Telemedicus Logo
Weiterempfehlen Drucken

Das Bundeskabinett hat am Mittwoch einen Gesetzentwurf beschlossen, der die Bestandsdatenauskunft durch Provider neu regeln soll. Damit reagiert die Regierung auf einen Beschluss des BVerfG von Ende Januar diesen Jahres. Darin hatte das BVerfG die bisherigen Vorschriften in § 113 TKG für teilweise verfassungswidrig erklärt. Kritiker befürchten eine zunehmende Überwachung der privaten Kommunikation im Internet. Das Bundesinnenministerium betont hingegen, dass durch die Gesetzesänderungen keine neuen Befugnisse für die Behörden geschaffen werden.

Es stellt sich die Frage: Sorgt der Gesetzesentwurf nur für Rechtsklarheit? Oder soll eine Art „Vorratsdatenspeicherung durch die Hintertür”eingeführt werden?


Bestehende Auskunftspflichten: Wie ist die Rechtslage?


Schon heute regeln die §§ 111 bis 113 TKG automatisierte und manuelle Verfahren zur Erteilung von Auskünften gegenüber Strafverfolgungs- und Sicherheitsbehörden sowie Geheimdiensten. Die von den Providern zu speichernden Kundendaten beschränken sich bisher jedoch auf Telefonnummern, E-Mail-Adressen, Passwörter sowie Name, Anschrift und Geburtsdatum der Anschlussinhaber. Die Diensteanbieter sind verpflichtet, diese Daten zu speichern und an die Behörden herauszugeben.

Außerdem müssen sie die Daten über eine elektronische Schnittstelle der Bundesnetzagentur zur Verfügung stellen. Diese soll die Daten auf Anfrage der Behörden abrufen können, ohne dass die Anbieter hiervon Kenntnis nehmen müssen. Eine Kontrolle – etwa durch eine gerichtliche oder staatsanwaltliche Anordnung – oder eine nachträgliche Informationspflicht ist auch nach der geltenden Rechtslage nicht vorgesehen.

In der Praxis werden aber auch dynamische IP-Adressen zugeordnet und an die Behörden weitergegeben. Als Rechtsgrundlage hierfür wird die Ermittlungsgeneralklausel gem. §§ 161 Abs. 1 S.1, 163 StPO i.V.m. § 113 Abs. 2 TKG herangezogen.

BVerfG: Zuordnung von dynamischen IP-Adressen ist verfassungswidrig


Dem hat das BVerfG einen Riegel vorgeschoben – aber nur in der Theorie. Die verfassungswidrigen Vorschriften sind nämlich keineswegs nichtig, sondern verfassungskonform auszulegen. Bis zu einer Neuregelung müsse der Staat seine Aufgaben im Bereich der Strafverfolgung, Gefahrenabwehr und nachrichtendienstlichen Tätigkeiten effektiv wahrnehmen können. Deshalb dürfen die Behörden ihre – wenn auch rechtswidrige – Praxis bis Juni 2013 fortsetzen.

Zum einen hat das BVerfG klargestellt, dass die Zuordnung von dynamischen IP-Adressen von den §§ 111-113 TKG nicht erfasst ist. Die Speicherung dieser Daten ist ein Eingriff in das Fernmeldegeheimnis gem. Art. 10 Abs. 1 GG. Deshalb muss das Zitiergebot beachtet werden, das betroffene Grundrecht also mit Angabe des Artikels im Gesetz genannt werden. Das BVerfG hat den Gesetzgeber hier zur „Nachbesserung“ aufgerufen: Die geltende Rechtslage ermögliche nämlich keine Deanonymisierung der Internetnutzer.

Außerdem bedarf es qualifizierter Ermächtigungsgrundlagen für den Datenabruf selbst, die Klarheit darüber verschaffen, gegenüber welchen Behörden eine Auskunftspflicht besteht. Die Rechtsgrundlagen zur Datenübermittlung und zur Datenerhebung durch die Behörden sollen dann wie „Doppeltüren“ zusammenwirken. Neben der Regelung im TKG verlangt das BVerfG also auch eine korrespondierende Befugnisnorm in den jeweiligen Spezialgesetzen, z.B. in der Strafprozessordnung.

Generell hat das BVerfG die Vorschriften aber für verfassungsgemäß erklärt. Der Staat müsse Straftaten aufklären und Sicherheit gewährleisten können, weshalb der Eingriff in das Recht auf informationelle Selbstbestimmung gerechtfertigt sei. Unverhältnismäßig sei lediglich die Vorschrift zur Herausgabe von Zugangssicherungscodes: Demnach dürfen sich Behörden nämlich PINs und Passwörter herausgeben lassen, auch wenn sie gar kein Recht haben, auf die gesicherten Daten oder Geräte zuzugreifen. Im Übrigen weisen die Bestandsdaten aber nur einen geringen Informationsgehalt auf. Daher verstößt die Speicherung dieser Daten nicht gegen das Verbot der Vorratsdatenspeicherung.

Neuregelung: Was soll geändert werden?


Die geplanten Änderungen betreffen überwiegend den § 113 TKG, der nun ausdrücklich auch dynamische IP-Adressen erfassen soll:
„Die in eine Auskunft aufzunehmenden Daten dürfen auch anhand einer zu bestimmten Zeitpunkten zugewiesenen Internetprotokoll-Adresse bestimmt werden; hierfür dürfen Verkehrsdaten automatisiert ausgewertet werden. Für die Auskunftserteilung nach Satz 3 sind sämtliche unternehmensinternen Datenquellen zu berücksichtigen.”

In den einschlägigen Gesetzen der Ermittlungs- und Sicherheitsbehörden sollen qualifizierte Rechtsgrundlagen für die Datenerhebung eingefügt werden, die für sich auch einen Auskunftsanspruch gegen die Provider begründen. Unter anderem soll hierfür ein neuer § 100j StPO eingeführt werden. Den Vorgaben des BVerfG wird auch insoweit Rechnung getragen, dass eine Auskunftspflicht von Passwörtern und PINs nur besteht, wenn die Daten auch von den Behörden genutzt werden dürfen. So heißt es dazu etwa in dem neuen § 100j StPO:
„(1) Soweit dies für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes eines Beschuldigten erforderlich ist, darf von demjenigen, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, Auskunft über die nach den §§ 95 und 111 des Telekommunikationsgesetzes erhobenen Daten verlangt werden (§ 113 Absatz 1 Satz 1 des Telekommunikationsgesetzes). Bezieht sich das Auskunftsverlangen nach Satz 1 auf Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird (§ 113 Absatz 1 Satz 2 des Telekommunikationsgesetzes), darf die Auskunft nur verlangt werden, wenn die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen.”

Ein bisschen schießt der Gesetzgeber auch über sein vorgegebenes Ziel hinaus: Die 16 größten Dienstanbieter sollen eine elektronische Schnittstelle zur Datenabfrage für die Behörden einrichten. Dies soll zum einen eine Ermittlung ohne Zeitverlust ermöglichen, aber auch die Datensicherheit erhöhen. Eine „vollautomatische“ Datenabfrage ist allerdings nicht vorgesehen. Jede Auskunft soll vorher formal von den Providern geprüft werden. Dies wird durch den § 113 Abs. 5 TKG vorgeschrieben:
„Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, hat die in seinem Verantwortungsbereich für die Auskunftserteilung erforderlichen Vorkehrungen auf seine Kosten zu treffen. Wer mehr als 100.000 Kunden hat, hat für die Entgegennahme der Auskunftsverlangen sowie für die Erteilung der zugehörigen Auskünfte eine gesicherte elektronische Schnittstelle nach Maßgabe der Technischen Richtlinie nach § 110 Absatz 3 bereitzuhalten, durch die auch die gegen die Kenntnisnahme der Daten durch Unbefugte gesicherte Übertragung gewährleistet ist. Dabei ist dafür Sorge zu tragen, dass jedes Auskunftsverlangen durch eine verantwortliche Fachkraft auf Einhaltung der in Absatz 2 genannten formalen Voraussetzungen geprüft und die weitere Bearbeitung des Verlangens erst nach einem positiven Prüfergebnis freigegeben wird.”

Anders als bei einer Vorratsdatenspeicherung muss für die Zuordnung einer IP-Adresse also immer noch eine konkrete Anfrage gestellt werden. Für die Provider entsteht dadurch jedoch auch ein höheres Haftungsrisiko.

Eine Kontrolle der Datenabfrage durch einen Richtervorbehalt oder eine staatsanwaltliche Anordnung ist – nach wie vor – nicht vorgesehen. Außerdem bleiben die Provider gegenüber Kunden und Dritten zum Stillschweigen verpflichtet.

Fazit


In erster Linie scheint der Gesetzentwurf die – nicht sehr weitgehenden – Vorgaben des BVerfG umzusetzen. Die Zuordnung von dynamischen IP-Adressen sei nämlich nur deshalb verfassungswidrig, weil das Zitiergebot nicht beachtet wurde. Zusätzlich sagt das BVerfG nur, dass die Identifizierung der IP-Adressen ein eigenes Gewicht gegenüber der Zuordnung hat. Leider hat sich das BVerfG nicht weiter etwa in die Richtung geäußert, ob ein solcher Eingriff in das Fernmeldegeheimnis auch weitere grundrechtssicherende Maßnahmen wie einen Richtervorbehalt erfordert.

Die fehlende gerichtliche oder staatsanwaltliche Kontrolle ist aber auch in der Neuregelung bedenklich und wird insbesondere in Providerkreisen kritisiert. Dadurch, dass auch nach Abschluss der Ermittlungen keine Informationspflichten gegenüber Kunden vorgesehen sind, wird ein wirksamer Rechtsschutz verhindert.

Problematisch ist auch, dass weder Ordnungswidrigkeiten noch Bagatelldelikte von der Vorschrift ausgenommen sind. Auch die Zahl der abfragenden Stellen bleibt weiterhin unübersichtlich: Es liegt nämlich in der Hand des Landesgesetzgebers, für welche Behörden noch zusätzliche Rechtsgrundlagen geschaffen werden.

Tatsächlich werden also sehr wohl neue Eingriffsbefugnisse geschaffen – diese ändern aber kaum etwas an der aktuellen Praxis. Die Rechtsklarheit wird damit verbessert, die Grundrechte werden weiterhin mit Füßen getreten.

Der Gesetzentwurf im Volltext.
Der Bericht bei heise online.
Anzeige:

Kommentare

Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.