Gesetzentwurf gegen Hasskriminalität

Übers Ziel hinausgeschossen

Der Bundestag debattiert über eine Änderung des Netzwerkdurchsetzungsgesetzes. Doch was beim Kampf gegen Rechtsextremismus und Online-Hetze helfen soll, hat viele unerwünschte Nebenwirkungen. Diese sollten die Abgeordneten bedenken, wenn sie den Gesetzesvorschlag diskutieren.

Handytastatur mit Hate-Speech-Symbolen
Der Gesetzesvorschlag mag gut gemeint sein, doch hilft er wirklich mehr als er schadet? CC-BY-NC 2.0 campact

Die Bundesregierung will das Netzwerkdurchsetzungsgesetz (NetzDG) nachbessern. Am heutigen Donnerstag debattiert der Bundestag über die erste von zwei geplanten Novellen. Sie richtet sich erklärtermaßen gegen den wiedererstarkten Rechtsextremismus, dessen Gefahr die Regierung lange Zeit nicht ausreichend Ernst genommen hatte.

Obwohl kaum jemand dieses Ziel in Frage stellt, hagelt es seit der Vorstellung des „Entwurfs eines Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ Kritik von allen Seiten. Und die Kritik hat es in sich.

So gibt Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, in einer Stellungnahme zu bedenken, dass nur mit Bedacht erlassene und zielgerichtet ausgestaltet Sicherheitsgesetze helfen würden.

Entwurf schießt übers Ziel hinaus

Dies sei bei dem Vorschlag aber nicht der Fall: „Der vorliegende Entwurf enthält zahlreiche Vorschläge, die deutlich über den Bereich von Hasskriminalität und Rechtsextremismus hinausgehen“, schreibt Kelber. Ob der Entwurf seine verfolgten Ziele erreicht, erscheine ihm deshalb „mehr als fraglich“.

Gleichzeitig enthalte der Entwurf jedoch „erhebliche Eingriffe in Grundrechte der Bürgerinnen und Bürger“. Darunter fällt etwa die geplante Meldepflicht. Demnach müssten Betreiber sozialer Netzwerke, die über zwei Millionen aktive Nutzer haben und in den Geltungsbereich des NetzDG fallen, ihnen gemeldete Hasspostings gegebenenfalls an das Bundeskriminalamt (BKA) weiterreichen.

Dort soll eine zentrale Meldestelle für strafbare Inhalte im Internet errichtet werden. Mit rund 250.000 gemeldeten Inhalten im Jahr rechnet die Regierung, übermittelt werden sollen neben den beanstandeten Inhalten auch weitere Daten wie IP-Adressen und Portnummern. Das Problem dabei ist, dass Daten erhoben und gespeichert werden sollen, obwohl noch keine Ermittlungsbehörde einen Anfangsverdacht geprüft hat.

Quick Freeze statt Datenhortung

Kelber schlägt hier einen grundrechtsfreundlichen Kompromiss vor. So wäre eine Regelung zu bevorzugen, nach der die Plattformbetreiber zunächst nur den Inhalt eines Postings übermitteln. Sollte sich der Verdacht erhärten, dass tatsächlich Gesetze gebrochen worden sind, dann könnten die zwischenzeitlich im „Quick Freeze“-Verfahren gesicherten, weiteren Daten nachgereicht werden.

Ebenfalls fragwürdig ist die vorgesehene Pflicht für Betreiber, auf Anfrage Passwörter oder sonstige Zugangsdaten von Nutzenden herauszugeben. Zwar ist das Justizministerium im Vergleich zum ersten Gesetzentwurf leicht zurückgerudert und hat die Übermittlungsschwellen erhöht.

Dennoch handelt es sich um einen brandgefährlichen Vorschlag: Betroffen wären nicht nur soziale Netzwerke, sondern auch E-Mailanbieter, Online-Händler oder Online-Banking-Anbieter. Zwar betont die Regierung, Verschlüsselung an sich „unberührt“ zu lassen. Dann stellt sich aber die Frage, welchen Sinn die Herausgabe der Zugangsdaten hat.

Allein bei den Zugangsdaten dürfte es jedoch nicht bleiben, denn Betreiber müssten bei der Ausleitung „sämtliche unternehmensinternen Datenquellen“ berücksichtigen. Das könnte laut Kelber darauf hinauslaufen, dass gegebenenfalls alle technischen Daten mit herausgegeben werden müssten, mit denen die Kundenschlüssel generiert werden.

Online-Durchsuchung durch die Seitentür

Das würde freilich nicht nur die Zielperson des Verfahrens, sondern die Datensicherheit aller Nutzer betreffen. Vom einst ausgegebenen Ziel, Deutschland zum „Verschlüsselungsstandort Nr. 1“ zu machen, würde man sich weiter entfernen.

Ganz abgesehen davon, dass sich Hacker nicht an Stopp-Schilder halten, bleibt immer noch die Frage, was sich mit erfolgreich geknackten Passwörtern alles anstellen lässt. Denn praktisch kommt ein geheim übernommener Account beinahe einer Online-Durchsuchung gleich, die eine besonders hohe Eingriffsintensität aufweist.

Doch deren Schutzmechanismen wie eine Protokollierung der Datenzugriffe würden an dieser Stelle nicht greifen. Ohne diese Anforderungen sei es nicht möglich auszuschließen, ob eine Polizeibehörde „Beweise verändert oder Daten ‚im Namen‘ des Beschuldigten gespeichert oder irgendwohin weitergeleitet hat“, warnt Kelber.

Wenn zudem mehr als eine Person das abgegriffene Passwort kennen würde, kämen all diese Personen in Betracht, sobald danach Straftaten mit dem betreffenden Account begangen werden. In Anbetracht regelmäßiger Daten-Missbrauchskandale durch die Polizei wären das keine gute Aussichten.

Die ausführliche Kritik von Kelber hat deshalb besonderes Gewicht, weil er für die Beratung und Kontrolle der öffentlichen Stellen des Bundes im Datenschutzbereich zuständig ist. Bislang ließ sich die Regierung jedoch nicht beirren – und segnete den Entwurf im Kabinett ab. Ob sich die Bundestagsabgeordneten die eine Woche später veröffentlichte Stellungnahme Kelbers zu Herzen genommen haben, wird sich in der heutigen Debatte zeigen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

6 Ergänzungen
  1. Hier STEHT Verschlüsselung :).

    Das Ziel ist so weit weg, dass es nur immer drauf zu geht. Mit Abwägungen hat das alles nichts mehr zu tun.

  2. Es gibt zwei Erklaerungsansaetze:

    – Das ist ein Fehler, verstaerkt durch Beratungsresistenz und Kompetenzmangel
    – Das ist Vorsatz zur Verteidigung von Machtstrukturen gegen die Buerger

    Occam’s Razor kippt mittlerweils leider zum zweiten Ansatz: so oft so dumm kann niemand sein.

  3. Immer wieder wird leider von technisch wenig versierten Politikern vergessen das die Speicherung von IP-Adresse und Port oft auch nicht weiterhilft.

    Bei den meisten Internet-Anschlüssen per Coaxkabel wird eine Adressumsetzung durchgeführt. Hunderte wenn nicht tausende Anwender verbergen sich hinter einer einzelnen IP-Adresse. Da die Internet-Anbieter, die Umsetzungstabelle nicht ständig speichern, führt eine Speicherung/Meldung von IP-Adresse und Port ins leere. Bzw. noch schlimmer aufgrund von technischer Inkompetenz wird sich ein einzelner unschuldiger Anwender herausgepickt und verdächtigt.

    Wer auch nur über ein wenig Grundwissen verfügt, verwendet z.B. bei DSL-Anschlüssen ein VPN mit einem Ausgang sonstwo in der Welt, welcher nicht mehr der Rechtssprechung Deutschlands oder der EU unterliegt. Wieder führt das einer Speicherung/Meldung von IP-Adresse/Port ins leere.

    Alleine diese technischen Rahmenbedingungen zeigen das solch ein Gesetzesvorhaben unzulängliche Wirkung hat und damit nicht verabschiedet werden sollte.

    1. Die CGNAT Daten werden von Providern genau aus diesem Grund ebenfalls gespeichert. Kein Sorge, die Überwachung funktioniert mittlerweile hervorragend…

  4. Ich versteh das mit der Portnummer nicht so wirklich. Was genau für eine Portnummer soll da gespeichert werden? Steht dann bei jedem einfach 443 im Datensatz, wenn man über https seine bösen Kommentare verfasst?

    1. Eine Verbindung wird durch ein Quadrupel eindeutig identifiziert: ZielIP/ZielPort und QuellIP/QuellPort, und diese 4 Daten werden gespeichert. Eine solche Verbindung einem Benutzer zuordnen zu koennen ist dann wieder Aufgabe der jeweiligen Seite, was eine umfassende weitere Speicherung von, teilweise sehr fluechtigen, Zuordnungen erfordern wuerde.

      Also der Xte Versuch einer umfassenden Vorratsdatenspeicherung und De-Anonymisierung jeglicher Taetigkeit oder Aeusserung.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.