Vorratsdatenspeicherung

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

In Deutschland werden derzeit die Verbindungsdaten von Telefonaten durch die entsprechenden Anbieter für Abrechnungszwecke gespeichert. Bei der Telekom sind dies immerhin 30 Tage. Ein Zugriff auf noch vorhandene Verbindungsdaten ist für Polizei und Staatsanwaltschaft möglich. Insofern existiert in Deutschland schon so etwas wie eine Vorratsdatenspeicherung (akuelle Speicherdauer der deutschen TK-Anbieter - siehe unter Weblinks).

Allerdings dürfen Verbindungsdaten nicht gespeichert werden, wenn sie nicht für Abrechnungszwecke erforderlich sind (beispielsweise bei Flatrates). Auch die Speicherung der IP-Adresse stößt beim Zugang zum Internet über GSM-Netze (wie per Smartphone oder Webstick) an technische Grenzen (NAT ohne Portspeicherung). Zudem ist durch die Verbreitung von Prepaid-Karten durch Discounter eine gewisse Anonymität des Nutzers erzielbar.

Polizei und Innenpolitik fordern deshalb eine Ausweitung. Insbesondere nach dem im Januar 2015 auf die Redaktion der Satirezeitschrift Charlie Hebdo in Paris verübten Attentat mehren sich diese Stimmen (obwohl die existierende Vorratsdatenspeicherung in Frankreich den Anschlag nicht verhinderte). Datenschützer dagegen kritisieren die Pläne.

Für den internationalen Bereich wurde Ende 2016 bekannt, dass bei den gängigen Smartphones (iPhones, Android- und Windows-Handys) die Anruflisten in der zugehörigen Cloud bei dessen Nutzung gespeichert werden[1]. Bei Windows kann man beispielsweise ohne Cloud-Anbindung fast nicht mehr richtig arbeiten. Im Ergebnis hat nicht nur der Handy-Provider Zugriff auf die Telefondaten.

Mitte April 2015 stellte, nach einer Einigung zwischen Bundesjustiz- und Bundesinnenministerium, Justizminister Maas die neuen Leitlinien zur Vorratsdatenspeicherung vor, die als Grundlage für die anschließenden parlamentarischen Beratungen dienen sollen[2]. Inhaltlich wird die Speicherfrist ist auf zehn Wochen beschränkt, Standortdaten dürfen nur vier Wochen gespeichert werden. Die Opposition kritisierte den Vorschlag, die FDP-Politiker Kubicki und Baum sowie die Grünen und die Piraten wollen dagegen klagen, da sie das für verfassungswidrig halten[3].

Am 27.05.2015 wurde ein aus o.a. Leitlinien entwickelter Gesetzesentwurf im Bundeskabinett beschlossen[4]. Neben den schon oben aufgeführten Prämissen enthält der Gesetzesentwurf einen Richtervorbehalt bei einem Datenzugriff. Inhalte von z.B. Mails und Telefonaten sollen nicht auf Vorrat gespeichert werden. Der CCC bemängelt das Datenschutzproblem, dass die Vorratsdatenspeicherung durch die TK-Unternehmen selbst und damit von Stellen, die kein Sicherheitsinteresse am Schutz dieser Daten haben, vorgenommen werden soll. Allerdings soll zumindest die Speicherung dieser Daten auf Servern in Deutschland vorgenommen werden. IT-Branchenverbände (u.a. eco) wollen im Rahmen des Gesetzesverfahrens angehört werden[5], da sie einige ihre Branche betreffende Regelungen als nicht praktikabel und technisch kaum umsetzbar einstufen. Medienverbände und -unternehmen sind ebenfalls gegen die Vorratsdatenspeicherung in ihrem Bereich, da sie den für Journalisten unverzichtbaren Informanten- und Quellenschutz aushebelt[6]. Auch die Bundesdatenschutzbeauftragte kritisierte bei der Vorstellung des 25.Tätigkeitsberichtes die geplante Vorratsdatenspeicherung[7]. Der Vorstand der Rechtsanwaltskammer Berlin hatte sogar seine Kammermitglieder zu einer Demonstration gegen die Vorratsdatenspeicherung aufgerufen. Als Redner waren u.a. Dr. Burkhard Hirsch von der FDP, Peter Schaar (ehemaliger Bundesdatenschutzbeauftragter) und der Grünenpolitiker Ströbele avisiert[8]. Der Internetwirtschaftsverband eco schätzt den Erfüllungsaufwand des geplanten Gesetzes auf Unternehmensseite auf ca. 600 Millionen Euro bei mindestens 2.500 betroffenen Unternehmen. Die Bundesregierung gibt in ihrem Gesetzesentwurf hingegen lediglich 1.000 betroffene Unternehmen an[9].

Bei einer öffentlichen Anhörung im Rechtsausschuss des Bundestages am 21.September 2015 wurde die geplante Wiedereinführung der Vorratsdatenspeicherung aus Sicht von Strafverfolgungsbehörden und Gerichten begrüßt, eine gegenteilige Ansicht vertrat der Vertreter des Deutschen Anwaltsvereins[10].

Schon am 16.10.2015 wurde dann das Gesetz zur Vorratsdatenspeicherung im Bundestag durch entsprechende Änderung des Telekommunikationsgesetzes (TKG) beschlossen[11]. Kurz zuvor war noch bekannt geworden, dass bei einer SMS sowohl Verbindungs- als auch Inhaltsdaten gespeichert werden müssen, da eine technische Trennung nicht möglich ist[12]. Mit dem Gesetz zur Vorratsdatenspeicherung wurde zusätzlich ein neuer Straftatbestand der "Datenhehlerei" eingeführt. Dieses bedeutet eine erhebliche Einschränkung der Datenweitergabe von Whistleblowern in Deutschland.

Allerdings ist fraglich, ob das Gesetz in der Form Bestand haben wird. Ende 2016 hat der Europäische Gerichtshof ein weiteres Grundsatzurteil über die Vorratsdatenspeicherung verkündet. Danach dürfen die Europäische Mitgliedstaaten keine anlasslose und allgemeine Verpflichtung zur Vorratsdatenspeicherung festlegen; eine Verwendung von Vorratsdaten ist nur zur Bekämpfung schwerer Kriminalität legitim. Nach einer Stellungnahme von eco "ist es äußerst zweifelhaft, ob das deutsche Gesetz zur anlasslosen Vorratsdatenspeicherung in seiner konkreten Ausgestaltung den strengen materiellen und prozeduralen Anforderungen des Gerichtshofs genügt"[13]. So hat dann auch das erste deutsche Oberverwaltungsgericht Ende Juni 2017 geurteilt, dass die Vorratsdatenspeicherung in der derzeitigen Form gegen Unionsrecht verstößt[14]. Die Bundesnetzagentur setzte daraufhin bis zum Abschluss des Hauptsacheverfahrens die Vorratsdatenspeicherung aus[15].

Für den Bereich Webangebote und Online-Mediendienste hat der Europäische Gerichtshof (EuGH) im Oktober 2016 geurteilt, dass zwar IP-Adressen dann personenbezogene Daten darstellen, wenn der Anbieter über rechtliche Mittel verfügt, diese Person über Zusatzinformationen bei Internet-Dienste-Anbietern bestimmen zu lassen. Dies ist in Deutschland regelmäßig der Fall. Allerdings findet es der EuGH rechtwidrig, die Speicherung von Daten wie IP-Adressen nur für Nutzungs- und Abrechnungszwecke (wie im § 15 Abs. 1 des deutschen Telemediengesetzes -TMG- bei Webangeboten) zuzulassen. Es sei in der Abwägung ein berechtigtes Interesse, die IP-Adresse für die Aufklärung von Cyberattacken zu speichern, auch wenn das Datenschutzrecht eigentlich dagegen stehe. Damit wird das Gesetz zur Vorratsdatenspeicherung quasi in diesem einen Punkt legitimiert bzw. auch auf Online-Dienste ausgedehnt.

Historie in Deutschland

Die EU-Richtlinie über die Vorratsdatenspeicherung (Richtlinie 2006/24/EG) war im Jahr 2006 erlassen worden, um die Vorschriften der Mitgliedstaaten über die Vorratsspeicherung von Daten, die bei Kommunikationsdiensten und Netzbetreibern anfallen, zu harmonisieren und so sicherzustellen, dass die Daten zwecks Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten zur Verfügung stehen.

Mit dem „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG" wurde vom 1. Januar 2008 an diese EU-Richtlinie und damit die Vorratsdatenspeicherung in Deutschland umgesetzt.

Gegen dieses Gesetz wurden Verfassungsbeschwerden beim Bundesverfassungsgericht eingelegt. Das Verfassungsgericht erklärte am 2. März 2010 diese gesetzliche Vorschriften zur Vorratsdatenspeicherung für verfassungswidrig. Nach dem Urteil des Bundesverfassungsgerichts darf in Deutschland nicht mehr ohne Anlass auf Vorrat gespeichert werden, da seitdem eine Gesetzesgrundlage hierzu fehlt.

Zwar wurden in der Folge neue Gesetzesentwürfe erarbeitet, mit Verweis auf eine anstehende Entscheidung des Europäischen Gerichtshofs (EuGH) aber immer wieder vertagt.


Aufhebung der EU-Richtlinie über die Vorratsdatenspeicherung

Am 8. April 2014 entschied der EuGH, dass die EU-Richtlinie über die Vorratsdatenspeicherung einen "Eingriff von großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten" sei, der sich nicht auf das absolut Notwendige beschränkt.

Der EuGH prüfte die Richtlinie auf Grund von Anträgen des irische High Court und des österreichischen Verfassungsgerichtshofs.

In seinem Urteil führte der EuGH aus, dass den auf Vorrat zu speichernden Daten insbesondere zu entnehmen ist,

  • mit welcher Person ein Teilnehmer oder registrierter Benutzer auf welchem Weg kommuniziert hat,
  • wie lange die Kommunikation gedauert hat und von welchem Ort aus sie stattfand und
  • wie häufig der Teilnehmer oder registrierte Benutzer während eines bestimmten Zeitraums mit bestimmten Personen kommuniziert hat.

Aus der Gesamtheit dieser Daten könnten, so der Gerichtshof, sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten auf Vorrat gespeichert werden, gezogen werden, etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen und das soziale Umfeld.

In der Verpflichtung zur Vorratsspeicherung dieser Daten und der Gestattung des Zugangs der zuständigen nationalen Behörden zu ihnen sieht der EuGH einen besonders schwerwiegenden Eingriff der Richtlinie in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten. Außerdem sei der Umstand, dass die Vorratsspeicherung der Daten und ihre spätere Nutzung vorgenommen werden, ohne dass der Teilnehmer oder der registrierte Benutzer darüber informiert wird, geeignet, bei den Betroffenen das Gefühl zu erzeugen, dass ihr Privatleben Gegenstand einer ständigen Überwachung ist.

Zwar könne ein solcher Eingriff in die fraglichen Grundrechte hinsichtlich des Wesensgehalts gerechtfertigt sein, jedoch seien beim Erlass der Richtlinie Grenzen überschritten worden, die zur Wahrung des Grundsatzes der Verhältnismäßigkeit hinsichtlich der Erforderlichkeit eingehalten werden müssen, da sie keine Bestimmungen enthält, die gewährleisten könnten, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt. So heißt es in der offiziellen Pressemitteilung zur Entscheidung:

  • Erstens erstreckt sich die Richtlinie generell auf sämtliche Personen, elektronische Kommunikationsmittel und Verkehrsdaten, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des Ziels der Bekämpfung schwerer Straftaten vorzusehen.
  • Zweitens sieht die Richtlinie kein objektives Kriterium vor, das es ermöglicht, den Zugang der zuständigen nationalen Behörden zu den Daten und deren Nutzung zwecks Verhütung, Feststellung oder strafrechtlicher Verfolgung auf Straftaten zu beschränken, die im Hinblick auf das Ausmaß und die Schwere des Eingriffs in die fraglichen Grundrechte als so schwerwiegend angesehen werden können, dass sie einen solchen Eingriff rechtfertigen. Die Richtlinie nimmt im Gegenteil lediglich allgemein auf die von jedem Mitgliedstaat in seinem nationalen Recht bestimmten „schweren Straftaten“ Bezug. Überdies enthält die Richtlinie keine materiell- und verfahrensrechtlichen Voraussetzungen für den Zugang der zuständigen nationalen Behörden zu den Daten und deren spätere Nutzung. Vor allem unterliegt der Zugang zu den Daten keiner vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.
  • Drittens schreibt die Richtlinie eine Dauer der Vorratsspeicherung der Daten von mindestens sechs Monaten vor, ohne dass eine Unterscheidung zwischen den Datenkategorien anhand der betroffenen Personen oder nach Maßgabe des etwaigen Nutzens der Daten für das verfolgte Ziel getroffen wird. Die Speicherungsfrist liegt zudem zwischen mindestens sechs und höchstens 24 Monaten, ohne dass die Richtlinie objektive Kriterien festlegt, die gewährleisten, dass die Speicherung auf das absolut Notwendige beschränkt wird.

Darüber hinaus stellte der Gerichtshof fest, dass die Richtlinie keine hinreichenden Garantien dafür biete, dass die Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und jeder unberechtigten Nutzung geschützt sind. Unter anderem gestatte sie es den Diensteanbietern, bei der Bestimmung des von ihnen angewandten Sicherheitsniveaus wirtschaftliche Erwägungen (insbesondere hinsichtlich der Kosten für die Durchführung der Sicherheitsmaßnahmen) zu berücksichtigen, und gewährleistet nicht, dass die Daten nach Ablauf ihrer Speicherungsfrist unwiderruflich vernichtet werden.

Der Gerichtshof rügte schließlich, dass die Richtlinie keine Speicherung der Daten im Unionsgebiet vorschreibt. Sie gewährleistet damit nicht in vollem Umfang, dass die Einhaltung der Erfordernisse des Datenschutzes und der Datensicherheit durch eine unabhängige Stelle überwacht wird, obwohl die Charta dies ausdrücklich fordert. Eine solche Überwachung auf der Grundlage des Unionsrechts sei aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten. Dieser Kritikpunkt ist vielleicht cyberpolitisch und nachrichtendienstlich der interessanteste und befindet sich kurioserweise auf einer Linie mit der anlässlich der NSA-Affäre erhobenen politischen Forderung nach Verpflichtung der TK-Diensteanbieter, Mail- und Kommunikationsdienste ausschließlich über EU-Netze und zu betreiben und gespeicherte Daten ausschließlich auf Servern im Unionsgebiet vorzuhalten (Schlandnet bzw. Schengen-Routing).

Prüfenswert ist sicherlich auch noch die Frage, inwieweit die EuGH-Entscheidung von den – ebenfalls schon strengen – Maßstäben der Rechtsprechung des deutschen Bundesverfassungsgerichtes (BVerfG) zur Vorratsdatenspeicherung abweicht. Die Anforderungen des EuGH sind sogar noch etwas strenger als die des BVerfG, hier ist aber erst noch eine genaue Analyse der vollständigen Urteilsbegründung notwendig.


Neuer Vorstoß mit dem IT-Sicherheitsgesetz in Deutschland

Bei den Beratungen zum IT-Sicherheitsgesetz wurde von Datenschutzseite bemängelt, dass trotz unterschiedlicher Normenadressaten die vorgesehene Neuregelung des Telemediengesetzes (TMG) eine ähnliche präventive Schutzrichtung aufweise, wie der seinerzeit dem Vorratsdatenspeicherungsurteil zugrunde liegende Neuregelungsentwurf des Telekommunikationsgesetzes (TKG). Die in § 15 Absatz 9 TMG neu geregelten Eingriffsvoraussetzungen für die Erhebung und Verwendung von Nutzerdaten gingen dabei wegen der Möglichkeit umfassender Surfprofil-Erstellungsmöglichkeiten weit über die Verwendungsmöglichkeiten von Telekommunikationsverkehrsdaten hinaus, weil sie auch die Inhalte der Telemediennutzung betrafen. Demgegenüber wurden wichtige Anforderungen aus dem Urteil des Bundesverfassungsgerichtes zur Vorratsdatenspeicherung nicht berücksichtigt. Deshalb wurde dieser Passus im Gesetzentwurf in der vom Bundeskabinett beschlossenen Fassung gestrichen.

Allerdings soll per IT-Sicherheitsgesetz auch § 100 Absatz 1 des TKG so geändert werden, dass Telekommunikationsanbieter die erweiterten Befugnisse erhalten sollen, Nutzungsdaten Nutzungsdaten zu "erheben und verwenden, um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen." Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben. In den Beratungen des Bundesrates wurde deshalb von der überwiegenden Mehrheit der Bundesländer eine Streichung verlangt, dem jedoch im weiteren Gesetzesverfahren nicht entsprochen wurde.


Andere Länder

Die Aufhebung der EU-Richtlinie über die Vorratsdatenspeicherung durch den EuGH wirkt unmittelbar im gesamten Gebiet der Europäischen Union. Davon bleibt jedoch die Geltung der nationalen Umsetzungsgesetze unberührt (beispielsweise in Frankreich). Dagegen hat in Österreich der Verfassungsgerichtshof die nationale Umsetzung am 27. Juni 2014 aufgehoben. In Großbritannien wurde die Vorratsdatenspeicherung wieder neu reaktiviert.

Außerhalb der EU ist in der Schweiz die Vorratsdatenspeicherung seit dem Jahr 2002 möglich. In den USA wurde die Vorratsdatenspeicherung nach dem Terroranschlag in New York im Jahre 2001 durch den amerikanischen Geheimdienst NSA eingeführt.


Weblinks


Einzelnachweis

  1. "Forensik-Tool-Hersteller: Apple speichert iPhone-Anrufprotokolle in iCloud – für viele Monate" in heise security vom 17.November.2016
  2. SecuPedia Aktuell: Einigung bei der Vorratsdatenspeicherung
  3. Spiegel Online: Überwachungspläne - Kubicki und Baum klagen gegen Vorratsdatenspeicherung in SPIEGEL ONLINE vom 16.April.2014
  4. SecuPedia Aktuell: "Vorratsdatenspeicherung" im Kabinett beschlossen
  5. SecuPedia Aktuell: Vorratsdatenspeicherung: IT-Verbände wollen gehört werden
  6. SecuPedia Aktuell: Medienverbände und -unternehmen sagen Nein zur Vorratsdatenspeicherung
  7. SecuPedia Aktuell: Bundesdatenschutzbeauftragte stellt Tätigkeitsbericht vor
  8. SecuPedia Aktuell: Rechtsanwälte gegen Vorratsdatenspeicherung
  9. SecuPedia Aktuell: eco: Vorratsdatenspeicherung wird teurer!
  10. SecuPedia Aktuell: Ermittler sind für Vorratsdatenspeicherung
  11. SecuPedia Aktuell: Vorratsdatenspeicherung verabschiedet: Pro und Kontra
  12. heise online: Vorratsdatenspeicherung: Auch Inhalte von SMS erfasst in heise online vom 16.Oktober.2015
  13. SecuPedia Aktuell: Grundsatzentscheidung zur Vorratsdatenspeicherung
  14. SecuPedia Aktuell: Vorratsdatenspeicherung verstößt gegen Unionsrecht
  15. SecuPedia Aktuell: Bundesnetzagentur begründet Aussetzung der Vorratsdatenspeicherung


Siehe auch



Diese Seite wurde zuletzt am 28. Juni 2017 um 19:32 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl.

Anzeigen