von Mark A. Zöller
Der Kampf um die Speicherung sog. Vorratsdaten über das Telekommunikationsverhalten der BürgerInnen und die Nutzung dieser Daten für die Strafverfolgung geht in die nächste Runde. Am 8. November 2006 stellte Bundesjustizministerin Brigitte Zypries einen Referentenentwurf vor, der u.a. die umstrittene EU-Richtlinie vom März dieses Jahres umsetzen soll.[1]
Die Möglichkeit, für Strafverfolgungszwecke auf Informationen über Telekommunikations-(TK)-Verbindungen zuzugreifen, lässt sich bis ins Jahr 1928 zurückverfolgen, als mit § 12 des damaligen Fernmeldeanlagengesetzes (FAG) eine entsprechende Befugnisnorm geschaffen wurde. Zu einem wichtigen Ermittlungswerkzeug wurden Daten über hergestellte Fernmeldeverbindungen allerdings erst, als die heutige Telekom 1989 begann, die bis dahin manuelle und elektromechanische durch digitale Vermittlungstechnik zu ersetzen. Seitdem wird für jede Kommunikationsbeziehung ein Datensatz erzeugt und digital auf den Servern der TK-Unternehmen abgelegt, um auf dieser Grundlage den KundInnen die in Anspruch genommenen Leistungen in Rechnung zu stellen.
Der sowohl technisch als auch rechtlich überholte § 12 FAG a.F. wurde im Jahre 2002 durch die §§ 100g und 100h der Strafprozessordnung (StPO) ersetzt. Diese ermöglichen es den Strafverfolgungsbehörden, bei bestehendem Anfangsverdacht in Bezug auf Straftaten von „erheblicher Bedeutung“ oder Straftaten, die mittels einer „Endeinrichtung“ begangen werden (z.B. beleidigende oder bedrohende Anrufe), von denjenigen, die geschäftsmäßig TK-Dienste erbringen oder daran mitwirken, Auskunft über Verbindungsdaten zu verlangen. Sofern die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsorts des Beschuldigten auf andere Weise aussichtslos oder wesentlich erschwert wäre, ist auch eine „Zielwahlsuche“ möglich. Dadurch können unbekannte Anschlussnummern ermittelt werden, von denen Verbindungen zu dem Anschluss des Beschuldigten hergestellt werden. Diese Maßnahme stellt schon deshalb einen intensiveren Grundrechtseingriff dar, weil dabei die Datensätze aller TeilnehmerInnen daraufhin gerastert werden, ob von ihren Anschlüssen aus Verbindungen zu dem „verdächtigen“ Anschluss hergestellt worden sind.
Als TK-Verbindungsdaten, über die Auskunft erteilt werden kann, nennt § 100g Abs. 3 StPO Berechtigungskennungen, Kartennummern, Standortkennung, Rufnummer oder Kennung des angerufenen Anschlusses oder der Endeinrichtung, sofern eine Verbindung zustande gekommen ist. Darüber hinaus werden auch Beginn und Ende der Verbindung nach Datum und Uhrzeit, die vom Kunden in Anspruch genommene TK-Dienstleistung, die Endpunkte festgeschalteter Verbindungen sowie ihr Beginn und Ende erfasst.
Damit die Auskunftsersuchen der Strafverfolgungsbehörden nicht ins Leere laufen, hat der Gesetzgeber durch TK-rechtliche Vorschriften die Erhebung und Bevorratung entsprechender Datensätze abgesichert. So dürfen die Diensteanbieter in Bezug auf ihre KundInnen auch „Verkehrsdaten“ i.S.d. § 96 des Telekommunikationsgesetzes (TKG) erheben und verwenden, die inhaltlich weitgehend dem Katalog des § 100g Abs. 3 StPO entsprechen. Der überwiegende Zweck der Erhebung besteht jedoch nach wie vor in der Rechnungslegung. Die Daten dürfen zwar bis zu sechs Monate nach Versendung der Rechnung gespeichert werden, allerdings können die KundInnen (nach § 97 Abs. 4 S. 1 Nr. 2 TKG) auch verlangen, dass die Zielnummer mit Versendung der Rechnung gelöscht wird. Da die meisten TK-Unternehmen monatliche Rechnungen stellen, bietet eine solche Vorgehensweise den Telefon- und InternetkundInnen die Möglichkeit, dass die sie betreffenden Verbindungsdaten nur ca. einen Monat lang in einer für die Strafverfolgungsbehörden interessanten, d.h. vollständigen Form vorrätig gehalten werden.
Umfassende Erhebungsbefugnis
Der nun vorgelegte Referentenentwurf, den das Kabinett im Frühjahr 2007 beraten soll, brächte weitreichende Änderungen der geltenden Rechtslage und beruft sich dabei auf die Pflicht zur Umsetzung der EU-Richtlinie.[2] So schlägt das Bundesjustizministerium (BMJ) nunmehr die Schaffung einer umfassenden Befugnis zur Erhebung von Verkehrsdaten vor (§ 100g Abs. 1 S. 1 StPO-E).
In Anknüpfung an die Vorgaben von Art. 20 des Europarats-Übereinkommens zur Computerkriminalität[3] sollen Verkehrsdaten nun auch „in Echtzeit“ erhoben werden können. Das Kommunikationsverhalten von Beschuldigten oder Personen, die diesen Nachrichten übermitteln oder ihren Anschluss überlassen, wäre damit live anhand der entstehenden Datenprotokolle auf dem Computerbildschirm mitzuverfolgen. Solche Ermittlungsmaßnahmen waren bislang nur auf der Grundlage der (inhaltlichen) TK-Überwachung nach den §§ 100a, 100b StPO möglich. Der bisherige § 100g StPO würde damit seinen Charakter als bloße gesetzliche Verankerung des behördlichen Auskunftsanspruchs verlieren.
Mit einer umfassenden Befugnisnorm zur Verkehrsdatenerhebung hält das BMJ eine eigenständige Regelung der Zielwahlsuche für überflüssig. Der Unterschied zwischen der „klassischen“ Verbindungsdatenauskunft und der wesentlich eingriffsintensiveren Zielwahlsuche, bei der notwendigerweise alle vorhandenen Datensätze unverdächtiger Personen gerastert werden, würde damit nivelliert.
Objekte der vorgeschlagenen Ermittlungsbefugnisnorm sind nach dem Wortlaut des Entwurfs auch nicht mehr „Verbindungsdaten“. Vielmehr knüpft nun auch das Strafprozessrecht an die Terminologie des § 96 Abs. 1 TKG an und spricht von „Verkehrsdaten“, d.h. Daten, die bei der Erbringung eines TK-Dienstes erhoben, verarbeitet oder genutzt werden.[4] Dass diese Verkehrsdaten in Umsetzung von Art. 5 der EU-Richtlinie deutlich über den Katalog der bislang auskunftsfähigen Verbindungsdaten hinausreichen, dürfte kaum überraschen. Wann hätte schon jemals ein StPO-Gesetzgeber freiwillig, d.h. ohne klaren Auftrag aus Karlsruhe, auf Ermittlungskompetenzen verzichtet, mögen sie in der Praxis auch noch so überflüssig sein? Die vielleicht entscheidende Änderung folgt jedoch aus der Tatsache, dass die Verkehrsdaten nach § 110 a TKG-E nunmehr ohne Ausnahme sechs Monate lang zu speichern wären. Zwar folgt der Entwurf dem Votum des Bundestages und bewegt sich mit dieser Speicherungsfrist am unteren Ende des in Art. 6 der Richtlinie vorgesehenen Rahmens (sechs Monate bis zwei Jahre).[5] Die KundInnen verlieren jedoch die Option, die Löschung der Daten nach Versendung der jeweiligen Rechnung zu verlangen. Die Sechsmonatsfrist wird unabänderbar.
Die Art der nach dem Referentenentwurf zu speichernden Verkehrsdaten dürfte insbesondere bei den Internet-Nutzern und den Datenschützern auf einen höchst sensiblen Nerv treffen. Dies lässt sich an folgenden drei Beispielen verdeutlichen: § 110 a Abs. 1 S. 1 TKG-E umschreibt den Kreis der zur Speicherung Verpflichteten mit den Worten: „wer Telekommunikationsdienste für die Öffentlichkeit erbringt oder daran mitwirkt“. Von dieser Formulierung wären zwar nicht Universitäten oder die Administratoren unternehmensinterner Netze betroffen, wohl aber diejenigen, die einen Anonymisierungsdienst anbieten und hierbei die Ausgangskennung des Nutzers durch eine andere ersetzen (z.B. der vom Unabhängigen Landeszentrum für den Datenschutz Schleswig-Holstein, ULD, mit betriebene Dienst AN.ON). Die Verpflichtung zur Vorratsdatenspeicherung würde solche Dienste entwerten. Für User, die ihre Identität im Netz für sich behalten wollen, bleibt daher nur der Rückgriff auf Anonymisierungsdienste, die von Servern außerhalb der EU operieren.
Darüber hinaus deuten sich auch für das Datenaufkommen beim E-Mail-Verkehr drastische Änderungen an. Schließlich sollen die Anbieter von E-Mail-Diensten (z.B. GMX.de, Web.de oder Yahoo.com) nicht nur zur Erhebung von Verkehrsdaten, sondern über den nunmehr vorgeschlagenen § 111 TKG-E auch zur Erfassung von Kundendaten wie Name, Anschrift, Geburtsdatum oder der Kennung des elektronischen Postfachs verpflichtet sein. Damit dürfte die anonyme oder unter fremden Namen erfolgende Anmeldung eines E-Mail-Accounts – jedenfalls bei deutschen Webmail-Diensten – ausgeschlossen sein.
Von besonderer Brisanz ist im Übrigen die Tatsache, dass die Erfassung und Vorratsspeicherung von sog. Internet-Protokoll-Adressen (IP-Adressen) nunmehr ausdrücklich vorgeschrieben sein soll (§ 110a Abs. 2 Nr. 5, Abs. 3 Nr. 2 und Abs. 4 Nr. 1 TKG-E). Die Frage, ob Anbieter die verwendeten IP-Adressen überhaupt speichern dürfen, war in den letzten Jahren wiederholt Gegenstand (zivil-)gerichtlicher Entscheidungen. Zuletzt hatte das Landgericht (LG) Darmstadt in einem Urteil vom 7. Dezember 2005[6] entschieden, dass ein Kunde mit einem „Flatrate-Tarif“ gegenüber seinem Zugangs-Provider einen Anspruch auf Unterlassung der Erhebung und der Speicherung des bei der Internetnutzung übertragenen Datenvolumens und der (dynamischen, d.h. bei jedem Einwählvorgang an den Nutzer vergebenen) IP-Adresse hat, da diese Informationen weder für die Entgeltermittlung noch für die Entgeltabrechnung erforderlich sind. Im Zusammenspiel mit sog. „Logfiles“, in denen die Adressen der besuchten Internetseiten enthalten sind, ermöglichen aber gerade IP-Adressen auch eine inhaltliche Überwachung der Internetnutzung. Mit Beschluss vom 26. Oktober 2006 hat nun auch der 3. Zivilsenat des Bundesgerichtshofs[7] eine Beschwerde von T-Online gegen die Nichtzulassung der Revision als unzulässig verworfen, so dass das Darmstädter Urteil rechtskräftig ist. Der berühmte „Federstrich des Gesetzgebers“ soll nun dieses eindeutige Votum der Rechtsprechung gegen die Speicherung von IP-Adressen in sein Gegenteil verkehren.
Verkehrsdaten ohne Verbindung
Mit dem Verzicht auf die Formulierung „im Falle einer Verbindung“ in § 100g StPO will der Entwurf den Weg dafür frei machen, auch Daten über solche technischen Vorgänge zu erlangen, bei denen überhaupt keine (erfolgreiche) Kommunikationsverbindung zustande gekommen ist. Diese Neuerung ist nicht durch die EU-Richtlinie erzwungen, sondern entspricht offenbar einem Interesse der deutschen Ermittlungsbehörden. Was zunächst wie eine harmlose Klarstellung wirkt, hat für den Beschuldigten weit reichende Konsequenzen.
Es bedeutet, dass Verbindungsdaten nicht nur dann anfallen und in die Hände der Strafverfolgungsbehörden gelangen können, wenn ein Verbindungsversuch scheitert (z.B. weil sich der angerufene Mobiltelefonkunde gerade in einem „Funkloch“ befindet). Vielmehr würde gerade durch die bei Mobilfunkteilnehmern zu erhebenden Standortdaten (§ 110a Abs. 2 Nr. 4c TKG-E) die Ortung eingeschalteter Handys in einer Funkzelle möglich. Auf diese Weise können nicht nur umfassende Bewegungsprofile erstellt werden. Zwar bleibt eine solche Standortbestimmung je nach Größe der Funkzelle ungenau. Angesichts der bereits beschriebenen Überwachung in Echtzeit würde das mitgeführte Handy zu einer Art ungewolltem Peilsender, der bis zu einem gewissen Grad die Ortung des Anschlussnutzers mit anderen technischen Methoden wie dem Global-Positioning-System (GPS) ersetzt.
Damit wäre zugleich die Diskussion darüber, ob und auf welcher rechtlichen Grundlage die Strafverfolgungsbehörden zur Lokalisierung eines Beschuldigten eine „stille SMS“ (Stealth-Ping-Verfahren) an dessen Mobiltelefon senden dürfen, erledigt und auch diese technische Ermittlungsmethode still und heimlich legalisiert.[8] Zwar sieht der Referentenentwurf (§ 100g Abs. 1 S. 3 StPO-E) die Erhebung von Standortdaten nur für schwere Straftaten i.S. des § 100a Abs. 2 StPO vor.[9] Allerdings zeigt ein Blick auf die zahlreichen dort genannten Vergehenstatbestände, dass durch diese Einschränkung lediglich Erscheinungsformen der leichten Kriminalität ausgeklammert wären. Kaum beruhigen kann da der beschwichtigende Hinweis, dass die Behörden nur dann auf Daten über „erfolglose Anrufversuche“ nach § 110 a Abs. 5 TKG-E zugreifen können, wenn der Anbieter sie ohnehin zu eigenen Zwecken speichert oder protokolliert.[10] Schließlich sind die Mobilfunkanbieter längst dazu übergegangen, ihren KundInnen erfolglose Anrufversuche per SMS mitzuteilen, so dass § 110a Abs. 5 weitgehend leer laufen dürfte.
Schließlich ist unter der Vielzahl der Änderungen noch auf § 100g Abs. 3 StPO-E hinzuweisen. Diese Bestimmung legt fest, dass sich die Erhebung von Verkehrsdaten, die sich nicht im Gewahrsam eines TK-Diensteanbieters befinden, nach den „allgemeinen Vorschriften“ bestimmt. Hinter diesem unscheinbaren Verweis steckt eine praktisch bedeutsame Weichenstellung. So wurde in der Vergangenheit verstärkt diskutiert, ob z.B. für ein Auslesen der Ruflisten aus einem im Zuge einer Durchsuchung aufgefundenen und sichergestellten Mobiltelefon die Regelung der §§ 100g, 100h StPO anwendbar ist. Insofern spricht sich der Referentenentwurf in Anlehnung an die jüngste verfassungsgerichtliche Stellungnahme zu dieser Problematik[11] dafür aus, dass die Auswertung solcher Informationen (z.B. auch bei vorgefundenen Verbindungsnachweisen in Papierform) für Polizei und Staatsanwaltschaft schon auf der Grundlage der Beschlagnahmevorschriften (§§ 94 ff. StPO) zulässig sein sollen.
Geeignet, erforderlich, angemessen?
Dass die Neuregelung zur Vorratsdatenspeicherung nunmehr in ein umfangreiches Reformpaket verpackt wird, das auch positive und längst überfällige Reformen (z.B. Berücksichtigung von Zeugnisverweigerungsrechten, Datenkennzeichnungs- und Benachrichtigungspflichten) enthält, vermag über ihre Schwächen nicht hinwegzutäuschen. Schon eine formale Berufung auf die durch die bis zum 15. September 2007 umzusetzende EG-Richtlinie kann nur bedingt überzeugen. Schließlich soll sie gemäß Art. 1 Abs. 1 sicherstellen, dass unionsweit Kommunikationsdaten „zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten“ zur Verfügung stehen. Damit geht es der Sache nach nicht um Fragen der Verwirklichung des EG-Binnenmarkts, die im Rahmen der Ersten Säule der Europäischen Union anzusiedeln wären. Vielmehr ist das Strafrecht und folglich die Dritte Säule betroffen[12]. In seinem Urteil vom 30. Mai 2006[13] zur Rechtmäßigkeit der Übermittlung europäischer Fluggastdaten an die USA hat der Europäische Gerichtshof (EuGH) bereits darauf hingewiesen, dass aus der Tatsache, dass Daten von privaten Wirtschaftsteilnehmern erhoben werden, noch nicht die Anwendbarkeit des Gemeinschaftsrechts folgt, wenn deren anschließende Übermittlung in einem von staatlichen Stellen geschaffenen Rahmen stattfindet und primär der öffentlichen Sicherheit dient. Insofern ist zu erwarten, dass der EuGH im Verfahren über die von Irland und der Slowakei mittlerweile erhobenen Nichtigkeitsklage[14] auch die Richtlinie 2006/24/EG – ungeachtet etwaiger Eingriffe in die Garantien des Art. 8 EMRK – schon mangels gemeinschaftsrechtlicher Kompetenzgrundlage für ihren Erlass für nichtig erklären wird.
Aber auch auf nationaler Rechtsumsetzungs-Ebene lässt sich die Verhältnismäßigkeit der nun im Referentenentwurf vorgeschlagenen Regelungen bezweifeln. Schließlich stellt die Übermittlung von Verkehrsdaten an die Strafverfolgungsbehörden einen Eingriff in das durch Art. 10 Abs. 1 GG gewährleistete Fernmeldegeheimnis bzw. – in Bezug auf bloße Positionsmeldungen aktiv geschalteter Mobiltelefone (sog. Stand-by-Daten) – das Recht auf informationelle Selbstbestimmung dar.[15] Die Zweifel betreffen vor diesem Hintergrund bereits die Geeignetheit der geplanten Maßnahmen. Zwar lässt sich nicht bestreiten, dass Auskünfte über Verkehrsdaten ein wichtiges Werkzeug für die Strafverfolgung darstellen. Sie zeigen auf, zwischen welchen Anschlüssen wann, wie lange und auf welche Weise kommuniziert worden ist bzw. noch kommuniziert wird. Daraus lassen sich wiederum Rückschlüsse auf das Verhalten, das soziale Umfeld oder den Aufenthaltsort der überwachten Person ziehen. Gerade TeilnehmerInnen aus dem Umfeld schwerer Kriminalitätsbereiche wie Terrorismus und Organisierter Kriminalität dürften die Verfolgbarkeit ihrer Daten leicht zu verhindern wissen – durch den Erwerb von Telefonkarten durch Strohmänner, den wechselnden Einsatz von Mobiltelefonen ausländischer Anbieter, die Nutzung von öffentlichen Telefonzellen und Internetcafés, die Veränderung von E-Mail- und IP-Adressen oder die Nutzung von Internet -Service-Providern außerhalb der EU.[16] Insofern dürften von den Speicherungen der TK-Diensteanbieter allenfalls Beteiligte an leichter bis mittelschwerer Kriminalität, vor allem aber unbescholtene Bürger betroffen sein.
Auch unter dem Blickwinkel der Erforderlichkeit sind die Pläne des BMJ fragwürdig. Gleichermaßen geeignete, aber in Bezug auf Grundrechtseingriffe mildere Mittel wurden vernachlässigt. Zum einen ist bislang weder auf EU- noch auf nationaler Ebene schlüssig dargelegt worden, dass kürzere Aufbewahrungsfristen für Verkehrsdaten den Bedürfnissen der Strafverfolgungspraxis nicht gerecht würden. Der Wissenschaftliche Dienst des Bundestages verwies in einem Gutachten vom August 2006 auf Analysen britischer und schwedischer Stellen, wonach sich die Datenabfragen der dortigen Behörden zu 80 bis 85 Prozent auf den Zeitraum der letzten drei Monate beziehen.[17] Zum anderen käme als milderes Mittel die in den USA praktizierte „Data Preservation“ in Betracht, bei der die Verkehrsdaten einer verdächtigen Person erst ab einem bestimmten Zeitpunkt auf richterliche Anordnung hin gespeichert werden („Data Freeze“). Dies könnte geschehen beim Verdacht auf Straftaten von erheblicher Bedeutung oder auf mittels Telekommunikation begangener Straftaten – in jenen Fällen also, die der Referentenentwurf jetzt als Voraussetzung einer umfassenden Erhebung auflistet. Eine solche anlassbezogene Datenspeicherung ist nicht nur in Art. 16 Abs. 2 des Europaratsübereinkommens über Computerkriminalität vorgesehen, sondern würde auch die Belastungen für die Anbieter durch eine Absenkung des Datenvolumens verringern.
Die im Referentenentwurf vorgesehenen Eingriffsmöglichkeiten sind im Übrigen auch nicht angemessen. Mit der Verpflichtung zur Erhebung und Speicherung von personenbezogenen Daten in erheblichem Umfang und für erhebliche Zeit werden alle Nutzer von TK-Dienstleistungen, de facto also nahezu alle EinwohnerInnen der EU, unter Generalverdacht gestellt. Zwar werden die BürgerInnen, deren Verkehrsdaten erfasst werden, formal weder als Beschuldigte geschweige denn bereits als Schuldige behandelt. Ein schaler Nachgeschmack bleibt dennoch – umso mehr, als in Zukunft auch die Nachrichtendienste mit ihren Zugriffsmöglichkeiten von den erweiterten TK-Datenbeständen profitieren.[18] Das BVerfG hat bereits in seinem Volkszählungsurteil auf die Gefahr hingewiesen, dass Personen, die damit rechnen, dass ihre Verhaltensweisen behördlich registriert werden und ihnen dadurch Risiken entstehen können, möglicherweise vollends auf eine Ausübung ihrer Grundrechte verzichten.[19] Aber nicht einmal dieser traurige Ausweg bleibt den um ihre Privatheit besorgten Personen in einer modernen Industriegesellschaft, die ohne Telefon und Internet kaum noch lebensfähig erscheint. Hinzu kommt, dass die Leistungssteigerung im Bereich der Strafverfolgung durch eine Abwälzung der Kosten auf private Unternehmen erreicht wird, die die Kapazitäten ihrer EDV-Systeme entsprechend ausbauen müssen, ohne dafür von Seiten des Bundes oder der Länder eine Entschädigung für Investitionen oder gesteigerte Betriebskosten zu erhalten. Der Bundesverband der Deutschen Industrie geht bei größeren Festnetz- und Mobilfunkunternehmen zusammen allein von Investitionskosten in dreistelliger Millionenhöhe und zusätzlichen Betriebskosten von mindestens 50 Mio. Euro pro Jahr aus.[20] Dennoch soll lediglich die schon bislang geltende Entschädigungspflicht nach § 23 des Justizvergütungs- und Entschädigungsgesetzes (JVEG) beibehalten werden, die pro Auskunftsersuchen eine Bearbeitungszeit von einer Stunde bei einem maximalen Stundensatz von 17 Euro vorsieht. Alle darüber hinausgehenden Kosten für weitere Server oder zusätzlich benötigtes Personal werden die Anbieter also notgedrungen an ihre KundInnen weitergeben müssen. Diese müssen letztlich für ihre eigene Bespitzelung auch noch einen Aufpreis in Kauf nehmen. Auf diese Weise bietet die nationale Entschädigungsregelung, die in den EU-Staaten unterschiedlich ausgestaltet werden kann, zugleich die Gefahr von Wettbewerbsverzerrungen innerhalb des Binnenmarkts.
Auch der nun vorgelegte Gesetzentwurf konnte der Versuchung nicht widerstehen, unter dem Deckmantel eines (tatsächlich oder vermeintlich) bestehenden gesetzlichen Reformbedarfs en passant auch noch weitere, damit inhaltlich nur bedingt zusammenhängende Wünsche der Sicherheitsbehörden nach Ausweitung der Überwachungsbefugnisse zu befriedigen. Das ist nicht nur unehrlich und der Schaffung bereichsspezifischer und normenklarer Datenschutzregelungen abträglich. Es verlagert einmal mehr die Last auf den Einzelnen, vor nationalen und europäischen Gerichten, insbesondere dem Bundesverfassungsgericht, dem Europäischen Gerichtshof und dem Europäischen Gerichtshof für Menschenrechte für die notwendigen Korrekturen zu sorgen.