„Behörden-Telefonbuch“

Bundesverfassungsgericht kippt Regelungen zur Bestandsdatenauskunft

Seit 2013 haben Bürgerrechtler:innen auf das Urteil gewartet, jetzt hat Karlsruhe entschieden: Der Gesetzgeber muss klarer definieren, welche Behörde bei welchen Anlässen welche Daten abfragen darf und wie die Daten dann genutzt werden dürfen. Die Kläger:innen werten das Urteil als Erfolg, hätten sich aber mehr gewünscht.

Kartons mit Aktenordnern, in denen die Unterschriften aller Kläger gesammelt sind.
Rund 6000 Bürger:innen schlossen sich der Klage gegen die Bestandsdatenauskunft an. CC-BY 2.0 Piratenpartei Deutschland

Der manuelle Abruf und die Übermittlung von Bestandsdaten müssen gesetzlich neu geregelt werden. Das Bundesverfassungsgericht in Karlsruhe erklärte §113 des Telekommunikationsgesetzes (TKG) am Freitagmorgen für verwassungswidrig. Auch mehrere Fachgesetze des Bundes, die den Abruf der Daten durch die verschiedenen Behörden festlegen, sind nicht mit dem Grundgesetz vereinbar. Die Karlsruher Richter:innen sehen das Recht auf informationelle Selbstbestimmung und Wahrung des Telekommunikationsgeheimnisses verletzt.

Die Bürgerrechtlerin und Autorin Katharina Nocun und Patrick Breyer, Europaabgeordneter der Piraten-Partei, veranlassten die Klage 2013. Rund 6.000 Bürger:innen schlossen sich ihnen vor dem Bundesverfassungsgericht an.

Zu den Bestandsdaten zählen alle Daten, die Kund:innen ihren Telefon- und Internetprovidern im Zusammenhang mit den Verträgen übermitteln. Nach §111 TKG sind das beispielsweise Rufnummern und andere Anschlusskennungen oder Namen, Anschriften und Geburtsdaten.

Bestandsdaten: einen Grund für jede Abfrage

Auskünfte über diese Daten sind nicht grundsätzlich verfassungswidrig. Die gesetzlichen Regelungen genügen aber im Augenblick nicht den verfassungsrechtlichen Anforderungen. Das betrifft insbesondere die Verwendungszwecke der Daten. Diese seien nicht ausreichend eingegrenzt, so das Urteil aus Karlsruhe. Es müsse klar geregelt werden, welche Behörde bei welchen Anlässen welche Daten abfragen dürfte und wie die Daten dann genutzt würden. In der Urteilsbegründung heißt es:

Unzulässig ist es […], unabhängig von solchen Zweckbestimmungen einen Datenvorrat zu schaffen, dessen Nutzung je nach Bedarf und politischem Ermessen der späteren Entscheidung verschiedener staatlicher Instanzen überlassen bleibt. […]

Vielmehr bedarf es begrenzender Eingriffsschwellen, die sicherstellen, dass Auskünfte nur bei einem auf tatsächliche Anhaltspunkte gestützten Eingriffsanlass eingeholt werden können. Unzulässig ist die Schaffung eines offenen Datenvorrats für vielfältige und ohne äußeren Eingriffsanlass begrenzte Verwendungen im gesamten einer Behörde zugewiesenen Aufgabenbereich.

Das Gericht betonte auch, dass es für jede manuelle Abfrage im Einzelfall einen guten Grund geben muss. Daten flächendeckend abzugreifen und das mit den grundsätzlichen Aufgaben der Behörden bei Strafverfolgung und Gefahrenabwehr zu begründen, darf nicht erlaubt sein. Für jede Abfrage muss die Behörde eine konkrete Gefahr oder – für die Strafverfolgung – einen Anfangsverdacht haben. Außerdem sei es wichtig, sowohl die Übermittlung der Bestandsdaten als auch das Abfragen getrennt voneinander zu regeln.

Dynamische IP-Adressen und Richtervorbehalt

Zu manuellen Abfragen nach §113 sind derzeit alle Stellen berechtigt, die für die „Verfolgung von Straftaten und Ordnungswidrigkeiten“ oder die „Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung“ zuständig sind. Das sind beispielsweise das Bundeskriminalamt, die Bundespolizei und die Zollbehörden. Auch die Verfassungsschutzbehörden des Bundes und der Länder, der Militärische Abschirmdienst und der Bundesnachrichtendienst können die Bestandsdaten abfragen. An diesen Zuständigkeiten rüttelt das Bundesverfassungsgericht nicht, erklärt aber dennoch die jeweiligen Regelungen für die einzelnen Behörden in großen Teilen für verfassungswidrig, da diese den im Urteil formulierten Anforderungen nicht entsprechen.

Besonderen Augenmerk legte das Urteil auf die Abfrage dynamischer IP-Adressen. Diese lassen noch mehr Rückschlüsse auf die Person zu, so die Urteilsbegründung:

Die Begründung behördlicher Auskunftsansprüche zur Identifizierung dynamischer IP-Adressen hat aufgrund der Aussagekraft und der Verwendungsmöglichkeiten der zu beauskunftenden Bestandsdaten ein erhebliches Gewicht. Der Gesetzgeber wirkt damit auf die Kommunikationsbedingungen im Internet ein und begrenzt den Umfang ihrer Anonymität. Auf Grundlage der Zuordnung dynamischer IP-Adressen kann in Verbindung mit der anlasslosen und systematischen Speicherung von Internetzugangsdaten nach § 113b Abs. 3 TKG in weitem Umfang die Identität derjenigen ermittelt werden, die das Internet nutzen.

Um den erweiterten Möglichkeiten gerecht zu werden, die die Abfrage dynamischer IP-Adressen bereitstellt, fordert das Gericht hier, dass ein Rechtsgut beeinträchtigt sein muss, dem „von der Rechtsordnung auch sonst ein hervorgehobenes Gewicht beigemessen wird.“ Das könne auch „besonders gewichtige Ordnungswidrigkeiten“ einschließen. Welche Rechtsgüter bzw. Ordnungswidrigkeiten es rechtfertigen, die dynamischen IP-Adressen abzufragen, müsse der Gesetzgeber in der neuen Regelung festlegen. Außerdem müsse die Entscheidungsgrundlage einer solchen Abfrage dokumentiert werden.

Kritiker:innen der Bestandsdatenauskunft beklagen auch immer wieder den fehlenden Richtervorbehalt. Hier sieht das Bundesverfassungsgericht aber keinen Handlungsbedarf, weder bei allgemeinen Bestandsdaten als auch bei dynamischen IP-Adressen. Einzig die Erhebung von Zugangsdaten müsse richterlich genehmigt sein; dies sei ohnehin sichergestellt, da es ohnehin nur mit richterlicher Genehmigung erlaubt ist, diese Zugangsdaten wie PINs oder Passwörter zu nutzen. Für die Erhebung brauche es als keine gesonderte Genehmigung.

Erfolg für Bürgerrechtler:innen

Die Kläger:innen werten das Urteil als Erfolg für Datenschutz und Privatsphäre.

Gegenüber netzpolitik.org sagte Nocun, dass sie und Breyer sich an einigen Stellen mehr gewünscht hätten, „etwa einen generellen Richtervorbehalt bei der Identifizierung von Internetnutzern anhand der IP-Adresse. […] Gerade vor dem Hintergrund wiederkehrender Datenmissbrauchskandale bei Polizei und Geheimdiensten braucht es strengere Vorgaben für die Identifizierung von Internetnutzern.“ Es brauche auf der politischen Ebene ein stärkeres Bewusstsein dafür, wie tiefgreifend der Eingriff in die Privatsphäre der Bürgerinnen und Bürger durch derartige Befugnisse sei, so die Bürgerrechtlerin. Der Gesetzgeber dürfe nicht immer den maximalen rechtlichen Spielraum ausnutzen.

Nocun betont in einem Tweet, dass man jetzt genau beobachten müsse, wie der Gesetzgeber das Urteil umsetze. Selbst wenn das Gesetz dann rechtlich nicht mehr angreifbar sei, müsse in der Zivilgesellschaft weiter diskutiert werden, ob es auch politisch angemessen sei.

Auch Patrick Breyer erklärt gegenüber netzpolitik.org, dass er und seine Mitstreiter:innen Bundesinnenminister Seehofer und Bundesjustizministerin Lambrecht bei der Neuregelung genau auf die Finger schauen würden.

Ich erwarte, dass die lange Umsetzungszeit dazu genutzt wird, um auch den völlig unverhältnismäßig weitreichenden Zugriff auf Bestands- und Nutzungsdaten von Internetdiensten einzudämmen, der mit dem neuen Gesetz zur „Hasskriminalität“ eingeführt worden ist.

Im Zweifelsfall würde er auch ein weiteres Mal nach Karlsruhe ziehen.

Keine Zahlen zu manueller Abfrage

Die Klage bezog sich ausschließlich auf die manuelle Abfrage von Bestandsdaten. Neben dieser direkten Abstimmung zwischen Behörden und Providern gibt es auch noch die automatisierte Abfrage über eine Schnittstelle der Bundesnetzagentur nach §112 TKG. Über diese Schnittstelle wurden 2019 insgesamt 16 Millionen Abfragen getätigt. An mehreren Tagen seien über 100.000 Ersuchen beantwortet worden. Hier muss noch nach der Richtung der Abfrage unterschieden werden. Ein Großteil der Anfragen sucht den Inhaber einer Telefonnummer, nur etwa 300.000 der Abfragen suchten die Telefonnummer einer bestimmten Person. Für die manuellen Abfragen, über die auch IP-Adressen weitergegeben werden können, gibt es keine zentrale Statistik. Aus einer Anfrage der Bundestagsabgeordneten Martina Renner (Die Linke) geht nur für den Verfassungsschutz eine Zahl hervor: 2018 habe das Bundesamt die Bestandsdaten für 2.915 IP-Adressen und 1.026 E-Mail-Adressen abgefragt.

Im März 2013 hatte der Bundestag die Änderung des Telekommunikationsgesetzes mit den Stimmen der schwarz-gelben Koalition und der SPD beschlossen. Die Änderung war nötig, weil das Bundesverfassungsgericht 2012 die alten Regelungen aus dem Jahr 2004 teilweise für unvereinbar mit dem Grundgesetz erklärte. Am 1. Juli 2013 trat das neue Gesetz in Kraft. Das Gericht erwähnt in der aktuellen Urteilsbegründung explizit, dass die Änderungen, die der Gesetzgeber 2013 beschlossen hatte, den Anforderungen der Urteils von 2012 nicht entsprachen. Bis zum 31. Dezember 2021 bleibt dem Bundestag nun Zeit, einen neuen Gesetzesentwurf zu beschließen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

14 Ergänzungen
  1. Konservative CDU/„C“SU-geführte Regierungen verstoßen bewußt seit Jahren in verfassungsfeindlicher Weise gegen das informationelle Selbstbestimmungsrecht der Bürger, stellen ein angebliches, aber nicht existierendes Grundrecht auf Sicherheit über die grundgesetzlich verbrieften Bürgerfreiheitsrechte!
    Diese Demokratiefeinde endlich abwählen!

  2. Auch wenn das aus dem Kontext des Artikels heraus zu lesen ist, sollte man sich die Fakten nochmal vor Augen halten:

    Die Gesetze, die unserem Grundgesetz NICHT entsprechen, werden 2021 dann 17 (in Worten „siebzehn“!) Jahre lang unsere digitale Lebensrealität gewesen sein.

    Und wenn wir Pech haben, dann werden die verantwortlichen PolitikerInnen (sofern sie der gleichen Ideologie wie bisher anhängen) bis 2021 mit gleicher Chuzpe wieder ein genau so illegales Fortsetzungs-Gesetz schaffen. Dann stünden uns die nächsten 7 Jahre illegale Rechts-Realität bevor – bevor sich das Spiel erneut wiederholt ..

    Kratzt das nicht ganz erheblich am Vertrauen in unseren Rechtsstaat, wenn die Politik auf so dreiste Weise – durch Vorspiegelung von Inkompetenz beim Umgang mit unserem Grundgesetz – eben dieses so nachhaltig aushebeln kann?

    Mein Gefühl sagt mir, dass wir alle Freiheits-Beschneidungs-Gesetze seit 11.9.2001 am Stück beim BVerfG mit der Bitte um Prüfung vorlegen sollten, ob man sie nicht pauschal „um je 50-75% kürzen“ kann. Unserer Freiheit zu Liebe ..

    1. Ich weise seit Jahren darauf hin, dass die Union (und auch die SPD) diese verfassungswidrige Gesetzgebung immer weiter zementieren wollen, und das auch mit brachialen Mitteln wie zuletzt der Ernennung des aktiven CDU-Bundestagsabgeordneten (!) und vehementer Befürworters der anlasslosen Vorratsdatenspeicherung Herrn Harbarth. Anstatt Gesetze zu erlassen die mit dem Grundgesetz in Einklang stehen hat man also damit begonnen das Bundesverfassungsgericht so „umzubauen“, dass in Zukunft die Urteile wie gewünscht ausfallen (Polen lässt hier grüßen).

    2. Deshalb werden die Richter am Bundesverfassungsgericht ja nach und nach auch „passender“ ausgewählt. Der neue Präsident gilt z.B. als Befürworter der Vorratsdatenspeicherung.

    3. Oder, wie es die ZEIT beschreibt:

      Es hat beinahe etwas von einem Ritual: Bundesregierung und Bundestag beschließen ein neues Gesetz oder novellieren ein altes, um den Sicherheitsbehörden den Zugriff auf Daten der Bevölkerung zu erleichtern, nur um es später vom Bundesverfassungsgericht mehr oder weniger kräftig um die Ohren gehauen zu bekommen.

      Rasterfahndung, Vorratsdatenspeicherung, Antiterrordateigesetz,BKA-Gesetz, BND-Gesetz und jetzt [hier Name des jeweils für verfassungswidrig erklärten Gesetzes oder Abschnitts einfügen] die Bestandsdatenauskunft: Es wirkt, als sei die Legislative in Deutschland schlicht unfähig, ein verfassungsgemäßes „Sicherheitsgesetz“ zu entwerfen und den Schutz der Bürgerinnen und Bürger vor künftigen Regierungen gleichberechtigt mitzudenken. [Nach AfD-Wahlsieg hier ggf. anpassen.]

      Wahrscheinlich ist sie aber eher unwillig.

  3. Warum müssen Max Schrems beim EUGH und unsere Bürgerrechtler in Karlsruhe wieder und wieder vorsprechen? Warum beschließen Politiker, die bisherigen Urteile kennend, immer wieder Verfassungs-widrige Gesetze? Warum führt gestern Hr. Zamperoni in den Tagesthemen mit Max Schrems ein Interview, das den Eindruck hinterlässt, er (Hr. Zamperoni) versteht gar nicht, wozu man den Schutz vor anlassloser unkontrollierter Massenüberwachung denn überhaupt benötigt? Selbst mein wirklich wundervoller Berliner Radiosender, der sonst erstklassig informiert, stellt heute Interviewfragen an Patrick Breyer, als wäre nicht völlig klar, dass es hier um die Verteidigung unserer Grundrechte geht, ohne die wir eben Informations-FREIHEIT und unseren RECHTsweg gegen staatlichen Machtmissbrauch verlieren: verstehen wirklich bei uns auch (so wie die 51% in Polen) so viele nicht, wie ein Leben ohne Grundrechte aussieht? Reicht der Blick nach China, nach Russland, in die Türkei, nach Polen / Ungarn und – wenn man das mitbekommen hat, was Alan Rusbridger, Sarah Harrison, David Miranda und jetzt gerade Julian Assange in GB erlebt haben, auch der Blick zu unseren britischen Nachbarn, nicht aus, um als allererstes für die verlässliche Gültigkeit unserer Verfassungsrechte verteidigend aufzustrehen? Waren die Untersuchungsausschuss-Ergebnisse bei uns ( NSU, NSA ) nicht deutlich genug darin, dass der Staat, der in „unserem Namen handelt“ transparent, nachvollziehbar, fair, aufrichtig! => korrigierbar ! sein muss, dass er eben nie im Geheimen Verbrechen unterstützen darf?
    Ich kapiere die Vielen-mit-der-Gleichgültigkeit-gegenüber-unseren-Grundrechten wirklich nicht.

    Um so tiefer allerdings ist mein Dank für Patrick Breyer, Katharina Nocun, Max Schrems, den phantastischen EUGH ! ,
    und in diesem Kalenderjahr: auch für das Bundesverfassungsgericht in Karlsruhe
    ( – aber Edward Snowden’s Verbannung nach Moskau muss Karlsruhe immer noch korrigieren).

  4. 16 Millionen Abfragen pro Jahr, d.h. knapp 44000 Abfragen pro Tag, an manchen Tagen sogar 100000! Pro Tag! – Ich frage mich: WER bearbeitet diese Einzelauskünfte bei den Behörden? Also konkret, welche Personen? Da gibt es doch gar nicht genug Beamten. Auch nach Aufsplittung auf die verschiedenen Dienste und Behörden sind das immer noch sehr viele Vorgänge pro Tag.
    Selbst wenn alle Einzeldaten zunächst automatisiert verarbeitet werden, so muss doch irgendwann ein Mensch darauf kucken und entscheiden, was mit dem Datum passieren soll?

    Wie machen die das?

    1. Das werden viele Beamte wohl einfach genau so wie die Google-Suche nutzen.

      >Selbst wenn alle Einzeldaten zunächst automatisiert verarbeitet werden, so muss doch irgendwann ein Mensch darauf kucken und entscheiden, was mit dem Datum passieren soll?

      Es ist kein Geheimnis mehr, dass die Polizei einerseits immer mehr nach Daten giert, aber andererseits mit der Auswertung überfordert ist.
      Gleiches gilt inzwischen leider auch bei Beschlagnahmungen: bei praktisch jeder Straftat, die irgendwie mit „Internet“ zusammenhängt, und als schwer genug erachtet wird, um eine Hausdurchsuchung zur Beweissicherung zu beantragen (und „schwer genug“ hängt hier sehr von der Auslastung der zuständigen Polizei ab; in ländlichen Gebieten reicht ein „Du Idiot!“ auf Facebook manchmal schon aus!); die Rückgabe erfolgt dann meist ohne dass eine Auswertung vorgenommen wurde – nach 1-2 Jahren. Das liegt daran, dass für die Auswertung idR zentrale Stellen des Bundeslandes zuständig sind, die vollkommen überarbeitet sind, und lieber die _wirklich_schweren_ Fälle erledigen als sich mit Bagatellen aufzuhalten; und das weiß man auch. Trotzdem bleibt das Beschlagnahmte beschlagnahmt, selbst wenn der Freispruch schon von weitem vorhersehbar ist oder bei genauer Prüfung des Falles erhebliche Zweifel an der Täterschaft offensichtlich werden und das gesamte Verfahren nur auf sehr dünne Verdachtsmomente oder Mutmaßungen gestützt ist. Ein Strafrechtsanwalt bei dem ich eine Zeit langassistierte meinte dazu einmal, dass immer mehr eine „Ersatzbestrafung“ durch Eigentumsentzug etabliert wird. Der Wert von Computer, Smartphone, Tablet, Laptop, etc. kann schnell 1000e Euro erreichen, aber man ist bei der Polizei einfach nicht willens die Daten bei leichten Delikten durch Rohkopien zu sichern und die Geräte danach wieder auszuhändigen.

      1. Ich glaube das war bei einem CCC-Vortrag wo ein Anwalt das Zitat eines Polizisten während der Hausdurchsuchung brachte: „Oh, das sieht teuer aus, das nehmen wir dann auch mit.“
        ( und was dann passiert sehen wir ja gerade in Leipzig mit den Fahrrädern)

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.