Noch mehr freie Hand: Geheimdienstlicher Zugriff auf die Vertrauensdienste

Das Signaturgesetz wird abgelöst. In Zukunft wird das Vertrauensdienstegesetz eine EU-Verordnung zur elektronischen Identifizierung umsetzen. Auch über dieses Gesetz werden sich die deutschen Geheimdienste freuen: Sie dürfen bei den Vertrauensdiensten personenbezogene Daten anfragen und müssen Betroffene praktisch gar nicht mehr informieren.

Das kommende Vertrauensdienstegesetz regelt Anforderungen an elektronische Vertrauensdienste, wozu etwa elektronische Signaturen oder Siegel zählen. CC BY-NC-SA 2.0, via flickr/Jason Michael

Dieser Artikel ist ein Gastbeitrag von Haley F. Sanders

An diesem Freitag findet im Bundesministerium für Wirtschaft und Energie ab 10:30 Uhr eine mündliche Anhörung von Verbänden und Fachkreisen zu einem Referentenentwurf statt. Dieser Entwurf soll das regeln, was die EU-Verordnung Nr. 910/2014 – die sogenannte eIDAS-Verordnung über „elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ – noch offen lässt oder was nationalstaatlich auslegungsbedürftig erscheint. Gleichzeitig soll damit das seit Jahren geltende Signaturgesetz endgültig beerdigt werden.

Die eIDAS-Verordung gilt seit dem 01. Juli 2016 und regelt EU-weit einheitlich die Anforderungen an elektronische Vertrauensdienste. Dazu zählen: elektronische Signaturen, Siegel, Zeitstempel, Zustelldienste und die Webseitenauthentifizierung. Vorgebliches Ziel war, das Vertrauen der EU-Bürger in die grenzüberschreitende Anwendung elektronischer Dienste und damit den digitalen Binnenmarkt zu stärken. Doch auch die Geheimdienste und andere Bedarfsträger können sich über neue Datenquellen freuen.

Siegel soll Unternehmen und Behörden entlasten

Die Bundesregierung in Gestalt des federführenden Bundesministeriums für Wirtschaft und Energie plant daher zweierlei: einerseits sollen mit dem Vertrauensdienstegesetz die Zuständigkeiten und Befugnisse der beteiligten Behörden geregelt und die eIDAS-Verordnung im „unionsrechtlich zulässigen Umfang“ präzisiert werden. Andererseits müssen für den Wegfall des Signaturgesetztes vorhandene Verweise in anderen Gesetzen angepasst werden. Außerdem will das Ministerium erstmals Anwendungsmöglichkeiten für das elektronische Siegel schaffen.

Das Siegel soll personenunabhängig ermöglichen, rechtsverbindlich die Unversehrtheit von Daten und die Richtigkeit ihrer Herkunft zu beweisen, was bisher qualifizierten elektronischen Signaturen vorbehalten war. Man erhofft sich dadurch im Zuge der fortschreitenden Digitalisierung eine erhebliche Entlastung für Unternehmen und Behörden.

Geheimdienste dürfen Daten bei Vertrauensdiensten anfragen

Doch im Entwurf für das neue Vertrauensdienstegesetz stecken die gleichen Problemklauseln, die bereits das alte Signaturgesetz für die hiesigen Geheimdienste vorgesehen hatte. So soll laut noch nicht veröffentlichtem Referentenentwurf der neue § 7 Vertrauensdienstegesetz – zynischerweise unter der Überschrift „Datenschutz“ – lauten:

(1) Der Vertrauensdiensteanbieter nach Artikel 3 Nummer 16 der Verordnung (EU) 910/2014 darf personenbezogene Daten nach diesem Gesetz nur unmittelbar bei der betroffenen Person selbst erheben und nur insoweit verarbeiten, als dies für die Erbringung des jeweiligen Vertrauensdienstes erforderlich ist. Eine Datenverarbeitung bei Dritten ist nur mit Einwilligung der betroffenen Person zulässig. Für andere als die in Satz 1 genannten Zwecke dürfen Daten nach diesem Gesetz nur verwendet werden, wenn dieses Gesetz es erlaubt oder die betroffene Person eingewilligt hat.

(2) Der Vertrauensdiensteanbieter hat personenbezogene Daten einer Person, die Vertrauensdienste nutzt, den zuständigen Stellen auf Ersuchen zu übermitteln,

  1. soweit die Übermittlung erforderlich ist für die Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes, des Militärischen Abschirmdienstes oder der Finanzbehörden oder
  2. soweit Gerichte die Übermittlung im Rahmen anhängiger Verfahren nach Maßgabe der hierfür geltenden Bestimmungen anordnen.

Die Pflicht zur Datenübermittlung nach Satz 1 Nummer 1 gilt nicht, soweit sie durch andere Gesetze ausdrücklich ausgeschlossen ist.

(3) Die Vertrauensdiensteanbieter haben die Übermittlung zu dokumentieren. Die Dokumentation ist zwölf Monate aufzubewahren.

(4) Die ersuchende Behörde hat die betroffene Person über die Übermittlung der Daten zu unterrichten. Von der Unterrichtung kann abgesehen werden, solange die Wahrnehmung der gesetzlichen Aufgaben beeinträchtigt würde oder das Interesse der betroffenen Person an der Unterrichtung nicht überwiegt.

(5) Die allgemeinen Datenschutzanforderungen bleiben unberührt.

Benachrichtigungspflicht wird ausgehöhlt

Die bisher ohnehin lasche Benachrichtungspflicht wird durch die neue Formulierung im vierten Absatz noch absurder. Das Signaturgesetz sah hier vor:

Die ersuchende Behörde hat den Signaturschlüssel-Inhaber über die Übermittelung der Daten zu unterrichten, sobald dadurch die Wahrnehmung der gesetzlichen Aufgaben nicht mehr beeinträchtigt wird oder wenn das Interesse des Signaturschlüssel-Inhabers an der Unterrichtung überwiegt.

Diese durchaus verständliche Logik, das insbesondere bei einem überwiegenden Interesse des/der Betroffenen unterrichtet wird, zum Beispiel weil dadurch seine/ihre Pseudonyme oder möglicherweise sogar geheime Schlüssel in die Verfügungsgewalt staatlicher Stellen gelangen, wird durch die neue Formulierung auf den Kopf gestellt.

Es ist also davon auszugehen, dass zukünftig – mindestens durch die Geheimdienste, möglicherweise aber auch durch zugangsbefugte Gefahrenabwehr- und Strafverfolgungsbehörden – überhaupt keine Unterrichtung mehr geschieht. Nach diesem datenschutzfeindlichen Missgriff ist nicht verwunderlich, dass für Verstöße gegen einzelne Absätze des oben zitierten Paragrafen natürlich keine Bußgeld- oder Strafvorschriften vorgesehen sind.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Naja, Geheimdienstmitarbeiter sind ja auch die Einzigen, die nicht zur Wahl gehen können – mangels Zustellung der Unterlagen an eine gemeldete Adresse. Oder so? Auf jeden Fall braucht nicht demokratisch denken, wer gar nicht in das demokratische System eingebunden werden kann? Oder?

    1. Ist ein interessanter Punkt: Wählt ein Geheimdienstmitarbeiter unter seiner Tarnidentität begeht er eine Wahlfälschung. Ich sehe schon die Extremisten auf einer Art Identity-Check-Party gegenseitig ihre Wahlbenachrichtigungen vorzeigen, ihre Briefwahlunterlagen anfordern & absenden.

    1. Na sicher! Die Dienste möchten die Terroristen befragen und nicht beim Befragen töten!
      Wenn die Dienste z.B. über ein Herzleiden Bescheid wissen, können sie die Befragungsmethoden entsprechend anpassen, damit die Befragung eine optimale Zeitspanne betragen kann!

  2. Wenn die Terroristen nicht erfahren, das sie überwacht werden, werden sie sich wie Terroristen bewegen und somit auch Fehler machen … und wenn man als Dienst die Fehler ausnutzen kann, dann werden diese das auch tun!
    Politiker werden erpresst … Bürger werden erpresst, als Spitzel zu fungieren … joa, wer da an die DDR denkt hat völlig unrecht, wir leben in einem Rrrrechtssss’staat, in dem die Dienste freie HAnd haben … wie unter Adolf und Erich!
    Egal ob jetzt Faschismus oder Sozialismus … Überwachung war damals nicht schlecht und für eine Demokratie wie die unsere sicher eine optimale Sache … weil Humaner geregelt!

  3. Ach bald werden andere und ich den BND DDosen mal sehen was die Hampelmänner aushalten,
    für mich als nicht Deutscher wurscht der BND geht mich nix an.

    :)

  4. Wissen endet dort, wo Vertrauen beginnt.

    Doch Vertrauen ist im Internet und bei elektronischer Kommunikation nicht angebracht.

    Wem oder was kann man noch Vertrauen, wo jene, die vertrauen regelmäßig hinter die Fichte geführt werden?

    Was nützt Vertrauen, wenn es durch Überwachung hintertrieben wird?

  5. Damit ist der „Vertrauensdienst“ DE-Mail offiziell jetzt auch gestorben!
    Siehe https://www.berlin.de/sen/inneres/moderne-verwaltung/e-government/vertrauensdienste/
    Man sollte den Blick bei der Webseite nach rechts oben wenden. Da steht Senatsverwaltung für Inneres und Sport.
    In dieser Abteilung ist auch der Berliner Verfassungsschutz eingegliedert!!! Also für für mich kommt z.B. DE-Mail und dergleichen generell nicht mehr in Betracht. Staatliche Onlineverfahren für die Verwaltung werde ich, solange diese Gesetze so vorherrschen, auf jeden Fall boykottieren.

  6. Wie der Autor des Artikels berichtet, handelte es sich um den Referentenentwurf, der bei diesem Termin besprochen und auch kommentiert wurde. Und wir als geladene Teilnehmer, weil wir einer der akkreditierten Zertifizierungsdiensteanbieter sind, haben uns sowohl bei dem Termin mündlich als auch vorab schriftlich explizit gegen diese Version des Datenschutzartikels ausgesprochen. Bin gespannt, was letztlich dabei herumkommt…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.