Rittal verschickt USB-Stick mit Werbung. Was kann da schon schief gehen?

Der deutsche Hersteller von „Schaltschränken, Stromverteilung, Klimatisierung und IT-Infrastruktur“ „Rittal verschickt an seine Kunden USB-Stick, die hochgradiges Gefährdungspotential haben. Ich will nicht behaupten, dass von dieser Aktion eine konkrete Gefährdung ausgeht, aber sie ist einfach nur dumm sehr-sehr unglücklich .

Anmerkung: Dieser Blogpost dient dazu einen Vorgang an einer Stelle zusammen zu fassen, der bereits in anderen Medien (vorrangig G+) in mehreren Meldungen betrachtet wurde.

Die Geschichte begann, als ich am 15.05.2017 meine Eingangspost auf den Schreibtisch bekam, welcher eine (recht aufwendig erstellte) Werbung der Firma Rittal beilag. Diese enthielt einen kleinen USB-Stick und das Schreiben suggerierte mir, ich solle den USB-Stick einfach in den USB-Port meines Arbeitsplatzrechners stecken. HALLO? Ich soll ein potentiell gefährliches Device mit einem Rechner unsere inneren Netzwerkes (trusted Zone..) in Verbindung bringen? Sorry, aber ich werde grau nicht blond. Außerdem sollte ich als Mitarbeiter eines Rechenzentrums wissend und sensibel genug sein, die von dem USB-Stick ausgehende Gefahr sofort zu erkennen. Aber wie vielen Mitarbeiter von Unternehmen ist die Gefahr nicht bekannt? Unser weiteres Vorgehen beschreibe ich in folgender Mail, welche ich ASAP an Rittal sandte:

Sehr geehrte Damen und Herren,

wir haben heute ein Werbeschreiben bekommen, welches vorgibt aus ihrem Hause zu  stammen. Thema: „Mehr Geschwindigkeit für ihr Business“. Ich möchte mich höflich
erkundigen, ob diese Werbung tatsächlich von Ihnen versandt wurde.

Schließlich besteht die Gefahr, dass „jemand“ die Reputation ihres Unternehmens  nutzt, um Schadsoftware in unser Netzwerk zu schleusen. Besonders misstrauisch wurden  wir, nachdem wir den Inhalt des Sticks auf einem eigens dafür installierten  virtuellen Server installierten. Ergebnis: Der Stick installiert sich als Human
Interface Device (Tastatur). Da diese Art von USB-Geräten SEHR großen Schaden  anrichten kann
– freier Zugriff mit dem Account des angemeldeten

Benutzers,
– löschen von Dateien, Verzeichnissen,
– Mailversand von definierten Dateien
– etc.pp.
gingen bei uns alle Alarmglocken an. Wir haben dann nicht weiter geforscht.

Sollte der USB-Stick von ihnen verschickt worden sein (was ich kaum glauben kann), so  hoffe ich inständig, dass dieser USB-Stick auf dem gesamten Lebensweg  (Herstellung, Duplizierung und Versand) 100% sicher begleitet wurde.

Sollte der USB-Stick nicht von Ihnen versandt worden sein, so sollten Sie SOFORT  geeignete Maßnahmen treffen, dass der durch diesen Stick verursachte Schaden gering  gehalten werden kann.

Mit freundlichen Grüßen

Es dauerte ein wenig, aber dann kam tatsächlich eine Antwort. Gag am Rande: Es war ein PDF – und zwar kein am PC generiertes („Export as PDF“), sondern ausgedruckt und (leicht schräg) gescanntes:

Antwort von Rittal

Tja, was will man da noch machen? Keinerlei Einsicht ob der eigenen Verantwortung gegenüber den Kundennetzwerken. Der Absender (dessen Namen ich aus Gründen des Persönlichkeitsrechtes entfernte) ist aufgrund seiner Stellenbezeichnung offensichtlich direkt für die Aktion verantwortlich.

Vielleicht sollte ich einmal ein wenig Geld in die Hand nehmen, eine hochwertige Werbebroschüre im Corporate-Design von Microsoft oder Siemens drucken und an ausgewählte OpferKunden aussenden. Mal schauen, wie viele Menschen dann den beiliegenden USB-Stick nutzen um mir den Zugang zu ihren Rechnern und Netzwerken zu ermöglichen.

Nachtrag: Dieser Artikel würde von Fefe verlinkt. Was dies für den Server bedeutet(e) kann man hier nachlesen. Leute, die ihr von Fefe kommt: Ihr brachtet meinen kleinen kuscheligen Server kurzzeitig zum stöhnen.

Nachtrag zwei: Rittal hat nochmal (bemerkenswert) geantwortet. Siehe hier.

Die Bundesregierung offiziell zum Thema Cloud und US-Geheimdienste

Unsere Regierung lässt sich nicht nur von den „Habenden“ vor jeglichen Karren spannen, auch schützt die Bundesregierung NICHT die Interessen der Bundesbürger gegenüber Willkürmaßnahmen ausländischer Regierungen. Über die Webseite von Andrej Hunko bin ich auf das Originaldokument gestoßen.

Eine Anfrage der Linken wurde von der Bundesregierung wie folgt beantwortet (Ausschnitt):

Frage 20: „Welche Rechtsakte der US-Regierung sind der Bundesregierung bekannt, die einen Zugriff durch US-Behörden auf in den USA befindlichen Cloud-Servern gespeicherte Daten von Nutzerinnen und Nutzern aus der Europäischen Union ermöglichen? „Antwort: „Zu Rechtsakten der Regierung der Vereinigten Staaten von Amerika, die einen Zugriff  von US-Behörden auf Daten von Nutzern aus der Europäischen Union erlauben, die  auf in den USA befindlichen „Cloud-Server gespeichert sind, liegen der Bundesregie-rung nur Hinweise aus öffentlich zugänglichen Quellen vor. Zu Inhalt und Auslegung ausländischen Rechts nimmt die Bundesregierung grundsätzlich nicht Stellung. “

Frage 21: „Inwiefern ist der Bundesregierung bekannt, ob der „Patriot Act“ oder der FISA auch Zugriffe von US-Behörden außerhalb der USA erlaubt, wie es niederländische Wissenschaftler kürzlich in einer Studie beschrieben hatten („Cloud Computing in Higher Education and Research Institutions and the USA Patriot Act“, 27. November, 2012)? “

Antwort: „Zur extraterritorialen Wirkung des genannten ausländischen Rechts liegen der Bundesregierung keine Erkenntnisse vor. Im Übrigen wird auf die Antwort zu Frage 20 verwiesen. „

Es ist ALLGEMEIN bekannt (oder sollte es zumindest sein), dass US-Behörden die Möglichkeit haben, auf Server von US-Firmen zuzugreifen – auch wenn diese z.B. in Deutschland stehen. Das Thema ist heiß- sehr heiß, wird aber von unserer Regierung seit mehr als einem Jahr schlicht ignoriert. Ich selbst bin schon seit längerer Zeit hinter dem Thema her, aber war leider genau so erfolglos wie die Linke – siehe hier.

Aber vielleicht genießt es die Bundesregierung ja, auch, dass ihre Behörden mittels „Amtshilfe“ über US-Behörden jederzeit an diverse Daten herankommen können, wofür sie sonst einen Richter bemühen müssten.

#Digiges auf Zensursulas Pfaden?

„Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat“, heißt es in einer Mitteilung. Und da für den Einzelnen der Nachweis kaum möglich sei, dass Betrugsfälle beispielsweise mit gestohlenen Kreditkartendaten aus dem Pool der betroffenen Firma stammen, müssten dann diese Unternehmen nachweisen, dass dies nicht der Fall sei.

Lese ich als eine der Forderungen der „Digitalen Gesellschaft“(Digiges), eine Lobbyvereinigung die – so wie Sie auftritt – vorgibt die Interessen der „Bürger im digitalen Zeitalter“ zu vertreten, aber mit der Ahnungslosigkeit des Ältestenrates des CDU-Kreisverbandes Hintertupfingen auftritt.

Harte Worte, oder? Aber als jemand, der sich seit Jahren mit Daten- und Systemsicherheit auseinander setzt, möchte ich mal die Frage stellen, wie ein Unternehmen denn den Nachweis antreten soll, dass es nicht schuld ist, dass meine Daten bei einem Drittunternehmen missbraucht werden.

Die Verteilung unserer Daten

Wieviele Unternehmen haben z.B. meine Bank/Kreditkartendaten? Bestelldienste im Internet wie Amazon, Ottoversand, Paypal etc.. Wo habe ich mit Kreditkarte bezahlt? Wo mit einem Verrechnungscheck/Überweisung? Es gibt „Unendlich minus 1“ Möglichkeiten, wo meine Bankdaten rumliegen können. Sollen nun all diese Unternehmen erstmal unter Generalverdacht stehen, wenn irgendwo meine Kreditkartendaten auftauchen? Und wie soll ein Unternehmen nachweisen, dass es nicht schuld daran schuld ist, dass meine Daten in fremde Hände gelangt sind?

Der Beweis der Unschuld

Die Blogger-Profis um Beckedahl herum, sollen mir mal beweisen, dass niemand auf dem Server von netzpolitk unberechtigten Zugriff hat. Weder durch Weitergabe von privilegierten Zugriffsdaten, noch durch Softwarefehler, noch durch physikalischen Zugriff auf dem Server. Desweiteren sollen mir die Möchtegernprofis der digitalen Gesellschaft einmal aufzeigen, wie ich nachweise, dass niemand Zugriff hatte:

  • Auswerten der Logdateien? Die werden vom Hacker als erstes gelöscht, das können sogar Klicki-Bunti Rootkits
  • Logdateien auf separat gesicherten Severn? Und wenn die auch gehackt werden?
  • Gar kein externen Zugriff? Dann habe ich (wie meist) das Problem inhouse – obiges bleibt bestehen.

Jeder Nutzer, der von dem SONY-Debakel betroffen ist, könnte sich nun hinstellen und bei etwaigen Unstimmigkeiten der Kreditkartenabrechnung SONY in die Pflicht nehmen. Ob die Daten durch die Lücke bei SONY den Weg in die Freiheit genommen haben, oder bei dem Internethändler „Billig und Geil“ in Palermo, bei dem ich vor 2 Monaten per Kreditkarte zahlte, oder der Keylogger oder oder oder. Laut der Forderung der Digitalen Gesellschaft muss SONY nachweisen, dass der Betrüger die Daten nicht aus deren Datenbestand hat. Wie soll das funktionieren?

Nachwort

In meinen Augen haben sich die Leute der Digitalen Gesellschaft mit dieser Forderung auf das Niveau einer Frau von der Leyen begeben: Forderungen stellen ohne sich vorher eingehend mit der Materie auseinander gesetzt zu haben, mal mit einem gesprochen zu haben, der etwas davon versteht(SCNR).

Abgesehen von dem – in meinen Augen – Blödsinn, den die Digiges hier verzapft, gibt es natürlich Handlungsbedarf in Sachen Datenschutz und Datensicherheit. Allerdings muss man hier sehr genau darauf achten was man fordert und welche Lösungen man vorschlägt, da man sich sonst schnell in Abseits manövriert.

Datensicherheit und Peinlichkeit

Welche Daten kann man als sicher bezeichnen?

  • Daten die nicht mittels EDV verarbeitet werden

Am sichersten allerdings sind Daten welche nirgendwo niedergeschrieben und abgelegt sind.

Kopieren früher: Durch die alten Spionagefilme wurde der Hersteller Minox (Korrigiert – Dank an Klaus) bekannt – war er doch ein Synonym für winzige Kamera. Jeder gute Spion hatte seine Kleinkamera immer griffbereit, brach er in Bürohäuser und Behörden ein, um geheime Unterlagen zu fotografieren. Danach musste der Film dann schnell über die Grenze zum Hauptquartier gebracht werden, damit die Fotos ausgewertet werden können.  Die entwickelten Fotos wurden nummeriert entwickelt und in dicken, wiederum nummerierten, Akten mit deutlich erkennbarer Aufschrift „Streng Geheim“ abgeheftet.

Heute ist das alles ganz anders: Heute werden entweder gleich digitale Daten gestohlen oder die Bilder werden direkt digitalisiert an den Auftraggeber gesandt. Niemand kontrolliert wirklich auf wie vielen Rechner Kopien der Daten angefertigt werden. Sei es als Dokument oder Temporär-Datei auf der Festplatte, dem RAM oder dem Bildschirmspeicher. Es gibt viele Wege Daten zu kopieren oder Datenströme „abzugreifen“.

Und schon wird klar, wie Wikileaks an diese Mengen von Daten gelangen kann: EDV ist niemals gänzlich sicher. EDV ist vernetzt – weltweit im Zugriff, auch wenn manchmal Firewalls und getrennte Netze Hürden aufbauen sollen. Was nutzen 2 Rechner im Büro (einmal Behördennetz und einmal Internet) wenn der Mitarbeiter die Möglichkeit hat Daten von Rechner A auf Rechner B zu kopieren?

Menschen werden immer – aus verschiedensten Gründen – versuchen Zugriff auf Informationen zu erhalten und diese weiter zu verbreiten. Ob es der Verkauf ist um sich persönlich zu bereichern, oder das Veröffentlichen um sich zu profilieren oder nur um Missstände aufzuzeigen. Selbst in meinem Bekanntenkreis gibt es Menschen, die der Versuchung erlegen sind – und teilweise heute bereuen. Hey, es sind Menschen!

Ganz besonders gefährlich sind allerdings die Informationen, die nicht öffentlich, sondern hinter vorgehaltener Hand und für viel Geld weiter gegeben und genutzt werden. Dann nämlich kann der Betroffene sich nicht wehren, kann keine Abwehrmassnahmen ergreifen. Wenn ich weiss, dass jemand mein Mailaccount in der Firma gehackt hat, kann ich darauf reagieren. Gefährlich ist der stille Mitleser von dem ich nichts weiss.

Das Daten niemals sicher sind, ist eine Erkenntnis, die unsere Regierenden (weltweit) aus den Wikileaks-Vorfällen lernen sollten. Daten nicht erfassen, nicht aufnehmen, nicht verknüpfen. Und wenn man denn unbedingt Daten erfassen und verknüpfen möchte, sollte man seine Geschäftspartner nicht als Deppen bezeichnen – oder gar Material speichern, welche meine Geschäftspartner, Kunden, Auftraggeber oder gar Bürger in unangenehme Situationen bringt.

Für @Eckes, @Kju und andere #vds Diskutanten

Vorab: Ich möchte hier KEINEN Streit auslösen oder Bernd oder anderen unterstellen, sie wären paranoid oder sonstwas. Vielmehr möchte ich hier das Urteil des Bundesverfassungsgericht auswerten und diskutieren.  Quelle des Textes – ich übernehme das Urteil NICHT vollständig. Ich versuche ausschliesslich für die Diskussion und Meinungsfindung relevante Teile vollständig hier wieder zu geben. Sollte mir das nicht gelungen sein, so bitte ich um Hinweis – es liegt mir fern (an dieser Stelle hehe) durch Unterschlagung zu manipulieren.

Die angegriffenen Vorschriften verstehen sich als Umsetzung der
Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates über die
Vorratsdatenspeicherung aus dem Jahre 2006. Nach dieser Richtlinie sind
Anbieter von Telekommunikationsdiensten dazu zu verpflichten, die in §
113a TKG erfassten Daten für mindestens sechs Monate und höchstens zwei
Jahre zu speichern und für die Verfolgung von schweren Straftaten
bereitzuhalten. Keine näheren Regelungen enthält die Richtlinie zur
Verwendung der Daten; auch die Maßnahmen zum Datenschutz werden im
Wesentlichen den Mitgliedstaaten überlassen.

An dieser Stelle ist gewiss eine Reibungsmöglichkeit zwischen lokalen Datenschutzanforderungen und dem EU-Recht. Sollen sich die Großkopferten und die EU-Gerichtsbarkeit doch ruhig streiten.

3. Möglichkeit einer anlasslosen Speicherung von
Telekommunikationsverkehrsdaten

Eine sechsmonatige anlasslose Speicherung von
Telekommunikationsverkehrsdaten für qualifizierte Verwendungen im Rahmen
der Strafverfolgung, der Gefahrenabwehr und der Aufgaben der
Nachrichtendienste, wie sie die §§ 113a, 113b TKG anordnen, ist mit Art.
10 GG nicht schlechthin unvereinbar.

An der Stelle sagt – IMHO – das Verfassungsgericht ganz klar, dass eine ANLASSLOSE Speicherung verfassungswidrig ist. Ein Anlass könnte z.B. die konkrete Verbrechensbekämpfung sein, die dann mittels z.B. Amtsrichter genehmigt werden müsste. Dies wäre aber keine pauschale sondern eine dedizierte Speicherung, wie sie auch heute schon möglich ist (Telefonüberwachung).

Bei einer Ausgestaltung, die dem
besonderen Gewicht des hierin liegenden Eingriffs hinreichend Rechnung
trägt, unterfällt eine anlasslose Speicherung der
Telekommunikationsverkehrsdaten nicht schon als solche dem strikten
Verbot einer Speicherung von Daten auf Vorrat im Sinne der
Rechtsprechung des Bundesverfassungsgerichts. Eingebunden in eine dem
Eingriff adäquate gesetzliche Ausgestaltung kann sie den
Verhältnismäßigkeitsanforderungen genügen.

Eine Vorratsdatenspeicherung KANN den Vorgaben genügen, WENN eine adäquate gesetzliche Ausgestaltung – sprich ein Richter kann dies anordnen. Das würde – wieder IMHO – bedeuten, dass die Telcos angehalten sein können, eine geeignete Infrastruktur bereit zu stellen, die es den Ermittlungsbehörden ermöglicht zeitnah auf die Daten zuzugreifen. Aber eben nur auf richterlich freigegebene.

Allerdings handelt es sich bei einer solchen Speicherung um einen
besonders schweren Eingriff mit einer Streubreite, wie sie die
Rechtsordnung bisher nicht kennt. Auch wenn sich die Speicherung nicht
auf die Kommunikationsinhalte erstreckt, lassen sich aus diesen Daten
bis in die Intimsphäre hineinreichende inhaltliche Rückschlüsse ziehen.
Adressaten, Daten, Uhrzeit und Ort von Telefongesprächen erlauben, wenn
sie über einen längeren Zeitraum beobachtet werden, in ihrer Kombination
detaillierte Aussagen zu gesellschaftlichen oder politischen
Zugehörigkeiten sowie persönlichen Vorlieben, Neigungen und Schwächen.
Je nach Nutzung der Telekommunikation kann eine solche Speicherung die
Erstellung aussagekräftiger Persönlichkeits und Bewegungsprofile
praktisch jeden Bürgers ermöglichen. Auch steigt das Risiko von Bürgern,
weiteren Ermittlungen ausgesetzt zu werden, ohne selbst hierzu Anlass
gegeben zu haben. Darüber hinaus verschärfen die
Missbrauchsmöglichkeiten, die mit einer solchen Datensammlung verbunden
sind, deren belastende Wirkung. Zumal die Speicherung und
Datenverwendung nicht bemerkt werden, ist die anlasslose Speicherung von
Telekommunikationsverkehrsdaten geeignet, ein diffus bedrohliches Gefühl
des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der
Grundrechte in vielen Bereichen beeinträchtigen kann.

Diesen Absatz habe ich nur stehen gelassen, weil er wunderbar die Erkenntnis beschreibt, welche Gefahren von der Vorratsdatenspeicherung ausgehen.

Die verfassungsrechtliche Unbedenklichkeit einer vorsorglich anlasslosen
Speicherung der Telekommunikationsverkehrsdaten setzt voraus, dass diese
eine Ausnahme bleibt.

Die Speicherung hat die Ausnahme zu bleiben! Nicht die Auswertung. Was das im einzelnen bedeutet, gilt es heraus zu finden. Ist es der Kollateralschaden, wenn meine Rufnummer als von der zu überwachenden Person als „falsch verbunden“ angerufen wird?

4. Verhältnismäßigkeit der gesetzlichen Ausgestaltung der Regelung
(Maßstäbe)

Angesichts des besonderen Gewichts einer vorsorglichen
Telekommunikationsverkehrsdatenspeicherung ist diese nur dann mit Art.
10 Abs. 1 GG vereinbar, wenn ihre Ausgestaltung besonderen
verfassungsrechtlichen Anforderungen entspricht. Es bedarf insoweit
hinreichend anspruchsvoller und normenklarer Regelungen zur
Datensicherheit, zur Begrenzung der Datenverwendung, zur Transparenz und
zum Rechtsschutz.

Anforderungen an die Datensicherheit:

Angesichts des Umfangs und der potentiellen Aussagekraft der mit einer
solchen Speicherung geschaffenen Datenbestände ist die Datensicherheit
für die Verhältnismäßigkeit der angegriffenen Vorschriften von großer
Bedeutung. Erforderlich sind gesetzliche Regelungen, die ein besonders
hohes Maß an Sicherheit jedenfalls dem Grunde nach normenklar und
verbindlich vorgeben. Dabei steht es dem Gesetzgeber frei, die
technische Konkretisierung des vorgegebenen Maßstabs einer
Aufsichtsbehörde anzuvertrauen. Der Gesetzgeber hat dabei jedoch
sicherzustellen, dass die Entscheidung über Art und Maß der zu
treffenden Schutzvorkehrungen nicht letztlich unkontrolliert in den
Händen der jeweiligen Telekommunikationsanbieter liegt.

Hier wird definiert, dass der Gesetzgeber Kontrollvorschriften über den Umgang der Daten zu erstellen hat, die auch die Telekommunikationsunternehmen einschränken. (Gut so)

Anforderungen an die unmittelbare Datenverwendung:

Angesichts des Gewichts der Datenspeicherung kommt eine Verwendung der
Daten nur für überragend wichtige Aufgaben des Rechtsgüterschutzes in
Betracht.

„kommt eine Verwendung der Daten nur für überragend wichtige Aufgaben des Rechtsgüterschutzes“ – dem ist kaum noch etwas hinzuzufügen. Jegliche Urheberrechtsschutzbefindlichkeit z.B. ist somit aussen vor.

Für die Strafverfolgung folgt hieraus, dass ein Abruf der Daten
zumindest den durch bestimmte Tatsachen begründeten Verdacht einer auch
im Einzelfall schwerwiegenden Straftat voraussetzt.

Nicht nur die Speicherung ist restriktiv zu handhaben, auch der Abruf ist nochmals gesichert. Ich werte dies als zweites Werkzeug zum Schutz der Interessen. Denn die Erhebung/Speicherung wurde oben schon eingeschränkt. „im Einzelfall schwerwiegenden Straftat“

Anforderungen an die Transparenz der Datenübermittlung:

Der Gesetzgeber muss die diffuse Bedrohlichkeit, die die als solche
nicht spürbare Datenspeicherung und verwendung für die Bürger erhalten
können, durch wirksame Transparenzregeln auffangen. Hierzu zählt der
Grundsatz der Offenheit der Erhebung und Nutzung von personenbezogenen
Daten. Eine Verwendung der Daten ohne Wissen des Betroffenen ist
verfassungsrechtlich nur dann zulässig, wenn andernfalls der Zweck der
Untersuchung, dem der Datenabruf dient, vereitelt wird. Für die
Gefahrenabwehr und die Wahrnehmung der Aufgaben der Nachrichtendienste
darf der Gesetzgeber dies grundsätzlich annehmen. Demgegenüber kommt im
Rahmen der Strafverfolgung auch eine offene Erhebung und Nutzung der
Daten in Betracht. Eine heimliche Verwendung der Daten darf hier nur
vorgesehen werden, wenn sie im Einzelfall erforderlich und richterlich
angeordnet ist. Soweit die Verwendung der Daten heimlich erfolgt, hat
der Gesetzgeber die Pflicht einer zumindest nachträglichen
Benachrichtigung vorzusehen. Diese muss gewährleisten, dass diejenigen,
auf die sich eine Datenabfrage unmittelbar bezogen hat, wenigstens im
Nachhinein grundsätzlich in Kenntnis zu setzen sind. Ausnahmen hiervon
bedürfen der richterlichen Kontrolle.

Der obige Absatz beschreibt – nach meiner unmassgeblichen Meinung – das Verfahren welche heute bereits für die Gesprächsüberwachung gilt.

Anforderungen an den Rechtsschutz und an Sanktionen:

Eine Übermittlung und Nutzung der gespeicherten Daten ist grundsätzlich
unter Richtervorbehalt zu stellen.

Richtervorbehalt ist ein Wort dass ich geradezu liebe …

Sofern ein Betroffener vor
Durchführung der Maßnahme keine Gelegenheit hatte, sich vor den
Gerichten gegen die Verwendung seiner Telekommunikationsverkehrsdaten
zur Wehr zu setzen, ist ihm eine gerichtliche Kontrolle nachträglich zu
eröffnen.

Und ich MUSS mindestens nachträglich über jegliche Auswertung/Abfrage informiert werden

Eine verhältnismäßige Ausgestaltung setzt weiterhin wirksame Sanktionen
bei Rechtsverletzungen voraus. Würden auch schwere Verletzungen des
Telekommunikationsgeheimnisses im Ergebnis sanktionslos bleiben mit der
Folge, dass der Schutz des Persönlichkeitsrechts angesichts der
immateriellen Natur dieses Rechts verkümmern würde, widerspräche dies
der Verpflichtung der staatlichen Gewalt, dem Einzelnen die Entfaltung
seiner Persönlichkeit zu ermöglichen und ihn vor
Persönlichkeitsrechtsgefährdungen durch Dritte zu schützen. Der
Gesetzgeber hat diesbezüglich allerdings einen weiten
Gestaltungsspielraum. Insoweit darf er auch berücksichtigen, dass bei
schweren Verletzungen des Persönlichkeitsrechts bereits nach geltender
Rechtslage sowohl Verwertungsverbote auf der Grundlage einer Abwägung
als auch eine Haftung für immaterielle Schäden begründet sein können,
und somit zunächst beobachten, ob der besonderen Schwere der
Persönlichkeitsverletzung, die in der unberechtigten Erlangung oder
Verwendung der hier in Frage stehenden Daten regelmäßig liegt,
möglicherweise schon auf der Grundlage des geltenden Rechts hinreichend
Rechnung getragen wird.

Der Bürger hat eine Möglichkeit sich auch gerichtlich zu wehren. Der obige Passus nutzt sehr deutlich Worte.


Innerhalb des ihm dabei zustehenden Gestaltungsspielraums darf der
Gesetzgeber solche Auskünfte auch unabhängig von begrenzenden Straftaten
oder Rechtsgüterkatalogen für die Verfolgung von Straftaten, für die
Gefahrenabwehr und die Aufgabenwahrnehmung der Nachrichtendienste auf
der Grundlage der allgemeinen fachrechtlichen Eingriffsermächtigungen
zulassen. Hinsichtlich der Eingriffsschwellen ist allerdings
sicherzustellen, dass eine Auskunft nicht ins Blaue hinein eingeholt
wird, sondern nur aufgrund eines hinreichenden Anfangsverdachts oder
einer konkreten Gefahr auf einzelfallbezogener Tatsachenbasis erfolgen
darf. Ein Richtervorbehalt muss für solche Auskünfte nicht vorgesehen
werden; die Betreffenden müssen von der Einholung einer solchen Auskunft
aber benachrichtigt werden.

DIESER Part ist in meinen Augen verbesserungsfähig, denn auch hier gilt in meinen Augen der Datenschutz personenbezogener Daten – insofern erwarte ich auch hier den Richtervorbehalt. Durch die nachträgliche Auskunftspflicht KANN aber der Bürger hier eine Kontrollfunktion (Feedback über Medien etc) erwirken.

Auch können solche Auskünfte nicht allgemein
und uneingeschränkt zur Verfolgung oder Verhinderung jedweder
Ordnungswidrigkeiten zugelassen werden. Die Aufhebung der Anonymität im
Internet bedarf zumindest einer Rechtsgutbeeinträchtigung, der von der
Rechtsordnung auch sonst ein hervorgehobenes Gewicht beigemessen wird.
Dies schließt entsprechende Auskünfte zur Verfolgung oder Verhinderung
von Ordnungswidrigkeiten nicht vollständig aus. Es muss sich insoweit
aber um auch im Einzelfall besonders gewichtige Ordnungswidrigkeiten
handeln, die der Gesetzgeber ausdrücklich benennen muss.

Die Messlatte wird auch im Internet nicht auf Kellerniveau gelegt. Naja, könnte man besser.

Den Rest der Urteilsbegründung habe ich hier nicht wieder gegeben, da er die Altlasten betrachtet und nicht zwingend für die Betrachtung des eventuell kommenden relevant ist.

Mein Einschätzung ist immer noch dass dieses Urteil SEHR wichtig für die FREIHEIT in der Bundesrepublik Deutschland ist und sein wird.