Vorratsdatenspeicherung: Aktueller Stand und Gerichtsurteile

Zwei Datenkategorien sind von der Vorratsdatenspeicherung betroffen: Verbindungsdaten und Standortdaten.

Zu den Verbindungsdaten zählen unter anderem die Rufnummer des Anrufenden und des angerufenen Anschlusses, das Datum und die Urzeit von Beginn und Ende der Verbindung sowie Angaben zum genutzten Telekommunikationsdienst. Darüber hinaus müssen im Falle von Mobilfunkkommunikation die internationalen Kennungen der an der Kommunikation beteiligten Geräte bzw. Anschlüsse gespeichert werden. Handelt es sich um einen Prepaid-Dienst, muss zudem das Aktivierungsdatum dokumentiert werden. Wird Internet-Telefonie wie zum Beispiel Skype genutzt, müssen ferner die IP-Adressen und die Benutzerkennungen der Gesprächspartner gespeichert werden.

Die gleichen Regelungen gelten für den SMS- bzw. MMS-Versand, wobei hier der Versand- und der Empfangszeitpunkt vorzuhalten sind. Wird ein Internetdienst genutzt (z. B. ein öffentliches WLAN), muss der Anbieter die IP-Adresse, die Anschluss- und Benutzerkennungen sowie Datum und Uhrzeit von Beginn und Ende der Internetnutzung speichern. Von der Vorratsdatenspeicherung ausgenommen sind – im Gegensatz zur früheren Gesetzesversion von 2007 – Daten zur E-Mailkommunikation.

Neben den Verbindungsdaten verlangt das Gesetz das Speichern von Standortdaten, wenn ein mobiler Telefondienst oder ein öffentlich zugänglicher Internetzugangsdienst genutzt werden. Hier müssen die Funkzellen des Anrufers und des Angerufenen bzw. des Internetnutzers bei Beginn der Verbindung gespeichert werden. Hinzu kommen Angaben über die die Funkzelle versorgenden Funkantennen.

Nicht gespeichert werden dürfen Daten von Berufsgeheimnisträgern (z. B. Ärzte und Rechtsanwälte) oder aber von Stellen, die bei Kommunikationspartnern entsprechende Vertraulichkeitserwartungen begründen (z. B. aus dem kirchlichen oder sozialen Bereich). Derzeit ist jedoch weitgehend unklar, wie diese negative Pflicht, eine solche Speicherung zu unterlassen, praktisch realisiert werden kann.

Das Gesetz fordert keine anlassbezogene, sondern eine anlassfreie Speicherung von Daten. Die Speicherungspflicht setzt also keine behördliche Anordnung voraus, sondern muss qua Gesetz umgesetzt werden. Wichtig ist, dass die Speicherfristen eingehalten werden: Verbindungsdaten müssen zehn Wochen, Standortdaten vier Wochen lang gespeichert werden.

Die gespeicherten Daten müssen unverzüglich, spätestens jedoch binnen einer Woche nach Ablauf der jeweiligen Frist irreversibel gelöscht werden.

Der starke Grundrechtseingriff der Vorratsdatenspeicherung erfordert besondere Sicherheitsmaßnahmen. Hierzu zählt der Einsatz besonders sicherer Verschlüsselungstechniken, die Verwendung gesonderter Speicher, ein hoher Schutz vor dem Internetzugriff auf vom Internet entkoppelte Datenverarbeitungssysteme, die Beschränkung des Zutritts zu den Datenverarbeitungsanlagen auf besonders ermächtigte Personen und die Mitwirkung von mindestens zwei Personen beim Datenzugriff.

Die Sicherheitsanforderungen müssen dem Gesetz zufolge stets dem Stand der Technik entsprechen, weshalb einmal umgesetzte Maßnahmen regelmäßig überprüft und ggf. einem neuen Standard angepasst werden müssen.

Keine gesonderten Sicherheitsbestimmungen gelten dagegen für die Behörden, die die Daten anfordern.

Grundsätzlich müssen die speicherverpflichteten Unternehmen die Kosten tragen. Kostenintensiv ist in erster die Linie das Schaffen einer ausreichenden Sicherheitsinfrastruktur. Da die Sicherheitsmaßnahmen stets dem Stand der Technik gemäß aktuell gehalten werden müssen, fallen auch dauerhaften Kosten an.

Nur für den Fall, dass die Umsetzung für das verpflichtete Unternehmen eine „unbillige Härte“ beinhaltet, ist eine angemessene Entschädigung auf Basis eines Beschlusses der Bundesnetzagentur möglich.

Weitere Kosten können auch aus der Überprüfung durch eine unabhängige Stelle oder nationale Behörde folgen.

Den Aufwand der Bereitstellung der Daten gegenüber den anfragenden Behörden kann sich das Unternehmen dagegen erstatten lassen. Im Justizvergütungs- und -Entschädigungsgesetz (JVEG) wurden hierzu verschiedene Pauschalen in Höhe von acht bis 1.120 Euro festgelegt. Diese Kosten trägt somit der Steuerzahler.

Das Gesetz zur Vorratsdatenspeicherung erlaubt zunächst Übermittlungen an Strafverfolgungs- und Gefahrenabwehrbehörden der Länder. Wenn diese die Herausgabe von Vorratsdaten verlangen, muss das verpflichtete Unternehmen diese Daten – mit Ausnahme von Daten zu Berufsgeheimnisträgern – herausgeben. Einer richterlichen Anordnung bedarf es nicht. Die Behörden müssen lediglich auf eine gesetzliche Bestimmung verweisen, die ihnen die Datenübermittlung gestattet. Somit muss das verpflichtete Unternehmen nur prüfen (lassen), ob die genannte Vorschrift tatsächlich eine Datenübermittlung rechtfertigt.

Auch an Verfassungsschutzbehörden des Bundes und der Länder, an den Militärischen Abschirmdienst und an den Bundesnachrichtendienst müssen unter bestimmten rechtlichen Voraussetzungen Daten übermittelt werden. Hier gilt allerdings der Richtervorbehalt. Die Anfrage muss in diesem Fall zudem grundsätzlich in Textform erfolgen. Sämtliche Zugriffe auf die Daten müssen protokolliert werden; die Protokolle sind ein Jahr lang aufzubewahren.

Die besonderen Sicherheitsmaßnahmen müssen im allgemeinen Sicherheitskonzept des verpflichteten Unternehmens dokumentiert werden. Daneben sind die Systeme, mit denen die Vorratsdatenspeicherung betrieben wird, zu benennen. Aus der Beschreibung muss auch deutlich werden, welche Gefahren von den Systemen ausgehen und inwieweit die getroffenen Maßnahmen den Gefahren gerecht werden. Das Konzept muss der Bundesnetzagentur unverzüglich nach Beginn der Vorratsdatenspeicherung und unverzüglich bei jeder Änderung des Konzepts vorgelegt werden. Erfolgen keine Änderungen am Konzept, muss dies der Bundesnetzagentur alle zwei Jahre schriftlich erklärt werden.

Die Bundesnetzagentur kann zudem eine Überprüfung der im Unternehmen getroffenen Sicherheitsmaßnahmen durch eine qualifizierte unabhängige Stelle oder eine zuständige nationale Behörde anordnen. Im Anschluss muss das verpflichtete Unternehmen eine Kopie des Überprüfungsberichts an die Bundesnetzagentur übermitteln.

Das Gesetz zur Vorratsdatenspeicherung ist ein sogenanntes Änderungsgesetz. Die wichtigsten angepassten Gesetze sind die Strafprozessordnung (geänderte Normen: § 100g, § 101a und § 101b) und das Telekommunikationsgesetz (§§ 113a-113g). Darüber hinaus wurden Änderungen im Einführungsgesetz zur Strafprozessänderung, im Justizvergütungs- und Entschädigungsgesetz und im Strafgesetzbuch (hier: Einführung einer Regelung zur Datenhehlerei) vorgenommen.

Insbesondere die Änderungen in der Strafprozessordnung und im Telekommunikationsgesetz stehen im Konflikt mit Artikel 10 Grundgesetz, der das Fernmeldegeheimnis schützt.

Nachdem die Regelungen zur Vorratsdatenspeicherung 2010 vom Bundeverfassungsgericht als verfassungswidrig erklärt wurden und das damals geltende Gesetz vom EuGH 2014 gekippt wurde, wurde ein Gesetz zur Vorratsdatenspeicherung im Oktober 2015 erneut beschlossen (Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten).

Am 16. Oktober 2015 stimmte der Bundestag für den Gesetzentwurf der Bundesregierung. Der Bundesrat stimmte am 6. November 2015 dem Gesetz zu, am 10. Dezember 2015 wurde es vom Bundespräsidenten unterzeichnet und am 17. Dezember 2015 im Bundesgesetzblatt verkündet.

Das Gesetz verpflichtete Telekommunikationsunternehmen spätestens 18 Monate nach dem 18. Dezember 2015, die Standort- und Verbindungsdaten zu speichern.

Bereits einen Tag nach der Veröffentlichung im Bundesgesetzblatt wurde die erste Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht. Zahlreiche weitere Beschwerden folgten in den Jahren 2015 und 2016.

Ein IT-Provider, der Internetzugangsleistungen für deutsche als auch für europäische Kunden erbringt, hatte sich mit einem Antrag auf Erlass einer einstweiligen Anordnung an das Verwaltungsgericht (VG) Köln gewandt, da er der Verpflichtung zur Vorratsdatenspeicherung bis zur Entscheidung der Klage vorläufig nicht nachkommen wollte. Das VG Köln lehnte jedoch den Antrag ab. Das OVG in Münster gab der Beschwerden hingegen statt (Beschl. v. 22.06.2017, Az. 13 B 238/17).

Die Verpflichtung zur Vorratsdatenspeicherung ist in der Folge der Rechtsprechung des Europäischen Gerichtshofs (Az.: C-203/15 und C-698/15) in ihrer gegenwärtigen Ausgestaltung nicht mit Art. 15 Abs. 1 der Datenschutzrichtlinie (2002/58/EG) vereinbar.

In der Folge setzte die Bundesnetzagentur die Pflicht zur Vorratsdatenspeicherung, des zum 1. Juli 2017 geltenden Rechts, bis zur Entscheidung der Klage im Hauptsacheverfahren aus.

Im April 2018 bestätigte auch das Verwaltungsgericht Köln (Urteil vom 20.04.2018 – 9 K 3859/16), dass die Vorratsdatenspeicherung gegen das Europarecht verstoße.

In Deutschland wird die Vorratsdatenspeicherung Stand heute (2019) nicht angewendet. Nun gilt es die Entscheidungen des Bundesverfassungsgerichtes mit Spannung zu verfolgen.

Der EuGH hatte im Oktober 2020 mehrere Verfahren aus Frankreich, Belgien und Großbritannien zu entscheiden (Urteil vom 06.10.2020, Az.: C-511/18, C-512/18, C-520/18) und urteilte, dass eine flächendeckende und pauschale Speicherung von Verbindungsdaten und Standortdaten nicht zulässig ist. Gleichzeitig stellte der EuGH auch klar, dass zur Abwehr von schweren Straftaten und zur Sicherstellung der nationalen Sicherheit weiterhin eine Vorratsdatenspeicherung unter bestimmten Bedingungen möglich ist.

Im Jahr 2022 musste der EuGH sich mit Klagen von zwei deutschen Providern geschäftigen, die gegen die Speicherpflicht vor das Bundesverwaltungsgericht gezogen waren. Auch hier urteilte das oberste rechtsprechende Organ der EU, dass die deutsche Vorratsdatenspeicherung unverhältnismäßig ist und gegen die E-Privacy-Richtlinie der EU verstößt.

Der EuGH verbot jedoch nicht generell eine anlasslose Vorratsdatenspeicherung. Er nannte vier Konstellationen in denen eine Speicherung möglich ist. Dies wäre der Fall,

• wenn die nationale Sicherheit bedroht wäre,
• wenn sich die Vorratsdatenspeicherung gezielt gegen eine bestimmte Personengruppe richtet (z.B. terroristische Gefährder),
• bei einer gezielten Speicherung anhand geografischer Merkmale (z.B. Kriminalitätsschwerpunkte an Bahnhöfen oder Flughäfen) und
• bei IP-Adressen sogar in Bezug auf die ganze Bevölkerung.

Als zulässig nannte der EuGH zusätzlich noch die Quick-Freeze-Methode. Bei dieser Methode werden die Daten zunächst „eingefroren“, wenn der Verdacht einer Straftat besteht und können anschließend zum Beispiel nach einem richterlichen Beschluss genutzt werden.