Im zweiten Teil unseres Beitrages zu den Risiken eines PGP-Keyservers betrachten wir heute das Datenschutzrecht. Auch hier ist eine Interessenabwägung durchzuführen und die ungewöhnliche technische Situation angemessen zu berücksichtigen.
Der Inhalt im Überblick
Übermittlung der personenbezogene Daten
Die üblicherweise im Textfeld aufgeführten Daten (Name, Vorname, Anschrift, E-Mail-Adresse) stellen personenbezogene Daten im Sinne der Datenschutzgesetze dar. Diese werden gespeichert und über das Internet an beliebige Dritte übermittelt.
Rechtsgrundlage der Datenverarbeitung
Zu unterscheiden sind nun zwei Konstellationen. Zum einen kann ein Betroffener selbst seine Daten samt Schlüssel auf den Server geladen haben, zum anderen kann ein Dritter gegen den Willen oder zumindest ohne Kenntnis des Betroffenen die Daten auf den Server geladen haben.
Vertrag mit dem Betroffenen
Lädt der Betroffene selbst seine Daten auf den Server, erscheint es sehr gut vertretbar, zwischen dem Betreiber des Servers und dem Betroffenen einen Vertrag zur Speicherung und Veröffentlichung der Daten anzunehmen, auch wenn die Leistung unentgeltlich erfolgt.
In diesem Fall erlaubt § 28 Abs. 1 S. Nr. 1 BDSG die erforderliche Nutzung der Daten. Da von Anfang an klar ist, dass die Daten nicht mehr gelöscht werden können, kann sich der Betroffene auch nicht auf sein Recht zur Löschung berufen. Dieses Verhalten würde gegen Treu und Glauben verstoßen.
Interessensabwägung
Werden die Daten nicht vom Betroffenen auf den Server geladen liegt kein Vertrag vor. Möglich wäre eine Nutzung eventuell nach § 28 Abs 1 S. 1 Nr. 2 BDSG. Danach ist ein berechtigtes Interesse des Betreibers mit einem schutzwürdigen Interesse des Betroffenen abzuwägen.
Neben einer allgemeinen Verletzung des „informationellen Selbstbestimmungsrechtes“ des Betroffenen können auch andere Gesichtspunkte, wie z. B. mit der Verarbeitung zu befürchtende wirtschaftliche oder berufliche Nachteile ein solches schutzwürdiges Interesse begründen.
Diese schutzwürdigen Interessen lassen sich abstrakt schwer abschätzen. Neben den vorgesehenen Angaben könnten auch beliebige weitere Angaben angegeben werden, so dass bei Eingabe der E-Mail-Adresse in der Suchmaske ein ausführliches Persönlichkeitsprofil erscheint.
Es erscheint daher zumindest möglich, dass das berechtigte Interesse des Anbieters an der Nutzung der Daten hinter den schutzwürdigen Interessen des Betroffenen zurück treten muss. In diesem Fall wäre die weitere Speicherung unzulässig.
Keine alternativen Lösungen
Es greift auch kein anderer gesetzlicher Erlaubnistatbestand ein, die Daten sind daher zu löschen. Die Verpflichtung zur Löschung kann jedoch entfallen, wenn eine Löschung wegen der besonderen Art der Speicherung nicht möglich ist. Dieser Fall ist hier gegeben.
Allerdings tritt dann an die Stelle der Löschungsverpflichtung eine Verpflichtung zur Sperrung der Daten. Auch diese ist jedoch nicht möglich, da der Betreiber des Servers wie ausgeführt keine Zugriffsmöglichkeit auf einzelne Datensätze hat. Da das Gesetz keine weitere Möglichkeit eröffnet, wird man demnach wohl eine Einstellung des Dienstes vornehmen müssen.
Fazit
Das Ergebnis verwundert etwas, liegt aber in den technischen Gegebenheiten begründet. Man betreibt praktisch einen Dienst, aus dem man sich selber ausgesperrt hat. Hat man aber keine Möglichkeit mehr, um in den Dienst einzugreifen, bleibt am Ende nur die Einstellung des Dienstes um Rechtsverletzungen zu beenden.
In der Praxis beschränkt sich die Problematik sicherlich auf Einzelfälle. In allen bekannt gewordenen Fällen wurde der Server von dem jeweiligen Betreiber bereits auf das erste anwaltliche Schreiben hin abgestellt, um die Kosten eines Gerichtsverfahrens zu vermeiden. Wie ein Gericht einen solchen Fall bewerten würde, ist daher noch völlig offen.
Unser Rechtssystem ist schon ganz große Klasse, nicht! Ich gleiche selber mein GPG Schlüsselbund regelmäßig mit nem vernetzten Keyserver ab. Alleine schon deswegen um mit zu bekommen ob jemand seinen Schlüssel zurück gezogen hat oder ob ein Schlüssel neue Signaturen bekommen hat. Dabei werden natürlich auch Schlüssel die ich privat bekommen habe auf den Server geladen, welche der eigentliche Inhaber nicht hoch geladen hat. Wie auch sonst soll z.B. jemand eine Signatur eines Postings verifizieren wenn der Poster zwar PGP benutzt, aber den Key nicht öffentlich macht?
Wer an den Keyservern sägt, stellt damit das ganze PGP Konzept in Frage. Es wäre traurig wenn alle deutschen Keyserver dicht machen müssten, nur weil sich ein Individuum in seinen Persönlichkeitrechten verletzt sieht.
Zum Glück gibt es genügend Keyserver in Ländern die nicht solche verkorksten Gesetze haben wie wir in Deutschland. Und zu guter Letzt könnte man auch via Darknet an einen Keyserver kommen.
Ja, bis zu einem gewissen Grad empfinde ich das Ergebnis auch als unbefriedigend. Aber ich kann mir durchaus vorstellen, dass es Extremfälle geben kann, bei denen man ins Grübeln kommt.
Ich wurde einmal gebeten, einer Frau juristisch zu helfen, die von einem Ex-Freund belästigt wurde, der inzwischen in den USA lebte. Dieser schrieb täglich E-Mails mit sehr unangenehmem Inhalt und teilweise mit Fotos im Anhang an die Kollegen der Frau. Jeden Tag! Ein wirklich äußerst unangenehmer Mensch.
Jetzt stellen Sie sich bitte vor, die Frau ist Informatikerin und nutzt PGP. Der Ex-Freund verknüpft dann dort z.B. Links zu kompromitierenden Fotos mit ihrem Namen. Dann würde jedes Mal, wenn jemand nach ihrem Schlüssel sucht, der Hinweis auf die Bilder mit erscheinen.
Auch wenn der Masse der Bevölkerung die Rechtsverletzung niemals auffällt, kann sich das in dem beruflichen Umfeld der Frau durchaus unangenehm auswirken.
Natürlich ist mir auch klar, dass man dieses Problem nicht löst, indem man deutsche PGP-Keyerver vom Netz nimmt. Aber es illustriert vielleicht, warum ein Internet-Dienst ohne jegliche Eingriffs- oder Kontrollmöglichkeiten eben Risiken mit sich bringt.
Ich frage mich warum die E-mailadressen im Klartext gespeichert werden müssen obwohl es auch als md5 / sha1 Hash geht. Das Mail-Programm nimmt dann die Ziel E-mailadresse, hasht sie, stellt mit dem Hash eine Anfrage an den Keyserver/lokale Keysammlung und bekommt dann den Public Key des Adressaten.