© Achisatha-Khamsuwan, 123RF

Der Deutsche Bundestag verschärft die Bekämpfung illegaler Inhalte im Netz. Dazu erhält das Bundeskriminalamt neue Befugnisse zur Abfrage von Nutzungsdaten.

Die Ermittlungsbehörden erhalten künftig einen erweiterten Datenzugriff zur Ermittlung von Verdächtigen. Der Bundestag (Abbildung 1) beschloss dazu Ende Juni 2020 mit den Stimmen von Union und SPD das Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität [1]. AfD und Linke stimmten dagegen, FDP und Grüne enthielten sich. Plattformen wie Facebook, Youtube und Twitter müssen künftig Nutzerdaten wie IP-Adressen oder Port-Nummern an das Bundeskriminalamt (BKA) übermitteln, wenn sie rechtswidrige Beiträge entfernen oder sperren. Telemediendienste müssen künftig auf Anfrage Nutzungsdaten wie IP-Adressen an das BKA herausgeben. Das gilt unabhängig davon, ob sie die Auflagen des Netzwerkdurchsetzungsgesetzes (NetzDG) erfüllen müssen.

Abbildung 1: Sitzung des Deutschen Bundestags mit Abstand. Quelle: Deutscher Bundestag/Achim Melde

In einer Expertenanhörung im Bundestag hatte es Anfang Mai 2020 viel Kritik an dem Entwurf gegeben. Statt einer direkten Übermittlung der Nutzerdaten schlugen Juristen ein zweistufiges Verfahren vor, doch Union und SPD gingen auf die Forderungen der Kritiker nicht ein – im Gegenteil: Das BKA erhält die zusätzliche Befugnis zur Datenabfrage bei Internet-Diensten, wie aus der Beschlussempfehlung des Rechtsausschusses [2] hervorgeht.

Auskunftspflicht für alle Anbieter

Das BKA darf nun Merkmale zur Identifikation des Nutzers nach Paragraf 15 des Telemediengesetzes (TMG) abfragen [3]. Dem BKA muss dazu der Inhalt des Beitrags bekannt sein und eine erhebliche Gefahr für die öffentliche Sicherheit oder der Verdacht einer Straftat vorliegen.

Zudem sollen die Daten erforderlich sein, um die zuständige Ermittlungsbehörde zu bestimmen und die Identität des Nutzers sowie den Inhalt der Nutzung des Telemediendiensts an diese weiterzuleiten. Dabei geht es unter anderem darum, die letzte Login-IP des Nutzers in Erfahrung zu bringen, um dann bei den Telekommunikationsanbietern den Anschlussinhaber zu ermitteln. “Mit der Regelung wird zudem vermieden, dass Täter gezielt in Netzwerke ausweichen, die nicht dem NetzDG unterfallen und deren Betreiber daher nicht zur Übermittlung von Login-IP-Adressen verpflichtet sind”, heißt es zur Begründung.

Paragraf 100g der Strafprozessordnung (StPO) [4] setzt die Abfrage von Nutzungsdaten künftig derjenigen von Verkehrsdaten gleich, wobei er in der Regel einen Richtervorbehalt vorsieht. Dem Gesetz zufolge soll nach einem Jahr geprüft werden, ob sich die Regelung in der Strafverfahrenspraxis bewährt und ob sich Änderungsbedarf für die Erhebung bestimmter Verkehrs- und Nutzungsdaten ergibt. Möglicherweise würden die Befugnisse der Ermittler durch den Richtervorbehalt zu stark eingeschränkt, sagte der CDU-Abgeordnete Jan-Marco Luczak. Die Union wolle sich “sehr genau anschauen”, ob nicht zusätzliche Hürden implementiert würden, “die am Ende dazu führen, dass Polizei und Staatsanwaltschaften bei ihren Ermittlungen behindert werden”.

Passwortherausgabe ohne Praxisrelevanz

Trotz starker Kritik am entsprechenden Passus des Entwurfs ermöglicht das Gesetz unverändert die umstrittene Herausgabe von Passwörtern durch sämtliche Telemediendienste. Dazu zählen auch “andere Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird”. In der Begründung ihres Änderungsantrags weist die Koalition Kritik an den Plänen zurück. Unter die genannte Formulierung “fallen nämlich nicht nur oder vor allem Passwörter, sondern insbesondere die PIN und PUK von Mobiltelefonen”.

Der Abfrage von Passwörtern bei Telemediendiensten komme “im Gegensatz zur Abfrage von PIN/PUK bei Telekommunikationsanbietern kaum Praxisrelevanz zu, zumal die Passwörter verschlüsselt gespeichert werden müssen”, heißt es weiter. Die Herausgabe der Passwörter dürfe dabei nur erfolgen, wenn die Befugnis für eine Online-Durchsuchung vorliege. Daher sei auch der Schutz von Berufsgeheimnisträgern wie Journalisten oder Rechtsanwälten gewährleistet, da sie ein Zeugnisverweigerungsrecht geltend machen könnten.

Warum man die Regelung unbedingt einführen möchte, wenn sie doch “kaum Praxisrelevanz” hat, erläutert die Koalition jedoch nicht. Die Vorgabe, für die Auskunftserteilung “sämtliche unternehmensinternen Datenquellen zu berücksichtigen”, könnte das Cracken von gehashten Passwörtern deutlich erleichtern.

Zudem erschließt sich nicht, warum PIN und PUK für die Ermittler wesentlich wichtiger sein sollen: Mit diesen Daten alleine gelingt es in der Regel nicht, ein Endgerät zu entsperren. Anders als bei früheren Handys werden SIM-Karten inzwischen auch weniger für die Speicherung von Kontakten oder SMS-Nachrichten genutzt. Für das Entsperren von Smartphones kommt in der Regel eine spezielle forensische Software zum Einsatz.

Neue Straftatbestände beschlossen

Von dem Gesetz erhoffen sich Vertreter kommunaler Verbände nach der Ermordung des Kasseler Regierungspräsidenten Walter Lübcke einen besseren Schutz von Politikern auf lokaler Ebene. Dazu will die Koalition mit dem Änderungsantrag den Paragrafen 188 im Strafgesetzbuch (StGB) [5] verschärfen. Demnach droht bei der Beleidigung einer “Person des politischen Lebens” künftig eine Haftstrafe von bis zu drei Jahren. Bislang waren nur eine “üble Nachrede” oder eine “Verleumdung” strafbar. “Das politische Leben des Volkes reicht bis hin zur kommunalen Ebene”, heißt es ausdrücklich.

Ebenfalls steht es künftig bereits unter Strafe, eine lediglich angedrohte strafbare Handlung im Internet zu billigen. Bislang war das nur bei erfolgten oder versuchten Straftaten der Fall. Umstritten ist auch der geplante Paragraf 214 StGB, der bereits das Androhen einer Straftat “gegen die sexuelle Selbstbestimmung, die körperliche Unversehrtheit, die persönliche Freiheit oder gegen eine Sache von bedeutendem Wert” unter Strafe stellt.

Kritik von Grünen und Bitkom

Die Opposition hält die Änderungen am Entwurf für unzureichend. Die Grünen forderten in einem Änderungsantrag [6] stattdessen ein zweistufiges Verfahren, bei dem die Netzwerke zunächst nur die Inhalte an das BKA übermitteln und erst nach einer Überprüfung die Nutzerdaten. Dafür soll das Netzwerk die Daten zwei Wochen auf Vorrat speichern (Quick Freeze). “Für uns sind ein zweistufiges Meldeverfahren, eine klare Definition der Aufgaben des BKA und der Ausschluss der Weiterverarbeitung der gemeldeten Daten unerlässlich”, stellte die Grünen-Abgeordnete Renate Künast auf Anfrage von Golem.de klar.

Kritisch äußerte sich auch der IT-Branchenverband Bitkom. “Dieses Gesetz setzt die Praxis des NetzDG fort, private Unternehmen in die Rolle von Ermittlern und Richtern zu heben. Das widerspricht im Grundsatz dem Verständnis eines Rechtsstaats und verschiebt die Grenzen zwischen staatlichem und privatwirtschaftlichem Handeln in Richtung Wirtschaft”, kommentierte dessen Hauptgeschäftsführer Bernhard Rohleder. Nach seiner Ansicht können die Staatsanwaltschaften die zu erwartenden Massen an Nutzerdaten, die an das BKA fließen werden, kaum verarbeiten. “Es ist bedauerlich, dass im Gesetzgebungsprozess kein ernsthafter Dialog zwischen allen Beteiligten stattgefunden hat, um eine praktikablere Lösung zu erarbeiten”, hieß es weiter.