Niedersachsen und Mecklenburg-Vorpommern wollen Anbieter:innen von sozialen Netzwerken und Gaming-Plattformen vorschreiben, ihre Nutzer:innen zu zwingen, sich mithilfe von amtlichen Dokumenten zu identifizieren. Einen entsprechenden Gesetzesantrag haben sie an diesem Freitag im Bundesrat eingebracht, netzpolitik.org berichtete. Angeblich sollen Nutzer:innen, die Hass und Hetze verbreiten, so leichter ermittelt werden können.
Dabei ist unklar, wie ein solches Vorhaben wirklich umgesetzt werden kann. Es könnte dazu führen, dass Konzerne aus aller Welt massenhaft sensible Daten von Nutzer:innen aus Deutschland speichern müssen, was erhebliche Sicherheitsrisiken birgt. Zweifelhaft ist auch, was der Identifizierungszwang wirklich bewirken soll.
Gedeutet wird der Gesetzesantrag als eine Folge des rechtsextremistischen Terroranschlags, den ein 27-Jähriger im Oktober in Halle verübte. Die Tat übertrug er per Helmkamera live bei Twitch, die Aufmachung des Videos erinnerte an Ego-Shooter. Noch am selben Tag nahm die Polizei den Verdächtigen fest. Doch bei ihren Ermittlungen im Netz hinterlässt sie seither einen ratlosen Eindruck.
Der Identifizierungszwang hat nichts mit Halle zu tun
Denn die Sicherheitsbehörden jagen noch immer drei IP-Adressen hinterher, über die der Livestream angeschaut worden sein soll. Ein Identifizierungszwang hätte aber wohl keinen Unterschied gemacht. Die Spuren führen ins Ausland, zudem ist nicht gesagt, dass die Zuschauer:innen bei Twitch registriert waren.
Der Tatverdächtige selbst soll auf Imageboards aktiv gewesen sein. „Vor dem Anschlag auf die Synagoge in Halle am 9. Oktober 2019 lagen dem Generalbundesanwalt dazu keine Erkenntnisse vor“, teilte die Bundesregierung mit. Die Plattformen, die voller rechtsradikaler Hetze sind, werden mutmaßlich allesamt aus dem Ausland betrieben und wären schon aufgrund ihrer Größe und Beschaffenheit nicht vom Identifizierungszwang betroffen – gelten soll dieser nur für Plattformen mit mehr als zwei Millionen Nutzer:innen im Inland.
Aber selbst, als sie die Gelegenheit gehabt hätten, womöglich wertvolle Daten sicherzustellen, waren die deutschen Sicherheitsbehörde nicht in der Lage dazu. Beim Betreiber des Imageboards „Meguca“, in dem der 27-Jährige die Tat angekündigt haben soll, fragte das Bundeskriminalamt erst an, nachdem Spuren vernichtet waren und Journalist:innen den Mann aufgespürt hatten. Dabei standen sein Name und seine Wohnadresse öffentlich auffindbar im Netz.
Bundesratsinitiative für eine bessere Ausbildung und mehr Empathie
„Das Internet wird zunehmend zur Verbreitung von Hass und Hetze benutzt“, klagen die Verfasser:innen des Gesetzesantrags nun. Und das stimmt. Nur macht der Staat selbst dabei häufig keine gute Figur.
So wurde etwa im Januar bekannt, dass eine Twitch-Streamerin der Polizei Bremen eine Morddrohung angezeigt hatte. Sie berichtete, der Beamte habe sie nicht ernstgenommen und impliziert, sie selbst trage die Schuld. Erst als sie seine Äußerungen öffentlich machte, bemühte sich die Behörde um Schadensbegrenzung: Sie suspendierte den Mann, versprach, interne Prozesse zu überprüfen. Zugleich sah sich die Polizei Bremen aber außer Stande, zu sagen, inwiefern sie ihre Mitarbeiter:innen für solche Vorkommnisse derzeit überhaupt ausbildet.
Als die Grünen-Politikerin Renate Künast bei Facebook unter anderem als „Drecks-Fotze“ beschimpft wurde, klagte sie, um von Facebook die persönlichen Daten der Kommentator:innen zu bekommen – sie wollte juristisch gegen den Mob vorgehen. Das Landgericht Berlin urteilte jedoch, es habe sich bei den Äußerungen um eine „zulässige Meinungsäußerung“ und „Auseinandersetzung in der Sache“ gehandelt. Erst als Künast Beschwerde einlegte, wurde ihr zumindest teilweise Recht gegeben.
Immer wieder werden Fälle bekannt, in denen der Staat Betroffene mit dem Hass allein lässt – weil er versagt, noch bevor es um die Frage der Identifizierbarkeit der Täter geht. Es bräuchte wohl eher eine Bundesratsinitiative für eine bessere Ausbildung der Strafverfolgungsbehörden – und womöglich mehr Empathie. Ein Weg könnte sein, mehr Geld für Prävention und die Unterstützung von Opfern zur Verfügung zu stellen.
Statt sich darum zu sorgen, bereiten Niedersachen und Mecklenburg-Vorpommern lieber eine Katastrophe vor. Denn was passieren kann, wenn ein Personalausweis in die falschen Hände gerät, machte der Möchtegern-Hacker 0rbit deutlich.
Vorbereitungen für ein Datenschutz-Desaster
Anfang 2019 wurde bekannt, dass der damals 20-Jährige Daten von Hunderten Politiker:innen und Prominenten im Netz veröffentlicht hatte. Den Zugang zu Accounts hatte er offenbar auch dadurch erlangt, dass er seine Opfer dazu gebrachte hatte, ihm eine Kopie ihres Personalausweises zu schicken. Mithilfe dieser konnte er Plattformen wohl dazu auffordern, scheinbar vergessene Passwörter zu ändern.
In Zukunft sollen also Millionen deutscher Internetnutzer:innen Twitter, TikTok oder Steam beispielsweise einen „gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält“, vorzeigen. Namen und Adressen sollen abgespeichert werden, falls die Polizei sie irgendwann mal einfordern will.
Man wird von den Unternehmen erwarten können, dass sie mit den Informationen pflichtbewusst umgehen – aber man darf sich nicht darauf verlassen. Das zeigen schwere Vergehen in der Vergangenheit. Facebook etwa soll über Jahre hinweg Passwörter von Hunderten Millionen Nutzer:innen im Klartext abgespeichert haben, zum Glück nur in einer internen Datenbank.
Immer wieder werden Leaks mit potenziell verheerenden Folgen bekannt. Erst im Januar hatten DIE ZEIT und c’t über einen Vorfall beim deutschen Autovermieter Buchbinder berichtet. Wegen eines falsch konfigurierten Servers standen sensible Informationen von drei Millionen Kund:innen demnach wochenlang ungeschützt im Netz, darunter Privatadressen und Handynummern. Unter den Betroffenen waren sogar Politiker:innen, die in der Vergangenheit wegen Anfeindungen Polizeischutz erhalten hatten – und kurioserweise auch der Präsident des Bundesamts für Sicherheit in der Informationstechnik.
Niemand kann ausschließen, dass eines der soziale Netzwerke oder eine:r der Anbieter:innen von Gaming-Plattformen ähnliche Fehler begehen wird. Deshalb ist es unverantwortlich, wenn ein Staat seine Bürger:innen nötigt, ein solches Risiko einzugehen.
Kein globales Netz zwischen Hannover und Schwerin
Und dann ist da noch das Problem, dass das globale Internet eben kein Netz ist, das jemand zwischen Hannover und Schwerin gespannt hat. Es lässt sich nicht so lokal regulieren, wie man sich es dort vorzustellen scheint – jedenfalls nicht effektiv.
Deshalb wird es auch weiterhin möglich sein, auf entsprechenden Plattformen zu hetzen, mithilfe technischer Hilfsmittel so weit anonymisiert, dass eine Strafverfolgung mindestens so kompliziert ist wie heute schon. Die entsprechende Software ist benutzerfreundlich, läuft auf jedem Smartphone und kostet fast nichts.
Als Standort bei Steam werden statt Erfurt dann eben die Seychellen eingetragen. Es wird unmöglich bleiben, dies zuverlässig zu überprüfen. Und dass beispielsweise sämtliche Nutzer:innen aus dem Ausland aus einer deutschen Version von Twitch ausgesperrt werden, wird solange abwegig bleiben, bis man in Berlin die Große Firewall von China zum deutschen Vorbild erklärt.
Wer im Netz Hass verbreiten möchte, wird das also auch mit dem Identifizierungszwang tun können. Und was sollte ihn auch daran hindern?