Alternativen zur Erzwingung der Passwortherausgabe durch Beschuldigte*n und damit Aushöhlung des Auskunftsverweigerungsrechts

Die Motivation, Hassrede im Netz verfolgen und sanktionieren zu können, ist grundsätzlich richtig und sehr begrüßenswert.

Derzeit speichern die Plattformbetreiber Passwörter in Form von “Hashes“. Aus den Hashes kann man Passwörter nicht ermitteln (jedenfalls nicht schnell). Deswegen kommt man über die Provider derzeit nicht an Passwörter bzw. an die Daten, was gut ist, damit Hacker nicht Passwörter über schlecht geschützte Plattformen erbeuten können, um dann Daten abzuziehen. (siehe Doxing)

Der Versuch über den Beschuldigten direkt an das Passwort zu kommen, beschneidet das Auskunftsverweigerungsrecht eines Beschuldigten. (Grundprinzip des Rechtsstaates)

Darüber hinaus ist die Passwortherausgabe durch den Beschuldigten aber auch nicht notwendig. Es gibt andere Möglichkeiten, an beweissichernde Daten zu kommen:   

A) Herausgabe von Daten und Metadaten durch Plattformbetreiber wird erzwungen – nach richterlichem Beschluss

B) Behördenseitiger Abruf von verschlüsselt gespeicherten Passwörter der Plattformen – nach richterlichem Beschluss

Vorweg: Variante A) ist zu bevorzugen, weil die Zahl der Rechtseingriffe geringer sein werden und damit A) verhältnismäßiger ist.

Variante A) Herausgabe von Daten und Metadaten werden von Plattformbetreibern erzwungen

Für die Unterbindung von Hassrede werden die Passwörter zu den Accounts nicht gebraucht, sondern man könnte es auch anders regeln, an die Daten zu kommen:

  1. Verpflichtung der Plattformbetreiber, die vorhandenen Daten des Accounts nach richterlichem Beschluss herauszugeben (wie die Plattformbetreiber es an den Eigentümer nach DSGVO bereits müssen und auch schon großteils automatisiert zur Verfügung steht)
  2. Ab Start der Ermittlungen müssen Plattformbetreiber
    a) vorhandene Daten “freezen” / sichern, 
    b) auflaufende IP-Adressdaten, Verbindungsdaten, etc. ähnlich einer Fangschaltung speichern,    
    und beides automatisiert an die Behörden übermitteln, damit es zu keinen Verzögerungen kommt.

Weiter sollte es möglich sein Sanktionen für Accounts zu erlassen (egal, ob Eigentümer*in bekannt oder nicht) in Form einer Sperrung/Löschung des Accounts, sodass alle “Follower” verloren gehen. Dies ist insbesondere wirkungsvoll, da hierfür der Eigentümer gar nicht ermittelt werden muss, und trotzdem ein direkter Sanktionseffekt entsteht.

Variante B) Herausgabeprozess von Passwörtern für Plattformen über eine unabhängige Behörde, z.B. Datenschutzbeauftragter – mittels Public-Private-Key-Verfahren

Plattformbetreiber werden verpflichtet, Passwörter in einer weiteren Form zu speichern. Und zwar so, dass der Zugriff nur Behörden möglich ist, die eine Freigabe von einem Ermittlungsrichter und zusätzlich von dem Datenschutzbeauftragten haben. Warum auch der Datenschutzbeauftragte dabei sein sollte, wird später erklärt.

Die Realisierung ist einfach:

  • Passwörter werden bei Plattformbetreibern verschlüsselt abgelegt. Den Schlüssel dazu haben nur die Ermittlungsrichter. Kombiniert mit dem Schlüssel des Datenschutzbeauftragte kommt man an das Passwort.
  • Die Plattformbetreiber haben selbst weiterhin keinen Zugriff auf Passwörter, und diese können deshalb auch nicht entwendet werden (Hackerangriff-Problematik / Doxing). 
  • Technische Realisierung läuft über sog. Public-Private-Key-Verschlüsselung.

Warum zusätzlich der Datenschutzbeauftragte?

Grundüberlegung: ein bewusster Missbrauch von Eingriffsrechten der Behörden kommt immer wieder durch einzelne schwarze Schafe vor. Dem muss vorgebeugt werden. Ein gewisses Misstrauen gegenüber einzelnen Akteuren im Staat ist deshalb gesetzlich notwendig. (siehe Uniter, Nazis in der hessischen Landespolizei, etc. – oder auch AfD in der Regierungsverantwortung z. B. im Innenministerium)

Für die Zweitabsicherung über Datenschutzbeauftragten spricht auch:

  • Politisches Argument 1: Legitimation des Verfahrens generell durch unabhängige Behörde, die das Interesse der Bevölkerung wahrt
  • Politisches Argument 2: Der Aufwand für eine reale Hausdurchsuchung (Richterbeschluss, Sach- und Materialaufwand) sollte im digitalen Leben vergleichsweise sein, und damit eine Art “checks and balances”-Philosophie herrschen. Sonst gilt: hat man erst das Passwort ist die “digitale” Durchsuchung enorm leicht und leicht missbraucht.
  • Technisches Argument: Wird ein Schlüssel eines Ermittlungsrichters geklaut, kann trotzdem nicht auf Passwörter zugegriffen werden.

Weitere Überlegungen

Zu Personal zur Bearbeitung: Auf Seiten des Staates müsste man bereit sein, insbesondere qualifizierte Richter in erheblichem Maße einzustellen. Sonst wird der Richtervorbehalt durch Arbeitsüberlastung verwässert. Gleiches gilt auch bei den Ermittlungs- und Strafverfolgungsbehörden. 

Zum NetzDG bisher: Die Selbstregulierung der Plattformen war von Anfang an eine Totgeburt mit Ansage. Das NetzDG steht den Geschäftsinteressen der Plattformen diametral entgegen. Mit Hasspostings und Emotionalisierung von Debatten wird gerade bei sozialen Plattformen das Geld verdient.