Polizeibehörden des Landes Nordrhein-Westfalen haben in 19 Fällen die Besucher ihrer Webseiten überwacht. Das geht aus einer Antwort des Innenministeriums auf eine kleine Anfrage hervor. Pikant ist ein Fall aus dem Jahr 2010, anderthalb Jahre nach dem die Bundesjustizministerin diese Ermittlungsmaßnahme untersagt hat.

Vor einem Monat berichtete netzpolitik.org, dass das Bundeskriminalamt mindestens 38 „Homepageüberwachungen“ auf der eigenen Webseite bka.de durchgeführt hat. Dabei werden „sämtliche Internetzugriffe auf eine bestimmte Seite der Homepage … erhoben, gespeichert und ausgewertet“ und bei „besonders auffälligen Zugriffen“ die Anschlussinhaber hinter den zugreifenden IP-Adressen ermittelt. In weiteren 130 Fällen unterstütze das BKA Dienststellen in anderen Bundesländern bei einer solchen Maßnahme.

Jahrelang Webseiten gerastert

Dirk Schatz, Abgeordneter der Piratenpartei im Landtag NRW, hat dazu eine kleine Anfrage an die Landesregierung gestellt, deren Antwort jetzt eingetroffen ist. Daraus geht hervor, dass auch die Behörden des bevölkerungsreichsten Bundeslandes Homepageüberwachungen durchgeführt haben.



Von 2001 bis 2009 ließ man 18 Webseiten durch das Bundeskriminalamt überwachen. Dabei ging es meist um Tötungs- oder Sexualdelikte, aber auch um Brandstiftung oder einmal sogar die „Androhung von Straftaten“. Die Maßnahmen dauerten unterschiedlich lang, von einer Woche bis sechs Jahren im längsten Fall. Statistisch gesehen diente zwischen 2002 und 2009 immer mindestens eine Webseite als Honeypot für Behörden in NRW. Von all diesen Maßnahmen gibt es in nur einem Fall „nachvollziehbare Erkenntnisse“, wonach die Homepageüberwachung „in Kombination mit anderen Spuren zur Identifizierung und Festnahme von zwei Tätern führte“.

Wie man aus allen Besuchern von Webseiten Verdächtige herausfindet und von wie vielen Anschlussinhabern man die Namen und Adressen vom Provider einholt, geht aus der Anfrage leider nicht hervor. Zwar bestätigte ein Sprecher des NRW-Innenministeriums gegenüber netzpolitik.org, dass man „die Leute, die am häufigsten zugreifen“ unter die Lupe nehme. In der Antwort heißt es jedoch:

Die Häufigkeit der Zugriffe ist alleine kein ausreichendes Bewertungskriterium. Ein Verdacht ergibt sich erst in Verbindung mit anderen Bewertungskriterien und Ermittlungsspuren.

Homepageüberwachung trotz Anweisung von Bundesministerien

Nachdem der Jurist und Pirat Patrick Breyer gegen die Speicherung von IP-Adressen in den Webserver-Logs vom Bundesjustizministerium klagte und gewann, hinterfragten Justiz- und Innenministerium des Bundes die Rechtmäßigkeit der Homepageüberwachung. Im Februar 2009 äußerten sie „durchgreifende Bedenken“ und untersagten den Behörden des Bundes die weitere Überwachung ihrer Webseiten-Besucher. Das Schreiben an die Landesjustizverwaltungen endete mit dem Fazit:

Aufgrund dieser rechtlichen Überlegungen veranlasst der Generalbundesanwalt keine Maßnahmen zur Homepageüberwachung. Das Bundesministerium des Innern hat parallel zu diesem Schreiben das Bundeskriminalamt über die vorstehenden rechtlichen Gesichtspunkte informiert und das Unterlassen von Maßnahmen zur Homepageüberwachung veranlasst. Ich rege an, dass Sie die Strafverfolgungsbehörden in Ihrem Zuständigkeitsbereich entsprechend unterrichten.

Laut eigener Aussage hat das Bundeskriminalamt seitdem keine Homepageüberwachung mehr durchgeführt. Die Polizei in Mönchengladbach scheint das Memo jedoch nicht bekommen zu haben und hat trotzdem noch eine Homepageüberwachung eingesetzt, beim Mordfall „Mirco“ im Herbst 2010. Immerhin hatten sie einen Beschluss vom Amtsgericht Krefeld.

Juristen bezweifeln Rechtmäßigkeit

Von netzpolitik.org befragte Juristen halten das dennoch für rechtswidrig. Die Anordnung erfolgte gemäß § 100g Strafprozeßordnung, mit dem übrigens auch die Funkzellenabfrage regelmäßig begründet wird. Doch dieser gilt nur für Verkehrsdaten nach Telekommunikationsgesetz, eine Homepageüberwachung bezieht sich aber auf Nutzungsdaten nach Telemediengesetz, so Dr. Patrick Breyer gegenüber netzpolitik.org. Verkehrsdaten fallen bei Netzbetreibern wie Providern an, Nutzungsdaten hingegen bei Inhalteanbietern wie Webseiten-Betreibern. Laut TMG § 13 Abs. 4 Satz müssen „die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht“ werden.

Der Polizeikommissar außer Dienst Dirk Schatz hält die Homepageüberwachung sogar für „generell rechtswidrig“. Neue Ermittlungsinstrumente sind ja vollkommen in Ordnung, die benötigen dann aber eine eigene Rechtsgrundlage. Da es für die Homepageüberwachung keine Rechtsgrundlage gibt, sei diese auch nicht zulässig. Zudem verweist der angebrachte § 100g StPO in Abs. 2 auf § 100a Abs. 3, in dem es heißt:

Die Anordnung darf sich nur gegen den Beschuldigten oder gegen Personen richten, von denen auf Grund bestimmter Tatsachen anzunehmen ist, dass sie für den Beschuldigten bestimmte oder von ihm herrührende Mitteilungen entgegennehmen oder weitergeben oder dass der Beschuldigte ihren Anschluss benutzt.

Eine Homepageüberwachung beschränkt sich aber ebenso wie eine Funkzellenabfrage nicht auf „Beschuldigte“, sondern betrifft im Gegenteil zwangsläufig fast nur unschuldige Personen.

Das Amtsgericht Krefeld war für eine Stellungnahme leider nicht zu erreichen.

Kritik auch vom Bundesjustizministerium

Auch im Bundesjustizministerium ist man kritisch, wenn auch vorsichtiger. Das Schreiben an die Landesjustizverwaltungen sagt zwar, dass eine Homepageüberwachung nicht ohne eine gerichtliche Anordnung durchgeführt werden darf. Ob es aber mit einer solchen Anordnung geht, wurde absichtlich offen gelassen. Das Bundesjustizministerium mischt sich nicht in die Unabhängigkeit der Justiz ein, so eine Sprecherin gegenüber netzpolitik.org, „dennoch scheinen Zweifel an der Vorgehensweise angemessen“. Sie verweist auf einen weiteren Teil des Schreibens, in dem es heißt:

Ohne etwaigen gerichtlichen Entscheidungen zu dieser Frage vorgreifen zu wollen, erscheint es auch zweifelhaft, ob diese Regelungen eine – gegenüber einer gewöhnliche Telekommunikationsüberwachung anders geartete – Homepageüberwachung rechtfertigen können.

Für diese „Zweifel“ führten Innen- und Justizministerien drei Gründe an. Zum einen den von Dirk Schatz genannten § 100a Abs. 3, dass sich Anordnungen „nur gegen den Beschuldigten … richten“ dürfen. Zudem werden bei einer Homepageüberwachung technische Mittel wie Cookies und Zählpixel eingesetzt, von denen unklar ist, ob sie von der Befugnis zur Telekommunikationsüberwachung erfasst sind. Schließlich wird hinterfragt, ob eine solche Rasterfahndung, die ähnlich wie eine Funkzellenabfrage fast nur Unschuldige und nur in seltenen Fällen einige oder wenige Verdächtige betrifft, überhaupt verhältnismäßig ist.

Was denkt ihr?

Update: Das Innenministerium NRW schloss sich der Einschätzung von BMI und BMJ an, dass es keine rechtliche Grundlage für eine Homepageüberwachung gibt. Das erklärte ein Sprecher des Ministeriums gegenüber netzpolitik.org. Daher wurden im April 2009 die Polizeibehörden des Landes angewiesen, diese Maßnahme nicht mehr von sich aus anzuwenden.

Update 2: Das Amtsgericht Krefeld hat „geantwortet“. Man gibt „grundsätzlich keine Antwort auf derartige Anfragen.“