ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der überarbeiteten Webseite unter www.datenschutzzentrum.de.

27.11.2012

Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) zum

Gesetzentwurf der Bundesregierung zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestandsdatenauskunft (BR-Drs. 664/12 vom 02.11.2012)

Mit Beschluss vom 24.01.2012, 1 BvR 1299/05, hat das Bundesverfassungsgericht die Verfassungswidrigkeit des § 113 Abs. 1 Satz 2 Telekommunikationsgesetz (TKG) festgestellt. Die Regelung wurde zugleich nur noch für eine Übergangsfrist bis zum 30.06.2013 für anwendbar erklärt. Das Bundesverfassungsgericht hat festgestellt, dass die Vorschrift des § 113 Abs. 1 Satz 2 TKG das Grundrecht auf informationelle Selbstbestimmung verletzt, weil sie nicht den Anforderungen des Verhältnismäßigkeitsgrundsatzes genügt. Mit dem Gesetzentwurf zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestandsdatenauskunft soll der vom Bundesverfassungsgericht geforderten verfassungskonformen Ausgestaltung Rechnung getragen werden. Dazu sieht der Entwurf eine Änderung des § 113 TKG sowie Änderungen diverser Fachgesetze vor. Zu diesem Gesetzentwurf nehmen wir Stellung, wobei wir unsere Stellungnahme auf einige grundlegende Aspekte beschränken:

I. Zur Änderung des Telekommunikationsgesetzes

Fehlende Beschränkung auf Einzelfälle

Im Gesetzentwurf fehlt die Regelung, dass Auskünfte über Telekommunikationsdaten nur „im Einzelfall“ erteilt werden dürfen.

Das Bundesverfassungsgericht hat in Anlehnung an § 113 Abs.1 Satz 1 TKG festgestellt, dass trotz der sehr weiten Fassung dieser Regelung (erlaubt werden Auskünfte zum Zweck der Gefahrenabwehr, zur Verfolgung von Straftaten oder Ordnungswidrigkeiten sowie zur Wahrnehmung nachrichtendienstlicher Aufgaben) die Verhältnismäßigkeit gewahrt ist, da die Auskünfte nur im Einzelfall erteilt werden dürfen:

„[…] Angesichts des für sich gesehen begrenzten Informationsgehalts der betreffenden Daten sowie ihrer großen Bedeutung für eine effektive Aufgabenwahrnehmung ist diese Weite der Vorschrift jedoch verfassungsrechtlich nicht zu beanstanden. Dabei ist zu berücksichtigen, dass sie keineswegs Auskünfte ins Blaue hinein zulässt. Vielmehr liegt eine begrenzende Wirkung darin, dass Auskünfte nach § 113 Abs. 1 TKG im Einzelfall angefordert werden und erforderlich sein müssen. Bezogen auf die Gefahrenabwehr, in die der Gesetzgeber die Gefahrenvorsorge gerade nicht einbezogen hat, ergibt sich bei verständiger Auslegung das Erfordernis einer „konkreten Gefahr“ im Sinne der polizeilichen Generalklauseln als Voraussetzung für solche Auskünfte. Diese Schwelle ist freilich niedrig und umfasst auch den Gefahrenverdacht. Ebenso beschränkt sie Auskünfte nicht von vornherein auf Polizeipflichtige im Sinne des allgemeinen Polizei- und Ordnungsrechts. Sie ist damit jedoch nicht so entgrenzt, dass sie angesichts des gemäßigten Eingriffsgewichts unverhältnismäßig wäre. Insbesondere werden damit Auskünfte nicht als allgemeines Mittel für einen gesetzesmäßigen Verwaltungsvollzug ermöglicht, sondern setzen im Einzelfall einen sicherheitsrechtlich geprägten Charakter der betreffenden Aufgabe voraus. Bezogen auf die Nachrichtendienste, die grundsätzlich unabhängig von konkreten Gefahren im Vorfeld tätig werden, fehlt es  zwar an einer vergleichbaren Eingriffsschwelle. Dies rechtfertigt sich aber aus deren beschränkten Aufgaben, die nicht unmittelbar auf polizeiliche Maßnahmen ausgerichtet sind, sondern nur auf eine Berichtspflicht gegenüber den politisch verantwortlichen Staatsorganen beziehungsweise der Öffentlichkeit zielen. Im Übrigen ergibt sich auch hier aus dem Erfordernis der Erforderlichkeit im Einzelfall, dass eine Auskunft gemäß § 113 Abs. 1 Satz 1 TKG zur Aufklärung einer bestimmten, nachrichtendienstlich beobachtungsbedürftigen Aktion oder Gruppierung geboten sein muss. Soweit sich Auskünfte auf die Verfolgung von Straftaten und Ordnungswidrigkeiten beziehen, ergibt sich aus dem Erfordernis der Erforderlichkeit im Einzelfall, dass zumindest ein Anfangsverdacht vorliegen muss.“(1)

Aus dieser Rechtsprechung ergeben sich Mindestanforderungen, die durch den Gesetzentwurf nicht eingehalten werden. Nicht nur, dass das Einzelfallerfordernis bei gleich bleibendem weiten Anwendungsbereich (vgl. § 113 Abs. 1 Satz 1 TKG-E i.V.m. § 113 Abs. 3 Nr. 1 – 3 TKG –E) nicht beachtet wird, zusätzlich sieht der Gesetzentwurf nach § 113 Abs. 5 TKG – E für die Erteilung der Auskünfte das Vorhalten einer elektronischen Schnittstelle vor. Die Einrichtung einer elektronischen Schnittstelle, die eine massenhafte Verarbeitung der Daten erheblich vereinfacht, ist geeignet, nicht nur für Einzelfälle genutzt zu werden. Der Entwurf enthält keine hinreichenden technisch-organisatorischen oder verfahrensrechtlichen Sicherungen, um Anfragen auf begründete Einzelfälle zu beschränken.

II. Zu den Änderungen der Fachgesetze

1. Unzulässigkeit der Abfragemöglichkeiten bei geringfügigen Ordnungswidrigkeiten

Der Gesetzentwurf sieht nach § 46 Abs. 1 OWiG i.V.m. § 100j StPO-E eine Auskunftspflicht gegenüber den Ermittlungsbehörden auch bei Ordnungswidrigkeiten vor. Dabei wird nicht differenziert nach der Schwere der Ordnungswidrigkeit, sondern die Auskunftspflicht soll bei der Verfolgung jedweder Ordnungswidrigkeit bestehen. Die fehlende Einschränkung auf z.B. schwerwiegende Ordnungswidrigkeiten ist nicht verhältnismäßig, wenn es nicht um die Abfrage von Bestandsdaten, sondern um die Abfrage der dynamischen IP-Adressen geht. Bei den dynamischen IP-Adressen handelt es sich um Daten, die sich in Bezug auf das Schutzniveau zwischen Verkehrsdaten und Bestandsdaten befinden. Die identifizierende Zuordnung dynamischer IP-Adressen weist eine besondere Nähe zu konkreten Telekommunikationsvorgängen auf. Die Telekommunikationsunternehmen müssen in einem Zwischenschritt die entsprechenden Verbindungsdaten ihrer Kunden für die Identifizierung einer dynamischen IP-Adresse sichten und damit auf konkrete Telekommunikationsvorgänge zugreifen. Dabei kann es sich entweder so verhalten, dass die Dienstanbieter die Verbindungsdaten selbst herausgeben müssen, oder sie als Vorfrage für eine Auskunft nutzen.(2) Mit Hilfe der Verbindungsdaten lassen sich im Zweifelsfall auch z.B. Umstände und Inhalt der Telekommunikation individualisieren.(3) Das Bundesverfassungsgericht hat zu der erhöhten Eingriffsintensität durch die Abfrage dynamischer IP-Adressen festgestellt:

„[…] Demgegenüber enthält eine Auskunft über den Anschlussinhaber einer dynamischen IP-Adresse in sich notwendig zugleich die Information, dass und von welchem Anschluss aus diese IP-Adresse zu einer bestimmten Zeit genutzt wurde. Darüber hinaus kann die Telefonnummer gegenüber Privaten ohne weitere Schwierigkeiten unterdrückt werden, während die IP-Adresse grundsätzlich nur unter Nutzung von Anonymisierungsdiensten verschleiert werden kann. Auch ist die mögliche Persönlichkeitsrelevanz einer Abfrage des Inhabers einer IP-Adresse eine andere als die des Inhabers einer Telefonnummer: Schon vom Umfang der Kontakte her, die jeweils durch das Aufrufen von Internetseiten neu hergestellt werden, ist sie aussagekräftiger als eine Telefonnummernabfrage. Auch hat die Kenntnis einer Kontaktaufnahme mit einer Internetseite eine andere inhaltliche Bedeutung: Da der Inhalt von Internetseiten anders als das beim Telefongespräch gesprochene Wort elektronisch fixiert und länger wieder aufrufbar ist, lässt sich mit ihr vielfach verlässlich konstruieren, mit welchem Gegenstand sich der Kommunizierende auseinandergesetzt hat. Die Individualisierung der IP-Adresse als der „Telefonnummer des Internet“ gibt damit zugleich Auskunft über den Inhalt der Kommunikation. Die für das Telefongespräch geltende Unterscheidung von äußerlichen Verbindungsdaten und Gesprächsinhalten löst sich hier auf. Wird der Besucher einer bestimmten Internetseite mittels der Auskunft über eine IP-Adresse individualisiert, weiß man nicht nur, mit wem er Kontakt hatte, sondern kennt in der Regel auch den Inhalt des Kontakts.“(4)

Das Bundesverfassungsgericht hat folglich in seinem Urteil zur Vorratsdatenspeicherung(5) ferner festgestellt, dass für die Abfrage von dynamischen IP-Adressen erhöhte Eingriffsschwellen gelten müssen:

„Das erhebliche Gewicht des Eingriffs solcher Auskünfte erlaubt es indessen nicht, diese allg. und uneingeschränkt auch zur Verfolgung oder Verhinderung jedweder Ordnungswidrigkeiten zuzulassen. Die Aufhebung der Anonymität im Internet bedarf zumindest einer Rechtsgutbeeinträchtigung, der von der Rechtsordnung auch sonst ein hervorgehobenes Gewicht beigemessen wird. Dies schließt entsprechende Auskünfte zur Verfolgung oder Verhinderung von Ordnungswidrigkeiten nicht vollständig aus. Es muss sich insoweit aber um – auch im Einzelfall – besonders gewichtige Ordnungswidrigkeiten handeln, die der Gesetzgeber ausdrücklich benennen muss […].“(6)

Angesichts der höheren Eingriffsintensität, die eine Identifizierung/Abfrage der dynamischen IP-Adresse gegenüber einer Bestandsdatenabfrage hat, muss der Gesetzentwurf so umformuliert werden, dass klar wird, dass geringfügige Ordnungswidrigkeiten nicht zur Abfrage der dynamischen IP-Adresse berechtigen. Gleiches gilt für die Abfragen von Zugangssicherungscodes.

2. Keine Einstufung der Abfragevoraussetzungen in Relation zur Schwere des Eingriffs

In § 100j Abs. 2 StPO-E und in vergleichbaren Vorschriften in den anderen Fachgesetzen (§ 7 Abs. 4 BKAG-E; § 20b Abs. 4 BKA-E; § 22 Abs. 3 BKA-E; § 22a Abs. 2 BPolG-E; § 7 Abs. 6 ZFdG-E; § 15 Abs. 3 ZFdG-E; § 8d Abs. 2 BVerfSchG-E) wird die Abfrage über die Zuordnung dynamischer IP-Adressen unter dieselben Voraussetzungen gestellt wie die bloße Bestandsdatenabfrage. Dies wird den Vorgaben des Bundesverfassungsgerichts nicht gerecht, das zwischen den Daten differenziert und bei der Abfrage der dynamischen IP-Adressen von einem Eingriff in Art. 10 GG ausgeht.(7)

Der Eingriff durch die Abfrage der dynamischen IP-Adresse wiegt schwerer als der durch eine Bestandsdatenabfrage begründete Eingriff. Die Abfrage der IP-Adresse darf nur unter engeren Voraussetzungen vorgenommen werden.

3. Keine auf den Nutzungszweck ausgerichtete Regelung der Voraussetzungen für die Abfrage bei den Zugangssicherungscodes

PIN/PUK weisen gegenüber den Bestandsdaten einen höheren Schutzbedarf auf. Diese Daten schützen als Zugangssicherungscodes den Zugang zu Endgeräten und Speichereinrichtungen und damit die Betreffenden vor einem Zugriff auf die entsprechenden Daten bzw. Telekommunikationsvorgänge.(8) Mittels der PUK, die dem Dienstanbieter bekannt ist, kann eine mehrfach falsch eingegebene PIN wieder freigeschaltet werden. Die PUK kann somit – wie auch die PIN – dazu genutzt werden, um sich Zugang zu den auf der SIM-Karte gespeicherten Informationen (SMS, Anruferlisten etc.) zu verschaffen.(9)

Das Bundesverfassungsgericht hat festgestellt, dass die Zugangssicherungscodes nicht losgelöst von den Anforderungen an deren Nutzung abgefragt werden können. Es sah es als unzulässig an, dass die Abfrage nach § 161 Abs. 1 StPO erlaubt ist, obwohl die mit der Abfrage erstrebte Nutzung der Daten an weitergehende Voraussetzungen gebunden ist.(10) Die Voraussetzungen für die Abfrage der Zugangssicherungscodes müssten in dem Gesetzentwurf bestimmter gestaltet werden, so dass ersichtlich ist, dass die Auskunftserteilung über Zugangssicherungen an diejenigen Voraussetzungen zu binden ist, die bezogen auf den in der Abfragesituation damit konkret erstrebten Nutzungszweck zu erfüllen sind.(11) Die Voraussetzungen einer konkreten Abfrage müssen auch jeweils die Voraussetzungen des damit konkret erstrebten Nutzungszwecks erfüllen.

Der Gesetzentwurf fordert für die Abfrage von Zugangssicherungscodes:

„Bezieht sich das Auskunftsverlangen nach Satz 1 auf Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt wird, darf die Auskunft nur verlangt werden, wenn die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen.“(12)

Durch die Formulierung „[…] darf die Auskunft nur verlangt werden, wenn die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen“ werden die zuvor genannten Anforderungen nicht erfüllt.

4. Fehlender Richtervorbehalt

Das Bundesverfassungsgericht fordert einen Richtervorbehalt, wenn sich der Eingriff im Einzelfall als so schwerwiegend darstellt, dass den Anforderungen an die Wahrung der Vertraulichkeit und die Gewährleistung effektiven Rechtsschutzes nur im Wege einer vorherigen richterlichen Kontrolle Rechnung getragen werden kann(13). „Ein solcher Vorbehalt ermöglicht die vorbeugende Kontrolle einer geplanten heimlichen Ermittlungsmaßnahme durch eine unabhängige und neutrale Instanz. Eine derartige Kontrolle kann ein bedeutsames Element eines effektiven Grundrechtsschutzes sein. Sie ist zwar nicht dazu geeignet, die Mängel einer zu unbestimmt geregelten oder zu niedrig angesetzten Eingriffsschwelle auszugleichen, da auch die unabhängige Prüfungsinstanz nur sicherstellen kann, dass die geregelten Eingriffsvoraussetzungen eingehalten werden. Sie kann aber dazu beitragen, dass die Entscheidung über eine Ermittlungsmaßnahme auf die Interessen des Betroffenen hinreichend Rücksicht nimmt, wenn der Betroffene selbst seine Interessen angesichts der Ausgestaltung der Maßnahme im Vorwege nicht wahrnehmen kann.“(14) Für die Frage, welches Gewicht dem in der Datenabfrage und Verwendung der Daten liegenden Eingriff in die Privatsphäre einer Person zukommt, ist der Zweck der Verwendung, die Art und Weise der Abfrage (heimlich oder offen), der Anlass und der Umfang der Speicherung von Bedeutung.(15)

Das Bundesverfassungsgericht hält in seiner Entscheidung zur Vorratsdatenspeicherung einen Richtervorbehalt für die Identifizierung dynamischer IP-Adressen nicht für erforderlich.(16) Wir regen jedoch angesichts der mit der Abfrage von dynamischen IP-Adressen verbundenen erhöhten Eingriffsintensität(17) einen Richtervorbehalt für diese Abfragen an.(18)

Entsprechendes ist bei den Abfragen der Zugangssicherungscodes zu berücksichtigen. Es muss sichergestellt werden, dass der Richtervorbehalt bereits bei der Abfrage der Zugangssicherungscodes gewährleistet ist, wenn die beabsichtigte Nutzung der Daten an einen Richtervorbehalt gebunden ist.(19)

5. Fehlende Benachrichtigung des Betroffenen nach Ende der Ermittlungen

§ 101 StPO regelt die Benachrichtigungs- und Löschpflichten für Maßnahmen nach den §§ 98a, 99, 100a, 100c bis 100i, 110a, 163d bis § 163f StPO. Der Gesetzentwurf sieht keine Änderung der StPO dahingehend vor, dass § 101 StPO auf § 100j StPO-E ausgeweitet wird. Dies ist im Hinblick darauf, dass der Betroffene die Möglichkeit haben muss, seine Rechte (z.B. Auskunfts-, Berichtigungs- oder Löschanspruch) ausüben zu können, bedenklich. Wird der Betroffene nach Abschluss der Ermittlungen nicht darüber informiert, welche Daten über ihn durch wen erhoben, an wen übermittelt und bei wem gespeichert sind, hat er keine Möglichkeit, seine Rechte wahrzunehmen. So ist ihm beispielsweise auch eine Prüfung verwehrt, ob rechtmäßig erhobene Daten noch gespeichert werden dürfen, oder ob Datensparsamkeit, Zeitablauf und/oder Prognoseergebnis eine Löschung der Daten fordern. Auch ist zu berücksichtigen, dass das Bundesverfassungsgericht grundsätzlich bei der Identifizierung von IP-Adressen fordert, dass der Gesetzgeber jedenfalls dann Benachrichtigungspflichten vorzusehen hat, soweit und sobald der Zweck der Abfrage nicht vereitelt wird oder sonst überwiegende Interessen Dritter oder des Betroffenen selbst nicht entgegenstehen.(20) Die Benachrichtigungspflicht könnte dem Grunde und dem Umfang differenziert bestehen bei Bestandsdaten, dynamischen IP-Adressen und PIN/PUK.

Katja Leowsky


(1) BVerfG, Beschluss vom 24.01.2012, 1 BvR 1299/05, Absatz-Nr.177.

(2) BVerfG, Beschluss vom 24.01.2012, 1 BvR 1299/05, Absatz-Nr. 116.

(3) Vgl. BVerfG, Beschluss vom 24.01.2012, 1 BvR 1299/05, Absatz-Nr. 64.

(4) BVerfG, Urteil vom 02.03.2010, 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586708, Absatz-Nr. 259.

(5) BVerfG, Urteil vom 02.03.2010, 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586708, MMR 2010, 356ff.

(6) BVerfG, Urteil vom 02.03.2010, 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586708, Absatz-Nr. 262.

(7) BVerfG, Beschluss vom 24.01.2012, 1 BvR 1299/05, Absatz-Nr. 64, 110, 116, 117, 120, 172, 173.

(8) Graf in Beck’scher Online-Kommentar StPO, Stand 01.10.2012, § 113, Rn. 8a.

(9) Bock in Beck’scher TKG-Kommentar, 3. Auflage 2006, § 88, Rn. 18.

(10) BVerfG, Beschluss vom 24.01.2012, 1 BvR 1299/05, Absatz-Nr. 185.

(11) Vgl. BVerfG, Beschluss vom 24.01.2012, 1 BvR 1299/05, Absatz-Nr. 185.

(12) Gesetzentwurf der Bundesregierung, Entwurf eines Gesetzes zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestandsdatenauskunft, BR-Drs. 664/12, (§ 100j Abs. 1 Satz 2 StPO-E; § 7 Abs. 3 Satz 2 BKAG-E; § 20b Abs. 3 Satz 2 BKAG-E; § 22 Abs. 2 Satz 2 BKAG-E; § 22 a Abs. 1 Satz 2 BPolG-E; § 7 Abs. 5 Satz 2 ZFdG-E; § 15 Abs. 2 Satz 2 ZFdG-E; § 8d Abs. 1 Satz 2 BVerfSchG-E.

(13) BverfG, Beschluss vom 13.11.2010, 2 BvR 1124/10, Absatz-Nr. 18.

(14) Vgl. BVerfG, Urteil vom 27.02.2008, 1 BvR 370/07, 1 BvR 595/07, Absatz-Nr. 257(d), 258(aa), NJW 2008, 822 (832).

(15) BverfG, Beschluss vom 13.11.2010, 2 BvR 1124/10, Absatz-Nr. 19.

(16) BVerfG, Urteil vom 2.3.2010, BvR 256/08, 1 BvR 263/08, 1 BvR 586708, Absatz-Nr. 261.

(17) Vgl. Ausführungen zu Ziffer II.1.

(18) Vgl. § 101 Abs. 9 Urhebergesetz.

(19) Vgl. Graf in Beck’scher Online-Kommentar StPO, Stand 01.10.2012, § 113, Rn. 8b.

(20) BVerfG, Urteil vom 02.03.2010, 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586708, Absatz-Nr. 263.