Suchen

IT-Sicherheit und politische Vorhaben Passwort-Herausgabe stoppt keine Hasskriminalität

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Vorhaben, die die Sicherheit erhöhen sollen, an anderer Stelle aber für Unsicherheit sorgen könnten, müssen immer kritisch betrachtet werden. Ein Beispiel ist die Herausgabe von Passwörtern. Hassbotschaften im Netz müssen bekämpft werden, aber mit anderen Maßnahmen. Richtlinien des Europäischen Datenschutzbeauftragten zeigen den Weg, wie man es verhindert, den Datenschutz auszuhöhlen.

Firmen zum Thema

Das geplante „Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ sorgt für viel Kritik von unterschiedlichen Interessengruppen.
Das geplante „Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ sorgt für viel Kritik von unterschiedlichen Interessengruppen.
(Bild: gemeinfrei / Pixabay )

Es ist nicht unüblich, dass neue Gesetzesvorhaben auf Kritik stoßen, denn es gibt immer jemanden, der sich durch neue oder geänderte Vorgaben benachteiligt sieht. Bei dem geplanten Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität kommt jedoch Kritik auf breiter Front. So melden sich nicht nur Branchenverbände wie der Digitalverband Bitkom oder der Verband der Internetwirtschaft eco zu Wort, sondern auch der Deutsche Anwaltverein, der Deutsche Gewerkschaftsbund, die Bundesärztekammer und der Deutsche Städte- und Gemeindebund, um nur einige Beispiele zu nennen.

An dem Ziel des geplanten Gesetzes wird niemand etwas auszusetzen haben, ganz im Gegenteil. Es geht um Maßnahmen zur intensiveren und effektiveren Bekämpfung des Rechtsextremismus und der Hasskriminalität, so das Bundesjustizministerium. Als zentrale Neuerung im Netzwerkdurchsetzungsgesetz ist die Verpflichtung sozialer Netzwerke vorgesehen, dem Bundeskriminalamt (BKA) als Zentralstelle bestimmte strafbare Inhalte zu melden, die den sozialen Netzwerken durch eine Beschwerde bekannt und von ihnen entfernt oder gesperrt wurden.

Betrachtet man aber die geplanten Maßnahmen, sind Punkte darunter, die aus Sicht des Datenschutzes und der IT-Sicherheit zumindest einmal unklar, wenn nicht kritisch sind. Entsprechend hat sich auch der Bundesdatenschutzbeauftragte (BfDI) zu Wort gemeldet.

„Die Erweiterung der Auskunft zu Nutzungs- und Bestandsdaten, insbesondere auf Zugangsdaten und Passwörter hält der BfDI für unverhältnismäßig“, so Ulrich Kelber. „Gesetzeskonform arbeitende Telemedienanbieter speichern Passwörter heute als sogenannten Hash-Wert und können diese deshalb nicht herausgeben. Um die Herausgabe von Passwörtern an Sicherheitsbehörden möglich zu machen, müssten die Anbieter datenschutzrechtliche Vorgaben verletzen. Dies konterkariert die Datensicherheit und den Datenschutz massiv“.

Passwörter müssen geschützt werden

Datenschutzaufsichtsbehörden haben schon mehrfach auf die Bedeutung der Passwortsicherheit und die entsprechenden Forderungen der Datenschutz-Grundverordnung (DSGVO) hingewiesen. „Passwörter sollen grundsätzlich nicht weitergegeben werden“, sagt zum Beispiel der Landesdatenschutzbeauftragte von Baden-Württemberg. Passwörter sind keinesfalls im Klartext zu speichern. Zudem wird die Zwei-Faktor-Authentifizierung empfohlen.

Während die Branche versuche, mit der Erfüllung der strikten Vorgaben der Datenschutz-Grundverordnung die Datensicherheit zu erhöhen, fordere ausgerechnet das Justizministerium die Herausgabe von Passwörtern und anderen höchstpersönlichen Daten und forciere damit einen massiven Eingriff in Datenschutz, Bürgerrechte und das Fernmeldegeheimnis, so eco Vorstandschef Oliver J. Süme. Faktisch werde damit eine umfassende Onlinedurchsuchung möglich, einschließlich Zugriff auf Kommunikationsinhalte wie E-Mails, in der Cloud hinterlegte Fotos, Dokumente etc.

„Herausgabe vertraulicher Passwörter ohne richterlichen Beschluss, automatisierte Weiterleitung von IP-Adressen in Verdachtsfällen - wir sind erstaunt, dass solche Vorschläge aus jenem Ministerium propagiert werden, das sich den Datenschutz besonders groß auf die Fahnen geschrieben hat“, so auch Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder.

Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) kritisiert, dass die vorgeschlagene Regelung zur Passwort-Herausgabe die IT-Sicherheit Deutschlands irreparabel gefährdet und lehnt jede Aufweichung der Vertraulichkeit von Passwörtern ab.

Auch im Bundestag wurde parteiübergreifend darauf hingewiesen, „dass das Verlangen der Herausgabe von Passwörtern problematisch sei und "nur unter Nehmung hoher Hürden" wie dem Richtervorbehalt angedacht werden könne.“. Das Bundesjustizministerium hat inzwischen Anpassungen an dem Gesetzesentwurf und eine Klarstellung zugesagt.

Wie neue Gesetze besser den Datenschutz einhalten

Das geplante Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität darf nicht der europäischen Datenschutz-Grundverordnung widersprechen, das sehen alle Beteiligten so und wird auch ausdrücklich von dem Bundesjustizministerium betont.

Es stellt sich also die Frage, wie man Gesetzesvorhaben besser gestalten kann, um von Anfang an sicherzustellen, dass die gewünschte Erhöhung der Sicherheit nicht an anderer Stelle die Sicherheit und den Datenschutz gefährden kann, wie dies im Fall einer Herausgabe unverschlüsselter Passwörter der Fall gewesen wäre.

Der Europäische Datenschutzbeauftragte hatte in einem anderen Zusammenhang darauf hingewiesen, wie sich Gesetzesvorhaben besser mit der DSGVO in Einklang bringen lassen. Dazu muss man zuerst einmal die Notwendigkeit der geplanten Maßnahme und dann die Erforderlichkeit der Einschränkungen im Datenschutz betrachten.

Dazu gehören Schritte bei der Planung neuer Gesetze wie „Feststellung der durch die Datenverarbeitung eingeschränkten Grundrechte und Grundfreiheiten: Wählen Sie die Option, die effektiv und am wenigsten störend ist. Die Maßnahme sollte wirklich wirksam sein und die betreffenden Rechte am wenigsten beeinträchtigen.“

Bereits die Überlegung, ob die Maßnahme „Passwort-Herausgabe“ wirklich wirksam gegen Hasskriminalität und Rechtsextremismus ist, und die Prüfung, ob es nicht Maßnahmen gibt, die den Datenschutz weniger einschränken, hätte viel an Kritik erspart, denn was genau soll die Herausgabe von Passwörtern bringen, insbesondere wenn sie nach DSGVO verschlüsselt sein sollen?

Bei neuen Gesetzesvorhaben bleibt zu wünschen, dass der Datenschutz immer im Blick ist und keine unnötigen Einschränkungen der Privatsphäre und der Sicherheit geplant werden, die zudem dem Ziel des Gesetzes gar nicht dienen können.

(ID:46346646)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst, Influencer und News Analyst / Commentator bei Insider Research