tl;dr: Ich hoffe, dass der Europäische Gerichtshof in Luxemburg in seinem Urteil zur Vorratsdatenspeicherung ein paar wichtige Tatsachen klar stellt, die nicht nur der Generalanwalt verdrängt hat: Es gibt nicht die eine Vorratsdatenspeicherung! Die verschiedenen zu speichernden Daten greifen unterschiedlich tief in unser aller Grundrechte ein (Gutachten, PDF), und dies sollte vom Gesetzgeber beachtet werden. Die Speicherung von IP-Adressen ist relativ harmlos, stellt keine Totalüberwachung dar und ist zur Aufklärung typischer Internet-Delikte wichtig – während die Speicherung von Mobilfunk-Standortdaten umfangreiche Bewegungsprofile ermöglicht und zur Totalüberwachung genutzt werden kann. Aber auch ohne VDS speichern die Provider viele Daten zu internen Zwecken (z.B. Abrechnung), ohne dass dafür die hohen Hürden des Bundesverfassungsgerichts bei Speicherung oder Abfrage durch Ermittler gelten. Für Betroffene ist egal, warum gespeichert wurde, daher sollte da dringend etwas passieren! Ich befürchte aber, dass der EuGH sich insgesamt eher auf die Position des Generalanwalts zurückzieht: Vorratsdatenspeicherung aller Daten grundsätzlich möglich, aber mit ein paar kleinen Hürden – und was die Provider zu anderen Zwecken machen, fällt unter den Tisch.
Am morgigen Dienstag verkündet der Europäische Gerichtshof sein Urteil über die EU-Richtlinie zur Vorratsdatenspeicherung. Eine mögliche und wahrscheinliche Richtung hat bereits der Schlussantrag von Generalanwalt Cruz Villalón vorgegeben: Die EU-Richtlinie sei nicht mit der EU-Grundrechtecharta vereinbar. Das hört sich gut und deutlich an, ist es aber bei genauerer Betrachtung nicht: denn nach Ansicht des Generalanwalts ist die Richtlinie im Wesentlichen nur deswegen nicht zulässig, weil sie nicht definiert, unter welchen Voraussetzungen auf die gespeicherten Daten zugegriffen werden darf. Dies überlässt die Richtlinie den EU-Mitgliedsstaaten. Zudem kritisiert der Generalanwalt, dass nur eine Speicherdauer von unter einem Jahr (die Richtlinie erlaubt bis zu zwei Jahren) verhältnismäßig sei.
Wenn das Gericht dem folgt, dann könnte das Urteil also ziemlich schlecht ausfallen: Vorratsdatenspeicherung in aktueller Form zwar unzulässig, aber unter leicht geänderten Voraussetzungen möglich. Pyrrhussieg.
Dabei wiederholt der Generalanwalt die gleichen Fehler, die in der Diskussion seit Jahren von allen Seiten gemacht werden: er analysiert nicht, wie tief die Speicherung welcher Daten in unsere Grundrechte eingreift. Die Vorratsdatenspeicherungs-Richtlinie schreibt die Speicherung sehr unterschiedlicher Daten vor, die man nicht über einen Kamm scheren kann. Die Speicherung von Mobilfunk-Standortdaten ist eben weitaus sensibler (Stichwort: Bewegungsprofile) als die Speicherung von Internet-Protokoll-Adressen, die keine Totalüberwachung ermöglicht. Ich hoffe nicht, dass der Europäische Gerichtshof den gleichen Fehler macht und die Unterschiede ignoriert. Das Bundesverfassungsgericht hat in seinem Urteil 2010 hervorgehoben, dass hier durchaus Unterschiede bestehen und zu beachten sind.
In einem Gutachten für die SPD-Bundestagsfraktion habe ich die einzelnen technischen Zusammenhänge und Eingriffstiefen aufgeschlüsselt. Passend zur Urteilsverkündung daher hier noch mal eine Kurzzusammenfassung:
Die Diskussion versachlichen!
Bei der Diskussion um die Vorratsdatenspeicherung stehen sich zwei Lager unversöhnlich gegenüber: die einen behaupten, dass Strafverfolger ohne die Vorratsdatenspeicherung keine Straftäter mehr verfolgen können, das Internet in Kriminalität untergeht und terroristische Terroristen uns alle vernichten. Die anderen behaupten, dass üble Überwacher die ganze Bevölkerung tagtäglich total-überwachen und wir überall übermäßig ausgeschnüffelt werden. Wenn man mal die übliche Rhetorik einer aufgeheizten Diskussion raus nimmt, bleibt immer noch viel übrig. Und beide haben Recht, in Teilen.
Denn beide Seiten machen leider keine Unterscheidung nach den zu speichernden Datenarten. Sie betrachten nicht die unterschiedliche Eingriffstiefe in unser aller Grundrechte durch die Speicherung von Handy-Standortdaten und IP-Adressen. In der Praxis haben aber eben die Standortdaten von Mobiltelefonen einen gänzlich anderen Aussagewert und damit grundrechtliche Eingriffstiefe, als die Information, welchem Anschlussinhaber zu einer gegebenen Uhrzeit eine bestimmte Internet-Protokoll-Adresse (IP-Adresse) zugewiesen war. Das Bundesverfassungsgericht hat dies sehr gut erkannt, und ich hoffe, dass auch der Europäische Gerichtshof sowie der Gesetzgeber dies erkennen!
Im Gutachten habe ich die Datenarten-Unterscheidung wie folgt zusammgefasst:
Das Gesetz über die Vorratsdatenspeicherung […] behandelt verschiedene Datenarten, die unterschiedlich tief in Grundrechte eingreifen, komplett gleich. Alle betreffenden Daten sind, ohne Unterschied, für sechs Monate zu speichern. Weder bei den Vorgaben zur Speicherung und Speicherdauer noch bei den Hürden für den Abruf wird differenziert.
[…]
Bei Internet-Delikten ist es besonders wichtig, eine Zuordnung der sogenannten IP-Adresse zu einem Internet-Anschluss bzw. Anschlussinhaber herzustellen. Die Speicherung und Beauskunftung von IP-Adressen war auch vor dem Inkrafttreten des Gesetzes über die Vorratsdatenspeicherung jahrelang üblich und ein wichtiges Instrument bei der Ermittlung von Straftätern, stellte aber z.B. im Vergleich zur Speicherung von Standortdaten ein relativ mildes und punktuelles Instrument dar. Daher sollte bei einer gesetzlichen Regelung für die Zukunft deutlich nach Eingriffstiefe und Wichtigkeit der Daten unterschieden werden.
Aus technischer Sicht sind bezüglich der Eingriffstiefe verschiedene Datenarten zu unterscheiden, in steigender Eingriffstiefe aufgeführt:
- IP-Adressen-Speicherung beim Zugangsanbieter
- IP-Adressen-Speicherung durch Anbieter von Internet-Diensten *
- Telefon-Daten
- E-Mail-Daten
- Standortdaten beim Mobilfunk
- Daten der Anwendungsschicht (Inhaltsdaten) durch Internet-Zugangsanbieter *
(Die mit * markierten Punkte b) und f) wurden weder von der EU-Richtlinie zur Vorratsdatenspeicherung noch von deren Umsetzung in deutsches Recht verlangt.)
Die grundrechtliche Eingriffstiefe bei der Speicherung von IP-Adressen beim Zugangsanbieter ist, aus technischer Hinsicht bei mittelbarer Auskunft, ein mildes Mittel (Punkt a). Hiermit lässt sich punktuell nach einer Straftat der Inhaber eines Anschlusses, über welchen eine Tat begangen wurde, ermitteln – sofern eine IP-Adresse des Täters bekannt wird. Eine umfangreiche, anlasslose Totalüberwachung Unverdächtiger ist damit aber nicht möglich. Anders als oft behauptet wird, ist es damit nicht möglich, die politische Meinung, religiöse Einstellung, Krankheiten oder sexuelle Vorlieben eines Verdächtigen herauszufinden. Es ist nur möglich, nach einer konkreten Tat einen Verdächtigen zu ermitteln.
Gänzlich anders sähe es bei der möglichen Protokollierung aller Internet-Zugriffe der Nutzer aus, die mittels Datenspeicherung auf der Ebene der Anwendungsschicht durch Internet-Zugangsanbieter stattfinden könnte (oben unter f) aufgeführt). Dabei würde der Zugangsanbieter (Access-Provider) beispielsweise detailliert und nutzerbezogen protokollieren, welche einzelnen Webseiten und Inhalte ein Nutzer wann genutzt hat. Damit ließe sich später exakt feststellen, was welcher Nutzer wann im Internet getan hat - welche Inhalte er gelesen, nach was er gesucht oder mit wem er kommuniziert hat. Dies hat offensichtlich Dimensionen eines Überwachungsstaates, in dem jeder Schritt der Bevölkerung genau erfasst wird. Eine solche Protokollierung ist nicht in der EU-Richtlinie zur Vorratsdatenspeicherung vorgesehen und war auch nie Bestandteil der Umsetzung in deutsches Recht.
Doch bereits mit der Speicherung von Standortdaten im Mobilfunkbereich (Punkt e) lassen sich umfangreiche Bewegungsprofile ermitteln. Moderne Smartphones verbinden sich regelmäßig mit dem Internet, um Daten abzugleichen. Die Speicherung der Ortsdaten würde daher eine minutiöse Nachverfolgung des Aufenthaltsortes der Bürger für die Speicherdauer (nach bisheriger EU-Richtlinie: mindestens sechs Monate) ermöglichen. Auch das kennt man sonst eher aus der Dystopie einer Überwachungsgesellschaft.
Die Aufzeichnung von E-Mail- und Telefondaten ermöglicht die Ermittlung des weitgehend gesamten Kommunikationsverhaltens der Bürger und entsprechende Rasterfahndungen. Es ist grob vergleichbar mit einer Aufzeichnung, wer wann wem einen Brief geschrieben hat.
Wer also sagt, die Vorratsdatenspeicherung sei wichtig, grundrechtswidrig, böse, harmlos oder was auch immer, sollte einfach jedes mal dazu sagen, welche Vorratsdatenspeicherung er genau meint. Auch wenn es für alle Seiten schwer ist und man dazu die seit Jahren eingespielten Rituale verlassen muss. Es wird Zeit.
Und in der ganzen Diskussion wird leider meist auch die Tatsache vergessen, dass fast alle Telekommunikations-Anbieter viele Daten sowieso speichern, zum Beispiel zu Abrechnungszwecken. Auch wenn sie keine Verpflichtung zur Speicherung haben, können Ermittler auf diese Daten relativ einfach zugreifen. Und das ohne dass die vom Bundesverfassungsgericht für die Vorratsdatenspeicherung definierten Hürden überhaupt greifen. Nur die relativ harmlosen IP-Adressen, die werden nicht oder nur sehr kurz gespeichert. Genau hier gehört dringend nachgebessert: der Abruf beispielsweise von vorhandenen Handy-Standortdaten oder wer wann mit wem telefoniert hat muss dringend unter die gleichen hohen Hürden gestellt werden, wie sie das Bundesverfassungsgericht für die Abfrage von Daten aus der Vorratsdatenspeicherung vorgesehen hat. Denn für die Betroffenen ist es vollkommen egal, warum der Provider die Daten gespeichert hat: weil er gesetzlich dazu gezwungen wurde oder weil er sie beispielsweise für die interne Abrechnung mit anderen Providern brauchte. Hier sollte dringend etwas passieren.
Zuguterletzt hoffe ich, dass der EuGH und im Anschluss auch das EU-Parlament den einzelnen Ländern offen lässt, wie weit sie bei der Vorratsdatenspeicherung gehen wollen und nur Maximalgrenzen zieht. Wenn nicht alle EU-Mitgliedsstaaten mindestens sechs Monate alle Daten speichern müssen, dann wäre das schon mal ein Erfolg.
Das Gutachten in komplett: Technische-Fragen-VDS.pdf
Kommentare