Bestandsdaten/HH

Aus Freiheit statt Angst!

Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Zusammenfassung

Der Entwurf des Hamburger Senats eines Gesetzes zur Änderung polizeirechtlicher und verfassungsschutzrechtlicher Vorschriften vom 27.02.2013 soll Polizei und Verfassungsschutz Zugriff auf Telekommunikationsdaten einschließlich Zugangssicherungscodes (z.B. Passwörter) sowie die Identifizierung von Internetnutzern in einem rechtspolitisch inakzeptablen und verfassungsrechtlich unverhältnismäßig weitreichenden Maß erlauben.

In mehreren Punkten dürfte der Gesetzentwurf verfassungswidrig sein:

  1. Es fehlt die verfassungsrechtlich geforderte Beschränkung des Datenzugriffs auf Einzelfälle.
  2. Entgegen den Vorgaben des Bundesverfassungsgerichts soll die Identifizierung von Internetnutzern durch den Verfassungsschutz keine tatsächlichen Anhaltspunkte für das Vorliegen einer konkreten Gefahr voraussetzen.
  3. Es ist unklar und nicht kontrollierbar, unter welchen Voraussetzungen Anbieter Zugriffscodes wie Mailbox-PINs oder E-Mail-Passwörter an Staatsbehörden herausgeben dürfen. Es fehlt an einer eindeutigen und restriktiven gesetzlich Regelung, unter welchen verfahrensrechtlichen (z.B. richterliche Anordnung oder Bestätigung und Dokumentationspflichten) und inhaltlichen Voraussetzungen Zugangssicherungscodes (wie Passwörter, PIN oder PUK), die den Zugang zu Endgeräten (z.B. Mobiltelefonen) und Speicherungseinrichtungen (z.B. E-Mail-Postfächer) sichern, gegenüber Staatsbehörden preiszugeben sind und deren Nutzung zugelassen wird.
  4. Es fehlt die verfassungsrechtlich gebotene zuverlässige Benachrichtigung von Internetnutzern, deren Identität ermittelt worden ist.

Gemessen an der Position des AK Vorrat ist rechtspolitisch außerdem zu beanstanden:

  1. Der Gesetzentwurf beschränkt den Abruf von IP-Adressen, die Anforderung von Passwörtern usw. nicht auf Fälle von Gefahren für wichtige Rechtsgüter. Auch soll eine richterliche Anordnung nicht Voraussetzung sein.
  2. Der Gesetzentwurf soll dem geheim operierenden Verfassungsschutz einen Datenabruf erlauben, das lehnen wir ab.
  3. Der Gesetzentwurf soll die Herausgabe von Passwörtern erlauben, das lehnen wir ab. Der Gesetzentwurf beschränkt die Herausgabe von Passwörtern nicht einmal auf Fälle, in denen die gewünschten Daten nicht auch direkt vom Anbieter erhoben werden können.
  4. Zahl und Art der staatlichen Bestandsdatenabfragen sollen nach dem Gesetzentwurf nicht statistisch erfasst und jährlich veröffentlicht werden.
  5. Für staatliche Stellen soll keine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Telekommunikationsdaten eingeführt werden.

Bedeutung von Bestandsdaten

Der Schutz der Vertraulichkeit von Bestandsdaten ist von hoher Bedeutung, weil durch Identifizierung eines Telefon- oder Internetnutzers die Anonymität der Telekommunikation durchbrochen wird. Durch Identifizierung von Telefon- oder Internetkennungen lassen sich mittelbar Umstände und Inhalt von Telekommunikationsvorgängen individualisieren, wie etwa dann, wenn Inhalt oder Zeitpunkt eines bestimmten Anrufs, der unter der abgefragten Nummer geführt wurde, der Behörde durch Vorermittlungen bekannt ist (BVerfG, 1 BvR 1299/05 vom 24.1.2012, Absatz-Nr. 114). Als Daten, die die Grundlagen von Telekommunikationsvorgängen betreffen, liegen Bestandsdaten im Umfeld verfassungsrechtlich besonders geschützter Informationsbeziehungen, deren Vertraulichkeit für eine freiheitliche Ordnung essentiell ist (BVerfG, 1 BvR 1299/05 vom 24.1.2012, Absatz-Nr. 137).

Die Furcht vor Ermittlungen oder sonstigen Nachteilen infolge von Telekommunikation beeinträchtigt die unbefangene Nutzung von Telefon und Internet, die in bestimmten Bereichen nur im Schutz der Anonymität in Anspruch genommen werden (z.B. medizinische, psychologische oder juristische Beratung, Presseinformanten und Whistleblower, politischer Aktivismus). Deswegen fordern wir, den staatlichen Zugriff auf Telekommunikationsdaten allenfalls in Ausnahmefällen zuzulassen. Der Bedeutung von Kommunikationsdaten als Grundlage und Voraussetzung eines Telekommunikationsverhältnisses wird es nicht gerecht, dass gerade diese besonders sensiblen und besonders geschützten Informationen unter geringeren Voraussetzungen zugänglich sein sollen als beliebige sonstige Kundendaten, die nur mit richterlicher Anordnung beschlagnahmt werden dürfen.

Fehlende Beschränkung auf Einzelfälle

Im Gesetzentwurf fehlt die im geltenden § 113 TKG enthaltene Bestimmung, dass Auskünfte über Telekommunikationsdaten nur "im Einzelfall" erteilt werden dürfen und nicht routinemäßig oder massenhaft. Da die Beschränkung auf Einzelfälle fehlt, andererseits aber die ausufernd weiten Auskunftsrechte unverändert beibehalten werden sollen, ist das Verhältnismäßigkeitsgebot verletzt und die Neufassung verfassungswidrig.

Das Bundesverfassungsgericht hat § 113 TKG ausdrücklich nur deswegen als "verfassungsrechtlich noch hinnehmbar" angesehen, weil "Auskünfte nach § 113 Abs. 1 Satz 1 TKG im Einzelfall angefordert werden und erforderlich sein müssen" (BVerfG, 1 BvR 1299/05 vom 24.1.2012, Absatz-Nr. 177). Es hat die "Erfordernis der Erforderlichkeit auch im Einzelfall" als Anforderung des Verhältnismäßigkeitsgrundsatzes eingeordnet (BVerfG, 1 BvR 1299/05 vom 24.1.2012, Absatz-Nr. 163). Weil dem Gesetzentwurf die Beschränkung von Auskünften auf Einzelfälle fehlt, ist er verfassungswidrig.

Unzureichende materielle Voraussetzungen für Zugriffe

Die Abrufbefugnisse im Gesetzentwurf sind ihrer Ausgestaltung nach verfassungswidrig.

Dem Verfassungsschutz die Identifizierung von Telefon- und Internetnutzern sowie die Erhebung von PINs und Passwörtern zu erlauben, ist wegen deren mangelnden Kontrollierbarkeit schon dem Grunde nach fragwürdig. Die Zugriffsbefugnisse des Verfassungsschutzes auf die Identität von Internetnutzern sind jedenfalls ihrer Ausgestaltung nach verfassungswidrig. Nach der Rechtsprechung des Bundesverfassungsgerichts darf Nachrichtendiensten die Identifizierung von Internetnutzern nur erlaubt werden, wenn aufgrund tatsächlicher Anhaltspunkte von dem Vorliegen einer konkreten Gefahr auszugehen ist. Die rechtlichen und tatsächlichen Grundlagen entsprechender Auskunftsbegehren sind aktenkundig zu machen (BVerfG, 1 BvR 256/08 vom 2.3.2010, Absatz-Nr. 261). § 7c LVerfSchG-E bestimmt weder selbst noch durch normenklare Verweisung, dass der Verfassungsschutz Bestandsdaten nur erheben darf, wenn aufgrund tatsächlicher Anhaltspunkte von dem Vorliegen einer konkreten Gefahr auszugehen ist.

Ausufernde Identifizierung von Internetnutzern

Die Identifizierung von Internetnutzern stellt einen besondern schwerwiegenden Grundrechtseingriff dar, weil sie die personenbezogene Nachverfolgung des Inhalts der abgerufenen oder geschriebenen Texte und Daten im Internet erlaubt. Anders als Auskünfte über Rufnummerninhaber geht die Identifizierung von Internetnutzern mit einem Eingriff in das grundrechtlich besonders geschützte Fernmeldegeheimnis einher.

Die Begründung von behördlichen Auskunftsansprüchen ermöglicht es in Verbindung mit der Speicherung der Internetzugangsdaten nach § 100 TKG in weitem Umfang, die Identität von Internetnutzern zu ermitteln. Auch ist die mögliche Persönlichkeitsrelevanz einer Abfrage des Inhabers einer IP-Adresse eine andere als die des Inhabers einer Telefonnummer: Schon vom Umfang der Kontakte her, die jeweils durch das Aufrufen von Internetseiten neu hergestellt werden, ist sie aussagekräftiger als eine Telefonnummernabfrage. Auch hat die Kenntnis einer Kontaktaufnahme mit einer Internetseite eine andere inhaltliche Bedeutung: Da der Inhalt von Internetseiten anders als das beim Telefongespräch gesprochene Wort elektronisch fixiert und länger wieder aufrufbar ist, lässt sich mit ihr vielfach verlässlich rekonstruieren, mit welchem Gegenstand sich der Kommunizierende auseinander gesetzt hat. Die Individualisierung der IP-Adresse als der „Telefonnummer des Internet“ gibt damit zugleich Auskunft über den Inhalt der Kommunikation. Die für das Telefongespräch geltende Unterscheidung von äußerlichen Verbindungsdaten und Gesprächsinhalten löst sich hier auf. Wird der Besucher einer bestimmten Internetseite mittels der Auskunft über eine IP-Adresse individualisiert, weiß man nicht nur, mit wem er Kontakt hatte, sondern kennt in der Regel auch den Inhalt des Kontakts (BVerfG, 1 BvR 256/08 vom 2.3.2010, Absatz-Nr. 259).

Die Identifizierung von dynamischen IP-Adressen ermöglicht in weitem Umfang eine Deanonymisierung von Kommunikationsvorgängen im Internet. Zwar hat sie eine gewisse Ähnlichkeit mit der Identifizierung einer Telefonnummer. Schon vom Umfang, vor allem aber vom Inhalt der Kontakte her, über die sie Auskunft geben kann, hat sie jedoch eine erheblich größere Persönlichkeitsrelevanz und kann mit ihr - so das Bundesverfassungsgericht ausdrücklich - nicht gleichgesetzt werden (BVerfG, 1 BvR 1299/05 vom 24.1.2012, Absatz-Nr. 174).

Eben dies tut aber der Gesetzentwurf. Die Identifizierung von Internetnutzern im selben weit reichenden Umfang zuzulassen wie Auskünfte über Rufnummerninhaber ist nicht hinnehmbar. Wir fordern, dass zumindest eine Gleichstellung mit der Verwendung sonstiger Verkehrsdaten erfolgt, also eine richterliche Anordnung zur Voraussetzung gemacht wird und eine Beschränkung auf die Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person erfolgt. Die aktuelle Privilegierung einer Internet-Zielwahlsuche anhand von IP-Adressen gegenüber einer Telefon-Zielwahlsuche (§ 100g StPO) ist sachlich nicht zu rechtfertigen. Es ist nicht plausibel zu machen, weshalb unbedeutende Verkehrsdaten zu schon bekannten Verbindungen (z.B. Datenvolumen, genaue Anrufdauer) einen besseren Schutz genießen sollen als die äußerst grundrechtsbedeutsame Identität eines noch unbekannten Internetnutzers.

Der Gesetzentwurf sieht eine Gleichstellung der Identifizierung von Internetnutzern mit Verkehrsdatenauskünften weder in materieller noch in formeller Hisicht vor. In formeller Hinsicht ist eine nachträgliche richterliche Entscheidung mit dem Erfordernis einer richterlichen Anordnung (also vorangängigen Rechtsschutzes) nicht gleichzusetzen.

Unklarer und unkontrollierter Zugriff auf Zugangssicherungscodes (PINs, Passwörter)

Zugangssicherungscodes (wie Passwörter, PIN oder PUK) sichern den Zugang zu Endgeräten und Speicherungseinrichtungen und damit die Betreffenden vor einem Zugriff auf die entsprechenden Daten beziehungsweise Telekommunikationsvorgänge. Das Bundesverfassungsgericht hat entschieden, dass Staatsbehörden PINs und Passwörter nur anfordern dürfen, wenn die gesetzlichen Voraussetzungen für ihre Nutzung gegeben sind. Diese Formulierung soll nun unverändert in das Gesetz aufgenommen werden.

Verfassungsrechtlich verletzt die lapidare Bezugnahme auf "die gesetzlichen Voraussetzungen für die Nutzung der Daten" das Bestimmtheitsgebot. Sie ermöglicht weder der handelnden Behörde, noch dem verpflichteten Anbieter oder dem kontrollierenden Gericht, mit hinreichender Klarheit zu bestimmen, welche Voraussetzungen vorliegen müssen. Auch ist nicht gewährleistet, dass der Anbieter das Vorliegen der Zugriffsvoraussetzungen (z.B. richterliche Anordnung der Telekommunikationsüberwachung) anhand behördlich zur Verfügung gestellter Unterlagen kontrollieren kann. Wenn eine Behörde einen Zugriffscode anfordert, weiß der Anbieter nicht, ob dies zum Zweck der Telekommunikationsüberwachung oder zur Auswertung abgeschlossener Telekommunikation geschieht. Es ist nicht akzeptabel, die Kontrolle der gesetzlichen Voraussetzungen durch den Telekommunikationsanbieter bei der Anforderung von Zugriffscodes quasi ausfallen zu lassen, obwohl solche Codes besonders weitreichende und unkontrollierte Zugriffe ermöglichen.

Es ist aus diesen Gründen verfassungsrechtlich geboten, abschließend zu bestimmen, welche materiellen und formellen gesetzlichen Voraussetzungen für die Nutzung von Zugangscodes vorliegen müssen. Dazu bietet sich an, die Erhebung von Zugangssicherungscodes in den anzuwendenden Vorschriften zu regeln, namentlich in den Vorschriften über die Sicherstellung und die Telekommunikationsüberwachung. Wenn das Gesetz eine TK-Überwachung nur mit richterlicher Anordnung erlaubt, muss auch die Anforderung eines Zugangscodes zu diesem Zweck eine richterliche Anordnung (und nicht nur Bestätigung) voraus setzen.

Im Fall des Verfassungsschutzes ist nicht zu erkennen, dass überhaupt eine Vorschrift die Behörde zur Nutzung von Zugangscodes ermächtigen würde. Existiert keine solche Vorschrift, darf dem Verfassungsschutz auch kein Zugang zu Zugangssicherungscodes gewährt werden.

Ferner muss zur Wahrung des Verhältnismäßigkeitsgebots der Vorrang der Telekommunikationsüberwachung unter Mitwirkung des Anbieters vor dem unmittelbaren Zugriff mithilfe von Zugangssicherungscodes festgeschrieben werden.

Mangelnder Rechtsschutz wegen fehlender Benachrichtigung

Der Gesetzentwurf sieht keine Benachrichtigung der Betroffenen von Zugriffen auf ihre Daten vor.

Da eine Benachrichtigung Voraussetzung eines effektiven Rechtsschutzes gegen Grundrechtsverletzungen ist, ist aus Art. 19 Abs. 4 GG eine Benachrichtigungspflicht abzuleiten. Dies gilt insbesondere dann, wenn in das Fernmeldegeheimnis eingegriffen worden ist (IP-Zuordnung) und wenn Zugangssicherungscodes erhoben worden sind. Gerade im Fall der Zugangssicherungscodes haben Betroffene ein hohes Interesse an einer Benachrichtigung, um den Code nach Beendigung des Verfahrens ändern und dadurch rechtswidrigen Zugriffen vorbeugen zu können. Eine anderweitige Benachrichtigung erfolgt bei Drittbetroffenen (z.B. mutmaßlichen Nachrichtenmittlern) nicht, so dass eine besondere Benachrichtigungspflicht aufgenommen werden muss.

Verfassungsrechtlich geboten ist es außerdem, Benachrichtigungspflichten gegenüber identifizierten Internetnutzern vorzusehen, soweit und sobald hierdurch der Zweck der Auskunft nicht vereitelt wird oder sonst überwiegende Interessen Dritter oder des Betroffenen selbst nicht entgegenstehen (BVerfG, 1 BvR 256/08 vom 2.3.2010, Absatz-Nr. 263). Soweit von einer Benachrichtigung nach Maßgabe entsprechender gesetzlicher Regelungen ausnahmsweise abgesehen wird, ist anzuordnen, den Grund hierfür aktenkundig zu machen (a.a.O.). Die Artikel. 2 ff. des vorliegenden Gesetzentwurfs sind verfassungswidrig, weil sie die Identifizierung von Internetnutzern erlauben, ohne eine Benachrichtigung oder Aktennotiz vorzusehen.

Das Urteil des Bundesverfassungsgerichts vom 2.3.2010 ist ungeachtet dessen einschlägig, dass die dortigen Ausführungen zu § 113 TKG im Zusammenhang mit der mittelbaren Nutzung anlasslos und flächendeckend erhobener Verkehrsdaten erfolgt sind. Auf diesen Umstand hat das Bundesverfassungsgericht bei Darstellung der für § 113 TKG maßgeblichen verfassungsrechtlichen Eingriffsgrenzen nicht abgestellt. Es hat umgekehrt Literatur zitiert, welche die Beauskunftung nicht auf Vorrat gespeicherter Daten behandelt (BVerfG, 1 BvR 256/08 vom 2.3.2010, Absatz-Nr. 261). Auch bei der Bestimmung der Eingriffstiefe hat das Gericht auf die Verwendungsmöglichkeiten der Daten abgestellt und nicht darauf, wie sie erhoben worden sind (BVerfG, 1 BvR 256/08 vom 2.3.2010, Absatz-Nr. 258 f.).

Mangelnde Kontrolle durch fehlende Statistik

Der Quick-Freeze-Referentenentwurf des Bundesjustizministeriums sah vor, dass eine Statistik über die Identifizierung von Internetnutzern geführt wird, damit der Gesetzgeber die Entwicklung der Fallzahlen beobachten kann (§ 100k Abs. 4 StPO-RefE). Im vorliegenden Gesetzentwurf fehlt jede statistische Erfassung. Wir fordern, dass eine Statistik über sämtliche Bestandsdatenzugriffe geführt und veröffentlicht wird, in die auch Erfolg oder Misserfolg der Maßnahmen aufzunehmen ist.

Persönliche Werkzeuge
Werkzeuge