Seehofers Online-Ausweispflicht – mailbox.org-Chef: "Es stinkt zum Himmel"

Peer Heinlein von mailbox.org weist die Forderung von Innenminister Seehofer nach einer Identifizierungspflicht für Internetdienste als dreist und dumm zurück.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 306 Beiträge
Berlin,,Germany,-,10-09-2017:,Horst,Seehofer,,Csu,,Answers,Questions,At

Horst Seehofer, 2017

(Bild: photocosmos1/Shutterstock.com)

Von
  • Stefan Krempl

Die vorige Woche publik gewordene Liste, mit der Bundesinnenminister Horst Seehofer (CSU) den Regierungsfraktionen von CDU/CSU und SPD einen massiven Ausbau der Überwachungsauflagen bei der laufenden Reform des Telekommunikationsgesetzes (TKG) nahelegen will, bringt Bürgerrechtler und Provider auf die Zinne. Die Rede ist von einer Personen-Vorratsdatenspeicherung und einem maßlosen Angriff auf die Kommunikations- und Meinungsfreiheit.

Peer Heinlein, Geschäftsführer des E-Mail-Anbieters mailbox.org, erklärt gegenüber heise online, was er von den Wünschen Seehofers und dem Regierungsentwurf für die TKG-Novelle hält.

Sie waren als Sachverständiger bei der TKG-Anhörung im Bundestag Anfang März dabei. Wie lief es aus ihrer Sicht? War es mehr als eine Alibi-Veranstaltung?

Die Sachverständigen werden durch Ausschussmitglieder vorgeschlagen. Da überlegt sich jede Partei sehr genau, wen sie einladen möchte und was dieser wohl sagen würde. Überraschungen sind daher eher selten. Aber es geht ja darum, konkreten zentrale Fragen Beachtung und Aufmerksamkeit zu schenken und in die politische Meinungsbildung einfließen zu lassen. Insofern sind Anhörungen ein wichtiges Medium, um sich politisch auszutauschen. Fachliche Argumente sollten auch über Parteigrenzen hinweg akzeptiert und anerkannt werden. Die Tatsache, dass neben dem TKG auch das fast zeitgleich behandelte IT-Sicherheitsgesetz von allen Sachverständigen ein vernichtendes Zeugnis ausgestellt bekommen hat, setzt ein deutliches Zeichen.

In der Begründung zur TKG-Reform heißt es, dass Anbieter von E-Mail- und Messenger-Diensten zwar künftig mit erfasst werden. Sie sollen aber ausdrücklich nicht gezwungen werden, Bestandsdaten wie Namen und Anschrift extra zu erheben. Lässt sich auf so einen Hinweis bauen?

Zu einem Gesetz gehört stets eine Erläuterung, die auch von Gerichten zur Auslegung herangezogen werden kann. Ursprünglich habe ich aus einer Klausel die Option einer Pflicht zur Datenerhebung herausgelesen. Aber nachdem der Gesetzgeber in der Begründung mit Blick auf E-Mail-Anbieter ganz eindeutig schrieb: "Eine Erhebungspflicht ist nicht vorgesehen", kam ich davon ab. Im Vertrauen auf diese Aussage haben wir diesen Punkt in der Anhörung nicht mehr thematisiert. Umso merkwürdiger, wenn Horst Seehofer bereits anderes vorhatte.

Sie spielen auf die "Formulierungshilfe" Seehofers für die Koalition an, wonach Diensteanbieter doch gezwungen werden sollen, "Identifizierungsmerkmale" von Nutzern nicht nur zu erheben, sondern auch "zu verifizieren und im Einzelfall den Sicherheitsbehörden zur Verfügung zu stellen". Fühlen Sie sich getäuscht?

Definitiv. Das ist schon ein starkes Stück und ein Schlag ins Gesicht der Ausschussmitglieder und Sachverständigen. Offensichtlich wollte Seehofer seine Pläne gar nicht von Experten beleuchten und öffentlich diskutieren lassen. Das ist undemokratisch und so wird Ausschussarbeit zur Farce. Wenn es dazu kommen sollte, ohne fachlich erörtert worden zu sein, ist das dreist. Und es ist auch dumm, denn der Gesetzgeber sollte sich im Vorfeld natürlich über die Auswirkungen dessen informieren, was er da gerade beschließt. Neben dramatischen politischen wie wirtschaftlichen Auswirkungen geht es um banale organisatorische Dinge: Wie soll ein E-Mail-Provider seine Nutzer authentifizieren können? Per Post-Ident-Verfahren?

Was hätte es für Folgen für einen mittelständischen Provider, wenn CDU/CSU und SPD der Forderung Seehofers nachkämen?

Wenn Nutzer das Vertrauen in den (Rechts-)Staat verlieren und zum Schluss kommen, die Maßnahmen würden weniger der Kriminalitätsbekämpfung als tatsächlich der eigenen Überwachung dienen, werden sie mit den Füßen abstimmen und zu Providern ins Ausland abwandern, wo diese Regelungen nicht gelten. Deutsche Anbieter verlieren hier, da Sicherheit und hoher Datenschutz heutzutage ein wichtiges Unterscheidungskriterium sind, um Nutzer für sich zu gewinnen. Und sie haben einen erheblichen wirtschaftlichen Nachteil, da sie die Kosten der TKG-Maßnahmen im Gegensatz zu ausländischen Firmen selbst tragen müssen.

Die Innenministerkonferenz von Bund und Ländern brachte die Identifizierungspflicht bereits im Sommer aufs Tapet. Ausdrücklich sollte damit aber keine Klarnamenpflicht verbunden sein. Pseudonyme nach außen hin wollten die Minister weiter erlauben. Bliebe dabei eine anonyme Internetnutzung möglich?

Das widerspricht sich selbst: Wenn Seehofer tatsächlich vorhat, eine Verpflichtung zur Erhebung der Postadresse ins Gesetz zu schreiben, kann er anschließend kaum noch auf Pseudonyme abstellen. Postadresse und Pseudonyme – das passt nicht zusammen.

Was wären die gesellschaftlichen Auswirkungen eines solchen Schritts?

Im E-Mail-Bereich sind wir am innersten Punkt der Kommunikation, der Gedanken- und Meinungsfreiheit. Was ich mit anderen privat per E-Mail berede, berührt meinen Wesenskern, meine Seele, offenbart mein Denken. Wenn ich den Eindruck habe, dass Privates nicht mehr privat bleibt, verliere ich das Vertrauen in den Staat und fühle mich überwacht. Parallel soll § 95a StPO so angepasst werden, dass Ermittlungsbehörden in sehr vielen Fällen E-Mails "heimlich" beschlagnahmen können. Anders als bei normalen Durchsuchungen dürfte der Betroffene diesen Umstand erst sehr spät oder nie erfahren, gerade dann, wenn die Beschlagnahmung kein verwertbares Ergebnis gebracht hat. Wie soll der Bürger hier Vertrauen in den Staat entwickeln? Zudem verkennt der Gesetzgeber die Tragweite des Zugriffs hinsichtlich der Eingriffsintensität beim Betroffenen und seinen Kontaktpersonen. Werden alle Mails auf einem Server beschlagnahmt, sind neben der Zielperson auch eine Vielzahl seiner Kontakte betroffen, unter Umständen auch deren Kernbereich privater Lebensgestaltung.

Die SPD will laut dem Entwurf für ihr Programm zur Bundestagswahl "die Plattformbetreiber verpflichten, die Voraussetzungen für eine grundsätzliche Identifizierbarkeit zu schaffen". Andererseits bezeichnet sie die anonyme und pseudonyme Online-Nutzung als "wichtige Voraussetzung für eine freie Meinungsäußerung" und den besten Schutz vor Diskriminierungen.

Es ist wichtig und richtig, dass Strafverfolgung bei konkreten Verbrechen möglich ist und funktioniert. In der Praxis scheitert dies aber weniger an Gesetzen und juristischen Möglichkeiten als an fehlendem Fachwissen und insbesondere viel zu langsamer Ermittlungsarbeit. Bis Anfragen der Ermittlungsbehörden bei uns sind, vergehen oft Monate. Bis dahin sind die Daten gelöscht und am Ende ergab die Anfrage manchmal auch fachlich keinen Sinn und war gar nicht beantwortbar. Ansonsten hat die SPD absolut richtig erkannt: Freie Meinungsäußerung setzt auch einen Schutz durch anonyme oder pseudonyme Nutzung voraus. Dies kann nicht geopfert werden. Die Lösung kann also nicht sein, dass Provider mit einer anlasslosen Vorratsdatenspeicherung zur Totalaufzeichnung verpflichtet werden, weil Ermittlungsbehörden noch nicht im Internet angekommen sind.

Die SPD und zumindest der CSU-Innenminister scheinen an einem Strang zu ziehen. Für wie wahrscheinlich halten Sie es, dass die Identifizierungspflicht kommt?

Es ist völlig unklar, welches taktische Manöver hier gefahren wird. Aber egal, wie man es betrachtet: es stinkt zum Himmel. Auch in dem Seehofer-Papier bezieht sich der Wortlaut des Gesetzes auf denjenigen, der "dabei die Daten erhebt". Also offensichtlich nicht auf alle. Insofern müsste man das Gesetz so auslegen, dass keine Pflicht zur Speicherung enthalten sein soll. Ist das wirklich nur handwerkliche Schlamperei? Oder handelt es sich um ein taktisches Manöver? Möchte Seehofer eine aufgeregte Diskussion, um sich als Hardliner zu präsentieren, obwohl er in Wirklichkeit weiß, dass diese Speicherpflicht vielleicht gar nicht kommen kann? Soll die Diskussion von den eigentlichen Zumutungen des neuen TKG und des IT-Sicherheitsgesetzes ablenken? Diese sind skandalös genug, doch wird aktuell darüber kaum mehr debattiert. Die Psychologie kennt den Begriff des "Framings": Je schlimmer die scheinbaren Alternativen sind, umso harmloser wirkt das, was tatsächlich kommt. Hat sich hier am Ende jemand naiv vor den Karren des Innenministeriums spannen lassen und tut diesem mit dem Leak des Papiers in Wirklichkeit einen Gefallen? Fakt ist: Ein solch hektisches Durcheinander kurz vor Toresschluss tut dem Gesetzgebungsprozess nicht gut.

Seehofer will Provider auch dazu verpflichten, Sicherheitsbehörden dabei zu unterstützten, Staatstrojaner auf das Endgerät eines Verdächtigen zu bringen. Müsste auch mailbox.org dann als Hilfssheriff fungieren?

Das Innenressort führt aus, dass nur Anbieter von Internetzugangs- oder Signalübertragungsdiensten verpflichtet werden sollen, während E-Mail-Anbieter wie mailbox.org ausdrücklich nicht darunter fallen. Im Kern geht es darum, dass Datenströme so umgelenkt werden sollen, dass Ermittlungsbehörden als "man in the middle" die Möglichkeit bekommen, ihre Software zu installieren. Ausdrücklich ausgeschlossen ist auch, dass Anbieter ihre eigene Software modifizieren müssen.

Welche hauptsächlichen Bedenken haben Sie gegen die TKG-Novelle? Was würde es bedeuten, wenn im Gesetzestext aus "Teilnehmern" und "Kunden" tatsächlich "Nutzer" würden?

Scheinbar nur eine Änderung im Wort, aber in Wirklichkeit ein dramatischer Eingriff! Bislang wurde von "Teilnehmern" im Sinne von "Verträgen" geredet. Ein Geschäftskunde mit vielen tausend Mitarbeitern blieb ein juristischer Teilnehmer. Wenn das neue TKG nun von Nutzern spricht, wäre dies als "schlagende Herzen" zu verstehen. Mit dem Ergebnis, dass viele TKG-Regelungen schon viel früher greifen würden als bisher. Im schlechtesten Fall ab dem ersten Kunden, wenn er nur groß genug ist. Maßnahmen zur automatisierten Datenauskunft oder zur Absicherung als kritische Infrastruktur sind vom Provider auf seine Kosten zu tragen. Und die können erheblich sein: Wir gehen von bis zu 100.000 Euro im ersten Jahr aus. Für mittelständische Provider ein Grund, das E-Mail-Angebot lieber ganz einzustellen. Kleine innovative Anbieter kommen erst gar nicht in den Markt. Kosten und Nutzen stehen schon jetzt in keinem sinnvollen Verhältnis: Mailbox.org hatte 2020 rund 90 Auskunftsanfragen. Die Kosten eines automatisierten Verfahrens würden so umgerechnet rund 1000 Euro je Anfrage bedeuten. Die Grenzen müssen hier nicht abgesenkt, sondern deutlich auf drei Millionen Teilnehmer angehoben werden, damit das alles vertretbar wird.

Es gab auch formale Kritik am Gesetzgebungsverfahren, etwa wegen Kommentierungsfristen von wenigen Stunden. Bleiben demokratische Standards auf der Strecke?

Auf jeden Fall, denn die Begutachtung eines solch komplexen Gesetzes erfordert viel Zeit, wenn jedes einzelne Wort analysiert und interpretiert werden muss. Selbst wenn Lobby-Verbände hier mit einem Team von Juristen versuchen Einfluss zu nehmen – auch "normale Unternehmen" müssen gehört werden. Im Dezember haben wir alles stehen und liegen lassen und uns umgehend mit unseren Kollegen bei Tutanota und mail.de für unsere Stellungnahmen abgestimmt, aber in so kurzer Zeit kann man nur Details rauspicken und Schnellschüsse liefern. Zum Glück hatten wir die Gelegenheit, das Ganze noch einmal mit mehr Zeit für die Anhörung vorzubereiten. Sonst wären diese politischen und wirtschaftlichen Themen dort gar nicht zur Sprache gekommen.

Was für ein Bild geben die Regierung und die Koalition aus ihrer Sicht netzpolitisch ab, wenn einerseits ständig der Ruf nach "digitaler Souveränität" ertönt, andererseits die Daumenschrauben angezogen werden?

Dass die Bundesregierung digitale Souveränität als wichtigstes IT-Ziel erkannt hat, ist ein riesiger Erfolg. Viele Unternehmen und Verbände wie die Open Source Business Alliance haben hier über ein Jahrzehnt unermüdlich Aufklärungs- und Überzeugungsarbeit geleistet, während sich dieses Land immer weiter in die Abhängigkeit von Microsoft & Co. begeben hat. Am Ende hat jedoch auch die Politik erkannt, wie sehr solche Zwangslagen finanziell wie politisch ausgenutzt werden können. Gleichzeitig sind Hardliner wie Horst Seehofer von dem Kontroll- und Überwachungsvirus infiziert, der in den letzten 20 Jahren in immer mehr Ländern um sich greift, die die Freiheit der Kommunikation für Bürger einschränken. Was der Staat links für sich selbst als zu lösendes Problem erkannt hat, gibt er rechts als Druck an seine eigenen Bürger weiter. Das ist schon eine bittere Ironie.

(kbe)