Macht der Staat das Internet unsicher? Mit seinem Gesetzespaket gegen Rechtsextremismus und Hasskriminalität hat das Bundesjustizministerium Netzpolitiker und Datenschützer gegen sich aufgebracht. Einige Vorschläge aus dem Paket würden die Art, wie Ermittler auf äußerst persönliche Daten zugreifen, grundsätzlich verändern.
Das Bundesjustizministerium plant mit dem Gesetzespaket auch das Telemediengesetz (TMG) zu erweitern. Das Gesetz hat nichts mit politischem Extremismus zu tun, sondern regelt, was Online-Dienste dürfen und tun müssen, um ein Angebot zu betreiben. Der Entwurf sieht vor, dass jeder E-Mail-Dienst, jedes soziale Netzwerk und alle Unternehmen, die Dienste im Internet betreiben, die Passwörter ihrer Kunden auf Verlangen an die Sicherheitsbehörden herausgeben müssen.
Im Telemediengesetz soll bald stehen: Auch solche "Bestandsdaten" sollen herausgegeben werden, "mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird". Die Passwörter verlangen könnten demnach alle Polizeidienststellen und Polizeibehörden, der Verfassungsschutz und der Bundesnachrichtendienst und auch der Zoll. Bisher können diese lediglich sogenannte IP-Adressen abfragen. Dabei handelt es sich um die Adressen eines Internet-Anschlusses, die verraten kann, zu welcher Person und an welcher Anschrift ein Internetzugang gehört.
Geplant ist ein Richtervorbehalt, dafür sorgt Paragraf 100j der Strafprozessordnung. Nur in Eilfällen genügt auch eine Entscheidung einer Staatsanwaltschaft. Die juristische Hürde ist trotzdem sehr niedrig: Nach dem Gesetzentwurf des Justizministeriums soll es schon genügen, wenn der Verdacht irgendeines Delikts im Raum steht, welches (auch) mittels Telekommunikation begangen worden sein soll, was im Internetzeitalter ziemlich vieles umfasst. Und: Die Unternehmen dürfen ihre Kunden nicht informieren, dass sie eine solche Passwort-Anfrage bekommen haben.
Der Gesetzesvorschlag ist nicht auf dem aktuellen Stand der Technik
Fraglich ist allerdings, wie die IT-Unternehmen auf solche Anfragen von Polizisten oder Geheimdienstlern in Zukunft reagieren werden. Die Passwörter, um die es geht, werden bei den Unternehmen in der Regel gar nicht im Klartext gespeichert. Aus dem Google-Konzern heißt es zum Beispiel, dass man Passwörter etwa für Online-Clouddienste wie Google Drive oder die Online-Backups gar nicht herausgeben könne. Der Konzern gibt an, die Daten so durch ein kryptografisches Verfahren geschützt zu speichern, dass sie nicht als Klartext herausgegeben werden könnten. Tatsächlich bekommen Cloud-Dienste nur dann eine Zertifizierung vom Bundesamt für Sicherheit in der Informationstechnologie (BSI), wenn sie Passwörter entsprechend geschützt speichern. Auch die Datenschutz-Grundverordnung verlangt eine solche Speicherung. Dasselbe gilt für die Sperrcodes von Handys, sie sind in der Regel nur auf den Geräten und nicht auf den Servern der Unternehmen selbst gespeichert.
Die Anfragen der Sicherheitsbehörden könnten beim derzeitigen Stand des Datenschutzrechts also ins Leere laufen. "Wir gehen davon aus", sagt ein Sprecher des Justizministeriums, "dass diese Regelung einen sehr kleinen Anwendungsbereich haben wird." Es kämen praktisch nur Fälle in Betracht, in denen kleine IT-Anbieter sich mal nicht an das Datenschutzrecht gehalten haben. Andere Juristen warnen, es könnte durch die geplante Änderung politischer Druck auf die Unternehmen entstehen, den Datenschutz an dieser Stelle zurückzudrehen. "Strafverfolger könnten durch die Regelung auf den Gedanken kommen, dass sie Unternehmen dazu zwingen könnten, ihre Passwörter unverschlüsselt zu speichern", sagt Ulf Buermeyer, Vorsitzender der Bürgerrechtsorganisation Gesellschaft für Freiheitsrechte (GFF).