Mittwoch, 05. Oktober 2022

EuGH-Entscheidung
Anlasslose Vorratsdatenspeicherung in Deutschland ist rechtswidrig

Ob und wie lange Kommunikationsdaten gespeichert werden müssen, darüber wird in Deutschland schon lange gestritten. Bei der Vorratsdatenspeicherung stehen sich Strafverfolgungsinteresse und Datenschutz gegenüber. Der EuGH hat nun entschieden, dass diese Regelung gegen EU-Recht verstößt.

Von Peggy Fiebig | 20.09.2022

Netzwerkkabel in einem Serverraum
Derzeit werden beispielsweise IP-Adressen von Internet-Nutzern durch die Telekommunikationsdienstanbieter allenfalls wenige Tage gespeichert. (picture alliance / dpa / Matthias Balk)
In den vergangenen Jahren hat der Europäische Gerichtshof (EuGH) schon mehrmals über die Vorratsdatenspeicherung in verschiedenen Ländern geurteilt und die nationalen Regelungen meistens gekippt – nun auch in Deutschland. Ohne Anlass dürften die Kommunikationsdaten aller Bürgerinnen und Bürger demnach in Deutschland nicht gespeichert werden. Nur unter bestimmten strengen Voraussetzungen sei eine begrenzte Datenspeicherung zulässig, entschied der EuGH in Luxemburg.

Was europarechtlich erlaubt ist - und was nicht

Für Deutschland ist nun der Gesetzgeber am Zug. Dabei gilt der Grundsatz, den der EuGH bekräftigt hat: Eine allgemeine, unterschiedslose Speicherung von Verkehrs- und Standortdaten widerspricht dem europäischen Recht - außer wenn eine ernste Bedrohung für die nationale Sicherheit vorliegen sollte. Spektakuläre Morde reichen als Begründung für eine anlasslose Speicherung nicht aus. Bei einer besonderen Gefährdungslage - etwa im Umfeld eines G7-Gipfels - ist eine räumlich und zeitliche begrenzte Speicherung möglich. IP-Adressen aber können zur Bekämpfung und Verhütung schwerer Kriminalität gespeichert werden. Das ist eine allgemeine Ausnahme, die Deutschland nun anwenden könnte.
Bundesjustizminister Marco Buschmann (FDP) begrüßte das Urteil und will die bisherige Regelung aus dem deutschen Recht streichen. Auch Grünen-Politiker sprachen sich gegen eine Vorratsdatenspeicherung aus, die alle Bürger unter Generalverdacht stelle. Bundesinnenministerin Nancy Faeser (SPD) befürwortete bisher ein Festhalten zumindest an Teilen der Vorratsdatenspeicherung - etwa die Speicherung von IP-Adressen zur Bekämpfung der Kinderpornographie. Im Koalitionsvertrag der Ampel ist festgehalten, dass es keine anlasslose Speicherung von Daten – wie die Vorratsdatenspeicherung in ihrer bisherigen Form – mehr geben soll.

Manuskript vom 19.09.2022 "Deutschland und die Vorratsdatenspeicherung":

„Ansonsten werden wir rechtspolitisch auch nicht müde: Wir werden bald – endlich, und das sage ich aus gegebenem Anlass an dieser Stelle – die anlasslose Vorratsdatenspeicherung beenden. Endlich, meine Damen und Herren!“
Bundesjustizminister Marco Buschmann, FDP, Anfang September im Bundestag. Geht es nach ihm, soll die Diskussion um die Vorratsdatenspeicherung bald ein Ende haben. Seit fast 20 Jahre wird darüber gestritten, ob, und wenn ja wie lange Telefon- und Internetverbindungsdaten von den Anbietern solcher Dienste gespeichert werden müssen. Dazu gehören beispielsweise Telefonverbindungsdaten, E-Mail-Adressen oder auch Standortdaten.  

Argumente der Unternehmen gegen die Speicherung

Derzeit liegt der Ball in Luxemburg. Dort will der Europäische Gerichtshof am Dienstag (20.09.2022) darüber entscheiden, ob die deutsche Regelung zur Vorratsdatenspeicherung mit europäischem Recht vereinbar ist. Zwei Internetunternehmen – die Telekom und SpaceNet – sind gegen die deutsche Bundesnetzagentur vor Gericht gezogen – jene Behörde, die die Speicherpflicht hätte durchsetzen müssen.
Sebastian von Bomhard, Gründer und Vorstand der klagenden SpaceNet AG, hofft auf einen Erfolg in Luxemburg und ein endgültiges Aus der umstrittenen deutschen Regelung. Denn der finanzielle und personelle Aufwand für eine Umsetzung der Vorratsdatenspeicherung wäre für ein Unternehmen wie seins erheblich, sagt er.
„Wir hätten durch sehr hohen technischen Aufwand und baulichen Aufwand eine Überwachungsplattform bauen müssen, die aber technisch dazu in der Lage gewesen wäre, dass man noch viel, viel mehr mit speichert.“
Von Bomhard zufolge wäre es so zum Beispiel auch technisch möglich gewesen, ungewollt die Inhalte von SMS mitzuspeichern, obwohl das laut Gesetz ja ausdrücklich ausgeschlossen wird. „Aber das war halt ein technisches Problem. Eine SMS speichert die Inhalte an derselben Stelle, wo auch die Adressdaten gespeichert werden. Die muss man also danach erst wieder rausmachen. Damit man sie danach aber rausmachen kann, muss man sie zunächst mal speichern und das ist ja eigentlich schon viel zu viel.“
Das Münchner Internetunternehmen SpaceNet wird vor Gericht von Matthias Bäcker vertreten. Er lehrt an der Universität Mainz Informations- und Datenschutzrecht. „Geklagt haben jetzt in Deutschland zwei Telekommunikationsunternehmen, weil sie dieser Speicherungspflicht nicht nachkommen wollen und haben dann vor den Verwaltungsgerichten geklagt auf Feststellung, dass sie das nicht müssen, weil diese Regelungen – vor allem – gegen Europarecht verstoßen. Und das Bundesverwaltungsgericht hat dann tatsächlich im Jahr 2019 dem Europäischen Gerichtshof Fragen dazu vorgelegt und darüber wird jetzt entschieden.“


Bis zur endgültigen gerichtlichen Klärung setzt die Bundesnetzagentur die im Gesetz stehende Speicherpflicht nicht durch, verhängt also keine Bußgelder bei Verstößen durch Telekommunikations- und Internetunternehmen. Das hat die Behörde 2017 beschlossen. Deshalb ist die Vorratsdatenspeicherung derzeit, wie es Bundesjustizminister Buschmann nennt, totes Recht, ein Zombie.

Argumente von Polizei und Staatsanwaltschaft für die Speicherung

Von Seiten der Polizei und der Staatsanwaltschaften wird aber darauf gedrängt, dass die Pflicht zur Speicherung von Vorratsdaten wieder aktiviert wird. Sie versprechen sich davon eine effektivere Strafverfolgung, weil sie so auf mehr Daten auch aus der Vergangenheit zurückreifen können. Datenschützer dagegen sehen einen unangemessenen Eingriff in die Privatsphäre der Bürger. Sie befürchten, dass mit Hilfe der Daten rückwirkend die persönlichen sozialen Netzwerke der Nutzer analysiert und das Kommunikationsverhalten rekonstruiert werden kann. Wobei ausdrücklich nicht die Inhalte der Telekommunikation betroffen sind. Um welche Daten es bei der Vorratsdatenspeicherung geht, erläutert Felix Freiling, Informatikprofessor an der Universität Erlangen:
„Im Deutschen Gesetz ist das relativ breit gefasst, was da an Verkehrsdaten definiert wird und was da dann auch an Vorrat gespeichert werden muss. Im Wesentlichen war es: Wer mit wem kommuniziert, also die IDs, die Kürzel, die Namen, die die Leute haben. Dann, wann kommuniziert wird, wie lange kommuniziert wird. Und das für jede Art von Kommunikationsdienst, den man sich vorstellen kann, also nicht nur Telefon und SMS, sondern auch E-Mail und Messaging, Voice over IP.“
Dazu kommen dann noch die so genannten IP-Adressen, die ebenfalls gespeichert werden sollen und für die sich die Strafverfolger ganz besonders interessieren. Weil sich darüber genau identifizieren lässt, wer zu einem ganz bestimmten Zeitpunkt mit welchem Internetdienst verbunden war. „Das ist also im Prinzip die Hausnummer, wo man auf der großen langen Straße des Internets sich befindet. Dann weiß also das Internet, wo es die Kommunikationspakete hinschicken muss und wo die herkommen.“
Weil es aber für die Vielzahl von Geräten, die mit dem Internet verbunden sind, nicht genügend IP-Adressen gibt, „ist irgendwann mal die Idee entwickelt worden, hinter einer Hausnummer noch beliebig viele mehr Hausnummern zu verstecken. Das sind die sogenannten privaten IP-Adressen. Und das ist nicht nur das Problem, dass es private IP-Adressen gibt, sondern die wechseln die ganze Zeit. Das heißt, diese eine Hausnummer, die im Netz sichtbar ist, die kann über die Zeit unterschiedlichen Leuten zugewiesen sein.
Das heißt, wenn die Polizei eine solche dynamische IP-Adresse ermittelt hat, von der aus beispielsweise illegale Inhalte aus dem Netz geladen wurden, nutzt das erst einmal Garnichts. Solange die Ermittler nicht auch wissen, wem diese IP-Adresse zu der Zeit als die Inhalte heruntergeladen wurden, zugewiesen worden war. Und deshalb brauche es eine Verpflichtung, für die Internetprovider, diese Daten zu speichern, sagt Benjamin Krause, Oberstaatsanwalt bei der Frankfurter Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität ZIT.
„Es gibt jetzt schon eine Regelung zur sogenannten Bestandsdatenauskunft. Das heißt, ich kann als Polizei oder Staatsanwaltschaft an E-Mail-Dienstanbieter oder an Internetzugangsanbieter herantreten und kann sagen, ich habe hier eine Kennung, beispielsweise eine IP-Adresse oder eine E-Mail-Adresse und ich möchte wissen, wer ist der Nutzer. Dann gehe ich an diese heran und frage. Und oft ist es so, dass die Unternehmen dann sagen: ‚Wir haben darüber aber keine Daten gespeichert.‘ Und genau für diese Fälle brauchen wir eine gewisse Form der verpflichtenden Speicherung.“
Denn die IP-Adressen werden durch die Telekommunikationsdienstanbieter in der Regel nur noch sehr kurz, etwa drei bis sieben Tage, manchmal allerdings auch gar nicht mehr, gespeichert. Das geht aus einer Antwort der letzten schwarz-roten Bundesregierung auf eine parlamentarische Anfrage mehrerer FDP-Abgeordneter hervor.
„Und das macht es für uns unglaublich schwierig. Wir fragen dann an und dann müssen wir auf gut Glück hoffen, dass Daten gespeichert sind. Und das ist natürlich alles andere als effektiv.“
Zum Beispiel bei den Ermittlungen zu den Internet-Hass-Taten vor dem Mord am Kasseler Regierungspräsidenten Walter Lübcke hätte sich Benjamin Krause gewünscht, mehr Daten zur Verfügung gehabt zu haben. So konnten die Ermittler nur 30 bis 40 Prozent der Hasskommentare tatsächlich realen Personen zuordnen.

Speicherung von IP-Adressen würde effektivere Strafverfolgung von Kinderpornografie ermöglichen

Nicht nur für die Aufklärung von Hasstaten im Internet, sondern vor allem auch, um Kinderpornografie im Internet effektiver verfolgen zu können, pochen Ermittler auf eine Speicherpflicht für IP-Adressen. „Da muss man nämlich auch am Anfang der Ermittlungen zunächst feststellen: Wer ist der Täter? Wie kann man den Täter identifizieren? Das heißt, die Fragen sind an sich gleich. Das hat keinen Unterschied, ob ich eine Beleidigung verfolge, ob ich einen Mordaufruf, eine Bedrohung verfolge oder die Verbreitung oder den Besitz von Kinderpornografie beispielsweise. Das ist bei Fragen der Internetkriminalität immer zunächst das Problem, das wir Tatverdächtige identifizieren müssen.“

Kritiker: Auswertung von Verkehrsdaten statt Vorratsdatenspeicherung

Ob dafür die Vorratsdatenspeicherung notwendig ist – daran gibt es Zweifel. Dazu der Erlanger Rechtswissenschaftler Christian Rückert: „Also, wenn man sich während der ausgesetzten Vorratsdatenspeicherung mal anguckt, wie erfolgreich und wie oft die normale Verkehrsdatenabfrage eingesetzt wurde, also die nach den Daten, die die Anbieter sowieso von sich aus speichern, dann muss man sagen, dass erstens die Verkehrsdatenabfrage zu einer absoluten Standardmaßnahme gehört, das heißt, sie wird sehr oft eingesetzt und prozentual tatsächlich auch sehr erfolgreich.“
Rückert entgegnet also, dass in den meisten Fällen, die Daten, die ohnehin bei den Unternehmen vorhanden sind und deshalb auch von den Strafverfolgern abgefragt werden, ausreichen – ganz ohne Vorratsdatenspeicherungspflicht. Nur etwa 25 bis 30 Prozent der Anfragen waren beispielsweise in den Jahren 2018 und 2019 erfolglos, weil die Daten nicht mehr verfügbar waren, sagt Rückert. Ein großer Teil dieser Daten seien dann aber auch vermutlich so alt gewesen, dass auch die Vorratsdatenspeicherfrist überschritten gewesen wäre – also eine aktive Vorratsdatenspeicherung nicht geholfen hätte.

Wir haben erreicht, dass die Richtlinie ganz erheblich entschärft wurde

Brigitte Zypries, frühere Bundesjustizministerin

Chronologie des Streits um die Vorratsdatenspeicherung

Über die Speicherpflichten von Internet- und Telefondaten wird seit vielen Jahren gestritten. Das erste Gesetz für eine Vorratsdatenspeicherung wurde bereits 2007 von der ersten Großen Koalition unter Bundeskanzlerin Angela Merkel beschlossen. Die Grundlage war damals eine europäische Richtlinie, die, so sagte es seinerzeit Bundesjustizministerin Brigitte Zypries im Bundestag, nach den Anschlägen in Madrid auf Druck von England, Schweden, Frankreich und Irland beschlossen wurde. Schon damals gab es öffentlich Vorbehalte gegenüber der Vorratsdatenspeicherung. Diesen entgegnete Zypries damals:
„Wir haben erreicht, dass die Richtlinie ganz erheblich entschärft wurde. Wir setzen jetzt diese Richtlinie, die bei der Umsetzung einen gewissen Spielraum lässt, in minimaler Weise um. Das heißt: Wir sehen von den möglichen Speicherfristen die geringste Speicherfrist von sechs Monaten vor, und wir sind auch an anderer Stelle am geringsten Level angekommen.“
Dem Bundesverfassungsgericht ging das deutsche Gesetz aber dennoch zu weit. 2010 erklärte es in mehreren erfolgreichen Verfassungsbeschwerdeverfahren Teile der Neuregelung für verfassungswidrig. Geklagt hatten fast 35.000 Bürger. Es handelt sich bis heute um das größte Massenklageverfahren in der Geschichte des Gerichts. Laut Karlsruhe hatte das Gesetz zu wenige Vorkehrungen zum Schutz der Datensicherheit und zu weite Zugriffsmöglichkeit auf die gespeicherten Daten für die Behörden. Im Urteil heißt es:
"Angesichts des Gewichts der Datenspeicherung kommt eine Verwendung der Daten nur für überragend wichtige Aufgaben des Rechtsgüterschutzes in Betracht. Für die Strafverfolgung folgt hieraus, dass ein Abruf der Daten zumindest den durch bestimmte Tatsachen begründeten Verdacht einer auch im Einzelfall schwerwiegenden Straftat voraussetzt."
Die Karlsruher Richter haben damit, „dem Gesetzgeber ziemlich genau aufgegeben, welche Nachbesserungen er vornehmen muss, damit das Ganze verfassungskonform ist,“ erläutert der Jurist Christian Rückert. Damit hat das Bundesverfassungsgericht auch verdeutlicht, dass eine Form der Vorratsdatenspeicherung mit dem deutschen Grundgesetz grundsätzlich vereinbar ist. Und deshalb gab es 2015 ein nachgebessertes Gesetz, in dem die Hinweise aus Karlsruhe aufgegriffen wurden. Zum Beispiel wurde die Dauer der Speicherung von sechs Monaten auf nur wenige Wochen deutlich verkürzt. Und: „Seitdem haben wir diesen sehr engen Straftatenkatalog, wir haben Regelungen zur Datensicherheit, wir haben Mitteilungspflichten und Benachrichtigungspflichten für die Betroffenen. Also jede Menge Transparenz- und Rechtsschutzvorschriften, die damit ins Gesetz gekommen sind. Die hat der Gesetzgeber im Endeffekt umgesetzt - fast eins zu eins abgeschrieben könnte man sagen, vom Bundesverfassungsgericht. Damit war zunächst mal eine verfassungskonforme Vorratsdatenspeicherung in Deutschland geschaffen.“
In der Zwischenzeit hatte sich allerdings der Europäische Gerichtshof lautstark zu Wort gemeldet. Auf entsprechende Verfahren aus Irland und Österreich hin stellten die Luxemburger Richter 2014 fest: Die europäische Richtlinie zur Vorratsdatenspeicherung selbst verstößt gegen das Europarecht, insbesondere die Grundrechtecharta, und ist deshalb ungültig. Deutschland hatte nun also ein überarbeitetes Gesetz zur Vorratsdatenspeicherung verabschiedet, das aber vom Europarecht gar nicht mehr gefordert wurde. Und gegen dieses neue Gesetz haben, noch bevor es überhaupt in Kraft trat, 2016 die Deutsche Telekom AG und der in München ansässige Cloud- und Hosting-Anbieter SpaceNet AG geklagt.

Auch in anderen EU-Ländern gibt es Klagen gegen die dortigen Gesetze

Und sie sind in den vergangenen Jahren nicht die einzigen gewesen. Auch in anderen EU-Ländern gab es Prozesse gegen die dortigen Gesetze zur Vorratsdatenspeicherung. Den EuGH erreichten 2015 zum Beispiel Fälle aus Schweden und dem ehemaligen EU-Mitglied Großbritannien. Der Tenor der Luxemburger Richter: Nicht nur eine Europäische Richtlinie, sondern auch Regeln der Mitgliedstaaten, die eine allgemeine anlasslose Vorratsdatenspeicherung vorsehen, verstoßen gegen Europarecht. Der Europäische Gerichtshof hat diese strikte Linie mittlerweile etwas gelockert, wenn es um den Schutz der nationalen Sicherheit geht. Oder wenn schwere Straftaten verhindert oder verfolgt werden sollen. 2020 wurde dann für IP-Adressen sogar auch wieder eine anlasslose Vorratsdatenspeicherung zugelassen - zur Bekämpfung schwerer Straftaten.
In der Bundespolitik geht man davon aus, dass die alten Regelungen zu einer anlasslosen Vorratsdatenspeicherung nicht mehr aktiviert werden und sucht nach Alternativen. Schließlich haben sich die Fraktionen der Ampel schon in ihrer Koalitionsvereinbarung darauf geeinigt, „die Regelungen zur Vorratsdatenspeicherung so auszugestalten, dass Daten rechtssicher anlassbezogen und durch richterlichen Beschluss gespeichert werden können".

Quick-Freeze - der Plan des FDP-Justizministers und die Kritik daran

Die Idee des Bundesjustizministers Marco Buschmann, wie das konkret umgesetzt werden kann, ist nicht neu: schon seine Parteikollegin und Vorgängerin im Amt Sabine Leutheusser-Schnarrenberger warb zu ihrer Zeit für ein so genanntes „Quick-Freeze-Verfahren“. Schon nur bei Anhaltspunkten für bestimmte, vorher definierte schwere Straftaten sollen die Strafverfolgungsbehörden Unternehmen verpflichten können, die benötigten Daten "einzufrieren", so dass sie eben nicht nach drei bis sieben Tagen gelöscht werden. Erhärtet sich der Verdacht im Laufe der Ermittlungen, können die Staatsanwaltschaften dann auf diese Daten zugreifen. Damit soll auf einem deutlich datensensibleren Weg den Bedürfnissen der Strafverfolgungsbehörden Rechnung getragen werden.
Dazu Bundesjustizminister Marco Buschmann im Mai dieses Jahres: „Deshalb wollen wir den Ermittlungsbehörden Instrumente in die Hand geben, die sie wirklich nutzen können und die nicht von Gerichten aufgehalten werden. Deshalb arbeiten wir beispielsweise an dem Instrument Quick Freeze, das über jeden verfassungsrechtlichen Zweifel erhaben ist und deshalb auch zur Anwendung kommt.“
Den Frankfurter Oberstaatsanwalt Benjamin Krause überzeugt das nicht. Er befürchtet, dass zu viele Daten den Ermittlern dennoch verloren gehen. Denn gerade in Zeiten von Flatrate-Tarifen für Telefon- und Internetdienstleistungen, „ist es aus Unternehmenssicht gar nicht zwingend notwendig alles zu speichern. Und wenn diese Daten eben nicht durch die Unternehmen gespeichert werden, dann sind keine Daten da, die eingefroren werden können durch Quick-Freeze.“
Grundsätzlich stimme das, gibt Rechtsprofessor Matthias Bäcker von der Klägerseite zu, aber: „Es ist natürlich auch klar, bei der gesamten Kriminalitätsbekämpfung sozusagen, alle Daten, die man brauchen könnte, hat man sowieso nie. Selbst wenn wir eine Totalüberwachung der Gesellschaft schalten würden, sondern wir versuchen immer, ein optimales Niveau zu finden, wo wir einfach unterschiedliche Gesichtspunkte miteinander austarieren. Das können so Fragen sein: Was kostet das Ganze, wie tiefgreifend werden Freiheiten beschnitten? Und wenn man von dieser Prämisse ausgehend über so etwas wie Quick-Freeze nachdenkt, dann fehlt mir bisher das Argument, warum das kein gangbarer Weg sein soll.“
Ein anderer Vorstoß hin zu einer Speicherpflicht kam im Frühjahr von CDU/CSU. Der Vorschlag der Unionsfraktion: Ausschließlich für die Bekämpfung von Kinderpornografie sollen IP-Adressen für sechs Monate gespeichert werden. Dieser Vorschlag wurde zwar mit der Mehrheit der Koalition abgelehnt, aber auch Bundesinnenministerin Nancy Faeser von der SPD fordert jetzt eine anlasslose Speicherung von IP-Daten um die Darstellungen sexueller Gewalt an Kindern im Internet besser verfolgen zu können. Kritik kommt von Grünen und FDP mit Verweis auf den Koalitionsvertrag: In dem haben sich die Parteien auf eine anlassbezogene Speicherung geeinigt.
Die unterschiedlichen Positionen im Ampel-Lager, die Haltung der Opposition und Interessen seitens Internetunternehmen und Strafverfolgung – all das zeigt auf, wie umstritten die Vorratsdatenspeicherung und ihre Umsetzung zur Kriminalitätsbekämpfung ist. Daran dürfte auch das Urteil des Europäische Gerichtshofs nichts ändern. Die Diskussion um die Speicherung von Daten zur Kriminalitätsbekämpfung wird so bald nicht enden.