Bestandsdatenabfragen, Vorratsdatenspeicherung und die Verknüpfung

4. die Erforschung des Sachverhalts oder die Ermittlung des Aufent-haltsortes eines Mitbeschuldigten auf andere Weise unverhältnis-mäßig erschwert oder aussichtslos wäre, und

5. durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird.

(2) Die Anordnung darf sich nur gegen den Beschuldigten oder gegen Per-sonen richten, von denen auf Grund bestimmter Tatsachen anzunehmen ist, dass sie für den Beschuldigten bestimmte oder von ihm herrüh-rende Mitteilungen entgegennehmen oder weitergeben oder dass der Beschuldigte überwiegend ihren Anschluss benutzt.

(3) §§ 100c Absatz 4 bis 7, 100d und 100e finden entsprechende Anwen-dung.

(4) Für Maßnahmen nach Absatz 1 dürfen nur vom Bundesamt für Si-cherheit in der Informationstechnik im Hinblick auf Absatz 1 Nr. 5 zertifizierte technische Mittel eingesetzt werden.

Ob eine solche Änderung der StPO auch rechtspolitisch geboten ist, zeigt sich dabei bis-lang nicht in der gebotenen Deutlichkeit: schließlich gibt es effektive, mildere Alternativen zu einer solchen Quellen-Telekommunikationsüberwachung – sei es die Inpflichtnahme der Softwareanbieter, sei es die Überwindung von Verschlüsselungsmechanismen (s.

hierzu Becker & Meinicke, 2011, S. 52), sei es eine akustische Wohnraumüberwachung, bei der auch das in Telefongesprächen gesprochene Wort mitgehört werden kann.

7.5.3. Bestandsdatenabfragen, Vorratsdatenspeicherung und die Verknüpfung

wann eine solche stattgefunden hat und wer an ihr beteiligt war, etwa durch Angabe der Empfänger- und Absenderadressen, einschließlich der IP-Adressen (vgl. hierzu der für nichtig erklärte § 113a Abs. 2 ff. TKG).

• Inhaltsdatenschließlich sind die durch die Telekommunikation übermittelten Daten;

diesbezüglich ist auf die soeben diskutierte Inhaltsüberwachung zu verweisen.

Auskunftserteilung durch Telemedienanbieter

Telemedienanbieter – also etwa Betreiber einer Webseite – dürfen auf ersten Zuruf von Strafverfolgungsbehörden Auskunft über bei ihnen vorliegende Bestands- und manche Nutzungsdaten erteilen (§§ 14 Abs. 2, 15 Abs. 5 S. 4 TMG); also etwa Auskunft darüber geben, wann von einer bestimmten IP-Adresse auf eine Webseite zugegriffen oder unter welchen Angaben ein Konto bei einer Auktionswebseite eröffnet wurde. Allerdings sind diese Anbieter nicht zu einer derart weit reichenden Mitwirkung verpflichtet – gezwungen können sie nur werden durch ein entsprechendes Herausgabe- oder Auskunftsverlangen nach den §§ 94 ff. StPO. Die Gegenauffassung in der Literatur verlangt hingegen stets eine Anordnung gemäß §§ 94 ff. StPO, bisweilen sogar nach §§ 100a, 100b, 100g StPO (M. Gercke & Brunst, 2009, Rdn. 642, 712 f. m.w.N.). Dies kann aber nicht überzeugen, da es bei Zugriffen nach all diesen Regelungen einer datenschutzrechtlichen Spezialrege-lung im TMG nicht bedurft hätte. Daher reicht eine auf die ErmittSpezialrege-lungsgeneralklausel (§§ 161 Abs. 1, 163 Abs. 1 StPO) gestützte Anfrage aus. Da bei Telemedienanbietern nur punktuelle Daten anfallen und §§ 14 Abs. 2, 15 Abs. 5 TMG den Zugriff auf be-stimmte Datenkategorien beschränkt, ist dies auch aus verfassungsrechtlicher Sicht eine ausreichende Eingriffsgrundlage.

Auskunftserteilung durch Telekommunikationsanbieter

Gänzlich anders ist aber die Situation bei den Telekommunikationsanbietern, also den Nachrichtenmittlern: Aufgrund der weitaus umfassenderen Zugriffsmöglichkeiten und der daraus resultierenden Gefährdungslage unterliegt der Zugriff und die Nutzung von Verbindungsdaten einer weitaus kritischeren Überprüfung. Eine isolierte Anfrage von Bestandsdaten – also etwa: Ist Person X Kunde bei Ihnen, und falls ja, mit welcher Adresse ist er bei Ihnen registriert? – hingegen ist gleichermaßen unproblematisch.

Verwendungsmöglichkeiten für Verbindungsdaten Verbindungsdaten gelangen in zwei voneinander zu trennenden Weisen an Bedeutung:

• Erstens zur Zuordnung, welcher Kunde an einem bestimmten Telekommunikati-onsvorgang beteiligt war, also die Zuordnung einer IP-Adresse zu einem Kunden, dessen Namen und dessen Anschrift. Zur Beantwortung dieser Frage muss der Te-lekommunikationsanbieter zwar auf Verbindungsdaten zurückgreifen, die Antwort

an die Strafverfolgungsbehörden beschränkt sich sodann aber in der Preisgabe von Bestandsdaten.

• Zweitens zur Auswertung von Kommunikationsstrukturen – mit wem hatte ein Verdächtiger Kontakt? Hierfür benötigen die Strafverfolgungsbehörden einen de-taillierteren Zugriff auf die Verbindungsdaten.

Hoch umstritten war bei der ersten Konstellation die Frage, ob die Anfrage, welchem Kunden eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war, sich auf Be-stands- oder auf Verkehrsdaten bezieht (vgl. die Nachweise bei M. Gercke & Brunst, 2009, Rdn. 663). Nur bei ersterem wäre ein Zugriff gemäß § 113 TKG »auf Zuruf« möglich, letzteres erforderte einen Rückgriff auf die weitaus striktere Ermächtigungsgrundlage des § 100g StPO (vgl. M. Gercke & Brunst, 2009, Rdn. 666 ff.). Zwischenzeitlich war dieser Streit durch eine gesetzliche Fiktion in § 113b S. 1 Hs. 2 TKG dahingehend gelöst, dass bloß eine Bestandsdatenabfrage gemäß § 113 TKG vorliege (vgl. BVerfGE 125, 260, 340 ff.). Das Bundesverfassungsgericht hat dieses Vorgehen grundsätzlich gestattet:

Eine solche mittelbare Nutzung von Verkehrsdaten sei grundsätzlich zulässig. Aufgrund von Mängeln in Randbereichen erklärte es § 113b S. 1 Hs. 2 TKG dennoch für nichtig.

Bis auf weiteres fehlt daher derzeit eine hinreichende Eingriffsgrundlage auch für eine mittelbare Nutzung von Verkehrsdaten. Bis zu einer Neuregelung ist aber ein Zugriffs auf solche Daten jedenfalls unter den (engeren) Voraussetzungen des § 100g StPO zu dulden; die Praxis scheint aber auch auf die Ermittlungsgeneralklausel zurückzugreifen (vgl. nur HansOLG Hamburg K&R 2011, 54, 55 in einer zivilrechtlichen Entscheidung).

Speicherung von Verbindungsdaten auf Vorrat Auch eine nur mittelbare Nutzung von Verbindungsdaten erfordert es aber, dass diese noch vorliegen und daher ausgewertet werden können. Dies ist aber nicht selbstverständlich: Nach dem Ende einer Verbindung muss die IP-Adresse und die Zuordnung zu einem Kunden nur dann weiterhin gespeichert werden, wenn dies zur Störungsbeseitigung und zu Abrechnungszwecken erforderlich ist. Aus diesem Grunde wurde mit Wirkung zum 1.1.2008 eine sechsmonatige Mindest-speicherfrist angeordnet; diese Verbindungsdaten sollten also verdachtsunabhängig und anlasslos für sechs Monate auf Vorrat gespeichert werden (Vorratsdatenspeicherung von Verbindungsdaten; vgl. den für nichtig erklärten § 113a Abs. 4 TKG).

Diese Vorratsdatenspeicherung sah zusätzlich die Verpflichtung vor, auch noch weitere Daten vorzuhalten, die für die oben geschilderte Zuordnung von bekannten IP-Adressen zu einem konkreten Kunden völlig ohne Belang sind: So war auch zu speichern, wer wann wem eine E-Mail verschickt und wer wann von welcher IP-Adresse aus auf sein E-Mail-Postfach zugreift, und so waren entsprechende Daten auch für sämtliche Telefongespräche – einschließlich Internet-Telefonie – vorzuhalten (§ 113a Abs. 2 und 3 TKG, ebenfalls

nichtig).

Vordergründiger Anlass für diese Speicherregelungen im TKG war eine 2006 beschlosse-ne Richtlinie der Europäischen Union (AblEU 2006 L 105 vom 13.4.2006, S. 54), die auf höchst zweifelhafter – aber vom Europäischen Gerichtshof akzeptierter – Rechtsgrund-lage erlassen wurde (EuGH NJW 2009, 1801 m. Anm. u. Bespr. Ambos, 2009; Braum, 2009; Petri, 2009; Simitis, 2009). Mehrere Mitgliedstaaten weigern sich bis heute, diese Richtlinie in nationales Recht umzusetzen; zudem ist in den nächsten Monaten mit einer umfassenden Änderung und Entschärfung dieser Richtlinie zu rechnen.

Das Bundesverfassungsgericht erklärte allerdings die Speicherverpflichtung und die Zu-griffsbefugnisse in einem vielbeachteten Urteil vom 2.3.2010 für nichtig (BVerfGE 125, 260 m. Anm. u. Bespr. Hornung & Schnabel, 2010; Ohler, 2010; Schramm & Wege-ner, 2011), verbot aber eine sechsmonatige Mindestspeicherfrist nicht grundsätzlich. Zu einem neuen Versuch des Gesetzgebers, eine Vorratsdatenspeicherung nunmehr verfas-sungskonform einzuführen, kam es bislang nicht; allerdings wurden bereits verschiedene Entwürfe und Eckpunkte vorgestellt. Für die Praxis bedeutet dies, dass derzeit höchstens binnen weniger Tage – maximal sieben Tage – eine Zuordnung von IP-Adressen und Kunden vorgenommen werden kann: Telekommunikationsdienstleister halten die Daten längstens für diesen Zeitraum zur Störungsanalyse vor, manche Anbieter sogar für noch kürzere Zeiträume oder überhaupt nicht. Zwar scheint Deutschland gegen die europäische Rechtslage zu verstoßen, da es die Richtlinie nicht (mehr) umgesetzt hat. Diesem Verstoß kommt allerdings nur geringes Gewicht zuteil, da erstens die Grundrechtskonformität der Richtlinie noch nicht festgestellt ist und zweitens ohnehin eine Änderung der Richtlinie angekündigt ist. Wenn sich aber die europäischen Vorgaben ohnehin in Kürze ändern werden, so ist auch ein sofortiges Handeln des deutschen Gesetzgebers europarechtlich nicht erforderlich.

Bestandsdatenabfrage

Es fällt nicht schwer vorherzusagen, dass es schon bald zu einer Neuregelung einer Be-standsdatenabfrage kommen wird, also einer Abfrage, welchem Kunden eine bekannte IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war. Eine solche Zuordnung entspricht auch einem gewissen, gelegentlich aber auch überschätzten Bedürfnis bei der Verfolgung von Cyberkriminalität: So ist die Bestandsdatenabfrage oftmals nur ein Ermittlungsansatz neben anderen. Bei sämtlichen vermögensrelevanten Vorgängen – vom Verkauf von kinderpornographischen Schriften bis hin zum Phishing – kommt als Alternative etwa die Nachverfolgung von Finanztransaktionen in Betracht. Aufgrund dieser alternativen Ermittlungsansätze und der von einigen Telekommunikationsanbietern vorgenommenen Speicherung von Verbindungsdaten für sieben Tage konnte Internetkri-minalität auch nach dem Urteil des Bundesverfassungsgerichts noch immer recht effektiv verfolgt werden.

Verfassungsrechtlich ist für eine solche Bestandsdatenabfrage lediglich zu beachten, dass eine »Auskunft nicht ins Blaue hinein eingeholt« werden kann und der Betroffene von

dieser Auskunftserteilung zu informieren ist (BVerfGE 125, 260, 343). Eine Speicherung der Zuordnung von IP-Adressen und Kunden wurde vom Bundesverfassungsgericht zwar für bis zu sechs Monate als verfassungskonform erachtet. Es ist aber nicht zwin-gend und auch nicht geboten, sämtliche verfassungsrechtlich zulässigen Eingriffe in die Freiheitsgrundrechte auch tatsächlich vorzunehmen. Von daher dürfte sich die rechtspoli-tische Diskussion diesbezüglich darauf konzentrieren, wie lange diese Daten auf Vorrat vorzuhalten sind. Auch diesbezüglich lässt sich leicht vorhersagen, dass sich die Maxi-malpositionen – 7 Tage bzw. 6 Monate – wohl nur schwer durchsetzen werden und ein Kompromiss innerhalb dieses Bereiches zu finden sein wird. Ob diese Vorratsdaten auch für den zivilrechtlichen Auskunftsanspruch nach § 101a UrhG geöffnet werden, erscheint angesichts politischer Forderungen nicht ausgeschlossen, im Lichte der Rechtsprechung des BVerfG aber bedenklich (vgl. BVerfGE 125, 260, 271).

Bei alledem ist auch zu berücksichtigen, dass das praktische Bedürfnis nach einer solchen Bestandsdatenabfrage in Zukunft sinken könnte: Das schon bald größere Verwendung findende Internetprotokoll IPv6 ist zumindest bislang von den Telekommunikationsanbie-tern, Hardware- und Softwareherstellern teilweise in einer Art und Weise implementiert, die eine eindeutige und konstante Zuordnung eines Gerätes zu einer IP-Adresse ermögli-chen. Die Gefahren, die mit einer solchen Deanonymisierung einhergehen werden – und damit seien vor allem Gefahren von privater Seite angesprochen – können nur schwer abgeschätzt werden.

Vorratsdatenabfrage

Weitaus schwieriger zu beurteilen ist die Frage, ob Verbindungsdaten auch zu einer um-fassenden Auswertung der Kommunikationsstrukturen vorzuhalten sind – der eigentliche Kernbereich der Vorratsdatenabfrage. Dabei handelt es sich nicht um ein spezifisches Problem der Verfolgung von Cyberkriminalität, sondern – über die Erfassung sämtlicher Telefongespräche – auch aller sonstigen Kriminalitätsformen.

Eine solche Vorratsdatenspeicherung und Vorratsdatenabfrage ist mit einem weitaus höheren Grundrechtseingriff verbunden und unterliegt daher weitaus strengeren verfas-sungsrechtlichen Anforderungen (s. BVerfGE 125, 260, 325 ff.) Diesbezüglich spricht daher viel für eine weitaus größere Zurückhaltung, als sie § 113a Abs. 1 bis Abs. 3 TKG wahrte. Als Alternative wird diesbezüglich ein »Quick Freeze« diskutiert:

Jedenfalls kurzfristig halten einige Telekommunikationsdienstleister manche dieser Ver-bindungsdaten ohnehin zur Störungsanalyse und ggf. zu Abrechnungszwecken vor. Diese könnten auf ersten Zuruf der Polizei oder der Staatsanwaltschaft vorläufig gesichert werden; ein Zugriff würde sodann dem Richtervorbehalt des § 100g StPO unterliegen.

Wie auch bei der Bestandsdatenabfrage erscheint es unwahrscheinlich, dass sich eine solche Maximalforderung, die nur an ohnehin bei Telekommunikationsdienstleistern vor-handene Daten anknüpft, auch europäisch durchsetzen lässt. Eine Speicherverpflichtung

könnte aber bei einem »Quick Freeze«-Verfahren deutlich kürzer als 6 Monate ausfallen und daher etwa in gleicher Größenordnung vorgesehen werden wie bei dem Vorschlag für eine Bestandsdatenabfrage (7 Tage). Schließlich sei angeregt, die unterschiedlichen Verbindungsdaten auch unterschiedlich zu handhaben, und etwa auf manche Datentypen betreffend der elektronischen Post zu verzichten.

Rasterfahndung oder die täterbezogene Verknüpfung von Datenbeständen Die Verknüpfung verschiedener Ermittlungsergebnisse ist das tägliche Brot der Ermitt-lungsbehörden. Soweit hierzutatbezogeneMerkmale herangezogen werden – etwa: wer fährt ein Kraftfahrzeug eines bestimmten am Tatort beobachteten Typs? – ist dies auch datenschutzrechtlich weitaus weniger kritisch zu beäugen als eine Analyse oder eindata mining täterbezogenerMerkmale – etwa: wer hat ein Maschinenbaustudium begonnen und wer ist in seinem Leben bereits nach Afghanistan gereist –, wie sie bei einer Raster-fahndung (§ 98a StPO) vorgenommen wird: Dabei sind falsch-positive Resultate häufig anzutreffen und es wird gerade die Erstellung eines umfassenden Persönlichkeitspro-fils bezweckt (s. hierzu Brodowski, 2010a, S. 548). Allerdings kann – entgegen dem Bundesverfassungsgericht (BVerfG JR 2010, 543) – nicht entscheidend sein, dass bei einer Rasterfahndung Daten mehrerer Speicherstellen zusammengeführt werden müssen.

Vielmehr kommt es auf das konkrete Gefahrenpotential einer Datenabfrage und darauf an, ob ein solches ermittlungsrelevantes Persönlichkeitsprofil erstellt werden soll oder ob lediglich eine tatbezogene Abfrage von Daten erfolgt: So liegen bereits bei einem einzelnen Internet-Großunternehmen unter Umständen derart umfangreiche und diverse Datenbestände über eine Person, so dass sich aus diesen Daten einer Speicherstelle ein umfangreiches Persönlichkeitsprofil erstellen ließe (Brodowski, 2010a, S. 548).

Eine Rasterfahndung darf sodann nur nach Wahrung eines präventiven Richtervorbehalts – eine Notkompetenz verbleibt bei der Staatsanwaltschaft – und bei bestimmten, in § 98 Abs. 1 StPO näher umrissenen Straftaten von erheblicher Bedeutung angeordnet werden.