11/18/2015, 16:08
Pet 1-17-06-90-041711
Post- und Telekommunikation
Der Deutsche Bundestag hat die Petition am 05.03.2015 abschließend beraten und
beschlossen:
Das Petitionsverfahren abzuschließen, weil dem Anliegen nicht entsprochen werden
konnte. Begründung
Mit der Petition wird gefordert, dass Daten im Zusammenhang mit De-Mail-Diensten
bei einer Neufassung des § 113 Abs. 1 Satz 2 Telekommunikationsgesetz von jedem
Auskunftsanspruch ausgeschlossen werden.
Zu diesem Thema liegen dem Petitionsausschuss eine auf der Internetseite des
Deutschen Bundestages veröffentlichte Eingabe mit 197 Mitzeichnungen und
15 Diskussionsbeiträgen sowie mehrere Eingaben mit verwandter Zielsetzung vor,
die wegen des Sachzusammenhangs einer gemeinsamen parlamentarischen
Prüfung unterzogen werden. Es wird um Verständnis gebeten, dass nicht auf alle der
vorgetragenen Aspekte im Einzelnen eingegangen werden kann.
Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass es zur
Gewährleistung der Vertrauenswürdigkeit des für rechtssichere Kommunikation
gedachten De-Mail-Systems unabdingbar sei, dass nur der Inhaber des
De-Mail-Kontos und der De-Mail-Anbieter die zur Identifikation notwendigen Daten,
wie insbesondere Passwörter für De-Mail-Konten, daraus berechnete Hashwerte
sowie sonstige dem Einloggen oder der Identifikation dienende
Transaktionsnummern (TANs) oder persönliche Identifikationsnummern (PINs),
besitzen dürften. Würden die Daten an Dritte, insbesondere auch an staatliche
Stellen, weitergegeben werden, so würden zwangsläufig weitere Personen die zur
Identifikation beim Einloggen notwendigen Daten erfahren. Dies würde der
gebotenen rechtssicheren Feststellung der Identität beim Einloggen ins
De-Mail-System zuwiderlaufen, da in einem solchen Fall einem Identitätsdiebstahl
Vorschub geleistet werden würde. Für Ermittlungen wegen Straftaten, die mit
lebenslänglicher Freiheitsstrafe geahndet werden könnten, und Straftaten nach
§§ 129a, 263, 263a, 267 - 271 Strafgesetzbuch (StGB) sowie Untersuchungen in
Bezug auf eventuelle Manipulationen am De-Mail-System und Einhaltung der
Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik
(BSI) könnte eine Ausnahme mit Richtervorbehalt vorgesehen werden. In diesem
Fall sei die Nutzung dieser Datensätze oder der Datensätze, aus denen die
Hashwerte berechnet würden, zum Einloggen unverzüglich zu sperren, um eine
missbräuchliche Nutzung zur fälschlichen Identifikation zu vermeiden. Zur
rechtmäßigen Überwachung der Kommunikation eines De-Mail-Nutzers sei die
fälschliche Identifikation gegenüber dem De-Mail-Betreiber im Übrigen nicht
notwendig, da dieser aufgrund des Aufbaus des De-Mail-Systems die
Kommunikation den befugten Stellen zur Verfügung stellen könnte, ohne über die
Identität der nachfragenden Stelle getäuscht werden zu müssen. Die von den
De-Mail-Anbietern vorgenommene und vorgeschriebene Verschlüsselung könne zu
diesem Zweck von selbigen auch entschlüsselt werden, wie es zur Virenprüfung
bereits geschehe. Im Falle einer Ende-zu-Ende-Verschlüsselung würde dagegen
auch die Möglichkeit, sich fälschlich gegenüber dem De-Mail-Anbieter zu
identifizieren, keine weiteren Möglichkeiten zum Überwachen der Kommunikation
oder Entschlüsseln der Daten liefern.
Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
Unterlagen verwiesen.
Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
zu der Eingabe darzulegen. Zudem hat der Ausschuss zu der Eingabe in der
17. Wahlperiode gemäß § 109 Abs. 1 Satz 2 der Geschäftsordnung des Deutschen
Bundestages eine Stellungnahme des Innenausschusses des Deutschen
Bundestages eingeholt, dem der Entwurf eines Gesetzes zur Änderung des
Telekommunikationsgesetzes (TKG) und zur Neuregelung der
Bestandsdatenauskunft (Drs. 17/12034) zur Beratung vorlag und der am 11. März
2013 eine öffentliche Anhörung hierzu durchführte.
Das Ergebnis der parlamentarischen Prüfung stellt sich unter Einbeziehung der
seitens der Bundesregierung sowie des zuständigen Fachausschusses angeführten
Aspekte zusammengefasst wie folgt dar:
Der Petitionsausschuss weist darauf hin, dass der 17. Deutsche Bundestag in seiner
231. Sitzung am 21. März 2013 den Entwurf eines Gesetzes zur Änderung des
Telekommunikationsgesetzes (TKG) und zur Neuregelung der
Bestandsdatenauskunft (Drs. 17/12034) in der Fassung der Beschlussempfehlung
und des Berichts des Innenausschusses (Drs. 17/12879) angenommen hat (vgl.
Plenarprotokoll 17/231). Das Gesetz vom 20. Juni 2013 (BGBl. I S. 1602) ist am
1. Juli 2013 in Kraft getreten.
Alle erwähnten Drucksachen und das Protokoll der Plenardebatte können über das
Internet unter www.bundestag.de eingesehen werden.
Der Ausschuss macht darauf aufmerksam, dass mit dem Gesetz keine neuen
Befugnisse für Behörden geschaffen werden. Vielmehr werden die bestehenden
Befugnisse zur sogenannten Bestandsdatenauskunft in § 113 TKG entsprechend
den Vorgaben des Bundesverfassungsgerichts vom 24. Januar 2012 (1 BvR
1299/05) neu gestaltet und dabei im Hinblick auf die rechtlichen Voraussetzungen
enger gefasst.
Weiterhin merkt der Ausschuss an, dass das am 3. Mai 2011 in Kraft getretene
De-Mail-Gesetz die Mindestanforderungen an einen sicheren elektronischen
Nachrichtenaustausch regelt. Mit De-Mail werden elektronische Nachrichten
verschlüsselt, geschützt und nachweisbar verschickt. Im Gegensatz zur E-Mail
können bei De-Mail aber sowohl die Identität der Kommunikationspartner als auch
der Versand und der Eingang von De-Mails jederzeit zweifelsfrei nachgewiesen
werden. Die Inhalte einer De-Mail können auf ihrem Weg durch das Internet nicht
mitgelesen oder gar verändert werden, da abgesicherte Anmeldeverfahren und
Verbindungen zu den De-Mail-Anbietern ebenso wie verschlüsselte Transportwege
zwischen den De-Mail-Anbietern für einen vertraulichen Versand und Empfang von
De-Mails sorgen.
De-Mail erhöht so die Sicherheit der elektronischen
Kommunikation im Vergleich zur herkömmlichen E-Mail und hilft, Spam und Phishing
zu vermeiden.
In diesem Zusammenhang begrüßt der Ausschuss die Absicht der Bundesregierung,
die Weiterentwicklung und Verbreitung von De-Mail und sicheren
Ende-zu-Ende-Verschlüsselungen sowie vertrauenswürdiger Hard- und Software
erheblich auszubauen.
Nach umfassender Prüfung der Sach- und Rechtslage stellt der Ausschuss fest, dass
weder nach dem Gesetz zur Änderung des Telekommunikationsgesetzes und zur
Neuregelung der Bestandsdatenauskunft noch nach sonstigen Rechtsvorschriften
Auskunftsansprüche, die die Vertraulichkeit der Zugangsdaten zum De-Mail-Dienst
beeinträchtigen können, bestehen.
Im Einzelnen weist der Ausschuss darauf hin, dass das De-Mail-Gesetz selbst
Auskunftsansprüche in § 16 regelt. Danach darf der Diensteanbieter unter
bestimmten Voraussetzungen nur Auskunft über Namen und Anschrift eines Nutzers
an Dritte erteilen, wenn dies zur Verfolgung eines Rechtsanspruches gegen den
Nutzer erforderlich ist und sich die Auskunft auf ein Rechtsverhältnis zwischen dem
Dritten und dem Nutzer bezieht, das unter Nutzung von De-Mail zustande gekommen
ist.
Nach § 16 Abs. 8 De-Mail-Gesetz bleiben nach anderen Rechtsvorschriften
bestehende Regelungen zu Auskünften gegenüber öffentlichen Stellen unberührt. In
anderen Rechtsvorschriften bestehen allerdings keine Auskunftsrechte im Hinblick
auf Zugangsdaten zum De-Mail-Dienst. Dies gilt auch für den in der Petition
genannten § 113 TKG.
Der Ausschuss macht darauf aufmerksam, dass § 113 TKG die Auskünfte über
Bestandsdaten regelt. Dabei handelt es sich nach § 3 Nr. 3 TKG um Daten eines
Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder
Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben
werden. Die Daten zum Einloggen in den De-Mail-Dienst oder zur Identifikation im
De-Mail-Verkehr, um die es in dem Anliegen geht, sind allerdings keine
Bestandsdaten und fallen damit nicht unter das Auskunftsrecht nach § 113 TKG.
Zwar können gemäß § 113 Abs. 1 Satz 2 TKG auch Daten, mittels derer der Zugriff
auf Endgeräte oder in diesen oder im Netz eingesetzte Speichereinrichtungen
geschützt wird, von der Verpflichtung zur Bestandsdatenauskunft nach § 113 Abs. 1
Satz 1 TKG erfasst sein. Dies gilt aber nur, wenn die Daten auch als Bestandsdaten
vom Anbieter gespeichert werden. Das ist insbesondere bei der sog. PIN und PUK
von SIM-Karten für Mobiltelefonie der Fall.
Der Petitionsausschuss hebt jedoch hervor, dass De-Mail-Anbieter gemäß § 18
Abs. 2 Satz 2 De-Mail-Gesetz in Verbindung mit Teil 2.1 Kapitel 3.5 der Technischen
Richtlinie 01201 De-Mail des BSI Passwörter für De-Mail nicht in einem im Klartext
wiederherstellbaren Format speichern dürfen. Beim Authentisierungsniveau „hoch"
ist eine Authentifizierung zudem ohnehin nur mittels des allein im Besitz des Nutzers
befindlichen „Tokens" (z. B. des neuen Personalausweises) möglich.
Eine Auskunft über diese Daten durch den Diensteanbieter ist damit schon rein
tatsächlich ausgeschlossen. Einer gesetzlichen Klarstellung bedarf es daher nach
Auffassung des Petitionsausschusses nicht.
Nach den vorangegangenen Ausführungen hält der Petitionsausschuss die geltende
Rechtslage für sachgerecht und vermag das mit der Petition verfolgte Anliegen
mithin nicht zu unterstützen.
Vor diesem Hintergrund empfiehlt der Petitionsausschuss, das Petitionsverfahren
abzuschließen, weil dem Anliegen nicht entsprochen werden konnte.Begründung (pdf)