DA+

Kurzbeitrag : Zur strafrechtlichen Neubewertung der Verkehrsdatenspeicherung : aus der RDV 2/2021, Seite 91 bis 94

Lesezeit 10 Min.

Über die sogenannte Vorratsdatenspeicherung, besser und genauer: Verkehrsdatenspeicherung[1], ist sowohl justiz- als auch gesellschaftspolitisch viel gestritten und gerungen worden. Schon der Begriff selbst ist alles andere als trennscharf. Das geltende Recht wird derzeit weitgehend nicht umgesetzt. Die Folgen für die Strafrechtspraxis sind erheblich. Nachdem der Europäische Gerichtshof jüngst den (europa-) rechtlichen Handlungsrahmen deutlicher konturiert hat, ist es an der Zeit, die nationale Rechtslage hin zu einer begrenzten IP-Zuordnung zu schärfen.

I. Kurzüberblick über die aktuelle Rechtslage; Bedeutung für die strafrechtliche Praxis

Die Verkehrsdatenspeicherung ist in den § § 113a ff. TKG gesetzlich geregelt. Verpflichtet sind „Erbringer öffentlich zugänglicher Telekommunikationsdienste für Endnutzer“ (§ 113a Abs. 1 Satz 1 TKG), d.h. insbesondere Internetzugangsprovider und Anbieter von Telefondiensten. Die Speicherpflicht erstreckt sich auf ausgewählte Verkehrsdaten (§ 113b Abs. 2 und 3 TKG) für zehn Wochen (§ 113b Abs. 1 TKG) und – im Fall der Mobilfunkkommunikation – auf Standortdaten (§ 113b Abs. 4 TKG) für vier Wochen (§ 113b Abs. 1 TKG).

Der Zugang zu den gespeicherten Daten ist nach dem „Doppeltürmodell“[2] des Bundesverfassungsgerichts ausgestaltet. Während § 113c TKG die Datenübermittlungsbefugnis der Telekommunikationsanbieter normiert, ist der Zugriff der Strafverfolgungsbehörden in § 100g Abs. 2 StPO geregelt. Dieser sieht in Satz 2 einen Katalog besonders schwerer Straftaten vor, bei denen der Zugriff auf gespeicherte Daten legitimiert ist, sofern die Tat auch im Einzelfall besonders schwer wiegt und die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre und die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht.

Die Verkehrsdatenspeicherung wird von der Bundesnetzagentur gegenüber den Telekommunikationsprovidern derzeit infolge eines Beschlusses des Oberverwaltungsgerichts Nordrhein-Westfalen vom 22.06.2017 (13 B 238/17) nicht durchgesetzt. Das Oberverwaltungsgericht hatte insoweit festgestellt, dass die im Dezember 2015 gesetzlich eingeführte und ab dem 1. Juli 2017 wirksame Pflicht für die Erbringer öffentlich zugänglicher Telekommunikationsdienste zur Speicherung von bei der Nutzung von Telefon- und Internetdiensten anfallenden Verkehrs- und Standortdaten ihrer Nutzer mit dem Recht der Europäischen Union nicht vereinbar sei.[3]

Daher sieht die Bundesnetzagentur seitdem und bis zum rechtskräftigen Abschluss eines Hauptsacheverfahrens von Anordnungen und sonstigen Maßnahmen zur Durchsetzung der in § 113b TKG geregelten Speicherverpflichtungen gegenüber allen verpflichteten Unternehmen ab.[4] Bußgeldverfahren werden wegen Verletzung der Speicherverpflichtungen nicht eingeleitet.

Den Strafverfolgungsbehörden stehen im Ergebnis der vorbezeichneten Rechts- und Rechtsdurchsetzungssituation Verkehrs- und Standortdaten derzeit regelmäßig nur zur Verfügung, soweit die Telekommunikationsanbieter diese für ihre internen technischen Prozesse und die Netzsicherheit vorhalten dürfen. Dieser Zeitraum erstreckt sich im Regelfall auf nicht mehr als sieben Kalendertage. Soweit eine öffentlich bekannt gewordene Erhebung der Bundesnetzagentur eine teils deutlich längere Speicherpraxis der Telekommunikationsanbieter ausweist,[5] kann nach den Erfahrungen der Praxis eine belastbar längere Speicherpraxis nicht festgestellt werden.

Die Auswirkungen des fehlenden Zugriffs auf Verkehrs- und Standortdaten sind für Erfolg und Effektivität der Strafverfolgung erheblich. Sie erstrecken sich entsprechend des Katalogs des § 100g Abs. 2 Satz 2 StPO auf fast alle Deliktsfelder besonders schwerer Kriminalität. In Nordrhein-Westfalen ist nach den mit den Stichworten „Lügde“, „Bergisch Gladbach“ und „Münster“ verknüpften Tatkomplexen besonders der Bereich der Bekämpfung digitaler Abbildungen von Kindesmissbrauch und der Kindesmissbrauch in digitalen Medien selbst in den Fokus genommen worden. Hier ist regelmäßig insbesondere in Fällen von Hinweisen ausländischer Behörden und Organisationen eine Täteridentifikation nur dann möglich, wenn und solange über den Zugriff auf Daten der Telekommunikationsprovider IP-Adressen auf die tatsächlichen Anschlüsse oder Endgeräte aufgelöst werden können.

II. Europa- und verfassungsrechtlicher Handlungsrahmen; Bewertung

Unbeschadet dieser Zustandsbeschreibung der Ermittlungswirklichkeit ist bei nüchterner Betrachtung des verfassungsund europarechtlichen Handlungsrahmens und der diesen konkretisierenden Rechtsprechung zu konstatieren, dass ein umfassender regulativer Ansatz, der terminologisch mit dem Begriff der Verkehrsdatenspeicherung verknüpft ist, rechtlich kaum umsetzbar sein dürfte. Die Verkehrsdatenspeicherung ist tot. Aus ihrem Nachlass sind jedoch die rechtlich tragfähigen und strafverfolgungspraktisch bedeutsamsten Regelungen zu identifizieren. Dies gelingt vor allem mit Blick auf die in den Entscheidungen des EuGH entwickelten Grundsätze.

1. Der EuGH hat sich in verschiedenen Entscheidungen mit der Verkehrsdatenspeicherung befasst und einen europarechtlich zulässigen Handlungsrahmen herausgearbeitet. Die Urteile des Gerichtshofs (Große Kammer) vom 08.04.2014 (Digital Rights Ireland Ltd gegen Minister for Communications, Marine and Natural Resources u.a. und Kärntner Landesregierung u.a., C-293/12 und C-594/12) und vom 21.12.2016 (Tele2 Sverige AB gegen Post- och telestyrelsen und Secretary of State for the Home Department gegen Tom Watson u.a., C-203/15 und C-698/15) kulminieren in dem Urteil vom 06.10.2020 (La Quadrature du Net u.a. gegen Premier ministre u.a., C-511/18, C-512/18, C-520/18), das erstmals neben der Bestätigung der grundsätzlichen Europarechtwidrigkeit einer allgemeinen Verkehrsdatenspeicherung rechtlich zulässige Anwendungsfälle herausarbeitet.

Demnach ist eine Verkehrsdatenspeicherung grundsätzlich unzulässig.[6] In einzeln erläuterten Ausnahmefällen kann eine begrenzte Datenspeicherung hingegen zulässig sein. Hierzu führt der Gerichtshof die folgenden Anwendungsfälle an:

a) Nationale Sicherheit

Sofern sich ein Mitgliedsstaat einer als real und aktuell oder vorhersehbar einzustufenden ernsten Bedrohung für die nationale Sicherheit gegenübersieht, soll eine allgemeine Verkehrsdatenspeicherung zulässig sein, wenn sie unter effektiven Rechtsgarantien und zeitlich auf das absolut Notwendige beschränkt erfolgt.

b) Räumlich oder in persönlicher Hinsicht begrenzte Datenspeicherung

Zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit ist die Verkehrsdatenspeicherung zulässig, wenn sie anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums begrenzt bleibt sowie die Speicherdauer eng eingrenzt wird.

c) Zuordnungsdaten von IP-Adressen

Für IP-Adressen konstatiert der Gerichtshof ein geringeres Schutzbedürfnis. Wenngleich er ausführt, IP-Adressen seien aussagekräftig betreffend das Online-Verhalten einer Person, wird ihre herausgehobene Bedeutung zur Identifikation einer Person im Internet anerkannt. Der Gerichtshof hebt insbesondere das Deliktsfeld der Kinderpornografie und des sexuellen Missbrauchs respektive der sexuellen Ausbeutung von Kindern insoweit hervor. Er geht davon aus, dass zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine zeitlich auf das absolut Notwendige begrenzte, indes generelle Speicherung der IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, zulässig ist. Maßnahmen und Verfahrensgarantien zur Verhinderung eines Trackings des Online-Verhaltens von Personen sind geboten. Bloße Bestandsdaten können hingegen zeitlich unbegrenzt gespeichert bzw. genutzt werden.

d) Umgehende Sicherung von Verkehrs- und Standortdaten

Nach dem Urteil des Gerichtshofs kann nationales Recht Regelungen treffen, für die Bekämpfung schwerer Straftaten und zum Schutz der nationalen Sicherheit auf Verlangen der zuständigen Behörden Verkehrs- und Standortdaten durch die Provider im Einzelfall anlassbezogen fortdauernd speichern zu lassen. Hierzu bedarf es jedoch der Beschränkung auf einen ermittlungsrelevanten Personenkreis oder eine ermittlungsrelevante Geolokalisation.

2. Die durch den Gerichtshof gebildeten Fallgruppen lassen sich nur bedingt auf die strafrechtliche Ermittlungspraxis anwenden. Die Fallgruppe der nationalen Sicherheit dürfte nach den Vorgaben des Gerichts allenfalls auf den Bereich der Terrorabwehr und die nachrichtendienstliche Sphäre begrenzt relevant sein. Eine darüber hinausgehende nationale strafrechtliche Umsetzbarkeit ist nicht ersichtlich. Eine personell begrenzte Datenspeicherung für einen konkret benannten Personenkreis (etwa Gefährder und deren Kontaktpersonen) dürfte nach deutschem Strafprozessrecht eher Maßnahmen der Telekommunikationsüberwachung als einer Verkehrsdatenspeicherung entsprechen. Eine räumliche Begrenzung ist hingegen auch als eingegrenzte Datenspeicherung denkbar etwa für Verbrechensschwerpunkte oder besonders gefährdete Orte – der Gerichtshof nennt Flughäfen, Bahnhöfe oder Zollanlagen. „Umgehende Sicherung von Verkehrs- und Standortdaten“ dürfte dem unter dem Begriff „Quick Freeze“ diskutierten Regelungsmodell gleichkommen. Dieses stellt jedoch nur eine erleichterte Verhinderung der Datenlöschung, jedoch keine Datenspeicherung im eigentlichen Sinne dar. Ohne die zu „Quick Freeze“ diskutierten Argumente im Detail zu beleuchten ist jedenfalls festzuhalten, dass diesem nur tatsächlich vorhandene Daten unterfallen können. Das Problem originär begrenzter Datenverfügbarkeit wird nicht gelöst. Insbesondere in Cybercrimefällen und Sachverhalten mit prägenden Online-Bezügen erweist sich „Quick Freeze“ überdies wegen der regelmäßig relevanten Ketten computerforensischer Beweismittel als untauglich.

Damit verbleibt für einen strafprozessualen Gestaltungsraum derzeit allein die Fallgruppe der Speicherung von Zuordnungsdaten zu IP-Adressen.

Auch das Bundesverfassungsgericht geht von einer geringeren Schutzbedürftigkeit von Zuordnungsdaten zu IP-Adressen aus, betont allerdings auch die Bedeutung für die Erfassung des Online-Verhaltens von Personen.[7] Gleichwohl ließen sich „systematische Ausforschungen über einen längeren Zeitraum oder die Erstellung von Persönlichkeits- und Bewegungsprofilen (…) allein auf Grundlage solcher Auskünfte gerade nicht verwirklichen“.[8] Mit Blick auf die Vorgaben des EuGH dürfte jedenfalls nationales Verfassungsrecht einer Neuregelung der Verkehrsdatenspeicherung unter dem (begrenzten) Aspekt der Speicherung von Zuordnungsdaten zu IP-Adressen nicht entgegenstehen.

III. Ausgestaltung des Handlungsspielraums im strafprozessualen Bereich

Eine Neuordnung der Verkehrsdatenspeicherung kann in strafrechtlicher Hinsicht derzeit nur unter dem Gesichtspunkt der Speicherung von Zuordnungsdaten zu IP-Adressen erfolgen. Sie wäre trotz des beschränkten Anwendungsbereichs aus Sicht der Strafrechtpraxis gleichwohl sinnvoll. Denn die mangelnde Fähigkeit, IP-Adressen auf physikalische Anschlüsse oder Endgeräte aufzulösen, erweist sich in einer Vielzahl von Ermittlungssituationen digitaler Kriminalität als wesentliches Verfahrenshemmnis. Namentlich der vom Europäischen Gerichtshof thematisierte Bereich der Bekämpfung digitaler Abbildungen von Kindesmissbrauch erfordert regelmäßig entsprechende Zuordnungen zur Identifizierung tatverdächtiger Personen. Sind die Daten länger als derzeit maximal sieben Tage für die Strafverfolgungsbehörden verfügbar, ist mit einer deutlichen Steigerung erfolgreicher Identifizierungen zu rechnen.

Unter Berücksichtigung der europa- und verfassungsrechtlichen Vorgaben sind folgende Eckpunkte im Bereich der Strafrechtspflege in den Blick zu nehmen:

1. Begrifflichkeit

Der Begriff der Verkehrsdatenspeicherung ist in der rechtspolitischen Diskussion belastet. Die Positionen scheinen in dogmatischen „Lagern“ verhaftet zu sein. Die hier skizzierten Regelungsbereiche erfassen lediglich einen kleinen Teilbereich der bisherigen Rechts- und Diskussionslage, auf den der überkommene Begriff nicht sinngleich zutrifft. Die Bezeichnung „begrenzte IP-Zuordnung“ trifft den Kern des Intendierten.

2. Zeitliche Begrenzung

Zur Wahrung der Verhältnismäßigkeit insbesondere unter dem Aspekt der Profilbildung bezüglich des Online-Verhaltens ist eine zeitliche Beschränkung der Datenspeicherdauer sachgerecht. Nach der bisherigen gesetzlichen Regelung ist die maximale Speicherfrist für Verkehrsdaten (ohne Standortdaten) auf 10 Wochen begrenzt. Mit Blick auf die Vorgaben des EuGH und die dort geforderte zeitliche Beschränkung auf das absolut Notwendige dürfte die geltende restriktive Regelung einen zulässigen Speicherzeitraum abbilden. Da der bisherige § 113b Abs. 1 Nr. 1 TKG die Zehnwochenfrist jedoch auf den grundrechtlich invasiveren Eingriff in alle Verkehrsdaten nach den Absätzen 2 und 3 der Norm erstreckt, könnte wegen der geringeren Schutzbedürftigkeit bloßer IP-Adressen auch eine moderat darüber hinausgehende Speicherung in Betracht zu ziehen sein, ohne dass Anlass zu der Besorgnis übermäßiger Datenhaltung respektive einer Überschreitung der Vorgaben des EuGH bestünde. 3. Zugriffsvoraussetzungen Das Bundesverfassungsgericht hat in seinem Beschluss vom 27.05.2020 ausgeführt, „erforderlich“ seien „grundsätzlich die Reichweite des § 113 Abs. 1 Satz 3 TKG näher begrenzende Eingriffsschwellen sowie eine Beschränkung auf den Schutz oder die Bewehrung von Rechtsgütern von hervorgehobenem Gewicht.“[9] Voraussetzung in strafrechtlicher Hinsicht ist demnach der Anfangsverdacht einer Straftat. Mit Blick auf die restriktiveren Vorgaben des EuGH dürfte jedoch eine Zugriffsbegrenzung auf einen Straftatenkatalog besonders schwerwiegender Taten erforderlich sein.[10] Diesen Voraussetzungen wird § 100g Abs. 2 Satz 2 StPO ohne weiteres gerecht.

4. Reichweite

Die rechtspolitische Diskussion verengt sich oftmals auf die Speicherung von IP-Adressen. In technischer Hinsicht setzen die Telekommunikationsanbieter unterschiedliche Verfahren ein, um eine IP(v4)-Adresse unterschiedlichen Nutzern zuzuweisen (etwa NAT („network address translation“) oder insbesondere im Mobilfunk CGN („carrier grade NAT“)). Daher erweist sich die bloße Speicherung der IP-Adresse als unzureichend. Vielmehr sind auch diejenigen technischen Begleitdaten – wie etwa Portnummern – zu speichern, die die Zuordnung einer nach außen durch mehrere Personen genutzten IP-Adresse nach innen zu einem konkreten Anschluss oder Gerät ermöglichen.

IV. Zusammenfassung

Bei näherer Betrachtung des geltenden Rechts der Verkehrsdatenspeicherung für Zwecke der Strafrechtspflege ist eine begrenzte IP-Zuordnung mit dem Recht der Europäischen Union vereinbar. Ihre wesentlichen Bezugspunkte sind bereits jetzt in § 113b Abs. 3 TKG angelegt. Die Norm bedarf lediglich geringfügiger Erweiterung hinsichtlich ihrer Erfassungsreichweite.

* Peter Biesenbach ist Minister der Justiz des Landes Nordrhein-Westfalen. Markus Hartmann ist Oberstaatsanwalt als Hauptabteilungsleiter, Leiter der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW).

[1]Der Beitrag beschränkt sich auf den Bereich der Strafrechtspflege. Das Gefahrenabwehrrecht und das Recht der Nachrichtendienste bleiben außer Betracht.

[2] Zu vgl. BVerfG, Beschluss des Ersten Senats vom 24. Januar 2012, 1 BvR 1299/05 (BVerfGE 130, 151).

[3] Zu vgl. https://www.justiz.nrw.de/nrwe/ovgs/ovg_nrw/j2017/13_B_238_17_Beschluss_20170622.html.

[4] Zu vgl. Mitteilung der Bundesnetzagentur, abzurufen unter https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Anbieterpflichten/OeffentlicheSicherheit/Umsetzung110TKG/VDS_113aTKG/VDS.html.

[5] Zu vgl. http://www.Verkehrsdatenspeicherung.de/images/vb_breg_anl4_2018-05-15.pdf.

[6] „Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25.11.2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er Rechtsvorschriften entgegensteht, die zu den in Art. 15 Abs. 1 genannten Zwecken präventiv eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen.“

[7] Zu vgl. Beschluss des Ersten Senats vom 27.05.2020 – 1 BvR 1873/13, Rn. 166 ff.

[8] Zu vgl. 1 BvR 1873/13, Rn. 169.

[9] Zu vgl. 1 BvR 1873/13, Rn. 175.

[10] Geringere Voraussetzungen wohl nach BVerfG 1 BvR 1873/13, Rn. 176 f.