Jeder E-Mail-Dienst, jedes soziale Netzwerk und alle Unternehmen, die Dienste im Internet betreiben, sollen die Passwörter ihrer Kunden auf Verlangen an die Sicherheitsbehörden herausgeben müssen.

Von Max Hoppenstedt und Ronen Steinke, Berlin

Das Bundesjustizministerium hat sein Gesetzespaket gegen Hasskriminalität im Internet vorgelegt. Darin steckt vieles, worauf sich Innenminister Horst Seehofer (CSU) schon in den vergangenen Wochen mit seiner Kollegin Christine Lambrecht (SPD) geeinigt hatte, vor allem die Pflicht für Firmen wie Facebook oder Twitter, bestimmte strafbare Hasspostings nicht nur zu löschen, sondern gleich der Polizei zu melden. Aber darin stecken auch einige überraschende, neue Dinge.

Herausgabe von Passwörtern

Damit hatten Beobachter nicht gerechnet: Jeder E-Mail-Dienst, jedes soziale Netzwerk und alle Unternehmen, die Dienste im Internet betreiben, sollen die Passwörter ihrer Kunden auf Verlangen an die Sicherheitsbehörden herausgeben müssen.

So groß diese Änderung ist, so klein und unscheinbar kommt sie im Telemediengesetz daher: Künftig sollten auch solche "Bestandsdaten" herausgegeben werden, "mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird".

Verlangen können dies alle Polizeibehörden, der Verfassungsschutz und der Bundesnachrichtendienst und auch der Zoll.

Bisher können diese Behörden lediglich IP-Adressen abfragen. Geplant ist ein Richtervorbehalt. Er gilt auch schon bisher für die Herausgabe von IP-Adressen; dafür sorgt Paragraf 100j der Strafprozessordnung. Nur in Eilfällen genügt auch eine Entscheidung einer Staatsanwaltschaft. Die juristische Hürde ist trotzdem sehr niedrig: Nach dem Gesetzentwurf des Justizministeriums soll es schon genügen, wenn der Verdacht irgendeines Delikts im Raum steht, welches (auch) mittels Telekommunikation begangen worden sein soll, was im Internetzeitalter ziemlich vieles umfasst. Und: Die Unternehmen dürfen ihre Kunden nicht informieren, dass sie eine solche Passwort-Anfrage bekommen haben.

Fraglich ist allerdings, wie die IT-Unternehmen auf solche Anfragen von Polizisten oder Geheimdienstlern reagieren werden. Die Passwörter, um die es geht, werden bei den Unternehmen in der Regel gar nicht im Klartext gespeichert. Aus dem Google-Konzern heißt es deshalb, Passwörter zum Beispiel für Online-Cloud-Dienste wie Google Drive oder die Online-Backups könne man den Sicherheitsbehörden gar nicht herausgeben. Der Konzern speichere sie nur verschlüsselt.

Tatsächlich bekommen Cloud-Dienste nur dann eine Zertifizierung vom Bundesamt für Sicherheit in der Informationstechnologie (BSI), wenn sie Passwörter verschlüsselt speichern. Dies ist neuerdings auch laut Datenschutzgrundverordnung geboten. Dasselbe gilt auch für die Sperrcodes von Handys. Diese sind in der Regel nur auf den Geräten und nicht auf den Servern der Unternehmen gespeichert.

Die Anfragen der Sicherheitsbehörden könnten beim derzeitigen Stand des Datenschutzrechts also ins Leere laufen. "Wir gehen davon aus", sagt ein Sprecher des Justizministeriums, "dass diese Regelung einen sehr kleinen Anwendungsbereich haben wird". Es kämen praktisch nur Fälle in Betracht, in denen kleine IT-Anbieter sich mal nicht an das Datenschutzrecht gehalten haben. Oder aber: Es könnte durch die geplante Gesetzesänderung auch ein neuer politischer Druck entstehen, den Datenschutz an dieser Stelle zurückzudrehen.

"Billigung von Straftaten"

Bislang gibt es den alten Tatbestand "Billigung von Straftaten", Paragraf 140 Strafgesetzbuch. Dieser Tatbestand soll nun erweitert werden. In Zukunft soll nicht nur bestraft werden, wer eine kriminelle Tat billigt, die schon begangen worden ist. Bestraft werden soll auch, wer eine kriminelle Tat billigt, die noch nicht begangen worden ist. Also eine fiktive Tat.

Das klingt vielleicht unnötig. In letzter Zeit hat es dafür aber viele ernste Beispiele gegeben. Die Pegida-Anhänger zum Beispiel, die einen Galgen bastelten und mit "Angela 'Mutti' Merkel" und "Sigmar 'Das Pack' Gabriel" beschrifteten - sie kamen straflos davon, denn die sächsische Justiz pochte darauf, bislang habe real niemand Merkel oder Gabriel gelyncht. "Etwaige zukünftige Taten sind ... nicht umfasst", schrieb die Staatsanwaltschaft Chemnitz im November 2017 in ihrem Einstellungsbescheid.

Wenn im Netz jemand schreibt, er hoffe, dass eine Person vergewaltigt werde, oder er fände es gut, wenn sie "an die Wand gestellt" würde - dann ist auch das bislang meist straflos. Auch eine Strafe wegen Bedrohung kommt dann nicht in Betracht, da der Täter vorgibt, bloßer Beobachter zu sein. Nach dem Entwurf des Justizministeriums würde die Justiz hier viel konsequenter einschreiten können und müssen.

Keine Toleranz für Drohungen

Eine zweite, deutliche Verschärfung des Strafrechts schlägt das Bundesjustizministerium beim Paragrafen gegen Bedrohungen vor. Bislang ist nach Paragraf 241 des Strafgesetzbuches nur die Drohung mit einem Verbrechen, also einer recht schwer wiegenden Tat, strafbar. Ein Beispiel dafür ist die anonyme Drohung per Fax gegen die aus dem NSU-Prozess bekannte Frankfurter Rechtsanwältin Seda Başay-Yıldız, man werde ihre Tochter "schlachten".

In Zukunft soll jegliche Drohung, also auch mit einem weniger schwer wiegenden Gewaltdelikt gegen das Opfer selbst oder eine ihm nahestehende Person verfolgt werden können, angefangen mit einer einfachen Körperverletzung ("Ich hau dich!"). Strafbar wird ebenso die Drohung mit Gewalt gegen Dinge von größerem Wert ("Ich zünd dein Auto an!"). Zudem soll die Justiz diese Art von Äußerungsdelikten deutlich ernster nehmen als bisher. Bislang liegt die Höchststrafe bei einem Jahr Haft. Künftig soll sie bei öffentlichen Drohungen im Netz zwei Jahre betragen - und bei der Drohung mit einem Verbrechen, die öffentlich ausgesprochen wurde, sogar drei Jahre.