Netz - Rettung - Recht

Das Bundesverfassungsgericht hat heute entschieden, daß die Vorschriften über die sog. Vorratsdatenspeicherung von Telekommunikationsdaten grundgesetzwidrig und damit nichtig sind.

So schockierend wie das zunächst klingt ergibt eine kurze Durchsicht der Urteilsgründe (ich hoffe, später noch mehr Zeit zu einer ausführlicheren Auseinandersetzung damit zu finden) jedoch ein etwas differenzierteres Bild; auch die Pressemitteilung des Gerichts ist sicherlich mit Bedacht "Konkrete Ausgestaltung der Vorratsdatenspeicherung nicht verfassungsgemäß" betitelt.

Das Bundesverfassungsgericht hat zunächst festgestellt, daß eine Vorratsdatenspeicherung in der bisher gesetzlich geregelten Art und Weise trotz aller dagegen vorgebrachten Argumente im Grundsatz verfassungsgemäß ist, soweit der Zugriff auf diese Daten nur zur Verfolgung gravierender Straftaten bzw. zur Abwehr entsprechend gravierender und hinreichend konkret gewordener Gefahren erfolgen darf; die nunmehr umrissenen Grenzen entsprechen im wesentlichen dem Inhalt der einstweiligen Anordnungen des Gerichts. Darüber hinaus fordert das Bundesverfassungsgericht bereits im Gesetz ausreichende Vorgaben zur Sicherstellung eines hohen Standards bei der Datensicherheit; daneben stehen weitere Erwägungen zur Frage der verdeckten Erhebung der Verkehrsdaten und zu erweiterten Benachrichtigungspflichten. Schließlich erteilt das Bundesverfassungsgericht der Behauptung eine Absage, daß die Finanzierung der notwendigen Umsetzungsmaßnahmen durch die Verpflichteten, also die Anbieter, selbst nicht der Verfassung entspreche.

Insgesamt also eine wohlabgewogene Entscheidung, die man nicht in allen Punkten teilen muß, aber mit der man leben kann. Unverständlich aber die mit der denkbar knappsten Mehrheit getroffene Entscheidung des Senats, die verfassungswidrigen Vorschriften über die konkrete Umsetzung für nichtig zu erklären, ohne dem Gesetzgeber die Möglichkeit zu geben, binnen einer kurzen Frist nach den Vorgaben des BVerfG nachzubessern. Diese Entscheidung ist nicht nur wegen der gravierenden Folgen für die Möglichkeit zur Verfolgung schwerer und schwerster Straftaten - von der Gefahrenabwehr will ich nicht zuletzt aufgrund mangelnder Kenntnis des Bereichs gar nicht sprechen -, sondern auch deshalb umso schwerer nachvollziehbar, weil das BVerfG sich in gewisser Weise in Widerspruch zu seinen eigenen einstweiligen Anordnungen setzt. Nachdem es festgestellt hat, daß die Regelungen im wesentlichen verfassungskonform sind, hätten m.E. genau die auch in den einstweiligen Anordnungen genannten Gründen dafür gesprochen, die bisherigen Regelungen im dort genannten Umfang bis auf weiteres in Kraft zu belassen, wie auch die Sondervoten betonen.

Nun ist also die Bundesregierung gefordert, sehr zeitnah eine Neuregelung entsprechend der Vorgaben des Bundesverfassungsgerichts zu treffen. Es steht dringend zu hoffen, dass allerspätestens bis zum Jahresende eine solche Neuregelung in Kraft tritt.

Zu bedauern sind die Provider, die erst unter erheblichem Aufwand (und Kosten!) eine Vorratsdatenspeicherung umsetzen mussten, diese jetzt - wieder mit erheblichem Aufwand! - deaktivieren müssen, um sie dann demnächst wieder - mit aufgrund der erhöhten Datenschutzanforderungen noch höherem Aufwand - wieder einzuführen. Auch denen gibt das höchste deutsche Gericht mit seiner heutigen Entscheidung letztlich Steine statt Brot.

Ich hatte bereits am 20.05.2009 über die bemerkenswerte Entscheidung des BGH zur Beschlagnahme von E-Mails beim Provider ("in der Mailbox") berichtet, nach der die Vorschriften über die Postbeschlagnahme einschlägig sind, nicht etwa § 100a StPO, mit der Folge, daß weder eine Katalogtat noch ein gesteigerter Tatverdacht ("bestimmte Tatsachen") noch eine ultima-ratio-Situation vorliegen müssen. Ich hatte dabei auch bereits (vielleicht etwas süffisant) angemerkt, daß das BVerfG schon seit Ende 2006 anläßlich einer Verfassungsbeschwerde über dieser Frage brütet.

Nunmehr hat man dort zu Ende gebrütet und im Ergebnis die Ansicht des BGH bestätigt bzw. ist noch über diese Ansicht hinausgegangen. Mit Beschluß vom 16.06.2009 - 2 BvR 902/06 - hat das BVerfG festgehalten, daß die Beschlagnahme von E-Mails, die beim Provider gelagert sind, zwar in das Grundrecht aus Art. 10 GG eingreift, die allgemeinen Beschlagnahmevorschriften aber (bei besonderer Beachtung des Verhältnismäßigkeitsgrundsatzes) zur Rechtfertigung des Eingriffs genügen, und die Verfassungsbeschwerde zurückgewiesen.

Bereits am 31.03.2009 hat der BGH eine bemerkenswerte Grundlagenentscheidung zur Frage der Beschlagnahme von E-Mails getroffen. Wie und unter welchen Voraussetzungen den Strafverfolgungsbehörden der Zugriff auf E-Mails möglich ist, ist nämlich eine bisher noch nicht höchstrichterlich entschiedene, umstrittene und durchaus praxisrelevante Frage, die aufgrund ihrer Komplexität nicht ganz einfach zu beantworten ist. 

Technische Grundlagen

Aus technischer Sicht werden E-Mails im Regelfall beim Absender auf einem unter seiner Kontrolle stehenden System verfaßt und dann über den Mailserver seines Providers (Smarthost) versandt. Dieser Mailserver nimmt die E-Mail entgegen, speichert sie zwischen, ermittelt den für die Empfängeradresse(n) zuständigen Mailserver und liefert die E-Mail nach dort aus. Sobald dies erfolgreich gelungen ist, löscht er die zwischengespeicherte Kopie. Der Mailserver des Empfängers, im Regelfall bei dessen Provider, speichert die eingegangene E-Mail in der Regel in der Mailbox des Empfängers; diese wurde früher zumeist (via POP3) komplett abgerufenen und die eingegangenen E-Mails auf dem Rechner des Empfängers gelesen und gespeichert, heute ist es hingegen oft üblich, die E-Mails in der Mailbox liegen zu lassen und dort auch dauerhaft zu speichern, d.h. nur zum Lesen und Sortieren (via IMAP) auf dieses Postfach zuzugreifen. Von diesem Regelfall gibt es natürlich mögliche Abweichungen und Varianten (Versand über eine Weboberfläche, E-Mail-Weiterleitungen, Speicherung einer Kopie im Postfach etc. pp.), aber mehr oder weniger lassen sich immer dieselben Stationen im Laufweg einer E-Mail unterscheiden.

Am Anfang liegt sie - wie er noch nicht versandte Brief - im Herrschaftsbereich des Absenders; dieser vertraut sie dann einem Telekommunikationsunternehmen an - wie den Brief mit Einwurf in den Briefkasten -, das sie weiterleitet; danach landet die E-Mail dann in einer Mailbox - vergleichbar einem konventionellen Postfach -, immer noch in der Obhut des Telekommunikationsunternehmens; und schließlich ruft der Empfänger sie ab und speichert sie wieder auf seinem eigenen Rechner - wie den aus dem Postfach entnommenen Brief, der zuhause abgelegt wird -. Diese Analogie wird erst dann schwierig, wenn die E-Mails nicht mehr alle abgerufen werden, sondern teilweise oder ganz auf dem Server des Providers verbleiben; dort liegt dann ggf. ein Mix von schon gelesenen (oder abgerufenen) und neu eingegangenen E-Mails vor.

Das Bundesverfassungsgericht hat am Donnerstag den Schlußstrich unter die schon zwei Jahre zurückliegende Aktion "Mikado" gezogen und die entsprechende Verfassungsbeschwerde nicht zur Entscheidung angenommen (BVerfG, Beschluss vom 02.04.009 - 2 BvR 1372/07, 2 BvR 1745/07 -). Zur Besprechung der Entscheidung kann ich im Prinzip auf das verweisen, was ich damals schon schrieb:

Das BVerfG schreibt in seiner Presseerklärung:

Für die Annahme eines Eingriffs genügt es nicht, dass die Daten bei den Unternehmen in einen maschinellen Suchlauf eingestellt werden. Denn im Fall der Beschwerdeführer wurden die Daten anonym und spurenlos aus diesem Suchlauf ausgeschieden und nicht im Zusammenhang mit dieser Ermittlungsmaßnahme behördlich zur Kenntnis genommen.

Also: Kein "Generalverdacht", keine Betroffenheit derjenigen, deren Daten gar nicht als Ergebnis des Suchlaufes ausgeworfen wurden. Ich schrieb damals:

Dazu sollte man sich zunächst einmal vergegenwärtigen, daß bereits die Darstellung, die Polizei habe über 20 Millionen Kreditkartenkonten überprüft und dadurch ein Viertel der deutschen Bevölkerung, nämlich alle Kreditkartenbesitzer, unter Generalverdacht gestellt, falsch ist - diese Überprüfung haben die kartenausgebenden Stellen zum einen selbst ausgeführt (die Daten sind also niemals zur Polizei gelangt), zum anderen wurden auch nicht alle Konten einzeln überprüft, was schon zeitlich gar nicht zu leisten gewesen wäre, sondern es wurden naheliegenderweise durch eine Datenbankabfrage die betroffenen Transaktionen und Kreditkartennutzer herausgefiltert. […] Ihre Daten werden durch die Abfrage nicht ausgeworfen, ihre Daten werden nicht übermittelt - und damit hat es sich. […] Die bloße Zugehörigkeit zu einer Grundgesamtheit, in der konkrete Verdächtige gesucht oder aus der konkrete Verdächtige herausgegriffen werden, macht niemand zum Betroffenen einer Ermittlungsmaßnahme.

Und:

Bedenklich ist meines Erachtens aber die Bewertung, die Beschwerdeführer seien durch den bloßen Besitz einer Kreditkarte und die damit erfolge Einbeziehung ihrer Datensätze in die Abfrage in ihren Rechten betroffen. Logisch fortgeführt bedeutet das, daß gegen jede Halterabfrage eines Kfz-Kennzeichens der Rechtsweg durch jeden Kraftfahrzeughalter eröffnet ist, sind doch seine Datensätze zwingend von dieser Abfrage - bei der die Datenbank der Kraftfahrzeughalter auf den- oder diejenigen Datensatz/Datensätze durchsucht wird, auf den oder die das Kennzeichen (oder das bekannte Teilkennzeichen) paßt - betroffen.

Die lange erwartete Entscheidung des Bundesverfassungsgerichts zur Frage der Erstreckung des Fernmeldegeheimnis auch auf im Endgerät gespeicherte Nachrichten und Verbindungsdaten sowie sonstige Manifestationen dieser (bis hin zu ausgedrucdkten Einzelgesprächsnachweisen!) ist heute gefallen - und dankenswerterweise hat sich das höchste deutsche Gericht korrigiert und an den eher seltsamen Auffassungen in seinem früheren Kammerbeschluss, der Gegenstand umfangreicher - ablehnender und verständnisloser, in der Regel auch die Bindungswirkung bestreitender - Besprechungen wurde, nicht festgehalten.

In der Sache hat die betroffene Heidelberger Amtsrichterin natürlich dennoch Recht erhalten; daran bestand allerdings von vornherein wenig Zweifel.

Mehr dazu, auch mit den notwendigen Vergleichen zum Postgeheimnis, die ich mir daher hier ersparen kann, beim Sartorienfelder.