Logo der activeMind AG

Vorratsdatenspeicherung: Aktueller Stand und Gerichtsurteile

Inhalt

Der Deutsche Bundestag hat im Oktober 2015 gegen großen Widerstand von Datenschützern ein neues Gesetz zur Vorratsdatenspeicherung verabschiedet. Anbieter von Telefon- und Internetdiensten – sogenannte verpflichtete Unternehmen – müssen sowohl Verbindungsdaten als auch Standortdaten von Nutzern für eine bestimmte Dauer speichern. Die Daten sollen von Behörden zur Aufklärung von Straftaten genutzt werden können. Bisher gab es jedoch einige Hürden bei der Umsetzung in Deutschland. Die wichtigsten Punkte zum Gesetz und zur aktuellen Umsetzung haben wir nachfolgend für Sie zusammengefasst.

Update, 20. September 2022: Wie der EuGH heute urteilte, verstößt die deutsche Regelung zur Vorratsdatenspeicherung gegen EU-Recht. Ohne konkretem Anlass ist eine Speicherung von Verkehrs- und Standortdaten im Bereich der elektronischen Kommunikation nicht zulässig. Eine Speicherung erlauben die Richter z.B., wenn eine ernste Bedrohung für die nationale Sicherheit vorliegt, oder die Datenspeicherung einer konkreten Person, wenn der Verdacht eines schweren Verbrechens gegeben ist.

Es bleibt somit weiterhin abzuwarten, wie die Bundesregierung das Gesetz reformieren wird.

Welche Unternehmen sind von der Vorratsdatenspeicherung betroffen?

Dem Gesetzeswortlaut zufolge müssen ausschließlich „Erbringer öffentlich zugänglicher Telefondienste“ sowie „Erbringer öffentlich zugänglicher Internetzugangsdienste“ auf Vorrat speichern. Erbringer zeichnen sich dadurch aus, dass sie ihren Kunden dauerhaft einen eigenen Telekommunikationsanschluss zur Verfügung stellen. Dies betrifft der Gesetzesbegründung zufolge bundesweit ca. 1.000 Unternehmen.

Nicht betroffen von der Vorratsdatenspeicherung sind Hotels, Restaurants, Cafés u. a., da diese ihren Gästen nur einen kurzweiligen Zugang zu Internet und / oder Telefon ermöglichen und keine „Erbringer“ laut dem Gesetz sind. Ebenfalls aus dem Raster fallen unternehmensinterne Netze, da diese – z.B. im Gegensatz zu Anbietern eines öffentlichen WLANs – nicht öffentlich zugänglich sind.

Auf Vorrat speichern müssen somit nur Anbieter, die ihren Kunden einen Telefon- bzw. Internet-Anschluss zur zeitlich unbestimmten und selbstständigen Nutzung bereitstellen.

Die wichtigsten Regelungen zur Vorratsdatenspeicherung

“Was muss gespeichert werden?”

Zwei Datenkategorien sind von der Vorratsdatenspeicherung betroffen: Verbindungsdaten und Standortdaten.

Zu den Verbindungsdaten zählen unter anderem die Rufnummer des Anrufenden und des angerufenen Anschlusses, das Datum und die Urzeit von Beginn und Ende der Verbindung sowie Angaben zum genutzten Telekommunikationsdienst. Darüber hinaus müssen im Falle von Mobilfunkkommunikation die internationalen Kennungen der an der Kommunikation beteiligten Geräte bzw. Anschlüsse gespeichert werden. Handelt es sich um einen Prepaid-Dienst, muss zudem das Aktivierungsdatum dokumentiert werden. Wird Internet-Telefonie wie zum Beispiel Skype genutzt, müssen ferner die IP-Adressen und die Benutzerkennungen der Gesprächspartner gespeichert werden.

Die gleichen Regelungen gelten für den SMS- bzw. MMS-Versand, wobei hier der Versand- und der Empfangszeitpunkt vorzuhalten sind. Wird ein Internetdienst genutzt (z. B. ein öffentliches WLAN), muss der Anbieter die IP-Adresse, die Anschluss- und Benutzerkennungen sowie Datum und Uhrzeit von Beginn und Ende der Internetnutzung speichern. Von der Vorratsdatenspeicherung ausgenommen sind – im Gegensatz zur früheren Gesetzesversion von 2007 – Daten zur E-Mailkommunikation.

Neben den Verbindungsdaten verlangt das Gesetz das Speichern von Standortdaten, wenn ein mobiler Telefondienst oder ein öffentlich zugänglicher Internetzugangsdienst genutzt werden. Hier müssen die Funkzellen des Anrufers und des Angerufenen bzw. des Internetnutzers bei Beginn der Verbindung gespeichert werden. Hinzu kommen Angaben über die die Funkzelle versorgenden Funkantennen.

Nicht gespeichert werden dürfen Daten von Berufsgeheimnisträgern (z. B. Ärzte und Rechtsanwälte) oder aber von Stellen, die bei Kommunikationspartnern entsprechende Vertraulichkeitserwartungen begründen (z. B. aus dem kirchlichen oder sozialen Bereich). Derzeit ist jedoch weitgehend unklar, wie diese negative Pflicht, eine solche Speicherung zu unterlassen, praktisch realisiert werden kann.

“Wann und wie lange muss gespeichert werden?”
Das Gesetz fordert keine anlassbezogene, sondern eine anlassfreie Speicherung von Daten. Die Speicherungspflicht setzt also keine behördliche Anordnung voraus, sondern muss qua Gesetz umgesetzt werden. Wichtig ist, dass die Speicherfristen eingehalten werden: Verbindungsdaten müssen zehn Wochen, Standortdaten vier Wochen lang gespeichert werden.

Die gespeicherten Daten müssen unverzüglich, spätestens jedoch binnen einer Woche nach Ablauf der jeweiligen Frist irreversibel gelöscht werden.

“Wie muss das Speichern erfolgen?”

Der starke Grundrechtseingriff der Vorratsdatenspeicherung erfordert besondere Sicherheitsmaßnahmen. Hierzu zählt der Einsatz besonders sicherer Verschlüsselungstechniken, die Verwendung gesonderter Speicher, ein hoher Schutz vor dem Internetzugriff auf vom Internet entkoppelte Datenverarbeitungssysteme, die Beschränkung des Zutritts zu den Datenverarbeitungsanlagen auf besonders ermächtigte Personen und die Mitwirkung von mindestens zwei Personen beim Datenzugriff.

Die Sicherheitsanforderungen müssen dem Gesetz zufolge stets dem Stand der Technik entsprechen, weshalb einmal umgesetzte Maßnahmen regelmäßig überprüft und ggf. einem neuen Standard angepasst werden müssen.

Keine gesonderten Sicherheitsbestimmungen gelten dagegen für die Behörden, die die Daten anfordern.

“Wer trägt die Kosten der Speicherung?”

Grundsätzlich müssen die speicherverpflichteten Unternehmen die Kosten tragen. Kostenintensiv ist in erster die Linie das Schaffen einer ausreichenden Sicherheitsinfrastruktur. Da die Sicherheitsmaßnahmen stets dem Stand der Technik gemäß aktuell gehalten werden müssen, fallen auch dauerhaften Kosten an.

Nur für den Fall, dass die Umsetzung für das verpflichtete Unternehmen eine „unbillige Härte“ beinhaltet, ist eine angemessene Entschädigung auf Basis eines Beschlusses der Bundesnetzagentur möglich.

Weitere Kosten können auch aus der Überprüfung durch eine unabhängige Stelle oder nationale Behörde folgen.

Den Aufwand der Bereitstellung der Daten gegenüber den anfragenden Behörden kann sich das Unternehmen dagegen erstatten lassen. Im Justizvergütungs- und -Entschädigungsgesetz (JVEG) wurden hierzu verschiedene Pauschalen in Höhe von acht bis 1.120 Euro festgelegt. Diese Kosten trägt somit der Steuerzahler.

“An wen dürfen die Daten übermittelt werden?”

Das Gesetz zur Vorratsdatenspeicherung erlaubt zunächst Übermittlungen an Strafverfolgungs- und Gefahrenabwehrbehörden der Länder. Wenn diese die Herausgabe von Vorratsdaten verlangen, muss das verpflichtete Unternehmen diese Daten – mit Ausnahme von Daten zu Berufsgeheimnisträgern – herausgeben. Einer richterlichen Anordnung bedarf es nicht. Die Behörden müssen lediglich auf eine gesetzliche Bestimmung verweisen, die ihnen die Datenübermittlung gestattet. Somit muss das verpflichtete Unternehmen nur prüfen (lassen), ob die genannte Vorschrift tatsächlich eine Datenübermittlung rechtfertigt.

Auch an Verfassungsschutzbehörden des Bundes und der Länder, an den Militärischen Abschirmdienst und an den Bundesnachrichtendienst müssen unter bestimmten rechtlichen Voraussetzungen Daten übermittelt werden. Hier gilt allerdings der Richtervorbehalt. Die Anfrage muss in diesem Fall zudem grundsätzlich in Textform erfolgen. Sämtliche Zugriffe auf die Daten müssen protokolliert werden; die Protokolle sind ein Jahr lang aufzubewahren.

“Welche sonstigen Pflichten bestehen gegenüber Behörden?”

Die besonderen Sicherheitsmaßnahmen müssen im allgemeinen Sicherheitskonzept des verpflichteten Unternehmens dokumentiert werden. Daneben sind die Systeme, mit denen die Vorratsdatenspeicherung betrieben wird, zu benennen. Aus der Beschreibung muss auch deutlich werden, welche Gefahren von den Systemen ausgehen und inwieweit die getroffenen Maßnahmen den Gefahren gerecht werden. Das Konzept muss der Bundesnetzagentur unverzüglich nach Beginn der Vorratsdatenspeicherung und unverzüglich bei jeder Änderung des Konzepts vorgelegt werden. Erfolgen keine Änderungen am Konzept, muss dies der Bundesnetzagentur alle zwei Jahre schriftlich erklärt werden.

Die Bundesnetzagentur kann zudem eine Überprüfung der im Unternehmen getroffenen Sicherheitsmaßnahmen durch eine qualifizierte unabhängige Stelle oder eine zuständige nationale Behörde anordnen. Im Anschluss muss das verpflichtete Unternehmen eine Kopie des Überprüfungsberichts an die Bundesnetzagentur übermitteln.

“Wo ist die Vorratsdatenspeicherung gesetzlich geregelt?”

Das Gesetz zur Vorratsdatenspeicherung ist ein sogenanntes Änderungsgesetz. Die wichtigsten angepassten Gesetze sind die Strafprozessordnung (geänderte Normen: § 100g, § 101a und § 101b) und das Telekommunikationsgesetz (§§ 113a-113g). Darüber hinaus wurden Änderungen im Einführungsgesetz zur Strafprozessänderung, im Justizvergütungs- und Entschädigungsgesetz und im Strafgesetzbuch (hier: Einführung einer Regelung zur Datenhehlerei) vorgenommen.

Insbesondere die Änderungen in der Strafprozessordnung und im Telekommunikationsgesetz stehen im Konflikt mit Artikel 10 Grundgesetz, der das Fernmeldegeheimnis schützt.

“Bisherige Umsetzung und aktueller Stand”

ssungsgericht als verfassungswidrig erklärt wurden und das damals geltende Gesetz vom EuGH 2014 gekippt wurde, wurde ein Gesetz zur Vorratsdatenspeicherung im Oktober 2015 erneut beschlossen (Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten).

Am 16. Oktober 2015 stimmte der Bundestag für den Gesetzentwurf der Bundesregierung. Der Bundesrat stimmte am 6. November 2015 dem Gesetz zu, am 10. Dezember 2015 wurde es vom Bundespräsidenten unterzeichnet und am 17. Dezember 2015 im Bundesgesetzblatt verkündet.

Das Gesetz verpflichtete Telekommunikationsunternehmen spätestens 18 Monate nach dem 18. Dezember 2015, die Standort- und Verbindungsdaten zu speichern.

Bereits einen Tag nach der Veröffentlichung im Bundesgesetzblatt wurde die erste Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht. Zahlreiche weitere Beschwerden folgten in den Jahren 2015 und 2016.

“Gerichtliche Entscheidungen”

Ein IT-Provider, der Internetzugangsleistungen für deutsche als auch für europäische Kunden erbringt, hatte sich mit einem Antrag auf Erlass einer einstweiligen Anordnung an das Verwaltungsgericht (VG) Köln gewandt, da er der Verpflichtung zur Vorratsdatenspeicherung bis zur Entscheidung der Klage vorläufig nicht nachkommen wollte. Das VG Köln lehnte jedoch den Antrag ab. Das OVG in Münster gab der Beschwerden hingegen statt (Beschl. v. 22.06.2017, Az. 13 B 238/17).

Die Verpflichtung zur Vorratsdatenspeicherung ist in der Folge der Rechtsprechung des Europäischen Gerichtshofs (Az.: C-203/15 und C-698/15) in ihrer gegenwärtigen Ausgestaltung nicht mit Art. 15 Abs. 1 der Datenschutzrichtlinie (2002/58/EG) vereinbar.

In der Folge setzte die Bundesnetzagentur die Pflicht zur Vorratsdatenspeicherung, des zum 1. Juli 2017 geltenden Rechts, bis zur Entscheidung der Klage im Hauptsacheverfahren aus.

Im April 2018 bestätigte auch das Verwaltungsgericht Köln (Urteil vom 20.04.2018 – 9 K 3859/16), dass die Vorratsdatenspeicherung gegen das Europarecht verstoße.

In Deutschland wird die Vorratsdatenspeicherung Stand heute (2019) nicht angewendet. Nun gilt es die Entscheidungen des Bundesverfassungsgerichtes mit Spannung zu verfolgen.

Der EuGH hatte im Oktober 2020 mehrere Verfahren aus Frankreich, Belgien und Großbritannien zu entscheiden (Urteil vom 06.10.2020, Az.: C-511/18, C-512/18, C-520/18) und urteilte, dass eine flächendeckende und pauschale Speicherung von Verbindungsdaten und Standortdaten nicht zulässig ist. Gleichzeitig stellte der EuGH auch klar, dass zur Abwehr von schweren Straftaten und zur Sicherstellung der nationalen Sicherheit weiterhin eine Vorratsdatenspeicherung unter bestimmten Bedingungen möglich ist.

Im Jahr 2022 musste der EuGH sich mit Klagen von zwei deutschen Providern geschäftigen, die gegen die Speicherpflicht vor das Bundesverwaltungsgericht gezogen waren. Auch hier urteilte das oberste rechtsprechende Organ der EU, dass die deutsche Vorratsdatenspeicherung unverhältnismäßig ist und gegen die E-Privacy-Richtlinie der EU verstößt.

Der EuGH verbot jedoch nicht generell eine anlasslose Vorratsdatenspeicherung. Er nannte vier Konstellationen in denen eine Speicherung möglich ist. Dies wäre der Fall,

  • wenn die nationale Sicherheit bedroht wäre,
  • wenn sich die Vorratsdatenspeicherung gezielt gegen eine bestimmte Personengruppe richtet (z.B. terroristische Gefährder),
  • bei einer gezielten Speicherung anhand geografischer Merkmale (z.B. Kriminalitätsschwerpunkte an Bahnhöfen oder Flughäfen) und
  • bei IP-Adressen sogar in Bezug auf die ganze Bevölkerung.

Als zulässig nannte der EuGH zusätzlich noch die Quick-Freeze-Methode. Bei dieser Methode werden die Daten zunächst „eingefroren“, wenn der Verdacht einer Straftat besteht und können anschließend zum Beispiel nach einem richterlichen Beschluss genutzt werden.

Fazit: Vorratsdatenspeicherung erfordert strategisches Vorgehen

Die Regelungen zur Vorratsdatenspeicherung stehen im Spannungsfeld zwischen gewünschter effektiver Strafverfolgung und dem Datenschutz. Zwar gelten die o.g. Urteile nur für die jeweiligen Kläger, jedoch können ähnliche Unternehmen gegen die Vorratsdatenspeicherung auf diesem Wege vorgehen.

Die Richter des EuGHs urteilten im Jahr 2016, 2020 und 2022, dass eine allgemeine und anlasslose Speicherung von Daten unzulässig sei und die Speicherung nur unter strengen Voraussetzungen und auf das Notwendige beschränkt, möglich ist.  (Urt. v. 21.12.2016, Az.: C-203/15; C-698/15), (Urt.v. 06.10.2020, Az.: C-511/18, C-512/18, C-520/18),  (Urt. v. 20.09.2022, Az. C-793/19, C-794/19).

Es bleibt abzuwarten, wie die Bundesregierung auf anstehende Gesetzesänderungen reagieren wird. Aus Brüssel kann vernommen werden, dass dort eine Wiederbelebung der Vorratsdatenspeicherung geplant ist, die eben nicht gegen den Datenschutz und gegen die EU-Grundrechtecharta verstößt. Wie diese Lösung aussehen wird, kann mit Spannung erwartet werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.