Internet & Recht - aktuell Home

Die Vorratsbüchse der Pandora

Die Umsetzung der EU-Richtlinie zur Vorratsdatenspeicherung und die Folgen

aktuell - Übersicht

Die Büchse, die nach der griechischen Mythologie Zeus Pandora mitgab, sollte nie geöffnet werden. Sie wurde geöffnet und damit brach alles Schlechte über die bis zu diesem Zeitpunkt unbeschwerte Menschheit herein. An den Folgen laboriert die Welt bis heute. Jetzt soll nach dem Willen der EU eine neue Büchse angefertigt und mit unvorstellbar vielen Daten gefüllt werden. Auch sie soll streng verschlossen bleiben und nur in Ausnahmesituationen (wie Terroranschlägen) geöffnet werden. Allerdings steht schon eine ganze Reihe von Neugierigen Schlange, die den Schlüssel für die Büchse haben wollen, bevor sie überhaupt befüllt ist. Das Ende ist abzusehen. Die Menschen werden wahrscheinlich nie klug werden.

Mit der am 15.3.2006 von der EU beschlossenen Richtlinie über die Vorratsspeicherung von Daten (2006/24/EG) wurde ein Prinzip der europäischen Grundrechtstradition über den Haufen geworfen. Dieses Prinzip besagt, dass bei jedem Grundrechtseingriff zu prüfen ist, ob er angesichts des Anlasses verhältnismäßig ist. Bei der Vorratsdatenspeicherung ist diese Prüfung von vorneherein unmöglich, weil es gar keinen Anlassfall gibt. Das Wesen der Vorratsdatenspeicherung besteht gerade darin, dass ohne konkreten Anlassfall im vorhinein auf die bloße Möglichkeit hin, dass man vielleicht in Zukunft die Daten benötigen könnte, gespeichert wird. Dem Gesetzgeber der Richtlinie dürfte die Problematik dieser Verhältnismäßigkeit zwar bewusst gewesen sein, weil er sie selbst immer wieder erwähnt, offensichtlich sah man aber die "bloße" Speicherung von Daten noch nicht als so gravierend an.

Sehr wohl wurde aber bei der Frage des Zuganges zu den Daten ausdrücklich darauf hingewiesen, dass die Anforderungen der Notwendigkeit und der Verhältnismäßigkeit im Sinne der EMRK in der Auslegung des Europäischen Gerichtshofes für Menschenrechte (EGMR) einzuhalten seien (Art 4). Letztlich ist das aber nur eine wohlgemeinte Empfehlung. Der EU-Gesetzgeber erließ die Richtlinie nämlich nicht als polizeiliche Maßnahme, sondern als wettbewerbsrechtliche. Für alles andere wären nämlich die gesetzgebenden Organe gar nicht zuständig gewesen (dazu weiter unten). Deshalb überließ er die Regelung des Zuganges zu den Daten auch den Mitgliedstaaten. Die Empfehlung klingt etwas nach schlechtem Gewissen. Offenbar war dem Gesetzgeber bewusst, welche Gefahrenquelle er mit dem Vorratsdatenhaufen schafft. Er ermahnt deswegen die Mitgliedstaaten gut auf die gesammelten Daten aufzupassen und bei der Herausgabe vorsichtig zu sein. Aber die Regeln dafür müssen die Mitgliedstaaten nach ihrem nationalen Recht aufstellen.

Es wird immer wieder versucht, die Bedeutung der Datenspeicherung herunterzuspielen. Durch das bloße Speichern sei niemand beschwert. Das kommt bei den Leuten auf der Straße gut an. Immer wieder hört man das Argument: Wer nichts zu verbergen hat, den braucht das nicht zu stören. Diese Argumentation verkennt aber das Wesen des Datenschutzes und anderer Grundrechte. Mit der gleichen Argumentation könnte man gleich auch alle Inhalte aufzeichnen und überhaupt das ganze Leben mit Überwachungskameras festhalten. Vielleicht würde das auch die Aufklärung des einen oder anderen Deliktes erleichtern. Polizei und verschiedene Interessengruppen wären darüber sicher hoch erfreut, beim Großteil der Bevölkerung dürfte eine so weit gehende Überwachung aber doch auf Ablehnung stoßen, auch wenn man nichts zu verbergen hat. Aber die Speicherung aller Kommunikationsdaten ist bereits der erste und wichtigste Schritt zur Überwachung. Ob das einmal Gespeicherte dann angeschaut oder ausgewertet wird, ist mehr oder minder dem Zufall überlassen. Ständige Überwachung ist aber mit einem demokratischen Staatswesen unvereinbar oder, wie es der Berliner Rechtsanwalt Meinrad Starostik, einer der 35.000 Kläger gegen die deutsche Umsetzung der Vorratsdatenspeicherung, formulierte: "Freiheit und unbeobachtetes Leben sind Grundlage einer Demokratie. Mit der Vorratsdatenspeicherung würden die Bürger vom Staat quasi allwissend überwacht".

Nach der Vorgabe der Richtlinie soll gespeichert werden, wer mit wem wann kommuniziert hat, aber nicht was. Die EU geht hier von der langläufigen Unterscheidung zwischen Verkehrsdaten und Inhaltsdaten aus. Diese stammt aus der Zeit der Festnetztelefonie. Mit dem Mobilfunk kamen noch die Standortdaten hinzu. Auf das Internet lässt sich diese Einteilung nur sehr bedingt übertragen. Analog anwenden lässt sie sich etwa auf den E-Mail-Verkehr, nicht aber auf das Abrufen von Websites. Hier ist die Problematik eine andere. Letztlich geht es dabei um die Frage, ob Anonymität im Internet zulässig ist oder ob Vorsorge getroffen werden muss, dass sie im Falle des Falles aufgehoben werden kann. Genau dafür soll nämlich die Zuordnung einer IP-Adresse zu einem bestimmten User gespeichert werden. Das sind noch keine Inhaltsdaten wie der Inhalt eines Telefongespräches, aber auch keine bloßen Verkehrsdaten wie Zeit und Beteiligte eines Telefongespräches. Wer das bestreitet, der soll sich einmal selbst die Frage stellen, ob er damit einverstanden wäre, dass seine jeweilige IP-Adresse ähnlich seiner Telefonnummer im öffentlichen Telefonbuch jederzeit abgefragt werden kann. Dann kommt man nämlich darauf, dass die IP-Adresse viel heikler ist als die Telefonnummer. Mit der IP-Adresse ist man nämlich überall im Internet identifizierbar. Das wäre ähnlich, wie wenn der Fernsehsender nicht nur feststellen könnte, welche Sendung man anschaut, sondern auch noch, worauf sich die spezielle Aufmerksamkeit richtet. Schließlich wird im Internet jeder Mausklick vom Webserver mit IP-Adresse und Zeitstempel registriert und damit auch die Verweildauer auf einer bestimmten Seite. Damit kann aus dem Server-Logfile der besuchten Website ein genaues Profil seiner speziellen Interessen angelegt werden. Allerdings ist der User durch seine Anonymität so lange geschützt, als er nicht als Inhaber seiner IP-Adresse enttarnt wird. In diese Situation kommt der Inhaber einer Telefonnummer nicht, außer er begeht anonymen Telefonterror, dann muss auch er die Ausforschung fürchten.

Die Frage, wer mit wem wann telefoniert hat, mag in vielen Fällen harmlos sein, allerdings können auch daraus über einen längeren Zeitraum interessante Profile erstellt werden. Auch diese echten Verkehrsdaten sind, wenn sie über einen längeren Zeitraum angesammelt werden, nicht harmlos. Das Sprichwort "Sag mir, mit wem Du verkehrst, und ich sage Dir, wer Du bist" gewinnt hier eine neue Bedeutung. In speziellen Fällen kann aber darüber hinaus aus den bloßen Teilnehmern eines Telefonates auch auf den Inhalt geschlossen werden. Gerade im sensiblen Bereich der Massenmedien wird der Informantenschutz praktisch ausgehebelt. Dringen Details eines Skandals über die Medien an die Öffentlichkeit, lässt sich anhand der Verkehrsdaten unter Umständen sehr rasch die undichte Stelle ausforschen.

Im allgemeinen aber dürfen IP-Adressen nicht mit gewöhnlichen Verkehrsdaten auf eine Stufe gestellt werden. Das Schutzbedürfnis des Internetsurfers ist höher als desjenigen, der nur telefoniert. Beim Telefonat kann aus den Telefonnummern nur ausnahmsweise auf den Inhalt des Gespräches geschlossen werden. Offen gelegt wird nur, dass ein Kommunikationsvorgang stattgefunden hat. Beim Internetsurfer ist der Inhalt eines Kommunikationsvorganges bereits bekannt, weil er öffentlich erfolgt. Durch die Zuordnung der IP-Adresse zu einer Person wird der Kommunizierende enttarnt und damit der Kommunikationsvorgang mit seinem Inhalt offengelegt. Folgerichtig soll durch die anstehende TKG-Novelle auch die IP-Adresse erstmals gesondert erfasst werden (§ 92 Abs. 3 Z 16 des Entwurfes). Allerdings werden aus dieser Sonderstellung keine speziellen Rechtsfolgen abgeleitet. Der Entwurf wertet nämlich die dynamischen IP-Adressen als bloße Zugangsdaten (Untergattung der Verkehrsdaten), die fixen IP-Adressen (zur Unterscheidung) gar als Stammdaten, womit wir wieder beim Telefon wären.

Das größte Manko des Gesetzesentwurfes liegt aber in der Definition des Begriffes "Vorratsdaten". Im geplanten § 92 Abs. 3 Z 6b heißt es: "Vorratsdaten sind Daten, die ausschließlich aufgrund der Speicherverpflichtung gem. § 102a gespeichert werden". Was hier fehlt, ist das Wort "dürfen". Wenn nämlich diese Daten bisher schon (etwa zu Verrechnungszwecken) gespeichert wurden, wenn auch unzulässiger Weise (OGH 14.7.2009, 4 Ob 41/09x), wie von einigen großen Anbietern bekannt, dann kann man in Zukunft argumentieren, dass die Speicherung nicht ausschließlich wegen der neuen Verpflichtung  (§ 102a) erfolgt, und dann sind das plötzlich keine Vorratsdaten mehr! Diese Doppelnatur der Daten ermöglicht interessante Spielchen. Je nach Lust und Laune des Providers unterliegen sie den strengen Bestimmungen über die Vorratsdaten oder auch nicht. Das erweckt den Eindruck, dass irgendwer nicht besonders glücklich darüber war, dass die verschiedenen Daten, die schon bisher in einer rechtlichen Grauzone umfangreich gespeichert wurden und an denen man sich ausgiebig und ohne große Einschränkung bedient hat, plötzlich dem strengen Schutzregime der Vorratsdaten unterliegen, nur weil sie jetzt gespeichert werden müssen. Man möchte also gerne so tun, als wenn das weiterhin keine Vorratsdaten wären, obwohl sie nach der Richtlinie eindeutig Vorratsdaten sind.

Ich kann und will hier keine vollständige Abhandlung über die Ergüsse aus der Vorratsbüchse der EU und deren mögliche Gefahren erstellen. Das Problem liegt hier, wie bei vielem, darin, dass der Großteil der gesammelten Daten harmlos sein wird. Etwa so harmlos und sinnlos wie die Verkehrsdaten der Millionen von Spam-Mails, die wir täglich erhalten. Es genügt aber, wenn wenige Prozente aller Daten sensibel sind. Die Vorratsdatenbüchse birgt unabsehbare Risken und der Inhalt wird in jedem Fall zweckentfremdet werden, soviel ergibt sich schon aus dem ersten Umsetzungsentwurf, da muss man noch gar nicht an illegale Machenschaften denken. Es ist illusorisch zu glauben, dass die Verwendung der Daten auf schwere Verbrechen beschränkt bleibt. Wenn die Daten einmal da sind, werden sie verwendet, so oder so.

Österreich ist derzeit mitten im Umsetzungsprozess. Weil die Frist für die Umsetzung längst abgelaufen ist, droht auch bereits eine Klage der EU-Kommission. Die Frage ist aber, ob eine Umsetzung der Vorratsdatenspeicherung wirklich zwingend erforderlich ist; dies vor allem angesichts des Aufbäumens gegen diese Maßnahme, das nun da und dort spürbar wird. Soll und muss eine Richtlinie, deren Umsetzung möglicherweise gegen die Verfassung verstößt, umgesetzt werden? Grundsätzlich ja. EU-Recht steht über der nationalen Verfassung. Die EU-Länder müssten dann ihre Verfassungen anpassen. Meiner Meinung müssten sie auch aus der EMRK austreten, da die Vorratsdatenspeicherung nie und nimmer mit dem Grundsatz der Verhältnismäßigkeit, wie er bisher vom EGMR judiziert wurde, zusammenpasst. Die andere Alternative ist, dass sie laufend Verurteilungen riskieren. Ob sich dieser "Downgrade" bei den Grundrechten für die Vorratsdatenspeicherung, deren Wirksamkeit ohnedies von Experten bezweifelt wird und die von gewieften Verbrechern leicht ausgetrickst werden kann, auszahlt, damit müssen sich derzeit vor allem unsere Parlamentarier auseinandersetzen.

Angesichts dieser dramatischen Situation stellt sich die Frage, ob es nicht einen Weg gibt, wie man den Willen des EU-Gesetzgebers befolgen kann, ohne angestammte Grundrechte über Bord zu werfen. Was tut man, wenn man zwei Normen anwenden soll, die sich nicht miteinander vereinbaren lassen? Wenn es sich um EU-Normen handelt, ruft man normalerweise den EuGH an. Genau das sollte Österreich machen, wobei allerdings ein aktives Anrufen gar nicht erforderlich wäre, weil wir im Falle der Nichtumsetzung ohnedies dort landen. 

Bei der Richtlinie über die Vorratsdatenspeicherung handelt es sich um eine wettbewerbsrechtliche Norm. Das hat jedenfalls der EuGH selbst im Fall der Klage der Republik Irland bestätigt (10.2.2009, C-301/06). Für eine strafrechtliche Norm wären nämlich die konkreten Gesetzgebungsorgane (Rat und Parlament) gar nicht zuständig gewesen. Die Richtlinie dient also, auch wenn das von der Vorgeschichte her nicht wirklich plausibel ist, festgestelltermaßen der Schaffung gleicher Wettbewerbsbedingungen für die europäischen Provider; ungleiche Belastungen mit hohen Speicherkosten sollen verhindert werden. Man sollte daher den EuGH beim Wort nehmen und eine Lösung suchen, die das Ziel der Beseitigung von Wettbewerbshindernissen auf andere Weise erreicht als mit der Bespitzelung sämtlicher Staatsbürger. Denkbar wäre zu diesem Zweck etwa eine "Vorratsdatenspeicherersatzsteuer". Durch eine solche Steuer könnte der Unterschied in der Belastung mit Speicherkosten, der nach der Richtlinie wegen der Bandbreite von 6 bis 24 Monaten ohnedies großteils bestehen bleibt, minimiert werden und damit der eigentliche Zweck der Richtlinie viel besser erreicht werden als mit der tatsächlichen Speicherung.

Viele Leute werden jetzt sagen: Das kommt überhaupt nicht in Frage, dafür auch noch etwas zahlen zu müssen. Man darf dabei aber nicht vergessen, dass wir diesen Preis auch bei einer buchstabengemäßen Umsetzung der Richtlinie zahlen müssen, dann allerdings für die konkrete Speicherung unserer Daten. So würden wir für die Bewahrung der Grundrechte bezahlen, was mir deutlich sympathischer wäre. Auch wenn diese Idee zunächst etwas fantastisch klingt, wäre es zumindest eine Möglichkeit um Zeit zu gewinnen. Ein solcher Zeitgewinn könnte günstig sein, weil vielleicht weitere für die Vorratsdatenspeicherung negative Verfassungsgerichtentscheidungen zu einem generellen Umdenken in Europa führen könnten. Man mag die Entscheidungen des rumänischen und des bulgarischen Verfassungsgerichtes als Randerscheinungen abtun. Wenn sich aber das deutsche Bundesverfassungsgericht dieser Meinung anschließt und auch noch andere Verfassungsgerichte mit Erfolg angerufen werden, entsteht eine neue Situation innerhalb der EU. Dann stehen diese Länder nämlich vor der Entscheidung, entweder ihre Verfassungsgesetze ändern zu müssen, was politisch nicht so einfach ist, oder eine Änderung der EU-Rechtslage herbeizuführen.

Es wäre sehr interessant, wie der EuGH ein solches Vorgehen beurteilen würde. Auch für diesen hat sich nämlich mittlerweile die Rechtslage geändert, weil am 1.12.2009 die Europäische Grundrechtscharta in Kraft getreten ist und der EuGH auf diese Weise erstmals gezwungen werden könnte, diese und ihr Verhältnis zur EMRK auszulegen und sich mit der Judikatur des EGMR zur Verhältnismäßigkeit auseinanderzusetzen. Die Chancen, dass die Vorratsbüchse der EU nicht gefüllt wird, stünden dann gar nicht so schlecht (zumindest, wenn es in dieser Zeit nicht wieder zu einem Terroranschlag kommt).

16.12.2009

Franz Schmidbauer

zum Seitenanfang

zur Übersicht Aktuelles