Bundesverfassungsgericht sieht Pflicht von Providern bei Telekommunikationsüberwachung IP-Adressen zu erheben > Cybercrime Blog

Das Bundesverfassungsgericht konnte sich zum Umfang der Überwachungspflicht im Rahmen von §100a StPO äussern und eine Quasi-Vorratsdatenspeicherung auf Zuruf etablieren.

Dabei ging es um den Anbieter eines E-Mail-Dienstes, der Über das Internet zugänglich war. Der Anbieter bewarb seine Dienstleistung dabei, dass er sein internes Netz über ein sogenanntes NAT-Verfahren (Network Adress Translation), bei dem die Adressinformationen in Datenpaketen automatisiert durch andere ersetzt würden, aus Sicherheitsgründen strikt vom Internet abtrennt. Die IP-Adressen der Kunden wurden hierbei bereits an den Außengrenzen des Systems verworfen und waren dem Zugriff des Mail-Anbieters entzogen.

Zum Thema Mailüberwachung bei uns:

RA JF schreibt hier im Blog und bietet ergänzend Vorträge rund um Datenschutz, Softwarerecht, digitale Ermittlungen & Beweise samt Cybersecurity + Cybercrime!

Inhalte Anzeigen

Grundsätzlicher Sachverhalt

Nachdem nun ein Nutzer dieses Anbieters zu überwachen war, teilte der Provider mit, keine IP-Adressen zu erheben. Der Überwachung zu Grunde lag ein richterlicher Beschluss dieser Art:

Mit Beschluss vom 25. Juli 2016 ordnete das Amtsgericht Stuttgart auf Antrag der Staatsanwaltschaft gemäß §§ 100a, 100b StPO in der Fassung vor Inkrafttreten des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens vom 17. August 2017 (BGBl I S. 3202) die Sicherung, Spiegelung und Herausgabe aller Daten, die auf den Servern von „XX…“ bezüglich des betreffenden E-Mail-Accounts elektronisch gespeichert sind, „sowie sämtlicher bezüglich dieses Accounts künftig anfallender Daten (Inhalts- und Verkehrsdaten nebst IP-Adressen, insbesondere auch bei den zukünftigen Login-Vorgängen anfallender IP-Adressen)“
BVerfG, 2 BvR 2377/16

Der Provider teilte keine IP-Adressen mit, da er dies nicht erhoben hat, die Staatsanwaltschaft beantragte Ordnungsmittel. Es gab sodann ein Ordnungsgeld, mit der Begründung, dass der Provider zwar die IP-Adressen nicht erhebe, aber eben erheben könnte – und dies dann auch zu tun habe wenn eine Überwachung nach §100a StPO angeordnet ist. Die hiergegen gerichtete Beschwerde verwarf das Landgericht. Ein weiteres Rechtsmittel gibt es nicht, somit konnte das Bundesverfassungsgericht angerufen werden.

Die Entscheidung des Bundesverfassungsgerichts

Das Bundesverfassungsgericht sieht keine verfassungsrechtlichen Bedenken:

Die Fachgerichte durften ohne Verfassungsverstoß davon ausgehen, dass der Beschwerdeführer verpflichtet war, den Ermittlungsbehörden die am überwachten Account vom Zeitpunkt der Anordnung an anfallenden externen IP-Adressen zur Verfügung zu stellen, weil die Überwachung der Telekommunikation im Sinne von § 100a StPO nicht nur die Kommunikationsinhalte, sondern auch die näheren Umstände der Telekommunikation einschließlich der fraglichen IP-Adressen erfasst. Vor diesem Hintergrund ist gegen die Auffassung des Landgerichts, wonach der Beschwerdeführer (…) verpflichtet ist, seinen Betrieb so zu gestalten, dass er diese – bei ihm vorhandenen – IP-Adressen im Rahmen einer rechtmäßig angeordneten Überwachung der Telekommunikation bereitstellen kann, von Verfassungs wegen nichts zu erinnern
BVerfG, 2 BvR 2377/16

Dabei muss man nochmals daran erinnern, dass das Bundesverfassungsgericht keine Rechtsmittelinstanz ist, keine so genannte „Superrevisionsinstanz“. Es prüft hier nicht, ob das Recht anders „besser“ anzuwenden ist, sondern alleine ob verfassungsrechtliche Bedenken an der vorgenommenen Auslegung bestehen. Dies betont das BVerfG an versteckter Stelle auch ausdrücklich, man mag vielleicht sogar einen gewissen Unterton hinein interpretieren:

Das Bundesverfassungsgericht hat in diesem Zusammenhang nicht darüber zu befinden, welcher konkrete Systemaufbau unter Datenschutzaspekten vorzugswürdig erscheint. Es hat nur darüber zu entscheiden, ob die Auslegung der gesetzlichen Vorgaben durch die Fachgerichte Grundrechte des Beschwerdeführers verletzt. Die Rechtsauffassung des Landgerichts lässt nach den obigen Darlegungen jedoch weder einen Verstoß gegen das Willkürverbot noch gegen spezifisches Verfassungsrecht erkennen. Zwar erscheint das Anliegen des Beschwerdeführers, ein datenschutzoptimiertes und daher für viele Nutzer attraktives Geschäftsmodell anzubieten, auch unter dem Gesichtspunkt des Art. 12 Abs. 1 GG grundsätzlich durchaus schützenswert. Dies kann ihn jedoch nicht von den im Rahmen einer vertretbaren Auslegung gewonnenen Vorgaben des TKG und der TKÜV, die dem verfassungsrechtlichen Erfordernis einer funktionstüchtigen Strafrechtspflege Rechnung tragen (…), entbinden.
BVerfG, 2 BvR 2377/16

Ist die IP-Adresse beim Provider vorhanden?

Zur Anwendung gelangte hier die TKÜV, was ich durchaus streitbar finde (dazu sogleich). Wenn man aber wie Landgericht und BVerfG von der Anwendbarkeit der TKÜV ausgeht – hier konkret § 7 Abs. 1 Satz 1 TKÜV – ist dann zu fragen, ob die IP-Adressen überhaupt im Sinne der TKÜV beim Mail-Provider vorhanden sind. Hier krankt es nun etwas, dass nicht die genaue Systeminfrastuktur des Providers im Sachverhalt beschrieben ist, lediglich, dass ein „NAT-Lastverteiler“ existiert, bei dem der Provider nach eigener Wortwahl die „Außengrenze“ und die „Innengrenze“ unterschieden hat. Insgesamt klingt dies für mich nach einem NAT basierten LSB, was in der Tat im internen Netz dazu führen könnte, dass die äusseren IP-Adressen nicht nötig sind und auch quasi flüchtig behandelt und sofort gelöscht werden können. Allerdings gibt es hierbei dann genau die Problematik, die auch der Beschwerdeführer selber einräumen musste: Er hat sich zwar selber eingeschlossen, das aber ist keineswegs zwingend:

Schon aus der von ihm beschriebenen Systemstruktur ergibt sich, dass der Beschwerdeführer die öffentlichen IP-Adressen seiner Kunden wenigstens für die Dauer der Kommunikation speichern muss, da er ansonsten die abgerufenen Datenpakete seinen Kunden gar nicht übersenden könnte. Dies steht im Einklang mit der Stellungnahme des Bundesamtes für Sicherheit in der Informationstechnik, wonach die Software auf dem NAT-Lastverteiler in der Lage sein müsse, für die Gesamtdauer einer Verbindung die internen Verbindungsdaten den externen Verbindungsdaten zuzuordnen, weil sonst eine erfolgreiche Kommunikation nicht möglich sei. Dementsprechend räumt der Beschwerdeführer in seiner Erwiderung auf die Stellungnahme des Bundesamts für Sicherheit in der Informationstechnik ein, dass die IP-Adressen in den programminternen Datenstrukturen gespeichert werden. (…) Jedenfalls fallen die Daten beim Zugriff auf den überwachten E-Mail-Account an, sind der Telekommunikationsanlage des Beschwerdeführers wenigstens zeitweise bekannt und werden von dieser auch zur Herstellung einer erfolgreichen Kommunikation mit dem anfragenden Kunden benutzt. Es ist daher jedenfalls verfassungsrechtlich vertretbar anzunehmen, die Daten seien beim Beschwerdeführer vorhanden und von diesem als Teil der vollständigen Kopie der überwachten, über seine Telekommunikationsanlage abgewickelten Telekommunikation bereitzustellen.

Dass der Beschwerdeführer auf die externen IP-Adressen – derzeit – nicht zugreifen kann, steht dem nicht entgegen. Denn dies liegt nicht daran, dass die Daten an sich nicht vorhanden wären, sondern allein daran, dass sich der Beschwerdeführer aus Datenschutzgründen dazu entschlossen hat, diese vor seinen internen Systemen zu verbergen und sie nicht zu protokollieren. Das Unterlassen einer entsprechenden Protokollierung ist indes nicht zwangsläufig mit dem Einsatz eines NAT-Lastverteilers verbunden, sondern allein dem vom Beschwerdeführer bewusst gewählten Geschäfts- und Systemmodell geschuldet. Dies wird nicht nur vom Bundesamt für Sicherheit in der Informationstechnik in seiner Stellungnahme bestätigt, welches eine entsprechende Protokollierung sogar empfiehlt, sondern wird zudem durch den Vortrag des Beschwerdeführers belegt, wonach er sein System, wenn auch mit nicht unerheblichem technischen und finanziellen Aufwand, entsprechend umgestalten könnte.
BVerfG, 2 BvR 2377/16

Ich sehe nicht, dass dieser Argumentation etwas entgegen zu halten ist – der Vorhalt, dass die Daten nur auf Grund einer bewussten Entscheidung nicht geliefert werden können und diese Entscheidung auch zu ändern ist, lässt sich schwerlich aus der Welt räumen.

Falsche Diskussion geführt?

Ich bin etwas überrascht, dass das BVerfG bei der Frage der schutzwürdigen Interessen nur einmal kurz auf seine Entscheidung BVerfGE 133, 168 („Verständigungsgesetz“ – oben zitiert mit Vermerk zum „Unterton“ von mir), verweist, wo seinerzeit nochmals zusammenfassend erklärt wurde, dass ein schützenswertes verfassungsrechtliches Erfordernis einer funktionstüchtigen Strafrechtspflege besteht. Die Diskussion zur Frage, ob die nur flüchtig erheben externe IP-Adresse bei einem selbst betriebenen NAT-Lastverteiler dem eigenen Machtbereich zuzuordnen ist, sehe ich von Anfang an als verloren an, wie man hier dann auch gesehen hat.

Die Frage ist doch nicht, ob die IP-Adresse vorhanden ist (sie ist es ja nun einmal); die Frage ist vielmehr, ob nicht die bewusste Entscheidung dieser geschaffenen Systemarchitektur verfassungsrechtlich schützenswert ist. Und dem ist dann wiederum die Strafrechtspflege gegenüber zu halten. In dem Zusammenhang dann wiederum überrascht mich, dass unwidersprochen (!) vorgebracht wurde, der Umbau des Systems koste 12 Monate und bis dahin sei eine Überwachungsmaßnahme ausgelaufen – dies bleibt vollkommen außen vor, abgesehen von der Prüfung, ob das Ordnungsgeld willkürlich war, da es quasi sinnentleert war (hier verweist das BVerfG allerdings zu Recht auf den zugleich repressiven wie präventiven Charakter).

Das Problem, das sich hier im Gesamtbild ergibt ist, dass nunmehr faktisch ein anonymer Betrieb von Mail-Konten mit dem deutschen Rechtssystem verboten ist. Denn wenn man auf Zuruf die IP-Adressen erheben muss und dabei unberücksichtigt bleibt, wie lange ein Rückbau des Systems dauert, muss jeder Provider immer auf Zuruf in der Lage sein, IP-Adressen zu erheben und an Behörden zu übermitteln. Und da hilft weder der Hinweis darauf, dass §100a StPO verfassungskonform ist, noch darauf, dass ja schliesslich für Betreiber von öffentlich zugänglichen Telekommunikationsdiensten sowieso die Verpflichtung besteht, technische Einrichtungen zur Umsetzung der Telekommunikationsüberwachung vorzuhalten und die entsprechenden organisatorischen Vorkehrungen für deren unverzügliche Umsetzung zu treffen (§ 110 Abs. 1 Satz 1 Nr. 1 TKG – siehe Rn.46). Denn genau hier müsste nun die Prüfung einsetzen, ob ein derart generalisiertes Verbot eines nicht überwachten Mail-Dienstes nicht seinerseits durch Art.12 GG zu schützen ist.

Der Fairness halber muss aber auch offen gesagt werden, dass diese Frage besser zu stellen ist – also aus einem anderen Blickwinkel – wenn man die Verfassungsbeschwerde nicht (nur) durch den Provider sondern durch einen, besser den, Betroffenen geführt hätte. So herum wären Aspekte hinsichtlich des Datenschutzes und informationeller Grundfreiheiten sicherlich zu thematisieren gewesen.

Problem: Ist die TKÜV überhaupt anwendbar

Die Frage, ob auf einen Mail-Anbieter wie vorliegend überhaupt die TKÜV anwendbar ist, steht dabei noch im Raum. Um es zu verdeutlichen muss ich einen kleinen Galopp durch die Rechtsgrundlagen machen: Die TKÜV ist eine Verordnung im Sinne des §88 Abs. 2 TKG. In diesem Zusammenhang ist einmal an die Richtlinie 2006/24/EG zu denken, aber auch an die Richtlinie 2002/21/EG (auf deren Begrifflichkeiten die Richtlinie 2006/24/EG in Artikel 2 ohnehin verweist). Und genau in diesem Zusammenhang ist beim EUGH eine Vorlagefrage anhängig:

Ist das Merkmal „Dienste, die ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze bestehen“ aus Art. 2 Buchst. c) der Rahmenrichtlinie 2002/21/EG dahin auszulegen, dass es auch internetbasierte E-Mail-Dienste erfasst oder erfassen kann, die über das offene Internet bereitgestellt werden und selbst keinen Internetzugang vermitteln?
EUGH, Rechtssache C-193/18

Der EUGH hat diese Frage später differenziert beantwortet und unterscheidet nach dem konkreten Dienst und seiner Ausgestaltung: Bei einem kostenlosen Mailangebot sieht er keinen Kommunikationsdienst; bei einem kostenpflichtigen VoIP-Angebot dagegen schon. Wie damit in Zukunft umzugehen sein wird, wird sich noch zeigen, zu erwarten ist jedenfalls, dass die Rechtsprechung die Überwachung ermöglichen wird, damit die Strafverfolgung nicht gehemmt werden wird, siehe hierzu die Entscheidung des LG München I.

„Schwierige“ Entscheidung

Sonderlich glücklich bin ich mit der Entscheidung nicht. Zementiert ist jedenfalls derzeit, dass Mail-Anbieter in der Lage sein müssen, auf richterlichen Zuruf jedenfalls in Form eines §100a-StPO-Beschlusses quasi stante pedes IP-Adressen mitzuteilen. Bewusste Geschäftliche Entscheidungen für ein datenschonendes Modell werden nicht geschützt, wobei das BVerfG an dieser Stelle für mich zu wenig argumentative Auseinandersetzung bietet. Hier bleibt abzuwarten, wie sich die Rechtsprechung nach den bestehenden EUGH-Entscheidungen postiert.

Spannend wird die Frage auch anders herum, etwa wenn der in Deutschland ansässige Provider seine Infrastruktur über eine aussereuropäische Limited laufen lässt und hier lediglich Nutzungsrechte ab der internen Seite des Lastverteilers erwirbt, ohne Zugriffsrechte auf Daten im oder vor dem Lastverteiler. Spätestens mit diesem Modell frage ich mich, wie man den Zwang zum Vorhalten entsprechender IT-Infrastruktur durchsetzen möchte – als nächstes mit dem Verbot fremde Infrastruktur zu nutzen?

Im Ergebnis geschaffen wird damit eine De-Facto-Vorratsdatenspeicherung durch die Hintertüre. Ein Provider, der kein Risiko eingehen möchte, erhebt IP-Adressen und speichert diese von Anfang an so, dass er jedem 100a-Beschluss unmittelbar Folge leisten kann. Zumindest das Versprechen datenschonender Mail-Dienste im Hinblick auf IP-Adressen sehe ich im Moment nicht realistisch umsetzbar. Eine Möglichkeit der anonymen Nutzung von Mails, so wie sie bei der Post seit ihrem Bestehen immanent ist, gibt es damit in Deutschland nicht über offizielle Provider. Unbeschadet bleibt die Möglichkeit, über TOR zu versenden oder sonstige „alternative Kanäle“ zu nutzen.