Seite 4: Staatliches Interesse an Internet-Kommunikation

Inhaltsverzeichnis

Die Bestimmungen zur Bestandsdatenauskunft in Schleswig-Holstein, die sich hauptsächlich in Paragraf 180a des Landesverwaltungsgesetzes finden und gegen die sich die zweite Klage der Piraten richtet, schließt die Option von Ersuchen an Telemedien-Diensteanbieter dagegen ausdrücklich ein. Sie beschränken diese aber auf Fälle, in denen eine Abfrage "zur Abwehr einer im einzelnen Falle bevorstehenden Gefahr für Leib, Leben oder Freiheit einer Person sowie zur Abwehr einer gegenwärtigen Gefahr eines gleichgewichtigen Schadens für Sach- oder Vermögenswerte oder für die Umwelt erforderlich ist".

Dies gilt auch für "die Identifikation der Nutzer" etwa anhand dynamischer IP-Adressen, wozu in Schleswig-Holstein eine Richtererlaubnis einzuholen ist. Zudem dürfen nur "das Datum und die Uhrzeit des Beginns und Endes der Nutzung" eines Telemediendienstes angefordert werden, um tiefere Einblicke in das Online-Verhalten der Betroffenen zu verhindern. Der Kieler Staatsrechtler Florian Becker, der die Regierung und den Landtag von Schleswig-Holstein vor dem Verfassungsgericht vertritt, spricht daher von "deutlich erhöhten Anforderungen" und "strengeren Verfahrensvorschriften", die der "zunehmenden Persönlichkeitsrelevanz" und der Verhältnismäßigkeit von Eingriffen Rechnung trügen (Links zu allen erwähnten Stellungnahmen am Ende des Textes).

Insgesamt kommt es laut Becker so auf Basis der angegriffenen Vorschiften weder zu "Maßnahmen mit großer Streubreite", noch würden Personen erfasst, "die hierzu keinen Anlass gegeben haben". Die Karlsruher Richter hätten auch das besondere staatliche Interesse an einer sich in das Internet verlagernden Kommunikation anerkannt, sodass einschlägige Auskünfte auch generell möglich sein müssten. Der in dem Bundesland verwendete Begriff der "im einzelnen Falle bevorstehenden Gefahr für die öffentliche Sicherheit" sei "identisch" mit dem der "konkreten Gefahr, wie ihn das Bundesverfassungsgericht verwendet".

Voraussetzungen heimlicher Überwachungsmaßnahmen

Der bayerische Datenschutzbeauftragte Thomas Petri sieht in der schleswig-holsteinischen Formulierung dagegen eine "Vorverlagerung in das zeitliche Vorfeld einer konkreten Gefahr". Eine solche Form der präventiven Kriminalitätsbekämpfung verlange aber, dass ein möglicher Straftäter in zeitlicher Nähe ein Delikt begehen werde. Der einschlägige Paragraf sei daher nicht "hinreichend normenklar begrenzt".

Petri kritisiert auch, "dass die Landesgesetzgeber sich offenkundig ermutigt fühlen, die rechtsstaatlichen Wahrscheinlichkeitsanforderungen an polizeiliche Datenverarbeitungen wie auch an polizeiliche Standardmaßnahmen abzusenken". So sei im bayerischen Polizeigesetz sehr allgemein von einer "drohenden Gefahr" die Rede. Die entsprechende Vorschrift sei auf die Bestandsdatenauskunft zwar noch nicht anwendbar. Allerdings habe die Staatsregierung schon angekündigt, auch die Voraussetzungen heimlicher Überwachungsmaßnahmen überdenken zu wollen. Das schleswig-holsteinische Verfahren sei so länderübergreifend bedeutsam.

Hürden und Abrufbefugnisse

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) sieht in seiner Stellungnahme an das Bundesverfassungsgericht dagegen kein Problem mit dem Gefahrenbegriff. Dass der Kieler Gesetzgeber die Bestandsdatenauskunft nicht auf "Störer" eingegrenzt habe, gelte als "verfassungsrechtlich noch hinnehmbar". Gerade bei Auskunftsersuchen über Inhaber von IP-Adressen wäre eine solche Beschränkung aber "durchaus angebracht" gewesen.

Auch beim Zugriff auf Bestands- und Nutzungsinformationen haben die schleswig-holsteinischen Datenschützer Bauchschmerzen und halten es für fraglich, ob die eingezogenen Hürden und Abrufbefugnisse ausreichen. Es gelte zu klären, ob den schutzwürdigen Interessen der Betroffenen vor allem bei Berufsgeheimnisträgern wie Ärzten, Abgeordneten oder Anwälten ausreichend Rechnung getragen werde.

Abfrage von Passwörtern

Passwörter wiesen gegenüber den Bestandsdaten zudem "einen höheren Schutzbedarf auf", betont das ULD. Sie sicherten die Betroffenen vor einem Zugriff auf die entsprechenden Kommunikationsvorgänge und Inhaltsdaten ab. Zumindest bei den Kompetenzen für Staatsschützer würden die verfassungsrechtlichen Anforderungen nicht erfüllt: Der Gesetzgeber müsse abschließend festlegen, für welche Zwecke und unter welchen Bedingungen die zugangsgeschützten Inhaltsdaten durch Geheimdienste genutzt werden dürften.

Der Vorschlag von Justizministerin Lambrecht befindet sich so letztlich voll auf der bisherigen Linie der Bundesregierung. Von dieser Warte aus fehlen im Telemediengesetz vor allem noch klarere Vorgaben zur Auskunft "anhand von IP-Adressen", bei denen künftig die von den Anbietern in der Regel eigentlich nicht gespeicherten Port-Nummern für die treffgenauere Identifizierbarkeit von Nutzern kommen solle, sowie zur Abfrage von Passwörtern.

Dass der Kreis der Verpflichteten mit der Initiative deutlich ausgeweitet würde auf schier alle Kommunikations- und Mediendienste, die irgendwas mit dem Web und Internet zu tun haben, thematisiert das Justizressort nicht. Nicht entgangen ist dem Ministerium dagegen, dass Passwörter nach der Datenschutz-Grundverordnung (DSGVO) verschlüsselt gespeichert werden müssen. Es zählt aber darauf, dass die Behörden etwa nach einem Terroranschlag trotzdem die Chance hätten, die allein verfügbaren Hashwerte mit extrem hohem Aufwand selbst zu knacken. Sollten Anbieter entgegen der Datenschutzvorschriften Passwörter unverschlüsselt vorhalten, hätten Staatsanwaltschaften künftig aber auch die Chance, diese im Klartext abzufragen.

Aussagekraft von Metadaten

Als bürgerrechtliches Plus verbucht Lambrechts Haus, dass der Abfrage von Zugangssicherungscodes – nicht aber etwa der von IP-Adressen und zugehörigen Nutzernamen – ein Richtervorbehalt vorgeschoben werden soll. Für den gegen die bestehenden Regeln klagenden Breyer würde ein solcher Schritt aber nichts an "unangemessen geringen materiell-rechtlichen Anforderungen an eine Aufdeckung der Internetnutzung" ändern. Ein Richter könne nur Letztere prüfen, was aber an sich problematisch sei, wenn die einschlägigen Vorschriften bereits unverhältnismäßig seien. Oft werden Ersuchen der Staatsanwaltschaften auch schon aus Zeitgründen oder Ressourcenmangel einfach durchgewinkt.

Internet-Metadaten stünden in ihrer Aussagekraft Inhaltsdaten nicht nach, warnt Breyer in seiner Erwiderung ans Verfassungsgericht. Sie könnten sogar "viel weiter reichende Schlüsse auf Privatleben zulassen. Studien zufolge lasse sich schon aus 100 bis 200 Klicks die Persönlichkeit eines Nutzers genauer ableiten als sie Freunden, dem Partner oder gar dem Betroffenen selbst bewusst seien. Aus Metadaten seien sehr "intime Ableitungen und auch Vorhersagen auf zukünftiges Verhalten möglich".

Der Beschwerdeführer bleibt auch dabei, dass die eingeführte elektronische Schnittstelle "die Gefahr von Massendatenabfragen" begründet. Er regt an, neben der Bestandsdatenauskunft auch die ebenfalls intensiv genutzte Praxis der Funkzellenabfrage im Blick zu haben. "Bei diesem Verfahren werden alle Personen abgefragt, die sich zu einer bestimmten Zeit an einem bestimmten Ort aufgehalten haben", erläutert Breyer. Davon seien jährlich Millionen Menschen betroffen. Mithilfe von Bestandsdatenabfragen und anschließendem Abgleich mit Polizeidatenbanken werde dann oft versucht, den Kreis der Zielpersonen einzugrenzen. Wie bei der Vorratsdatenspeicherung habe diese Vorgehensweise eine große Streubreite und begründet die erhebliche Gefahr für Betroffene, ohne vorwerfbares Verhalten identifiziert zu werden.

Stellungnahmen für das Verfahren zur Bestandsdatenauskunft:

• Florian Becker für die Regierung und den Landtag von Schleswig-Holstein
• Der Bayerische Landesdatenschutzbeauftragte Thomas Petri
• Die frühere Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff
• Christoph Möllers für die Bundesregierung
• Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD)

[Update 12.1.2020 13:24 Uhr:] Stellungnahmen am Ende der Meldung ergänzt (bme)