So sehr man ver­ste­hen kann, dass Frau Leu­theus­ser-Schnar­ren­ber­ger nicht wie­der von einem Minis­ter­amt zurück­tre­ten will, weil ihr per­sön­lich auf­rich­ti­ges Bemü­hen um den Erhalt bür­ger­li­cher Frei­hei­ten kei­ne Mehr­heit in ihrer Regie­rungs­ko­ali­ti­on fin­det: Mit ihrem Eck­punk­te­pa­pier und dem dar­in vor­ge­stell­ten Kon­zept des „Quick Free­ze plus“ tut sie ihrer Sache und der Dis­kus­si­on um Gren­zen der Über­wa­chung des Inter­net im Ergeb­nis lei­der kei­nen Gefal­len. Lachen­der Drit­ter dürf­ten die Befür­wor­ter einer mög­lichst weit­ge­hen­den Vor­rats­da­ten­spei­che­rung sein. Aber nicht nur dies­be­züg­lich erweist sich ihr Eck­punk­te­pa­pier als „Wolf im Schafs­pelz“. Eine ers­te, sehr kri­ti­sche Analyse.

Bun­des­jus­tiz­mi­nis­te­rin Sabi­ne Leu­theus­ser-Schnar­ren­ber­ger (FDP) hat sich – wenn auch für Teil­neh­mer der Anhö­rung des Bun­des­mi­nis­te­ri­ums der Jus­tiz (BMJ) im letz­ten Jahr wenig über­ra­schend – wie zuvor schon der Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar (http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/zwei-wochen-lang-alles-speichern/) nun­mehr auch öffent­lich in einem Inter­view mit der Süd­deut­schen Zei­tung für das Ver­fah­ren „Quick Free­ze Plus“ aus­ge­spro­chen (http://www.sueddeutsche.de/politik/justizministerin-im-sz-gespraech-es-darf-nicht-uferlos-gespeichert-werden‑1.1047230).

Bei die­sem auch als „Vor­rats­da­ten­spei­che­rung light“ (+ Schock­fros­ten) bekann­ten Ansatz sol­len alle Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men (TK-Unter­neh­men) ver­pflich­tet wer­den, IP-Ver­bin­dungs­da­ten zumin­dest eini­ge Tage ver­dachts­un­ab­hän­gig zu spei­chern, auch wenn die­se nicht für Abrech­nungs­zwe­cke erfor­der­lich sind. Soweit vor Ablauf der sie­ben Tage den Pro­vi­dern ein „Siche­rungs­an­trag“ durch Poli­zei und Staats­an­walt­schaf­ten zuge­ru­fen wird, sol­len sie durch das neue Gesetz ver­pflich­tet wer­den, die dar­in näher bezeich­ne­ten Daten kun­den­be­zo­gen län­ger zu spei­chern, bis inner­halb einer wei­te­ren Frist durch ein Gericht ent­schie­den ist, ob die­se an den Siche­rungs­an­trag­stel­ler her­aus­zu­ge­ben, andern­falls zu löschen sind (vgl. Eck­punk­te­pa­pier http://www.bmj.de/SharedDocs/Downloads/DE/pdfs/eckpunktepapr_zur_sicherung_vorhandener_verkehrsdaten).

Geg­ner der Vor­rats­da­ten­spei­che­rung (VDS), die sich gemein­sam mit der damals noch oppo­si­tio­nel­len Abge­ord­ne­ten Leu­theus­ser-Schnar­ren­ber­ger gegen die Bestim­mun­gen des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes erfolg­reich vor dem Bun­de­ver­fas­sungs­ge­richt (BVerfG) beschwert hat­ten, kri­ti­sie­ren ihre Plä­ne scharf: Das geplan­te Modell wür­de nicht der gewünsch­ten Begren­zung der ja euro­pa­recht­lich wei­ter­hin zur natio­na­len Umset­zung gebo­te­nen VDS unter dem vom BVerfG ver­ord­ne­ten stren­gen Regime die­nen, son­dern könn­te im Ergeb­nis Anzahl und Aus­maß der anlass­lo­sen Über­wa­chun­gen der Inter­net­nut­zer und die Belas­tung der ver­pflich­te­ten Unter­neh­men viel­mehr noch erhö­hen (http://www.heise.de/newsticker/meldung/Justizministerin-fuer-Vorratsdatenspeicherung-light-1170207.html). Wenn nicht sogar das wirk­li­che Ziel der Minis­te­rin, so doch das Ergeb­nis ihres „Quick Free­ze Plus“ wäre es, die Posi­ti­on der Urhe­ber­rechts­in­ha­ber und ihrer Aus­kunfts­an­sprü­che zur zivil­recht­li­chen Rech­te­ver­fol­gung zu stär­ken. Der AK Vor­rats­da­ten­spei­che­rung, der in der FDP-Minis­te­rin bis­her immer eine Ver­bün­de­te gese­hen hat­te, reagiert jeden­falls offen­sicht­lich ent­setzt auf die Vor­schlä­ge „sei­ner“ Minis­te­rin (http://www.vorratsdatenspeicherung.de/images/brief_bminj_2011-01–17_anon.pdf ).

Ob sich ins­be­son­de­re letz­te­re Befürch­tun­gen bestä­ti­gen oder sich viel­mehr das geplan­te Gesetz am Ende doch als „nichts im Ver­gleich zu dem Auf­wand, der nach der Vor­rats­da­ten­spei­che­rung anfiel“ erweist, wie die Bun­des­jus­tiz­mi­nis­te­rin im Inter­view beteu­ert, wird man sicher­lich erst nach Kennt­nis des genau­en Wort­lauts des Gesetz­ent­wur­fes exakt bestim­men können.

Fest steht für mich jedoch bereits nach Ana­ly­se des sech­sei­ti­gen Papiers und der Gesprä­che mit den Ver­ant­wort­li­chen in Regie­rung und Opposition:

In Sachen Vor­rats­da­ten­spei­che­rung hat sich die Bun­des­jus­tiz­mi­nis­te­rin unter akti­vem Zutun eini­ger VDS-Geg­ner und Daten­schüt­zer – wenn auch sicher­lich in nobler Absicht, aber den­noch ohne Not – ganz tief in eine poli­ti­sche Sack­gas­se hin­ein­ma­nö­vriert. Bei der sie am Ende wahr­schein­lich selbst nicht mehr so rich­tig wuss­te, wie sie ohne Gesichts­ver­lust her­aus- und schluss­end­lich noch zu einer auch von der CDU/CSU poli­tisch akzep­tier­ten Lösung kom­men soll. Die Befür­wor­ter wei­ter Rege­lun­gen zur Tele­kom­mu­ni­ka­ti­ons­über­wa­chung aus ande­ren Minis­te­ri­en und Behör­den hat­ten das schon vor gerau­mer Zeit erkannt. Die feix­ten bereits in der Anhö­rung des Minis­te­ri­ums Ende Sep­tem­ber ganz offen über die enga­gier­te Bür­ger­recht­le­rin und ihre offen­sicht­lich an den Ziel­kon­flik­ten ver­zwei­feln­den Mit­ar­bei­ter. Und sie sag­ten bereits ihr „Umfal­len“ in der Fra­ge der Spei­che­rung von Daten auf Vor­rat voraus.

Das was Leu­theus­ser-Schnar­ren­ber­ger nun aber als ihre poli­ti­sche Lösung prä­sen­tiert, geht über mei­ne Befürch­tun­gen weit hin­aus. Es könn­te sich im Ergeb­nis für Bür­ger­rech­te und Tele­kom­mu­ni­ka­ti­ons­in­dus­trie als belas­ten­der erwei­sen, als die vom Bun­des­ver­fas­sungs­ge­richt auf­ge­ho­be­nen Vor­schrif­ten. Denn bis­lang offen­sicht­lich unbe­merkt auch von vie­len Kri­ti­kern, soll laut dem Eck­punk­te­pa­pier nicht nur die Mög­lich­keit einer (wenn auch zeit­lich deut­lich begrenz­te­ren) anlass­lo­sen Spei­che­rung von IP-Adres­sen eröff­net wer­den, son­dern wer­den zugleich auch die Mög­lich­kei­ten der auch nur auf einen abs­trak­ten Ver­dacht hin bezo­ge­nen Über­wa­chung aller Bür­ge­rin­nen und Bür­ger ganz erheb­lich aus­ge­wei­tet! Die Eck­punk­te der Minis­te­rin erwei­sen sich für mich bei nähe­rer Betrach­tung wie der sagen­haf­te „Wolf im Schafspelz“:

1. Datenspeicherung bei konkretem Tatverdacht? Gibt es schon, was soll das also?

Selbst­ver­ständ­lich kann der Staat heu­te schon bei hin­rei­chen­dem Ver­dacht und auf rich­ter­li­chen Beschluss im Rah­men des §100a StPO (http://www.juraforum.de/gesetze/stpo/100a-ueberwachung-der-telekommunikation) alles an Tele­kom­mu­ni­ka­ti­on (TK) über­wa­chen und beaus­kunf­tet bekom­men, was es über­haupt so bei einem TK-Unter­neh­men an Daten über sei­nen Kun­den gibt. Ein­schließ­lich der gespei­cher­ten Ver­bin­dungs­da­ten eines Anschlus­ses oder des gesam­ten Inter­net- und sons­ti­gen Daten­ver­kehrs eines kon­kret Ver­däch­tig­ten. Die gesam­ten TK-Ver­keh­re wer­den in einem sol­chen Fall vom zwangs­ver­pflich­te­ten Unter­neh­men über eine vor­ge­ge­be­ne Schnitt­stel­le an die Behör­den aus­ge­lei­tet und kön­nen dann dort natür­lich auch „auf Vor­rat“ gespei­chert und spä­ter in aller Ruhe aus­ge­wer­tet wer­den (wenn sie es denn über­haupt tech­nisch kön­nen…). Die­sen Teil der Tele­kom­mu­ni­ka­ti­ons­über­wa­chung hat auch das Bun­des­ver­fas­sungs­ge­richt nicht für pro­ble­ma­tisch gehal­ten. Mit ande­ren Wor­ten: Bei Vor­lie­gen eines hin­rei­chen­den Ver­dachts einer der „Kata­log­ta­ten“ bedürf­te es über­haupt kei­nes „Quick Free­ze“ oder irgend­ei­nes sons­ti­gen neu­en Gesetzes.

Der Abschnitt I des Eck­punk­te­pa­pie­res beschreibt unter der Über­schrift „Siche­rung vor­han­de­ner Ver­kehrs­da­ten“ inso­weit kei­nen „Fort­schritt“ hin zu weni­ger Über­wa­chung, son­dern erweist sich viel­mehr inso­weit als sehr pro­ble­ma­tisch, als er die bis­he­ri­gen for­ma­len Schwel­len der Anord­nung einer ver­bin­dungs­da­ten­be­zo­ge­nen Teil­neh­mer­an­schlus­s­über­wa­chung sen­ken und zugleich die Reich­wei­te der Ver­pflich­tun­gen und den Auf­wand der betrof­fe­nen Unter­neh­men erhö­hen will. Anstatt einen gericht­li­chen Beschluss vor­le­gen und selbst für Spei­che­rung und Ver­ar­bei­tung der aus­ge­lei­te­ten Daten sor­gen zu müs­sen oder sich ansons­ten mit dem zu begnü­gen, was das ver­pflich­te­te Unter­neh­men an Infor­ma­tio­nen schon ver­ar­bei­tet und gespei­chert hat, dürf­ten die Ermitt­ler sich dar­über sehr freu­en. Schon aus öko­no­mi­schen Grün­den könn­ten sie zukünf­tig stets nur noch mit Hil­fe der kos­ten­güns­ti­ge­ren und beque­me­ren „Siche­rungs­an­ord­nung“ arbei­ten, wenn sie Daten haben wol­len, die sich nicht schon aus einer Rech­nungs­ko­pie erge­ben und am Inhalt einer Kom­mu­ni­ka­ti­on kein Inter­es­se haben. Eine auf­wen­di­ge­re rich­ter­li­che Ver­fü­gung bean­tra­gen und begrün­den zu müs­sen, wie es bis­lang gesetz­lich vor­ge­se­hen ist, soll ja gera­de nicht mehr erfor­der­lich sein, um das ver­pflich­te­te Unter­neh­men zu Auf­wen­dun­gen zu zwingen.

Eine ande­re sach­li­che Not­wen­dig­keit für ein „Quick Free­ze“ im Bereich anlass­be­zo­ge­ner Über­wa­chung und „Siche­rung vor­han­de­ner Ver­kehrs­da­ten“ gibt es dage­gen eigent­lich nicht: Die Umset­zun­gen der ver­dachts­be­zo­ge­nen Tele­kom­mu­ni­ka­ti­ons­über­wa­chung ist heu­te näm­lich schon hin­rei­chend gesetz­lich gere­gelt, erfolgt weit­ge­hend zen­tra­li­siert und die Ver­fah­ren sind ein­ge­spielt. Aus­kunfts- und Über­wa­chungs­an­ord­nun­gen der Gerich­te wer­den in der Pra­xis, wo nötig, inner­halb Stun­den­frist umge­setzt. Pro­ble­ma­tisch ist aus Sicht des Staa­tes ein­zig, dass er die Kos­ten dafür weit­ge­hend selbst zu tra­gen hat und häu­fig gar nicht in der Lage ist, die Men­gen an Daten irgend­wie sinn­voll zu ver­ar­bei­ten, die er sich in sei­ne Poli­zei­sta­tio­nen aus­lei­ten lässt, weil er an der nöti­gen Tech­nik und eige­nem Know-how spart.

2. Quick Freeze bedeutet mitnichten Datenvermeidung

Daten­ver­mei­dung funk­tio­niert in der digi­ta­len Welt nicht so recht, auch wenn es so man­che Daten­schüt­zer immer noch nicht wahr­ha­ben wol­len: Ohne Über­mitt­lung und (Zwi­schen-) Spei­che­rung von Daten wie Ruf­num­mern und IP-Adres­sen funk­tio­niert Tele­fo­nie oder Inter­net schlicht nicht. Inso­weit erweist sich die digi­ta­le Tech­nik nie­mals als völ­lig „daten­schutz­kon­form“. Will man den­noch nicht ganz dar­auf ver­zich­ten, kann man allein dar­über dis­ku­tie­ren, wie lan­ge anfal­len­de Daten gespei­chert und wie schnell sie gelöscht wer­den. Und vor allem, ob die in der Tele­kom­mu­ni­ka­ti­on aus tech­ni­schen Grün­den zwangs­läu­fig anfal­len­den Roh­da­ten über­haupt mit den Stamm­da­ten eines Nut­zers zusam­men­ge­führt und nach die­ser „Hoch­zeit“ aus nur theo­re­tisch „per­so­nen­be­zieh­ba­ren“, ech­te „per­so­nen­be­zo­ge­ne“ Daten eines Bür­gers werden.

Frü­her haben TK-Anbie­ter und Inter­net-Pro­vi­der Daten wie die Dau­er einer Inter­net­ver­bin­dung, Traf­fic-Volu­men und dyna­mi­sche IP-Adres­sen ihrer Kun­den zum Zwe­cke der Rech­nungs­stel­lung ver­ar­bei­ten und spei­chern müs­sen. Nach der schritt­wei­sen Umstel­lung auf Flat­rate-Tari­fe wur­den die­se wei­ter­hin anfal­len­den Roh­da­ten für das „Bil­ling“ der Kun­den aber nicht mehr benö­tigt, aber den­noch meist stan­dard­mä­ßig wei­ter­hin gespei­chert, wenn auch nicht mehr für die Abrech­nung auf­be­rei­tet und daher auch nicht mehr mit den Adress­da­ten des Kun­den zusam­men­ge­führt. Hin­ter­grund war, dass die IT-Ver­ant­wort­li­chen in den Unter­neh­men die­se Daten meist von sich aus für die Bekämp­fung von „Fraud“ (Betrug zu Las­ten des TK-Unter­neh­mens) und aus Angst vor (tech­ni­schen) Miss­bräu­chen, zur SPAM- und Viren­be­kämp­fung und aus ähn­li­chen Grün­den schlicht erst ein­mal bes­ser noch eine Wei­le behal­ten woll­ten. Förm­li­che Anwei­sung zur Spei­che­rung der Roh­da­ten gab es in den wenigs­ten der Unter­neh­men. Die Tabel­len wur­den in der Pra­xis daher manch­mal natür­lich auch erst Mona­te spä­ter gelöscht, wenn der Spei­cher ein­fach voll lief und jemand in der IT den Spei­cher­platz wie­der brauchte…

Ohne dass sol­che Roh­da­ten in den meist monat­lich statt­fin­den­den „Bil­ling-Läu­fen“ der TK-Unter­neh­men oder in Tabel­len für Ein­zel­ver­bin­dungs­nach­wei­se ein­flie­ßen, ist aber bei­spiels­wei­se die Zuord­nung dyna­mi­scher IP-Adres­sen zu ein­zel­nen Nut­zern regel­mä­ßig nur nach auf­wen­di­ger „hän­di­scher“ Bear­bei­tung mög­lich und wur­de daher mit Aus­nah­me weni­ger Ein­zel­fäl­le nach mei­ner per­sön­li­chen Erfah­rung nur äußerst sel­ten vor­ge­nom­men. Anfra­gen von Urhe­ber­rech­te­inha­ber konn­ten jeden­falls schon des­we­gen nicht beant­wor­tet wer­den, weil die Roh­da­ten ohne vor­he­ri­ge Ver­ar­bei­tung (der „Hoch­zeit“ mit den Stamm­da­ten des Kun­den) eben nicht zu (Bestands-) Daten wer­den, die her­aus­zu­ge­ben wären. Auch dies­be­züg­lich täuscht m.E. das Eck­punk­te­pa­pier der Minis­te­rin in der Ein­lei­tung zu II. Abschnitt über die Tatsachen.

Im Eck­punk­te­pa­pier wird in I. 3. nun­mehr aber ein­fach behaup­tet, dass alle von der EU-Richt­li­nie genann­ten Datenarten (so aus­drück­lich I.8.) von den TK-Unter­neh­men heu­te schon zu geschäft­li­chen Zwe­cken gespei­chert wür­den. Das aber ist über­haupt nicht zwin­gend der Fall. Denn Daten die bei­spiels­wei­se im „Switch“ (Ver­mitt­lungs­stel­le) als Roh­da­ten zwangs­läu­fig anfal­len, sind näm­lich ohne bewuss­te wei­te­re Ver­ar­bei­tung meist über­haupt nicht iden­tisch mit den Daten, die von der Behör­de als Aus­kunft erwar­tet wer­den. Dar­auf aber nimmt das Eck­punk­te­pa­pier jedoch nicht etwa im Sin­ne eines „Best-Effort“-Ansatzes Rück­sicht, son­dern ver­pflich­tet nach I.4. „die poten­ti­ell betrof­fe­nen TK-Diens­te­an­bie­ter“ viel­mehr, „auf eige­ne Kos­ten Vor­keh­run­gen zu tref­fen, damit eine Siche­rungs­an­ord­nung“ ent­spre­chend der Wün­sche der anfra­gen­den Behör­de „schnell und effek­tiv […] umge­setzt“ wer­den kann. Mit ande­ren Wor­ten: Selbst bei Daten, die viel­leicht aus tech­ni­schen Grün­den und damit schon im Sin­ne des I.3 anfal­len, aber für sich noch nicht kun­den­re­le­vant sind, müs­sen sich die Unter­neh­men künf­tig auf „Siche­rungs­maß­nah­men für die­se Daten­ar­ten ein­rich­ten“ und die Roh­da­ten dazu auch ohne kon­kre­te Siche­rungs­an­ord­nung künf­tig lau­fend kun­den­be­zo­gen verarbeiten.

3. BGH bestätigte grundsätzliches Gebot der Datenlöschung

Eines der weni­gen Unter­neh­men, dass bereits in der Ver­gan­gen­heit auch noch nach Umstel­lung auf Flat­rate-Tari­fe sei­ne Roh­da­ten zumin­dest hin­sicht­lich dyna­mi­scher IP-Adres­sen wei­ter­hin kun­den­be­zo­gen ver­ar­bei­tet hat, war T‑Online, der Inter­net-Pro­vi­der der Deut­schen Tele­kom (DTAG): In Darm­stadt erteil­te man daher auch noch ent­spre­chen­de Aus­künf­te über die Iden­ti­tät des Nut­zers einer dyna­mi­schen IP-Adres­se, wäh­rend die­ses woan­ders schon längst nicht mehr ver­ar­bei­tet wur­de. Zehn­tau­sen­de von Kun­den der DTAG beka­men dar­auf­hin Abmah­nun­gen wegen angeb­li­chen „File­sha­rings“, wäh­rend die Kun­den ande­rer Unter­neh­men unbe­hel­ligt blie­ben. Wie zu erwar­ten war, kam es dar­auf­hin zum Eklat: Der BGH bestä­tig­te 2006 (auf Betrei­ben u.a. von RA Patrick Brey­er vom AK Vor­rat) das Ver­bot einer Spei­che­rung aller nicht abrech­nungs­re­le­van­ten Daten (sie­he http://www.heise.de/newsticker/meldung/BGH-bestaetigt-Urteil-zur-Loeschung-von-IP-Adressen-115338.html). IP-Adres­sen sie danach auf­grund feh­len­der ande­rer gesetz­li­chen Rege­lun­gen unmit­tel­bar nach Ende der Ver­bin­dung zu löschen.

Anders als in den USA und in ande­ren Län­dern, wo es kei­nen ver­gleich­bar stren­gen daten­schutz­recht­li­chen Grund­satz der Löschung gibt, dür­fen in Deutsch­land sol­che Daten eben ohne recht­li­che oder ver­trag­li­che Erlaub­nis oder beson­de­re Not­wen­dig­keit nicht auf­be­wahrt wer­den. Aber nur des­we­gen funk­tio­niert „Quick Free­ze“ in den USA auch pro­blem­los und weit­ge­hend kon­flikt­frei (ein Umstand, den frei­lich selbst man­che Daten­schüt­zer zu über­se­hen schei­nen, vgl. nur den Bei­trag von Thi­lo Wei­chert http://www.lto.de/de/html/nachrichten/350/Schnell-einfrieren-statt-lange-speichern/). Denn dort wer­den die sowie­so zahl­reich von den Unter­neh­men zu eige­nen Zwe­cken „auf Vor­rat“ gespei­cher­ten und z.B. bereits zu Mar­ke­ting­s­zwe­cken per­so­nen­be­zo­gen auf­be­rei­te­ten Kun­den­da­ten auf behörd­li­chen Zuruf hin ein­fach län­ger auf­be­wahrt und ggfs. auch für weit ver­gan­ge­nen Zeit­räu­me her­aus­ge­ge­ben. Die Unter­neh­men bestim­men dort weit­ge­hend selbst, was sie über ihre Kun­den wis­sen und spei­chern wol­len. Die nach dem Urteil des BVerfG (http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg10-011) wie­der aktu­el­le Rechts­la­ge und auch Pra­xis in Deutsch­land ist gegen­über den USA aber eine (glück­li­cher­wei­se) ganz ande­re: Recht­s­treue Unter­neh­men spei­chern und ver­ar­bei­ten (!) – anders als es das Eck­punk­te­pa­pier des BMJ in I.3. sug­ge­rie­ren will – nach Auf­he­bung der Rege­lun­gen zur VDS weder SMS-Ver­bin­dungs­da­ten noch Tele­fon- oder Inter­net-Ver­bin­dungs­da­ten oder sons­ti­ges auf Vor­rat, wenn sie wegen ihrer Tarif­mo­del­le nicht zu Abrech­nungs­zwe­cken oder auf­grund von aus­drück­li­chen Kun­den­wün­schen (wie Ein­zel­ver­bin­dungs­nach­wei­se) nötig sind. Und selbst wenn die­se Daten „z.B. für sog. Ter­mi­nie­rungs­ent­gel­te bzw. Who­le­sa­le- oder Inter-Car­ri­er-Abrech­nun­gen“ wei­ter­hin anfal­len, müs­sen und wer­den sie bis­lang nicht (mehr) mit den Daten der Kun­den „ver­hei­ra­tet“, son­dern ledig­lich sum­men­mä­ßig für das „Net­ting“ zwi­schen den unter­schied­li­chen TK-Unter­neh­men erfasst und ver­ar­bei­tet. (sprich: „Ich habe Dir in Dei­nen Num­mern­raum drei Mil­lio­nen Minu­ten über­ge­ben, Du mir zwei Mil­lio­nen ter­mi­niert, also muss ich Dir noch für eine Mil­li­on Minu­ten das vereinbarte/regulierte Ent­gelt bezahlen“).

Anders als in den USA ver­hal­ten sich die meis­ten TK-Unter­neh­men in Deutsch­land ent­spre­chend der Anfor­de­run­gen des deut­schen Daten­schut­zes inso­weit wesent­lich „daten­spar­sa­mer“ und sind die für Über­wa­chungs­maß­nah­men gewünsch­ten Daten ganz ent­ge­gen der Unter­stel­lun­gen des Eck­punk­te­pa­piers eben auch nicht „aus geschäft­li­chen Grün­den bereits vor­han­den“. Was die Autorin des Papiers damit viel­mehr offen­sicht­lich zu ver­tu­schen ver­sucht, ist nicht weni­ger, als dass zur Erfül­lung der Quick-Free­ze-Ver­pflich­tung die Unter­neh­men außer­halb der nor­ma­len Bil­ling- und Betriebs­ab­läu­fe zu zusätz­li­cher (auch kos­ten­mä­ßig belas­ten­den) Daten­ver­ar­bei­tung von Roh­da­ten gezwun­gen wer­den sol­len. Damit über­haupt etwas, was sich in der Ver­gan­gen­heit ereig­net hat, auf Zuruf in geeig­ne­ter, also per­so­nen­be­zo­gen ein­ge­fro­ren wer­den kann, müs­sen näm­lich ver­dachts­un­ab­hän­gig lau­fend die Roh­da­ten, die die­se Per­son erzeugt, zumin­dest soweit lau­fend mit ihren Stamm­da­ten „ver­hei­ra­tet“ wer­den, damit über­haupt etwas da ist, was dann auf Zuruf „schock­ge­fro­ren“ wer­den kann.

Das eigent­lich gel­ten­de Daten­lö­schungs­ge­bot wird damit auf­ge­ho­ben, die Vor­rats­da­ten­spei­che­rung über den simp­len Trick der Aus­deh­nung der Defi­ni­ti­on, was vor­geb­lich gem. § 96 TKG zu geschäft­li­chen Zwe­cken min­des­tens für inter­ne Abrech­nun­gen bei den Unter­neh­men schon gespei­chert wäre, für alle Berei­che und nicht nur IP-Adres­sen ein­ge­führt. Ohne gesetz­lich ein­deu­ti­ge zeit­li­che Gren­zen, viel­mehr sol­len – wie es I.3. impli­ziert – sogar mehr als sechs Mona­te erlaubt sein.

4. Sonderweg der Deutschen Telekom

Der DTAG pass­te das dama­li­ge Urteil des BGH schon 2006 nicht und T‑Online bekam auf eige­ne Bit­ten vom Bun­des­da­ten­schutz­be­auf­trag­ten Peter Schaar zur all­ge­mei­nen Über­ra­schung die „Erlaub­nis“, die „Unmit­tel­bar­keit“ einer Löschung mit einer Woche zu defi­nie­ren, ins­be­son­de­re Zuwei­sun­gen für IP-Adres­sen erst sie­ben Tage nach Ende der Ver­bin­dung löschen zu müs­sen (http://www.heise.de/newsticker/meldung/Datenschuetzer-haelt-siebentaegige-Speicherung-von-Verbindungsdaten-fuer-angemessen-150197.html). Soweit noch vor­han­den, waren und sind die­se IP-Daten dann auch auf Anord­nung her­aus­ge­ben, wenn recht­zei­tig eine berech­tig­te Anfra­ge vorliegt.

Das fan­den vor allem die Rechts­ver­tre­ter der Musik­in­dus­trie grund­sätz­lich eine pri­ma Idee – aber eine viel zu kur­ze Frist, für die aus ihrer Sicht zu „lah­men“ Rich­ter und Staats­an­wäl­te. Fir­men wie die Schwei­zer Logistep AG über­schüt­te­ten die TK-Unter­neh­men daher mit tau­send­fa­chen „Quick Freeze“-Sicherungsanfragen nach US-Vor­bild. Dem konn­ten sich die Unter­neh­men, wenn sie – anders als T‑Online nicht bereit waren, zu die­sem Zweck Daten ihrer Kun­den her­aus­zu­rü­cken – aber zumin­dest dadurch ent­zie­hen, dass sie dem BGH-Urteil fol­gend und ent­ge­gen Peter Schaars Erlaub­nis wirk­lich alle (Roh-) Daten eines Flat­rate-Kun­den kon­se­quent und sofort nach Ende der Daten­ver­bin­dung lösch­ten. Das muss­ten sie aber manch­mal auch schon des­we­gen tun, weil etli­che Lan­des­da­ten­schutz­be­auf­trag­te die sie­ben Tage Spei­cher­zeit von Peter Schaar nicht als „unmit­tel­ba­re Löschung“ im Sin­ne des BGH nach­voll­zie­hen woll­ten und – je nach Bun­des­land des jewei­li­gen Unter­neh­mens­sit­zes – auf ech­te „sofor­ti­ge“ Löschung der (Roh-) Daten sofort nach Ende der Daten­ver­bin­dung bestan­den. Da es damals (und heu­te wie­der) kei­ne Spei­che­rungs­ver­pflich­tung im Gesetz gab, bestand zudem auch kei­ne Berech­ti­gung der Inter­net Ser­vice Pro­vi­der, die anfal­len­den Roh­da­ten mit den Kun­den­da­ten auf­zu­be­rei­ten und an Mas­sen­ab­mah­ner her­aus­zu­ge­ben, auch dann nicht, wenn sie eine „Quick-Free­ze“ Spei­che­rung ver­lang­ten und/oder sich erst nach Ende der Ver­bin­dung und somit nach Löschung der Daten mel­de­ten (sie­he http://www.heise.de/newsticker/meldung/Juristische-Niederlage-fuer-Strafanzeigen-Maschinerie-gegen-P2P-Nutzer-158274.html).

Unter­neh­men wie die Logistep AG könn­ten daher tat­säch­lich die größ­ten Gewin­ner der geplan­ten Neu­re­ge­lung sein. Denn geht es nach dem Eck­punk­te­pa­pier wer­den künf­tig flä­chen­de­ckend Daten­sät­ze vor­han­den sein, deren Beaus­kunf­tung sie bean­tra­gen kön­nen, bzw. über deren Siche­rungs­an­ord­nung noch nicht mal mehr ein Gericht ent­schei­den muß.

5. Auskunftsanspruch für „Filesharing-Abmahner“

Selbst nach Umset­zung der EU-„Enforcement“-Richtlinie beka­men die Inha­ber von geis­ti­gen Schutz­rech­ten in Deutsch­land bis­lang zwar einen recht weit­ge­hen­den eige­nen rich­ter­li­chen Aus­kunfts­an­spruch zuge­wie­sen, jedoch auch nach den Rege­lun­gen der auf­ge­ho­be­nen VDS kei­nen Anspruch dar­auf, dass die TK-Unter­neh­men für sie auf Vor­rat gespei­cher­te Daten her­aus­ge­ben muss­ten, geschwei­ge denn extra ver­ar­bei­ten und spei­chern. Bis heu­te müs­sen sich die Rech­te­inha­ber also min­des­tens beei­len, dass noch über­haupt irgend­wel­che Daten vor­han­den sind, die sie mit einem (zivil­recht­li­chen) Gerichts­be­schluss sichern und her­aus ver­lan­gen kön­nen. Dass ihnen dazu grund­sätz­lich sie­ben Tage genü­gen bele­gen die annä­hernd zwei­hun­der­tau­sen­de Adres­sen, zu deren Siche­rung die DTAG pro monat­lich offen­bar auf ihr Betrei­ben hin ver­ur­teilt wird (http://www.fr-online.de/politik/in-den-faengen-der-abmahnindustrie/-/1472596/5043408/-/index.html).

Damit wird genau das vor­weg­ge­nom­men, was die geplan­te Siche­rungs­an­ord­nung zukünf­tig gene­rell bewir­ken könn­te: Über­all und nicht nur die DTAG dürf­te zukünf­tig mas­sen­haf­te „Siche­rungs­an­ord­nun­gen“ erhal­ten, auf­grund derer sie hun­dert­tau­sen­de Kun­den­da­ten viel län­ger als sie­ben Tage zur Beaus­kunf­tung wird vor­hal­ten müssen.

6. Egal ob schockgefrostet oder aufgewärmt – warum überhaupt die VDS?

Ob es aber jen­seits der Ver­fol­gung von Urhe­ber­rechts­ver­let­zun­gen über­haupt ein wirk­li­ches Bedürf­nis nach Iden­ti­fi­ka­ti­on von Nut­zern anhand ihrer IP-Adres­sen im Rah­men einer wie auch immer genann­ten VDS gibt, ist umstrit­ten. Nach Ansicht der Geg­ner der VDS über­wiegt in jedem Fall der gesell­schaft­li­che Scha­den den Nut­zen (http://www.vorratsdatenspeicherung.de/images/brief_bminj_2011-01–17_anon.pdf).

Das BVerfG jedoch räumt jeden­falls für Ermitt­lun­gen im Bereich der Schwerst­kri­mi­na­li­tät und ande­rer erheb­li­cher Delik­te – wenn auch in deut­lich enge­ren Gren­zen als bei dem von ihm auf­ge­ho­be­nen Gesetz – dem Gesetz­ge­ber wei­ter die Mög­lich­keit ein, die Daten nahe­zu aller Bür­ger auch ohne kon­kre­ten Ver­dacht auf Vor­rat spei­chern zu las­sen. Denn wenn es Ermitt­lungs­an­sät­ze außer­halb der (dyna­mi­schen) IP-Adres­se nicht (mehr) gibt, kann es natür­lich zur Bekämp­fung von Straf­ta­ten erfor­der­lich sein, zumin­dest für einen begrenz­ten Aus­schnitt der Ver­gan­gen­heit wenigs­tens die IP-Adres­sen nach­träg­lich einer ansons­ten nicht iden­ti­fi­zier­ba­ren, einer kon­kre­ten Straf­tat ver­däch­ti­gen Per­son, nament­lich zuord­nen zu kön­nen. Jeden­falls dann, wenn ohne die­ses Instru­ment die Rechts­durch­set­zung im Inter­net ansons­ten gene­rell leer­zu­lau­fen droht.

Viel­fach wird hier­ge­gen ein­ge­wandt, man kön­ne in ande­ren Län­dern auch ohne Vor­rats­da­ten­spei­che­rung die Täter ermit­teln. Man sol­le bei Fäl­len wie z.B. EBAY-Betrü­ge­rei­en nicht auf die TK-Daten schau­en, son­dern das kon­kre­te Nut­zer­ver­hal­ten und so die Iden­ti­tät aus­er­mit­teln. Auch hier wird oft­mals auf das Bei­spiel USA ver­wie­sen. Aber: Anders als in ande­ren Staa­ten muss in Deutsch­land die anony­me und pseud­ony­me Nut­zung von Inter­net­diens­ten nach §13 TMG aus­drück­lich ermög­licht wer­den. Außer­halb des Urhe­ber­rechts und des UKlaG besteht zudem kein Aus­kunfts­an­spruch z.B. gegen einen Web­sei­ten­be­trei­ber über die bei ihm gespei­cher­ten Teil­neh­mer­da­ten eines bös­wil­li­gen und ande­re schä­di­gen­den Nut­zers. Die­se sind vom Diens­te­an­bie­ter von den Nut­zungs- und Per­so­nen­da­ten zu tren­nen und grund­sätz­lich nach Been­di­gung der Nut­zung zu löschen. Anders als in den USA ist es daher regel­mä­ßig in Deutsch­land auch nicht mög­lich – selbst nicht durch Gerichts­be­schluss – vom Betrei­ber eines Inter­net­fo­rums die ihm viel­leicht bekann­ten Daten eines Nut­zers z.B. für eine Ver­leum­dungs­kla­ge her­aus zu ver­lan­gen. Anstatt wie in den USA üblich unmit­tel­bar gegen den Täter vor­ge­hen zu kön­nen, wird man viel­mehr zwangs­läu­fig auf den Web­sei­ten­be­trei­ber als „Ver­brei­ter“ ver­wie­sen, der sich dann aber regel­mä­ßig über sei­ne sub­jek­tiv nicht vor­han­de­ne Ver­ant­wort­lich­keit für rechts­wid­ri­ge Inhal­te Drit­ter beschwert. Und selbst bei schwe­ren Straf­ta­ten ist die Iden­ti­tät hin­ter einer dyna­mi­schen IP-Adres­se in Deutsch­land nicht ohne ein Aus­kunfts­er­su­chen an das jewei­li­ge TK-Unter­neh­men zu ermitteln.

Das Bun­des­kri­mi­nal­amt (BKA) beklagt somit in der poli­ti­schen und fach­li­chen Debat­te mit nicht unge­schickt, dass es die aller­größ­ten Fall­zah­len an Inter­net­straf­ta­ten seit Weg­fall der VDS über­haupt nicht mehr bear­bei­ten könn­te. Dabei han­de­le es sich nicht um Fäl­le der Ver­brei­tung von Kin­der­por­no­gra­phie, wie es auch das Eck­punk­te­pa­pier wie­der sug­ge­riert, son­dern Kre­dit­kar­ten- und Kon­to-Betrug, sog „Phishing“-Fälle. Die Behör­de bekä­me nach eige­nen Anga­ben aus dem Aus­land zu tau­sen­den die IP-Num­mern von in Deutsch­land geknack­ten Rech­nern über­mit­telt, die sie als Teil eines „Bot-Net­zes“ ope­rie­ren, ohne dass die Opfer davon über­haupt wis­sen. Man kön­ne die Betrof­fe­nen aber auch nicht war­nen und damit das „Bot-Netz“ und die Betrü­ge­rei­en auch nicht wirk­sam stop­pen, da man zwar die (dyna­mi­sche) IP-Adres­se des miss­brauch­ten Anschlus­ses habe, aber ohne VDS eben nicht (mehr) den Teil­neh­mer, der inso­weit Opfer und (unwis­sent­li­cher) Täter zugleich ist, ermit­teln könn­te. Da es sich bei die­sem Bei­spiel um eine Kata­logstraf­tat han­delt, wäre die Nut­zung von Vor­rats­da­ten für die Ermitt­lun­gen auch nach Maß­stab des BVerfG-Urteils unein­ge­schränkt mög­lich – vor­aus­ge­setzt es wür­den künf­tig über­haupt dyna­mi­sche IP-Daten bei den TK-Unter­neh­men gespeichert.

Weder die Minis­te­rin und mit ihr auch nicht die schärfs­ten Kri­ti­ker der VDS ver­moch­ten bis­lang sol­chen Bei­spie­len nichts ent­ge­gen­zu­set­zen, was auch eine Mehr­heit in den Regie­rungs­frak­tio­nen und der Öffent­lich­keit davon über­zeugt hat, ganz gene­rell über die Gren­zen der Über­wa­chung nach­zu­den­ken und nicht alle Mög­lich­kei­ten zu nut­zen, die tech­nisch viel­leicht an Über­wa­chung denk­bar sind. Die glei­che Mehr­heit, die sich zugleich für immer schär­fe­re Daten­schutz­be­stim­mun­gen aus­spricht. Das aber führt zwangs­läu­fig zu einem höchst para­do­xen Ergeb­nis, wie es Kol­le­ge Tho­mas Stad­ler zutref­fend beschreibt: „Weil wir ein so stren­ges Daten­schutz­recht haben und es auch fast nir­gend­wo so eng aus­ge­legt wird, bekla­gen sich die Straf­ver­fol­gungs­be­hör­den über Ermitt­lungs­lü­cken, was kon­ser­va­ti­ven Sicher­heits­po­li­ti­kern wie­der­um als Argu­ment für die Wie­der­ein­füh­rung der Vor­rats­da­ten­spei­che­rung dient. Das Daten­schutz­recht for­dert aber genau das Gegen­teil des­sen, was die Vor­rats­da­ten­spei­che­rung will. Daten­ver­mei­dung und Daten­spar­sam­keit sind die obers­ten gesetz­li­chen Zie­le des Daten­schutz­rechts, wäh­rend die Vor­rats­da­ten­spei­che­rung dar­auf abzielt, Unmen­gen von per­so­nen­be­zo­ge­nen Daten anzu­häu­fen.“ http://www.internet-law.de/2011/01/der-zusammenhang-von-vorratsdatenspeicherung-und-datenschutz.html

7. Datenschutzrechtliche Änderungen in jedem Fall zwingend notwendig

Gleich­gül­tig wie man grund­sätz­lich zur Vor­rats­da­ten­spei­che­rung ste­hen mag: Um den vom BKA ange­mel­de­ten Ermitt­lungs­be­darf zu decken, wäre in jedem Fall eine Ände­rung der bestehen­den (daten­schutz­recht­li­chen) Beschrän­kun­gen nötig. Ent­we­der auf Ebe­ne des Diens­te­an­bie­ters oder in der dar­un­ter lie­gen­den Ebe­ne beim TK-Unter­neh­men. Der vom Eck­punk­te­pa­pier ein­ge­for­der­ten lau­fen­den Ver­ar­bei­tung von Roh­da­ten und ihre Auf­be­rei­tung und Spei­che­rung zum Zwe­cke einer Siche­rung auf Zuruf, bedürf­te es aber selbst dann nicht zwin­gend. Denn auch eine Spei­che­rung ledig­lich von Roh­da­ten für einen begrenz­ten Zeit­raum wür­de in schwer­wie­gen­den Fäl­len bereits hin­rei­chend die Iden­ti­fi­zie­rung von Tätern und Opfern erlau­ben. Denn vor dem Urteil des BGH im Jahr 2006 und der strik­ten Durch­set­zung der Löschungs­ver­pflich­tung durch die Daten­schüt­zer, waren die IT-Ver­ant­wort­li­chen in den Unter­neh­men selbst­ver­ständ­lich im Ein­zel­fall bereit, eine manu­el­le Aus­wer­tung von vor­han­de­nen Roh­da­ten vor­zu­neh­men, um der Poli­zei zumin­dest eini­ge Aus­künf­te ertei­len zu kön­nen. Dem­ge­gen­über erweist sich das auch vom Bun­des­da­ten­schutz­be­auf­trag­ten prä­fe­rier­te „Quick Free­ze plus“ selbst bei einer „nur“ sie­ben­tä­gi­gen Spei­che­rung auf Vor­rat als wesent­lich belas­ten­der, als die frü­her übli­che Pra­xis, aber auch belas­ten­der als eine blo­ße „VDS light“ mit kur­zer Spei­cher­frist und engen recht­li­chen Grenzen:

Bedin­gung des Kon­zep­tes des Eck­punk­te­pa­piers ist näm­lich, dass sowohl das anlass­be­zo­ge­ne „Gefrier­gut“, wie auch die anlass­los und ohne Begren­zung des Ver­wen­dungs­zwe­ckes für sie­ben Tage zu spei­chern­den IP-Daten bereits in einer auf­be­rei­te­ten, d.h. dem ein­zel­nen Kun­den zuor­den­ba­ren Wei­se vor­han­den sein müs­sen. Nur so kann das Unter­neh­men näm­lich über­haupt umge­hend auf Zuruf eine „Siche­rungs­an­ord­nung“ umset­zen und nur die Daten des dar­in bezeich­ne­ten Kun­den, aber auch nur dir aus­schließ­lich (!) die­sen Kun­den betref­fen­den Daten, „schock­fros­ten“. Denn nach I.1 ist in jedem Fal­le zu ver­mei­den, dass auch Daten unver­däch­ti­ger Bür­ger vom „Quick Free­ze“ erfasst wer­den, was nur rea­li­sier­bar ist, wenn alle poten­ti­ell rele­van­ten Daten­ar­ten per­so­nen­be­zo­gen vor­han­den sind, Roh- und Stamm­da­ten also lau­fend „ver­hei­ra­tet“ wer­den, selbst wenn es weder tech­nisch noch geschäft­lich dafür sonst eine Not­wen­dig­keit gibt. Wäh­rend der lau­fen­den Siche­rungs­an­ord­nung sind dann außer­dem nicht nur die für die Ver­gan­gen­heit noch vor­han­de­nen Daten, son­dern auch die künf­ti­gen TK-Daten zu sichern.

Zu behaup­ten, bei IP-Daten wür­de es sich dann nicht mehr um Ver­kehrs­da­ten, son­dern nur um eine Art Bestands­da­ten­ab­fra­ge han­deln, wenn bereits den Ermitt­lern eine dyna­mi­sche IP-Adres­se bereits bekannt ist, ist nicht mehr als der Ver­such einer rhe­to­ri­schen Täu­schung. Damit soll offen­sicht­lich sug­ge­riert wer­den, es hand­le sich bei den abge­frag­ten Daten um eine Daten­ka­te­go­rie, deren Schutz­ni­veau gene­rell schon unter dem ande­rer Daten, wie bei­spiels­wei­se der Tele­fon­num­mer, läge.

Der Charme des völ­li­gen Para­dig­men­wech­sel zuguns­ten des „Quick Free­ze“ besteht aus Sicht der Minis­te­rin viel­leicht aber eher in ganz ande­ren Grün­den, mit der sie am Ende doch noch die skep­ti­schen Innen­mi­nis­ter und Poli­zei­be­hör­den auf ihre Sei­te zie­hen kann: Nicht mehr die Staats­kas­se wird mit den Kos­ten der Beaus­kunf­tun­gen belas­tet, wie es noch die auf­ge­ho­be­ne Vor­rats­da­ten­spei­che­rung vor­ge­se­hen hat, son­dern alle Leis­tun­gen sind kos­ten­los von den ver­pflich­te­ten Unter­neh­men zu erbrin­gen – die die ent­ste­hen­den Kos­ten frei­lich auf die Kun­den umle­gen müssen.

8. Ein gordischer Knoten – selbstgestrickt

Deut­lich wird damit, dass die Minis­te­rin sich mit ihren Ver­bün­de­ten in einen nicht auf­lös­ba­ren poli­ti­schen Ziel­kon­flikt bege­ben hat, der min­des­tens aus den fol­gen­den Ele­men­ten besteht:

  •  eine novel­lier­te Fas­sung des Geset­zes über die Vor­rats­da­ten­spei­che­rung in ver­fas­sungs­kon­for­mer Wei­se lehnt Leu­theus­ser-Schar­ren­ber­ger aus Über­zeu­gung und viel­leicht auch mit Rück­sicht auf ihre Mit­strei­ter der Ver­fas­sungs­be­schwer­de strikt ab;
  • eine Ver­pflich­tung der Inter­net­diens­te­an­bie­ter, Aus­künf­te über ihre Nut­zer geben zu müs­sen, leh­nen die Befür­wor­ter mög­lichst strik­ter Daten­schutz­re­geln eben­so ab;
  • Quick Free­ze nach inter­na­tio­na­lem Vor­bild lässt sich wegen des hier gül­ti­gen Gebo­tes der Daten­ver­mei­dung und der gel­ten­den Ver­pflich­tung zur Löschung nicht für Abrech­nungs­zwe­cke benö­tig­ter Kun­den­da­ten nicht ein­fach auf Deutsch­land übertragen;
  • eine Über­wa­chung der Tele­kom­mu­ni­ka­ti­on mit eige­nen Mit­teln durch den Staat, wie es die NSA in den USA betreibt, schei­tert an feh­len­dem Geld und Know-How der Behör­den und wäre auch poli­tisch nicht durchsetzbar;
  • ein völ­li­ger Ver­zicht auf anlass­un­ab­hän­gi­ge Über­wa­chung schei­tert an den bestehen­den euro­pa­recht­li­chen Ver­pflich­tun­gen und zumin­dest bis­lang nicht mehr­heit­lich über­zeu­gend wider­leg­ten Argu­men­ten der Ermittlungsbehörden;
  • und schließ­lich soll die von der FDP offen­sicht­lich erwünsch­te Stär­kung des Urhe­ber­rechts und sei­ner Durch­set­zung an Leu­theus­ser-Schnar­ren­ber­gers Vor­schlä­gen min­des­tens nicht scheitern.

Das Eck­punk­te­pa­pier ver­sucht nun, die­sen klas­si­schen „gor­di­schen Kno­ten“ kühn zu zer­schla­gen. Allein: Prä­sen­tiert wird ein Kon­zept, das sicher­lich gut gemeint sein mag, aber am Ende – so wie es m.E. ver­stan­den wer­den muss – lei­der nichts Gutes her­vor­brin­gen kann:

Stich­wort „Siche­rungs­an­ord­nung“:

Die „Siche­rungs­an­ord­nung“ dürf­te die bis­he­ri­ge rich­ter­li­che ver­bin­dungs­da­ten­be­zo­ge­ne (Über­wa­chungs-) Ver­fü­gung in der Pra­xis weit­ge­hend erset­zen. Eben auch im bis­lang poli­tisch und juris­tisch unbe­strit­te­nen Feld kon­kret ver­dachts­be­zo­ge­nen Ermitt­lun­gen gegen kon­kre­te Per­so­nen. Not­falls wird eben in kur­zem Abstand und immer wie­der aufs Neue und bei einer Viel­zahl von auch nur mög­lich­wei­se rele­van­ten Per­so­nen im Umfeld eines Ver­däch­ti­gen die Poli­zei die Siche­rungs­an­ord­nun­gen „auf Knopf­druck“ und mas­sen­haft erlas­sen. Erst nach Abschluss oder im wei­te­ren Fort­gang der Ermitt­lun­gen wer­den dann dem Rich­ter ein­zel­ne Anord­nun­gen nach­träg­lich zur Prü­fung und Geneh­mi­gung vor­ge­legt. Denn die Daten wer­den ansons­ten eben ohne nach­träg­li­che Kon­trol­le, ohne Kos­ten für die Behör­de oder sons­ti­ge ihre Anzahl begren­zen­den Fol­gen gelöscht. Weil sie kos­ten- und risi­ko­los ist, wird die Siche­rungs­an­ord­nung damit zur poli­zei­li­chen Stan­dard­maß­nah­me. Die Zahl von ver­bin­dungs­da­ten­be­zo­ge­nen Über­wa­chungs­maß­nah­men dürf­te in bis­lang unvor­stell­ba­re Grö­ßen­ord­nun­gen stei­gen. Die Kos­ten hier­für wer­den alle Inter­net­nut­zer in Deutsch­land zu zah­len haben. Denn gesell­schaft­lich wird damit genau das vom „BVerfG ange­spro­che­ne dif­fus bedroh­li­che Gefühl des Beob­ach­tetseins“ ent­ste­hen, dass laut Eck­punk­te­pa­pier durch „Quick Free­ze plus“ ja angeb­lich gera­de ver­mie­den wer­den soll (II.1).

Stich­wort: Urheberrechtsverletzungen

Unter­neh­men wie die Logistep AG bekom­men für ihr Geschäfts­mo­dell end­lich einen Ansatz­punkt, flä­chen­de­ckend die Sicher­stel­lung von IP-Daten (angeb­li­cher) Urhe­ber­rechts­ver­let­zer zu ver­lan­gen. Denn anders als in der Ver­gan­gen­heit dürf­te kaum mehr die Begrün­dung gelin­gen, war­um die Anord­nung eines „Quick Free­ze“ auf­grund der vor­ge­se­he­nen Leich­tig­keit den Ermitt­lungs­be­hör­den nicht unmit­tel­bar nach Anzei­ge von straf­ba­ren Urhe­ber­rechts­ver­let­zun­gen (§106 ff StGB) mög­lich sein soll­te – selbst wenn spä­ter vor Gericht kein Anspruch auf Her­aus­ga­be der Daten fest­ge­stellt wird.

Stich­wort: Kos­ten der Überwachung

Die ver­pflich­te­ten Unter­neh­men könn­ten durch das vor­ge­schla­ge­ne „Quick Free­ze XXL“ (so die Bezeich­nung der Ver­tre­ter der DTAG für das jetzt prä­fe­rier­te Modell) finan­zi­ell und orga­ni­sa­to­risch viel stär­ker belas­tet wer­den, als durch eine „nor­ma­le“ Vor­rats­da­ten­spei­che­rung. Denn sie müss­ten – ent­ge­gen der fal­schen Annah­men des Eck­punk­te­pa­pie­res – lau­fend zusätz­lich und mit hohem Auf­wand Roh­da­ten auf­be­rei­ten und mit Kun­den­da­ten zusam­men­füh­ren, um die ver­schie­de­nen Vor­ga­ben erfül­len zu kön­nen. Außer­halb ihrer regu­lä­ren Bil­ling-Pro­zes­se und zusätz­lich zu die­sen müßen sie Roh- und Kun­den­da­ten mit­ein­an­der „ver­hei­ra­ten“, damit sie über­haupt in der Lage sind, sowohl das Tren­nungs­ge­bot, als auch die kurz­fris­ti­ge Siche­rungs­an­ord­nung kun­den­be­zo­gen und auf blo­ßen Zuruf hin erfül­len zu kön­nen. Der gerin­ge­re Bedarf an Spei­cher­platz auf­grund kür­ze­rer Spei­cher­zei­ten dürf­te dem­ge­gen­über kos­ten­mä­ßig kaum als Ent­las­tung ins Gewicht fal­len, erst recht nicht durch den Weg­fall jeg­li­cher Kos­ten­er­stat­tung selbst bei einer Viel­zahl nur zum Teil rich­ter­lich bestä­tig­ten Anfragen.

9. Ausblick –  Quick Freeze plus ist der Wolf im Schafspelz

In ihrem Bemü­hen, die eigent­lich über­fäl­li­ge Grund­satz­de­bat­te eines aus­ge­wo­ge­nen Ver­hält­nis­ses von Prin­zi­pi­en wie Daten­ver­mei­dung und Daten­spar­sam­keit auf der einen und der Schaf­fung neu­er Ermitt­lungs­mög­lich­kei­ten auf der ande­ren Sei­te zu ver­mei­den, steu­ert die Bun­des­jus­tiz­mi­nis­te­rin mit ihrem Eck­punk­te­pa­pier in ein für die Bür­ger­rech­te in Deutsch­land sehr gefähr­li­ches Fahr­was­ser. Dass „Quick Free­ze“ nach US-Vor­bild für die anders gela­ger­te Situa­ti­on in Deutsch­land in der Sache nicht taugt, war bereits in der ers­ten Anhö­rung im BMJ den meis­ten Teil­neh­mern klar. Die­se Erkennt­nis ist jedoch offen­bar nicht nur von Leu­theus­ser-Schnar­ren­ber­ger, son­dern auch von vie­len erklär­ten Geg­nern der VDS und über­zeug­ten Daten­schüt­zern, poli­tisch nicht gewollt. Anstatt sich kon­se­quent von die­ser Fata Mor­ga­na zu ver­ab­schie­den, soll­te das Schlag­wort „Quick Free­ze“ durch Ergän­zung um die sie­ben­tä­gi­ge Vor­rats­da­ten­spei­che­rung jedoch offen­sicht­lich unbe­dingt als poli­ti­sche Alter­na­ti­ve prä­sen­tiert wer­den. Um einen gor­di­schen Kno­ten zu durch­schla­gen, an dem die Minis­te­rin selbst mit gekno­tet hat…

Im Ergeb­nis jedoch erleich­tert das vor­ge­se­he­ne Kon­zept die mas­sen­haf­te Über­wa­chung der Bevöl­ke­rung durch Sen­kung der recht­li­cher Hür­den, weicht es die Not­wen­dig­keit eines hin­rei­chen­den Tat­ver­dach­tes für Über­wa­chungs­maß­nah­men auf, ver­pflich­tet die betrof­fe­nen Unter­neh­men nicht nur weit­rei­chend zur Spei­che­rung, son­dern auch zu einer lau­fen­den, auf­wen­di­gen Ver­ar­bei­tung von Roh­da­ten zu per­so­nen­be­zo­ge­nen Infor­ma­tio­nen und belas­tet so Bürger(rechte) und Wirt­schaft. Dies in einem Aus­maß, wel­ches im Ergeb­nis sogar weit über eine blo­ße Neu­auf­la­ge der VDS unter Beach­tung der Vor­ga­ben des BVerfG hin­aus­ge­hen könnte.

Dabei wäre die Alter­na­ti­ve viel nahe­lie­gen­der: Ent­we­der auf das Mit­tel der Vor­rats­da­ten­spei­che­rung wird poli­tisch kon­se­quent auch auf Ebe­ne der EU ganz ver­zich­tet oder es wird ein „VDS light“ aus­schließ­lich für dyna­mi­sche IP-Adres­sen ein­ge­führt – mit im Übri­gen den hohen recht­li­chen Hür­den für den Daten­zu­griff und einer eng begrenz­ten Spei­cher­ver­pflich­tun­gen, wie es das BVerfG vor­ge­se­hen hat. Zudem ergänzt um einen Anspruch auf vol­le Kos­ten­er­stat­tung für die ver­pflich­te­ten Unter­neh­men, um einen öko­no­mi­sche Anreiz für eine spar­sa­me Ver­wen­dung die­ses Mit­tels der Iden­ti­täts­er­mitt­lung zu set­zen und Mas­sen­an­ord­nun­gen unöko­no­misch zu machen.

So sehr man ver­ste­hen kann, dass Minis­te­rin Leu­theus­ser-Schnar­ren­ber­ger nicht wie­der von ihrem Amt zurück­tre­ten will, weil ihr per­sön­lich auf­rich­ti­ges Bemü­hen um den Erhalt bür­ger­li­cher Frei­hei­ten kei­ne Mehr­heit in ihrer Regie­rungs­ko­ali­ti­on fin­det: Mit ihrem Eck­punk­te­pa­pier und dem dar­in vor­ge­stell­ten Kon­zept des „Quick Free­ze plus“ tut sie ihrer Sache im Ergeb­nis lei­der kei­nen Gefal­len. Lachen­der Drit­ter könn­ten die Befür­wor­ter einer mög­lichst weit­ge­hen­den VDS sein. Auch inso­weit erweist sich ihr Eck­punk­te­pa­pier als „Wolf im Schafspelz“.