VorratsdatenspeicherungWenn die Abwehrfront bröckelt

Der Europäische Gerichtshof hat letzte Woche bei der anlasslosen Speicherung von IP-Adressen dem hohen Druck wieder etwas nachgegeben: Unter bestimmten Bedingungen ist eine anlasslose Speicherung möglich. Er tut seiner eigenen Autorität damit keinen Gefallen. Doch was heißt das Urteil für die deutsche Debatte um die Vorratsdatenspeicherung?

Marco Buschmann und Nancy Faeser in einer hitzigen Debatte
Marco Buschmann und Nancy Faeser im Bundestag (Archivbild) – Alle Rechte vorbehalten IMAGO / Future Image

Als letzte Woche ein weiteres Urteil des Europäischen Gerichtshofs zur Frage der Vorratsdatenspeicherung verkündet wurde, war die Aufregung groß. EU-Staaten dürfen Providern nun eine Pflicht zur allgemeinen und unterschiedslosen Vorratsspeicherung von IP-Adressen auferlegen, wenn diese Speicherung keine genauen Schlüsse auf das Privatleben der betroffenen Person erlaubt.

Der Zugriff auf IP-Adressen ist seither auch weniger geschützt. Unter bestimmten Bedingungen ist bereits die Verfolgung von Filesharing über IP-Adressen möglich, um die es in dem französischen Hadopi-Fall ging. Die Behörde Hadopi spricht bei den ersten beiden Verstößen an Filesharer eine Warnung aus. Dafür muss Hadopi sie aber zuvor finden: Die französische Regierung erlaubt daher, die Identitätsdaten der Filesharer über deren IP-Adressen von Providern abzufragen.

Nachdem sich die erste Aufregung gelegt hat, lohnt sich ein weiteres Nachdenken über die Entscheidung, vor allem mit dem Blickwinkel auf die scheinbar unendliche deutsche Debatte um die anlasslose Massenüberwachung. Die Erosion der Rechtsprechung des EuGH war für viele Beobachter leider absehbar, auch wenn nicht wenige auf die Standfestigkeit in Fragen der Ablehnung einer verdachtslosen Telekommunikationsdatensammlung gehofft hatten.

Das absolut Notwendige

Matthias Bäcker, Professor für Öffentliches Recht an der Universität Mainz und Prozessbevollmächtigter der SpaceNet AG, die mit einer EuGH-Entscheidung erfolgreich die Vorratsdatenspeicherung in Deutschland stoppen konnte, bewertet die Entscheidung gelassen: Der EuGH hätte zwar nun „noch eine weitere Schippe draufgelegt“, da jetzt die Begrenzung auf schwere Kriminalität nicht mehr gelte, aber seit dem Jahr 2020 sei bereits ein Prozess des Zurückruderns zu beobachten gewesen.

Das EuGH-Urteil aus dem Jahr 2016 war das radikalste und erklärte eine anlasslose Vorratsdatenspeicherung für unvereinbar mit dem Unionsrecht. Auch in den beiden EuGH-Urteilen des Jahres 2020 hielt das Gericht an seiner Linie fest, dass weiterhin für Telekommunikationsanbieter im Grundsatz die allgemeine und unterschiedslose Speicherungs- bzw. Weiterleitungspflicht von Verkehrs- und Standortdaten nicht mit dem Unionsrecht vereinbar sei. Denn ein solcher Eingriff in die entsprechenden Grundrechte beschränke sich eben nicht auf das absolut Notwendige.

Bei der Speicherung von IP-Adressen ließ der EuGH aber bereits 2020 Ausnahmen zu und bewertet sie als weniger intensive Grundrechtsbeeinträchtigung. Denn eine IP-Adresse ließe weniger Aufschluss darüber zu, wer mit einem Betroffenen kommuniziere, und sei als geringere Gefahr für eine umfassende Profilierung von Nutzerinnen und Nutzern anzusehen.

Doch der politische Druck ließ nicht nach, und beim Luxemburger Höchstgericht bröckelte die Abwehrfront. Denn es kamen auch nach dem Urteil weitere Versuche nationaler europäischer Gesetzgeber hinzu, um alle Kommunikationsdaten noch anlasslos festzuhalten, die vielleicht gerade noch möglich erscheinen. Letztlich hat der EuGH bei den IP-Adressen nun dem hohen Druck wieder etwas nachgegeben.

Eigentor für den EuGH

Bäcker beschreibt den nicht nachlassenden politischen Druck, den er auch als Prozessbevollmächtigter in Luxemburg deutlich verspürt habe. Die ergangenen EuGH-Urteile seien in Deutschland breit diskutiert worden, hätten in anderen Staaten der EU jedoch weit weniger Akzeptanz gefunden. Generell sei die Akzeptanz der EuGH-Urteile anderswo in Europa geringer als in Deutschland, das mit dem Bundesverfassungsgericht ein angesehenes Höchstgericht hat, dessen Vorgaben hohen Respekt genießen. Eine solche Institution fehlt in einigen EU-Staaten oder ihr wird in der gesellschaftlichen Debatte weniger Bedeutung eingeräumt. Damit verändert sich auch der politische Umgang mit EuGH-Urteilen. Die Mehrzahl der Regierungen der EU-Staaten wollen zudem mindestens die anlasslose Speicherung der IP-Adressen.

Das neue Urteil versucht, Begrenzungen einzubauen und vor allem einer Profilierung des Surfverhaltens vorzubeugen. Inhaltlich überzeugen können diese Begrenzungen den Juristen Bäcker indes nicht. Die Beschränkungen der Nutzung der IP-Adressen sei vielleicht für die Hadopi-Stufen möglich, aber sonst nur schwer vorstellbar. Etwa beim Zugriff in Strafverfahren wäre nicht klar, wie eine Profilierung der Betroffenen vermieden werden solle.

Doch welches problematische Signal setzt das Hohe Gericht, wenn es seine eigene Rechtsprechung in kleinen Schritten aufweicht? Da wäre einmal die Wirkung nach innen, also eine Botschaft an die EU-Staaten, dass ein jahrelanges Trommelfeuer gegen Grundrechte auch Erfolge nach sich zieht, dass rote Linien des Gerichts nicht wirklich rote Linien sind. Denn ein Zurückrudern hinter eigens festgeschriebene Grenzen ist das neue Urteil in jedem Fall, mögen sie auch weniger signifikant sein als zunächst befürchtet.

Das könnte zum Eigentor für den EuGH werden, der seine Autorität aus seinem kontinuierlichen Eintreten für die Grundrechte zieht. Für das Nicht-EU-Ausland, vor allem in Staaten, deren Menschenrechtslage problematisch ist, erscheint das Zurückweichen vor dem Überwachungsdruck und das schrittweise Zulassen anlassloser massenhafter Datenberge wie ein Menetekel: Wenn auch in der EU der Massenüberwachung immer weniger Einhalt geboten wird, macht das den Kampf anderswo auf der Welt nur noch schwerer.

Diesmal hat das Plenum aller Richter entschieden. Offensichtlich kam keine Einigung in der Großen Kammer zustande, so dass eine Plenarentscheidung her musste. An ihr dürfte nun allerdings eine Weile festgehalten werden, auch weil das aktuelle Urteil das letzte in absehbarer Zeit sein wird. Neue Entscheidungen stehen in Luxemburg erstmal nicht an.

Insofern bleibt ein Grund zur Freude für alle, denen die Grundrechte am Herzen liegen: Die Standortdaten und auch die Metadaten der Kommunikation bleiben vor anlassloser Massenüberwachung fürs Erste geschützt, Kontakt- und Bewegungsprofile aller Menschen anhand von Kommunikationsdaten soll es eigentlich in der EU nicht geben. Denn in der Frage, ob eine anlasslose Massenüberwachung der Kommunikationsdaten der gesamten Bevölkerung mit den Grundrechten vereinbar ist, hat sich nichts geändert, auch wenn einige EU-Staaten versuchen, die bestehenden EuGH-Urteile zu umgehen. Die Antwort auf die Frage lautet weiterhin im Grundsatz nein.

Kein Appetit auf noch eine blutige Nase

Vorratsdatenspeicherung in Deutschland nicht abgeschafft

Das Urteil könnte für die deutsche Debatte dennoch bedenkliche Folgen haben und die Streitigkeiten in der Ampel vertiefen. Wer hierzulande nicht mehr durchblickt: Der aktuelle Stand in der bundesdeutschen Debatte ist eine Art Stellungskrieg – keiner bewegt sich. Bundesjustizminister Marco Buschmann (FDP) hatte zwar verkündet, dass sich die Bundesregierung auf das Quick-Freeze-Verfahren geeinigt hätte, das grundrechtsschonender ist. Für „Quick Freeze statt anlassloser Vorratsdatenspeicherung“ hätte der Minister „seit vielen Monaten gekämpft“ und sei nun erfolgreich gewesen.

Aber das scheint alles Ansichtssache. Denn auf den Fuß folgte eine Erklärung des SPD-geführten Innenministeriums (BMI), die eine anlasslose Vorratsdatenspeicherung von IP-Adressen fordert, als hätte es Buschmanns Ankündigung der Einigung nie gegeben. Das BMI stellte seine Sicht dar: Die Einigung „beinhaltet ausdrücklich keine Vereinbarung darüber, ob und wie IP-Adressen künftig gespeichert werden“. Diese Frage werde explizit ausgeklammert. „Anders als der erste Entwurf des BMJ, der eine Abschaffung dieser Regelung vorsah, soll der künftige Entwurf, so wie wir die Verständigung innerhalb der Koalition verstehen, eine solche Regelung eben nicht beinhalten.“

Buschmanns Haus kündigte zwar an, einen aktualisierten Referentenentwurf zu Quick Freeze bald in die „Ressortabstimmung“ geben zu wollen. Doch seit Wochen herrscht nun wieder Stillstand.

Vorratsdatenspeicherung

Wir berichten seit zwanzig Jahren über die politischen Vorhaben rund um die Vorratsdatenspeicherung. Unterstütze unsere Arbeit!

Die derzeitige Fassung der Vorratsdatenspeicherung ist in Deutschland eben nicht abgeschafft und nie aus dem Gesetz gestrichen worden. Der Verband der Internetwirtschaft eco, der die SpaceNet AG beim Gang zum EuGH unterstützt hatte, forderte vor dem aktuellen Urteil im Zusammenhang mit der politischen Einigung auf das Quick-Freeze-Verfahren daher die konsequente Aufhebung der Vorratsdatenspeicherung.

Die SpaceNet AG hat ihren Fall zwar vor dem EuGH gewonnen, sie muss keine Telekommunikationsdaten ohne Anlass speichern, betont Bäcker. Auch für die Deutsche Telekom besteht keine Speicherpflicht. Es bleibt klargestellt, dass das deutsche Gesetz gegen EU-Recht verstößt.

Aber was ist mit anderen Providern? Könnte die Bundesnetzagentur nun eine Speicherung der IP-Adressen von anderen Providern wie etwa Vodafone verlangen? Dass nach dem aktuellen EuGH-Urteil das deutsche Gesetz anwendbar sein könnte, will Bäcker nicht ausschließen.

Umso dringlicher wird es, dass der Gesetzgeber nun Klarheit schafft. Da könnte der Koalitionsvertrag weiterhelfen, denn darin hat sich die Ampel darauf geeinigt, dass Daten nur „anlassbezogen und durch richterlichen Beschluss“ gespeichert werden sollen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

19 Ergänzungen

  1. Wie soll das denn dann aussehen, wenn man auf eine Webseite geht, wo irgendwo urheberrechtlich geschütztes Material ist (sei es versehentlich oder nicht), aber man nichts runterlädt, teilt o.ä. ? Ändert ja nichts an der Sache mit der IP-Adresse.

    Und was ist mit z.B. Cloud-Diensten wie Dropbox, OneDrive & Co?
    Man kann ja dort wahlweise nur Sachen für sich ablegen oder wahlweise mit anderen teilen.
    Wie soll die VDS da Klarheit schaffen, ohne – wie alle Überwachungsfantasien der EU – auch wieder potenziell massenhaft falsche Verdächtigungen zu produzieren und alle Nutzer solcher Dienste unter Generalverdacht zu stellen?

    Wenn schon VDS, dann ist Buschmanns anlassbezogenes Quick-Freeze die einzig sinnvolle Lösung. Klar, dass das nicht im Interesse von Überwachungsfanatikern wie Faeser ist.

    Abgesehen davon:
    Wie lange sollen diese Daten eigentlich gespeichert bleiben? Darüber habe ich nichts gefunden.

    Und selbst wenn die anlasslose Speicherung so kommen sollte:
    Was soll das nützen? Dann hat man allein in Deutschland jeden Tag zig Millionen IP-Adressen, die überprüft werden müssten, ob illegal oder nicht.
    Daher kann auch das eigentlich nur dann relevant werden, wenn eine Person irgendwie mit einer Straftat in Zusammenhang gebracht wurde und es Ermittlungen gegen sie gibt.

    1. Geht es hier nicht um die Zuordnung IP-Kunde, sowie NAT also IP+Port -> Kunde?

      So Sachen. Ich kann also die Person ermitteln. Laut Urteil vielleicht sogar aus Spass usw., also Urheberrecht, Parkschein vergessen und irgendwie koinzident ist eben jetzt mal Server Nr. 12 im Fokus, und damit auch alle Journalisten die darauf zugegriffen haben könnten.

      Ein Beispiel. In der Werbung fängt man die Bösen.

  2. Dieses Urteil des EuGH und das schrittweise Aufweichen der Vorratsdatenspeicherung durch eben dieses, ist ein schwerer und kaum wiedergutzumachender Vertrauenverlust in den EuGH. Ich fühle mich als EU Bürger ziemlich verarscht. Anders kann ich das einfach nicht ausdrücken.

    1. Jep. Mich beschleicht das böse Gefühl, dass es jetzt mit Chatkontrolle und Co ähnlich laufen wird, vor allem wenn man sieht, wer in den nächsten Monaten/ Jahren die Ratspräsidentschaften innehat.

      Und dass der EUGH mit diesem Urteil somit die Büchse der Pandora geöffnet hat.

    2. „Sie haben das Recht, nichts zu tun (obey & consume). Alles, was Sie tun, kann und wird gegen Sie verwendet werden.“

      Will die Mehrheit der Wähler so, Kaugummikauer.

      1. Oder sind wir mit ständigen Angriffen auf das Grundsystem vielleicht einfach über fordert?

        Darwin ist nicht Zivilisation…

    3. Schrittweise? Der Zen Buch Leser wird doch sofort einwenden, dass wir es hier doch mit einem erhellend weiten Schritt zu tun hätten, geradezu ein Sprung, womöglich eine Kernschmelze, was das Thema betrifft.
      In Badewannen ausgedrückt: Die mit der Erosion der Grundrechte über das Internet, während das Internet überall hin fließt.
      In Fussballfeldern ausgedrückt: Eine Badewanne weiter.

        1. Schmähkommentardenken in Textform, jetzt also auch im Internet.

          Doch was soll es bedeuten? Ist Bodenhaftung intendiert?

      1. So gesehen, kippt man das Internet aus, auf dass es in die hinterletzten Ecken fließe. Damit sich das auch lohnt, hat man rechtzeitig allerlei Spezialgesetzgebung erfunden. „Special Digital Operation“, sozusagen, und dafür brauchte es nur wenige Faxe!

  3. Der EuGH hat die Möglichkeit eröffnet, die VDS auch in Deutschland wieder zu aktivieren. Das lässt sich nur verhindern, wenn Menschen, die Netzpolitik lesen auch politisch aktiv werden. CDU/CSU und SPD (mal abgesehen von ein paar Netzpolitiker:innen) sind für die VDS. Die FDP ist dagegen. Spannend ist, wie die Grünen sich verhalten werden, die bislang in ihren Wahlprogrammen kritisch sind, aber immer mehr zu Befürwortern eines starken Staates werden. Das wird sich im Bundesrat zeigen. Hessen hat bekanntlich einen Gesetzentwurf eingebracht, der die Speicherung auf einen Monat begrenzt einführen will. Darüber wird im Mai und Juni beraten.
    Wie wird sich das grüne Baden-Württemberg dazu verhalten, dessen Ministerpräsident innere Sicherheit hoch hält, wie das grün-mitregierte NRW, Schleswig-Holstein, Niedersachsen, Sachsen, Hamburg, Bremen oder Rheinland-Pfalz? Das wird sich in den nächsten Wochen zeigen und wird abhängen von der Aufmerksamkeit der Öffentlichkeit.

    1. Auch die Grünen in Hessen zeigten sich in ihrer Regierungsverantwortung schon längst als begeisterte Befürworter*innen der Massenüberwachung durch Palantir und des autoritären Durchgreifens. Die Grünen scheinen sich auch insgesamt schon längst nicht mehr als die Bürgerrechtspartei zu verstehen, die sie in ihren ersten Jahren mal gewesen sein wollen. Denn nicht nur der Überwachungsstaat sondern auch der Überwachungskapitalismus, der einer zunehmenden Erosion von Privatsphäre und Freiheitsrechten bedarf und diese weiter verstärkt, wird inzwischen auch von den Grünen positiv umgedeutet (siehe z.B. diverse Aussagen von Habeck). Auf diese Partei ist also auch keinerlei verlass. Auch wenn sie das Durchdrücken der Vorratsdatenspeicherung und damit eine weitere Einstampfung von Grund- und Freiheitsrechten wohl nicht so sehr wie die deutschen Sozialdemokraten als großen politischen Sieg zelebrieren würden.

    1. Ja nun, das ist bei den beiden Autoren keine wirkliche Überraschung, dass nun auch noch die Geheimdienste an die IP-Adressen sollen. Der Zusammenhang der Forderung mit dem Urteil ist ein wenig an den Haaren herbeigezogen, wie ja im Artikel selbst auch drinsteht. Aber was solls: einfach mal wieder mehr Überwachung fordern, der Anlass ist auch irgendwie egal.

    2. Nach Auffassung des damaligen BAG-Vizepräsidenten Hans-Jürgen Dörner haben Obiter Dicta „die Schwäche, zur konkreten Rechtsfindung des Einzelfalls nichts beizutragen, die Leser regelmäßig zu verwirren und häufig späteren Erkenntnissen im Wege zu stehen“[1]. Im günstigsten Fall trägt ein Obiter Dictum zur Rechtsfortbildung bei. Abgesehen von dem von Dörner beschriebenen „Rechtsverwirrungsmoment“ besteht überdies die Gefahr der Missachtung des Prinzips der Gewaltenteilung.

      https://de.wikipedia.org/wiki/Obiter_dictum#Kritik

  4. Als sehr erfahrener Entwickler und langjähriger SysOp und Admin von tausenden Workstations und etlichen Servern kann ich nur sagen, dass diese Vorgaben des EuGH nahezu, wenn nicht sogar unmöglich umgesetzt werden können, ohne dabei die Vorgaben des EuGH zu verletzten. In der Form in der die Daten gespeichert werden müssen, was die Quell- und Ziel-IP mit Quell- und Ziel Domainnamen angeht (einschl. Ports), kann jederzeit daraus ein vollumfängliches Profil erstellt werden…und niemand kann mir erzählen, dass sich auch nur einer daran halten wird kein Profil zu erstellen! Das ist dann die nächste Stude der Begehrlichkeiten, die so lange eingefordert wird, bis der EuGH auch hier nachgeben wird. Bis dahin wird das unter Garantie massenweise illegal praktiziert.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.