Thilo Reimers Rechtsanwalt, Dipl. Volkswirt, Würzburg
PIN, TAN und Passwörter sind sicher
Das Bundesverfassungsgericht hat wieder zur informationellen Selbstbestimmung
geurteilt (AZ: 1 BvR 1299/05). Vor wenigen Tagen wurde das volle Urteil veröffentlicht.
Es ging dabei um folgende Fragen:
§ 111 Telekommunikationsgesetz (TKG) legt fest, dass Provider, also Anbieter von Festnetz, von Internet und Mobilfunk, folgende Daten von ihren Kunden erfassen müssen:
Rufnummer, Name, Anschluss, Geburtsdatum und Handygerätenummer
(in der Regel die sog. MAC-Adresse).
§ 112 TKG erlaubt Polizei, Gerichten, Zoll und Verfassungsschutz die eben genannten Daten jederzeit abzufragen.
§ 113 TKG verpflichtet die Provider schließlich dazu, auch Passwörter, PIN und PUK
herauszugeben. Das zeigt, dass der sog. PIN oder auch das Passwort am Handy keineswegs so geheim sind, wie der Nutzer glaubt. Dem Provider sind sie bekannt.
Zu § 113 TKG gehört auch die Zuordnung sog, dynamischer IP-Adressen. Wer im Internet surft erhält eine IP-Adresse. Dies ist wie ein Autokennzeichen, dass dem Provider und damit den Ermittlungsbehörden erlaubt festzustellen, wer wo surft. Weil die Zahl der IP-Adressen inzwischen zu klein geworden ist, werden jeden Tag neue IP-Adressen verteilt. Das Autokennzeichen wechselt also quasi jeden Tag. Der Provider (und erst recht die Suchmaschine!) kann so das Surfverhalten des Endnutzers erkennen und verfolgen.
Um es kurz zu machen: § 111 und § 112 TKG wurde letztendlich vom Bundesverfassungsgericht durchgewunken. Nur bei § 113 sah das Bundesverfassungsgericht eine Grundrechtsverletzung.
Das Recht auf informationelle Selbstbestimmung dünkt das Bundesverfassungsgericht in Art. 2 Abs. 1 i. V. m. IVM Art. 1 Abs. 1 GG.
Das Gericht sieht grdstzl. eine Gefährdung und eine Verletzung der Persönlichkeit durch moderne EDV gegeben. Der Schutz der freien Entfaltung der Persönlichkeit gewährleiste, dass persönliche Daten durch den Einzelnen freiwillig preisgegeben werden müssen. Es gäbe angesichts der Verarbeitungs- und Verknüpfungsmöglichkeiten praktisch keine belanglosen personenbezogenen Daten mehr.
Die Vorschrift des § 113 TKG diene alleine der Übermittlung von Daten. Sie setze seitens der auskunftsberechtigten Behörde eine eigene Erhebungsbefugnis voraus.
§ 113 Abs. 1 S. 1 TKG sei verfassungskonform so auszulegen, dass er eine Zuordnung dynamischer IP-Adressen nicht erlaube.
§ 113 Abs. 1 S. 1 TKG könne auch nicht so verstanden werden, dass die Vorschrift alle Voraussetzungen für den Datenabruf selbst schaffe. Der Bund habe im Rahmen von § 113 TKG lediglich die Grundlagenkompetenz. Es bedürfe klarer Bestimmungen, welche Behörden konkret zur Datenübermittlung verpflichtet sein sollen.
§ 113 Abs. 1 S.2 TKG verstoße gegen den Verhältnismäßigkeitsgrundsatz.
Der Zugriff auf PIN, PUK und Passwörter sei für die effektive Aufgabenwahrnehmung der betroffenen Behörden nicht erforderlich.
Die Herausgabe sog. Zugangssicherungscodes setze voraus, dass eine richterliche Anordnung oder Bestätigung vorlege. Dies sei in der Vorschrift so nicht vorgesehen.
Es sei beispielsweise, die Beschlagnahme eines Mobiltelefons und das Auslesen des Inhalts in § 98 Abs. 1 und Abs. 2 StPO geregelt. Es sei kein Grund ersichtlich, warum unabhängig von diesen Vorschriften das Auslesen beispielsweise eines Telefons erlaubt sein soll.
Der Verhältnismäßigkeitsgrundsatz gebiete die Erhebung der Zugangscodes ausnahmslos unter solche Voraussetzung zu stellen, die für den eingriffsintensivste
(die maximale) Nutzungsmöglichkeit gegeben sein müssten. Erforderlich für eine effektive Strafverfolgung und Gefahrenabwehr sei lediglich, die Auskunftserteilung über solche Zugangssicherungen an diejenigen Voraussetzungen zu binden, die bezogen auf den in der Abfragesituation damit konkret erstrebten Nutzungszweck zu erfüllen sind.
Damit sei § 113 Abs. 1 S. 2 TKG nicht nichtig, sondern er sei nur unvereinbar mir dem GG. Bis längstens 30.06.2013 könne die Vorschrift noch übergangsweise gelten. Dann müsse der Gesetzgeber eine verfassungskonforme Vorschrift erlassen.