Recht auf Verschlüsselung? Der Staat muss draußen bleiben
Gespeichert von Dr. Sylvia Kaufhold am
Ende Januar fand im Ausschuss für Inneres und Heimat des Bundestages eine Experten-Anhörung zu einem Antrag der FDP-Fraktion vom November 2018 statt. Die Abgeordneten fordern darin zum Schutz der Privatsphäre und zur Erhöhung der IT-Sicherheit ein „Recht auf Verschlüsselung“. In diesem Sinne seien „Telekommunikations- und Telemedienanbieter zu verpflichten, ihre Kommunikationsdienste nach einer Übergangsfrist für zukünftige technische Systeme als Standard abhörsicher (Ende-zu-Ende verschlüsselt) anzubieten“.
Die Experten befürworteten den FDP-Vorstoß überwiegend (s. Zusammenfassung auf BeckAktuell). Nur Prof. Hendrik Dietrich von der Hochschule des Bundes für öffentliche Verwaltung weist in seiner differenzierten Stellungnahme darauf hin, dass auch Fahndungsinteressen der Sicherheitsbehörden zu berücksichtigen seien: „Der Staat kann es nicht akzeptieren, dass der Vollzug seiner Gesetze durch missbräuchliche Verschlüsselung unmöglich gemacht wird.“ Aber wann ist eine Verschlüsselung missbräuchlich, insbesondere wenn ein „Recht“ auf sie besteht?
Der FDP-Antrag präzisiert nicht, welcher Natur der Rechtsanspruch sein soll und welche Art von Verschlüsselung genau gemeint ist. Aus dem Gesamtzusammenhang wird lediglich erkennbar, dass es nicht nur um die Verschlüsselung von Daten, sondern insbesondere um diejenige der Kommunikationswege geht. Hierzu wird als Beispiel einer „frei verfügbaren und einfach handhabbaren“ Technologie unter Verweis auf eine Studie aus dem Jahr 1998 „GPG“ genannt und auch der Standard „Ende-zu-Ende“ wird lediglich mit „abhörsicher“ umschrieben bzw. gleichgesetzt. Dabei wurde für das „besondere elektronische Anwaltspostfach“ (beA), also einem offiziellen Kommunikationsweg mit Berufsgeheimnisträgern, gerade erst entschieden, dass er nicht unbedingt Ende-zu-Ende verschlüsselt sein muss, um als (rechts-)sicher zu gelten. Auch das De-Mail-Gesetz von 2011 verpflichtet akkreditierte Anbieter zu einer verschlüsselten Übertragung der Nachricht, ohne den „Einsatz einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung)“ vorzuschreiben (§ 5 Abs. 3 De-MailG). Für IT-Insider mag das alles offensichtlich sein, selbsterklärend ist es indes nicht.
Zweifelhaft erscheint auch die Begründung für die Initiative: Argumentiert wird, dass Verschlüsselung den wirtschaftlichen Schaden, der durch unsichere IT-Systeme bzw. „durch Sabotage, Spionage und Datendiebstahl“ entsteht, erheblich begrenzen könne. Zwar könne ein Angreifer etwa einen Datenordner oder eine E-Mail auch dann noch öffnen, den Inhalt könne er aber nicht lesen, „da dies nur mithilfe des passenden Schlüssels oder Passworts möglich ist.“ Diese Sicht scheint der Konzeption der DSGVO zu entsprechen, die unter anderem „die Pseudonymisierung und Verschlüsselung personenbezogener Daten“ als nach den Umständen des Einzelfalles geeignete Schutzmaßnahme nennt, die im Falle von Datenpannen insbesondere von der Pflicht zur Benachrichtigung des Betroffenen befreien kann (Art. 32 Abs. 1 lit. a), 34 Abs. 3 lit. a) DSGVO). Jedoch lässt sich aus dieser nur unter bestimmten Umständen und im eigenen Interesse bestehenden Obliegenheit noch keine generelle Verpflichtung gegenüber den Betroffenen herleiten, was letztlich auf ein Verbot unverschlüsselter Kommunikation oder Datenablage hinausliefe. Es wäre ungefähr so, als würde man Hotelbetreibern den Einbau von Zimmer-Safes vorschreiben, weil man sie für unfähig hält, bereits die Zugänge zum Hotel und zu den Zimmern adäquat zu sichern. Aber auch den Gästen wird hier etwas aufgedrängt oder zumindest nahegelegt, was sie vielleicht gar nicht nutzen möchten. Bezahlen müssen sie es über erhöhte Zimmerpreise ohnehin, denn der staatlich verordnete Umbau finanziert sich ja nicht von selbst.
Gerade für eine liberale Partei mutet diese Art von Rechte-Nudging, dem ja auf Seiten der betroffenen (auch ausländischen?) IT-Unternehmen handfeste Pflichten und ein hoher Regulierungsaufwand gegenüberstehen, doch recht seltsam an. Warum soll es ausgerechnet in der Frage der Verschlüsselung nicht der – immer noch relativ junge und sich stetig verändernde – IT-Markt richten, wo es doch in erster Linie um den Schutz und die Sicherheit der eigenen Daten der Marktteilnehmer geht? Ist es zum Schutz des in Art. 10 GG verbürgten (Brief-, Post- und) Fernmeldegeheimnisses tatsächlich geeignet, erforderlich und angemessen, jedwede elektronische Kommunikation als Standard technisch absolut zugriffs- und abhörsicher auszugestalten? Oder geht es umgekehrt darum, gegenläufigen Tendenzen aus Sicherheitskreisen, die Kryptographie- und Verschlüsselungstechniken zur Eindämmung des „Going-Dark-Problems“ lieber früher als später verbieten würden, entgegenzuwirken und ihnen einen gesetzgeberischen Riegel vorzuschieben? Letzteres liegt nahe, denn im FDP-Antrag wird die Bundesregierung explizit aufgefordert, „sich gegen gesetzliche Beschränkungen oder Verbote kryptographischer Sicherungssysteme auszusprechen, den Einsatz von sogenannten Backdoors zu verurteilen und eine staatliche Beteiligung an digitalen Grau- und Schwarzmärkten für Sicherheitslücken abzulehnen.“ Mit „Backdoors“ sind Sollbruchstellen gemeint, die aufwendig in Geräten und Software versteckt werden müssen, im Zweifel aber nicht nur für staatliche Stellen zugänglich sind, sondern auch für Hacker und Cyberkriminelle auffindbar und somit kommerzialisierbar bleiben. Solche die allgemeine IT-Infrastruktur schwächende Hintertüren gelten daher eher als meldepflichtiges Sicherheitsrisiko, denn als geeignetes Mittel für eine nur in Ausnahmefällen legitime staatliche Kommunikationskontrolle.
Unklar bleibt allerdings, wie sonst der ausnahmsweise Zugriff von Ermittlungs- und Sicherheitsbehörden insbesondere im Falle schwerer Straftaten und Gefahren (vgl. § 100a StPO) technisch und rechtlich ermöglicht werden soll. Die von der Bundesregierung im Zusammenhang mit den Gesetzentwürfen zur Bekämpfung von Hasskriminalität und zur Änderung des NetzDG geplanten weiteren Maßnahmen, insbesondere eine Verpflichtung der Diensteanbieter zur Herausgabe von Schlüsseln, Passwörtern und anderen Nutzerdaten, wurde nicht nur seitens der Internetwirtschaft als „großer Lauschangriff“ scharf kritisiert. Unklar ist auch, ob und inwieweit die derzeit im Aufbau befindliche, neue Mobilfunkgeneration 5G standardmäßig eine Ende-zu-Ende-Verschlüsselung aufweist bzw. aufweisen sollte. Das letzte Wort ist hier also noch lange nicht gesprochen.
Möglicherweise sollte auch stärker nach der Funktionsweise des jeweiligen Kommunikationsmittels, d.h. danach unterschieden werden, ob die ausgetauschten Inhalte, wie beim Telefonieren, sofort wieder „verpuffen“ oder ob sie in irgendeiner Form (schriftlich oder als Audiodatei) aufgezeichnet und für eine gewisse Zeit gespeichert werden wie z.B. beim schon jetzt Ende-zu-Ende verschlüsselten Nachrichten-Dienst WhatsApp. Im ersten Fall können die Inhalte nur durch Abhören in Echtzeit staatlicherseits gesichert werden, im letzten Fall könnte ein auf die (unverschlüsselten bzw. entschlüsselten) Inhalte des Accounts bezogener Herausgabeanspruch gegenüber dem Diensteanbieter genügen. Es fragt sich außerdem, was eine Ende-zu-Ende-Verschlüsselung Wert ist und welchen Einfluss es auf die Gesamtbeurteilung hat, wenn der Nachrichten-Dienst standardmäßig eine Weiterleitungs- und Freigabefunktion vorsieht.
Dass bei den Fragen rund um die Ver- und Entschlüsselung von Daten und Kommunikationswegen noch grundsätzlicher Klärungsbedarf besteht, verkennt auch die FDP nicht. Denn sie verlangt, nicht nur die Weiterentwicklung von Verschlüsselungstechnologien und sicheren Speichersystemen, sondern auch von „qualifizierten Zugriffs- und Berechtigungslogiken konsequent voranzutreiben“. Solange aber nicht klar und zu Ende diskutiert ist, ob und wie Verschlüsselungen bei Bedarf auch wieder sicher entschlüsselt werden können (sollen), solange sollten auch keine entsprechenden Rechtsansprüche und damit einhergehend technologisch und rechtlich unausgereifte Fakten geschaffen werden.
Deutschland sollte sich davor hüten, wie schon beim Anonymitätsgrundsatz des § 13 Abs. 6 TMG, weitreichende, in ihrer praktischen Ausgestaltung und symbolhaften Wirkung aber äußerst problematische Grundsätze über das „Wesen“ des Internets festzuschreiben. Am besten dürften wir derzeit damit fahren, Eingriffe in die Vertragsfreiheit auf ein Minimum zu reduzieren und sie, wo erforderlich, im Bereich des Zivilrechts (insbesondere des Vertrags- und ABG-Rechts) und nicht, wie beim TMG und NetzDG, im Bereich öffentlich-rechtlicher Regulierung anzusiedeln. Dann könnte, als Verstärkung selbstgesetzter vertraglicher Standards, auch eine auf die Durchsetzung öffentlichen Ordnungsrechts (einschließlich des Straf- und Ordnungswidrigkeitenrechts) konzentrierte, im besten Sinne staatliche Internet- und Kommunikationskontrolle ihre Wirkung entfalten. In jedem Fall sind Maßnahmen des deutschen Gesetzgebers mit den ihrerseits zahlreichen und unübersichtlichen (bereits verabschiedeten oder geplanten) Gesetzesinitiativen der EU im Bereich des digitalen Binnenmarkts (insbes. Daten- und Datenvertragsrecht, E-Commerce und Plattformverträge, Telekommunikations- und Telemedienrecht) zu koordinieren.
Wenn die EU als Rechtsgemeinschaft überleben und überzeugen will, müssen – nicht nur im Bereich der Digitalisierung – die wesentlichen Grundsätze europäisch einheitlich geregelt werden, die Detailausführung kann und sollte dann den Mitgliedstaaten überlassen bleiben. Zu den wesentlichen Grundsätzen gehört aber auch die Frage, ob und wem gegenüber es im digitalen Raum ein „Recht“ auf Anonymität, Pseudonymität sowie, damit zusammenhängend, auf Ver- und Entschlüsselung geben sollte oder nicht. Auf einen nationalen Alleingang sollte Deutschland auch hier verzichten.