von Katharina Maria Nocun
Das Gespenst der Vorratsdatenspeicherung geht um in Europa. Die Richtlinie 2006/24/EG verpflichtet die Mitgliedstaaten, nationale Gesetze zu erlassen, die die Erfassung aller Daten von Internet-, Telefon- und Handyverbindungen für eine Mindestdauer von sechs Monaten festschreiben.[1]
Eigentlich hätten die Mitgliedstaaten die Richtlinie bis zum 15. September 2007 für Telefon- bzw. bis zum 15. März 2009 für Internetdienste umsetzen müssen. Dass die Vorratsdatenspeicherung nach wie vor nicht EU-weit verankert ist, verdankt sich einem breiten Protest. Vor allem Bürgerrechtsbewegte stellen den angeblich zu erwartenden Ermittlungserfolgen eklatante Grundrechtseinschränkungen gegenüber.
In Deutschland haben sich Bürgerrechtsorganisationen im Arbeitskreis Vorratsdatenspeicherung (AK Vorrat) zusammengeschlossen, um sowohl gegen die EU-Richtlinie als auch deren deutsche Umsetzung vorzugehen. Das Bundesverfassungsgericht kippte im vergangenen Jahr das 2007 beschlossene deutsche Umsetzungsgesetz. Demnächst wird sich auch der Europäische Gerichtshof äußern müssen. Währenddessen feilt die Kommission an einer „Überarbeitung und Anpassung“ der Richtlinie, und auch in Deutschland versuchen Polizei und Innenministerien, die Vorratsdatenspeicherung doch noch durchzusetzen.
Mit einem der Ziele, die die Kommission ursprünglich vor Augen hatte, ist sie jedoch schon bei der Verabschiedung der Richtlinie selbst gescheitert: Diese brachte keineswegs die erwünschten einheitlichen Bedingungen für Kommunikationsdienstleistungsunternehmen im EU-Binnenmarkt, sondern eine Zunahme der Unterschiede. Sie ließ den Mitgliedstaaten bei der Umsetzung nämlich beachtlichen Spielraum sowohl bezüglich der Dauer der Speicherung – zwischen sechs Monaten und zwei Jahren – als auch der Umstände, unter denen Strafverfolgungsbehörden auf die Daten zugreifen dürfen. Die Staaten, die die Richtlinie in ihr Recht überführten, kamen denn auch zu unterschiedlichsten Resultaten.
Vorgegeben hat die EU vor allem die Parameter der zu erfassenden Kommunikationsdaten: Bei Telefongesprächen sowie SMS sind das die Anschlussnummern der KommunikationspartnerInnen sowie die Dauer der Verbindung. Bei Mobiltelefonen werden neben der Gerätenummer, mit der das Handy eindeutig identifiziert werden kann, zusätzlich die betreffende Funkzelle und wenn möglich sogar Längen- und Breitengrad des Standortes festgehalten. Da internetfähige Mobiltelefone oder Smartphones sich in regelmäßigen Abständen mit der nächsten Funkzelle verbinden, um beispielsweise das E-Mailkonto abzurufen, können detaillierte Bewegungsprofile entstehen.
Wenn über das Internet kommuniziert wird, müssen die Provider die genutzte IP-Adresse speichern. Diese Nummern werden jedes Mal dann neu generiert, wenn der Router sich ins Internet einwählt. Sie ermöglichen den elektronischen Datenaustausch, indem sie jeder TeilnehmerIn eine eindeutige „Adresse“ zuordnen. Eine IP-Nummer kann zwar im Laufe der Zeit neu vergeben werden. Es sind aber nie mehrere Rechner gleichzeitig mit derselben Adresse im Netz. Die Vorratsdatenspeicherung sieht nun vor, dass ein Internet-Provider bei jeder Einwahl einer seiner KundInnen diese unverwechselbare Adresse sowie die Dauer der Verbindung mit dem Internet speichert. Zusätzlich werden auch bei jeder E-Mail die IP-Adressen von AbsenderIn und EmpfängerIn erfasst. Somit kann jederzeit zurückverfolgt werden, wer wem wann eine elektronische Postkarte schickte.
Insbesondere bei elektronischer Kommunikation stellt das Erfassen der Verbindungsnachweise einen erheblichen zusätzlichen Aufwand dar. Die AnbieterInnen von Kommunikationsdienstleistungen müssen unter Umständen Daten sammeln, die – ginge es nur um die Rechnungslegung – gar nicht anfallen würden. Denn die meisten KundInnen schließen Flatrate- oder Pauschalverträge ab, bei denen eine Einzelabrechnung mithilfe der Verbindungsnachweise nicht notwendig ist. Standortdaten bei Mobiltelefonen oder IP-Adressen bei E-Mails sind vor Umsetzung der Richtlinie überhaupt nicht erfasst worden. Vorratsdaten gehen also weit über die bereits zuvor erfassten Verbindungsdaten hinaus. Es sind zu einem Großteil Daten, die sonst überhaupt nicht gespeichert würden – erst recht nicht auf „Vorrat“.
Problematisch ist auch, dass diese Daten für die gesamte Zeitspanne der gesetzlichen Speicherfrist bei den Privatunternehmen lagern. Zusätzliche technische Infrastruktur sowie Personal sind notwendig, um die jeweiligen gesetzlichen Vorgaben erfüllen zu können. Die Vorhaltung dieser recht umfangreichen Daten verursacht den Providern Kosten, die sie auf ihre KundInnen übertragen. Kommunikation wird durch Vorratsdatenspeicherung also zusätzlich verteuert.
Den Unternehmen obliegt auch die Sicherheit und der Schutz der sensiblen Kommunikationsdaten. Auch das ist für sie ein Kostenfaktor. Es besteht somit im Zweifelsfall die Gefahr, dass finanziellen Interessen ein Vorrang gegenüber Sicherheitsbedenken eingeräumt wird. Zudem gibt es nicht nur in Deutschland unter den Internet- und TelekommunikationsanbieterInnen solche, die in der Vergangenheit wiederholt durch Datenskandale Schlagzeilen gemacht haben. Wie ernst es ein Unternehmen mit dem Schutz der Verbindungsdaten nimmt, hängt nicht unerheblich von der jeweiligen Rechtslage ab. Jedoch unterscheiden sich die rechtlichen Rahmenbedingungen im Bereich Datenschutz und Datensicherheit innerhalb der EU enorm.
Von Datenspuren zu Bewegungsprofilen
Dass die Vorratsdatenspeicherung das grundgesetzlich verankerte Fernmeldegeheimnis empfindlich einschränkt, zeigt bereits eine einfache Analogie. Man stelle sich vor, die Post müsste AbsenderIn und EmpfängerIn jedes Briefs, jedes Pakets und jeder Postkarte registrieren. So etwas sei nicht durchsetzbar, mag man denken. Die Vorratsdatenspeicherung im Bereich der elektronischen Kommunikation geht jedoch über diese bloße Erfassung noch hinaus: Sie schafft die Möglichkeit, Bewegungsprofile zu erstellen und soziale und politische Netzwerke auszuleuchten.
Wie umfangreich Vorratsdaten in einer zunehmend auf digitale Kommunikationsmittel angewiesenen Gesellschaft tatsächlich sind und was sich aus ihnen herauslesen lässt, zeigte der Grünen-Politiker Malte Spitz, der 2010 die Telekom erfolgreich auf die Herausgabe seiner Vorratsdaten verklagte. Die Auswertung der Daten über die rund 35.000 Verbindungen eines halben Jahres war aufschlussreich. Da Spitz wie viele andere Menschen sein Mobiltelefon nur selten ausschaltet, konnten nicht nur 78 Prozent seiner Bewegungen nachvollzogen werden. Auch soziale und politische Netzwerke des Politikers ließen sich anhand der Daten fast lückenlos rekonstruieren.[2] Solche Profile sind nicht nur für PolitikerInnen, sondern für alle Berufsgruppen gefährlich, die besonders auf unbeobachtete Kommunikation angewiesen sind – seien sie nun Ärztinnen, Psychologen, Geistliche, Anwältinnen oder Medienschaffende. Die Vorratsdatenspeicherung bedroht damit Pressefreiheit und Berufsgeheimnisse.
Und natürlich ist sie auch eine Gefahr für das Grundrecht ganz „normaler“ BürgerInnen auf unbeobachtete Räume und Kommunikation. Aus vielen Einzelverbindungen oder Kommunikationsmustern lassen sich nämlich auch Inhalte rekonstruieren. Das Anrufen des psychologischen Notdienstes, der Aids-Hilfe, einer auf Scheidungsrecht spezialisierten Anwältin, einer lesbischen Gruppe oder der Ortsgruppe der Anonymen Alkoholiker wird ebenso registriert wie digitales und analoges politisches Engagement. Berufs- aber auch Bürgerrechtsverbände kritisieren daher zu recht, dass das Wissen um die Vorratsdatenspeicherung Menschen davon abhalten kann, Kontakt aufzunehmen. Die verdachtsunabhängige Speicherung von Kommunikationsdaten stellt die BürgerInnen unter Generalverdacht. Millionen von Daten werden unterschiedslos erfasst – obwohl nur ein Bruchteil davon schließlich für strafrechtliche Verfahren verwertet wird.
Polen – ein Fallbeispiel
Die Umsetzung der Richtlinie in Polen ist ein anschauliches Beispiel für Missbrauch und ausufernde Nutzung von Vorratsdaten. Der polnische Gesetzgeber hat den Rahmen der Richtlinie voll ausgeschöpft. Die Speicherfrist beträgt hier 24 Monate. Einige Parteien forderten gar die Ausweitung auf fünf Jahre, was allerdings von der EU-Kommission bewilligt werden müsste.
Zwar sollten Vorratsdaten lediglich für Ermittlungen bei besonders schweren Straftaten benutzt werden, die Statistik zeigt jedoch ein anderes Bild: 2010 gaben Telekom-Unternehmen die Vorratsdaten von rund 1,4 Millionen Personen an Strafverfolgungsbehörden heraus.[3] Bei 38 Millionen EinwohnerInnen ergibt sich somit eine hohe Wahrscheinlichkeit, dass ein großer Teil der Bevölkerung indirekt durch die Überwachung einer KommunikationspartnerIn betroffen war.
In Polen können Strafverfolgungsbehörden, Polizei und Geheimdienste Vorratsdaten ohne richterlichen Beschluss und somit ohne Kontrolle der Judikative durch eine einfache Anfrage anfordern und verwenden. Auch ist die Definition von schweren Straftaten hier sehr weit gefasst. In Ermittlungsverfahren ist es zudem üblich, die kompletten Kontakte von Tatverdächtigen zu überprüfen.[4] Hinzu kommt, dass die polnischen Datenschutzbehörden nicht föderalistisch, sondern zentral von Warschau aus operieren und geringere Mittel zur Verfügung haben als es beispielsweise in Deutschland der Fall ist. Es ist ihnen daher unmöglich, die Bedingungen, unter denen die Vorratsdaten bei den Unternehmen gespeichert werden, und die dort vorherrschenden Sicherheitsstandards angemessen zu überprüfen.
Einen massiven Skandal gab es hier auch schon.[5] Die Strafverfolgungsbehörden fragten die Daten von führenden investigativ arbeitenden JournalistInnen ab – ohne richterlichen Beschluss und gegen das geltende Presserecht, das Medienschaffenden den Schutz ihrer Quellen garantiert.[6] Die JournalistInnen hatten Fehlverhalten in Regierungskreisen öffentlich gemacht, und die bloßgestellten Politiker wollten die „Lücke“ in den eigenen Kreisen finden, aus denen die brisanten Informationen an die Presse gelangt waren. Verhältnismäßig ist das beim besten Willen nicht mehr. Der größte anzunehmende Missbrauch, vor dem DatenschützerInnen und BürgerrechtlerInnen stets gewarnt haben, ist in Polen also längst Realität geworden.
Verfassungsbeschwerden
In mehreren EU-Staaten haben sich Gerichte mit der Vorratsdatenspeicherung befasst. In Deutschland klagten 34.939 Menschen zusammen mit dem AK Vorrat vor dem Bundesverfassungsgericht. Einzelne PolitikerInnen der FDP und von Bündnis 90/Die Grünen sowie die Dienstleistungsgewerkschaft ver.di reichten zusätzliche Verfassungsbeschwerden ein. Am 11. März 2008 erließ das Bundesverfassungsgericht eine einstweilige Anordnung und schränkte die Nutzung der Daten durch Strafverfolgungsbehörden auf besonders schwere Straftaten ein. Bis zur Entscheidung in der Hauptsache durften die Vorratsdaten lediglich genutzt werden, wenn ein begründeter Tatverdacht vorlag, eine ErmittlungsrichterIn zuvor der Maßnahme zugestimmt hatte und Ermittlungserfolge durch anderweitige Methoden ausgeschlossen waren. In seinem Urteil vom 2. März 2010 schließlich entschied das Gericht zwar, dass „die vorsorgliche anlasslose Speicherung von Telekommunikationsverkehrsdaten durch die Diensteanbieter … mit Art. 10 GG (dem Fernmeldegeheimnis, d. Verf.) nicht schlechthin unvereinbar“ sei. Es verzichtete also darauf, die Richtlinie selbst für verfassungswidrig zu erklären. Allerdings hob es das Umsetzungsgesetz als „nichtig“ auf und verfügte die Löschung der bis dahin gesammelten, aber nicht von den Strafverfolgungsbehörden angeforderten Vorratsdaten.[7]
Die Entscheidungen des Bundesverfassungsgerichts sind Teil einer ganzen Serie von Urteilen, die das rechtliche Fundament der Richtlinie weiter ins Wanken brachten.[8] In Rumänien und Tschechien gaben Gerichte Bürgerrechtsorganisationen recht, die auf eine Verfassungswidrigkeit der Vorratsdatenspeicherung pochten. Im Sommer 2009 legte der irische High Court die Klage von Digital Rights Ireland dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vor.[9]
Einige Mitgliedstaaten wie Österreich und Schweden weigerten sich, die Richtlinie in nationales Recht umzusetzen und verwiesen auf laufende Verfahren vor dem EuGH, die die Vereinbarkeit mit der Europäischen Grundrechtecharta klären sollen. Nachdem die Kommission mit einem Vertragsverletzungsverfahren drohte, lenkte Österreich schließlich ein und beschloss die Einführung zum 1. April 2012.[10] Schweden weigert sich jedoch nach wie vor und nimmt somit ein solches Verfahren bewusst in Kauf.[11] Verfassungsgerichtsentscheidungen und umsetzungsunwillige Mitgliedstaaten lassen die Vorratsdatenspeicherung daher zur Machtprobe zwischen Mitgliedstaaten und EU werden.
Gesetzgebungschaos
Mit nur drei Monaten zwischen Vorstellung im Europäischen Parlament (EP) und der letzten Lesung war die Richtlinie 2006/24/EG das bis dahin schnellste Gesetzgebungsverfahren in der Geschichte der EU. Es ist daher auch wenig überraschend, dass innerhalb einer so kurzen Zeitspanne absehbare Probleme in der Umsetzung unberücksichtigt blieben. Wie die Kommission in ihrem Evaluierungsbericht selbst dokumentierte, führte die mangelnde Konkretisierung in der Richtlinie selbst zu enormen Unterschieden in den einzelnen Mitgliedstaaten.[12] Das betrifft nicht nur die bereits angemerkten massiven Differenzen bezüglich der Speicherfrist. Während die Daten in Deutschland gemäß dem vom Bundesverfassungsgericht gekippten Umsetzungsgesetz sechs Monate lang aufbewahrt werden mussten, sind es in Polen 24 Monate. Zehn Mitgliedstaaten haben sich für eine Dauer von einem Jahr entscheiden, einige haben unterschiedliche Fristen für Telefonie und Internetdienste festgesetzt.
Auch die Zugriffsbedingungen differieren: Vorratsdaten sollten im ursprünglichen Entwurf der Richtlinie lediglich für schwerste Straftaten wie auch Terrorismus Verwendung finden. Bisher ist die Formulierung in der EU-Richtlinie jedoch alles andere als eindeutig, so dass in einigen Mitgliedstaaten bereits bei geringfügigen Straftaten der Zugriff auf Datensätze erlaubt wird. In Malta werden Vorratsdaten genutzt, um gestohlene Mobiltelefone aufzuspüren. In Polen und Ungarn ist die Angabe von Gründen für eine Abfrage nicht erforderlich und auch eine richterliche Kontrolle findet nicht statt. Selbst der Begriff des internationalen Terrorismus ist weit weniger konkret als man gemeinhin vermuten dürfte.
Die richterliche Kontrolle bezüglich des Zugriffs von Strafverfolgungsbehörden ist ein weiterer Streitpunkt in der Debatte um die Vorratsdatenspeicherung. Die Effektivität dieser Kontrolle hängt nicht unerheblich von den Ressourcen der Justiz und den Verfahrensvorschriften ab. Nach der gescheiterten deutschen Regelung etwa hatten RichterInnen schriftlich zu begründen, weswegen sie den Strafverfolgungsbehörden den Zugriff auf die Vorratsdaten verweigerten. Eine Zustimmung musste dagegen nicht gerechtfertigt werden und erforderte daher erheblich weniger Arbeit. In Kombination mit der notorischen Überlastung der Justiz führt dies zu einer Praxis, in der die richterliche Erlaubnis zur bloß formalen Hürde degradiert wird.
Die in der „Artikel 29-Arbeitsgruppe“ zusammengeschlossenen Datenschutzbeauftragten der Mitgliedstaaten kritisierten auch die unterschiedlichen Sicherheitsbestimmungen in den Mitgliedstaaten.[13] Denn das Datenschutzrecht der Mitgliedstaaten könnte kaum unterschiedlicher sein und auch die finanzielle Ausstattung der Datenschutzbehörden variiert erheblich.
Es bleibt fraglich, ob eine von der Kommission angestrebte Überarbeitung der Richtlinie die rechtlichen aber auch politischen Unstimmigkeiten aus dem Weg räumen kann. So wird die Vorratsdatenspeicherung auch zur Machtprobe für die Aufteilung der Kompetenzen im Bereich der Inneren Sicherheit zwischen Regierungen und Kommission. Zusätzlich ist durch den neuen Vertrag von Lissabon das EP als neuer Akteur in der Debatte um die Justiz- und Polizeipolitik hinzugekommen. Ob es sich bei der Erneuerung der Richtlinie genauso über den Tisch ziehen lassen wird wie bei der Verabschiedung Ende 2005 bleibt abzuwarten. Damals wurde die Vorratsdatenspeicherung als Gegenstand der ersten Säule und damit im Mitentscheidungsverfahren verhandelt – und konnte durch die konservativen und sozialdemokratischen Abgeordneten eine Mehrheit im EP verbuchen. Die erste Machtprobe zwischen Kommission und EP unter den Bedingungen des Lissabonner Vertrags gab es bei der Debatte um das Datenaustauschabkommen SWIFT. Das EP lehnte hier die Entwürfe der Kommission aufgrund von datenschutzrechtlichen Bedenken mehrfach ab und erzwang dadurch eine erneute Überarbeitung.[14] Die von Kommissarin Cecilia Malmström angekündigte Neufassung der Richtlinie zur Vorratsdatenspeicherung dürfte deutlich länger dauern als die übereilte Einführung. Schließlich wird auch der EuGH noch ein Wort mitzureden haben.
Ein Blick in die Zukunft der Vorratsdaten
Wir leben in einem Zeitalter, in dem Kommunikation immer mehr unter Zuhilfenahme elektronischer Hilfsmittel stattfindet. Es ist unbestreitbar, dass auch Kriminelle sich dieser Mittel bedienen. Doch allein deshalb die Gesamtbevölkerung unter Pauschalverdacht zu stellen, kann nicht angemessen sein. Technisch versierte StraftäterInnen können die Vorratsdatenspeicherung mit wenig Aufwand leicht umgehen und sich somit der Maßnahme entziehen. Verschlüsselung, Anonymisierung oder Kommunikation über andere Medien sind nur einige Beispiele hierfür. Die DurchschnittsbürgerInnen hingegen können das nicht immer. Durch die engen Maschen dieser Überwachungsmaßnahme fallen somit gerade diejenigen, auf die es ankommt.
Noch als liberale EP-Abgeordnete und als schwedische Europaministerin hat die heutige Kommissarin Cecilia Malmström deutlich gegen die Vorratsdatenspeicherung gesprochen. Bei der letzten Anhörung am 3. Dezember 2010 in Brüssel erklärte sie hingegen: „Data retention is here to stay“.[15] Die Vorratsdatenspeicherung wird demnach durch die Kommission nicht mehr hinterfragt. Lediglich eine „Anpassung“ ist vorgesehen. VertreterInnen der Kommission ließen bei dieser Anhörung zudem verlauten, Missbrauchsfälle seien ihnen nicht bekannt. Die von polnischen Bürgerrechtsorganisationen vorgelegten Berichte über die Ausforschung von Medienschaffenden mithilfe von Vorratsdaten wurden schlicht ignoriert. Die Kommission möchte an der Richtlinie festhalten und strebt ihre bloße Überarbeitung an. Grundrechtsfragen stehen dabei weniger auf der Agenda. Fragen nach den Auswirkungen der Vorratsdatenspeicherung für Gesellschaft und Politik werden voraussichtlich unbeantwortet bleiben. Mit Spannung wird daher das Urteil des EuGH erwartet, der sich gerade mit diesen Aspekten auseinandersetzen soll.
In Deutschland gibt es Bestrebungen vor allem von Seiten der CDU/CSU und des Innenministers, die Vorratsdatenspeicherung wieder einzuführen. Das Urteil des Bundesverfassungsgerichts hat einer möglichen Neuauflage jedoch klare verfassungsrechtliche Grenzen gesetzt: dezentrale Speicherung der Daten, Beschränkung ihrer Nutzung auf zuvor genau eingegrenzte schwere Straftaten sowie angemessene Maßnahmen für Datensicherheit und Datenschutz.[16] Dies dürfte in jedem Fall teuer werden, unabhängig davon, ob die Kosten von den Betreibern oder von der Regierung getragen werden.
Das Bundesverfassungsgericht hat diese Maßgaben als die äußerste Grenze des mit dem Grundgesetz vereinbaren beschrieben. Die Frage ist daher, ob es notwendig ist, diesen Rechtsrahmen voll auszuschöpfen oder ob nicht auf Maßnahmen der verdachtsunabhängigen Überwachung der Bevölkerung grundrechtsschonend verzichtet werden kann.
Denn die Vorratsdatenspeicherung ist bei weitem nicht so alternativlos, wie ihre BefürworterInnen sie gerne darstellen. Eine der Möglichkeiten ist das in vielen Staaten bereits erfolgreich angewandte „Quick Freeze“, das Einfrieren der Verbindungsdaten einer verdächtigen Person mit richterlicher Genehmigung bei dringendem Tatverdacht. Statt der Massenerfassung und breiten Überwachung der Bevölkerung wird so die gezielte Ermittlung gegen StraftäterInnen wieder in den Vordergrund gerückt. Eine weitere Alternative besteht schließlich darin, die Ermittlungsbehörden mit mehr finanziellen Mitteln auszustatten.
Für die Politik ist die Vorratsdatenspeicherung in erster Linie eine Maßnahme, die wenig kostet. Denn sowohl die finanziellen als auch die immateriellen Kosten tragen die Betroffenen. Der Preis, den die Gesellschaft für die Vorratsdatenspeicherung zahlt, lässt sich jedoch nur schwer in Zahlen fassen. Vorratsdatenspeicherung, das bedeutet 500 Millionen Datensätze mit Bestands- und Verbindungsdaten, die das Leben der europäischen Bevölkerung erfassen. Unser soziales und physisches Umfeld. Die letzten sechs Monate eines bewegten Lebens in der Kommunikationsgesellschaft. In vielen Staaten dieser Welt ist es leider üblich, die Kommunikation der Bevölkerung durch staatliche Überwachung zu regulieren. Denn Kontrolle bedeutet stets auch Machtausübung. Die jüngsten politischen Umbrüche in Nordafrika haben gezeigt, dass moderne Kommunikationsmittel unverzichtbar sind für freie Meinungsäußerung und die Schaffung von Öffentlichkeit gegen Unterdrückung. Und Öffentlichkeit kann im Idealfall Regierungen zu notwendigen Reformen und Transparenz bewegen. Somit ist die Debatte um die Vorratsdatenspeicherung nicht zuletzt auch eine Debatte um die Gesellschaft von morgen und wie wir mit neuen Chancen des Informationszeitalters umgehen wollen.