Ermittlungsverfahren gegen Journalisten sind in Deutschland selten und nicht unbedenklich. Denn Medien und ihre Quellen genießen einen besonderen Schutz. Als der damalige Generalbundesanwalt Harald Range am 13. Mai 2015 ein Ermittlungsverfahren amtlich einleitete, stand aber zusätzlich die Frage im Raum, ob die beiden betroffenen Journalisten tatsächlich Staatsgeheimnisse verraten hatten. Das Verfahren wegen Landesverrats wuchs sich zur mittelschweren Staatsaffäre aus, die ihn seinen Posten kosten sollte.

Die beiden Beschuldigten waren unsere Kollegen in der Redaktion von netzpolitik.org: Andre Meister und der damalige Chefredakteur Markus Beckedahl. Investigativjournalist Meister hatte die Internet-Überwachungspläne des Bundesamts für Verfassungsschutz offengelegt. Die technischen Vorhaben des Inlandsgeheimdienstes waren zuvor geheim gewesen: „Verschlusssache – vertraulich“. Die brisanten Dokumente lagen nun bei netzpolitik.org offen im Netz.

Die undichte Stelle beim Geheimdienst muss dessen damaligen Chef Hans-Georg Maaßen gehörig gewurmt haben. Denn er war es, der durch Strafanzeigen beim Landeskriminalamt Berlin die Ermittlungen gegen unsere beiden Redaktionsmitglieder und zusätzlich gegen „Unbekannt“ ins Rollen gebracht hatte.

Trotz zahlreicher Rücktrittsforderungen hielt sich Maaßen noch einige Jahre im Amt und wurde schließlich wegen seiner faktenfreien und irreführenden Aussagen zu sächsischen Hetzjagden gegen Migranten entmachtet, überführt ausgerechnet von einem Twitter-Account namens „Antifa Zeckenbiss“. Heute macht der einst mächtige Geheimdienstchef nur noch mit rechtsradikalen Parolen Schlagzeilen. Sein eigenes ehemaliges Amt speichert ihn inzwischen als Rechtsextremisten.

Heimliche Überwachung

Ohne Frage handelte es sich um einen Angriff auf die Pressefreiheit, der von uns und einer breiten Öffentlichkeit auch umgehend so benannt wurde.

Der Spuk, den Maaßen und Range verursacht hatten, war nach wenigen Monaten zumindest für unsere Kollegen vorbei: Anfang August 2015 erreichte die Anwälte der Beschuldigten Meister und Beckedahl ein Schreiben des Generalbundesanwalts zur Einstellung des Verfahrens wegen Landesverrats. Bis allerdings auch die Ermittlungen gegen „Unbekannt“ eingestellt wurden, verging noch fast ein weiteres Jahr.

Der Vorwurf des Landesverrats nach § 94 Strafgesetzbuch ist schwerwiegend. Daher dürfen bei Ermittlungen dieses Kalibers heimliche technische Überwachungsmaßnahmen genutzt werden. Das betraf zunächst direkt die beiden beschuldigten Journalisten. Allerdings konnten solche Abhörmethoden auch gegen unsere Redaktion nicht ausgeschlossen werden.

Welle der Solidarität

Wir hatten also in unserem damals noch kleinen Team eine umfangreiche Aufgabenliste mit zwei Schwerpunkten abzuarbeiten, unter zunehmendem Schlafmangel und Zeitdruck: Rechtliche und politische Analysen einholen und den Mediensturm einfangen. Unglaublich geholfen hat uns dabei die große Solidarität sehr vieler Menschen, die uns bestärkten und motivierten. Auf Twitter trendete unsere IBAN, auf Demos riefen Schilder zum Leak weiterer Dokumente auf und im Bundestag bemühte sich der Rechtsausschuss um Aufklärung.

Unerschrocken und ungemein solidarisch war auch die Reaktion einer ganzen Branche, von der wir zuvor nicht mal mit Sicherheit wussten, ob wir so richtig dazugehörten. Denn damals tobte noch eine Debatte darum, ob Blogger:innen überhaupt Journalist:innen sein können. Die Frage war mit der Affäre Landesverrat entschieden. Das Medium Magazin kürte unsere Redaktion zum Journalisten-Team des Jahres 2015.

Für uns stellten die Ereignisse die Möglichkeit für eine Weiterentwicklung dar: Da wir die zahlreichen einmaligen Spenden nicht für ein langwieriges Gerichtsverfahren benötigten, konnten wir sie in den Ausbau der Redaktion investieren. Das Arbeitsfeld Digitalisierung, Überwachung und Kommerzialisierung platzte ohnehin aus allen Nähten, wir konnten Unterstützung gut gebrauchen.

Gleich drei neue Kolleg:innen fingen 2016 bei uns an, inzwischen besteht die Redaktion aus zwölf Menschen. So war die Affäre Landesverrat ein unverhoffter Booster für unser Modell des spendenfinanzierten Journalismus, dem wir bis heute treu geblieben sind.

Rückblickend können wir das mit einer gewissen Gelassenheit sagen, doch damals war der glimpfliche Ausgang alles andere als ausgemacht. Deswegen sparen wir uns den Dank an Maaßen für seine offenkundig nicht gerade bis ins Letzte durchdachten Strafanzeigen, sondern bedanken uns lieber bei allen, die uns den Rücken gestärkt, an uns gespendet und damit die Redaktion von netzpolitik.org in der heutigen Form überhaupt erst möglich gemacht haben.

Wir machen weiter

Auch wenn sich die Themenpalette bei netzpolitik.org inzwischen erweitert hat, ist die Recherche zu den technischen Möglichkeiten, zum Recht und der Praxis der staatlichen Überwachung weiter ein wichtiger Schwerpunkt unserer Arbeit. Wie kein anderes Medium haben wir in den vergangenen zehn Jahren den drastischen Ausbau der Überwachung zum Thema gemacht, uns mit Staatstrojanern und Chatkontrolle beschäftigt sowie uns immer und immer wieder mit dem Zombie Vorratsdatenspeicherung herumgeschlagen. Längst haben in Deutschland nicht mehr nur Geheimdienste wie der Verfassungsschutz umfangreiche Möglichkeiten zur digitalen Überwachung, sondern auch Polizei und Behörden wie der Zoll.

Auch in Sachen Pressefreiheit gab es in den vergangenen Jahren immer wieder bedenkliche Ereignisse. Wenn etwa Telefonate von Journalisten mit Klima-Aktivisten abgehört werden. Wenn Journalisten Hausdurchsuchungen erdulden müssen, weil sie in einem Online-Artikel einen Link gesetzt haben. Oder wenn bei einer Demo das Handy eines Journalisten beschlagnahmt und durchsucht wird.

Für uns ist das zehnjährige Jubiläum der Landesverrat-Affäre deshalb vor allem ein Ansporn: Wir machen weiter.

Und ihr könnt helfen, denn wir nehmen noch immer Leaks entgegen und veröffentlichen die Dokumente. Damit sich alle selbst ein Bild machen können.

Kriminelle haben bei mehreren italienischen Hotels nach eigenen Angaben 160.000 Ablichtungen von Ausweisdokumenten geklaut, die diese beim Check-in der Gäste angefertigt hatten. Bei mehreren Hotels kamen jeweils über 20.000 Datensätze abhanden, in zweien sogar über 30.000. Die kopierten Identitätsdokumente scheinen authentisch zu sein und stehen in einem Darknet-Forum zum Kauf. Kostenpunkt: Etwa 50 Cent pro Ausweiskopie.

Die Kriminellen brachen seit Juni in die Buchungssysteme der Hotels ein und stahlen die gespeicherten Ausweiskopien. In einem venezianischen Hotel fielen ihnen 38.000 gespeicherte Ausweise in die Hände, der höchste Wert im Angebot des Darknet-Hehlers „mydocs“. Das edle Hotel nahe dem Markusplatz verfügt über lediglich 50 Zimmer, die Gästedaten müssen also jahrelang zurückreichen.

Daten scheinen echt – auch Deutsche betroffen

In einem anderen Haus, dem Triester Hotel Continentale, erbeuteten die Kriminellen 17.000 Ausweisdokumente, unter anderem auch von deutschen Gästen. Wie bei Datenhändlern üblich, stellten die Diebe einige Demo-Datensätze in der Verkaufsanzeige zur Verfügung – heise security konnte einige davon verifizieren. Es handelt sich augenscheinlich um echte Daten, mit einem Betroffenen haben wir zudem telefoniert. Der ehemalige Hotelgast erinnerte sich an den Aufenthalt in Triest noch gut, war dieser doch erst zwei Monate her. Das Hotel habe ihn bisher nicht kontaktiert, um die Datenpanne zu beichten, so der Wahlbayer.

Insgesamt neun Hotels in Italien sowie eines auf der spanischen Ferieninsel Mallorca hatten ungebetenen Besuch. Neben den betroffenen Gästen könnten sich auch die zuständigen Datenschutzbehörden für die Lecks interessieren. Denn Gäste in italienischen Hotels müssen sich zwar mit einem Ausweisdokument gegenüber ihrem Gastgeber identifizieren, die personenbezogenen Daten sollen sie jedoch nach der Weitergabe an die zuständige Behörde sofort vernichten. Das geht zumindest aus einem Sachstandsbericht des Bundestags aus dem Jahr 2023 hervor.

Die Datensätze enthalten die Vorder- und Rückseiten von Personalausweisen und Führerscheinen, bisweilen auch von Reisepässen. Weitere Daten haben die Kriminellen nicht gestohlen, wie sie selbst angeben. Ihre möglichen Käufer könnten die gestohlenen Ausweisfotos verwenden, um mit falschem Namen Konten zu eröffnen oder etwa betrügerische Einkäufe zu tätigen. Betroffene sollten also wachsam sein.

Datenlecks in Hotels und auf Buchungsplattformen sind ein häufiges Phänomen. Vor nicht ganz zwei Jahren traf es die Hotelkette MotelOne: Die Ransomware-Gruppe AlphV verschaffte sich Zugang zu deren Netzwerk und veröffentlichte schließlich ihre Beute. Bei Booking.com hingegen gibt es immer wieder ungeklärte Phishing-Fälle.

(cku)

Die CDU-Familienministerin Karin Prien will es. Die SPD-Justizministerin Stefanie Hubig will es. Und CDU-Digitalminister Karsten Wildberger würde es persönlich unterstützen. Es geht um ein Social-Media-Verbot für Minderjährige, etwa bis sie 16 Jahre alt sind. Australien macht es gerade vor, und auch andere EU-Mitgliedstaaten liebäugeln damit, darunter Frankreich, Spanien und Griechenland.

Nun haben die Wissenschaftlichen Dienste des Bundestags eine Analyse zur Frage vorgelegt, inwiefern Deutschland ein gesetzliches Mindestalter für soziale Medien überhaupt einführen kann. Die Forscher*innen arbeiten laut Selbstbeschreibung parteipolitisch neutral und sachlich objektiv. Auf den elf Seiten ihres Berichts betrachten sie das Thema aus juristischer Perspektive. Es geht also nicht darum, was pädagogisch sinnvoll wäre oder nicht.

Für einen nationalen Alleingang von Deutschland oder auch anderen EU-Mitgliedstaaten sehen die Forscher*innen gleich mehrere Hürden. Sie verweisen in ihrem Fazit stattdessen auf alternative Maßnahmen zu einem Social-Media-Verbot. Das lässt sich als Wink mit dem Zaunpfahl an die zuständigen Minister*innen deuten, die Verbotsfantasien noch mal zu überdenken.

Erste Hürde: Wir haben das alles doch schon besprochen

Die erste Hürde für ein deutsches Social-Media-Verbot ist der Umstand, dass sich die Europäische Union längst auf andere Vorschriften zum Jugendmedienschutz geeinigt hat. Dabei hat Deutschland natürlich mitverhandelt. Eines der wichtigsten EU-Gesetze in diesem Kontext ist das noch recht frische Gesetz über digitale Dienste (DSA).

Das besondere am DSA ist seine sogenannte „vollharmonisierende“ Wirkung. Einfach ausgedrückt heißt das: Die Mitgliedstaaten dürfen nicht mehr ihr eigenes Süppchen kochen. Stattdessen tun sie das, worauf sie sich auf EU-Ebene gemeinsam geeinigt haben. Das nennt man auch Anwendungsvorrang. Hierzu schreiben die Forschenden:

Der sogenannte Anwendungsvorrang von europäischem Recht kann zur Folge haben, dass nationales Recht nicht mehr anzuwenden ist, sofern es eine vollharmonisierende unionsrechtliche Regelung der entsprechenden Materie gibt.

Einen solchen Anwendungsvorrang sehen die Wissenschaftlichen Dienste auch bei potenziellen Social-Media-Verboten. Denn das Thema ist im DSA eigentlich geregelt. Dieses Gesetz nennt Werkzeuge zur Altersüberprüfung als eine von mehreren möglichen Maßnahme zum Schutz von Minderjährigen – je nach konkretem Risiko einer Plattform.

Eine generelle Pflicht zu Alterskontrollen nach australischem Vorbild ist im DSA aber nicht vorgesehen. Entsprechend sehen die Forscher*innen „gewichtige Hürden“, wenn eine nationale Altersgrenze für soziale Medien eingeführt werden soll.

Zweite Hürde: Bitte nicht alle auf einmal

Auch die zweite Hürde für ein deutsches Social-Media-Verbot ist ein EU-Gesetz, und zwar die E-Commerce-Richtlinie. Unter anderem dort ist das sogenannte Herkunftslandprinzip verankert. Einfach ausgedrückt geht es darum, dass Unternehmen in der EU nicht verschiedene Vorschriften aus 27 Mitgliedstaaten jonglieren sollen, sondern stattdessen eine klare Anlaufstelle bekommen: Die zuständigen Behörden aus dem Land, in dem sie ihren Hauptsitz haben.

Die Forscher*innen drücken das so aus: „Demnach gelten für einen Anbieter, der in einem EU-Mitgliedsstaat niedergelassen ist, nur die jeweiligen nationalen Rechtsvorgaben.“

Deshalb hat Irland ein so großes netzpolitisches Gewicht in der EU – dort sitzen die großen Plattformen wie TikTok-Mutter Bytedance oder Meta. Es kann also sein, dass ein deutsches Social-Media-Verbot für so wichtige Plattformen wie TikTok keine Wirkung hätte, weil TikTok seinen EU-Hauptsitz nicht in Deutschland hat. Die Forscher*innen schreiben, es dürfte „fraglich sein“, ob ein deutsches Social-Media-Verbot Auswirkungen „entfalten“ kann.

Ja, aber…

Klar zum Scheitern verurteilt sind Bestrebungen für ein deutsches Social-Media-Verbot trotzdem nicht, wie aus dem Bericht der Wissenschaftlichen Dienste hervorgeht. Es gibt nämlich durchaus Spielräume für einzelne Mitgliedstaaten wie Deutschland.

Hier kommt ein anderes EU-Gesetz ins Spiel, und zwar die Richtlinie über audiovisuelle Mediendienste (AVMD-RL). Diese Richtlinie ist älter als der DSA und sieht durchaus vor, dass Mitgliedstaaten auch eigene Vorschriften entwickeln. Der Haken: Die AVMD-RL bezieht sich gezielt auf Video-Sharing-Plattformen – darunter fallen etwa YouTube oder Pornoseiten. Alle Social-Media-Plattformen lassen sich aber nicht per AVMD-RL regulieren, wie die Forscher*innen erklären. „Fotografien und Bilder zählen hingegen nicht zu diesen audiovisuellen Darstellungen“, heißt es beispielsweise im Bericht.

Kurzum: Da sind zwei EU-Gesetze, AVMD-RL und DSA, die nicht optimal zusammenpassen. Aber sie gelten beide.

Es ist nicht der einzige Fall, in dem sich Gesetze zum Jugendmedienschutz beißen oder schlecht ineinandergreifen. Ein weiteres Beispiel ist Deutschlands föderale Medienaufsicht, aufgefächert in mehrere Landesmedienanstalten. Dort versuchen Medienwächter*innen auf Basis des Jugendmedienschutz-Staatsvertrags (JMStV) den Jugendschutz im Netz durchzusetzen. Das Problem: Die EU-Kommission sieht in der jüngsten Novelle des JMStV einen Konflikt mit der „Vollharmoniserung“ des DSA und dem Herkunftslandprinzip.

Zwist statt Harmonie

Der wohlige Klang des Begriffs Vollharmonisierung führt also in die Irre. Vielmehr besteht ein Nebeneinander von mehreren Vorschriften zum Jugendschutz, die Behörden auf mehreren Ebenen durchsetzen wollen. Dabei gibt es Konflikte – nicht nur mit Unternehmen, die sich ungern regulieren lassen wollen, sondern auch unter den Regulierungsbehörden selbst, die um Einfluss ringen und ungern Kompetenzen abtreten.

Die trügerische Sicherheit von Alterskontrollen im Netz

Konflikte klären und verbindliche Entscheidungen herbeiführen, das müssen im Zweifel Gerichte tun. Konkretes Beispiel: Seit Jahren prozessiert Pornhub gegen Alterskontrollen durch die deutsche Medienaufsicht. Dabei geht es auch um die Frage, ob Pornhub aus Düsseldorf (Landesmedienanstalt Nordrhein-Westfalen) oder aus Brüssel (EU-Kommission) reguliert werden soll. Der Ausgang ist ungewiss.

Entsprechend düster sind die Aussichten für ein wirksames deutsches Social-Media-Verbot für Minderjährige, das nicht an einer der vielen Hürden zerschellen würde. Nüchtern schlussfolgern die Forscher*innen:

Der beschriebene Anwendungsvorrang europäischer Normen sowie das Herkunftslandprinzip können sich als Hürde bei der Einführung eines gesetzlichen Mindestalters für die Nutzung sozialer Netzwerke herausstellen.

Ein möglicher Ausweg wäre eine Lösung direkt auf EU-Ebene. Dort wird auch gerade kontrovers diskutiert, in welchem Umfang Alterskontrollen das Internet dominieren sollen. Grundlage ist allerdings der DSA, der sich eben nicht nur auf soziale Medien fokussiert, sondern sich in der Breite mit digitalen Diensten befasst. Neben der Option zu Altersschranken sieht das Gesetz viele weitere Maßnahmen vor, die sich an den spezifischen Risiken eines Diensts orientieren.

Es gibt also noch mehr Werkzeuge als Altersschranken, um Minderjährige im Netz zu schützen – und diese Werkzeuge liegen mit dem DSA teilweise schon bereit. Mit einem Hinweis auf Alternativen beenden auch die Wissenschaftlichen Dienste ihren Bericht. Konkret nennen sie „strukturelle Vorsorgemaßnahmen, Medienkompetenzförderung und altersgerechte Gestaltung der Plattformen“.