Passwortherausgabe: Bundesdatenschützer warnt vor Klartextspeicherung

Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert in einer Stellungnahme zentrale Aspekte des geplanten Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität. In dem neunseitigen Papier (PDF) bezeichnet Kelber die geplanten Regelungen zur Herausgabe von Zugangsdaten und Passwörtern als "unverhältnismäßig". Seiner Ansicht nach kann verlangte Herausgabe "nicht umgesetzt werden, ohne von den Diensteanbietern zu verlangen, datenschutzrechtliche Vorgaben zu verletzen". Die Digitale Gesellschaft kritisiert in ihrer Stellungnahme die Pläne als "kontraproduktiv" und "verfassungswidrig".

Mit dem Gesetz will die Bundesregierung alle Internetdienstleister zur umfassenden Kooperation mit den Ermittlungsbehörden und Geheimdiensten verpflichten. Demnach sollen alle Anbieter von Telemediendiensten, wozu Mailprovider, Medien, Forenbetreiber oder soziale Netzwerke zählen, dazu verpflichtet werden, auf Verlangen die Bestands- und Nutzungsdaten ihrer Nutzer herauszugeben. "Dies gilt auch für Bestandsdaten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird", heißt es in dem Gesetzesentwurf (PDF).

Klartextherausgabe nicht eindeutig geregelt

Doch die geplante Herausgabe von Passwörtern wird scharf kritisiert. Vor allem deshalb, weil Passwörter aus Datenschutzgründen nicht im Klartext gespeichert werden dürfen, sondern in der Regel als Hashwert in der Datenbank abgelegt werden. Dazu hatte das Bundesjustizministerium im Dezember 2019 erklärt: "Dass Staatsanwaltschaften Passwörter von Diensten herausverlangen, wird daher künftig nur in wenigen Fällen geboten sein, zum Beispiel wenn es um Terrorismusstraftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischem Aufwand zu entschlüsseln. Eine solche Pflicht für die Provider, Passwörter zu entschlüsseln, wenn Staatsanwaltschaften sie dazu auffordern, gibt es nicht und wird es auch künftig nicht geben."

Doch nach Ansicht Kelbers wird im geplanten Gesetz nicht geregelt, "ob sich aus der neuen Vorschrift für die Anbieter eine Pflicht ableiten lässt, nach der die Anbieter im Zweifel die Passwörter so im Klartext speichern müssen, dass sie diese im Falle einer behördlichen Anforderung herausgeben könnten". Zwar sei "richtigerweise zu folgern", dass es eine solche Pflicht nicht geben könne, doch es sei "allerdings auch denkbar, dass Strafverfolgungsbehörden in der Praxis eine andere Auffassung vertreten werden". Das würde "die Datensicherheit und den Datenschutz massiv konterkarieren", warnt Kelber.

Welche Daten müssen herausgegeben werden?

Stellenmarkt

1. Interhyp Gruppe, München
2. DAVASO GmbH, Leipzig-Mölkau

Darüber hinaus befürchtet der Bundesdatenschutzbeauftragte, dass Strafverfolgungsbehörden künftig die Herausgabe weiterer Daten erzwingen könnten, "die insbesondere brute-force-Entschlüsselungen der übermittelten Passwort-Hashes ermöglichen (z. B. Herausgabe des sog. Pepper-Wertes)". Auch dies könnte die Datensicherheit über den Einzelfall hinaus beeinträchtigen. So soll der Paragraf 14 des Telemediengesetzes (TMG) um die Formulierung ergänzt werden: "Für die Auskunftserteilung sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen." Für Kelber ist daher unklar, ob sich die Vorschriften auch auf etwaige temporär gespeicherte Session-Cookies beziehen, mit denen sich Zugang erlangen lasse. Auch Sicherungs- oder Protokolldatenserver könnten für die Datenherausgabe einbezogen werden.

Durch die Pläne stelle sich zudem die Frage, ob die notwendige Sicherheit beim Bankenverkehr noch gewährleistet werden könne, schreibt Kelber. Da sich das Telemediengesetz nicht nur an Verbraucher richte, sei fraglich, "ob etwa Banken dann noch untereinander sicher kommunizieren könnten oder sich die Bundesrepublik aus dem elektronischen Bankenverkehr zurückziehen müsste".

Doch sind die Passwörter künftig sogar besser vor dem Zugriff der Behörden geschützt, weil dann ein Richter der Herausgabe zustimmen muss, wie das Bundesjustizministerium behauptet?