Missing Link: Passwortherausgabe – die Logik der Überwacher und der Kritiker

Stellungnahmen im laufenden Verfahren zur Bestandsdatenauskunft vor dem Bundesverfassungsgericht geben Einblicke in die Vorgeschichte des aktuellen Streits.

Lesezeit: 9 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 274 Beiträge

(Bild: PopTika/Shutterstock.com)

Von
  • Stefan Krempl

Bundesjustizministerin Christine Lambrecht sorgte im Dezember mit ihrem Gesetzentwurf "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" für einen Aufschrei in der Digitalbranche und bei Bürgerrechtlern. Stein des Anstoßes ist die von der SPD-Politikerin geplante Reform der an sich bereits seit Langem heftig umstrittenen Regeln zur Bestandsdatenauskunft, womit das Justizressort auch klarere Vorschriften für die Herausgabe von Passwörtern durch Telemediendienste wie WhatsApp, Google, Facebook, Tinder, GMX oder Web.de schaffen will.

"Missing Link"

Was fehlt: In der rapiden Technikwelt häufig die Zeit, die vielen News und Hintergründe neu zu sortieren. Am Wochenende wollen wir sie uns nehmen, die Seitenwege abseits des Aktuellen verfolgen, andere Blickwinkel probieren und Zwischentöne hörbar machen.

Der eco-Verband der Internetwirtschaft warnte umgehend vor dem "großen Lauschangriff im Netz" und "Kosten in Milliardenhöhe" für die Vielzahl der betroffenen Unternehmen. Der Bitkom sah "Grundwerte über Bord" geworfen, "die unser Zusammenleben online wie offline seit Jahrzehnten prägen". Völlig aus der Luft gegriffen ist die Initiative aber nicht: sie hat mit den bestehenden und auf Geheiß des Bundesverfassungsgerichts bereits etwas nachgebesserten Bestimmungen zur Bestandsdatenauskunft im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG) sowie in einschlägigen Landesnormen schon eine lange Vorgeschichte.

Noch unter Rot-Grün hatte der Gesetzgeber zunächst 2004 eine TKG-Novelle beschlossen, womit sich Sicherheitsbehörden erstmals Zugriff auf "Zugangssicherungscodes" wie PINs und PUKs sowie Passwörter für Mailboxen oder Webmail-Konten verschaffen durften. Schon damals bezog sich die Klausel auch auf "Endgeräte oder in diesen oder im Netz eingesetzte Speichereinrichtungen", also etwa auf in der Cloud vorgehaltene Daten.

Ein Sprecher des damaligen Bundesdatenschutzbeauftragten Peter Schaar hätte es zu dieser Zeit lieber gesehen, "wenn die ganze Sache mit den PINs und PUKs draußen geblieben wäre". Das Auslesen von SMS oder E-Mails werde durch einen Hinweis auf das Telekommunikationsgeheimnis verhindert, die Ermittler könnten aber wohl einen Blick in die Adressbücher verdächtiger Nutzer werfen.

Auf eine 2005 eingereichte Klage von vier E-Mail-Providern und zwei Privatpersonen hin entschied das Bundesverfassungsgericht nach reiflicher Überlegung 2012, dass die acht Jahre zuvor eingeführten Vorgaben zur Bestandsdatenauskunft teilweise nicht mit dem Grundgesetz vereinbar waren. Die Karlsruher Richter kassierten unter anderem die in Paragraf 113 TKG angelegte Praxis der Behörden, über die Zuordnung einer dynamischen IP-Adresse auch Auskünfte über den Inhaber einer solche Internetkennung einzuholen. Auch die Auskunftspflicht der Provider gegenüber Strafverfolgern und Geheimdiensten, die Zugangssicherungscodes wie Passwörter oder PINs betraf, hatte zunächst keinen Bestand.

Das Bundesverfassungsgericht hatte in seinem typischen "Ja, aber"-Urteil indes keine prinzipiellen Bedenken gegen beide Maßnahmen, sondern mahnte nur Korrekturen im Lichte der betroffenen Grundrechte an. Gar keine Einwände erhob Karlsruhe etwa gegen das über die Bundesnetzagentur abgewickelte automatische Auskunftsverfahren rund um persönliche Daten zu Telefonnummern, E-Mail-Adressen oder anderen Anschlusskennungen, von dem Sicherheitsbehörden seit vielen Jahren massiv Gebrauch machen.

Im Rahmen der von den Verfassungshütern vorgegebenen Frist regelte der Bundestag daraufhin 2013 die Möglichkeiten zur Bestandsdatenauskunft neu, wobei neben den Mitgliedern der damaligen Regierungsfraktionen von CDU/CSU und FDP auch die SPD für die Reform stimmte. Die Abgeordneten fügten dabei nun unter anderem eine klarere Norm ein, dass Telekommunikationsfirmen Nutzer über das manuelle Auskunftsverfahren anhand einer dynamischen IP-Adresse identifizieren und die entsprechenden Informationen an die berechtigten Behörden herausgeben dürfen.

Auch den Zugriff auf PINs, PUKs oder Passwörter führte das Parlament wieder ein, diesmal jedoch geknüpft an einen Richtervorbehalt. Wollen Geheimdienste an solche Zugangssicherungscodes heran, muss das die zuständige G10-Kontrollkommission absegnen. Der Bundestag stellte zudem klar, dass eine Bestandsdatenabfrage allein "im Einzelfall zum Zweck der Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben" erlaubt ist. Es blieb bei der Pflicht für Provider mit mehr als 100.000 Kunden, Daten nur über eine "gesicherte elektronische Schnittstelle" herauszugeben.

Vieles, was nun auf eine deutlich größere Zahl an Anbietern von Telemediendiensten zukommen soll, ist also bereits vergleichbar im TKG angelegt. Im TMG, das soziale Medien und Blogs, Chatdienste, Spiele-Apps, Informationsservices und Suchmaschinen, Portale, Shops und private Seiten im Web, Webmail-Dienste, Podcasts sowie Flirt-Communitys betrifft, findet sich in Paragraf 14 sogar ebenfalls schon eine ähnliche Norm: Auf Anordnung der zuständigen Stellen darf der Diensteanbieter demnach prinzipiell bereits "im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder" oder "zur Erfüllung der gesetzlichen Aufgaben der Behörden der Zollverwaltung" erforderlich ist.

Auch sämtliche Geheimdienste von Bund und Ländern sowie Behörden, die Ordnungswidrigkeiten verfolgen oder "Rechte am geistigen Eigentum" durchsetzen, können prinzipiell bereits Daten wie Name oder Anschrift von Nutzern erfragen. Rechtlich ist aber völlig umstritten, ob diese Befugnis schon greift, was auch in laufenden gerichtlichen Auseinandersetzungen eine Rolle spielt.

Im Mai 2013 legten Vertreter der Piratenpartei nämlich auch Verfassungsbeschwerde gegen die kurz zuvor verabschiedete Novelle der Bestandsdatenauskunft ein. Hauptbeschwerdeführer in dem neuen Fall für Karlsruhe sind die Aktivistin Katharina Nocun, die mittlerweile nicht mehr den Piraten angehört, sowie der Jurist Patrick Breyer, der damals schleswig-holsteinischer Landtagsabgeordneter war und mittlerweile ins EU-Parlament gewechselt ist. Mehrere tausend Bürger schlossen sich dem Verfahren im Kampf gegen einen rechtswidrigen Eingriff in die informationelle Selbstbestimmung an, in dem das Bundesverfassungsgericht voraussichtlich 2020 ein Urteil fällen wird.

Breyer und fünf seiner früheren Fraktionskollegen im Parlament Schleswig-Holsteins reichten ferner Verfassungsbeschwerde gegen die Bestimmungen zur Bestandsdatenauskunft des Landes ein, deren Reform sie aus der Opposition heraus abgelehnt hatten.

Die Logik der Überwacher und die Einwände der Gegner des Instruments lassen sich gut herauslesen aus einer Reihe von Stellungnahmen an das Bundesverfassungsgericht in den beiden Fällen, die heise online vorliegen. Klar wird anhand der Eingaben auch, dass die Karlsruher Richter schon sehr viel Zugeständnisse an die Sicherheitsbehörden gemacht und teils anderthalb Augen zugedrückt haben.

Die Kläger hoffen daher, dass gerade auch der Referentenentwurf aus dem Bundesjustizministerium den Verfassungshütern die Augen öffnet, wie groß die von dem strittigen Instrument ausgehenden Angriffe auf die Privatsphäre der ständig wachsenden Zahl der Internetnutzer ausfallen könnten. Breyer spricht von einer "massiven und unverhältnismäßig weitgehenden Ausweitung des Zugriffs auf Nutzerdaten". Würde das Verfassungsgericht zügig über die Beschwerde entscheiden, könnte es verhindern, "dass der Gesetzgeber Grundrechte verletzt" und eine neue Klage nötig werde.

Der Berliner Staatsrechtler Christoph Möllers, der die Bundesregierung im Streit um die Novelle von TKG und TMG vertritt, hält die einschlägige Verfassungsbeschwerde für unzulässig und unbegründet. Beim TMG sei die Frist für eine Klage in Karlsruhe eh bereits abgelaufen gewesen. Daran ändere auch nichts, dass die entsprechende Klausel mit dem Inkrafttreten anderer Normen wie der Reform von Paragraf 113 TKG eine andere Bedeutung bekommen habe.

Die Frage, inwieweit IP-Adressen abgerufen werden könnten, sei auch bereits "Gegenstand einer großen Debatte und einer geteilten gerichtlichen Praxis" gewesen, gibt Möllers generell zu bedenken. Die manuelle Abfrageprozedur sei "in der Praxis weit entfernt von einem Massendatenverfahren", sie werde sparsam genutzt. Dies liege schon daran, dass es auch für die Behörden "einen gewissen Verfahrensaufwand mit sich bringt". So habe etwa beim Bundesamt für Verfassungsschutz 2016 die Zahl der Auskunftsersuchen nach 113 TKG weniger als zwei Prozent der Fallzahl von Anfragen im automatisierten Abrufverfahren betragen.

Auf den enormen Anstieg der manuellen Abfragen beim Bundeskriminalamt (BKA) geht der Rechtsphilosoph nicht ein. Verlangte die Polizeibehörde 2013 noch gut 2000 Auskünfte auf diesem Weg, waren es 2016 schon 8752 und 2017 sogar 17.428 Abfragen mit weiterhin steigender Tendenz. Das BKA, die Bundespolizei oder das Zollkriminalamt können zudem im Rahmen ihrer Zentralstellenfunktion auch für andere Behörden Auskunft über Bestandsdaten einholen, wozu es keine genauen Zahlen gibt.

Möllers verweist darauf, dass in den betroffenen Unternehmen jedes Auskunftsverlangen durch eine verantwortliche Fachkraft auf die ebenfalls genannten formalen Voraussetzungen geprüft werden müsse. Es liege aber auf der Hand, dass private Anbieter "nicht behördliches Handeln kontrollieren können". Die Verantwortung für die einzelne Entscheidung für die Abfrage einfacher Bestandsdaten bis hin zu IP-Adressen bleibe bei den zuständigen Behörden. Auch die für größere Firmen vorgeschriebene elektronische Schnittstelle führe nicht zu einer "automatisierten Massendatenabfrage", sondern solle nur die Datensicherheit erhöhen.

Die von Karlsruhe geforderten "qualifizierten Abrufnormen" für Bestandsdaten für einzelne "Bedarfsträger" habe der Gesetzgeber über zahlreiche fachgesetzliche Rechtsgrundlagen geschaffen, schreibt Möllers. Die von den Beschwerdeführern erwünschten höheren materiellen und verfahrensrechtlichen Anforderungen an die Identifizierung von Nutzern anhand dynamischer IP-Adressen wie ein Richtervorbehalt seien auch nach Ansicht der höchsten Richter nicht geboten. Eine vom Verfassungsgericht ausgeschlossene Überwachung "ins Blaue hinein" finde nicht statt. Für Verfahren zu Ordnungswidrigkeiten dürften dynamische IP-Adressen auch nicht herangezogen werden, da die Rechtskompetenzen dafür nicht ausreichten.

Dass die Provider teils "auf sämtliche ihrer internen Quellen zurückzugreifen" müssten, um Ersuchen nachzukommen, bezieht sich dem Juristen zufolge nicht auf möglicherweise widerrechtlich gespeicherte Daten. Sollte trotzdem eine Rechtswidrigkeit festgestellt werden, könne es zu Konsequenzen wie einem Beweisverwertungsverbot kommen. Eine Statistikpflicht für Bestandsdatenauskünfte sei nicht angebracht, da eine solche sonst "für praktisch die gesamte Datenverarbeitungstätigkeit der Verwaltung gelten" müsste.

Dass eine besondere Eingriffsschwelle für die Geheimdienste fehlt, rechtfertigt sich laut Möllers nach der Rechtsprechung des Bundesverfassungsgerichts aus deren beschränkten Aufgaben. Sie seien "lediglich auf die Erforschung, mithin nicht unmittelbar auf polizeiliche Maßnahmen gerichtet und unter der Maßgabe informationeller Trennung gegenüber der Vollzugspolizei wahrzunehmen". Der Zugriff auf PINs und Passwörter müsse sich ferner an den gesetzlichen Vorgaben orientieren, "die für die Nutzung der gesicherten Daten gelten".

Die Kritik an der Vorgabe, dass bei den Zugangssicherungscodes eine Richtergenehmigung nicht nötig ist in Fällen, in denen der Betroffene Kenntnis von der Abfrage der sensiblen Kennungen hat oder haben muss, teilt der Advokat der Bundesregierung nicht. Denn nur die Heimlichkeit einer Ermittlungsmaßnahme sei es, die besondere Verfahrenssicherungen erfordere. Mit schwereren Grundrechtseingriffen wie dem Zugang zu einer Wohnung lasse sich die Passwortherausgabe auch nicht vergleichen: es sei dem Nutzer etwa eines Mobiltelefons möglich, dieses zu wechseln oder auf andere Geräte zurückzugreifen. Insgesamt hätten ein Smartphone oder ein Rechner nicht die Persönlichkeitsrelevanz einer Wohnung.

Die Auskunftspflicht etwa bei Urheberrechtsverletzungen erklärt Möllers für zwingend, da damit eine einschlägige EU-Richtlinie umgesetzt werde. Die bisherigen Bestimmungen im TMG zu Nutzungsdaten begründeten allein zwar "keine eigenständige Auskunftspflicht", räumt er ein. Zugehörige Grundlagen für einen Datenabruf fänden sich aber in den einschlägigen Fachgesetzen wie der Strafprozessordnung (StPO) und den Normenwerken für die Geheimdienste.

Anders sieht dies die Bundesdatenschutzbehörde in einer Stellungnahme aus 2017, für die damals noch deren frühere Leiterin Andrea Voßhoff verantwortlich war. Paragraf 14 TMG ist ihr zufolge selbst im Zusammenspiel mit dem Verweis auf Nutzungsdaten in Paragraf 15 "lediglich als telemedienrechtliche Befugnisbestimmungsnorm" für die Diensteanbieter im datenschutzrechtlichen Verhältnis zu ihren Nutzern anzusehen, nicht jedoch als Auskunftspflicht. Die einschlägigen "spiegelbildlichen" Normen bis hin zu Polizeigesetzen oder dem Urheberrechtsgesetz konnte die Kontrolleurin im Gegensatz zu Möllers nicht ausmachen. In einem anderen Papier zu der Verfassungsbeschwerde moniert Voßhoff: Das Auskunftsrecht der Behörden sei praktisch unbeschränkt und könnte allzu leicht auch unschuldige Bürger identifizieren.

Die Bestimmungen zur Bestandsdatenauskunft in Schleswig-Holstein, die sich hauptsächlich in Paragraf 180a des Landesverwaltungsgesetzes finden und gegen die sich die zweite Klage der Piraten richtet, schließt die Option von Ersuchen an Telemedien-Diensteanbieter dagegen ausdrücklich ein. Sie beschränken diese aber auf Fälle, in denen eine Abfrage "zur Abwehr einer im einzelnen Falle bevorstehenden Gefahr für Leib, Leben oder Freiheit einer Person sowie zur Abwehr einer gegenwärtigen Gefahr eines gleichgewichtigen Schadens für Sach- oder Vermögenswerte oder für die Umwelt erforderlich ist".

Dies gilt auch für "die Identifikation der Nutzer" etwa anhand dynamischer IP-Adressen, wozu in Schleswig-Holstein eine Richtererlaubnis einzuholen ist. Zudem dürfen nur "das Datum und die Uhrzeit des Beginns und Endes der Nutzung" eines Telemediendienstes angefordert werden, um tiefere Einblicke in das Online-Verhalten der Betroffenen zu verhindern. Der Kieler Staatsrechtler Florian Becker, der die Regierung und den Landtag von Schleswig-Holstein vor dem Verfassungsgericht vertritt, spricht daher von "deutlich erhöhten Anforderungen" und "strengeren Verfahrensvorschriften", die der "zunehmenden Persönlichkeitsrelevanz" und der Verhältnismäßigkeit von Eingriffen Rechnung trügen (Links zu allen erwähnten Stellungnahmen am Ende des Textes).

Insgesamt kommt es laut Becker so auf Basis der angegriffenen Vorschiften weder zu "Maßnahmen mit großer Streubreite", noch würden Personen erfasst, "die hierzu keinen Anlass gegeben haben". Die Karlsruher Richter hätten auch das besondere staatliche Interesse an einer sich in das Internet verlagernden Kommunikation anerkannt, sodass einschlägige Auskünfte auch generell möglich sein müssten. Der in dem Bundesland verwendete Begriff der "im einzelnen Falle bevorstehenden Gefahr für die öffentliche Sicherheit" sei "identisch" mit dem der "konkreten Gefahr, wie ihn das Bundesverfassungsgericht verwendet".

Der bayerische Datenschutzbeauftragte Thomas Petri sieht in der schleswig-holsteinischen Formulierung dagegen eine "Vorverlagerung in das zeitliche Vorfeld einer konkreten Gefahr". Eine solche Form der präventiven Kriminalitätsbekämpfung verlange aber, dass ein möglicher Straftäter in zeitlicher Nähe ein Delikt begehen werde. Der einschlägige Paragraf sei daher nicht "hinreichend normenklar begrenzt".

Petri kritisiert auch, "dass die Landesgesetzgeber sich offenkundig ermutigt fühlen, die rechtsstaatlichen Wahrscheinlichkeitsanforderungen an polizeiliche Datenverarbeitungen wie auch an polizeiliche Standardmaßnahmen abzusenken". So sei im bayerischen Polizeigesetz sehr allgemein von einer "drohenden Gefahr" die Rede. Die entsprechende Vorschrift sei auf die Bestandsdatenauskunft zwar noch nicht anwendbar. Allerdings habe die Staatsregierung schon angekündigt, auch die Voraussetzungen heimlicher Überwachungsmaßnahmen überdenken zu wollen. Das schleswig-holsteinische Verfahren sei so länderübergreifend bedeutsam.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) sieht in seiner Stellungnahme an das Bundesverfassungsgericht dagegen kein Problem mit dem Gefahrenbegriff. Dass der Kieler Gesetzgeber die Bestandsdatenauskunft nicht auf "Störer" eingegrenzt habe, gelte als "verfassungsrechtlich noch hinnehmbar". Gerade bei Auskunftsersuchen über Inhaber von IP-Adressen wäre eine solche Beschränkung aber "durchaus angebracht" gewesen.

Auch beim Zugriff auf Bestands- und Nutzungsinformationen haben die schleswig-holsteinischen Datenschützer Bauchschmerzen und halten es für fraglich, ob die eingezogenen Hürden und Abrufbefugnisse ausreichen. Es gelte zu klären, ob den schutzwürdigen Interessen der Betroffenen vor allem bei Berufsgeheimnisträgern wie Ärzten, Abgeordneten oder Anwälten ausreichend Rechnung getragen werde.

Passwörter wiesen gegenüber den Bestandsdaten zudem "einen höheren Schutzbedarf auf", betont das ULD. Sie sicherten die Betroffenen vor einem Zugriff auf die entsprechenden Kommunikationsvorgänge und Inhaltsdaten ab. Zumindest bei den Kompetenzen für Staatsschützer würden die verfassungsrechtlichen Anforderungen nicht erfüllt: Der Gesetzgeber müsse abschließend festlegen, für welche Zwecke und unter welchen Bedingungen die zugangsgeschützten Inhaltsdaten durch Geheimdienste genutzt werden dürften.

Der Vorschlag von Justizministerin Lambrecht befindet sich so letztlich voll auf der bisherigen Linie der Bundesregierung. Von dieser Warte aus fehlen im Telemediengesetz vor allem noch klarere Vorgaben zur Auskunft "anhand von IP-Adressen", bei denen künftig die von den Anbietern in der Regel eigentlich nicht gespeicherten Port-Nummern für die treffgenauere Identifizierbarkeit von Nutzern kommen solle, sowie zur Abfrage von Passwörtern.

Dass der Kreis der Verpflichteten mit der Initiative deutlich ausgeweitet würde auf schier alle Kommunikations- und Mediendienste, die irgendwas mit dem Web und Internet zu tun haben, thematisiert das Justizressort nicht. Nicht entgangen ist dem Ministerium dagegen, dass Passwörter nach der Datenschutz-Grundverordnung (DSGVO) verschlüsselt gespeichert werden müssen. Es zählt aber darauf, dass die Behörden etwa nach einem Terroranschlag trotzdem die Chance hätten, die allein verfügbaren Hashwerte mit extrem hohem Aufwand selbst zu knacken. Sollten Anbieter entgegen der Datenschutzvorschriften Passwörter unverschlüsselt vorhalten, hätten Staatsanwaltschaften künftig aber auch die Chance, diese im Klartext abzufragen.

Als bürgerrechtliches Plus verbucht Lambrechts Haus, dass der Abfrage von Zugangssicherungscodes – nicht aber etwa der von IP-Adressen und zugehörigen Nutzernamen – ein Richtervorbehalt vorgeschoben werden soll. Für den gegen die bestehenden Regeln klagenden Breyer würde ein solcher Schritt aber nichts an "unangemessen geringen materiell-rechtlichen Anforderungen an eine Aufdeckung der Internetnutzung" ändern. Ein Richter könne nur Letztere prüfen, was aber an sich problematisch sei, wenn die einschlägigen Vorschriften bereits unverhältnismäßig seien. Oft werden Ersuchen der Staatsanwaltschaften auch schon aus Zeitgründen oder Ressourcenmangel einfach durchgewinkt.

Internet-Metadaten stünden in ihrer Aussagekraft Inhaltsdaten nicht nach, warnt Breyer in seiner Erwiderung ans Verfassungsgericht. Sie könnten sogar "viel weiter reichende Schlüsse auf Privatleben zulassen. Studien zufolge lasse sich schon aus 100 bis 200 Klicks die Persönlichkeit eines Nutzers genauer ableiten als sie Freunden, dem Partner oder gar dem Betroffenen selbst bewusst seien. Aus Metadaten seien sehr "intime Ableitungen und auch Vorhersagen auf zukünftiges Verhalten möglich".

Der Beschwerdeführer bleibt auch dabei, dass die eingeführte elektronische Schnittstelle "die Gefahr von Massendatenabfragen" begründet. Er regt an, neben der Bestandsdatenauskunft auch die ebenfalls intensiv genutzte Praxis der Funkzellenabfrage im Blick zu haben. "Bei diesem Verfahren werden alle Personen abgefragt, die sich zu einer bestimmten Zeit an einem bestimmten Ort aufgehalten haben", erläutert Breyer. Davon seien jährlich Millionen Menschen betroffen. Mithilfe von Bestandsdatenabfragen und anschließendem Abgleich mit Polizeidatenbanken werde dann oft versucht, den Kreis der Zielpersonen einzugrenzen. Wie bei der Vorratsdatenspeicherung habe diese Vorgehensweise eine große Streubreite und begründet die erhebliche Gefahr für Betroffene, ohne vorwerfbares Verhalten identifiziert zu werden.

Stellungnahmen für das Verfahren zur Bestandsdatenauskunft:

[Update 12.1.2020 13:24 Uhr:] Stellungnahmen am Ende der Meldung ergänzt (bme)