Passwort-Herausgabe: Eco warnt vor Milliardenkosten durch Auskunftspflicht

Der IT-Branchenverband Eco warnt vor den organisatorischen und finanziellen Folgen durch die geplante Neuregelung des Bestandsdatenauskunft. "Das vom Bundesjustizministerium geplante Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität konfrontiert die verpflichteten Unternehmen mit unverhältnismäßigen Kosten in mehrstelliger Milliardenhöhe", sagte Eco-Vorstand Oliver Süme am Montag in Berlin. Insbesondere für kleine und mittelständische Anbieter von Telemediendiensten bedeute der technische, organisatorische und personelle Erfüllungsaufwand "eine enorme finanzielle Belastung, doch eine Kostenerstattungs- oder Entschädigungsregelung ist bislang nicht vorgesehen".

Stellenmarkt

1. Android / Kotlin Developer (w/m/d)
   dmTECH GmbH, Karlsruhe
2. Digital Service Owner / Senior Product Owner (m/w/d)
   HUK-COBURG Versicherungsgruppe, Coburg

Detailsuche

Mitte Dezember 2019 waren Pläne bekanntgeworden, wonach die Bundesregierung die sogenannten Telemediendienste bezüglich der Auskunftspflichten den Telekommunikationsprovidern gleichstellen will. Mit der Herausgabe von Passwörtern soll den Ermittlern auch der Zugriff auf Endgeräte der Nutzer ermöglicht werden. Die Firmen, zu denen E-Mail-Anbieter, Webseiten- und Forenbetreiber, Online-Shoppingdienste, Chat- und Messengerdienste oder Clouddienste gehören, sollen jedoch nicht dazu verpflichtet werden, gehashte Passwörter im Klartext bereitzustellen. Im Einzelfall sollen die Ermittler versuchen, die Passwörter "mit sehr hohem technischen Aufwand zu entschlüsseln".

Aufwendige Schnittstellen

Nach Ansicht des Eco ist der Adressatenkreis für die neue Auskunftspflicht jedoch zu weit gefasst. Betroffen wären potenziell 2,3 Millionen Unternehmen. "Unter Berücksichtigung der bestehenden Datenschutzvorschriften und der Komplexität der technischen Maßgaben werden nach einer ersten Einschätzung voraussichtlich Investitionskosten im mittleren zweistelligen Milliardenbereich sowie jährliche Betriebskosten im einstelligen Milliardenbereich bei den betroffenen Unternehmen entstehen", schreibt Eco.

Besonders aufwendig dürften die Auflagen für Dienste werden, die mehr als 100.000 Kunden hätten, da diese eine elektronische Schnittstelle für die Ermittlungsbehörden bereitstellen müssten. Die technische Umsetzung und Maßgaben für den Einsatz einer solchen Schnittstelle seien dabei noch vollständig unklar. "Die Unternehmen brauchen hier Planungs- und Rechtsicherheit: Es gilt zu klären, ob die technischen Anforderungen überhaupt umsetzbar sind. Die Bemessungsgrundlage von 100.000 Kunden ist kein taugliches Kriterium für eine Aufgreifschwelle, da selbst kleinere Online-Dienste und Plattformen bereits eine große Reichweite und damit Nutzerzahlen erreichen, welche regelmäßig die Zahl von 100.000 deutlich übersteigen", warnt der Verband.

Scharfe Kritik an Gesetzentwurf

Golem Akademie

1. Penetration Testing Fundamentals
   23.-24. September 2021, online
2. Microsoft 365 Security Workshop
   9.-11. Juni 2021, Online

Weitere IT-Trainings

Dessen Einschätzung zufolge wären etwa 25.000 Unternehmen von der Teilnahme an einem automatisierten Auskunftsverfahren über eine elektronische Schnittstelle betroffen. Der Aufwand, der mit dem Aufbau und Betrieb einer entsprechenden Schnittstelle verbunden sei, stelle die Anbieter von Telemediendiensten vor enorme organisatorische und finanzielle Herausforderungen, heißt es weiter.

Der Verband kritisiert in einem neunseitigen Eckpunktepapier (PDF) zudem weitere Aspekte des Gesetzentwurfs (PDF). Das Vorhaben sei "datenschutzrechtlich, verfassungsrechtlich und europarechtlich in höchstem Maße bedenklich" und sei "mit tiefen Eingriffen in bürgerliche Freiheiten, die Vertraulichkeit und Integrität elektronischer Kommunikation und die Vertrauenswürdigkeit digitaler Dienste verbunden".