"Wir sollten Ermittlungsbefugnisse eher einschränken als ausweiten" – Seite 1

Die Sicherheitsbehörden sollen künftig smarte Lautsprecher oder vernetzte Kühlschränke abhören dürfen. Diese Meldung kursierte in der vergangenen Woche. Sie basierte auf einer Beschlussvorlage der Innenminister, die diese auf der zurzeit stattfindenden Innenministerkonferenz in Kiel besprechen wollen. Zwar ist ein "Alexa-Abhörgesetz" anscheinend in dieser Form nicht geplant. Trotzdem haben Behörden auch heute schon weitreichende Rechte. Doch was dürfen sie genau? Matthias Bäcker ist Professor für Öffentliches Recht, Informationsrecht und Datenschutzrecht an der Universität Mainz und beschäftigt sich mit Big Data und Datenschutz. ZEIT ONLINE hat mit ihm gesprochen.

ZEIT ONLINE: Herr Bäcker, aktuell diskutieren die Innenminister darüber, ob Ermittlerinnen und Ermittler auf die Daten von Smart-Home-Geräten wie Amazon Echo oder Google Home zugreifen dürfen. Was würde sich dadurch ändern?

Matthias Bäcker: Mir ist ehrlich gesagt vollkommen unklar, was die Minister mit der Beschlussvorlage genau verfolgen. Die Behörden dürfen doch jetzt schon alles, ich sehe keinen akuten politischen Handlungsbedarf.

ZEIT ONLINE: Warum nicht?

Bäcker: Weil die Behörden die Daten von komplexen vernetzten Informationssystemen schon auslesen dürfen. Dazu gehören übrigens nicht nur Geräte wie Amazon Echo oder Google Home, sondern auch Smartphones und Navigationsgeräte in Autos.

ZEIT ONLINE: Wann dürfen die Behörden auf meine Geräte zugreifen?

Bäcker: Für eine Wohnungsdurchsuchung reicht der Verdacht einer beliebigen Straftat oder sogar schon eine Ordnungswidrigkeit, dann dürfen die Behörden Gegenstände mitnehmen und auswerten. Theoretisch dürfen Ermittler also Ihre Wohnung durchsuchen, wenn Sie falsch geparkt haben und ein Knöllchen erhalten sollen – obwohl das normalerweise unverhältnismäßig wäre. Anders ist es bei verdeckten Maßnahmen wie Telekommunikationsüberwachungen oder Onlinedurchsuchungen. Damit solche Maßnahmen rechtlich zulässig sind, muss ein schwerwiegender Verdacht von sogenannten Katalogstraftaten vorliegen.

ZEIT ONLINE: Was denn für ein Verdacht?

Bäcker: Etwa auf Mord oder auf das Gründen einer terroristischen Vereinigung. Die rechtlichen Voraussetzungen hängen vom jeweiligen Smart-Home-Gegenstand ab, der überwacht wird, und davon, wie genau die Überwachung technisch abläuft.

ZEIT ONLINE: Wie können Behörden denn überhaupt auf Smart-Home-Geräte zugreifen?

Matthias Bäcker ist Experte für Datenschutz- und Informationsrecht. © Karlsruher Institut für Technologie

Bäcker: Nehmen wir das Beispiel des smarten Lautsprechers Echo. Bei einer Hausdurchsuchung können Ermittler ihn einfach beschlagnahmen und die Daten auswerten, die sich darauf befinden. Ein weiteres Mittel ist die Onlinedurchsuchung: Dabei dürfen sie das Gerät hacken, sodass es dauerhaft mithört und ihnen die gewünschten Daten liefert. Hierfür bestehen besonders strenge Vorgaben, man muss schon äußerst schwere Straftaten verfolgen oder existenzielle Gefahren abwehren. Eine dritte Zugriffsmöglichkeit ist die Telekommunikationsüberwachung, die weniger streng reguliert ist. Dabei wird der Datenverkehr zwischen Gerät und Server mitgeschnitten, also etwa zwischen Echo und den Amazon-Servern. Wenn Ermittlungsbehörden den laufenden Betrieb von Echo heimlich mitschneiden, das Gerät also als Wanze nutzen, gelangen sie dann aber womöglich in den Bereich der akustischen Wohnraumüberwachung. Dieser ist wieder so streng reguliert wie die Onlineüberwachung.

"Wir müssen sensible Daten vor willkürlichen Eingriffen schützen"

ZEIT ONLINE: Nun befinden sich die Sprachaufnahmen ja nicht nur auf dem Echo, sondern irgendwo auf Amazon-Servern in den USA. Wie kommen die Behörden in so einem Fall an die Daten?

Bäcker: Haben die Behörden einen konkreten Verdacht, der mit Echo-Daten womöglich erhärtet werden kann, wenden sie sich direkt an Amazon. Kooperiert das Tech-Unternehmen nicht und verweigert die Datenherausgabe, könnten es die Behörden zur Mitwirkung zwingen oder die verantwortlichen Mitarbeiter wegen Strafvereitelung belangen. Generell ist der Zugriff auf große Tech-Firmen aber schwierig, da diese fast alle im Ausland sitzen. Sie sind oft rechtlich nicht greifbar für deutsche Sicherheitsbehörden. Ich könnte mir daher vorstellen, dass die Innenminister mit ihrer Vorlage Rechtssicherheit schaffen wollen beim Zugriff auf die Daten von großen Unternehmen.

ZEIT ONLINE: Inwiefern?

Bäcker: Wir haben heute schon ein Gesetz, das den Zugriff auf Telekommunikationsdaten regelt. Da steht auch drin, unter welchen Bedingungen Behörden Daten von Unternehmen bekommen können und wann diese kooperieren müssen. Der Zugriff auf andere Daten ist hingegen kaum reguliert, zum Beispiel auf die von Tech-Unternehmen. Mit der Vorlage könnte man Zugang zu diesen Daten ermöglichen und gleichzeitig mehr Rechtssicherheit für die Nutzerinnen und Nutzer schaffen, weil nicht alles ausgewertet werden dürfte. Schließlich sind auch andere Daten sensibel. Sollten die Innenminister die Daten der Menschen besser schützen wollen, wäre das aus meiner Sicht sinnvoll. Ich bezweifle aber, dass das so ist.

ZEIT ONLINE: Was für Regeln würden Sie sich denn wünschen?

Bäcker: Klar, Ermittlern muss es bei einem entsprechenden Verdacht möglich sein, an entscheidende Daten zu gelangen. Aber wir müssen sensible Daten vor willkürlichen Eingriffen schützen. Meiner Ansicht nach sollten wir Ermittlungsbefugnisse eher einschränken als ausweiten. Für den Telekommunikationsbereich haben wir ja wie erwähnt schon strenge Regeln. Auf dieser Grundlage könnte man aufbauen und sie auch für andere Daten nutzen.

ZEIT ONLINE: Sagen wir, die Ermittlerinnen und Ermittler würden an die Daten von Geräten wie Amazon Echo oder Google Home kommen. Sind die als Beweismittel vor Gericht zulässig?

Bäcker: Prinzipiell ja. Manchmal sogar dann, wenn die Ermittler sie rechtswidrig erlangt haben. Es ist für die Strafverfolgungsbehörden aber meist nicht sehr attraktiv, die Ergebnisse einer Online- oder Telekommunikationsüberwachung als Beweise vor Gericht zu verwenden. Sie dienen eher dazu, an weitere Informationen zu gelangen, sind also eher vorbereitende Maßnahmen. Solche Überwachungsdaten nutzen Behörden in aller Regel nur, wenn sie nichts anderes haben.

ZEIT ONLINE: Nun werden Kunden ja nicht gezwungen, sich smarte Geräte ins Haus zu stellen. Provokant gefragt: Sind Konsumentinnen nicht selbst schuld, wenn sie dann überwacht werden?

Bäcker: Den Schuldbegriff halte ich hier für unangebracht. Nur weil man sich ein Gerät ins Haus holt, stimmt man ja nicht völliger Überwachung zu. Aber die Menschen sollten die Risiken besser abwägen und abwägen können. Smart-Home-Produkte sind natürlich bequem und bringen eine Menge Vorteile. Aber man bezahlt dafür nicht nur mit Geld. Jeder Nutzer gibt mit diesen Geräten ein Stück weit Herrschaft über das ab, was andere Personen von ihm wissen. Das muss den Menschen bewusst sein. Wir müssen hier in die Medienkompetenz der Konsumentinnen investieren.

Sicherheitsstandards zu schwächen, um als Behörde erfolgreicher ermitteln zu können – das ist für mich eine rote Linie.
Matthias Bäcker, Professor an der Universität in Mainz

ZEIT ONLINE: Es gibt vom Innenministerium aktuell noch weitere Vorstöße, die die Arbeit von Ermittlern erleichtern soll. Es will etwa Anbieter von Messengerdiensten dazu zwingen, verschlüsselte Nachrichten lesbar zu machen, und Hintertüren in das geplante 5G-Netz einbauen. Für wie sinnvoll halten Sie diese Vorschläge?

Bäcker: Sicherheitsstandards zu schwächen, um als Behörde erfolgreicher ermitteln zu können – das ist für mich eine rote Linie. Jede Sicherheitslücke kann von Dritten ausgenutzt werden, und damit entsteht ein Risiko für die ganze Gesellschaft. Wenn Kommunikationsstrukturen geschwächt werden, können auch Kriminelle diese Lücken ausnutzen. Das ist also nie verhältnismäßig und kann am Ende Menschenleben gefährden.