Neue Meldestelle beim BKA: Darf’s auch etwas mehr sein?

Das Bundeskriminalamt möchte bei der neuen Meldestelle für mutmaßliche Straftaten Hostinganbietern mehr Daten entlocken als diese eigentlich geben müssten. Bürgerrechtler sehen das ganze Verfahren als einen „Systembruch mit unabsehbaren Folgen“ für die Freiheitsrechte.

Als die Straftaten-Meldestelle im Rahmen des Netzwerkdurchsetzungsgesetzes (NetzDG) beim Bundeskriminalamt geschaffen wurde, ging man dort von 250.000 Meldungen pro Jahr aus, aus denen dann etwa 150.000 Strafverfahren entstehen würden. Damals rechnete das BKA, dass es für diese Arbeit 200 Stellen benötigen würde.

Die Anbieter sozialer Netzwerke sollten potenziell strafrechtlich relevante Inhalte dorthin melden, etwa wenn Kennzeichen verfassungswidriger Organisationen genutzt werden oder Nutzer:innen andere bedrohen. Das BKA sollte die dann prüfen, bei relevanten Inhalte ermitteln, wer dahinter steckt und an die zuständige Staatsanwaltschaft und Länderpolizei weiterleiten.

Doch aus der geplanten Meldestelle wurde damals nichts, unter anderem weil die Plattformen dagegen klagten und mit dem Digital Services Act eine europäische Gesetzgebung vor der Tür stand.

Nun kommt die Meldestelle mittels des Digitale-Dienste-Gesetzes (PDF), das die nationale Gesetzgebung des Digital Services Act der EU ist. Die wird derzeit im Bundestag verhandelt. Mittlerweile rechnet das BKA aber mit viel mehr Meldungen als zwei Jahre zuvor: 720.000 übermittelte Vorgänge schätzt man nun und fordert 450 neue Stellen zur Bearbeitung.

Im Jahr 2022 lag die Gesamtzahl der polizeilich erfassten Straftaten mit „Tatmittel Internet“ (CSV, bka.de) bei etwa 396.000 Fällen. Mittelfristig rechnet das Bundesministerium für Digitales und Verkehr sogar mit 750 Stellen, die nötig wären.

Wie viele Meldungen es bei der neuen Meldestelle wirklich geben wird und wie viele Verfahren daraus entstehen, ist aber noch nicht vorhersehbar.

Unklarer Straftatenkatalog

Die EU-Verordnung sieht vor, dass in Zukunft Hostingdienste und Plattformen verpflichtet sind, bei „Kenntnis von Informationen, die den Verdacht begründen, dass eine Straftat, die eine Gefahr für das Leben oder die Sicherheit einer Person … darstellt, begangen wurde”, die zuständigen Behörden zu informieren. Der betreffende Artikel der EU-Verordnung sei zu unbestimmt gehalten, kritisierte Svea Windwehr von der Gesellschaft für Freiheitsrechte (GFF) zuletzt gegenüber netzpolitik.org.

Die GFF sieht hier dringenden Nachbesserungsbedarf: „Der Katalog von Straftaten muss eingeschränkt werden, bei denen Online-Plattformen nach Artikel 18 DSA Nutzer*innendaten proaktiv an Strafverfolgungsbehörden übermitteln müssen“, heißt es in einer Stellungnahme der Bürgerrechtsorganisation zum Gesetzentwurf.

Als Zentralstelle soll das Bundeskriminalamt die Verdachtsfälle annehmen und eine Erstbewertung vornehmen – und die Fälle dann an die zuständigen Staatsanwaltschaften weiterleiten.

Das ist vor allem für die Anbieter praktisch, da sie bei einer zentralen Stelle einmal ihre Daten abwerfen können und nicht kleinteilig nach der richtigen Staatsanwaltschaft suchen müssen. Hierfür gibt es nicht nur ein Meldeportal, es soll auch zusätzlich an einer Schnittstelle gearbeitet werden.

Vorbild Geldwäsche

Im Verfassungsblog kritisiert der Jurist und NetzDG-Experte Daniel Holznagel nicht nur die angenommenen hohen Fallzahlen und den angemeldeten Stellenbedarf, sondern auch die Frage, welche Daten das Bundeskriminalamt dort eigentlich wie annimmt, bewertet und weiterleitet.

Bei den Meldungen handelt es sich um Verdachtsfälle, bei denen noch keine Staatsanwaltschaft ein Ermittlungsverfahren eingeleitet hat. Diese Meldungen sind keine Strafanzeigen, bei denen ein Ermittlungsverfahren ausgelöst wird, aber sie sind einer Strafanzeige ähnlich. Ein ähnliches System gibt es schon zur Bekämpfung von Geldwäsche, wo Banken und Notare Meldepflichten auferlegt wurden und der Zoll diese Meldungen zentral entgegen nimmt, bewertet und gegebenenfalls weiterleitet oder selbst ermittelt.

BKA will Daten-Gesamtpaket

Aufgrund der Natur der Meldungen unterscheidet der DSA auch zwei Typen von Daten. Einerseits den Verdachtsfall und auf der anderen Seite die Ermittlungsansätze, also die identifizierenden Daten. Zum einen müssen die Online-Dienste den begründeten Verdacht auf eine Straftat unverzüglich der jeweiligen Polizei „mitteilen“ – und zum anderen müssen sie alle vorliegenden einschlägigen Informationen, etwa IP-Adressen, Bezahldaten oder ähnliches, „zur Verfügung“ stellen.

Laut Holznagel dient dies dem Grundrechtsschutz, denn „erst wenn die Behörde feststellt, dass am (zwingend) übermittelten Verdacht etwas dran ist, kann sie – gestützt auf spezifische Befugnisnormen und nur soweit erforderlich – die weiteren Ermittlungsansätze abrufen“.

Diese Trennung von Daten wird es aber auf der Ebene des Bundeskriminalamtes nicht geben. Gegenüber netzpolitik.org sagt ein Sprecher des BKA, dass die Behörde „im Prüfungs- und Weiterleitungsprozess Zugriff auf die durch den Hostingdiensteanbieter übermittelten Daten“ habe, also auch auf identifizierende Daten. Derartige Daten seien laut dem BKA erforderlich, um die örtlich zuständige Strafverfolgungsbehörde ermitteln zu können oder um Gefahren abwehren zu können.

Hinzu kommt – und auch dazu schweigt das Gesetz – dass das BKA einmal vorhandene Daten auf Grundlage des BKA-Gesetzes unter bestimmten Voraussetzungen auch für andere Zwecke nutzen darf. Die Meldungen aus der Meldestelle könnten also in andere Ermittlungen oder auch in Datenbanken des BKA eingehen.

IP-Adresse ist im freilligen Portal Pflichtfeld

Laut Holznagel versucht das BKA gegenüber den Anbietern eine Paketlösung durchzusetzen, bei denen beispielsweise die IP-Adresse als Pflichtfeld enthalten ist. Gegenüber netzpolitik.org hat das BKA bestätigt, dass die IP-Adresse ein Pflichtfeld ist. Die Behörde hat netzpolitik.org zudem einen Screenshot des Meldeformulars geschickt, den wir veröffentlichen, und aus dem dies hervorgeht.

Es sei für eine wirksame Gefahrenabwehr und eine effektive Strafverfolgung unerlässlich, dass das BKA mindestens einen Ermittlungsansatz hat, um den Nutzer und damit die zuständige Strafverfolgungsbehörde bestimmen zu können, schreibt ein Sprecher des BKA gegenüber netzpolitik.org. Die Übermittlung aller Daten sei auch notwendig, um „die für die Strafverfolgung und Gefahrenabwehr notwendigen Maßnahmen direkt und ohne weitere Verzögerung ergreifen zu können.“ Die Ausgestaltung des Meldeportals für Meldungen nach dem Digital Services Act würde fortlaufend geprüft und bei Bedarf angepasst. Eine Verpflichtung zur Nutzung des Meldeportals bestehe für die Anbieter nicht, so der Sprecher weiter.

Mehr Daten entlocken

Laut Holznagel schiebt die geplante Umsetzung der Meldungen hier die Verantwortung an die Anbieter, weil diesen mit der „Paketlösung“ mehr Daten entlockt würden als sie eigentlich übermitteln dürften. „Eine solche Paketlösung impliziert natürlich, dass im Zweifel überschießend auch solche Daten übermittelt werden, die für den eigentlichen Zweck … nicht zwingend erforderlich sind“, schreibt Holznagel. Das bedeute, dass eine Staatsanwaltschaft bei der Weiterleitung durch das BKA etwa die IP-Adresse erhält. Für die Abfrage gilt eigentlich ein Richtervorbehalt. Das BKA argumentiert hier, dass es sich bei der Entgegennahme von Daten nicht um einen Datenabruf handele, der andere rechtliche Voraussetzungen habe.

Auch wenn die Nutzung des Portals freiwillig sein soll: Nur die wenigsten Anbieter werden vermutlich nicht das Meldeportal oder die Schnittstelle des BKA nutzen und identifizierenden Daten erst einmal bei sich behalten. Ein solcher, datensparsamer Ansatz ist für sie mehr Aufwand als alles in einem Rutsch zu übermitteln.

„Systembruch mit unabsehbaren Folgen“

Bei der Gesellschaft für Freiheitsrechte sieht man nicht nur das kritisch. „Die proaktive Übermittlungspflicht spannt private Anbieter von Online-Plattformen und anderen Hostingdiensten in kaum je da gewesenen Ausmaß in die Strafverfolgung ein“, sagt Benjamin Lück von der Bürgerrechtsorganisation. „Schon allein das stellt einen Systembruch mit unabsehbaren Folgen für die Freiheitsrechte ihrer Nutzer*innen dar.“

Die Folge des Gesetzes könnte eine Art „Over-Reporting“ der Hostinganbieter sein, bei dem mehr gemeldet wird als eigentlich nötig. Angesichts viel zu vager Vorgaben und niedriger Verdachtsschwellen sei es „sehr wahrscheinlich, dass beim BKA am Ende ein großer Bestand mit Inhalten und Daten unbescholtener Bürger*innen aufläuft“, sagt Lück. Die GFF hofft, dass Gerichte möglichst schnell mehr Klarheit bringen und „die verfehlte Regelung zumindest auf das absolut notwendige Maß beschränken.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.