Gesetz gegen "Hasskriminalität": Darf jede Behörde an Ihr E-Mail-Passwort?

Im Kampf gegen Rechtsextremismus und Hasskriminalität im Netz will die Bundesregierung Onlinedienste gesetzlich zur Herausgabe von Nutzerpasswörtern verpflichten. Sicherheitsexperten sind entsetzt, Datenschützer empört. Die FDP will den Gesetzentwurf am Mittwoch zur Debatte stellen. Worum geht es in dem Streit?

Nach dem Mord an dem hessischen Politiker Walter Lübcke, dem antisemitischen Attentat von Halle und mehreren Skandalen bei Bundeswehr und Sicherheitsbehörden will die Bundesregierung schärfer gegen rechtsextreme Netzwerke vorgehen. Geplant ist auch ein Gesetz "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität", das unter anderem neue Regeln für den Umgang mit Hasskommentaren in den sozialen Netzwerken vorsieht. Doch der Entwurf aus dem Bundesministerium für Justiz und Verbraucherschutz löst heftige Kritik aus, vor allem unter Netzexperten. Warum? Die wichtigsten Fragen und Antworten.

Was hat die Bundesregierung vor?

Immer mehr Rechtsextremisten radikalisieren und organisieren sich im Internet. Die Bundesregierung will die geltenden Gesetze an diese Entwicklung anpassen, damit Straftaten besser vereitelt oder verfolgt werden können. So sollen beispielsweise das Netzwerkdurchsetzungsgesetz, die Strafprozessordnung und das Telemediengesetz verschärft werden.

Soziale Netzwerke könnten danach verpflichtet sein, jeden strafrechtlich relevanten Hasskommentar nicht nur zu löschen, sondern auch dem Bundeskriminalamt zu melden. Tun sie das nicht, drohen Strafen von bis zu 50 Millionen Euro.

Außerdem sollen Behörden die Online-Passwörter von Nutzern abfragen können. Wörtlich ist in dem Entwurf von sogenannten "Bestandsdaten" die Rede, "mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird". Nach dem derzeitigen Referentenentwurf würde diese Regelung nicht nur Facebook und Co. betreffen, sondern auch Webseiten und andere Onlinedienste wie zum Beispiel E-Mail- und Cloud-Anbieter. Staatsmitarbeiter könnten sich umfassenden Zugriff auf die Konten eines Nutzers verschaffen.

Wo liegt das Problem?

Kritiker halten den Vorstoß aus mehreren Gründen für bedenklich. Zum einen stellt die Pflicht zur Passwortherausgabe einen tiefen Eingriff in die Privatsphäre der Internetnutzer dar. Denn nicht nur die Geheimdienste, Polizei und Ermittlungsbehörden dürften die Login-Informationen abfragen, sondern auch der Zoll. Der Nutzer erfährt von dem Datenaustausch nichts, da den Unternehmen eine Schweigepflicht auferlegt wird.

Andererseits könnte sich die Regelung in vielen Fällen als vollkommen nutzlos erweisen. Denn viele Unternehmen speichern die Passwörter ihrer Nutzer nur in verschlüsselter Form ab. Statt lesbarer Passwörter würden die Behörden nur einen sogenannten Hashwert erhalten – einen kryptischen Buchstabensalat.

Unternehmen setzen solche Verschlüsselungsverfahren ein, um die Daten ihrer Nutzer vor Hackerangriffen zu schützen. Im Falle eines Datenlecks könnten die Angreifer mit den erbeuteten Informationen wenig anfangen. Laut der europäischen Datenschutzgrundverordnung sind Unternehmen sogar zu solchen Sicherheitsvorkehrungen verpflichtet. Ein Unternehmen, das Passwörter im Klartext speichert, riskiert hohe Strafen – so wie die Chat-Plattform Knuddels.de.

Trotzdem kommt es immer wieder vor, dass der Datenschutz vernachlässigt wird, vor allem in kleineren Unternehmen. Die erweiterte Auskunftspflicht gegenüber den Behörden könnte ihnen einen zusätzlichen Anlass geben, die Datensicherheit zu vernachlässigen, fürchten Kritiker.

Wie reagiert das Bundesjustizministerium auf die Kritik?

Mehrere Verbände haben die Bundesregierung dazu aufgerufen, auf die erweiterten Auskunftsansprüche gegenüber Onlinediensten zu verzichten. Das Bundesjustizministerium will dennoch daran festhalten. Es gehe nicht um eine Erweiterung der Befugnisse, sondern nur um eine Präzisierung, sagte ein Sprecher des Justizministeriums. Schon nach dem heute geltenden Recht können Staatsanwaltschaften bestimmte Bestandsdaten wie zum Beispiel IP-Adressen von Internetplattformen anfordern. Künftig soll für so eine Bestandsdatenauskunft ein Richterbeschluss erforderlich sein.

Passwörter sollen zudem nur in Ausnahmefällen angefordert werden, "zum Beispiel wenn es um Terrorismusstraftaten geht und es eventuell Möglichkeiten gibt, die Passwörter mit sehr hohem technischen Aufwand zu entschlüsseln", sagte der Sprecher. Die Provider selbst sollen nicht zum Entschlüsseln der sensiblen Daten gezwungen werden.

Wie geht es weiter?

Seit dem Bekanntwerden des Referentenentwurfs nimmt der Widerstand zu. "Hier geht es nicht mehr nur um die Bekämpfung von Hasskriminalität, sondern um die Einrichtung umfassender Überwachungsrechte für Staat und Behörden", warnte der Vorsitzende des Verbandes der Internetwirtschaft eco, Oliver Süme, am Montag. Auch der Digitalverband Bitkom und der Bundesverband Digitale Wirtschaft (BDVW) wandten sich gegen das Vorhaben.

Die FDP-Fraktion im Bundestag will das Gesetz am Mittwoch zur Diskussion stellen und hat eine Aktuelle Stunde gefordert. Der FDP-Parlamentsgeschäftsführer Marco Buschmann sagte der Deutschen Presse-Agentur: "Die Bundesjustizministerin ist mit ihren Gesetzentwurf völlig über das Ziel hinausgeschossen. Es darf keine Auskunftspflicht für Passwörter geben, denn sie wäre ein schwerer Schlag für Bürgerrechte und IT-Sicherheit. Die Überwachungs- und Missbrauchsmöglichkeiten wären viel zu groß."

Auch die neue SPD-Vorsitzende Saskia Esken sieht noch Gesprächsbedarf. Die Informatikerin war bisher stellvertretende digitalpolitische Sprecherin ihrer Fraktion.