ReferentenentwurfRecht auf Verschlüsselung geplant

Das Bundesministerium für Digitales und Verkehr (BMDV) hat einen Referentenentwurf erarbeitet, der bei Messengern und Clouddiensten in Zukunft die Ende-zu-Ende-Verschlüsselung verpflichtend machen soll. Wir veröffentlichen den Entwurf im Volltext.

Schlüssel auf Platine
Wenn es nach dem BMDV geht, sollen in Zukunft Messenger und Clouddienste standardmäßig verschlüsselt sein. (Symbolbild) – Alle Rechte vorbehalten IMAGO / IlluPics

Im Koalitionsvertrag hatte die Ampel ein „Recht auf Verschlüsselung“ festgeschrieben, nun hat das Bundesministerium für Digitales und Verkehr (BMDV) in der vergangenen Woche einen Referentenentwurf in die Ressortabstimmung gegeben, in welchem Verschlüsselung gestärkt werden soll.

In diesem Entwurf, den wir im Volltext veröffentlichen, wird das Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) ergänzt. Mit der Ergänzung sollen einerseits nummernunabhängige interpersonelle Telekommunikationsdienste dazu verpflichtet werden, ihre Telekommunikationsdienste als Standard mit einer Ende-zu-Ende-Verschlüsselung anzubieten. Gemeint sind damit etwa E-Mail, Messenger wie WhatsApp oder Signal und andere Chatdienste.

Ähnliches soll für Cloud-Dienste gelten, bei denen Nutzer:innen ihre Daten speichern können. Sie zählen als Telemediendienste, für die das Fernmeldegeheimnis nicht gilt. Hier müssten, wenn das Gesetz so kommen würde, Dienstleister in Zukunft eine Möglichkeit zur Ende-zu-Ende-Verschlüsselung anbieten.

Nutzer:innen sollen Ende-zu-Ende-Verschlüsselung überall da nutzen können, „wo es technisch möglich ist“. Das sei derzeit noch nicht der Fall, heißt es in der Begründung: „Obwohl die Ende-zu-Ende-Verschlüsselung inzwischen Branchenstandard ist, setzen einzelne Messenger-Dienste die Ende-zu-Ende-Verschlüsselung nicht oder nur bei bestimmten Funktionen ein, ohne dass das mit technischen Restriktionen begründet werden kann.“ Dazu zählt etwa der Messenger Telegram, wo eine Ende-zu-Ende-verschlüsselte Kommunikation in Gruppenchats nicht angeboten wird.

Das Recht auf Verschlüsselung erhöhe die Akzeptanz für eine verbreitete Anwendung von Verschlüsselungstechnologien in der Bevölkerung, Wirtschaft wie auch öffentlichen Institutionen, heißt es im Referentenentwurf: „Es handelt sich um einen essentiellen Beitrag zur Gewährleistung der Grundrechte auf Gewährleistung des Fernmeldegeheimnisses sowie der Vertraulichkeit und Integrität informationstechnischer Systeme und zur Cybersicherheit“.

Schutz des digitalen Briefgeheimnisses

Der digitalpolitische Sprecher der FDP-Bundestagsfraktion, Maximilian Funke-Kaiser, begrüßt das Vorhaben mit Verweis auf die Chatkontrolle als Vorbeugung gegen zukünftige Angriffsversuche auf das digitale Briefgeheimnis. „Nutzern von Messenger-, E-Mail- und Clouddiensten gewähren wir das Recht, ihre Kommunikation und Datenübertragung stets Ende-zu-Ende-verschlüsselt zu übertragen, und verpflichten Anbieter, diese Option anzubieten. Auf diese Weise steigern wir die Akzeptanz für die Nutzung von Verschlüsselungstechnologien und schützen das digitale Briefgeheimnis jedes einzelnen Bürgers“, so Funke-Kaiser gegenüber netzpolitik.org.

Der Jurist Dennis-Kenji Kipker von der Universität Bremen hingegen ist noch nicht überzeugt. Er bezeichnet den Entwurf als „eher PR-Maßnahme als nachhaltige Stärkung der Cybersicherheit für alle“. Der Gesetzentwurf erhalte vor allem „eine Unterstützungsleistung für technische Maßnahmen, die Nutzer:innen eigentlich aber selbst ausführen müssen.“

Inwieweit der Referentenentwurf es auch wirklich in absehbarer Zeit zum Gesetz schafft, ist noch nicht absehbar. Als nächstes muss sich das Bundeskabinett einigen, dann geht der Entwurf in den Bundestag. Gegenwind könnte vor allem aus Faesers Bundesinnenministerium kommen.

20 Ergänzungen

  1. „nummernunabhängige interpersonelle Telekommunikationsdienste“ – genau mein Humor, da WhatsApp und Signal nummernabhängig sind …

    1. Und was heißt „als Standard […] anbieten“ in dem Kontext? Standardmäßig aktiviert oder nur „ist möglich“? Bei E-Mail gibt es die Möglichkeit zur E2E-Verschlüsselung mit PGP und S/MIME schon seit Jahrzehnten, wird nur kaum genutzt, da vor allem PGP ja immer als ach so kompliziert verschrien ist. Von den großen, derzeit relevanten Messengern fallen mir als Beispiele ohne Telefonnummernpflicht nur Threema, Telegram und Discord ein, von denen nur Letzteres gar keine E2E-Verschlüsselung anbietet. Ich fände ein E2E-verschlüsseltes Discord absolut überfällig, aber bis heute hat man es nicht geschafft, den Messenger auch nur zur DSGVO-Konformität zu verpflichten.

      Von der Möglichkeit, seine Schlüssel selbst zu managen z. B. mit QR-Code-Scans, ist auch mit keinem Wort die Rede, obwohl das für die Vertrauenswürdigkeit wesentlich ist. Ist bei E2E-verschlüsselten Diensten auch alles andere als eine Selbstverständlichkeit.

    2. Ja stimmt, obwohl ja es bei beiden auch ohne gehen würde. Die Telefonnummern dienen ja nur zur Identifikation und werden für die Verbindungsaufnahme nicht direkt benötigt oder „gewählt“.

      1. https://www.bundesnetzagentur.de/cln_1931/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Nummerierung/Rufnummern/Rufnummern_node.html

        Die Bundesnetzagentur nimmt die hoheitliche Aufgabe der Nummerierung wahr. Sie strukturiert und gestaltet den Nummernraum, um den Anforderungen von Endnutzern, Betreibern von Telekommunikationsnetzen und Anbietern von Telekommunikationsdiensten zu genügen.

        Nummern sind Zeichenfolgen, die in Telekommunikationsnetzen der Adressierung dienen. Die Gesamtheit aller Nummern, die für eine bestimmte Art der Adressierung verwendet werden, wird als Nummernraum bezeichnet. Nummern werden in Rufnummern und Technische Nummern unterschieden:

        Für nummernunabhängige interpersonelle Telekommunikationsdienste >> OTT Dienste << nimmt die
        Bundesnetzagentur bisher nicht die hoheitliche Aufgabe der Nummerierung wahr.

        Ob sich dieses Verfahren noch ändert, wird sich erst in einigen Jahren abschliessend klären lassen. Die IPv6 Networks bieten aber einen Nummernraum von 18,446,744,073,709,551,616 individuellen IPv6 Adressen (Technische Nummern:). Gewissermassen ist dann "von der Wiege bis zur Bahre" eine schnelle und einfache Identifikation des Teilnehmers möglich und auch die Aufwände zur Verarbeitung von Verkehrs-, Standort-, Bestands- und Nutzungsdaten zur Erfüllung der Pflichten nach der Verordnung (EU) 2023/1543 werden sich dann erheblich vereinfachen lassen.

        https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32023R1543

  2. Dann muss das auch für sehr persönliche Verfahren wie Bewerbungen gelten. Das ist schon lange überfällig. Eine Bewerbung – wie so oft als Standard praktiziert – als pdf-Anhang einer unverschlüsselten Mail zu versenden bzw. versenden zu müssen, ist vom Sicherheitsaspekt wie von der Privatsphäre her betrachtet ein No go!

  3. Ich muss mich hier der Meinung von Herr Kipner aus Bremen anschließen: ein „Recht die Haustüre abzuschließen“ wird kaum große Veränderung bringen. Weder Hausbesitzer noch Einbrecher werden darüber ihr Verhalten ändern.
    Ergo: Wenn es keine Vorschrift für Diensteanbieter wird dann wird kaum ein Nutzen für den Bürger eintreten. Und wenn eben gleichzeitig an anderer Stelle ein Bruch der Verschlüsselung diskutiert wird („Chatkontrolle“) dann wird kaum Vertrauen entstehen.

    1. > dann wird kaum Vertrauen entstehen.

      Eine Technologie ist erst dann vertrauenswürdig, wenn kein Vertrauen erforderlich ist.

      Ein Beispiel: „Vertrauen in die Luftfahrt“ ist eine Aufforderung zu glauben, dass Wahrscheinlichkeiten für die eigene Person günstig ausgehen. Luftfahrt als Technologie ist so richtig komplex, dass ein Glauben (!sic) bei Nutzung unvermeidlich ist. Es ist nicht die Technologie, sondern Menschen, die vertrauenswürdig sein müssen. Auch Materialbruch ist auf menschliche Entscheidungen zurückzuführen, soweit es einen Wissensstand bei Planung gab.

      Zum Vertrauen in der Informationstechnologie: Da bleibt kaum mehr übrig, als das Vertrauen in die Gültigkeit von Mathematik. Dort wo mit Wahrscheinlichkeiten gearbeitet wird, beginnt das Glücksspiel.

  4. Wohltuend endlich mal wieder etwas zum Thema „Vernunft“ in der Digitalpolitik zu lesen. Gibt es im Browser noch E2E-Verschlüsselung? Wie steht es da bzgl. „Qualified Certificates“ (QUACs)?

    1. Bei 90+%(?) Marktanteil einer einzigen Browser-Engine ist E2E-Verschlüsselung im Browser eine Chimäre. Es gibt überhaupt keinen Grund dem Browser zu vertrauen und keine effektiven Gegenmaßnahmen, wenn das Vertrauensverhältnis gestört ist.

      Vertraulichkeit, was ja der Zweck der Verschlüsselung ist, ist keine vordringlich technische, sondern eine organisatorische Fragestellung. Dazu gehört vor allem, „Bewegungsfreiheit“ zu behalten, wenn die bisherigen Ansätze um Vertraulichkeit herzustellen (z.B. der akt. Browser, das akt. Verschlüsselungsprotokoll) selbst nicht mehr vertrauenswürdig sind. Bewegungsfreiheit setzt echte Alternativen voraus.

      Die Antwort ist also: E2E im Browser ist so gut wie das Vertrauen in Google’s Browser.

      1. „Die Antwort ist also: E2E im Browser ist so gut wie das Vertrauen in Google’s Browser.“
        Wobei schon auch der kleine Wieselbrowser hiermit rechtlichen Schutz genießt, oder nicht?

  5. Wäre ja schön, wenn sich das durchsetzen würde.

    Nur habe ich zumindest das Gefühl, dass man außer bei der Verkündung der Punkte des Koalitionsvertrags nie mehr was davon gehört hat.

    Abgesehen davon glaube ich erst daran, wenn es eine offizielle Verkündung gibt und es gesetzlich festgeschrieben wurde.

    Man hat ja nach der Aktion vom EU-Parlament gesehen dass die Politiker ihre „Vorhaben“ auch gerne schnell wieder vergessen.
    Einerseits so tun als stünde man auf der Seite der Bürger, wollte Verschlüsselung schützen und Altersverifikation verhindern,
    Andererseits dann durch Verlängerung der freiwilligen Chatkontrolle den Befürwortern mehr Zeit verschaffen für weitere Lügen und ihnen die Möglichkeit eröffnen, es nach Scheitern immer wieder zu versuchen

    Sollte jetzt im März die Mehrheit für die verpflichtende Chatkontrolle stimmen, hat sich das Thema sowieso erledigt…

    1. Ergänzung zu meinem Kommentar 14. Februar 2024 um 07:33 Uhr

      Jetzt erst gesehen:
      https://www.patrick-breyer.de/europaeischer-menschenrechtsgerichtshof-verbietet-schwaechung-sicherer-ende-zu-ende-verschluesselung-das-aus-fuer-die-chatkontrolle/

      Oha!
      Das könnte hoffentlich ein endgültiger Wendepunkt zum Guten werden.

      Hoffentlich gibts dann aber auch jetzt endgültig mal richtig
      ernsthafte Konsequenzen für die entsprechenden Personen, wenn diese jetzt immer noch diesen Irrsinn weiter vorantreiben wollen!!!

    2. Weitere Ergänzung zu meinem Kommentar:

      Mit dem Urteil wird als weitere Konsequenz dann hoffentlich auch die Going dark- Arbeitsgruppe zerschlagen

  6. Zu diesem Thema gibt es wichtige rechtliche Entwicklungen, der Europäische Gerichtshof für Menschenrechte hat ein großes Urteil gefällt.

    „European Court of Human Rights delivers a landmark ruling that data retention is unlawful, and end-to-end encryption is upheld as a right in a democratic society.“

    Was der EGMR entscheidet, kann der EuGH nicht ignorieren: https://hudoc.echr.coe.int/eng/?i=001-230854#{%22itemid%22:[%22001-230854%22]}

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.