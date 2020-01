Bundesjustizministerin Christine Lambrecht sorgte im Dezember mit ihrem Gesetzentwurf "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" für einen Aufschrei in der Digitalbranche und bei Bürgerrechtlern. Stein des Anstoßes ist die von der SPD-Politikerin geplante Reform der an sich bereits seit Langem heftig umstrittenen Regeln zur Bestandsdatenauskunft, womit das Justizressort auch klarere Vorschriften für die Herausgabe von Passwörtern durch Telemediendienste wie WhatsApp, Google, Facebook, Tinder, GMX oder Web.de schaffen will.

Der eco-Verband der Internetwirtschaft warnte umgehend vor dem "großen Lauschangriff im Netz" und "Kosten in Milliardenhöhe" für die Vielzahl der betroffenen Unternehmen. Der Bitkom sah "Grundwerte über Bord" geworfen, "die unser Zusammenleben online wie offline seit Jahrzehnten prägen". Völlig aus der Luft gegriffen ist die Initiative aber nicht: sie hat mit den bestehenden und auf Geheiß des Bundesverfassungsgerichts bereits etwas nachgebesserten Bestimmungen zur Bestandsdatenauskunft im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG) sowie in einschlägigen Landesnormen schon eine lange Vorgeschichte.

Zugangssicherungscodes

Noch unter Rot-Grün hatte der Gesetzgeber zunächst 2004 eine TKG-Novelle beschlossen, womit sich Sicherheitsbehörden erstmals Zugriff auf "Zugangssicherungscodes" wie PINs und PUKs sowie Passwörter für Mailboxen oder Webmail-Konten verschaffen durften. Schon damals bezog sich die Klausel auch auf "Endgeräte oder in diesen oder im Netz eingesetzte Speichereinrichtungen", also etwa auf in der Cloud vorgehaltene Daten.

Ein Sprecher des damaligen Bundesdatenschutzbeauftragten Peter Schaar hätte es zu dieser Zeit lieber gesehen, "wenn die ganze Sache mit den PINs und PUKs draußen geblieben wäre". Das Auslesen von SMS oder E-Mails werde durch einen Hinweis auf das Telekommunikationsgeheimnis verhindert, die Ermittler könnten aber wohl einen Blick in die Adressbücher verdächtiger Nutzer werfen.

"Ja, aber"-Urteil zur Bestandsdatenauskunft

Auf eine 2005 eingereichte Klage von vier E-Mail-Providern und zwei Privatpersonen hin entschied das Bundesverfassungsgericht nach reiflicher Überlegung 2012, dass die acht Jahre zuvor eingeführten Vorgaben zur Bestandsdatenauskunft teilweise nicht mit dem Grundgesetz vereinbar waren. Die Karlsruher Richter kassierten unter anderem die in Paragraf 113 TKG angelegte Praxis der Behörden, über die Zuordnung einer dynamischen IP-Adresse auch Auskünfte über den Inhaber einer solche Internetkennung einzuholen. Auch die Auskunftspflicht der Provider gegenüber Strafverfolgern und Geheimdiensten, die Zugangssicherungscodes wie Passwörter oder PINs betraf, hatte zunächst keinen Bestand.

Das Bundesverfassungsgericht hatte in seinem typischen "Ja, aber"-Urteil indes keine prinzipiellen Bedenken gegen beide Maßnahmen, sondern mahnte nur Korrekturen im Lichte der betroffenen Grundrechte an. Gar keine Einwände erhob Karlsruhe etwa gegen das über die Bundesnetzagentur abgewickelte automatische Auskunftsverfahren rund um persönlichen Daten zu Telefonnummern, E-Mail-Adressen oder anderen Anschlusskennungen, von dem Sicherheitsbehörden seit vielen Jahren massiv Gebrauch machen.

Neuregelung zur Bestandsdatenauskunft

Im Rahmen der von den Verfassungshütern vorgegebenen Frist regelte der Bundestag daraufhin 2013 die Möglichkeiten zur Bestandsdatenauskunft neu, wobei neben den Mitgliedern der damaligen Regierungsfraktionen von CDU/CSU und FDP auch die SPD für die Reform stimmte. Die Abgeordneten fügten dabei nun unter anderem eine klarere Norm ein, dass Telekommunikationsfirmen Nutzer über das manuelle Auskunftsverfahren anhand einer dynamischen IP-Adresse identifizieren und die entsprechenden Informationen an die berechtigten Behörden herausgeben dürfen.

Auch den Zugriff auf PINs, PUKs oder Passwörter führte das Parlament wieder ein, diesmal jedoch geknüpft an einen Richtervorbehalt. Wollen Geheimdienste an solche Zugangssicherungscodes heran, muss das die zuständige G10-Kontrollkommission absegnen. Der Bundestag stellte zudem klar, dass eine Bestandsdatenabfrage allein "im Einzelfall zum Zweck der Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben" erlaubt ist. Es blieb bei der Pflicht für Provider mit mehr als 100.000 Kunden, Daten nur über eine "gesicherte elektronische Schnittstelle" herauszugeben.