Urteil

Bundesverfassungsgericht beschränkt Zugriff auf Daten

Im Kampf gegen Straf­täter und Terro­risten darf der Staat Auskünfte über Handy- und Inter­net­nutzer einholen. Karls­ruhe ging das schon vor Jahren zu weit. Jetzt schreiten die Richter zum zweiten Mal ein.
Von dpa /

Bundesverfassungsgericht zur Bestandsdatenauskunft Bundesverfassungsgericht zur Bestandsdatenauskunft
Bild: Bundesverfassungsgericht - bild_raum stephan baumann, Karlsruhe
Das Bundes­ver­fas­sungs­ge­richt schützt die persön­li­chen Daten von Handy- und Inter­net­nut­zern besser vor staat­li­chem Zugriff. Polizei, Bundes­kri­mi­nalamt und die deut­schen Nach­rich­ten­dienste dürfen soge­nannte Bestands­daten zwar auch künftig zur Straf­ver­fol­gung und Terror­ab­wehr abfragen. Bis spätes­tens Ende 2021 müssen aber höhere Hürden einge­zogen werden.

Die bishe­rigen Rege­lungen erklärten die Karls­ruher Richter für verfas­sungs­widrig. Sie verletzten das Grund­recht auf infor­ma­tio­nelle Selbst­be­stim­mung und das Tele­kom­mu­ni­ka­ti­ons­ge­heimnis, wie das Gericht heute mitteilte (Az. 1 BvR 1873/13 u.a.).

Von der Konto­nummer zur PIN - darum geht es

Bundesverfassungsgericht zur Bestandsdatenauskunft Bundesverfassungsgericht zur Bestandsdatenauskunft
Bild: Bundesverfassungsgericht - bild_raum stephan baumann, Karlsruhe
Bestands­daten sind alle "festen" Daten zu einem Telefon- oder Inter­net­an­schluss, wie Name, Geburts­datum und Rufnummer. Aber auch weiter­ge­hende Kunden­daten wie die private Anschrift, die Bank­ver­bin­dung und sogar die verge­bene PIN-Nummer können abge­fragt werden. Kein Risiko sehen die Richter dagegen bei Pass­wör­tern: Diese würden beim Anbieter übli­cher­weise nur verschlüs­selt gespei­chert.

Seit 2013 darf der Anbieter zur Iden­ti­fi­zie­rung des Anschlus­s­in­ha­bers für die anfra­gende Behörde auch die dyna­mi­sche IP-Adresse nutzen. Diese wird Compu­tern vorüber­ge­hend bei der Einwahl ins Internet zuge­ordnet. Einzelne Verbin­dungen - in der Fach­sprache Verkehrs­daten - oder Kommu­ni­ka­ti­ons­in­halte sind dagegen vor Zugriff geschützt.

Die Sicher­heits- und Straf­ver­fol­gungs­be­hörden nutzen die Auskünfte, um Verbre­chen aufzu­klären oder Terror­an­schläge zu verhin­dern. Zum Teil läuft die Abfrage zentral und auto­ma­ti­siert über die Bundes­netz­agentur. Andere Daten fragen die Ermittler einzeln bei Tele­fon­ge­sell­schaften und Provi­dern ab, aber zum Beispiel auch bei Einrich­tungen wie Kran­ken­häu­sern oder Hotels. In dem Karls­ruher Verfahren ging es nur um diese manu­elle Auskunft.

Keine Auskünfte ins Blaue - was sich jetzt ändern muss

Die Verfas­sungs­richter hatten die Bestands­da­ten­aus­kunft 2012 schon einmal bean­standet. Den grund­sätz­li­chen Nutzen erkannten sie aber an: Ange­sichts der zuneh­menden Bedeu­tung elek­tro­ni­scher Kommu­ni­ka­tion seien die Behörden "auf eine möglichst unkom­pli­zierte Möglich­keit ange­wiesen, Tele­kom­mu­ni­ka­ti­ons­num­mern indi­vi­duell zuordnen zu können". Vor allem formal musste trotzdem nach­ge­bes­sert werden.

Diese Vorgaben hat die Politik unzu­rei­chend umge­setzt, wie sich jetzt heraus­stellte. Also wurden die Richter nach zwei neuen Klagen nun noch einmal deut­li­cher: Sie stellten klar, dass die Daten nur abfragt werden dürfen, wenn im Einzel­fall eine konkrete Gefahr droht. Bei der Straf­ver­fol­gung braucht es zumin­dest einen Anfangs­ver­dacht.

Bisher war die Daten­über­mitt­lung allge­mein zur Gefah­ren­ab­wehr, zur Verfol­gung von Straf­taten und Ordnungs­wid­rig­keiten und zur Erfül­lung nach­rich­ten­dienst­li­cher Aufgaben erlaubt. Das ist den Rich­tern viel zu pauschal, die Befug­nisse seien unver­hält­nis­mäßig: "Auch Auskünfte über Daten, deren Aussa­ge­kraft und Verwen­dungs­mög­lich­keiten eng begrenzt sind, dürfen nicht ins Blaue hinein zuge­lassen werden."

IP-Adressen, die Rück­schlüsse auf die persön­liche Inter­net­nut­zung zulassen, sind nach Auffas­sung des Ersten Senats beson­ders sensibel. Die Verwen­dung muss deshalb "auch dem Schutz oder der Beweh­rung von Rechts­gü­tern von zumin­dest hervor­ge­ho­benem Gewicht dienen". Bei gering­fü­gigen Ordnungs­wid­rig­keiten ist der Rück­griff darauf künftig tabu. Jeder Abruf muss mit den Gründen dafür doku­men­tiert werden.

Nach­bes­sern möglich - welche Folgen die Entschei­dung hat

Das Tele­kom­mu­ni­ka­ti­ons­ge­setz und andere Vorschriften zum Beispiel im BKA-Gesetz müssen bis spätes­tens Ende 2021 über­ar­beitet werden. Dafür gebe es verschie­dene Möglich­keiten, heißt es aus Karls­ruhe. In der Zwischen­zeit bleiben die bean­stan­deten Rege­lungen in Kraft. Für ihre Anwen­dung macht das Gericht aber einschrän­kende Vorgaben.

Schwächt das die Sicher­heits­be­hörden zum Beispiel bei der Terror­ab­wehr? Die Richter scheinen die Auswir­kungen für begrenzt zu halten: "Die Gründe für die Verfas­sungs­wid­rig­keit betreffen nicht den Kern der durch die Vorschriften einge­räumten Befug­nisse, sondern ihre rechts­staat­liche Ausge­stal­tung", schreiben sie. Der Gesetz­geber könne "die Vorschriften inso­weit ohne weiteres nach­bes­sern".

Das Bundes­in­nen­mi­nis­te­rium erklärte, die geltenden Rege­lungen seien durch das Gericht nun nicht "gänz­lich infrage gestellt" worden. "Wir werden prüfen, welche Anpas­sungen an den Rege­lungen vorzu­nehmen sind", sagte Spre­cher Steve Alter in Berlin.

Klägerin Katha­rina Nocun nennt es "bedenk­lich, dass diese Rege­lung derart lange Bestand hatte, obwohl Daten­schutz­be­hörden wieder­holt auf Mängel hinge­wiesen haben". Sie hatte 2013 eine der Beschwerden mit dem heutigen Piraten-Euro­pa­po­li­tiker Patrick Breyer und mehr als 6000 Unter­stüt­zern einge­reicht. Breyer hatte zusammen mit seinem Bruder auch schon die erste Entschei­dung zu den Bestands­daten erstritten.

Die Grünen-Bundes­tags­frak­tion wertete die Entschei­dung als "weitere drama­ti­sche Nieder­lage für die Bundes­re­gie­rung". Vor allem im Sicher­heits­be­reich brauche es "verfas­sungs­kon­forme Gesetze, die das Grund­recht auf infor­ma­tio­nelle Selbst­be­stim­mung und das Tele­kom­mu­ni­ka­ti­ons­ge­heimnis wahren". Die FDP-Frak­tion forderte, vor der Einfüh­rung immer neuer Maßnahmen müsse das Gesamtmaß der Über­wa­chung in einer unab­hän­gigen Studie unter­sucht werden.

Caspar begrüßt Karls­ruher Entschei­dung zu Bestands­daten

Hamburgs Daten­schützer Johannes Caspar hat die Entschei­dung des Bundes­ver­fas­sungs­ge­richts zum staat­li­chen Zugriff auf persön­liche Daten von Handy- und Inter­net­nut­zern begrüßt. "Das Bundes­ver­fas­sungs­ge­richt ist hier erneut seiner wich­tigen Rolle als Wahrer der Grund­rechte von Bürge­rinnen und Bürgern in der digi­talen Welt gerecht geworden", erklärte er heute. "Rechts­staat­liche Maßnahmen erfor­dern am Verhält­nis­mä­ßig­keits­grund­satz ausge­rich­tete Filter zur Wahrung der Rechte und Frei­heiten Betrof­fener", betonte Caspar. "Damit ist eine Praxis der Erhe­bung von Bestands­daten ins Blaue hinein nicht möglich."

Erst gestern hat der EuGH das Daten­aus­tausch-Abkommen "Privacy Shield" mit den USA gekippt.