Vorratsdatenspeicherung

Die Ausführungen beziehen sich noch auf die Rechtslage, die vor dem In-Kraft-Treten der DSGVO galt. Die Anpassung der Ausführungen an die Vorgaben der DSGVO ist in Arbeit.

Mit dem Urteil des Bundesverfassungsgerichts (BVerfG) vom 02.03.2010 (1 BvR 256/08 vom 2.3.2010) ist die Vorratsdatenspeicherung (VDS) in Deutschland vorerst gestoppt. Der folgende Text stellt erst dar, was die entsprechende EU-Richtlinie (2006/24/EG) fordert und wie sie zunächst umgesetzt wurde, bevor dann die das Urteils erläutert wird und ein Überblick über die Situation in anderen europäischen Staaten gegeben wird.

Die Richtlinie fordert von Telekommunikationsanbietern, Verbindungsdaten für einen Zeitraum von 6 bis 24 Monaten vorzuhalten. Konkrete Zugriffsregeln gibt sie nicht vor. Verbindungsdaten sind Daten, die sich auf die Umstände eines Telekommunikationsvorgangs beziehen, nicht aber auf den Inhalt. Bei Telefonaten soll gespeichert werden, wer (identifiziert über Telefonnummer, Name und Adresse) wann mit wem wie lange telefoniert hat. Bei Gesprächen über Mobiltelefone soll zusätzlich gespeichert werden, in welcher Funkzelle sich die beiden Personen dabei befunden haben; beim Versand von SMS und der Nutzung von anderen Mitteilungs- und Multimediadiensten ebenso. Bei der Nutzung des Internets soll protokolliert werden, wer wann mit seinem jeweiligen Internetprovider verbunden war, allerdings nicht, welche Seiten er sich angeschaut hat. Beim Versand von E-Mails soll gespeichert werden, wer wann mit wem in Kontakt stand.

EU-Richtlinien sind nicht selbst unmittelbar gültig, sie müssen von den Mitgliedsstaaten über eigene Gesetze umgesetzt werden. In Deutschland geschah dies mit dem „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG“. Es sah vor, vorsorglich Verbindungsdaten aller Personen für einen Zeitraum von sechs Monaten zu speichern. Telefondaten wurden seit Anfang 2008 gespeichert, die Internetnutzung seit 2009. Die Kosten für die Anschaffung der notwendigen Infrastruktur mussten die Provider selbst tragen, für den Abruf erhielten sie Entschädigungen.

Die Richtlinie sieht eine Nutzung der Daten zur Verfolgung „schwerer Straftaten“ vor. Das deutsche Umsetzungsgesetz ging zunächst in einigen Punkten über die Anforderungen der Richtlinie hinaus, wurde aber bereits vor dem engültigen Urteil durch einen Beschluss des BVerfG vom 18.03.2008 zurechtgestutzt. Zwar enthielt das Gesetz nur die Mindestspeicherfrist für Verbindungsdaten, allerdings durften sie auch zur Aufklärung von Verbrechen, die per Telekommunikation begangen wurden, herangezogen werden – und zwar unabhängig von deren Schwere. Sie konnten also auch zur Verfolgung von per Telekommunikation begangenen Bagatelldelikten herangezogen werden, zum Beispiel beim unerlaubten Herunterladen von Musik. Zusätzlich war eine Zugriffsmöglichkeit für die Geheimdienste vorgesehen, während die Richtlinie den Zugriff auf Strafverfolgungsbehörden beschränkt. Für den Zugriff durch die Geheimdienste war kein Richtervorbehalt nötig. Durch den erwähnten Beschluss des BVerfG wurden diese über die Richtlinie hinausgehenden Befugnisse jedoch ausgesetzt.

Nach Zahlen zur Nutzung der gespeicherten Daten gab es zwischen Mai und Juli 2008 in knapp 2200 Fällen Zugriffe auf die Daten; nach Angaben der Bundesregierung wurden die Daten nur in 43% der Fälle wirklich genutzt, in 29% der Fälle sei der Zugriff nicht erforderlich gewesen, in den übrigen Fällen seien keine Angaben möglich. Kritiker sahen sich hierdurch in ihrer Befürchtung bestätigt, dass mit den Befugnissen leichtfertig umgegangen werde. Hinzu kommt, dass die Aufklärungsquote bei Delikten im Internet bereits vor Einführung der Vorratsdatenspeicherung deutlich über dem Durchschnitt lag, und nach den Zahlen der Polizeilichen Kriminalstatistik 2009 nach der Einführung der Vorratsdatenspeicherung nicht anstieg.

In seinem Urteil vom 02.03.2010 kippte das BVerfG das Umsetzungsgesetz, griff die Richtlinie selbst aber nicht an. Es urteilte, dass eine sechsmonatige Vorratsdatenspeicherung an sich nicht zwingend verfassungswidrig sei, die Art der Umsetzung mit den zu weit reichenden Zugriffsbefugnissen dagegen schon. Damit sind die entsprechenden Passagen nichtig, die Speicherung musste sofort gestoppt werden. Das Gerichte erkannte an, dass es sich um einen „besonders schweren Eingriff mit einer Streubreite, wie sie die Rechtsordnung bisher nicht kennt“, handelt. Um eine verfassungsmäßige Umsetzung zu schaffen, müsse es daher „hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes“ geben. Zudem dürfe die Speicherung nicht direkt beim Staat erfolgen. Weiterhin werden Ausnahmeregelungen etwa für die Telefonseelsorge gefordert. Bei der Nutzung der Daten unterscheidet das Gericht zwischen der unmittelbaren Nutzung, um etwa die Telefonkontakte eines Verdächtigen zu rekonstruieren, und der unmittelbaren Nutzung, etwa um Anschlussinhaber zu bereits bekannten IP-Adressen zu ermitteln. Für letztere Nutzung seien geringere Eingriffsvoraussetzungen zulässig, da sich mit ihnen im Gegensatz zur direkten Nutzung keine Persönlichkeits- oder Bewegungsprofile erstellen ließen. Für die umittelbare Nutzung fordert das Gericht einen Richtervorbehalt, die mittelbare Nutzung erfordert ihn nicht zwingend – in beiden Fällen soll aber durch eine Benachrichtigung der Betroffenen Transparenz geschaffen werden.

Dieses Urteil war nicht das erste Mal, dass sich Gerichte mit der Vorratsdatenspeicherung beschäfigten. In einem bereits abgeschlossenen Verfahren hat der Europäische Gerichtshof (EuGH) entschieden, dass eine Richtlinie die richtige Rechtsgrundlage war. Irland hatte gegen diese Form geklagt und argumentiert, dass ein Beschluss der „dritten Säule“ der EU, die für die Harmonisierung von Strafverfolgungsmaßnahmen zuständig ist, die richtige Wahl gewesen wäre. Richtlinien hingegen sind ein Instrument der „ersten Säule“, die hauptsächlich für den Binnenmarkt zuständig ist. Der Gerichtshof entschied jedoch am 10.02.2009, dass eine Richtlinie die richtige Rechtsgrundlage sei. In seinem Urteil beschränkte sich das Gericht auf rein formale Aspekte, die Frage der Grundrechtseingriffe wurde nicht erörtert. Diese Aspekte werden in einem neuen Verfahren beleuchtet werden, dass auf einen Ende Februar 2009 eingereichten Vorlagebeschluss des Verwaltungsgerichts Wiesbaden zurückgeht. Eigentlich ging es in dem Fall um Subventionsrecht, das Gericht sah allerdings eine Verbindung zur Vorratsdatenspeicherung, die seiner Ansicht nach mit der Erfordernis der Verhältnismäßigkeit inkompatibel ist und legte die Richtlinie daher dem EuGH zur Prüfung vor.

Auch in anderen EU-Staaten wurde die Vorratsdatenspeicherung angegriffen. So hat der Verfassungsgerichtshof Rumäniens das dortige Umsetzungsgesetz im Oktober 2009 gekippt. In dem Urteil bezog sich das Gericht neben der rumänischen Verfassung auch auf die – auch für Deutschland bindende – Europäische Menschenrechtskonvention (EMRK), mit der seiner Ansicht nach eine anlasslose Protokollierung der Telekommunikation nicht vereinbar sei. Bereits im Dezember 2008 hatte das oberste Verwaltungsgericht Bulgariens die dortige Umsetzung der Richtlinie gestoppt, ebenfalls mit Verweis auf die EMRK. Dort wurde inzwischen ein neues Umsetzungsgesetz geschaffen. Schweden weigert sich bis jetzt, die Richtlinie umzusetzen. Österreich ist mit der Umsetzung im Verzug, da es zunächst das oben erwähnte Verfahren vor dem EuGH abwarten wollte. Auch in Belgien und Griechenland wurde die Richtlinie noch nicht umgesetzt.

Dieses Dossier wurde zusammengestellt von Herrn Langfeldt (ULD SH)