++ Neues im DFN ++
Deutsches Forschungsnetz erprobt Technologie für Terabit-Anschlüsse
Anwender im Deutschen Forschungsnetz realisieren 100-GB/s-Verbindungen in die USA

Auskünfte an Sicherheitsbehörden

Zur rechtlichen Zulässigkeit und gesetzlichen Verpflichtung der Übermittlung von User-Daten aus der Online-Kommunikation.

A. Ausgangslage

Straftatbestände, die durch das Kommunikationsmittel Internet verwirklicht werden können (sog. "Cyber-Crime") sind in aller Munde. Damit diese oder andere Straftaten gerichtlich verfolgt werden können, müssen für die Anklageerhebung hinreichende Verdachtsmomente und für die Urteilsfindung als erwiesen erachtete Tatsachen angeführt werden. Hierzu müssen von den Ermittlungsbehörden, d. h. in der Regel von der Staatsanwaltschaft und der Polizei, Beweise ermittelt und gesichert werden. Im Zusammenhang damit werden in immer stärkerem Maße Provider bzw. Rechenzentren einbezogen: Klassische Fälle sind Anfragen über die Identität eines bestimmten E-Mail-Account-Inhabers oder die Identifizierung eines Users anhand einer IP-Adresse samt Datum und Uhrzeit. Beispielsweise wurde ein Universitätsrechenzentrum in Niedersachsen aufgefordert, alle E-Mails eines bestimmten Accounts, die an Empfänger der betreffenden Universität gesendet werden, zu sichern und an die Polizei weiterzuleiten. Dass diese und ähnlich gelagerte Anfragen der Strafverfolgungsbehörden gegenüber den Mitgliedsinstitutionen des DFN-Vereins keine Seltenheit sind, hat das rege Interesse und den Informationsbedarf zu diesem Thema auf den zahlreichen DFN-Rechtsseminaren gezeigt. Zudem haben vor dem Hintergrund der terroristischen Anschläge in den USA deutsche Sicherheitsbehörden bestimmte Hochschulrechenzentren um Übermittlung von User-Daten Tatverdächtiger ersucht. Der folgende Beitrag soll die Befugnisse der Sicherheitsbehörden und als Kehrseite die Auskunftsverpflichtung der Rechenzentren aufzeigen.

Die Informationen oder Daten, die die Sicherheitsbehörden (zu nennen sind in erster Linie Staatsanwaltschaft, Polizei, Verfassungsschutzbehörden und Bundesnachrichtendienst) ersuchen, lassen sich nach der Qualität in Bestandsdaten, Verbindungsdaten und Inhalte einteilen. Nach den Begriffsbestimmungen des Telekommunikationsgesetzes (TKG) sind Bestandsdaten „Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden“ (§ 3 Nr. 3) und Verkehrsdaten „Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden“ (§ 3 Nr. 30).

In concreto beinhalten Bestandsdaten gem. § 3 Nr. 3 TKG vor allem Namen, Anschrift und Bankverbindung des Users oder die fest vergebene statische IP-Adresse. Verkehrsdaten gem. § 3 Nr. 30 TKG sind in erster Linie Beginn und Ende von Internetverbindungen, die Kennungen der Kommunikationsteilnehmer (dynamisch vergebene IP-Adressen) oder auch die vom User in Anspruch genommenen Kommunikationsdienste. Diesen näheren Umständen der Telekommunikation stehen die Inhalte der Kommunikation gegenüber. Hierunter fallen im Rahmen der Online-Kommunikation vor allem die eigentlichen Inhalte von E-Mails.

B. Was dürfen die Sicherheitsbehörden?

Die Sicherheitsbehörden haben schon frühzeitig erkannt, dass die neuen Informations- und Kommunikationsdienste auch als Medium zur Begehung von Straftaten genutzt werden. Deshalb haben zahlreiche Landeskriminalämter für die Bekämpfung der Internet-Kriminalität besondere Dienststellen eingerichtet. Schnell taucht die Frage auf, welche Ermittlungsbefugnisse den Behörden zustehen. Soweit in grundgesetzliche Freiheitsgarantien der Bürger durch staatliches Handeln eingegriffen wird, wie beispielsweise das Brief-, Post und Fernmeldegeheimnis (Art. 10 GG) oder die Unverletzlichkeit der Wohnung (Art. 13 GG), müssen vom Gesetzgeber Befugnisnormen erlassen werden. Ohne eine gesetzliche Ermächtigungsgrundlage wäre etwa  der sog. große Lauschangriff, also die Überwachung des gesprochenen Wortes innerhalb von Wohnungen, nicht zulässig. Die ursprüngliche Regelung zum großen Lauschangriff wurde zunächst vom Bundesverfassungsgericht als nicht mit dem Grundgesetz vereinbar beurteilt. Inzwischen ist aber eine eingeschränkte und vom Bundesverfassungsgericht (Beschluss v. 11.5.2007-2 BvR 543/06, CR 2007, 496 ff.) nicht beanstandete Regelung mit § 100c StPO in Kraft getreten. Ermitteln die Sicherheitsbehörden in allgemein zugänglichen Informationsquellen, wie z. B. in offenen Newsgroups oder Chat-Rooms, ist eine spezielle Ermächtigungsgrundlage nicht erforderlich.

Befugnisnormen für Sicherheitsbehörden finden sich in zahlreichen Gesetzen. Welche Norm Anwendung findet, richtet sich zunächst danach, ob es sich um eine präventiv-polizeiliche Maßnahme oder eine repressive Strafverfolgungsmaßnahme handelt. Zur Gefahrenabwehr sehen die entsprechenden Landespolizei- bzw. Gefahrenabwehrgesetze jeweils entsprechende Ermächtigungsgrundlagen vor. Allerdings werden die Rechenzentren in erster Linie von Strafverfolgungsbehörden zur Aufklärung bereits begangener Straftaten um Auskünfte gebeten. Die hier im Blickpunkt stehenden Normen sind in der Strafprozessordnung (StPO) und dem Telekommunikationsgesetz (TKG) zu finden. Daneben gibt es Spezialtatbestände, wiederum zur Gefahrenabwehr, für Verfassungsschutzbehörden und den Bundesnachrichtendienst (§ 1 des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G-10-Gesetz)). 

§§ 100a, b StPO ermöglichen die Überwachung von Telekommunikation. § 100a StPO ermächtigt die Staatsanwaltschaft bzw. deren polizeilichen Hilfsbeamten zur inhaltlichen Überwachung und Aufzeichnung der Telekommunikation und gleichzeitig zu Auskunftsansprüchen über den Fernmeldeverkehr und den daran Beteiligten. Wegen der starken Eingriffsintensität in das Fernmeldegeheimnis (für den Bereich der Telekommunikation spezialgesetzlich abgesichert durch § 88 TKG), sind die Voraussetzungen für solche Maßnahmen an hohe Maßstäbe geknüpft: Zum einen muss der konkrete Verdacht einer der in § 100a Abs. 2 StPO genannten schweren Katalogstraftaten, wie z. B. Hochverrat, Mord oder Freiheitsberaubung, sich gegen einen bestimmten Täter richten, zum anderen muss sich diese Tat auch im Einzelfall schwer wiegen. Des Weiteren muss die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos sein. Auch ist eine richterliche bzw. bei Gefahr im Verzug eine staatsanwaltschaftliche schriftliche Anordnung vonnöten (diese muss jedoch innerhalb von drei Tagen durch einen Richter bestätigt werden). Dies bedeutet in der Praxis für die Rechenzentren: Wird eine schriftliche Anordnung zur Überwachung des Fernmeldeverkehrs nach §§ 100a, 100b StPO vorgelegt, muss das Rechenzentrum die inhaltliche Überwachung von E-Mails gestatten und Verbindungs- sowie Bestandsdaten eines bestimmten Nutzers offen legen.

§ 100g StPO ermöglicht den Zugriff auf Telekommunikationsverkehrsdaten (Def. s. o.). Die Norm setzt voraus, dass der Verdacht einer Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere einer in § 100a Abs. 2 StPO genannten Straftaten vorliegt. Zudem werden auch Taten erfasst, die mittels Telekommunikation (Telefon, Workstation) begangen wurden. Dies ist bei internetspezifischen Taten regelmäßig der Fall. Die  Vorschrift ist durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen zum 01.01.2008 novelliert worden. Neben der bisher vorgesehenen Möglichkeit, Auskünfte über vergangene und zukünftige Telekommunikation zu erlangen, ist nunmehr auch die so genannte Echtzeitausleitung vorgesehen, bei der Verkehrsdaten zeitgleich mit ihrem Anfall an die Staatsanwaltschaft übermittelt werden. Diese Alternative ist allerdings auf Straftaten von auch im Einzelfall erheblicher Bedeutung begrenzt. Regelungen zur technischen Realisierung dieser Echtzeitausleitung enthält die Vorschrift hingegen nicht.

Zudem ist die Vorschrift nicht mehr als reiner Auskunftsanspruch gestaltet, sondern bietet den Ermittlungsbehörden auch die Möglichkeit der Ausleitung mit eigenen Mitteln. Weiterhin können sie sich aber auch der Auskunftserteilung durch die Provider bedienen. 

Das Auskunftsverlangen der staatlichen Ermittlungsbehörden bedarf nach § 100b Abs. 1 StPO einer richterlichen Anordnung. Bei Gefahr im Verzug ist allerdings auch die Staatsanwaltschaft zuständig. Die Anordnung ist für einen Zeitraum von 3 Monaten zu befristen, darüber hinaus kann die Anordnung um jeweils maximal 3 Monate verlängert werden, wenn die ursprünglichen Voraussetzungen der Anordnung unter Berücksichtigung der gewonnenen Ermittlungsergebnisse fortbestehen. Eine Anordnung der Staatsanwaltschaft muss innerhalb von 3 Werktagen durch den Richter bestätigt werden, sonst tritt sie außer Kraft. Im Falle eines rechtmäßigen Ersuchens nach §§ 100g, 100h StPO ist das Rechenzentrum zur Auskunft verpflichtet. Eine Auskunft über Daten der Vergangenheit ist selbstverständlich nur dann möglich, wenn die entsprechenden Daten noch vorhanden sind und damit noch nicht aufgrund datenschutzrechtlicher Pflichten gelöscht wurden. Bei einem auf zukünftige Kommunikationsvorgänge gerichteten Auskunftsersuchen, müssen die betreffenden Daten entsprechend des richterlichen Beschlusses aufgezeichnet und an die Behörden weitergegeben werden.

Grundsätzlich unterlag der Auskunftserteilung nach § 100g StPO auch die im Rahmen der Vorratsdatenspeicherung gespeicherten Verkehrsdaten. Nach einem Urteil des BVerfG vom 02.03.2010 die Norm für den Bereich der Anwendung der Vorratsdatenspeicherung für nicht vereinbar mit dem Grundgesetz und daher für nichtig erklärt. 

Bei Bestandsdaten ist kein richterlicher Beschluss erforderlich. Dies sind regelmäßig Name, Anschrift des Users oder eine fest vergebene IP-Adresse. Ist die Ebene der Datenübermittlung (E-Mail, Internetzugang) betroffen, besteht nach § 113 Abs. 1 TKG eine Auskunftspflicht über Bestandsdaten gegenüber den Ermittlungsbehörden. Dies erlangt in letzter Zeit vor allem im Zusammenhang mit der Nutzung von P2P Bedeutung, wobei die Ermittlungsbehörden unter Angabe der IP-Adresse und der Log-Zeiten Auskunft über die Identität eines Nutzers erhalten möchten. Sofern die Zuordnung anhand einer statischen IP-Adresse erfolgen soll, ist die Verpflichtung nach § 113 Abs. 1 TKG gegeben. Problematisch ist allerdings die Konstellation mit einer dynamischen IP-Adresse, bei der streitig ist, ob es sich um eine Auskunft über Verkehrsdaten nach § 100g StPO, oder über Bestandsdaten nach § 113 Abs. 1 TKG handelt. In der Praxis wird in dieser Hinsicht überwiegend keine richterliche Anordnung für erforderlich gehalten, so dass § 113 Abs. 1 TKG angewendet wird (so z. B.: LG Stuttgart, NJW 2005, 614; LG Hamburg, MMR 2005, 711; LG Würzburg, NStZ-RR 2006, 46). Und auch die Einführung des § 113b TKG durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen deutet darauf hin, dass der Gesetzgeber ebenfalls von einer Auskunft über Bestandsdaten ausgeht.

Ergänzend können die Strafverfolgungsbehörden im Wege des § 161 Abs. 1 StPO von allen Behörden, d. h. allen öffentlichen Stellen wie z. B. Hochschulrechenzentren oder öffentliche Forschungseinrichtungen, Auskunft über Bestandsdaten verlangen.

C. Verpflichtung zur Übermittlung

Bisher wurde ein Überblick über die Befugnisnormen hinsichtlich eines Auskunftsersuchens der Strafverfolgungsbehörden gegeben. Als Kehrseite und für die Rechenzentren relevant ist die Beantwortung der Frage, ob dem Auskunftsersuchen nachgekommen werden muss. Liegen die formalen Voraussetzungen der Eingriffstatbestände §§ 100a, 100b, 100g, und 161 StPO vor, so muss dem Begehren der zuständigen Behörden Folge geleistet werden. Es entsteht eine Rechtspflicht zur Auskunftserteilung. Dann ist für die übermittelnde Stelle nicht mehr relevant, ob sie die personenbezogenen Daten aus datenschutzrechtlicher Sicht übermitteln durfte. Besteht eine Rechtspflicht zur Auskunftserteilung, kann der übermittelnden Stelle im Nachhinein nicht der Vorwurf eines datenschutzrechtlichen Verstoßes wegen der im Blickpunkt stehenden Datenübermittlung gemacht werden. 

Weiterhin ist nach der Art des Dienstes zu unterscheiden: Für Telekommunikationsanbieter wie etwa Zugangs-Provider enthält § 113 Abs. 1 TKG eine datenschutzrechtliche Erlaubnis zur Auskunftserteilung über Bestandsdaten an die Sicherheitsbehörden. Anzumerken ist, dass gem. § 113 Abs. 1 TKG den Kunden oder Dritten nicht mitgeteilt werden darf, dass eine entsprechende Auskunftserteilung stattgefunden hat. Aus ermittlungstaktischen Gründen werden die Strafverfolgungsbehörden diese Pflicht den übermittelnden Stellen sinngemäß bei Auskünften nach der StPO auferlegen (vgl. § 17 G 10-Gesetz).

Für die Anbieter von Telemediendiensten enthält das Telemediengesetz (TMG) in § 14 Abs. 2 eine datenschutzrechtliche Erlaubnisnorm. Hiernach darf der Diensteanbieter im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes erforderlich ist. Hierdurch ist der Kreis der Behörden, an die Daten übermittelt werden dürfen, vergrößert worden. Anzumerken ist jedoch, dass die Vorschrift lediglich eine datenschutzrechtliche Erlaubnisnorm darstellt; in jedem Falle ist aber zusätzlich eine Anspruchsgrundlage für die jeweilige Behörde erforderlich. Derartige Anspruchsgrundlagen enthält das TMG nicht.

Hiervon abzugrenzen sind Fallgestaltungen, bei denen Rechenzentrumsmitarbeiter ohne Veranlassung der Behörden den Strafverfolgungsbehörden Daten übermitteln möchten, weil sie einen konkreten Verdacht der Begehung einer Straftat haben. Eine datenschutzrechtliche Erlaubnis findet sich im TKG nicht. Allerdings sehen zahlreiche Landesdatenschutzgesetze Erlaubnistatbestände für die Übermittlung von personenbezogenen Daten an Sicherheitsbehörden (sowohl zu präventiven als auch repressiven Zwecken) vor. Beispielhaft sind §§ 13 Abs. 2 Satz 1 d), h), 14 Landesdatenschutzgesetz Nordrhein-Westfalen (zuletzt geändert am 08.12.2009) oder §§ 11 Abs. 2 Satz 1 Nrn. 2 und 3, 12 Berliner Datenschutzgesetz (zuletzt geändert am 30.11.2007) für die jeweiligen öffentlichen Landesstellen zu nennen. Die Landesdatenschutzgesetze gelten für "Offline-Daten"; ob diese Erlaubnissätze allerdings auch für "Online-Daten", wie Verbindungsdaten aus der Telekommunikation, ebenso Geltung haben, weil die speziellen Datenschutzgesetze hierüber keine Auskunft geben, ist noch nicht abschließend geklärt. Deshalb sollte den Sicherheitsbehörden ein konkreter Tatverdacht ohne Übermittlung entsprechender Daten aus der Online-Kommunikation mitgeteilt werden. Eigene Ermittlungen der Rechenzentren sind zu unterlassen. Die Sicherheitsbehörden werden die notwendigen Schritte einleiten.

D. Kosten, Entschädigung

Die konkrete Auskunftserteilung auf Ersuchen der Sicherheitsbehörden ist im Regelfall mit Kosten verbunden. Für Rechenzentren ergibt sich dieser in erster Linie aus den personellen Aufwendungen für die Mitwirkung an einer Überwachungsmaßnahme oder der Recherche nach den gewünschten Daten. Für Überwachungsmaßnahmen nach §§ 100a, 100b StPO sind Entschädigungen nach dem Justizvergütungs- und -entschädigungsgesetz (JVEG, Stand 30.07.2009) zu gewähren, § 23 Abs. 1 Nr. 3 JVEG i. V. m. Anlage 3 zum JVEG. Die Regelung entspricht dabei der Vorgängernorm in § 17a Abs. 1 Nr. 3 ZSEG. Das OLG Zweibrücken (in: DuD 1998, 168/169) hat in einer Entscheidung zu dem alten ZSEG festgestellt, dass die Vorschriften des ZSEG für jene Fälle anzuwenden seien, in denen kostenpflichtige Ermittlungen auf Veranlassung der Staatsanwaltschaft durchgeführt werden. Demnach sind Auskünfte auf der Grundlage des § 161 StPO und §§ 100g, 100h StPO nach dem ZSEG (jetzt JVEG, § 23 Abs. 1 i.V.m. Anlage 3) zu entschädigen. Einzelheiten über das Verfahren und Entschädigungshöhe sind dem JVEG und seiner Anlage 3 zu entnehmen.

Die früher umstrittene Frage nach einer Entschädigung für Auskünfte über Bestandsdaten gemäß § 113 Abs. 1 TKG, wurde durch den Gesetzgeber in § 113 Abs. 2 TKG geklärt. Demnach hat der zur Auskunft Verpflichtete die in seinem Verantwortungsbereich für die Auskunftserteilung erforderlichen Vorkehrungen (Organisation etc.) auf eigene Kosten zu treffen. Im Falle einer Auskunftserteilung wird dem Verpflichteten durch die anfragende Stelle gemäß § 23 Abs. 1 JVEG i.V.m. Anlage 3 zum JVEG eine Entschädigung gewährt.

E. Fazit

Bei Anfragen von Sicherheitsbehörden sollte nicht in Hektik verfallen werden. Vor der Übermittlung sollte immer das zuständige Justitiariat der Hochschule über das Ersuchen informiert werden und die weitere Vorgehensweise abgesprochen werden. In Zweifelsfällen kann durch die Mitglieder selbstverständlich auch die Forschungsstelle Recht im DFN kontaktiert werden. Wie gezeigt wurde, sind die Strafverfolgungsbehörden im Rahmen ihrer Ermittlungen an bestimmte gesetzliche Vorgaben gebunden. Dies bedeutet vor allem, dass im Falle von Telekommunikationsüberwachungsmaßnahmen nach der StPO eine schriftliche Anordnung vorgelegt werden muss. Es empfiehlt sich allerdings - bei aller Kooperationsbereitschaft mit den Sicherheitsbehörden -, eine schriftliche Bestätigung für die Auskunftserteilung einzuholen. Dies dient in erster Linie dazu, im Nachhinein Vorwürfe über datenschutzrechtliche Verstöße von Seiten der Nutzer auszuräumen.

 

Autor(en): Forschungsstelle Recht,  Verantwortlich: A. Rülke
erstellt am:  22.05.2003      aktualisiert am:  21.02.2011