27.04.2018

Internet-Forensik: Browserdaten und das neue Datenschutzrechtsregime

Portrait von Dennis G. Jansen, LL.M. (Berkeley)
Dennis G. Jansen, LL.M. (Berkeley) Rechtsanwalt (J-Law.de), General Counsel (CoachHub.io), und Gründer | Datenschutz, Software, IP, IT und IT-Beweismittel

Die Erfolgsaussichten gerichtlicher Verfahren mit Internetbezug hängen nicht nur von der Wahrheit, sondern auch von den IT-Kenntnissen der Beteiligten ab. Immer wertvollere Rechtsgüter und nicht zuletzt die Compliance mit DSGVO und BDSG-neu hängen am seidenen Faden technischer Beweissicherung. Die Software, die Internetwebseiten herunterlädt und interpretiert, der Browser, nutzt eine Vielzahl von Techniken und Methoden und verarbeitet eine Menge datenschutzrechtlich relevanter Daten:

Im Browser gespeicherte Daten

Beim Aufruf einer Webseite werden heutzutage fast immer Cookies, Local Storage, Session Storage, IndexedDB, Flash Cookies oder andere Daten im Browser des Nutzers („Browserdaten“) gespeichert. Sie bezwecken ursprünglich die Authentifizierung des Nutzers, beispielsweise um einen speziellen Bereich für angemeldete Nutzer bereitzustellen (ausführlich zu Tracking mittels Browser-Fingerprints Alich/Voigt, CR 2012, 344 ff.). Hierdurch kann beispielsweise beim Content-Management-System eines Blogs wie dem populären WordPress sichergestellt werden, dass nur der Autor Beiträge veröffentlichen kann. Durch die Speicherung der Anmeldedaten oder üblicherweise eines temporären Schlüssels in den Browserdaten des Autors braucht sich der Autor nur einmal anmelden und hat für einen längeren Zeitraum direkten Zugriff auf die Veröffentlichungsfunktion. Browserdaten ermöglichen aber auch ohne Anmeldung eine Verfolgung von Benutzern:

  • Identifikation des Nutzers Über eine Vielzahl von Faktoren lassen sich Browser identifizieren und der Weg der Browser durch das Internet verfolgen. Ohne Browserdaten wäre dies kaum möglich, da die Werte, die eine Identifizierung und Verfolgung des Browsers und damit des Nutzers ermöglichen, in den Browserdaten abgelegt werden. Der Webseitenbetreiber kann in Browserdaten mittlerweile nicht mehr nur Identifikationsmerkmale speichern, sondern ganze Datensätze. Beispiele: Manche Webseiten speichern alle Beiträge, die ein Nutzer bereits betrachtet hat, um in Zukunft nur neue Beiträge anzuzeigen. Teilweise speichern Webseiten gleichbleibende Datensätze wie Schriftarten, Bilder oder Ähnliches im Browserspeicher. Sogar im Browser ablaufender offline funktionstüchtiger Software ist dies inzwischen möglich, z. B. ermöglicht das Zwischenspeichern von E-Mails eine E-Mailverwaltung, die auch offline noch Zugriff auf die E-Mails gestattet.
  • Verfügbare Browserdaten Zum Schutz der Privatsphäre und Sicherheit des Nutzers darf jede Webseite regelmäßig nur auf einen eigenen Bereich von Browserdaten zugreifen. Dies lässt sich allerdings leicht aushebeln, indem ein Betreiber den Browser anweist, Inhalte von anderen Anbietern im Kontext der eigenen Webseite zu laden. Beispiele: Ein aktuelles Beispiel ist der Facebook-„Gefällt mir“-Button, der es ermöglicht, Beiträge mit einem Klick auf Facebook zu „mögen“. Wird diese Technik unverändert genutzt, werden automatisch Browserdaten durch Facebook gesetzt und Facebook hat jedenfalls technisch betrachtet die Möglichkeit, Nutzer über alle Webseiten zu verfolgen, die den Button direkt eingebunden haben. Diesbezüglich sind derzeit Verfahren sowohl vor dem EuGH (Rs. C-40/17) als auch vor dem Bundeskartellamt anhängig. Ein weiteres aktuelles Beispiel ist eine Software, die im Browser Bitcoins „schürft“.
  • Reichweite von Browserdaten Welche Dienste ein Nutzer nutzt, lässt sich anhand der von den Diensten gesetzten Browserdaten erkennen. Soweit der Nutzer sich nicht abgemeldet hat, gewähren sie einem Forensiker möglicherweise Zugriff auf die zugehörigen Webseiten und die dort gespeicherten Daten. Regelmäßig von großer Bedeutung sind Browserdaten auch für die Bestätigung des Zugriffs und des Zeitpunkts des Zugriffs auf eine Webseite. Anhand der Identifikationsdaten des Nutzers kann der Betreiber oft durch Abgleich mit auf dem Webserver gespeicherten Daten bestätigen, dass und wann ein Zugriff auf die Webseite tatsächlich stattfand. Die Angabe der Browserdaten ist als qualifizierte Darlegung zu werten und erfüllt zusammen mit weiteren Angaben regelmäßig einen wichtigen Teil der sekundären Darlegungslast.

 

Grundlagen der IT-Forensik

Es stellt sich die Frage, wie die rechtlichen Anforderungen an eine Beweissicherung (ausführlich Willer/Hoppen, "Computerforensik – Technische Möglichkeiten und Grenzen", CR 2007, 610 ff.) technisch sinnvoll umzusetzen sind. Grundsätzlich sollte ein klares Ziel gesetzt und der gesamte Ermittlungsvorgang sorgfältig protokolliert werden. Durch protokollierte Nutzung etablierter, robuster und reproduzierbarer Methoden sollten Beweismittel gesammelt und eine nachträgliche Veränderung der Ergebnisse ausgeschlossen werden. Auch die Untersuchungsumgebung und -werkzeuge selbst sollten für eine mögliche spätere Untersuchung gesichert, zumindest aber genau dokumentiert werden.

Ein Schwerpunkt liegt gerade in der Internetforensik auf der Herstellung von Verbindungen zwischen Personen und digitalen Spuren. Die Ermittlung von möglichen Entlastungsbeweisen sollte dabei nicht vernachlässigt und belegt werden, auch wenn sich hierbei die Beweise durchaus verdichten.

Im Datenfluss des Internets

Das Internet befindet sich ständig im Fluss. Nicht nur verändern sich kontinuierlich die im Internet gespeicherten Daten. Wie anhand der Requests For Comments (RFCs) ersichtlich, verändert sich auch ständig die Technik auf der das Internet basiert. In der Kombination mit der allgemeinen technischen Entwicklung führt dies dazu, dass Projekte zur Archivierung des Internets wie das „Web Archive“ unter web.archive.org gegründet wurden, um Webseiten und ihre Daten vor dem ewigen Datennirvana zu bewahren.

Im rechtlichen Kontext bedeutet dies, dass Beweise besonders gründlich gesichert werden müssen, da eine spätere Beweissicherung oft nicht möglich ist. Das bedeutet regelmäßig eine vollständige Sicherung der Daten im Bezug auf eine Webseite. Denn vollständige Webseiten oder Teile ihrer Daten können jederzeit verschwinden oder geändert werden:

  • Besonders häufig ändern sich Whois- und DNS-Einträge.
  • Verschlüsselungszertifikate werden erzwungenermaßen regelmäßig ausgetauscht.
  • Änderungen an Quelltexten der Webseite oder von ihr referenzierter Inhalte führen schnell zu anderen Browserdaten beim Besuch.

Der letzte Punkt ist insbesondere unter der DSGVO relevant: Der EuGH entscheidet demnächst, ob der „Gefällt mir“-Button von Facebook gegen EU-Datenschutzrecht verstößt. Die Einführung der DSGVO könnte zudem zu einer Welle von Abmahnungen führen. Die klare Vorgabe der DSGVO zu „privacy by design" und „privacy by default“ (Art. 25 DSGVO) steht mit so mancher Nutzung von Browserdaten in Konflikt. Die Präsenz von Datenportabilität und Datenschutzdesign will nachgewiesen werden. Denn die DSGVO kann zur Umkehr der Beweislast fürchten. Die Dauer einer Rechtsverletzung darzulegen und zu beweisen, stellt eine besondere Herausforderung dar.

Fazit

Eine Beweissicherung sollte nicht nur umfassend, sondern auch schnell und möglichst parallel stattfinden: Wenn man an einem Tag Screenshots anfertigt und am nächsten Tag Whois-Einträge sichert, kann sich der Inhalt zu den Screenshots bereits wieder verändert haben. Mehr Details erfahren Sie in der nächsten Ausgabe der Computer und Recht (CR).

Zurück