Bundesverfassungsgericht beschränkt Zugriff auf Daten
Bundesverfassungsgericht zur Bestandsdatenauskunft
Bild: Bundesverfassungsgericht - bild_raum stephan baumann, Karlsruhe
Das Bundesverfassungsgericht schützt die
persönlichen Daten von Handy- und Internetnutzern besser vor
staatlichem Zugriff. Polizei, Bundeskriminalamt und die deutschen
Nachrichtendienste dürfen sogenannte Bestandsdaten zwar auch künftig
zur Strafverfolgung und Terrorabwehr abfragen. Bis spätestens Ende
2021 müssen aber höhere Hürden eingezogen werden.
Die bisherigen Regelungen erklärten die Karlsruher Richter für verfassungswidrig. Sie verletzten das Grundrecht auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis, wie das Gericht heute mitteilte (Az. 1 BvR 1873/13 u.a.).
Von der Kontonummer zur PIN - darum geht es
Bundesverfassungsgericht zur Bestandsdatenauskunft
Bild: Bundesverfassungsgericht - bild_raum stephan baumann, Karlsruhe
Bestandsdaten sind alle "festen" Daten zu einem Telefon- oder
Internetanschluss, wie Name, Geburtsdatum und Rufnummer. Aber auch
weitergehende Kundendaten wie die private Anschrift, die
Bankverbindung und sogar die vergebene PIN-Nummer können abgefragt
werden. Kein Risiko sehen die Richter dagegen bei Passwörtern: Diese
würden beim Anbieter üblicherweise nur verschlüsselt gespeichert.
Seit 2013 darf der Anbieter zur Identifizierung des Anschlussinhabers für die anfragende Behörde auch die dynamische IP-Adresse nutzen. Diese wird Computern vorübergehend bei der Einwahl ins Internet zugeordnet. Einzelne Verbindungen - in der Fachsprache Verkehrsdaten - oder Kommunikationsinhalte sind dagegen vor Zugriff geschützt.
Die Sicherheits- und Strafverfolgungsbehörden nutzen die Auskünfte, um Verbrechen aufzuklären oder Terroranschläge zu verhindern. Zum Teil läuft die Abfrage zentral und automatisiert über die Bundesnetzagentur. Andere Daten fragen die Ermittler einzeln bei Telefongesellschaften und Providern ab, aber zum Beispiel auch bei Einrichtungen wie Krankenhäusern oder Hotels. In dem Karlsruher Verfahren ging es nur um diese manuelle Auskunft.
Keine Auskünfte ins Blaue - was sich jetzt ändern muss
Die Verfassungsrichter hatten die Bestandsdatenauskunft 2012 schon einmal beanstandet. Den grundsätzlichen Nutzen erkannten sie aber an: Angesichts der zunehmenden Bedeutung elektronischer Kommunikation seien die Behörden "auf eine möglichst unkomplizierte Möglichkeit angewiesen, Telekommunikationsnummern individuell zuordnen zu können". Vor allem formal musste trotzdem nachgebessert werden.
Diese Vorgaben hat die Politik unzureichend umgesetzt, wie sich jetzt herausstellte. Also wurden die Richter nach zwei neuen Klagen nun noch einmal deutlicher: Sie stellten klar, dass die Daten nur abfragt werden dürfen, wenn im Einzelfall eine konkrete Gefahr droht. Bei der Strafverfolgung braucht es zumindest einen Anfangsverdacht.
Bisher war die Datenübermittlung allgemein zur Gefahrenabwehr, zur Verfolgung von Straftaten und Ordnungswidrigkeiten und zur Erfüllung nachrichtendienstlicher Aufgaben erlaubt. Das ist den Richtern viel zu pauschal, die Befugnisse seien unverhältnismäßig: "Auch Auskünfte über Daten, deren Aussagekraft und Verwendungsmöglichkeiten eng begrenzt sind, dürfen nicht ins Blaue hinein zugelassen werden."
IP-Adressen, die Rückschlüsse auf die persönliche Internetnutzung zulassen, sind nach Auffassung des Ersten Senats besonders sensibel. Die Verwendung muss deshalb "auch dem Schutz oder der Bewehrung von Rechtsgütern von zumindest hervorgehobenem Gewicht dienen". Bei geringfügigen Ordnungswidrigkeiten ist der Rückgriff darauf künftig tabu. Jeder Abruf muss mit den Gründen dafür dokumentiert werden.
Nachbessern möglich - welche Folgen die Entscheidung hat
Das Telekommunikationsgesetz und andere Vorschriften zum Beispiel im BKA-Gesetz müssen bis spätestens Ende 2021 überarbeitet werden. Dafür gebe es verschiedene Möglichkeiten, heißt es aus Karlsruhe. In der Zwischenzeit bleiben die beanstandeten Regelungen in Kraft. Für ihre Anwendung macht das Gericht aber einschränkende Vorgaben.
Schwächt das die Sicherheitsbehörden zum Beispiel bei der Terrorabwehr? Die Richter scheinen die Auswirkungen für begrenzt zu halten: "Die Gründe für die Verfassungswidrigkeit betreffen nicht den Kern der durch die Vorschriften eingeräumten Befugnisse, sondern ihre rechtsstaatliche Ausgestaltung", schreiben sie. Der Gesetzgeber könne "die Vorschriften insoweit ohne weiteres nachbessern".
Das Bundesinnenministerium erklärte, die geltenden Regelungen seien durch das Gericht nun nicht "gänzlich infrage gestellt" worden. "Wir werden prüfen, welche Anpassungen an den Regelungen vorzunehmen sind", sagte Sprecher Steve Alter in Berlin.
Klägerin Katharina Nocun nennt es "bedenklich, dass diese Regelung derart lange Bestand hatte, obwohl Datenschutzbehörden wiederholt auf Mängel hingewiesen haben". Sie hatte 2013 eine der Beschwerden mit dem heutigen Piraten-Europapolitiker Patrick Breyer und mehr als 6000 Unterstützern eingereicht. Breyer hatte zusammen mit seinem Bruder auch schon die erste Entscheidung zu den Bestandsdaten erstritten.
Die Grünen-Bundestagsfraktion wertete die Entscheidung als "weitere dramatische Niederlage für die Bundesregierung". Vor allem im Sicherheitsbereich brauche es "verfassungskonforme Gesetze, die das Grundrecht auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis wahren". Die FDP-Fraktion forderte, vor der Einführung immer neuer Maßnahmen müsse das Gesamtmaß der Überwachung in einer unabhängigen Studie untersucht werden.
Caspar begrüßt Karlsruher Entscheidung zu Bestandsdaten
Hamburgs Datenschützer Johannes Caspar hat die Entscheidung des Bundesverfassungsgerichts zum staatlichen Zugriff auf persönliche Daten von Handy- und Internetnutzern begrüßt. "Das Bundesverfassungsgericht ist hier erneut seiner wichtigen Rolle als Wahrer der Grundrechte von Bürgerinnen und Bürgern in der digitalen Welt gerecht geworden", erklärte er heute. "Rechtsstaatliche Maßnahmen erfordern am Verhältnismäßigkeitsgrundsatz ausgerichtete Filter zur Wahrung der Rechte und Freiheiten Betroffener", betonte Caspar. "Damit ist eine Praxis der Erhebung von Bestandsdaten ins Blaue hinein nicht möglich."
Erst gestern hat der EuGH das Datenaustausch-Abkommen "Privacy Shield" mit den USA gekippt.