Bundesjustizministerin Stefanie Hubig hat am 17. April 2026 einen Gesetzentwurf zum besseren Schutz vor digitaler Gewalt vorgelegt. Er schließt drei Schutzlücken, die niemand ernsthaft bezweifelt: Er stellt das unbefugte Herstellen und Verbreiten intimer Bildaufnahmen unter Strafe, macht täuschende Inhalte mit rufschädigender Wirkung — die sogenannten Deepfakes — strafbar und kriminalisiert die unbefugte digitale Überwachung per Spyware oder GPS-Tracker. Zugleich stärkt er zivilrechtlich die Position der Betroffenen, die leichter anonyme Täter identifizieren, Beweise sichern und in gravierenden Fällen Account-Sperren erwirken können sollen. Der Entwurf läuft derzeit in der Verbändeabstimmung; Stellungnahmen sind bis zum 22. Mai möglich.
In der öffentlichen Debatte wird das Vorhaben weitgehend wohlwollend diskutiert. Der Fall Fernandes, die Cyberstalking-Erfahrungsberichte prominenter Politikerinnen wie Ricarda Lang, die erschreckend niedrige Einstiegshürde für KI-generierte Nacktbilder — all das bildet die berechtigte Folie, vor der das Gesetz entsteht. Was in dieser Debatte allerdings fast vollständig fehlt, ist die Symmetriefrage: Gelten die drei genannten Maßstäbe auch dann, wenn nicht ein Bürger gegen einen anderen Bürger, sondern der Staat gegen einen Bürger handelt?
Drei Tatbestände, drei staatliche Spiegelbilder
Legt man die drei neuen Straftatbestände nebeneinander und sucht nach ihrem staatlichen Echo, ergibt sich ein bemerkenswertes Bild.
Erstens: die unbefugte Herstellung von Bildaufnahmen zur Verletzung der Intimsphäre. Auf der staatlichen Seite gibt es dazu kein einzelnes, deckungsgleiches Instrument, aber ein Konglomerat: Videoüberwachung in öffentlichen Räumen, biometrische Gesichtserkennung in Pilotprojekten deutscher Bahnhöfe, Bodycams und Dashcams der Polizei. Der Fokus ist ein anderer, der Kern aber derselbe — die Aufnahme einer Person ohne deren Einverständnis. Die rechtliche Unterscheidung ist hier noch am klarsten gezogen, weil der öffentliche Raum einen abgeschwächten Intimsphärenschutz kennt und die Aufnahmen in der Regel nicht sexualisiert sind. Der Vergleich hinkt bewusst; an dieser Stelle liegt die Symmetriefrage am flachsten.
Zweitens: täuschende Inhalte mit rufschädigender Wirkung. Hier existiert kein direkt vergleichbares staatliches Instrument, wohl aber eine Debatte, die in Deutschland bislang kaum geführt wird: die Grenze zwischen legitimer Öffentlichkeitsarbeit und strategischer Kommunikation, zwischen Informationsvermittlung und behördlicher Narrativsteuerung. Deepfakes im engeren Sinn produziert der deutsche Staat nicht. Täuschungsähnliche Effekte durch selektive Datenfreigabe, Framing-Pressemitteilungen oder koordinierte Kampagnen sind ein weicheres Feld, das außerhalb des Strafrechts liegt und politisch nur punktuell thematisiert wird. Die Asymmetrie ist hier eine Asymmetrie der Aufmerksamkeit, nicht der gesetzlichen Regelung.
Drittens: die unbefugte digitale Überwachung durch Spyware oder GPS-Tracker. Hier wird die Symmetriefrage scharf. Was der Bürger nach Hubigs Entwurf unter keinen Umständen darf, hat sich der Staat durch das bestehende Recht ausdrücklich erlaubt — unter Voraussetzungen, die das Bundesverfassungsgericht in seinem „Trojaner II“-Beschluss vom 24. Juni 2025 zwar eingeengt, aber keineswegs aufgehoben hat.
Der Staatstrojaner: erlaubt, reguliert, nicht abgeschafft
Die Quellen-Telekommunikationsüberwachung nach § 100a StPO ermöglicht es Ermittlungsbehörden, Spyware auf dem Endgerät eines Verdächtigen zu installieren, um dessen Kommunikation vor der Verschlüsselung mitzulesen. Das Bundesverfassungsgericht hat den Einsatz bei Straftaten mit einer Höchststrafe von bis zu drei Jahren für unverhältnismäßig erklärt, ihn bei schweren Straftaten aber bestätigt. Die Online-Durchsuchung nach § 100b StPO — die den vollständigen Zugriff auf alle Daten eines Smartphones, Laptops oder Tablets erlaubt, einschließlich Fotos, Dokumente und Standortverläufe — wurde lediglich aus formalen Gründen für verfassungswidrig erklärt (Verletzung des Zitiergebots) und darf bis zur Neufassung weiter eingesetzt werden. GPS-Tracking gegen Verdächtige ist durch § 100h StPO gedeckt; die Polizeigesetze der Länder sehen entsprechende Befugnisse im Bereich der Gefahrenabwehr vor.
Die Zahlen bleiben überschaubar. Das Bundesamt für Justiz weist für 2023 104 angeordnete Quellen-TKÜ-Maßnahmen aus, von denen 62 auch tatsächlich durchgeführt wurden — überwiegend im Bereich der Drogenkriminalität. Online-Durchsuchungen kamen auf 26 Anordnungen und sechs Durchführungen, fast ausschließlich im terroristischen oder organisierten Milieu. Das relativiert das quantitative Problem, nicht aber das qualitative: Der Staat darf, wenn er es für notwendig hält und ein Gericht zustimmt, auf einem privaten Gerät technisch genau das tun, was einem Stalker nach dem neuen Gesetz drei Jahre Freiheitsstrafe einbringen soll.
Ein von den Beschwerdeführern in Karlsruhe vorgetragener und im Urteil aufgegriffener Nebenpunkt verdient dabei besondere Aufmerksamkeit: Für die Installation der Staatstrojaner werden in der Regel Sicherheitslücken ausgenutzt, die Behörden ankaufen oder über Zulieferer erwerben. Die NSO Group, Hersteller der Pegasus-Software, hat nachweislich an autoritäre Regime verkauft. Deutsche Behörden arbeiten mit solchen privaten Lieferanten zusammen. Das Verfassungsgericht hat angedeutet, dass diese Praxis grundrechtlich nicht unproblematisch ist; eine Regulierung steht aus.
Die andere Ministerialentscheidung, vier Monate vorher
Die Symmetriefrage bekommt ihre besondere Zuspitzung, wenn man die zeitliche Reihenfolge betrachtet. Am 21. Dezember 2025 — also vier Monate vor dem jetzt vorgestellten Entwurf — hat dieselbe Justizministerin einen Gesetzentwurf zur dreimonatigen Speicherung sämtlicher IP-Adressen durch Internetanbieter vorgelegt. Das ist die Rückkehr der Vorratsdatenspeicherung in angepasster Form, nach Jahrzehnten verfassungsgerichtlicher und europarechtlicher Ablehnung vorheriger Versuche.
Die argumentative Figur, die sich daraus ergibt, ist bemerkenswert: Der Bürger soll sich nicht selbst tracken lassen dürfen — der Staat soll ihn anlasslos tracken dürfen. Der Bürger darf keine Spyware installieren — der Staat darf es bei schweren Straftaten. Der Bürger darf keine GPS-Tracker anbringen — der Staat darf es bei erheblichen Straftaten. In jedem dieser Fälle liegt ein legitimer Zweck vor, keine Frage. Aber in keinem dieser Fälle wird die Symmetriefrage in der öffentlichen Debatte auch nur gestellt.
Das rechtsstaatliche Gegenargument — und seine Grenzen
An dieser Stelle ist ein faires Gegenargument nicht zu übergehen. Die Unterscheidung zwischen privater und staatlicher Überwachung ist im Rechtsstaat keine formale Äußerlichkeit, sondern strukturell begründet. Staatliche Maßnahmen sind an Richtervorbehalt, Verhältnismäßigkeitsprinzip, Benachrichtigungspflichten, parlamentarische Kontrolle und Rechtsweggarantie gebunden. Der private Stalker ist an nichts dergleichen gebunden. Dieselbe Technik wird deshalb in den beiden Kontexten unterschiedlich bewertet, und dafür gibt es gute Gründe.
Das Problem beginnt dort, wo man die Rechtsprechung der vergangenen zwei Jahrzehnte nebeneinander legt. Das BKA-Gesetz-Urteil von 2016, das Vorratsdatenspeicherungs-Urteil von 2010, das Palantir-Urteil vom Februar 2023, nun Trojaner II von 2025 — in all diesen Fällen hat das Bundesverfassungsgericht Gesetze korrigieren müssen, die das Parlament mit denselben Sicherheitsargumenten beschlossen hatte, die auch in Hubigs aktuellem Entwurf anklingen. Die Schutzarchitektur, die staatliche Überwachung von privater trennen soll, ist in Deutschland in den letzten zwanzig Jahren nahezu ausschließlich durch Karlsruhe wiederhergestellt worden, nicht durch Selbstbindung des Gesetzgebers. Die Verhältnismäßigkeit ist die rote Linie, die Berlin regelmäßig überschreitet und die Karlsruhe regelmäßig nachzieht.
Das relativiert das Gegenargument nicht grundsätzlich, aber praktisch. Richterliche Anordnung, Zitiergebot, Kernbereichsschutz funktionieren — wenn sie angewendet werden. Die Geschichte des deutschen Sicherheitsrechts zeigt, dass dies eher die Ausnahme als die Regel ist. Und sie zeigt ebenso, dass die politische Energie, mit der Schutzlücken zugunsten der Bürger gegen private Angriffe geschlossen werden, ungleich größer ist als die, mit der Schutzlücken gegen staatliche Übergriffe geschlossen werden. Die einen Gesetzentwürfe sind anschaulich, empathiekompatibel und mediennah. Die anderen sind abstrakt, technisch und widerstreiten dem Dispositiv der inneren Sicherheit.
Fazit
Hubigs Entwurf gegen digitale Gewalt ist in seinem Kern berechtigt. Er schließt reale Schutzlücken und reagiert auf ein Phänomen, das insbesondere Frauen und öffentliche Personen in einer Breite trifft, die das alte Recht nicht mehr angemessen erfasst. Die Kritik daran wäre kleinlich und ginge am Punkt vorbei.
Der Punkt liegt woanders. Er liegt in dem, was in der Debatte über den Entwurf nicht vorkommt. Der Staat baut einen Schutzwall der Bürger vor Bürgern und vermeidet es zugleich, den Schutzwall der Bürger vor dem Staat in vergleichbarer Weise zu thematisieren. Dieselbe Technik — Spyware, Tracking, Bildaufnahme, Identitätsfälschung — wird mit moralischer Klarheit verboten, wenn sie privat eingesetzt wird, und mit technischen Verhältnismäßigkeitsprüfungen legitimiert, wenn sie staatlich eingesetzt wird. Das ist im Einzelfall verteidigbar. Als Muster ist es erklärungsbedürftig.
Solange das Verfahren in der Verbändeabstimmung ist, bleibt die Debatte offen. Die Frage, ob die parallele Schutzlücke — der Schutz vor staatlicher Überwachung — dieselbe politische Aufmerksamkeit bekommt, ist keine rhetorische. Sie ist die Probe darauf, ob der Rechtsstaat in dieser Legislaturperiode auch dort konsequent bleibt, wo die Gegnerschaft nicht aus dem privaten Täter besteht, sondern aus der eigenen Sicherheitsarchitektur.
Quellen: Pressemitteilung des BMJ vom 17.04.2026; Bundesverfassungsgericht, Beschluss vom 24. Juni 2025, 1 BvR 180/23 („Trojaner II“); netzpolitik.org, „Bundesverfassungsgericht: Teilerfolg gegen Staatstrojaner“ vom 07.08.2025; Bundesamt für Justiz, Statistiken zu Maßnahmen nach §§ 100a, 100b StPO 2023; Gesetzentwurf zur Speicherung von IP-Adressen, Bundesjustizministerium, 21.12.2025; BVerfG, Urteil vom 16.02.2023 („Palantir“).