Dr. Mayeul Hiéramente ist Rechtsanwalt und Fachanwalt für Strafrecht. Er publiziert regelmäßig zu strafprozessualen Themenstellungen und befasst sich seit Jahren mit den rechtsstaatlichen Implikationen der digitalen Beweiserhebung.
Am Mittwoch hat der Deutsche Bundestag in erster Lesung den Gesetzesentwurf mit dem sperrigen Titel „Gesetz zur Anpassung der Regelungen über die Bestandsdatenauskunft an die Vorgaben aus der Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020“ debattiert. Das hektische parlamentarische Treiben ließe vermuten, die Karlsruher Richter hätten zur Eile gemahnt. Weit gefehlt.
Die Große Koalition drängt zur Eile, weil der Bundespräsident verfassungsrechtliche Zweifel am Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität angemeldet hat und die Ausfertigung verweigert. In der Tat berücksichtigt dieses im Juni 2020 verabschiedete Gesetz die mahnenden Worte des Bundesverfassungsgerichts zur Ausgestaltung der Bestandsdatenauskunft nicht.
Dem Gesetz drohte daher das Schicksal so vieler Gesetze, die mit Hinweis auf tatsächliche und vermeintliche Notwendigkeiten eine stete und oft undifferenzierte Ausweitung der Ermittlungsbefugnisse der Sicherheitsbehörden zum Gegenstand hatten – die Verfassungswidrigkeit. Die Koalition hat dringenden Handlungsbedarf ausgemacht und die Idee des Reparaturgesetzes war geboren.
„Klassische“ Bestandsdatenauskunft für Telekommunikation
Doch was verbirgt sich eigentlich hinter dem Begriff Bestandsdatenauskunft? Ein jeder dürfte schon einmal in dieser Situation gewesen sein: Beim Abschluss eines Mobilfunkvertrages, der Bestellung eines neuen Internetanschlusses oder dem Kauf einer SIM-Karte muss man sich ausweisen. Die Personalien werden geprüft und gespeichert.
Dies erfolgt primär zu Abrechnungszwecken. Anbieter von Telekommunikationsdienstleistungen sind hierzu aber auch gesetzlich verpflichtet. Polizei und andere Sicherheitsbehörden wollen nachverfolgen können, wer sich hinter einer Handynummer oder einer IP-Adresse verbirgt.
Ein Teil dieser beim Vertragsschluss erhobenen Daten werden daher in Kundendateien gespeichert und an die Bundesnetzagentur gemeldet. Polizei und Staatsanwaltschaft, Verfassungsschutz und Geheimdienste und andere Sicherheitsbehörden können diese Daten bei der Bundesnetzagentur abfragen (automatisierte Bestandsdatenauskunft) oder beim jeweiligen Anbieter um Übermittlung ersuchen (manuelle Bestandsdatenauskunft).
Dabei dürfen auch die vom Anbieter vergebenen Zugangsdaten abfragt werden. PIN und PUK sind hier die bekanntesten Beispiele. Der Gesetzgeber hat den Sicherheitsbehörden dabei stets viel Freiraum gelassen und einen Zugriff auf Bestandsdaten für strafrechtliche Ermittlungen und Maßnahmen der Gefahrenabwehr großzügig erlaubt.
Die Bestandsdatenauskunft umfasst dabei nicht die Daten, die bei der Nutzung entstehen, wie etwa Verbindungsnachweise. Diese sogenannten Verkehrsdaten sind naturgemäß hochsensibel und dürfen nach der Konzeption des Gesetzes nur bei schwerwiegenderen Straftaten und Gefahren abgefragt werden und auch nur mit Einschränkungen auf Vorrat gespeichert werden.
Mit der Entscheidung vom 27. Mai 2020 hat das Bundesverfassungsgericht klargestellt, dass die Regelungen zur Bestandsdatenauskunft beim Telekommunikationsdiensteanbieter verfassungswidrig sind, weil der besonderen Eingriffstiefe der Maßnahme nicht ausreichend Rechnung getragen wurde. Das neue Gesetz soll diese verfassungsrechtlichen Fehler beheben.
Neue Bestandsdatenauskunft für Telemedien
Ebenfalls reparaturbedürftig ist das Hasskriminalitätsgesetz vom Juni 2020. Mit diesem sollten u.a. Regelungen zur Bestandsdaten- und Nutzungsdatenauskunft für Telemedien neu eingeführt werden. Der Gesetzgeber wollte Sicherheitsbehörden damit auch Zugriff auf die Daten ermöglichen, die z.B. soziale Netzwerke oder Internetplattformen von ihren Kunden erheben.
Über eine neue Bestandsdatenauskunft sollten u.a. Informationen zur Identifizierung des Nutzers sowie Zugangsdaten erhoben werden können. Der Zugriff auf Vertragsdaten soll hierbei kaum Schranken unterliegen.
Nur für eine Abfrage von Zugangsdaten der Nutzer sollte eine Beschränkung erfolgen. Strafverfolgungsbehörden sollten diese nur erhalten dürfen, wenn sie wegen besonders schweren Straftaten ermitteln. Im Bereich der Gefahrenabwehr fordert das Gesetz eine konkrete Gefahr für Leib, Leben oder Freiheit einer Person oder den Bestand des Bundes oder eines Landes.
Daneben sieht das Gesetz auch vor, dass Behörden auf sogenannte Nutzungsdaten zugreifen dürfen. Dabei handelt es sich um das terminologische Pendant zu den bereits erwähnten Verkehrsdaten. Diese beinhalten z.B. etwaige Protokollierung von Zugriffen. Behörden sollen so das Nutzungsverhalten genau analysieren können.
Bei der Ausgestaltung der Regelungen hatte sich der Gesetzgeber allerdings am „bewährten“ Regelungskonzept orientiert und dadurch die vom Bundesverfassungsgericht monierten strukturellen Fehler übernommen. Die Bundesregierung musste nachbessern und die verweigerte Unterschrift des Bundespräsidenten war ein geeigneter Anlass für eine schnelle Reform.
Reparaturen am Reparaturgesetz?
Die Kopplung der beiden Gesetzesvorhaben birgt beträchtliche Risiken. Handwerkliche Fehler und eine unbedachte Ausweitung staatlicher Ermittlungsbefugnisse drohen. Dies zeigt sich exemplarisch an den vorgeschlagenen Vorschriften zum Telemediengesetz, nach denen z.B. soziale Netzwerke zur Kooperation mit den Behörden verpflichtet werden.
Eine der vorgeschlagenen Regelungen offenbart, dass die äußerst akribischen Erläuterungen des Bundesverfassungsgerichts zum sogenannten Doppeltür-Modell wohl nicht auf offene Ohren gestoßen sind. Vereinfacht gesprochen besagt das Doppeltür-Model: Sowohl für die Auskunftserteilung durch die private Institution (1. Tür) als auch für die Abfrage der Daten durch die Behörde (2. Tür) hat der Gesetzgeber die gesetzlichen Voraussetzungen, insbesondere die Eingriffsschwelle, angemessen zu definieren.
Das Parlament muss klarstellen, ob z.B. die Telekom die Daten nur bei schweren Straftaten oder auch bei einem einfachen Rotlichtverstoß bereitstellen muss. Verfassungsrechtlich klar ist auch: „Defizite der ersten Tür können nicht durch eine […] ‚Verstärkung‘ der zweiten Tür kompensiert werden.“
Genau diesen Versuch unternimmt jedoch der Gesetzesentwurf. So soll eine Regelung (§ 15a TMG-E) geschaffen werden, in der in keiner Weise zwischen Bestandsdaten (z.B. Daten zum Vertragsschluss) und Nutzungsdaten (z.B. Informationen, wann und wie häufig ein bestimmter Dienst wie etwa Facebook genutzt wird) differenziert wird. Dies zeigt sich bereits an der Überschrift der Vorschrift: „Auskunftsverfahren bei Bestands- und Nutzungsdaten“.
Anbieter sollen sogar befugt sein, die besonders sensiblen Nutzungsdaten für einfache Ordnungswidrigkeitenverfahren zur Verfügung zu stellen. Zwar sieht das Gesetz für die „2. Tür“ (Abrufbefugnis der Behörden) insoweit durchaus Beschränkungen vor. Dies ist nach den klaren Worten des Bundesverfassungsgerichts allerdings unzureichend.
Die Gesetzesbegründung schweigt sich zu den Motiven aus. Viel deutet daraufhin, dass dies in der Hektik schlichtweg übersehen wurde. Angesichts der besonderen Bedeutung der Materie für einen effektiven Grundrechtsschutz der Bürger, wäre auch ein Versehen nur ein schwacher Trost.
Ebenso verwundert es, dass sich die Begründung des Gesetzes nicht zu den Ausführungen der Wissenschaftlichen Dienste verhält, die bereits frühzeitig Kritik an den Regelungen geäußert hatten. Die Wissenschaftler hatten insbesondere moniert, dass die Regelung zum Zugriff auf Passwörter des Kunden nicht verhältnismäßig ist und die Anforderungen des Bundesverfassungsgerichts unzureichend umsetzt.
Es bleibt zu hoffen, dass das Gesetzgebungsverfahren noch Raum für Korrekturen bietet. Das Reparaturgesetz ist reparaturbedürftig.
Bedenkliche Ausweitung der Bestandsdatenauskunft
Es entbehrt nicht einer gewissen Ironie, dass auch die Entscheidung des Bundesverfassungsgerichts aus Mai 2020 eine Reaktion auf ein misslungenes Reparaturgesetz aus dem Jahr 2013 war. Der Gesetzgeber hatte damals den Regelungsauftrag aus Karlsruhe offenbar gründlich missverstanden. Er scheint nur wenig gelernt zu haben.
Die Regierungskoalition scheint überzeugt zu sein, dass sie sich mit diesem Gesetz auf einem sicheren Pfad befindet und das verfassungsrechtliche Minenfeld hinter sich gelassen hat. Der Schein trügt. Die Entscheidung des Bundesverfassungsgerichts droht vielmehr zum Einfallstor für eine Ausweitung der Ermittlungsbefugnisse im verfassungsrechtlichen Graubereich zu werden.
Die Grundannahme der Koalition ist dabei noch plausibel. Die manuelle Bestandsdatenauskunft stellt, so haben es die Karlsruher Richter ausgeführt, einen vergleichsweise geringfügigen Grundrechtseingriff dar. Die Eingriffstiefe nehme zwar aufgrund der flächendeckenden Zugriffsmöglichkeiten zu, sei aber aufgrund des begrenzten Informationsgehalts nicht besonders sensibel.
Für die „klassische“ Bestandsdatenauskunft beim Telekommunikationsdiensteanbieter mag dies auch zutreffen, ist es doch gar nicht so lange her, dass Bürger freiwillig ihre Nummern im Telefonbuch gelistet haben. Die Veränderung des Nutzungsverhaltens und dem Bedeutungszuwachs mobiler Endgeräte erfordert allerdings auch insoweit eine ständige Neubewertung.
Der Gesetzesentwurf krankt an einem terminologischen Fehlschluss. Es ist ein Irrglaube, man könne Bestandsdaten im Bereich der Telekommunikation mit Bestandsdaten im Bereich der Telemedien einfach gleichsetzen. Es bedarf vielmehr einer separaten Bewertung der Grundrechtsrelevanz dieser Daten für die Freiheitsentfaltung des Bürgers.
Dies hat die Regierungskoalition im Zuge der Debatte zum Hasskriminalität-Gesetz dem Grunde nach auch erkannt. So wurden die Regelungen für den Zugriff auf Passwörter zu sozialen Netzwerken und anderen Telemedien bewusst deutlich restriktiver ausgestaltet als bei der klassischen Telekommunikation. Im gleichen Atemzug hat die Große Koalition allerdings alle sonstigen Regelungen aus dem Telekommunikationsgesetz ohne nennenswerte Differenzierung kopiert.
Diese Gleichbehandlung von Ungleichem wirft verfassungsrechtliche Fragen auf. Das Bundesverfassungsgericht hat sich hierzu noch nicht geäußert. Es ist auch zu bezweifeln, ob Karlsruhe die Bestandsdatenabfrage bei Telemedienanbieter so einfach durchwinken wird.
Die große Bandbreite der verschiedenen Applikationen, Netzwerke und Dienste im Internet erlaubt keine pauschale Feststellung einer geringen Eingriffstiefe. Zudem ist die Nutzung von internetbasierten Diensten, die nicht per se der gesetzlichen Identifizierungspflicht unterliegen, mit einer Erwartung an Anonymität verbunden. Wer hingegen einen Mobilfunkvertrag abschließt, ist sich der Zugriffsmöglichkeit des Staates bewusst.
Die Frage nach der Ausgestaltung der Bestandsdatenauskunft mag nach (rechts-)technischen Feinheiten klingen. Eine solche Reform strahlt jedoch weit über die konkreten Vorschriften hinaus. Es bedarf daher einer gesellschaftlichen, rechtspolitischen und verfassungsrechtlichen Debatte zur Bedeutung der Grundrechte im digitalen Zeitalter und zum richtigen Gleichgewicht zwischen legitimen Sicherheitsinteressen und der Freiheit des Bürgers im Netz. Dies wurde bislang versäumt.
Stückwerk statt Strukturreform
Der lange Titel des Gesetzesentwurfs steht vielmehr sinnbildlich für die Malaise der Gesetzgebung in diesem Bereich. Es kann nicht Anspruch der Legislative sein, nur die verfassungsgerichtlichen Leitlinien in Gesetzesform zu gießen. Die Messlatte sollte nicht das gerade noch verfassungsrechtlich Zulässige, sondern das rechtspolitisch Vernünftige sein.
Dabei sollte der Gesetzgeber nicht die Augen vor den Realitäten verschließen. Während Gesetzgeber und Bundesverfassungsgericht über mehrere Jahre die Konturen der manuellen Bestandsdatenauskunft geformt haben, ist das automatisierte Auskunftsverfahren in der Öffentlichkeit weitgehend in Vergessenheit geraten. Ein Blick auf die Fallzahlen veranschaulicht den enormen Bedeutungszuwachs der automatisierten Bestandsdatenauskunft in der polizeilichen Praxis.
Den Ausführungen der Bundesregierung, die dem Gerichtsurteil zu entnehmen sind, ist die manuelle Auskunft die seltene Ausnahme. Belastbare Zahlen hierfür liegen der Öffentlichkeit soweit ersichtlich jedoch nicht vor.
Der Datenzugriff ist im automatisierten Verfahren zwar etwas limitiert, unterliegt dabei aber nicht den praktischen und rechtlichen Hürden, die das Bundesverfassungsgericht für die manuelle Bestandsdatenauskunft zu Recht wiederholt eingefordert hat. Es ist rechtspolitisch bedauerlich, dass die sinnvollen Beschränkungen der Zugriffsrechte auf diese Weise ausgehöhlt werden. Der Zugriff erfolgt ungehemmt und unkontrolliert.
Dieses Risiko hat das Bundesverfassungsgericht bereits 2012 erkannt, die Regelung trotz der Eingriffstiefe damals jedoch noch für verfassungsgemäß erklärt. Die Entwicklungen haben gezeigt, dass die Befürchtungen berechtigt waren. Es besteht also Handlungsbedarf. Es ist Zeit für eine Strukturreform und nicht für Stückwerk.
„Doch die Regierungsparteien haben wenig gelernt: Auch dieses Gesetz dürfte so in Karlsruhe scheitern.“
Dem würde ich glattweg widersprechen: Die Regierungsparteien – egal welche Farbkonstellation in den Jahrzehnten an der Macht war – haben sich wenig um die i.d.R. immer erst Jahre später juristisch eingefangenen Gesetze geschert. Grad bei Überwachungsgesetzen.
Man beschloss, was immer man durchbekam, mit dem Wissen, dass es Initiativen dagegen auslöste.
Zwischenzeitlich galten die Gesetze eben und wurden weiterhin Stück für Stück erweitert. Dann begann alles von vorn und das läuft bis heute so.
Das hat System – schon ganz lange.