Telemedicus

, von
Drucken

Vorratsdatenspeicherung: Was wird sich ändern?

Nach langen Diskussionen um die Vorratsdatenspeicherung scheint es nun Klarheit zu geben – zumindest vor Gericht. Am 14. August hat das Bundesverwaltungsgericht (BVerwG) in zwei Verfahren entschieden, dass die Verpflichtungen von Telekommunikationsanbietern (TK-Anbietern) zur Speicherung von Daten „auf Vorrat“ unionsrechtswidrig sind. Spannend bleibt es aber dennoch, weil der politische Wille an einer Speicherung von Daten fortbesteht. Aber wie wird diese künftig aussehen?

Was bedeutet Vorratsdatenspeicherung?

Vorratsdatenspeicherung ist

die anlasslose Speicherung von Daten durch TK-Anbieter, damit Behörden diese Daten bei Bedarf zu bestimmten Zwecken nutzen können, z.B. zur Strafverfolgung.

TK-Anbieter sind u.a. die Telekom, Telefónica oder Mail-Provider. § 176 Telekommunikationsgesetz (TKG) verpflichtete diese TK-Anbieter bisher, Daten „auf Vorrat“ zu speichern. Gemäß § 177 TKG hatten dann bestimmte Behörden ein Zugangsrecht zu den erhobenen Daten. Speichern mussten die Anbieter sog. Verkehrs- und Standortdaten.

„Standortdaten“ gemäß § 3 Nr. 56 TKG sind:

Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst verarbeitet werden und die den Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen Telekommunikationsdienstes angeben.

Ein Beispiel für Standortdaten sind Informationen über den Ort der verwendeten Funkzelle bei mobiler Sprachkommunikation: „Wo war ich bei einem Telefonat mit meinem Handy?“

„Verkehrsdaten“ gemäß § 3 Nr. 70 TKG sind:

Daten, deren Erhebung, Verarbeitung oder Nutzung bei der Erbringung eines Telekommunikationsdienstes erforderlich sind.

Beispiele für Verkehrsdaten sind Telefonnummern, Zeitpunkte der Internetnutzung oder des Versendens von Nachrichten sowie IP-Adressen.

Die Anbieter waren also verpflichtet, die Metadaten einer Telekommunikation zu speichern: die Umstände der Kommunikation und gerade nicht den Inhalt. Allerdings lassen sich bereits aus diesen Daten erhebliche Rückschlüsse auf das Nutzerverhalten ziehen.

Wie wurde die Vorratsdatenspeicherung bislang bewertet?

Die rechtliche Auseinandersetzung mit dem Thema reicht schon einige Jahre zurück: 2006 erließ die EU die Richtlinie zur Vorratsdatenspeicherung (RL 2006/24/EG). Deutschland setzte die Richtlinie 2008 im nationalen TKG und im Fachrecht (insb. in der StPO) um. Ab diesem Zeitpunkt bestand für deutsche TK-Anbieter eine Pflicht, bestimmte Daten anlasslos für bis zu sechs Monate zu speichern.

2010 urteilte das Bundesverfassungsgericht (BVerfG), dass die Regelungen des TKG und der StPO nichtig seien (Az. 1 BvR 256/08); sie verstießen gegen das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG. Das BVerfG ließ aber die Tür offen für eine verfassungskonforme Vorratsdatenspeicherung. Hierfür müssten die TK-Anbieter einen hohen Datensicherheitsstandard garantieren und die Behörden dürften die Daten erst für „überragend wichtige Aufgaben des Rechtsgüterschutzes“ verwenden.

2014 verwarf der EuGH die zugrundeliegende EU-Richtlinie von 2006: Die Richtlinie beschränke die Eingriffe durch die Vorratsdatenspeicherung nicht auf das „absolut notwendige“ Maß und verstoße daher gegen den Privatsphären- und Datenschutz aus Art. 7 und 8 GRCh (Az. C-293/12 und C-594/12).

Daraufhin wurde Ende 2015 das TKG an diese Anforderungen angepasst: Unterschiedliche Datenkategorien erhielten unterschiedliche Speicherfristen (heute: § 176 Abs. 1 TKG) und der Zugriff auf die gespeicherten Daten wurde auf besonders wichtige Zwecke beschränkt (heute: § 177 Abs. 1 TKG).

Auf Vorlagen verschiedener Mitgliedstaaten musste sich der EuGH 2016 (Az. C-203/15 und C-698/15) und 2020 (Az. C-511/18, C-512/18 und C-520/18) wieder mit der Vorratsdatenspeicherung auseinandersetzen. Die zentralen Aussagen des EuGH:

  1. Eine allgemeine und unterschiedslose Vorratsdatenspeicherung ist unzulässig; sie verstößt insbesondere gegen Art. 15 Abs. 1 der e-privacy-Richtlinie (RL 2002/58/EG). Diese Norm ermächtigt die Mitgliedstaaten, Ausnahmen davon zu erlassen, dass TK-Daten gelöscht oder anonymisiert werden müssen, sobald sie für die Telekommunikation nicht mehr benötigt werden.
  2. Ausnahmsweise kann die Vorratsdatenspeicherung zulässig sein:
    • Zum Schutz der nationalen Sicherheit (insb. Terrorismus), zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Schäden.
    • Als anlassbezogene Speicherung, die durch einen Zeitraum, Personenkategorien und/oder ein geografisches Gebiet begrenzt ist.
    • Von IP-Adressen zur Bekämpfung schwerer Kriminalität und zur Vorbeugung schwerer Schäden.

Diese Ausnahmen sind an die Voraussetzungen des Art. 15 Abs. 1 e-privacy-RL angelehnt.

Da das deutsche Recht aus Sicht einiger TK-Anbieter nicht den Vorgaben des EuGH entsprach, gingen sie vor Gericht. Ihre Klagen vor dem Verwaltungsgericht (VG) Köln stieß einen Prozess an, der schließlich bis zum BVerwG führte.

Vom VG Köln zum BVerwG, zum EuGH und wieder zurück

Die TK-Unternehmen SpaceNet und Telekom klagten 2017 vor dem VG Köln gegen die Speicherpflichten aus §§ 175 Abs. 1, 176 TKG. Das VG Köln entschied am 20. April 2018, dass diese Normen gegen Unionsrecht verstießen und somit keine Speicherpflicht der Kläger bestünde (Az. VG 9 K 3859/16 und VG 9 K 7417/17). Rechtsfragen zur europarechtlichen Vereinbarkeit seien bereits 2016 durch den EuGH geklärt worden (sog. acte éclairé).

Die beklagte Bundesrepublik Deutschland, vertreten durch die Bundesnetzagentur (BNetzA), ging per Sprungrevision direkt vor das BVerwG. Dieses legte den Rechtsstreit dem EuGH vor.

Der EuGH bestätigte am 20. September 2022 (Az. C-793/19 und C-794/19) seine Rechtsprechungslinie aus 2016 und 2020: Grundsätzlich dürften mitgliedstaatliche Normen keine „allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten“ vorsehen. Dennoch bestehe ein Spielraum für die Regelung einer Vorratsspeicherung unter bestimmten Voraussetzungen:

  1. Verkehrs- und Standortdaten dürfen nur dann allgemein und unterschiedslos auf Vorrat gespeichert werden, wenn die nationale Sicherheit ernsthaft bedroht ist. Die Einordnung einer solchen Bedrohungsstufe muss unabhängig überprüft werden können. Die Daten dürfen nur für einen „auf das absolut Notwendige begrenzten […] Zeitraum“ gespeichert werden.
  2. Verkehrs- und Standortdaten können gezielt gespeichert werden: „zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit“. Die Daten müssen gezielt erhoben werden – also „auf der Grundlage objektiver und nicht diskriminierender Kriterien anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums“. Auch hier dürfen die Daten nur für einen „auf das absolut Notwendige begrenzten […] Zeitraum“ gespeichert werden.
  3. IP-Adressen, „die der Quelle einer Verbindung zugewiesen sind,“ können allgemein und unterschiedslos auf Vorrat gespeichert werden: ebenfalls „zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit“. Die IP-Adressen dürfen nur für einen „auf das absolut Notwendige begrenzten […] Zeitraum“ gespeichert werden.
  4. Nutzerdaten können allgemein und unterschiedslos auf Vorrat gespeichert werden: „zum Schutz der nationalen Sicherheit, zur Bekämpfung der Kriminalität und zum Schutz der öffentlichen Sicherheit“.
  5. Verkehrs- und Standortdaten können von einer Behörde per Anordnung für einen bestimmten Zeitraum gesichert werden (sog. „Quick-Freeze“): „zur Bekämpfung schwerer Kriminalität und […] zum Schutz der nationalen Sicherheit“.

Das BVerwG hatte nun zu entscheiden, ob die angegriffenen Regelungen des TKG diesen Vorgaben des EuGH entsprechen. In seinem Urteil hatte der EuGH jedoch schon anklingen lassen, dass er von der Unionsrechtswidrigkeit der deutschen Normen überzeugt sei.

Die Entscheidung des BVerwG

Den Ausführungen des EuGH folgte das BVerwG in seinen Urteilen vom 14. August (Az. 6 C 6.22 und 6 C 7.22): Die §§ 175 Abs. 1, 176 TKG verstießen gegen Art. 15 Abs. 1 der e-privacy-RL und seien daher unionsrechtswidrig.

Die Regelungen des TKG würden „keine objektiven Kriterien bestimmen, die einen Zusammenhang zwischen den zu speichernden Daten und dem verfolgten Ziel herstellen“.

Zusätzlich müsse zwischen der Datenerhebung durch die TK-Dienste und dem Zugriff auf die Daten durch die Behörden unterschieden werden. Beides seien Grundrechtseingriffe, die voneinander getrennt betrachtet und gerechtfertigt werden müssten. Daher sei „die Begrenzung der Verwendungszwecke in § 177 Abs. 1 TKG von vornherein nicht geeignet, die unionsrechtliche Anforderung klarer und präziser Regeln für die vorgelagerte Maßnahme der Speicherung der Daten zu erfüllen“.

Bei der Erbringung von (Mobil-)Telefondiensten (§ 176 Abs. 2 S. 1 und Abs. 4 TKG) und der Übermittlung von SMS, MMS oder ähnlichen Nachrichten (§ 176 Abs. 2 S. 2 TKG) fehle es der allgemeinen und unterschiedslosen Vorratsdatenspeicherung an der „strikten Begrenzung […] auf den Zweck des Schutzes der nationalen Sicherheit“.

Die Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung von IP-Adressen nach § 176 Abs. 3 TKG enthalte keine Begrenzung auf die unionsrechtlich vorgegebenen Ziele der „Bekämpfung schwerer Kriminalität“ und der „Verhütung schwerer Bedrohungen der öffentlichen Sicherheit“. Zur Ermittlung der Speicherzwecke seien zwar die Verwendungszwecke maßgeblich, aber der Verwendungszweck der Bestandsdatenauskunft gehe deutlich über diese unionsrechtlichen Vorgaben hinaus. Bei der Bestandsdatenauskunft (§ 174 TKG) müssen TK-Anbieter an bestimmte Behörden gespeicherte Kundendaten herausgeben, z.B. Kontaktdaten oder IP-Adressen. Nach § 174 Abs. 5 TKG reichten dafür die Zwecke u.a. der Verfolgung von (einfachen) Straftaten oder der (einfachen) Gefahrenabwehr aus; diese Zwecke beschränkten sich also nicht auf die Ziele, die der EuGH vorgegeben hatte.

Die §§ 175 Abs. 1, 176 TKG seien daher unionsrechtswidrig und wegen des Anwendungsvorrangs des Unionsrechts nicht anzuwenden, so das BVerwG.

Was bedeutet das Urteil für die Zukunft?

Die Urteile des EuGH von 2022 und des BVerwG hatten für die deutschen TK-Anbieter kaum praktische Auswirkungen: Schon 2017 hatte die BNetzA die Vorratsdatenspeicherung nach dem TKG vorläufig ausgesetzt.

Nun liegt es an der Gesetzgebung, neue, unionsrechtskonforme Regelungen zu schaffen. Doch seit der EuGH-Entscheidung aus 2022 besteht ein verbissen geführter Konflikt zwischen Justizminister Marco Buschmann (FDP) und Innenministerin Nancy Faeser (SPD).

Buschmann macht sich für eine „Quick-Freeze“-Lösung stark. Bei einem konkreten Verdacht schwerer Straftaten sollen TK-Daten per richterlicher Anordnung gesichert, also eingefroren werden. Das setzt voraus, dass die Daten bei den Anbietern noch vorhanden sind; es bedarf einer freiwilligen Speicherung. Dies geschieht momentan meist zur Abrechnung oder zur Beseitigung von Störungen. Die Behörden wären also abhängig von den Speicherfristen der einzelnen TK-Anbieter.

Wenn der anfängliche Verdacht sich dann bestätigt, könnten die Daten von den Behörden verwertet, also „aufgetaut“ werden – nach erneutem richterlichem Beschluss. Diesbezüglich hatte Buschmann bereits im Oktober 2022 einen Gesetzesentwurf vorgestellt.

Faeser will dagegen an der Vorratsdatenspeicherung festhalten – angepasst an den Rahmen der EuGH-Rechtsprechung.

Die Strafverfolgungsbehörden haben das größte Interesse an einer neuen funktionierenden Regelung. Da es allerdings zurzeit keine durchsetzbare Regelung zur Speicherungspflicht gebe, hätten die TK-Anbieter abhängig vom Verwendungszweck und den jeweiligen technischen Möglichkeiten unterschiedliche Speicherfristen; dadurch würde die Ermittlungsarbeit erschwert werden, so der Oberstaatsanwalt Dr. Benjamin Krause schon im September 2022 im Podcast „FAZ Einspruch“. Auch die Gewerkschaft der Polizei (GdP) fordert Unterstützung vonseiten der Politik: Es bedürfe einer praxistauglichen Regelung. Ein „Quick-Freeze“-Verfahren würde die Ermittlungsarbeit der Polizei erheblich einschränken, so der stellvertretende GdP-Bundesvorsitzende Alexander Poitz gegenüber LTO.

Neben Vorratsdatenspeicherung und Quick-Freeze ist die sog. „Login-Falle“ ein weiteres Konzept zur Aufklärung von Straftaten, die im oder mithilfe des Internets begangen werden. Wenn ein Anfangsverdacht für eine Straftat vorliegt, ergeht eine richterliche Anordnung: Beim nächsten Login des/der möglichen Straftäter:in übermittelt die Internet-Plattform automatisiert die IP-Adresse an die Behörden. Der digital-politische Verein „D64 – Zentrum für Digitalen Fortschritt“ entwickelte dieses Verfahren im Jahr 2021.

Es bleibt also abzuwarten, wann sich die Regierungskoalition auf einen gemeinsamen Kurs einigen kann. Die Rechtsprechung hat die Leitplanken klar gesetzt.

Zum Urteil des BVerwG – 6 C 6.22

Zum Urteil des BVerwG – 6 C 7.22

, Telemedicus v. 26.10.2023, https://tlmd.in/-11427

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Soko22

Newsletter

In Kooperation mit

Kommunikation & Recht

Hosting

Domainfactory