Justizministerium: WhatsApp, Gmail & Co. sollen Passwörter herausgeben müssen
Der Entwurf von Justizministerin Christine Lambrecht für ein Gesetz gegen "Hasskriminalität" geht weit über eine Verschärfung des NetzDG hinaus.
Bundesjustizministerin Christine Lambrecht wandelt in Überwachungsfragen auf den Spuren ihres Kollegen im Innenressort, Horst Seehofer (CSU). Mit ihrem am Freitag vorgelegten Referentenentwurf für ein Gesetz "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" will die SPD-Politikerin nicht nur das an sich bereits heftig umstrittene Netzwerkdurchsetzungsgesetz (NetzDG) deutlich verschärfen. Sie plant auch eine Pflicht für WhatsApp, Gmail, Facebook, Tinder & Co., schon jedem Dorfpolizisten und zahlreichen weiteren Sicherheitsbehörden auf Anfrage sensible Daten von Verdächtigen wie Passwörter oder IP-Adressen teils ohne Richterbeschluss herauszugeben.
"Wer geschäftsmäßig Telemediendienste erbringt, daran mitwirkt oder den Zugang zu Nutzung daran vermittelt", soll einschlägige erhobene Bestands- und Nutzungsdaten "zur Erfüllung von Auskunftspflichten" gegenüber den berechtigten Stellen verwenden dürfen, heißt es in dem heise online vorliegenden Entwurf, den mittlerweile der Journalist Hendrik Wieduwilt veröffentlicht hat. Die herauszugebenden Informationen seien "unverzüglich und vollständig zu übermitteln", betont das Justizministerium.
Automatisierte Auswertung
Das mit der Reform des Telemediengesetzes (TMG) vorgesehene weitgehende Auskunftsverfahren gelte auch für Bestandsdaten, mit denen der Zugriff auf Endgeräte oder auf davon räumlich getrennte Speichereinrichtungen etwa in der Cloud geschützt wird, ist dem Papier zu entnehmen. Die gewünschten Informationen dürften "auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse bestimmt werden", wofür Nutzungsdaten "auch automatisiert ausgewertet werden" können.
Das Justizressort begründet die Initiative mit der "zunehmenden Nutzung und gestiegenen Bedeutung von Telemediendiensten". Damit werde die Erhebung einschlägiger Daten "sowohl für die Strafverfolgung als auch für die Gefahrenabwehr von zentraler Bedeutung". Bisher fehlten im TMG aber Regeln "zur Auskunft anhand von IP-Adressen, zur Abfrage von Passwörtern, zur Vertraulichkeit der Auskunft" und zur Form des Ersuchens. Ebenfalls ausdrücklich geregelt werde die Verpflichtung von Telemediendiensteanbieter über derlei Anfragen Stillschweigen zu bewahren. Betroffene oder Dritte würden gegebenenfalls aber auf Basis der Strafprozessordnung (StPO) durch die Behörden informiert.
"Alle", die Straftaten oder Ordnungswidrigkeiten verfolgen
Nicht ganz klar wird in dem Entwurf, was mit Passwörtern ist, die Anbieter selbst nur in Hashform verschlüsselt speichern. Eine ausdrückliche Pflicht, Kennungen im Klartext herauszugeben, ist im Entwurf nicht vorgesehen. Für die Auskunftserteilung sind aber "sämtliche unternehmensinternen Datenquellen zu berücksichtigen".
Der Kreis der berechtigten Stellen könnte kaum weiter gefasst sein. Er erstreckt sich auf alle "für die Verfolgung von Straftaten oder Ordnungswidrigkeiten" und die Gefahrenabwehr zuständigen Behörden, sämtliche Geheimdienste von Bund und Ländern sowie auf die Zollverwaltung und Ämter, die für die Schwarzarbeitsbekämpfung zuständig sind. Anbieter sollen ferner explizit auch Bestandsdaten herausrücken, soweit dies im Kampf gegen Urheberrechtsverletzungen "zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist".
Gefahr im Verzug
Ein Ersuchen muss laut dem Vorhaben prinzipiell "in Textform" gestellt werden, bei Gefahr im Verzug soll es aber auch zunächst ohne diese Minimalanforderung gehen. Wer mehr als 100.000 Kunden hat, müsse "für die Entgegennahme der Auskunftsverlangen sowie für die Erteilung der zugehörigen Auskünfte eine gesicherte elektronische Schnittstelle" bereithalten. Die Kosten für das gesamte Verfahren sollen die Firmen selbst tragen.
Der skizzierte Paragraf 15a TMG knüpft an die bereits bestehende einschlägige Pflicht zur Bestandsdatenauskunft für Telekommunikationsanbieter an, von welcher die berechtigten Stellen seit Jahren intensiv und nicht immer rechtskonform Gebrauch machen. Im jetzt anvisierten Bereich sind die Folgen mit Zugriffsmöglichkeiten auf umfassende Kommunikationsinhalte von Nutzern und die damit verknüpften Grundrechtseingriffe aber deutlich größer.
Kreis der Verpflichteten
Auch der Kreis der Verpflichteten erweitert sich deutlich: unter den Begriff Telemedien fallen etwa soziale Medien und Blogs, Chatdienste, Spiele-Apps, Informationsservices und Suchmaschinen, Portale, Shops und private Seiten im Web, Webmail-Dienste, Podcasts und Flirt-Communities. Dazu kommt eine Klausel, wonach schon das Befürworten alias "Billigen" von Straftaten etwa in sozialen Netzwerken wieder kriminalisiert werden soll. Der Wissenschaftliche Dienst des Bundestags hatte voriges Jahr angeführt, ein entsprechender Vorschlag sei 1989 noch abgelehnt worden, da die 1981 aufgehobene vormalige Bestimmung kaum zu Verurteilungen geführt habe.
Der Bitkom zeigt sich alarmiert über die Initiative: "Das jetzt vorgestellte Gesetz wirft Grundwerte über Bord, die unser Zusammenleben online wie offline seit Jahrzehnten prägen", moniert der Digitalverband. "Statt das NetzDG gewissenhaft auf Wirkungen und Nebenwirkungen zu überprüfen, kommt kurz vor Weihnachten und auf den letzten Drücker der nächste überhastete Vorstoß gegen ein lange bekanntes Problem."
Herausgabe vertraulicher Passwörter ohne richterlichen Beschluss
Erstaunt ist der Bitkom nach eigener Ansage, dass der Ruf nach Herausgabe vertraulicher Passwörter ohne richterlichen Beschluss oder zur automatisierten Weiterleitung von Internetkennungen just "aus jenem Ministerium unterstützt" werde, "das sich den Datenschutz besonders groß auf die Fahnen geschrieben hat". Man könne "nur beten, dass solche hochkritischen Daten in den Behörden nicht in die falschen Hände fallen".
Kritisch sieht der Verband die geplante Pflicht für Diensteanbieter, eventuell strafbare Inhalte inklusive Darstellungen sexuellen Kindesmissbrauchs nicht nur zu löschen, "sondern sie unaufgefordert mitsamt der IP-Adresse und Portnummer des Nutzers dem Bundeskriminalamt mitzuteilen". Gerade bei Meinungsäußerungen sei die Strafbarkeit in vielen Fällen keineswegs offensichtlich. Es werde sich nicht vermeiden lassen, dass so Inhalte und Daten völlig harmloser Nutzer an das BKA weitergeleitet würden. Unverhältnismäßige Eingriffe in die Privatsphäre der Nutzer seien vorprogrammiert.
Falschmeldungen
Zuvor hatte der eco-Verband der Internetwirtschaft beklagt, dass die skizzierte Novelle des NetzDGs die Unternehmen "erneut mit großer Rechtsunsicherheit konfrontiert". Es gelte zu klären, ob die technischen Anforderungen grundsätzlich umsetzbar seien und welche Konsequenzen aus unvermeidbaren "Falschmeldungen" entstehen, wenn ein Anbieter etwa gemeldete Inhalte zu eng auslege.
Die grüne Bundestagsabgeordnete Renate Künast kritisierte auf Twitter, dass die große Koalition Mittel gegen den Rechtsextremismus wähle, "die bedenklich tief in die Bürgerrechte eingreifen". Sie sieht mit der Weitergabe von IP-Adressen und Ports "Chilling Effects" auf die Meinungsfreiheit ausgehen und Fragen wie zur Länge der Datenspeicherung offen. Bedenklich sei auch, dass die Anbieter eine mögliche Rechtswidrigkeit von Auskunftsanträgen selbst prüfen sollen. Die Referentin für Netzpolitik der Linksfraktion im Bundestag, Anne Roth, warf die Frage auf, ob den Entwurf "nicht vielleicht zum größeren Teil Seehofer geschrieben" habe. 300 neue Stellen und "massenhaft IP-Adressen" fürs BKA, "dazu mittendrin überall Kinderpornografie" wiesen in diese Richtung. (bme)