SBS Firmengruppe Logos
Blog Aktuelle Urteile & Neuigkeiten unserer Fachgebiete recherchieren und fassen wir hier zusammen.

| Datenschutzrecht

BVerfG-Urteil: Regelungen zur Bestandsdatenauskunft sind verfassungswidrig


Die Abfrage von Bestandsdaten durch Sicherheitsbehörden stelle derzeit einen unverhältnismäßigen Verstoß gegen das Grundgesetz dar

Die Richter am Bundesverfassungsgericht (BVerfG) in Karlsruhe haben beschlossen, dass die derzeitigen Regelungen zur Abfrage von Bestandsdaten durch Sicherheitsbehörden nicht mit dem Grundgesetz vereinbar seien (Beschluss vom 27. Mai 2020, Az. 1 BvR 1873/13, 1 BvR 2618/13 (Bestandsdatenauskunft II)). Das Recht auf informationelle Selbstbestimmung sowie das Telekommunikationsgeheimnis werden durch die Bestandsdatenabfrage eingeschränkt. Zwar könne die Datenabfrage durch die Sicherheitsbehörden durchaus nötig sein, um Terroranschläge zu verhindern oder Straftaten zu verfolgen – aber derzeit werde sie unverhältnismäßig angewendet. Nun müssen Neuregelungen vorgenommen werden: BKA, Polizei, Zoll (u.a.) sollen die entsprechenden Daten nur dann erhalten dürfen, wenn eine konkrete Gefahr oder ein Verdacht vorliegt.


Was sind überhaupt Bestandsdaten?

Bei Bestandsdaten handelt es sich um personenbezogene Kundendaten von Handy- und Internetnutzern, die bei Vertragsabschlüssen und -durchführungen erhoben werden. Nach §111 des Telekommunikationsgesetzes (TKG) sind das zum Beispiel der Name, das Geburtsdatum, die Anschrift, Telefonnummer oder E-Mail-Adresse. Die sogenannten „Verkehrsdaten“ jedoch, d.h. einzelne Verbindungen oder der Inhalt von Telefonaten, Chats und anderen Kommunikationsvorgängen, gehören nicht zu den Bestandsdaten.


Die derzeitige Rechtsordnung: Wer darf unter welchen Umständen Bestandsdaten abfragen?

Um im Rahmen der Kriminalitätsbekämpfung Verbrechen aufzuklären oder Terroranschläge zu verhindern, dürfen Bestandsdaten von den deutschen Sicherheitsbehörden abgefragt werden: vom Bundeskriminalamt (BKA), der Bundespolizei, Zollbehörden, der Verfassungsschutzbehörde des Bundes und der Länder, dem Militärischen Abschirmdienst sowie dem Bundesnachrichtendienst (BND) – alles Stellen für die „Verfolgung von Straftaten und Ordnungswidrigkeiten“ oder die „Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung“.

Die Abfrage der Daten erfolgt einerseits zentral und automatisiert über die Bundesnetzagentur. Andererseits erfolgt sie als „manuelle Bestandsdatenauskunft“ – also einzeln bei Telefongesellschaften und Providern oder bei Einrichtungen wie beispielsweise Krankenhäusern oder Hotels.


Was ist so kritisch an der Bestandsdatenauskunft?

Die Abfrage der personenbezogenen Daten durch bundesdeutsche Sicherheitsbehörden wird vor allem deswegen mit Sorge gesehen, weil die staatlichen Behörden so auch auf Passwörter und IP-Adressen zugreifen können – und zwar ohne große Hürden. Denn bereits bei der Verfolgung einer Ordnungswidrigkeit oder bei Maßnahmen zur Gefahrenabwehr (ohne eine konkrete Gefahr oder einen spezifischen Verdacht) können die entsprechenden Daten abgefragt werden.

Insbesondere IP-Adressen geben viel Auskunft über die jeweilige Person. Damit kann nämlich nicht nur der Inhaber eines Internetanschlusses genau bestimmt, sondern auch seine individuelle Internetnutzung zu einem bestimmten Zeitpunkt rekonstruiert werden. Auf diese Weise verletzen die derzeitigen Regelungen zur Bestandsdatenauskunft das informationelle Selbstbestimmungsrecht und auch das Telekommunikationsgeheimnis – so die Kritik.


Beschwerden und Beschlüsse zur Bestandsdatenabfrage

Die Bedenken bezüglich der Bestandsdatenabfrage sind nicht neu. 2012 beklagten Datenschützer die damalige Version des TKG. 2013 wurde das Gesetz deswegen verändert. Doch daraufhin wurde abermals eine Beschwerde eingereicht. Nun sollen einige Regelungen wieder neu gefasst werden. Die Beschwerden und Beschlüsse im Detail:

2012/13: Paragraf 113 des TKG wird neu geregelt

Bereits 2012 hatte das BVerfG entschieden, dass das TKG (mit seinem damaligen Stand von 2004) in einigen Punkten den ihm zustehenden rechtlichen Handlungsrahmen überschreiten würde. Daraufhin wurde das entsprechende Gesetz geändert: Seit dem 01. Juli 2013 ist ein neugefasster Paragraf 113 des TKG in Kraft.

Doch Datenschützer bemängelten weiterhin Rechtsunsicherheit und Unklarheit: Die Änderungen seien noch nicht weit genug gegriffen. Polizei und Geheimdienste würden nach den Neuregelungen 2012 sogar noch leichter und in größerem Umfang Daten einsehen können. Die neu beschlossene Richtergenehmigung, die nötig ist, um E-Mail-Passwörter und Handy-PINs zu erhalten, könne häufig einfach umgangen werden.


2013: Piraten-Politiker reichen Beschwerde ein

2013 reichten Patrick Breyer (mittlerweile EU-Abgeordneter) und Katharina Nocun (ehemalige politische Geschäftsführerin der Piratenpartei) eine Sammelverfassungsbeschwerde beim BVerfG in Karlsruhe ein, der sich 6.000 Unterstützer anschlossen. Darin beklagen sie, dass die manuelle Abfrage von Bestandsdaten auf ungerechtfertigte Weise in das Recht auf informationelle Selbstbestimmung (Artikel 2, Absatz 1 i.V.m. Artikel 1, Absatz 1 (GG)) sowie in das Fernmeldegeheimnis (Artikel 10, Absatz 1 (GG)) eingreife.

Breyer sagte dazu: "In einem Klima des politischen Überwachungswahns sind Datenabfragen unter viel zu geringen Voraussetzungen zugelassen worden. Dadurch ist die Gefahr, infolge einer Bestandsdatenabfrage zu Unrecht in das Visier von Ermittlern oder Abmahnkanzleien zu geraten, drastisch angestiegen." Die Forderung lautet: Ja, der Staat soll Zugang zu Kommunikationsdaten haben – aber nur bei schweren Straftaten, nicht schon bei kleinen Ordnungswidrigkeiten; also in einer verhältnismäßigen Abwägung von Kriminalitätsbekämpfung und Privatsphäre der Bürger.


2020: Grundrechtseingriffe sind laut BVerfG unverhältnismäßig

Am 27.05.2020 geben die Richter in Karlsruhe der Sammelbeschwerde von 2013 recht (Beschluss vom 27. Mai 2020, Az. 1 BvR 1873/13, 1 BvR 2618/13 (Bestandsdatenauskunft II)). Sie mahnen den Gesetzgeber zu weiteren Änderungen. Dabei machen sie deutlich: Grundsätzlich sei die Auskunftserteilung über Benutzerdaten zulässig und diese Auskunft sei auch kein besonders schwerwiegender Eingriff in die persönlichen Rechte. Aber: Es gelte auch der Verhältnismäßigkeitsgrundsatz. Bisher sei der nicht hinreichend angewandt worden.

Konkret seien §113 des TKG sowie Vorschriften des BKA-Gesetzes und des Bundespolizeigesetzes bezüglich der Bestandsdatenauskunft verfassungswidrig, da sie zwei Grundrechte von Telefon- und Internetnutzern verletzen würden: das Recht auf informationelle Selbstbestimmung und das Recht auf Wahrung des Telekommunikationsgeheimnisses. Ersteres gewährt den Schutz, dass persönliche Daten nicht einfach preisgegeben und verwendet werden können. Letzteres sichert, dass staatliche Stellen keinen Zugriff auf Daten haben, die per Telefon oder Internet übermittelt werden – weder inhaltlich noch bezüglich der Umstände (also die Zeit oder Häufigkeit eines Telefonats bspw.).

In der Pressemitteilung des Gerichts heißt es in Bezug auf §113, Absatz 1 Satz 1 (TKG): Das manuelle Auskunftsverfahren werde sehr weit geöffnet, dadurch dass „Auskünfte allgemein zum Zweck der Gefahrenabwehr, zur Verfolgung von Straftaten oder Ordnungswidrigkeiten sowie zur Erfüllung nachrichtendienstlicher Aufgaben erlaubt und dabei keine ihre Reichweite näher begrenzenden Eingriffsschwellen [enthalten sind]". Das bedeutet also, dass der Zugriff auf persönliche Daten zu einfach erfolgen kann. Oftmals sei dieser Eingriff in das Persönlichkeitsrecht und die informationelle Selbstbestimmung unverhältnismäßig in Hinblick auf den Zweck, den die Sicherheitsbehörden mit der Datenabfrage verfolgen.


Was soll sich ändern?

Jede manuelle Abfrage müsse begründet werden – und zwar einzeln und konkret; nicht mit der allgemeinen Aussage, die Behörden würden die erfragten Daten brauchen, um ihrer Aufgabe von Strafverfolgung und Gefahrenabwehr nachkommen zu können. Stattdessen müsse eine konkrete (Terror-)Gefahr oder (bei der Strafverfolgung) ein Anfangsverdacht vorliegen, damit die Bestandsdaten in Erfahrung gebracht werden dürfen.

Für die Datenabfragung mittels IP-Adresse gelten noch höhere Anforderungen, da dynamische IP-Adressen noch mehr Rückschlüsse auf eine Person zulassen und dementsprechend eine „erheblich größere Persönlichkeitsrelevanz“ vorliege. Aus diesem Grund müsse ein besonders gewichtiges Rechtsgut beeinträchtigt sein oder eine besonders gewichtige Ordnungswidrigkeit vorliegen bzw. die Verhinderung schwerwiegender Straftaten angestrebt werden, damit eine IP-Adresse an die entsprechenden Behörden herausgegeben werden darf. Welches Rechtsgut und welche Ordnungswidrigkeit als „besonders gewichtig“ die Herausgabe der IP-Adresse legitimieren, müsse zukünftig in einer neuen Regelung festgelegt werden. Allenfalls müsse für jede Abfrage die Entscheidungsgrundlage, d.h. die konkreten Gründe für die Abfrage, dokumentiert werden.

Nocun zeigte sich zufrieden mit diesen geplanten Änderungen. „Das Urteil des Bundesverfassungsgerichts zur #Bestandsdatenauskunft ist auch vor dem Hintergrund der wiederkehrenden Datenmissbrauchsskandale bei Polizei und Geheimdiensten ein Erfolg. Für die Identifizierung von Internetnutzern sollten hohe rechtsstaatliche Hürden gelten.“, schrieb sie auf Twitter.


Geplante Neuregelung bis Ende 2021

Nun müssen die Regelungen zur Bestandsdatenauskunft neu gefasst werden – und zwar so, dass der Abruf der Daten nur dann erfolgen darf, wenn das für die „Abwehr einer konkreten Gefahr“ erforderlich oder „im Einzelfall geboten“ ist. Zumindest ein Anfangsverdacht bei der Verfolgung von Straftaten oder Ordnungswidrigkeiten müsse vorliegen, damit die Sicherheitsbehörden die entsprechenden Daten erhalten dürfen.

Für diese Neuregelung hat der Gesetzgeber bis Ende nächsten Jahres (bis zum 31.12.2021) Zeit. Und bis dahin? Die rund eineinhalb Jahre bis zur Neuregelung dürfen die derzeit bestehenden Vorschriften weiter angewendet werden – jedenfalls unter bestimmten Voraussetzungen und strengen Auflagen für die beteiligten Behörden und Telekommunikationsdienstleister.


SBS Legal – Kanzlei für Datenschutzrecht in Hamburg

Das Anwalts-Team von SBS Legal sorgt dafür, dass Unternehmen (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des geltenden Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren. Mit unserer Erfahrung beraten wir sie kompetent und fachlich versiert in allen Belangen des Datenschutzes – für die erfolgreiche rechtliche Absicherung Ihres Unternehmens: über die allgemeine Prüfung und Umsetzung datenschutzrechtlicher Pflichten, die Gestaltung rechtssicherer Verträge zu Auftragsverarbeitung bis hin zur Erarbeitung einer datenschutzrechtlichen Compliance, um Vorgaben auch aus wirtschaftlicher Sicht abzuwägen.

Wir stehen auch Ihnen gern als Partner zur Seite. Sie brauchen Hilfe im Datenschutzrecht? Kontaktieren Sie uns gern - wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.

Ihr SBS Legal Team

 

Ihre Ansprechpartner für Datenschutzrecht in unserem Hause sind:

Laura Novakovski (Rechtsanwältin & Spezialistin für Datenschutzrecht)

Johanna Klimas (Rechtsanwältin für gewerblichen Rechtsschutz)

 

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?

Der Erstkontakt zu den Anwälten der SBS LEGAL ist immer kostenlos.


SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Zurück zur Blog-Übersicht