NetzDG-ErweiterungWie der Staat mit Gummiparagrafen Zugriff auf die Accounts der Bürger:innen erhalten will

Die große Koalition nutzt den Kampf gegen Rechtsextremismus, um kräftig an der Überwachungsschraube zu drehen: Soziale Netzwerke sollen bald bestimmte Straftaten automatisch ans Bundeskriminalamt melden. Darüber hinaus sollen alle Anbieter von Telemediendiensten Daten ihrer Nutzer:innen an Polizei und Geheimdienste herausgeben müssen.

passwörter in grüner schrift auf schwarzem grund
Der Staat will an die Passwörter der Bürger:innen ran. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Markus Spiske

Die Bundesregierung will die Internetüberwachung massiv ausweiten. Das geht aus einem Gesetzentwurf vom 12.12.2019 (PDF) des SPD-geführten Justizministeriums hervor, der mit dem Namen „Entwurf eines Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ überschrieben ist.

Anbieter sollen in Zukunft bei bestimmten Straftatbeständen die IP-Adresse und die Portnummer an das Bundeskriminalamt (BKA) weitergeben müssen. Das setzt voraus, dass Dienstanbieter diese Daten auch speichern. Die Speicherung der Portnummer geht weit über die wegen verfassungsrechtlicher Bedenken ausgesetzte Vorratsdatenspeicherung hinaus. Beim BKA sollen dann Vorermittlungen stattfinden, beispielsweise um schnell herauszufinden, wer hinter einer IP-Adresse steckt. Danach sollen die Fälle an die zuständigen Landespolizeien weitergegeben werden.

Auch die Kochrezeptplattform soll Daten herausgeben müssen

Doch der Hammer des Gesetzes steckt in einer Änderung des Telemediengesetzes. Hier will SPD-Justizministerin Lambrecht weit über das NetzDG hinaus alle Telemediendienste – vom sozialen Netzwerk bis zur Plattform für Kochrezepte – verpflichten, Strafverfolgern und Geheimdiensten „sämtliche unternehmensinternen Datenquellen“ der Nutzer:innen auszuliefern. Bislang gab es eine ähnliche Regelung nur im TKG für Telekommunikationsdienstleister, wie zum Beispiel Internetprovider oder Telefongesellschaften.

Zwar soll die Herausgabe der Daten, zu denen auch Passwörter gehören sollen, eine richterliche Anordnung benötigen. Die Praxis zeigt aber, dass der Richtervorbehalt nur selten zur Ablehnung einer Maßnahme führt.

Betroffen sind alle Telemediendienste, die einen Dienst geschäftsmäßig betreiben: Das kann Medien wie netzpolitik.org genauso treffen wie große Podcasts oder größere Foren. Die Herausgabe der Passwörter und weiterer Daten kann laut dem Gesetzentwurf schon bei Ordnungswidrigkeiten geschehen, es bedarf nicht einmal einer Straftat. Desweiteren ist die Herausgabe auch präventiv zur Gefahrenabwehr möglich und zur Verfolgung von Urheberrechtsverletzungen.

Die Herausgabe von Daten ist gesetzlich immer von zwei Seiten aus geregelt. Auf Seite des Telemediengesetzes ist die Herausgabe der Daten im derzeitigen Gesetzentwurf sehr weit gefasst. Über die andere Seite, also die konkreten Abrufnormen, die für Polizeien und Geheimdienste geplant sind, ist bislang noch nichts bekannt.

Rechtsextremismus als Generalbegründung für mehr Überwachung

Das Telemediengesetz selbst hat auch nichts mit Hassrede oder mit Rechtextremismus zu tun, die beiden Begriffe dienen hier nur als Begründung, um die Überwachungsbefugnisse des Staates generell auszuweiten.

Problematisch an diesem Punkt ist nicht nur die Tatsache, dass der Staat hierbei sehr einfach Zugriff auf die Accounts der Bürger:innen bekommen kann, sondern dass der Gesetzesentwurf auch allen Regeln der IT-Sicherheit widerspricht. Jeder vernünftige Internetdienst speichert die Passwörter seiner Nutzer:innen nicht im Klartext ab, sondern legt diese verschlüsselt ab. Eine solche verschlüsselte Speicherung verlangt nicht nur das BSI, sondern auch die Datenschutzgrundverordnung.

„Umfassende Überwachungsrechte für den Staat“

Folglich würde diese Regelung nur bei Diensteanbietern wirken, die sich nicht an Recht und Gesetz halten – oder aber, es entsteht Druck auf alle Anbieter, die Sicherheit abzuschwächen oder andere Methoden zu entwickeln, wie sie den anfragenden Behörden Zugriff auf die Konten geben. Das wäre mit einer fatalen Schwächung der IT-Sicherheit verbunden.

Im Gesetzestext ist auch nicht eindeutig von Passwörtern die Rede, sondern von „sämtlichen unternehmensinternen Datenquellen“, was erheblichen Interpretationsspielraum lässt. Passwörter werden aber explizit in der Begründung des Gesetzentwurfes genannt.

Die Gesellschaft für Freiheitsrechte hat gegenüber netzpolitik.org angekündigt, dass sie gegen das Gesetz eine Verfassungsbeschwerde prüft. Auch Internetverbände wie eco und Bitkom sprachen sich vehement gegen die Gesetzespläne aus. Oliver Süme von eco kritisiert: „Hier geht es nicht mehr nur um die Bekämpfung von Hasskriminalität, sondern um die Einrichtung umfassender Überwachungsrechte für Staat und Behörden.“

Justizministerium wiegelt ab

Beim Justizministerium hingegen wiegelt man ab. Es gehe nicht um eine Erweiterung der Befugnisse, sondern nur um eine Präzisierung, sagte ein Sprecher des Justizministeriums am Montag in Berlin. Es sei heute schon möglich, dass man Daten von Plattformen verlangen könne. Die Herausgabe von Passwörtern werde „nur in wenigen Fällen künftig geboten sein, zum Beispiel wenn es um Terrorismus-Straftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischen Aufwand zu entschlüsseln“, sagte der Sprecher des Minsisteriums.  Eine Pflicht für die Provider, Passwörter zu entschlüsseln, gäbe es nicht und werde es auch zukünftig nicht geben.

Doch genau diese Befürchtungen nährt der bislang extrem schwammig formulierte Gesetzestext, der mit seinen Gummiparagrafen einen massiven Angriff auf die Privatsphäre darstellt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

35 Ergänzungen

  1. „Früher“ wurde dieserart tiefe Eingriffe in die Grundrechte noch damit gerechtfertigt, dass man hier sorgfältig zwischen Eingriff und der ! besonderen Schwere einer ! Straftat abwägen würde. Die Scham scheint durch zu sein, wenn jetzt noch nicht einmal mehr das Gesetz die Nutzungsoptionen einschränken soll.

    Wie lange wird es wohl dauern, würde das Vorhaben zu einem Gesetz, bis aus der unsinnigen Forderung nach gespeicherten Passwörtern jene nach Bypass-Möglichkeiten oder clientbasierten Ausleitungen als Regelfall wird?

    1. Client-basierte Ausleitung?

      Irgendwo ist dann der Gipfel… vielleicht noch ein Kästchen zum Zustimmen und eins für das Nicht-Ablehnen, für den User.

  2. Es fällt auf, dass SPD Justizminister regelmäßig liefern.
    Für öffentlich wirksame Wohltaten die der SPD zugeschrieben werden zahlt die SPD wohl gerne mit Grundrechten.
    Heiko Maas führt die VDS erneut ein, obwohl er diese vorab noch abgelehnt hat.
    Katarina Barley genehmigt Uploadfilter, obwohl im Koalitionsvertrag etwas anderes steht und 5 Mio. Unterschriften sind auch egal.
    Und nun Christine Lambrecht…

  3. Es kann tatsächlich nicht mehr um die Bekämpfung von Hasskriminalität/Rechtsextremismus im Netz gehen, denn in der Süddeutschen Zeitung steht, „Verlangen können dies alle Polizeibehörden, der Verfassungsschutz und der Bundesnachrichtendienst und auch der Zoll“ +
    „Die Unternehmen dürfen ihre Kunden nicht informieren, dass sie eine solche Passwort-Anfrage bekommen haben.“ –
    Von dem Moment an, zu dem Geheimdienste ein Passwort besitzen, ist die Beweisfähigkeit vor Gericht für alles, was dann kommt, ja unbrauchbar: ab dann könnte alles Editierte vom Geheimdienst manipuliert worden sein, der Täter ist ab dann nicht mehr verantwortlich.
    Und, wenn man tatsächlich Hass im Netz verhindern wollte, dann würde man gerade den Täter informieren, dass man mitliest und ihn für das bereits von ihm Geschriebene schon identifiziert hat.
    Was sagt Saskia Esken zur Überwachungspolitik der Christine Lambrecht (SPD) ?

    1. Richtig, und es ist auch nicht der Job der Fachpresse, sich Begründungen auszudenken.

      Im Zweifel ist es, wonach es aussieht, und wohin es nur führen kann.

      1. Wonach sieht es denn aus?

        Die Begründung des geplanten Gesetzes ist Teil des Referentenentwurfs. Kann man also dort nachlesen ;-)

    2. Worum geht es dem Staat denn Ihrer Meinung nach, wenn nicht um Hasskriminalität/Rechtsextremismus?

      Welches Interesse an der Datenerhebung bzw. -herausgabe könnte der Staat denn sonst haben?

    3. „Und, wenn man tatsächlich Hass im Netz verhindern wollte, dann würde man gerade den Täter informieren, dass man mitliest und ihn für das bereits von ihm Geschriebene schon identifiziert hat.“

      Danke für diesen Satz. „Miteinander Reden“ wäre ein balancierendes Prinzip, während die derzeitige Umsetzung ein Maulkorb für Unzufriedene oder grobschlächtige Formulierkünstler wird. Wären Menschen jetzt noch lokal isoliert, kann man fast alles mit ihnen machen, etwas weiter gesponnen, da das Internet als Kommunikationsplattform erst einmal ausfällt.

  4. Was naeher zu beleuchten waere: das soll fuer Strafverfolger und Geheimdienste gelten. Waehrend die ersteren zumindest theoretisch relativ transparent und kontrollierbar sind, sind letztere genau das Gegenteil. Und mit diesen Zugangsdaten kann als der Betroffene agiert werden, das sind ja nur Lesezugriffe moeglich.

    Gibt es einen anderen Bereich, in dem die Geheimdienste einfach mal so Daten ueber Buerger von Dritten verpflichtend einfordern koennen? Also nach Abschaffung von Stasi und Gestapo?

  5. Insgesamt werden hier gerade wieder die ganz großen
    Kaliber auf ein paar Spatzen ausgerichtet:
    Wegen einem Prozent richtig übler Zeitgenossen sollen
    die restlichen 99 % jetzt weitere staatliche
    Übergriffe erdulden, Frau Lambrecht ?
    Solch‘ krasse Unverhältnismäßigkeit ist doch sonst
    eigentlich CDU-Denke.
    Anstatt Energie mit gefährlichem Aktionismus zu
    vergeuden, ist jetzt endlich einmal die ausstehende
    Überwachungsgesamtrechnung fällig.

    Bevor die nicht vorliegt und bewertet ist, darf es
    keine weitere Demokratie-gefährdende
    Gesetzgebung geben.

  6. Also bei den Maßnahmen ist ja auch zu fragen, was diese nun nützen. Werden die Menschen besser geschützt, oder kann man Whistleblower besser plattmachen?

    Nicht dass die uns den weihnachtlichen Kurnaz wieder auflegen, während Sinn und Verstand zu Blockflöten gefrieren.

  7. „Betroffen sind alle Telemediendienste, die einen Dienst geschäftsmäßig betreiben: Das kann Medien wie netzpolitik.org genauso treffen wie große Podcasts oder größere Foren“
    2 Nachfragen:
    a) Betroffen wären doch dann ALLE Foren, deren Betreiber offen oder auch scheinbar kommerziell handeln, und nicht nur „größere“, oder? Ich finde das etwas unklar formuliert.
    b) In einem Heise-Artikel (Link unten, dort der letzte Satz des Artikels) ist explizit auch die Rede von Passwort-Managern mit Online-Synchronisierung, konkret genannt wird zB „LastPass“. Das wäre ja bzgl der Eingriffstiefe nochmal eine Stufe heftiger. – Könnt ihr das bestätigen?

    Link: https://www.heise.de/newsticker/meldung/Passwort-Herausgabe-Scharfe-Kritik-am-grossen-Lauschangriff-im-Netz-4616839.html?seite=all

    1. zu a) Im Gesetzestext ist von „geschäftsmäßigen“ Telemediendienstanbietern die Rede. Geschäftsmäßig heißt nicht unbedingt kommerziell. Also auch Non-Profit-Anbieter sind davon betroffenen und können geschäftsmäßig handeln. Bei „geschäftsmäßig“ sind in jedem Fall sehr viele betroffen.

      zu b) Kann ich dir noch nichts zu sagen.

      1. Also ich glaube Onlinedienste sind dann vorbei. Dann gibt’s halt wieder das gute Standalone Spiel mit LAN-Funktion. Sonst kommen so hardcore Rollenspieler, die ihre Rolle mit Text umgarnen, um es realistisch erscheinen zu lassen… Zack SEK.

        Die Richtung ist doch klar. Es folgen Kriminalisierung von potentiellen zukünftigen Bagatellen und mehr. Dazu kommen bald neue Adelsparagrafen (z.B. Hat Speech, Ständerecht). Das geht dann selbstredend einher mit direktem Filtereinbau und Steuererleichterungen für KI-geprüfte und für gut befundene Eheparter/innen.

        Also besser, man gibt Leuten keine Gelgenheit, etwas Dummes zu schreiben oder zu sagen. Hübsch das Köpfchen runter, zur Arbeit gehen, nicht maulen, schön konform bleiben, nicht auffallen. Fachkräfte, Integrität, Kreativität, Inspiration, sogar Kultur, können bald ausgedruckt werden. Es bedarf keiner Einmischung in Staatsangelegenheiten mehr.

  8. „Im Gesetzesentwurf ist auch nicht eindeutig von Passwörtern die Rede, sondern von „sämtlichen unternehmensinternen Datenquellen““ – doch! Ab Seite 29 geht es um den neu zu schaffenden § 15a TMG. Am Anfang von Seite 30 des Referentenentwurfes heißt es dann: „Die Regelung wird ausdrücklich auch auf Passwörter erstreckt“.

  9. Nun, das war die logische Folge des NetzDG. Auch wenn man gegen Morddrohungen oder Extremismus ist, sollte man grundsätzlich aufmerksam werden wenn das strafrechtlich verfolgt werden soll. Denn wie wir sehen bleibt es selten dabei. Dann lieber keine Strafverfolgung.

    1. Also ein Open-Source-Revival ist mir mal gescheitert, weil ein Troll o.ä. sich beim Skype Support am TELEFON als einer der Mitdenker ausgegeben hatte, und damit dessen Account hat übernehmen können […]. Es war eine lose Sache, aber ich stelle mit das für die Zukunft so vor, dass der Staat ohne Aufforderung, aufgrund der Erwähnung solchen Umstandes irgendwo in den „Social Media“, Ermittlungen aufnimmt, wofür, Gott weiß warum, meine Accountdaten abgegriffen und benutzt werden?

      Man kann hier frei denken, was alles Gutes dabei herauskommen könnte…

    2. Warum sollte man „grundsätzlich aufmerksam werden“, wenn Dinge, die verboten sind, strafrechtlich verfolgt werden sollen?

      Und inwiefern „bleibt es selten dabei“? Was passiert denn sonst/danach noch?

  10. Wie wird das eigentlich mit Seiten wie GitHub? Ich hätte ja wenig Lust auf einen schreibfähigen Login anderer Leute. Das wären dann ja „Möglichkeiten“, die sofern sie z.B. Microsoft nutzen würde, zum sofortigen ziemlich flächendeckenden Aus für die Plattform führen würde. GitHub ist immerhin eine Wilde Mischung von bezahlten, Umsonst-, anonymen … Repositorien und dann noch Bugtracker, Kommentare überall, Webseiten, Wiki, und letztlich auch als irgendetwas ähnliches genutzte Repositorien. Ich schreibe mal Repositorium für Halde, mir fällt gerade kein besseres Wort eine als Halde.

    Ja und wenn, dann interessiert [irgendwen] vielleicht kernel.org? Und wie darf es bitte weitergehen…

  11. Also Überwachungs- und Repressionsinstrumente ohne wirksame Kontrolle… ich weiß ja nicht.

    Vielleicht könnten nichts zu verbergen habende Clickworker eine Plausibilitätsprüfung für jeden einzelnen Zugriff, sozusagen „fein granular“, durchführen.

    Die Abschaffung der Demokratie wird hier offensichtlich zur Denial of Service Attacke auf das Verfassungsgericht. Dabei ist doch der Rechtsstaat um jeden Preis beizubehalten. Er wird im Zweifel auch in einer Republik, oder allgemein als Kleber benötigt.

  12. Bin ja gespannt, wie Frau Esken auf den Gesetzentwurf reagiert. Darf ich darauf hinweisen, dass Frau Eskens Website kürzlich (unter Anderem) derart angepasst wurde, dass der Abschnitt über den „Ausschuss für Inneres und Heimat“ sowie der Abschnitt „Als Digitalpolitikerin…“ unter „Über mich“ -> „Meine Standpunkte“ gestrichen wurden, in denen ihre digitalpolitischen Wertevorstellungen dargelegt wurden? Alte archivierte Versionen finden sich noch im Netz. Nur so als Indiz für die weitere Richtung. Ich jedenfalls habe vollstes Vertrauen, denn die SPD hat uns noch nie verraten :S

  13. Stimmt es, dass wenn man in der Verarbeitung vorkommende Daten nicht erhebt, diese auch nicht an die Behörden ausgehändigt werden müssen?

    Ich argumentiere jetzt mal pseudooptimistisch: Plaintextpasswort ist zwar Teil der Verarbeitung beim Login (oder halt auch nicht, bei speziellen Systemen), aber es gibt keine „interne Datenquelle“, die dieses enthält, zudem werden diese Daten nicht „erhoben“.

    Passworthashes… ok. Dann gibt es eben das Passwort-Rollover für alle als Broadcast, bis die Regierung nachbessert oder klagt – der rote Knopf ist natürlich gleich neben dem Lichtschalter, zudem komme ich mindestens einmal im Monat aus Versehen dagegen.

  14. Frage zum Geltungsbereich: Während bei der EU-Urheberrechtsreform öffentliche Seiten mit anonymem Zugang im Fokus gestanden zu haben scheinen, wirkt dieses auch z.B. auf Dienste, die nur nach Login zugänglich sind?

    Beispiele:
    – Streamingplattform (idealisisert/vereinfacht, ohne Anfixen).
    – Privates Forum.
    – Eine Seite mit zu Teilen öffentlichen aber auch privaten Abschnitten eines Forums.

    Erfassungsbereich:
    – Forum/Webseite mit Spenden.
    – Forum eines kommerziellen Anbieters von etwas anderem (Hilfeforum, Hangout area).

  15. Die Datenherausgabe betrifft nur die Personen, bzgl. derer ermittelt wird?

    Eigentlich liest es sich so, allerdings sind Änderungen und Juristensprache enthalten, so dass es nicht allgemein offensichtlich ist. Wir haben ja schon trojanische Paragraphen und Änderungsanträge Huckepack mit unbeteiligten Gesetzen gesehen, wundern würde es mich daher nicht…

    1. Davon ist nicht auszugehen: es geht um den Zugang zu Beweisen, schon jetzt finden Hausdurchsuchungen auch regelmaessig bei Zeugen statt.

  16. Dass Passwörter an Behörden rausgegeben werden ist längst so. Die gelten nämlich als Teil der Bestandsdaten und fallen damit unter die Bestandsdatenauskunft.

  17. Macht eine Datenauskunft über eure Daten beim BKA:
    ES STEHT JEDEM ZU !!!

    Da die Auskunft nur an den tatsächlich Berechtigten erteilt werden darf, hat das BKA die Identität des Auskunftssuchenden zu überprüfen und dafür Sorge zu tragen, dass auch nur dieser die Auskunft erhält. Wenden Sie sich als Betroffener bitte mit folgenden Unterlagen postalisch an das BKA:

    eigenhändig unterzeichnetes (formloses) Auskunftsersuchen
    gut leserliche Kopie eines aktuellen Ausweisdokuments.

    Der Bescheid geht Ihnen sodann als Einschreiben eigenhändig zu.

    Anschrift:
    Bundeskriminalamt
    ZV34 – Petenten,
    65173 Wiesbaden

  18. Es gibt einige Personen mit dem nPA (nPA = neuer Personalausweis),
    die das Prozedere mit der Kopie leider NICHT machen dürfen (steht so im nPA-Gesetz),
    aber bei denen eine Onlineausweisfunktion hätte nutzbare Sache sein können.

    Daher unsere Empfehlung: statt Kopie einsenden: Gegenüber bitten, die Onlineausweisfunktion einem VOLLSTÄNDIG zu erklären und zudem eine Personalausweisapp-Anbindung anfragen.

    Rest darf hier leider durch diese Personengruppe NICHT gemacht werden aus rechtlichem Grund. Vielen Dank.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.