entwickler.com

Die Vorratsdatenspeicherung ist tot, es lebe die Vorratsdatenspeicherung! Dieser Standpunkt Sicherheit dreht sich um die Auswirkungen des Urteils des Bundesverfassungsgerichts.

Totgesagte leben länger

Bei aller Freude über das erst mal positive Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung sollte man eines nicht übersehen, was schon im Titel der Presseerklärung des Bundesverfassungsgerichts ganz klar ausgesagt wird: Die "Konkrete Ausgestaltung" der Vorratsdatenspeicherung ist nicht verfassungsgemäß, die Vorratsdatenspeicherung selbst dagegen durchaus. Und um einer Verfassungsbeschwerde gegen die nächste Version des entsprechenden Gesetzes zuvor zu kommen, hat man beim Bundesverfassungsgericht im Urteil gleich eine Gebrauchsanweisung mitgeliefert, wie die Vorratsdatenspeicherung verfassungsgemäß ausgestaltet werden kann. Wer also ein bahnbrechendes Urteil erwartet hat, hat Pech gehabt. Und die Anforderungen des Bundesverfassungsgerichts an eine verfassungsgemäße Vorratsdatenspeicherung lassen ein paar Angriffspunkte offen.

Ich kommentiere hier die entsprechenden Passagen aus der Presseerklärung, da die deutlich kürzer als die entsprechenden Passagen aus dem Urteil sind.

"4. Verhältnismäßigkeit der gesetzlichen Ausgestaltung der Regelung (Maßstäbe)

[...]

Anforderungen an die Datensicherheit:

[...] Erforderlich sind gesetzliche Regelungen, die ein besonders hohes Maß an Sicherheit jedenfalls dem Grunde nach normenklar und verbindlich vorgeben. Dabei steht es dem Gesetzgeber frei, die technische Konkretisierung des vorgegebenen Maßstabs einer Aufsichtsbehörde anzuvertrauen. Der Gesetzgeber hat dabei jedoch sicherzustellen, dass die Entscheidung über Art und Maß der zu treffenden Schutzvorkehrungen nicht letztlich unkontrolliert in den Händen der jeweiligen Telekommunikationsanbieter liegt."

"Dem Grunde nach normenklar und verbindlich" - das liest sich erst mal schlecht. Wir erinnern uns: Es ist verboten, einen Kopierschutz zu umgehen - egal, wie wirkungslos er ist. Allein schon, dass dadurch das Kopieren verhindert werden soll, reicht aus, um das Kopieren zu einer Straftat zu machen. Übertragen auf die gespeicherten Vorratsdaten, wäre dann auch die "Verschlüsselung" mit ROT-13 ein ausreichender Schutz, es muss nur per Gesetz verboten werden, verschlüsselte Daten zu entschlüsseln. Zum Glück geht die Forderung des Bundesverfassungsgerichts deutlich weiter, wie man dem entsprechenden Leitsatz entnehmen kann:

"4. Hinsichtlich der Datensicherheit bedarf es Regelungen, die einen besonders hohen Sicherheitsstandard normenklar und verbindlich vorgeben. Es ist jedenfalls dem Grunde nach gesetzlich sicherzustellen, dass sich dieser an dem Entwicklungsstand der Fachdiskussion orientiert, neue Erkenntnisse und Einsichten fortlaufend aufnimmt und nicht unter dem Vorbehalt einer freien Abwägung mit allgemeinen wirtschaftlichen Gesichtspunkten steht."

Das schließt natürlich nicht aus, dass trotzdem Bockmist gebaut wird, aber die Vorgaben an sich sind auf jedem Fall brauchbar. Was der Gesetzgeber hinterher daraus macht, bleibt abzuwarten.

Aber weiter mit der Presseerklärung:

"Anforderungen an die unmittelbare Datenverwendung:

Angesichts des Gewichts der Datenspeicherung kommt eine Verwendung der Daten nur für überragend wichtige Aufgaben des Rechtsgüterschutzes in Betracht.

Für die Strafverfolgung folgt hieraus, dass ein Abruf der Daten zumindest den durch bestimmte Tatsachen begründeten Verdacht einer auch im Einzelfall schwerwiegenden Straftat voraussetzt. Welche Straftatbestände hiervon umfasst sein sollen, hat der Gesetzgeber abschließend mit der Verpflichtung zur Datenspeicherung festzulegen."

Möchte jemand wetten, dass die Musik- und Filmindustrie Himmel und Hölle in Bewegung setzen wird, um das Kopieren von Musik oder Filmen zu einer schwerwiegenden Straftat zu machen? Und danach wird dann nicht nur der Raubkopierer auf Schadenersatz verklangt, sondern auch seine ganzen Freunde und noch so entfernten Bekannten. Denn der hat bestimmt nur mit jemandem telefoniert, um ihm das geklaute Lied zu übertragen... "Nur verwählt", nach 10 Sekunden aufgelegt - alles faule Ausreden!

"Für die Gefahrenabwehr ergibt sich aus dem Verhältnismäßigkeitsgrundsatz, dass ein Abruf der vorsorglich gespeicherten Telekommunikationsverkehrsdaten nur bei Vorliegen einer durch bestimmte Tatsachen hinreichend belegten, konkreten Gefahr für Leib, Leben oder Freiheit einer Person, für den Bestand oder die Sicherheit des Bundes oder eines Landes oder zur Abwehr einer gemeinen Gefahr zugelassen werden darf. [...]"

Das klingt erst mal gut, aber nach allen bisherigen Erfahrungen mit unseren Poltikern, vor allem denen aus dem Bereich der Innenpolitik, werden die schon einen Weg finden, auch daraus das für die Bürger schlechtmöglichste zu machen. Vor allem unser Innenminister hat schließlich eine Tradition zu wahren.

"Verfassungsrechtlich geboten ist als Ausfluss des Verhältnismäßigkeitsgrundsatzes überdies, zumindest für einen engen Kreis von auf besondere Vertraulichkeit angewiesenen Telekommunikationsverbindungen ein grundsätzliches Übermittlungsverbot vorzusehen. Zu denken ist hier etwa an Verbindungen zu Anschlüssen von Personen, Behörden und Organisationen in sozialen oder kirchlichen Bereichen, die grundsätzlich anonym bleibenden Anrufern ganz oder überwiegend telefonische Beratung in seelischen oder sozialen Notlagen anbieten und die selbst oder deren Mitarbeiter insoweit anderen Verschwiegenheitsverpflichtungen unterliegen."

Das zu kommentieren, fällt mir angesichts der Vorfälle in der katholischen Kirche schwer. Schreit das nicht geradezu nach einer Überwachung? Und wenn ich gegen Überwachung bin, bin ich dann nicht zumindest indirekt für den Kindesmissbrauch durch katholische Geistliche? Ist es nicht entzückend, was für schöne Fettnäpfe einige Politiker aufgestellt haben?

Gut, dass das Meinungsforschungsinstitut Forsa 2008 eine passende Umfrage durchgeführt hat: "Vorratsdatenspeicherung verhindert sensible Gespräche". Und das will ja wohl hoffentlich kein Politiker verantworten, oder? Der Arbeitskreis Vorratsdatenspeicherung liefert Fakten zur Sicherheitsdebatte, u.a. konnte demnach 2007 ein Pfarrer der Telefonseelsorge einen Jugendlichen von einem Amoklauf abhalten. Allein das sollte doch eigentlich Grund genug sein, auf die Speicherung der Daten zu verzichten, oder?

"Anforderungen an die Transparenz der Datenübermittlung:

Der Gesetzgeber muss die diffuse Bedrohlichkeit, die die als solche nicht spürbare Datenspeicherung und verwendung für die Bürger erhalten können, durch wirksame Transparenzregeln auffangen. Hierzu zählt der Grundsatz der Offenheit der Erhebung und Nutzung von personenbezogenen Daten. Eine Verwendung der Daten ohne Wissen des Betroffenen ist verfassungsrechtlich nur dann zulässig, wenn andernfalls der Zweck der Untersuchung, dem der Datenabruf dient, vereitelt wird. Für die Gefahrenabwehr und die Wahrnehmung der Aufgaben der Nachrichtendienste darf der Gesetzgeber dies grundsätzlich annehmen."

Und genau da liegt doch der Hase im Pfeffer: Da man nie wissen kann, ob man nicht zufällig und als völlig Unbeteiligter Kontakt mit einem Verdächtigen hatte und darum selbst auch ausgespäht wird, entsteht die vom Verfassungsgericht erkannte "diffuse Bedrohlichkeit". Das ggf. hinterher zu erfahren, hilft auch nicht weiter.

"[...]

Anforderungen an den Rechtsschutz und an Sanktionen:

Eine Übermittlung und Nutzung der gespeicherten Daten ist grundsätzlich unter Richtervorbehalt zu stellen. Sofern ein Betroffener vor Durchführung der Maßnahme keine Gelegenheit hatte, sich vor den Gerichten gegen die Verwendung seiner Telekommunikationsverkehrsdaten zur Wehr zu setzen, ist ihm eine gerichtliche Kontrolle nachträglich zu eröffnen."

Und was passiert, wenn die Nutzung ungesetzlich war? Werden die gewonnenen Daten dann gelöscht? Dumm nur, dass dann schon etliche Menschen Informationen über soziale Beziehungen usw. usf. haben, die sie ohne Nutzung der Daten nicht hätten. Haben die Polizisten neuerdings einen Resetknopf, oder wie will man diese Daten löschen?

"Eine verhältnismäßige Ausgestaltung setzt weiterhin wirksame Sanktionen bei Rechtsverletzungen voraus. [...]"

Welche Strafe ist dafür angemessen, dass jemand etwas weiss, was er nicht wissen soll? Wer entscheidet über die Größe des Schadens, der sich schließlich in den seltensten Fällen in Geld bemessen lassen wird? Und wenn z.B. durch den Missbrauch von Verbindungsdaten ein Pseudonym aufgedeckt wird, könnte man das als "Mord" an diesem Pseudonym betrachten - wird der Täter dann wie ein Mörder bestraft?

"Anforderungen an die mittelbare Nutzung der Daten zur Identifizierung von IP-Adressen:

Weniger strenge verfassungsrechtliche Maßgaben gelten für eine nur mittelbare Verwendung der vorsorglich gespeicherten Daten in Form von behördlichen Auskunftsansprüchen gegenüber den Diensteanbietern hinsichtlich der Anschlussinhaber bestimmter, bereits bekannter IP Adressen."

Das kann ich teilweise sogar nachvollziehen, aber die Begründung ...

"Von Bedeutung ist hierfür zum einen, dass dabei die Behörden selbst keine Kenntnis der vorsorglich zu speichernden Daten erhalten. Die Behörden rufen im Rahmen solcher Auskunftsansprüche nicht die vorsorglich anlasslos gespeicherten Daten selbst ab, sondern erhalten lediglich personenbezogene Auskünfte über den Inhaber eines bestimmten Anschlusses, der von den Diensteanbietern unter Rückgriff auf diese Daten ermittelt wurde."

... klingt irgendwie nach der Argumentation eines windigen Rechtsverdrehers aus einem billigen Hollywoodfilm, oder? Und wenn das für IP-Adressen gilt, warum dann nicht auch z.B. für angerufene Teilnehmer? Auch da werden nicht die gespeicherten Daten (d.h. die angerufene Telefonnummern) abgerufen, sondern nur die daraus ermittelten Daten.

"Systematische Ausforschungen über einen längeren Zeitraum oder die Erstellung von Persönlichkeits und Bewegungsprofilen lassen sich allein auf Grundlage solcher Auskünfte nicht verwirklichen."

Also ich würde das nicht so entschieden ausschließen. Warum sollte darüber keine systematische Ausforschung möglich sein? Und bei der Verknüpfung mit weiteren Daten z.B. aus Social Networks ließe sich dann u.U. auch ein Profil erstellen.

"Maßgeblich ist zum anderen, dass für solche Auskünfte nur ein von vornherein feststehender kleiner Ausschnitt der Daten verwendet wird, deren Speicherung für sich genommen geringeres Eingriffsgewicht hat und damit unter deutlich geringeren Voraussetzungen angeordnet werden könnte."

Aha. Kann man das auch auf andere Daten übertragen? Dann wird eben nicht nach den gesamten Daten eines Nutzers gefragt, sondern erst nach den Telefonnummern, die er angerufen hat, dann nach dem Tag, an dem er eine bestimmte Telefonnummer angerufen hat, dann nach ...?

"Allerdings hat auch die Begründung von behördlichen Auskunftsansprüchen zur Identifizierung von IP Adressen erhebliches Gewicht. Mit ihr wirkt der Gesetzgeber auf die Kommunikationsbedingungen im Internet ein und begrenzt den Umfang ihrer Anonymität. Auf ihrer Grundlage kann in Verbindung mit der systematischen Speicherung der Internetzugangsdaten hinsichtlich zuvor ermittelter IP Adressen die Identität von Internetnutzern in weitem Umfang ermittelt werden."

Ja was denn nun - sind "Systematische Ausforschungen" nicht möglich, wie oben noch behauptet wurde, oder sind sie es doch?

"Innerhalb des ihm dabei zustehenden Gestaltungsspielraums darf der Gesetzgeber solche Auskünfte auch unabhängig von begrenzenden Straftaten oder Rechtsgüterkatalogen für die Verfolgung von Straftaten, für die Gefahrenabwehr und die Aufgabenwahrnehmung der Nachrichtendienste auf der Grundlage der allgemeinen fachrechtlichen Eingriffsermächtigungen zulassen. Hinsichtlich der Eingriffsschwellen ist allerdings sicherzustellen, dass eine Auskunft nicht ins Blaue hinein eingeholt wird, sondern nur aufgrund eines hinreichenden Anfangsverdachts oder einer konkreten Gefahr auf einzelfallbezogener Tatsachenbasis erfolgen darf. Ein Richtervorbehalt muss für solche Auskünfte nicht vorgesehen werden; die Betreffenden müssen von der Einholung einer solchen Auskunft aber benachrichtigt werden. Auch können solche Auskünfte nicht allgemein und uneingeschränkt zur Verfolgung oder Verhinderung jedweder Ordnungswidrigkeiten zugelassen werden. Die Aufhebung der Anonymität im Internet bedarf zumindest einer Rechtsgutbeeinträchtigung, der von der Rechtsordnung auch sonst ein hervorgehobenes Gewicht beigemessen wird. Dies schließt entsprechende Auskünfte zur Verfolgung oder Verhinderung von Ordnungswidrigkeiten nicht vollständig aus. Es muss sich insoweit aber um auch im Einzelfall besonders gewichtige Ordnungswidrigkeiten handeln, die der Gesetzgeber ausdrücklich benennen muss."

Na, das wird die Musik- und Filmindustrie ja freuen, damit bekommen sie ihre Daten dann ja doch. "Hinreichender Anfangsverdacht" dürfte eine protokollierte IP-Adresse eines Tauschbörsennutzers etc. ja sein. Einige Staatsanwaltschaften haben mit entsprechenden Massenabfragen ja schon schlechte Erfahrungen gemacht. Die werden sich freuen, wenn das dann bald wieder los geht.

Fazit

Insgesamt gesehen ist das Urteil nicht der große Wurf, den ich erwartet hatte. Die Vorratsdatenspeicherung ist prinzipiell mit der Verfassung vereinbar, und das ist schlecht. Aber die Politiker und Polizisten, die jetzt das Ende des Abendlands kommen sehen, sollten erst mal ihre Kollegen in Schweden und Österreich fragen, wie die ohne Vorratsdatenspeicherung auskommen und danach sich selbst, warum sie das nicht auch können. Ganz schlimm hat es übrigens die Polizei in Bayern erwischt, die sich jetzt in die 80er Jahre zurück versetzt sieht, weil sie z.B. keine Handyverbindungsdaten mehr bekommen kann. Das analoge C-Netz gibt es seit 1985 (das passt halbwegs, aber haben da schon "international agierende Einbrecherbanden" Handys genutzt?), das digitale D-Netz hat 1992 den Regelbetrieb aufgenommen, die Vorratsdatenspeicherung wurde 2008 eingeführt. Was sagt man denn dazu - guten Morgen?