Ein Fehler in der Matrix
Mit Matrix gibt es ein Open-Source-Projekt, das es gestattet, einen Ende-zu-Ende-verschlüsselten Messengerdienst mit dem üblichen Funktionsumfang auf eigenem Metall zu betreiben. Unter Kontrollgesichtspunkten ist das erstmal super. Die öffentliche Verwaltung in Frankreich setzt deshalb künftig komplett auf dieses Konzept.1 Alles gut? Leider nicht ganz.
Christian Franz2
Denn die Macher von Matrix haben sich entschieden, sämtliche Konversationen auch nach der „Abmeldung“ von dem Dienst auf den Servern zu belassen. Das Argument ist, dass die „Ownership“ an den Konversationen mit Abmeldung auf die übrigen Kommunikationsteilnehmer „übergehe“. Das sei „GDPR-compliant“.3 Inzwischen gibt es zwar einen „GDPR erase mode“, aber das (zumal automatische) Löschen von Konversationsbeiträgen auf Serverseite ist ebensowenig möglich wie das Löschen der zugehörigen (technischen) User-ID.4 Es können allenfalls komplette Konversationen („Räume“) durch einen Administrator gelöscht werden, was natürlich im Regelfall mit den Interessen der übrigen Teilnehmer kollidiert. Die zugeordneten öffentlichen „Spitznamen“ sollen ebenfalls getilgt werden können, aber ausdrücklich nicht die technische User-ID. Und da wird es tricky, denn damit verbleiben personenbeziehbare Daten auf ewig auf dem Server – und bloße „Personenbeziehbarkeit“ reicht gesetzlich, um sie zu „personenbezogenen“ Daten zu machen. Die Folge: Wir sind mitten im Datenschutzrecht.
Aus Sicht von Organisationen, insbesondere Unternehmen, ist es unter Sicherheitsgesichtspunkten ausgesprochen sinnvoll, Messaging-Dienste auf eigenen Servern anzubieten. Auch, weil Art. 4 ff. der Richtlinie 2002/58/EG (ePrivacy-Richlinie) an die Betreiber strenge gesetzliche Anforderungen stellen. Mit Mattermost und Matrix bieten sich dafür inzwischen zwei Projekte an, die eine Stabilität und einen Funktionsumfang erreicht haben, der ohne weiteres praxistauglich und mit Angeboten wie Slack vergleichbar ist. Während Mattermost dabei auch eine Löschung sämtlicher Benutzerbeiträge vorsieht, hat Matrix sich für einen anderen Weg entschieden. Im Rahmen einer bewussten Design-Entscheidung vertritt man dort die Auffassung, es gäbe eine Art „Eigentum“ an Konversationssträngen, die im dortigen Slang „Räume“ genannt werden. Dieses stehe - die Einzelheiten sind unklar - entweder ihrem Administrator, jedenfalls wohl aber auch den anderen Kommunikationsbeteiligten zu. Man stellt sich vor, dass mit der Deaktivierung eines Accounts die „Ownership“ an den jeweiligen Nachrichten wechsle, nämlich an die übrigen und verbleibenden Kommunikationsteilnehmer. Problematisch daran ist, dass diese Weltsicht selbst gestrickt ist. Sie hat nichts mit den Gedanken von Verantwortlichkeit und Betroffeneneigenschaft zu tun, die es in der Datenschutzgrundverordnung (DSGVO) und der ePrivacy-Richtlinie gibt.
Die Frage ist daher, ob sich ein Matrix-Homeserver rechtskonform betreiben lässt. Diese Frage betrifft nicht etwa nur Kleinunternehmen oder Nerds, sondern wie oben bereits erwähnt die komplette öffentliche Verwaltung Frankreichs. Zur Beantwortung dieser Frage muss man sich zunächst einen Überblick über die Beteiligten, ihre Rollen im datenschutzrechtlichen Sinn und die von ihnen durchgeführten datenschutzrechtlichen Prozesse verschaffen. Im Zentrum stehen dabei natürlich die Betreiber der Homeserver, die als datenschutzrechtlich Verantwortliche für den Dienst im Ganzen betrachtet werden müssen. Maßgeblich ist dabei neben der ePrivacy-Richtlinie die DSGVO, und die sieht eine ganze Reihe von unabdingbaren Rechten der Betroffenen vor.
Positiv aus Betreibersicht wirkt sich dabei aus, dass die Nachrichten Ende-zu-Ende verschlüsselt und damit für ihn selbst nicht lesbar sind. Damit kann er prinzipbedingt viele Pflichten in Bezug auf Kommunikationsinhalte gar nicht erfüllen und unterliegt ihnen daher auch nicht, etwa das Recht auf Berichtigung. Das ändert allerdings nichts daran, dass er zwar nicht den Inhalt von Chats auf Anfrage beauskunften muss, sehr wohl aber die Tatsache, dass Konversationen stattgefunden haben. Diese Information ist dauerhaft und - das lässt sich aus Forenbeiträgen von Matrix-Entwicklern entnehmen - ohne größeren Aufwand und größere Schäden an der Installation nicht aus der Datenbank löschbar. Das ist kein Zufall, sondern eine absichtliche Designentscheidung.5 Ob insoweit auch die Nutzerkennungen der übrigen Kommunikationsteilnehmer beauskunftet werden müssen, weil diese ja ihrerseits einen Personenbezug zu der anfragenden Person haben, ist mit Blick auf die Einschränkung des Auskunftsrechts wegen deren entgegenstehenden Interessen zweifelhaft. Im Grundsatz besteht allerdings eine entsprechende Pflicht.
Dieses Beispiel der Auskunftspflichten zeigt zunächst nur, dass einen Betreiber zeitlich unbegrenzte Rechtspflichten treffen, sobald er Nutzer auf seinem Server verwaltet, und zwar auch in Bezug auf eigentlich „ehemalige“ Nutzer. Unter Datensicherheitsgesichtspunkten ist so ein Systemverhalten sicherlich kaum akzeptabel. Der Betreiber ist nämlich in der Lage und nach Maßgabe der einschlägigen nationalen Strafprozessordnungen und sonstigen Gesetze verpflichtet, die so verfügbaren Metadaten (wer hat wann kommuniziert?) spätestens auf richterliche Anordnung Strafverfolgungsbehörden und unter Umständen sogar Geheimdiensten offen zu legen. Abseits der damit verbundenen ganz reellen Gefahr für die Nutzer: Eine zeitlich unbegrenzte Speicherdauer ist deshalb schon unter dem Gesichtspunkt der datenschutzfreundlichen Technikgestaltung nach Art. 25 DSGVO nicht rechtskonform.
Noch deutlicher fällt dieses Verdikt aus, wenn man sich mit dem „Recht auf Vergessenwerden“ aus Art. 17 DSGVO auseinandersetzt. Der Betreiber eines Matrix-Servers kann dieses Recht aus zwingenden technischen Gründen nicht erfüllen, weil die Entwickler von Matrix das so sinnvoll finden. Die Daten sollen bleiben. Nur ihre gesetzlich nirgendwo verankerte „Ownership“ soll wechseln.6 Das ginge nur, wenn auch die datenschutzrechtliche Verantwortlichkeit irgendwie auf andere Nutzer wechselte. Das aber ist nicht der Fall. Verantwortlicher ist, wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, Art. 4 Nr. 7 DSGVO. Das trifft auf den Betreiber des Homeservers zu. Er kann den Serverstecker ziehen; er speichert auch Jahre alte Beiträge des Betroffenen und stellt sie aktiv für andere Nutzer seines Dienstes zum Abruf bereit.
Doch die Folgen können für den Betreiber noch drastischer ausfallen: Es soll ja vorkommen, dass Menschen sich im Rahmen von Chats beleidigen oder sonst rechtswidrig äußern. Und später gerichtlich verpflichtet werden, diese Äußerungen zu beseitigen. Das gilt in Deutschland unter bestimmten Umständen auch für den Betreiber der Infrastruktur, nämlich sobald er Kenntnis von der rechtsverletzenden Äußerung hat. Künftig gilt dieses Prinzip unionsweit (Art. 5 des Vorschlags der EU-Kommission für einen „Digital Services Act“).7 Wie die Diskussion um „Telegram“ in den letzten Monaten gezeigt hat, hilft es dann wenig, wenn man als Betreiber eines Servers auf die Verantwortlichkeit von Kommunikationsteilnehmern verweist: Die rechtswidrige Äußerung in solchen Gruppen muss zuverlässig gelöscht werden. Das kann – auch gegenüber dem Serverbetreiber – durchgesetzt werden, und zwar mit dem staatlichen Gewaltmonopol. Im Extremfall heißt das: Der Server muss im Ganzen vom Netz. Man kann sich dann höchstens, wie Telegram, irgendwo außerhalb der EU verstecken. Für Organisationen, die Matrix als Kommunikationsmedium zu eigenen Zwecken nutzen möchten, ist das eher keine Option.
Nun stellt Matrix allerdings lediglich eine technische Basis dar. Die vertragliche Ausgestaltung mit den Betroffenen obliegt dem Betreiber. Man kann sich daher fragen, ob eine Konstellation denkbar ist, die einen rechtskonformen Betrieb trotzdem ermöglicht. Dabei ist klar, dass das mit technischer Brille gezeichnete Konzept einer „Ownership“ von „Räumen“ von vornherein aus dem Fenster fliegt. Es gibt rechtlich kein Dateneigentum. Erst recht gibt es kein Eigentum an lediglich virtuellen „Räumen“. Man kann sich allerdings fragen, ob es einen Weg gibt, wie der Betreiber eines Matrix-Servers seiner Rolle als datenschutzrechtlich Verantwortlicher entgeht. Das ist denkbar: Es ist nämlich grundsätzlich möglich, diese Rolle über vertragliche Gestaltung den jeweiligen Kommunikationsbeteiligten zuzuweisen und den Serverbetreiber zu ihrem Auftragsverarbeiter zu deklarieren. Die Kommunikationsteilnehmer würden dann jeweils eine Doppelrolle einnehmen: Sie wären Verantwortliche, soweit im Rahmen der Kommunikation Daten ihrer Kommunikationspartner verarbeitet werden, und Betroffene, soweit ihre eigenen Wortmeldungen Gegenstand der Verarbeitung sind. Insgesamt wären sie für die Verarbeitungsvorgänge, die in den „Räumen“ (also den Kommunikationssträngen mit mehreren Teilnehmern) stattfinden, schließlich gemeinsam Verantwortliche („joint controller“) i.S.d. Art. 26 DSGVO.
Aber auch das ist keine Lösung. Letztlich würde das Problem damit nämlich nur verlagert. Der Serverbetreiber stünde vor dem gleichen Problem. Zwar träfe die Pflicht zur Löschung jetzt den oder die Kommunikationsbeteiligten. Die könnten dieser Pflicht aber nur nachkommen, indem sie den Serverbetreiber anweisen, die Löschung vorzunehmen. Aber der Serverbetreiber könnte das – wegen der geschilderten Designentscheidung – schlicht nicht umsetzen, trotz seiner rechtlichen Pflicht, die Weisung zu beachten. Er wäre außerdem verpflichtet, nach Abschluss der Auftragsverarbeitung sämtliche Daten zu löschen, Art. 28 Abs. 3 g) DSGVO. Auch das kann er nicht.
Matrix glaubt, die DSGVO (und das sonstige Datenschutzrecht) passe einfach nicht auf das eigene, dezentrale Angebot.8 Und da liegt der Fehler, denn selbstverständlich gelten Gesetze nicht für den Einzelfall, sondern sind abstrakt-generell. Sie „passen“ also grundsätzlich auf jedes Angebot – und wo das nicht der Fall ist, ist das Angebot illegal. Ursache des Problems ist also ein krasses Missverständnis nicht nur der Rechtslage, sondern von dem, was Recht im Kern ausmacht. Stolz überschreibt man die eigene Datenschutzerklärung mit „English, not legalese“ – und bekommt, was man bestellt hat: Rechtswidrige Abläufe.
Dagegen wird eingewendet, man müsse den Betrieb eines Matrix Homeservers eben mit dem eines E-Mail-Servers vergleichen. Das illustriert das Missverständnis recht eindrücklich: Auch der Betreiber eines Mailservers steht nicht außerhalb des Gesetzes, im Gegenteil: Alles, was oben beschrieben wurde, gilt auch für Betreiber von Mailservern, die E-Mails dauerhaft speichern (was in Zeiten von IMAP die Regel ist). Wenn keine Auftragsverarbeitungsvereinbarung mit dem jeweiligen Nutzer getroffen wurde, treffen ihn sämtliche vorgenannten Pflichten (Auskunft, Löschung pp.) gegenüber Absendern selbst. Ist er Auftragsverarbeiter, muss er löschen, wenn der Absender den Empfänger zur Löschung auffordert und dieser dem nachkommt, indem er den Mailprovider entsprechend anweist. Kommt er dem nicht nach, haftet er gegenüber dem Absender selbst auf Löschung, weil er dann weisungswidrig handelt und somit selbst in die Rolle des Verantwortlichen aufrückt, Art. 28 Abs. 10 DSGVO.
Es ist eine Crux: Es wäre relativ simpel, datenschutzrechtskonforme Angebote selbst zu verwalten und damit einen ganz erheblichen Sicherheitsgewinn im Vergleich zu closed-source-Angeboten mitzunehmen, die außerhäusig gehostet werden. Verhindert wird das durch Designentscheidungen, die allein von Entwicklern und nur unter technischen Gesichtspunkten getroffen werden. Stellt sich dann wie im Fall von Matrix heraus, dass die Verwaltung eines der größten Staaten der Europäischen Union nicht in der Lage ist, rechtskonform zu arbeiten, zeigen die Finger manchmal auf die Rechtslage, in jedem Fall und immer aber auf diejenigen, die die schlechte Nachricht überbringen: Juristen. Angesichts der Tatsache, dass Juristen und Entwickler im Regelfall das gleiche Ziel verfolgen, muss es möglich sein, sie zusammen zu bringen. Die kulturelle Kluft zu überwinden und Prozesse zu etablieren, bei denen grundlegende Designentscheidungen von vornherein an der Rechtslage orientiert werden. Technisch wäre es unproblematisch gewesen, eine vollständige Löschung zu implementieren. Mattermost kann das. Das ist unterblieben, weil man das Interesse anderer Kommunikationsteilnehmer höher gewichtet, auch später noch ihre eigenen Beiträge und Beiträge Dritter im Kontext lesen zu können. Der Gedanke ist fast niedlich.
Es gilt wie so oft: Wer spricht, dem kann geholfen werden. Der beschriebene Vorfall ist ein plastisches Beispiel für den oft beobachteten Fall, dass Entwickler Datensicherheit mit Datenschutz verwechseln. Das hätte vermieden werden können, indem man rechtliche Fragen vorab klärt und – die Welt ist leider so komplex – Juristen beizieht. Das Internet ist das Gegenteil eines rechtsfreien Raums. Alles, was damit zu tun hat, ist grotesk überreguliert. Das kann man ohne fachliche Hilfe nicht mehr überblicken. Deshalb: Es war eine bewusste Entscheidung, Userdaten unlöschbar zu machen? Sie war falsch. Sie sollte revidiert werden. Alles andere an Matrix ist ein großer Fortschritt für die Datensouveränität und Datensicherheit. Mit Blick auf das große Ganze muss man festhalten: Entwickler und Juristen sollten öfter mal ein Bier zusammen trinken gehen. Sie stehen auf der gleichen Seite. Sie verstehen sich nur nicht gut genug. Das Beispiel „Matrix“ hat das Zeug zum Schulfall für Organisationsberater.
1 https://matrix.org/blog/2018/04/26/matrix-and-riot-confirmed-as-the-basis-for-frances-secure-instant-messenger-app
2 Christian Franz, LL.M. (UK), ist Rechtsanwalt mit Schwerpunkt IT- und Datenschutzrecht bei der Kanzlei Franz Partners Rechtsanwälte, Düsseldorf, franz.de.
6 „Where you shared messages or files with another registered Matrix user, that user will still have access to their copy of those messages or files.“ Die Daten werden dabei auf dem Server, nicht auf den Clients der Beteiligten vorgehalten. Quelle: https://matrix.org/legal/privacy-notice#213-right-to-erasure
8 „in Matrix, when you send someone your data by communicating in a room, you share ownership of it with them, much like email. We do not believe this is counter to gdpr or dsgvo (which were not built with decentralised systems in mind, so we have applied commonsense ourselves.“ Quelle: https://github.com/matrix-org/synapse/issues/1941#issuecomment-502437838