Vor elf Jahren hat der Europäische Gerichtshof die Vorratsdatenspeicherung gekippt. Seitdem gibt es keine EU-weite Vorratsdatenspeicherung. Jetzt arbeiten die EU-Institutionen an einem neuen Gesetz.
Die EU-Kommission hat bis Juni eine Sondierung und bis September eine Konsultation durchgeführt. Es wird erwartet, dass die Kommission Anfang 2026 ein neues Gesetz vorschlägt.
Standortdaten und Over-the-Top
Die EU-Staaten machen ebenfalls Druck. Die dänische Ratspräsidentschaft hat vor kurzem eine Fragebogen verschickt. Wir veröffentlichen das Dokument. (Update 07.11.: Jetzt ist es auch offiziell öffentlich.) Die Antworten sollen der EU-Kommission beim Schreiben des Gesetzentwurfs helfen.
Die Fragen weisen weit über die in Deutschland diskutierte Vorratsdatenspeicherung von IP-Adressen bei Internet-Zugangs-Anbietern hinaus. Dänemark fragt, ob die EU auch Dienste-Anbieter wie „Over-the-Top“-Dienste verpflichten soll – also etwa Messenger, Videos und Spiele. Dänemark fragt auch nach Verkehrsdaten und Standortdaten – diese sind hochsensibel.
Darüber hinaus fragt Dänemark die EU-Staaten auch nach anlassbezogener Speicherung mit Quick Freeze, Speicher-Dauer, Zugangsregeln und Straftaten, für die Vorratsdaten genutzt werden sollen.
Messenger und Verschlüsselung
Die Vorratsdatenspeicherung ist nur ein Baustein im größeren Wunsch nach „Zugang zu Daten für eine wirksame Strafverfolgung“. Zu diesem Thema hatte eine einseitige Arbeitsgruppe getagt und Forderungen erstellt. Das Generalsekretariat des Rates hat jetzt einen aktuellen Stand verschickt. Wir veröffentlichen auch dieses Dokument. (Update 23.10.: Jetzt ist es auch offiziell öffentlich.)
Die Sicherheitsbehörden wünschen sich den Zugang zu verschiedenen Daten. An erster Stelle steht auch hier die Vorratsdatenspeicherung von Verbindungsdaten. Daneben wünschen sie eine Kommunikationsüberwachung auch bei „Messaging-Apps wie WhatsApp, Facebook Messenger und WeChat“. Und schließlich fordern sie den Zugang zu verschlüsselten Inhalten, auch bei „Ende-zu-Ende-Verschlüsselung“.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Die dänische Ratspräsidentschaft ruft die EU-Staaten dazu auf, ihre Forderungen in diese Debatte einzubringen.
Ausweis für Mobilfunk
Die EU-Staaten diskutieren außerdem den Ausweis-Zwang für Mobilfunk-Anschlüsse. Noch 2013 sagte die EU-Kommission, dass „es keine Beweise für die Wirksamkeit dieser Maßnahme für die Strafverfolgung gibt“. Das Bundesamt für Sicherheit in der Informationstechnik hat die „Verwendung von Prepaid-Karten zur Anonymisierung“ sogar empfohlen.
Trotzdem hat unter anderem Deutschland 2016 anonyme Prepaid-Karten verboten. Behörden fragen diese Daten jede Sekunde ab.
Staaten wie Polen wünschen sich EU-weite Vorschriften zur Registrierung von SIM-Karten. Anfang des Jahres hat die polnische Polizei einen Vortrag dazu gehalten. Wir veröffentlichen die Präsentation.
Dafür haben sie die Regeln von 37 europäischen Staaten untersucht. 16 Staaten haben eine Registrierungspflicht, darunter Deutschland und Italien. 13 Staaten haben keine Registrierungspflicht, darunter Großbritannien und die Niederlande. Für acht Staaten hat Polen keine Daten gefunden.
Polen schließt daraus, dass es eine EU-weite Registrierungspflicht braucht. Bekämpfen wollen sie damit unter anderem falsche Bomben-Drohungen und Betrug an älteren Menschen. Es ist möglich, dass ein neues EU-Gesetz zur Vorratsdatenspeicherung auch diese Speicherpflicht enthält.
Habe mit Wehmut diesen 11 Jahre alten Artikel gelesen (dankenswerterweise oben unter „weitere Artikel“ gefunden:
https://netzpolitik.org/2014/metadaten-wie-dein-unschuldiges-smartphone-fast-dein-ganzes-leben-an-den-geheimdienst-uebermittelt/
Damals, ein Jahr nach dem „Snowden Event“, haben die Menschen ziemlich schnell kapiert, dass Smartphones gefährliche Datenschleudern sind. Elf Jahre später sind die meisten intellektuell und technisch verblödet. Liegt wohl an zunehmender CO2 Konzentration in der Luft.
Ab dem 18. August 2026 gilt in der EU die neue E-Evidence-Verordnung. Sie verpflichtet viele Unternehmen – darunter auch kleine und mittlere Anbieter digitaler Dienste – dazu, auf Anfragen von Strafverfolgungsbehörden aus anderen EU-Ländern bestimmte Nutzerdaten herauszugeben oder zu speichern.
Vier Arten von Daten sollen Provider grundsätzlich herausgeben:
Subscriber Data – Identitäts- und Adressdaten von Kunden, welche Dienste gebucht wurden und wie gezahlt wird, also Bestandsdaten.
Access Data – Metadaten zur konkreten Inanspruchnahme eines Dienstes: Datum und Uhrzeit, IP-Adresse, User-ID
Transactional Data – Metadaten zur Art der Nutzung von Diensten: Absender und Empfänger von E-Mails, Geolokation der Endgeräte, genutzte Protokolle.
Content Data – gespeicherte Inhaltsdaten, also Text, Bild, Ton oder Video.
Dies umfasst alle vom Provider bereits nutzerbezogen gespeicherten Daten für Messenger, Mobilfunk-/Festnetz-/Sattelitenkommunikations-Zugänge, VoIP, Online-Marktplätze mit Möglichkeiten der Kommunikation zwischen Nutzern und Onlinespiel-Plattformenen.
Die Übergabe von Echtzeit-Kommunikationsdaten und die Überwachung der laufenden Nutzung ist nicht vorgesehen.
Nicht nur große Anbieter betroffen
Und es kann jeden treffen, nicht nur ein paar hundert TK-Unternehmen. Die E-Evidence-Verordnung betrachtet alles als Gegenstand für Herausgabeanordnungen, was im Strafverfahren als elektronisches Beweismittel verwendet werden kann. Und die Zielgruppe der Adressaten ist breit gefächert. Alle Datenspuren, die deutsche Bürger im Ausland hinterlassen, können Ermittlungsanlass und gegebenenfalls Beweismittel sein.
Bei Katalogstraftaten wie Kinderpornografie sind es dann eben nicht immer die Großen der Branche, über deren Plattformen die Straftaten begangen wurden – Datenspeicherung kann auch über kleine Portale stattfinden, die alle auch aus dem Ausland erreichbar sind.
„Es wird erwartet, dass die Kommission Anfang 2026 ein neues Gesetz vorschlägt.“ Wer erwartet das? Im Arbeitsprogramm für 2026, das die Kommission heute veröffentlicht hat (https://commission.europa.eu/strategy-and-policy/strategy-documents/commission-work-programme/commission-work-programme-2026_en), taucht „data retention“ nirgends auf. Die Kommission ist sich offenbar klarer als die Mitgliedstaaten über die rechtlichen Grenzen nach den ganzen Urteilen. Sie mühen sich daher dem Vernehmen nach, einen gangbaren Weg zu finden, der nicht gleich vom EuGH wieder kassiert wird.
Das scheint u.a. die aktuelle Ratspräsidentschaft zu erwarten, siehe Dokument #2: