Sie befinden sich hier: Start |Publikationen |vorgänge |Online-Artikel |

vorgänge: Artikel - 26.11.19

Vorratsdatenspeicherung – unbeschränkt und überall!?

Thilo Weichert

in: vorgänge Nr. 227 (3/2019), S. 59 - 70

In der europäischen Öffentlichkeit wird seit dem Frühjahr 2001 über Vorratsdatenspeicherung diskutiert. Trotz klarstellender höchstrichterlicher Rechtsprechung ist die politische und juristische Debatte über den Zugriff von Sicherheitsbehörden auf die zunehmende Masse digitaler Datenbestände immer noch verhaftet im Konflikt um Meta-Daten aus der Telekommunikation. Digitale Menschenkontrolle ist aber inzwischen zu einem Phänomen geworden, das marktgetrieben insbesondere von privaten Unternehmen praktiziert wird, was sich der Staat zunutze macht bzw. machen kann. Es ist notwendig, eine umfassende Überwachungs-Gesamtrechnung durchzuführen und eine normative sowie praktische Einhegung vorzunehmen.

 

1. Kurze Geschichte

2001 wurden Forderungen einer europäischen Polizeiarbeitsgruppe bekannt, die Verbindungsdaten von Festnetz- und Mobil-Telekommunikation (TK) mindestens sieben Jahre lang zu archivieren und sicherheitsbehördlichen "Bedarfsträgern" zugänglich zu machen. Bis dahin war klar, dass derartige Verbindungsdaten frühestmöglich, also i. d. R. nach Ende der Verbindung bzw. spätestens nach erfolgter Abrechnung gelöscht bzw. anonymisiert werden. Zuvor schon war in Deutschland die Forderung nach Vorratsspeicherung von TK-Verbindungsdaten von Polizeibehörden erhoben und vom damaligen Bundesinnenminister Otto Schily bekräftigt worden. Seitdem tobt eine öffentliche Auseinandersetzung unter dem Begriff "Vorratsdatenspeicherung", bei der von Bürgerrechtsseite der Überwachungsstaat, von Sicherheitsbehörden die Kapitulation vor dem Verbrechen an die Wand gemalt wird.

Als Schily erkannte, dass er mit seinen Vorstellungen in Deutschland politisch nicht durchdringen würde, verlegte er sich darauf, über den Umweg der Europäischen Union (EU) die TK-Vorratsdatenspeicherung verpflichtend vorzusehen. Die damit verbundenen Normierungsbestrebungen auf europäischer wie auf nationaler Ebene sind bis heute nicht abgeschlossen. Der Europäische Gerichtshof (EuGH) hatte die verbindlichen Vorgaben auf EU-Ebene am 08.04.2014 für grundrechtswidrig erklärt[1] und dies mit Urteil vom 21.12.2016 bestätigt.[2]

Das aktuelle deutsche Gesetz, das am 18.12.2015 in Kraft trat[3], wird derzeit vor dem Bundesverfassungsgericht (BVerfG) angegriffen. Zuvor hatte das BVerfG mit Urteil vom 02.03.2010 eine frühere nationale Regelung wegen des Verstoßes gegen die Verfassung aufgehoben.[4]

Vorratsdatenspeicherung beschränkt sich nicht auf TK-Verbindungsdaten. Digitale Daten fallen bei immer mehr täglichen Verrichtungen an. Sie werden auch in anderen Zusammenhängen für Zwecke von Sicherheitsbehörden auf Vorrat gespeichert. So urteilte der EuGH am 26.07.2017 über eine Vorratsdatenspeicherung von Flugverkehrsdaten auf Grundlage eines geplanten Abkommens zwischen Kanada und der EU.[5]

2. Mehr als Telekommunikations-Verbindungsdaten

Künftig dürfte aus sicherheitsbehördlicher Sicht die Nutzung von digitalen Zahlungsdaten zunehmend relevant werden. Diese entstehen bspw. im Rahmen von Zahlungsvorgängen über das Internet sowie per Karte oder Smartphone am "Point of Sale" (POS), also an der Ladenkasse. Insofern gibt es noch keine umfassende Pflicht zur Vorratsdatenspeicherung; entsprechende Forderungen werden aber erhoben.[6] Die Pflicht zur ausnahmslosen Aufzeichnung von Online-Zahlungen wurde im Rahmen der 5. Geldwäsche-Richtlinie (5. AMLD)  [7] erst nach Intervention des EU-Parlaments gestrichen. In der bis zum 10.01.2020 umzusetzenden EU-Richtlinie ist vorgesehen, dass anonyme E-Geld-Zahlungen am physischen POS statt bisher bis zu 250 € nur noch bis zu 150 € zulässig sind. Weiterhin besteht die Möglichkeit der Nutzung von anonymem Bargeld. Anonyme Zahlungen im Internet sind nach der 5. AMLD auf maximal 50 € pro Transaktion beschränkt. Angesichts des Umstands, dass die Nutzung von Bargeld immer weiter zurückgedrängt wird und diese teilweise selbst an Ladenkassen nicht mehr angenommen wird, drohen Verhältnisse, bei denen jede finanzielle Transaktion einer konkreten natürlichen Person zugeordnet werden kann. Zugleich werdender Zugriff auf die Finanztransaktionsdaten durch Sicherheitsbehörden erleichtert und technische Schnittstellen zu den Sicherheitsbehörden aufgebaut.

Konsum- und Finanztransaktionen sind hinsichtlich ihrer Aussagekraft über die Persönlichkeit der Betroffenen mit TK-Verkehrs- bzw. TK-Metadaten vergleichbar, auch wenn sie nicht, wie TK-Daten, durch das Telekommunikationsgeheimnis spezifisch verfassungsrechtlich geschützt sind (Art. 7 Grundrechte-Charta – GRCh; Art. 10 GG). Wohl aber kommt den Transaktionsdaten einfachgesetzlich über das Steuergeheimnis sowie über bankenrechtliche Vertraulichkeitszusicherungen ebenso ein verstärkter Schutz zu.

Eine dritte Dimension der Vorratsspeicherung eröffnet sich mit Mobilitätsdaten. Flugdaten, sogenannte Passenger Name Records (PNR), wie sie Grundlage für das Gutachten des EuGH zum Vertrag zwischen Kanada und der EU waren, sind nur die Spitze eines größeren "Datenbergs". Schon über Smartphones mit Lokalisierungsfunktion erfolgt heute, ohne gesetzlichen Zwang – auf einer in der Praxis wenig freiwilligen Basis und völlig intransparent – für die Betroffenen eine räumlich-zeitliche Zuordnung der meisten Mobilfunkgeräte. Mit der zunehmenden Online-Anbindung von Kfz entstehen nicht nur für Netz-, Plattform-, Dienste- und App-Anbieter, sondern auch über die Kfz-Hersteller Mobilitätsdaten, die konkreten Personen zuzuordnen sind. Diese Mobilitätsdaten genießen keinen speziellen verfassungsrechtlichen Schutz. Das Netz schützender einfachgesetzlicher Regelungen ist leider stark durchlässig.

Das Überwachungsnetz zur Mobilität wird, getragen von der technischen Weiterentwicklung, zunehmend enger: Die klassische Jedermann-Kontrolle erfolgte bisher über die Videoüberwachung. Bei deren Einsatz im öffentlichen Raum besteht eine nahezu unbegrenzte Streubreite. Lange Zeit war eine Individualisierung der Bilder schwierig und fehleranfällig. Dies ändert sich mit Fortschritten bei der Bildmuster- und Gesichtserkennung. Liegen digitalisierte Gesichtsbilder vor, auf die z. B. Sicherheitsbehörden schon heute über Personalausweis- und Passregister Zugriff haben,[8] können Personen einem Ort, zu dem sie sich zu einem bestimmten Zeitpunkt aufhielten, präzise zugeordnet werden. Diese Praxis wird in Berlin am Bahnhof Südkreuz erprobt. Eine technisch weniger anspruchsvolle, aber dafür schon vollautomatisierte Form eines solchen Einsatzes von Mustererkennung per Video für Sicherheitszwecke ist das Kfz-Kennzeichen-Scanning, zu dem das BVerfG am 18.12.2018 seine verfassungsrechtlichen Anforderungen konkretisierte.[9]

3. Verfassungsrechtlicher Rahmen

Das Spezifische der TK-Vorratsdatenspeicherung war und ist, dass zu einem für einen ursprünglich konkreten Zweck verarbeitete Daten ausschließlich für sicherheitsbehördliche Zwecke weiter aufbewahrt werden, ohne dass absehbar ist, dass die erfassten Daten zu aus Sicherheitssicht unauffälligen Personen von konkretem Nutzen sein werden.

Verfassungsrechtliche Ansatzpunkte für die Bewertung der Vorratsdatenverarbeitung sind das allgemeine Persönlichkeitsrecht (Art. 2 Abs.1 i. V. m. Art. 1 Abs. 1 GG) bzw. das Grundrecht auf Datenschutz (Art. 8 GRCh) in Verbindung mit weiteren Freiheitsrechten, etwa dem Telekommunikationsgeheimnis (Art. 10 GG, Art. 7 GRCh). Die Schutzwirkung dieser Grundrechte beschränkt sich nicht auf die erstmalige Erhebung von Daten, sondern erstreckt sich auch auf deren weitere Nutzung. Die hoheitliche Eingriffsqualität besteht nicht nur, wenn die Daten direkt von staatlichen Einrichtungen erfasst werden, sondern ebenso, wenn diese die Daten bei Privaten beschaffen, wo sie zuvor erhoben wurden.[10]

Staatliche Eingriffe müssen durch ein Gesetz präzise und bereichsspezifisch erlaubt sein, das legitimen Gemeinwohlinteressen dient und dem Grundsatz der Verhältnismäßigkeit genügt, das also zur Erreichung der Zwecke geeignet, erforderlich und angemessen ist (Art. 52 Abs. 1 GRCh). Dabei ist es nötig, dass die betroffenen Daten sowie die Formen der Datenverarbeitung präzise, d. h. hinreichend bestimmt beschrieben werden. Dies gilt insbesondere, wenn auf der Datenbasis automatisierte Analysen durchgeführt werden. Dann muss gewährleistet sein, dass die angewendeten Modelle und Kriterien spezifisch und zuverlässig sind und eine Identifizierung nur erfolgt, wenn ein begründeter Verdacht vorliegt und dabei keine Diskriminierung erfolgt.[11]

In der Rechtsprechung des BVerfG wurde aus den Freiheitsrechten schon früh ein striktes "Verbot einer Speicherung von Daten auf Vorrat" abgeleitet. Verboten ist die Verarbeitung von Daten zu unbestimmten und noch nicht bestimmbaren Zwecken.[12]

Das BVerfG weist seit dem Volkszählungsurteil darauf hin, dass personenbezogene Datenspeicherung eine abschreckende Wirkung für die Wahrnehmung von Freiheitsrechten haben kann und benennt ausdrücklich die politischen Rechte auf "Teilnahme an einer Versammlung oder einer Bürgerinitiative". Der Mensch muss wissen können, "wer was wann bei welcher Gelegenheit über ihn weiß." Informationelle Selbstbestimmung ist "eine elementare Funktionsbedingung eines auf Handlungs- und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens".[13] Der Bundesgerichtshof nimmt ein Recht auf Anonymität auch in Bezug auf die Wahrnehmung der Informations- und Meinungsfreiheit an.[14]

Zur Freiheitlichkeit des Gemeinwesens gehört es auch, "dass sich die Bürgerinnen und Bürger grundsätzlich fortbewegen können, ohne dabei beliebig staatlich registriert zu werden, hinsichtlich ihrer Rechtschaffenheit Rechenschaft ablegen zu müssen und dem Gefühl eines ständigen Überwachtwerdens ausgesetzt zu sein".[15] Datenverarbeitung darf deshalb nicht "einfach drauflos", zu beliebiger Zeit und an beliebigem Ort "ins Blaue hinein" und "für alle Fälle" erfolgen. Ein "bloßer Betriebsverdacht" genügt nicht.[16] Das BVerfG hat die gesellschaftliche Relevanz des Rechts auf Anonymität mit seiner Feststellung akzentuiert, dass es "zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland" gehört, in der persönlichen Freiheitswahrnehmung nicht total erfasst und registriert zu werden (dazu ausführlich unten 6).[17]

4. Abwägung mit legitimen Zwecken

Als „legitime Zwecke“ für eine sicherheitsbehördliche Datenverarbeitung sind die Effektivierung der Strafverfolgung, die Gefahrenabwehr und die Erfüllung der Aufgaben der Nachrichtendienste anerkannt. Der Staat "hat einen wirksamen Schutz der Grundrechte und Rechtsgüter der Bürgerinnen und Bürger zu sichern." Die Sicherheit des Staates als verfasste Friedens- und Ordnungsmacht und die von ihm – unter Achtung von Würde und Eigenwert des Einzelnen – zu gewährleistende Sicherheit der Bevölkerung (sind) Verfassungswerte, die mit anderen hochwertigen Verfassungsgütern im gleichen Rang stehen.[18]

Bei einer verfassungsrechtlichen Bewertung geht es darum, die Geeignetheit, die Erforderlichkeit und die Angemessenheit der konkreten Datenverarbeitung für die Sicherheitszwecke zu begründen. Bei der rechtlichen Prüfung läuft es dabei zumeist darauf hinaus, die Angemessenheit, also die Verhältnismäßigkeit "im engeren Sinne" festzustellen.

Es kommt dabei darauf an, woran die hoheitliche Datenverarbeitung anknüpft: Ist Anknüpfungspunkt ein zurechenbares, vorwerfbares Verhalten, eine – auch nur abstrakte – Gefährlichkeit oder sonst eine qualifizierte Situation; oder geht es um Alltagshandeln, das im täglichen Miteinander elementar und für die Teilnahme am sozialen Leben in der modernen Welt nicht mehr verzichtbar ist? Schwer ist ein Eingriff, wenn Betroffene, "ohne selbst Anlass dazu gegeben zu haben", dem Risiko von Ermittlungen ausgesetzt werden. [19] Bei einem gefährlichen oder risikobehafteten Tun bzw. zur Beherrschung besonderer Gefahrenquellen sind dagegen anlasslose Kontrollen nicht generell ausgeschlossen. Eine spezifische Eigenschaft der Vorratsdatenverarbeitung ist deren Streubreite.  Es darf dabei keine flächendeckende Totalerfassung, keine "Rund¬um¬überwachung" erfolgen.[21]


1

2

3

Vor