EU-Vorratsdatenspeicherung gekippt, aber bisher hat sich kaum etwas verändert

Die Vorratsdatenspeicherungsrichtlinie der EU ist durch das Urteil des Europäischen Gerichtshofes gekippt. Heißt das, alles wird besser, der Kampf ist gewonnen? Kaum, denn genau genommen hat sich bisher beinahe nichts verändert.

Dass Provider nicht gesetzlich verpflichtet sind, Kommunikationsdaten zu speichern, bedeutet noch lange nicht, dass sie das nicht trotzdem tun. Und das sogar ganz rechtmäßig, denn nach dem Urteil des Bundesverfassungsgerichts von 2012, das die deutsche Ausgestaltung der Vorratsdatenspeicherung für verfassungswidrig erklärte, gaben der Bundesdatenschutzbeauftragte und die Bundesnetzagentur Ende 2012 einen Leitfaden heraus. Dieser sollte Empfehlungen geben, welche Speicherfristen in Einklang mit §96 – 100 TKG zur Erfüllung der Provideraufgaben wie Störungsbeseitigung, Rechnungstellung und Missbrauchserkennung angemessen seien.

Die empfohlenen Speicherfristen standen bereits zu jener Zeit in der Kritik, denn sie waren stellenweise sehr großzügig. Und wenn – wie vorgesehen – bei Strafermittlungen trotzdem von Polizeibehörden und Co. auf die erhobenen Daten zurückgegriffen werden kann, ist es mitnichten relevant, ob Rufnummern zweier Gesprächsteilnehmer jetzt im Rahmen einer Vorratsdatenspeicherung oder im Rahmen legitimierter Geschäftsprozesse bei Zeittarifen für 90 Tage gespeichert werden.

Aber da der Leitfaden nur Orientierungswerte und keine verpflichtenden Grenzen bietet, sieht die tatsächliche Speicherpraxis von Provider zu Provider unterschiedlich aus, worüber wir bereits 2012 berichtet hatten. Die eigentlichen Höchstgrenzen werden durch das Telekommunikationsgesetz gestellt und liegen fast durchweg höher als die des Leitfadens. Wir wollten wissen,welche Fristen aktuell bei den Providern in Kraft sind und wie man mittlerweile mit der Datenspeicherung umgeht.

Telefónica, der zweitgrößte Telekommunikationsanbieter Deutschlands, der auch hinter Marken wie O2, Fonic, steht und die Übernahme von E-Plus plant, gab auf unsere Nachfrage hin an, sich am angesprochenen Leitfaden zu orientieren und je nach Verbindungsart zwischen 7 und 90 Tagen zu speichern. Ganz stimmen kann das aber nicht. Liest man auf der firmeneigenen Datenschutzseite nach, findet man etwas andere Angaben:

Die für die Abrechnung benötigten Daten löschen wir spätestens sechs Monate nach Versendung der Rechnung.

Mag sein, dass die „Orientierung“ hier sehr großzügig ausgelegt wird, denn auch von der im Leitfaden ausgesprochenen Empfehlung, Verbindungsdaten bei Flatrate-Tarifen für die Rechnungsermittlung sofort zu löschen, ist keine Rede. Die Untergrenze bei der Speicherdauer sind 7 Tage, nur die Cell-ID bei Mobilfunktarifen ohne Standortberücksichtigung werde sofort gelöscht.

Auch bei Kabel Deutschland beruft man sich auf die Empfehlungen von BfDI und BNetzA, die Interpretation sieht jedoch anders aus als bei Telefónica: Internetverkehrsdaten würden „für 48 Stunden nach dem Ende der jeweiligen Internetaktivität und ausschließlich zur Störungsbeseitigung gespeichert“, bei Telefonverbindungen gelte selbiges, soweit eine Flatrate vorliegt. Wenn nicht gebe es, wie auch bei Vodafone,  eine Höchstspeicherfrist zu Abrechnungszwecken von sechs Monaten. Der Kunde könne sich jedoch auch dazu entscheiden, dass die Verkehrsdaten direkt bei Rechnungsversand gelöscht würden. Dann sei es jedoch auch nicht mehr möglich, Einspruch gegen die Rechnung zu erheben.

Die Telekom hat ihre Speicherfristen im Vergleich zu 2012 deutlich gekürzt und den Empfehlungen angepasst. Rufnummern von den Kommunikationsteilnehmern, Dauer, IMSI und eventuell Cell-ID werden 80 Tage zu Abrechnungszwecken gespeichert, insofern ein entgeltpflichtiger Tarif vorliegt, 2012 waren das noch 180 Tage gewesen. Bei Flatrates würden Daten direkt nach Ermittlung der Abrechnungsrelevanz gelöscht. In der Regel sofort, im Maximalfall jedoch nach fünf Tagen. Bei Daten zur Abrechnung mit anderen Diensten überschreitet die Telekom jedoch die Empfehlung und speichert weiterhin bis zu sechs Monaten. Diese „Interconnection“-Services treten immer dann auf, wenn Verbindungen mit anderen Netzen aufgebaut werden, also dementsprechend durchaus in nicht unbeträchtlicher Häufigkeit. Man gibt jedoch auch an, die Verträge mit den Verbindungspartnern zu überprüfen, um zu ermitteln, ob die Fristen verkürzt werden können.

EWE, ein Telko mit Verbreitung in Norddeutschland und Brandenburg hält es ähnlich, sechsmonatige Speicherung aus Abrechnungsgründen, jedoch angenehmerweise sofortige Löschung bei Flatrates, gleiches gilt für Unity Media und Telecolumbus. 1&1 hält bei diesen die Daten die maximal erlaubten sieben Tage vor, bei anderen Tarifen speichere  man bis maximal drei Monate nach Rechnungsstellung.

Zufriedenstellend ist das gesamt gesehen alles nicht. Vor allem da die Speicherfristen durch die Umsetzungsempfehlung selbst noch viel zu weit gefasst sind. Denn welcher Provider braucht drei Monate, um festzustellen, ob es zu einer Störung oder Missbrauch gekommen ist? Für den Fall, dass ein solcher Verdacht vorliegt, dürfen die Daten sowieso über die Fristen hinaus gespeichert werden, bis das Problem beseitigt ist. Es gibt also keinen Grund, eine Blankoberechtigung zu erteilen, die letztlich nur den Strafverfolgern nutzt, die durch die Hintertür doch an ihre ach so notwendigen Daten zur Verbrechensbekämpfung kommen. Es wäre also daran, den Leitfaden zu überarbeiten. Eine Möglichkeit für unsere Bundesdatenschutzbeauftragte, sich wirklich für den Datenschutz einzusetzen, wo sie doch in einer Pressemitteilung das EuGH-Urteil ausdrücklich begrüßte.

Wie traurig es ausgehen kann, wenn Provider mit gutem Beispiel vorangehen wollen und das Speichern in Eigeninitiative beenden, zeigt der schwedische Fall von Tele2. Nach der Aufhebung der EU-Vorratsdatenspeicherungsrichtlinie hatten die schwedischen ISPs Tele2, Telia, Three und Bahnhof, denen sich immer mehr Anbieter anschlossen, umgehend die Speicherung von Kommunikationsdaten gestoppt und zum Teil zuvor erhobene Daten gelöscht. Jon Karlung, der Vorsitzende von Bahnhof, sagte gegenüber ZDNet:

I strongly suggest other providers to follow our example. And I also advise European consumers to ask their providers how they act in this matter — put pressure on your service provider.

Nachdem die Telekommunikationsbehörde PTS zunächst angekündigt hatte, die Provider gewähren zu lassen, werden sie für diese Haltung durch die Polizei kritisiert, die das Verhalten der Provider als unrechtmäßig bezeichnet und sie verklagen will, solange nicht entschieden ist, ob das EuGH-Urteil auch die schwedische Interpretation der Vorratsdatenspeicherung betrifft.

Vor dem Problem der nationalen Umsetzung steht man übrigens nicht nur in Schweden, auch in den anderen Ländern der EU sind die faktischen Auswirkungen des Urteils bislang nicht spürbar, da eine Aufhebung der EU-Richtlinie noch keine Pauschalannulierung nationaler Gesetze darstellt. In Österreich prüft derzeit der Verfassungsgerichthof bis zum Herbst die Rechtmäßigkeit der österreichischen Richtlinie und in Ungarn will die Hungarian Civil Liberties Union ein Verfahren mit dem gleichen Zweck erwirken. Die Regierung der Niederlande kündigte an, innerhalb der nächsten zwei Monaten über das weitere Vorgehen entscheiden zu wollen, unterdessen bleibt auch dort die alte Datensammelei in Kraft. Auch in Frankreich und Großbritannien prüft man „sorgfältig“, ob nationale Gesetze überdacht werden müssten.

Da liegt das Kernproblem: Wenn der Wille derjenigen, die an der weiteren anlasslosen Datenspeicherung interessiert sind, vorhanden ist – und das ist er zweifelsohne -, nützen alle Urteile nichts. Und man wird alles tun, um die Lücke zu finden, die gelassen wurde, egal ob mit oder ohne Vorsatz. Während die EU-Kommission bis zur Wahl warten will, bis man entscheidet, ob es eine neue Richtlinie geben soll, verstummen in Deutschland die Stimmen nicht, die eine möglichst schnelle Neuregelung wollen. Zuletzt hatte das LKA Bayern sich entsetzt gegeben, deren Präsident verkündete pathetisch, Vorratsdaten seien der „Zement zwischen den einzelnen Mosaiksteinchen der Ermittlungen“.

Und falls es doch nicht klappen sollte mit der Wiedereinführung: Es bleiben ja immer noch die Geheimdienste.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Eine Ergänzung

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.