Chat icon front of blackboard

© Getty Images/iStockphoto / StockFinland/iStockphoto

Netzpolitik
12/17/2019

Deutsche Justiz will Passwort-Herausgabe von Facebook und Co

In Deutschland will die Justiz im Kampf gegen Hass im Netz Online-Dienste zur Herausgabe von Passwörtern an Behörden verpflichten.

von Barbara Wimmer

Hass im Netz ist ein Phänomen, das man nicht nur in Österreich bekämpfen will. Im Oktober hatte das deutsche Kabinett beschlossen, ein „Maßnahmenpaket gegen Hasskriminalität und Rechtsextremismus“ umsetzen zu wollen. Am Freitag wurden die Pläne der SPD-Justizministerin Christine Lambrecht nun erstmals präsentiert.

Der Entwurf des Gesetzesvorhabens sieht vor, dass Anbieter von Telemediendiensten sogenannte Bestandsdaten bei Auskunftsersuchen von Behörden herausgeben. Anbieter sollen in Zukunft bei bestimmten Straftatbeständen die IP-Adresse an das Bundeskriminalamt (BKA) weitergeben müssen. Doch das ist nicht alles.

Was genau darunter fällt

Telemediendienste sollen auch „sämtliche unternehmensinterne Datenquellen“ der Nutzer zur Verfügung stellen. Darunter fallen neben Session Cookies auch Online-Passwörter. Neben der Herausgabe von Online-Passwörtern soll auch der Zugang zu externen Speichermedien wie mobilen Endgeräten oder Cloud-Diensten ermöglicht werden, heißt es in dem Entwurf (PDF).

Unter Telemediendienste fallen laut der Definition alle, die einen Dienst "geschäftsmäßig betreiben": Das sind Soziale Netzwerke wie Facebook, Twitter, aber auch Spiele-Apps, Chatdienste oder Anbieter von Dating-Diensten wie Tinder sowie Suchmaschinenbetreiber. Es können aber auch Online-Medienanbieter sein, sowie Podcasts und Online-Foren.

"Die Herausgabe der Passwörter und weiterer Daten kann laut dem Gesetzentwurf schon bei Ordnungswidrigkeiten geschehen, es bedarf nicht einmal einer Straftat. Desweiteren ist die Herausgabe auch präventiv zur Gefahrenabwehr möglich", schreibt netzpolitik.org.

Richterliche Anordnung

„Um Täter identifizieren zu können, müssen Staatsanwaltschaften von Internetplattformen Daten herausverlangen können, sagte der Sprecher. Im Einzelfall ist es auch erforderlich, auf einen Account zugreifen zu können. Das ist auch heute so nach geltendem Recht“, heißt es seitens des Justizministeriums als Begründung.

Zwar soll die Herausgabe der Daten laut dem Entwurf teilweise eine richterliche Anordnung benötigen. Dieser wird in den meisten Fällen aber stattgegeben, wie die bisher gängige Praxis in Deutschland laut Aussagen von Beobachtern zeigt. Neben Polizei und Geheimdiensten sollen zudem auch Zoll und Ämter, die Schwarzarbeit bekämpfen, diese Daten anfordern können.

"Umfassende Überwachungsrechte"

Der Gesetzesentwurf erntete massive Kritik. Branchenverbände kritisierten die Pläne als unverhältnismäßige Eingriffe in die Privatsphäre der Nutzer. „Dem Entwurf zufolge würde dies bedeuten, dass Online-Dienste Passwörter und Verkehrsdaten im Klartext speichern müssen“, so der Cyber-Sicherheitsrat Deutschland e.V. „Unverschlüsselte Passwörter würden die Cybersicherheit in die Steinzeit zurück katapultieren. Stattdessen brauchen wir realistische gesetzliche Lösungen“, so Hans-Wilhelm Dünn, Präsident des Vereins.

„Hier geht es nicht mehr nur um die Bekämpfung von Hasskriminalität, sondern um die Einrichtung umfassender Überwachungsrechte für Staat und Behörden“, warnte der Vorsitzende des Verbandes der Internetwirtschaft eco, Oliver Süme. Auch der Digitalverband Bitkom und der Bundesverband Digitale Wirtschaft (BDVW) wandten sich gegen das Vorhaben. "Das jetzt vorgestellte Gesetz wirft Grundwerte über Bord, die unser Zusammenleben online wie offline seit Jahrzehnten prägen", sagte der Digitalverband Bitkom.

openHPI schärft Blick der Internet-Nutzer für Trolle

Nur "Präzisierung"

Das deutsche Justizministerium verteidigt den vorgelegten Entwurf unterdessen erneut. Es gehe schließlich nur um eine „Präzisierung“ der bisherigen Befugnisse. „Dass Staatsanwaltschaften Passwörter von Diensten herausverlangen, wird nur in wenigen Fällen künftig geboten sein, zum Beispiel wenn es um Terrorismus-Straftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischen Aufwand zu entschlüsseln“, sagte der Sprecher des Justizministeriums. „Eine solche Pflicht für die Provider, Passwörter zu entschlüsseln, wenn Staatsanwaltschaften sie dazu auffordern, gibt es nicht und wird es auch künftig nicht geben.“

"Problematisch an diesem Punkt ist nicht nur die Tatsache, dass der Staat hierbei sehr einfach Zugriff auf die Accounts der Bürgerinnen und Bürger bekommen kann, sondern dass der Gesetzesentwurf auch allen Regeln der IT-Sicherheit widerspricht", heißt es seitens netzpolitik.org.

Der Punkt, wie sich das Justizministerium die Herausgabe der Passwörter in der Praxis vorstellt, bleibt jedoch komplett unklar und lässt damit auch Interpretationsspielraum offen. Passwörter müssen nämlich von Plattformen verschlüsselt gespeichert werden. Das sieht die Datenschutzgrundverordnung (DSGVO) vor. Somit dürfte dieser Passus an und für sich nur für Dienste gelten, die sich nicht an die Gesetze halten. Auch die Vorgaben des Bundesamts für Sicherheit und Informationstechnik (BSI) für Cloud-Dienste sehen vor, dass Passwörter verschlüsselt gespeichert werden müssen.

Wenn die Passwörter verschlüsselt gespeichert werden - und Behörden davon ausgehen, dass sie diese knacken können, bleibt immer noch die Zwei-Faktor-Authentifizierung übrig, die viele Nutzer verwenden, um sich vor verdächtigen Aktivitäten ihrer Accounts zu schützen.

"Problematischer Punkt"

Die neue SPD-Chefin Saskia Esken sieht noch „Gesprächsbedarf“ bei Plänen des Bundesjustizministeriums, Online-Dienste zur Herausgabe von Passwörtern zu verpflichten. Esken sagte, bei der Frage, ob Bestandsdaten, insbesondere unverschlüsselte Passwörter, weitergeben werden sollten, sei man noch in der Debatte. „Das ist tatsächlich ein problematischer Punkt.“

Laut Esken gehe es beim dem Gesetzesvorhaben nicht darum, Anbieter zu zwingen, Passwörter unverschlüsselt zu speichern. „Aber bei manchen Anbietern sind sie eben unverschlüsselt gespeichert“, so die Digitalpolitikerin. „Das gehört sowieso verboten“, sagte sie. Bei dem Thema müsse noch einmal genau hingesehen werden. Dass die Plattformen bei der Bekämpfung strafbarer Inhalte aber insgesamt stärker in die Verantwortung genommen werden sollten, sei richtig - etwa mit der Löschung entsprechender Inhalte, sagte Esken.

Registrierungspflicht in Österreich

In Österreich will man ebenfalls gegen Hass im Netz vorgehen. Die ehemalige schwarz-blaue Regierung  hatte dazu ein Gesetz geschaffen, das unter dem Schlagwort „digitales Vermummungsverbot“ bekannt geworden war. Dieses sieht vor, dass Postings in Foren oder Online-Netzwerken zwar weiterhin unter einem Pseudonym möglich sein sollen, allerdings müssen die Betreiber von Foren die Identität des Posters überprüfen und bei begründeten Anfragen auch bekannt geben. Wer posten möchte, muss einen Registrierungsprozess durchlaufen. Das Vorhaben hätte eigentlich ursprünglich 2020 starten sollen, wurde aber noch nicht vom Nationalrat beschlossen.