Mehr Opferschutz durch Vorratsdatenspeicherung
Zur Einführung einer Mindestspeicherfrist für IP-Adressen nach dem Plenarurteil des EuGH vom 30. April 2024 (C-470/21)
„Goodbye Vorratsdatenspeicherung“, rief die frühere Bundesjustizministerin Sabine Leutheusser-Schnarrenberger in diesem Forum, nachdem der Europäische Gerichtshof (EuGH) in seinem Urteil von 2020 trotz vehementer Kritik der Mitgliedstaaten an seiner restriktiven Rechtsprechung zur Speicherung und Weitergabe von Telekommunikationsverkehrsdaten für Zwecke der nationalen Sicherheit festgehalten hatte. Doch das jüngste Urteil des EuGH zeigt, dass sich solch apodiktische Aussagen in der Rechtspolitik nicht treffen lassen. Das Maß der Bedrohung bestimmt die Verhältnismäßigkeit der Mittel – beides unterliegt dem fortwährenden Wandel der Zeit.
Das EuGH-Urteil vom 30. April 2024
Mit seinem in voller Plenarbesetzung ergangenen Urteil hat der EuGH seine Anforderungen an eine „allgemeine und unterschiedslose Vorratsdatenspeicherung“ von IP-Adressen fortentwickelt: Nicht nur für „Ziele der Bekämpfung schwerer Kriminalität und der Verhütung schwerer Bedrohungen der öffentlichen Sicherheit“ darf eine gesetzliche Speicherpflicht vorgesehen werden (Rn. 77 und 95), sondern unter bestimmten Anforderungen auch zur „Bekämpfung von Straftaten im Allgemeinen“ (Rn. 92 und 103). Denn ohne Zugang zu IP-Adressen bestehe „eine echte Gefahr der systemischen Straflosigkeit nicht nur von Straftaten in Form der Verletzung der Urheberrechte oder verwandter Schutzrechte, sondern auch von anderen Arten von Straftaten, die online begangen werden oder deren Begehung oder Vorbereitung durch die Merkmale des Internets erleichtert wird“ (Rn. 119). All jenen, die beim Wort „Vorratsdatenspeicherung“ – meines Erachtens eine irreführende Begriffsbildung1) – reflexartig den Orwell´schen Überwachungsstaat heraufbeschwören, hält der EuGH entgegen, dass die Speicherung von IP-Adressen eben „keinen schweren Eingriff in das Privatleben ihrer Inhaber“ darstellt, „da diese Daten es nicht erlaubten, genaue Schlüsse auf ihr Privatleben zu ziehen“ (Rn. 103).
Die Grundrechtscharta ist kein „Superpolizeigesetz“
Wenn die Gegner einer solchen Speicherpflicht das Urteil nun dennoch als „Unglück“, „enttäuschend“ und „traurige Wende beim Schutz der Privatsphäre“ beklagen, verkennen sie, dass Veränderungen richterlicher Vorgaben in der zugrundeliegenden Verhältnismäßigkeitsdogmatik nicht nur von vornherein angelegt, sondern bei geänderter Sicherheitslage sogar zwingend geboten sein können. Überraschen konnte das Urteil nur diejenigen, die meinen, aus der Abwägung von Grundrechten ließen sich absolute Maßstäbe von allgemeiner Gültigkeit herleiten, die der EuGH zur Speicherung von Verkehrsdaten mit seinem Grundsatzurteil von 2014 ein für allemal in die Grundrechtscharta der Union inkorporiert hätte. Im Wege richterlicher Rechtsauslegung ist so etwas ausgeschlossen, denn: „Die Grundrechte des Grundgesetzes, die Garantien der Europäischen Menschenrechtskonvention und die Grundrechte der Charta der Europäischen Union wurzeln überwiegend in gemeinsamen Verfassungsüberlieferungen und sind insoweit Ausprägungen universaler und gemeineuropäischer Werte“,2) aber eben keine „Superpolizeigesetze“, die die Befugnisse der Sicherheitsbehörden im Einzelnen ausgestalten und festschreiben. Detailliert ausdifferenzierte Schranken, wie sie aufgrund der intensiven politischen Kontroverse um den „Großen Lauschangriff“ – ein ähnlich irreführendes Framing aus demselben politischen Lager – in Art. 13 Abs. 3 bis 5 GG verankert wurden, bilden die absolute Ausnahme. Vergleichbare normative Festlegungen dazu, unter welchen Voraussetzungen, zu welchen Zwecken und in welchen Grenzen Telekommunikationsverkehrsdaten gespeichert und durch die Sicherheitsbehörden abgerufen werden dürfen, gibt es in den Grundrechtskatalogen der EMRK und der EU-Grundrechtscharta ebenso wenig wie im Grundgesetz.
Im Gegenteil: Die grundrechtlich verbürgten Werte kollidieren. Auf der Ebene des Unionsrechts stehen auf der einen Seite die Grundrechte aus Art. 7 und 8 der EU-Grundrechtscharta auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten derjenigen, deren Verkehrsdaten gespeichert und gegebenenfalls abgerufen werden. Die Grundrechte entfalten jedoch nicht nur Abwehrrechte gegenüber staatlichen Maßnahmen, sondern begründen auch Schutzpflichten, weshalb auf der anderen Seite die Grundrechte derjenigen stehen, die Opfer von Kriminalität werden. Teilweise wird daher sogar diskutiert, ob ein vollständiger Verzicht auf eine „Vorratsdatenspeicherung“ mit den Grundrechten unvereinbar wäre (siehe hier und hier).
„Going dark“ im World Wide Web
Gerade in einem weltweiten Kommunikationsnetz, das inzwischen in fast allen Lebensbereichen jeden mit jedem in Echtzeit verbindet, lauern unzählige Gefahren für die Nutzer:
Auch der Bundesjustizminister stellt nicht in Abrede, dass über das Internet hemmungslos schwere Straftaten begangen werden, wie z.B. der Konsum und die Verbreitung von Kinderpornographie. Hinter der überwiegenden Mehrzahl der strafrechtlich relevanten Bilder und Videos im Internet steckt reales Leid – weiterhin entsteht fast jedes online gestellte Bild offline. Teilweise wird die Herstellung dieser Bildmaterialien sogar durch ein Livestreaming der Missbrauchshandlungen im Internet veröffentlicht. Auch wird das Internet zur Schaffung von Tatgelegenheiten genutzt, wie beispielsweise durch das sogenannte „Cybergrooming“. Hierbei werden Minderjährige gezielt im Internet angesprochen, um sexuelle Kontakte anzubahnen, vorwiegend anonym oder unter falschem Namen. Daneben gewinnt das Internet für die Verbreitung von Hass und Hetze, als Plattform für Radikalisierung, für den Austausch von volksverhetzenden Inhalten mit Gleichgesinnten und für die Planung und Durchführung von Terroranschlägen zunehmend an Bedeutung. Aber auch Straftaten, die jeweils für sich weniger schwer wiegen mögen, nehmen über das Internet exorbitante Ausmaße an. So versuchen Straftäter mittels des sog. Phishings alle Arten von Zugangsdaten eines Nutzers zu erlangen, mit denen sie zum eigenen Vorteil Verfügungen im Internet vornehmen können, insbesondere Kontoüberweisungen und Warenbestellungen. Nicht selten wird auch Schadsoftware (sog. Ransomware) als Mittel digitaler Erpressung verwendet.
In der Anonymität der dunklen Seite des Internets, dem sog. Darknet, bieten IP-Adressen oft den einzigen Anhaltspunkt für Ermittlungsmaßnahmen der Sicherheitsbehörden (siehe bereits EuGH, Urteil vom 6.10.2020, Rs. C-511/18, C-512/18 und C-520/18, Rn. 154) Bildlich gesprochen sind IP-Adressen die Nummernschilder auf den Datenautobahnen mit dem großen Unterschied, dass sie dynamisch für jede Nutzung neu vergeben werden, so dass eine Zuordnung nur möglich ist, solange die Telekommunikationsanbieter die entsprechenden Daten speichern. Ist die relevante IP-Adresse zum Zeitpunkt der Übertragung beim Telekommunikationsanbieter nicht mehr gespeichert oder mangels gespeicherter Portnummer nicht beauskunftbar, kommen Ermittlungen mangels weiterer Ermittlungsansätze meist zum Stillstand. Dass durch den Verzicht auf eine Speicherung von IP-Adressen reale Schutzlücken entstehen, die lebensbedrohliche Ausmaße annehmen, wird man nach dem im Januar 2023 vereitelten islamistischen Terroranschlag mit den Giftstoffen Rizin und Cyanin kaum mehr ernsthaft bestreiten können. Nur der glückliche Umstand, dass einer der Verdächtigten Kunde bei einem Mobilfunkanbieter war, der IP-Adressen von sich aus sieben Tage lang speichert, hatte die Ermittler zu seiner Wohnadresse in Castrop-Rauxel geführt.
„Quick Freeze“ ist keine Alternative
Das vom derzeitigen Bundesjustizminister beworbene „Quick Freeze“-Verfahren kann die Schutzlücke nicht schließen. Bei diesem Verfahren können Daten aus der Zeit vor der Anordnung ihrer Speicherung nur erfasst werden, soweit sie – z.B. zu Abrechnungszwecken – beim jeweiligen Provider noch vorhanden sind. Aufgrund des Zeitverzuges, der zur Kenntnis der Ermittlungsbehörden von einer Tat unvermeidlich eintritt, ist das Quick-Freeze-Verfahren insbesondere nicht zur Bekämpfung von Kinderpornografie sowie von Kindesmissbrauch geeignet. Dazu muss man wissen, dass Provider aufgrund datenschutzrechtlicher Bestimmungen gesetzlich verpflichtet sind, die von ihnen gespeicherten und nicht mehr benötigten Daten zu einem gewissen Zeitpunkt irreversibel zu löschen. Im Quick-Freeze-Verfahren kann nur eingefroren werden, was zum Zeitpunkt der Anordnung noch vorhanden ist. Derzeit speichern Provider IP-Adressen im besten Fall vier bis sieben Tage, manchmal aber auch nur einen Tag oder wenige Stunden, so dass im Ergebnis durch Quick-Freeze meist keine tatrelevanten Daten mehr gesichert werden können.
Verhältnismäßigkeit ist kontextabhängig und zeitgebunden
Wie bei allen Fragen der nationalen Sicherheit kommt es auch bei der Zulässigkeit einer Verkehrsdatenspeicherung entscheidend auf die Verhältnismäßigkeit an. Die kollidierenden Grundrechte müssen in einen angemessenen Ausgleich gebracht werden. Diese Abwägung fällt in die originäre Kompetenz des demokratisch legitimierten Gesetzgebers. Die Objektivität des Rechts stößt hier zwangsläufig an eine Grenze, denn was angemessen ist, liegt immer ein Stück im Auge des Betrachters und hängt von dessen Vorverständnis ab. Mit anderen Worten: Die Gewichtung der mit gesetzlichen Maßnahmen verbundenen Grundrechtseingriffe und der mit dem Gesetz verfolgten Zwecke, insbesondere wenn sie auf den Schutz von Grundrechten der Bürgerinnen und Bürger gerichtet sind, ist ihrem Wesen nach eine politische Entscheidung, die von der demokratisch gewählten Mehrheit bestimmt und im Falle einer Änderung der Mehrheitsverhältnisse auch anders getroffen werden kann. So wird zum Beispiel eine links-liberale Regierungsmehrheit die Angemessenheit einer befristeten Speicherung von IP-Adressen anders beurteilen3) als eine christlich-konservative Mehrheit im Parlament.4) Schon wegen dieses Primats der Politik ist es ausgeschlossen, aus dem Verhältnismäßigkeitsgrundsatz richterrechtliche Maßstäbe von allgemeiner Gültigkeit zu entwickeln, die den Gesetzgeber für alle Zeit binden.
Zweifellos gehört es zu den großen Errungenschaften des Rechtsstaats, dass unabhängige Gerichte, die wie der EuGH und das Bundesverfassungsgericht (BVerfG) über die Kompetenz zur Normenkontrolle verfügen, darüber wachen, dass die politische Mehrheit nicht Maß und Ziel verliert. Das legitimiert aber nicht zur richterlichen „Supergesetzgebung“. Das Gebot zum „judicial self-restraint“ ist der Angemessenheitsprüfung in besonderem Maße immanent. Nicht immer wird das von den Gerichten so konsequent beachtet wie vom BVerfG angesichts der Corona-Pandemie, zu der das Gericht klargestellt hat:
„Auch bei der Prüfung der Angemessenheit besteht grundsätzlich ein Einschätzungsspielraum des Gesetzgebers […]. Die verfassungsrechtliche Prüfung bezieht sich dann darauf, ob der Gesetzgeber seinen Einschätzungsspielraum in vertretbarer Weise gehandhabt hat“.
Je weiter aber die Rechtsprechung dem Gesetzgeber die Verhältnismäßigkeitsabwägung aus der Hand nimmt, desto mehr wird sie selbst den Regeln politischer Gestaltung unterworfen. Gäbe es zu jedem Problem nur eine verhältnismäßige Lösung, wäre der Bundestag nach 75 Jahren reger Gesetzgebung vermutlich arbeitslos. Dass dem nicht so ist, hat einen einfachen Grund: Die Welt befindet sich fortlaufend im Wandel. Nicht nur manche Werte und Überzeugungen ändern sich im Laufe der Zeit, sondern auch und ganz besonders die politischen und gesellschaftlichen Rahmenbedingungen. Das gilt vor allem in „unsicheren Zeiten“, wenn Krisen und internationale Konflikte die Welt in Unruhe versetzen. Daraus folgt: „In der Demokratie gibt es kein ‚letztes Wort‘“ (Lepsius JZ 2019, 793 [801]). Mit der Verhältnismäßigkeit verhält es sich daher wie mit kommunizierenden Röhren: Eine Veränderung auf der einen Seite ändert zwangsläufig auch die andere Seite. Als relatives Prinzip erweist sich die Verhältnismäßigkeit somit von vornherein als ein untaugliches Instrument, um absolute Maßstäbe für die Ewigkeit zu entwickeln.
Ändert sich die Bedrohungslage, ändert sich zwangsläufig die Beurteilung der Angemessenheit staatlicher Gegenmaßnahmen
Für das Sicherheitsrecht bedeutet das: Eine veränderte Bedrohungslage erfordert eine Reaktion des Gesetzgebers, mit der er die Sicherheitsbehörden in die Lage versetzt, auf diese Bedrohungslage angemessen zu reagieren. Hat die höchstrichterliche Rechtsprechung die Angemessenheitsprüfung in weitem Umfang anstelle des Gesetzgebers getroffen, kann die Veränderung der Bedrohungslage das Gericht zwingen, die Angemessenheit neu zu beurteilen. Richterrecht ist, insbesondere wenn es sich auf Verhältnismäßigkeitserwägungen stützt, immer an den konkreten Kontext der Entscheidung gebunden und dadurch zeitgebunden. In einem anderen Kontext kann und muss gegebenenfalls die Entscheidung anders ausfallen. Das ist im Grunde etwas ganz Selbstverständliches, das nun in der stärker dezisionistischen Rechtsprechung des EuGH besonders deutlich wahrgenommen wird. Doch auch in der mehr auf Kontinuität ausgerichteten Rechtsprechung des BVerfG finden solche Neubewertungen statt. Sehr gut erkennbar ist dies beispielsweise im Urteil von 2020 zur strategischen Auslandstelekommunikationsüberwachung des BND: Hier maß das Gericht einerseits der Überwachungsmaßnahme im Hinblick auf den „ungleich weiteren Datenzugriff“ ein höheres Eingriffsgewicht zu als noch im Jahr 1999, stellte dem aber gleichzeitig „auch ein gesteigertes Gefahrenpotential gegenüber“, das sich aus der Fortentwicklung der Kommunikationstechnik, der engeren grenzüberschreitenden Verflechtung der Lebensbedingungen im Allgemeinen und der erheblichen Zunahme von Bedrohungen aus dem Ausland ergeben hatte.
Für den Abruf gespeicherter Verkehrsdaten durch die Sicherheitsbehörden kann nichts anderes gelten. Seit den grundlegenden Urteilen des BVerfG von 2007 und des EuGH von 2014 hat sich die Sicherheitslage in Deutschland und Europa grundlegend verändert. Die weltpolitische Lage hat durch den Krieg in der Ukraine, die Konflikte im Nahen Osten, aber auch durch die Folgen des Klimawandels und die Nachwirkungen der Corona-Pandemie erheblich an Stabilität verloren. Doch auch die Sicherheit im Innern ist in einer Dimension gefährdet, die man sich einige Jahre zuvor noch kaum hätte vorstellen können. Fast täglich werden wir durch Akteure im Ausland mit Cyberattacken und Desinformationskampagnen überzogen, Spionage und Sabotage durch fremde Mächte übersteigen die Ausmaße des Kalten Kriegs. Gleichzeitig bereitet die globale Verunsicherung den Nährboden für extremistische Bestrebungen aller Art, krude Verschwörungstheorien und demokratiefeindliche Propaganda. Ungehemmter Hass und Hetze greifen um sich, besonders im Internet, aber auch auf unseren Straßen, wo Polizisten und Rettungskräfte attackiert und dazu sogar in den Hinterhalt gelockt werden. Die allgemeine Akzeptanz der Grundwerte der freiheitlichen demokratischen Grundordnung in der Gesellschaft schwindet. Dass die liberale Demokratie zwangsläufig eines Tages „Das Ende der Geschichte“ markieren könnte (Francis Fukuyama 1989), erscheint uns heute selbst als Utopie zu illusorisch, wenn wir ernsthaft darüber diskutieren müssen „Wie Demokratien sterben“ (Steven Levitsky/Daniel Ziblatt 2018 – dazu hier).
Die besorgniserregende Entwicklung unserer Sicherheitslage stellt viele Gewissheiten früherer Tage in Frage. Das gilt auch für die aus den 1970er-Jahren überkommene Vorstellung, dass Überwachungsmaßnahmen zwangsläufig zu weniger Freiheit führen. In der fundamentalen Ablehnung, die bis heute in bestimmten Kreisen gegen eine temporäre Speicherpflicht von IP-Adressen gepflegt wird, leben die dystopischen Zukunftsängste von damals fort. Mich konnte das noch nie überzeugen, denn rechtsstaatlich gebundene Sicherheitsbehörden sind keine Bedrohung, sondern ein Garant der Freiheit. Heute halte ich das geradezu für evident. Die