In der Gesprächsreihe Medien und Kommunikation veranstaltet das Fritz-Erler-Forum Baden Württemberg, Landesbüro der Friedrich-Ebert-Stiftung, unter dem Titel “Sozial und demokratisch in die digitale Gesellschaft!” am Freitag, 30.09. bis Samstag, 1.10.2011 einen Workshop in Mannheim. Das vollständige Programm kann hier abgerufen werden. Am Abend des Freitags, den 30.09., findet zudem eine öffentliche Abendveranstaltung gemeinsam mit dem Managerkreis der FES unter dem Titel “Internet und Web 2.0 als Wirtschaftsfaktor” statt, zu der man sich hier anmelden kann. Zur Einführung in die Themen des Workshops habe ich eine Prezi erstellt, die hier abgerufen werden kann.

Seit einigen Tagen wird ein Musterantrag des Gesprächskreises Netzpolitik der SPD zur Vorratsdatenspeicherung breit diskutiert. Ihm wird unterstellt, dass er eine flächendeckende Überwachung des Internetverkehrs und des Kommunikationsverhaltens der Bürger einführen wolle. Der Gesprächkreis fordere angeblich, bis an die vom Bundesverfassungsgericht vorgegebenen Grenzen oder sogar darüber hinaus zu gehen. Dieses aber ist genauso falsch, wie der Eindruck, der im Rahmen dieser Kritik erzeugt wird: Dass es bezogen auf die Vorratsdatenspeicherung aufgrund des Urteils des Bundesverfassungsgerichtes in Deutschland überhaupt keiner politischen Diskussion bedürfe, “wie” die Richtlinie der EU und ihre Umsetzung in Deutschland aussehen solle und sich die Diskussion innerhalb der SPD daher allein auf das “ob” beschränken könnte. Die Tatsache, dass das BMJ mit Vorlage seines Gesetzentwurfes im Juni 2011 die Diskussion um die Vorratsdatenspeicherung wieder eröffnet hat, würde eine solche Vogel-Strauß-Taktik aber der für die kommende politische Auseinandersetzung dringend notwendigen Orientierung der Partei schaden, so dass dringender Bedarf zur Klarstellung und Standortbestimmung besteht. (Update: Auch Alvar Freude hat inzwischen eine Replik veröffentlicht.)

Seit einigen Tagen wird ein Musterantrag des Gesprächskreises Netzpolitik der SPD zur Vorratsdatenspeicherung kontrovers diskutiert. Ihm wird unterstellt, dass er eine flächendeckende Überwachung des Internetverkehrs und des Kommunikationsverhaltens der Bürger einführen wolle. Der Gesprächkreis fordert angeblich, bis an die vom Bundesverfassungsgericht vorgegebenen Grenzen aus dem Urteil von März 2010 oder sogar darüber hinaus zu gehen. Insbesondere Kollege Thomas Stadler zeichnet in den Kommentaren auf seinem Blog und c´t online das verzerrte Bild einer „Roadmap zur Vorratsdatenspeicherung“. Richtig an seiner Kritik ist jedoch lediglich, dass es sich um einen politische Text im Diskussionsstadium handelt, um keinen Gesetzentwurf oder gar juristischen Aufsatz, und er daher an vielen Stellen vage bleibt. Eben weil der Text zunächst nur eine grobe Linie für kommende Diskussionen bis zum Parteitag der SPD im Dezember 2011 beschreiben soll. Das lädt zu kritischen Beiträgen ein – was einer politischen Debatte auch niemals schadet. Die Grenze redlicher Kritik aber wird überschritten, wenn Lücken mit Unterstellungen gefüllt werden, für die es weder im Text noch sonst Anhaltspunkte gibt. Vermischt wird dieses zudem mit unrealistischen Einschätzungen über den Stand der politischen Debatte, die sich auch in anderen Beiträgen finden. So aber dürfte bei vielen ein falscher Eindruck erzeugt werden, der meines Erachtens nach brandgefährlich ist: Es wird so getan, als ob es mit Bezug auf die kommende Neuauflage eines deutschen Gesetzes zur Umsetzung der EU-Richtlinie zu Vorratsdatenspeicherung für die SPD besser wäre, die Augen vor den unangenehmen Realitäten zu verschließen und bestimmte Tatsachen einfach nicht zur Kenntnis zu nehmen, anstatt rechtzeitig eine für diese Partei längst überfällige politische Debatte zu führen. Diese Vogel-Strauß-Taktik aber schadet der für die kommende politische Auseinandersetzung dringend notwendigen Orientierung, so dass dringender Bedarf zur Klarstellung und Standortbestimmung besteht:

Die Autoren des Antrages aus dem netzpolitischen Gesprächskreis der SPD – übrigens alle keine Berufspolitiker – lehnen die Vorratsdatenspeicherung schon aus grundsätzlichen Überlegungen heraus ab. Ich selbst kann für mich dabei in Anspruch nehmen, seit 1995 gegen jeden Versuch einer ausufernden Überwachung oder Beschränkung der Freiheit des Internet engagiert und dabei im Ergebnis manchmal auch erfolgreich gewesen zu sein. Seien es die Pläne von Innenminister Kanther zum Verbot teilnehmerautonomer Verschlüsselung, das Zugangserschwerungsgesetz oder eben auch das Gesetz zur Vorratsdatenspeicherung. Selbst um den Preis, damit in innerparteiliche Opposition zu geraten, werde ich daran auch in Zukunft festhalten.

Dieser Grundüberzeugung wird – anders als es manche Kritiker in die Texte hineinlesen wollen – aber auch an keiner Stelle des Antrages widersprochen. Ganz im Gegenteil, denn die generelle Ablehnung der Vorratsdatenspeicherung ist ja gerade das Motiv, warum eine Neuorientierung der SPD in diesen Fragen erreicht werden soll. Denn bis heute existiert innerhalb der SPD keine Beschlusslage, die es Amts- und Mandatsträgern politisch unmöglich machen würde, selbst unverhältnismäßigen und überzogenen staatlichen Überwachungsgesetzen mit dem vorgeblichen Argument “mehr Sicherheit” zuzustimmen. Unter den Netzpolitikern der SPD habe ich bislang dagegen keinen kennengelernt, der Maßnahmen unverhältnismäßiger und überzogener staatlicher Überwachung, die Speicherung von Daten auf Vorrat oder andere restriktive Eingriffe befürworten würde. Die meisten sind – wie ich selbst auch – vielmehr überzeugte Gegner von überbordender Überwachung und auch der Vorratsdatenspeicherung. Gemeinsam rufen wir daher auch zur Teilnahme an der Demonstration “Freiheit statt Angst” am 10. September 2011 in Berlin auf.

Trotz anderer persönlicher Überzeugung in diesen Fragen müssen wir uns aber – anders als vielleicht in anderen Parteien und natürlich auch zivilgesellschaftlichen Gruppen wie dem AK Vorrat – im Zusammenhang eines Gesprächskreises beim SPD-Parteivorstand, auch der Tatsache stellen, dass es die eigenen SPD-Minister gewesen sind, die 2006 der EU-Richtlinie zur Vorratsdatenspeicherung zugestimmt haben. Zudem müssen wir mit Abgeordneten in den SPD-Fraktionen, wie auch Ministern in den Bundesländern, umgehen, die sich unserer Befürchtung nach auch für eine schlichte Neuauflage des eben erst vom Bundesverfassungsgericht aufgehobenen Gesetzes begeistern könnten. Lediglich ein “Verbot der Vorratsdatenspeicherung” zu fordern, reicht in diesen Zusammenhängen weder für eine Bewusstseinsänderung bei den Verantwortungsträgern aus, noch könnte es mehr bewirken, als sich selbst ein gutes Gewissen zu verschaffen.

Die Mitglieder des Gesprächskreises haben sich daher vielmehr vorgenommen, den Bundesparteitag der SPD im Dezember dazu zu nutzen, eine erstmalige Positionsbestimmung ihrer Partei in den wichtigsten netzpolitischen Fragen zu versuchen – auch beim Thema Vorratsdatenspeicherung. Selbst wenn es für sie aufgrund der problematischen Historie kein „Siegerthema“ sein kann, wollen sie im Interesse der Bürgerrechte so von der bisherigen Logik der Innenpolitiker wegkommen, jedes Jahr immer mehr Überwachung für das Internet zu fordern. An den unserer Einschätzung nach dabei realpolitisch maximal mehrheitsfähigen Positionen werben wir intern für Vorschläge, die sich als Ergebnis an der Situation vor 2006 orientieren sollen – einer Zeit also, in der Access-Provider IP-Adressen für 80 Tage gespeichert haben, es einen gesetzlichen Zwang zur Erhebung, Speicherung und Beauskunftung aller möglichen Arten von Telekommunikations- und Internetdaten aber noch nicht gegeben hat. Der Musterantrag, an dem die Diskussion entlangläuft, ist dabei der Versuch einer ersten groben Positionsbestimmung in diese Richtung. Der Antrag fordert die Europa- und Bundestagsabgeordneten auf, sich für eine grundlegende Überarbeitung der geltenden EU-Richtlinie einzusetzen. Ohne diese Änderung blieben alle EU-Länder verpflichtet, deutlich weitgehende Speicherverpflichtungen einzuführen – völlig egal, was die SPD dazu auf einem Parteitag beschließt.

Daher formuliert auch der Antrag an die Mandatsträger der SPD gerichtet: „Jegliche Art von Vorratsdatenspeicherung ist für die Sozialdemokratie ein erheblicher Eingriff in die Grundrechte der Bürgerinnen und Bürger und darf daher, wenn überhaupt, nur in engen Grenzen erfolgen.“ Ausdrücklich abgelehnt wird insbesondere die Speicherung von E-Mail-Verbindungsdaten und Standortdaten, gewollt ist insgesamt eine Begrenzung auf wenige Datenarten und – wenn überhaupt etwas gespeichert wird – nur für kurze Speicherfristen. Auskünfte sollen zudem nicht etwa für Urheberrechtsdelikte, sondern nur für schwere Straftaten erteilt werden, und zwar ausschließlich unter Richtervorbehalt und mit weitgehenden Beweisverwertungsverboten. Zivilrechtliche Auskunftsansprüche sollen nicht mehr bestehen. Bezogen auf Massenabmahnungen für Urheberrechtsinhaber sei hier erwähnt, dass diese auch heute – und zwar auch ohne irgendeine gesetzliche Vorratsdatenspeicherung – möglich sind. Ursache ist die sog. Enforcement-Richtlinie und ihre Umsetzung in §101 UrhG. Die Speicherung der dynamischen IP-Adresse ist zudem keine unzulässige Vorratsdatenspeicherung (vgl. auch OLG München vom 04.07.2011, Az. 6 W 496/11 und zu den Filesharing-Konstellationen z.B. diesen Kommentar). Der Musterantrag will dennoch diese Art zivilrechtlicher Ansprüche wie auch solche bei Ordnungswidrigkeiten ausschließen und dieses im Rahmen einer ganzheitlichen Debatte um die Vorratsdatenspeicherung regeln.

All dies geht deutlich über die Anforderungen hinaus, die das Bundesverfassungsgericht dem Gesetzgeber für eine Neuregelung der Vorratsdatenspeicherung auferlegt hat – wenn es auch nicht Forderungen nach fundamentaler Ablehnung jeglicher Speicherung von Daten auf Vorrat zu entsprechen vermag. Zudem wird die Frage von Speicherung und Beauskunftung von dynamischen IP-Adressen anders beurteilt, als es vielleicht einer Mehrheit der Meinungen im Netz entspricht. Aber auch das aufgrund nachvollziehbarer Gründe und mit der gleichen Intention, wie es auch das Bundesverfassungsgericht getan hat (vgl. Ziff. 254 ff. der Entscheidung des BVerfG vom 2. März 2010: “Weniger strenge verfassungsrechtliche Maßgaben gelten für eine nur mittelbare Verwendung der vorsorglich gespeicherten Daten in Form von behördlichen Auskunftsansprüchen gegenüber den Diensteanbietern hinsichtlich der Anschlussinhaber bestimmter IP-Adressen, die diese unter Nutzung der vorgehaltenen Daten zu ermitteln haben. Die Schaffung von solchen Auskunftsansprüchen ist unabhängig von begrenzenden Rechtsgüter- oder Straftatenkatalogen insgesamt weitergehend zulässig als die Abfrage und Verwendung der Telekommunikationsverkehrsdaten selbst [...]“)

Explizit – aber eben nicht abschließend aufgezählt, sondern lediglich beispielhaft erwähnt – werden in dem Antrag etwa die Speicherung von E-Mail-Verbindungsdaten und Standortdaten grundsätzlich abgelehnt. Es soll also überhaupt nicht mehr auf Vorrat gespeichert werden dürfen, wer wann mit wem E-Mails geschrieben oder sich mit seinem Mobiltelefon wo aufgehalten hat. Und auch wenn hier nicht alle möglichen Techniken (GSM, GPRS, UMTS, GPS, …) einzeln aufgeführt sind, sieht der Antrag dabei keine Ausnahme vor. Dabei wird diesbezüglich nicht nur eine Überarbeitung der Richtlinie der EU angestrebt, sondern auch eine Abkehr von der bisher immer noch herrschenden Praxis der Mobilfunkunternehmen, Standortdaten ihrer Kunden langfristig zu speichern und zu beauskunften.

Der Musterantrag richtet sich zum Teil dezidiert an die EU-Parlamentarier der SPD, mit dem Ziel sie für eine grundlegende Überarbeitung der bestehenden EU-Richtlinie zu gewinnen. Denn in Brüssel gibt es im Zuge der Evaluierung der Richtlinie aktuell eine Diskussion insbesondere etwa über die Frage der Kostenerstattung, die Zugriffsbedingungen auf Daten, kürzere Speicherfristen oder auch eine stärkere Differenzierung je nach Datentyp. Was es in Brüssel aber nicht gibt, ist jedoch eine erkennbare Debatte, die Richtlinie insgesamt abzuschaffen oder die Vorratsdatenspeicherung etwa ganz zu verbieten. Das muß man bedauern, aber noch bedauerlicher ist es, dass die Bundesregierung es offensichtlich nicht ansatzweise für notwendig erachtet, sich auf europäischer Ebene in die Diskussion um eine Revision der Richtlinie zur Vorratsdatenspeicherung überhaupt in diese Richtung einzubringen, obwohl die Bundesjustizministerin in der deutschen Diskussion anderes behauptet.

In Bezug auf die EU-Richtlinie wird daher gefordert, die Höchstspeicherdauer auf sechs Monate zu begrenzen, also aus der Unter- eine Obergrenze zu machen, und nicht mehr wie bislang, Speicherung bis zu zwei Jahre zuzulasssen. Außerdem soll es den Mitgliedsstaaten freigestellt sein, ob und welche Telekommunikationsanbieter sie überhaupt zur Speicherung verpflichten (Kann-Regelung). Ersteres bringt sicherlich gegenüber der bisherigen deutschen Regelung keine Veränderung, weil dort ohnehin „nur“ eine sechsmonatige Speicherung vorgesehen war. Dieses würde jedoch die Situation in anderen europäischen Staaten ganz erheblich verbessern und auch das wäre dort ein erheblicher Fortschritt. Denn, das Bundesverfassungsgericht hat das deutsche Gesetz zur Umsetzung der europäischen Richtlinie zwar für nichtig erklärt. Jedoch nicht weil die Verfassungsrichter die EU-Richtlinie oder die anlasslose Speicherung von Daten etwa für grundsätzlich unvereinbar mit dem Grundgesetz halten würde. Nein, dieses wurde vielmehr ausdrücklich bestätigt. Lediglich an der konkreten Umsetzung der Richtlinie ins deutsche Gesetz äußerten die Verfassungsrichter weitreichende Kritik, die der deutsche Gesetzgeber bei einer Neuauflage des Gesetzes zu beachten hat. Letzteres wäre schließlich nötig, damit überhaupt in Deutschland von der Umsetzungspflicht einer Richtlinie abgewichen werden kann. Ohne eine solche Öffnungsklausel, wonach die Umsetzung einer Richtlinie nicht verpflichtend ist, wäre in Deutschland auch nicht der Ausstieg aus dem Websperren-Gesetz realisierbar gewesen.

Mit der Vorlage ihres Gesetzentwurfes im Juni 2011 hat Bundesjustizministerin Leutheusser-Schnarrenberger die Diskussion um die Umsetzung der EU-Richtlinie in deutsches Recht wieder eröffnet. Obwohl sachlich unzutreffend, haben zudem die Anschläge in Norwegen die Debatte in Deutschland weiter befeuert. Wie die FDP, schlagen auch die GRÜNEN dabei ein Konzept des sog. „Quick-Freeze“ vor, das vorgibt, bürgerrechtsfreundlicher als andere Arten der Vorratsdatenspeicherung zu sein. Das ist in Wahrheit aber nicht der Fall. Denn nach ihrem Vorschlag sollen nicht nur alle Arten von Daten für kurze Zeit auf Vorrat gespeichert werden, sondern auf Zuruf der Behörden per „Sicherungsanordnung“ schockgefrostet werden. Eine solche Schockfrostung soll nur dann unzulässig sein, wenn schon bei ihrem Erlass voraussehbar war, dass die rechtlichen Voraussetzungen für die Erhebung der Daten nicht eintreten werden. Über diese Negativklausel in § 100j Abs. 1 des StPO-Entwurfs versteckt, öffnet das „Quick-Freeze“ den Ermittlungsbehörden damit aber in der Praxis die Möglichkeit, stets alle Daten auf Verdacht sichern zu lassen, da der Verlauf und Ausgang des Ermittlungsverfahrens in aller Regel nie voraussehbar ist. Beim „Quick-Freeze“ würden die Ermittler also gar nicht mehr zu einer Prüfung über die Notwendigkeit einer Sicherung angehalten werden. Es steht daher zu befürchten, dass Polizeidienststellen bzw. Staatsanwaltschaften zukünftig – quasi als Standard, um etwaige Datenverluste zu vermeiden – breit angelegte Freezing-Anforderungen versenden, was nicht zu einer geringeren, sondern vielmehr höheren Belastung und zu weitaus größeren Grundrechtseingriffen führen würde. Als einen gefährlichen „Wolf im Schafspelz“ lehnen die meisten SPD-Netzpolitiker daher das „Quick-Freeze“ Konzept von FDP und GRÜNE ab, wie im übrigen der AK-Vorrat auch.

Der Vorschlag des SPD-Gesprächskreises sieht, anders als beispielsweise Thomas Stadler es behauptet, dagegen gerade nicht vor, dass alle Arten von Telekommunikations-Verbindungsdaten ohne Einschränkung gespeichert werden sollten, sondern das genaue Gegenteil: Die Art der Daten und die Dauer ihrer Speicherung sollen insgesamt und allesamt begrenzt und besonders sensible Datenarten sollen möglichst ganz aus dem Katalog der Richtlinie der EU, mindestens aber in Deutschland gestrichen werden. Das Bundesverfassungsgericht hat hier einen Weg für eine differenziertere Betrachtung der Daten hinsichtlich ihrer Eingriffstiefe und hinsichtlich des jeweiligen Profilbildungspotentials aufgezeigt.

So richtig und wichtig es ist, wenn sich Gruppen wie der AK Vorrat oder die Jusos in der SPD für ein möglichst vollständiges Revirement der EU-Richtlinie einsetzen um damit mit Gruppen wie der EDRI vielleicht politisch noch mehr in Brüssel zu erreichen, muss sich ein Expertengremium wie der Gesprächskreis Netzpolitik in der SPD auch der Einsicht stellen: Forderungen, die EU müßte die Richtlinie komplett streichen oder die Vorratsdatenspeicherung gar europaweit verbieten, sind ein wünschenswertes, aber angesichts der politischen Mehrheitsverhältnisse in der EU kein realistisches Ziel. Denn absehbar besteht in den meisten Ländern Europas überhaupt keine Bereitschaft, die dort bereits national seit vielen Jahren existierenden Regeln der Überwachung nur wegen der Evaluierung der Richtlinie abzuschaffen. Es wird daher im Rahmen der Revision der Richtlinie bestenfalls gelingen, den Mitgliedsstaaten mehr Spielraum zu eröffnen, ob sie überhaupt Telekommunikationsanbieter zur Speicherung verpflichten wollen, oder eben nicht. Erst mit einer sog. Kann-Regelung, die in dem Antrag gefordert wird, könnte in Deutschland auf die Umsetzung der Richtlinie ganz oder wenigsten zum Teil verzichtet werden. So lange aber die Pflicht zu Umsetzung in deutsches Recht einer – wie auch immer am Ende nur im Detail überarbeiteten EU-Richtlinie – zu erwarten ist, muß sich die SPD auch Gedanken darüber machen, wo sie ihre Grenzen ziehen will. Insbesondere in den Ländern, in denen sie die Innenminister stellt, kann sie sich dieser Frage nicht entziehen, seitdem das Bundesjustizministerium seinen Vorschlag vorgelegt hat.

Für diesen Fall sieht der Antrag nicht nur Beschränkungen der Datenarten, sondern auch sonst weitreichende Begrenzungen vor, wie beispielsweise ganz generell sehr kurze (gedacht ist an nicht mehr als 7 Tage) Speicherungen von Verbindungsdaten, Auskünfte grundsätzlich immer nur beim Verdacht schwerer Straftaten (sog. Katalogtaten) und nur auf richterliche Anordnung, ein absolutes Verwertungsverbot für die Kommunikation mit Geheimnisträgern wie Journalisten, Anwälten, und einiges mehr. Die möglichen grundrechtlichen Belastungen liegen damit unseres Erachtens noch weit unter den Vorschlägen des Justizministeriums. Selbst jetzt speichern Telekommunikationsanbieter diese Daten teilweise deutlich länger. Laut Wiki des AK Vorrats speichert und beauskunftet beispielsweise T-Mobile Verbindungsdaten 30 bzw. 80-180 Tage und Standortdaten ebenfalls 30 Tage. Bei anderen Mobilfunkbetreibern sieht es momentan nicht anders aus (E-Plus speichert laut AK Vorrat momentan Standorddaten 90 Tage, Vodafone ausgehende Verbindungsdaten sogar 180 Tage). Hier sei noch einmal auf den Musterantrag verwiesen: Er will keine Speicherung von Standorddaten, sowie die Beschränkung der Speicherung von Verbindungsdaten auf wenige (möglichst nur sieben) Tage.

Lediglich an einem Punkt gibt es eine echte Differenz zu anderen Vorschlägen aus der netzpolitischen Szene, zu dem wir aber auch klar stehen. Zur Speicherung dynamischer IP-Adressen steht im Text folgendes:

„Die Beauskunftung von Anschlussinhabern anhand einer IP-Adresse kann als milderes und weniger eingriffsintensives Mittel zur Aufklärung von Straftaten genutzt werden. Dabei sollte ein Abruf jedoch nur innerhalb einer angemessenen Frist erfolgen können.“

Gemeint ist dabei eine Rückkehr zur Speicherung von dynamischen IPs für maximal 80 Tage, in denen auch bei staatsanwaltlichen Ermittlungen in Fällen der Massenkriminalität, also nicht nur für schwere Straftaten, unter dem Vorbehalt richterlicher Überprüfung Auskunft beim Zugangsprovider verlangt werden können soll. Selbstverständlich bezieht sich auch das allein auf die auch vom Bundesverfassungsgericht für zulässig erachteten Fälle, in denen Ermittlern eine IP-Adresse bereits aus einer anderen Quelle bekannt ist und anschließend nur noch die Zuordnung zu einem bestimmten Anschlussinhaber erfolgen soll.

Seine Begründung findet diese angestrebte Sonderregelung für dynamische IP-Adressen darin, dass ein funktionaler Unterschied zwischen statischen IP-Adressen, die man wie z.B. auch normale Telefonnummern zu den Bestandsdaten zählt, und dynamischen IP-Adressen, die heute juristisch meist zu den Verbindungsdaten gerechnet werden, unserer Überzeugung nach in Wirklichkeit nicht existiert. Es wäre daher aber sowohl den Ermittlungsbehörden, wie auch dem Opfern von Straftaten wie Internetbetrug gegenüber schlicht nicht zu begründen, warum man ohne Probleme einen normalen betrügerischen Anruf zu einem Teilnehmeranschluss zurückverfolgen können sollte, einen VoIP-Call aber nicht, selbst wenn die korrekte IP beim Opfer bekannt ist. Klar: Natürlich wird man auch dann IP-Adressen verschleiern und auch weiterhin vollständig anonym im Netz unterwegs sein können, wenn einem das wichtig ist. Aber es ist etwas anderes, als ob ich den jährlich tausenden Opfern von Betrügereien erkläre: „Pech, man könnte Dir vielleicht problemlos helfen und den Täter ermitteln, aber unter Mord und Totschlag geht da im Internet gar nix“. Dem steht auch keine andere Abwägung entgegen, denn eine Rückkehr zur Speicherung von dynamischen IPs für z.B. 80 Tage, wie vor 2006, und unter dem Vorbehalt richterlicher Überprüfung zur Ermittlung des Anschlußinhabers, ist für diese Art von Fällen auch vom Bundesverfassungsgericht ausdrücklich als verfassungsgemäß erklärt worden.

Unterstellungen, damit sollten Anonymisierungdienste für unzulässig erklärt werden, entbehren jeder Grundlage. Schließlich auch der Vorwurf, die SPD-Netzpolitiker würde mit diesem Vorschlag “ohne Not” einen „Dammbruch“ in der politischen Auseinandersetzung verursachen.  Wer so argumentiert, versucht lediglich eine Tatsache zu ignorieren, der sich die SPD aber dort, wo sie in Regierungsverantwortung ist, nicht entziehen kann: Der Damm ist bereits 2007, mit Inkrafttreten der EU-Richtlinie, gebrochen und konnte bis heute nicht wieder geschlossen werden (vgl. dazu auch die Diskussion hier) – die Traueranzeige von damals bringt es treffend zum Ausdruck. So lange dieser Damm aber nicht geschlossen ist, geht es nicht mehr um das “ob”, sondern leider nur noch um das “wie” der Vorratsdatenspeicherung und eine Diskussion entlang entsprechender Verteidigungslinien. Das Bundesverfassungsgericht jedenfalls hat den Damm, der in Brüssel geöffnet wurde, nicht geschlossen und auch im Rahmen der laufenden Evaluation ist dieses nicht zu erwarten. Da die EU-Richtlinie aber zwangsweise in deutsches Recht umzusetzen ist, wird man nicht umhin kommen, sich diesem Problem mit politischer Redlichkeit zu stellen, um zum Schutz der Bürgerrechte wenigstens eine möglichst weitgehende Eingrenzung zu versuchen. Und nichts anderes will ich gemeinsam mit anderen Mitgliedern des Gesprächskreises Netzpolitik der SPD und will dieser Antrag bewirken.

Wie wir es von diesen Qualitätsjournalisten und anderen “gewöhnlich gut informierten Kreisen” gewohnt sind, erblicken Diskussionspapiere vor allem dann über diesen Weg vorzeitig das Licht der WELT, wenn es den politischen Interessen zumindest eines der Beteiligten dient. Wer sich welchen politischen Nutzen von einem Artikel wie “Die Justizministerin schockfrostet die Union” verspricht, möge jeder dabei für sich selbst beurteilen… Tatsache aber ist, dass es jetzt aus dem Hause der Justizministerin Sabine Leutheusser-Schnarrenberger (FDP), an der sich laut WELT “schon einige Kollegen die Zähne ausgebissen” hätten, endlich den lang angekündigten Diskussionsentwurf zur Vorratsdatenspeicherung gibt, einschließlich einer Konkretisierung ihrer Ideen zu “Quick-Freeze”. Dieser wird nunmehr mit dem Bundesministerium des Inneren “abgestimmt” werden, bevor er als Regierungsentwurf vielleicht auch einmal offiziell ins Parlaments kommt und den Betroffenen dann vielleicht auch noch einmal die Gelegenheit zur Stellungnahme gegeben wird.

Da mich der naiven Begeisterung für Quick-Freeze noch nie anstecken konnte, sondern ich in Ansehung des Eckpunktepapiers und der Anhörung des Justizministeriums darin eher einen “Wolf im Schafspelz” erblicke, bin ich nun doch auf den ersten Blick positiv vom vorliegenden Diskussionsentwurf überrascht. Dies allerdings noch unter dem ausdrücklichen Vorbehalt, dass ich zum ordentlichen analysieren und prüfen aller Änderungsvorschläge leider schlicht noch nicht die Zeit gefunden habe. Die kurze Übergangsfrist von zwei Monaten und das Fehler einer Vorschrift, die zumindest solche Betreiber ausnimmt, die sich etwa gar nicht an Kundenkreise richten, die kriminalistisch von Interesse wären, ärgert mich aber zumindest schon wieder spontan.

Dennoch: Als rechtlicher Praktiker verlasse ich mich aufgrund vielfacher schlechter Erfahrung – anders als manche Abgeordnete und Kommentatoren – nicht gerne auf die angeblichen Erläuterungen und rechtlichen Behauptungen der Begründung zu Gesetzentwürfen, wenn es um die Abschätzung der tatsächlichen Wirkung von neuen Bestimmungen geht. Ich will daher versuchen, über Pfingsten eine erste tiefergehende Analyse nachzuholen, um vielleicht noch etwas mehr dazu veröffentlichen zu können.

Dem Interessierten und kundigen Leser und insbesondere den Kollegen aber möchte ich als Feiertagslektüre jedenfalls nicht den Text mit den wesentlichen Änderungen vorenthalten, den ich daher nachfolgend dokumentiere. Er ist inzwischen auch hier im Volltext verfügbar gemacht worden.

Bundesministeriums der Justiz

Diskussionsentwurf – Stand 7.6.2011 - für ein

Gesetz zur Sicherung vorhandener Verkehrsdaten und Gewährleistung von Bestandsdatenauskünften im Internet

Artikel 1

Änderung der Strafprozessordnung

Die Strafprozessordnung in der Fassung der Bekanntmachung vom 7. April 1987 (BGBl. I S. 1074, 1319), die zuletzt durch Artikel … des Gesetzes vom … (BGBl. I …), geändert worden ist, wird wie folgt geändert:

1             In § 100g Absatz 1 Satz 1 wird in dem Satzteil nach Nummer 2 die Angabe „, § 113a“ gestrichen.

2             Nach § 100i werden die folgenden §§ 100j und 100k eingefügt:

㤠100j

(1) Soweit dies für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes eines Beschuldigten erforderlich ist, darf gegenüber demjenigen, der öffentlich zugängliche Telekommunikationsdienste erbringt oder daran mitwirkt, an­geordnet werden, dass er die bei der Nutzung des Dienstes bereits erzeugten oder verarbeiteten sowie künftig anfallenden Verkehrsdaten (§ 96 Absatz 1 des Telekom­munikationsgesetzes), die in den Absätzen 3 und 4 benannt sind, zu sichern hat. Die Anordnung ist unzulässig, soweit die Voraussetzungen für eine Erhebung oder Ver­wendung der Daten voraussichtlich nicht vorliegen werden.

(2) Die Anordnung ist auf höchstens einen Monat zu befristen. Eine Verlänge­rung der Anordnung um nicht mehr als einen Monat ist zulässig, soweit die Voraus­setzungen der Anordnung fortbestehen. § 100a Absatz 3 und § 100b Absatz 2, 3 Satz 2 und 3, Absatz 4 Satz 1 gelten entsprechend.

(3) Die Anordnung nach Absatz 1 darf sich bei Anbietern von öffentlich zugäng­lichen Telefondiensten auf Folgendes beziehen:

1. die Rufnummer oder andere Kennung des anrufenden und des angerufenen An­schlusses sowie bei Um-oder Weiterschaltungen jedes weiteren beteiligten An­schlusses,

2. Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone von Beginn und Ende der Verbindung,

3. Angaben zu dem genutzten Dienst, wenn im Rahmen des Telefondienstes unter­schiedliche Dienste genutzt werden können,

4. im Fall mobiler Telefondienste ferner

a) die internationale Kennung für mobile Teilnehmer für den anrufenden und den angerufenen Anschluss,

b) die internationale Kennung des anrufenden und des angerufenen Endgerä­tes,

c) die Bezeichnung der Funkzellen, die durch den anrufenden und den angeru­fenen Anschluss bei Beginn der Verbindung genutzt werden, sowie geografi­sche Lage und Hauptstrahlrichtung der die jeweilige Funkzelle versorgenden Funkantenne,

d) Datum und Uhrzeit der ersten Aktivierung des Dienstes sowie Bezeichnung der Funkzelle, wenn Dienste im Voraus bezahlt wurden,

5. im Fall von Internet-Telefondiensten auch die Internetprotokoll-Adressen des an­rufenden und des angerufenen Anschlusses.

Satz 1 gilt entsprechend bei der Übermittlung einer Kurz-, Multimedia-oder ähnlichen Nachricht; hierbei treten an die Stelle der Angaben nach Satz 1 Nummer 2 die Zeit­punkte der Versendung und des Empfangs der Nachricht. Die Anordnung darf sich auch auf unbeantwortete oder wegen eines Eingriffs des Netzwerkmanagements er­folglose Anrufe erstrecken.

(4) Die Anordnung nach Absatz 1 darf sich bei Anbietern von öffentlich zugäng­lichen Internetzugangsdiensten beziehen auf:

1             die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse,

2             eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt,

3             Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone von Beginn und Ende der Internetnutzung unter der zugewiesenen Internetprotokoll-Adresse.

(5) Der nach dieser Vorschrift Verpflichtete darf die allein auf Grund der Siche­rungsanordnung gesicherten Daten nur für eine Auskunftserteilung verwenden, die von einer Strafverfolgungsbehörde für Zwecke der Verfolgung von Straftaten verlangt wird, und hat diese Daten nach Ablauf der Sicherungsfrist unverzüglich zu löschen.

(6) § 113 Absatz 2 des Telekommunikationsgesetzes gilt entsprechend.

§ 100k

(1) Soweit dies für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes eines Beschuldigten erforderlich ist, darf von demjenigen, der Tele­kommunikationsdienste erbringt oder daran mitwirkt, Auskunft über die in § 113 des Telekommunikationsgesetzes in Bezug genommenen Daten verlangt werden. § 95 Absatz 2 gilt entsprechend.

(2) Die Auskunft nach Absatz 1 kann auch zu bekannten Internetprotokoll-Adressen verlangt werden, die zu bestimmten Zeitpunkten zugewiesen waren oder noch sind. Die betroffene Person ist von der Beauskunftung zu benachrichtigen. Die Benachrichtigung erfolgt, soweit und sobald hierdurch der Zweck der Auskunft nicht vereitelt wird. Sie unterbleibt, wenn ihr überwiegende schutzwürdige Belange Dritter oder der betroffenen Person selbst entgegenstehen. Wird die Benachrichtigung nach Satz 3 zurückgestellt oder nach Satz 4 von ihr abgesehen, sind die Gründe akten­kundig zu machen.

(3) In der Auskunft ist mitzuteilen, ob die Internetprotokoll-Adressen für die be­stimmten Zeitpunkte jeweils allein nach § 113a des Telekommunikationsgesetzes ge­speichert waren.

(4) Über die Maßnahmen nach Absatz 2 Satz 1 ist entsprechend § 100b Ab­satz 5 jährlich eine Übersicht zu erstellen, in der anzugeben sind:

1             die Anzahl der Verfahren, in denen Maßnahmen nach Absatz 2 Satz 1 durchge­führt worden sind, und

2             die Anzahl der Internetprotokoll-Adressen, zu denen um Auskunft ersucht wurde, unterschieden nach ihrem Alter und weiter unterschieden danach, ob sie allein nach § 113a des Telekommunikationsgesetzes gespeichert waren.

Das Alter der Internetprotokoll-Adressen bestimmt sich danach, wie viele Tage zwi­schen dem Zeitpunkt der Anordnung und dem in der Anordnung genannten Zeitpunkt, zu dem die Internetprotokoll-Adresse vergeben war, liegen. In der nach Satz 1 zu erstellenden Übersicht ist dieses Alter für den Zeitraum bis zu einer Woche taggenau, bis zu einem Monat wochenweise und für darüber hinausgehende Zeiträume mo­natsweise zu erfassen.“

Artikel 2

Änderung des Telekommunikationsgesetzes

Das Telekommunikationsgesetz vom 22. Juni 2004 (BGBl. I S. 1190), das zuletzt durch … geändert worden ist, wird wie folgt geändert:

1. Die Inhaltsübersicht wird wie folgt geändert:

a) Die Angabe zu § 110 wird wie folgt gefasst:

„§ 110 Umsetzung von Überwachungs-und sonstigen Maßnahmen“.

b) Die Angaben zu den §§ 113a und 113b werden durch die folgenden Angaben er­setzt:

㤠113a Pflichten zur Speicherung von Daten

§ 113b Verwendung der Daten

§ 113c Gewährleistung der Sicherheit der Daten

§ 113d Protokollierung

113e Anforderungskatalog

§ 113f Sicherheitskonzept“.

2. In § 3 wird nach Nummer 1 folgende Nummer 1a eingefügt:

„1a. „Anschlusskennung“ eine Adressierungsangabe, die eindeutig einen Zugang zu einer Telekommunikationsanlage bezeichnet, der es einem Nutzer ermöglicht, Telekommunikationsdienste mittels eines geeigneten Endgeräts zu nutzen;“.

3. § 110 wird wie folgt geändert:

a) Die Überschrift wird wie folgt gefasst:

㤠110

Umsetzung von Überwachungs-und sonstigen Maßnahmen“.

b) In Absatz 2 Nummer 1 Buchstabe a werden jeweils die Wörter „Überwachungs­maßnahmen und“ durch die Wörter „Überwachungsmaßnahmen und Siche­rungsanordnungen sowie“ ersetzt.

c) In Absatz 3 Satz 1 werden nach dem Wort „Telekommunikation“ die Wörter „, zur Umsetzung von Sicherungsanordnungen“ eingefügt.

4.             In § 113 Absatz 1 Satz 2 wird die Angabe „§ 161 Abs. 1 Satz 1, § 163 Abs. 1“ durch die Angabe „§ 100k“ ersetzt.

5.             Die §§ 113a und 113b werden durch die folgenden §§ 113a bis 113f ersetzt:

㤠113a

Pflichten zur Speicherung von Daten

(1) Wer öffentlich zugängliche Internetzugangsdienste für mehr als [X] Endnut­zer erbringt, ist verpflichtet, Daten, die von ihm bei der Nutzung seines Dienstes er­zeugt oder verarbeitet werden, nach Maßgabe der Absätze 2 und 4 unverzüglich für sieben Tage im Inland oder in einem anderen Mitgliedstaat der Europäischen Union zu speichern. Wer öffentlich zugängliche Internetzugangsdienste für mehr als [X] Endnutzer erbringt, aber nicht alle der nach Maßgabe der Absätze 2 und 4 zu spei­chernden Daten selbst erzeugt oder verarbeitet, hat

1             sicherzustellen, dass die nicht von ihm selbst bei der Erbringung des Dienstes erzeugten oder verarbeiteten Daten gemäß Satz 1 gespeichert werden, und

2             der Bundesnetzagentur auf deren Verlangen unverzüglich mitzuteilen, wer diese Daten speichert.

(2) Der nach Absatz 1 Verpflichtete speichert:

1             die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse,

2             eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt,

3             Datum und Uhrzeit unter Angabe der zugrunde liegenden Zeitzone von Beginn und Ende der Internetnutzung unter der zugewiesenen Internetprotokoll-Adresse.

(3) Der Inhalt der Kommunikation und Daten über aufgerufene Internetseiten dürfen auf Grund dieser Vorschrift nicht gespeichert werden.

(4) Die Speicherung der Daten hat so zu erfolgen, dass Auskunftsersuchen der berechtigten Stellen unverzüglich beantwortet werden können.

(5) Der nach dieser Vorschrift Verpflichtete hat die allein auf Grund dieser Vor­schrift gespeicherten Daten unverzüglich, spätestens innerhalb eines Tages nach Ab­lauf der in Absatz 1 genannten Frist, nach dem Stand der Technik zu löschen oder die Löschung sicherzustellen.

§ 113b

Verwendung der Daten

(1) Die allein auf Grund des § 113a gespeicherten Daten dürfen für eine Aus­kunft über die in § 113 in Bezug genommenen Daten zu bekannten Internetprotokoll-Adressen, die zu bestimmten Zeitpunkten zugewiesen waren oder noch sind, ver­wendet werden, wenn diese Auskunft von einer Strafverfolgungsbehörde für Zwecke der Verfolgung von Straftaten verlangt wird. Dies gilt auch, wenn diese Daten auf Grund einer Anordnung nach § 100j der Strafprozessordnung gesichert worden sind.

(2) Für andere Zwecke als die in Absatz 1 oder in § 113d genannten dürfen die allein auf Grund des § 113a gespeicherten Daten nicht verwendet werden.

§ 113c

Gewährleistung der Sicherheit der Daten

Der nach § 113a Verpflichtete hat sicherzustellen, dass die allein auf Grund der Speicherungsverpflichtung gespeicherten Daten durch technische und organisatori­sche Maßnahmen nach dem Stand der Technik gegen unbefugte Kenntnisnahme und Verwendung geschützt werden. Die Maßnahmen umfassen insbesondere:

1             den Einsatz eines besonders sicheren Verschlüsselungsverfahrens,

2             die von anderen personenbezogenen Daten der Teilnehmer und Nutzer auch physisch getrennte Speicherung,

3             die vom Internet entkoppelte Speicherung,

4             die Beschränkung des Zugangs zu den Daten auf besonders ermächtigte Perso­nen und

5             die Gewährleistung, dass die Freigabe des Zugriffs auf die Daten im Einzelfall nur unter Mitwirkung von mindestens zwei dazu besonders ermächtigten Perso­nen erfolgen kann.

§ 113d

Protokollierung

(1) Der nach § 113a Verpflichtete hat sicherzustellen, dass für Zwecke der Da­tenschutzkontrolle revisionssicher jeder Zugriff, insbesondere das Lesen, Kopieren, Ändern, Löschen und Sperren der allein auf Grund der Speicherungsverpflichtung nach § 113a gespeicherten Daten protokolliert wird. Zu protokollieren sind:

1             der Zeitpunkt des Zugriffs,

2             Angaben, die die auf die Daten zugreifenden Personen eindeutig kennzeichnen,

3             Angaben über den Zweck des Zugriffs,

4             im Falle der Verwendung der Daten nach § 113b Absatz 1 ferner

a) die dem Verpflichteten mit dem Auskunftsersuchen bekannt gegebene Be­zeichnung und das Aktenzeichen der zuständigen Stelle,

b) das Datum des Auskunftsersuchens,

c) die dem Suchvorgang zugrunde gelegten Daten.

(2) Für andere als die in Absatz 1 genannten Zwecke dürfen die Protokolldaten nicht verwendet werden.

(3) Der nach § 113a Verpflichtete hat sicherzustellen, dass die Protokolldaten nach einem Jahr gelöscht werden.

§ 113e

Anforderungskatalog

(1) Bei der Umsetzung der Verpflichtungen aus den §§ 113a bis 113d ist ein be­sonders hoher Standard der Datensicherheit und Datenqualität zu gewährleisten. Die Einhaltung dieses Standards wird vermutet, wenn alle Anforderungen des Katalogs der technischen Vorkehrungen und sonstigen Maßnahmen erfüllt werden, den die Bundesnetzagentur unter Beteiligung des Bundesamtes für Sicherheit in der Informa­tionstechnik und des Bundesbeauftragten für den Datenschutz und die Informations­freiheit erstellt.

(2) Die Bundesnetzagentur überprüft fortlaufend die im Katalog enthaltenen An­forderungen; hierbei berücksichtigt sie den Entwicklungsstand der Technik und Fach­diskussion, um festzustellen, ob der Katalog geändert werden muss. Stellt die Bun­desnetzagentur Änderungsbedarf fest, ist der Katalog unter Beteiligung des Bundes­amtes für Sicherheit in der Informationstechnik und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unverzüglich anzupassen.

(3) § 109 Absatz 6 Satz 2 und 3, Absatz 7²⁾ gilt entsprechend.

§ 113f

Sicherheitskonzept

Der nach § 113a Verpflichtete hat in das Sicherheitskonzept nach § 109 Ab­satz 4³⁾ zusätzlich aufzunehmen:

1             welche Speicher-und Auskunftssysteme zur Erfüllung der Vorgaben der §§ 113a, 113b betrieben werden,

2             von welchen Gefährdungen für diese Systeme auszugehen ist und

3             welche technischen Vorkehrungen oder sonstigen Maßnahmen getroffen oder geplant sind, um die Verpflichtungen aus den §§ 113a bis 113d zu erfüllen.

Der nach § 113a Verpflichtete hat der Bundesnetzagentur das Sicherheitskonzept erstmals unverzüglich nach dem Beginn der Speicherung nach § 113a und danach im Abstand von zwei Jahren sowie bei jeder Änderung des Sicherheitskonzepts erneut vorzulegen. § 109a gilt entsprechend.“

6. Dem § 121 Absatz 1 wird folgender Satz angefügt:

„Ferner teilt die Bundesnetzagentur in dem Bericht mit,

1             in welchem Umfang und mit welchen Ergebnissen sie Sicherheitskonzepte nach § 113f und deren Einhaltung überprüft hat und

2             ob und welche Beanstandungen und weiteren Ergebnisse der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit insoweit an die Bundesnetz­agentur übermittelt hat (§ 115 Absatz 4 Satz 2).“

7. § 149 wird wie folgt geändert:

a) Absatz 1 wird wie folgt geändert: aa) In Nummer 34 wird das Wort „oder“ durch ein Komma ersetzt. bb) In Nummer 35 wird der Punkt am Ende durch ein Komma ersetzt. cc) Die folgenden Nummern 36 bis 44 werden angefügt:

„36. entgegen § 113a Absatz 1 Satz 1 Daten nicht, nicht richtig, nicht voll­ständig, nicht in der vorgeschriebenen Weise, nicht für die vorgeschrie­bene Dauer oder nicht rechtzeitig speichert,

37. entgegen § 113a Absatz 1 Satz 2 nicht sicherstellt, dass die dort ge­nannten Daten gespeichert werden, oder eine Mitteilung nicht, nicht rich­tig, nicht vollständig oder nicht rechtzeitig macht,

38. entgegen § 113a Absatz 5 Daten nicht oder nicht rechtzeitig löscht oder nicht sicherstellt, dass die Daten rechtzeitig gelöscht werden,

39. entgegen § 113b Absatz 2 Daten für andere als die genannten Zwecke verwendet,

40. entgegen § 113c Satz 1 nicht sicherstellt, dass Daten gegen unbefugte Kenntnisnahme und Verwendung geschützt werden,

41. entgegen § 113d Absatz 1 nicht sicherstellt, dass jeder Zugriff revisions­sicher protokolliert wird,

42. entgegen § 113d Absatz 2 Protokolldaten für andere als die genannten Zwecke verwendet,

43. entgegen § 113d Absatz 3 nicht sicherstellt, dass Protokolldaten recht­zeitig gelöscht werden, oder

44. entgegen § 113f Satz 2 das Sicherheitskonzept nicht oder nicht rechtzei­tig vorlegt.“

[es folgen die geänderten Tabellen mit den Sätzen der pauschalierten Entschädigung - hier nicht wiedergegeben]

Artikel 4

Änderung des Bundeskriminalamtgesetzes

In § 20m Absatz 1 des Bundeskriminalamtgesetzes vom 7. Juli 1997 (BGBl. I S. 1650), das zuletzt durch … geändert worden ist, wird die Angabe „und § 113a“ gestri­chen.

Artikel 5

Änderung des Einführungsgesetzes zur Strafprozessordnung

§ 12 des Einführungsgesetzes zur Strafprozessordnung in der im Bundesgesetzblatt Teil III, Gliederungsnummer 312-1, veröffentlichten bereinigten Fassung, das zuletzt durch … geändert worden ist, wird wie folgt gefasst:

㤠12

Übergangsregelung zum Gesetz zur Sicherung vorhandener Verkehrsdaten und Gewähr­leistung von Bestandsdatenauskünften im Internet

§ 100k Absatz 4 der Strafprozessordnung ist erstmalig für das Berichtsjahr [einset­zen: Jahreszahl des Jahres 18 Monate nach Inkrafttreten dieses Gesetzes] anzuwenden.“

Artikel 6

Einschränkung von Grundrechten

Durch die Artikel 1 und 2 dieses Gesetzes werden das Brief-, Post-und Fernmelde­geheimnis (Artikel 10 des Grundgesetzes) eingeschränkt.

Artikel 7

Inkrafttreten

Dieses Gesetz tritt am ersten Tag des zweiten auf die Verkündung folgenden Monats in Kraft.

So sehr man verstehen kann, dass Frau Leutheusser-Schnarrenberger nicht wieder von einem Ministeramt zurücktreten will, weil ihr persönlich aufrichtiges Bemühen um den Erhalt bürgerlicher Freiheiten keine Mehrheit in ihrer Regierungskoalition findet: Mit ihrem Eckpunktepapier und dem darin vorgestellten Konzept des „Quick Freeze plus“ tut sie ihrer Sache und der Diskussion um Grenzen der Überwachung des Internet im Ergebnis leider keinen Gefallen. Lachender Dritter dürften die Befürworter einer möglichst weitgehenden Vorratsdatenspeicherung sein. Aber nicht nur diesbezüglich erweist sich ihr Eckpunktepapier als „Wolf im Schafspelz“. Eine erste, sehr kritische Analyse.

Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) hat sich – wenn auch für Teilnehmer der Anhörung des Bundesministeriums der Justiz (BMJ) im letzten Jahr wenig überraschend – wie zuvor schon der Bundesdatenschutzbeauftragte Peter Schaar (http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/zwei-wochen-lang-alles-speichern/) nunmehr auch öffentlich in einem Interview mit der Süddeutschen Zeitung für das Verfahren “Quick Freeze Plus” ausgesprochen (http://www.sueddeutsche.de/politik/justizministerin-im-sz-gespraech-es-darf-nicht-uferlos-gespeichert-werden-1.1047230).

Bei diesem auch als “Vorratsdatenspeicherung light“ (+ Schockfrosten) bekannten Ansatz sollen alle Telekommunikationsunternehmen (TK-Unternehmen) verpflichtet werden, IP-Verbindungsdaten zumindest einige Tage verdachtsunabhängig zu speichern, auch wenn diese nicht für Abrechnungszwecke erforderlich sind. Soweit vor Ablauf der sieben Tage den Providern ein “Sicherungsantrag” durch Polizei und Staatsanwaltschaften zugerufen wird, sollen sie durch das neue Gesetz verpflichtet werden, die darin näher bezeichneten Daten kundenbezogen länger zu speichern, bis innerhalb einer weiteren Frist durch ein Gericht entschieden ist, ob diese an den Sicherungsantragsteller herauszugeben, andernfalls zu löschen sind (vgl. Eckpunktepapier http://www.bmj.de/SharedDocs/Downloads/DE/pdfs/eckpunktepapr_zur_sicherung_vorhandener_verkehrsdaten).

Gegner der Vorratsdatenspeicherung (VDS), die sich gemeinsam mit der damals noch oppositionellen Abgeordneten Leutheusser-Schnarrenberger gegen die Bestimmungen des Telekommunikationsgesetzes erfolgreich vor dem Bundeverfassungsgericht (BVerfG) beschwert hatten, kritisieren ihre Pläne scharf: Das geplante Modell würde nicht der gewünschten Begrenzung der ja europarechtlich weiterhin zur nationalen Umsetzung gebotenen VDS unter dem vom BVerfG verordneten strengen Regime dienen, sondern könnte im Ergebnis Anzahl und Ausmaß der anlasslosen Überwachungen der Internetnutzer und die Belastung der verpflichteten Unternehmen vielmehr noch erhöhen (http://www.heise.de/newsticker/meldung/Justizministerin-fuer-Vorratsdatenspeicherung-light-1170207.html). Wenn nicht sogar das wirkliche Ziel der Ministerin, so doch das Ergebnis ihres “Quick Freeze Plus” wäre es, die Position der Urheberrechtsinhaber und ihrer Auskunftsansprüche zur zivilrechtlichen Rechteverfolgung zu stärken. Der AK Vorratsdatenspeicherung, der in der FDP-Ministerin bisher immer eine Verbündete gesehen hatte, reagiert jedenfalls offensichtlich entsetzt auf die Vorschläge „seiner“ Ministerin (http://www.vorratsdatenspeicherung.de/images/brief_bminj_2011-01-17_anon.pdf ).

Ob sich insbesondere letztere Befürchtungen bestätigen oder sich vielmehr das geplante Gesetz am Ende doch als “nichts im Vergleich zu dem Aufwand, der nach der Vorratsdatenspeicherung anfiel” erweist, wie die Bundesjustizministerin im Interview beteuert, wird man sicherlich erst nach Kenntnis des genauen Wortlauts des Gesetzentwurfes exakt bestimmen können.

Fest steht für mich jedoch bereits nach Analyse des sechseitigen Papiers und der Gespräche mit den Verantwortlichen in Regierung und Opposition:

In Sachen Vorratsdatenspeicherung hat sich die Bundesjustizministerin unter aktivem Zutun einiger VDS-Gegner und Datenschützer – wenn auch sicherlich in nobler Absicht, aber dennoch ohne Not – ganz tief in eine politische Sackgasse hineinmanövriert. Bei der sie am Ende wahrscheinlich selbst nicht mehr so richtig wusste, wie sie ohne Gesichtsverlust heraus- und schlussendlich noch zu einer auch von der CDU/CSU politisch akzeptierten Lösung kommen soll. Die Befürworter weiter Regelungen zur Telekommunikationsüberwachung aus anderen Ministerien und Behörden hatten das schon vor geraumer Zeit erkannt. Die feixten bereits in der Anhörung des Ministeriums Ende September ganz offen über die engagierte Bürgerrechtlerin und ihre offensichtlich an den Zielkonflikten verzweifelnden Mitarbeiter. Und sie sagten bereits ihr „Umfallen“ in der Frage der Speicherung von Daten auf Vorrat voraus.

Das was Leutheusser-Schnarrenberger nun aber als ihre politische Lösung präsentiert, geht über meine Befürchtungen weit hinaus. Es könnte sich im Ergebnis für Bürgerrechte und Telekommunikationsindustrie als belastender erweisen, als die vom Bundesverfassungsgericht aufgehobenen Vorschriften. Denn bislang offensichtlich unbemerkt auch von vielen Kritikern, soll laut dem Eckpunktepapier nicht nur die Möglichkeit einer (wenn auch zeitlich deutlich begrenzteren) anlasslosen Speicherung von IP-Adressen eröffnet werden, sondern werden zugleich auch die Möglichkeiten der auch nur auf einen abstrakten Verdacht hin bezogenen Überwachung aller Bürgerinnen und Bürger ganz erheblich ausgeweitet! Die Eckpunkte der Ministerin erweisen sich für mich bei näherer Betrachtung wie der sagenhafte „Wolf im Schafspelz“:

1. Datenspeicherung bei konkretem Tatverdacht? Gibt es schon, was soll das also?

Selbstverständlich kann der Staat heute schon bei hinreichendem Verdacht und auf richterlichen Beschluss im Rahmen des §100a StPO (http://www.juraforum.de/gesetze/stpo/100a-ueberwachung-der-telekommunikation) alles an Telekommunikation (TK) überwachen und beauskunftet bekommen, was es überhaupt so bei einem TK-Unternehmen an Daten über seinen Kunden gibt. Einschließlich der gespeicherten Verbindungsdaten eines Anschlusses oder des gesamten Internet- und sonstigen Datenverkehrs eines konkret Verdächtigten. Die gesamten TK-Verkehre werden in einem solchen Fall vom zwangsverpflichteten Unternehmen über eine vorgegebene Schnittstelle an die Behörden ausgeleitet und können dann dort natürlich auch “auf Vorrat” gespeichert und später in aller Ruhe ausgewertet werden (wenn sie es denn überhaupt technisch können…). Diesen Teil der Telekommunikationsüberwachung hat auch das Bundesverfassungsgericht nicht für problematisch gehalten. Mit anderen Worten: Bei Vorliegen eines hinreichenden Verdachts einer der “Katalogtaten” bedürfte es überhaupt keines “Quick Freeze” oder irgendeines sonstigen neuen Gesetzes.

Der Abschnitt I des Eckpunktepapieres beschreibt unter der Überschrift „Sicherung vorhandener Verkehrsdaten“ insoweit keinen „Fortschritt“ hin zu weniger Überwachung, sondern erweist sich vielmehr insoweit als sehr problematisch, als er die bisherigen formalen Schwellen der Anordnung einer verbindungsdatenbezogenen Teilnehmeranschlussüberwachung senken und zugleich die Reichweite der Verpflichtungen und den Aufwand der betroffenen Unternehmen erhöhen will. Anstatt einen gerichtlichen Beschluss vorlegen und selbst für Speicherung und Verarbeitung der ausgeleiteten Daten sorgen zu müssen oder sich ansonsten mit dem zu begnügen, was das verpflichtete Unternehmen an Informationen schon verarbeitet und gespeichert hat, dürften die Ermittler sich darüber sehr freuen. Schon aus ökonomischen Gründen könnten sie zukünftig stets nur noch mit Hilfe der kostengünstigeren und bequemeren „Sicherungsanordnung“ arbeiten, wenn sie Daten haben wollen, die sich nicht schon aus einer Rechnungskopie ergeben und am Inhalt einer Kommunikation kein Interesse haben. Eine aufwendigere richterliche Verfügung beantragen und begründen zu müssen, wie es bislang gesetzlich vorgesehen ist, soll ja gerade nicht mehr erforderlich sein, um das verpflichtete Unternehmen zu Aufwendungen zu zwingen.

Eine andere sachliche Notwendigkeit für ein „Quick Freeze“ im Bereich anlassbezogener Überwachung und „Sicherung vorhandener Verkehrsdaten“ gibt es dagegen eigentlich nicht: Die Umsetzungen der verdachtsbezogenen Telekommunikationsüberwachung ist heute nämlich schon hinreichend gesetzlich geregelt, erfolgt weitgehend zentralisiert und die Verfahren sind eingespielt. Auskunfts- und Überwachungsanordnungen der Gerichte werden in der Praxis, wo nötig, innerhalb Stundenfrist umgesetzt. Problematisch ist aus Sicht des Staates einzig, dass er die Kosten dafür weitgehend selbst zu tragen hat und häufig gar nicht in der Lage ist, die Mengen an Daten irgendwie sinnvoll zu verarbeiten, die er sich in seine Polizeistationen ausleiten lässt, weil er an der nötigen Technik und eigenem Know-how spart.

2. Quick Freeze bedeutet mitnichten Datenvermeidung

Datenvermeidung funktioniert in der digitalen Welt nicht so recht, auch wenn es so manche Datenschützer immer noch nicht wahrhaben wollen: Ohne Übermittlung und (Zwischen-) Speicherung von Daten wie Rufnummern und IP-Adressen funktioniert Telefonie oder Internet schlicht nicht. Insoweit erweist sich die digitale Technik niemals als völlig „datenschutzkonform“. Will man dennoch nicht ganz darauf verzichten, kann man allein darüber diskutieren, wie lange anfallende Daten gespeichert und wie schnell sie gelöscht werden. Und vor allem, ob die in der Telekommunikation aus technischen Gründen zwangsläufig anfallenden Rohdaten überhaupt mit den Stammdaten eines Nutzers zusammengeführt und nach dieser „Hochzeit“ aus nur theoretisch „personenbeziehbaren“, echte „personenbezogene“ Daten eines Bürgers werden.

Früher haben TK-Anbieter und Internet-Provider Daten wie die Dauer einer Internetverbindung, Traffic-Volumen und dynamische IP-Adressen ihrer Kunden zum Zwecke der Rechnungsstellung verarbeiten und speichern müssen. Nach der schrittweisen Umstellung auf Flatrate-Tarife wurden diese weiterhin anfallenden Rohdaten für das “Billing” der Kunden aber nicht mehr benötigt, aber dennoch meist standardmäßig weiterhin gespeichert, wenn auch nicht mehr für die Abrechnung aufbereitet und daher auch nicht mehr mit den Adressdaten des Kunden zusammengeführt. Hintergrund war, dass die IT-Verantwortlichen in den Unternehmen diese Daten meist von sich aus für die Bekämpfung von “Fraud” (Betrug zu Lasten des TK-Unternehmens) und aus Angst vor (technischen) Missbräuchen, zur SPAM- und Virenbekämpfung und aus ähnlichen Gründen schlicht erst einmal besser noch eine Weile behalten wollten. Förmliche Anweisung zur Speicherung der Rohdaten gab es in den wenigsten der Unternehmen. Die Tabellen wurden in der Praxis daher manchmal natürlich auch erst Monate später gelöscht, wenn der Speicher einfach voll lief und jemand in der IT den Speicherplatz wieder brauchte…

Ohne dass solche Rohdaten in den meist monatlich stattfindenden „Billing-Läufen“ der TK-Unternehmen oder in Tabellen für Einzelverbindungsnachweise einfließen, ist aber beispielsweise die Zuordnung dynamischer IP-Adressen zu einzelnen Nutzern regelmäßig nur nach aufwendiger „händischer“ Bearbeitung möglich und wurde daher mit Ausnahme weniger Einzelfälle nach meiner persönlichen Erfahrung nur äußerst selten vorgenommen. Anfragen von Urheberrechteinhaber konnten jedenfalls schon deswegen nicht beantwortet werden, weil die Rohdaten ohne vorherige Verarbeitung (der „Hochzeit“ mit den Stammdaten des Kunden) eben nicht zu (Bestands-) Daten werden, die herauszugeben wären. Auch diesbezüglich täuscht m.E. das Eckpunktepapier der Ministerin in der Einleitung zu II. Abschnitt über die Tatsachen.

Im Eckpunktepapier wird in I. 3. nunmehr aber einfach behauptet, dass alle von der EU-Richtlinie genannten Datenarten (so ausdrücklich I.8.) von den TK-Unternehmen heute schon zu geschäftlichen Zwecken gespeichert würden. Das aber ist überhaupt nicht zwingend der Fall. Denn Daten die beispielsweise im „Switch“ (Vermittlungsstelle) als Rohdaten zwangsläufig anfallen, sind nämlich ohne bewusste weitere Verarbeitung meist überhaupt nicht identisch mit den Daten, die von der Behörde als Auskunft erwartet werden. Darauf aber nimmt das Eckpunktepapier jedoch nicht etwa im Sinne eines „Best-Effort“-Ansatzes Rücksicht, sondern verpflichtet nach I.4. „die potentiell betroffenen TK-Diensteanbieter“ vielmehr, „auf eigene Kosten Vorkehrungen zu treffen, damit eine Sicherungsanordnung“ entsprechend der Wünsche der anfragenden Behörde „schnell und effektiv […] umgesetzt“ werden kann. Mit anderen Worten: Selbst bei Daten, die vielleicht aus technischen Gründen und damit schon im Sinne des I.3 anfallen, aber für sich noch nicht kundenrelevant sind, müssen sich die Unternehmen künftig auf „Sicherungsmaßnahmen für diese Datenarten einrichten“ und die Rohdaten dazu auch ohne konkrete Sicherungsanordnung künftig laufend kundenbezogen verarbeiten.

3. BGH bestätigte grundsätzliches Gebot der Datenlöschung

Eines der wenigen Unternehmen, dass bereits in der Vergangenheit auch noch nach Umstellung auf Flatrate-Tarife seine Rohdaten zumindest hinsichtlich dynamischer IP-Adressen weiterhin kundenbezogen verarbeitet hat, war T-Online, der Internet-Provider der Deutschen Telekom (DTAG): In Darmstadt erteilte man daher auch noch entsprechende Auskünfte über die Identität des Nutzers einer dynamischen IP-Adresse, während dieses woanders schon längst nicht mehr verarbeitet wurde. Zehntausende von Kunden der DTAG bekamen daraufhin Abmahnungen wegen angeblichen “Filesharings”, während die Kunden anderer Unternehmen unbehelligt blieben. Wie zu erwarten war, kam es daraufhin zum Eklat: Der BGH bestätigte 2006 (auf Betreiben u.a. von RA Patrick Breyer vom AK Vorrat) das Verbot einer Speicherung aller nicht abrechnungsrelevanten Daten (siehe http://www.heise.de/newsticker/meldung/BGH-bestaetigt-Urteil-zur-Loeschung-von-IP-Adressen-115338.html). IP-Adressen sie danach aufgrund fehlender anderer gesetzlichen Regelungen unmittelbar nach Ende der Verbindung zu löschen.

Anders als in den USA und in anderen Ländern, wo es keinen vergleichbar strengen datenschutzrechtlichen Grundsatz der Löschung gibt, dürfen in Deutschland solche Daten eben ohne rechtliche oder vertragliche Erlaubnis oder besondere Notwendigkeit nicht aufbewahrt werden. Aber nur deswegen funktioniert „Quick Freeze“ in den USA auch problemlos und weitgehend konfliktfrei (ein Umstand, den freilich selbst manche Datenschützer zu übersehen scheinen, vgl. nur den Beitrag von Thilo Weichert http://www.lto.de/de/html/nachrichten/350/Schnell-einfrieren-statt-lange-speichern/). Denn dort werden die sowieso zahlreich von den Unternehmen zu eigenen Zwecken „auf Vorrat“ gespeicherten und z.B. bereits zu Marketingszwecken personenbezogen aufbereiteten Kundendaten auf behördlichen Zuruf hin einfach länger aufbewahrt und ggfs. auch für weit vergangenen Zeiträume herausgegeben. Die Unternehmen bestimmen dort weitgehend selbst, was sie über ihre Kunden wissen und speichern wollen. Die nach dem Urteil des BVerfG (http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg10-011) wieder aktuelle Rechtslage und auch Praxis in Deutschland ist gegenüber den USA aber eine (glücklicherweise) ganz andere: Rechtstreue Unternehmen speichern und verarbeiten (!) – anders als es das Eckpunktepapier des BMJ in I.3. suggerieren will – nach Aufhebung der Regelungen zur VDS weder SMS-Verbindungsdaten noch Telefon- oder Internet-Verbindungsdaten oder sonstiges auf Vorrat, wenn sie wegen ihrer Tarifmodelle nicht zu Abrechnungszwecken oder aufgrund von ausdrücklichen Kundenwünschen (wie Einzelverbindungsnachweise) nötig sind. Und selbst wenn diese Daten „z.B. für sog. Terminierungsentgelte bzw. Wholesale- oder Inter-Carrier-Abrechnungen“ weiterhin anfallen, müssen und werden sie bislang nicht (mehr) mit den Daten der Kunden „verheiratet“, sondern lediglich summenmäßig für das „Netting“ zwischen den unterschiedlichen TK-Unternehmen erfasst und verarbeitet. (sprich: „Ich habe Dir in Deinen Nummernraum drei Millionen Minuten übergeben, Du mir zwei Millionen terminiert, also muss ich Dir noch für eine Million Minuten das vereinbarte/regulierte Entgelt bezahlen“).

Anders als in den USA verhalten sich die meisten TK-Unternehmen in Deutschland entsprechend der Anforderungen des deutschen Datenschutzes insoweit wesentlich „datensparsamer“ und sind die für Überwachungsmaßnahmen gewünschten Daten ganz entgegen der Unterstellungen des Eckpunktepapiers eben auch nicht „aus geschäftlichen Gründen bereits vorhanden“. Was die Autorin des Papiers damit vielmehr offensichtlich zu vertuschen versucht, ist nicht weniger, als dass zur Erfüllung der Quick-Freeze-Verpflichtung die Unternehmen außerhalb der normalen Billing- und Betriebsabläufe zu zusätzlicher (auch kostenmäßig belastenden) Datenverarbeitung von Rohdaten gezwungen werden sollen. Damit überhaupt etwas, was sich in der Vergangenheit ereignet hat, auf Zuruf in geeigneter, also personenbezogen eingefroren werden kann, müssen nämlich verdachtsunabhängig laufend die Rohdaten, die diese Person erzeugt, zumindest soweit laufend mit ihren Stammdaten „verheiratet“ werden, damit überhaupt etwas da ist, was dann auf Zuruf „schockgefroren“ werden kann.

Das eigentlich geltende Datenlöschungsgebot wird damit aufgehoben, die Vorratsdatenspeicherung über den simplen Trick der Ausdehnung der Definition, was vorgeblich gem. § 96 TKG zu geschäftlichen Zwecken mindestens für interne Abrechnungen bei den Unternehmen schon gespeichert wäre, für alle Bereiche und nicht nur IP-Adressen eingeführt. Ohne gesetzlich eindeutige zeitliche Grenzen, vielmehr sollen – wie es I.3. impliziert – sogar mehr als sechs Monate erlaubt sein.

4. Sonderweg der Deutschen Telekom

Der DTAG passte das damalige Urteil des BGH schon 2006 nicht und T-Online bekam auf eigene Bitten vom Bundesdatenschutzbeauftragten Peter Schaar zur allgemeinen Überraschung die „Erlaubnis”, die „Unmittelbarkeit” einer Löschung mit einer Woche zu definieren, insbesondere Zuweisungen für IP-Adressen erst sieben Tage nach Ende der Verbindung löschen zu müssen (http://www.heise.de/newsticker/meldung/Datenschuetzer-haelt-siebentaegige-Speicherung-von-Verbindungsdaten-fuer-angemessen-150197.html). Soweit noch vorhanden, waren und sind diese IP-Daten dann auch auf Anordnung herausgeben, wenn rechtzeitig eine berechtigte Anfrage vorliegt.

Das fanden vor allem die Rechtsvertreter der Musikindustrie grundsätzlich eine prima Idee – aber eine viel zu kurze Frist, für die aus ihrer Sicht zu “lahmen” Richter und Staatsanwälte. Firmen wie die Schweizer Logistep AG überschütteten die TK-Unternehmen daher mit tausendfachen “Quick Freeze”-Sicherungsanfragen nach US-Vorbild. Dem konnten sich die Unternehmen, wenn sie – anders als T-Online nicht bereit waren, zu diesem Zweck Daten ihrer Kunden herauszurücken – aber zumindest dadurch entziehen, dass sie dem BGH-Urteil folgend und entgegen Peter Schaars Erlaubnis wirklich alle (Roh-) Daten eines Flatrate-Kunden konsequent und sofort nach Ende der Datenverbindung löschten. Das mussten sie aber manchmal auch schon deswegen tun, weil etliche Landesdatenschutzbeauftragte die sieben Tage Speicherzeit von Peter Schaar nicht als „unmittelbare Löschung“ im Sinne des BGH nachvollziehen wollten und – je nach Bundesland des jeweiligen Unternehmenssitzes – auf echte „sofortige“ Löschung der (Roh-) Daten sofort nach Ende der Datenverbindung bestanden. Da es damals (und heute wieder) keine Speicherungsverpflichtung im Gesetz gab, bestand zudem auch keine Berechtigung der Internet Service Provider, die anfallenden Rohdaten mit den Kundendaten aufzubereiten und an Massenabmahner herauszugeben, auch dann nicht, wenn sie eine „Quick-Freeze“ Speicherung verlangten und/oder sich erst nach Ende der Verbindung und somit nach Löschung der Daten meldeten (siehe http://www.heise.de/newsticker/meldung/Juristische-Niederlage-fuer-Strafanzeigen-Maschinerie-gegen-P2P-Nutzer-158274.html).

Unternehmen wie die Logistep AG könnten daher tatsächlich die größten Gewinner der geplanten Neuregelung sein. Denn geht es nach dem Eckpunktepapier werden künftig flächendeckend Datensätze vorhanden sein, deren Beauskunftung sie beantragen können, bzw. über deren Sicherungsanordnung noch nicht mal mehr ein Gericht entscheiden muß.

5. Auskunftsanspruch für „Filesharing-Abmahner“

Selbst nach Umsetzung der EU-”Enforcement”-Richtlinie bekamen die Inhaber von geistigen Schutzrechten in Deutschland bislang zwar einen recht weitgehenden eigenen richterlichen Auskunftsanspruch zugewiesen, jedoch auch nach den Regelungen der aufgehobenen VDS keinen Anspruch darauf, dass die TK-Unternehmen für sie auf Vorrat gespeicherte Daten herausgeben mussten, geschweige denn extra verarbeiten und speichern. Bis heute müssen sich die Rechteinhaber also mindestens beeilen, dass noch überhaupt irgendwelche Daten vorhanden sind, die sie mit einem (zivilrechtlichen) Gerichtsbeschluss sichern und heraus verlangen können. Dass ihnen dazu grundsätzlich sieben Tage genügen belegen die annähernd zweihundertausende Adressen, zu deren Sicherung die DTAG pro monatlich offenbar auf ihr Betreiben hin verurteilt wird (http://www.fr-online.de/politik/in-den-faengen-der-abmahnindustrie/-/1472596/5043408/-/index.html).

Damit wird genau das vorweggenommen, was die geplante Sicherungsanordnung zukünftig generell bewirken könnte: Überall und nicht nur die DTAG dürfte zukünftig massenhafte „Sicherungsanordnungen“ erhalten, aufgrund derer sie hunderttausende Kundendaten viel länger als sieben Tage zur Beauskunftung wird vorhalten müssen.

6. Egal ob schockgefrostet oder aufgewärmt – warum überhaupt die VDS?

Ob es aber jenseits der Verfolgung von Urheberrechtsverletzungen überhaupt ein wirkliches Bedürfnis nach Identifikation von Nutzern anhand ihrer IP-Adressen im Rahmen einer wie auch immer genannten VDS gibt, ist umstritten. Nach Ansicht der Gegner der VDS überwiegt in jedem Fall der gesellschaftliche Schaden den Nutzen (http://www.vorratsdatenspeicherung.de/images/brief_bminj_2011-01-17_anon.pdf).

Das BVerfG jedoch räumt jedenfalls für Ermittlungen im Bereich der Schwerstkriminalität und anderer erheblicher Delikte – wenn auch in deutlich engeren Grenzen als bei dem von ihm aufgehobenen Gesetz – dem Gesetzgeber weiter die Möglichkeit ein, die Daten nahezu aller Bürger auch ohne konkreten Verdacht auf Vorrat speichern zu lassen. Denn wenn es Ermittlungsansätze außerhalb der (dynamischen) IP-Adresse nicht (mehr) gibt, kann es natürlich zur Bekämpfung von Straftaten erforderlich sein, zumindest für einen begrenzten Ausschnitt der Vergangenheit wenigstens die IP-Adressen nachträglich einer ansonsten nicht identifizierbaren, einer konkreten Straftat verdächtigen Person, namentlich zuordnen zu können. Jedenfalls dann, wenn ohne dieses Instrument die Rechtsdurchsetzung im Internet ansonsten generell leerzulaufen droht.

Vielfach wird hiergegen eingewandt, man könne in anderen Ländern auch ohne Vorratsdatenspeicherung die Täter ermitteln. Man solle bei Fällen wie z.B. EBAY-Betrügereien nicht auf die TK-Daten schauen, sondern das konkrete Nutzerverhalten und so die Identität ausermitteln. Auch hier wird oftmals auf das Beispiel USA verwiesen. Aber: Anders als in anderen Staaten muss in Deutschland die anonyme und pseudonyme Nutzung von Internetdiensten nach §13 TMG ausdrücklich ermöglicht werden. Außerhalb des Urheberrechts und des UKlaG besteht zudem kein Auskunftsanspruch z.B. gegen einen Webseitenbetreiber über die bei ihm gespeicherten Teilnehmerdaten eines böswilligen und andere schädigenden Nutzers. Diese sind vom Diensteanbieter von den Nutzungs- und Personendaten zu trennen und grundsätzlich nach Beendigung der Nutzung zu löschen. Anders als in den USA ist es daher regelmäßig in Deutschland auch nicht möglich – selbst nicht durch Gerichtsbeschluss – vom Betreiber eines Internetforums die ihm vielleicht bekannten Daten eines Nutzers z.B. für eine Verleumdungsklage heraus zu verlangen. Anstatt wie in den USA üblich unmittelbar gegen den Täter vorgehen zu können, wird man vielmehr zwangsläufig auf den Webseitenbetreiber als „Verbreiter“ verwiesen, der sich dann aber regelmäßig über seine subjektiv nicht vorhandene Verantwortlichkeit für rechtswidrige Inhalte Dritter beschwert. Und selbst bei schweren Straftaten ist die Identität hinter einer dynamischen IP-Adresse in Deutschland nicht ohne ein Auskunftsersuchen an das jeweilige TK-Unternehmen zu ermitteln.

Das Bundeskriminalamt (BKA) beklagt somit in der politischen und fachlichen Debatte mit nicht ungeschickt, dass es die allergrößten Fallzahlen an Internetstraftaten seit Wegfall der VDS überhaupt nicht mehr bearbeiten könnte. Dabei handele es sich nicht um Fälle der Verbreitung von Kinderpornographie, wie es auch das Eckpunktepapier wieder suggeriert, sondern Kreditkarten- und Konto-Betrug, sog „Phishing“-Fälle. Die Behörde bekäme nach eigenen Angaben aus dem Ausland zu tausenden die IP-Nummern von in Deutschland geknackten Rechnern übermittelt, die sie als Teil eines „Bot-Netzes“ operieren, ohne dass die Opfer davon überhaupt wissen. Man könne die Betroffenen aber auch nicht warnen und damit das „Bot-Netz“ und die Betrügereien auch nicht wirksam stoppen, da man zwar die (dynamische) IP-Adresse des missbrauchten Anschlusses habe, aber ohne VDS eben nicht (mehr) den Teilnehmer, der insoweit Opfer und (unwissentlicher) Täter zugleich ist, ermitteln könnte. Da es sich bei diesem Beispiel um eine Katalogstraftat handelt, wäre die Nutzung von Vorratsdaten für die Ermittlungen auch nach Maßstab des BVerfG-Urteils uneingeschränkt möglich – vorausgesetzt es würden künftig überhaupt dynamische IP-Daten bei den TK-Unternehmen gespeichert.

Weder die Ministerin und mit ihr auch nicht die schärfsten Kritiker der VDS vermochten bislang solchen Beispielen nichts entgegenzusetzen, was auch eine Mehrheit in den Regierungsfraktionen und der Öffentlichkeit davon überzeugt hat, ganz generell über die Grenzen der Überwachung nachzudenken und nicht alle Möglichkeiten zu nutzen, die technisch vielleicht an Überwachung denkbar sind. Die gleiche Mehrheit, die sich zugleich für immer schärfere Datenschutzbestimmungen ausspricht. Das aber führt zwangsläufig zu einem höchst paradoxen Ergebnis, wie es Kollege Thomas Stadler zutreffend beschreibt: „Weil wir ein so strenges Datenschutzrecht haben und es auch fast nirgendwo so eng ausgelegt wird, beklagen sich die Strafverfolgungsbehörden über Ermittlungslücken, was konservativen Sicherheitspolitikern wiederum als Argument für die Wiedereinführung der Vorratsdatenspeicherung dient. Das Datenschutzrecht fordert aber genau das Gegenteil dessen, was die Vorratsdatenspeicherung will. Datenvermeidung und Datensparsamkeit sind die obersten gesetzlichen Ziele des Datenschutzrechts, während die Vorratsdatenspeicherung darauf abzielt, Unmengen von personenbezogenen Daten anzuhäufen.“ http://www.internet-law.de/2011/01/der-zusammenhang-von-vorratsdatenspeicherung-und-datenschutz.html

7. Datenschutzrechtliche Änderungen in jedem Fall zwingend notwendig

Gleichgültig wie man grundsätzlich zur Vorratsdatenspeicherung stehen mag: Um den vom BKA angemeldeten Ermittlungsbedarf zu decken, wäre in jedem Fall eine Änderung der bestehenden (datenschutzrechtlichen) Beschränkungen nötig. Entweder auf Ebene des Diensteanbieters oder in der darunter liegenden Ebene beim TK-Unternehmen. Der vom Eckpunktepapier eingeforderten laufenden Verarbeitung von Rohdaten und ihre Aufbereitung und Speicherung zum Zwecke einer Sicherung auf Zuruf, bedürfte es aber selbst dann nicht zwingend. Denn auch eine Speicherung lediglich von Rohdaten für einen begrenzten Zeitraum würde in schwerwiegenden Fällen bereits hinreichend die Identifizierung von Tätern und Opfern erlauben. Denn vor dem Urteil des BGH im Jahr 2006 und der strikten Durchsetzung der Löschungsverpflichtung durch die Datenschützer, waren die IT-Verantwortlichen in den Unternehmen selbstverständlich im Einzelfall bereit, eine manuelle Auswertung von vorhandenen Rohdaten vorzunehmen, um der Polizei zumindest einige Auskünfte erteilen zu können. Demgegenüber erweist sich das auch vom Bundesdatenschutzbeauftragten präferierte „Quick Freeze plus“ selbst bei einer „nur“ siebentägigen Speicherung auf Vorrat als wesentlich belastender, als die früher übliche Praxis, aber auch belastender als eine bloße „VDS light“ mit kurzer Speicherfrist und engen rechtlichen Grenzen:

Bedingung des Konzeptes des Eckpunktepapiers ist nämlich, dass sowohl das anlassbezogene „Gefriergut“, wie auch die anlasslos und ohne Begrenzung des Verwendungszweckes für sieben Tage zu speichernden IP-Daten bereits in einer aufbereiteten, d.h. dem einzelnen Kunden zuordenbaren Weise vorhanden sein müssen. Nur so kann das Unternehmen nämlich überhaupt umgehend auf Zuruf eine „Sicherungsanordnung” umsetzen und nur die Daten des darin bezeichneten Kunden, aber auch nur dir ausschließlich (!) diesen Kunden betreffenden Daten, „schockfrosten“. Denn nach I.1 ist in jedem Falle zu vermeiden, dass auch Daten unverdächtiger Bürger vom „Quick Freeze“ erfasst werden, was nur realisierbar ist, wenn alle potentiell relevanten Datenarten personenbezogen vorhanden sind, Roh- und Stammdaten also laufend „verheiratet“ werden, selbst wenn es weder technisch noch geschäftlich dafür sonst eine Notwendigkeit gibt. Während der laufenden Sicherungsanordnung sind dann außerdem nicht nur die für die Vergangenheit noch vorhandenen Daten, sondern auch die künftigen TK-Daten zu sichern.

Zu behaupten, bei IP-Daten würde es sich dann nicht mehr um Verkehrsdaten, sondern nur um eine Art Bestandsdatenabfrage handeln, wenn bereits den Ermittlern eine dynamische IP-Adresse bereits bekannt ist, ist nicht mehr als der Versuch einer rhetorischen Täuschung. Damit soll offensichtlich suggeriert werden, es handle sich bei den abgefragten Daten um eine Datenkategorie, deren Schutzniveau generell schon unter dem anderer Daten, wie beispielsweise der Telefonnummer, läge.

Der Charme des völligen Paradigmenwechsel zugunsten des „Quick Freeze“ besteht aus Sicht der Ministerin vielleicht aber eher in ganz anderen Gründen, mit der sie am Ende doch noch die skeptischen Innenminister und Polizeibehörden auf ihre Seite ziehen kann: Nicht mehr die Staatskasse wird mit den Kosten der Beauskunftungen belastet, wie es noch die aufgehobene Vorratsdatenspeicherung vorgesehen hat, sondern alle Leistungen sind kostenlos von den verpflichteten Unternehmen zu erbringen – die die entstehenden Kosten freilich auf die Kunden umlegen müssen.

8. Ein gordischer Knoten – selbstgestrickt

Deutlich wird damit, dass die Ministerin sich mit ihren Verbündeten in einen nicht auflösbaren politischen Zielkonflikt begeben hat, der mindestens aus den folgenden Elementen besteht:

•  eine novellierte Fassung des Gesetzes über die Vorratsdatenspeicherung in verfassungskonformer Weise lehnt Leutheusser-Scharrenberger aus Überzeugung und vielleicht auch mit Rücksicht auf ihre Mitstreiter der Verfassungsbeschwerde strikt ab;
• eine Verpflichtung der Internetdiensteanbieter, Auskünfte über ihre Nutzer geben zu müssen, lehnen die Befürworter möglichst strikter Datenschutzregeln ebenso ab;
• Quick Freeze nach internationalem Vorbild lässt sich wegen des hier gültigen Gebotes der Datenvermeidung und der geltenden Verpflichtung zur Löschung nicht für Abrechnungszwecke benötigter Kundendaten nicht einfach auf Deutschland übertragen;
• eine Überwachung der Telekommunikation mit eigenen Mitteln durch den Staat, wie es die NSA in den USA betreibt, scheitert an fehlendem Geld und Know-How der Behörden und wäre auch politisch nicht durchsetzbar;
• ein völliger Verzicht auf anlassunabhängige Überwachung scheitert an den bestehenden europarechtlichen Verpflichtungen und zumindest bislang nicht mehrheitlich überzeugend widerlegten Argumenten der Ermittlungsbehörden;
• und schließlich soll die von der FDP offensichtlich erwünschte Stärkung des Urheberrechts und seiner Durchsetzung an Leutheusser-Schnarrenbergers Vorschlägen mindestens nicht scheitern.

Das Eckpunktepapier versucht nun, diesen klassischen „gordischen Knoten“ kühn zu zerschlagen. Allein: Präsentiert wird ein Konzept, das sicherlich gut gemeint sein mag, aber am Ende – so wie es m.E. verstanden werden muss – leider nichts Gutes hervorbringen kann:

Stichwort „Sicherungsanordnung“:

Die „Sicherungsanordnung“ dürfte die bisherige richterliche verbindungsdatenbezogene (Überwachungs-) Verfügung in der Praxis weitgehend ersetzen. Eben auch im bislang politisch und juristisch unbestrittenen Feld konkret verdachtsbezogenen Ermittlungen gegen konkrete Personen. Notfalls wird eben in kurzem Abstand und immer wieder aufs Neue und bei einer Vielzahl von auch nur möglichweise relevanten Personen im Umfeld eines Verdächtigen die Polizei die Sicherungsanordnungen „auf Knopfdruck“ und massenhaft erlassen. Erst nach Abschluss oder im weiteren Fortgang der Ermittlungen werden dann dem Richter einzelne Anordnungen nachträglich zur Prüfung und Genehmigung vorgelegt. Denn die Daten werden ansonsten eben ohne nachträgliche Kontrolle, ohne Kosten für die Behörde oder sonstige ihre Anzahl begrenzenden Folgen gelöscht. Weil sie kosten- und risikolos ist, wird die Sicherungsanordnung damit zur polizeilichen Standardmaßnahme. Die Zahl von verbindungsdatenbezogenen Überwachungsmaßnahmen dürfte in bislang unvorstellbare Größenordnungen steigen. Die Kosten hierfür werden alle Internetnutzer in Deutschland zu zahlen haben. Denn gesellschaftlich wird damit genau das vom „BVerfG angesprochene diffus bedrohliche Gefühl des Beobachtetseins“ entstehen, dass laut Eckpunktepapier durch „Quick Freeze plus“ ja angeblich gerade vermieden werden soll (II.1).

Stichwort: Urheberrechtsverletzungen

Unternehmen wie die Logistep AG bekommen für ihr Geschäftsmodell endlich einen Ansatzpunkt, flächendeckend die Sicherstellung von IP-Daten (angeblicher) Urheberrechtsverletzer zu verlangen. Denn anders als in der Vergangenheit dürfte kaum mehr die Begründung gelingen, warum die Anordnung eines „Quick Freeze“ aufgrund der vorgesehenen Leichtigkeit den Ermittlungsbehörden nicht unmittelbar nach Anzeige von strafbaren Urheberrechtsverletzungen (§106 ff StGB) möglich sein sollte – selbst wenn später vor Gericht kein Anspruch auf Herausgabe der Daten festgestellt wird.

Stichwort: Kosten der Überwachung

Die verpflichteten Unternehmen könnten durch das vorgeschlagene „Quick Freeze XXL“ (so die Bezeichnung der Vertreter der DTAG für das jetzt präferierte Modell) finanziell und organisatorisch viel stärker belastet werden, als durch eine „normale“ Vorratsdatenspeicherung. Denn sie müssten – entgegen der falschen Annahmen des Eckpunktepapieres – laufend zusätzlich und mit hohem Aufwand Rohdaten aufbereiten und mit Kundendaten zusammenführen, um die verschiedenen Vorgaben erfüllen zu können. Außerhalb ihrer regulären Billing-Prozesse und zusätzlich zu diesen müßen sie Roh- und Kundendaten miteinander „verheiraten“, damit sie überhaupt in der Lage sind, sowohl das Trennungsgebot, als auch die kurzfristige Sicherungsanordnung kundenbezogen und auf bloßen Zuruf hin erfüllen zu können. Der geringere Bedarf an Speicherplatz aufgrund kürzerer Speicherzeiten dürfte demgegenüber kostenmäßig kaum als Entlastung ins Gewicht fallen, erst recht nicht durch den Wegfall jeglicher Kostenerstattung selbst bei einer Vielzahl nur zum Teil richterlich bestätigten Anfragen.

9. Ausblick -  Quick Freeze plus ist der Wolf im Schafspelz

In ihrem Bemühen, die eigentlich überfällige Grundsatzdebatte eines ausgewogenen Verhältnisses von Prinzipien wie Datenvermeidung und Datensparsamkeit auf der einen und der Schaffung neuer Ermittlungsmöglichkeiten auf der anderen Seite zu vermeiden, steuert die Bundesjustizministerin mit ihrem Eckpunktepapier in ein für die Bürgerrechte in Deutschland sehr gefährliches Fahrwasser. Dass „Quick Freeze“ nach US-Vorbild für die anders gelagerte Situation in Deutschland in der Sache nicht taugt, war bereits in der ersten Anhörung im BMJ den meisten Teilnehmern klar. Diese Erkenntnis ist jedoch offenbar nicht nur von Leutheusser-Schnarrenberger, sondern auch von vielen erklärten Gegnern der VDS und überzeugten Datenschützern, politisch nicht gewollt. Anstatt sich konsequent von dieser Fata Morgana zu verabschieden, sollte das Schlagwort „Quick Freeze“ durch Ergänzung um die siebentägige Vorratsdatenspeicherung jedoch offensichtlich unbedingt als politische Alternative präsentiert werden. Um einen gordischen Knoten zu durchschlagen, an dem die Ministerin selbst mit geknotet hat…

Im Ergebnis jedoch erleichtert das vorgesehene Konzept die massenhafte Überwachung der Bevölkerung durch Senkung der rechtlicher Hürden, weicht es die Notwendigkeit eines hinreichenden Tatverdachtes für Überwachungsmaßnahmen auf, verpflichtet die betroffenen Unternehmen nicht nur weitreichend zur Speicherung, sondern auch zu einer laufenden, aufwendigen Verarbeitung von Rohdaten zu personenbezogenen Informationen und belastet so Bürger(rechte) und Wirtschaft. Dies in einem Ausmaß, welches im Ergebnis sogar weit über eine bloße Neuauflage der VDS unter Beachtung der Vorgaben des BVerfG hinausgehen könnte.

Dabei wäre die Alternative viel naheliegender: Entweder auf das Mittel der Vorratsdatenspeicherung wird politisch konsequent auch auf Ebene der EU ganz verzichtet oder es wird ein „VDS light“ ausschließlich für dynamische IP-Adressen eingeführt – mit im Übrigen den hohen rechtlichen Hürden für den Datenzugriff und einer eng begrenzten Speicherverpflichtungen, wie es das BVerfG vorgesehen hat. Zudem ergänzt um einen Anspruch auf volle Kostenerstattung für die verpflichteten Unternehmen, um einen ökonomische Anreiz für eine sparsame Verwendung dieses Mittels der Identitätsermittlung zu setzen und Massenanordnungen unökonomisch zu machen.

So sehr man verstehen kann, dass Ministerin Leutheusser-Schnarrenberger nicht wieder von ihrem Amt zurücktreten will, weil ihr persönlich aufrichtiges Bemühen um den Erhalt bürgerlicher Freiheiten keine Mehrheit in ihrer Regierungskoalition findet: Mit ihrem Eckpunktepapier und dem darin vorgestellten Konzept des „Quick Freeze plus“ tut sie ihrer Sache im Ergebnis leider keinen Gefallen. Lachender Dritter könnten die Befürworter einer möglichst weitgehenden VDS sein. Auch insoweit erweist sich ihr Eckpunktepapier als „Wolf im Schafspelz“.

Zugangsanbieter sind im Rahmen eines zivilrechtlichen Auskunftsanspruchs (§ 101 UrhG) lediglich verpflichtet, Verkehrsdaten an Rechteinhaber herauszugeben, die im Rahmen des § 96 TKG erhoben wurden. Hierunter fallen nicht solche Daten, die der Anbieter zur Erfüllung seiner gesetzlichen Pflicht zur Vorratsdatenspeicherung erhebt. Diese Daten, zu denen die IP Adresse des Nutzers zählt, dürfen lediglich von den staatlichen Ermittlungsbehörden angefragt werden (OLG Frankfurt, Beschluss vom 12.05.2009, Az. 11 W 21/09).