Dass es für Opfer „digitaler Gewalt“ – von Rufmord bis hin zu revenge porn – nicht leicht ist, ihre Rechte effektiv durchzusetzen, war schon länger bekannt. Die vor Kurzem öffentlich gewordenen Vorwürfe gegen eine bekannte Fernsehpersönlichkeit haben die Debatte um einen effektiven Rechtsschutz im Internet erneut befeuert. In diese Kerbe schlägt nun auch das Bundesministerium der Justiz und für Verbraucherschutz („BMJV“) mit seinem Vorschlag eines „Gesetzes zur Stärkung des zivilrechtlichen und strafrechtlichen Schutzes vor digitaler Gewalt“ („GgdG-E“), dessen Referentenentwurf am 16. April 2026 veröffentlicht wurde.
Der Entwurf schafft kein neues allgemeines Plattformaufsichtsrecht. Stattdessen soll das GgdG den Betroffenen die individuelle Rechtsdurchsetzung auf dem Privatrechtsweg erleichtern. Damit kommen auf verpflichtete Unternehmen – Betreiber von Online-Plattformen sowie Anbieter von Hosting-Diensten und teilweise auch Internetzugangsdiensten in Deutschland – zusätzliche Prüf-, Auskunfts-, Sicherungs- und Umsetzungspflichten zu, die wir hier einordnen.
Wer ist betroffen?
Die Adressaten der zusätzlichen Pflichten sollen Unternehmen sein, die Online-Plattformen und Web- sowie Cloud-Hosting-Dienste betreiben (zusammen definiert als „Diensteanbieter“, § 1 Abs. 2 GgdG-E). Charakteristisch ist für beide Dienstarten, dass mit ihnen bzw. über sie – ggf. rechtsverletzende – Informationen im Internet verbreitet werden können. Daneben werden Internetzugangsanbieter in die Pflicht genommen, soweit es um die Zuordnung von IP-Adressen zu Anschlussinhabern geht (§§ 1 Abs. 3, 2 Abs. 1 GgdG-E). Damit geht der Entwurf über klassische Plattformen hinaus und verändert – allen Beteuerungen in der Entwurfsbegründung zum Trotz – die Bedeutung von (vermeintlicher) Anonymität im Online-Diskurs.
Räumlich knüpfen die Pflichten an die Zuständigkeit deutscher Zivilgerichtsbarkeit an – Anbieter außerhalb Deutschlands und sogar außerhalb der EU können daher betroffen sein, wenn sie ihre Dienste in Deutschland erbringen.
Rechtlicher Hintergrund
Seit dem 17. Februar 2024 ergibt sich der Pflichtenrahmen für die Moderierung von Online-Inhalten primär aus dem Digital Services Act („DSA"; Verordnung (EU) 2022/2065). Dieser sieht neben diversen Transparenzpflichten insbesondere die verpflichtende Einrichtung eines Melde-und-Abhilfemechanismus vor, für Anbieter von Online-Plattformen außerdem eines internen Beschwerdemanagementsystems sowie die Teilnahme an außergerichtlicher Streitbeilegung.
Was der DSA jedoch nicht regelt, ist die individuelle zivilrechtliche Durchsetzung von Ansprüchen durch Betroffene digitaler Gewalt gegenüber den Diensteanbietern. Er enthält weder ein Verfahren, mit dem Betroffene die Identität anonymer rechtsverletzender Personen ermitteln können, noch einen gerichtlich durchsetzbaren Anspruch auf Sperrung einzelner Nutzerkonten bei schwerwiegenden Persönlichkeitsrechtsverletzungen (allerdings u.U. auf Schadensersatz bei Pflichtverletzungen, vgl. Art. 54 DSA).
Für die Identifizierung von Personen, die Rechtsverletzungen im digitalen Raum begehen und die schnelle Sicherung digitaler Inhalte als Grundlage zivilrechtlicher Ansprüche sieht bislang § 21 Abs. 2 bis 4 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes („TDDDG“) eine datenschutzrechtliche Ermächtigungsnorm vor. Diensteanbieter dürfen auf richterliche Anordnung Bestandsdaten eines Nutzers an Betroffene herausgeben – einen materiellen Anspruch des Betroffenen auf Auskunftserteilung begründet das TDDDG hingegen nicht. Dieses Auskunftsverfahren soll nun durch eine neue, speziell auf digitale Gewalt zugeschnittene Regelung ersetzt werden.
Während der DSA vor allem die regulatorische Verantwortlichkeit von Vermittlungsdiensten strukturiert, zielt das neue Gesetz auf die prozessuale Durchsetzbarkeit individueller Ansprüche. Unternehmen müssen daher nicht nur die Einhaltung von Pflichten aus dem DSA sicherstellen, sondern sich außerdem auf gerichtliche Auskunfts-, Sicherungs-, Löschungs- und Sperranordnungen nach dem neuen GgdG-Regime vorbereiten.
Die zentralen Neuerungen in der zivilrechtlichen Rechtsdurchsetzung
Begriff der Rechtsverletzung
Die zivilprozessualen Instrumente des GgdG-E setzen jeweils voraus, dass eine „Rechtsverletzung" vorliegt. Der Entwurf definiert den Begriff der Rechtsverletzung nicht autonom, sondern verweist auf einen gesetzlich festgelegten Katalog an Straftatbeständen. Darunter fallen unter anderem Beleidigung, üble Nachrede und Verleumdung (§§ 185-189 StGB) und Nachstellung (§ 238 StGB) sowie Verstöße gegen das Recht am eigenen Bild (§ 33 KunstUrhG) und das Datenschutzrecht (§ 42 BDSG). Der Katalog umfasst dabei auch die durch den Entwurf selbst neu geschaffenen bzw. erweiterten Straftatbestände. Zentrale – für Unternehmen allerdings nur mittelbar, durch die Erweiterung des Begriffs der „Rechtsverletzung“ relevante – Neuerungen sind die Reform des § 184k StGB-E, der künftig auch die Herstellung und das Zugänglichmachen sexualisierter Deepfakes erfassen soll, sowie der neue § 201b StGB-E, der die Verbreitung persönlichkeitsrechtsverletzender täuschender Inhalte unter Strafe stellen soll.
Zwar dürfte es nur wenige Fälle geben, in denen sich Plattformbetreiber selbst nach diesen – auch den neuen – Straftatbeständen strafbar machen. Allerdings erhöht die Erweiterung des Katalogs für diese Unternehmen das Risiko, mit gerichtlichen Anordnungen zugunsten Betroffener konfrontiert zu werden.
Das neue gerichtliche Auskunftsverfahren
Das Herzstück der zivilprozessualen Neuerungen ist das neue Auskunftsverfahren. Betroffene sollen künftig deutlich leichter an Identitätsdaten von Nutzern gelangen können, wenn diese im digitalen Raum strafbare Rechtsverletzungen begangen haben. Voraussetzung bleibt eine richterliche Anordnung.
Für die betroffenen Anbieter besonders relevant ist der erweiterte Umfang der herauszugebenden Daten. Künftig sollen nicht nur klassische Bestandsdaten wie Name, Geburtsdatum, Anschrift, E-Mail-Adresse oder Telefonnummer umfasst sein, sondern auch die bei der Rechtsverletzung verwendete IP-Adresse einschließlich Portnummer sowie die zuletzt verwendete IP-Adresse. Internetzugangsanbieter sollen diese Daten sodann dem jeweiligen Anschlussinhaber zuordnen und die entsprechenden Personalien herausgeben. Anders als beim bisherigen Verfahren nach § 21 TDDDG, welches zwei separate Gerichtsbeschlüsse erforderte, soll dies künftig in einem einzigen Verfahren möglich sein.
Praktisch bedeutsam könnte auch werden, dass sich Betroffene von zivilgesellschaftlichen Organisationen vertreten lassen können sollen (§ 7 GgdG-E). Dies könnte die faktische Hürde für die Geltendmachung von Ansprüchen ebenso herabsetzen wie der Umstand, dass Auskunftsverfahren nach dem GdgG gerichtskostenfrei sein und nicht dem Anwaltszwang unterliegen sollen.
Sollte der Gesetzentwurf umgesetzt werden, müssen Unternehmen daher prüfen, ob ihre internen Prozesse es überhaupt erlauben, gerichtliche Anordnungen kurzfristig und datenschutzkonform umzusetzen.
Beweissicherung wird zur operativen Pflicht
Neben dem Auskunftsverfahren sieht der Entwurf beweissichernde Anordnungen vor, die den Diensteanbieter bereits in einem frühen Verfahrensstadium treffen. Sobald ein entsprechendes Verfahren anhängig ist und hinreichende tatsächliche Anhaltspunkte für eine Rechtsverletzung vorliegen, soll das Gericht anordnen, dass der Diensteanbieter die relevanten Nutzerdaten nicht löscht und eine Kopie des angegriffenen Inhalts erstellt. Diese Daten und die Inhaltskopie sind an das Gericht zu übermitteln; an den Antragsteller dürfen sie zunächst nicht weitergegeben werden.
Die Pflicht zur Beweissicherung ist weniger eine Frage der rechtlichen Bewertung, sondern vor allem eine der internen Governance: Daten müssen identifiziert, gesichert, übermittelt und nach Verfahrensabschluss irreversibel gelöscht werden.
Auffällig ist allerdings, dass der Entwurf für die Missachtung von Auskunftsanordnungen und beweissichernden Anordnungen keine eigenständige Sanktionsnorm vorsieht. Zur Durchsetzung der materiellen Pflichten verbleiben damit lediglich die allgemeinen Zwangsmittel nach § 35 FamFG – Zwangsgelder, die im Einzelfall EUR 25.000 nicht übersteigen dürfen. Da das GgdG-E gerade auch Anbieter mit Sitz im Ausland im Blick hat (dazu noch unten), wird zu beobachten sein, ob im Laufe des Gesetzgebungsverfahrens noch schärfere Durchsetzungs- bzw. Sanktionsregeln ergänzt werden.
Gerichtliche Accountsperren
Accountsperren sind Plattformbetreibern bereits aus dem DSA bekannt. Art. 23 Abs. 1 DSA verpflichtet Anbieter von Online-Plattformen, die Erbringung ihrer Dienste gegenüber Nutzern vorübergehend auszusetzen, wenn diese häufig offensichtlich rechtswidrige Inhalte bereitstellen. Der GgdG-E greift dieses Instrument auf, geht aber darüber hinaus, indem er einen zivilrechtlichen Anspruch Betroffener gegen Anbieter von sozialen Netzwerken auf Sperrung von Nutzerkonten vorsieht. Während Art. 23 Abs. 1 DSA an eine häufige und offensichtliche missbräuchliche Nutzung anknüpft, soll gemäß § 4 Abs. 1 GgdG-E bereits bei einer erstmaligen Rechtsverletzung eine Sperrung von Accounts möglich sein (auch wenn eine Wiederholungsgefahr weiterhin Voraussetzung ist). Der Entwurf verschiebt die Accountsperre damit von einer plattformseitigen Moderationsmaßnahme nach dem DSA zu einem gerichtlich durchsetzbaren Instrument privater Rechtsdurchsetzung.
Ob eine solche nationale Sonderregelung neben dem DSA überhaupt zulässig ist, ist fraglich. Der DSA beansprucht als unmittelbar geltende Verordnung eine weitgehende Harmonisierung der Regeln für ein sicheres und vertrauenswürdiges Online-Umfeld. Vor diesem Hintergrund spricht einiges dafür, dass § 4 GgdG-E mit Art. 23 DSA kollidieren könnte, weil der nationale Entwurf für Accountsperren geringere Voraussetzungen vorsieht. Dass § 4 Abs. 4 Satz 3 GgdG-E klarstellt, Maßnahmen nach Art. 23 DSA blieben daneben möglich, entschärft dieses Spannungsverhältnis nur begrenzt. Denn für Diensteanbieter würde sich gleichwohl die Frage stellen, ob sie in Deutschland weitergehenden Sperransprüchen ausgesetzt wären als in anderen Mitgliedstaaten. Die ausführliche Argumentation in der Gesetzesbegründung zeigt, dass sich auch der Gesetzgeber dieses Risikos bewusst ist.
Zustellungsbevollmächtigte
Der Entwurf verpflichtet Anbieter sozialer Netzwerke mit Sitz außerhalb der EU, spätestens mit dem Anbieten des Dienstes im Inland einen inländischen Zustellungsbevollmächtigten zu benennen und leicht auffindbar auszuweisen. Verstöße können mit einer Geldbuße von bis zu EUR 500.000 geahndet werden – bei juristischen Personen verzehnfacht sich dieser Rahmen über § 30 Abs. 2 Satz 3 OWiG auf bis zu EUR 5 Mio.
Für Anbieter mit Sitz in einem EU-Mitgliedstaat ist die Lage differenzierter: Hier soll eine Benennung nicht abstrakt-generell, sondern nur aufgrund gerichtlicher Anordnung im Einzelfall verlangt werden. Diese Differenzierung geht auf das EuGH-Urteil vom 9. November 2023 (C-376/22) zurück. Danach darf ein Mitgliedstaat Diensteanbietern mit Sitz in einem anderen EU-Mitgliedstaat keine abstrakt-generellen Pflichten auferlegen – die Regulierungskompetenz liegt beim Sitzstaat des Anbieters.
Da eine gerichtliche Zustellung innerhalb der EU regelmäßig eine längere Zeit in Anspruch nimmt, als insbesondere IP-Adressen beim Internetzugangsanbieter gespeichert bleiben, hat dies insbesondere im Hinblick auf die in Irland und anderen EU-Mitgliedstaaten ansässigen Anbieter einen erheblichen Einfluss auf die praktische Wirksamkeit des GgdG. Ob der parallel im Gesetzgebungsverfahren befindliche Entwurf zur Einführung einer IP-Adressspeicherung, der Internetzugangsanbieter zur vorsorglichen Speicherung von IP-Adressen für drei Monate verpflichten soll, dieses Zeitproblem entschärfen kann, bleibt abzuwarten.
Handlungsempfehlungen für Unternehmen
Der Referentenentwurf gegen digitale Gewalt ist für Diensteanbieter vor allem deshalb relevant, weil er die zivilrechtliche Rechtsdurchsetzung im digitalen Raum schärft und Plattformbetreiber in eine zentrale Umsetzungsrolle drängt. Die Pflichten sind weitreichend, auch wenn Durchsetzungsmechanismen gegenüber den Anbietern begrenzt sind.
Durch die Verknüpfung von durch die Richtlinie (EU) 2024/1385 motivierten Strafrechtsverschärfungen mit den zivilprozessualen Änderungen hat das BMJV die „Überlebenschancen“ des Entwurfs erheblich erhöht. Auch wenn sich der Entwurf noch im Gesetzgebungsverfahren befindet und Änderungen möglich sind, sollten betroffene Unternehmen seine Veröffentlichung daher schon jetzt zum Anlass nehmen, zu prüfen, wo u.U. Anpassungsbedarf besteht. Das betrifft insbesondere die Fähigkeit, Auskunftsersuchen und beweissichernde Anordnungen kurzfristig umzusetzen, technische Prozesse zur Datenzuordnung, Datensicherung, Lösch- und Sperrabläufe sowie die Gestaltung von Schnittstellen zwischen den unternehmensintern betroffenen Organisationseinheiten.
Insbesondere bei der Frage des Zustellungsbevollmächtigten sollten Diensteanbieter aufgrund des vergleichbar hohen Sanktionsrahmens das Gesetzgebungsverfahren sorgfältig beobachten und ggf. frühzeitig prüfen, ob die bestehende Zustellungs- und Verfahrensorganisation den neuen Anforderungen genügt.
Weiterleiten
