Gibt es ein Recht auf Ende-zu-Ende-Verschlüsselung?
Erst Cameron, dann Obama, jetzt auch de Maiziere: Vermehrt fordern Politiker westlicher Staaten in diesen Tagen ein „Verschlüsselungsverbot“. Oder, genauer: Nicht jede Verschlüsselung soll untersagt werden. Eine Verschlüsselung, die aber auch den Staat ausschließt, insbesondere also die Ende-zu-Ende-Verschlüsselung, soll nach Auffassung dieser Politiker zukünftig verboten sein. Keine Verschlüsselung also mehr, wenn der Staat keine „Backdoor” hat und auf die ein oder andere Weise mitlesen kann.
Betrachtet man diese Forderung aus rechtlicher Perspektive, wirkt sie auf den ersten Blick unproblematisch. Es gibt aus verfassungs-, bzw. grundrechtlicher Perspektive kein schrankenloses „Recht auf Verschlüsselung“. Zwar schützt das Telekommunikationsgeheimnis (Art. 10 GG, Art. 8 Abs. 1 EMRK, Art. 7 EU-GrCh) die Fernkommunikation vor staatlicher Einsichtnahme. Aber dieses Grundrecht ist eben nicht schrankenlos gewährleistet. Art. 10 GG sagt:
(1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.
(2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. Dient die Beschränkung dem Schutze der freiheitlichen demokratischen Grundordnung oder des Bestandes oder der Sicherung des Bundes oder eines Landes, so kann das Gesetz bestimmen, daß sie dem Betroffenen nicht mitgeteilt wird und daß an die Stelle des Rechtsweges die Nachprüfung durch von der Volksvertretung bestellte Organe und Hilfsorgane tritt.
Ähnliches gilt auch für die Verankerungen des Fernmeldegeheimnisses in Art. 8 EMRK und Art. 7 EU-GrCh: Auch dort ist das Telekommunikationsgeheimnis kein schrankenloses Grundrecht, staatliche Eingriffe sind zulässig. Wenn die rechtlichen Voraussetzungen eingehalten sind, dann darf der Staat also Fernkommunikation mitlesen bzw. mithören.
Verbot technischer Schutzwaffen?
Dass der Staat verhindern will, dass ein einschränkbares Grundrecht auf technischer Ebene zum schrankenlosen Grundrecht wird, ist insofern verfassungsrechtlich unbedenklich. Der Staat darf seine Schranken-Zugriffsmöglichkeit rechtlich absichern. Es handelt sich um eine Präventivmaßnahme, die erst dann zur Anwendung kommt, wenn Eingriffe in das betreffende Grundrecht zulässig sind. Mit derselben Rechtfertigung kann der Staat z.B. Versammlungsteilnehmern untersagen, Schutzwaffen wie Körperpanzerung zu tragen.
Auch aus einer eher rechtsphilosophischen Perspektive ist an dem Vorhaben von Cameron, Obama und de Maiziere nichts auszusetzen. Wer (wie z.B. Edward Snowden) Verschlüsselung als Abwehrmaßnahme gegen staatliche Übergriffe propagiert, mag inhaltlich damit Recht haben. Eine gegen den Staat gerichtete „digitale Selbstverteidigung“ ist verfassungsrechtlich aber auf Ebene des Widerstandsrechts (Art. 20 Abs. 4 GG) einzuordnen. Solche Maßnahmen können gerechtfertigt und zulässig sein; aber nur, wenn demokratische Grundwerte bedroht sind und der Staat selbst diese nicht mehr verteidigt. Einen solchen „Verteidigungsfall der Demokratie“ kann man in der aktuellen Situation sicherlich diskutieren – im Ergebnis muss man ihn aber ablehnen (so auch Brüggemann, in: Telemedicus (Hrsg.), Überwachung und Recht, 165, 183 f. [PDF]).
Die Frage eines „Verschlüsselungsverbotes“ ist damit eine des einfachen Rechts – und hier hat der Staat weitgehende Gestaltungsfreiheit. Er kann weitgehend selbstständig entscheiden, was er für legal oder für illegal erklärt. Ebenso kann er (relativ) frei wählen, welche Methoden der Rechtsdurchsetzung er wählt.
Rechtsdurchsetzung ist ein Problem
Gerade die Rechtsdurchsetzung ist aber das Problem. Eine effektive Durchsetzung eines „Verschlüsselungsverbotes“ wäre technisch nur umsetzbar, entweder indem der Staaat die Kommunikationsnetze flächendeckend überwachen und verschlüsselte Inhalte ausfiltern lässt – oder indem er generell die Nutzung von Verschlüsselungssoftware untersagt, die keine staatliche Backdoor offen lässt, und dieses Verbot flächendeckend durchsetzt. Beide Maßnahmen sind faktisch kaum umsetzbar und potentiell mit hohen Kosten und Grundrechtseingriffen verbunden.
Für eine flächendeckende Internetfilterung müsste für viel Geld die entsprechende Infrastruktur errichtet werden – und diese könnte als „Zensur-Infrastruktur“ dann schnell zweckentfremdet werden. Beispiele wie die Türkei, wo Präsident Erdogan solche Filtertechnik als Teil innenpolitischer Auseinandersetzungen einsetzt, zeigen wie naheliegend diese Befürchtungen sind.
Und auch die Kontrolle über Software auf den Endgeräten setzt einen nahezu totalitären Anspruch des Staates voraus. Hinzu kommt, dass Verschlüsselung ja nicht nur terroristischen Zwecken dient, sondern eine unverzichtbare und technisch übliche Maßnahme der IT-Sicherheitstechnik ist. Fast jede Fernkommunikation mit sensiblen Daten wird durch Verschlüsselung abgesichert: Jede Mobilfunkverbindung, jeder Aufruf einer Webseite beim Onlinebanking, (fast) jede Anmeldung auf passwortgeschützten Seiten. Wenn der Staat verlangt, dass in solche Verschlüsselungsverbindungen zwingend staatliche „Hintertüren“ einzubauen sind, schwächt er die IT-Sicherheit insgesamt – auf Kosten der Bürger. Wie Cory Doctorow schon zum Vorschlag von Cameron treffend zusammengefasst hat:
This, then, is what David Cameron is proposing:
• All Britons‘ communications must be easy for criminals, voyeurs and foreign spies to intercept
• Any firms within reach of the UK government must be banned from producing secure software
• All major code repositories, such as Github and Sourceforge, must be blocked
• Search engines must not answer queries about web-pages that carry secure software
• Virtually all academic security work in the UK must cease — security research must only take place in proprietary research environments where there is no onus to publish one’s findings, such as industry R&D and the security services
• All packets in and out of the country, and within the country, must be subject to Chinese-style deep-packet inspection and any packets that appear to originate from secure software must be dropped
• Existing walled gardens (like Ios and games consoles) must be ordered to ban their users from installing secure software
• Anyone visiting the country from abroad must have their smartphones held at the border until they leave
• Proprietary operating system vendors (Microsoft and Apple) must be ordered to redesign their operating systems as walled gardens that only allow users to run software from an app store, which will not sell or give secure software to Britons
• Free/open source operating systems — that power the energy, banking, ecommerce, and infrastructure sectors — must be banned outright.
Es spricht insofern vieles für die Annahme, dass die zwingende Einführung von „Backdoors“ für die Bürger real eher einen Verlust statt einen Gewinn an Sicherheit bedeuten würde. Die Maßnahme wäre dann (je nach Abwägungsmaßstab) aus verfassungsrechtlicher Sicht entweder bereits ungeeignet oder zumindest unverhältnismäßig. Es käme insofern aber vor allem auch auf die Einzelheiten an. Und über abstrakte politische Ankündigungen hinaus haben Obama, Cameron und de Maiziere sich bisher noch nicht konkretisiert.
Cory Doctorow zur Umsetzbarkeit eines Verschlüsselungsverbots.
Zeit Online zu „Cryptowars”.
Sebastian Brüggemann hat im Telemedicus-Tagungsband zu „Digitaler Selbstverteidigung” geschrieben (ab S. 165).
