DA+

Kurzbeitrag : DSA, DDG & Co. – Alles, nur kein Strafrecht! : aus der RDV 6/2023, Seite 380-382

Lesezeit 5 Min.

Die am 16.11.2022 in Kraft getretene Verordnung des Europäischen Parlaments und des Rates vom 19.10.2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG („Digital Services Act“, DSA) wird ab dem 17.02.2024 unmittelbar in allen EU-Mitgliedstaaten Anwendung finden. Folgerichtig geht das Bundesministerium für Digitales und Verkehr mit dem Entwurf des Digitale-Dienste-Gesetzes (DDG-E)[1] die Durchführung des DSA in Deutschland und die erforderlichen Anpassungen des innerstaatlichen Rechts an. Die Anpassungsbedarfe sind hoch. Ganz besonders ins Auge fällt die Aufhebung des Netzwerkdurchsetzungsgesetzes (Art. 37 Abs. 2 Nr. 2 DDG-E), das durch den DSA in wesentlichen Teilen „überschrieben“[2] wird.

Zu den bedeutsamen „überschriebenen“ bzw. nach dem derzeitigen Stand des DDG-E aufgehobenen Regelungen gehört aus strafrechtlicher Sicht vor allem die Meldepflicht für Anbieter sozialer Netzwerke nach § 3a des Netzwerkdurchsetzungsgesetzes (NetzDG). Hiernach sind tatbestandlich bestimmte strafrechtlich relevante Inhalte – namentlich solche aus dem Bereich der digitalen Hasskriminalität und der Straftaten gegen die sexuelle Selbstbestimmung von Kindern und Jugendlichen im Sinne des dreizehnten Abschnitts des Besonderen Teils des Strafgesetzbuchs – definiert, die Anbieter sozialer Netzwerke an das Bundeskriminalamt melden müssen.

Die Norm hat eine komplexe legislative Entwicklung hinter sich.[3] Nachdem in dem von Anbietern sozialer Netzwerke betriebenen verwaltungsgerichtlichen Eilverfahren die Unionsrechtswidrigkeit von §  3a NetzDG angenommen worden ist[4], ist die Meldepflicht nie zur Anwendung gelangt. Ihre praktische Wirksamkeit kann daher zu Recht hinterfragt werden.[5] Obschon ursprünglich Hunderttausende von Meldungen von Anbietern sozialer Netzwerke erwartet worden waren, beschränkt sich die Zahl der tatsächlich durch die Zentrale Meldestelle beim Bundeskriminalamt bearbeiteten – und dieser vor allem von freiwilligen Meldepartnern zugelieferten – Meldevorgänge auf einen mittleren vierstelligen Wert.[6]

Bei aller Kritik an Regelungsgehalt und Wirksamkeit des NetzDG ist der Norm zugute zu halten, dass sie einen klaren strafrechtlichen Akzent gesetzt hat. Die „Überschreibungsnorm“ Art.  18 DSA lässt demgegenüber die eindeutige Benennung von Straftatbeständen vermissen, die künftig eine Pflicht für die Meldung des Verdachts von Straftaten durch Hostingdiensteanbieter auslösen sollen. Verwiesen wird allein auf Straftaten, „die eine Gefahr für das Leben oder die Sicherheit einer Person oder von Personen“ darstellen. Welche konkret dies sind, bleibt offen. Auch die Erwägungsgründe der Verordnung helfen wenig weiter. Sie erschöpfen sich in einer beispielhaften Kasuistik und in dem – offenbar nicht abschließenden[7] – Verweis auf die in den Richtlinien 2011/36/ EU (Verhütung und Bekämpfung des Menschenhandels), 2011/93/EU (Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie) und 2017/541/EU (Terrorismusbekämpfung) des Europäischen Parlaments und des Rates genannten Straftaten. Dass diese lückenhafte Umgrenzung wenig hilfreich für die praktische Anwendung sein könnte, scheint auch die Bundesregierung zu befürchten. In ihrer Antwort auf eine Kleine Anfrage zum DSA führt sie aus[8], sie habe sich vergeblich „für eine Konkretisierung der Meldepflichten der HostingDiensteanbieter an Strafverfolgungs- und Justizbehörden […] eingesetzt.“ Der DDG-E ergänzt, die Schätzung, wie viele Meldungen aufgrund der neu gefassten Meldepflicht zu erwarten seien, sei „mit erheblichen Unsicherheiten behaftet“. Denn „aufgrund der unklar definierten Richtlinie“ sei „die spätere Umsetzung noch nicht mit Sicherheit konkret darstellbar.“[9]

Dergestalt unklare Vorgaben müssen dringend präzisiert werden. Denn ohne eine genaue Benennung, bei Verdacht auf welche konkreten Straftaten eine Meldung erfolgen muss, wird der Meldepflicht der Erfolg versagt bleiben. Erst eine hinreichend präzise Benennung bietet einerseits ein wirksames Handlungsgerüst für gutwillige Hostingdiensteanbieter, die ihrer Meldepflicht nachkommen wollen und mit den Strafverfolgungsbehörden kooperieren. Nur sie ist andererseits die Grundlage, Compliance zu erzwingen. Unklarheit in den Anwendungsfällen gibt die Wirksamkeit der Meldepflicht der Beliebigkeit der Auslegung durch die betroffenen Unternehmen preis.

Dies unterläuft die Zielsetzung des DSA. Nach Erwägungsgrund 56 soll durch die Meldepflicht des Art.  18 DSA eine wirksame Strafverfolgung ermöglicht werden. So sollen Anbieter von Hostingdiensten unter anderem alle einschlägigen ihnen verfügbaren Informationen bereitstellen, die erforderlich sind, um den einer Straftat verdächtigen Nutzer ausfindig zu machen und zu identifizieren. Primäre Meldebehörde ist diejenige des betroffenen Mitgliedstaats, in dem die Tat begangen wurde oder in dem Täter oder Opfer Wohnsitz oder Aufenthaltsort genommen haben. Als Rückfallebene bei mangelnder Lokalisierung soll die Meldung an den Niederlassungsstaat des Anbieters oder Europol gerichtet werden.

Anders als in § 3a NetzDG, der nur Anbieter sozialer Netzwerke adressiert, wird der Kreis der Meldepflichtigen des Art. 18 DSA durch den Rückgriff auf den Bezugspunkt „Hostingdiensteanbieter“ signifikant erweitert.[10] Anbieter sozialer Netzwerke sind in Deutschland kaum ansässig, Hostingdiensteanbieter jedoch in erheblichem Umfang. Auch der deutsche Gesetzgeber muss daher schon mit Blick auf deren praktische Bedeutung eine Präzisierung trotz bzw. wegen der (unzureichenden) Vorgaben des DSA leisten.

Wie viel Spielraum ihm dafür verbleibt, ist Gegenstand der laufenden rechtspolitischen Debatte. Während einerseits betont wird, dass der DSA auf die Vollharmonisierung abziele und damit grundsätzlich entgegenstehende nationale Regelungen unanwendbar seien[11], werden andererseits verbleibende Gestaltungsspielräume angenommen[12]. Das „Erläuterungspapier“ zu den Eckpunkten des Bundesministeriums der Justiz zum Gesetz gegen digitale Gewalt konstatiert schlicht, „die durch das Gesetz gegen digitale Gewalt vorgesehenen Regelungen werden neben dem DSA anwendbar sein“, denn der DSA treffe „nur wenig Aussagen“ über den Regelungsgegenstand des erwogenen Gesetzes gegen digitale Gewalt und stehe daher den vorgesehenen Regelungen nicht entgegen.[13] Diese Kühnheit mag man kritisieren.[14] Dass hingegen der Entwurf des DDG nicht einmal den Anspruch verfolgt, die Anwendungsfälle der Meldepflicht bei Verdacht von Straftaten auf den Rahmen des Strafgesetzbuchs herunterzubrechen, ist der deutlich schwerwiegendere Kritikpunkt in der Umsetzung des DSA.

 

* Markus Hartmann ist leitender Oberstaatsanwalt bei der Generalstaatsanwaltschaft Köln und Leiter der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW).

[1] Abrufbar unter https://dserver.bundestag.de/btd/20/023/2002308.pdf.

[2] So treffend Härting/Adamek, CR 2023, 316, 318.

[3] Hierzu Liesching, MMR 2023, 56 f

[4] VG Köln, Beschl. vom 01.03.2022 (6 L 1277/21; 6 L 1354/21).

[5] Liesching, a.a.O., 60: Tschorr, MMR 2022, 1053, 1057

[6] Laut DDG-E sind im Zeitraum von Mai 2022 bis einschließlich Februar 2023 insgesamt 5.345 Meldungen, die dem BKA von den mitwirkungswilligen nationalen Kooperationspartnern übermittelt wurden, dort bearbeitet worden

[7] ErwG 56 spricht von einem Nutzer, der „möglicherweise eine Straftat begangen hat, begeht oder vermutlich begehen wird, die das Leben oder die Sicherheit von Personen in Gefahr bringt, wie eine der“ in den genannten Richtlinien aufgeführten Straftaten und ist damit sprachlich mehrdeutig

[8] BT-Drs. 20/2308, S. 4

[9] S. 60 DDG-E

[10] Tschorr, a.a.O., 1055; so auch S. 56, 60 DDG-E.

[11] Zu vgl. Härting/Adamek, a.a.O., 317.

[12] Panahi, MMR 2023, 556, 559.

[13] S. 6 des Erläuterungspapiers zu den Eckpunkten des Bundesministeriums der Justiz zum Gesetz gegen digitale Gewalt, abrufbar unter https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/2023_Digitale_Gewalt.html.

[14] Härting/Adamek, a.a.O., 318.