Bestandsdaten/StN
Bedeutung von Bestandsdaten
Der Schutz der Vertraulichkeit von Bestandsdaten ist von hoher Bedeutung, weil durch Identifizierung eines Telefon- oder Internetnutzers die Anonymität der Telekommunikation durchbrochen wird. Durch Identifizierung von Telefon- oder Internetkennungen lassen sich mittelbar Umstände und Inhalt von Telekommunikationsvorgängen individualisieren, wie etwa dann, wenn Inhalt oder Zeitpunkt eines bestimmten Anrufs, der unter der abgefragten Nummer geführt wurde, der Behörde durch Vorermittlungen bekannt ist (Abs. 114). Als Daten, die die Grundlagen von Telekommunikationsvorgängen betreffen, liegen Bestandsdaten im Umfeld verfassungsrechtlich besonders geschützter Informationsbeziehungen, deren Vertraulichkeit für eine freiheitliche Ordnung essentiell ist (Abs. 137).
Die Furcht vor Ermittlungen oder sonstigen Nachteilen infolge von Telekommunikation beeinträchtigt die unbefangene Nutzung von Telefon und Internet, die in bestimmten Bereichen nur im Schutz der Anonymität in Anspruch genommen werden (z.B. medizinische, psychologische oder juristische Beratung, Presseinformanten und Whistleblower, politischer Aktivismus). Deswegen fordern wir, den staatlichen Zugriff auf Telekommunikationsdaten allenfalls in Ausnahmefällen zuzulassen. Der vorliegende Gesetzentwurf gewährleistet dies nicht.
Zuständigkeit, Zustandekommen
Wir kritisieren, dass das Bundesinnenministerium diesen Gesetzentwurf vorgelegt hat, obwohl er in großen Teilen in die Zuständigkeit von Bundeswirtschafts- und Bundesjustizministerium fällt. Dementsprechend freiheitsfeindlich ist der Gesetzentwurf ausgefallen. Unabhängige Bürgerrechts- und Datenschutzorganisationen und auch die Beschwerdeführer, die das bestehende Gesetz zu Fall gebracht hatten, sind in die Anhörung nicht einbezogen worden.
Fehlende Beschränkung auf Einzelfälle
Im Gesetzentwurf fehlt die im geltenden § 113 TKG enthaltene Bestimmung, dass Auskünfte über Telekommunikationsdaten nur "im Einzelfall" erteilt werden dürfen und nicht routinemäßig oder massenhaft. Da die Beschränkung auf Einzelfälle fehlt, andererseits aber die ausufernd weiten Auskunftsrechte unverändert beibehalten werden sollen, ist das Verhältnismäßigkeitsgebot verletzt und die Neufassung verfassungswidrig.
Das Bundesverfassungsgericht hat § 113 TKG ausdrücklich nur deswegen als "verfassungsrechtlich noch hinnehmbar" angesehen, weil "Auskünfte nach § 113 Abs. 1 Satz 1 TKG im Einzelfall angefordert werden und erforderlich sein müssen" (Abs. 177). Es hat das "Erfordernis der Erforderlichkeit auch im Einzelfall" als Anforderung des Verhältnismäßigkeitsgrundsatzes eingeordnet (Abs. 163). Weil dem Gesetzentwurf die Beschränkung von Auskünften auf Einzelfälle fehlt, ist er verfassungswidrig.
Ausufernde Identifizierung von Internetnutzern
Die Identifizierung von dynamischen IP-Adressen ermöglicht in weitem Umfang eine Deanonymisierung von Kommunikationsvorgängen im Internet. Zwar hat sie eine gewisse Ähnlichkeit mit der Identifizierung einer Telefonnummer. Schon vom Umfang, vor allem aber vom Inhalt der Kontakte her, über die sie Auskunft geben kann, hat sie jedoch eine erheblich größere Persönlichkeitsrelevanz und kann mit ihr - so das Bundesverfassungsgericht ausdrücklich - nicht gleichgesetzt werden (Abs. 174).
Die Identifizierung von Internetnutzern stellt einen besondern schwerwiegenden Grundrechtseingriff dar, weil sie die personenbezogene Nachverfolgung des Inhalts der abgerufenen oder geschriebenen Texte und Daten im Internet erlaubt. Anders als Auskünfte über Rufnummerninhaber geht die Identifizierung von Internetnutzern mit einem Eingriff in das grundrechtlich besonders geschützte Fernmeldegeheimnis einher. Diese Identifizierung gleichwohl im selben weitreichenden Umfang zuzulassen wie Auskünfte über Rufnummerninhaber ist rechtspolitisch nicht hinnehmbar. Wir fordern, dass zumindest eine Gleichstellung mit der Verwendung sonstiger Verkehrsdaten (§ 100g StPO) erfolgt, also eine richterliche Anordnung zur Voraussetzung gemacht wird und eine Beschränkung auf erhebliche Straftaten erfolgt.
Unklarer und unkontrollierter Zugriff auf Zugangscodes (PINs, Passwörter)
Zugangssicherungscodes (wie Passwörter, PIN oder PUK) sichern den Zugang zu Endgeräten und Speicherungseinrichtungen und damit die Betreffenden vor einem Zugriff auf die entsprechenden Daten beziehungsweise Telekommunikationsvorgänge. Das Bundesverfassungsgericht hat entschieden, dass Staatsbehörden PINs und Passwörter nur anfordern dürfen, wenn die gesetzlichen Voraussetzungen für ihre Nutzung gegeben sind. Diese Formulierung soll nun unverändert in das Gesetz aufgenommen werden.
Rechtspolitisch lehnen wir die Herausgabe von PINs und Passwörtern zur Ermöglichung einer Telekommunikationsüberwachung ab. Anders als im Fall einer Telekommunikationsüberwachung hat der Anbieter nach Herausgabe von Zugangscodes keine Kontrolle über die Telekommunikationsüberwachung mehr.
Verfassungsrechtlich verletzt die lapidare Bezugnahme auf "die gesetzlichen Voraussetzungen für die Nutzung der Daten" das Bestimmtheitsgebot. Sie ermöglicht weder der handelnden Behörde, noch dem verpflichteten Anbieter oder dem kontrollierenden Gericht, mit hinreichender Klarheit zu bestimmen, welche Voraussetzungen vorliegen müssen. Auch ist nicht gewährleistet, dass der Anbieter das Vorliegen der Zugriffsvoraussetzungen (z.B. richterliche Anordnung der Telekommunikationsüberwachung) anhand behördlich zur Verfügung gestellter Unterlagen kontrollieren kann. Wenn eine Behörde einen Zugriffscode anfordert, weiß der Anbieter nicht, ob dies zum Zweck der Telekommunikationsüberwachung oder zur Auswertung abgeschlossener Telekommunikation geschieht. Es ist nicht akzeptabel, die Kontrolle der gesetzlichen Voraussetzungen durch den Telekommunikationsanbieter bei der Anforderung von Zugriffscodes quasi ausfallen zu lassen, obwohl solche Codes besonders weitreichende und unkontrollierte Zugriffe ermöglichen.
Es ist aus diesen Gründen verfassungsrechtlich geboten, die Erhebung von Zugangscodes in denjenigen Vorschriften zu regeln, die auch deren Nutzung regeln, also z.B. in den §§ 98, 100a und 100b StPO.
Mangelnder Rechtsschutz wegen fehlender Benachrichtigung
Der Gesetzentwurf sieht keine Benachrichtigung der Betroffenen von Zugriffen auf ihre Daten vor. Demgegenüber sah der Quick-Freeze-Referentenentwurf des Bundesjustizministeriums eine Benachrichtigung noch vor. Das Bundesverfassungsgericht hat offen gelassen, ob Benachrichtigungspflichten für bestimmte Fälle in den Abrufnormen geboten sind (Abs. 187).
Da eine Benachrichtigung Voraussetzung eines effektiven Rechtsschutzes gegen Grundrechtsverletzungen ist, ist aus Art. 19 Abs. 4 GG eine Benachrichtigungspflicht abzuleiten. Dies gilt insbesondere dann, wenn in das Fernmeldegeheimnis eingegriffen worden ist (IP-Zuordnung) und wenn Zugangscodes erhoben worden sind. Gerade im Fall der Zugangscodes haben Betroffene ein hohes Interesse an einer Benachrichtigung, um den Code nach Beendigung des Verfahrens ändern und dadurch rechtswidrigen Zugriffen vorbeugen zu können. Eine anderweitige Benachrichtigung erfolgt bei Drittbetroffenen (z.B. mutmaßlichen Nachrichtenmittlern) nicht, so dass eine besondere Benachrichtigungspflicht aufgenommen werden muss.
§ 113 TKG
Abs. 1 S. 4: Fehlende Beschränkung auf rechtmäßig gespeicherte Daten
Wenn Abs. 1 S. 4 die Heranziehung "sämtlicher unternehmensinterner Datenquellen" fordert, sind davon dem Wortlaut nach auch rechtswidrig erhobene oder gespeicherte Daten erfasst. Erforderlich wäre die Klarstellung, dass Auskunft nur anhand rechtmäßig gespeicherter Daten erteilt werden darf. Speichert der Anbieter Daten rechtswidrig, darf er sie erst recht nicht weiter verarbeiten. Den Zugriff auch auf Daten zu gestatten, die gar nicht gespeichert sein dürften, ist - zumal im Bereich von Ordnungswidrigkeiten und sonstigen Bagatellen - unverhältnismäßig.
Abs. 4: Mangelnde Bundeskompetenz
Laut Bundesverfassungsgericht kann der Bund auf der Grundlage des Art. 73 Abs. 1 Nr. 7 GG eine Verpflichtung privater Telekommunikationsunternehmen, einem Auskunftsbegehren Folge zu leisten, nicht abschließend begründen (Abs. 167). Dies gehöre nicht mehr zur Bestimmung der Grenzen des Datenschutzes, sondern sei untrennbarer Bestandteil des Datenabrufs. Der Bund könne auf der Grundlage des Art. 73 Abs. 1 Nr. 7 GG nur die Öffnung der Datenbestände für die staatliche Aufgabenwahrnehmung regeln, nicht aber auch den Zugriff auf diese Daten selbst.
In welchem Zeitrahmen und Umfang Auskünfte zu erteilen sind ("unverzüglich und vollständig") und ob der Anbieter seine Kunden informieren darf, betrifft nicht lediglich die "Öffnung der Datenbestände". Deswegen ist der Bund für § 113 Abs. 4 unzuständig.
Abs. 5: Unverhältnismäßige Abrufschnittstelle
Das Bundesverfassungsgericht hat die "sehr weit" reichende staatliche Einsicht in Telekommunikationsdaten über § 113 TKG nur deswegen als "verfassungsrechtlich noch hinnehmbar" bezeichnet, weil "im Vergleich zu § 112 TKG [...] ein manuelles Auskunftsverfahren für die abfragende Behörde einen gewissen Verfahrensaufwand mit sich bringt, der dazu beitragen dürfte, dass die Behörde die Auskunft nur bei hinreichendem Bedarf einholt." (Abs. 178 und 180) Wenn über eine elektronische Schnittstelle der Behördenaufwand nun auf das Maß des automatisierten Abrufverfahrens nach § 112 TKG reduziert wird, gleichwohl aber die ausufernde Weite der Zugriffsbefugnisse beibehalten und sogar weiter ausgedehnt wird, ist das Gebot der Verhältnismäßigkeit verletzt und die Vorschrift verfassungswidrig. Dass im Vergleich zu § 112 TKG die Auskunft nach § 113 TKG zeitlich verzögert erteilt würde, ist für den Behördenaufwand nicht entscheidend.
Fehlender Schutz von Zugriffscodes
§ 113 Abs. 1 S. 2 Hs. 2 TKG verbietet bisher unter Bußgeldandrohung, Zugriffscodes wie PINs und Passwörter zu E-Mail-Postfächern an andere als die gesetzlich autorisierten öffentlichen Stellen oder gar an nicht-öffentliche Stellen zu übermitteln. Dieser besondere Schutz von Zugriffscodes soll künftig entfallen, was der Sensibilität dieser Codes nicht gerecht wird, die z.B. ein Abhören von Mailboxen oder ein Mitlesen von E-Mails ermöglichen. Wir fordern, Übermittlungsverbot und Bußgeldandrohung beizubehalten.
Fehlender Schutz des Fernmeldegeheimnisses
§ 113 TKG stellt bislang klar: "Ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ist nur unter den Voraussetzungen der hierfür einschlägigen gesetzlichen Vorschriften zulässig." Diese Klarstellung soll künftig entfallen. Dies birgt die Gefahr, dass Bestandsdatenauskünfte unter Verwendung von Verkehrsdaten verlangt werden (z.B. wer zum Zeitpunkt X den Anschluss Y angerufen hat), was verfassungswidrig wäre. Wir fordern, in alle Zugriffsnormen eine § 113 Abs. 1 S. 3 TKG entsprechende Vorschrift aufzunehmen.
Weiterer Handlungsbedarf
§ 111 TKG: Identifizierungszwang
Das Verbot anonymer Telekommunikation des § 111 TKG lehnen wir ab und fordern dessen Abschaffung. Der Identifizierungszwang ist nutzlos, weil Straftäter dennoch in aller Regel falsch registrierte oder ausländische anonyme Prepaidkarten nutzen. Bei dem Europäischen Gerichtshof für Menschenrechte ist eine Beschwerde gegen das Anonymitätsverbot des § 111 TKG anhängig, das in den meisten europäischen Staaten keine Entsprechung findet.
§ 112 TKG: Automatisiertes Abrufverfahren
Staatsbehörden in einem automatisierten Verfahren unmittelbaren Zugriff auf Kundendaten zu geben, lehnen wir ab, weil es zu einer Explosion der Zahl an Eingriffen in Telekommunikationsbeziehungen führt. Wir fordern, dass sich der Staat auf manuelle Auskunftsersuchen beschränkt, wie es auch in den meisten anderen europäischen Ländern der Fall ist.
"Auch wird der Kreis der abrufberechtigten Behörden und damit die Reichweite der Auskunftspflichten durch eine nur aufgabenbezogene Eingrenzung nicht in ausreichend bestimmter Weise eingegrenzt. Zur Begründung von Auskunftspflichten Privater bedarf es vielmehr klarer Bestimmungen, gegenüber welchen Behörden die Anbieter konkret zur Datenübermittlung verpflichtet sein sollen. Nur dies rechtfertigt dann auch den Eingriff in das Recht auf informationelle Selbstbestimmung gegenüber den Datenbetroffenen."
"Bezogen auf die Gefahrenabwehr, in die der Gesetzgeber die Gefahrenvorsorge gerade nicht einbezogen hat, ergibt sich bei verständiger Auslegung das Erfordernis einer „konkreten Gefahr“ im Sinne der polizeilichen Generalklauseln als Voraussetzung für solche Auskünfte." "Im Übrigen ergibt sich auch hier aus dem Erfordernis der Erforderlichkeit im Einzelfall, dass eine Auskunft gemäß § 113 Abs. 1 Satz 1 TKG zur Aufklärung einer bestimmten, nachrichtendienstlich beobachtungsbedürftigen Aktion oder Gruppierung geboten sein muss." "verfassungsrechtlich noch hinnehmbar"