Unser Grundgesetz garantiert eine Reihe von Bürger*innen- und Freiheitsrechte, welche dem Eingriff des Staates in die freie und umfassende Entfaltung der eigenen Persönlichkeit Grenzen setzen. Dazu gehören neben dem Fernmeldegeheimnis auch die Unverletzlichkeit der Wohnung und das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht). Leider wird die zunehmende Digitalisierung aller Lebensbereiche immer öfter zum Vorwand genommen, die Grundrechte mehr und mehr einzuschränken, oft mit dem Argument eines vermeintlichen Sicherheitsgewinns. Die Digitalisierung darf nicht zum Reflex führen, im digitalen Raum Freiheitsrechte stärker einzuschränken, als in der analogen Welt. Vielmehr müssen wir auch in der digitalen Welt unsere Freiheiten schützen.
Eingriffe in das informationelle Selbstbestimmungsrecht und in die Vertraulichkeit digitaler Systeme dürfen auch im digitalen Netz nur nach strengen gesetzlichen Vorgaben erfolgen. Das digitale Netz ist aber kein rechtsfreier Raum, auch im Netz müssen Straftaten aufgeklärt und verfolgt, Gefahren erkannt und beseitigt werden. Strafverfolgungsmaßahmen dürfen aber nur bei einem konkreten Anfangsverdacht, Gefahrenabwehrmaßnahmen nur bei einem konkreten Gefahrenverdacht und beides mit Richtervorbehalt zugelassen werden. Der nemo-tenetur-Grundsatz, die Grundrechte und der Grundsatz der Verhältnismäßigkeit müssen uneingeschränkt gelten
Mit Blick auf das kommende IT-Sicherheitsgesetz 2.0 fordern wir daher:
1. Recht auf Verschlüsselung und Anonymität
Niemand darf unter einen Generalverdacht gestellt werden, weil er vertrauliche und sichere Kommunikationswege nutzt oder sie anderen zur Nutzung bereitstellt. In Zeiten der weltweit steigenden staatlichen Einflussnahme auf die Funktionsweise und Inhalte zentraler Netzwerkdienste, darf die Nutzung verschlüsselter, dezentraler und/oder anonymer Kommunikationswege nicht kriminalisiert werden, sondern sollte gefördert werden. Für viele Menschen weltweit sind starke Verschlüsselungsmethoden, das TOR-Netzwerk („Darknet“) sowie andere dezentrale Kommunikationswege essenziell, um die Gefahr von Stigmatisierung oder staatlicher Repression zu umgehen.
Gesetzesverschärfungen, die das Zugänglichmachen entsprechender internetbasierter Leistungen oder das Erleichtern von Straftaten unter Strafe stellen, lehnen wir ab. Diese Dienste dienen insbesondere auch Journalist*innen und Whistleblowern, die unter teils hohen persönlichen Risiken für die Allgemeinheit wichtige Informationen aus einem geheimen oder geschützten Zusammenhang an die Öffentlichkeit bringen. Aber auch unabhängig von besonderen beruflichen Geheimhaltungspflichten und -interessen gilt, dass alle Bürger*innen ein Recht auf verschlüsselte Kommunikation haben und dieses weder im Einzelfall noch generell rechtfertigen oder begründen müssen. Messenger-Dienste wie Whatsapp/Telegram sollten ihre Daten zum Schutz der Nutzer*innen ohne Hintertüren verschlüsseln dürfen.
2. Kein Zwang zur Herausgabe von Passwörtern
Das Verbot des Zwangs zur Selbstbelastung und die Aussagefreiheit des Beschuldigten sind im Grundgesetz verankert. Sie sind Ausdruck einer auf der Achtung der Menschenwürde beruhenden rechtsstaatlichen Grundhaltung. Niemand muss sich selbst belasten. Dieser Grundsatz muss auch im digitalen Raum gelten. Einen Zwang zur Herausgabe von Passwörtern oder anderen Zugangsdaten unter Androhung von Beugehaft, lehnen wir als verfassungswidrig ab. Auch die Übernahme von Nutzerkonten durch staatliche Behörden gegen den Willen des Inhabers und die Kontaktaufnahme ggü. Dritten über dieses Konto lehnen wir als unverhältnismäßig ab. Ebenso lehnen wir die Pläne ab, den Strafverfolgungsbehörden anderer EU-Mitgliedstaaten im Rahmen der derzeit auf EU-Ebene verhandelten E-Evidence-Verordnung zu erlauben, Zugangsdaten bei Providern in Deutschland und in anderen Mitgliedstaaten sowie Drittstaaten mittels einer Herausgabeanordnung zu erlangen.
3. Forschung zur IT-Sicherheit und -Schwachstellen nicht kriminalisieren, sondern fördern
Die Arbeit der IT-Sicherheits- und Schwachstellenforschung ist ein essenzieller Beitrag für eine starke IT-Sicherheit und sollte durch Anreizsysteme, wie Bug-Bounty-Programme, gefördert werden. Aktuelle Forderungen nach Einführung eines Tatbestands des „digitalen Hausfriedensbruchs“, der bereits die unbefugte Ingebrauchnahme informationstechnischer Systeme unter Freiheitsstrafe stellen möchte lehnen wir ab, da auch eine Vielzahl alltäglicher Vorgänge betroffen wäre. Es gilt, Rechtsunsicherheiten zu reduzieren, statt neue zu erschaffen. Auch Reverse Engineering, also die Analyse geschlossener Hard- oder Software, indem „rückwärts“ der enthaltene Quellcode extrahiert wird, sollte gefördert werden.
4. Weiterentwicklung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer unabhängigen, defensiven und neutralen Stelle für IT-Sicherheit
4a) Weiterentwicklung des BSI – endlich Unabhängigkeit
Aufgrund der vorgegebenen Interessenkonflikte zwischen Belangen der inneren Sicherheit und denen der Sicherheit und Integrität informationsverarbeitender Systeme, muss das BSI in Anbetracht seiner wachsenden Relevanz aus der fachlichen Weisungsgebundenheit des Bundesministers des Innern, für Heimat und Bau herausgelöst werden. Das könnte z. B. durch Anknüpfung an die Stelle des Bundesdatenschutzbeauftragten oder durch eine vergleichbare organisatorische Ausgestaltung erreicht werden.
4b) Das BSI sollte eine neutrale und defensive Stelle für IT-Sicherheit bleiben und darf nicht selbst zum Angreifer werden
Die Rolle des BSI als neutrale und defensive Stelle für IT-Sicherheit zu Gunsten von Bürger*innen und Unternehmen darf nicht vermischt werden mit staatlichen Verfolgungsinteressen. Dazu muss, z.B. im IT-Sicherheitsgesetz 2.0, eine Bindung der gewonnenen Erkenntnisse und Daten an defensive Zwecke vorgeschrieben werden. Eine Mischlösung, nach denen das BSI Informationen, die es im Vertrauen auf seine Neutralität erhalten hat, für sich oder andere Behörden zurückhält um damit staatliche Eingriffe zu ermöglichen, lehnen wir ab.