CR-online.de Blog

Verschärfung des NetzDG: Warum sogar Datingportale zur Herausgabe von Passwörten verpflichtet wären

avatar  Niko Härting

Die Bundesregierung hat heute den Entwurf des BMJV für ein „Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ beschlossen. Der Regierungsentwurf liegt auf der Linie des Entwurfs, den das BMJV kurz vor Weihnachten vorgelegt hatte (RefE des BMJV v. 12.12.2019).

Weitergabe an BKA:  Es bleibt insbesondere bei § 3a NetzDG-E, durch den eine Verpflichtung der Betreiber sozialer Netzwerke begründet wird, Postings nebst IP-Adressen dem BKA zukommen zu lassen, wenn Inhalte bestimmte Strafgesetze verletzen (Nolde, “Dem StGB vor das Schienbein treten: #NetzDG und #Strafrecht”, LinkedIn v. 19.2.2020).

Herausgabe von Passwörtern:  Die Bundesregierung hält auch an einer Verpflichtung der Provider zur Herausgabe von Passwörtern fest. Die Regelungen sind in dem Regierungsentwurf allerdings präziser gefasst als in dem Ursprungsentwurf des BMJV. Und die geplanten Regelungen enthalten Sprengstoff:

1. Wann sollen Provider Passwörter herausgeben müssen?

§ 100j Abs. 1 Satz 1 Nr. 2 StPO soll künftig lauten:

„Soweit dies für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes eines Beschuldigten erforderlich ist, darf Auskunft verlangt werden … über die nach § 14 des Telemediengesetzes erhobenen Daten (§ 15a Absatz 1 Satz 1 und § 15b Absatz 1 Satz 1 des Telemediengesetzes) von demjenigen, der geschäftsmäßig eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt.“
(Hervorhebungen hinzugefügt)

Verdacht auf Straftat:  Die Daten, um die es in § 15b Telemediengesetz (TMG) geht, sind die Passwörter. Und ja, man mag es kaum glauben: Provider sollen verpflichtet werden Passwörter herauszugeben, sobald die Passwörter benötigt werden, um einen Beschuldigten zu finden oder den Sachverhalt zu „erforschen“. Die Verpflichtung beschränkt sich somit weder auf schwere Straftaten noch auf „Hate Speech“. Bleibt es bei § 100j Abs. 1 Satz Nr. 2 StPO-E, darf in jedem strafrechtlichen Ermittlungsverfahren bereits dann die Herausgabe von Passwörtern angeordnet werden, wenn sich Ermittlungsbehörden hiervon Informationen über den Aufenthaltsort eines Beschuldigten erhoffen.

Verdacht auf Ordnungswidrigkeit:  Reichen dürfte sogar der Verdacht einer bloßen Ordnungswidrigkeit. § 46 Abs. 3 Satz 1 OWiG schließt in Bußgeldverfahren nur „Auskunftsersuchen über Umstände“ aus, „die dem Post- und Fernmeldegeheimnis unterliegen“. Das Post- und Fernmeldegeheimnis (Art. 10 GG) wird für Passwörter in der Regel nicht gelten. Selbst beim Falschparken fehlt somit ein klarer gesetzlicher Riegel, der Passwörter gegen wissbegierige Ermittler klipp und klar schützt.

Ergänzt wird der neue § 100j Abs. 1 Nr. 2 StPO-E durch weitere Änderungen:

  • Zuordnung einer IP-Adresse:
    Nach § 100j Abs. 2 StPO-E soll eine Passwortabfrage schon dann zulässig sein, wenn sie dazu dient, eine IP-Adresse einer Person zuzuordnen. Dies würde es den Ermittlungsbehörden erlauben, bei jedem Verdacht einer Straftat anhand von IP-Adressen Passwörter zu verlangen in der Hoffnung, dass sich auf diesem Weg die Identität von Straftätern aufklären lässt.
  • Berechtigung der Ermittlungsbehörde:
    § 100j Abs. 1 Satz 2 StPO-E beschränkt die Abfrage von Passwörtern auf Fälle, in denen die Ermittlungsbehörden auch tatsächlich berechtigt sind, Zugriff auf die geschützten Inhalte zu nehmen. Eine solche Einschränkung gibt es schon jetzt für den Zugriff auf PIN-Nummern von Endgeräten. Wie wirksam diese Einschränkung ist, ist auch bisher noch unklar (vgl. nur Graf in BeckOK, Stand 1.10.2019, § 100j StPO, Rz. 15 ff.).
  • Zugriff auf Nutzungsdaten:
    § 100g StPO, der den Zugriff auf Nutzungsdaten der TK-Provider regelt, soll auf Telemedien erstreckt werden. Hieraus könnte sich möglicherweise in Verbindung mit § 100j Abs. 1 Satz 2 StPO-E eine erhebliche Einschränkung der Passwortherausgabe ergeben. Ob dies indes beabsichtigt ist, ergibt sich aus der gesamten Gesetzesbegründung nicht. Rätselhaft.

2. Welche Provider sollen Passwörter herausgeben müssen?

Hier kommt die nächste Überraschung: § 100j Abs. 1 Satz 1 Nr. 2 StPO-E gilt – anders als das NetzDG – keineswegs nur für die Betreiber großer sozialer Netzwerke. Dies ist kein Lex Facebook & Twitter. Die Herausgabepflicht würde uneingeschränkt für jeden Betreiber eines Telemediendienstes gelten – für Partnerbörsen ebenso wie für Nachrichtenportale, für Onlineshops ebenso wie für Mitgliederforen eines gemeinnützigen Vereins, für Jameda ebenso wie für eBay.

3. Gibt es einen Richtervorbehalt?

Ja, aber sehr löchrig.

Der Richtervorbehalt ergibt sich aus dem unveränderten § 100j Abs. 3 StPO:

Auskunftsverlangen nach Absatz 1 Satz 2 dürfen nur auf Antrag der Staatsanwaltschaft durch das Gericht angeordnet werden. Bei Gefahr im Verzug kann die Anordnung auch durch die Staatsanwaltschaft oder ihre Ermittlungspersonen (§ 152 des Gerichtsverfassungsgesetzes) getroffen werden. In diesem Fall ist die gerichtliche Entscheidung unverzüglich nachzuholen. Die Sätze 1 bis 3 finden keine Anwendung, wenn die betroffene Person vom Auskunftsverlangen bereits Kenntnis hat oder haben muss oder wenn die Nutzung der Daten bereits durch eine gerichtliche Entscheidung gestattet wird. Das Vorliegen der Voraussetzungen nach Satz 4 ist aktenkundig zu machen.“
(Hervorhebungen hinzugefügt)

Für den Richtervorbehalt gibt es also Ausnahmen, zum einen bei Gefahr im Verzug, zum anderen aber auch, wenn der Betroffene von dem Auskunftsersuchen „bereits Kenntnis hat oder haben muss“. Ein überaus löchriger Vorbehalt, da es schon dann keines richterlichen Beschlusses bedarf, wenn die Staatsanwaltschaft den Betroffenen zur Herausgabe des Passworts aufgefordert und ihn auf die Möglichkeit der Abfrage beim Provider hingewiesen hat (vgl. Bär, MMR 2013, 700, 704).

Geschwächt wird der Richtervorbehalt auch durch § 15b TMG-E (s.u.), der es Providern in nicht wenigen Fällen erlaubt, Passwörter auch ohne richterliche Anordnung herauszugeben.

4. Gilt die Herausgabepflicht nur für unverschlüsselte Passwörter?

Nein. Die Herausgabepflicht gilt für alle Passwörter – ob verschlüsselt oder unverschlüsselt. Je nach Qualität der Verschlüsselung ist es daher denkbar, dass verschlüsselte Passwörter durch Ermittlungsbehörden „geknackt“ werden.

Zur Verschlüsselung heißt es in § 15b Abs. 3 Satz 2 TMG-E lapidar:

„Eine Verschlüsselung der Daten bleibt unberührt.“

Dies ist schlechtes Juristendeutsch und bedeutet nicht, dass Behörden nicht entschlüsseln dürfen. Lediglich die datenschutzrechtlichen Verpflichtungen von Providern zur Verschlüsselung bleiben „unberührt“ (auf Deutsch: bestehen).

5, Was regelt der neue § 15b TMG-E?

Der neue § 15b TMG-E regelt nicht die Befugnisse der Ermittlungsbehörden. Es geht dort nicht um die Frage, ob Provider Passwörter an die Behörden herausgeben müssen. Es geht vielmehr darum, ob sie Passwörter herausgeben dürfen. Nach der Rechtsprechung des BVerfG („Doppeltür“) ist beides („müssen“ und „dürfen“) separat gesetzlich zu regeln.

6. Gibt es Fälle, in denen Provider Passwörter ohne richterlichen Beschluss an Polizei und Staatsanwaltschaft herausgeben dürfen?

Ja. § 15b Abs. 2 Satz 1 TMG-E erlaubt die Herausgabe von Passwörter – auch ohne richterlichen Beschluss – in folgenden Fällen:

“Die Daten dürfen übermittelt werden:

  1. an eine zur Verfolgung von Straftaten zuständige Behörde, soweit diese die Übermittlung unter Berufung auf eine gesetzliche Bestimmung, die ihr eine Erhebung der in Absatz 1 genannten Daten zur Verfolgung besonders schwerer Straftaten nach § 100b Absatz 2 der Strafprozessordnung erlaubt, nach Anordnung durch ein Gericht verlangt, oder
  2. an eine für die Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständige Behörde, soweit diese die Übermittlung unter Berufung auf eine gesetzliche Bestimmung, die ihr eine Erhebung der in Absatz 1 genannten Daten und zur Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person oder für den Bestand des Bundes oder eines Landes erlaubt, nach Anordnung durch ein Gericht verlangt.“
    (Hervorhebungen hinzugefügt)

Bei schweren Straftaten und konkreten Gefahren können sich Polizei und Staatsanwaltschaft somit an Provider wenden und um die Herausgabe von Passwörtern bitten. Es liegt dann an den Providern, ob sie

  • die Passwörter auf dem „kurzen Dienstweg“ an die Behörden herausgeben oder
  • darauf bestehen, dass ihnen ein richterlicher Beschluss vorgelegt wird.

Beides wäre gleichermaßen legal.

7. Wird die Herausgabe von Passwörtern nur zur Strafverfolgung erlaubt?

Nein. Jede „konkrete Gefahr für die öffentliche Sicherheit oder Ordnung“ genügt nach § 15b Abs. 2 Satz 1 Nr. 2 TMG-E. Es wird Sache der Bundesländer sein, entsprechende polizeiliche Befugnisse zu regeln.

  1. Werden die Betroffenen von der Herausgabe von Passwörtern erfahren?

Nein. Die Herausgabe wird im Normalfall heimlich erfolgen.

In § 15b Abs. 3 Satz 3 TMG-E heißt es klipp und klar:

„Über das Auskunftsersuchen und die Auskunftserteilung haben die Verpflichteten gegenüber den Betroffenen sowie Dritten Stillschweigen zu wahren.“
(Hervorhebungen hinzugefügt)

Eine Chance auf Benachrichtigung besteht allenfalls, wenn einmal tatsächlich ein richterlicher Beschluss erwirkt wird (§ 100j Abs. 4 StPO), wobei es auch in einem solchen Fall Ausnahmen gibt:

Die betroffene Person ist in den Fällen des Absatzes 1 Satz 2 und des Absatzes 2 über die Beauskunftung zu benachrichtigen. Die Benachrichtigung erfolgt, soweit und sobald hierdurch der Zweck der Auskunft nicht vereitelt wird. Sie unterbleibt, wenn ihr überwiegende schutzwürdige Belange Dritter oder der betroffenen Person selbst entgegenstehen. Wird die Benachrichtigung nach Satz 2 zurückgestellt oder nach Satz 3 von ihr abgesehen, sind die Gründe aktenkundig zu machen.“
(Hervorhebungen hinzugefügt)

 

 

Anzeige:

Mehr zum Autor: RA Prof. Niko Härting ist namensgebender Partner von HÄRTING Rechtsanwälte, Berlin. Er ist Mitglied der Schriftleitung Computer und Recht (CR) und ständiger Mitarbeiter vom IT-Rechtsberater (ITRB) und vom IP-Rechtsberater (IPRB). Er hat das Standardwerk zum Internetrecht, 6. Aufl. 2017, verfasst und betreut den Webdesign-Vertrag in Redeker (Hrsg.), Handbuch der IT-Verträge (Loseblatt). Zuletzt erschienen: "Datenschutz-Grundverordnung".

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.