Internetdienste: Ermittler sollen leichter an Passwörter kommen

Die Bundesregierung will alle Internetdienstleister zur umfassenden Kooperation mit den Ermittlungsbehörden und Geheimdiensten verpflichten. Das geht aus einem Gesetzentwurf des Bundesjustizministeriums hervor, der am 12. Dezember 2019 bekanntwurde. Demnach sollen alle Anbieter von Telemediendiensten, wozu Mailprovider, Medien, Forenbetreiber oder soziale Netzwerke zählen, dazu verpflichtet werden, auf Verlangen die Bestands- und Nutzungsdaten ihrer Nutzer herauszugeben. "Dies gilt auch für Bestandsdaten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", heißt es in dem Gesetzentwurf (PDF).

Die neue Rechtsgrundlage findet sich in einem Gesetzentwurf "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität". Damit sollen soziale Medien wie Facebook oder Twitter verpflichtet werden, offensichtlich rechtswidrige Inhalte nicht nur zu löschen, sondern auch den Behörden zu melden. Die geplanten Änderungen beim Telemediengesetz (TMG) beziehen sich aber nicht nur auf Rechtsextremismus und Hasskrimininalität, sondern allgemein auf "Verfolgung von Straftaten oder Ordnungswidrigkeiten" oder "Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung".

Auch Nachrichtendienste erhalten Zugriff

Die Bundesregierung begründet die Änderung damit, dass das Auskunftsverfahren im TMG bislang "nur rudimentär geregelt" sei. Dies erschwere "das Einholen von Auskünften gegenüber Telemediendiensteanbietern, da der genaue Umfang ihrer Verpflichtungen nicht hinreichend klar geregelt ist". Allerdings verpflichtet der bisherige Paragraf 14 des TMG bereits die Anbieter von Telemediendiensten, die Bestandsdaten "im Einzelfall" herauszugeben.

Darauf verwies auch ein Ministeriumssprecher auf Anfrage der Frankfurter Allgemeinen Zeitung (FAZ). Passwörter seien auch nach geltendem Recht Teil der Bestandsdaten und könnten "in einem konkreten Ermittlungsverfahren unter der Sachleitung einer Staatsanwaltschaft herausverlangt werden". Zudem müssten aus Gründen der Datensicherheit Passwörter regelmäßig "in verschlüsselter Form gespeichert werden und können entsprechend nicht unverschlüsselt herausgegeben werden", daran ändere die neue Regelung nichts.

Passwörter müssen besonders geschützt sein

Das trifft in der Tat zu: Die Internetdienste sind rechtlich verpflichtet, die Bestandsdaten ihrer Nutzer vor unbefugtem Zugriff zu schützen. Dazu zählen vor allem Passwörter, die nicht mehr im Klartext bei den Anbietern gespeichert werden dürfen. Entsprechende Versäumnisse können zu hohen Bußgeldern durch die Datenschutzbehörden führen wie im Falle des Chatdienstes Knuddels.de im vergangenen Jahr.

Unklar ist daher, ob Telemediendienste künftig verpflichtet wären, bestimmten Mitarbeitern den Zugriff auf die Passwörter im Klartext zu ermöglichen. Möglich wäre auch die Herausgabe der Hashwerte, um beispielsweise über sogenannte Rainbow Tables an die Passwörter zu gelangen. "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen", heißt es in dem geplanten Artikel 15a. Die bisherige Bestandsdatenauskunft wird immer häufiger genutzt.