Karneval der Jakobiner: „Zum Schutze der Freiheit – Schafft sie ab!“
Gespeichert von Prof. Dr. Marc Liesching am
Noch 2018 hatte die Bundeskanzlerin in Reaktion auf die verfassungsrechtliche Kritik an der Einführung der Löschinfrastruktur des NetzDG in sozialen Netzwerken zugesichert, die Bundesregierung werde das Netzwerkdurchsetzungsgesetz „auch mit Sicherheit evaluieren“ und es könne sein, „dass wir hier auch Veränderungen vornehmen müssen“. Keine 2 Jahre später stehen „Veränderungen“ vor der Tür, wenngleich die Bundeskanzlerin bislang missverstanden worden zu sein scheint: Ohne durchgeführte Evaluierung soll nun durch ein Gesetz „zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ das NetzDG eine erhebliche Verschärfung erfahren, welche die sozialen Netzwerke weithin zum grundrechtsfreien Raum umgestaltet und im Kielwasser durch Extensionen der Doppeltüren in StPO, BKA-Gesetz und TMG den sukzessiven Umbau zum Internet-Polizeistaat fortsetzt.
1. Überblick über die Gesetzesänderungen
Das „Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ (GBRH) ist ein Artikelgesetz, dass in 5 Artikeln Änderungen des Strafgesetzbuchs (StGB), der Strafprozessordnung (StPO), des Bundeskriminalamtgesetzes (BKAG), des Telemediengesetzes (TMG) und des Netzwerkdurchsetzungsgesetzes (NetzDG) vorsieht. Neben einer Verschärfung von Äußerungsstraftatbeständen geht es im Wesentlichen um die Verpflichtung sozialer Netzwerke, alle beschwerdegegenständlichen Inhalte und Nutzungsdaten (IP-Adressen und Portnummern) der User an das Bundeskriminalamt weiterzuleiten, wenn nach Einschätzung der Netzwerkbetreiber „konkrete Anhaltspunkte“ für das Vorliegen bestimmter Straftaten gegeben sind (§ 3a Abs. 2 NetzDG-E). Die betroffenen Nutzer werden frühestens 14 Tage nach der Weitergabe ihrer personenbezogenen Daten an das Bundeskriminalamt informiert (§ 3a Abs. 6 NetzDG-E). Die Polizisten des BKA können auf der Grundlage der ihnen vom sozialen Netzwerk gemeldeten Daten von jedem geschäftsmäßigen Internetanbieter Auskunft über alle vorhandenen Bestandsdaten des betroffenen Nutzers verlangen (§ 10 Abs. 1 S. 2, Abs. 2 BKAG-E). Der Telemedienanbieter ist daraufhin befugt, alle Bestandsdaten des Nutzers aus „sämtlichen unternehmensinternen Datenquellen“ herauszugeben, auch Zugangspasswörter (§ 15a Abs. 1 TMG-E).
In dem Gesetzentwurf des Bundesjustizministeriums wird ausgeführt, die vorstehend skizzierten Regelungsinhalte dienten gerade der Aufrechterhaltung bzw. Wiederherstellung der Meinungsfreiheit. Diese sei nämlich dadurch gefährdet, dass sich Bürgerinnen und Bürger angesichts eines „verrohten Umfeldes“ voller „respektloser und herabwürdigender Inhalte“ nicht mehr trauten, „bestimmte Meinungen aus Sorge vor solchen Reaktionen“ zu äußern. Wodurch diese Geringschätzung eines durch das Internet vermeintlich eingeschüchterten, unmündigen Bürgertums belegt werden könnte, erfährt die Leserschaft nicht. So heißt es nur allgemein im Gesetzentwurf, der bisherige Rechtszustand werde „als unbefriedigend empfunden“. Solange sich 7.000 Menschen mutig und mündig den Einschüchterungsversuchen eines NPD-Haufens von 120 Personen öffentlich entgegenstellen, scheinen die subjektiven Empfindungen des Bundesjustizministeriums, erwachsene Menschen seien schwankende Würstchen im digitalen Wind, die sich jeder rauen Luft beugen, eher auf tönernen empirischen Säulen zu stehen. Repräsentative Studien hierzu werden in den Erläuterungen des GBRH-Entwurfs nicht angeführt und sind eigentlich auch nicht vorhanden.
Mit der auch vom BVerfG (z.B. NJW 2008, 822, 830; ZD 2016, 433, 434) schon häufiger aufgeworfenen Frage, ob sich nicht umgekehrt die besorgten Einschüchterungseffekte bei Internetnutzern gerade dann einstellen mögen, wenn sie jederzeit vom Anbieter ihres Vertrauens mitgeteilt bekommen könnten, dass ihre Nutzungsdaten wegen einer vor zwei Wochen geäußerten Meinung längst beim Bundeskriminalamt liegen, befassen sich die Ausführungen des GBRH-Entwurfs nicht.
Spätestens seit die Jakobiner 1792 gerade zur Verteidigung der republikanischen Freiheiten der französischen Revolution diese umgehend abgeschafft und Menschen mit anderen Meinungen zur Guillotine gekarrt haben, sind Herz und Verstand mit Misstrauen zu wappnen, wenn Politik in semantischer Karnevalisierung zur Begründung massiver Freiheitseingriffe gerade das Ziel des Schutzes der (Meinungs-)Freiheit ausruft. Im Mindesten scheint ein prüfender Blick auf verfassungsrechtliche Grundlagen lohnenswert.
2. Verfassungsrechtliche Anforderungen
a) In Betracht kommende Grundrechtseingriffe
aa) Recht auf informationelle Selbstbestimmung
Die im GBRH vorgesehene Pflicht zur Meldung von Kommunikationsinhalten in Verbindung mit der Preisgabe von gespeicherten IP-Adressen (vgl. BGH NJW 2017, 2416; EuGH, NJW 2016, 3579) greift in das verfassungsrechtliche Recht auf informationelle Selbstbestimmung aller Nutzer Sozialer Netzwerke ein. Die Rspr. des BVerfG hat aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG einen weitreichenden Schutz der Bürgerinnen und Bürger vor Gefährdungen und Verletzungen der Persönlichkeit abgeleitet, die sich unter den Bedingungen moderner Datenverarbeitung aus informationsbezogenen Maßnahmen ergeben (vgl. BVerfG NJW 2012, 1419, 1442, Rn. 122 mwN.). Die freie Entfaltung der Persönlichkeit setzt den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Jede(r) Einzelne ist hiernach befugt, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Die Gewährleistung des Grundrechts greift insbesondere, wenn die Entfaltung der Persönlichkeit dadurch gefährdet wird, dass personenbezogene Informationen von staatlichen Behörden „in einer Art und Weise genutzt und verknüpft werden, die Betroffene weder überschauen noch beherrschen können“ (vgl. BVerfG NJW 2012, 1419, 1442, Rn. 122 unter Verweis auf BVerfGE 118, 168 184).
bb) Fernmeldegeheimnis
Fraglich ist darüber hinaus, ob die zukünftig meldepflichtigen Kommunikationsinhalte in Sozialen Netzwerken zumindest zum Teil dem Schutzbereich des Fernmeldegeheimnisses nach Art. 10 GG unterfallen. Zwar sind Telekommunikationsvorgänge ausgenommen, die an die Allgemeinheit, also einen unbestimmten Personenkreis gerichtet sind (BVerfGE 130, 151, 179 f.). Allerdings wird in der verfassungsrechtlichen Literatur betont, dass Zugang zu sozialen Netzwerken in der Regel passwortgeschützt ist und sich der Kreis der (potentiellen) Adressaten mittels individuell steuerbarer Konfigurationen einschränken lässt (vgl. Ogorek, in: Epping/Hillgruber, BeckOK GG, Stand: 15.11.2018; Art. 10 Rn. 41.1.; Hermes, in: Dreier, GG – Kommentar, 3. Aufl. 2013, Art. 10 Rn. 39; siehe auch Durner, in: Maunz/Dürig, GG-Kommentar, 88. EL Auf. 2019, Art. 10 RN. 92 ff.). Freilich ist nach der Rechtsprechung des BVerfG erst bei der identifizierenden Zuordnung dynamischer IP-Adressen der Schutzbereich des Art. 10 Abs. 1 GG berührt (BVerfG NJW 2012, 1419, 1442, Rn. 116).
Bislang ungeklärt erscheint vor diesem Hintergrund die Konstellation, nach der Soziale Netzwerke künftig nach eigener Prüfung beschwerdegegenständlicher Inhalte unaufgefordert sowohl eine IP-Adresse als auch den betreffende Inhalt aus einem zugangsbeschränkten Kommunikationsbereich an das BKA melden müssten, wenn sich aus dem Inhalt – z.B. aufgrund der Verwendung von Klarnamen – schon die Identität des Nutzers der IP-Adresse und damit des Kommunikationsteilnehmers ergibt. Hier kann nach meiner persönlichen Einschätzung ein Eingriff in das Fernmeldegeheimnis nicht ausgeschlossen werden.
b) Gebot der Normenklarheit
aa) Gesetzliche Eingriffe in das informationelle Selbstbestimmungsrecht, das Fernmeldegeheimnis oder auch das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme sind am Grundsatz der Normenklarheit und Bestimmtheit zu messen. Dieser Grundsatz dient der Vorhersehbarkeit von Eingriffen für die Bürgerinnen und Bürger, einer wirksamen Begrenzung der Befugnisse gegenüber der Verwaltung sowie der Ermöglichung einer effektiven Kontrolle durch die Gerichte (vgl. BVerfG NJW 2016, 1781, 1783, Rn. 94 mwN). Der Gesetzgeber hat Anlass, Zweck und Grenzen des Eingriffs hinreichend bereichsspezifisch, präzise und normenklar festzulegen (ausführl. BVerfG NJW 2008, 822, 828 Rn. 209 ff.).
Die Anforderungen unterscheiden sich allerdings maßgeblich nach dem Gewicht des Eingriffs und sind insoweit mit den jeweiligen materiellen Anforderungen der Verhältnismäßigkeit eng verbunden (siehe hierzu unten 3.). Grundsätzlich strengere Anforderungen ergeben sich aber vor allem bei heimlicher Datenerhebung und -verarbeitung, da diese von den Betroffenen weitgehend nicht wahrgenommen und angegriffen werden kann. Der Normgehalt kann daher in der tatsächlichen Anwendung kaum – anders als etwa durch Verwaltungsakt zu vollziehende auslegungsbedürftige Begriffe des Verwaltungsrechts sonst – im Wechselspiel von Anwendungspraxis und gerichtlicher Kontrolle konkretisiert werden (vgl. BVerfG NJW 2016, 1781, 1783, Rn. 94).
bb) Vor diesem Hintergrund ergeben sich m.E. Bedenken, ob die Vorschriften des GBRH hinreichend bestimmt gefasst sind. Insbesondere bei der Weitergabe von IP-Adressen und Portnummern von Nutzern durch Privatunternehmen an das BKA (§ 3a NetzDG-E) ist aufgrund des unbestimmten Gesetzeswortlauts unklar, in welchen Fällen die sozialen Netzwerke die personenbezogenen Daten der Nutzer ohne deren Wissen an die Polizisten melden müssen.
Zunächst ergibt sich kaum eine Eingrenzung daraus, dass die Übermittlung (nur) solche Inhalte betreffen soll, „die dem Anbieter in einer Beschwerde über rechtswidrige Inhalte gemeldet worden sind“ (§ 3a Abs. 2 Nr. 1 NetzDG-E) und diese vom „Anbieter entfernt oder zu denen (…) [der] Zugang gesperrt“ worden sind (§ 3a Abs. 2 Nr. 2 NetzDG-E). Denn Soziale Netzwerke erhalten zehntausendfach Beschwerden und löschen diese zum größten Teil gar nicht wegen StGB-Verstößen, sondern aufgrund Verletzung ihrer Community-Standards. Nunmehr sollen all diese Inhalte einer proaktiven (zusätzlichen) Prüfung nach den Straftatbeständen der §§ 86, 86a, 89a, 91, 126, 129 bis 129b, 130, 131, 140, 184b i.V.m. § 184d und 241 StGB unterzogen werden, selbst wenn der Anlass der Beschwerde gar keinen strafrechtlichen Hintergrund hatte. Denn § 1 Abs. 4 NetzDG-E erklärt kurzerhand alle eingehenden Beschwerden zu solchen über (straf-)rechtwidrige Inhalte, „es sei denn, dass mit der Beanstandung erkennbar nicht geltend gemacht wird, dass ein rechtswidriger Inhalt vorliegt“. Da eine solche Erkennbarkeit fast nie vorliegen dürfte, werden Soziale Netzwerke nunmehr gezwungen, alle Beschwerden auf Straftatbestimmungen hin zu analysieren. Entsprechend heißt es auch in der Begründung des GBRH-Entwurfs: „Der Maßstab, nach dem die Löschung erfolgt –Community-Standards oder NetzDG-Katalog – ist für die sich anschließende Prüfung der Meldepflicht unerheblich“ (S. 29).
Unklar bleibt nach dem GBRH-Entwurf, in welchen Fällen nach erfolgter Strafrechtsprüfung aller Inhalte nun eine Weitergabe an das BKA zu erfolgen hat. Klar ist nur, dass der Netzwerkbetreiber einer Bußgeldsanktionierung in Höhe von bis zu 50 Millionen Euro ausgesetzt sein soll, wenn er nicht oder „nicht richtig“ das Meldeverfahren vorhält. Letzteres dürfte soziale Netzwerke kaum dazu ermutigen, möglichst wenige Inhalte, IP-Adressen und Portnummern den Polizisten des Bundeskriminalamtes preiszugeben.
Keine Normenklarheit lässt gerade in diesem Zusammenhang die Kernformulierung des § 3a Abs. 2 Nr. 3 NetzDG-E erkennen, wonach schon bei Vorliegen „konkreter Anhaltspunkte“ für die Tatbestandsmäßigkeit und Rechtswidrigkeit §§ 86, 86a, 89a, 91, 126, 129 bis 129b, 130, 131, 140, 184b i.V.m. § 184d und 241 StGB eine Preisgabe des Inhaltes samt IP-Adresse und Portnummer erfolgen muss. Was hierunter zu verstehen ist, erfährt die Leserschaft auch in den Erläuterungen des GBRH-Entwurfs nur unscharf durch allgemeine, noch vagere Plattitüden, wonach Anhaltspunkte „objektive, nachprüfbare und für jedermann erkennbare Indizien“ seien, „die sich aus dem hochgeladenen Inhalt selbst oder den weiteren erkennbaren Umständen ergeben“. – Woraus denn sonst? Und ist „Jedermann“ derjenige, der noch niemals §§ 86, 86a, 89a, 91, 126, 129 bis 129b, 130, 131, 140, 184b i.V.m. § 184d und 241 StGB gelesen hat (wie die meisten), oder derjenige, der sich die Tatbestände einmal durchgelesen hat und danach den beschwerdegegenständlichen Inhalt ansieht, oder ist es der Jedermann mit Befähigung zum Richteramt?
Bestehen bei Aussagen wie „Todesstrafe für Mörder!“, „AFD-Nazis einen Kopf kürzer machen!“, „Alle Anwälte an die Kette und ab auf den Meeresgrund!“ oder „Dafür gehört die Ministerin über‘s Knie gelegt, bis der Po abfällt!“ schon konkrete Anhaltspunkte für die Billigung einer künftigen Straftat (§ 140 StGB-E)? Bestehen bei Aussagen wie „Pass gut auf, wenn Du über die Straße gehst!“, „Pass ab morgen gut auf!“, „Pass bloß auf!“, „Wen juckt es, wenn Dir morgen etwas zustößt?“ schon konkrete Anhaltspunkte für die Bedrohung mit einem Tötungsdelikt nach § 241 StGB? Bestehen bei unkommentierten, einzelnen Hakenkreuz-Screenshots aus dem FSK-16-Spielfilm „Inglourious Basterds“ oder aus dem FSK-12-Spielfilm „Indiana Jones“ oder bei Inhalten, die möglicherweise unter die Sozialadäquanzklausel nach § 86 Abs. 3 StGB fallen, gleichwohl schon konkrete Anhaltspunkte für die öffentliche Verwendung verfassungsfeindlicher Kennzeichen nach § 86a StGB?
Normklarheit aus Sicht der Sozialen Netzwerke würde zudem auch nicht die rechtssystematische Orientierung an ausgeurteilten StPO-Anforderungen eines hinreichenden bzw. dringenden Tatverdachts bringen. Denn hierzu führen die GBRH-Erläuterungen explizit aus, dass der Maßstab der „konkreten Anhaltspunkte“ gerade weiter sein soll als die „Fälle eines dringenden Tatverdachts“ (S. 31).
Vor diesem Hintergrund erscheint die bisherige Fassung der Meldepflicht des § 3a Abs. 2 Nr. 3 NetzDG-E gerade auch im Kontext der grundsätzlich weiten StGB-Prüfungspflicht aller beschwerdegegenständlichen und auch nach bloßen Community-Standards gelöschten Inhalte zu unbestimmt. Die Betreiber Sozialer Netzwerke können im konkreten Einzelfall nicht wissen, ob bei den im Äußerungsstrafrecht diffizilen Bewertungsanforderungen einschließlich der BVerfG-Auslegungsgrundsätze bei mehrdeutigen Aussagen nun schon hinreichende „konkrete Anhaltspunkte“ für eine Tatbestandsmäßigkeit und Rechtswidrigkeit in Bezug auf eine Vielzahl von wiederum mit unbestimmten Rechtsbegriffen gespickten Strafnormen (siehe etwa § 131 StGB) vorliegen oder nicht. Gerade vor dem Hintergrund der enormen Bußgelddrohungen für das „nicht richtige“ Vorhalten eines Meldeverfahrens besteht daher die Gefahr, dass in praxi die privaten Unternehmen der Sozialen Netzwerke in einer Vielzahl von Fällen personenbezogene Daten von Nutzerinnen und Nutzern an die Polizisten des Bundeskriminalamtes preisgeben, obgleich diese ohne Rechtsverletzung von ihrem Grundrecht auf freie Meinungsäußerung Gebrauch gemacht haben.
cc) Doch nicht nur die Meldepflicht des § 3a Abs. 2 NetzDG-E erscheint unbestimmt und lässt hinsichtlich Tragweite und Zweckbindung erhebliche Unklarheiten bestehen. Auch die Auskunftsermächtigung des BKA in ihrer Funktion als Zentralstelle wird in Bezug auf Bestandsdaten nun in § 10 BKAG auf alle geschäftsmäßigen Anbieter von Telemedien erstreckt. Zwar mutet diese auf den ersten Blick bloße – eher formale – Erweiterung der ohnehin bereits bestehenden Auskunftsermächtigung gegenüber TK-Dienstleistern harmloser an. Indes hat das Bundesjustizministerium einer solchen Extension noch sehr kritisch gegenüber gestanden, als diese in einem Referentenentwurf des Bundesministeriums des Innern zu einem Gesetz zur Stärkung des Datenschutzes und der Zentralstellenfunktion im Dezember 2016 vorgeschlagen worden war. Dort wurde seitens des BMJV noch „aus grundsätzlichen Erwägungen“ heraus eine „Streichung der Verpflichtung von Telemediendienstanbietern“ gefordert.
Vor der nun fast schizophren anmutenden Wendehals-Gymnastik des GBRH-Entwurfs hat das BMJV also noch Ende 2016 eine ablehnende Auffassung gegenüber einer Öffnung des § 10 BKAG für Telemedien vertreten - und dies auch mit einiger Berechtigung. Denn sie stellt eine Carte blanche für das Bundeskriminalamt dar, nahezu unbeschränkt Bestandsdaten von Nutzern bei allen Internetdiensten, die der User nutzt, einzusammeln. Überdies ist das BKA nicht auf Auskünfte in ihrer Zentralstellenfunktion beschränkt, es kann sich auch in das Gewand des repressiv handelnden Strafverfolgers oder der präventiv zur Gefahrenabwehr handelnden Polizeibehörde kleiden und sich auf weitere Auskunftsermächtigungsnormen insbesondere der StPO stützen.
Die Zweckbindung der Bestandsdatenauskunft nach § 10 Abs. 1 S. 1 BKAG ist schon heute weit gefasst. Erachten die Polizisten des Bundeskriminalamtes es „zur Ergänzung vorhandener Sachverhalte oder sonst zu Zwecken der Auswertung“ für erforderlich, Bestandsdaten abzufragen, können sie dies nahezu ohne Einschränkung tun. Denn das Sammeln von Nutzerdaten ist dem BKA mit Blick auf sämtliche Straftaten „mit länderübergreifender Bedeutung“ möglich, also bei im Internet abrufbaren Meinungsäußerungen im Grunde alle Kommunikationsinhalte.
Dabei ist das BKA auch nicht auf den ursprünglichen Anlass der Meldung des Sozialen Netzwerks nach § 3a Abs. 2 NetzDG-E beschränkt. Übermittelt beispielsweise Facebook eine Nutzeräußerung samt IP-Adresse und Portnummer aufgrund „konkreter Anhaltspunkte“ für eine Tat nach § 140 StGB, ist es dem BKA grundsätzlich unbenommen, den Nutzerinhalt auf andere Straftaten hin zu analysieren und weitere Bestandsdaten abzufragen.
Bemerkenswert ist insoweit, dass die datenschutzrechtlichen Vorschriften zur Weiterverarbeitung von Daten nach §§ 12 ff. BKAG keinerlei Anpassung aufgrund des GBRH erfahren sollen, obwohl durch die Meldepflicht des § 3a Abs. 2 NetzDG nun erstmals dem Bundeskriminalamt massenhaft personenbezogene Daten ins Haus geliefert werden, die sie gar nicht selbst erhoben haben. Die Datenweiterverarbeitung mit Zweckbindung nach § 12 Abs. 1 S. 1 BKA betrifft indes nur personenbezogene Daten, die das BKA „selbst erhoben hat“.
dd) Schließlich ergeben sich weitere Fragestellungen auf der anderen Seite der nunmehr aus den Angeln gehobenen Doppeltür, namentlich einer extrem weit gefassten Befugnis zur Auskunftserteilung für Bestandsdaten in § 15a TMG-E, die die Preisgabe von Nutzerdaten aus „sämtlichen unternehmensinternen Datenquellen“ erlaubt, und zwar potentiell schon zur Verfolgung bloßer Ordnungswidrigkeiten. Da die Bestandsdaten nach dem GBRH ausdrücklich auch Zugangspasswörter der Nutzerinnen und Nutzer umfassen sollen, ergeben sich unter dem Gesichtspunkt der Normenklarheit weitere Problemstellungen, weil die meisten Telemedien-Anbieter überhaupt keine unverschlüsselten Klar-Passwörter speichern. Vor diesem Hintergrund könnte seitens der Telemedienanbieter aufgrund des GBRH unklar erscheinen, ob sie künftig auch Passwörter als Klardaten bereitzuhalten haben. Eine dem § 7 TKÜV für TK-Dienste entsprechende Spezifizierung fehlt für Telemedien (vgl. zur Pflicht der Herausgabe von IP-Adressen trotz fehlender Speicherung des E-Mail-Diensteanbieters jüngst: BVerfG NJW 2019, 584 ff.).
ee) Die Beachtung des Grundsatzes der Normenklarheit erscheint auch fraglich in Bezug darauf, ob Telemedienanbieter nach § 15a TMG-E dem BKA auf Anfrage Bestandsdaten überhaupt herausgeben dürfen. Denn nur gegenüber den in Abs. 3 genannten Behörden besteht eine Befugnis zur Auskunftserteilung. Da das Bundeskriminalamt aber in § 15 Abs. 3 Nrn. 3 und 4 TMG-E nicht namentlich genannt wird, kann sie bei repressiver Tätigkeit nur über die allgemeiner gefasste Behördenbezeichnung nach Nr. 1 inkorporiert werden, also als „für die Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Behörde“.
Nach § 4 BKAG nimmt das BKA aber nur sehr eingeschränkt die polizeilichen Aufgaben auf dem Gebiet der Strafverfolgung als zuständige Behörde wahr, jedenfalls gerade nicht umfassend für die in § 3a NetzDG-E vorgesehenen Delikte der §§ 86, 86a, 89a, 91, 126, 129 bis 129b, 130, 131, 140, 184b i.V.m. § 184d und 241 StGB. Vor diesem Hintergrund ist nach der aktuellen Fassung des GBRH und im Licht des Doppeltür-Rechtsprechung des BVerfG Telemedienanbietern eher zu raten, auf Anfragen des BKA nach § 10 Abs. 1 S. 2 BKAG-E die Auskunftserteilung zu verweigern, soweit das Bundeskriminalamt nicht nach § 4 BKAG zuständige Behörde für die Wahrnehmung polizeilicher Aufgaben auf dem Gebiet der Strafverfolgung ist.
c) Verhältnismäßigkeit der Grundrechtseingriffe
aa) Materiell verfassungsgemäß sind die durch das GBRH begründeten Grundrechtseingriffe nur, wenn sie legitimen Gemeinwohlzwecken dienen und im Übrigen dem Grundsatz der Verhältnismäßigkeit genügen, das heißt zur Erreichung der Zwecke geeignet, erforderlich und angemessen sind (st. Rspr. des BVerfG).
bb) Dass die Effektivierung der Strafverfolgung grundsätzlich ein legitimer Zweck ist, der Grundrechtseingriffe in dem hier in Rede stehenden Umfang grundsätzlich rechtfertigen kann, ist anzuerkennen. Angezweifelt werden könnte demgegenüber schon, ob einzelne Bestimmungen des GBRH überhaupt geeignet sind, die in den Erläuterungen des Gesetzesentwurfs angestrebten Ziele zu erreichen.
Dies gilt zunächst für die regulative Zielstellung, dass das Bundesjustizministerium durch das GBRH vor allem einer „zunehmenden Verrohung der Kommunikation“ und spekulativ angenommenen Einschüchterungseffekten bei den Internet-Nutzern entgegenwirken zu können glaubt. Hierfür mag auch das Missverständnis mitursächlich sein, dass Hass und Einschüchterung in Kommunikationen im Internet stets oder auch nur überwiegend strafbar seien. Dies ist schon nicht der Fall. Auch die nun vorgesehene weitere Restriktion des Äußerungsstrafrechts ändert hieran nichts. Dass § 140 StGB nun nach dem GBRH-Entwurf auch die Billigung künftiger Straftaten pönalisiert, erfasst vielleicht die Äußerung, man müsste mal einen bestimmten User „einen Kopf kürzer machen“ (vgl. die schon zweifelhafte Erläuterung des GBRH-Entwurfs, S. 21 f.), aber eindeutig schon nicht mehr die Äußerung, dass man nichts dagegen hätte, wenn der User „morgen einen Kopf kürzer wäre“. Dass die eine Formulierung nun zu erheblicher Kriminalstrafe führen soll, die andere weiterhin vollkommen legal ist, könnte beim interessierten Beobachter das Bild eines sich mit semantischen Einzelphänomenen beschäftigt haltenden Gesetzgebers erzeugen oder den Spötter zur zynischen Replik verleiten: „Danke für das neue Äußerungsstrafrecht – Jetzt kann ich endlich wieder uneingeschüchtert ins Netz und meine Meinung frei sagen!“.
Auch in Bezug auf die weiter aus den Angeln geschlagenen Doppeltüren nach § 3a NetzDG-E, §§ 100g, 100j StPO, § 10 BKAG-E und § 15a TMG ergeben sich hinsichtlich der Eignung zur Erreichung welchen Zwecks auch immer Fragestellungen: In welchem Umfang speichern Anbieter von Telemediendiensten überhaupt IP-Adressen und Portnummern? Können Telemediendienste – ebenso wie TK-Dienste – Identifizierungen anhand von IP-Adressen vornehmen und Bestandsdaten ermitteln? Gibt es auch nur einen geschäftsmäßigen Anbieter von Telemedien, der aktuell die Klar-Zugangspasswörter seiner Nutzerinnen und Nutzer speichert und diese auf Anfrage herausgeben könnte? Sofern dies nicht der Fall ist – kommt dann demnächst (oder auch erst nach Jahresfrist und Verjährung etwaiger Merkel-Aussagen in Interview-Videos der Bundesregierung) eine Verpflichtung, dass geschäftsmäßige Telemedien von IP-Adresse bis Klar-Zugangspasswort ihrer Nutzer speichern und für Auskunftsersuchen bereitzuhalten haben?
cc) Überdies ergeben sich vor allem mit Blick auf die nun eingeführte Meldepflicht nach § 3a NetzDG-E Bedenken hinsichtlich der Erforderlichkeit der hoheitlich nicht veranlassten Übermittlung von Kommunikationsinhalten und IP-Adressen an das BKA. In den Erläuterungen des Entwurfs ist in diesem Zusammenhang folgendes zu lesen: „Oft erlangen die Strafverfolgungsbehörden aber keine Kenntnis von den auf eine NetzDG-Beschwerde gelöschten strafbaren Inhalten, sodass das Einstellen solcher Inhalte ohne strafrechtliche Konsequenzen bleibt und sich damit der Eindruck verstärkt, das Internet entwickele sich zu einem rechtsfreien Raum“.
Freilich lässt das BMJV in dem Entwurf unerwähnt, dass Strafverfolgungsbehörden auch deshalb so oft keine Kenntnis von den Inhalten erlangen, weil das NetzDG die Sozialen Netzwerke seit 2018 zu ihrer Löschung – faktisch in ca. 90 % der Fälle innerhalb von 24 Stunden – zwingt (vgl. § 3 Abs. 2 Nr. 3 NetzDG). Das heißt, dass erst die verfassungsrechtlich hoch umstrittene und bis heute vom BVerfG nicht überprüfte, rigide gesetzliche 24h-Löschpflicht in der Folge eine Erforderlichkeit von Meldungen über gelöschte Inhalte begründet hat.
Würde man private Tatortreiniger gesetzlich verpflichten, alles schnell sauber zu machen ehe die polizeiliche Spurensicherung kommt, müsste man ihnen ebenfalls notgedrungen die Frage stellen, ob denn eine Straftat vorgelegen hat und ob man Hinweise auf den Täter haben könnte. Nur das entscheiden dann Tatortreiniger, und keine hoheitlichen Stellen der Strafverfolgung.
Bemerkenswert ist, dass die enge NetzDG-Löschfrist noch 2017 gerade überwiegend damit begründet worden war, dass andernfalls der Eindruck eines rechtsfreien Raums im Internet entstehe. Nun wird im neuen GBRH-Entwurf argumentiert, dass gerade durch die schnelle Löschung von Inhalten und die fehlende Kenntnisnahme durch Strafverfolgungsbehörden der Eindruck eines rechtsfreien Raums hervorgerufen werde.
Mit Blick auf die Erforderlichkeit des § 3a NetzDG kann der wenig konsistenten Argumentation des BMJV entgegengehalten werden, dass man im Grunde nur die rigide 24h-Löschpflicht des § 3 Abs. 2 Nr. 3 NetzDG wieder abzuschaffen braucht. Dadurch erlangten Strafverfolgungsbehörden durch einfachen Abruf der allenfalls nach 7 Tagen gelöschten Inhalte wieder Kenntnisnahmemöglichkeit hiervon und könnten nach eigener Prüfung des Vorliegens einer Straftat durch anlassbezogene Ermittlungsverfahren dem Eindruck eines rechtsfreien Raums entgegenwirken.
dd) Überdies bedarf es einer näheren Prüfung der Verhältnismäßigkeit der mit dem GBRH vorgesehenen Grundrechtseingriffe im engeren Sinne (Angemessenheit). Hinsichtlich letzterer müssen die Datenweitergaben sowie die Überwachungs- und Ermittlungsbefugnisse mit Blick auf das Eingriffsgewicht angemessen ausgestaltet sein. Es ist Aufgabe des Gesetzgebers, einen Ausgleich zwischen der Schwere der mit den hier zur Prüfung stehenden Eingriffen in die Grundrechte potenziell Betroffener auf der einen Seite und der Pflicht des Staates zum Schutz der Grundrechte auf der anderen Seite zu schaffen.
Bei der Prüfung der Angemessenheit der angegriffenen Vorschriften ist zudem zu beachten, dass die Eingriffswirkung nicht mit großer Streubreite gleichsam die gesamte Bevölkerung betrifft. Verhältnismäßig sind daher in erster Linie solche Bestimmungen, die die Sicherheitsbehörden einzelfallbezogen in den Stand setzen sollen, schwerwiegende Gefahren für Rechtsgüter von Verfassungsrang abzuwehren und Straftaten von großem Gewicht zu verhüten (vgl. BVerfG NJW 2016, 1781, 1784, Rn. 101). Gerade bei heimlichen Maßnahmen, die der Strafverfolgung dienen und damit repressiven Charakter haben, kommt es auf das Gewicht der verfolgten Straftaten an, die der Gesetzgeber insoweit in – jeweils näher bestimmte – erhebliche, schwere und besonders schwere Straftaten eingeteilt hat (BVerfG NJW 2016, 1781, 1784, Rn. 106 f.).
Zweifel an der materiellen Verfassungskonformität des GBHR ergeben sich vor diesem Hintergrund vor allem daraus, dass nun erstmals personenbezogene Daten zu Strafverfolgungszwecken nicht auf anlassbezogene Initiative gesetzlich bezeichneter staatlicher Stellen hin erhoben und genutzt werden, sondern durch eine Vielzahl von Privatunternehmen der sozialen Netzwerke in eigener Entscheidung an das BKA übermittelt werden müssen. Eine Meldung von IP-Adressen und Portnummern betroffener Nutzer soll bereits dann erfolgen, wenn das Privatunternehmen „Anhaltspunkte“ für die Erfüllung von solchen Straftaten sieht, die vom Gesetzgeber im Rahmen der StPO-Maßnahmen zum Teil weder als besonders schwer, noch als schwer noch als von erheblicher Bedeutung eingestuft worden sind (vgl. z.B. § 86a, 131, 140 StGB). Es wurde bereits im Kontext des Grundsatzes der Normenklarheit dargelegt (siehe oben), dass vollkommen unklar ist, wann Soziale Netzwerke bereits hinreichende „Anhaltspunkte“ für eine der genannten Straftaten annehmen müssen. Eine Bußgelddrohung von bis zu 50 Millionen Euro im Falle des „nicht richtigen“ Vorhaltens des Meldeverfahrens dürfte die Anbieter aber wohl kaum zu einer im Sinne des Datenschutzes engen Auslegung und reduzierten Weitergabe der personenbezogenen Nutzerdaten (IP-Adressen) anhalten.
Gerade die Gesamtschau der verfassungsgerichtlichen Rechtsprechung, nach der Eingriffe in das informationelle Selbstbestimmungsrecht ohne Wissen des Nutzers nur in eng geregelten Ausnahmen und nur in Abwägung mit dem Schutz überragend wichtiger anderer Schutzgüter verfassungskonform sind, evoziert Zweifel an der Verhältnismäßigkeit des § 3a NetzDG. Es ist schon ohne gesetzliches Vorbild, dass private Intermediäre unter dem Schutzbereich des Art. 5 GG verpflichtet werden, Kommunikationsinhalte und personenbezogene Daten ihrer Nutzer bei Polizeibehörden anzuzeigen, ohne dass die Nutzer hiervon erfahren.
In der Begründung des GBRH-Entwurfs wird zwar die jetzt in § 3a NetzDG-E vorgesehene Meldepflicht mit § 138 StGB verglichen (S. 30). Dabei scheint aber schon nicht verstanden worden zu sein, dass § 138 StGB keine Pflicht zur Inhaltsprüfung und Meldung bereits begangener Straftaten enthält, sondern die Nichtanzeige geplanter, sehr schwerwiegender Verbrechen pönalisiert – zu einer Zeit, zu der die Ausführung oder der Erfolg noch abgewendet werden kann. Dies ist etwas völlig anderes als das jetzt geplante Outsourcing rein repressiver Strafverfolgungsarbeit an private Unternehmen bei minder schweren Vergehen, gepaart mit einer Bußgelddrohung bis 50 Millionen Euro im Falle der „nicht richtigen“ Umsetzung des Meldeverfahrens.
In der Diktion des BVerfG handelt es sich bei der mit § 3a NetzDG bewirkten weitreichenden Überantwortung von Ermittlungstätigkeiten auf private Soziale Netzwerke (Straftatprüfung und Ermittlung von IP-Adressen der Nutzerschaft für das BKA) um eine „Eingriffswirkung mit großer Streubreite“, welche „gleichsam die gesamte Bevölkerung betreffen“ kann (vgl. BVerfG NJW 2016, 1781, 1783, Rn. 101), soweit sie soziale Netzwerke zur Kommunikation nutzt.
3. Alle müssen mitmachen – Herkunftsland egal
Wie schon bei der Einführung der Löschinfrastruktur des NetzDG zum 1.1.2018 wird auch bei der nunmehr anstehenden Verschärfung durch Einführung des § 3a NetzDG davon ausgegangen, dass Soziale Netzwerke zur Einhaltung der deutschen NetzDG-Normen auch dann verpflichtet sind, wenn die Mutterunternehmen oder zuerst gegründeten Tochterunternehmen ihrer Betreiber im EU-Ausland ihre Niederlassung haben.
Schon während des Notifizierungsverfahrens zum NetzDG im Frühjahr 2017 (2017/127/D) ist von Thomas Hoeren im Beck-Blog ausführlich dargelegt worden, wie klar das NetzDG gegen die europarechtlichen Vorgaben des Herkunftslandprinzips verstößt. Schon der damalige Referentenentwurf hat die Anforderungen nach Art. 3 ECRL, § 3 TMG in deformierender Weise umgedeutet, dass sich die Balken der EU-Richtlinie bogen. Auch im jetzigen GBRH hat sich die Argumentation zur vermeintlichen Beachtung des Herkunftslandprinzips nicht verändert. Weshalb auch? – Gegen das NetzDG waren damals von der EU-Kommission trotz vorliegender zahlreicher kritischer Beiträge keine Einwände erhoben worden.
Vor diesem Hintergrund kann der deutsche Gesetzgeber das Notifizierungsverfahren mit einiger Berechtigung eher als inhaltsleere Förmelei des Abwartens einer dreimonatigen Sperrfrist denn als ernsthafte europarechtliche Hürde vor dem Inkrafttreten von nationalen Gesetzen im koordinierten Bereich betrachten. Es ist mithin – auch aufgrund des psychologischen Konsistenzprinzips – kaum zu erwarten, dass das GBRH nunmehr im Rahmen des Notifizierungsverfahrens scheitern könnte.
Seit der politischen Durchsetzung des NetzDG 2017 breiten sich Missachtungen und Umdeutungen des Art. 3, insb. Abs. 4 ECRL pandemieartig in der deutschen Gesetzgebung aus und erfassen mittlerweile bund-/länderübergreifend Entwürfe des TMG, des MStV und des JMStV. Insbesondere scheint allgemein in der deutschen Rechtspolitik entweder nicht verstanden oder ignoriert zu werden, dass die zum Schutze des Binnenmarktes nur ausnahmsweise zulässigen Maßnahmen nach Art. 3 Abs. 4 ECRL lediglich einzelfallbezogen sind; die Ausnahme vom Grundsatz des Herkunftslandprinzips legitimiert aber keine abstrakt-generellen Gesetze wie das NetzDG [ganz h.M., vgl. KOM(2003) 259 endg. v. 14.5.2003, sub. 2.1.2: „case-by-case“; Altenhain in: Münchener Kommentar zum StGB, 3. Aufl. 2019, § 3 TMG Rn. 52; Böse in: Kindhäuser/Neumann/Paeffgen, StGB – Kommentar, 5. Aufl. 2017, Vor § 3 ff. StGB Rn. 39; Feldmann, K&R 2017, 292, 296; Hain/Ferreau/Brings-Wiesen, K&R 2017, 433 f.; Handel, MMR 2017, 227, 230; Heckmann, Internetrecht, 5. Aufl. 2017, Kap. 1 Rn. 207; Liesching, MMR 2018, 26, 29 f.; ders. in: Spindler/Schmitz, TMG – Kommentar, 2. Aufl. 2019, § 1 NetzDG Rn. 13 ff.; Marly in: Grabitz/Hilf, Das Recht der Europäischen Union, 20. Aufl. 2009, Art. 3 ECRL Rn. 21 ff.; Müller-Broich, TMG – Kommentar, 2012, § 3 Rn. 21; Naskret, Das Verhältnis zwischen Herkunftslandprinzip und Internationalem Privatrecht in der Richtlinie zum elektronischen Geschäftsverkehr, 2003, S. 40; Nordmeier in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Teil 12 § 3 Rn. 27 f.; Ohly, WRP 2006, 1401, 1405; Spindler in: Spindler/Schmitz, TMG – Kommentar, 2. Aufl. 2019, § 3 TMG Rn. 55 ff.; ders., ZUM 2017, 473, 474 ff.; ders., K&R 2017, 533, 535 f.; Weller, in Gersdorf/Paal, BeckOK InfoMedienR, 26. Edition 2019, § 3 TMG Rn. 32; Wimmers/Heymann, AfP 2017, 93, 96 f.s. auch VG Neustadt, Urt. v. 16.12.2009 – 4 K 694/09, BeckRS 2010, 45399 Rn. 53].
Vor diesem Hintergrund bleibt die Europarechtskonformität des NetzDG – de lege lata ebenso wie nach dem GBRH-Entwurf – weiter bis zu einer Befassung des Europäischen Gerichtshofs in der Schwebe.
Demgegenüber stellt das GBRH jedenfalls einen „Binnenmarkt“ ganz anderer Art her. Denn auch Bürgerinnen und Bürger aus anderen EU-Staaten sind nicht davor gefeit, dass ihre Daten aufgrund der weiten Meldepflicht des § 3a Abs. 2 NetzDG in die Hände des Bundeskriminalamtes gelangen und ggf. zur Strafverfolgung genutzt werden. Vor diesem Hintergrund sind nicht nur die Bundesbürger in ihrem informationellen Selbstbestimmungsrecht betroffen, sondern alle EU-Bürger. Auch dies könnte den EuGH bald beschäftigen.
4. Schluss
Die Verschärfungen des NetzDG aufgrund des „Gesetzes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ unterliegen – ebenso wie das NetzDG in seiner Gesamtheit (vgl. nur Papier, NJW 2017, 3025, 3030; Liesching, MMR 2018, 26 ff. mwN.) – nach meiner persönlichen Einschätzung verfassungsrechtlichen Bedenken.
Den Sozialen Netzwerken als unmittelbaren Normadressaten des § 3a NetzDG-E ist abermals die Möglichkeit eröffnet, Verfassungsbeschwerde nach Art. 93 Abs. 1 Nr. 4a GG, § 90 BVerfGG zu erheben. Diesmal hiervon Gebrauch zu machen, sollte aus Sicht der Netzwerkbetreiber nicht fernliegend erscheinen, zumal sich hierdurch das BVerfG nicht nur mit den aktuellen Verschärfungen in § 3a NetzDG-E, sondern auch mit den bereits seit 2018 in Kraft gesetzten Compliance-Pflichten wie insbesondere der Löschinfrastruktur des § 3 NetzDG erstmals befassen könnte.
Überdies besteht bei der jetzigen NetzDG-Verschärfung eine höhere Wahrscheinlichkeit, dass auch Verfassungsbeschwerden von Nutzerinnen und Nutzern sozialer Netzwerke in Karlsruhe angenommen werden. Zwar setzt die Beschwerdebefugnis voraus, dass die Beschwerdeführerin / der Beschwerdeführer durch die angegriffenen Normen selbst, gegenwärtig und unmittelbar in ihren / seinen Grundrechten betroffen ist. Anders als im vormaligen Nutzer-Beschwerdeverfahren gegen das 2017 eingeführte NetzDG (BVerfG, Beschl. v. 23.4.2019 – 1 BvR 2314/18, NVwZ 2019, 1124 f.) könnte diesmal aber eine Ausnahme vom Erfordernis der Unmittelbarkeit gegeben sein. Das BVerfG nimmt eine solche nämlich für einen Fall an, „in dem die Betroffenen keine Kenntnis von den Vollzugsakten erlangen“ (vgl. BVerfGE 130, 151, 176 = NJW 2012, 1419; BVerfGE 141, 220, 261 f. = NJW 2016, 1781). Gerade dies kann aber bei Meldungen nach § 3a Abs. 2 NetzDG-E der Fall sein, da die Nutzerschaft von der Weitergabe von IP-Adressen nebst Kommunikationsinhalten an das BKA frühestens nach 14 Tagen erfährt – oder auch erst viel später, wenn dies nach der – faktisch nicht überprüfbaren – Einschätzung des BKA ohne „Gefährdung des Untersuchungszwecks, des Lebens, der körperlichen Unversehrtheit oder der persönlichen Freiheit einer Person oder von bedeutenden Vermögenswerten erst im Rahmen von Strafermittlungsverfahren“ einmal möglich erscheint.
Die seitens der Bundeskanzlerin zum NetzDG „mit Sicherheit“ zugesagte Evaluierung wird auch für die nunmehr vorgesehene NetzDG-Verschärfung erneut nicht stattfinden. Im GBRH-Entwurf des Bundesjustizministeriums wird hierzu ausgeführt: „Eine Evaluierung erscheint (…) nicht erforderlich“. Fallen Bundesregierung und Bundestag in ihrem von Einzeltaten wie in Halle getriebenen, eiligen politischen Bauchentscheidungen als Bürgen und Prüfinstanzen verfassungsrechtlicher Grundfreiheiten aus, ist das Bundesverfassungsgericht die letzte Hoffnung, der sukzessiven gesetzgeberischen Umgestaltung des Internets zum grundrechtsfreien Raum Grenzen zu setzen.