Telefónica Deutschland zur Wiedereinführung der Vorratsdatenspeicherung
Am 15. April 2015 veröffentlichte das Bundesministerium der Justiz und für Verbraucherschutz „Leitlinien zur Einführung einer Speicherpflicht und Höchstspeicherfrist für Verkehrsdaten“. Am 15. Mai 2015 wurde darauf basierend den Verbänden ein Gesetzentwurf zur Kenntnis übermittelt, welcher am 27. Mai 2015 mit geringfügigen Änderungen vom Bundeskabinett verabschiedet wurde.
Bereits 2007 wurde auf Basis einer EU-Richtlinie in Deutschland ein Gesetz zur Vorratsdatenspeicherung erlassen. Hierdurch wurden Anbieter von Telekommunikationsdiensten gesetzlich dazu verpflichtet, Verbindungsdaten für einen Zeitraum von sechs Monaten zu speichern. Das Bundesverfassungsgericht urteilte im Jahr 2010, dass die Vorschriften zur Vorratsdatenspeicherung verfassungswidrig und mithin nichtig seien. Eine Vorratsdatenspeicherung sei zwar grundsätzlich mit dem Grundgesetz vereinbar, zum Schutz des Telekommunikationsgeheimnis der betroffenen Bürger sei aber Voraussetzung, dass die Daten mit besonderen Maßnahmen gesichert würden und die Nutzung der Daten durch Behörden müsse auf genau spezifizierte Fälle schwerster Kriminalität und schwerer Gefahren beschränkt bleiben. Diesen Anforderungen werde das angegriffene Gesetz nicht gerecht.
2014 wurde die zugrundeliegende EU-Richtlinie vom EuGH wegen Verstoßes gegen die Europäische Grundrechtecharta ebenfalls für ungültig erklärt und aufgehoben. Auch der EuGH zeigt einen engen Korridor auf, in dem eine verfassungsmäßige Ausgestaltung der Vorratsdatenspeicherung möglich wäre. Hierzu sei u.a. die Verwendung der Daten nur bei Ermittlungen im Bereich schwerster Kriminalität, eine Garantie, dass die Daten innerhalb der EU gespeichert und eine effektive Löschung nach Ablauf der Speicherfrist erforderlich.
Angesichts des vom BMJV nun vorgelegten Gesetzentwurfes hält die Telefónica Deutschland folgende Kernpunkte für wichtig.
-
Rechtmäßigkeit und Verhältnismäßigkeit in ordentlichem Gesetzgebungsverfahren gewährleisten
Sowohl das Bundesverfassungsgericht als auch der Europäische Gerichtshof haben einer anlasslosen Datenspeicherung im Hinblick auf die Verhältnismäßigkeit enge Grenzen gesetzt. Ob vor diesem Hintergrund die nun vorgelegte nationale Regelung überhaupt zielführend sein kann, ist zumindest zweifelhaft. Gerade angesichts der bereits zeitweiligen Einführung der Vorratsdatenspeicherung ist bei einem neuen Versuch der Rechtmäßigkeit und Verhältnismäßigkeit der Regelung oberste Priorität einzuräumen. Der Gesetzgeber darf die Frage nach der Verhältnismäßigkeit einer Regelung nicht wieder bewusst den Gerichten überlassen, sondern sollte selbst alles daran setzen, nur ein unzweifelhaft verfassungskonformes Gesetz zu verabschieden. Dabei muss der Gesetzgeber auch die technischen und gesellschaftlichen Entwicklungen im Blick behalten und der Frage nachgehen, ob zusätzlich zu dem gerichtlich aufgezeigten Korridor der Verhältnismäßigkeit einer Vorratsdatenspeicherung noch weitere Aspekte seit 2010 hinzu gekommen sind, welche in die Erwägungen zum Gesetzentwurf einfließen müssen (z.B. steigende Nutzung, wachsende Rate von vernetzten Geräten, Enthüllungen zur Arbeit nationaler und internationaler Geheimdienste, etc.).
Die vom Bundesverfassungsgericht in seinem Urteil zur Vorratsdatenspeicherung 2010 entwickelte Überwachungsgesamtrechnung darf nicht außer Acht gelassen werden. Aus Sicht von Telefónica Deutschland ist es zudem nicht nachvollziehbar, dass der Gesetzentwurf nicht eindeutig der Frage nach einer Erforderlichkeit der vorsorglich anlasslosen Datenspeicherung eingeht, die gleichwohl als „zusätzliche Aufklärungsmöglichkeit“ (S. 23) beschrieben wird. Es ist fraglich ob die nun vom Gesetzgeber geplante Speicherpraxis tatsächlich das geeignete und mildeste Mittel ist. Mögliche gesetzgeberische Eilverfahren sind vor diesem Hintergrund dringend zu vermeiden.
-
Stabile Rechtssicherheit für Bürger und Unternehmen gewährleisten
Der bereits einmal erfolgte Versuch der Einführung einer Datenspeicherpflicht und der verfassungsgerichtliche Beschluss der Aufhebung haben dem Vertrauen der Bürgerinnen und Bürger in entsprechende Regelungen und die Vertraulichkeit ihrer Kommunikation geschadet. In den verpflichteten Unternehmen wurden erhebliche Summen in die Implementierung investiert. Ein erneuter Anlauf muss hier für Bürgerinnen und Bürger sowie Unternehmen eine verlässliche Rechtssicherheit bieten. Dies gilt sowohl hinsichtlich der Verfassungskonformität in Deutschland als auch im Hinblick auf einen möglichen EU-Rechtsrahmen. Auf keinen Fall sollte die Notwendigkeit binnen weniger Jahre entstehen, wesentliche Bestandteile aufzuheben oder zu überarbeiten. Vor diesem Hintergrund sieht Telefónica Deutschland auch aktuelle politische Diskussionen über eine Befristung eher kritisch.
Hinsichtlich der EU-Konformität ist die vorgesehene Verpflichtung zur Speicherung der erhobenen Daten allein in Deutschland („im Inland“ §113b (1) TKG-E) kritisch zu bewerten. Es ist fraglich, ob vor dem Hintergrund des EU-Binnenmarktes eine solche Regelung EU-rechtlich Bestand haben kann. Jedenfalls wäre eine sichere Speicherung ohne Frage auch zumindest innerhalb der EU ohne weiteres realisierbar. Als paneuropäisch agierendes Unternehmen merkt Telefónica an dieser Stelle einen unverhältnismäßigen Eingriff in Unternehmergrundrechte an. Die in der Gesetzesbegründung (S. 43) ausgeführten Erwägungen zur Rechtfertigung dieser Regelungen sind in Anbetracht des harmonisierten Rechtsrahmens für Datenschutz nicht haltbar.
Die Speicherung von Verkehrsdaten die bei Roaming von Kunden deutscher Mobilfunknetzbetreiber außerhalb Deutschlands anfallen ist in den §§ 113a (1), 113b TKG-E nicht hinreichend klar geregelt. Ebenso geht der Gesetzentwurf nicht auf die Frage ein, ob ausländische Mobilfunknetzbetreiber deren Kunden Roamingdienste in Deutschland in Anspruch nehmen von den Pflichten der Verkehrsdatenspeicherung erfasst werden sollen, oder ob der Gesetzgeber hier eine Schutzlücke billigend in Kauf nimmt.
-
Komplexität der Anforderungen reduzieren
Je differenzierter eine mögliche Speicherverpflichtung ausgestaltet ist, desto aufwändiger und zeitintensiver wird ihre Umsetzung in den verpflichteten Unternehmen sein. Ein Beispiel hierfür ist die Unterscheidung der Speicherdauern nach unterschiedlichen Datenarten (zehn Wochen bzw. vier Wochen für Standortdaten, s. §113b (1) TKG-E). Von einer solchen Komplexität ist daher dringend abzuraten.
Gleichzeitig sind grundlegende Unterschiede zwischen verschiedenen Netzen, wie zwischen Mobilfunk und Festnetz, in der konkreten Ausgestaltung einer möglichen Regelung unbedingt zu berücksichtigen. Die technische Besonderheit von nicht einzeln und eindeutig zugewiesenen IP-Adressen wird zum Beispiel im Entwurf nicht berücksichtigt (§113b Abs. 3 TKG-E).
Technisch unklare Regelungen führen ebenfalls zu einem erhöhten Umsetzungsbedarf. Beispielsweise wird in § 113d Ziff. 3 TKG-E die Speicherung auf „vom Internet entkoppelten Datenverarbeitungssystemen“ vorgesehen, was große Fragen hinsichtlich der datenmäßigen Anbindung, um überhaupt speichern und ggf. beauskunften zu können, aufwirft. So werden die Daten einerseits zunächst in Netzen aggregiert, die nicht vom Internet entkoppelt sind. Ferner müssen die Verkehrsdatensätze dann aber auch in Systemen gespeichert werden, auf welche über Netzwerke und sichere VPN-Verbindungen standortunabhängig zugegriffen werden kann. Andernfalls wäre eine Beauskunftung im Sinne des § 113 c (1) TKG-E nur am Standort des Rechenzentrums möglich, in dem die Daten gespeichert sind. Zuletzt würde eine solche Regelung auch durch die Übermittlung nach § 113c (3) TKG-E iVm § 110 (3) TKG ad absurdum geführt werden, da eine solche Übertragung von Daten gerade über gesicherten VPN-Internetverbindungen im Sinne der Technischen Richtlinie zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation und zum Auskunftersuchen für Verkehrsdaten realisiert wird.
-
Umsetzungsfristen angemessen ausgestalten
Um die Sicherheit entsprechend der Vorgaben des Bundesverfassungsgerichts gewährleisten zu können, ist eine angemessene Umsetzungsfrist für eine mögliche Speicherpflicht unabdingbar. Angemessen wäre angesichts des zum jetzigen Zeitpunkt anzunehmenden Aufwands eine Frist von mindestens 18 Monaten nach Erstellung des Anforderungskatalogs durch die Bundesnetzagentur (§113f TKG-E). Die Bundesnetzagentur hat nach § 150 Abs. (13) TKG-E mehr als ein Jahr Zeit, diesen Katalog zu erstellen, während nach aktuellem Entwurf die Unternehmen weniger als 6 Monate Zeit zur IT-seitigen Umsetzung hätten. Eine kürzere Dauer würde darüber hinaus sehr wahrscheinlich zu einer unverhältnismäßigen Kostenlast führen.
Die gesamte Umsetzung in großen IT-Systemen ist bereits von Seiten der Programmierung her und der Beschaffung von entsprechenden Anlagen eine große Herausforderung. Darüber hinaus sind auch Prozesse neu zu erstellen, die mit hohem Personalaufwand verbunden sind. Ein Beispiel hierfür ist das 4-Augen Prinzip (§113d 5. TKG-E „Mitwirkung von mindestens zwei Personen beim Zugriff“).
-
Verantwortung für IT-Sicherheit nicht auf TK-Diensteanbieter abwälzen
Die Verantwortung für die Definition der „nach dem Stand der Technik höchstmöglichen Sicherheit“ für die Speicherung der Daten darf nicht allein den TK-Diensteanbietern aufgelastet werden. Aus Sicht von Telefónica sollte auf Grundlage eines Sicherheitskonzepts, das seitens der jeweiligen Unternehmen entwickelt und bei zuständigen Behörden hinterlegt wurde, eine haftungsrechtliche Privilegierung zu Gunsten der TK-Diensteanbieter geschaffen werden, um ökonomische Risiken für die Unternehmen im Zusammenhang mit der Vorratsdatenspeicherung auszuschließen.
-
Einfluss auf den Wettbewerb innerhalb der ITK-Branche
Als zusätzliche regulatorische Pflicht würde eine rein national geregelte Vorratsdatenspeicherung dem politischen Ziel zur Harmonisierung des ITK-Binnenmarktes zuwider laufen und damit TK-Diensteanbieter in Deutschland innerhalb des europäischen Wettbewerbs benachteiligen. Die Bundesregierung sollte dringend auf eine Harmonisierung auf europäischer Ebene hinwirken, bevor nationale Alleingänge implementiert oder umgesetzt werden müssen. Zudem muss eine regulatorische Gleichbehandlung von TK- und OTT-Diensten gewährleistet werden, um faire Wettbewerbsbedingungen zu schaffen. Inwieweit Messaging-Dienste oder VoIP-Angebote ebenfalls unter die Vorgaben des Gesetzesentwurfs fallen, ist im Verfahren sorgfältig zu prüfen. Jedenfalls ist eine Entstehung von Schutzlücken zu vermeiden, um die Glaubwürdigkeit des Gesetzgebungsvorhabens nicht zu diskreditieren.