activeMind AG - Pflichten bei der Vorratsdatenspeicherung

Der Deutsche Bundestag hat im Oktober 2015 gegen großen Widerstand von Datenschützern ein neues Gesetz zur Vorratsdatenspeicherung verabschiedet. Anbieter von Telefon- und Internetdiensten – nachfolgend: „verpflichtete Unternehmen“ – müssen spätestens ab 1. Juli 2017 sowohl Verbindungsdaten als auch Standortdaten von Nutzern für eine bestimmte Dauer speichern. Die Daten sollen von Behörden zur Aufklärung von Straftaten genutzt werden können. Auch wenn noch unklar ist, ob das Gesetz vor dem Bundesverfassungsgericht Bestand haben wird, sollten speicherpflichtige Unternehmen frühzeitig aktiv werden, um keine Bußgelder zu riskieren. Die wichtigsten Punkte zum neuen Gesetz haben wir nachfolgend für Sie zusammengefasst.

Welche Unternehmen sind von der Vorratsdatenspeicherung betroffen?

Dem Gesetzeswortlaut zufolge müssen ausschließlich „Erbringer öffentlich zugänglicher Telefondienste“ sowie „Erbringer öffentlich zugänglicher Internetzugangsdienste“ auf Vorrat speichern. Erbringer zeichnen sich dadurch aus, dass sie ihren Kunden dauerhaft einen eigenen Telekommunikationsanschluss zur Verfügung stellen. Dies betrifft der Gesetzesbegründung zufolge bundesweit ca. 1.000 Unternehmen.

Nicht betroffen von der Vorratsdatenspeicherung sind Hotels, Restaurants, Cafés u. a., da diese ihren Gästen nur einen kurzweiligen Zugang zu Internet und / oder Telefon ermöglichen. Ebenfalls aus dem Raster fallen unternehmensinterne Netze, da diese – z.B. im Gegensatz zu Anbietern eines öffentlichen WLANs – nicht öffentlich zugänglich sind.

Auf Vorrat speichern müssen somit nur Anbieter, die ihren Kunden einen Telefon- bzw. Internet-Anschluss zur zeitlich unbestimmten und selbstständigen Nutzung bereitstellen.

Die wichtigsten Regelungen zur Vorratsdatenspeicherung

Was muss gespeichert werden?

Zwei Datenkategorien sind von der Vorratsdatenspeicherung betroffen: Verbindungsdaten und Standortdaten.

Zu den Verbindungsdaten zählen unter anderem die Rufnummer des Anrufenden und des angerufenen Anschlusses, das Datum und die Urzeit von Beginn und Ende der Verbindung sowie Angaben zum genutzten Telekommunikationsdienst. Darüber hinaus müssen im Falle von Mobilfunkkommunikation die internationalen Kennungen der an der Kommunikation beteiligten Geräte bzw. Anschlüsse gespeichert werden. Handelt es sich um einen Prepaid-Dienst, muss zudem das Aktivierungsdatum dokumentiert werden. Wird Internet-Telefonie wie zum Beispiel Skype genutzt, müssen ferner die IP-Adressen und die Benutzerkennungen der Gesprächspartner gespeichert werden.

Die gleichen Regelungen gelten für den SMS- bzw. MMS-Versand, wobei hier der Versand- und der Empfangszeitpunkt vorzuhalten sind. Wird ein Internetdienst genutzt (z. B. ein öffentliches WLAN), muss der Anbieter die IP-Adresse, die Anschluss- und Benutzerkennungen sowie Datum und Uhrzeit von Beginn und Ende der Internetnutzung speichern. Von der Vorratsdatenspeicherung ausgenommen sind – im Gegensatz zur früheren Gesetzesversion von 2007 – Daten zur E-Mailkommunikation.

Neben den Verbindungsdaten verlangt das Gesetz das Speichern von Standortdaten, wenn ein mobiler Telefondienst oder ein öffentlich zugänglicher Internetzugangsdienst genutzt werden. Hier müssen die Funkzellen des Anrufers und des Angerufenen bzw. des Internetnutzers bei Beginn der Verbindung gespeichert werden. Hinzu kommen Angaben über die die Funkzelle versorgenden Funkantennen.

Nicht gespeichert werden dürfen Daten von Berufsgeheimnisträgern (z. B. Ärzte und Rechtsanwälte) oder aber von Stellen, die bei Kommunikationspartnern entsprechende Vertraulichkeitserwartungen begründen (z. B. aus dem kirchlichen oder sozialen Bereich). Derzeit ist jedoch weitgehend unklar, wie diese negative Pflicht, eine solche Speicherung zu unterlassen, praktisch realisiert werden kann.

Wann und wie lange muss gespeichert werden?

Im Gegensatz zu bereits bestehenden Regelungen fordert das neue Gesetz keine anlassbezogene sondern eine anlassfreie Speicherung von Daten. Die Speicherungspflicht setzt also keine behördliche Anordnung voraus, sondern muss qua Gesetz umgesetzt werden. Wichtig ist, dass die Speicherfristen eingehalten werden: Verbindungsdaten müssen zehn Wochen, Standortdaten vier Wochen lang gespeichert werden.

Die gespeicherten Daten müssen unverzüglich, spätestens jedoch binnen einer Woche nach Ablauf der jeweiligen Frist irreversibel gelöscht werden.

Wie muss das Speichern erfolgen?

Der starke Grundrechtseingriff der Vorratsdatenspeicherung erfordert besondere Sicherheitsmaßnahmen. Hierzu zählt der Einsatz besonders sicherer Verschlüsselungstechniken, die Verwendung gesonderter Speicher, ein hoher Schutz vor dem Internetzugriff auf vom Internet entkoppelte Datenverarbeitungssysteme, die Beschränkung des Zutritts zu den Datenverarbeitungsanlagen auf besonders ermächtigte Personen und die Mitwirkung von mindestens zwei Personen beim Datenzugriff.

Die Sicherheitsanforderungen müssen dem Gesetz zufolge stets dem Stand der Technik entsprechen, weshalb einmal umgesetzte Maßnahmen regelmäßig überprüft und ggf. einem neuen Standard angepasst werden müssen. Der erste Anforderungsstandard muss von der Bundesnetzagentur bis zum 1. Januar 2017 erstellt worden sein.

Keine gesonderten Sicherheitsbestimmungen gelten dagegen für die Behörden, die die Daten anfordern.

Wer trägt die Kosten der Speicherung?

Grundsätzlich müssen die speicherverpflichteten Unternehmen die Kosten tragen, die die Umsetzung der neuen Regelungen in die unternehmerische Praxis zur Folge hat. Kostenintensiv dürfte in erster die Linie das Schaffen einer ausreichenden Sicherheitsinfrastruktur sein. Da die Sicherheitsmaßnahmen stets dem Stand der Technik gemäß aktuell gehalten werden müssen, ist hier auch mit dauerhaften Kosten zu rechnen.

Nur für den Fall, dass die Umsetzung für das verpflichtete Unternehmen eine „unbillige Härte“ beinhaltet, ist eine angemessene Entschädigung auf Basis eines Beschlusses der Bundesnetzagentur möglich.

Weitere Kosten können auch aus der Überprüfung durch eine unabhängige Stelle oder nationale Behörde folgen.

Den Aufwand der Bereitstellung der Daten gegenüber den anfragenden Behörden kann sich das Unternehmen dagegen erstatten lassen. Im Justizvergütungs- und -Entschädigungsgesetz (JVEG) wurden hierzu verschiedene Pauschalen in Höhe von acht bis 1.120 Euro festgelegt. Diese Kosten trägt somit der Steuerzahler.

An wen dürfen die Daten übermittelt werden?

Das Gesetz zur Vorratsdatenspeicherung erlaubt zunächst Übermittlungen an Strafverfolgungs- und Gefahrenabwehrbehörden der Länder. Wenn diese die Herausgabe von Vorratsdaten verlangen, muss das verpflichtete Unternehmen diese Daten – mit Ausnahme von Daten zu Berufsgeheimnisträgern – herausgeben. Einer richterlichen Anordnung bedarf es nicht. Die Behörden müssen lediglich auf eine gesetzliche Bestimmung verweisen, die ihnen die Datenübermittlung gestattet. Somit muss das verpflichtete Unternehmen nur prüfen (lassen), ob die genannte Vorschrift tatsächlich eine Datenübermittlung rechtfertigt.

Auch an Verfassungsschutzbehörden des Bundes und der Länder, an den Militärischen Abschirmdienst und an den Bundesnachrichtendienst müssen unter bestimmten rechtlichen Voraussetzungen Daten übermittelt werden. Hier gilt allerdings der Richtervorbehalt. Die Anfrage muss in diesem Fall zudem grundsätzlich in Textform erfolgen. Sämtliche Zugriffe auf die Daten müssen protokolliert werden; die Protokolle sind ein Jahr lang aufzubewahren.

Welche sonstigen Pflichten bestehen gegenüber Behörden?

Die besonderen Sicherheitsmaßnahmen müssen im allgemeinen Sicherheitskonzept des verpflichteten Unternehmens dokumentiert werden. Daneben sind die Systeme, mit denen die Vorratsdatenspeicherung betrieben wird, zu benennen. Aus der Beschreibung muss auch deutlich werden, welche Gefahren von den Systemen ausgehen und inwieweit die getroffenen Maßnahmen den Gefahren gerecht werden. Das Konzept muss der Bundesnetzagentur unverzüglich nach Beginn der Vorratsdatenspeicherung und unverzüglich bei jeder Änderung des Konzepts vorgelegt werden. Erfolgen keine Änderungen am Konzept, muss dies der Bundesnetzagentur alle zwei Jahre schriftlich erklärt werden.

Die Bundesnetzagentur kann zudem eine Überprüfung der im Unternehmen getroffenen Sicherheitsmaßnahmen durch eine qualifizierte unabhängige Stelle oder eine zuständige nationale Behörde anordnen. Im Anschluss muss das verpflichtete Unternehmen eine Kopie des Überprüfungsberichts an die Bundesnetzagentur übermitteln.

Wo ist die Vorratsdatenspeicherung gesetzlich geregelt?

Das Gesetz zur Vorratsdatenspeicherung ist ein sogenanntes Änderungsgesetz: Es verlangt Anpassungen bereits bestehender Gesetze. Die wichtigsten angepassten Gesetze sind die Strafprozessordnung (geänderte Normen: § 100g, § 101a und § 101b) und das Telekommunikationsgesetz (§§ 113a-113g). Darüber hinaus wurden Änderungen im Einführungsgesetz zur Strafprozessänderung, im Justizvergütungs- und Entschädigungsgesetz und im Strafgesetzbuch (hier: Einführung einer Regelung zur Datenhehlerei) vorgenommen.

Insbesondere die Änderungen in der Strafprozessordnung und im Telekommunikationsgesetz stehen im Konflikt mit Artikel 10 Grundgesetz, der das Fernmeldegeheimnis schützt. Die Oppositionsparteien im Deutschen Bundestag und die FDP haben daher bereits Klage vor dem Bundesverfassungsgericht angekündigt.

(Klicken Sie auf die jeweilige Fragestellung für mehr Informationen)

Fazit: Vorratsdatenspeicherung erfordert strategisches Vorgehen

Die neuen Regelungen zur Vorratsdatenspeicherung stehen im Spannungsfeld zwischen gewünschter effektiver Strafverfolgung und Datenschutz. Eine rechtskonforme Speicherung setzt voraus, dass die Daten ausreichend sicher gespeichert und nur an berechtigte Stellen herausgegeben werden. Die speicherpflichtigen Unternehmen sollten frühzeitig eine kostenschonende und nachhaltige Strategie für die Umsetzung der Vorratsdatenspeicherung entwickeln bzw. entwickeln lassen. Diese Strategie sollte auch ein eventuelles Scheitern der Speicherpflicht vor dem Bundesverfassungsgericht berücksichtigen.

Bitte bewerten Sie diese Inhalte!
[8 Bewertung(en)/ratings]
2 Kommentare
  1. Stephan Kopp
    Stephan Kopp sagte:

    Die Informationen zur Vorratsdatenspeicherung sind zu allgemein und ungenau. Verfassungsschutzbehörden werden nur im Rahmen ihrer gesetzlichen Befugnisse berechtigt, Daten abzurufen. Das ist nicht gleichzusetzen mit Verfolgungsbehörden.

    Antworten

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.