Recht, Vorratsdatenspeicherung

Kleine Historie der Vorratsdatenspeicherung

Eine persönliche Sicht auf eine strittige Frage

Die Rechtsrubrik behandelt dieses Mal in Form eines Gastkommentars die Frage, ob und wie lange eigentlich personenbezogene Daten wie die Zuordnung einer IP-Adresse zu einem Nutzer gespeichert werden sollen, dürfen und wie lange sie tatsächlich gespeichert werden – oder geht es doch eher um einen eigenwilligen Aspekt der jüngeren Rechtsgeschichte und des aktuellen Rechtsverständnisses?

Von Stefan Jaeger, Wiesbaden

Vor Einführung des Informations- und Kommunikationsdienste-Gesetzes (IUKDG) am 1. August 1997 war die Daten-Welt noch „in Ordnung“: Man nutzte das Internet, wie es einem gefiel, und die Datenkraken Google und Facebook waren noch nicht einmal erfunden – die Provider speicherten, was sie für richtig hielten, und bei vielen galt die Devise „lieber etwas zu viel als zu wenig“. Darüber hinaus war es in den Anfängen des Internets ja auch durchaus notwendig, exakt nachzuhalten, wer wie lange „drin“ war, wie viele Daten abgerufen wurden und damit zwangsläufig auch, welche IP-Adresse ein Nutzer wann und wie lange zugeordnet bekam – denn die Netz-Nutzung wurde weit überwiegend entweder nach Datenmenge oder nach Onlinezeit bezahlt.

Man diskutierte damals häufig, welche Regeln denn für das Internet gelten und wenn Juristen meinten, es gäbe keine (jedenfalls keine spezifischen), dann wurde daraus sehr schnell ein „Das Internet unterliegt keinen Regeln“ – was natürlich falsch war, denn die normalen Regeln galten auch damals im Internet genauso wie in der „wirklichen Welt“. Auch dort durfte man zum Beispiel niemanden betrügen oder beleidigen. Sensible Nerds spürten dennoch etwas wie ein Wiedererblühen der Flower-Power-Zeit. Und als ruchbar wurde, dass der deutsche Gesetzgeber als einer der ersten in Europa beabsichtigte, das Internet besonderen Regularien zu unterwerfen, gab es sofort einen kleinen Aufschrei, das Internet solle doch frei bleiben und nicht auch irgendwelchen Gesetzenunterliegen.

Sensibel wie ein Gesetzgeber nun einmal ist, hat er daraufhin beruhigend auf sein Volk eingesprochen und tatsächlich nur wenige, zudem lesbare und überschaubare Gesetzeszeilen verfasst, was man angesichts sonstiger Paragrafenmonster zu anderen Themen seinerzeit kaum glauben konnte.

Datenschutz per Gesetz

Ein wesentlicher Punkt war die Regelung im neuen Teledienstedatenschutzgesetz (§ 4 Abs. 2 Ziffer 2 TDDSG): Dienstanbieter mussten durch technische und organisatorische Vorkehrungen sicherstellen, dass anfallende personenbezogene Daten über den Ablauf des Abrufs oder Zugriffs oder einer sonstigen Nutzung (sog. Nutzungsdaten) unmittelbar nach deren Beendigung gelöscht werden, soweit Abrechnungszwecke keine längere Speicherung erforderlich machen.

Diese Regelung erschien auch durchaus sachgerecht, denn einerseits kann ein Provider eine zeit- oder mengenabhängige Nutzung kaum abrechnen, wenn er beispielsweise zur Durchsetzung seiner Forderung nicht auf diese Daten zugreifen kann. Andererseits braucht er darüber hinaus nicht zu wissen, wer wann wie im Netz unterwegs war.

Dass man damit aber gleichzeitig der Polizei und den Staatsanwaltschaften nach erfolgter Abrechnung die Möglichkeit nahm, die für sie so wichtige Zuordnung von bei Straftaten ermittelten IP-Adressen zu den jeweiligen (temporären) Nutzern vornehmen zu können, schien man schlichtweg übersehen zu haben. Aufregung und Nachbesserungsversuche gab es – verbunden mit erneuter Unsicherheit um die Rechtsauslegung und Begrifflichkeiten – erst etwas später im Zuge der Einführung einer Telekommunikationsüberwachung (eben TK, nicht TD) sowie im Umfeld des so genannten „Compuserve-Urteils“ (vgl. etwa [1–5]).

Durch den technischen Fortschritt und den weiteren Ausbau der Infrastruktur waren dann aber immer mehr Dienstanbieter in der Lage, ihren Vertragskunden eine Nutzung des Internets gegen Zahlung einer monatlichen Pauschale anzubieten und auf die aufwändige nutzungsbasierte Abrechnung zu verzichten. Der Siegeszug der Flatrates begann und irgendwann wurden die alten Tarife gänzlich abgeschafft.

Nun stand man vor dem Dilemma: Nach der Regelung des TDDSG hätten die Provider nun eigentlich unmittelbar nach Beendigung der Nutzung alle personenbezogenen Daten löschen müssen. Dies hätte ergo dazu geführt, dass den Ermittlungsbehörden keinerlei Möglichkeit mehr zur Verfügung gestanden hätte, um ermittelten IP-Adressen den passenden Täter zuzuordnen – denn bekanntermaßen werden fast alle IP-Adressen dynamisch vergeben, sodass nur der Provider wissen kann, welcher Nutzer zu welcher Zeit welche IP-Adresse verwendet hat. Diese personenbezogenen Daten mussten jedoch nach der neuen gesetzlichen Regelung unmittelbar nach Beendigung der Nutzung gelöscht werden.

Speichern qua Gewohnheit

Aus welchen Gründen auch immer: Praktisch hatte der größte Teil aller in Deutschland tätigen Provider nichts geändert – man speicherte die Daten einfach munter weiter so wie zuvor. Oft wurde dies mit dem nicht unerheblichen Aufwand begründet, den eine Umstellung kosten würde – oder damit, dass solche Daten ja auch zur Abwehr von Angriffen technisch notwendig seien. Andere Motive kann man nur erahnen.

In der Praxis der Verfolgungsbehörden führte dies dazu, dass sich für sie zum Glück gar nichts änderte: Wenn sie eine Straftat ermittelten und zu einer bestimmten IP-Adresse den Nutzer erfragen wollten, war dies bei den meisten Providern und damit bei geschätzten mindestens 90 % aller IP-Adressen kein Problem. Dies mag man nun gut oder schlecht finden, jedenfalls verstieß diese Praxis eindeutig gegen geltende Gesetze. Obwohl das Thema eigentlich sehr brisant schien, blieb ein breiter Protest dennoch völlig aus – alles ging mehr oder minder weiter wie gehabt.

Als man auch nach Evaluierung der einzelnen IUKDG-Gesetze nach etwas über zwei Jahren zu dem Ergebnis kam, dass praktisch nichts geändert werden müsste, da sich ja alles sehr bewährt hätte, bekräftigte der Autor dieser Zeilen seine Rechtsauffassung nochmals in einem weiteren Artikel – diesmal für die <kes> – und wies erneut auf die Problematik hin [6]. Auch dieser Beitrag blieb befremdlicherweise ohne besondere Reaktionen – und selbst weitere vier Jahre später war alles irgendwie immer noch genauso [7].

Klärung durch BGH

Lediglich ein Mensch hatte sich hinreichend intensiv aufgeregt, um letztlich 2005 vor Gericht zu ziehen: Nach einem anonymen Foren-Eintrag hatte man ihm eine Straftat vorgeworfen und er fragte sich, wie man auf ihn gekommen sein konnte, wenn doch alle IP-Zuordnungs-Daten – wie es das Gesetz vorsieht – gelöscht werden mussten, da er ja
per Flatrate im Netz unterwegs war.

Diese Frage erreichte mich in meiner Eigenschaft als Rechtsanwalt – im Auftrag des Mandanten habe ich dann nicht nur den Provider, die T-Online International AG, sondern auch die zuständigen Datenschutzbehörden angeschrieben und darauf gedrängt, derartige Daten in Zukunft nicht mehr zu speichern. Die Reaktionen waren hoch interessant, ändern wollte man aber nichts.

Da letztlich nicht wirklich etwas passierte, wurde beim Amtsgericht in Darmstadt eine Klage gegen T-Online eingereicht, um das Unternehmen zur gesetzeskonformen Löschung zu verpflichten. Nachdem durch uns die Strategie der T-Online-Anwälte abgewehrt werden konnte, den Kläger durch den Versuch des Hochtreibens des Gegenstandwertes (von uns im unteren vierstelligen Bereich angesiedelt) finanziell zu ruinieren, platzte das Amtsgericht Darmstadt seinerzeit aus allen Nähten. Im Wesentlichen wurde der Klage stattgegeben und das für den Kläger positive Urteil wurde zum Schluss nach dem Gang durch die Instanzen vom Bundesgerichtshof bestätigt (vgl. [8-12]).

Es war nun also höchstrichterlich entschieden, dass T-Online und daraus folgend auch alle anderen Provider Daten dann nicht mehr weiter speichern dürfen und zur Löschung verpflichtet sind, wenn sie nicht für Abrechnungszwecke erforderlich sind, wie es beispielsweise bei so genannten Flatrates der Fall ist. Was für eine Erkenntnis: Nichts anderes stand damals seit Jahren im Gesetz.

Nach(verschlimm)besserungen

Der Rest ist jüngste Geschichte: Immer mehr Provider stellten die Speicherung ein [13], für Strafverfolger wurde es immer schwieriger, Täter zu ermitteln und irgendwann musste die Politik reagieren – zumal es auch galt, diverse Urteile des Bundesverfassungerichts (BVerfG) sowie die Vorgaben der Richtlinie 2006/24/EG vom 15. März 2006 über eine Vorratsdatenspeicherung umzusetzen.

Die damalige Liste der „Ohrfeigen“ vom BVerfG ist lang: Änderungsbedarf ergab sich unter anderem durch ein Urteil vom 27. Mai 2005 (1 BvR 668/04 = BVerfGE 113, 348, 391), das auch im Bereich der TK-Überwachung zum Schutz des Kernbereichs privater Lebensgestaltung weitere Regelungen einforderte. Eine weitere Entscheidung vom 4. Februar 2005 forderte den Gesetzgeber auf klarzustellen, wie bei der Erhebung von Verkehrsdaten von Datenträgern zu verfahren ist, wenn diese sich nach Abschluss des Telekommunikationsvorgangs nicht mehr im Herrschaftsbereich des Dienstleisters befinden (2 BvR 308/04 = NJW 2005, 1637, 1639f.). Und auch weitere Entscheidungen des BVerfG zur Datenlöschung (BVerfGE 100, 313, 364f.), zur Datenverwendung (BVerfG 100, 313, 360), zum nachträglichen Rechtsschutz (BVerfGE 107, 299, 337f.) und zu der die Ordnungsmäßigkeit der Datenverwendung ermöglichenden Kennzeichnungspflicht (BVerfGE 100, 313, 360) forderten Anpassungen.

Nach langen Jahren der Planung hat der Gesetzgeber dann 2007 zahlreiche Änderungen in verschiedenen Gesetzen vorgenommen, um eine Vereinheitlichung der gesetzlichen Lage zu schaffen. Das „Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG“ regelte sodann ab dem 1. Januar 2008 die so genannte „Vorratsdatenspeicherung“ – jedenfalls für gut zwei Monate, bis eine einstweilige Anordnung des BVerfG erging.

Wenn man ein solches Gesetz plant, mit dem man vieles an Informationen haben kann, wird man natürlich schnell gierig – und so beließ es der Gesetzgeber nicht bei dem wirklich dringend Erforderlichen, sondern man vollführte eine Art Rundumschlag und wollte derart viele Daten gespeichert wissen, dass es selbst dem Autor mulmig wurde, der als Strafrechtler eine Speicherpflicht bezüglich der Zuordnung von IP-Daten stets befürwortete.

Letztlich schoss der Gesetzgeber derart über das Ziel hinaus, dass schnell deutlich wurde, dass das Bundesverfassungsgericht dieses Gesetz erneut kassieren würde, was durch Urteil vom 2. März 2010 tatsächlich geschah: Das BVerfG erklärte die deutschen Vorschriften für verfassungswidrig und nichtig [14].

Status quo

Für die Strafverfolgungsbehörden ist dies in der Praxis schier eine Katastrophe: Wenn die Löschungspflicht ernst genommen würde, blieben viele über das Internet durchgeführte Straftaten ungeahndet, da mangels Zuordnung der IP-Adresse zu einem Anschlussinhaber der oder die Täter nicht ermittelt werden könnten.

Nun mag man einwenden, man gehe auch sonst oft anonym durchs Leben – so trägt man schließlich auch beim Einkaufsbummel kein Namensschild, was eine Identifizierbarkeit ermöglichen würde, wenn man einen Ladendiebstahl begeht. Vielleicht ist das das Ergebnis: Es ist halt dann so. Andererseits mag man den Aufschrei nicht hören, der erfolgen würde, wenn man dem schwerheiverletzten Unfallopfer eines betrunkenen Autofahrers mitteilen würde, der Fahrer sei nicht zu ermitteln, weil nicht gespeichert wird, welcher Halter welches Nummernschild hat.

Natürlich geht es keinen etwas an, um welche Uhrzeit ich welche Internetseiten angeschaut habe und welche Inhalte ich suche (selbst wenn mein gläsernes Abbild „freiwillig“ eh längst bei Google liegt). Aber muss man sich nicht doch fragen, ob man es wirklich will, dass ein Straftäter im Internet das Glück haben kann, unermittelbar zu sein, weil sich Deutschland nicht wenigstens auf die wichtigsten Fragen einigen kann?!

Ich hoffe jedenfalls, dass eine solche Einigung bald zustande kommt. Dann müste ich hoffentlich auch nicht mehr – wie vor wenigen Tagen geschehen – einer jungen Dame erklären, dass es in Deutschland nicht ohne Weiteres möglich ist zu ermitteln, welcher Anschlussinhaber seit einiger Zeit ihre delikaten Nacktbilder immer wieder in Foren postet. Wenn man die Hintergründe nicht kennt, ist das nur schwer zu vermitteln.

Die <kes>-Rubrik „Recht“ gibt Tipps zu Rechtsfragen der ITK sowie der Informationssicherheit und informiert über aktuelle Urteile aus diesem Bereich. Rechtsanwalt Stefan Jaeger betreut diese Kolumne seit 2013. Er ist Partner bei SIMON und Partner und referiert über IT-Rechtsfragen seit Jahren an der Deutschen Richterakademie und beim Deutschen Richterbund. Er ist darüber hinaus Referatsleiter Datenschutz bei der GenoServ eG.