Passwort-Herausgabe: Scharfe Kritik am "großen Lauschangriff im Netz"
Die geplante erweiterte Pflicht für WhatsApp, Google, Facebook & Co. zum Transfer von Bestands- und Nutzungsdaten an Sicherheitsbehörden erregt die Gemüter.
(Bild: Illus_man/Shutterstock.com)
Der Gesetzentwurf "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität", mit dem Bundesjustizministerin Christine Lambrecht (SPD) neben dem Netzwerkdurchsetzungsgesetz (NetzDG) unter anderem die Strafprozessordnung (StPO) und das Telemediengesetz (TMG) ändern will, stößt auf Unverständnis bei Politikern und in der Digitalwirtschaft.
Es sei zwar prinzipiell richtig, dass die Bundesregierung "nach dem Anschlag von Halle das viel zu lang unterschätzte Problem des wachsenden Rechtsradikalismus und der Hasskriminalität im Netz" angehen wolle, betonte Sabine Leutheusser-Schnarrenberger, Vorstandsvorsitzende der Friedrich-Naumann-Stiftung für die Freiheit, gegenüber heise online. Der vorgesehene umfassende Auskunftsanspruch zu Bestands- und Nutzungsdaten der Telemedienanbieter drohe aber, "weit über das Ziel hinauszuschießen".
Strafverfolgungsbehörden und Geheimdienste könnten künftig nicht nur auf die IP-Adressen, sondern auch auf "alle Passwörter der Nutzer" zugreifen. Damit würde tief in die Privatsphäre der Bürger eingegriffen und es ermöglicht, die gesamte persönliche Lebensgestaltung auszuleuchten. Stattdessen wäre es nötig, sich mit dem gerade erst geschaffenen NetzDG differenziert auseinanderzusetzen.
"Umfassende Online-Durchsuchung"
Es gehe nicht mehr nur darum, Hasskriminalität zu bekämpfen, sondern umfassende Überwachungsrechte für Staat und Behörden einzurichten, beklagte Oliver Süme, Vorstandsvorsitzender des eco-Verbands der Internetwirtschaft. Während die Branche versuche, die Datenschutz-Grundverordnung (DSGVO) umzusetzen und die Datensicherheit zu erhöhen, fordere ausgerechnet das Justizministerium, Passwörter und andere höchstpersönliche Daten herauszugeben.
Faktisch wird für Süme damit eine "umfassende Online-Durchsuchung möglich", einschließlich Zugriff auf E-Mails, in der Cloud hinterlegte Fotos oder Dokumente. "Das ist der große Lauschangriff im Netz, den keiner, dem Bürgerrechte und Verfassung irgendetwas bedeuten, wirklich wollen kann." Zuvor hatte der Bitkom moniert, dass das Justizministerium "Grundwerte über Bord" werfen wolle, "die unser Zusammenleben online wie offline seit Jahrzehnten prägen".
Konstantin von Notz, Vizechef der grünen Bundestagsfraktion, kritisierte gegenüber heise online, dass die Koalition die Reform zentraler Punkte des NetzDGs auf die lange Bank schiebe und sie in anderen Punkten "nun weit über das Ziel hinausschießt". Für von Notz stellen sich damit "auch verfassungsrechtlich tiefgehende Fragen".
"Bürgerrechtsfeindlich"
Während das SPD-geführte Bundesjustizministerium bisher "zumindest in einem gewissen Umfang noch die Funktion eines Korrektivs in einer insgesamt bürgerrechtsfeindlichen Großen Koalition übernommen hat, ist es hiermit nun offensichtlich endgültig vorbei", meinte von Notz. Wieder einmal gehe Schnelligkeit vor Gründlichkeit, es würden die Fehler wiederholt, die schon mit dem NetzDG gemacht worden seien.
Das Bundesjustizministerium versucht derweil abzuwiegeln. Es gebe eine datenschutzrechtliche Pflicht für Diensteanbieter, sensible Daten wie Passwörter verschlüsselt zu speichern, erklärte ein Sprecher gegenüber heise online. Er sehe daher nur einen "sehr kleinen Anwendungsbereich" der Klausel im Kampf gegen "schwerste Kriminalität" wie Terrorismus. In solchen Fällen sollten die Behörden auch versuchen können, die herauszugebenden Hashwerte zu entschlüsseln, wofür sie natürlich die entsprechenden Fähigkeiten bräuchten.
Kelber hält sich zurück
Sollten Anbieter entgegen den Datenschutzvorschriften Passwörter unverschlüsselt vorhalten, hätten Staatsanwaltschaften künftig die Chance, diese im Klartext abzufragen, heißt es im Justizministerium weiter. Es sei nicht vorgesehen, dass die Justizbehörden zugleich die zuständige Bundesdatenschutzbehörde informierten, damit diese zusätzlich Sanktionen verhänge. Deutschlands oberster Datenschützer Ulrich Kelber wollte noch kein Statement zu dem Entwurf abgeben, "da es sich um ein laufendes Gesetzgebungsverfahren handelt".
Generell habe auf TMG-Basis schon bisher prinzipiell für die Staatsanwaltschaft die Möglichkeit bestanden, Bestandsdaten inklusive Zugangsinformationen zu verlangen, führte Lambrechts Sprecher aus. Hier werde nun ein Richtervorbehalt zusätzlich eingebaut, der sich aber laut dem Paragrafen 100j StPO nur auf Passwörter und vergleichbare Kennungen wie PIN bezieht und beispielsweise nicht auf die ebenfalls abfragbaren IP-Adressen.
"Rudimentär geregeltes Auskunftsverfahren"
Das Auskunftsverfahren sei im Telemediengesetz "bisher nur rudimentär geregelt", meint das Justizministerium. Insbesondere fehlten Vorgaben zur Auskunft "anhand von IP-Adressen, zur Abfrage von Passwörtern, zur Vertraulichkeit der Auskunft und zur Form des Auskunftsersuchens". Dies erschwere das Einholen von Auskünften gegenüber Telemedienanbietern.
Das Reformvorhaben hatte auch vermuten lassen, dass es den Behörden um Session Cookies oder bei den Dienstleistern kurzfristig entschlüsselte Passwörter gehen könnte. Diese Daten könnten ausreichen, um die Authentifizierung zu umgehen beziehungsweise ein Konto zu übernehmen. Es solle aber nur Auskunft über Sachverhalte erteilt werden, "die bei dem Anbieter vorhanden sind, neue Speicherverpflichtungen sind nicht umfasst", kommentiert das Justizministerium. Die Klausel treffe jedoch etwa auch Services zur Online-Passwortverwaltung wie Last Pass, insofern diese vom TMG erfasst seien. (anw)
