Dieser Tage wird immer mal wieder, insbesondere nach der Sendung des ZDF Magazin Royale vom 27. Mai 2022, von der Login-Falle als effektives Mittel zur Strafverfolgung im Netz gesprochen. Hier stellt sich für mich aber die Frage, welche Rolle bei dieser die Datenschutz-Grundverordnung (DS-GVO) spielt wie eine Login-Falle datenschutzrechtlich einzustufen wäre?
Was genau meinen Sie denn? In der Sendung ging es um die Verfolgung von Anzeigen durch die Polizei.
Das ist richtig. Aufgrund dieser Sendung kam eben die “Login-Falle” wieder ins Gespräch, weil damit die Strafverfolgungsbehörden in Deutschland effektiv und vor allem grundrechtsschonend Straftaten im Internet aufklären könnten.
Für mich stellen sich hierbei folgende Fragestellungen:
- Ist die DS-GVO bei der Login-Falle relevant?
- Wenn die Antwort auf Fragestellung 1 “Ja” lautet: Inwieweit tangiert die Login-Falle die DS-GVO?
Die Login-Falle löst das Datenschutzproblem, da nur in begründeten Fällen (Beweis ist der entsprechende Post) Daten erhoben werden. Ob es strafrechtsrelevant ist, entscheiden Polizeibeamte. Erst dann wird die Login-Falle gezielt und datensparend genau für den mutmaßlichen Straftäter scharfgeschaltet. Daher handelt sich die Login-Falle um ein zielsicheres, im Gegensatz zur Klarnamenpflicht datensparendes Instrument. Wer sollte ein Interesse daran haben, zu verhindern, dass Straftaten gezielt aufgeklärt werden können?
- Die DSGVO ist kein Instrument zur Verdeckung von Straftaten, insofern: nein
Auf den ersten Blick: Für das “Scharfschalten” der Login-Falle, die Ermittlung des Nutzers und die Übermittlung der Daten an die Behörden könnte sich der Anbieter auf Art.6 Abs.1 lit.c (auch §24 Abs.1 BDSG) und die noch zu schaffende(?) Rechtsgrundlage berufen. Die Strafverfolgungsbehörden unterliegen der Richtlinie (EU) 2016/680 und deren nationaler Umsetzung (Polizeigesetze u.a.).
Die Rechtsgrundlage für die Identifikation von Straftätern durch die “Login-Falle” ist Artikel 23 DSGVO - Beschränkungen:
(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22, Artikel 34 sowie Artikel 5 […] im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung […] eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten […]
Das ist ja gerade der Witz an der Sache, dass dazu keine weitere Rechtsgrundlage (wie für die Klarnamenpflicht erforderlich wäre) geschaffen werden muss.
Nein. Art.23 erlaubt Beschränkungen der Betroffenenrechte und -pflichten (siehe Erwägungsgrund 73).
Korrekt. Art. 23 DSGVO ist eine Öffnungsklausel, keine Rechtsgrundlage. Siehe dazu auch: EDSA: https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_202010_article23_en.pdf
Ja, und es geht ja wohl um die Betroffenrechte der Straftäter. Welche denn sonst?
Die Öffnungsklausel ermöglicht aber die Ermittlungen für die Strafverfolgungsbehörden.
Gibt’s auch substantielle Einwände gegen die Argumentation der Gruppe D64 (ich bin kein Mitglied) oder geht’s hier nur ums Rechthaben?
Es geht nicht um Rechthaberei. Sondern darum, dass falsche Aussagen korrigiert werden. Was nicht tragisch ist. Außer, man besteht auf Falschhaberei.
Edit: https://www.sueddeutsche.de/politik/login-falle-klarnamenpflicht-1.5485602
Also ich habe nicht ganz verstanden, wie diese Login-Falle funktioniert, aber ich denke, die Rechtsgrundlage für den Privaten zur Übermittlung der Daten an die Strafverfolgungsbehörden dürfte § 24 Abs. 1 BDSG sein. Die Betroffenenrechte werden auf der Grundlage der Öffnungsklausel in Art. 23 DSGVO durch die §§ 32 ff. BDSG beschränkt, weil dies sonst die effektive Strafverfolgung vereiteln würde.
Nun, anzolino hat die DS-Antwort doch ausreichend skizziert?
Der Bericht in der Süddeutschen berichtet über den Ansatz und das praktische Problem (der Betreiber, nicht der Hoster), Link siehe oben.
Das praktischere Problem sieht man zB am Fall Claudia Roth. Oder Pimmelgate. Und meine auch, dass die Behörden dem Arbeitsanfall nicht gewachsen sein werden … äh … nur selektiv gewachsen sind.
“Falle” halte ich für eine ungeschickte Wortwahl. Oder ist es Futter für die fresswütigen Fans der Vorratsdatenspeicherung?
Nein. Die Öffnungsklausel ermöglicht dem nationalen Gesetzgeber Beschränkungen in seinen nationalen Gesetzen zu formulieren. Wie bereits geschrieben gelten für die Strafverfolgung andere Normen.
Falle im Sinne von “in die Falle getappt” klingt nicht stimmig? Hmm. Du willst jetzt aber nicht einen Login-Kätcher?
Ich stelle mir die technische Umsetzung spannend vor, denn die müsste ab dem Scharfschalten automatisiert ablaufen, um die Vorratsdatenspeicherung zu vermeiden. Das erfordert vertrauenswürdige Schnittstellen. Und eine Matrix zum Abbilden gültiger Rechtsgrundlagen inkl. digitalem Gerichtsbeschluss (digitalisiert != einscannen). Für FB oder GG sind solche Schnittstellen sicherlich kein großer Aufwand.
Aber ja, vorstellen kann ich mir die Einführung einer Mindestspeicherfrist und ähnliches zur Abfederung von digitalen Defiziten.