Das Bundeskabinett hat nach einem Bericht von heise online einen Gesetzentwurf zum Onlinerecht durchgewunken, der Besorgnis auslösen sollte. So soll geplant sein, dass Provider Behörden auf Zuruf PIN-Codes und Passwörter ihrer Kunden für Endgeräte und Datenspeicher übermitteln müssen, wobei sogar automatische Schnittstellen vorgeschrieben werden. Nicht mal ein Richtervorbehalt soll für diese weitgehenden Befugnisse vorgesehen sein.
Ähnlich klingende Regelungen gibt es zwar schon im bisherigen § 113 Telekommunikationsgesetz. Allerdings hat das Bundesverfassungsgericht die dortigen Befugnisse als verfassungswidrig betrachtet, so dass eine Neuregelung bis Mitte nächsten Jahres erforderlich ist. Das Gericht hatte gerade die Herausgabepflicht für PIN-Codes als zu weitgehend eingestuft. Theoretisch, so das Gericht, könnten sich Behörden Passwörter geben lassen, obwohl sie gar kein Recht haben, auf die hinter den Passwörtern liegenden Daten oder Geräte zuzugreifen.
Wäre an sich eine restriktivere Lösung zu erwarten, ist die Neuregelung nach Darstellung von heise online eher eine Verschlimmbesserung. So sei der Kreis abfrageberechtigter Stellen nicht hinreichend klar bestimmt. Nach dem jeweiligen Landesrecht könnten sich unabsehbar viele Behörden automatisch bei den Providern bedienen. Außerdem seien nicht einmal Ordnungswidrigkeiten oder Bagatelldelikte von der Regelung ausgenommen.
Offenbar soll es alleine im Ermessen dieser Stellen liegen, ob und welche Informationen sie anfordern. Da die Daten aber auch unter das Fernmeldegeheimnis fallen dürften, wäre an sich ein Richtervorbehalt erforderlich. Die bisherige Fassung des § 113 TKG sieht jedenfalls vor, dass bei Auskunftsverlangen das Fernmeldegeheiminis zu beachten ist. Während laut heise das Bundesinnenministerium keine weitergehenden Befugnisse als bisher sieht, werde gerade das Fehlen von Richtervorbehalten durch viele Provider kritisiert.
Ziemlich weitgehend ist auch das weitere Vorhaben, wonach Provider künftig dynamische IP-Adressen ihren Kunden zuordnen müssen, damit diese Daten dann automatisch abgefragt werden können. Bisher durften dynamische IP-Adressen den Kunden nur zugeordnet werden, wenn eine konkrete Anfrage einging. Es klingt für diesen Bereich nach einer Vorratsdatenspeicherung durch die Hintertür, wenn das alles künftig vorsorglich geschehen muss, damit Behörden ohne Zeitverlust ermitteln können, wem eine IP-Adresse zugeordnet war.
Bemerkenswert ist auch, dass die Abfragen von Behörden den Kunden nicht mitgeteilt werden sollen. Nicht mal eine Informationspflicht nach Abschluss eventueller Ermittlungen ist, so verstehe ich den Bericht, vorgesehen.
So weit ich sehen kann, ist der Gesetzentwurf bislang nicht veröffentlicht. Auch andere Medien wie Zeit online beziehen sich lediglich auf den Bericht von heise. Ministerien sind zwar nicht verpflichtet, Gesetzentwürfe vor der Beratung im Kabinett öffentlich zu machen. Aber sie müssen sie auch nicht unter Verschluss halten. Dass die maßgeblichen Stellen bislang an einer öffentlichen Diskussion kein Interesse hatten, lässt jedenfalls nichts Gutes erwarten.