Analyse: Teilerfolg für Bürgerrechtler in Karlsruhe

Das Bundesverfassungsgericht hat nach über sechs Jahren Verfahrensdauer über die Speicherung und Verwendung von Telekommunikationsdaten entschieden, aber für eine wirklich kraftvolle Entscheidung hat auch diese Verfahrensdauer nicht ausgereicht. Die Karlsruher Richter haben in weiten Teilen den Forderungen der Beschwerdeführer nicht entsprochen. Das ist zwar keine Niederlage, muss aber aus Sicht der Bürgerrechtler eine Enttäuschung sein. Dennoch haben die Verfassungshüter zwei in der Praxis verbreitete Ermittlungsansätze der Strafverfolger als nicht verfassungskonform erachtet. Der Gesetzgeber muss als Hausaufgabe in kleineren Teilbereichen den Ermittlern höhere Hürden zu setzen. Das ist machbar und wird wohl kein reflexartiges Getrommel von “rechtsfreien Räumen” auslösen.

Die angegriffenen § 95 Abs. 3 und 4, §§ 111, 112, 113 aus dem Telekommunikationsgesetz (TKG) verpflichten Anbieter von Telekommunikationsdiensten, bestimmte Daten über ihre Kunden zu speichern und diese im Einzelfall Behörden wie insbesondere Strafverfolgern oder Geheimdiensten zukommen zu lassen. Es geht also um solche Daten, die bei den Providern üblicherweise im Rahmen der Kundenverträge anfallen: Namen, Anschriften und Geburtsdaten der Anschlussinhaber und vergebene Nummern wie etwa (Handy-)rufnummern und zugeteilte E-Mail-Adressen.

In der Praxis sind die Vorschriften dann relevant, wenn unbekannte Personen Straftaten mittels Telekommunikation begehen. Als Ermittlungsansatz ist in der Regel nur die vom Täter benutzte E-Mail-Adresse, Telefonnummer oder IP-Adresse bekannt. Das Vorgehen ist deshalb zweistufig: Im ersten Schritt ist vorab eine pauschale Speicherung notwendig – dazu verpflichten die angegriffenen Vorschriften die Provider. Im möglichen zweiten Schritt verlangen dann Behörden Auskunft vom Provider, welche Person hinter der vorliegenden E-Mail-Adresse, Telefonnummer oder IP-Adresse stehe.

Die dafür im ersten Schritt nach den angegriffenen Vorschriften zu speichernden Daten sind längst nicht so sensibel wie Aussagen über das Telekommunikationsverhalten oder gar Inhalte der Telekommunikation selbst. Auch liegt es vielfach in der Natur der Sache, dass ISPs solche Daten speichern: Ohne Name und Anschrift des Anschlussinhabers wäre ein Festnetzanschluss kaum denkbar, insbesondere könnte der Provider ohne die Daten seine Leistungen wohl nicht abrechnen. Andererseits ist die Speicherpflicht nicht in jedem Punkt logisch: Insbesondere im Fall von Prepaid-Karten störte es die Beschwerdeführer, dass auch hier der Gesetzgeber eine Speicherung der Kundendaten auf Vorrat den Telcos vorschreibt. Auch das Recht, Ausweiskopien zu verlangen und Kundendaten über das Vertragsende hinaus speichern zu dürfen, passt nicht sonderlich gut zu den Grundprinzipien des Datenschutzes.

Trotzdem hat das Bundesverfassungsgericht nun diese Vorschriften nicht beanstandet. Der Eingriff in das Grundrecht auf informationelle Selbstbestimmung sei “von nur begrenztem Gewicht”. Ohnehin verbiete das Grundrecht nicht “jede vorsorgliche Erhebung und Speicherung von Daten überhaupt”. Hier habe der Gesetzgeber “punktuell” und erlaubterweise eine “verlässliche Datenbasis” schaffen wollen und von einer Datenspeicherung “auf Vorrat zu unbestimmten und noch nicht bestimmbaren Zwecken”.

Das muss aus Sicht der Bürgerrechtler eine schmerzhafte Enttäuschung sein. Es zeigt sich abermals, wie nah das Bundesverfassungsgericht die Axt an den eisernen Kern das Datenschutzes anlegt: Im Jahre 1983 entwarfen die damaligen Richter kraftvoll das Grundrecht auf informationelle Selbstbestimmung, indem sie vor Gefahren der modernen IT warnten und anlassunabhängige Datenspeicherungen abwehren wollten. Heute verwendet die vorliegende Entscheidung eher Raum für die Erläuterung, was nach Auffassung der Verfassungsrichter nicht vom Grundrecht geschützt sei. Als notwendigen Verwendungszweck lässt die Entscheidung die Vorhaltung zur möglichen Herausgabe an zahlreiche Behörden ausreichen. Das hat sich so bereits in der Entscheidung zur Vorratsdatenspeicherung gezeigt. Ein Stück weit ging diese Sorge wohl im Jubel um die zunächst kassierte Vorratsdatenspeicherung unter.

Erfolg hatte die Verfassungsbeschwerde hingegen teilweise in Bezug auf den zweiten Schritt: Hinsichtlich der Herausgabe der Daten erklärte das Gericht jedenfalls zwei Mechanismen für unzulässig. Die in § 113 Absatz 1 Satz 2 TKG gesondert beschriebene und nahezu hürdenlose Herausgabe von PIN, PUK oder anderen Zugangscodes zum Endgerät ist verfassungswidrig, denn die so erlangten Daten würden einen sehr weitgehenden Zugriff auf Inhalte etwa eines Smartphones ermöglichen. Übergangsweise, längstens jedoch bis zum 30. Juni 2013, darf die Vorschrift weiter angewendet werden.

Praktisch viel bedeutsamer ist jedoch die zweite Einschränkung durch das Gericht, auch wenn viele Medienberichte weniger darauf abzielen: Die angegriffenen Vorschrift § 113 Absatz 1 Satz 1 TKG, darf von Strafverfolgern und Geheimdiensten nicht mehr verwendet werden, um von Providern auf Zuruf den Anschlussinhaber einer dynamischen IP-Adresse zu erhalten. Diese seit langem umstrittene Praxis verletze das Fernmeldegeheimnis. Denn zwar gebe der Provider mit Namen und Anschrift als Antwort nur solche Daten heraus, die nicht unter das Fernmeldegeheimnis fallen. Um aber überhaupt diese Antwort geben zu können, müsse der ISP intern zunächst einen Datenabgleich vornehmen. Damit erteilt das Gericht einer seit langem umstrittenen, verfolgungsfreundlichen Praxis ohne Übergangsfrist eine Abfuhr und stärkt damit das Fernmeldegeheimnis.

Die Entscheidung enthält keine direkte Aussage zum seit Jahren umstrittenen Personenbezug von IP-Adressen; unmittelbare Rückschlüsse auf das Vorgehen einiger Landesdatenschutzbehörden etwa gegen Facebook sind danach nicht möglich. Tatsächlich widerspräche auch die Entscheidung eines solchen, im vorliegenden Verfahren gar nicht relevanten Streits den Gepflogenheiten des Gerichts. Zumindest fällt aber auch, dass die Entscheidung im Zusammenhang mit dynamischen IP-Adressen von einer möglichen “Deanonymisierung” spricht. Wenn vor einer solchen “Deanonymisierung” aus Sicht des Gerichts aber der Anschlussinhaber “anonym” wäre, wären zumindest dynamische IP-Adressen konsequenterweise kein Fall für den Datenschutz. Das wäre ein Schlag in das Gesicht der Landesdatenschutzbehörden, deren Vorgehen auf der bis heute umstrittenen Annahme beruht, dass IP-Adressen personenbezogene Daten seien.

Mittelbar relevant ist die Entscheidung für die Verfolgung und Ahnung möglicher Rechtsverstöße in Tauschbörsen. Denn zwar sieht § 101 Abs. 9 des Urheberrechts (UrhG) inzwischen einen eigenen Auskunftsanspruch für Rechtsinhaber vor, sodass die hier vor dem Bundesverfassungsgericht allein relevanten, staatlichen Ermittlungen damit in keinem Zusammenhang mehr stehen müssen. Dennoch haben bislang Rechteinhaber schon aus Kostengründen weitere staatliche Ermittlungen angestoßen oder zumindest versucht anzustoßen. Diese Praxis dürfte nun ebenfalls beendet sein.

Der Autor berät als Rechtsanwalt Wirtschaftsunternehmen zu Fragen des Datenschutzes. Siehe dazu auch:

• Dr. Marc Störing: Ermittlungschaos. Unklare Rechtsgrundlage bei staatlichen Ermittlungen im Netz. c't 17/2008

(vbr)