte findet unter
http://www.atomicbooks.com/catalog/ugecom.html
die Möglichkeit ein Buch zu
bestellen um maximal Steuer zu umgehen.
Natürlich will man auch versuchen die Verbreitung von Raubkopien zu kontrollieren,
oder auch Einbrüche in unternehmenseigene Netze, um Computerspionage, -Sabotage oder andere Straftaten und Delikte zu verhindern.
WWW ist ein Hypertextsystem, das andere Computer ansteuern und Text, Bilder und
Ton übertragen kann. Auf dem Bildschirm baut sich eine Seite auf, die aus eigenem
Text, (meist durch Unterstreichungen) gekennzeichneten Teilen und/oder sensitive
Bilder, auch clickable map" genannt, besteht. Man kann diese Bilder oder
gekennzeichnete Textteile mit der Maus anklicken und eine neue Seite aus dem Internet
auf seinem Bildschirm holen. Das funktioniert dadurch, daß mit dem Mausklick ein
Prozeß im Hintergrund angestoßen wird, der eine neue WWW-Adresse sucht und den
eigenen Rechner mit dem im Zeiger angegebenen Rechner verbindet und dort die
gewünschte Seite öffnet .
Um solche Seiten lesen zu können braucht man ein Programm, Browser" genannt, das
die Informationen des Servers, d.h. des Rechners von dem er Informationen zu sich
holt, versteht, und auf der anderen Seite einen Server, der die Informationen zur
Verfügung stellt.
Die bekanntesten Browser sind Netscape Navigator und MS Explorer. Diese Art des
Reisens durch das Internet wird im Cyberjargon surfen" genannt.
News sind schon längere Zeit im Internet bekannt. Sie bieten den Rahmen für
verschiedene Foren. Zugrundeliegend ist das NNTP-Protokoll basierend auf einer
Client-Server-Architektur
(10)
Dieser Internetdienst stellt eigentlich die Verbindung von
Mailboxen unter dem Namen BBS
(11)
zur Verfügung. Jedes Diskussionsforum belegt
eines dieser Bulletinboards, in denen man die dort abgelegte Nachrichten lesen, selbst
einspeisen oder auch bisherige Nachrichten kommentieren kann.
Der Administrator eines News-Servers kann sich aussuchen, welche Bulletinboards er
abonnieren kann und seinen Kunden zur Verfügung stellt, und der Klient kann sich
seinerseits aussuchen, welches Board ihn interessiert.
News-Server sind weltweit miteinander verbunden und tauschen die von Klienten
aufgespielten Nachrichten untereinander aus.
E-Mail, oder auch electronic mail", ist die Post im Internet. Jeder Account, der an
einem Rechner mit Zugang zum Internet hängt, kann von seiner eindeutig
zugeordneten Adresse Mails bestehend aus Text oder binären Bildern an eine andere
Adresse schicken.
FTP ist eins der ältesten Dienste im Internet, mit dessen Hilfe man jede Art von Dateien
von einem FTP-Server auf seinen eigenen Rechner kopieren kann. Auf diesen FTP-Servern stehen oft Shareware-Programme
(12)
zur Verfügung, aber auch sonstige Texte
und FAQ
(13)
Früher war FTP nur über UNIX-Systeme möglich, aber z.Z. sind alle
Betriebssystemanbieter bemüht diesen Dienst auch anzubieten.
(14)
Diese Form der direkten Kommunikation kommt einer Telefonkonferenz nahe. Man
wählt sich auf einen IRC-Server irgendwo auf der Welt ein, und dort steht eine Liste
aller gerade stattfindenden Diskussionsgruppen. Nun hat man die Möglichkeit
entweder in eine dieser Gruppe einzusteigen oder auch eine neue Gruppe zu öffnen.
Alles was nun einer der Teilnehmer einer Gruppe tippt erscheint auf den Bildschirmen
aller anderen Teilnehmer auch.
Zum Teil hat man aber auch die Möglichkeit sich mit einer Person aus der Diskussion
auszuschalten und wie in einem getrennten Raum alleine" zu unterhalten.
Das Internet hat sich von der ursprünglichen Benutzung, vor allem im universitären
Bereich ausgeweitet. Heute wird im Internet sogar bestellt und gekauft. Wenn sensible
Daten zwischen den Forschungsanstalten oder industriellen Unternehmen transportiert
werden sollen, muß man sich nun auch Gedanken über sichere"
Transportmöglichkeiten im Netz machen, um durch Technik die Kontrolle im Netz zu
entlasten.
Die Aufgabe, alle Informationspakete von ihrem Ursprungsort ans Ziel zu bringen,
übernehmen sogenannte Router. Ein Router ist ein Rechner der die Aufgabe einer
Verteilerstelle übernimmt, die nachsieht woher das Paket kommt und wo es hin soll.
Zwischen Quelle und Ziel gibt es zahlreiche Router, und somit auch diverse potentielle
Wege, die die Datenpakete, je nach aktueller Verkehrsla../../../ge/index.htm", nehmen können. Da
solche Router von vielen verschiedenen Organisationen und Firmen in jedem Teil der
Welt betrieben werden, sollte sichergestellt werden, daß keine unbefugte Person oder
Organisation die Daten unterwegs auswertet oder auch die Leitung abhört.
Grundsätzlich werden in Sachen Sicherheit vier Kriterien unterschieden:
-
Authentizität
: Soll sicherstellen, daß der Benutzer auch der ist, für den er sich ausgibt,
-
Vertraulichkeit
: Nur derjenige für den die Daten vorgesehen sind, soll sie lesen
können,
-
Integrität
: Die Daten dürfen auf ihrem Weg nicht verändert werden, und
-
Verbindlichkeit
: Der Inhalt muß zuverlässig nachweisbar sein, da es sonst kaum
rechtsgültige Grundlagen, etwa für eine Lieferzusage oder eine Abbuchung geben
kann.
Im Idealfall sind alle vier Punkte erfüllt. In der Praxis existieren für jeden Teilaspekt
verschiedene Lösungsansätze.
Asymmetrische Verschlüsselungsverfahren verwenden im Gegensatz zum
symmetrischen Verfahren zwei Schlüssel: einen geheimen und einen öffentlichen.
Daher werden sie auch häufig als Public-Key-Verfahren bezeichnet. Zur Codierung
von Dokumenten reicht der Public Key alleine aus. Das chiffrierte Dokument läßt sich
anschließend nur mit dem zum verwendeten Public Key passenden Secret Key wieder
dechiffrieren.
Das am weitesten bekannte Verfahren ist RSA, das 1977 entwickelt wurde und nach
seinen Erfindern Ron Rivest, Adi Shamir und Len Adleman von MIT
(16)
benannt wurde.
Die vom Export freigegebenen Netscape-Versionen verwenden einen 40-Bit-RSA-Schlüssel. Einer dieser Schlüssel wurde im Sommer 1995 unter anderem bei INRIA
(17)
in Frankreich geknackt". Die Rechenzeit betrug auf rund 120 Workstations zirka
einen Monat.
Es gibt also Möglichkeiten den Datentransport im Datennetz vor Lauschangriffen zu
schützen.
Symmetrische Codierungsverfahren werden auch als Private-Key-Verfahren
bezeichnet und verwenden den gleichen Schlüssel zum Ver- und Entschlüsseln. Wie
auch beim Public-Key-Verfahren ist die chiffrierte Nachricht für Unbefugte nicht
lesbar, allerdings entsteht das Problem, daß sowohl Sender als auch Empfänger über
den Schlüssel verfügen müssen, bevor das Verfahren eingesetzt werden kann.
Das wohl bekannteste Private-Key-Verfahren ist DES
(18)
, das 1977 vom US-amerikanischen NBS
(19)
vorgestellt wurde und mit einer festen Schlüssellänge von 56
Bit arbeitet.
Da Private-Key-Verfahren im Vergleich zu Public-Key-Verfahren um ein Vielfaches
schneller sind, verwenden viele Produkte, wie z.B. PGP (Pretty Good Privacy) und
SSL (Secure Socket Layer), eine Kombination beider Verfahren, um ein Optimum an
Sicherheit und Geschwindigkeit zu gewährleisten. Dabei wird die eigentliche
Nachricht in der Regel mit einem Private-Key-Verfahren und einem Schüssel fester
Länge codiert (sogenannte Session-Keys) und mit dem Public-Key-Verfahren wird
dann nur dieser Schlüssel behandelt.
Die einfachste Möglichkeit, den Zugriff auf bestimmte WWW-Seiten zu beschränken,
ist die Basic Authentifikation oder Basisauthentifizierung. Hierbei wird vom Server des
Dienstanbieteres beim Zugriff auf eine WWW-Seite ein Benutzername und ein
Kennwort, und um den Geltungsbereich einzuschränken auch noch der dazugehörende
Rechner, abgefragt.
Dabei werden die Angaben im Klartext übermittelt und im Prinzip kann jeder, der
Zugriff hat, die Datenpakete lesen. Diese Überprüfung gilt als minimalste Schutzebene.
Eine echte Sicherheit stellt sie allerdings nicht dar; sie kann jedoch über Methoden der
Verschlüsselung auf Netzwerkebene, etwa via SSL
(20)
, erheblich verbessert werden.
SSL
(21)
wurde 1994 von Netscape Communications entwickelt, und auch das 1995 von
Microsoft vorgestellte PCT
(22)
ist eng daran angelehnt.
Das Low-Level-Protokoll kann die Kommunikation höherer Protokolle wie HTTP,
FTP, NNTP und Telnet verschlüsseln. SSL bietet sogenannte Connection Security",
das bedeutet, daß nach einer kurzen Verständigung zwischen Server und Client die
gesamte Verbindung verschlüsselt wird. Dazu werden symmetrische, sowie für die
authentifizierte Verbindung asymmetrische Verfahren angewandt.
Um die Echtheit elektronisch übermittelter Nachrichten zu überprüfen, werden im
allgemeinen sogenannte Einweg-Hash-Funktionen verwendet, die für ein Dokument
eine eindeutige Prüfsumme erzeugen können, aus der nicht wieder auf das
Originaldokument geschlossen werden kann, z.B. MD - Message Digest. Man kann
damit eine Art elektronische Unterschrift erzeugen, indem man die Prüfsumme des
Dokuments, das verschlüsselt werden soll, berechnet und diese statt mit dem Public
Key des Adressaten mit dem eigenen Secret Key codiert und einfach an das
verschlüsselte Dokument anhängt.
Der Empfänger kann nach der Entschlüsselung des Dokumentes seinerseits die
Prüfsumme bestimmen und mit der mitgeschickten vergleichen. Stimmen die
Prüfsummen überein, ist sichergestellt, daß zum einen nichts nachträglich am
Dokument verändert wurde, und daß andererseits das Dokument zudem wirklich von
dem angegebenen Absender stammt, denn ansonsten hätte er die Prüfsumme nicht mit
dem Public Key des Absenders decodieren können.
Hinter der Abkürzung PGP, die für Pretty Good Privacy steht, verbergen sich
Programme zum Ver- und Entschlüsseln von E-Mail und anderen Dokumenten. PGP
verwendet einen 128-Bit-IDEA-Key
(23)
und benutzt zum Verschlüsseln dieser Session
Key das RSA-Verfahren.
Natürlich gibt es noch eine ganze Reihe anderer Sicherheitsmechanismen auf die
einzugehen den Rahmen dieser Arbeit sprengen würde. Ziel dieser Ausführung war die
Darstellung der Möglichkeiten die man hat um den Datentransport so sicher zu
gestalten. Ein Ausspähen der Daten wird somit erschwert oder auch unmöglich
gemacht, so daß sich die Frage der rechtlichen Kontrolle im Internet als überflüssig
erweist, oder auch nur entlastet.
Aber genau bei diesen Ansätzen der Verschlüsselung beginnen die internationale
Probleme.
Für den Einsatz kryptographischer Verfahren gibt es in Deutschland derzeit keine
gesetzliche Regelungen hinsichtlich des Vertriebs und der Nutzung. Die Möglichkeit
der Verschlüsselung steht sogar unter dem grundrechtlichen Schutz des
Fernmeldegeheimnisses, nach Art.10 Abs. 1 GG.
Es gibt allerdings Überlegungen zur Regulierung. So wurde im Namen des
Wirtschafts- und Innenministeriums ein Task Force Kryptopolitik" eingerichtet, die bis
Ende 1996 konkrete Vorschläge für eine umfassende politische Strategie vorlegen
sollte. So soll weiterhin jeder Nutzer die Freiheit haben selbst ein
Kryptographieverfahren auszusuchen, aber es soll auch verhindert werden, daß
Kriminelle die Verschlüsselungsverfahren zur Begehung von Straftaten mißbrauchen.
Ende 1996 hat der Spiegel sogar berichtet, daß es konkrete Pläne gäbe,
Verschlüsselung zu verbieten. Die Erkenntnis die man daraus gewinnt ist, daß die
Kryptodebatte auf jeden Fall noch nicht beendet ist.
Zur Zeit gibt es keine EU-weite Regelungen zur Beschränkung der Nutzung und des
Vertriebs von kryptographischen Systemen.
Es gibt eine Empfehlung der EU-Kommision nach der Maßnahmen getroffen werden
sollten um die negative Effekte die sich aus der Benutzung von
Verschlüsseluungsverfahren für kriminelle Angriffe ergeben, zu minimieren, ohne
jedoch den legitimen Gebrauch mehr als notwendig einzuschränken.
(25)
Außerdem wurde von der EU-Kommision ein Greenpaper
(26)
bezüglich des rechtlichen
Schutzes von verschlüsselten Serviceleistungen herausgebracht.
Nach dem Loi Numéro 90-1170 (Art. 28 (I)) war elektronische Verschlüsselung nur
nach einer vorherigen Erklärung gegenüber der SCSSI
(27)
oder mit Genehmigung des
Premierministers erlaubt
(28)
Nach einer Gesetzesänderung ist Verschlüsselung nun zulässig, unter der Bedingung,
daß Behörden die Nachricht bei Bedarf entschlüsseln können.
(29)
Deshalb dürfen
Krypto-Verfahren auch nur nach vorherigen Anmeldung benutzt werden.
Herstellung, Anwendung und somit auch der Vertrieb von
Verschlüsselungsvorrichtungen ohne Lizenz sind laut dem präsidentiällen Dekret Nr.
334 vom 3.4.1995 verboten.
(30)
Kryptographische Algorithmen fallen in den USA unter das
Kriegswaffenkontrollgesetz und unterliegen somit den Exportbeschränkungen nach
ITAR.
(31)
Daher ist ihr Export verboten, bzw. nur eingeschränkt möglich. In den für den
Export bestimmten Netscape-Produkten zum Beispiel, die auch frei erhältlich sind, ist
die Schlüssellänge auf 40 Bit beschränkt. In den USA selbst wird die Software mit 128
Bit langen Schlüsseln verwendet.
Das Internet ist gerade in einer Phase des Aufschwungs und in nächster Zukunft wird
jeder Mensch in einem Lebensbereich mit dieser neuen Welt konfrontiert werden.
Bisher hatte jeder Staat sein Hoheitsgebiet in der real abgegrenzten Welt und seine
eigene Gesetze zur Kontrolle im eigenen Land. Doch mit dieser Entwicklung und
Verschmelzung der einzelnen Staaten zu einer großen virtuellen Welt ohne Grenzen,
muß man sich neu orientieren und nach neuen Wegen zur Kontrolle und zur Erhaltung
der Regeln finden.
In diesem Teil der Ausarbeitung soll eine Übersicht darüber gegeben werden, mit
welchen Straftaten man als Jurist im Internet konfrontiert werden kann und welche
rechtlichen Bestimmungen bisher zur Verfügung standen, um Mißstände und Straftaten
zu verfolgen.
Anhand des Bestimmtheitsgrundsatzes, der verlangt, daß eine Straftat nur dann
bestimmt werden kann, wenn die Strafbarkeit schon gesetzlich bestimmt war, bevor die
Tat begangen wurde, ergab sich die Notwendigkeit zur Aktualisierung des im
vergangenen Jahrhunderts entstandenen deutschen Strafrechts auf neue Delikte des
Computermißbrauchs. So reformierte der Gesetzgeber 1986 im Zweiten Gesetz zur
Bekämpfung der Wirtschaftskriminalität das Strafrecht, womit Deutschland - anders als
teilweise im Ausland - Computermißbräuche weitestgehend durch das Strafrecht erfaßt.
Ein erstes Problem beim Datentransfer im Internet stellt der
Verhältnismäßigkeitsgrundsatz dar, der nach § 15 StGB
(33)
grundsätzlich nur
vorsätzliches Handeln strafbar macht, wenn das Gesetz nicht auch Fahrlässigkeit
ausdrücklich mit Strafe bedroht.
Es wird nun schwierig einem Benutzer im Internet Vorsätzlichkeit nachzuweisen, wie
das Beispiel des Weihnachtsbaum-Wurms" zeigt. So hat ein Student um sich Arbeit
zu sparen ein Programm geschrieben, das in seiner Mailbox nachschaut und allen Leute
darin ein Weihnachtsgruß verschickt. Nur hat dieses Programm nicht nur bei ihm in der
Mailbox nachgeschaut sondern bei jedem Empfänger auch, um von dorthin genauso
Weihnachtsgrüße zu verschicken. So hat es dieser Student geschafft, daß es zum
Zusammenbruch des Netzes kam. Eine Verurteilung wegen Sachbeschädigung,
Datenveränderung und Computersabotage scheiterte aber daran, daß ihm kein Vorsatz
nachgewiesen werden konnte.
Nur wenige der typischen Straftaten im Datennetz sind auch bei nur fahrlässiger
Begehung strafbar. Das gilt zum Beispiel für die Verbreitung von Pornographie oder
die Verbreitung jugendgefährdender Schriften. Hier stellt sich die Frage der
Sorgfaltspflichten, die eingehalten werden müssen um den Fahrlässigkeitsvorwurf zu
vermeiden.
Diese Fragen werden zwischen den einzelnen Netzanwendungen differenziert
betrachtet. So ist bei Newssystemen der Betreiber zu einer weitgehenden
Überwachung des Inhaltes von Daten verpflichtet, während bei der elektronische Post
das Problem sich ganz anders gestaltet, da die Kenntnisnahme der Mailinhalten dem
Betreiber sogar verboten sein kann ( siehe auch 4.2). Allerdings gibt es zu diesen
Fragen erst sehr wenige Rechtsprechungen.
Die meisten Strafnormen gegen Computermißbrauch gehen normalerweise von einer
Strafbegehung durch aktives Tun aus. Man sollte aber auch nicht das Unterlassen in
diesem Zusammenhang außer Betracht lassen, das nach § 13 StGB genauso strafbar ist,
wenn der Täter ala Garant rechtlich dafür einzustehen hat, daß ein Erfolg nicht eintritt.
Somit ergibt sich die Frage, ob der Betreiber einer Mailbox eine Garantenpflicht trifft.
Eine solche Garantenpflicht könnte sich aus vorausgegangenem Verhalten, sogenannte
Ingerenz, der Verantwortlichkeit für bestimmte Gefahrenquellen, oder unter dem
Gesichtspunkt der verantwortlichen Stellung für einen Herrschaftsbereich ergeben.
So kann man eine Garantenpflicht aus Ingerenz in Betracht ziehen, wenn jemand ein
Newsboard öffnet, das einen konkreten deliktischen Mißbrauch durch seine Benutzer
erwarten läßt. Eine Mailbox kann auch als Gefahrenquelle für die Rechtsgüter Dritter
eingestuft werden, so daß eine Garantenpflicht aus der Verantwortlichkeit für
bestimmte Gefahrenquellen hergeleitet wird. Einen Betreiber eines geschlossenen
Newssystems kann zudem die Pflicht treffen, Straftaten in seinem Newsboard durch
seine verantwortliche Stellung für einen Herrschaftsbereich zu verhindern.
Den Datenreisen in elektronischen Kommunikationsnetzen werden durch § 202a StGB
klare Grenzen abgesteckt. Er droht mit einer Bestrafung von bis zu 3 Jahren oder
Geldstrafe demjenigen, der vorsätzlich unbefugt Daten, die nicht für ihn bestimmt und
die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen
verschafft". Das betrifft sowohl Einbrüche in Netze, als auch das Lesen von fremden
Mails. Damit § 202 StGB Anwendung findet,, muß eine besondere Sicherung der
Daten vorgenommen werden. Dafür reicht schon die Sicherung auf niedrigster Ebene
über Paßwörter oder Verschlüsselungen aus.
Die Tathandlung des Verschaffens wird nicht durch die Sicherung von Daten auf
eigene Datenträger, sondern auch schon durch das Erscheinen in flüchtiger Form auf
dem eigenen Bildschirm gegeben.
Eine Strafverfolgung setzt gem. § 205 StGB einen Strafantrag innerhalb von 3
Monaten gem. §77b StGB des Verletzten voraus. Dabei ist es auch irrelevant, ob die
erspähten Daten einen Geheimnis darstellen oder nicht. Solche Einbrüche werden wie
elektronischer Hausfriedensbruch" betrachtet, oder wie das unbefugte Öffnen von
verschlossenen Briefen. Dabei ist es auch nicht relevant, ob es sich um einen trivialen
Brief handelt, oder ob der Einbrecher sich in einem Haus nur umschauen wollte.
§ 17 Abs. 2 UWG
(34)
bestraft den Verrat von Geschäfts- oder Betriebsgeheimnissen mit
Geldstrafen oder Freiheitsstrafen von bis 3 Jahren. § 17 Abs. 1 UWG enthält darüber
hinaus noch eine Strafbestimmung von Angestellten Selbst der Versuch ist gemäß § 17
Abs. 3 UWG strafbar. Als ein Geschäfts- oder Betriebsgeheimnis wird jede Tatsache
angesehen, die nicht offenkundig ist und die aus vernünftigen Gründen geheimhalten
wird.
Eine Strafverfolgung setzt zwar auch hier einen Strafantrag des Verletzten voraus,
jedoch können die Strafverfolgungsbehörden hier ein besonderes öffentliches Interesse
an der Strafverfolgung bejahen und damit auch ohne Strafantrag gemäß § 22 UWG
einschreiten.
Beim Ausspähen von Staatsgeheimnissen kommen die Straftatbestände der §§ 93 bis
101a StGB in Betracht und diese enthalten wesentlich höhere Strafdrohungen. Bei
deren Verdacht dürfen Ermittlungsbehörden auch Telefon- und
Computerverbindungen abhören.
Aufgrund der Neuregelung des Zweiten Urheberrechtsänderungsgesetzes von 1992
sind heute alle Computerprogramme urheberrechtlich geschützt. Darunter fallen
Programme, Texte oder Bilder. Selbst das Einspeichern dergleichen in einem
Computersystem stellt eine urheberrechtlich verbotene Vervielfältigung dar. Geschützte
Programme sind Ergebnisse einer eigenen Schöpfung und Verstöße gegen das
Urheberrecht werden in den §§ 106, 108a UrhG
(35)
mit Geld- oder Freiheitsstrafen
bedroht.
Falls Programme als Public Domain
(36)
angeboten werden entfallen die Bestimmungen
des Urheberrechtgesetzes, nur ist es oft nicht eindeutig erkennbar, ob die Software von
Berechtigten oder Unberechtigten angeboten wird. Da somit ein vorsätzliches Handeln
schwer nachweisbar ist, kann die Strafbarkeit auch entfallen, jedoch die zivilrechtliche
Verpflichtung von Schadensersatz wegen fahrlässiger Urheberrechtsverletzung, gemäß
§ 823 BGB
(37)
, nicht.
Wer bei Eindringen in fremde Netze oder Rechner Daten vorsätzlich und rechtswidrig
löscht, kann wegen Sachbeschädigung gemäß § 303 StGB strafverfolgt werden. Auch
wer Daten dabei unterdrückt, unbrauchbar macht oder auch verändert, begeht eine
Straftat im Sinne der Datenveränderung (§ 303a StGB) und/oder der
Computersabotage gemäß § 303b StGB. Diese Straftaten beinhalten Angriffe auf Soft-
und Hardware, aber auch der Einsatz von Viren und Würmern. Dabei muß dem
Angreifer allerdings Vorsätzlichkeit nachgewiesen werden und der Verletzte muß
einen Strafantrag stellen. Auch in diesem Fall kann es zu einer Bejahung eines
besonderen öffentlichen Interesses durch die Strafverfolgungsbehörde kommen, die ein
Einschreiten von Amts wegen als Folge hat.
Gemäß § 263a StGB kann jeder, der sich oder einem Dritten einen rechtwidrigen
Vermögensvorteil verschafft, oder einen anderen durch Computermanipulation
schädigt, zu Freiheitsstrafen von bis zu 5 Jahren oder zu Geldstrafen verurteilt werden.
Unter dem Begriff des Computerbetruges versteht man unter anderem die
Veranlassung unrichtiger Überweisungen, die unberechtigte Auslieferung von Waren
oder auch dem Mißbrauch von Bankautomaten, Telefonkarten und gebührenpflichtigen
Telefonnummern wie die 0190-Nummern.
Im deutschen Strafrecht wird die unbefugte Nutzung von Sachen nicht strafrechtlich
verfolgt (außer den unbefugten Gebrauch von Kraftfahrzeugen und Fahrräder gemäß §
248b StGB). Allerdings ist dieser Grundsatz der Straflosigkeit des bloßen
Gebrauchsdiebstahls im Datennetz nur vorsichtig anzuwenden. So sind meist mit der
unbefugten Nutzung von Daten und Netzen auch andere Straftaten, wie die unbefugte
Datenverschaffung nach § 202a StGB oder Computerbetrug nach § 263a StGB,
verbunden. Sollte dem Verletzten ein Vermögensschaden entstehen, so ist Verletzende
gemäß § 823 BGB zum Schadensersatz verpflichtet. So kann z.B. die private oder gar
geschäftliche Nutzung einer Internet-Zugangsberechtigung, die man beispielsweise als
Student an der Universität bekommt, ein Mißbrauch der Anlagennutzung darstellen,
und er kann von der weiteren Nutzung ausgeschlossen werden.
Personenbezogene Daten unterliegen einem besonderen Schutz durch das Recht, vor
allem durch § 203 StGB, das Bundesdatenschutzgesetz und den
Landesdatenschutzgesetze.
§ 43 BDSG
(38)
droht demjenigen mit Freiheitsstrafen von bis zu einem Jahr oder auch
mit Geldstrafen, wer unbefugt von diesem Gesetz geschützte personenbezogene
Daten, die nicht offenkundig sind speichert, verändert oder übermittelt, zum Abruf
mittels automatisierten Verfahrens bereithält oder abruft oder sich oder einem anderen
aus Dateien verschafft".
Im Grundgesetz Art. 5 Abs. 1 wird jedem das Recht auf Informationsfreiheit garantiert:
Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu
verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten.
[...] Eine Zensur findet nicht statt". Diesen Rechten werden allerdings durch Art. 5
Abs. 2 des Grundgesetzes Grenzen gestellt, und zwar in den Vorschriften der
allgemeinen Gesetze, den gesetzlichen Bestimmungen zum Schutze der Jugend und in
dem Recht der persönlichen Ehre".
Die meisten relevanten Strafgesetze gehen davon aus, daß betimmte Informationen
durch Schriften verbreitet werden. Doch mit der Entwicklung der Technik, Elektronik
und der neuen Medien wurde eine Ergänzung des Gesetzgebers nötig. So wurde 1974
der Allgemeine Teil des Strafrechts um einen neuen § 11 Abs. 3 ergänzt, nach
welchem den Schriften Ton- und Bildträger, Abbildungen und andere Darstellungen
in denjenigen Vorschriften gleich(stehen), die auf diesen Absatz verweisen". Unter
diesem Oberbegriff der Darstellungen" fallen dabei auch stoffliche Zeichen, die
sinnlich wahrnehmbar sind oder eine sonstigen gedanklichen Inhalt vermitteln sollen,
wobei die stoffliche Verkörperung von gewisser Dauer sein muß. So fallen unter dieser
Definition eben auch die auf Datenträger gespeicherten Daten, aber ob auch eine
flüchtige Bildschirmanzeige schon ausreicht ist fraglich. So werden z.B. beim Reisen
durch das WWW immer die Adressen der angeladenen Seiten in einem Cache-Speicher gesichert, jedoch wird ein solches technisches Detail einem Anwender nicht
unbedingt bekannt sein, und somit kann auch keine Vorsätzlichkeit nachgewiesen
werden. Leider gibt es in dieser Hinsicht auch noch keine Rechtsprechung.
§ 184 Abs. 1 StGB bestraft die Verbreitung einfacher Pornographie, das sind Schriften
die zum Ausdruck bringen, daß sie ausschließlich oder überwiegend auf die Erregung
eines sexuellen Reizes bei dem Betrachter abzielen und dabei die im Einklang mit
allgemeinen gesellschaftlichen Wertvorstellungen gezogene Grenzen des sexuellen
Anstandes eindeutig überschreiten". Jedoch ist nicht jede Verbreitung damit gemeint,
sondern vor allem das Zugänglichmachen an Personen unter 18 Jahren, die Einführung
im Wege des Versandhandels und die unaufgefordete Übersendung an einen anderen.
Eine Darstellung ist dabei in der Regel bereits dann zugänglich gemacht, wenn die
tatsächliche Möglichkeit der Kenntnisnahme von ihrem Inhalt besteht, selbst wenn der
Zugang unter Verletzung rechtlicher Verbote erfolgte.
Bei der harten Pornographie im Sinne von § 184 Abs. 3 StGB wird dagegen jede Form
der Verbreitung, d.h. auch unter Erwachsenen bestraft, da es sich hierbei um den
sexuellen Mißbrauch von Kindern oder sexuelle Handlungen von Menschen mit Tieren
handelt.
Allerdings setzt § 184 StGB vorsätzliches Handeln voraus.
Die Verbreitung von Propagandamitteln verfassungswidriger Organisationen können
nach den §§ 86, 86a StGB strafverfolgt werden.
§ 130 Abs. 1 und 2 StGB sieht die Bestrafung wegen Volksverhetzung vor, d.h.
derjenige der zum Haß gegen Teile der Bevölkerung aufstachelt, Teile der
Bevölkerung böswillig verächtlich macht oder entsprechende Schriften verbreitet, die
zum Haß gegen eine nationale, rassische, religiöse oder durch ihr Volkstum bestimmte
Gruppe aufstachelt, kann strafrechtlich verfolgt werden.
§ 130 Abs. 3 StGB bedroht auch denjenigen mit Freiheitsstrafe, der eine unter der
Herrschaft des Nationalsozialismus begangene Handlung ... in einer Weise, die
geeignet ist, den öffentlichen Frieden zu stören, öffentlich oder in einer Versammlung
billigt, leugnet oder verharmlost". Gemäß § 130a StGB kann auch die Verbreitung von
Schriften, die Anleitungen zu Straftaten beinhalten oder die Bereitschaft anderer zur
Begehung rechtswidriger Taten fördert, strafrechtlich verfolgt werden.
§ 131 StGB bestraft Gewaltdarstellungen und deren Verbreitung, sowie eine
Verharmlosung oder Verherrlichung von Gewalttätigkeiten.
Allerdings greifen auch diese Rechtsvorschriften nur bei vorsätzlichem Handeln ein.
Eine Ergänzung zum Strafgesetzbuch bietet das Gesetz über die Verbreitung
jugendgefährdender Schriften (GjS) und das Gesetz zum Schutze der Jugend in der
Öffentlichkeit (JÖSchG). Im Strafgesetzbuch wird nur vorsätzliches Handeln verfolgt,
während in diesen beiden Gesetzen auch das fahrlässige Handeln strafrechtlich verfolgt
werden kann (vgl. § 21 Abs. 3 GjS und § 12 Abs. 1 JÖSchG).
Somit können Jugendliche vor unsittlichen, verrohend wirkenden, zu
Gewalttätigkeiten, Verbrechen oder Rassenhaß anreizenden, sowie den Krieg
verherrlichenden Schriften und andere Darstellungen, geschützt werden.
Nach § 7 Abs. 1 JÖSchG dürfen solche Schriften und Darstellungen Kindern und
Jugendlichen in der Öffentlichkeit nur zugänglich gemacht werden, wenn die
Programme von der obersten Landesbehörde für ihre Altersstufe freigegeben und
gekennzeichnet worden sind".
Die Verbreitung von ehrkränkenden Werturteilen oder Tatsachenbehauptungen wird
gemäß § 185 StGB wegen Beleidigung oder § 186 StGB wegen übler Nachrede mit
Freiheitsstrafen von bis zu einem Jahr oder Geldstrafe bestraft. Falls die Verbreitung
öffentlich, wie bei einem Newsboard erfolgt, so droht laut § 186 StGB sogar eine
Freiheitsstrafe von bis zu 2 Jahren, wobei es unerheblich ist, ob der Mitteilende davon
ausgegangen sei, daß die von ihm übermittelte Tatsache wahr sei. Der Tatbestand ist
nur dann ausgeschlossen, wenn die Tatsache nachweisbar richtig ist.
E-Mail ist, wie schon weiter oben beschrieben, eins der beliebtesten Internet-Dienste,
mit dessen Hilfe man komfortabel Nachrichten mit relativ hoher Geschwindigkeit
überall in der Welt verschicken kann. Schon einfache Softwarepakete bieten die
Möglichkeit zum Verschicken und Empfangen von E-Mails. Die Technologie jedes
einzelnen E-Mail-Systems ist im Detail sehr unterschiedlich, die Grundkonzeption ist
aber immer die gleiche.
Jedes System besteht aus zwei wichtigen Komponenten. Zum einen aus dem
sogenannten User Agent (UA), mit dessen Hilfe Nachrichten erstellt und verschickt,
sowie eingehende Mails gelesen werden, und zum anderem aus einem Mail Transfer
Agent (MTA), der den Transport der Nachrichten übernimmt. Diese Programme
werten E-Mails aus und leiten sie je nach Empfängeradresse an den nächsten MTA
weiter, und das kann in einem komplexen Netz wie das Internet über sehr viele
Stationen gehen. Der für den Empfänger zuständige MTA führt für jeden seiner
Benutzer eine Mailbox, in die die eingehenden Mails abgelegt werden. Der UA des
Empfängers fragt diese Mailbox ab, liest die eingegangenen Mails und kann sie
beantworten.
Eine E-Mail besteht aus zwei Teilen: Erstens einem Vorspann, Header genannt, in dem
Angaben über Absender (From"), Empfänger (To"), Thema der Mail (Subject"),
Datum und eventuell auch über den Typ des Inhalts (Content-Type"). Diese Angaben
benutzt sowohl der MTA zur Weiterleitung oder auch Rücksendung bei
Zustellproblemen, als auch der UA z.B. zum Sortieren der Mails oder auch je nach
Inhalt richtig darzustellen. Und zum anderen besteht einen Mail aus dem eigentlichen
Text (Body).
Das E-Mail-System im Internet basiert auf dem 1982 entwickelten Simple Mail
Transfer Protol (SMPT), mit dessen Hilfe zwei beliebige Internet-Hosts mit
unterschiedlichen Betriebssystemen und unterschiedlicher E-Mail-Software
Nachrichten austauschen können.
Der Kommunikationsprozeß verläuft wie folgt: Zuerst wird eine Verbindung zwischen
den Hosts hergestellt, dann teilt der Absender-MTA die Absender- und
Empfängeradresse mit und dann folgt der Text der Nachricht und das Ende-Symbol.
Nach der Bestätigung des Empfänger-MTA's wird die Verbindung wieder abgebaut.
Dabei verläuft die ganze Kommunikation unverschlüsselt als ASCII-Klartext ab, so
daß es für einen einigermaßen geübten Hacker kein Problem darstellen wird, Mails
abzuhören.
Unternehmen mit mehereren Internet-Hosts bestimmen meist einen zentralen Mail-Server, über den alle ein- und ausgehenden Mails gehen. Dieser Mail-Server kann mit
Hilfe des DNS
(40)
herausfinden welcher Internet-Host für die Entgegennahme der Mail
an den Empfänger zuständig ist.
Als das Internet und somit auch der Mailverkehr im Netz entstand war Datenschutz
kein primäres Thema, man benötigte nur einen einfach zu realisierenden
Transportmechanismus, da die Nachrichten ja am Anfang nur das amerikanische
Militär untereinander austauschte, oder auch universitäre Einrichtungen einen neuen
Kommunikationsweg darin fanden. Die Entwicklung der Technik schritt nicht so
schnell voraus wie die Globalisierung des Internets, so daß die bisherigen Protokolle
dem nun gefordeten Datenschutz nicht gerecht werden.
Um Datenschutz zu gewährleisten wurden bestimmte Schutzziele klassifiziert
(41)
Authentifizierbarkeit des Absenders
Das SMPT-Protokoll bietet keine Überprüfung der Absenderadresse an und mit
einfacher Manipulation ist es möglich den Absender zu verfälschen und somit auch
unter falschen Absendernamen Mails zu verschicken, da eine Mail auch keine
persönlichen Merkmale enthält, die eindeutig den Absender erkennen lassen. Somit ist
es nicht ohne weiteres nachweisbar, daß eine Nachricht von einem bestimmten
Absender stammt. Dieser Aspekt wird auch als Unleugbarkeit des Ursprungs"
genannt.
Vertraulichkeit
Vertraulichkeit fordert den Schutz der Nachricht vor Einsichtnahme durch Unbefugte,
und damit ist jeder außer dem Absender und dem Empfänger gemeint. Dafür bietet das
E-Mail-System des Internets allerdings keine Gewähr, denn die Administratoren der
MTA-Hosts haben die Möglichkeit alle übermittelten Nachrichten im Klartext
aufzuzeichnen, oder auch nur Nachrichten eines bestimmten Benutzers oder Mails in
denen bestimmte Stichwörter vorkommen. Dieses Aufzeichnen ist auch auf der
darunterliegenden Internet-Kommunikation möglich, allerdings mit etwas höherem
Aufwand.
So überwacht der BND auf diese Weise den gesamten Verkehr mit dem Ausland.
(42)
Über die Mailboxen und die Sammlung ausgehender Mails kann die Kommunikation
einer Person auch nachträglich überwacht und ausgewertet werden, um somit ein
Kommunikationsprofil des Benutzers zu erstellen.
Unbeobachtbarkeit
So wie Vertraulichkeit den Schutz vor Kenntnisnahme des Inhalts meint, so meint die
Unbeobachtbarkeit den Schutz der Kommunikationsumstände und der Information
darüber, daß überhaupt Kommunikation stattgefunden hat.
Diese Trennung wurde dadurch nötig, daß die MTAs die Kommunikationen die über
sie gehen, standardmäßig protokollieren um eine Erleichterung bei der Fehlersuche bei
Störungen zu haben. Diese Protokolle werden üblicherweise einige Monate
aufbewahrt, aber es besteht auch die Möglichkeit sie zu archivieren.
Außerdem benötigen Internet-Provider diese Aufzeichnungen für ihre
Entgeldberechnungen.
Integrität der Nachricht
Die Integrität einer Mail bedeutet den Schutz vor Veränderung des Inhalts während des
Transports, oder auch den Weitertransport einer Nachricht nicht ganz zu unterdrücken.
Dieses Handeln könnte dem Absender Schaden zufügen und somit den Datenschutz
des Absenders verletzen.
Eine solche Verletzung der Integrität ist an jedem MTA möglich.
Die rechtliche Situation den elektronischen Briefverkehr betreffend ist ausgesprochen
verworren. So wurden bei der 49. Konferenz der Datenschutzbeauftragten des Bundes
und der Länder die zu berücksichtigenden Sicherheitsaspekte vorgestellt, auf die in den
vorherigen Abschnitten zum Teil eingegangen wurde, und Empfehlungen als
Grundschutzmaßnahmen ausgesprochen.
- Zur Übertragung von personenbezogenen Daten sollte man eine Verschlüsselung
vorsehen und dabei sollten die Verschlüsselungskomponenten durch technische,
bauliche und organisatorischen Maßnahmen vor dem Zugriff Unbefugter geschützt
werden".
- Zur Absicherung der Integrität von Daten sollten elektronische Unterschriften"
benutzt werden.
- Nach Möglichkeit sollte die Funktion des Systemverwalters von der des
Netzwerkverwalters, und dabei insbesondere der Verwalter des elektronischen
Mitteilungssystems, getrennt, und nicht auf eine Person begrenzt werden.
Dabei sollte dann auch die administrierbare Hard- und Software getrennt werden.
- Zur Beweissicherung einer stattgefundenen Kommunikation sollte die eingesetzte
Software folgende Funktionen beinhalten: Zustellungs-/Empfangsnachweis und
Sende/Empfangsübergabenachweis".
Ansonsten ist der Austausch von E-Mails durch das aus dem allgemeinen
Persönlichkeitsrecht abgeleitete Recht auf informationelle Selbstbestimmung in Art. 2
Abs. 1 in Verbindung mit Abs. 1 GG geschützt.
Weiterhin gelten als spezielle Grundrechtsnormen auch das Brief-, Post- und
Fernmeldegeheimnis der Art. 10 GG. Art. 10 GG schützt jedenfalls nur vor dem
Eingriff durch den Staat, während die oben schon aufgeführte Normen des Strafrechts,
wie z.B. § 202 (Verletzung des Briefgeheimnisses), § 202a (Ausspähen von Daten)
und § 303a StGB, vor dem Mitlesen, Protokollieren oder Fälschen von Nachrichten
durch Private Kontrolle und Schutz bieten.
Für die Provider der E-Mail-Dienste gelten zudem spezielle Datenschutzregelungen im
Telekommunikationsbereich. Für sie gilt die Teledienstunternehmen-Datenschutzverordnung (UDSV), sofern die Tätigkeit geschäftsmäßig erfolgt. Danach
dürfen Provider die Protokolldaten nur bis zu 80 Tagen nach Versand der Rechnung zu
Abrechnungszwecken aufbewahren. Im Störungsfalle dürfen sie weiterverarbeiten
werden. Die Nachrichteninhalte betreffend ist § 15 UDSV stärker einschränkend:
Ausschließlich der Kunde bestimmt über Dauer und Umfang der
Nachrichtenspeicherung und eine Verarbeitung der Nachricht ist durch den Provider
ausgeschlossen.
Ein anderer Aspekt erscheint durch die Benutzung des E-Mail-Zugangs ans Internet am
Arbeitsplatz. Zum einen hat das Bundesverfassungsgericht festgestellt, daß auch
dienstliche Telefongespräche durch das Persönlichkeitsrecht geschützt sind
(43)
, nur ist
dieser Schutz auf E-Mails nicht sehr weitgehend, da das Persönlichkeitsrecht des
Arbeitnehmers im Einzelfall abgewogen wird mit dem starken Interesse des
Arbeitgebers an der Kenntnis des Inhalts dienstlich versandter Mails.
So wird den Arbeitgebern auch empfohlen die private Nutzung von E-Mails am
Arbeitsplatz zu verbieten
(44)
da für den Empfänger einer elektronischen Nachricht nicht
erkennbar ist, ob die versandte Nachricht lediglich die eigene Ansicht des Verfassers
oder die Stellungnahme des Unternehmens ist, dessen registrierte Adresse benutzt wird.
So muß sich ein Arbeitgeber der seine E-Mail-Adresse zur Verfügung stellt,
Erklärungen, die über sein Account abgegeben werden, etwa unter dem Gesichtspunkt
der sogenannten Duldungsvollmacht", zurechnen lassen. Zum anderen erhalten
Mitarbeiter, die das Unternehmen verlassen haben, oft noch lange nach ihrem
Ausscheiden elektronische Post. Diese Post gehört" nicht dem Arbeitgeber. Durch die
Duldung einer privaten Nutzung, entstehen im Rahmen nachvertraglicher
Nebenpflichten aus dem beendeten Arbeitsverhältnis die Pflicht solche Nachrichten
weiterzuleiten, falls und solange dies zumutbar ist.
Mit technischen Hilfsmitteln wird schon seit einiger Zeit versucht, die
Datenschutzsituation bei E-Mail zu verbessern. Die wichtigste Rolle spielt in diesem
Zusammenhang die Kryptographie und die elektronischen Signaturen , auf deren
technischen Details und rechtlichen Situationen schon eingegangen wurde. Da sie
jedoch die üblichen Transportmechanismen des Internets benutzen, helfen sie nichts
gegen Unterdrückung von Nachrichten und schützen nicht vor Erstellung von
Kommunikationsprofilen. Gegen die Erstellung von Kommunikationsprofilen könnte
man durch das Anonymisieren der Mails entgegentreten. Anonymous Remailer sind
Internet-Hosts, die den Absender eingehender Mails anonymisieren und dann an den
Empfänger weiterleiten. Die bekannteste Adresse in diesem Zusammenhang ist
anon,penet.fi". Diese Adresse wurde auch von dem oben schon erwähnten Dennis
Ehrlich, der Auszüge aus den Scientology-Bücher veröffentlichte, benutzt, nur konnte
Scientology dabei auch eine Durchsuchung erfolgreich beantragen, und die
Anonymität wurde wieder aufgehoben.
Eine sichere Nachrichtenübermittlung im Netz ist somit nie garantiert. Deshalb sollte
man E-Mails auch nicht Briefen, sondern eher Postkarten gleichstellen, was zur Folge
hat, daß man sensible Daten nicht der Übertragung durch das Internet anvertrauen
sollte.
Mailboxen haben heutzutage , als modernes Kommunikationsmedium den gleichen
Rang, wie die bisherige Informationsweitergabe mit Brief oder anderen Printmedien
erlangt. So werden Mailboxen zum Informationstausch in Wissenschaft, Forschung
und viele anderen Bereichen eingesetzt, werden aber auch für kriminelle Zwecke
mißbraucht.
So werden Mailboxen als Medium zur Verbreitung von pornographischem Material,
oder auch zum Angebot von Hehlerware angesehen, nur geht wohl die größere Gefahr
von dem Mißbrauch der Mailboxen durch rechtsextreme Gruppierungen aus.
Ziel dieser Mailboxen ist es Kontakte zwischen nationalen Gruppen herzustellen und
den Nutzer dieser Mailbox Informationen zur Verfügung zu stellen, wie zum Beispiel
geplante Termine für Protestveranstaltungen oder andere Aktionen. Diese Art von
Mailboxen fallen auch unter der Strafverfolgung durch das deutsche Recht, wegen
Verbreitung von Propagandamitteln verfassungswidriger Organisationen.
Neben den Rechtsextremen verwenden auch linksorientierte Gruppierungen Mailboxen
als ihr Kommunikationsmittel.
Ein anderer größerer Aspekt die Mailboxen betreffend, ist die Vertreibung
raubkopierter Software. Es gibt unterschiedliche Vertriebsmöglichkeiten dazu,
entweder man muß für ein kopiertes Programm zwei andere Programme hinterlegen,
oder es erfolgt eine Abrechnung nach Anzahl der übermittelten Zeichen, bzw. es wird
ein fester Preis vereinbart. Diese neue Form der Softwarepiraterie führt zu erheblichen
Verlusten bei den Softwareherstellern und -vertreibern. Außerdem stehen
Computerprogramme auch unter dem Schutz des Urheberrechts gemäß §§ 69a ff
UrhG.
Eine Mailbox besteht aus einem zentralen Computersystem (Mailbox- oder
Zentralrechner), über das die Kommunikation abgewickelt wird und auf dem alle
abrufbaren Informationen gespeichert sind. Dazu braucht man einen herkömmlichen
Rechner, der mittels eines Akkustikkopplers oder eines Modems mit dem öffentlichen
Telefon- oder Datex-P-Netz verbunden ist, und eine entsprechende
Kommunikationssoftware.
Mailboxen werden als elektronisches Postfach" bei E-Mails benutzt, d.h. von hier aus
können Mails verschickt, empfangen und bearbeitet werden.
Andererseits werden Mailboxen zum Abruf von Informationen, die in Bulletinboards
und Rubriken enthalten sind, benutzt. Es handelt sich hierbei um, allen Nutzern oder
bestimmten Nutzergruppen zugänglichen Informationen, quasi um den öffentlichen
Bereich.
Der dritte Nutzungsbereich der Mailboxen, speziell der kommerziellen Mailboxen,
besteht im Angebot einer Reihe von Schnittstellen zu anderen
Telekommunkationsdiensten wie Telex, Telefax, o.ä.
Zu einer Kontrolle im Internet hat sich dazu auch eine Arbeitsgemeinschaft freier
Mailboxen (AGFMB) gegründet, die sich für das Grundrecht auf freie
Meinungsäußerung einsetzt und sich gegen Pornos, Kinderpornos, Raubkopien oder
nationalsozialistisches Gedankengut wendet.
Der Einsatz der Mailboxen für kriminelle Zwecke macht es von seiten der Polizei
erforderlich, entsprechende Ermittlungen in diesem Bereich durchzuführen, um
Straftaten aufzuklären bzw. weitere Straftaten zu verhindern.
Den Ermittlungsbehörden ist es dabei gestattet, nach den §§ 102 ff. StPO
(46)
Durchsuchungen am Standort des Rechners oder auch Überwachungen des
Anschlußes der Mailbox gemäß § 100a StPO auszuführen, wenn die entsprechenden
gesetzlichen Voraussetzungen, insbesondere der Verdacht für eine jeweilige Straftat,
vorliegen. Bei Durchsuchungen müssen jedoch im Einzelfall die auch für Mailboxen
geltenden presserechtlichen Schutzbestimmungen des § 97 Abs. 5 StPO beachtet
werden.
Um erst genügend Verdachtsmomente für die Anordnung von Maßnahmen gemäß §
102 bzw. 100a StPO zu erhalten oder aus präventiv-polizeilichen Gründen zur
Gefahrabwehr, sind häufig Ermittlungen im Vorfeld nötig. Dabei ist es dann den
Polizeibeamten jederzeit gestattet, sich mit Gastkennungen in öffentlich zugängliche
Mailboxen einzuwählen.
Allerdings treffen die Strafverfolgungsbehörden dabei oft auf technische Grenzen. So
sind die Überwachungskosten bei einer Übertragungsrate von 9600 bits/s enorm, und
sollten die Täter nicht postzugelassene höhere Übertragungsgeschwindigkeiten
einsetzen, ist die Überwachung praktisch nicht durchführbar.
Sollten zudem noch Verschlüsselungsmechanismen angewandt werden, können
mitgespeicherte Informationen nicht weiter ausgewertet werden, denn nur der
Nachrichtensender und -empfänger sind im Besitz des passenden Schlüssels.
Auf den Datenschutz sollte hierbei nicht erneut eingegangen werden, da es nicht
Haupthema dieser Arbeit ist, und das Thema Datenschutz schon öfters innerhalb dieser
Arbeit besprochen wird.
Kontrolle, egal ob national oder international, muß über den Gesetzgeber geregelt sein.
Bisher wurde auf die nationalen Möglichkeiten der Strafverfolgung, sowie auf die
internationalen Regelungen bei Verschlüsselungsprogrammen eingegangen. Im
Folgenden sollen noch ein paar andere Aspekte und Möglichkeiten zur nationalen und
internationalen Kontrolle und Regelung gezeigt werden.
Zu Beginn werden weitere nationale Aspekte und neue Gesetze angesprochen und
dann auf internationale Ebene ausgeweitet, um am Schluß auf die Prinzipen des
internationalen Strafrechts einzugehen und auf die durch die technologische
Entwicklung erzwungenen internationalen Wellen" computerspezifischer
Gesetzesreformen zu kommen.
Durch die rasante Entwicklung des Internets, und des damit verbundenen Multimedia-Marktes wurde die vormals klare Trennung zwischen Rundfunk und
Telekommunikation immer vager. Bisher waren die Zuständigkeiten und
Kontrollinstanzen klar definiert, nur entstehen nun durch die Verschmelzung der
Schnittstelle zwischen Information und Kommunikation neue rechtliche Fragen, die
bisher nicht mal vollständig erkannt, geschweige denn gelöst wurden. So lag es wohl
auf der Hand, daß ein neues Gesetz gebraucht wird, nur ist dabei ein Streit zwischen
Bund und Länder mitentfacht.
(47)
So berufen sich die Länder auf ihre von Verfassung wegen zustehende Zuständigkeit
auf Rundfunkkompetenz. Sie sind der Ansicht, daß die neue Dienste dem Rundfunk
zuzuordnen sind, da sie sich an eine unbeschränkte Allgemeinheit wendet und ihnen
wesentliche Bedeutung für die allgemeine Meinungsbildung zukomme.
Der Bund hingegen hält diese Dienste für eine neue Form der Telekommunikation, und
zwar nicht als Massenkommunikation, sondern als eine erweiterte Form der
interaktiven Kommunikation mit jeweils individuellen Zugriffsmöglichkeiten des
Nutzers. Und für die Telekommunikation ist nach Art. 73 Nr. 7 GG der Bund
zuständig.
Der deutsche Gesetzgeber ist als einer der ersten in Europa bemüht, durch ein Gesetz
klare Rahmenbedingungen für den Multimedia-Bereich zu schaffen. So arbeitet man
seit letztem Jahr an einem Entwurf eines Gesetzes zur Regelung der
Rahmenbedingungen für Informations- und Kommunikationsdienste (Informations-
und Kommunikationsdienstgesetz - IuKDG)"
(48)
in aller Munde als Multimediagesetz".
So entstand ein Kompromiß zwischen den Bund- und Ländervertretern bei einem
gemeinsamen Gespräch am 1. Juli 1996 im Bundeskanzleramt. Dieser Kompromiß
enthält folgende Ergebnisse:
1. Sowohl der Bund, als auch die Länder werden eigenständige Regelungen erlassen,
wobei die Dienste, die an die Allgemeinheit gerichtet sind, Sache der Länder wird, und
Dienste die nicht an die Allgemeinheit gerichtet sind des Bundes.
2. Die gegenseitigen Zuständigkeiten werden fest abgegrenzt, wobei fast alle Dienste
des Internets in die Zuständigkeit des Bundes fallen, bis auf die elektronische Presse,
die in der Zuständigkeit der Länder bleibt.
3. Die jeweiligen Regelungen des Bundes und der Länder müssen miteinander
abgestimmte Texte enthalten.
Natürlich bleiben dabei noch immer offenen Fragen. Wie wie die Zulassungspflicht
oder -freiheit der Diensteanbieter oder die Anbieter- und Preistransparenz.
Zu der inhaltlichen Verantwortlichkeit gibt es eine Dreigliederung:
1. Wer einen Inhalt selbst herstellt, ist für diesen voll verantwortlich. Das betrifft
sowohl die Anbieter einer selbst erstellten Web-Seite, als auch die Anbieter von selbst
erstellten Datenbanken.
2. Für fremde Inhalte, die nur zur Nutzung bereitgehalten werden, sind Dienstanbieter
nur dann verantwortlich, wenn sie von den Inhalten Kenntnis haben, und sie die
technische Möglichkeiten hätten deren Nutzung zu verhindern.
Allerdings bleibt auch hier die Frage offen, in welchem Umfang die Anbieter zur
Überprüfung der auf ihren Rechnern gehaltenen Inhalte verpflichtet sind.
3. Falls Dienstanbieter nur den Zugang zu fremden Inhalten vermitteln, sind sie in
keinsterweise dafür verantwortlich.
Zum anderen beschäftigt sich das neue Multimediagesetz mit dem Datenschutz bei den
neuen Diensten, und fordert eine Datenminimierung", was bedeutet, daß Daten nur
soweit zur Erfüllung des Dienstes absolut erforderlich sind, erhoben werden dürfen,
und Nutzern einen vollständig anonymen Zugang zu ihren Diensten angeboten werden
sollen.
Die im Juli 1996 verabschiedete Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV) unterscheidet dabei zwischen Bestands- und
Nutzungsdaten. So sind Bestandsdaten, persönliche Daten, die zur Begründung und
Abwicklung eines Vertragsverhältnisses erforderlich sind, und Nutzungsdaten, Daten
die zur Vermittlung der Inhalte oder Berechnung des Entgelts erforderlich sind. Diese
Daten sind, soweit sie nicht zu Abrechnungszwecken gebraucht werden, auch
unmittelbar nach der Beendigung einer Verbindung zu löschen.
Der Bundesentwurf enthält schließlich auch Bestimmungen zur Einführung eines
fälschungssicheren Verfahrens für digitale Unterschriften, das sogenannte
Signaturgesetz (SigG)
(49)
Dieses Gesetz setzt Rahmenbedingungen für digitale
Signaturen, unter denen diese als sicher gelten und Fälschungen digitaler Signaturen
oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können".
Wann dieses neue Gesetz verabschiedet werden soll ist noch unklar, aber laut dem
Bundesforschungsministerium sollte es Anfang dieses Jahres in Kraft treten.
Auf das deutsche Urheberrecht wurde schon im Absatz 4.3.3 eingegangen, nur ist das
Internet ein grenzenloser Raum, und niemand weiß, wie heftig und häufig im virtuellen
Raum derzeit gegen eine der tragenden Säulen des Bürgerlichen Rechts, dem
Urheberrecht, verstoßen wird.
(50)
§ 11 UrhG schützt den Urheber in seinen geistigen
und persönlichen Beziehungen zum Werk und in der Nutzung des Werkes. Somit sind
alle Werke geschützt, schriftliche, musikalische, audiovisuelle Werke, Bilder, Software,
Datenbanken und sogar Web-Seiten, sofern sie original, und, je nach Fall, in einer
gewissen Form gehalten oder auf einem Ausdrucksmittel verankert sind".
So kam es dann auch dazu, daß im März 1996 die 7. Zivilkammer des Landgerichts
Mannheim das Begehren eines Unternehmens verwarf, das die Domäne
heidelberg.de" in seiner Internet-Adresse führen wollte - die Stadt Heidelberg führte
Klage dagegen und obsiegte.
In den USA liegt ein Gesetzesentwurf der Clinton-Regierung vor, ein White Paper on
Intellectual Property and the National Information Structure". Damit soll eine
Durchsetzung von Copyright-Ansprüchen im Internet notfalls über das in den USA
bislang gängige Prinzip des fair use" hinaus, erlangt werden. Diese faire-use-doctrine" ist eins der liberalsten Urheberrechtsbestimmungen der Welt und stellt die
kulturelle, wissenschaftliche und pädagogische Bedeutung von Werken unter
Umständen über den Schutz des geistigen Eigentums. So erlaubt sie die Überschreitung
der Urheberrechtsbestimmungen, falls die Veröffentlichung ein pädagogisches oder
wissenschaftliches Ziel hat, unentgeltlich ist und ein Copyright-Vermerk enthält. Dieses
Prinzip ist nun in Gefahr und Amerikas Liberale sehen darin den Versuch, das Internet
zu regulieren, es mit behördlichen oder ökonomischen Auflagen zu korsettieren".
Bei der 52. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom
22./23. Oktober 1996 wurde erkannt, daß die Strafverfolgngsbehörden in die Lage
versetzt werden müssen, mißbräuchliche Nutzung der neuen Techniken zu kriminellen
Zwecken wirksam begegnen müssen, und somit auch die Befugnis zur Überwachung
des Fernmeldeverkehrs benötigen.
Sie betonten jedoch, daß die herkömmlichen weitreichenden Eingriffsbefugniss auch
unter veränderten Bedingungen nicht einfach auf die neuen Formen der Individual- und
Massenkommunikation übertragen werden" dürfen. So sollte der Schutz der
Persönlichkeitsrechte weiterhin aufrechterhalten und gewährleistet werden, und eine
Wahrheitsfindung um jeden Preis darf es auch insoweit nicht geben".
Auf der gleichen Konferenz der Datenschutzbeauftragten des Bundes und der Länder
wurde desweiteren eine Empfehlung zur Datensparsamkeit durch moderne
Informationstechnik ausgesprochen. So sollte eine Datensparsamkeit bis
Datenvermeidung durch die Nutzung neuer Möglichkeiten der Technik, angestrebt
werden. Dieses Prinzip wird Datenschutz durch Technik" genannt.
Die Datenschutzbeauftragte des Bundes und der Länder beschäftigen sich gerade mit
der Formulierung von Anforderungen zur datenschutzfreundlichen Ausgestaltung der
neuen Technologien, die auf einer Untersuchung des niederländischen
Datenschutzbeauftragten und des Datenschutzbeauftragten von Ontario/Kanada zum
sogenannten Identity Protector" aufgestellt werden. Als beispielhafte
datenvermeidende Technologie wird die anonyme, vorausbezahlte Telefonkarte
genannt.
Auf die anderen Aspekte des Datenschutzes innerhalb der Bundesrepublik
Deutschland wurde in der Besprechung des Multimediagesetzes näher eingegangen.
Es wurde im Europarat auch über eine EG-Datenschutzrichtlinie beraten
(51)
und diese
verabschiedet. Dabei gab es Uneinigkeit, da ein Teil der Mitgliedstaaten eine stärkere
Anpassung der Gesetzgebung und eine Gleichschaltung der Schutzsysteme
befürwortet, während der andere Teil die Erhaltung bewährter und gewachsener
Strukturen der einzelnen Länder favorisiert.
Da Deutschland, wie kein anderer EU-Mitgliedstaat, über eine große Anzahl
bereichsspezifischer Regelungen zum Datenschutz verfügt, war es der deutschen
Delegation ein großes Anliegen deren Bestand und Schutzniveau zu sichern. Es gab
allerdings unterschiedliche Ansätze der Mitgliedstaaten bei der Diskussion um den
Umfang der Meldepflicht von Dateien, den Status und die Befugnisse der
Kontrollbehörden und das Ausmaß der Informationspflichten der Verarbeiter
gegenüber den Betroffenen.
Allerdings erlauben die Vorschriften der Richtlinie das Fortbestehen der im BDSG
vorgesehenen Kontrolleinrichtungen und deren Befugnisse in Art. 28 und § 38 Abs. 5
BDSG. In Art. 26 wird ein Katalog von Ausnahmebestimmungen aufgestellt, der die
tyischen Fälle des Datentransfers in Drittländer abdeckt. Die Datenverarbeitung
betreffend geht man vom Grundsatz aus, daß für die Anwendung des jeweiligen
Rechts der Sitz des Unternehmens maßgebend ist. Bei Unternehmen mit
Niederlassungen in einem anderen Staat greift das dort geltende Datenschutzrecht.
In den Richtlinien wird, anders als in Deutschland, gemäß Art. 2 Buchst. b, keine
Unterscheidung zwischen der Erhebung und der Verarbeitung personenbezogener
Daten gemacht, da hierbei die Erhebung als ein Teil der Verarbeitung betrachtet wird.
Es wurde in diesem letzten Teil auf die wichtigsten Aspekte der EU-Richtlinien
eingegangen und es wären noch mehr Details dazu zu betrachten, deren Ausführung
den Rahmen dieser Arbeit sprengen würde.
Es gibt auch zum rechtlichen Schutz von Datenbanken eine EU-Richtlinie (96/9/EG)
des Europäischen Parlaments und des Rates, vom 11. März 1996, die am 1. Januar
1998 in Kraft treten soll. Darin wird vor allem auf Fragen des gewerblichen
Rechtsschutzes und des Schutzes des geistigen Eigentums eingegangen. So erfordert
die Erstellung einer Datenbank hohe Geld- und Personalinvestitionen, während eine
Übernahme der Daten und deren Nutzung dagegen ohne größeren Aufwand möglich
ist.
In diesem Grünbuch der EU soll eine harmonisierte und stabile Rechtsordnung zum
Schutz von Datenbanken erreicht werden, jedoch ist dieser neue Wirtschaftszweig, in
dem Urheber, Hersteller und Betreiber von Datenbanken agieren, bei weitem nicht
ausgereift. Die Richtlinie regelt dabei die besonderen Probleme, die sich aus der
Benutzung von elektronischen Datenverarbeitungsgeräten für die Archivierung,
Bearbeitung und den Abruf von Informationen" ergeben.
So werden Datenbanken als eine Sammlung von Daten, Werken oder Informationen,
die mit elektronischen Mitteln angeordnet, gespeichert und zugänglich sind, sowie das
elektronische Material, das für den Betrieb der Datenbank erforderlich ist" definiert.
Dazu gehören allerdings nicht die für die Erstellung oder den Betrieb von Datenbanken
verwendeten Computerprogramme.
So schließt der Begriff der Datenbanken" Sammlungen aller Art von
Informationsmaterial auf literarischen, künstlerischen oder musikalischen Gebiet ein.
Somit gehört jede Sammlung von Texten, Bildern, Tonfolgen und Zahlen, Daten,
Fakten und Teilen von Informationen auch dazu.
Das Grünbuch der EU soll zusätzlich zum Schutz für die Datenbank als Sammelwerk,
das gemäß Art. 2 Abs. 5 der Berner Übereinkunft zum Schutz von Werken der
Literatur und Kunst urheberrechtlich geschützt ist, auch einen begrenzten Schutz des
Inhalts der Datenbank, soweit sie die Originalitätskriterien erfüllt und dieser Inhalt nicht
schon selbst durch Urheberrecht geschützt ist, gewährleisten.
Wie schon angesprochen fehlen in dem neuen Medium Internet Antworten auf Fragen
wie Wie kann man im virtuellen, grenzenlosen Raum Grenzen ziehen?". Daher sollte
das deutsche internationale Recht dazu hinzugezogen werden. Bei jeder Straftat im
Internet sollte genau wie bei einem in der realen Welt begangenem Delikt
Vorüberlegungen für die Anwendbarkeit des deutschen Strafrechts (§§ 3-7 StGB)
angestellt werden. Im weiteren kommt es noch auf den Tatort (§ 9 StGB), den Vorsatz
des Täters (§ 16 StGB) und auf einem etwaigen Verbotsirrtum (§ 17 StGB) des Täters
an.
Zunächst sollten die fünf Prinzipien des internationalen Strafrechts untersucht werden:
-
Territorialprinzip
: Damit ist die Geltung des deutschen Strafrechts nach §§ 3-7 StGB
gemeint, die an den Gebietsgrundsatz anknüpft. Es bestimmt den Tatort und stellt klar,
daß das deutsche StGB für inländische Straftaten gilt, unabhängig von der
Staatsbürgerschaft des Täters oder des Verletzten. Anders betrachtet bedeutet es auch,
daß die von Inländern begangene Auslandstat nicht erfaßt wird.
-
Aktives Personalprinzip:
Dieses Prinzip knüpft an die Nationalität des Täters an und
betont die nationale Treuepflicht gegenüber dem Heimatstaat. Dieses Prinzip galt in der
Bundesrepublik zwischen 1940-1974 und in der DDR bis zum Einigungsvertrag,
wurde mit der Einführung des geltenden Rechts wieder verabschiedet.
-
Schutzprinzip:
Es beinhaltet, daß jeder Staat legitimiert sein muß, seinen
Strafrechtsschutz auf alle Inlandsgüter zu erstrecken, gleichgültig von welchem Täter
an welchem Ort sie verletzt werden. Das drückt sich vor allem im Realprinzip
(Selbstschutz des Staates) und im passiven Personalprinzip (Individualschutz von
Inländern im Ausland) aus.
-
Weltrechtsprinzip
: Dieses Prinzip stellt alle Rechtsgüter unter strafrechtlichem Schutz,
die von allen Kulturstaaten anerkannt sind. Im Hintergrund steht dazu der Gedanke der
internationalen Solidarität, aber da gemeinsame Wertmaßstäbe schwer zu finden sein
werden, werden auch oft Bedenken gegen dieses Prinzip erhoben.
-
Prinzip der stellvertretenden Strafrechtspflege:
Damit gelten die
Strafverfolgungszuständigkeiten aufgrund zwischenstaatlicher Abkommen. Ihnen liegt
der Gedanke des Subsidiaritätsprinzip zugrunde. Somit greift die inländische
Strafgewalt überall dort ein, wo die an sich territorial zuständige ausländische
Strafjustiz an der Durchsetzung ihres Strafanspruchs gehindert ist.
Nach § 9 StGB wird der Tatort als solches definiert, wo der Täter physikalisch
gehandelt hat (§ 13 StGB) oder wo der Erfolg eingetreten ist, aber auch wo der Täter
hätte handeln müssen oder die Tat oder der Erfolg hätte stattfinden sollen. Somit könnte
man jede Straftat im Internet, aufgrund der weltweiten Wirkung, auch als eine
deutsche, im Sinne von § 3StGB, ansehen. Diese Vorschrift wird jedoch auf sämtliche
Handlungen eingeschränkt, die auf einen Erfolg auf deutschem Gebiet abzielen.
Die Entstehung der Informationsgesellschaft, die zunehmende Vielfalt der
Computerdelikte und das Zusammenwachsen der Völker zu einer Weltgesellsc../../../haft/index.htm",
führte international zu vier Wellen" computerspezifischer Gesetzesreformen.
Mit der Einsetzung des Computers während der 60er Jahre für Routineabläufe in der
Wirtschaft und Verwaltung, setzte die Angst vor der Sammlung, Speicherung,
Weitergabe und Verknüpfung personenbezogener Daten, die das Persönlichkeitsrechts
des Bürgers bedrohten, ein, und erzwang die erste computerspezifische Reformen des
Rechts.
In der Bundesrepublik Deutschland trat das erste Landesdatenschutzgesetz 1970 in
Hessen in Kraft, und 1977 wurde das erste Bundesdatenschutzgesetz verabschiedet,
das 1990 novelliert wurde. In den anderen Staaten verlief die Entwicklung parallel.
Eine Vereinheitlichung der nationalen Gesetze wurde durch die Aktivitäten
internationaler Organisationen gestärkt, nur drückte diese Vereinheitlichung keine
Autorität mehr aus, da die nationalen Gesetze durch Diskussionen internationaler
Gremien mitgestaltet wurden.
So gibt es die Europaratskonventionen und die OECD-Richtlinie von 1980, sowie die
UN- und EG-Richtlinien, die den Datenschutz auch international regeln.
In den 70er Jahren hat sich die Diskussion um den Datenschutz hin zu einer Diskussion
über Computermißbrauch gewandelt. So suchte man nach Kontrollmöglichkeiten
gegen Computermanipulationen, die Abrechnungen-, Kontostand- oder auch
Inventurmanipulationen bedeuten können. Unter Computermißbrauch fällt auch die
Computersabotage, unter der man die Schädigung von Personalcomputern durch Viren
und Würmer versteht, oder die Computererpressung. Durch die Abhängigkeit der
Informationsgesellschaft von Computersystemen, kann die Zerstörung des Systems
oder der Daten eine ernsthafte Bedrohung darstellen. Andere Deliktformen des
Computermißbrauchs sind das Computerhacking, dessen Ziel es ist in fremde
Computersysteme einzudringen, Computerspionage, eine mögliche Folge des
Computerhackings, bei der Programme oder Daten und Adressen ausgespäht, kopiert
oder ausgewertet werden, und die Softwarepiraterie, die die unbefugte Kopie und
Nutzung von fremden Programmen und Datenbanken beinhaltet.
Eine zweite Reformwelle wurde in den 80er Jahren durch die neuen Wirtschaftsdelikte
nötig. In Deutschland erfolgten im Zweiten Gesetz zur Bekämpfung der
Wirtschaftskriminalität 1986 Reformmaßnahmen, um die traditionellen Rechtsgüter
gegen neue, technische Angriffsformen zu schützen.
Auch hier erfolgte die Entwicklung in anderen Staaten parallel, insbesondere seit 1985.
Beiträge zur Rechtsvereinheitlichung leisteten Arbeiten der OECD von 1985, des
Europarats von 1990 sowie der EG und der UNO seit 1992. es ist noch zu bemerken,
daß es immer noch einzelne Staaten, wie Japan und Österreich gibt, die keine spezielle
Vorschriften gegen das Eindringen in fremde Systeme (Hacking) besitzen.
Im Laufe der 80er Jahre erfolgte die dritte Reformwelle computerspezifischer Gesetze
zum Schutz des geistigen Eigentums im Bereich der Informationstechnik.
Computerprogramme wurden schon in den 70er Jahren weltweit vom Patentschutz
ausgenommen, und nun stellte sich erneut die Frage des Urheberrechts.
Der zivilrechtliche Urheberrechtsschutz dehnt sich seit 1984 aus, ohne durch eine
internationale Organisation gesteuert zu sein. Eine Vereinheitlichung wurde dann 1991
durch die EG-Richtlinien über den Rechtsschutz von Computerprogrammen
eingeleitet.
Das Urheberstrafrecht, das die Schutzbedürfnisse der Informationsgesellschaft decken
soll, wird seit 1981 in einer ganzen Reihe von Staaten verschärft.
Derzeit entwickelt sich eine neue Welle, die das Prozeßrecht reformieren soll. So
stoßen der Strafverfolgungsbehörden bei Ermittlungsverfahren wegen
Wirtschaftskriminalität häufig auf computergespeicherte Buchhaltungsdaten, und auch
die organisierte Kriminalität bedient sich zunehmend des Einsatzes von
Computersystemen, und verlagert dabei oft Beweisdaten über
Telekommunikationsnetze in ausländische Rechner, um einen Zugriff der
Ermittlungsbehörden zu erschweren.
Daraus ergeben sich Fragen der strafprozessualen Datenschutzes und der
Verwertbarkeit von Computerdaten.
Seit 1984 werden diesbezügliche Reformgesetze in verschieden Staaten verabschiedet.
National und international steht man vor dem Bedeutungsverlust nationaler Grenzen
und der damit notwendigen Harmonisierung des Rechts, wenngleich Daten in
Sekundenbruchteilen über internationale Netze übertragen werden, ohne daß eine
Kontrolle überhaupt möglich ist.
Es ist unumstritten, daß neben den rechtlichen Betrachtungen ein sofortiger
Handlungsbedarf für eine Kontrolle zum besseren Kinder- und Jugendschutz im
Internet besteht. Es gibt mehrere Ansätze für altersgerechte Zugangskontrollen für
Kinder und Jugendliche.
So haben sich einige Internet Content Provider zu einem Electronic Commerce Forum
e.V. (ECO) zusammengeschlossen. Sie haben einen Internet Medienrat als Maßnahme
der freiwilligen Selbstkontrolle gegründet und dazu noch das ICTF (Internet Content
Task Force), als eine schnelle Eingreiftruppe der ECO, die Informationen über die
Herkunft von News am nationalen Datenaustauschpunkt DE-CIX speichert. Wer
News rechtswidrig verbreitet, kann von der ICTF ausgeschlossen werden.
PICS - Platform for Internet Content Selection, legt eine Labelspezifikation und die
Interpretation durch Kontrollsoftware wie Browser und Filterprogramme fest. das
bedeutet, daß das Rating-Verfahren
(55)
und das Ergebnis der Bewertung der Web-Informationen mit einer Reihe anderer Angaben in einer Art Etikett, dem Label,
dokumentiert wird. Ein Dokument kann dabei über mehrere Labels verfügen.
Diese und ähnliche Kontrollsoftware" bietet sogar Lösungen, mittels Checksummen
und Signaturverfahren, für die Probleme, die sich aus der Änderung und Verfälschung
bewerteter Inhalte oder der Fälschung von Labels ergeben.
Solche Kontrollinstanzen wie Pics oder MPAA (Movie Rating System), das sich an die
Vereinbarungen der Filmwirtschaft anlehnt, oder auch SafeSurf, das Web-Inhalte nach
Themen klassifiziert, und je nach Intensität der Darstellung und des Ausdrucks das
Thema mit einem Wert zwischen 1 und 9 versieht, sind zwar sinnvoll und
durchführbar, sind aber trotzdem nicht unproblematisch.
Die Software stellt teilweise sehr weitreichende Kontroll- und Protokollmöglichkeiten
zur Verfügung. Die altersgerechte Einstellung erfordert allerdings eine meist intensive
Auseinandersetzung mit den Programmfunktionen und die ständige Bereitschaft zur
Kontrolle der anfallenden Protokollinformationen. Hiermit wird ein Großteil der Eltern
überfordert sein.
Ein weiteres Problem stellt die Akzeptanz der Kontrolle durch die Kinder und
Jugendlichen dar. Es geht dabei nicht um software-technische Manipulation, die ist
beherrschbar, sondern vielmehr um die grundsätzliche Ablehnung der Kontrolle durch
Minderjährige.
Letztens ist der Aspekt der freiwilligen Selbstkontrolle zu betrachten. Das Prinzip der
Rating-Verfahren kann nur funktionieren, wenn der Verfasser selbst die Rating-Informationen in die HTML-Seite einfügt, eine Bewertung durch freiwillige
Klassifizierungsstellen erscheint bei dem riesigen Umfang an Web-Seiten allerdings
kaum realisierbar.
Es gibt viele freiwillige Kontrollinstanzen, die sich für eine Einhaltung der Regeln im
Netz einsetzen, wie z.B. die Cyber-Angels. Die Cyber-Angels sind eine freiwillige
Internetpolizei mit weit über tausend Mitgliedern in 32 Staaten. Sie kämpfen gegen den
Handel mit kinderpornographischen Darstellungen und jede sonstige Kriminalität im
Internet. Jeder der ihre Arbeit unterstützen will oder als Online-Opfer Hilfe sucht, kann
sich bei ihnen melden.
(56)
Es gibt aber nicht nur eine Internet-Polizei sondern auch ein Gericht. So wurde im
März 1996 ein Cyberspace Law Institute gegründet, das künftig Streitfragen
verhandeln wird. Dazu müssen nur die Netizen
(57)
"ein Tribunal, das VirtualMagistrate" einberufen.
Es ist aber nicht so, daß sich nur rechtsgefährliche Gruppierungen im Netz breit
machen, sondern es gibt auch viele Internet-Benutzer, die immer wieder störend in die
Aktivitäten zum Beispiel der Faschos eingreifen, wie im Protokoll einer IRC-Sitzung
nachzulesen ist
(58)
Außerdem ist das Simon-Wiesenthal-Zentrum auch im Internet aktiv,
und sammelt dabei auch Informationen über braune Aktivitäten im Netz und wertet sie
aus.
Über technische Lösungen zur Kontrolle und somit zu mehr Sicherheit im Netz wurde
schon zuvor ein Überblick gegeben, so zum Beispiel die Kryptographie oder die
digitale Unterschrift. Im Folgenden sollen noch andere Sicherheitsysteme oder -maßnahmen vorgestellt werden, die auch eine wichtige Rolle in diesem
Zusammenhang spielen.
Die urheberrechtlichen Probleme können vielleicht schon bald gelöst sein. Es wird
schon über digitale Wasserzeichen" gesprochen. Um Urheberrechtsverletzungen
nachvollziehen zu können, könnten Grafiken, Sounds etc. mit holographischen
Merkmalen versehen werden. Computerprogramme oder Textdateinen würden mit
versteckten Containern, und elektronische Dokumente insgesamt mit schwer
knackbaren Spuren versehen werden. Dabei könnte man in einem Werk so viel
verräterische Bits verstecken, daß das Wasserzeichen selbst nach vielfachem Kopieren
und Überspielen nicht verschwindet.
Computernetze, sogenannte LANs (Local Area Network), kann und soll man
heutzutage auch gegen unerwünschte Hackerversuche schützen. Die Firewall" ist zur
Zeit in aller Munde:
Eine
Firewall
(59)
besteht im allgemeinen aus verschiedene Komponenten. Filter (auch
Screens genannt) schleusen nur ganz bestimmte Klassen von Verkehr durch und
blockieren alle anderen. Ein
Gateway
besteht aus einer oder mehreren Maschinen, die
als Relais für bestimmte, durch Filter blockierte Dienste dienen. Das Gateway-Datennetzsegment wird oft auch
demilitarisierte Zone
(DMZ) genannt. Ein Gateway
in der DMZ wird häufig durch einen
internen Gateway
ersetzt. Im allgemeinen gesteht
man dem äußeren Gateway durch den inneren Filter hindurch eine freizügigere
Kommunikation zu dem internen Gateway, als zu anderen internen Hosts zu. In der
Regel dient der äußere Filter dem Schutz des Gateways selbst, während der innere das
interne Datennetz schützt, falls der Gateway gekapert wird. Jeder einzelne oder auch
beide Filter zusammen können das interne Datennetz vor Angriffen von außen
schützen.
Es läßt sich allerdings sagen, daß nach Recherchen aus verschiedenen Kreisen, der
Untergrund zwar auch im Internet vertreten ist, nur kommt ihm dabei mengenmäßig
eine ebenso geringe Bedeutung zu wie außerhalb der Computer-Szene.
Das Internet und seine Bewohner scheinen also auch ohne entsprechende Kontrollen
von außen, genügend Kraft zu haben, das gefährliche Potential bis zu einem gewissen
Grad mitzutragen und gegebenfalls entsprechend zu korrigieren.
Man darf nämlich nicht vergessen, daß es auch im rechtsfreien" Raum des Internets
zwar keine geschriebenen Gesetze gibt, jedoch herrschen schon seit der Entstehung des
Netzes die Regeln der Netiquette
(60)
, und die ersten Benutzer sind sehr darauf bedacht,
daß diese Regeln nicht überschritten werden. So war es noch in der Zeit vor den
Versuchen zur Reglementierung üblich, jeden der sich nicht an der Netiquette hielt, mit
Mail-Bomben zu bestrafen. Das hieß alle schrieben gleichzeitig an die gleiche Adresse
und der Empfänger wurde so lange mit Mails bombardiert, bis sein Account
zusammenbrach.
So hat sich auch ein organisierter Protest in den USA aufgebaut, gegen die Einführung
eines strengen Urheberrechtgesetzes, auf das schon weiter oben eingegangen wurde. Er
wurde von John Perry Barlow, den ehemaligen Texter der Rockgruppe Greatful Death,
im Februar 1996 pathetisch untermalt:
Unabhängigkeitserklärung für den Cyberspace:
Regierungen der industrialisierten Welt, Ihr müden Riesen aus Fleisch und Stahl, seht,
Ich komme aus dem Cyberspace, der neuen Heimstatt des Geistes. Im Namen der
Zukunft, fordere ich Euch Vergangene auf, uns in Ruhe zu lassen. Ihr habt unter uns
nichts verloren. Eure Macht endet dort, wo wir uns versammeln.
Schon daran sieht man die Einstellung der Internet-Benutzer gegenüber der
Anstrengungen das Internet zu kontrollieren und in ein rechtliches Korsett zu stecken.
Diese Arbeit erhebt nicht den Anspruch der Vollständigkeit, sondern sie hatte zum Ziel
so viele wie mögliche Gefahren, die im Internet stecken, zu präsentieren und
Möglichkeiten zu ihrer Kontrolle aufzuführen.
Man hat nämlich gesehen , daß mit dem Siegeszug des Computers in allen
Lebenslagen und das Zusammenwachsen zu einer grenzenlosen Welt, auch die
Kriminaltät viefältiger und gefährlicher wurde. Die internationale Harmonisierung des
Informationsrechts ist daher zu begrüßen und weiterzuführen. In einer Zeit des
Umbruchs mit neuen Gefahren der Informatik und der Technik ist eine Verstärkung
von Kontakten und eine verbesserte Zusammenarbeit zwischen den einzelnen Staaten
erforderlich, um ein Mindestmaß an Kontrolle im unendlichen Netz zu gewährleisten.
William R. Cheswick, Steven M. Bellovin:
Firewalls und Sicherheit im Internet
, Addison-Wesley 1996
1. Einleitung
1.1 Historie des Internet
1.2 Wovor haben wir Angst, bzw. wozu braucht man eine Kontrolle im
Internet?
Zurück
zum Inhaltsverzeichnis
2. Internet-Dienste
(9)
2.1 WWW - World Wide Web
2.2 News
2.3 E-Mail - electronic mail
2.4 FTP - File Transfer Protocol
2.5 IRC - Internet Chat Relay
Zurück
zum Inhaltsverzeichnis
3. Sichere Kommunikation über unsichere Netze
3.1 Asymmetrische Verschlüsselungsverfahren
(15)
3.2 Symmetrische Codierungsverfahren
3.3 Basic Authentification
3.4 Elektronische Signaturen
3.5 PGP
3.6 Überblick über Kryptographie-Regelungen weltweit
(24)
3.6.1 Deutschland
3.6.2 Europäische Union
3.6.3 Frankreich
3.6.4 Russische Föderation
3.6.5 USA
Zurück
zum Inhaltsverzeichnis
4. Strafrechtliche Verbote im Netz
(32)
4.1 Allgemeine Fragen
4.1.1 Vorsätzliches und fahrlässiges Handeln
4.1.2 Tun und Unterlassen
4.2 Ausspähen von Daten
4.3 Betrieblicher Geheimschutz und Schutz des geistigen Eigentums
4.3.1 Geschäfts- und Betriebsgeheimnisse
4.3.2 Staatsgeheimnisse
4.3.3 Urheberrechte
4.4 Datenveränderung, Computersabotage, Computerbetrug und unbefugte Anlagennutzung
4.4.1 Datenveränderung, Computersabotage, Störung von Fernmeldeanlagen
4.4.2 Computerbetrug
4.4.3 Unbefugte Anlagennutzung
4.5 Datenschutzstrafrecht
4.6 Verbreitung von Informationen mit strafbarem Inhalt
4.6.1 Der Grundsatz der Informationsfreiheit
4.6.2 Allgemeines zum strafrechtlichen Schriftenbegriff
4.6.3 Pornographische Schriften
4.6.4 Gefährdung des demokratischen Rechtsstaats und der öffentlichen Ordnung
4.6.5 Jugendgefährdende Schriften
4.6.6 Ehrkränkende Werturteile und Tatsachenbehauptungen
Zurück
zum Inhaltsverzeichnis
5. Problematiken die sich aus der Benutzung des Internets ergeben
am Beispiel:
5.1 E-Mail
5.1.1 Funktionsweise von E-Mail im Internet
(39)
5.1.2 Datenschutz bei E-Mail - Problemaufriß
5.1.3 Rechtliche Beurteilung
5.1.4 Empfehlung
5.1.5 Technische Lösung
5.1.6 Fazit
5.2 Mailboxen
(45)
5.2.1 Bedeutung der Mailboxen
5.2.2 Funktionsweise von Mailboxsystemen
5.2.3 Gegenaktivitäten
5.2.4 Polizeilicher Zugriff
Zurück
zum Inhaltsverzeichnis
6. Legislative Möglichkeiten zur Kontrolle im Datennetz
6.1 Multimediagesetz
6.2 Urheberrecht
6.3 Eingriffbefugnisse zur Strafverfolgung
6.4 Datenschutz
6.5 Schutz von Datenbanken
6.6 Internationales Strafrecht
(52)
6.6.1 Prinzipien
6.6.2 Tatortbestimmung
6.7 Internationale Wellen computerspezifischer Gesetzesreformen
(53)
6.7.1 Persönlichkeitsschutz
6.7.2 Wirtschaftsstrafrecht
6.7.3 Geistiges Eigentum
6.7.4 Strafprozeßrecht
Zurück
zum Inhaltsverzeichnis
7. Sonstige Möglichkeiten zur Kontrolle im Datennetz
7.1 Rating-Verfahren
(54)
7.2 Freiwillige Kontrollinstanzen
7.3 Schutz der Netze durch Technik
7.4 Netiquette
Zurück
zum Inhaltsverzeichnis
8. Zusammenfassung
Zurück
zum Inhaltsverzeichnis
Global Online
: 2/1996; 3/1996
Internet Magazin
: 8/1996; 10/1996; 1/1997
Gateway
: 10/1996; 11/1996
Business Online
: 1/1996; 3/1996
Computerrecht
: 2/1995; 5/1995; 8/1995; 10/1995; 3/1995
Neue Juristen-Woche - Computerrecht: 6/1995
Datenschutz und Datensicherheit
:8/1996
Datenschutznachrichten
Zurück
zum Inhaltsverzeichnis