Der Entwurf von Justizministerin Christine Lambrecht für ein Gesetz gegen "Hasskriminalität" geht weit über eine Verschärfung des NetzDG hinaus.

Bundesjustizministerin Christine Lambrecht wandelt in Überwachungsfragen auf den Spuren ihres Kollegen im Innenressort, Horst Seehofer (CSU). Mit ihrem am Freitag vorgelegten Referentenentwurf für ein Gesetz "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" will die SPD-Politiker nicht nur das an sich bereits heftig umstrittene Netzwerkdurchsetzungsgesetz (NetzDG) deutlich verschärfen. Sie plant auch eine Pflicht für WhatsApp, Gmail, Facebook, Tinder & Co., schon jedem Dorfpolizisten und zahlreichen weiteren Sicherheitsbehörden auf Anfrage sensible Daten von Verdächtigen wie Passwörter oder IP-Adressen ohne Richterbeschluss herauszugeben.

"Wer geschäftsmäßig Telemediendienste erbringt, daran mitwirkt oder den Zugang zu Nutzung daran vermittelt", soll einschlägige erhobene Bestands- und Nutzungsdaten "zur Erfüllung von Auskunftspflichten" gegenüber den berechtigten Stellen verwenden dürfen, heißt es in dem heise online vorliegenden Entwurf, den mittlerweile der Journalist Hendrik Wieduwilt veröffentlicht hat. Die herauszugebenden Informationen seien "unverzüglich und vollständig zu übermitteln", betont das Justizministerium.

Automatisierte Auswertung
Das mit der Reform des Telemediengesetzes (TMG) vorgesehene weitgehende Auskunftsverfahren gelte auch für Bestandsdaten, mit denen der Zugriff auf Endgeräte oder auf davon räumlich getrennte Speichereinrichtungen etwa in der Cloud geschützt wird, ist dem Papier zu entnehmen. Die gewünschten Informationen dürften "auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse bestimmt werden", wofür Nutzungsdaten "auch automatisiert ausgewertet werden" können.

Das Justizressort begründet die Initiative mit der "zunehmenden Nutzung und gestiegenen Bedeutung von Telemediendiensten". Damit werde die Erhebung einschlägiger Daten "sowohl für die Strafverfolgung als auch für die Gefahrenabwehr von zentraler Bedeutung". Bisher fehlten im TMG aber Regeln "zur Auskunft anhand von IP-Adressen, zur Abfrage von Passwörtern, zur Vertraulichkeit der Auskunft" und zur Form des Ersuchens. Ebenfalls ausdrücklich geregelt werde die Verpflichtung von Telemediendiensteanbieter über derlei Anfragen Stillschweigen zu bewahren. Betroffene oder Dritte würden gegebenenfalls aber auf Basis der Strafprozessordnung (StPO) durch die Behörden informiert.

"Alle", die Straftaten oder Ordnungswidrigkeiten verfolgen
Nicht ganz klar wird in dem Entwurf, was mit Passwörtern ist, die Anbieter selbst nur in Hashform verschlüsselt speichern. Eine ausdrückliche Pflicht, Kennungen im Klartext herauszugeben, ist im Entwurf nicht vorgesehen. Für die Auskunftserteilung sind aber "sämtliche unternehmensinternen Datenquellen zu berücksichtigen".

Der Kreis der berechtigten Stellen könnte kaum weiter gefasst sein. Er erstreckt sich auf alle "für die Verfolgung von Straftaten oder Ordnungswidrigkeiten" und die Gefahrenabwehr zuständigen Behörden, sämtliche Geheimdienste von Bund und Ländern sowie auf die Zollverwaltung und Ämter, die für die Schwarzarbeitsbekämpfung zuständig sind. Anbieter sollen ferner explizit auch Bestandsdaten herausrücken, soweit dies im Kampf gegen Urheberrechtsverletzungen "zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist".

Gefahr im Verzug
Ein Ersuchen muss laut dem Vorhaben prinzipiell "in Textform" gestellt werden, bei Gefahr im Verzug soll es aber auch zunächst ohne diese Minimalanforderung gehen. Wer mehr als 100.000 Kunden hat, müsse "für die Entgegennahme der Auskunftsverlangen sowie für die Erteilung der zugehörigen Auskünfte eine gesicherte elektronische Schnittstelle" bereithalten. Die Kosten für das gesamte Verfahren sollen die Firmen selbst tragen.

Der skizzierte Paragraf 15a TMG knüpft an die bereits bestehende einschlägige Pflicht zur Bestandsdatenauskunft für Telekommunikationsanbieter an, von welcher die berechtigten Stellen seit Jahren intensiv und nicht immer rechtskonform Gebrauch machen. Im jetzt anvisierten Bereich sind die Folgen mit Zugriffsmöglichkeiten auf umfassende Kommunikationsinhalte von Nutzern und die damit verknüpften Grundrechtseingriffe aber deutlich größer.

Kreis der Verpflichteten
Auch der Kreis der Verpflichteten erweitert sich deutlich: unter den Begriff Telemedien fallen etwa soziale Medien und Blogs, Chatdienste, Spiele-Apps, Informationsservices und Suchmaschinen, Portale, Shops und private Seiten im Web, Webmail-Dienste, Podcasts und Flirt-Communities. Dazu kommt eine Klausel, wonach schon das Befürworten alias "Billigen" von Straftaten etwa in sozialen Netzwerken wieder kriminalisiert werden soll. Der Wissenschaftliche Dienst des Bundestags hatte voriges Jahr angeführt, ein entsprechender Vorschlag sei 1989 noch abgelehnt worden, da die 1981 aufgehobene vormalige Bestimmung kaum zu Verurteilungen geführt habe.

Der Bitkom zeigt sich alarmiert über die Initiative: "Das jetzt vorgestellte Gesetz wirft Grundwerte über Bord, die unser Zusammenleben online wie offline seit Jahrzehnten prägen", moniert der Digitalverband. "Statt das NetzDG gewissenhaft auf Wirkungen und Nebenwirkungen zu überprüfen, kommt kurz vor Weihnachten und auf den letzten Drücker der nächste überhastete Vorstoß gegen ein lange bekanntes Problem."

Herausgabe vertraulicher Passwörter ohne richterlichen Beschluss
Erstaunt ist der Bitkom nach eigener Ansage, dass der Ruf nach Herausgabe vertraulicher Passwörter ohne richterlichen Beschluss oder zur automatisierten Weiterleitung von Internetkennungen just "aus jenem Ministerium unterstützt" werde, "das sich den Datenschutz besonders groß auf die Fahnen geschrieben hat". Man könne "nur beten, dass solche hochkritischen Daten in den Behörden nicht in die falschen Hände fallen".

Kritisch sieht der Verband die geplante Pflicht für Diensteanbieter, eventuell strafbare Inhalte inklusive Darstellungen sexuellen Kindesmissbrauchs nicht nur zu löschen, "sondern sie unaufgefordert mitsamt der IP-Adresse und Portnummer des Nutzers dem Bundeskriminalamt mitzuteilen". Gerade bei Meinungsäußerungen sei die Strafbarkeit in vielen Fällen keineswegs offensichtlich. Es werde sich nicht vermeiden lassen, dass so Inhalte und Daten völlig harmloser Nutzer an das BKA weitergeleitet würden. Unverhältnismäßige Eingriffe in die Privatsphäre der Nutzer seien vorprogrammiert.

Falschmeldungen
Zuvor hatte der eco-Verband der Internetwirtschaft beklagt, dass die skizzierte Novelle des NetzDGs die Unternehmen "erneut mit großer Rechtsunsicherheit konfrontiert". Es gelte zu klären, ob die technischen Anforderungen grundsätzlich umsetzbar seien und welche Konsequenzen aus unvermeidbaren "Falschmeldungen" entstehen, wenn ein Anbieter etwa gemeldete Inhalte zu eng auslege.

Die grüne Bundestagsabgeordnete Renate Künast kritisierte auf Twitter, dass die große Koalition Mittel gegen den Rechtsextremismus wähle, "die bedenklich tief in die Bürgerrechte eingreifen". Sie sieht mit der Weitergabe von IP-Adressen und Ports "Chilling Effects" auf die Meinungsfreiheit ausgehen und Fragen wie zur Länge der Datenspeicherung offen. Bedenklich sei auch, dass die Anbieter eine mögliche Rechtswidrigkeit von Auskunftsanträgen selbst prüfen sollen. Die Referentin für Netzpolitik der Linksfraktion im Bundestag, Anne Roth, warf die Frage auf, ob den Entwurf "nicht vielleicht zum größeren Teil Seehofer geschrieben" habe. 300 neue Stellen und "massenhaft IP-Adressen" fürs BKA, "dazu mittendrin überall Kinderpornografie" wiesen in diese Richtung.

Quelle: Justizministerium: WhatsApp, Gmail & Co. sollen Passwörter herausgeben müssen | heise online

Passwort-Herausgabe: Scharfe Kritik am "großen Lauschangriff im Netz"

Die geplante erweiterte Pflicht für WhatsApp, Google, Facebook & Co. zum Transfer von Bestands- und Nutzungsdaten an Sicherheitsbehörden erregt die Gemüter.

Der Gesetzentwurf "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität", mit dem Bundesjustizministerin Christine Lambrecht (SPD) neben dem Netzwerkdurchsetzungsgesetz (NetzDG) unter anderem die Strafprozessordnung (StPO) und das Telemediengesetz (TMG) ändern will, stößt auf Unverständnis bei Politikern und in der Digitalwirtschaft.

Es sei zwar prinzipiell richtig, dass die Bundesregierung "nach dem Anschlag von Halle das viel zu lang unterschätzte Problem des wachsenden Rechtsradikalismus und der Hasskriminalität im Netz" angehen wolle, betonte Sabine Leutheusser-Schnarrenberger, Vorstandsvorsitzende der Friedrich-Naumann-Stiftung für die Freiheit, gegenüber heise online. Der vorgesehene umfassende Auskunftsanspruch zu Bestands- und Nutzungsdaten der Telemedienanbieter drohe aber, "weit über das Ziel hinauszuschießen".

Strafverfolgungsbehörden und Geheimdienste könnten künftig nicht nur auf die IP-Adressen, sondern auch auf "alle Passwörter der Nutzer" zugreifen. Damit würde tief in die Privatsphäre der Bürger eingegriffen und es ermöglicht, die gesamte persönlichen Lebensgestaltung auszuleuchten. Stattdessen wäre es nötig, sich mit dem gerade erst geschaffenen NetzDG differenziert auseinanderzusetzen.

"Umfassende Online-Durchsuchung"
Es gehe nicht mehr nur darum, Hasskriminalität zu bekämpfen, sondern umfassende Überwachungsrechte für Staat und Behörden einzurichten, beklagte Oliver Süme, Vorstandsvorsitzender des eco-Verbands der Internetwirtschaft. Während die Branche versuche, die Datenschutz-Grundverordnung (DSGVO) umzusetzen und die Datensicherheit zu erhöhen, fordere ausgerechnet das Justizministerium, Passwörter und andere höchstpersönliche Daten herauszugeben.

Faktisch wird für Süme damit eine "umfassende Online-Durchsuchung möglich", einschließlich Zugriff auf E-Mails, in der Cloud hinterlegte Fotos oder Dokumente. "Das ist der große Lauschangriff im Netz, den keiner, dem Bürgerrechte und Verfassung irgendetwas bedeuten, wirklich wollen kann." Zuvor hatte der Bitkom moniert, dass das Justizministerium "Grundwerte über Bord" werfen wolle, "die unser Zusammenleben online wie offline seit Jahrzehnten prägen".

Konstantin von Notz, Vizechef der grünen Bundestagsfraktion, kritisierte gegenüber heise online, dass die Koalition die Reform zentraler Punkte des NetzDGs auf die lange Bank schiebe und sie in anderen Punkten "nun weit über das Ziel hinausschießt". Für von Notz stellen sich damit "auch verfassungsrechtlich tiefgehende Fragen".

"Bürgerrechtsfeindlich"
Während das SPD-geführte Bundesjustizministerium bisher "zumindest in einem gewissen Umfang noch die Funktion eines Korrektivs in einer insgesamt bürgerrechtsfeindlichen Großen Koalition übernommen hat, ist es hiermit nun offensichtlich endgültig vorbei", meinte von Notz. Wieder einmal gehe Schnelligkeit vor Gründlichkeit, es würden die Fehler wiederholt, die schon mit dem NetzDGs gemacht worden seien.

Das Bundesjustizministerium versucht derweil abzuwiegeln. Es gebe eine datenschutzrechtliche Pflicht für Diensteanbieter, sensible Daten wie Passwörter verschlüsselt zu speichern, erklärte ein Sprecher gegenüber heise online. Er sehe daher nur einen "sehr kleinen Anwendungsbereich" der Klausel im Kampf gegen "schwerste Kriminalität" wie Terrorismus. In solchen Fällen sollten die Behörden auch versuchen können, die herauszugebenden Hashwerte zu entschlüsseln, wofür sie natürlich die entsprechenden Fähigkeiten bräuchten.

Kelber hält sich zurück
Sollten Anbieter entgegen den Datenschutzvorschriften Passwörter unverschlüsselt vorhalten, hätten Staatsanwaltschaften künftig die Chance, diese im Klartext abzufragen, heißt es im Justizministerium weiter. Es sei nicht vorgesehen, dass die Justizbehörden zugleich die zuständige Bundesdatenschutzbehörde informierten, damit diese zusätzlich Sanktionen verhänge. Deutschlands oberster Datenschützer Ulrich Kelber wollte noch kein Statement zu dem Entwurf abgeben, "da es sich um ein laufendes Gesetzgebungsverfahren handelt".

Generell habe auf TMG-Basis schon bisher prinzipiell für die Staatsanwaltschaft die Möglichkeit bestanden, Bestandsdaten inklusive Zugangsinformationen zu verlangen, führte Lambrechts Sprecher aus. Hier werde nun ein Richtervorbehalt zusätzlich eingebaut, der sich aber laut dem Paragrafen 100j StPO nur auf Passwörter und vergleichbare Kennungen wie PIN bezieht und beispielsweise nicht auf die ebenfalls abfragbaren IP-Adressen.

"Rudimentär geregeltes Auskunftsverfahren"
Das Auskunftsverfahren sei im Telemediengesetz "bisher nur rudimentär geregelt", meint das Justizministerim. Insbesondere fehlten Vorgaben zur Auskunft "anhand von IP-Adressen, zur Abfrage von Passwörtern, zur Vertraulichkeit der Auskunft und zur Form des Auskunftsersuchens". Dies erschwere das Einholen von Auskünften gegenüber Telemedienanbietern.

Das Reformvorhaben hatte auch vermuten lassen, dass es den Behörden um Session Cookies oder bei den Dienstleistern kurzfristig entschlüsselte Passwörter gehen könnte. Diese Daten könnten ausreichen, um die Authentifizierung zu umgehen beziehungsweise ein Konto zu übernehmen. Es solle aber nur Auskunft über Sachverhalte erteilt werden, "die bei dem Anbieter vorhanden sind, neue Speicherverpflichtungen sind nicht umfasst", kommentiert das Justizministerium. Die Klausel treffe jedoch etwa auch Services zur Online-Passwortverwaltung wie Last Pass, insofern diese vom TMG erfasst seien.

Quelle: Passwort-Herausgabe: Scharfe Kritik am "großen Lauschangriff im Netz" | heise online

Gastbeitrag: Datenweitergabe torpediert die Privatsphäre

Die Pläne der Bundesregierung schützen nicht vor Rechten oder Hass, gefährden aber die Privatsphäre aller Bürger, warnt die ehemalige Bundesjustizministerin.

Es hat erst den Mord an Walter Lübcke und den Anschlag auf eine Synagoge in Halle gebraucht: Viel zu spät bekämpft die Bundesregierung den wachsenden Rechtsextremismus und die Verbreitung von Hass im Netz. Wieder einmal wandelt sie dabei auf Irrwegen. Wieder einmal wird durch Gesetzesänderungen die Integrität der Privatsphäre torpediert. Wieder einmal soll die Freiheit der Bürger für ein vermeintliches Mehr an Sicherheit geopfert werden.

Herzstück des vom Bundesjustizministeriums präsentierten Maßnahmenpakets ist ein umfassender Auskunftsanspruch im Telemediengesetzes (TMG), nach dem Anbieter verpflichtet werden, private Daten ihrer Nutzer an die Behörden weiterzugeben. Strafverfolgungsbehörden, aber auch Verfassungsschutz und Zoll können so auf hochsensible Daten wie Passwörter und IP-Adressen zugreifen.

Im digitalen Zeitalter ermöglicht dieser Zugriff die umfassende Durchleuchtung des Privatlebens der Bürger, ihrer sozialen Beziehungen und ihres Konsumverhaltens. Hinzu kommt: Telemedienanbieter dürfen solch hochsensible Daten rechtlich nicht unverschlüsselt veröffentlichen. Aus guten Gründen: Die Pflicht zur Passwortherausgabe käme einem digitalen Großen Lauschangriff auf die Bürger gleich.

Richtervorbehalt kann leicht zur Farce werden
Der Staat kann also nur zulasten von Datenschutz und IT-Sicherheit Zugriff auf die privaten Daten erhalten. Kaschiert werden soll dies durch den sogenannten Richtervorbehalt, wonach der Auskunftsanspruch nur durch richterliche Anordnung umgesetzt werden kann. Doch diese Kontrollinstanz kann letztendlich leicht zur Farce werden. Angesichts der Komplexität und des hohen Zeitdrucks im Bereich der Netzkriminalität kann der Richtervorbehalt kaum ein ausreichendes rechtsstaatliches Korrektiv bieten – zumindest nicht in der Gründlichkeit, wie sie angesichts der sensiblen Eingriffe in das Privatleben notwendig wäre.

Mit ihrem undurchdachten Versuch, das Problem rechter Hetze und Gewalt in den Griff zu bekommen, schießt die Regierung weit über das eigentliche Ziel hinaus. Selbstverständlich muss die Strafverfolgung von Hasskriminalität möglich sein, doch panisches Horten von Daten schützt weder vor Rechten noch vor Hass. Und so drängt sich der Eindruck auf, dass erneut ein konkreter Anlass dazu genutzt werden soll, allgemeine Zugriffsrechte auf sensible Daten durchzusetzen.

Wir erinnern uns: Das Netzwerkdurchsetzungsgesetz (NetzDG) wurde erst 2017 verabschiedet, um viele der Probleme zu bekämpfen, die nun das neuerliche Reformvorhaben adressiert. Statt also mit heißer Nadel gestrickte Gesetzesänderungen zu verabschieden, sollten sich Regierung und Behörden erst mal auf die Durchsetzung von bestehendem Recht konzentrieren.

Strafverfolgung nicht privaten Netzwerkbetreibern überlassen
Gleiches gilt für die geplante Meldepflicht für die Betreiber sozialer Medien. Sie werden verpflichtet, rechtswidrige Inhalte an die Strafverfolgungsbehörden zu melden. Statt so jedoch Verbesserungen zu erwirken, werden die sowieso schon am Limit operierenden Behörden endgültig überlastet. Tausende kriminelle Hassposts werden täglich in den sozialen Medien verbreitet. Trotz geplanter Personalaufstockungen wären die Behörden mit einer solchen zusätzlichen Arbeitslast kaum in der Lage, Hasskriminalität nachhaltig zu bekämpfen.

Genau daran gilt es jedoch anzusetzen. Die hoheitlichen Aufgaben der Strafverfolgung können nicht privaten Netzwerkbetreibern überlassen werden, sie müssen durch staatlichen Behörden wahrgenommen werden. Das nordrhein-westfälische Sonderdezernat für gravierende Fälle politisch motivierter Hassreden im Internet nimmt dabei eine Vorbildfunktion ein: Ausgestattet mit ausreichend personellen und materiellen Ressourcen bekämpft es effizient und erfolgreich Hass im Netz.

Vorbild NRW
Neben der notwendigen Aufstockung von personellen und finanziellen Ressourcen kommt der Kooperation aller beteiligten Akteure eine zentrale Rolle zu. Auch hier hat das Land Nordrhein-Westfalen Vorbildcharakter. In der Initiative „Verfolgen statt nur Löschen“ arbeiten Strafverfolgungsbehörden, Medienanstalten und die Zivilgesellschaft eng zusammen und können zahlreiche Erfolge vorweisen. Solche Ansätze müssen schnellstmöglich auf Bundesebene ausgedehnt werden. Effektive und noch dazu rechtskonforme Modelle müssen die Basis im Kampf gegen Hasskriminalität im Netz sein. Dass stattdessen die Menschen zu gläsernen Bürgern geformt werden sollen, sagt viel über die Strategie der Regierung gegen Rechtsextremismus aus – aber leider nichts Gutes.

Quelle: Gastbeitrag: Datenweitergabe torpediert die Privatsphäre | heise online

Kampf gegen Hass: Bundesregierung stimmt für Pflicht zur Passwortherausgabe

Trotz massiver Kritik hat das Bundeskabinett den umstrittenen Gesetzentwurf zur erweiterten Bestandsdatenauskunft und Meldepflicht ans BKA auf den Weg gebracht.

In Deutschland soll es künftig eine klare Auflage für Anbieter von Telemediendiensten wie WhatsApp, Gmail, Facebook, Tinder & Co. geben, sensible Daten von Verdächtigen wie Passwörter und IP-Adressen an Sicherheitsbehörden herauszugeben. Dazu kommt eine Pflicht zunächst für Betreiber großer Plattformen zum Teilen nutzergenerierter Inhalte wie Facebook, TikTok, Twitter oder YouTube, strafrechtlich relevante Inhalte wie Hassbeiträge oder Terrorismuspropaganda zu löschen und parallel unaufgefordert – ebenfalls zusammen mit aussagekräftigen Internetkennungen inklusive Portnummern – an das Bundeskriminalamt (BKA) zu melden.

Pflicht zur Passwortherausgabe
Die Bundesregierung hat dazu am Mittwoch ihren Entwurf für ein Gesetz "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" auf den Weg gebracht. Die vom Bundeskabinett befürwortete Version geht prinzipiell ähnlich weit wie der heftig umstrittene Referentenentwurf von Justizministerin Christine Lambrecht (SPD). So sollen die begehrten Bestandsdaten generell neben Strafverfolgern und sämtlichen Geheimdienste auch Ämter in die Hände bekommen, die etwa Ordnungswidrigkeiten oder Schwarzarbeit ahnden. Es bleibt auch bei einem Auskunftsanspruch, "soweit dies zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist", also zum Verfolgen von Urheberrechtsverletzungen.

Zu den abfragbaren Daten gehören laut dem Papier ausdrücklich neben Name und Anschrift auch Kennungen, mit denen der Zugriff auf Nutzerkonten, Endgeräte und auf davon räumlich getrennte Speichereinrichtungen etwa in der Cloud geschützt wird. Die Regierung stellt nun aber klar, dass Telemedienanbieter im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und IT-Sicherheitsbestimmungen Passwörter verschlüsselt speichern müssen. Ermittler können also nur darauf hoffen, dass Dienstleister diese Vorschriften nicht befolgen oder dass sie die vorhandenen Hashwerte selbst mit hohem technischen Aufwand entschlüsseln können.

Auskunft über Passwörter sollen im Gegensatz zum Referentenentwurf aus dem Justizressort zudem nur noch Behörden erhalten, die "besonders schwere Straftaten" verfolgen oder für die "Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständig" sind.

Noch mehr Zugriffsmöglichkeiten
Die einschlägigen neuen Paragrafen 15a und b Telemediengesetz (TMG) knüpft an die bereits bestehende Pflicht zur Bestandsdatenauskunft für Telekommunikationsanbieter an, von der die berechtigten Stellen seit Jahren intensiv und nicht immer rechtskonform Gebrauch machen. Im jetzt anvisierten Bereich sind die Folgen mit Zugriffsmöglichkeiten auf umfassende Kommunikationsinhalte von Nutzern und die damit verknüpften Grundrechtseingriffe aber viel größer.

Auch der Kreis der Verpflichteten erweitert sich deutlich: unter den Begriff Telemedien fallen etwa soziale Medien und Blogs, Chatdienste, Spiele-Apps, Informationsservices und Suchmaschinen, Portale, Shops und private Seiten im Web, Webmail-Dienste, Podcasts und Flirt-Communities. Eine Richtergenehmigung ist zwar für die Abfrage von Passwörtern erforderlich, nicht jedoch für die von IP-Adressen und zugehörigen Nutzernamen. Oft winken Gerichte Ersuchen der Staatsanwaltschaften aber schon aus Zeitgründen oder Ressourcenmangel einfach durch. Den laufenden "Erfüllungsaufwand" für die Wirtschaft beziffert die Regierung mit rund 2,1 Millionen Euro jährlich.

Dazu kommt eine Klausel, wonach schon das "Billigen" oder Androhen von Straftaten etwa in sozialen Netzwerken wieder kriminalisiert werden soll, wenn diese geeignet ist, den öffentlichen Frieden zu stören. Der Wissenschaftliche Dienst des Bundestags hatte voriges Jahr angeführt, ein entsprechender Vorschlag sei 1989 noch abgelehnt worden, da die 1981 aufgehobene einstige Bestimmung kaum zu Verurteilungen geführt habe.

Härtere Strafen für Drohungen
Künftig sollen ferner auch Drohungen mit Taten gegen die sexuelle Selbstbestimmung, die körperliche Unversehrtheit, die persönliche Freiheit oder gegen Sachen von bedeutendem Wert, die sich gegen die Betroffenen oder ihnen nahestehende Personen richten, strafbar sein. Der Strafrahmen soll bei Drohungen im Netz bei bis zu zwei Jahren, bei einer öffentlich erfolgenden Drohung mit einem Verbrechen bei bis zu drei Jahren Freiheitsstrafe oder Geldstrafe liegen. Wer öffentlich im Netz andere beleidigt, dem sollen bis zu zwei Jahre Haft drohen. Den Katalog der rechtswidrigen Inhalte im Netzwerkdurchsetzungsgesetz (NetzDG) will das Kabinett um das "Delikt der Verunglimpfung des Andenkens Verstorbener" ergänzen.

Gegen die ursprüngliche Initiative des Justizressorts, die nun in leicht überarbeiteter Form an den Bundesrat und den Bundestag geht, liefen Datenschützer, Bürgerrechtler und Vertreter der Internetwirtschaft Sturm. Der Bundesdatenschutzbeauftragte Ulrich Kelber sprach von "gravierenden Eingriffen in die Grundrechte" und großen Zweifeln, ob das Vorhaben mit der Verfassung vereinbar sei und die damit verknüpft Ziele überhaupt erreicht werden könnten. Verbände beklagten den geplanten "großen Lauschangriff im Netz".

Meldeauflage für kleinere Anbieter
Vielfach auf Kritik stieß auch die vorgesehene Pflicht für Betreiber sozialer Netzwerke, eventuell strafbare Inhalte inklusive Darstellungen sexuellen Kindesmissbrauchs und Bedrohungen mitsamt IP-Adresse und Portnummer dem BKA zu übermitteln. Es werde sich nicht vermeiden lassen, dass auch Inhalte und Daten völlig harmloser Nutzer darunter seien, gab der IT-Verband Bitkom zu bedenken. Netzpolitisch aktive Vereine warnten, dass eine umfassende "Verdachtsdatenbank" in Form eines polizeilichen Zentralregisters beim BKA entstehe, die einen rechtsstaatlichen Dammbruch darstelle. Bundesinnenminister Horst Seehofer (CSU) drängt trotzdem bereits darauf, die Meldeauflage über das NetzDG hinaus auch auf kleinere Plattformen auszudehnen.

Lambrecht begründete das vom Kabinett befürwortete Gesetzespaket gegen Hass damit, dass "Extremisten sich nicht aus dem Nichts radikalisieren". Menschenverachtende Volksverhetzungen und Bedrohungen im Netz ließen Hemmschwellen sinken. "Der Hass trifft unsere Demokratie mitten ins Herz", betonte die Sozialdemokratin. Wer online hetze und drohe, werde "künftig härter und effektiver verfolgt". Dank der neuen Meldepflicht landeten "Hass-Straftaten endlich da, wo sie hingehören: vor Gericht". Der jüngste Schlag gegen eine mutmaßliche rechtsextremistische Terrorzelle zeige erneut, "wie Extremisten sich zusammenschließen und bewaffnen, um Menschen in unserem Land und unsere Demokratie zu attackieren".

Quelle: Kampf gegen Hass: Bundesregierung stimmt für Pflicht zur Passwortherausgabe | heise online

Gesetz gegen Hass im Netz: "Vorratsdatenspeicherung durch die Hintertür"

Die leichten Korrekturen der Bundesregierung am Gesetzentwurf zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" lassen die Kritik nicht verstummen.

Das Bundeskabinett hat den Gesetzentwurf "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" von Justizministerin Christine Lambrecht (SPD) hinsichtlich der vorgesehenen Passwortherausgabe an Sicherheitsbehörden zwar etwas entschärft, doch lässt das den Protest nicht verstummen. Vor allem gegen die vorgesehene Pflicht für Betreiber sozialer Netzwerke, IP-Adressen und Portnummer von Nutzern schon beim Verdacht auf strafrechtliche Vergehen proaktiv an das Bundeskriminalamt (BKA) weiterzuleiten, regt sich weiter Widerstand.

"Bricht mit Grundsätzen des Rechtsstaats"
Die von der Regierung am Mittwoch auf den Weg gebrachte Initiative schieße weit über das Ziel einer effektiven Strafverfolgung im Netz hinaus "und bricht gleichzeitig mit einigen Grundsätzen unseres Rechtsstaats", bemängelt der Geschäftsführer des IT-Branchenverbands Bitkom, Bernhard Rohleder. Mit einer Reform des an sich bereits umstrittenen Netzwerkdurchsetzungsgesetzes (NetzDG) würden die betroffenen Plattformen dazu verleitet, schon aus Sorge vor Bußgeldern "eher zu viele als zu wenige Nutzerdaten an Strafverfolgungsbehörden zu melden". Grundprinzipien des Datenschutzes würden damit konterkariert.

Gleichzeitig fehle vor allem Staatsanwaltschaften das nötige Personal, um die übertragenen Informationen überhaupt effizient bearbeiten zu können, meint Rohleder. Eine wirksame Strafverfolgung bleibe damit aus. Im Kampf gegen Hass und Hetze bräuchten die zuständigen Behörden mehr Personal und Digitalkompetenz, keine fragwürdigen neuen Befugnisse. Der Entwurf berge die Gefahr, international "Blaupause für die Einschränkung der Meinungsfreiheit im Internet zu werden".

"Gefahr für Bürgerrechte"
Das geplante Gesetz "ist datenschutzrechtlich, verfassungsrechtlich und europarechtlich in höchstem Maße besorgniserregend", warnt auch Oliver Süme, Vorstandsvorsitzender des eco-Verbands der Internetwirtschaft: "Es drohen erhebliche Einschnitte in bürgerliche Freiheiten sowie herbe Verluste der Integrität und Vertrauenswürdigkeit in digitale Dienste." Der Regierungsentwurf sei "eine Katastrophe", urteilte der netzpolitische Verein Load. Das Kabinett habe die Einwände eines breiten Bündnisses aus Zivilgesellschaft und Wirtschaft weitgehend ignoriert.

"Lambrecht wird immer mehr selbst zur Gefahr für Bürgerrechte, anstatt die benötigten Lösungen im Kampf gegen Hass und Hetze im Netz anzubieten", rügt der digitalpolitische Sprecher der FDP-Bundestagsfraktion, Manuel Höferlin: Die "Meldepflicht" sei ein trojanisches Pferd für die Meinungsfreiheit. Damit werde eine Verdachtsdatenbank beim BKA aufgebaut, in der Inhalte und zugehörige IP-Adressen gespeichert werden. Anbieter sozialer Medien sollten mit diesem Dammbruch nicht nur als Hilfssheriffs herhalten, "sondern werden zur ausgelagerten Rechtsabteilung der Justiz".

Dass die Ministerin an ihren Plänen zu einer Herausgabepflicht für verschlüsselte Passwörter festhält, spricht laut Höferlin "für ihre Hilflosigkeit". Er plädierte für "einen Neustart" im Kampf gegen Hass und Hetze im Netz "mit einem klugen Regulierungsmix". Das NetzDG sei dafür nicht nötig. Betroffene Bürger müssten in die Lage versetzt werden, "auch selbst gegen Beleidigungen, Drohungen und Persönlichkeitsrechtsverletzungen im Netz vorgehen zu können".

"Privatisierung der Rechtsdurchsetzung"
Auch Niema Movassat, Verfassungsexperte der Linksfraktion, wittert einen "bedrohlichen Schritt in Richtung einer Privatisierung der Rechtsdurchsetzung und eine massive Gefahr für den Datenschutz". Anstatt sich klar mit demokratischen Ansätzen gegen Rechts abzugrenzen, bediene sich die Regierung "des wenig erfolgversprechenden Mittels der Verschärfung des Strafrechts". Der Oppositionspolitiker befürchtet: "Die neue Zentralstelle beim Bundeskriminalamt wird zu einer regelrechten Datenkrake." "Dass IP-Adressen automatisch übersandt werden sollen, führt zu einer Vorratsdatenspeicherung durch die Hintertür."

Die geplante Verdachtsdatei beim BKA hört sich auch für die netzpolitische Sprecherin der Grünen, Tabea Rößner, nach einem neuen Anlauf zum anlasslosen Protokollieren von Nutzerspuren an. Das "wichtige Ziel der Bekämpfung von Hasskriminalität" drohe so "als Einfallstor für die grundsätzliche Beschneidung von freiheitlichen Grundsätzen genutzt" zu werden. Ex-Verbraucherministerin Renate Künast forderte eine Gesamtstrategie, "die Hass und Hetze im Netz wirksam bekämpft, Betroffene stärkt und dabei Bürgerrechte schützt".

Eva Högl, Vizechefin der SPD-Fraktion, und deren Rechtsexperte Johannes Fechner betonten dagegen: "Wir unterstützen den Gesetzentwurf." Die Sozialdemokraten wollen "auch ein Zeichen setzen, dass das Internet kein rechtsfreier Raum ist". Sie versichern, den Entwurf zügig beraten und verabschieden zu wollen. Auch für den Digitalexperten der CDU/CSU-Bundestagsfraktion, Tankred Schipanski, weist die Initiative "in die richtige Richtung". Offen sei aber etwa die Frage, wie genau das BKA mit den Daten zu verfahren habe, die es von den Plattformen erhält. Im parlamentarischen Verfahren wolle man dies genau unter die Lupe nehmen.

Quelle: Gesetz gegen Hass im Netz: "Vorratsdatenspeicherung durch die Hintertür" | heise online

Passwortherausgabe: SPD-Politiker wirft "hirnrissigen" Gegnern Täterschutz vor

Der Bundestagsabgeordnete Florian Post hält auch eine Beugehaft für vertretbar, wenn Verdächtige ihre Internetkennungen den Behörden nicht mitteilen.

Der Parlamentarier Florian Post, der für die SPD-Fraktion im Rechtsausschuss des Bundestags sitzt, hat den umstrittenen Gesetzentwurf der Bundesregierung "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" verteidigt. Kritikern der Initiative, wonach Anbieter von Telemediendiensten wie WhatsApp, Gmail, Facebook und Tinder sensible Daten von Verdächtigen wie Passwörter und IP-Adressen an Sicherheitsbehörden herausgeben müssten, wirft er mangelndes Verständnis für die Opfer von Verbrechen und einen "Hang zum Täterschutz" vor.

"Handlanger der Täter"
"Wer verhindert, dass unsere Gesetze der Realität im 21. Jahrhundert angepasst werden, blockiert die Aufklärung von Verbrechen und macht sich unfreiwillig zum Handlanger der Täter", erklärte der 38-Jährige gegenüber Focus Online. Geht es nach ihm, sollte die Polizei "Kinderporno- oder Terrorverdächtige" künftig auch direkt zwingen dürfen, "ihnen das Passwort für ihr Online-Konto auszuhändigen". So könnten Ermittler die Accounts der Betroffenen übernehmen, "in deren Rolle schlüpfen und so die hochkriminellen Kontaktleute sowie Anbieter überführen". Zur Stichhaltigkeit der so generierten "Beweise" äußert sich der Sozialdemokrat nicht.

Gegen Verdächtige, die die Herausgabe ihres Passwortes verweigern, sollten laut Post Geldstrafen verhängt werden können. "Wenn es hart auf hart kommt, halte ich auch eine Beugehaft von bis zu sechs Monaten für absolut vertretbar", ließ der Bayer durchblicken. Er betonte, dass diese Maßnahmen "nur bei schweren Straftaten und unter Vorbehalt einer richterlichen Entscheidung angewendet werden dürfen". Die Argumente der zahlreichen Kritiker einer gesetzlich klarer geregelten Passwortherausgabe bezeichnete der Abgeordnete als "geradezu hirnrissig".

Die von der Regierung vorgesehenen rechtsstaatlichen Sicherungen enthalten zahlreiche Lücken, erläutert derweil der Berliner Rechtsanwalt Niko Härting. Anbieter sollen ihm zufolge verpflichtet werden, Passwörter herauszugeben, sobald diese benötigt würden, um einen Beschuldigten zu finden oder den Sachverhalt zu "erforschen". Die Auflage beschränke sich so weder auf schwere Straftaten noch auf "Hate Speech", wie es von offizieller Seite heiße.

Schon bei Ordnungswidrigkeiten
Laut dem Entwurf könne "in jedem strafrechtlichen Ermittlungsverfahren bereits dann die Herausgabe von Passwörtern angeordnet werden, wenn sich Ermittlungsbehörden hiervon Informationen über den Aufenthaltsort eines Beschuldigten erhoffen", führt Härting aus. "Reichen dürfte sogar der Verdacht einer bloßen Ordnungswidrigkeit." Für den Richtervorbehalt gebe es zudem Ausnahmen, etwa wenn der Betroffene von dem Auskunftsersuchen "bereits Kenntnis hat oder haben muss". Dies gelte schon dann, wenn die Staatsanwaltschaft den Betroffenen zur Herausgabe der begehrten Kennungen aufgefordert und ihn auf die Möglichkeit der Abfrage beim Provider hingewiesen habe.

Der Deutsche Anwaltsverein (DAV) warnt in einer Stellungnahme an das Justizministerium, dass die Zusicherung wenig wert sei, dass Diensteanbieter verschlüsselte Passwörter nicht im Klartext übermitteln müssten: "Behördliche Begehrlichkeiten" dürften den Gesetzgeber veranlassen, "auch den Weg zum zweiten Schritt" zu ebnen, nämlich zum Dechiffrierungszwang, wenn der behördliche Anspruch auf einschlägige Bestandsdaten erst einmal normiert worden sei.

Quelle: Passwortherausgabe: SPD-Politiker wirft "hirnrissigen" Gegnern Täterschutz vor | heise online

Verfassungsgericht: Staatlicher Zugriff auf Bestandsdaten muss begrenzt werden

Der Zugriff auf Bestandsdaten von Handy- und Internetusern für Strafverfolger ist grundsätzlich zulässig, die bestehenden Regelungen gehen aber viel zu weit.

Die staatlichen Zugriffsmöglichkeiten auf persönliche Daten von Handy- und Internetnutzern zur Strafverfolgung und Terrorabwehr gehen zu weit. Das Bundesverfassungsgericht erklärte mehrere Regelungen zur sogenannten Bestandsdatenauskunft für verfassungswidrig, teilte das Gericht in Karlsruhe mit. § 113 des Telekommunikationsgesetzes (TKG) und mehrere Fachgesetze des Bundes, die die manuelle Bestandsdatenauskunft regeln, seien verfassungswidrig, hieß es zu dem Beschluss: "Sie verletzen die beschwerdeführenden Inhaber von Telefon- und Internetanschlüssen in ihren Grundrechten auf informationelle Selbstbestimmung sowie auf Wahrung des Telekommunikationsgeheimnisses."

Die Erteilung einer Auskunft über Bestandsdaten sei allerdings grundsätzlich verfassungsrechtlich zulässig, hielt das Bundesverfassungericht fest. "Der Gesetzgeber muss aber nach dem Bild einer Doppeltür sowohl für die Übermittlung der Bestandsdaten durch die Telekommunikationsanbieter als auch für den Abruf dieser Daten durch die Behörden jeweils verhältnismäßige Rechtsgrundlagen schaffen." Übermittlungs- und Abrufregelungen müssten die Verwendungszwecke der Daten hinreichend begrenzen, indem sie insbesondere tatbestandliche Eingriffsschwellen und einen hinreichend gewichtigen Rechtsgüterschutz vorsehen, betonte das Gericht in seinem Urteil. Voraussetzung müsse das Vorliegen einer konkreten Gefahr oder der Anfangsverdacht einer Straftat sein.

Das Telekommunikationsgesetz und entsprechende Vorschriften in anderen Gesetzen müssen nun bis spätestens Ende 2021 überarbeitet werden. Solange bleiben die beanstandeten Regelungen unter bestimmten Maßregeln in Kraft.

Quelle: Verfassungsgericht: Staatlicher Zugriff auf Bestandsdaten muss begrenzt werden | heise online

Reaktionen auf Urteil zu Bestandsdatenauskunft: Beratungsresistenter Gesetzgeber

Der gerichtliche Erfolg gegen die Bestandsdatenauskunft ist allenfalls ein Etappensieg. Kritiker begrüßen das Urteil, sehen den Regierungskurs jedoch mit Sorge.

Die Entscheidung des Bundesverfassungsgerichts zur Nichtigkeit zahlreicher Normen der Beauskunftung von Strafverfolgern und Nachrichtendiensten mit „ohnehin-da-Daten“ von Internet- und Telefonnutzern wurde von vielen Aktivisten und einem Teil des Parlaments begrüßt. Zugleich sind viele Kritiker ratlos bis zynisch ob des Regierungskurses in Richtung mehr Überwachung bei ständig erhöhtem Taktschlag in der Gesetzgebung.

Justizministerium erklärt sich für "clean"
Im Bundesjustizministerium (BMJV) gibt man sich gar nicht unzufrieden mit dem Urteil. Ein Sprecher des Ministeriums teilte auf Anfrage von heise online mit: „Das Bundesverfassungsgericht hat die Anforderungen an die Bestandsdatenauskunft weiter konkretisiert und die Rechte der Betroffenen gestärkt“, so der Sprecher.

Man werde nun sorgfältig auswerten und „die beanstandeten Regelungen müssen innerhalb der vorgegebenen Frist korrigiert werden“. Dabei besteht man darauf, dass insbesondere „eine Reihe von Regelungen aus dem Bereich der Sicherheitsbehörden betroffen sind, die in der Zuständigkeit verschiedener Ressorts liegen“. Regelungen aus dem Bereich des Strafverfahrensrechts, für das das BMJV zuständig ist, „sind nicht für verfassungswidrig erklärt worden.“ Das Justizministerium habe die entsprechenden Vorgaben des Bundesverfassungsgerichts aus dem Jahr 2012 in § 100j StPO umgesetzt und sei „clean“.

Folgen für andere Vorhaben noch unklar
Immerhin räumt der Sprecher auf Nachfrage noch ein, dass man mit Blick auf die erweiterten Bestandsauskunftsregeln im Gesetz zur Bekämpfung von Rechtsextremismus und Hasskriminalität eventuell noch nacharbeiten muss. „Die Auswertung des Urteils umfasst auch die Frage, ob und in welchem Umfang sich daraus Folgen für Vorhaben ergeben, die selbst nicht Gegenstand der Entscheidung waren, wie etwa das von Ihnen genannte Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität. Diese Frage werden wir mit den jeweils zuständigen Fachressorts erörtern“, erklärte der Sprecher.

Beim Innenministerium, das als Dienstherr der verschiedenen „Kunden“ der Bestandsdatenauskunft nach Ansicht des Justizressorts mehr zu tun hat, wird der Beschluss erst einmal „fachlich ausgewertet“. Der Sprecher des Innenministers teilte weiter mit, man werde prüfen, welche Anpassungen der geltenden Normen für eine verfassungskonforme Ausgestaltung erforderlich sind.

Bis Ende 2021 hat man dafür Zeit, bis dahin gilt eine – allerdings von den Verfassungsrichtern unter bestimmten Bedingungen gestellte – Übergangsregelung. Noch anderthalb Jahre herrscht also fast 'business as usual'.

Privatisierter Grundrechtsschutz
„Ständig macht die Bundesregierung neue Überwachungsgesetze, stets gibt's Klagen dagegen, da Verhältnismäßigkeit und Überwachungsgesamtrechnung ignoriert werden. Dass Verfahren über 7 Jahre brauchen, in denen ein verfassungswidriges Gesetz angewendet wird, ist skandalös“, twitterte die Linken-Abgeordnete Anke Domscheit-Berg direkt nach der Entscheidung.

Domscheit-Berg gehört zu den knapp 6000 Bürgern, die sich der Klage 2013 angeschlossen hatten und gemeinsam mit den beiden Piratenabgeordneten Dr. Patrick Breyer und Katharina Nocun Karlsruhe anriefen. „Man braucht einen langen Atem beim Kampf gegen den Überwachungsstaat, aber trotz Erfolgen bleibt es ein Hinterherhecheln, weil ständig neue Überwachungsgesetze kommen“, so Domscheit-Berg.

Grüner von Notz: "Regierung hat nichts gelernt"
Der stellvertretende Fraktionsvorsitzende der Grünen, Konstantin von Notz, nannte den Beschluss der Karlsruher Richter „eine weitere dramatische Niederlage für die Bundesregierung, denn es wurde erneut bestätigt, dass die derzeitigen staatlichen Zugriffsmöglichkeiten auf persönliche Daten von Handy- und Internetnutzern zur Strafverfolgung und Terrorabwehr die Rechte der Inhaberinnen und Inhaber verletzen.“

Doch auch von Notz verwies darauf, dass das Urteil alles andere als ein Einzelfall ist. Vielmehr sei es „nur ein weiteres Glied in der Kette von gerichtlichen Niederlagen für die Bundesregierung.“ Die Regierung habe nichts gelernt aus dem ersten Urteil gegen die Bestandsdatenauskunft 2012 und ignoriere Warnhinweise von Sachverständigen und Fachleuten konsequent. Von Notz nannte es „besonders beschämend“, dass es immer wieder Aktivistinnen und Aktivisten aus der Zivilgesellschaft sind, die die Einhaltung der Grundrechte vor dem Verfassungsgericht erstreiten müssen – oftmals ehrenamtlich und in ihrer Freizeit“.

Expertenrat nicht gehört
Auch einer der ungehörten Experten meldete sich in Gestalt des stellvertretenden Bundesbeauftragten für den Datenschutz zu Wort. Jürgen H. Müller sieht die Linie seiner Behörde mit der heutigen Entscheidung der Verfassungsrichter zur Bestandsdatenauskunft bestätigt und bekräftigte den ungehörten Standpunkt der Datenschützer: „Nicht jede Ordnungswidrigkeit darf umgehend zu einer Abfrage bei den Telekommunikationsanbietern führen. Der BfDI hat seit Jahren auf die Unverhältnismäßigkeit dieser Regelung hingewiesen.“ Gerade bei der Auskunft anhand von IP-Adressen habe der BfDI immer wieder darauf hingewiesen, dass die Norm viel zu weit gefasst sei. Dies hat das Bundesverfassungsgericht nun bestätigt und der anlasslosen Bestandsdatenauskunft eine Absage erteilt.

Fast schon beschwörend klingt Müllers Plädoyer: „Der Gesetzgeber muss nun bei der Neuregelung des Telekommunikationsgesetzes das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung stärker berücksichtigen."

Etappensieg und Notwendigkeit zum Selbstschutz
Beschwerdeführer Patrick Breyer sieht sich gemeinsam mit den 6000 Aktivisten darin bestätigt, dass Regierung und Parlament ihre Hausaufgaben 2012 nicht gemacht haben und etwa bei der Eingriffsschwelle für IP-Adressen nachgefordert haben. Zugleich bedeutet das Urteil für Breyer aber auch eine Niederlage insoweit, als er eigentlich, wie er sagt, „für das Recht auf anonyme Telekommunikation streiten will.“

In der immer stärker digitalisierten Gesellschaft hofft er noch immer, dass sich die Grundüberzeugung durchsetzt, dass nur die Möglichkeit zu anonymer Kommunikation – bei allen Risiken – eine sichere Gesellschaft sein kann. Der Jurist und Abgeordnete im Europaparlament fürchtet, dass die Grenzziehungen zwischen Bestands-, Verkehrs- und Kommunikationsdaten im Netz stark verwischt. Der Glaube, dass ein starker Staat für Sicherheit sorge, werde überdies gerade durch die aktuellen Skandale um die NSU 2.0-Mails erschüttert.

Er selbst, so Breyer, nutzt die gegebenen Möglichkeiten zu anonymer Kommunikation über nicht-personalisierte SIM-Karten und Anonymisierungsdienste wie Tor. Auf solche Mittel verwies in einer Reaktion auf die Verfassungsgerichtsentscheidung jüngst auch die Organisation Digital Courage. Breyer unterstreicht, dass er solche anonymen Kanäle schon denen schuldig sei, die sich im Rahmen seiner Abgeordnetentätigkeit im Europaparlament mit brisanten Informationen an ihn wendeten. „Die riskieren dafür manchmal ihren Job“, so Breyer.

Quelle: Reaktionen auf Urteil zu Bestandsdatenauskunft: Beratungsresistenter Gesetzgeber | heise online

Bestandsdaten: Bundespolizei und Zoll sollen auf Passwörter zugreifen dürfen

Mit einem "Reparaturgesetz" will das Innenministerium die Regeln zur Bestandsdatenauskunft an Vorgaben aus Karlsruhe anpassen – aber auch ausweiten.

Mitte Juli hatte das Bundesverfassungsgericht (BVerfG) geurteilt, dass der staatliche Zugriff auf Bestandsdaten wie Name, Anschrift und E-Mail-Adressen von Nutzern begrenzt werden muss. Das Bundesinnenministerium (BMI) hat dazu jetzt einen Referentenentwurf vorgelegt. Damit will es aber nicht nur die Übermittlungsvorschriften für die Dienstanbieter und die Abrufbestimmungen für Sicherheitsbehörden konkretisieren, sondern auch Befugnisse insbesondere der Bundespolizei und von Zollfahndern ausweiten.

Ausgeweitete Bestandsdatenauskunft
Das Vorhaben gilt als eilbedürftig, da aufgrund der Ansage aus Karlsruhe auch der umstrittene Gesetzentwurf zur "Bekämpfung von Rechtsextremismus und Hasskriminalität" auf Eis liegt. Bundespräsident Frank-Walter Steinmeier (SPD) weigerte sich Anfang Oktober, die vom Bundestag im Juni beschlossene Initiative zu unterzeichnen. Die Karlsruher Richter hatten geurteilt, dass "eine hinreichend präzise Umgrenzung des Verwendungszwecks" von Bestandsdaten zu gewährleisten sei.

Laut dem "Anti-Hass-Gesetz" müssen Anbieter von Telemediendiensten wie WhatsApp, eBay, Facebook, Google mit Gmail und YouTube, Tinder & Co. sensible Daten von Verdächtigen wie IP-Adressen und – in der Regel verschlüsselt gespeicherte – Passwörter künftig an Sicherheitsbehörden herausgeben. Der Gesetzgeber will damit die Möglichkeiten zur Bestandsdatenauskunft ausdehnen.

Auch Bundespolizei und Zollkriminalamt erhalten Zugriff
Insbesondere das Bundeskriminalamt (BKA) – prinzipiell aber auch andere Strafverfolgungsbehörden und Geheimdienste – könnten so etwa Kennungen, mit denen der Zugriff auf Nutzerkonten, Endgeräte und auf davon räumlich getrennte Speichereinrichtungen etwa in der Cloud geschützt wird, beispielsweise von sozialen Medien, Chatdiensten, Spiele-Apps, Suchmaschinen, Shops und privaten Seiten im Web, Webmail-Diensten, Podcasts und Flirt-Communities abfragen.

Das BMI will diesen breiten Zugang zu Bestandsdaten über den heise online vorliegenden Entwurf für das "Reparaturgesetz" nun auch der Bundespolizei sowie dem Zollkriminalamt und den Zollfahndungsämter eröffnen. Deren Ermittler dürften die begehrten Informationen bislang nur bei Telekommunikationsanbietern erheben, bei Betreibern von Telemedien fehle eine "explizite Befugnisnorm". Diese Lücke werde jetzt "unter gleichzeitiger Anpassung an die Vorgaben des Bundesverfassungsgerichts durch die Neufassung geschlossen".

"Konspirative Organisation von Straftaten" übers Internet
Zu den künftig betroffenen Unternehmen zählten "insbesondere Internetauktionshäuser oder -tauschbörsen, Anbieter von Videos auf Abruf oder Suchmaschinen im Internet", begründet das Innenressort diesen Anlauf. Die Kommunikation verlagere sich zunehmend in soziale Netzwerke und Internetforen, wo eine Vielzahl von Mitgliedern einer Gruppe gleichzeitig informiert werden könne. Diese Möglichkeit werde auch dazu genutzt, "Straftaten im Vorfeld konspirativ zu organisieren und zu lenken".

Dazu gehörten im Zuständigkeitsbereich der Bundespolizei etwa "Verabredungen im Internet zu Gewalt gegen Bahnpersonal oder Anschlägen im Bereich von Bahnhöfen oder Flughäfen", führt das BMI aus. Mit den bisher den Ordnungshütern zur Verfügung stehenden Mitteln sei "eine adäquate Reaktion auf Straftaten, die auf diese Weise vorbereitet werden, nicht möglich". Die "wachsende Bedeutung dieser Diensteanbieter bei der Aufklärung von Sachverhalten zur Gefahrenabwehr sowie der Verhütung und Verfolgung von Straftaten" müsse sich daher auch im Instrumentarium der Bundespolizei widerspiegeln. Dies gelte analog für den Zoll.

Auflagen des Bundesverfassungsgerichts
Um den Auflagen aus Karlsruhe nachzukommen, soll die Bundespolizei ein Ersuchen nach Bestandsdaten nur verlangen dürfen, um im Einzelfall eine Gefahr für die öffentliche Sicherheit oder Ordnung oder eine drohende Gefahr für ein Rechtsgut von erheblichem oder besonders schwerem Gewicht abzuwehren. Weitere Voraussetzung ist, dass "Tatsachen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares Geschehen zulassen".

Insgesamt will das BMI mit dem Entwurf die Befugnisse der Diensteanbieter zur Weitergabe von Bestandsdaten nach dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) anpassen. Parallel sollen die korrespondieren Abrufkompetenzen nach der "Doppeltürrechtsprechung" auch für das BKA sowie alle drei Geheimdienste geändert werden. Die Reform der Landespolizeigesetze liegt in der Verantwortung der Länder.

"Die Übermittlungs- und Erhebungszwecke werden dem Bestimmtheitsgebot entsprechend normenklar geregelt", schreibt das Ministerium in einem Begleitbrief. Dazu gehöre auch, dass die Weitergabe der Daten an das BKA und Zollkriminalamt in deren Zentralstellenfunktion als Drehscheibe für andere Strafverfolgungsbehörden ausdrücklich geregelt werde.

Verhältnismäßigkeit und Dokumentationspflicht
Dem Grundsatz der Verhältnismäßigkeit folgend würden die Eingriffsvoraussetzungen abgestuft, heißt es beim BMI: "Je weiter die Befugnisausübung im Vorfeld einer konkreten Gefahr ermöglicht wird, desto gewichtiger muss das zu schützende Rechtsgut oder desto schwerer die zu verhütende Straftat sein." Ferner würden bislang zwar schon praktizierte, aber gesetzlich noch nicht vorgesehene behördliche Dokumentationspflichten festgeschrieben.

"Konkrete Wahrscheinlichkeit" als ausreichender Verdacht
In einzelnen Gesetzen für die Sicherheitsbehörden des Bundes will das Ministerium so etwa klarstellen, dass "die Auskunft nur verlangt werden" dürfe, "wenn die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen". Teils reichen die Kompetenzen aber nach wie vor recht weit.

Das BKA etwa soll auch Bestandsdaten abfragen dürfen, um "Auskunftsersuchen einer ausländischen Strafverfolgungsbehörde im Rahmen des polizeilichen Dienstverkehrs" zu erledigen. Die Befugnis gelte ferner, wenn "die konkrete Gefahr besteht, dass eine Person an der Begehung" einer schweren Straftat "beteiligt sein wird". Der Verdacht könne dabei auch durch eine "konkrete Wahrscheinlichkeit" begründet werden. Das Bundesamt für Verfassungsschutz soll zudem "Zugangssicherungsinformationen" wie PIN und PUK nicht mehr nur bei Telcos, sondern – neu – auch bei Telemediendiensten erfragen dürfen.

Passwortherausgabe bleibt unverändert bestehen
Die im Anti-Hass-Gesetz vorgesehene breite Klausel zur Herausgabe von Passwörtern kann laut der Begründung unverändert bleiben. Sie entspreche den BVerfG-Anforderungen. Juristen sehen die Pflicht zur Weitergabe strafrechtlich relevanter Inhalte inklusive IP-Adressen und Portnummern durch Facebook & Co. ans BKA als kritisch an, da diese sich zunächst auf reine Verdachtsfälle beziehe. Die Grünen fordern hier ein zweistufiges Verfahren. Das BMI hat diesen Ansatz nicht aufgegriffen.

Bis Dienstag und so insgesamt nur eine Woche haben Verbände Zeit, den gleichzeitig mit den anderen Ressorts abzustimmenden Entwurf zu kommentieren. Im Rekordtempo soll das Vorhaben noch vor Weihnachten durch den Bundestag und den Bundesrat geschleust werden. Nicht haltbare Bestimmungen aus dem gestoppten Anti-Hass-Gesetz werden dem Plan nach aufgehoben, die überarbeiteten einschlägigen Artikel "erneut eingebracht".

Grünen-Fraktionsvize Konstantin von Notz hält es für zweifelhaft, ob das Verfahren so durchgezogen werden kann. Dass das vorgesehene Gesetz diesmal höchstrichterlichen Vorgaben gerecht werde, sei fraglich. Auf jeden Fall komme auf das BKA mit der Meldepflicht durch Betreiber sozialer Netzwerke eine "Denial-of-Service-Attacke" zu. Das ganze Vorgehen der Bundesregierung habe das Potenzial, "den wichtigen Kampf gegen Rechtsextremismus und strafbare Meinungsäußerungen im Internet zu erschweren".

Quelle: Bestandsdaten: Bundespolizei und Zoll sollen auf Passwörter zugreifen dürfen | heise online

Bundestag beschließt neue Bestandsdatenauskunft trotz rechtlicher Einwände

Das Parlament hat das "Reparaturgesetz" verabschiedet, mit dem neben dem BKA auch die Bundespolizei und der Zoll Passwörter abfragen dürfen.

Mit der Mehrheit der Großen Koalition hat der Bundestag am Donnerstag den umstrittenen Gesetzentwurf beschlossen, mit dem die Regierungsfraktionen von CDU/CSU und SPD die Regeln für die Bestandsdatenauskunft an die Vorgaben des Bundesverfassungsgerichts (BVerfG) anpassen wollen. Mit der Initiative dürfen neben dem Bundeskriminalamt (BKA) künftig auch die Bundespolizei und die Zollfahndung bei Telemedienanbietern Passwörter abfragen. Die gesamte Opposition stimmte dagegen.

Karlsruhe verlangte Änderungen
Generell wollen die Abgeordneten mit dem Entwurf die Befugnisse der Diensteanbieter zur Weitergabe von Angaben wie Name, Anschrift, E-Mail-Adressen von Nutzern nach dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) anpassen. Parallel sollen die korrespondieren Abrufkompetenzen für die Sicherheitsbehörden geändert werden.

Nötig macht die Reform ein Urteil des Bundesverfassungsgerichts (BVerfG), wonach der Gesetzgeber den staatlichen Zugriff auf Bestandsdaten begrenzen muss. Sehr weit gefasst werden die Befugnisse der berechtigten Behörden mit der Novelle aber vor allem bei Anbietern von Telemediendiensten wie WhatsApp, eBay, Facebook, Google mit Gmail und YouTube sowie Tinder. Das BKA, die Bundespolizei und der Zoll können Kennungen, mit denen der Zugriff auf Nutzerkonten, Endgeräte und auf davon räumlich getrennte Speichereinrichtungen etwa in der Cloud geschützt wird, bei solchen Dienstleistern, aber etwa auch privaten Seiten im Web und Podcasts abfragen.

Die Bundespolizei und das BKA dürfen dabei besonders sensible Daten wie – meist als Hashwerte gespeicherte – Passwörter "zur Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person oder für den Bestand des Bundes oder eines Landes" verlangen. Allgemeine Bestandsdaten vor allem nach dem TKG kann das BKA etwa abfragen, wenn eine gegenwärtige oder drohende Gefahr für eine zu schützende Person oder einen Sachwert bestehen. Namen hinter IP-Adressen dürfen die beiden Behörden ersuchen, wenn eine aktuelle oder drohende "Gefahr für ein Rechtsgut von hervorgehobenem Gewicht" vorliegt. Für das Zollkriminalamt (ZKA) gelten vergleichbare Bedingungen.

Zugriff auf PINs und mehr
Andererseits dürfen das ZKA, andere Behörden der Zollverwaltung und die nach Landesrecht für die Verfolgung und Ahndung von Ordnungswidrigkeiten zuständigen Ämter "klassische" Bestandsdaten und Identitäten zu IP-Adressen bei Telemedienanbietern sogar abfragen, um Schwarzarbeit zu bekämpfen. Für das Bundesamt für Verfassungsschutz, den Bundesnachrichtendienst (BND) und den Militärischen Abschirmdienst (MAD) eröffnet das Vorhaben darüber hinaus unter bestimmten Voraussetzungen den Zugriff auf Sicherheitscodes wie PINs und PUKs bei Telekommunikationsfirmen.

Das "Reparaturgesetz" soll auch den Gesetzentwurf zur "Bekämpfung von Rechtsextremismus und Hasskriminalität" retten, der momentan auf Eis liegt. Bundespräsident Frank-Walter Steinmeier (SPD) weigerte sich Anfang Oktober nach der BVerfG-Ansage, die vom Bundestag im Juni beschlossene Initiative zu unterzeichnen. Diese enthält prinzipiell ebenfalls die umstrittene Vorgabe zur Herausgabe von Passwörtern an Sicherheitsbehörden, die aber noch paralleler Zugriffsrechte in anderen Gesetzen bedürfen.

Juristen sehen die mit dem Anti-Hass-Gesetz verknüpfte Pflicht zur Weitergabe strafrechtlich relevanter Inhalte inklusive IP-Adressen und Portnummern durch Facebook & Co. ans BKA als sehr kritisch an, da diese sich zunächst auf reine Verdachtsfälle beziehe. Die Grünen forderten hier daher ein zweistufiges Verfahren, fanden für ihren entsprechenden Antrag aber keine Mehrheit.

Kritik an fehlendem Grundrechtsschutz
Sachverständige hatten bei einer parlamentarischen Anhörung Korrekturen an dem Reparaturgesetz angemahnt. Vor allem die geplante Abrufmöglichkeit auch von Nutzungsdaten wie URLs, Kommunikation auf sozialen Netzwerken oder Pseudonymen würde ihnen zufolge wieder in Karlsruhe scheitern. Sie rieben sich zudem daran, dass der verfassungsrechtlich ungeklärte Begriff der "drohenden Gefahr" 23-mal in dem Entwurf auftauche. Das gesamte komplizierte System diene nicht dem Grundrechtsschutz.

Die Regierungsfraktionen folgten den Anregungen nicht. Sie korrigierten in ihrem Änderungsantrag nur das "redaktionelle Versehen", wonach die Zollfahnder eine Richtergenehmigung für Bestandsdatenauskünfte anhand dynamischer IP-Adressen hätten beantragen müssen. Dies sei nicht geboten, hieß es bei Schwarz-Rot, und auch nicht "in den anderen parallelen fachgesetzlichen Regelungen des vorliegenden Gesetzentwurfs enthalten". Laut einer Entschließung sollen die zuständigen Behörden die "praktische Handhabung und Wirksamkeit der manuellen Bestandsdatenabfragen" dokumentieren und diese – soweit fachlich geboten – zahlenmäßig erfassen.

Die Opposition beklagte, dass die Koalition die Anhörung zur Farce mache. Schwarz-Rot sei offenbar "so imprägniert bei Überwachungsgesetzen", dass an ihr selbst die fundamentale Kritik der eigenen Sachverständigen abperle, mutmaßte Manuel Höferlin (FDP). So könne man keine Sicherheitsgesetzgebung machen. Mit dem Instrument der Passwortherausgabe zerstöre die Koalition das Vertrauen in die Internetsicherheit. Wie so oft gehe sie "über das verfassungsrechtlich Erlaubte hinaus".

"Eklatant verfassungswidrig"
Geregelt werde der Zugriff der Sicherheitsbehörden auf das Kommunikationsverhalten der Bürger, warnte Niema Movassat für die Linke. Wenn der Staat Daten von Anbietern etwa von Online-Foren abfrage, erhalte er sehr sensible Informationen. Nutzungsdaten würden in eine Kategorie mit Bestandsinformationen gestellt, was "eklatant verfassungswidrig" sei. Die Koalition operiere hier handwerklich und inhaltlich schlecht am Herzen des Grundgesetzes "wie ein Medizin-Erstsemester".

Schwarz-Rot schlage die von den Experten ausgemachten schweren verfassungsrechtlichen Probleme in den Wind, monierte der Grüne Konstantin von Notz. "Das ist parlamentarisch unterirdisch." Neben Aspekten wie der Passwortherausgabe sei die erneut eingeführte Vorratsdatenspeicherung höchstproblematisch. Das gesamte Konstrukt drohe ein drittes Mal in Karlsruhe zu scheitern. Dies wäre katastrophal, da mit dem Gesetz zahlreiche weitere verknüpft seien. CDU/CSU und SPD würden wieder ein "offensichtlich verfassungswidriges Gesetz durchboxen", beschwerte sich Christian Wirth (AfD).

Mit dem Gesetz erfülle Schwarz-Rot "genau die Vorgaben des Bundesverfassungsgerichts – nicht mehr und nicht weniger", hielt Alexander Throm (CDU) dagegen. Eine Gesamtreform der Auskunftsbestimmungen scheine anhand der vorgegebenen Fristen nicht möglich. Ohne die überarbeiteten Regeln könnte das Anti-Hass-Gesetz nicht greifen. Die Politik dürfe nicht vor der Masse an Hasskommentaren kapitulieren, Datenschutz nicht zum Täterschutz werden.

Wieder nach Karlsruhe
Sicherheitsbehörden sollten künftig genauer darlegen, zu welchem Zweck sie Internet- und Handydaten abfragten, erklärte Uli Grötsch. Der SPD-Politiker kündigte an, dass die Sicherheitsgesetzgebung in Bälde im Rahmen einer "Überwachungsgesamtschau" mit Experten besprochen werden solle.

Der EU-Abgeordnete und Bürgerrechtler Patrick Breyer, der zu den Klägern gegen die Bestandsdatenauskunft gehörte, zeigte sich bereit, gegebenenfalls auch gegen das "noch datengierigere Nachfolgegesetz wieder nach Karlsruhe" zu ziehen. Dort werde es darum gehen müssen, "dem Bundesverfassungsgericht die unglaublich weitreichenden Nutzungs- und Verwendungsmöglichkeiten von Internetspuren zu vermitteln".

Quelle: Bundestag beschließt neue Bestandsdatenauskunft trotz rechtlicher Einwände | heise online