Die Vorratsdatenspeicherung: Wie ist der aktuelle Stand?

Der Deutsche Bundestag hat im Oktober 2015 gegen großen Widerstand von Datenschützern ein neues Gesetz zur Vorratsdatenspeicherung verabschiedet. Anbieter von Telefon- und Internetdiensten – sogenannte verpflichtete Unternehmen – müssen sowohl Verbindungsdaten als auch Standortdaten von Nutzern für eine bestimmte Dauer speichern. Die Daten sollen von Behörden zur Aufklärung von Straftaten genutzt werden können. Bisher gab es jedoch einige Hürden bei der Umsetzung in Deutschland. Die wichtigsten Punkte zum Gesetz und zur aktuellen Umsetzung haben wir nachfolgend für Sie zusammengefasst.

Welche Unternehmen sind von der Vorratsdatenspeicherung betroffen?

Dem Gesetzeswortlaut zufolge müssen ausschließlich „Erbringer öffentlich zugänglicher Telefondienste“ sowie „Erbringer öffentlich zugänglicher Internetzugangsdienste“ auf Vorrat speichern. Erbringer zeichnen sich dadurch aus, dass sie ihren Kunden dauerhaft einen eigenen Telekommunikationsanschluss zur Verfügung stellen. Dies betrifft der Gesetzesbegründung zufolge bundesweit ca. 1.000 Unternehmen.

Nicht betroffen von der Vorratsdatenspeicherung sind Hotels, Restaurants, Cafés u. a., da diese ihren Gästen nur einen kurzweiligen Zugang zu Internet und / oder Telefon ermöglichen und keine „Erbringer“ laut dem Gesetz sind. Ebenfalls aus dem Raster fallen unternehmensinterne Netze, da diese – z.B. im Gegensatz zu Anbietern eines öffentlichen WLANs – nicht öffentlich zugänglich sind.

Auf Vorrat speichern müssen somit nur Anbieter, die ihren Kunden einen Telefon- bzw. Internet-Anschluss zur zeitlich unbestimmten und selbstständigen Nutzung bereitstellen.

Die wichtigsten Regelungen zur Vorratsdatenspeicherung

Zwei Datenkategorien sind von der Vorratsdatenspeicherung betroffen: Verbindungsdaten und Standortdaten.

Zu den Verbindungsdaten zählen unter anderem die Rufnummer des Anrufenden und des angerufenen Anschlusses, das Datum und die Urzeit von Beginn und Ende der Verbindung sowie Angaben zum genutzten Telekommunikationsdienst. Darüber hinaus müssen im Falle von Mobilfunkkommunikation die internationalen Kennungen der an der Kommunikation beteiligten Geräte bzw. Anschlüsse gespeichert werden. Handelt es sich um einen Prepaid-Dienst, muss zudem das Aktivierungsdatum dokumentiert werden. Wird Internet-Telefonie wie zum Beispiel Skype genutzt, müssen ferner die IP-Adressen und die Benutzerkennungen der Gesprächspartner gespeichert werden.

Die gleichen Regelungen gelten für den SMS- bzw. MMS-Versand, wobei hier der Versand- und der Empfangszeitpunkt vorzuhalten sind. Wird ein Internetdienst genutzt (z. B. ein öffentliches WLAN), muss der Anbieter die IP-Adresse, die Anschluss- und Benutzerkennungen sowie Datum und Uhrzeit von Beginn und Ende der Internetnutzung speichern. Von der Vorratsdatenspeicherung ausgenommen sind – im Gegensatz zur früheren Gesetzesversion von 2007 – Daten zur E-Mailkommunikation.

Neben den Verbindungsdaten verlangt das Gesetz das Speichern von Standortdaten, wenn ein mobiler Telefondienst oder ein öffentlich zugänglicher Internetzugangsdienst genutzt werden. Hier müssen die Funkzellen des Anrufers und des Angerufenen bzw. des Internetnutzers bei Beginn der Verbindung gespeichert werden. Hinzu kommen Angaben über die die Funkzelle versorgenden Funkantennen.

Nicht gespeichert werden dürfen Daten von Berufsgeheimnisträgern (z. B. Ärzte und Rechtsanwälte) oder aber von Stellen, die bei Kommunikationspartnern entsprechende Vertraulichkeitserwartungen begründen (z. B. aus dem kirchlichen oder sozialen Bereich). Derzeit ist jedoch weitgehend unklar, wie diese negative Pflicht, eine solche Speicherung zu unterlassen, praktisch realisiert werden kann.

Das Gesetz fordert keine anlassbezogene, sondern eine anlassfreie Speicherung von Daten. Die Speicherungspflicht setzt also keine behördliche Anordnung voraus, sondern muss qua Gesetz umgesetzt werden. Wichtig ist, dass die Speicherfristen eingehalten werden: Verbindungsdaten müssen zehn Wochen, Standortdaten vier Wochen lang gespeichert werden.

Die gespeicherten Daten müssen unverzüglich, spätestens jedoch binnen einer Woche nach Ablauf der jeweiligen Frist irreversibel gelöscht werden.

Der starke Grundrechtseingriff der Vorratsdatenspeicherung erfordert besondere Sicherheitsmaßnahmen. Hierzu zählt der Einsatz besonders sicherer Verschlüsselungstechniken, die Verwendung gesonderter Speicher, ein hoher Schutz vor dem Internetzugriff auf vom Internet entkoppelte Datenverarbeitungssysteme, die Beschränkung des Zutritts zu den Datenverarbeitungsanlagen auf besonders ermächtigte Personen und die Mitwirkung von mindestens zwei Personen beim Datenzugriff.

Die Sicherheitsanforderungen müssen dem Gesetz zufolge stets dem Stand der Technik entsprechen, weshalb einmal umgesetzte Maßnahmen regelmäßig überprüft und ggf. einem neuen Standard angepasst werden müssen.

Keine gesonderten Sicherheitsbestimmungen gelten dagegen für die Behörden, die die Daten anfordern.

Grundsätzlich müssen die speicherverpflichteten Unternehmen die Kosten tragen. Kostenintensiv ist in erster die Linie das Schaffen einer ausreichenden Sicherheitsinfrastruktur. Da die Sicherheitsmaßnahmen stets dem Stand der Technik gemäß aktuell gehalten werden müssen, fallen auch dauerhaften Kosten an.

Nur für den Fall, dass die Umsetzung für das verpflichtete Unternehmen eine „unbillige Härte“ beinhaltet, ist eine angemessene Entschädigung auf Basis eines Beschlusses der Bundesnetzagentur möglich.

Weitere Kosten können auch aus der Überprüfung durch eine unabhängige Stelle oder nationale Behörde folgen.

Den Aufwand der Bereitstellung der Daten gegenüber den anfragenden Behörden kann sich das Unternehmen dagegen erstatten lassen. Im Justizvergütungs- und -Entschädigungsgesetz (JVEG) wurden hierzu verschiedene Pauschalen in Höhe von acht bis 1.120 Euro festgelegt. Diese Kosten trägt somit der Steuerzahler.

Das Gesetz zur Vorratsdatenspeicherung erlaubt zunächst Übermittlungen an Strafverfolgungs- und Gefahrenabwehrbehörden der Länder. Wenn diese die Herausgabe von Vorratsdaten verlangen, muss das verpflichtete Unternehmen diese Daten – mit Ausnahme von Daten zu Berufsgeheimnisträgern – herausgeben. Einer richterlichen Anordnung bedarf es nicht. Die Behörden müssen lediglich auf eine gesetzliche Bestimmung verweisen, die ihnen die Datenübermittlung gestattet. Somit muss das verpflichtete Unternehmen nur prüfen (lassen), ob die genannte Vorschrift tatsächlich eine Datenübermittlung rechtfertigt.

Auch an Verfassungsschutzbehörden des Bundes und der Länder, an den Militärischen Abschirmdienst und an den Bundesnachrichtendienst müssen unter bestimmten rechtlichen Voraussetzungen Daten übermittelt werden. Hier gilt allerdings der Richtervorbehalt. Die Anfrage muss in diesem Fall zudem grundsätzlich in Textform erfolgen. Sämtliche Zugriffe auf die Daten müssen protokolliert werden; die Protokolle sind ein Jahr lang aufzubewahren.

Die besonderen Sicherheitsmaßnahmen müssen im allgemeinen Sicherheitskonzept des verpflichteten Unternehmens dokumentiert werden. Daneben sind die Systeme, mit denen die Vorratsdatenspeicherung betrieben wird, zu benennen. Aus der Beschreibung muss auch deutlich werden, welche Gefahren von den Systemen ausgehen und inwieweit die getroffenen Maßnahmen den Gefahren gerecht werden. Das Konzept muss der Bundesnetzagentur unverzüglich nach Beginn der Vorratsdatenspeicherung und unverzüglich bei jeder Änderung des Konzepts vorgelegt werden. Erfolgen keine Änderungen am Konzept, muss dies der Bundesnetzagentur alle zwei Jahre schriftlich erklärt werden.

Die Bundesnetzagentur kann zudem eine Überprüfung der im Unternehmen getroffenen Sicherheitsmaßnahmen durch eine qualifizierte unabhängige Stelle oder eine zuständige nationale Behörde anordnen. Im Anschluss muss das verpflichtete Unternehmen eine Kopie des Überprüfungsberichts an die Bundesnetzagentur übermitteln.

Das Gesetz zur Vorratsdatenspeicherung ist ein sogenanntes Änderungsgesetz. Die wichtigsten angepassten Gesetze sind die Strafprozessordnung (geänderte Normen: § 100g, § 101a und § 101b) und das Telekommunikationsgesetz (§§ 113a-113g). Darüber hinaus wurden Änderungen im Einführungsgesetz zur Strafprozessänderung, im Justizvergütungs- und Entschädigungsgesetz und im Strafgesetzbuch (hier: Einführung einer Regelung zur Datenhehlerei) vorgenommen.

Insbesondere die Änderungen in der Strafprozessordnung und im Telekommunikationsgesetz stehen im Konflikt mit Artikel 10 Grundgesetz, der das Fernmeldegeheimnis schützt.

Nachdem die Regelungen zur Vorratsdatenspeicherung 2010 vom Bundeverfassungsgericht als verfassungswidrig erklärt wurden und das damals geltende Gesetz vom EuGH 2014 gekippt wurde, wurde ein Gesetz zur Vorratsdatenspeicherung im Oktober 2015 erneut beschlossen (Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten).

Am 16. Oktober 2015 stimmte der Bundestag für den Gesetzentwurf der Bundesregierung. Der Bundesrat stimmte am 6. November 2015 dem Gesetz zu, am 10. Dezember 2015 wurde es vom Bundespräsidenten unterzeichnet und am 17. Dezember 2015 im Bundesgesetzblatt verkündet.

Das Gesetz verpflichtete Telekommunikationsunternehmen spätestens 18 Monate nach dem 18. Dezember 2015, die Standort- und Verbindungsdaten zu speichern.

Bereits einen Tag nach der Veröffentlichung im Bundesgesetzblatt wurde die erste Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht. Zahlreiche weitere Beschwerden folgten in den Jahren 2015 und 2016.

Ein IT-Provider, der Internetzugangsleistungen für deutsche als auch für europäische Kunden erbringt, hatte sich mit einem Antrag auf Erlass einer einstweiligen Anordnung an das Verwaltungsgericht (VG) Köln gewandt, da er der Verpflichtung zur Vorratsdatenspeicherung bis zur Entscheidung der Klage vorläufig nicht nachkommen wollte. Das VG Köln lehnte jedoch den Antrag ab. Das OVG in Münster gab der Beschwerden hingegen statt (Beschl. v. 22.06.2017, Az. 13 B 238/17).

Die Verpflichtung zur Vorratsdatenspeicherung ist in der Folge der Rechtsprechung des Europäischen Gerichtshofs (Az.: C-203/15 und C-698/15) in ihrer gegenwärtigen Ausgestaltung nicht mit Art. 15 Abs. 1 der Datenschutzrichtlinie (2002/58/EG) vereinbar.

In der Folge setzte die Bundesnetzagentur die Pflicht zur Vorratsdatenspeicherung, des zum 1. Juli 2017 geltenden Rechts, bis zur Entscheidung der Klage im Hauptsacheverfahren aus.

Im April 2018 bestätigte auch das Verwaltungsgericht Köln (Urteil vom 20.04.2018 – 9 K 3859/16), dass die Vorratsdatenspeicherung gegen das Europarecht verstoße.

In Deutschland wird die Vorratsdatenspeicherung Stand heute (2019) nicht angewendet. Nun gilt es die Entscheidungen des Bundesverfassungsgerichtes mit Spannung zu verfolgen.

Fazit: Vorratsdatenspeicherung erfordert strategisches Vorgehen

Die Regelungen zur Vorratsdatenspeicherung stehen im Spannungsfeld zwischen gewünschter effektiver Strafverfolgung und dem Datenschutz. Zwar gelten die o.g. Urteile nur für die jeweiligen Kläger, jedoch können ähnliche Unternehmen gegen die Vorratsdatenspeicherung auf diesem Wege vorgehen.

Die Richter des EuGHs urteilten bereits im Jahr 2016, dass eine allgemeine und anlasslose Speicherung von Daten unzulässig sei und die Speicherung auf das Notwendige beschränkt sein muss (Urt. v. 21.12.2016, Az.: C-203/15; C-698/15).

Es bleibt abzuwarten, wie das BVerfG in den noch offenen Verfahren entscheiden wird und wie die Bundesregierung auf anstehende Gesetzesänderungen reagieren wird. Aus Brüssel kann vernommen werden, dass dort eine Wiederbelebung der Vorratsdatenspeicherung geplant ist, die eben nicht gegen den Datenschutz und gegen die EU-Grundrechtecharta verstößt. Wie diese Lösung aussehen wird, kann mit Spannung erwartet werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.