Das BVerfG hat am 27.05.2020 zu den Aktenzeichen 1 BvR 1873/13 und 1 BvR 2618/13 mehrere Regelungen zur sogenannten Bestandsdatenauskunft für verfassungswidrig erklärt.
Aus der Pressemitteilung des BVerfG Nr. 61/2020 vom 17.07.2020 ergibt sich:
Die staatlichen Zugriffsmöglichkeiten auf persönliche Daten von Handy- und Internetnutzern zur Strafverfolgung und Terrorabwehr gingen zu weit, so das BVerfG.
§ 113 TKG berechtigt Anbieter von Telekommunikationsdiensten zur Übermittlung von Bestandsdaten im sog. manuellen Auskunftsverfahren. Die weiteren angegriffenen Normen regeln den Abruf dieser Daten durch verschiedene Sicherheitsbehörden des Bundes, wie etwa das Bundeskriminalamt, die Bundespolizei und das Bundesamt für Verfassungsschutz. Alle angegriffenen Regelungen sollten der Umsetzung der Entscheidung des BVerfG vom 24.01.2012 (1 BvR 1299/05 „Bestandsdatenauskunft I“) dienen, mit der § 113 TKG in seiner damaligen Fassung teilweise für verfassungswidrig erklärt und das Fehlen fachrechtlicher Abrufregelungen beanstandet wurde.
Die Auskunft nach § 113 TKG erfolgt auf Verlangen einer der dort genannten Sicherheitsbehörden an die Anbieter von Telekommunikationsdiensten. Nach § 113 Abs. 1 Satz 1 TKG umfasst die zu erteilende Auskunft neben den gemäß § 111 TKG verpflichtend zu speichernden Bestandsdaten wie etwa Name, Geburtsdatum und Rufnummer eines Anschlussinhabers auch die von den Diensteanbietern nach § 95 TKG freiwillig zu betrieblichen Zwecken gespeicherten Kundendaten. Dazu gehören üblicherweise die Anschrift der Vertragspartner, die Art des kontrahierten Dienstes und weitere Daten wie zum Beispiel die Bankverbindung.
Nach § 113 Abs. 1 Satz 2 TKG ist eine Auskunft auch über vom Diensteanbieter vergebene Zugangsdaten wie zum Beispiel die Persönliche Identifikationsnummer (PIN) zu erteilen. Von Nutzerinnen und Nutzern selbst vergebene Passwörter werden dagegen von den Diensteanbietern üblicherweise nur verschlüsselt gespeichert. Eine Auskunft kann insoweit nicht erteilt werden. Bestandsdaten dürfen gemäß § 113 Abs. 1 Satz 3 TKG auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokolladresse (dynamische IP-Adresse) bestimmt werden. Gegenstand der Auskunft ist die Zuordnung der IP-Adresse zu einem bestimmten Anschlussinhaber und damit selbst ein Bestandsdatum. Dies ist nur möglich, wenn Anbieter zuvor bei ihnen gespeicherte Verkehrsdaten auswerten, um festzustellen, welchem Anschlussinhaber die verwendete IP-Adresse zu dem angefragten Zeitpunkt zugeordnet war.
Gemäß § 113 Abs. 2 Satz 1 TKG darf eine Auskunft nur erteilt werden, soweit eine in § 113 Abs. 3 TKG genannte Stelle dies zum Zweck der Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Nachrichtendienste unter Angabe einer Abrufregelung verlangt.
Die mit den Verfassungsbeschwerden angegriffenen Abrufregelungen des Bundes bestimmen, dass die Sicherheitsbehörden von den Diensteanbietern Auskunft über Bestandsdaten verlangen dürfen. Im Wesentlichen verlangen sie nur, dass die Auskunft zur Erfüllung ihrer jeweils genannten Aufgaben erforderlich sein muss. Für die Auskunft über Zugangsdaten wird vorausgesetzt, dass die gesetzlichen Voraussetzungen für deren Nutzung vorliegen. Weiter sehen die Vorschriften jeweils vor, dass auch die Auskunft von Bestandsdaten, die anhand einer dynamischen IP-Adresse bestimmt werden, verlangt werden darf. Ermächtigt werden das Bundeskriminalamt, die Bundespolizei, das Zollkriminalamt sowie die Nachrichtendienste des Bundes.
Das BVerfG hat § 113 TKG und mehrere Fachgesetze des Bundes, die die manuelle Bestandsdatenauskunft regeln, für verfassungswidrig erklärt.
Nach Auffassung des BVerfG verletzen sie die beschwerdeführenden Inhaber von Telefon- und Internetanschlüssen in ihren Grundrechten auf informationelle Selbstbestimmung sowie auf Wahrung des Telekommunikationsgeheimnisses (Art. 10 Abs. 1 GG). Die manuelle Bestandsdatenauskunft ermögliche es Sicherheitsbehörden, von Telekommunikationsunternehmen Auskunft insbesondere über den Anschlussinhaber eines Telefonanschlusses oder einer zu einem bestimmten Zeitpunkt zugewiesenen IP-Adresse zu erlangen. Mitgeteilt werden personenbezogene Daten der Kunden, die im Zusammenhang mit dem Abschluss oder der Durchführung von Verträgen stehen (sog. Bestandsdaten). Nicht mitgeteilt werden dagegen Daten, die sich auf die Nutzung von Telekommunikationsdiensten (sog. Verkehrsdaten) oder den Inhalt von Kommunikationsvorgängen beziehen.
Die Erteilung einer Auskunft über Bestandsdaten sei grundsätzlich verfassungsrechtlich zulässig. Der Gesetzgeber müsse aber nach dem Bild einer Doppeltür sowohl für die Übermittlung der Bestandsdaten durch die Telekommunikationsanbieter als auch für den Abruf dieser Daten durch die Behörden jeweils verhältnismäßige Rechtsgrundlagen schaffen. Übermittlungs- und Abrufregelungen müssten die Verwendungszwecke der Daten hinreichend begrenzen, indem sie insbesondere tatbestandliche Eingriffsschwellen und einen hinreichend gewichtigen Rechtsgüterschutz vorsehen. Das BVerfG hat klargestellt, dass die allgemeinen Befugnisse zur Übermittlung und zum Abruf von Bestandsdaten trotz ihres gemäßigten Eingriffsgewichts für die Gefahrenabwehr und die Tätigkeit der Nachrichtendienste grundsätzlich einer im Einzelfall vorliegenden konkreten Gefahr und für die Strafverfolgung eines Anfangsverdachts bedürfen. Finde eine Zuordnung dynamischer IP-Adressen statt, müsse diese im Hinblick auf ihr erhöhtes Eingriffsgewicht darüber hinaus auch dem Schutz oder der Bewehrung von Rechtsgütern von zumindest hervorgehobenem Gewicht dienen. Bleiben die Eingriffsschwellen im Bereich der Gefahrenabwehr oder der nachrichtendienstlichen Tätigkeit hinter dem Erfordernis einer konkreten Gefahr zurück, müssten im Gegenzug erhöhte Anforderungen an das Gewicht der zu schützenden Rechtsgüter vorgesehen werden. Die genannten Voraussetzungen wurden von den angegriffenen Vorschriften weitgehend nicht erfüllt. Im Übrigen hat das BVerfG wiederholend festgestellt, dass eine Auskunft über Zugangsdaten nur dann erteilt werden darf, wenn die gesetzlichen Voraussetzungen für ihre Nutzung gegeben seien.