Nachdem der EuGH in der vergangenen Woche mit seinem Urteil zum Privacy Shield mehr oder weniger spektakulär vorgelegt hatte, zog das Bundesverfassungsgericht nur einen Tag später nach, indem es mehrere Regelungen zur Bestandsdatenauskunft für verfassungswidrig erklärt hat. Wir haben uns dies einmal genauer angeschaut.
Der Inhalt im Überblick
Datenweitergabe an Ermittlungsbehörden
Warum sind Bestandsdaten so wichtig? Der Grund dafür ist ganz einfach: Bestandsdaten oder auch Stammdaten bilden im Regelfall den Kern eines oder mehrerer Datensätze, da sie grundsätzliche Informationen über Einzelpersonen enthalten. Dazu gehören z. B. der Name oder die Adresse einer Person sowie weitere statische Daten, welche sich auf den konkreten Erhebungszweck beziehen.
Mit dem Urteil, welches das Bundesverfassungsgericht am 17.07.2020 veröffentlicht hat, wurde nun deutlich gemacht, dass diverse Regelungen zur Bestandsdatenauskunft gegen Grundrechte verstoßen. Zu den hier behandelten Bestandsdaten zählen neben Name und Anschrift das Geburtsdatum sowie die jeweilige IP-Adresse und weitere Anschlussdaten, so z. B. die Telefonnummer. Die hier betroffenen Grundrechte sind namentlich das Grundrecht auf informationelle Selbstbestimmung sowie das Telekommunikationsgeheimnis.
Von Telefongesellschaften und Providern
Bestandsdaten bzw. die Auskunft über sie ist schon seit vielen Jahren Gegenstand politischer (und datenschutzrechtlicher) Diskussionen. Hier wird ein Kernbereich des Persönlichkeitsrechts jedes Einzelnen berührt, da es unter anderem um Telekommunikationsdaten und somit die Vertraulichkeit der Privatsphäre geht. Dies wird immer dann relevant, wenn z. B. Ermittlungsbehörden auf die Daten zugreifen wollen, um Straftaten aufzuklären. Dazu werden entsprechende Auskünfte bei Telefongesellschaften oder Internetprovidern eingeholt.
Die derzeitige Rechtslage
Der Begriff der Bestandsdaten ist in § 3 Nr. 3 Telekommunikationsgesetz (TKG) legaldefiniert. Danach sind Bestandsdaten
„Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden“.
Das TKG regelt in den §§ 111 bis 113, unter welchen Voraussetzungen personenbezogene Daten an Ermittlungsbehörden herausgegeben werden dürfen. In § 112 TKG ist dabei das automatisierte Auskunftsverfahren vorgesehen, welches derzeit 107 Behörden berechtigt, bei der Bundesnetzagentur auf personenbezogene Daten zuzugreifen. Nach Angaben der Bundesnetzagentur soll dies eine Ermittlungsunterstützung darstellen, um Straftaten in den Bereichen der Gewaltkriminalität zu verfolgen oder zur Terrorabwehr zu dienen. Ausschließlich die in § 112 Abs. 2 TKG genannten Stellen sind berechtigt, am automatisierten Auskunftsverfahren teilzunehmen. Dazu gehören unter anderem Gerichte, Polizeivollzugsbehörden oder auch Zolldienststellen.
Das Zünglein an der Waage
Daneben gibt es noch das manuelle Auskunftsverfahren nach § 113 TKG, an welchem die Bundesnetzagentur allerdings nicht beteiligt ist. Hier ist jedes Ersuchen einzeln zu stellen und dementsprechend ist auch in jedem Einzelfall die jeweilige Rechtmäßigkeit zu überprüfen. Dies ist die Vorschrift, welche vom Bundesverfassungsgericht insbesondere im aktuellen Urteil als nicht verfassungsmäßig bewertet worden ist.
Streitigkeiten über die Weitergabe von Bestandsdaten sind nicht neu. Bereits Anfang des Jahres 2012 hatte das Bundesverfassungsgericht hierzu entschieden. Es wurde insbesondere bemängelt, dass zu dem damaligen Zeitpunkt keine ausreichenden Rechtsgrundlagen für die Übermittlung der Daten an Behörden vorhanden gewesen seien. Die daraufhin geänderte und (noch) gültige Fassung des § 113 TKG trat zum 01.07.2013 in Kraft.
Weitergabe erlaubt – Aber wie?
Der Streit um die Bestandsdatenauskunft schwelt also schon seit geraumer Zeit. Worum ging es diesmal? Rechtsgrundlagen zur Datenweitergabe waren nun zwar vorhanden, aber dennoch sah sich auch die geänderte Vorschrift direkt massiver Kritik von vielen digitalen Freiheitskämpfern ausgesetzt. Und womit? Mit Recht! Die Bürgerrechtler Katharina Nocun und Patrick Breyer hatten eine Verfassungsbeschwerde erhoben, welcher sich 6.373 weitere Bürger angeschlossen haben.
In der aktuellen Entscheidung kam das Bundesverfassungsgericht zu dem Ergebnis, dass die Erteilung von Auskünften über Bestandsdaten nicht grundsätzlich unzulässig ist. Allerdings hatte der Gesetzgeber nach Ansicht des Bundesverfassungsgerichts die Voraussetzungen hierfür nicht ausreichend geregelt, so dass kein verhältnismäßiger Eingriff in die Grundrechte der Bürger vorgelegen habe.
Ohne Verhältnismäßigkeit geht es nicht
Insbesondere müsse zukünftig klar geregelt werden, welche Behörde zu welchen konkreten Zwecken die Daten abfragen darf. Was eigentlich eine Selbstverständlichkeit sein sollte, geht auch ausdrücklich aus der Urteilsbegründung hervor. Dort heißt es:
„Unzulässig ist es […], unabhängig von solchen Zweckbestimmungen einen Datenvorrat zu schaffen, dessen Nutzung je nach Bedarf und politischem Ermessen der späteren Entscheidung verschiedener staatlicher Instanzen überlassen bleibt.“
Und weiter:
„Vielmehr bedarf es begrenzender Eingriffsschwellen, die sicherstellen, dass Auskünfte nur bei einem auf tatsächliche Anhaltspunkte gestützten Eingriffsanlass eingeholt werden können. Unzulässig ist die Schaffung eines offenen Datenvorrats für vielfältige und ohne äußeren Eingriffsanlass begrenzte Verwendungen im gesamten einer Behörde zugewiesenen Aufgabenbereich.“
Rumms! Viel deutlicher kann man sich eigentlich nicht gegen eine Vorratsdatenspeicherung positionieren. Das Gericht hat darüber hinaus auch klargestellt, dass für eine rechtmäßige Auskunft über Bestandsdaten zumindest eine konkrete Gefahr oder der Anfangsverdacht einer Straftat vorliegen müsste. Dies war bzw. ist so in der aktuellen Fassung der Norm tatsächlich nicht ausdrücklich vorgeschrieben.
IP-Adressen und Richtervorbehalt
Auch zu den ebenfalls interessanten Punkten IP-Adressen und Richtervorbehalt nahm das Bundesverfassungsgericht Stellung. IP-Adressen sollten dabei besonderen Schutz genießen, da aus ihnen weitreichende Rückschlüsse auf die Nutzung des Internets möglich sind. Hierbei müsse, so macht Karlsruhe deutlich, ein Rechtsgut betroffen sein, dem
„von der Rechtsordnung auch sonst ein hervorgehobenes Gewicht beigemessen wird.“
Dies kann nach Ansicht der Richter auch besonders gewichtige Ordnungswidrigkeiten einschließen. Es obliegt nun dem Gesetzgeber, diesbezüglich exakte Regelungen vorzugeben.
Der (fehlende) Richtervorbehalt hinsichtlich der Auskunft von Bestandsdaten wurde allerdings nicht in Frage gestellt. Lediglich die Abfrage von Passwörter und anderen Zugangsdaten müsse richterlich genehmigt werden. Da dies aber ohnehin der geltenden Rechtslage entspricht, hatte Karlsruhe zumindest in dieser Hinsicht keine Einwände.
Erfolg für den Datenschutz?
Das Urteil stellt grundsätzlich einen Erfolg für den Datenschutz dar. Das Bundesverfassungsgericht hat einmal mehr klargestellt, dass derart tiefe Eingriffe in das Persönlichkeitsrecht des Einzelnen stets mit Augenmaß zu gestalten sind. Nachdenklich stimmt nur, dass der Gesetzgeber so häufig daran erinnert werden muss. Dieser hat nun bis zum 31.12.2021 Zeit, die Regeln (endlich) verfassungsgemäß zu gestalten. Da die Frage nach der Bestandsdatenauskunft auch eine politische Dimension hat, dürfte die Neugestaltung sicher nicht geräuschlos geschehen.
Es bleibt zu hoffen, dass der Gesetzgeber dieses Mal ein glücklicheres Händchen hat. Oder fehlt bereits der letzte Wille dazu? Nach den jüngsten Datenskandalen bei der Polizei und anderen öffentlichen Stellen ist dieser Verdacht zumindest nicht ganz von der Hand zu weisen.
Ein bisschen schizophren finde ich das schon. Einerseits lassen wir zu, dass Facebook, Google, Amazon usw. mehr über uns wissen wie wir selbst. Die Daten selbstverständlich auf Vorrat speichern, Profile von uns bilden und zu Geld machen.
Auf der anderen Seite schreien alle nach Persönlichkeitsrecht, Gleichbehandlung und Datenschutz, wenn es um Verbrechensbekämpfung geht.
Bitte nicht falsch verstehen, ich möchte keine Verhältnisse wie in China und meine Privatsphäre soll auch meine Privatsphäre bleiben. Aber manchmal …???
Das mag auf den ersten Blick schizophren wirken. Man sollte aber bedenken, dass es sich bei Facebook, Google oder Amazon um privatrechtliche Unternehmen handelt, deren Dienste man nicht zwingend in Anspruch nehmen muss. Hier kann man zumindest in großen Teilen selbst beeinflussen, welche Daten man von sich preisgibt. Wenn aber öffentliche Stellen, wie im Artikel beschrieben, auf Grund einer gesetzlichen Vorschrift auf personenbezogene Daten zugreifen dürfen, hat dies noch einmal eine ganz andere Gewichtung.
Ist man verpflichtet, auf das neue Digital-Angebot des JobCenters Berlin einzugehen bzw. seine E-Mail-Adresse preiszugeben? Ich bin sehr beunruhigt über einige diesbezügliche Schreiben, und ich möchte nicht, daß das JobCenter meine private E-Mail-Adresse kennt. (Dank im Voraus!)
Eine Datenverarbeitung, auch durch öffentliche Stellen, bedarf stets einer Rechtsgrundlage. Diese kann in Ihrem Fall z. B. durch eine (sozial-)rechtlichen Verpflichtung zur Datenerhebung gegeben sein oder sich aus Ihrer Einwilligung ergeben. Eine konkrete Rechtsberatung können wir im Rahmen unseres Blogs aber nicht anbieten.