Bildzeitung und Ausspähens des Adblocker Status
Seit Anfang Oktober späht die Bildzeitung den Adblockerstatus (Adblocker, ABplus, Adblocker Latitude usw.) des ansurfenden Webbrowsers aus und diskriminiert zwischen sicher surfenden Nutzern, die solche Instrumente verwenden und solchen, die die Virensicherheit ihres Rechners vernachlässigen.
Ich habe erkannt, daß strafbare Substanz vorliegt, da ganz im allgemeinen Verfahren entwickelt werden, mit denen die Schutzinstrumente des Rechners ermittelt werden, um z.B. besondere Systemlücken ausnützen zu können, um die Nutzer zu diskriminieren oder um sie mit vorsätzlich unzulässigen Methoden zu analysieren, d.h. ihre Daten auszuspähen. Da solche Webmethoden durch Dritte abgeguckt werden können und zu bösartig funktionierten Fusionsprodukten gemacht werden können, stellt die Entwicklung solcher Methoden den vom Gesetz erfüllten Tatbestand des "Versuchs der systematischen Ausspähung von Daten" dar.
Meine am 13.10.2015 an die Staatsanwaltschaft Berlin gerichtete Anzeige 257 Js 123/15 gegen Herrn Kai Diekmann, den Leiter des Axel-Springer-Verlages, welcher die Durchführung dieser medienwirksam inszenierten und von Terrorabmahnungen begleitete Maßnahme verantwortet, wurde wie folgt beurteilt:
Sehr geehrter Herr Groth,
in der Sache teile ich Ihnen mit, dass ich das aufgrund Ihrer Anzeige zunächst eingeleitete Ermittlungsverfahren gemäß § 170 Abs. 2 der Strafprozessordnung (StPO) eingestellt habe. Dieser Entscheidung liegen folgende Erwägungen zugrunde:
Nach dem Gesetz (§152 StPO) ist die Staatsanwaltschaft nur dann zur Aufnahme und Durchführung eines förmlichen Ermittlungsverfahrens berechtigt und verpflichtet, wenn ein sogenannter Anfangsvedacht besteht. Ein solcher Anfangsverdacht besteht dann, wenn den Ermittlungsbehörden, d.h. der Staatsanwaltschaft und der Polizei, zureichende tatsächliche Anhaltspunkte bekannt werden, aufgrund derer es unter Berücksichtigung kriminalistischer Erfahrungsgrundsätze möglich erscheint, dass sich eine verfolgbare Straftat ereignet hat. Bloße Vermutungen eichen zur Begründung eines Anfangsvedachts hingegen nicht aus.
Ihrer Anzeige lassen sich solche - über bloße Vermutungen hinausgehenden - zureichenden tatsächlichen Anhaltspunkte nicht entnehmen.
1. Bezogen auf den von Ihnen erhobenen Vorwurf des Ausspähens sowei Abfangens von Daten bedeutet dies, dass ein Anfangsverdacht nur besteht, wenn die betroffenen Daten einerseits nicht für den Täter bestimmt, andererseits gegen den unberechtigten Zugang besonders gesichert wären.
Beides liegt bei dem von Ihnen beanzeigten Sachverhalt nicht vor.
2. Denn einerseits werden die Informationen, die die von Ihnen benannte Webseite für das Erkennen des von Ihnen verwerdneten Adblockers benötigt, von Ihrem Webbrowser an die Webseite gesandt.
3. Es liegt daher weder eine Überwindung einer Zugangssicherung vor noch ein Abfangen von nicht für die Webseite bestimmten Daten
4. Andererseits werden adblocker von den Werbetreibenden daran erkannt, dass kein sog. Traffic der Drittanbieter - hier der eingeblendeten Werbeseiten - entsteht, wenn Sie mit einem Adblocker die Webseite anwählen
Dieses Verhalten erfüllt keinen Straftatbestand. Ich habe das Verfahren daher eingestellt.
Die Numerierung habe ich ergänzt, um den Gegenstand besser diskutieren zu können. Ansonsten habe ich nach bestem Können auslassungsfrei abgetippt.
Zerbst, den 10.11.2015 Ossip Groth
Contents |
Zu Punkt 1
Mein Pale Moon Browser trägt die Grundeinstellung: "Tell sites that I do not want to be tracked." Gegen diese verpflichtende und als Industriestandard anerkannte Hürde vertößt der Straftäter, denn ich habe meine Browsereinstelloungen ihm so mitgeteilt, daß es mein absoluter Wille ist, nicht getrackt zu werden. Jegliche durch Tracking und funktionelle Analyse ermittelbaren Daten darf dieser weder erheben, noch speichern oder analysieren, auch nicht über ein allein auf meinem peripheren Rechner agierendes diskriminierendes CSS Konstrukt. Die ausreichende Sicherung besteht in einem Konsens der Anbieter von Netzinhalten, sich über solche grundsätzlichen und automatisierbar abzurufenden Basiseinstellungen nicht hinwegzusetzen.
Zu Punkt 2
Hier mangelt es an tatsächlicher technisch-fachkundlicher Erhebung. Ich meinerseits legte nur .js Codeausdrucke vor. Diskussionen auf dem Heiseforum haben aber herausgearbeitet, daß die verwendete Methode in der Anwendung von css Verdeckungselementen beruht. An die eigentliche Seite der Bildzeitung wird eher nichts geschickt. Wie die offensichtlich über cookies personalisierte redirectseite aufgerufen wird, weiß ich nicht. Wie in Punkt 2 dargestellt handelt es sich um unzulässiges Hinwegsetzen über die Grundaussage 'Do not track me'. Da die heutigen Browser nicht analysieren können, ob man sich über diese Bestimmung hinwegsetzt, wird unzulässigerweise eine nichtgepatchte Eintrittspforte benutzt, um illegal zu spionieren: Der Browser hat ja freiwillig den gesamten Inhalt Ihrer Festplatte hochgeladen'.
Zu Punkt 3
Do not track kennzeichnet den Adblockerstatus ( ab 1 oder 0 ist es ein flag und damit Daten) als nicht zugänglich. Gegen den Verhaltenskodex / Industriestandard wurde verstoßen.
Zu Punkt 4
Die von dem Straftäter benutzte Methode verwednet diesen Ansatz nicht, der Analogieschluß ist somit unzulässig. Tatsächlich ist es nicht zulässig, solche Analysen durchzuführen, wenn 'Do not track' als Standardbrowserfesteinsetllung gesetzt ist.
Im allgemeinen kann das übliche Datenvolumen, welches durch Tracking und Drittinhalte hervorgerufen wird, als Diebstahl von Bandbreite (Ich surfe über einen UTML Stick mit 500 oder 1 GB täglicher Bandbreite) dann eingestuft werden, wenn ich mit dem Do-not-track Status der Zusendung solcher Codefragmente rechtswirksam widersprochen habe.
Das einfache Eigentumsdelikt kann somit anerkannt werden: Diebstahl geringwertiger Sachen 1 Million mal wenig = viel = öffentliches Interesse.
Fertig ist mein Einspruch, die Widerlegung aller von der zunächst filternden Staatsanwaltschaft vorgetragenen Entlastungsargumente ist mir gelungen. Geht heute in die Post, drucke ich gleich aus.
scridisq
Ausblick
Ob ein einfaches Flag 'Do not track me' eine sichere nicht unterschwellig zu überschreitende Hürde ist sei der rechtsphilosophischen Diskussion vorbehalten. Es ist eine erkennbare Aussage, die es zu respektieren gilt.
Mit Sicherheit ist ein Adblocker ein besonderes technisches Konstrukt, welches diese Rechtssicherheit als technisches Mittel herstellen will. Jeglicher Versuch, Anti-Adblocker Umgehungsfunktionen zu erschaffen, ist als aktive gesetzeswidrige Umgehungsmaßnahme zu bewerten. Dieses aber ist nicht Gegenstand der heutigen Betrachtung.
Wenn sich die Leute nur an den Industriestandard halten würden, müßte niemand solche Filterprogramme entwickeln.
Hier die Beschwerde gegen die Einstellung
Betr.: 257 Js 123/15 Beschwerde§172 Absatz 1 Satz 1 StPO
Sehr geehrte Damen und Herren,
gemäß beiliegender Argumentation lege ich Beschwerde gegen die vorläufige Einstellung des Verfahrens wegen versuchter Datenausspähung durch die Bildzeitung ein.
Ein wesentliches Argument, auf welches ich anfangs selbst nicht gekommen bin, ist der de-facto Industriestandard, der für anständig agierende Webunternehmen gültig ist, der besagt, daß die systematische Mitteilung des nutzerseitigen Bowsers, daß Tracking zu unterlassen ist, rechtsbindend zu berücksichtigen ist.
Einen solchen Handelsbrauch zu umgehen stellt einen Verstoß gegen die Guten Sitten (ca 242 BGB) dar, wodurch der Seitenbetrieber oder Dritte in jedem Falle rechtswidrig agieren.
Ob nun untersucht wird, ob der Nutzer über ein Kleinwerbeelement hovert, ein unzulässiger screenshot gezogen wird oder ein Parameter der Browser-Sicherheitseinstellungen abgefragt wird: In jedem Falle werden individuelle und in ihrem Muster trackbare Informationen rechtswidrig gezogen.
Diesbezüglich hat der Nutzer ein gemäß Industriestandard auslesbares Flag gesetzt. Anhand DIESES flags kann der Seitenbetreiber die Auslieferung eines contentexemplares verweigern und auf eine defaultseite verweisen. Die dieser von dem Nutzer freiwillig mitgeteilten Information subsidiäre Frage, ob dieser sein Recht mit technischen Sicherungsmaßnahmen, d.h. Noscript und Adblocker wirksam ausüben will, hat der Seitenbetreiber nicht zu ermitteln, da ihm die grundlegende Information bekannt ist.
Es ist also tatsächlich hier der Fall gegeben, daß die Zusatzinformation der genauen Browserextensionskollektion gegen die guten Sitten verstoßend ermittelt wird.
Ich bitte also, gemäß erweiterter rechtsphilosophischer Betrachtung meinerseits die grundlegende Auffassung anzunehmen, daß hier Versuche unternommen werden, Informationen (Browserkonfiguration) zu erspähen, wozu der Seitenbesucher keinen 'Informed Consent' gegeben hat, wie man das ja so oft mit Cookie-Disclaimern sehen kann, die mittlerweile auf jedem Honigbienenzüchteerportal zu sehen sind.
mit freundlichen Grüßen
Ossip Groth ==Nichtannahme der Beschwerde, Bescheid vom 24.11.2015
Nach Prüfung des Sachverhalts im Wege der Dienstaufsicht sehe ich mich nicht in der Lage, entgegen dem angefochtenen Bescheid anzuordnen, daß Ermittlungen angestellt werden. Die Staatsanwaltschaft hat das Verfahren aus zutreffenden Gründen eingestellt. Ihr Beschwerdevorbringen ist nicht geeignet, eine andere Entschließung zu rechtfertigen. Ein Verstoß gegen die guten Sitten - so man einen solchen annehmen wollte - erlangt keine strafrechtiche Relevanz. Die Voraussetzungen eines Straftatbestandes sind nicht erkennbar. Ich vermag daher Ihrer Beschwerde nicht zu entsprechen. gez. *** OStA
