Das Bundesverfassungsgericht hat in seinem Beschluss vom 20.12.2018 (2 BvR 2377/16) entschieden, dass Anbieter von E-Mail-Diensten verpflichtet werden können, IP-Adressen von Kunden zu speichern und an Ermittlungsbehörden zu übermitteln. Dass das Unternehmen vorliegend aufgrund einer möglichst datenschutzkonformen Ausgestaltung seiner Dienste die IP-Adressen gar nicht protokolliert, ändere daran nichts, so die Karlsruher Verfassungshüter.
Der Inhalt im Überblick
Was war passiert?
Der betroffene E-Mail-Provider, der hier den Rechtsweg bis zum Verfassungsgericht beschritten hatte, wirbt mit einem besonders effektiven Schutz der Daten seiner Kunden. Im Sinne der Prinzipien von Datensicherheit und Datensparsamkeit erhebt und speichert der Provider Kundendaten nur dann, wenn es aus technischen Gründen erforderlich oder gesetzlich vorgesehen ist. Die technische Notwendigkeit bzw. eine gesetzliche Pflicht zur Speicherung der Verkehrsdaten inklusive IP-Adressen seiner Nutzer sah er bisher nicht. Aus diesem Grund wollte und konnte der Diensteanbieter auch besagte Daten nicht an die Ermittlungsbehörden herausgeben, als diese im Zuge von Ermittlungen wegen des Verdachts von Verstößen gegen das Betäubungsmittel- und Kriegswaffenkontrollgesetz auf Daten eines bestimmten E-Mail-Accounts zugreifen wollten.
Das Amtsgericht Stuttgart verhängte daraufhin ein Ordnungsgeld von 500 Euro, ersatzweise 7 Tage Ordnungshaft, was vom Landgericht Stuttgart bestätigt wurde. Daraufhin wurde Verfassungsbeschwerde erhoben. Diese wurde durch den hier diskutierten Beschluss nicht zur Entscheidung angenommen. Ermittlungsbehörden dürfen demnach also im Bedarfsfall die Speicherung und Herausgabe der Verkehrsdaten bestimmter E-Mail-Nutzer verlangen, obwohl die Daten aus Datenschutzerwägungen gar nicht geloggt werden.
Warum dürfen die das?
An dieser Stelle fragen sich vielleicht einige Leser, warum dürfen die das? Drängt sich doch automatisch das Gefühl auf, dass auf der einen Seite eine datenschutzkonforme Ausgestaltung von Telekommunikationsdiensten gewollt ist, vorbildlich handelnde datenverarbeitende Stellen wie im vorliegenden Fall aber genau dafür auch bestraft werden können.
Aber wie so vieles hat auch der Datenschutz bekanntlich seine Grenzen.
Und im vorliegenden Fall sind die Grenzen laut des Bundesverfassungsgerichts im
„…Erfordernis einer funktionstüchtigen Strafrechtspflege…“
zu sehen.
Der Beschwerdeführer beruft sich hier auf seine grundrechtlich geschützte Berufsfreiheit und darauf, dass die seitens der Ermittlungsbehörden gewünschten Daten bei ihm gar nicht vorlägen. Dazu führte er aus, dass durch die Nutzung eines sogenannten NAT-Verfahrens (Network Address Translation) die Adressinformationen in Datenpaketen automatisiert durch andere ersetzt würden und dadurch das interne Netz des Providers klar vom Internet abgetrennt sei. Die IP-Adressen der Kunden würden daher bereits an den Außengrenzen des Systems verworfen und seien dem Zugriff des Beschwerdeführers entzogen.
Das Bundesverfassungsgericht auf der anderen Seite sieht den vorhandenen Eingriff in die Berufsfreiheit als gerechtfertigt an. Gestützt wird sich hierbei auf die gesetzlichen Vorschriften aus der Strafprozessordnung (§ 100a StPO), dem Telekommunikationsgesetz (§§ 3 Nr. 30, 96 Abs. 1 Nr. 1 TKG) sowie der Telekommunikationsüberwachungsverordnung (§ 7 TKÜV).
Laut der genannten Vorschriften seien Telekommunikationsanbieter ab dem Zeitpunkt der Betriebsaufnahme verpflichtet, auf eigene Kosten durch geeignete technische Einrichtungen, die Möglichkeit vorzuhalten Kommunikationsdaten zu erheben und eine bedarfsweise Übermittlung an Behörden sicherzustellen. Unter die fraglichen Daten würden auch IP-Adressen fallen.
Die Karlsruher Richterinnen und Richter gingen zudem davon aus, dass die begehrten Daten beim Provider auch vorhanden bzw. zumindest zeitweise bekannt seien, da
„…der Beschwerdeführer die öffentlichen IP-Adressen seiner Kunden wenigstens für die Dauer der Kommunikation speichern muss, da er ansonsten die abgerufenen Datenpakete seinen Kunden gar nicht übersenden könnte.“
Und wo bleibt der Datenschutz?
Das Verfassungsgericht begründet das Vorhandensein der Verkehrsdaten beim Provider u.a. auch damit, dass dieser zwar nicht auf die Daten zugreifen kann, dies aber nur der Tatsache geschuldet sei, dass der Provider sich aus Datenschutzgründen zu einem Geschäftsmodell entschlossen habe, welches auf eine umfassende Protokollierung von Verkehrsdaten verzichtet.
Das liest sich zunächst einmal so als wäre das so oft beschworene neue Bewusstsein für den Datenschutz noch nicht bis Karlsruhe durchgedrungen. Ganz so schlimm ist es bei genauerem Hinsehen dann aber doch nicht. Die 3. Kammer des Zweiten Senats hat hier die Entscheidung zu einem datenschutzkonformen Geschäftsmodell ausdrücklich als schützenswert betrachtet. Das oben bereits erwähnte Erfordernis einer funktionstüchtigen Strafrechtspflege wog vorliegend nach Ansicht der Richter jedoch schwerer.
Sind datenschutzfreundliche Geschäftsmodelle jetzt in Gefahr?
Nein sind sie nicht! Die Entscheidung des Senats ist vollkommen nachvollziehbar. Die bewusste Entscheidung zu einem solchen Geschäftsmodell ist sehr begrüßenswert und muss honoriert werden. Sie kann jedoch nicht der gesellschaftlich ebenso wünschenswerten effektiven Strafverfolgung im Wege stehen.
Letzten Endes bedeutet die Entscheidung auch nicht, dass Verkehrsdaten wie IP-Adressen permanent geloggt oder übermittelt werden müssen, sondern dies zumindest auf behördliche Anforderung möglich sein muss. Unternehmen im Allgemeinen und E-Mail-Provider im Speziellen dürfen sich also weiterhin dem Datenschutz verpflichtet fühlen.
Was heißt das jetzt für den Provider genau? Darf er dem Geschäftsmodell treu bleiben und ist erst verpflichtet, ab dem Zeitpunkt der staatlichen Aufforderung das Loggen zu aktivieren und diese entsprechend herauszugeben? Oder muss er die Daten doch entgegen der DSGVO loggen und auf Anfrage herausgeben?
Geht für mich nicht eindeutig aus dem Beitrag hervor.
Der Provider ist nicht verpflichtet ab jetzt permanent die Verkehrsdaten zu loggen. Erst aufgrund einer richterlichen Anordnung zur Telekommunikations-Überwachung eines bestimmten oder mehrerer Accounts muss der Provider die Daten dieser Accounts loggen.
Der in diesem Fall betroffene Provider Posteo hat sich in der Zwischenzeit auch zum Beschluss geäußert. Die Stellungnahme finden Sie hier. Auch aus der Stellungnahme geht ausdrücklich hervor, dass der Provider in Zukunft nicht die Daten unbescholtener Bürger loggen wird.
Provider mit einem Geschäftsmodell wie Posteo werden jedoch in Zukunft vor das Problem gestellt sein technische Vorkehrungen vorzuhalten, die ein Loggen auf Anforderung möglich machen. Und genau diese Vorkehrungen sind von Posteo und vergleichbaren Providern ja gerade nicht gewollt, da sie nach deren Ansicht die Datensicherheit ihrer Nutzer einschränken könnten. Die Tatsache, dass Provider, die verstärkt auf Datenschutz setzen, in Einzelfällen gezwungen werden können dieses datenschutzfreundliche Geschäftsmodell einzuschränken, ruft an dem Beschluss eben auch (in Teilen berechtigte) Kritik hervor, die hier ein Einfallstor für übermäßige Überwachung sieht.
Danke für die Antwort, aber dann verstehe ich die ganze Aufregung nicht, wenn ich ehrlich bin.
Solange der Provider seinen Kunden transparent darstellt, dass seine Daten nicht gelogged werden, obwohl man aus rechtlich vorgeschriebenen Gründen dazu verpflichtet ist, die Möglichkeit dazu systemseitig verfügbar zu haben, fühle ich persönlich mich nicht im Schutz meiner Person oder Daten gefährdet.
Ich mein, jetzt mal ehrlich, auch wenn die Einstellung des Provider absolut lobenswert ist, aber jeder gesunde Menschenverstand muss doch einsehen, dass im Falle einer begründeten Strafverfolgung trotzdem darauf zugegriffen werden muss. Setzt sich der Provider letztendlich mit seiner Ansicht durch und wir haben damit einen Präzedenzfall, wäre das ein unzumutbarer Rückschlag für die staatliche Strafverfolgung. Wenn man sich das weiter fiktiv ausmalt, kann sowas sogar dazu führen, dass Kriminalität neue Netzwerke schafft, die rechtlich nicht zurückverfolgt werden kann/darf.
Kurz und knapp: Solange der Provider die Daten nicht erhebt, ist doch für mich als Kunden/Privatperson alles gut. Wird er gesetzlich begründet dazu aufgefordert zu einem bestimmten Postfach Daten zu loggen und zu übermitteln, wird das schon einen Grund haben.
Die Formulierung nach § 7 (1) Satz 1 TKÜV “ (…) bei ihm vorhandenen Daten bereitzustellen (…)“ ist somit nun so zu lesen, dass die Verkehrsdaten (in diesem Fall die IP des Nutzers) zu protokollieren sind. Obwohl sie für die Erbringung des Dienstes im technischen und aus Datenschutzsicht nur kurzfristig erforderlich (nur volatil vorhanden) wären.
Das Ausmaß und die Grenzen die das Urteil des BVerfG nach sich ziehen könnte, wäre in der Tat interessant. Daher kann ich mich obigen Kommentar nur anschließen.