© bizoon / 123RF.com

Der Europäische Gerichtshof hat detaillierte Vorgaben zur anlasslosen Speicherung von IP-Adressen gemacht. Nach Ansicht des Branchenverbands Eco dürfen die Provider eher weniger Daten speichern.

Das Thema beschäftigt das höchste europäische Gericht schon seit Jahren: Unter welchen Bedingungen dürfen Provider dazu verpflichtet werden, personenbezogene Daten von Handy- und Internet-Nutzern anlasslos und dauerhaft zu speichern? In dieser Frage hat der Europäische Gerichtshof (EuGH) nun konkrete Vorgaben gemacht (Rechtssache C-470/21). Zwar hat das Urteil den Befürwortern einer Vorratsdatenspeicherung von IP-Adressen neue Argumente geliefert, doch nach Einschätzung von Eco-Vorstand Klaus Landefeld müssen die Provider eigentlich die Speichersysteme für Carrier-Grade-NAT-Bewegungen (CGNAT) jetzt umgehend abschalten.

Hintergrund des Urteils vom 30. April 2024 [1] ist eine Klage von Netzaktivisten gegen die französische Regierung. Darin geht es um die Frage, ob die französische Behörde Hadopi zur Bekämpfung von Urheberrechtsverstößen die Identität von Internet-Nutzern ermitteln darf. Die erforderlichen IP-Adressen sammeln Rechteinhaber auf Peer-to-Peer-Tauschbörsen im Netz, während die Internet-Provider auf Anfrage die dazugehörigen Bestandsdaten der Nutzer herausgeben sollen.

Speicherung stark eingeschränkt

Bislang vertrat der EuGH in seinen Urteilen die Auffassung, dass eine staatliche Verpflichtung zur massenhaften und anlasslosen Speicherung von IP-Adressen “nur zum Schutz der nationalen Sicherheit, zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit für einen auf das absolut Notwendige begrenzten Zeitraum zulässig ist” (Rechtssache C-794/19).

Auf Basis dieses Urteils vom September 2022 [2] gegen die deutsche Vorratsdatenspeicherung fordern Innenpolitiker von Union und SPD, die Speicherung von IP-Adressen beispielsweise zur Bekämpfung sexuellen Missbrauchs von Kindern gesetzlich zu verankern. Die Ampelkoalition von SPD, Grünen und FDP einigte sich kürzlich jedoch darauf, Kommunikationsdaten nicht präventiv speichern zu lassen, sondern nur im konkreten Verdachtsfall. Das ist als Quick-Freeze-Verfahren bekannt.

Verknüpfung entscheidend

In dem Verfahren um Hadopi lockert der EuGH jedoch seine vorherige Rechtsprechung. Nun kommen die Luxemburger Richter in ihrem Urteil zu dem Schluss, dass die Schwere eines Grundrechtseingriffs durch die Datenspeicherung davon abhängt, inwieweit sich die IP-Adressen mit anderen gespeicherten Daten verknüpfen lassen. Das betrifft beispielsweise Verkehrs- und Standortdaten sowie mögliche Daten, die die Inhalte einer Kommunikation betreffen.

Nach Ansicht des Gerichts dürfen IP-Adressen generell zur Bekämpfung von Straftaten gespeichert werden, “wenn tatsächlich ausgeschlossen ist, dass diese Speicherung schwere Eingriffe in das Privatleben des Betroffenen zur Folge haben kann, die darauf beruhen, dass insbesondere durch eine Verknüpfung dieser IP-Adressen mit einem von den Betreibern ebenfalls gespeicherten Satz von Verkehrs- oder Standortdaten die Möglichkeit besteht, genaue Schlüsse in Bezug auf ihn zu ziehen”.

Damit dies “tatsächlich ausgeschlossen” ist, sollte der Gesetzgeber den Providern und Diensteanbietern entsprechende Vorgaben zur Datenspeicherung machen.

Konkrete Speichervorgaben

Dazu nennt der EuGH vier konkrete Vorgaben. Demnach müssen die nationalen Regeln sicherstellen, dass:

• jede Kategorie von Daten einschließlich der Identitätsdaten und der IP-Adressen völlig getrennt von den übrigen Kategorien auf Vorrat gespeicherter Daten gespeichert wird,
• in technischer Hinsicht durch eine “abgesicherte und zuverlässige Datenverarbeitungseinrichtung” eine wirksame strikte Trennung zwischen den verschiedenen Kategorien auf Vorrat gespeicherter Daten stattfindet, unter anderem den Identitätsdaten, den IP-Adressen, den verschiedenen Verkehrsdaten außer den IP-Adressen und den verschiedenen Standortdaten,
• eine Verknüpfung von IP-Adressen und Identität des Betroffenen nur unter Verwendung eines “leistungsfähigen technischen Verfahrens” erlaubt ist, das die Wirksamkeit der strikten Trennung dieser Datenkategorien nicht infrage stellt, und
• die Zuverlässigkeit dieser strikten Trennung regelmäßig Gegenstand einer Kontrolle durch eine andere Behörde als diejenige ist, “die Zugang zu den von den Betreibern elektronischer Kommunikationsdienste auf Vorrat gespeicherten personenbezogenen Daten begehrt”.

Unverändert bleibt jedoch die Vorgabe, dass die Regelung eine auf das absolut Notwendige begrenzte Dauer der Speicherung vorsehen soll. Falls die Vorgaben eingehalten würden, stellt eine allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen laut EuGH keinen schweren Eingriff in das Privatleben ihrer Inhaber dar: Solche Daten erlauben es nach Ansicht des Gerichts nicht, genaue Schlüsse auf das Privatleben der Betroffenen zu ziehen.

Kein Zugriff auf Inhalte

Wichtig für das EuGH ist daher die Tatsache, dass die herausgegebenen IP-Adressen im Falle von Hadopi nur mit der Identität des Betroffenen verknüpft sind, nicht jedoch mit über diese Adresse abgerufenen oder hochgeladenen Inhalten. “Wird eine IP-Adresse somit nur dazu genutzt, ihren Inhaber im Rahmen eines spezifischen Verwaltungsverfahrens, das zu seiner strafrechtlichen Verfolgung führen kann, zu identifizieren, und nicht zu Zwecken, die etwa darauf abzielen, seine Kontakte oder seinen Standort herauszufinden, so betrifft der allein zu diesem Zweck dienende Zugang zu der IP-Adresse diese als Identitätsdatum und nicht als Verkehrsdatum”, heißt es in der Randnummer 101.

Im konkreten Fall soll es den Mitarbeitern der Hadopi untersagt sein, “Informationen über den Inhalt der von den Inhabern der IP-Adressen konsultierten Dateien, außer zum alleinigen Zweck der Befassung der Staatsanwaltschaft, in welcher Form auch immer offenzulegen, die von diesen Personen besuchten Internet-Seiten nachzuverfolgen und allgemeiner die IP-Adressen zu anderen Zwecken als dem der Identifizierung ihrer Inhaber im Hinblick auf den Erlass etwaiger gegen sie gerichteter Maßnahmen zu nutzen”.

Was gilt für Provider?

Was bedeuten diese Vorgaben in der Praxis für die Provider? Wie sollen sie sicherstellen, dass die IP-Adressen nicht mit Inhalten zu verknüpfen sind? Für Klaus Landefeld vom IT-Branchenverband Eco (Abbildung 1) könnte das Urteil zur Folge haben, dass vor allem Internet-Zugangs-Provider ihre bisherige Speicherpraxis ändern müssten.

Abbildung 1: Klaus Landefeld vom IT-Verband Eco sieht umfassende Änderungen kommen. Quelle: Eco

“Wenn ich heute einen Nutzer erfolgreich identifizieren möchte, muss ich mindestens Quell-IP, Quell-Port, Ziel-IP, Ziel-Port und den genauen Zeitstempel speichern, dazu die Zuordnung der (privaten) IPs zu den Kunden über die Zeit. Diese Datensammlung ermöglicht aber exakt das, was nach dem Urteil vollständig unmöglich sein soll – nämlich die Erstellung eines konkreten Nutzungsprofils eines Kunden wie zum Beispiel, wann er aktiv ist, welche Seiten er besucht hat, wie oft er diese aufruft und so weiter”, sagte Landefeld auf Anfrage.

Dies seien jedoch genau diejenigen Daten, für deren Speicherung es derzeit in Deutschland keine Rechtsgrundlage gebe und die nur “aus betrieblichen Gründen zur Störungsbekämpfung” überhaupt gespeichert würden. Auch eine konkrete Speicherdauer dazu gebe es nicht.

Speichersysteme abschalten

“Wenn ich nun überhaupt keine Daten mehr speichern darf, die zur Erstellung von vollständigen Nutzungsprofilen verwendet werden können, sind die Zugangsanbieter eigentlich raus und müssten ihre die CGNAT-Bewegungen erfassenden Speichersysteme umgehend abschalten”, sagte Landefeld.

Der Eco hatte schon 2015 [3] darauf hingewiesen, dass sich die damals noch von Union und SPD geplante Vorratsdatenspeicherung technisch kaum umsetzen lässt. Der Verband verwies darauf, dass aufgrund des knapp gewordenen IPv4-Adressraums viele Provider den Nutzern keine öffentlichen IP-Adressen mehr gäben, sondern einzelne IP-Adressen auf mehrere Nutzer verteilten.

Um einen Anschluss eindeutig zu identifizieren, müsste durch die Anbieter zunächst eine neue, riesige Datenbank aufgebaut werden, hieß es damals. Der Provider müsste neben dem benutzten Port auch die exakten Nutzungszeiten aufzeichnen. Trotz der kürzeren Speicherfristen könnte damit “ein vollständiges Nutzerprofil des Einzelnen erstellt werden”.

Nun sagte Landefeld, die in der in Frankreich und Deutschland ausgesetzten Version der Vorratsdatenspeicherung vorgesehene Speicherung reiner IP-Adressen sei “nicht länger zielführend und würde bei dem überwiegenden Teil der Anbieter keine Identifikation mehr ermöglichen”: Ein IP-only-System identifiziere faktisch nur eine Gruppe von rund 50 bis 200 Personen, die zu einem jeweiligen Zeitpunkt aktiv waren.

Freiwillige Erhebung unzulässig?

Aus dem aktuellen Urteil heraus ist nach Ansicht Landefelds “die freiwillige Erhebung oder Anordnung zur Erfassung der zur genauen Zuordnung notwendigen Daten – noch dazu rein zu Zwecken der Strafverfolgung – jedenfalls unzulässig”.

Mit Blick auf IP-Adressen dürfte das EuGH-Urteil also die Speichermöglichkeiten bei bestimmten Diensteanbietern erleichtern. Nach Einschätzung Landefelds betrifft das die bei ihnen anfallenden Teildaten der Nutzung ohne eine Zuordnung zur Person – beispielsweise, welche IP-Adresse einen bestimmten Dienst genutzt oder eine bestimmte Datei hochgeladen hat. “Das ist aber nichts anderes, als wir sowieso von den Anbietern heute erwarten, um beispielsweise Meldungen zu machen oder Ähnliches”, sagte der Eco-Vorstand.

Kehrtwende des EuGH

Trotz dieser aus Sicht der Provider eher zurückhaltenden Einschätzung sprechen Juristen sogar von einer “kopernikanischen Wende des EuGH im Bereich der Datenspeicherung”. Anders als bisher werde eine anlasslose Vorratsdatenspeicherung nun nicht mehr in allen Konstellationen als schwerer Grundrechtseingriff eingeordnet, sagte Philipp Hacker von der Europa-Universität Viadrina laut Science Media Center [4].

Auch Dennis-Kenji Kipker von der Hochschule Bremen sieht in dem Urteil eine deutliche Kehrtwende in der Rechtsprechung des digitalen Grundrechtsschutzes. Seiner Ansicht nach bahnt sich an, die Vorratsdatenspeicherung mit den Aufweichungen sogar zur Verfolgung von Urheberrechtsverstößen von der Ausnahme zum Regelfall zu machen.

Kipker äußerte dabei Unverständnis über die Einschätzung der Richter. Die Behauptung, durch eine Datentrennung sei es nicht möglich, Schlüsse auf das Privatleben zu ziehen, mute absurd an: Genau das sei mit der Auswertung von Vorratsdaten ja möglich und beabsichtigt, sagte der Professor für IT-Sicherheitsrecht.

Speicherpflicht

Noch weiter gehen die Befürworter einer anlasslosen Vorratsdatenspeicherung in der Interpretation des Urteils. So entschied der EuGH nach Ansicht von Bundesinnenministerin Nancy Faeser (SPD), “dass eine Pflicht zur Speicherung von IP-Adressen zur Verbrechensbekämpfung nicht nur ausdrücklich zulässig, sondern auch zwingend erforderlich ist”. Dabei bezog sie sich auf die Äußerung der Richter, dass ohne den Zugang von Ermittlern und Behörden wie Hadopi zu IP-Adressen “eine echte Gefahr der systemischen Straflosigkeit” im Internet bestehe. Ein zwingendes Erfordernis für die Speicherung sieht der EuGH jedoch nicht.

Faeser forderte daher ein weiteres Mal: “Wir brauchen eine kurzzeitige Pflicht zur Speicherung von IP-Adressen bei den Anbietern, um Täter zu identifizieren, Kriminalität effektiv zu bekämpfen und insbesondere Kinder vor sexualisierter Gewalt zu schützen. Dafür werde ich mich weiter stark einsetzen.”

FDP strikt dagegen

Beim Koalitionspartner FDP stößt sie dabei jedoch weiterhin auf taube Ohren. “Die Abkehr des EuGH von seiner grundrechtsfreundlichen Haltung bedauere ich. Diejenigen europäischen Kräfte, die eine Massenüberwachung unbescholtener Bürger seit Jahrzehnten fordern, erhalten dadurch Rückenwind in ihrem Kampf gegen die persönliche Privatsphäre”, sagte der digitalpolitische Sprecher der FDP-Bundestagsfraktion, Maximilian Funke-Kaiser, auf Anfrage.

Die FDP spreche sich weiterhin gegen jede Form der verdachtsunabhängigen Vorratsdatenspeicherung aus. Der von Bundesjustizminister Marco Buschmann vorgelegte Entwurf für ein Quick-Freeze-Verfahren zeige, “wie man das Recht online durchsetzen kann, ohne unschuldige Mitmenschen unter Verdacht zu stellen”. Deutschland erhalte mit dem Quick-Freeze-Verfahren eine grundrechtskonforme Methode, die nur bei tatsächlichen Verdachtsfällen mit richterlichem Vorbehalt zum Einsatz komme.  (uba)