1.
Einleitung ^
Wie die Ereignisse um das Seitensprung-Portal Ashley-Madison gezeigt haben, ist Anonymität im Internet ein Aspekt, den man oft vergisst, bis es zu spät ist. Diese Website zur Vermittlung von Seitensprüngen wurde gehackt. Nachdem Forderungen, den Dienst zu schließen, nicht erfüllt wurden, erfolgte die Veröffentlichung aller Kundendaten im Internet. Dies ist gleichzeitig ein Beispiel wider das Mantra gegen Datenschutz, «ich habe nichts zu verbergen». Denn obwohl ein Seitensprung legal ist (d.h. nicht mit Gerichts- oder Verwaltungsstrafe bedroht), möchten doch viele NutzerInnen eines solchen Portals nicht, dass ihre (versuchte) Aktivität allgemein oder auch nur dem Partner bekannt wird, selbst wenn man derzeit/damals nicht in einer Beziehung lebt/e.
Was wäre erforderlich, um eine derartige Website anonym zu nutzen? Offensichtlich wäre auf identifizierbare Fotos zu verzichten. Praktisch dürfte es für sehr viele Personen unmöglich sein, gezielt nach einem Bild als «Suchbegriff» zu suchen (siehe jedoch die Personenerkennungs-Algorithmen z.B. von Facebook!). Weiters wäre eine nicht rückverfolgbare E-Mail-Adresse zu verwenden. Diese E-Mail-Adresse dürfte ebenso nicht für andere Angelegenheiten verwendet werden. Weiters sollten im Portal keine zu genauen Angaben gemacht werden, denn z.B. alleine über Wohnort und tagesgenaues Geburtsdatum ist eine Identifikation leicht möglich. Surft man die Site vom Arbeitsplatz aus an, so verbleiben Spuren in Logdateien (hier anscheinend nicht vorhanden/nicht veröffentlicht). Anonymität ist daher mehrfach wichtig: Kommunikationsendpunkte (E-Mail-Adresse), Daten (Bilder, Wohnort, Zeiten und Treffpunkte) und Verhalten (IP-Adressen bei Kommunikation). Kann oder will man der Website nicht vertrauen, sind alle diese Elemente zu anonymisieren, um eine Identifizierung zu verhindern.
2.
Methoden von Anonymisierung ^
2.1.
Anonymisierung von Daten ^
Hierbei handelt es sich typischerweise um Einträge in Datenbanken, deren Inhalte auf Personen zurückführbar sind. Folgende Ansätze zur Anonymisierung sind bekannt1,2:
- Entfernen identifizierender Merkmale3: Diese unfehlbare Methode führt allerdings meist dazu, dass die Daten nutzlos werden. Weiters kann aus mehreren «harmlosen» Datenfeldern oft Re-Identifikation erfolgen, wenn Datenteile aus anderen Quellen bekannt sind. Eine verminderte Variante ist Partitionierung, bei welcher identifizierende Daten separat gespeichert werden. Während der erste Ansatz anonymisiert, ist Partitionierung eine techn. Sicherheitsmaßnahme ohne Änderung der rechtl. Qualifizierung (weiter direkt personenbezogen).
- Pseudonyme4: Identifizierende Informationen werden durch geheime Daten ersetzt. Dies ähnelt dem vorigen Punkt (Partitionierung) und besitzt ähnliche Schwächen. Weiters ist zu berücksichtigen, dass z.B. das Ersetzen von Daten durch Hashwerte es ermöglicht, die Daten einer bestimmten Person, von welcher die gehashten Werte bekannt sind, abzurufen. Ein Datensatz kann daher keiner Person zugeordnet werden, aber für bekannte Personen können die Daten – sofern vorhanden – trivial festgestellt werden.
- Randomisieren5: Einzelne Datenfelder werden zwischen Datensätzen vertauscht, z.B. die Adresse wird einer anderen Person zugeordnet. Wie im vorigen Beispiel ersichtlich, ist dies nicht unbedingt eine Anonymitätsgarantie. Für statistische Auswertungen einzelner Felder ist dies gut geeignet, doch wäre hier die Erstellung der Statistik und anschließende Löschung aller Grunddaten ausreichend und sicher.
- Unschärfe einfügen6: Datenfelder werden leicht verändert, wobei darauf geachtet wird, statistische Merkmale beizubehalten. So kann z.B. das Geburtsdatum um mehrere Jahre hinauf oder hinunter gesetzt werden. Dies ermöglicht weiterhin Auswertungen mehrerer Felder (mit leicht erhöhter Ungenauigkeit) sowie statistische Auswertungen einzelner Felder. Doch auch eine Re-Identifizierung ist oft weiterhin durchführbar.
- Eine Variante des vorigen Punktes ist die Generalisierung7: Daten werden nicht zufällig verändert, sondern auf größere Kategorien abgebildet, z.B. die Wohnadresse auf den Wohnort. Damit gehen Daten verloren, aber eine Re-Identifizierung ist durch Kombination mehrerer Felder vielfach weiterhin möglich.
- Aggregation8: Zusammenfassung mehrerer Elemente zu Gruppen. Sind die (alle!) Gruppen groß genug, so ist es nur mehr schwer möglich, auf Einzelpersonen zu schließen. Statistische Aussagen über die Gruppen sind hingegen weiterhin möglich. Zusätzlich ergibt sich das Problem, dass die Gruppierung immer gleich bleiben muss, da sonst die Anonymität geschwächt wird. Um wirklich gute Anonymisierung zu erreichen, sind besondere Strategien erforderlich (alle Gruppen müssen annähernd gleich groß sein, die Verteilung der Werte innerhalb der Gruppe ist zu berücksichtigen etc.).
2.2.
Anonymisierung von Kommunikationsinhalten ^
2.3.
Anonymisierung von Kommunikationsvorgängen ^
Abgesehen vom Kommunikationsinhalt im weitesten Sinne kann der Vorgang selbst ebenso zu Identifikation führen. Denn selbst wenn der Inhalt vollständig verschlüsselt ist, besitzt eine Übertragung über das Internet zwingend eine korrekte Ziel-IP-Adresse. Sind die Daten nicht extrem kurz bzw. sind Datenverluste relevant, muss auch die Quell-IP-Adresse korrekt sein. Damit ist z.B. über ISP eine Identifikation des Endgerätebesitzers möglich. Daher sind diese Daten ebenfalls zu anonymisieren. Gleiches gilt für Telefonnummern, doch sind entsprechende Anonymisierungsdienste nicht bekannt13. Bei Anonymisierung derartiger paketvermittelter Daten wird grundsätzlich ein zusätzlicher Rechner dazwischengeschaltet, welcher Daten entgegennimmt und weiterleitet. Damit wird die ursprüngliche Quell-IP-Adresse durch seine eigene ersetzt. Gleichzeitig wird die «echte» Ziel-Adresse den empfangenen Daten entnommen und anstatt seiner eigenen Adresse (=Ziel des ersten Paketes) eingesetzt. Gefährlich ist, dass bei Beobachtung von Ein- und Ausgang eine Zuordnung der Pakete möglich und daher zu verhindern ist. Hierzu werden eingesetzt:
- Verzögerungen: Daten werden nicht sofort weitergesendet, sondern erst nach einer variablen Verzögerung. Damit wird eine zeitliche Analyse «Eingang zu Ausgang» erschwert. Dies ist z.B. bei E-Mails leicht möglich, schwerer beim Websurfen und fast unmöglich bei Chat/Internet-Telefonie (Zeitverzögerungen = Beeinträchtigung der Kommunikation).
- Auffüllen: Kurze Pakete werden aufgefüllt, damit aus der Länge der Daten keine Zuordnung möglich wird. Eine Verkürzung ist ebenso möglich, indem ein Paket in mehrere kleinere Teile aufgespalten wird. Gegebenenfalls wird bei fehlendem Datenverkehr solcher simuliert, um «Lücken» zu vermeiden.
- Vertauschung: Die Paket-Reihenfolge wird vertauscht und diese erst am Ende wieder korrekt gereiht. Dies ist nur relevant, wenn Auffüllen/Aufspalten nicht immer und in gleich große Pakete erfolgt oder nicht verschlüsselt wird. Praktisch daher kaum existent.
- Mischen: Kommunikation einer Vielzahl an Personen wird über denselben Server vermittelt. Damit wird es schwieriger, eine Einzelperson nachzuverfolgen, da ein ausgehendes Paket zu einer Vielzahl eingehender Paketen gehören könnte. Je mehr Nutzer ein Server pro Zeiteinheit bedient14, desto besser die Anonymisierung.
- Unterschiedliche Wege: Pakete einer Verbindung können unterschiedliche Server zur Weiterleitung verwenden. Bei Verschlüsselung ist dies nicht mehr relevant. Bedeutung besitzt es hingegen bei mehreren Verbindungen: Eine Person X kommuniziert nicht nur mit A, sondern auch mit B und C, woraus sich Schlüsse über sie ziehen lassen.
- Mehrere Stationen: Um eine Identifikation zu erschweren, werden mehrere Server hintereinander geschaltet, sodass zur Identifikation eine Korrelation Ein- zu Ausgabe bei allen erfolgen müsste. Alternativ und unabhängig von der Stationsanzahl ist es möglich, sowohl an Quelle (z.B. ISP des Benutzers) als auch Ziel (ISP des Servers) den Datenverkehr abzugreifen und zu korrelieren. Dies bedeutet, dass Personen mit Abhörmöglichkeiten eines großen Teils des Internets eine De-Anonymisierung leichter durchführen können.
E-Mail-Anonymisierungsdienste hingegen setzen sehr oft Verzögerung ein, gerade um derartige Angriffe zu verhindern. Diese sind daher «besser», besitzen aber oft Probleme im Hinblick auf Antworten bzw. richterliche Abfragen (oft nur eine Station17, daher mittels Logfiles, sofern vorhanden oder verpflichtend geführt, «leicht» rückführbar).
3.
Grenzen der Anonymisierung ^
Eine weitere Limitierung besteht typischerweise darin, dass das eine Bestätigung der Autorenschaft bzw. Identifizierung von Kommunikation leicht möglich ist, wenn das verwendete Endgerät untersucht wird: Der lokale Mail-Account enthält u.U. eine Kopie der anonym versendeten E-Mail, der Browser-Cache beinhaltet abgerufene Webseiten sowie den Verlauf etc. Auch Tools zur Anonymisierung können zumindest einen Hinweis liefern und als Element der Bestätigung dienen. Zur Sicherstellung der Anonymität im Sinne von «deniability» (die Möglichkeit, alles Abstreiten zu können), ist daher auch das Endgerät entsprechend abzusichern, z.B. durch Vollverschlüsselung, Hidden Volumes, Verwendung von Live-DVDs o.Ä.
4.
Legalität von Anonymisierung ^
4.1.
Was sind «anonyme Daten»? ^
Zur Definition von Anonymität siehe weiters § 66 GentechnikG23, wonach eine Probe selbst dann als anonym gilt, wenn sie ohne Namen nur mit einem Code versehen ist, der ausschließlich in der jeweiligen Einrichtung mit dem Namen verbunden werden kann. Datenschutzrechtlich handelt es sich daher um indirekt personenbezogene Daten, sodass die «Anonymität» explizit gesetzlich festgelegt werden musste (und mit der hier vertretenen Definition nichts zu tun hat).
4.2.
Einsatz von Anonymisierung ^
Ist die Verwendung von Anonymisierungsdienstes ein ausreichender Verdacht für eine Straftat? M.M. ist dies eindeutig zu verneinen, denn es existieren viele gute und legale Gründe hierfür. Besteht allerdings aus anderen Gründen ein Verdacht, so kann die Verwendung u.U. als verdachtsverstärkend angesehen werden. Denn allgemein ist die Verwendung entsprechender Software wenig verbreitet und zumindest derzeit ungewöhnliches Verhalten37. Daher kann es ein zusätzlicher Mosaikstein sein – selbst wenn später eine vollkommen korrekte und verständliche Alternative präsentiert wird. Anonymisierung kann daher zwar keinen Verdacht begründen, aber einen bestehenden erhöhen, sofern sie im konkreten Zusammenhang relevant ist. Allerdings stellt sich die Frage, wie dies zu erkennen ist: Ohne Abhören der Kommunikation oder Untersuchung des Computers ist dies nicht feststellbar. Und hierfür ist ohnehin bereits ein Verdacht erforderlich. Es verbleiben daher nur Aussagen und direkte Beobachtungen als mögliche legale Quellen.
4.3.
Anbieten von Anonymisierungsdiensten ^
Sowohl bloßer Betrieb wie Nutzung eines Anonymisierungsdienstes sind daher legal. Wird ein Anonymisierungsdienst bei einer Straftat eingesetzt, so ist auch dies (abgesehen von der Straftat selbst) nicht strafbar. Es könnte jedoch strafverschärfend sein, siehe z.B. § 33 Abs. 1 Z 6 StGB («heimtückisch»). Dies wird zwar angenommen wenn die Tat heimlich begangen wird, setzt allerdings besonderen Vertrauensbruch voraus40. Letzterer fehlt jedoch meist beim Einsatz von Anonymisierung. Allerdings könnte dies relevant sein, wenn jemand (z.B. basierend auf der IP-Adresse) wegen Vorfällen vom Betreiber eines Servers ausgesperrt wird, und nun mit solcher Hilfe zurückkehrt, um damit die Sperre zu umgehen und eine Straftat gegen den Serverbetreiber zu begehen. Allerdings fehlt auch hier m.M. nach ein besonderes Vertrauensverhältnis.
4.4.
Anonymisierung fremder Daten zur Speicherung ^
4.5.
Datenlöschung durch Anonymisierung? ^
4.6.
Anonymisierung fremder Daten zur Verarbeitung ^
- 1 Siehe dazu mit Beispielen: Art. 29 Data Protection Working Party, Opinion 05/2014 on Anonymisation Techniques, 10. April 2014, 0829/14/EN, WP 216; sowie Cormode/Srivastava, Anonymized Data: Generation, Models, Usage, Proceedings of the 2009 ACM SIGMOD International Conference on Management of data, ACM 2009.
- 2 Mit noch stärkerer Unterteilung: Nelson, Practical Implications of Sharing Data: A Primer on Data Privacy, Anonymization, and De-Identification, SAS Global Forum 2015.
- 3 Sweeney, k-anonymity: a model for protecting privacy, International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 10 (5), 2002, 557–570.
- 4 Kuenning/Miller, Anonymization Techniques for URLs and Filenames, Technical Report UCSC-CRL-03-05, 2003, http://www.ssrc.ucsc.edu/Papers/crltr-03-05.pdf (alle Websites zuletzt besucht am 7. Januar 2016).
- 5 Zhang/Koudas/Srivastava/Yu, Aggregate query answering on anonymized tables, IEEE International Conference on Data Engineering, IEEE 2007.
- 6 Aggarwal, On unifying privacy and uncertain data models, IEEE International Conf. on Data Engineering, IEEE 2008.
- 7 Klösgen, Anonymization techniques for Knowledge Discovery in Databases, Proceedings of First International Conference on Knowledge Discovery & Data Mining, KDD-95, AAAI 1995, 186–191.
- 8 Torra, Constrained microaggregation: Adding constraints for data editing, Transactions on Data Privacy 1(2), 86–104 (2008).
- 9 Werden z.B. aus einer Gruppe von 100 Personen 99 entfernt, so ist die verbleibende Person nicht mehr anonym und muss einer anderen Gruppe zugeschlagen werden. Ist diese neue Gruppe allerdings ansonsten vollständig unverändert, ist dadurch nichts gewonnen und auch diese Gruppe muss umgestaltet werden.
- 10 Auch daraus kann eine Identifikation möglich sein, z.B. wenn diese Kombination von Daten nur einer einzigen Person bekannt war. Dies ist das gleiche Prinzip wie bei individuellen Wasserzeichen: Die Rückführbarkeit auf eine Einzelperson, da exakt diese Daten ausschließlich dieser einen Person zur Verfügung standen.
- 11 Bei E-Mails bedeutet dies nicht nur die Verschlüsselung des Inhalts sondern auch des Übertragungsvorgangs, da sonst z.B. Header nicht verschlüsselt übermittelt werden.
- 12 Und dort nur eingeschränkt: Wird auf eine Identifizierung des Partners verzichtet (bei Anonymisierung Grundvoraussetzung!), so sind Man-in-the-Middle-Angriffe immer möglich. Die einzige Abhilfe ist eine Überprüfung der «Identität» der Gegenstelle über ein z.B. bei einem persönlichen Treffen ausgetauschtes Geheimnis.
- 13 Als Ansatz siehe Uber, Introducing Phone Anonymization, http://newsroom.uber.com/sa/2015/04/phoneanonymization/, bei der allerdings lediglich die beiden Endpunkte die Telefonnummer des Partners nicht kennen, Uber jedoch beide.
- 14 Beispiel: Wird der Server von einem einzigen Nutzer verwendet, ist jegliche zeitliche Verzögerung irrelevant. Je mehr Benutzer ihn daher gleichzeitig verwenden, desto kürzer können die Verzögerungen werden.
- 15 https://www.torproject.org/.
- 16 Juarez/Afroz/Acar/Diaz/Greenstadt, A Critical Evaluation of Website Fingerprinting Attacks, https://securewww.esat.kuleuven.be/cosic/publications/article-2456.pdf.
- 17 Beispiel: http://anonymouse.org/anonemail.html.
- 18 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr., ABl. L 281/31 vom 23. November 1995.
- 19 Siehe auch Jahnel, Datenschutzrecht2, RZ 3/84, 85.
- 20 Vgl dazu oben die Datenanonymisierung durch Hashing.
- 21 BGBl. Nr. 328/1968 i.d.F. BGBl. I Nr. 112/2007.
- 22 Die genauen Konsequenzen einer derartigen Einteilung wären noch auszuarbeiten; so würde dies z.B. bedeuten, dass ein Auskunftsrecht besteht (da eine Identifizierung diesem Auftraggeber zumindest teilweise möglich ist), dieses jedoch öfters fehlschlagen wird (uU sind nicht aller Personen identifizierbar). Umgekehrt wäre eine Veröffentlichung jederzeit möglich, da die Daten für Dritte anonym wären.
- 23 BGBl. Nr. 510/1994 i.d.F. BGBl. I Nr. 92/2015.
- 24 BGBl. I Nr. 127/2002.
- 25 BGBl. Nr. 532/1993 i.d.F. BGBl. I Nr. 108/2007.
- 26 Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl. L 257/73 vom 28. August 2014.
- 27 BGBl. Nr. 555/1989 i.d.F. BGBl. Nr. 529/1993.
- 28 BGBl. I Nr. 169/1998 i.d.F. BGBl. I Nr. 56/2015.
- 29 Abs. 4: «Die Gewerbetreibenden haben der Gefahr der Geldwäsche oder Terrorismusfinanzierung aus Produkten oder Transaktionen, die die Anonymität begünstigen können, besondere Aufmerksamkeit zu widmen und allenfalls Maßnahmen zu ergreifen, um einem Missbrauch in dieser Hinsicht vorzubeugen.»: Anonyme Transaktionen sind daher selbst bei Gefahr erlaubt, sofern entsprechende Maßnahmen gegen Missbrauch eingesetzt werden.
- 30 Explanatory Report zur Convention on Cybercrime, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm.
- 31 A/RES/217, UN-Doc. 217/A-(III).
- 32 BGBl Nr. 591/1978.
- 33 Kaye, Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, 22. Mai 2015, A/HRC/29/32, http://www.refworld.org/docid/5576dcfc4.html; siehe auch schon früher La Rue, Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, 16. Mai 2011, A/HRC/17/27, sowie La Rue, Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, 17. April 2013, A/HRC/23/40.
- 34 Telemediengesetz vom 26. Februar 2007, BGBl. I S. 179, i.d.F. BGBl. I S. 1324 vom 17. Juli 2015: § 13 Abs. 6 «Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.»
- 35 Plöchl/Seidl in WK2 § 295 StGB (Stand: 1. September 2010, rdb.at) RZ 4; siehe auch Schwaighofer, Die Beweismittelunterdrückung nach § 295 StGB – Versuch einer erträglichen Auslegung, ÖJZ 1995, 376.
- 36 Im anfangs angeführten Fall der Seitensprung-Webseite gab es ein Gerichtsverfahren, ob die Website betrügerischer Weise eine zu hohe Anzahl an weiblichen Mitgliedern angab – hier wäre eine Anonymisierung der Kundendatei durch das Unternehmen («zum Schutz der Kunden») daher strafbar (Aufgrund der Vertragsbeziehung zu Kunden besteht vermutlich keine Alleinverfügungsberechtigung; die AGBs wären jedoch genau zu prüfen). Rayner, Ashley Madison employee «told to create hundreds of fake profiles of alluring women», http://www.telegraph.co.uk/news/11817155/Ashley-Madison-employee-told-to-create-hundreds-of-fake-profiles-of-alluring-women.html.
- 37 Aus diesem Grund ist der Einsatz von Verschlüsselung kein entsprechendes Merkmal (mehr), da heute praktisch jeder (bewusst oder unbewusst) Verschlüsselung verwendet und entsprechende Tools weite Verbreitung finden (z.B. Sicherung von Archiven wie ZIP-Dateien mit einem Passwort).
- 38 Vergleiche dazu Reindl-Krauskopf, Computerstrafrecht im Überblick, 123 zur Kollision der Löschungsverpflichtung nach § 16 ECG mit § 295 StGB: Auch dort wird eine Strafbarkeit nur dann angenommen, wenn dem Host-Provider im Löschungszeitpunkt klar ist, dass die zu löschenden Daten in einem konkreten Verfahren als Beweismittel verwendet werden sollen (und nicht nur «könnten»!). Dass die Prüfpflicht zeitlich knapp bemessen ist («unverzüglich»), verstärkt noch die erforderliche Eindeutigkeit.
- 39 Siehe dazu Bergauer, Das Betreiben eines Anonymisierungsdienstes im Internet als strafbarer Beitrag zur Verbreitung von Kinderpronografie? JusIT 5/2014, 161 (zu LG für Strafsachen Graz 30. Juni 2014, 7 Hv 39/14p).)
- 40 Ebner in WK2 § 33 StGB (Stand: 1. September 2014, rdb.at) RZ 20.
- 41 OGH 1. Oktober 2008, 6 Ob 195/08g: Sollen in einer Bonitätsdatenbank aufgrund eines Verlangens des Betroffenen bestimmte Daten gelöscht werden, so besteht kein Recht, dass die restlichen Daten enthalten bleiben; der Betreiber kann auch diese löschen.
- 42 Eintragungen unleserlich machen reicht bei manuellen Dateien (Papier DSK 25. Juni 2004, K120.877/0017-DSK/2004.
- 43 DSK 22. Oktober 2008, K120.857/0010-DSK/2008: Die Karteikarte wurde physisch vernichtet, im Protokollbuch jedoch lediglich der Eintrag geschwärzt.
- 44 DSK 6. Februar 2008, K121.127/0003-DSK/2008. Siehe auch OGH 13. September 2012, 6 Ob 107/12x: Eine Archivierung ist keine Löschung: «Maßgeblich ist, dass der Auftraggeber auf die Daten wieder zugreifen und diese rekonstruieren kann.»
- 45 Unklar und evtl anderer Meinung Jahnel, Datenschutzrecht2, RZ 3/112, 159. Klar ist, dass eine bloße Erschwerung/Verhinderung der Auffindbarkeit keine Löschung darstellt – dies ist jedoch auch keine Anonymisierung.
- 46 Jahnel, Datenschutzrecht2 RZ 8/13, 439; identisch ErläutRV zu § 46 1613 d.B. (XX. GP).
- 47 Auch die Verwendung «wissenschaftlicher Methoden» ist kaum zu rechtfertigen, da schon die bloße Definition äußerst schwierig wäre. Weiters ist es bei anonymen Ergebnissen irrelevant, ob sie richtig sind oder wenigstens nach einem richtigen Vorgehen erstellt wurden: Eine Gefahr für Einzelpersonen besteht nicht mehr.