Stellen Sie sich vor, Facebook würde das Passwort Ihres Kontos an das Bundeskriminalamt verraten. Vielleicht verschlüsselt, aber ohne, dass Sie darüber informiert würden. Klingt nach ferner dystopischer Zukunft? Könnte aber schon bald Realität werden. Hier, in Deutschland.

Zumindest wenn es nach der Bundesregierung geht. Die nämlich lässt am Donnerstag im Bundestag einen Gesetzentwurf diskutieren, der Rechtsextremismus und Hasskriminalität in sozialen Netzwerken bekämpfen soll. Was erst einmal sinnvoll klingt – in der konkreten Umsetzung aber massiv in unsere Grundrechte eingreifen könnte.

Das erklärte Ziel des Gesetzentwurfes ist es, Hetze, verrohte Sprache und Beleidigungen im Netz zu reduzieren. Besonders gegen Beiträge und Kommentare, mit denen andere bedroht oder eingeschüchtert werden sollen, soll konsequenter vorgegangen werden.



Es ist der zweite Anlauf binnen weniger Jahre: Schon 2018 wurde das Netzwerkdurchsetzungsgesetz (NetzDG) eingeführt, das von Plattformen verlangt, juristisch unzulässige Beiträge und Kommentare zu löschen. Zwar verschwanden dadurch manche Posts, doch mit Strafen mussten die Verfasserinnen und Verfasser nicht unbedingt rechnen. Weil die bisherige Regelung nicht den gewünschten Effekt brachte, will die Regierung nun nachlegen – mit einem Gesetzentwurf, durch den derartige Inhalte strafrechtlich effektiver verfolgt werden können sollen.

Plattformen müssen mehr petzen

Dazu führt der Gesetzentwurf mehrere Neuerungen ein: Plattformen wie Facebook und Twitter müssen künftig rechtswidrige Inhalte an das Bundeskriminalamt (BKA) melden. Darunter fallen unter anderem Beiträge, in denen einer Person Gewalt angedroht oder in denen derartige Drohungen gebilligt werden. Doch nicht nur der Inhalt geht dann an die Behörde. Die Plattformen sollen auch noch weitere Angaben aushändigen müssen: erstens die IP-Adresse, über die ein Netzwerk eindeutig identifiziert werden kann, zweitens die Portnummer, einen Teil der Netzwerkadresse. Letztere könnte zum Beispiel helfen, in öffentlichen WLANs oder Mobilfunknetzen einzelne Nutzerinnen herauszufiltern.

Wer verstehen will, wie heftig dieser Eingriff ist, der muss gar nicht sehr weit zurückblicken: Kurz vor der Europawahl 2019 demonstrierte der Kurznachrichtendienst Twitter, wie schwer es ihm offenkundig fällt, mit den Feinheiten von Sprache und Ironie umzugehen. Damals nämlich sperrte der Dienst mehrere Konten wegen Tweets, die sich zum Beispiel satirisch äußerten. Auf einer Plattform, die immer wieder in die Kritik gerät, weil sie rassistische Beiträge unberührt stehen lässt, obwohl Nutzer sie gemeldet haben.



Viele Kritiker sehen ein Problem darin, dass Twitter oder Facebook entscheidet, welche Inhalte und Nutzerinnen rechtswidrig genug sind, um sie zu entfernen und zu sperren. Das ist ein Prinzip, das sich im nun geplanten Gesetz fortsetzt. Nur: Trifft das Unternehmen nun eine Fehlentscheidung, welcher Post gesetzeswidrig ist, dann wird nicht nur der Inhalt gelöscht, auch die Daten seiner Autorin werden womöglich an die Strafverfolgungsbehörden weitergereicht. Obwohl sie vielleicht gar nichts Unzulässiges getan hat. Und selbst wenn das nicht der Fall wäre: Jemanden digital derartig nackig machen – ist das wirklich verhältnismäßig für einen Hasskommentar?

Noch mehr Auskünfte sollen die Behörden verlangen dürfen, wenn es um besonders schwere Straftaten oder um eine konkrete Gefahr für Leib, Leben oder Freiheit einer Person geht. Wenn sie einen Gerichtsbeschluss haben, sollen Ermittlungsbehörden auch das Passwort eines Nutzers oder einer Nutzerin bei einer Plattform anfordern dürfen. Dabei geht es nicht nur um Logins zu sozialen Netzwerken, sondern auch zu Konten von Cloud-Diensten – wie etwa der Apple-Cloud. Die betroffenen Personen erfahren davon nichts, weil die Unternehmen darüber zum Stillschweigen verpflichtet sind.

Auch wenn die Passwörter eigentlich nur zu einem bestimmten Zweck übermittelt wurden, beispielsweise wegen eines rechtswidrigen Posts, können sie für andere Zwecke weiter gespeichert bleiben. Im Entwurf heißt es dazu, dass die "Voraussetzungen für eine zweckändernde Weiterverwendung" erfüllt sein müssten. Was das bedeutet, ist noch nicht ganz klar. Legt man den Passus großzügig aus, könnte er heißen: Findet man noch was anderes in den Daten, darf man auf Basis dessen weiter in den Daten der Nutzerinnen und Nutzer rumwühlen.

Meist nicht im Klartext

Eine entscheidende Einschränkung gibt es jedoch: Die Datenschutz-Grundverordnung verlangt von Unternehmen, Passwörter nicht im Klartext zu speichern, sondern zu verschlüsseln. Was gerade die großen Plattformen, denen wir so große Teile unseres Privatlebens anvertrauen, aber auch die meisten anderen Firmen tun. Was wiederum bedeutet: Statt eines einsatzbereiten Passwortes bekämen die Behörden Zeichensalat zugestellt, mit dessen Hilfe man sich nirgendwo anmelden kann. Sie müssten also großen Aufwand betreiben, um ein Passwort wirklich nutzen zu können. Oft wird es ihnen überhaupt nicht gelingen.

Auch die IP-Adresse lässt sich verschleiern, etwa indem man ein Virtual Private Network (VPN) benutzt oder über den Tor-Browser im Netz surft. In beiden Fällen wird der Standort eines Rechners in einem Netzwerk verschleiert, in dem eine Anfrage über einen oder mehrere andere Server umgeleitet wird.