Die Beauftragte für den Datenschutz und die Informationsfreiheit

Vorratsdatenspeicherung

Seit 2006 beschäftigt die Vorratsdatenspeicherung nicht nur Politiker, Datenschützer und die interessierten Bevölkerungskreise, sondern immer wieder die höchsten Gerichte auf nationaler und europäischer Ebene. Obwohl letztere in mehreren Entscheidungen, sowohl nationale als auch europäische Vorratsdatenspeicherungsgesetzgebung für grundrechtswidrig und damit unanwendbar erklärt haben, ergreifen Regierungen immer wieder neue Anläufe eine Vorratsspeicherung von Telekommunikationsverkehrsdaten für sicherheitsbehördliche Zwecke einzuführen. Zuletzt wurde in Deutschland mit dem am 11.12.2015 in Kraft getretenen „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten" erneut eine Vorratsdatenspeicherung installiert. Seit dem 01.07.2017 sind damit Telekommunikationsanbieter verpflichtet mit der Speicherung zu beginnen. Nachdem allerdings das Oberverwaltungsgericht Münster einem TK-Anbieter in einem einstweiligen Verfügungsverfahren Recht gegeben hatte, dass die Speicherpflicht nicht mit dem Europäischen Recht vereinbar sei, hat die Bundesnetzagentur erklärt, bis zu einer Klärung der Angelegenheit in einem Hauptsacheverfahren keine aufsichtsrechtlichen Maßnahmen gegen TK-Unternehmen zu ergreifen, die vorerst auf eine Vorratsdatenspeicherung verzichten. Fast sämtliche TK-Anbieter haben daraufhin die Einführung der Vorratsdatenspeicherung zurückgestellt.

Vorratsdatenspeicherung 1.0

Im Jahr 2006 erließ die Europäische Union eine Richtlinie, aufgrund der die Mitgliedstaaten zu einer Speicherung von Telekommunikationsverkehrsdaten auf Vorrat verpflichtet wurden. Der Deutsche Bundestag verabschiedete hierzu das „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG“, das am 1. Januar 2008 in Kraft trat. Das Gesetz verpflichtete die Anbieter von öffentlich zugänglichen Telekommunikations- und Internetdiensten, Verkehrsdaten über einen Zeitraum von sechs Monaten auf Vorrat zu speichern und diese – im Bedarfsfall – Strafverfolgungsbehörden, Nachrichtendiensten oder mit Aufgaben der Gefahrenabwehr betrauten Behörden zur Verfügung zu stellen.


Bei den zu speichernden Verkehrsdaten handelte es sich um Daten, die bei den Telekommunikationsunternehmen im Rahmen der Erbringung ihres Dienstes erhoben, verarbeitet oder genutzt werden. Bei einem Telefonat mit einem Mobiltelefon sind dies beispielsweise die Telefonnummer des anrufenden und angerufenen Teilnehmers, der Zeitpunkt des Gesprächsbeginns sowie die Gesprächsdauer, die Seriennummer des Mobiltelefons und der SIM-Karte und die zu Beginn des Telefonats genutzte Funkzelle. Neben dem Bereich der Telefonie wurden des Weiteren auch Daten bei der Internetnutzung von der Speicherpflicht umfasst. So gingen auch Informationen zu den genutzten IP-Adressen und über den E-Mailverkehr in die Speicherung ein.


Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat die Vorratsdatenspeicherung von Anfang an als einen unverhältnismäßigen und damit verfassungswidrigen Eingriff in das Fernmeldegeheimnis sowie das Recht auf informationelle Selbstbestimmung kritisiert. Durch die anlasslose Speicherung aller Telefon-, E-Mail- und Internet-Verkehrsdaten für ein halbes Jahr wurde das gesamte Telekommunikationsverhalten aller Bundesbürger erfasst. Mit diesen Daten ist es unter anderem möglich, weitreichende Sozial- und Bewegungsprofile zu bilden. Jedoch sind die Betroffenen ganz überwiegend weder Verdächtige noch geht von ihnen eine konkrete Gefahr aus. Damit besteht die Gefahr, dass viele Bürger die ihnen zur Verfügung stehenden Kommunikationsmittel nicht mehr unbefangen nutzen, ihr Kommunikationsverhalten entsprechend verändern und gegebenenfalls sogar gänzlich auf Telekommunikation verzichten. Dadurch aber würde die für eine freiheitliche Gesellschaft unabdingbare unbefangene Kommunikation erheblich beeinträchtigt.


Neben diesen rechtlichen Bedenken hatte die BfDI aber auch erhebliche Mängel bei der der praktischen Umsetzung der Vorratsdatenspeicherung festgestellt. Eine Untersuchung bei den Telekommunikationsanbietern legte offen, dass regelmäßig mehr Daten gespeichert wurden als vom Gesetz vorgesehen. Aufgrund von fehlenden verbindlichen Vorgaben war auch ein durchgehend hinreichendes Datensicherheitsniveau grundsätzlich nicht gewährleistet.


Weitergehende Informationen zur datenschutzrechtlichen Bewertung der Vorratsdatenspeicherung können Sie der ersten, zweiten und dritten Stellungnahme der BfDI gegenüber dem Bundesverfassungsgericht (BVerfG) entnehmen.


Das Urteil des Bundesverfassungsgerichtes (BVerfG)

Beim BVerfG wurde gegen die Vorratsdatenspeicherung eine Massenverfassungsbeschwerde mit über 35.000 Beschwerdeführern eingelegt. Im Jahr 2008 schränkte das BVerfG zunächst mit zwei Beschlüssen im einstweiligen Rechtsschutzverfahren die Nutzung der auf Vorrat gespeicherten Daten stark ein. Mit Urteil vom 02.03.2010 erklärte das BVerfG die gesetzlichen Vorschriften zur Vorratsdatenspeicherung für verfassungswidrig und nichtig.


Das Gericht führte in diesem Zusammenhang allerdings aus, dass eine anlasslose Speicherung von personenbezogenen Daten über einen Zeitraum von sechs Monaten auf Vorrat lediglich dann strikt verboten sei, wenn sie zu unbestimmten und noch nicht bestimmbaren Zwecken erfolgte. Eine verfassungsgemäße Ausgestaltung der Vorratsdatenspeicherung sei somit grundsätzlich möglich, unterliege allerdings sehr strengen Anforderungen, da der mit der Vorratsdatenspeicherung verbundene Eingriff in das Fernmeldegeheimnis als äußerst schwerwiegend bewertet werde. Die hier beanstandeten gesetzlichen Regelungen hätten diesen Anforderungen jedenfalls nicht genügt.


Im Hinblick auf eine mögliche Neuregelung des Gesetzes benannte das Gericht vier Bereiche, die zur verfassungsgemäßen Ausgestaltung einer Vorratsdatenspeicherung beachtet werden müssten. Neben einem hohen Standard der Datensicherheit, hinreichender Transparenz und einem effektiven Rechtsschutzsystem müsse der Gesetzgeber vor allem auch klare Regelungen zum Umfang der Datenverwendung gesetzlich vorschreiben.


Dabei stellte das Gericht fest, dass vorsorglich anlasslose Datenspeicherungen grundsätzlich eine Ausnahme bleiben müssten und – insbesondere auch zusammen mit anderen bereits bestehenden Datensammlungen – nicht zu einer Rekonstruierbarkeit praktisch aller Aktivitäten der Bürger führen dürften. Hierfür müsse sich die Bundesrepublik Deutschland auch im europäischen und internationalen Zusammenhang einsetzen.

Das erste Urteil des Europäischen Gerichtshofes (EuGH)

Vier Jahre später ereilte die Richtlinie zur Vorratsdatenspeicherung das gleiche Schicksal wie das deutsche Umsetzungsgesetz. Mit seinem Urteil vom 08.04.2014 erklärte der EuGH die Richtlinie rückwirkend ab ihrem Inkrafttreten für ungültig.


Das Gericht begründete seine Entscheidung damit, die Richtlinie stelle einen Eingriff von besonders großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auch Schutz personenbezogener Daten dar, ohne gleichzeitig zu gewährleisten, dass dieser Eingriff verhältnismäßig auf das tatsächlich absolut Notwendigste beschränkt würde und machte dies an vier wesentlichen Punkten fest.


Erstens würde eine Speicherpflicht bestehen, die nicht hinreichend differenziert, inwieweit die von der Speicherung erfassten Daten und Personen in irgendeinem konkreten Zusammenhang mit dem Ziel der Bekämpfung schwerer Straftaten stehen. Beispielsweise sei keine Ausnahme für die Telekommunikation von Berufsgeheimnisträgern vorgesehen. Zudem fehle eine Beschränkung der von der Speicherung betroffenen Personen auf solche, die in irgendeiner Weise in eine schwere Straftat verwickelt seien oder deren auf Vorrat gespeicherte Daten aus anderen Gründen zur Verhütung, Feststellung oder Verfolgung schwerer Straftaten beitragen könnten.


Zweitens fehle eine Beschränkung der Zugangsmöglichkeiten der zuständigen nationalen Behörden zu den Daten und deren späterer Nutzung, beispielsweise durch eine vorherige Kontrollmöglichkeit durch Gerichte oder unabhängige Verwaltungsstellen.


Drittens kritisierte das Gericht die undifferenzierte Vorgabe der Richtlinie zur Speicherdauer der Daten.


Viertens rügte es die fehlenden Vorschriften zur Datensicherheit sowie den Umstand, dass die Daten nicht zwingend im Unionsgebiet gespeichert werden müssten, was für die Gewährleistung der datenschutzrechtliche Kontrolle durch eine unabhängige Stelle erforderlich wäre.

Vorratsdatenspeicherung 2.0


Nachdem die Europäische Kommission im Nachgang des EuGH-Urteils erklärt hatte, vorerst keine Initiative zur Verabschiedung einer neuen Vorratsdatenspeicherung-Richtlinie ergreifen zu wollen, legte die Bundesregierung im Frühjahr 2015 zunächst einen Katalog mit Leitlinien und schließlich einen Gesetzentwurf zur Widereinführung einer Vorratsdatenspeicherung vor.


Wie das erste Gesetz zur Vorratsdatenspeicherung verpflichtet auch das neue „Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten" Telekommunikationsanbieter, Verkehrsdaten anlasslos zu speichern und im Bedarfsfall Sicherheitsbehörden zur Verfügung zu stellen.


Der wesentliche Unterschied zwischen den beiden Gesetzen liegt darin, dass die Speicherdauer von pauschalen sechs Monaten auf vier Wochen für Standortdaten und zehn Wochen für die übrigen Verkehrsdaten verkürzt wurde. Darüber hinaus wurde komplett auf die Speicherung von E-Mail-Daten verzichtet.


Während die Bundesregierung aufgrund dieser und einiger weiterer Änderungen (z.B. im Bereich der Datensicherheit), die im Wesentlichen dazu dienen sollen, die Vorgaben des BVerfG bestmöglich umzusetzen, davon ausgeht, das Gesetz stehe im Einklang mit den deutschen und europäischen Grundrechten, bestehen im politischen Raum, aber auch bei Datenschützern und Bürgerrechtlern Zweifel an der Verfassungsmäßigkeit der neuen Vorratsdatenspeicherung.


Auch die BfDI hat in ihrer Stellungnahme im Rahmen des Gesetzgebungsverfahrens erhebliche Kritik geäußert.


Im Vordergrund stehen dabei zunächst generelle verfassungsrechtliche Bedenken gegenüber einer Vorratsdatenspeicherung. Insbesondere vor dem Hintergrund der Erkenntnisse aus den Enthüllungen zur aktuellen Verfahrenspraxis von Nachrichtendiensten erscheint es fraglich, ob eine Vorratsdatenspeicherung mit Blick auf die vom BVerfG aufgestellte Vorgabe, die Eingriffsintensität und Auswirkung von Überwachungsmaßnahmen nicht nur individuell, sondern auch in der Gesamtheit zu betrachten, noch als verhältnismäßig angesehen werden kann. Ebenso ist nicht erkennbar, wie das Gesetz die vom EuGH aufgeworfene Problematik der Beschränkung des von der Speicherung betroffenen Personenkreises lösen will.


Neben diesen grundsätzlichen Bedenken finden sich zudem in vielen der einzelnen Vorschriften konkrete datenschutzrechtliche Probleme. Beispielhaft kann die Erfassung der Daten von Berufsgeheimnisträgern oder die umfangreiche Speicherung von Funkzelleninformationen genannt werden, die – anders als vom Gesetzgeber angekündigt – faktisch die Bildung aussagekräftiger Bewegungsprofile ermöglicht.

Das zweite Urteil des EuGH

Ende 2016 musste sich der EuGH erneut mit dem Thema Vorratsdatenspeicherung befassen. Konkret ging es dabei um die Frage, ob nationale Regelungen zur Vorratsdatenspeicherung aus Schweden und Großbritannien, deren Regelungen im Wesentlichen denen der für nichtig erklärten Vorratsdatenspeicherungsrichtlinie entsprachen, mit der Europäischen Grundrechtecharta vereinbar waren. Mit Urteil vom 21.12.2016 bestätigte das Gericht seine Position aus 2014 und stellte fest, dass eine umfassende anlasslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer in Bezug auf alle elektronischen Kommunikationsmittel nicht mit den Vorgaben der Art. 7,8 und 11 Grundrechtecharta vereinbar sei.

Aktuelle Lage

Auch wenn das Urteil des EuGH keine unmittelbaren Auswirkungen auf das deutsche Vorratsdatenspeicherungsgesetz hat, fühlen sich die Gegner der Vorratsdatenspeicherung in ihrer Auffassung bestätigt, dass die aktuellen Vorschriften einen unverhältnismäßigen Eingriff in die Rechte der Betroffenen darstellen. Dementsprechend sind aktuell auch mehrere Verfassungsbeschwerden gegen das Gesetz beim BVerfG rechtshängig. Zudem hat ein TK-Anbieter in einem Verfahren des einstweiligen Rechtsschutzes vor dem Oberverwaltungsgericht Münster erreicht, vorläufig von der Speicherpflicht befreit zu werden. Als Reaktion auf diesen Beschluss vom 22.06.2017 hat die Bundesnetzagentur erklärt, bis zu einer abschließenden Klärung im Hauptsacheverfahren TK-Anbieter, die der Speicherpflicht nicht bereits ab dem 01.07.2017 nachkommen, nicht aufsichtsrechtlich zur Rechenschaft ziehen zu wollen. Als Reaktion auf diese Ankündigung haben fast alle TK-Anbieter vorerst davon abgesehen, die Vorratsdatenspeicherung umzusetzen. Mit Urteil vom 20. April 2018 schloss sich das Verwaltungsgericht Köln der Rechtsprechung des Oberverwaltungsgerichts an. Das Verwaltungsgericht stellte fest, dass die Klägerin - ein TK-Diensteanbieter - nicht verpflichtet ist, im Rahmen der Vorratsdatenspeicherung die Telekommunikationsverbindungsdaten ihrer Kunden zu speichern, weil die gesetzlichen Vorschriften mit dem Unionsrecht nicht vereinbar seien.

Die BfDI wird das Thema selbstverständlich auch weiterhin eng begleiten. Sollte das BVerfG die Regelungen zu der Vorratsdatenspeicherung bestätigen, wird die BfDI die Einhaltung datenschutzrechtlicher Vorschriften bei der praktischen Umsetzung der Vorratsdatenspeicherung im Rahmen von Kontrollbesuchen überwachen. Dies entspricht auch der bisherigen Kontrollpraxis der BfDI im Hinblick auf Unternehmen, die die Vorgaben über die Vorratsdatenspeicherung trotz der Aussetzung aufsichtsrechtlicher Maßnahmen seitens der BNetzA umsetzen.

Zusammen mit der Bundesnetzagentur und dem Bundesamt für Sicherheit in der Informationstechnik hat die BfDI zudem an der Erstellung eines Anforderungskatalogs mitgewirkt, in dem geregelt wird, wie z.B. Vorgaben zur Datensicherheit und Datenlöschung von den Telekommunikationsanbietern realisiert werden müssen. Auch wenn dieser mittlerweile im Amtsblatt der Bundesnetzagentur veröffentlicht wurde, sind hierdurch aus Sicht der BfDI noch nicht sämtliche Vorgaben, die das TKG zur Gewährleistung der Sicherheit der Daten fordert, hinreichend konkretisiert worden. So fehlen nach wie vor klare Erläuterungen zum Umgang mit Vorratsdaten im Zusammenhang mit der Übermittlung an die Sicherheitsbehörden. Diese sollen nicht unmittelbar im Anforderungskatalog selbst, sondern in der TKÜV und der dazugehörigen Technischen Richtlinie geregelt werden. Beide Dokumente befinden sich allerdings gegenwärtig noch in der Überarbeitung. Dementsprechend hat die BfDI auch gegenüber der BNetzA erklärt, den Prozess der Erstellung des Anforderungskatalogs im Sinne des § 113f TKG aus datenschutzrechtlicher Sicht als noch nicht final abgeschlossen zu betrachten.