Bestätigtes Misstrauen
Was ist passiert? Wie Google im Unternehmens-Blog mitteilt, sollen neben den technischen Daten der Netzwerke „versehentlich” auch Nutzdaten erfasst worden sein. Grund sei ein Software-Modul, das eigentlich gar nicht hätte zum Einsatz kommen sollen. Dadurch seien auch einzelne Datenfragmente von offenen Netzwerken gespeichert worden.
Für Google ist das der GAU. Denn damit hat das Unternehmen sämtliche Bedenken der Datenschützer bestätigt. Wirkte die Reaktion der Aufsichtsbehörden im April noch übertrieben, bietet Google nun ausreichend Futter für Misstrauen gegen den Konzern. Die Stimmung gegen Google droht weiter zu kippen: Die Verbraucherschutzministerin spricht von einem „weiteren Beleg” dafür, dass „Datenschutz für Google noch immer ein Fremdwort” sei. Die Justizministerin sieht ein „Glaubwürdigkeitsproblem”. Und der Bundesdatenschutzbeauftragte zweifelt gar daran, dass Google die Panne erst jetzt aufgefallen sei.
Auf der anderen Seite muss man allerdings auch einige Medien bremsen, die schon von mitgeschnittenen E-Mails und aufgezeichnetem Surf-Verhalten sprechen. Denn bei den Daten handelt es sich lediglich um Fragmente. Dass Google aus fahrenden Fahrzeugen mit Empfängern, die ständig den Kanal wechseln, tatsächlich zusammenhängende Daten in signifikantem Ausmaß aufzeichnen konnte, ist doch eher unwahrscheinlich. Außerdem sind nur solche Netzwerke betroffen, die einerseits gänzlich ungesichert und andererseits genau zum Zeitpunkt des Scans auch benutzt wurden. Auch wenn deshalb das Ausmaß nicht ganz so gravierend ist: Besser macht es den Vorfall natürlich nicht.
Die Konsequenzen
Google zieht gleich mehrere Konsequenzen aus dem Fall. Die wichtigste wird sein, dass Google künftig auf das Scannen von WLANs verzichten will. Doch auch politisch könnte der Fall Konsequenzen haben. So sieht sich der Hamburger Justiz-Senator Till Steffen in seinen Plänen bestätigt, Projekte wie Google Street View gesetzlich zu regeln.
Und das zu recht: Denn datenschutzrechtlich ist selbst in einem solch gravierenden Fall die Rechtslage nicht eindeutig. Die Aufsichtsbehörden müssten nachweisen, dass tatsächlich „personenbezogene Daten” durch Google erhoben wurden, um etwa ein Bußgeld gegen den Konzern verhängen zu können. Doch das wird bei reinen Datenfragmenten nur in seltenen Einzelfällen gelingen – wenn überhaupt.
Dass das Datenschutzrecht an dieser Stelle krankt, ist nicht neu: Erst vorletzte Woche sprach sich Professor Thomas Hoeren bei Telemedicus dafür aus, sich beim Datenschutzrecht künftig vom Personenbezug zu trennen und statt einem „Datenschutzrecht” ein umfassendes „Datenrecht” zu schaffen. Einen ähnlichen Ansatz verfolgt auch Justiz-Senator Steffen, wenn er den Rahmen für Google Street View gesetzlich abstecken will, ohne dass es dabei auf einen Personenbezug ankommt.
Der Fall „WLAN-Erfassung” ist also nicht nur Anlass, sich abermals über die datenschutzrechtlichen Probleme bei Google Gedanken zu machen. Er zeigt auch gleich aus mehreren Perspektiven die Schwächen des deutschen Datenschutzrechtes auf und könnte ein weiterer Baustein für die Erkenntnis sein, dass das deutsche Datenschutzrecht in dieser Form den Anforderungen der heutigen Zeit längst nicht mehr ausreichend gewachsen ist.
Die Hintergründe bei Heise-Online.Telemedicus zur Reaktion der Aufsichtsbehörden im April 2010.
Zur politischen Dimension:
Ich halte es gleich aus mehreren Gesichtspunkten in solchen Fällen unsinnig, auf den Personenbezug abstellen zu müssen:
1. Das unbefugte Mitschneiden von Daten ist generell verwerflich. Das gebietet allein schon das Fernmeldegeheimnis. Das Datenschutzrecht greift an dieser Stelle zu kurz, wenn es nur auf solche Daten abstellt, die Personenbezug aufweisen. Es fallen dadurch viele Fälle durch die Maschen des Gesetzes und es ergeben sich unnötige Beweisprobleme.
2. In einem solchen Fall nur das Abfangen personenbezogener Daten gesetzlich zu erfassen, passt einfach nicht zu der Gefahrenlage. Wenn es tatsächlich gelingen sollte, Google das Erheben personenbezogener Daten nachzuweisen und ein Bußgeld verhängen könnte, wäre damit doch nur ein Teilaspekt dessen betraft, was man Google überhaupt vorwirft.
Wir werfen Google doch gar nicht primär vor, personenbezogene Daten aus dem Netzwerkverkehr gespeichert zu haben, sondern generell das Mitschneiden von Kommunikationsinhalten. Selbst wenn wir also das Datenschutzrecht in der Praxis anwenden, greift es schon inhaltlich zu kurz und erfasst den Vorgang gar nicht in seiner gesamten Tragweite.
3. Der Personenbezug hängt auch maßgeblich von zufälligen Begleitumständen ab. Es können nur solche Fälle erfasst werden, wo sich aus den willkürlichen Umständen ein Personenbezug ergibt. Zum Beispiel weil gerade kein anderes Haus in der Nähe war oder der Besitzer des WLANs zufällig in diesem Moment eine E-Mail über sein ungeschütztes WLAN verschickt hat, als das Google-Auto vorbei gefahren ist. Es ist in diesem Fall also einfach nicht sachgerecht, auf den Personenbezug abzustellen.
Deshalb meine ich, dass auch in diesem Fall das Datenschutzrecht mal wieder deutlich an seine Grenzen stößt.
Und noch ein Nebenaspekt:
Christoph Kappes hat mich bei Twitter noch auf § 89 TKG aufmerksam gemacht. Dort hat der Gesetzgeber das "Mithören" von Funkverkehr geregelt. Ich halte diese Vorschrift allerdings nicht für anwendbar. Denn von einem "Mithören" von "Nachrichten" kann hier nicht die Rede sein. Die Norm passt in dieser Form einfach nicht auf drahtlose Netzwerke und ist ganz offensichtlich für Sprechfunk konzipiert. Und da die Vorschrift eine Strafbarkeit nach sich zieht, kommt auch keine Analogie in Betracht.
Ich habe allerdings gerade keinen TKG-Kommentar zur Hand, in dem diese nicht ganz alltägliche Norm auch kommentiert wäre.
Und auch bei § 202b StGB scheint die Lage nicht ganz eindeutig zu sein:
http://medien-internet-und-recht.de/volltext.php?mir_dok_id=398
"Eine Datenübertragung dürfte im Sinne des Gesetzesvorschlags als nichtöffentlich einzustufen sein, wenn sich das technische Verfahren zur Übertragung der Daten an ein bestimmtes Ziel zur Entgegennahme der Daten richtet, ohne dabei der Allgemeinheit einen freien Zugriff auf die Übertragung gewähren zu wollen.[26] Damit würde praktisch jede zielgerichtete Datenübertragung[27] im Internet von § 202b StGB n.F. geschützt. Eine solche Interpretation des Gesetzeswortlauts scheint gewollt; ein Streit hinsichtlich der Auslegung ist aber absehbar, denn die Art und Weise wie nichtöffentlich gesprochene Worte abgehört werden (§ 201 Abs. 2 Nr. 2 StGB), lässt sich schlecht mit einer Datenfernübertragung vergleichen, bei der die Datenpakete ungeschützt mit 20 Hops[28] einmal um die Welt reisen."
Wie man aus Versehen WLAN-Daten mitschneidet
http://blog.koehntopp.de/archives/2860-Wie-man-aus-Versehen-WLAN-Daten-mitschneidet.html
Weil der Prozeß weitgehend automatisiert ist und niemand die Rohdaten angesehen hat, sondern alle Menschen mit den Daten beschäftigt waren, die aus der Verarbeitungs-Pipeline herausfallen, nachdem die Daten aus den Streetview-Cards aufbereitet worden sind. Erst die Nachfrage des Hamburger Datenschutzbeauftragten hat bewirkt, daß sich jemand einmal die gesamte Pipeline von vorne bis hinten angesehen hat und katalogisiert hat, was für Daten da eigentlich anfallen.
Selbst eine 10kB-Email überträgt man schon mit 11MBit in
So sicher sehe ich das nicht. Denn Google wechselt nach eigenen Angaben fünf Mal pro Sekunde den Kanal. Die Wahrscheinlichkeit, genau in diesem Moment auf ein offenes WLAN mit dem richtigen Kanal zu treffen, wo jemand eine E-Mail verschickt, halte ich eher für sehr gering. Und neben dem eigentlichen Inhalt entsteht ja beim Versenden einer Mail auch eine ganze Menge Overhead Traffic durch Header und Kommunikation mit dem Mailserver.