„Seit gestern müssen deutsche Cloud-Nutzer fürchten, wegen harmloser privater Aufnahmen von ihren Kindern in das Fadenkreuz der hiesigen Polizeibehörden zu geraten!“
So oder so ähnlich lauten die Eingangszeilen etlicher Berichte, welche einen vermeintlichen Skandal heraufbeschwören und dadurch Microsofts Reputation bezüglich des Umgangs mit Kundendaten gefährden. Auslöser der oben zitierten Schlussfolgerung wie auch der damit einhergehenden rechtlichen Auseinandersetzung mit dem Thema „Cloud-Dienste und Datenschutz“ ist der jüngste Blogbeitrag des Rechtsanwalts Udo Vetter: Denn wie der Fachanwalt für Strafrecht berichtet, führten Uploads seines Mandanten in die Microsoft-Cloud (OneDrive) zu einer polizeilichen Hausdurchsuchung.
Gemäß Vetters Schilderung bezeichnet sich sein Mandant selbst als „Internet-Junkie“, der ohne feste Kriterien relativ viel Material sammle – darunter auch pornographische Inhalte. Einen Teil davon habe er für die eigene Nutzung auf OneDrive hochgeladen. Dabei meldete Microsofts Scanner im Zuge der automatisierten Durchsuchung der Daten unter mehreren tausend unbedenklichen Bildern lediglich eine Bilddatei als fragwürdig. Dies hatte letztlich zur Folge, dass Microsoft das US-amerikanische Center for Missing & Exploited Children diesbezüglich informierte, welches wiederum über die US-Polizei das Bundeskriminalamt in Wiesbaden in Kenntnis setzte. Die Staatsanwaltschaft Nürnberg-Fürth erachtete die einzelne Bilddatei als ausreichend, um einen Durchsuchungsbeschluss zu beantragen, welchen das Amtsgericht Nürnberg auch erließ. Daraufhin kam es schließlich zur Hausdurchsuchung in den Morgenstunden, doch auch die gesamte Hardware des Mandanten wurde zur näheren Durchlichtung beschlagnahmt. Sein Fazit formuliert Rechtsanwalt Vetter folgendermaßen:
Der Fall zeigt, dass in der Cloud gespeicherte Daten vielleicht einigermaßen gegen den Zugriff Dritter gesichert sind. Aber eben nicht gegen die eigene, präventive Kontrolle durch Microsoft & Co. Die Firmen gehen ganz offensichtlich nicht nur konkreten Verdachtsmomenten nach. Vielmehr überprüfen Microsoft und Google, wie sich hier zeigt, tatsächlich automatisch alles, was in die Cloud hochgeladen wird und informieren dann von sich aus die Ermittlungsbehörden. Ins Zwielicht geraten dann möglicherweise zum Beispiel auch Eltern, die Aufnahmen ihrer Kinder in der Cloud speichern.
Dass die Praxis der amerikanischen Unternehmen juristisch fragwürdig ist, habe ich an anderer Stelle erläutert. Der vorliegende Fall bietet vielleicht mal Gelegenheit, den lockeren Umgang der Speicheranbieter mit dem deutschen Telekommunikationsgeheimnis gerichtlich überprüfen zu lassen.
Während wir mit Herrn Vetter darin übereinstimmen, dass das Vorgehen einer rechtlichen Klärung bedarf, tragen wir seine Bedenken in Bezug auf die Risiken für Eltern respektive harmlose Urlaubs-/Familienbilder nicht vorbehaltlos. Tatsächlich bewegt sich Microsoft im Spannungsfeld zwischen der Wahrung und Preisgabe von Informationen Dritter und fällt mithin durch teilweise widersprüchliches Verhalten auf. Denn während man sich in den USA der Weitergabe von Daten auf ausländischen Servern widersetzt, beschafften und vermittelten die Redmonder in diesem Fall eigenständig die zur Strafverfolgung erforderlichen Hinweise.
Der beschriebene Gegensatz ist jedoch unter anderem dem Umstand geschuldet, dass Microsofts Nutzungsbedinungen kinderpornographische Inhalte ausdrücklich verbieten. Lässt man zudem in die rechtliche Würdigung die Frage nach den einschlägigen (Schutz-)Normen einfließen, gewinnt das Thema weiter an Komplexität: So dürften beispielsweise neben dem Telekommunikationsgesetz und dem darin verankerten Fernmeldegeheimnis – in Abhängigkeit vom Einzelfall – auch das Telemediengesetz sowie das Bundesdatenschutzgesetz heranzuziehen sein.
Wie schon angedeutet sehen wir indessen kein erhöhtes Risiko für Eltern, die ihre Aufnahmen aus dem letzten Strandurlaub mit der Familie auf OneDrive laden. Dies aus dem simplen Grund, dass Microsoft unserem Kenntnisstand zufolge gegenwärtig keine autonomen Algorithmen zur Bildanalyse einsetzet: Verwendet wird vielmehr ihre eigens entwickelte Technik namens PhotoDNA, die sich im Übrigen auch bei Google, Facebook, Twitter und weiteren Unternehmen im Einsatz befindet. PhotoDNA erlaubt es, Fotos anhand eines „robusten Fingerabdrucks“ (engl.: Hash) zu identifizieren. Dabei bilden Datenbanken bekannter kinderpornographischer Bilder die Grundlage der Fingerabdrücke, so dass falsche positive Resultate eher die Ausnahme denn die Regel sein dürften. Trotz alledem sollte man sich eines vor Augen halten: Die Entwicklung von Projekten wie „Project Adam“ schreitet voran – weshalb sich die Situation in einigen Jahren anders darstellen könnte.