Das Bundesverfassungsgericht (BVerfG) erklärt mit seinem Beschluss vom 17.07.2020, dass bestimmte Normen des Telekommunikationsgesetzes (TKG) und mehrerer Fachgesetze nicht verfassungskonform sind (Az: 1 BvR 1873/13, 1 BvR 2618/13). Die manuelle Bestandsdatenauskunft, welche unter anderem im TKG geregelt ist, ermöglicht es Sicherheitsbehörden von Telekommunikationsunternehmen Auskunft über den Anschlussinhaber eines Telefonanschlusses oder einer zu einem bestimmten Zeitpunkt zugewiesenen IP-Adresse zu erlangen. Das BVerfG sah darin einen nicht gerechtfertigten Eingriff in die grundrechtlich geschützte informationelle Selbstbestimmung sowie in das Grundrecht auf Wahrung des Telekommunikationsgeheimnisses.
- Datenschutzrecht
- Informationsfreiheitsrecht
Regelungen zur Bestandsdatenauskunft sind verfassungswidrig
von Carl Christian Müller
Bundesverfassungsgericht entscheidet über Gesetz zur Datenabfrage durch Behörden
Gesetze zur Bestandsdatenabfrage beinhalten zu weite Eingriffsbefugnisse für die Behörden
Auf Grundlage von § 113 des Telekommunikationsgesetzes (TKG) und mehreren Fachgesetze des Bundes können personenbezogene Daten von Kunden der Telekommunikationsanbieter, die im Zusammenhang mit dem Abschluss oder der Durchführung von Verträgen entstehen (sogenannte Bestandsdaten), angefordert werden. Nicht mitgeteilt werden dagegen Daten, die sich auf die Nutzung von Telekommunikationsdiensten (sogenannte Verkehrsdaten) oder den Inhalt von Kommunikationsvorgängen beziehen. Die Erteilung einer Auskunft über Bestandsdaten ist grundsätzlich verfassungsrechtlich zulässig. Der Gesetzgeber muss aber nach dem Bild einer Doppeltür sowohl für die Übermittlung der Bestandsdaten durch die Telekommunikationsanbieter als auch für den Abruf dieser Daten durch die Behörden jeweils verhältnismäßige Rechtsgrundlagen schaffen. Übermittlungs- und Abrufregelungen müssen die Verwendungszwecke der Daten hinreichend begrenzen, indem sie insbesondere tatbestandliche Eingriffsschwellen und einen hinreichend gewichtigen Rechtsgüterschutz vorsehen. Das Bundesverfassungsgericht hat klargestellt, dass die allgemeinen Befugnisse zur Übermittlung und zum Abruf von Bestandsdaten trotz ihres gemäßigten Eingriffsgewichts für die Gefahrenabwehr und die Tätigkeit der Nachrichtendienste grundsätzlich einer im Einzelfall vorliegenden konkreten Gefahr und für die Strafverfolgung eines Anfangsverdachts bedürfen. Findet eine Zuordnung dynamischer IP-Adressen statt, muss diese im Hinblick auf ihr erhöhtes Eingriffsgewicht darüber hinaus auch dem Schutz oder der Bewehrung von Rechtsgütern von zumindest hervorgehobenem Gewicht dienen. Bleiben die Eingriffsschwellen im Bereich der Gefahrenabwehr oder der nachrichtendienstlichen Tätigkeit hinter dem Erfordernis einer konkreten Gefahr zurück, müssen im Gegenzug erhöhte Anforderungen an das Gewicht der zu schützenden Rechtsgüter vorgesehen werden. Die genannten Voraussetzungen wurden von den angegriffenen Vorschriften weitgehend nicht erfüllt. Im Übrigen hat das Verfassungsgericht wiederholend festgestellt, dass eine Auskunft über Zugangsdaten nur dann erteilt werden darf, wenn die gesetzlichen Voraussetzungen für ihre Nutzung gegeben sind.
Auskunftsanspruch umfasst neben Namen und Rufnummer, auch die Anschrift und sogar die Bankverbindung
Das Telekommunikationsgesetz (TKG) berechtigt Anbieter von Telekommunikationsdiensten zur Übermittlung von Bestandsdaten im sogenannten manuellen Auskunftsverfahren. Die weiteren angegriffenen Normen regeln den Abruf dieser Daten durch verschiedene Sicherheitsbehörden des Bundes, wie etwa das Bundeskriminalamt, die Bundespolizei und das Bundesamt für Verfassungsschutz. Alle angegriffenen Regelungen sollten der Umsetzung der Entscheidung des Bundesverfassungsgerichts vom 24. Januar 2012 (Bestandsdatenauskunft I) dienen, mit der § 113 TKG in seiner damaligen Fassung teilweise für verfassungswidrig erklärt und das Fehlen fachrechtlicher Abrufregelungen beanstandet wurde. Die Auskunft nach § 113 TKG erfolgt auf Verlangen einer der dort genannten Sicherheitsbehörden an die Anbieter von Telekommunikationsdiensten. Nach § 113 TKG umfasst die zu erteilende Auskunft neben den gemäß § 111 TKG verpflichtend zu speichernden Bestandsdaten wie etwa Name, Geburtsdatum und Rufnummer eines Anschlussinhabers auch die von den Diensteanbietern nach § 95 TKG freiwillig zu betrieblichen Zwecken gespeicherten Kundendaten. Dazu gehören üblicherweise die Anschrift der Vertragspartner, die Art des kontrahierten Dienstes und weitere Daten wie zum Beispiel die Bankverbindung.
Bestandsdatenabfrage beinhaltet ebenfalls vom Dienstanbieter für den Kunden generierten PIN
Nach § 113 TKG ist eine Auskunft auch über vom Diensteanbieter vergebene Zugangsdaten wie zum Beispiel die Persönliche Identifikationsnummer (PIN) zu erteilen. Von Nutzerinnen und Nutzern selbst vergebene Passwörter werden dagegen von den Diensteanbietern üblicherweise nur verschlüsselt gespeichert. Eine Auskunft kann insoweit nicht erteilt werden. Bestandsdaten dürfen gemäß § 113 TKG auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokolladresse (dynamische IP-Adresse) bestimmt werden. Gegenstand der Auskunft ist die Zuordnung der IP-Adresse zu einem bestimmten Anschlussinhaber und damit selbst ein Bestandsdatum. Dies ist nur möglich, wenn Anbieter zuvor bei ihnen gespeicherte Verkehrsdaten auswerten, um festzustellen, welchem Anschlussinhaber die verwendete IP-Adresse zu dem angefragten Zeitpunkt zugeordnet war.
Bundeskriminalamt, Bundespolizei und Bundesnachrichtendienste sind zur Datenabfrage berechtigt
Gemäß dem Telekommunikationsgesetz (TKG) darf eine Auskunft nur erteilt werden, soweit eine in § 113 TKG genannte Stelle dies zum Zweck der Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Nachrichtendienste unter Angabe einer Abrufregelung verlangt. Die mit den Verfassungsbeschwerden angegriffenen Abrufregelungen des Bundes bestimmen, dass die Sicherheitsbehörden von den Diensteanbietern Auskunft über Bestandsdaten verlangen dürfen. Im Wesentlichen verlangen sie nur, dass die Auskunft zur Erfüllung ihrer jeweils genannten Aufgaben erforderlich sein muss. Für die Auskunft über Zugangsdaten wird vorausgesetzt, dass die gesetzlichen Voraussetzungen für deren Nutzung vorliegen. Weiter sehen die Vorschriften jeweils vor, dass auch die Auskunft von Bestandsdaten, die anhand einer dynamischen IP-Adresse bestimmt werden, verlangt werden darf. Ermächtigt werden das Bundeskriminalamt, die Bundespolizei, das Zollkriminalamt sowie die Nachrichtendienste des Bundes.
Bundesverfassungsgericht stellt fest, TKG dient zwar legitimen Zwecken, ist aber nicht verhältnismäßig
Die angegriffenen Übermittlungsbefugnisse in § 113 TKG genügen in materieller Hinsicht nicht den verfassungsrechtlichen Anforderungen des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz (GG) sowie des durch Art. 10 Abs. 1 GG gewährleisteten Telekommunikationsgeheimnisses. Zwar dienen sie legitimen Zwecken – der Effektivierung der Strafverfolgung und der Gefahrenabwehr sowie der Erfüllung der Aufgaben der Nachrichtendienste. Mit den Anforderungen der Verhältnismäßigkeit im engeren Sinne sind die Übermittlungsregelungen aber nur vereinbar, wenn sie die Verwendungszwecke der einzelnen Befugnisse selbst hinreichend normenklar begrenzen. Die in § 113 TKG eröffnete allgemeine Bestandsdatenauskunft begründet einen Eingriff in das Recht auf informationelle Selbstbestimmung. Dieser ist zwar nicht von sehr großem Gewicht. Trotzdem erweist sich die angegriffene Übermittlungsbefugnis aufgrund ihrer Reichweite als unverhältnismäßig. Auch Auskünfte über Daten, deren Aussagekraft und Verwendungsmöglichkeiten eng begrenzt sind, dürfen nicht ins Blaue hinein zugelassen werden. Dazu bedarf es begrenzender Eingriffsschwellen, die sicherstellen, dass Auskünfte nur bei einem auf tatsächliche Anhaltspunkte gestützten Eingriffsanlass eingeholt werden können. Anlasslose Auskünfte, die allein der allgemeinen Wahrnehmung behördlicher Aufgaben dienen, sind nicht zulässig. Eingriffsschwellen müssen schon in der Übermittlungsregelung selbst – als der im Bild der Doppeltür ersten Tür – geregelt werden. Erforderlich ist bezogen auf die Gefahrenabwehr und die Tätigkeit der Nachrichtendienste grundsätzlich eine im Einzelfall vorliegende konkrete Gefahr. Bezogen auf die Strafverfolgung genügt das Vorliegen eines Anfangsverdachts.
Weitere Fachgesetze zur Bestandsdatenabfrage sind ebenso nicht verhältnismäßig ausgestaltet
Die mit § 113 TKG korrespondierenden Abrufregelungen des Bundeskriminalamtgesetzes, des Bundespolizeigesetzes, des Zollfahndungsdienstgesetzes, des Bundesverfassungsschutzgesetzes, des BND-Gesetzes und des MAD-Gesetzes, die – als zweite Tür – den Abruf der von den Tele-kommunikationsunternehmen erhobenen Daten durch die Sicherheitsbehörden regeln, genügen weitgehend ebenfalls nicht den verfassungsrechtlichen Anforderungen. Da Übermittlung und Abruf personenbezogener Daten je eigenständige Grundrechtseingriffe begründen, müssen auch die einzelnen Abrufregelungen auf einer eigenen gesetzlichen Grundlage beruhen und den Anforderungen der Verhältnismäßigkeit sowie der Normenklarheit und Bestimmtheit genügen. Die Abrufregelungen schaffen zwar jeweils hinreichend bestimmt und normenklar spezifische Ermächtigungsgrundlagen. Sie sind jedoch mit Blick auf ihr Eingriffsgewicht überwiegend nicht verhältnismäßig ausgestaltet. Fast alle Regelungen, die zur allgemeinen Bestandsdatenauskunft ermächtigen, setzen keine den Datenabruf begrenzenden Eingriffsschwellen voraus und enthalten solche auch nicht durch normenklare Verweisungen, sondern erlauben – wie schon die Übermittlungsregelung – den Abruf von Bestandsdaten generell zur Wahrnehmung der behördlichen Aufgaben. Ausnahmen stellen insoweit nur Teilregelungen des Bundespolizeigesetzes und des Bundeskriminalamtgesetzes dar.
Quelle: Pressemitteilung des BVerfG vom 17. Juli 2020