Verbraucherschützer sehen große Schwierigkeiten

Nach Ansicht von Verbraucherschützern wäre es aber für die Betroffenen sinnvoll, auch das Passwort des gehackten Onlinekontos zu kennen. "Gerade wenn ein Verbraucher für unterschiedliche Dienste unterschiedliche Passwörter verwendet, ist er nun in der misslichen Lange nicht zu wissen, welches Passwort er ändern muss", sagte Florian Glatzner vom Bundesverband der Verbraucherzentralen (vzbv) auf Anfrage von Golem.de. Allerdings rechnet er mit beträchtlichen Problemen bei der Herausgabe eines Passwortes durch die Behörden.

Für die betroffenen Nutzer sei es oftmals schwierig, "zweifelsfrei nachzuweisen, dass sie tatsächlich der rechtmäßige Inhaber einer bestimmten Mailadresse sind". Zudem dürfte das Passwort nicht im Klartext per Mail versendet werden. "Beide Anforderungen dürften nur in Ausnahmefällen und mit einem erheblichen Aufwand zu erfüllen sein", sagte Glatzner. Das Bundesinnenministerium sieht ebenfalls praktische Probleme, "missbräuchliche Auskunftsersuchen durch Trittbrettfahrer zu verhindern". Da in vielen Fällen der Account selber als kompromittiert gelten müsse, stelle die Zugriffsmöglichkeit auf die E-Mail allein keinen Nachweis der Verfügungsberechtigung dar.

Nach Angaben des E-Mail-Anbieters Web.de spricht datenschutzrechtlich "nichts dagegen, berechtigten Accountinhabern zu bescheinigen, dass sie Inhaber des Accounts sind". Hierfür gebe es aber keinen standardisierten Prozess, weil es dafür keine Nachfrage gebe, sagte ein Pressesprecher auf Anfrage. Es ist aber wohl wenig wahrscheinlich, dass der unberechtigte Nutzer eines Kontos beispielsweise über eine reguläre Postadresse ein Passwort anfordert, das er ohnehin gehackt oder illegal beschafft hat. Letzten Endes könnten die betroffenen Nutzer mit Hilfe der Passwörter der Staatsanwaltschaft auch helfen, den Hack ihrer Daten einzugrenzen und damit die Ermittlungen unterstützen.

Staatsanwaltschaft lehnt jede Auskunft ab

Auf solche Überlegungen will sich die Staatsanwaltschaft in Verden aber gar nicht erst einlassen. Zunächst weist sie darauf hin, dass in diesem Fall nicht das Bundesdatenschutzgesetz, sondern die Strafprozessordnung relevant sei. Laut Paragraf 475 können Personen bei berechtigtem Interesse Auskunft aus Akten erhalten. Die Staatsanwaltschaft lehnt die Auskunft aber mit Hinweis auf einen "unverhältnismäßigen Aufwand" ab. Eine alternative Akteneinsicht durch einen Anwalt, wie sie der Paragraf vorsieht, sei technisch nicht möglich. Eine "entsprechende Aufarbeitung der Daten ist in einem Verfahren gegen unbekannte Täter jedenfalls zurzeit für Zwecke des Ermittlungsverfahrens nicht erforderlich", heißt es.

Auch aus den Paragrafen 487 Absatz 2 und 491 der Strafprozessordnung ergeben sich Ansprüche auf Datenauskunft. Diese seien auf die vorliegende Datenbank jedoch nicht anwendbar, sagt Sprecher Gaebel. Wobei die Staatsanwaltschaft keinerlei Fakten zu der Datenbank preisgeben will. Nicht einmal, welcher konkrete Aufwand mit einer Auskunft aus den Daten verbunden wäre.

Datenschützer haben keine Bedenken

Nach Ansicht des zuständigen Datenschutzbeauftragten von Niedersachsen ist dieses Vorgehen nicht zu beanstanden. Die Behörde prüfte auf Anfrage von Golem.de die Angaben der Ermittlungsbehörde und "sieht keinen Grund, an den Ausführungen der Staatsanwaltschaft etwas auszusetzen". Wie hoch der Aufwand tatsächlich sei, ein Passwort aus der Datenbank auszulesen, könne auch nicht überprüft werden. Sollte ein Betroffener einen Antrag auf Auskunft stellen und dieser abgelehnt werden, stehe jedoch der Rechtsweg offen.