Autor: Andreas Nörr

Vorratsdatenspeicherung: Inhalte von SMS werden gespeichert

Heute entscheidet der Bundestag über die Wiedereinführung der Vorratsdatenspeicherung in der abgeänderten Form, nachdem die Vorratsdatenspeicherung durch das Bundesverfassungsgericht gekippt worden war.
Die Wiedereinführung ist sehr umstritten. Kritiker bemängeln zu Recht, dass ein Sicherheitsgewinn durch die Vorratsdatenspeicherung nicht gegeben sei, dafür aber massive Beeinträchtigungen der Persönlichkeitsrechte der Bürger damit einhergehen. Die Bundesregierung betont, dass sich die Vorratsdatenspeicherung nur auf die Verbindungsdaten, nicht aber auf die Kommunikationsinhalte beziehe. Diese würden nicht gespeichert. Trotzdem ist allein aufgrund der Meta-Daten ein umfassendes Profil über das Kommunikationsverhalten der Bürger möglich. Bei Mobilfunkgesprächen werden auch die Standortdaten gespeichert, sodass ein umfassendes Bewegungsprofil möglich ist.
Der heutige Bericht der Süddeutschen Zeitung dürfte die Kritiker weiter bestätigen. Die Zeitung berichtet, dass es derzeit nicht möglich sei, eine Speicherung der Meta-Daten der SMS ohne gleichzeitige Speicherung der Inhalte vorzunehmen. Der Inhalt einer SMS befinde sich in einer speziellen Container-Datei, der nicht aufgeteilt werden könne in Verbindungsdaten und Kommunikationsinhalt.
Dieser Umstand ist zwar technisch bedingt und hat nichts direkt mit der Vorratsdatenspeicherung zu tun. Bisher werden die Metadaten für SMS allerdings allein für Abrechnungszwecke für einen sehr kurzen Zeitraum, meist 7 Tage lang, gespeichert. Die Wiedereinführung der Vorratsdatenspeicherung würde dazu führen, dass diese Inhalte – und damit auch die Container-Datei mit dem gesamten Inhalt der SMS – zukünftig zehn Wochen lang gespeichert werden müssten.

 

Eine technische Möglichkeit, diese Daten zu trennen, haben die Provider nach dem Zeitungsbericht derzeit noch nicht.
Update 1: Der Bundestag hat heute die Vorratsdatenspeicherung beschlossen. 

Update 2: Die Mobilfunkprovider haben mittlerweile eine Stellungnahme abgegeben, in der sie der Speicherung von SMS-Inhalten widersprechen.

AG Hamburg wendet Haftungsprivileg für Provider analog an

Während die Politik noch versucht, die Störer-Haftung in Deutschland liberaler zu regeln und damit freies WLAN zu fördern (der bisherige Gesetzentwurf wurde als zu restriktiv kritisiert), hat das Amtsgericht Hamburg (Urteil vom 10. Juni 2014, Az. 25b C 431/13Entscheidung im Volltext) in einer sehr bemerkenswerten Entscheidung das Haftungsprivileg der Provider aus § 8 TMG auf Hotels ausgedehnt.

§ 8 TMG lautet in seinem Absatz 1:

Diensteanbieter sind für fremde Informationen, die sie in einem Kommunikationsnetz übermitteln oder zu denen sie den Zugang zur Nutzung vermitteln, nicht verantwortlich, sofern sie

1. die Übermittlung nicht veranlasst,

2. den Adressaten der übermittelten Informationen nicht ausgewählt und

3. die übermittelten Informationen nicht ausgewählt oder verändert haben.

Satz 1 findet keine Anwendung, wenn der Diensteanbieter absichtlich mit einem Nutzer seines Dienstes zusammenarbeitet, um rechtswidrige Handlungen zu begehen.

Diese Vorschrift betrifft normalerweise nur Access-Provider wie beispielsweise die Telekom. Der Provider haftet nicht für Rechtsverletzungen, die die Internetnutzer über ihre Leitungen begehen.

Das Amtsgericht Hamburg stellt nun Hotels, die einen Zugang zum Internet anbieten, mit Access-Providern gleich und hat die Klage der Rechteinhaber eines Films gegen den Hotel-Betreiber abgewiesen.

Die weitere Rechtsprechung und das Vorgehen des Gesetzgebers dürften spannend werden.

Leistungsschutzrecht: Patentamt leitet Aufsichtsverfahren gegen VG Media ein

In meinem letzten Post wies ich bereits auf das Problem der Ungleichbehandlung hin, das sich aus der Gratis-Einwilligung der VG Media für Google ergibt. Dies ruft nun auch die staatliche Aufsicht auf den Plan.

Die VG Media hatte Google für die Nutzung der Artikel in den Suchergebnissen und in Google News eine widerrufliche Gratis-Einwilligung erteilt. Die Einwilligung bekam allerdings nur Google, kleinere Suchmaschinen müssen weiterhin eine Vergütung bezahlen. Viele Anbieter verzichten seitdem auf das Anzeigen der Verlagsseiten, um nicht vergütungspflichtig zu werden.

Nun hat das Deutsche Patent- und Markenamt, das gemäß § 18 UrhWahrnG die Aufsicht über die Verwertungsgesellschaften führt, ein Aufsichtsverfahren gegen die VG Media eingeleitet. Das Patentamt prüft eine mögliche Benachteiligung der VG Media gegenüber kleineren Suchmaschinen. Das Ergebnis dürfte mit Spannung erwartet werden.

Leistungsschutzrecht: Vorreiter Springer gibt nach

Seit knapp zwei Wochen zeigt Google die Artikel der auf das Leistungsschutzrecht beharrenden Verlage nur noch mit der Überschrift in seinen Suchergebnissen und Google News an. Nun lenkt auch der Axel Springer Verlag ein und gibt Google die Gratis-Einwilligung zur Nutzung der Artikel seiner Portale welt.de, computerbild.de, sportbild.de und autobild.de. 

Der Springer Verlag war treibende Kraft bei der Forderung nach einem Leistungsschutzrecht für Presseverlage. Springer-Vorstandsvorsitzender Mathias Döpfner warnte in einem offenen Brief in der FAZ im April vor der Marktmacht von Google. Nun musste er am eigenen Leib erfahren, wie stark diese ist. Seitdem Google die Artikel der Springer-Portale nur noch mit den Überschriften anzeigt, brach der Traffic um 40 Prozent, im Google News-Bereich sogar um 80 Prozent, ein. Die Springer-Seiten verloren in den Wertungen von IVM und AGOF deutlich an Reichweite. Nun zieht Springer die Reißleine und erteilt Google die Einwilligung zur Nutzung seiner Artikel. Nachdem zahlreiche Verlage bereits die Gratis-Einwilligung erteilt haben führt das Nachziehen des mächtigsten Medienkonzerns nun zur Beerdigung des Leistungsschutzrechts.
Bei den deutschen Suchmaschinen von T-Online, GMX und Web.de, bei denen die Verlage auch Vergütungen für die Nutzung ihrer Inhalte verlangten, werden die Inhalte dagegen gar nicht mehr angezeigt – nicht einmal die Überschriften. Interessant ist, ob Springer und die VG Media auch bei diesen Anbietern zurückrudern oder ob nur Google aufgrund seiner Marktmacht die Einwilligung erhält.

Das faktische Aus des Leistungsschutzrechts für Presseverlage

Am 1. August 2013 ist das Leistungsschutzrecht für Presseverleger in das Urheberrechtsgesetz eingefügt worden (§§ 87f ff. UrhG). Damit sollte erreicht werden, dass Presseverlage auch für Ausschnitte ihrer Artikel, die sogenannten Snippets, eine Vergütung verlangen können, wenn diese von anderen im Internet verwendet werden. Das Gesetz wurde auch „Lex Google“ genannt, weil mit ihm verhindert werden sollte, dass Google die Presseartikel der Verlage in seinem eigenen Angebot Google News verwendet, ohne die Presseverlage zu vergüten. Einzelnen Presseverlagen – die vor allem in der Verwertungsgesellschaft VG Wort zusammengeschlossen sind – war es ein Dorn im Auge, dass Google ihre Presseartikel verwendet und kommerzialisiert. Die Internetnutzer müssten das Angebot der Verlage gar nicht mehr benutzen, sondern könnten sich allein über Google News informieren, ohne dass Google die Texte selbst schreiben oder erwerben müsse, so die Argumentation und Befürchtung der Verlage.

Google schrieb als Reaktion auf das Gesetz alle Presseverlage an und fragte an, ob die Verlage auf ihr Recht verzichten würden, was die Mehrzahl der Verlage auch tat. Anders natürlich die Verlage, die ihre Rechte über die VG Media geltend machen. Diese forderten eine Vergütung von Google.
Nun hat der Streit eine überraschende Wende genommen. Google weigerte sich, die Verlage zu entlohnen und kündigte an, bei den betroffenen Verlagen nur noch die Überschriften der Artikel aufzunehmen. Nach langen Hin und Her nun die Überraschung: Die betroffenen Verlage bekommen kalte Füße und geben Google eine „widerrufliche Gratiseinwilligung“ zur weiteren Nutzung ihrer Texte. Die Verlage befürchten, Leser zu verlieren, die über Google auf ihre Seite gelangen.
Damit ist das – schon immer sehr umstrittene – Leistungsschutzrecht für Presseverleger faktisch am Ende. Es existiert zwar de jure, es wird aber de facto nicht angewandt: Ein großer Teil der Pressehäuser hat bereits im Vorfeld auf die Geltendmachung verzichtet und der andere, kleinere Teil gab Google nun die „Gratiseinwilligung.“ Auch wenn sich die VG Media damit nicht zufrieden geben will, wird sich an dieser Situation vermutlich nichts ändern. Denn die Verlage sind auf die von Google zu ihrem Angebot kommenden Nutzer angewiesen.

Es war ein Kampf David gegen Goliath. Die traditionelle Presse gegen Google und jetzt hat Google vermeintlich gewonnen. Aber nur vermeintlich. Google News ist letztlich eine Win-Win-Situation für Google und die Presse. Nicht nur Google macht mit den Artikeln Geld, sondern auch die Pressverlage. Denn die Snippets reichen eben nicht, um sich umfassend zu informieren: die Internetnutzer wollen auch den Rest des Artikels lesen und besuchen die Seite der Presseverlage über Google. Die Snippets sind also letztlich nichts anderes als Werbung für die Artikel der Presseunternehmen.

Update: In einer früheren Version des Artikels stand, dass Google News die Presseartikel über die eingeblendete Werbung kommerzialisiert. Ich wurde darauf hingewiesen, dass dies nicht ganz richtig ist, da Google News an sich werbefrei ist. Allerdings erscheinen in den Suchergebnissen von Google, die Werbung enthalten, ganz oben auch Suchresultate aus Google News. Darüber hinaus macht das Angebot Google für die Nutzer attraktiver und bindet sie mehr an das Unternehmen, sodass eine Kommerzialisierung doch stattfindet. 

Verpasste Chance: Jugendangebot von ARD und ZDF nur online

Das unter der Federführung des SWR geplante crossmediale Jugendangebot von ARD und ZDF wird es leider nur als Online-Angebot geben und nicht wie von ARD und ZDF geplant als trimediales Fernseh-, Internet- und Radioangebot. Das haben die Ministerpräsidenten heute auf ihrer Konferenz in Potsdam beschlossen.
Damit haben die Ministerpräsidenten leider eine wichtige Chance verpasst. Zwar ist ein Online-Jugendangebot immer noch besser als gar keines; konsequent wäre aber das von den Rundfunkanstalten ursprünglich geplante trimediale Angebot gewesen. Denn die Grenzen zwischen Fernsehen, Radio und Internet verschwinden zunehmend. Trimedialität ist das Stichwort und die Devise – dies haben die Rundfunkanstalten erkannt und stellen ihre Strukturen zunehmend darauf um. Entscheidend sind nicht die Ausspielwege, sondern die Inhalte, die nicht mehr linear, sondern on demand auf verschiedenen Ausspielwegen bereitgehalten werden. Ein reines Online-Angebot bringt die öffentlich-rechtlichen Anstalten zwar wieder näher an die Jugendlichen, aber leider nur dort, wo sie sowieso schon sind: im Internet. Beim Fernsehen – wo die privaten Sender in dieser Altersgruppe dominieren – finden Jugendliche leider kein auf sie zugeschnittenes öffentlich-rechtliches Angebot vor. Dies wäre aber wichtig für die Bindung an öffentlich-rechtliche Programme gewesen. Der Altersdurchschnitt der öffentlich-rechtlichen Sender ist höher als bei den Privaten. Ein Jugendlicher, der das öffentlich-rechtliche Jugendprogramm schaut, baut eine Bindung auf, schaut vielleicht auch die Tagesschau und wandert eher zu ARD und ZDF, wenn er aus dem jugendlichen Alter heraus ist. Das trimediale Angebot wäre daher auch ein wichtiger Faktor für die Akzeptanz des Rundfunkbeitrags und des dualen Systems gewesen.
Die öffentlich-rechtlichen Rundfunkanstalten haben dies erkannt und ein mutiges, zukunftsweisendes Konzept entwickelt. Die Ministerpräsidenten sahen dies leider nicht so. Dabei wären durch den Wegfall der Sender EinsPlus und ZDF Kultur die Kapazitäten für ein neues Fernsehangebot frei gewesen.

WhatsApp und das Strafrecht

Medienberichten zufolge plant WhatsApp die Einführung von Sprachtelefonie mittels VoIP. Dabei soll es auch die Möglichkeit geben, das Gespräch ohne das Wissen des Gesprächspartners aufzuzeichnen.

Nutzer, die von dieser Aufnahmemöglichkeit Gebrauch machen, machen sich allerdings in Deutschland strafbar. Gemäß § 201 StGB wird mit Freiheitsstrafe von bis zu drei Jahren oder mit Geldstrafe bestraft, wer unbefugt das nichtöffentlich gesprochene Wort eines anderen auf einem Tonträger aufnimmt (Absatz 1 Nr. 1).

Nicht nur in Deutschland dürfte das heimliche Aufnehmen von Telefonaten strafbar sein. Auch andere Länder dürften ähnliche Regelungen zum Schutz des Rechts am eigenen Wort als Ausdruck des allgemeinen Persönlichkeitsrechts haben. Man darf gespannt sein, welche Reaktionen die neue Funktion in der Öffentlichkeit hervorrufen wird.

Geleakte Nackt-Fotos: Das Internet braucht bessere Authentifizierungsinstrumente

Die gehackten iCloud-Accounts einiger Prominenter haben für viel Aufsehen gesorgt. Weniges verletzt die Privatsphäre mehr, als wenn intime Fotos im Internet kursieren, die nicht für die Öffentlichkeit bestimmt waren.

Die ursprünglichen Vermutung, dass die Hacker die iCloud-Accounts durch Brute-Force-Attacken geknackt hätten, hat sich nicht bestätigt. Apple verneint einen entsprechenden Angriff über die Find-my-phone-Funktion. Stattdessen kamen die Hacker wohl über eine Phishing-Attacke oder über erratene Sicherheitsfragen an die Accounts.
Dies zeigt, wie fragil die Authentifizierungsmechanismen im Internet sind. Die gesamte Sicherheit und Online-Identität hängt von einem Passwort ab. Hier verwendet der bequeme Internetnutzer oft viel zu leichte Kennwörter und nicht selten dasselbe für mehrere Dienste. Dieses Passwort gibt der Nutzer auch viel zu leichtsinnig Preis, indem er etwa vermeintlich vom Betreiber des Dienstes stammende E-Mails öffnet und seine Zugangsdaten auf gefälschten Webseiten eingibt.
Die zweite Angriffsmöglichkeit bieten die Dienste, die noch Sicherheitsfragen für den Fall verwenden, dass sich der Nutzer nicht mehr an sein Passwort erinnert. Fragen wie „Name des Haustiers“ oder „Mädchenname der Mutter“ lassen sich in Zeiten des Internets und der sozialen Netzwerke teilweise leicht herausfinden, gerade bei Prominenten. Google etwa verwendet Sicherheitsfragen schon seit einiger Zeit nicht mehr, sondern bietet die Möglichkeit, die Kennwortwiederherstellung über SMS oder Telefon durchzuführen. Dies ist erfreulich und zeigt wieder einmal, dass Google in Fragen der Internetsicherheit Vorreiter ist, ähnlich wie bei den eingeführten Sicherheitsmerkmalen der Zwei-Faktor-Authentifizierung, durchgängigen SSL-Transportverschlüsselung, Perfect Forward Secrecy und der Sender Policy Framework.
Was also tun? Die Ergänzung des Passworts um einen jeweils individuell erstellten und nur zeitlich begrenzt gültigen Faktor wie bei der Zwei-Faktor-Authentifizierung ist gut und richtig. Leider kennen viele Nutzer diese Möglichkeit, die die Sicherheit erheblich erhöht, nicht oder sind zu bequem. Das Dilemma der zu einfachen, mehrfach verwendeten und nicht mehr merkbaren Passwörter wird dadurch nicht gelöst. Der Fingerabdruck taugt in der Paxis nicht, weil die Technik nicht zuverlässig und gegen Tricks geschützt ist und sich der Fingerabdruck im Fälle eines „Diebstahls“ nicht ändern lässt. Die Lösung wäre die Authentifizierung mittels eines Zertifikats, das etwa auf dem neuen Personalausweis gespeichert ist. Diese Lösung funktioniert aber aus mehreren Gründen (noch) nicht: Es wäre eine rein nationale Lösung, mobile Geräte würden nicht (oder zumindest nur schwer) unterstützt und es würde die Betreiber einiges an Geld kosten, dies zu unterstützen. 
Die Sicherheit des gesamten Internet sollte aber Grund genug sein, diese Hürden zu überwinden.

Geleakte Nackt-Fotos: Warum die Schuld nicht wirklich bei Apple liegt

Nicht Apple trägt allein die Schuld dafür, dass mehrere Prominente Opfer eines Hacks wurden, bei dem sich die Täter Zugriff auf zahlreiche Fotos von den Promis verschafften, die diese zum Teil in äußerst intimen Momenten zeigen.
Zwar spricht viel dafür, dass die Fotos von Apples Cloudspeicherdienst iCloud stammten und dass die dort enthaltene FindMyPhone-Option nicht gegen Brute-Force-Attacken gesichert war, wie es eigentlich längst Standard sein sollte. Aber eine Brute-Force-Attacke ist auch nur dann erfolgreich, wenn die Promis einfache Passwörter verwendet haben, wie man sie in Worterbüchern findet. Dass man solche Passwörter oder einfache Variationen davon nicht verwenden sollte, ist kein Geheimnis einiger weniger Nerds, sondern hat sich nicht zuletzt infolge einiger jüngster berühmter Hacks herumgesprochen.
Der Schwachpunkt ist das Passwort. Man sollte ein kompliziertes Passwort verwenden, das man etwa aus den Anfangsbuchstaben eines sich selbst ausgedachten Satzes bildet. Verwendet man dann noch eine Zwei-Faktor-Authentifizierung – wie sie übrigens auch Apples iCloud anbietet, ist man vor solchen Angriffen schon sehr sicher.
Der Verzicht auf die Cloud ist keine Lösung. Denn die Cloud gehört längst zum digitalen Alltag, eine Vermeidung ist nur sehr schwer möglich. Und eine solche führt dazu, dass man wichtige Daten ganz verliert, wenn etwa das Smartphone gestohlen oder zerstört wird.
Die Anbieter stehen in der Pflicht unsere Daten zu schützen. Aber auch der Nutzer steht in der Pflicht, seine eigenen Daten zu schützen.
Update: Apple hat den Vorfall mittlerweile untersucht und kann nach eigenen Angaben eine Sicherheitslücke in iCloud ausschließen. Das heißt, die Hacker sind auf andere Weise an die Zugangsdaten der Promis gelangt, wo wir wieder bei zu einfachen Passwörtern wären. Möglich ist auch das Erraten von Sicherheitsfragen. Die dort abgefragten Daten lassen sich bei Promis zum Teil leicht herausfinden.