Recht auf Verschlüsselung? Der Staat muss draußen bleiben

von Dr. Sylvia Kaufhold, veröffentlicht am 05.02.2020

Ende Januar fand im Ausschuss für Inneres und Heimat des Bundestages eine Experten-Anhörung zu einem Antrag der FDP-Fraktion vom November 2018 statt. Die Abgeordneten fordern darin zum Schutz der Privatsphäre und zur Erhöhung der IT-Sicherheit ein „Recht auf Verschlüsselung“. In diesem Sinne seien „Telekommunikations- und Telemedienanbieter zu verpflichten, ihre Kommunikationsdienste nach einer Übergangsfrist für zukünftige technische Systeme als Standard abhörsicher (Ende-zu-Ende verschlüsselt) anzubieten“.

Die Experten befürworteten den FDP-Vorstoß überwiegend (s. Zusammenfassung auf BeckAktuell). Nur Prof. Hendrik Dietrich von der Hochschule des Bundes für öffentliche Verwaltung weist in seiner differenzierten Stellungnahme darauf hin, dass auch Fahndungsinteressen der Sicherheitsbehörden zu berücksichtigen seien: „Der Staat kann es nicht akzeptieren, dass der Vollzug seiner Gesetze durch missbräuchliche Verschlüsselung unmöglich gemacht wird.“ Aber wann ist eine Verschlüsselung missbräuchlich, insbesondere wenn ein „Recht“ auf sie besteht?

Der FDP-Antrag präzisiert nicht, welcher Natur der Rechtsanspruch sein soll und welche Art von Verschlüsselung genau gemeint ist. Aus dem Gesamtzusammenhang wird lediglich erkennbar, dass es nicht nur um die Verschlüsselung von Daten, sondern insbesondere um diejenige der Kommunikationswege geht. Hierzu wird als Beispiel einer „frei verfügbaren und einfach handhabbaren“ Technologie unter Verweis auf eine Studie aus dem Jahr 1998 „GPG“ genannt und auch der Standard „Ende-zu-Ende“ wird lediglich mit „abhörsicher“ umschrieben bzw. gleichgesetzt. Dabei wurde für das „besondere elektronische Anwaltspostfach“ (beA), also einem offiziellen Kommunikationsweg mit Berufsgeheimnisträgern, gerade erst entschieden, dass er nicht unbedingt Ende-zu-Ende verschlüsselt sein muss, um als (rechts-)sicher zu gelten. Auch das De-Mail-Gesetz von 2011 verpflichtet akkreditierte Anbieter zu einer verschlüsselten Übertragung der Nachricht, ohne den „Einsatz einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung)“ vorzuschreiben (§ 5 Abs. 3 De-MailG). Für IT-Insider mag das alles offensichtlich sein, selbsterklärend ist es indes nicht.

Zweifelhaft erscheint auch die Begründung für die Initiative: Argumentiert wird, dass Verschlüsselung den wirtschaftlichen Schaden, der durch unsichere IT-Systeme bzw. „durch Sabotage, Spionage und Datendiebstahl“ entsteht, erheblich begrenzen könne. Zwar könne ein Angreifer etwa einen Datenordner oder eine E-Mail auch dann noch öffnen, den Inhalt könne er aber nicht lesen, „da dies nur mithilfe des passenden Schlüssels oder Passworts möglich ist.“ Diese Sicht scheint der Konzeption der DSGVO zu entsprechen, die unter anderem „die Pseudonymisierung und Verschlüsselung personenbezogener Daten“ als nach den Umständen des Einzelfalles geeignete Schutzmaßnahme nennt, die im Falle von Datenpannen insbesondere von der Pflicht zur Benachrichtigung des Betroffenen befreien kann (Art. 32 Abs. 1 lit. a), 34 Abs. 3 lit. a) DSGVO). Jedoch lässt sich aus dieser nur unter bestimmten Umständen und im eigenen Interesse bestehenden Obliegenheit noch keine generelle Verpflichtung gegenüber den Betroffenen herleiten, was letztlich auf ein Verbot unverschlüsselter Kommunikation oder Datenablage hinausliefe. Es wäre ungefähr so, als würde man Hotelbetreibern den Einbau von Zimmer-Safes vorschreiben, weil man sie für unfähig hält, bereits die Zugänge zum Hotel und zu den Zimmern adäquat zu sichern. Aber auch den Gästen wird hier etwas aufgedrängt oder zumindest nahegelegt, was sie vielleicht gar nicht nutzen möchten. Bezahlen müssen sie es über erhöhte Zimmerpreise ohnehin, denn der staatlich verordnete Umbau finanziert sich ja nicht von selbst.

Gerade für eine liberale Partei mutet diese Art von Rechte-Nudging, dem ja auf Seiten der betroffenen (auch ausländischen?) IT-Unternehmen handfeste Pflichten und ein hoher Regulierungsaufwand gegenüberstehen, doch recht seltsam an. Warum soll es ausgerechnet in der Frage der Verschlüsselung nicht der – immer noch relativ junge und sich stetig verändernde – IT-Markt richten, wo es doch in erster Linie um den Schutz und die Sicherheit der eigenen Daten der Marktteilnehmer geht? Ist es zum Schutz des in Art. 10 GG verbürgten (Brief-, Post- und) Fernmeldegeheimnisses tatsächlich geeignet, erforderlich und angemessen, jedwede elektronische Kommunikation als Standard technisch absolut zugriffs- und abhörsicher auszugestalten? Oder geht es umgekehrt darum, gegenläufigen Tendenzen aus Sicherheitskreisen, die Kryptographie- und Verschlüsselungstechniken zur Eindämmung des „Going-Dark-Problems“ lieber früher als später verbieten würden, entgegenzuwirken und ihnen einen gesetzgeberischen Riegel vorzuschieben? Letzteres liegt nahe, denn im FDP-Antrag wird die Bundesregierung explizit aufgefordert, „sich gegen gesetzliche Beschränkungen oder Verbote kryptographischer Sicherungssysteme auszusprechen, den Einsatz von sogenannten Backdoors zu verurteilen und eine staatliche Beteiligung an digitalen Grau- und Schwarzmärkten für Sicherheitslücken abzulehnen.“ Mit „Backdoors“ sind Sollbruchstellen gemeint, die aufwendig in Geräten und Software versteckt werden müssen, im Zweifel aber nicht nur für staatliche Stellen zugänglich sind, sondern auch für Hacker und Cyberkriminelle auffindbar und somit kommerzialisierbar bleiben. Solche die allgemeine IT-Infrastruktur schwächende Hintertüren gelten daher eher als meldepflichtiges Sicherheitsrisiko, denn als geeignetes Mittel für eine nur in Ausnahmefällen legitime staatliche Kommunikationskontrolle.

Unklar bleibt allerdings, wie sonst der ausnahmsweise Zugriff von Ermittlungs- und Sicherheitsbehörden insbesondere im Falle schwerer Straftaten und Gefahren (vgl. § 100a StPO) technisch und rechtlich ermöglicht werden soll. Die von der Bundesregierung im Zusammenhang mit den Gesetzentwürfen zur Bekämpfung von Hasskriminalität und zur Änderung des NetzDG geplanten weiteren Maßnahmen, insbesondere eine Verpflichtung der Diensteanbieter zur Herausgabe von Schlüsseln, Passwörtern und anderen Nutzerdaten, wurde nicht nur seitens der Internetwirtschaft als „großer Lauschangriff“ scharf kritisiert. Unklar ist auch, ob und inwieweit die derzeit im Aufbau befindliche, neue Mobilfunkgeneration 5G standardmäßig eine Ende-zu-Ende-Verschlüsselung aufweist bzw. aufweisen sollte. Das letzte Wort ist hier also noch lange nicht gesprochen.

Möglicherweise sollte auch stärker nach der Funktionsweise des jeweiligen Kommunikationsmittels, d.h. danach unterschieden werden, ob die ausgetauschten Inhalte, wie beim Telefonieren, sofort wieder „verpuffen“ oder ob sie in irgendeiner Form (schriftlich oder als Audiodatei) aufgezeichnet und für eine gewisse Zeit gespeichert werden wie z.B. beim schon jetzt Ende-zu-Ende verschlüsselten Nachrichten-Dienst WhatsApp. Im ersten Fall können die Inhalte nur durch Abhören in Echtzeit staatlicherseits gesichert werden, im letzten Fall könnte ein auf die (unverschlüsselten bzw. entschlüsselten) Inhalte des Accounts bezogener Herausgabeanspruch gegenüber dem Diensteanbieter genügen. Es fragt sich außerdem, was eine Ende-zu-Ende-Verschlüsselung Wert ist und welchen Einfluss es auf die Gesamtbeurteilung hat, wenn der Nachrichten-Dienst standardmäßig eine Weiterleitungs- und Freigabefunktion vorsieht.

Dass bei den Fragen rund um die Ver- und Entschlüsselung von Daten und Kommunikationswegen noch grundsätzlicher Klärungsbedarf besteht, verkennt auch die FDP nicht. Denn sie verlangt, nicht nur die Weiterentwicklung von Verschlüsselungstechnologien und sicheren Speichersystemen, sondern auch von „qualifizierten Zugriffs- und Berechtigungslogiken konsequent voranzutreiben“. Solange aber nicht klar und zu Ende diskutiert ist, ob und wie Verschlüsselungen bei Bedarf auch wieder sicher entschlüsselt werden können (sollen), solange sollten auch keine entsprechenden Rechtsansprüche und damit einhergehend technologisch und rechtlich unausgereifte Fakten geschaffen werden.

Deutschland sollte sich davor hüten, wie schon beim Anonymitätsgrundsatz des § 13 Abs. 6 TMG, weitreichende, in ihrer praktischen Ausgestaltung und symbolhaften Wirkung aber äußerst problematische Grundsätze über das „Wesen“ des Internets festzuschreiben. Am besten dürften wir derzeit damit fahren, Eingriffe in die Vertragsfreiheit auf ein Minimum zu reduzieren und sie, wo erforderlich, im Bereich des Zivilrechts (insbesondere des Vertrags- und ABG-Rechts) und nicht, wie beim TMG und NetzDG, im Bereich öffentlich-rechtlicher Regulierung anzusiedeln. Dann könnte, als Verstärkung selbstgesetzter vertraglicher Standards, auch eine auf die Durchsetzung öffentlichen Ordnungsrechts (einschließlich des Straf- und Ordnungswidrigkeitenrechts) konzentrierte, im besten Sinne staatliche Internet- und Kommunikationskontrolle ihre Wirkung entfalten. In jedem Fall sind Maßnahmen des deutschen Gesetzgebers mit den ihrerseits zahlreichen und unübersichtlichen (bereits verabschiedeten oder geplanten) Gesetzesinitiativen der EU im Bereich des digitalen Binnenmarkts (insbes. Daten- und Datenvertragsrecht, E-Commerce und Plattformverträge, Telekommunikations- und Telemedienrecht) zu koordinieren.

Wenn die EU als Rechtsgemeinschaft überleben und überzeugen will, müssen – nicht nur im Bereich der Digitalisierung – die wesentlichen Grundsätze europäisch einheitlich geregelt werden, die Detailausführung kann und sollte dann den Mitgliedstaaten überlassen bleiben. Zu den wesentlichen Grundsätzen gehört aber auch die Frage, ob und wem gegenüber es im digitalen Raum ein „Recht“ auf Anonymität, Pseudonymität sowie, damit zusammenhängend, auf Ver- und Entschlüsselung geben sollte oder nicht. Auf einen nationalen Alleingang sollte Deutschland auch hier verzichten.

 

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

12 Kommentare

Kommentare als Feed abonnieren

Gerade für eine liberale Partei mutet diese Art von Rechte-Nudging...

Könnten Sie bitte einem Non-Millennial (und auch weder Gen Y noch Gen Z) auf Deutsch oder von mir aus auch Lateinisch oder Altgriechisch oder sonst humanistisch erklären, was "Rechte-Nudging" ist, was mir auch google nicht sinnvoll erklären konnte, und sich künftig möglichst solcher unverständlichen Wortwahl enthalten?

5

Vielen Dank für die Frage und konstruktive Kritik.

Ich meine mit "Rechte-Nudging" die um sich greifende Tendenz, politische Ziele nicht mehr nur als solche zu formulieren und stetig an ihrer Verwirklichung zu arbeiten, sondern schlicht als Rechtsanspruch auszugestalten (z.B. Kita-Anspruch, Kinder-Grundrechte, Recht auf Wasser, Wohnen etc.). Das ist oftmals nicht nur in der praktischen Umsetzung problematisch, sondern schafft ein insgesamt übertriebenes Anspruchsdenken und belastet unser Rechtssystem. Die Politik aber ist zunächst einmal fein raus, da sie einen populären Anspruch geschaffen hat, um dessen Umsetzung sich andere kümmern müssen.

Zudem stört mich, dass mit dem neuen Recht das Verhalten des Anspruchsinhabers, aber auch der Gesamtbevölkerung, in eine bestimmte, politisch wünschenswerte Richtung gelenkt werden soll, was ungeahnte soziologische Folgen haben kann (Nudging im engeren Sinne, hier die möglichst heimliche Kommunikation). Ich empfinde ein solches "Rechte-Nudging" als Methode außerdem als unangenehm manipulativ und möglicherweise freiheitsgefährdend. Ich möchte daher auch wohlmeinende Politiker vor einer solchen Methode warnen, zumindest sollte man sich möglicher Nebenwirkungen bewusst sein.

Ich meine mit "Rechte-Nudging" die um sich greifende Tendenz, politische Ziele nicht mehr nur als solche zu formulieren und stetig an ihrer Verwirklichung zu arbeiten, sondern schlicht als Rechtsanspruch auszugestalten...

Verstehe ich nicht. Ein "Recht" ohne "Rechtsanspruch" ist so viel Wert, wie ein Auto ohne Reifen. Ein politisches Ziel "schlicht als Rechtsanspruch auszugestalten" ist das normalste der Welt und kein abwertender Anglizismus, den keiner zwar versteht, aber wohl alle gedankenlos nachplappern sollen, weil es so schön intellektuell und progressiv klingt...

5

Nudging und die Gewährung einklagbarer Ansprüche sind meinem Verständnis nach zwei Alternativen, die sich gegenseitig ausschließen.

Nudging meint, die Bürgerinnen und Bürger nicht per Gesetz zu zwingen, sondern "sanft" zu einer bestimmten Entscheidung zu bewegen. Bspw. wird erwartet, dass eine Umstellung der Organspende von Einverständnis auf Widerspruch die Zahl der "Freiwilligen" erhöht. Dazu kann man kritisch stehen, muss es aber nicht. Gerade eine liberale Partei sollte derartige Lösungen Pflicht-Lösungen vorziehen.

"Rechte-Nudging" ist daher, bei allem Respekt, meinem Verständnis nach als Begriff ungefähr so sinnvoll wie der vegetarische Hähnchensalat.

Die im Artikel geäußerte Kritik geht leider m. E. auch ziemlich am Thema vorbei, jedenfalls in dieser Argumentationslinie. Man kann bspw. darüber diskutieren, ob jedes politische Ziel als Staatsziel ins Grundgesetz aufgenommen werden muss. Auch zum Anspruch auf einen Kita-Platz kann man unterschiedliche Meinungen haben, wobei es mir schwerfällt, Gründe dagegen zu finden. Aber das alles Zusammenzurühren und daraus ein Argument gegen Verschlüsselung von Kommunikation zu machen, lässt jedenfalls mich ratlos zurück. Den Zusammenhang sehe ich nicht.

Davon abgesehen aber ist es gut und richtig, die Aufmerksamkeit auf diese Thematik zu lenken (zu nudgen...). In der allgemeinen Presse tauchte das meinem Überblick nach nicht oder nur am Rande auf.

3

Nach dem Nudging kommt dann wohl die öffentliche Brandmarkung als schon bewährte Methode, das Mittelalter und der Pranger tauchen am Horizont auf.

Teeren und Federn for future.

0

Mit dem Begriff „Rechte-Nudging“ wollte ich nur auf die mE fragwürdige Intention des FDP-Vorschlags anspielen, durch die Schaffung eines Anspruchs (gegenüber wem überhaupt?) oder vielleicht auch nur durch die schlagwortartige Diskussion darüber (diese kann allein schon das Gefühl erzeugen, das diskutierte Recht sei eigentlich eine Selbstverständlichkeit) einen allgemein wünschenswerten Zustand (hier die Datensicherheit) zu befördern. Daher mein Beispiel mit dem Hotelsafe. Ein anderes Beispiel wäre, einen Individualanspruch auf Straßenbeleuchtung zu schaffen, weil das die Sicherheit in der Nacht erhöht. Die Sicherheit wird aber durch die Straßenbeleuchtung erhöht und nicht durch den Anspruch. Und wenn es in einer Gemeinde keine Straßenbeleuchtung gibt, hat sie ihre Aufgaben sträflich vernachlässigt und muss für die Folgen im Einzelfall ggf. auch haften. Wer daraus aber einen für jeden klagbaren Anspruch konstruiert, zäumt das Pferd von hinten auf und untergräbt (vielleicht unwissentlich) die Funktionsweise unseres Staats- und Rechtssystems. Das waren aber nur Überlegungen am Rande.

Zum eigentlichen Thema hier im Zusammenhang mit dem Beitrag von Prof. Müller zur "Freiwilligen" Kontrolle von Schülerhandys noch ein paar weitere Überlegungen: https://community.beck.de/2020/02/07/freiwillige-kontrolle-von-schuelerhandys#comment-128391

 

Mit dem Begriff „Rechte-Nudging“ wollte ich nur auf die mE fragwürdige Intention des FDP-Vorschlags anspielen, durch die Schaffung eines Anspruchs ... einen allgemein wünschenswerten Zustand ... zu befördern.

Durch die Schaffung eines Anspruchs einen allgemein wünschenswerten Zustand ... zu befördern war doch schon immer, jedenfalls seit es seit einigen Jahrtausenden Politik gibt, das Ziel jeglicher politischer Tätigkeit und ist kein (abwertend gemeintes)  "Rechte-Nudging".

0

"Am besten dürften wir derzeit damit fahren, Eingriffe in die Vertragsfreiheit auf ein Minimum zu reduzieren und sie, wo erforderlich, im Bereich des Zivilrechts (insbesondere des Vertrags- und ABG-Rechts) und nicht, wie beim TMG und NetzDG, im Bereich öffentlich-rechtlicher Regulierung anzusiedeln. Dann könnte, als Verstärkung selbstgesetzter vertraglicher Standards, auch eine auf die Durchsetzung öffentlichen Ordnungsrechts (einschließlich des Straf- und Ordnungswidrigkeitenrechts) konzentrierte, im besten Sinne staatliche Internet- und Kommunikationskontrolle ihre Wirkung entfalten."

Wenn man das Ganze in den Bereich der Vertragsfreiheit übergebe, würde man also beispielsweise dem Anbieter eines Chatprogramms auch die Gestaltung dahingehend übergeben, ob er die Daten für sich selber unlesbar Ende-zu-Ende verschlüsselt übermittelt und ob er sie nach der Übertragung weiterhin auf dem eigenen Server gespeichert hält oder nicht. Letzteres bietet mehr Sicherheit, ersteres mehr Komfort (weil eine Zustellung auch an weitere Endgeräte möglich ist).

Und dann stehen wir genau vor der gleichen Frage, ob/wie Polizei und Co zugreifen können. Nachrichten, die der Chatanbieter nicht mehr hat, kann er nicht herausgeben. Auch bei Nachrichten, die der Anbieter nicht selber entschlüsseln kann, kann er zwar die ihm vorliegenden Daten herausgeben, aber lesen kanns dann keiner.

Will man also Polizeizugriff auf alle Chatprogramme ermöglichen, muss man auch im Vertragsrecht manche Lösungen verbieten oder stark einschränken, sonst ist die Zugriffsmöglichkeit witzlos. Und das gilt sinngemäß auch für andere Software als Chatprogramme. Will man also Überwachungen ermöglichen, muss man das Vertragsrecht zum Teil erheblich einschränken. Und dabei wird man eher auf § 134 BGB und ein Verbot im öffentlichen Recht zurückgreifen müssen, weil nur dann ein Verstoß auch sanktionierbar ist.

Denn das Vertragsrecht (oder AGB-Recht) selber ist zur Lösung von ordnungsrechtlichen Fragen völlig untauglich. Denn wem hilft es, wenn entsprechende Verträge zwar auf dem Papier unwirksam sind, aber sie dennoch wie unterschrieben durchgeführt werden, weil die Beteiligten es so wollen.

Fazit: Vertragsrechtliche Ansätze haben ohne ordnungsrechtliche Regelung keine echte Wirkung und mit ordnungsrechtlicher Regelung ist ein vertragsrechtlicher Ansatz wegen 134 BGB überflüssig.

 

Der Staat sieht es wohl nicht gerne, wenn verschluesselt wird.

Wer verschluesselt, der soll nun wohl (auch) in der Nacht Polizei-Besuche und Durchsuchungen und Beschlagnahnen erhalten.

Quelle: https://www.heise.de/news/Cyberbunker-Klausel-in-StPO-Durchsuchungen-kuenftig-auch-zur-Nachtzeit-6062828.html

 

0

Quellen-TKÜ beschlossen

 

Der Bundestag hat mit den Stimmen der Koalitionsfraktionen am Donnerstag zwei umstrittene Gesetzentwürfe beschlossen, die die Kompetenzen der Sicherheitsbehörden erweitern. Sowohl Bundespolizei als auch Verfassungsschutz bekommen das Recht, verschlüsselte Nachrichten mithilfe von Quellen-Telekommunikationsüberwachung (TKÜ) auszulesen. In Sicherheitskreisen heißt es, dass 90 Prozent der Kommunikation heute über Telemediendienste wie Facebook, Whatsapp oder Telegram liefen, die die Nachrichten von Ende zu Ende verschlüsseln. Mit der herkömmlichen Telekommunikationsüberwachung können diese Inhalte nicht abgefangen werden.

Mehr auf FAZ Einspruch: https://www.faz.net/einspruch/einigung-im-bundestag-quellen-tkue-beschlossen-17383466.html

 

  Aus der LTO Presseschau vom 7.7.2021:

Quellen-TKÜ/Nachrichtendienste: Rechtsprofessor Ralf Poscher und Postdoc Katrin Kappler analysieren im Verfassungsblog die kürzlich eingeführte Befugnis für die Geheimdienste, künftig mit Hilfe der Quellen-TKÜ auf Chats und Messenger in Mobilgeräten zuzugreifen. Der Gesetzgeber habe verkannt, dass die neu geschaffenen Eingriffsmöglichkeiten einen intensiven Grundrechtseingriff nicht nur in Art. 10 Grundgesetz (GG), sondern auch in das IT-Grundrecht bedeuteten. Er müsse zunächst eine klarere Regelung der neuartigen Form der Quellen-TKÜ vornehmen, aus der hervorgehe, welche Informationen überhaupt erhoben werden dürfen, um eine genaue Abgrenzung zur Online-Durchsuchung zu ermöglichen, meinen die Autoren.

Kommentar hinzufügen