Hamburg will Zugriff auf IP-Adressen und Passwörter neu regeln

Der Hamburger Senat hat einen Gesetzentwurf zur Reform der Bestandsdatenauskunft verabschiedet. Er will neu regeln, unter welchen Bedingungen Polizei und Verfassungsschutz Informationen über Anschlussinhaber wie Name und Anschrift oder Zugangssicherungscodes wie PINs, PUKs oder Passwörter manuell bei Anbietern von Telekommunikations- und Telemediendiensten abfragen dürfen. Dabei bezieht sich der Entwurf auch auf "zu bestimmten Zeitpunkten zugewiesene" IP-Adressen sowie weiterer zur Identifizierung von Personen erforderlicher "technischer Daten".

Nötig macht die Novelle ein Urteil des Bundesverfassungsgerichts von 2012. Dieses hatte vor allem bei der Zuordnung von dynamischen IP-Adressen zu den Bestandsdaten des Nutzers eine Regelungslücke gesehen. Die Richter beanstandeten zudem die Auskunftspflicht von Providern gegenüber Sicherheitsbehörden über Zugangssicherungsocdes als zu ungenau und weitgehend.

Auch die nordrhein-westfälische Landesregierung hat bereits mit einem Entwurf für ein neues Polizeigesetz auf den Beschluss der Verfassungsrichter reagiert. Der Bundestag beschloss im März eine Neuregelung der Bestandsdatenauskunft für die Bundesbehörden. Die Abgeordneten ergänzten dabei den ursprünglichen Regierungsentwurf unter anderem um eine Bestimmung, wonach Betroffene im Nachhinein prinzipiell informiert werden sollen. Auf PINs, PUKs oder Passwörter darf auf Bundesebene zudem nur mit richterlicher Genehmigung zugegriffen werden.

Der heise online vorliegende Entwurf der Hamburger SPD-Landesregierung sieht eine solche zusätzliche Hürde genauso wenig vor wie eine spätere Benachrichtigungspflicht. Sicherheitsbehörden dürfen vielmehr die begehrten Auskünfte immer dann verlangen, "wenn dies zur Abwehr einer Gefahr für die öffentliche Sicherheit erforderlich ist" und "die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen".

Für den Verfassungsschutz trifft diese Einschränkung nur zu, wenn es um Informationen geht, mit denen "der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird". Andernfalls dürfen die Staatsschützer Daten abfragen, soweit dies der Erfüllung ihrer Aufgaben dient.

Mit den sperrigen Formulierungen sind nach Ansicht des Rechtsausschusses des Bundesrats auch Cloud-Angebote und Internet-Speicherdienste wie Dropbox oder Google Drive erfasst. Unklar ist nach Auffassung des Juristen Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung auf Bundesebene, ob Ermittler oder Agenten auch Passwörter zu sozialen Netzwerken wie Facebook, Mitteilungsdiensten wie Twitter oder Chat-Angeboten abfragen dürfen. Da der Hamburger Gesetzentwurf gezielt Telemediendienste einschließt, dürften in der Hansestadt die von vornherein zum Anzapfen freigegeben sein.

Der Senat erläutert in der Gesetzesbegründung, dass nur dann auf Zugangssicherungscodes zur Gefahrenabwehr zugegriffen werden dürfe, "wenn eine Vorschrift der Polizei die Nutzung der durch die Auskunft erlangten Daten im konkreten Fall erlaubt". Werde etwa eine PIN benötigt, um die auf einem sichergestellten Mobiltelefon abgelegten Informationen auszulesen, müssten dafür die allgemeinen Voraussetzungen des Gesetzes zum Schutz der öffentlichen Sicherheit und Ordnung vorliegen.

Der Hamburgische Datenschutzbeauftragte Johannes Caspar bezweifelte dagegen, dass die für die Abfragen vorgesehenen Tatbestandsvoraussetzungen mit der Rechtsprechung des Bundesverfassungsgerichts im Einklang stehen. Caspar wandte sich zudem dagegen, die Gefahrenschwelle beim Ermitteln von Standorten von Mobilfunkgeräten etwa mithilfe eines IMSI-Catchers zu senken. Bislang sei hier eine "unmittelbar bevorstehende Gefahr" vorausgesetzt worden, wonach ein schädigendes Ereignis bereits begonnen haben oder in allernächster Zeit bevorstehen müsse. Dem Entwurf nach soll dagegen künftig eine "konkrete Gefahr" ausreichen.

Ein "Bündnis gegen das Bestandsdatenschnüffelgesetz", dem unter anderem Anonymous, die Piratenpartei, die Grüne Jugend Berlin und der Verein digitalcourage angehören, hat derweil zu bundesweiten Demonstrationen an diesem Wochenende und am 27. April aufgerufen. Protestaktionen sind in Städten wie Berlin, Bielefeld, Bochum, Bremen, Düsseldorf, Frankfurt, Hamburg, Kassel, Nürnberg, Stuttgart und Wiesbaden geplant. Der Bundesrat könnte schon Anfang Mai über den umstrittenen Gesetzentwurf des Bundestag abstimmen, heißt es zur Begründung, sodass baldige Proteste nötig seien. IP-Adressen und Personendaten dürften bei bloßen Ordnungswidrigkeiten und allgemein "für die Erfüllung der gesetzlichen Aufgaben" zugeordnet werden. Dadurch werde tief in die Privatsphäre eingegriffen. (anw)