Der dritte Anlauf: Zehn Jahre lang hatte Deutschland keine funktionierende Vorratsdatenspeicherung. Jetzt versucht es die Bundesregierung erneut – diesmal mit dem Segen aus Luxemburg. Ob das reicht, entscheidet sich an einer Zahl: 26. Nun gibt es politische Vorhaben, die scheitern, und es gibt solche, die zur Endlosschleife werden … die Vorratsdatenspeicherung gehört in die zweite Kategorie: Seit beinahe zwei Jahrzehnten wird in Deutschland über sie gestritten, gesetzlich verankert, höchstrichterlich kassiert und erneut verankert. Am 22. April 2026 hat das Bundeskabinett den dritten Anlauf beschlossen.

Bemerkenswert ist diesmal etwas anderes: Zum ersten Mal beruft sich der Gesetzgeber nicht auf eigene Überzeugung gegen die Rechtsprechung, sondern auf ein Szenario, das ihm der Europäische Gerichtshof aufgezeichnet hat. Die entscheidende Frage lautet daher nicht mehr, ob eine anlasslose Speicherung von IP-Adressen grundsätzlich zulässig ist – sondern ob die Bundesregierung den engen Pfad einhält, den Luxemburg gezogen hat. Und genau hier wird es interessant, denn an mehreren Stellen tritt der Entwurf erkennbar daneben.

Ich kommentiere im BeckOK StPO Teile des TDDDG und TKG und im Speziellen die Vorratsdatenspeicherung. Vor dem Hintergrund beschäftige ich mich regelmäßig mit Entwicklungen in diesem sensiblen Bereich der Überwachung und Ermittlungen.

Wie aus 35.000 Beschwerden eine Staatsdoktrin wurde

Um zu verstehen, warum dieser dritte Versuch so vorsichtig formuliert ist, muss man zwei Niederlagen kennen. Die erste datiert auf den 2. März 2010. Damals erklärte das Bundesverfassungsgericht die deutsche Umsetzung der EU-Richtlinie 2006/24/EG für nichtig (BVerfGE 125, 260). Vorausgegangen war eine Klagewelle ohne Beispiel: rund 35.000 Verfassungsbeschwerden, bis heute Rekord in Karlsruhe.

Das Urteil prägte einen Satz, der die gesamte Debatte überdauern sollte. Die anlasslose Speicherung sämtlicher Verbindungsdaten, so der Erste Senat, erzeuge ein „diffus bedrohliches Gefühl des Beobachtetwerdens“. Juristen nennen das den chilling effect – die abschreckende Wirkung auf die freie Kommunikation, die schon dann eintritt, wenn die Daten nie abgerufen werden. Aus diesem Gedanken folgten zwei Vorgaben, die der heutige Gesetzgeber ignoriert: das Doppeltürmodell, wonach Speicherpflicht und Abrufbefugnis getrennt und jede für sich verhältnismäßig sein müssen, und die Überwachungsgesamtrechnung, die verlangt, neue Befugnisse stets im Lichte aller bereits bestehenden zu bewerten.

Die zweite Niederlage kam aus Luxemburg und war womöglich schmerzhafter, weil sie kein zweites Karlsruher Veto, sondern einen europarechtlichen Totalvorbehalt darstellte. Mit der Entscheidung Tele2/Watson untersagte der EuGH 2016 die allgemeine, unterschiedslose Speicherung von Verkehrs- und Standortdaten kategorisch. Das deutsche Nachfolgegesetz von 2015 war damit erledigt, bevor es je vollzogen wurde. Die Bundesnetzagentur setzte den Vollzug im Sommer 2017 aus; das Bundesverwaltungsgericht bestätigte 2023 das endgültige Aus (BVerwG 6 C 6.22). Faktisch lebte die Bundesrepublik seit 2017 ohne Vorratsdatenspeicherung was durchaus als europaweiter Sonderfall angesehen werden darf.

Türöffner „Hadopi“

Dass der dritte Anlauf überhaupt gewagt wird, verdankt sich einer einzigen Entscheidung. Am 30. April 2024 ließ die Große Kammer des EuGH in der Rechtssache Hadopi (C-470/21) eine anlasslose Speicherung zu – allerdings beschränkt auf IP-Adressen und nur unter drei kumulativen Bedingungen. Die Zuordnungsdaten müssen technisch wasserdicht von allen übrigen Daten getrennt sein, die Erhebung muss auf das absolut Notwendige begrenzt bleiben, und aus den Daten darf sich kein Rückschluss auf das Privatleben ergeben.

Der dogmatische Kniff dahinter ist recht elegant: Während La Quadrature du Net (2020) bereits zwischen Datenkategorien differenziert hatte, erklärte der Gerichtshof in Hadopi, die bloße IP-Adresse offenbare für sich genommen weder Kommunikationspartner noch Inhalte. Sie sei deshalb ein Eingriff geringerer Intensität – und ohne sie drohe bei bestimmten Online-Delikten eine „systemische Straflosigkeit“. Aus dem früheren Totalverbot wurde so ein eng begrenzter Erlaubnistatbestand. Die Bundesregierung hat diesen Spalt entdeckt und versucht nun, hindurchzugehen.

Der aktuelle Gesetzentwurf

Der Kabinettsentwurf ruht auf drei Säulen, von denen nur die erste die eigentliche Schlagzeile liefert. § 176 TKG-E verpflichtet rund 700 Zugangsanbieter, die einem Anschluss zugewiesenen IP-Adressen samt Zeitstempeln drei Monate zu speichern. Bei der heute verbreiteten Adressknappheit (Stichwort Carrier-Grade-NAT, bei dem sich Tausende Nutzer eine öffentliche IPv4-Adresse teilen) kommt die Portnummer hinzu, ohne die eine Zuordnung schlicht unmöglich wäre. Inhalte, Zieladressen, Standorte und Surfverhalten bleiben ausdrücklich außen vor; das ist der Preis der Hadopi-Konformität.

Die zweite Säule, das zweistufige Quick-Freeze-Verfahren in § 100g StPO-E, fror bereits vorhandene Daten auf Anordnung ein und dient zugleich als nationale Andockstelle für die ab 18. August 2026 geltende europäische e-Evidence-Verordnung. Die dritte Säule repariert die Funkzellenabfrage, die der Bundesgerichtshof Anfang 2024 in Teilen verworfen hatte. Das BMJ beziffert die Umstellungskosten auf ein bis zwei Millionen Euro für große, rund 80.000 Euro für kleine Anbieter – Zahlen, die die Branchenverbände eco, VATM und BREKO für realitätsfern halten, weil die geforderte Trenndatenbankarchitektur erheblich teurer und die CGNAT-Datenmengen weit größer ausfielen als veranschlagt.

Die Zahl, an der alles hängt

Der eigentliche Sprengsatz des Entwurfs ist keine Rechtsfrage, sondern eine Rechenaufgabe. Hadopi verlangt eine Begrenzung auf das „absolut Notwendige“. Was notwendig ist, hat ausgerechnet das Bundeskriminalamt selbst beziffert – und zwar in seinem eigenen Positionspapier vom 5. Juli 2023. Dort heißt es, 26 Tage Speicherdauer deckten bereits 90,2 Prozent der relevanten Fälle ab. Der Entwurf schreibt drei Monate vor, also rund das Dreieinhalbfache.

Diese Diskrepanz ist juristisch hochbrisant, weil sie die Verhältnismäßigkeit von innen heraus untergräbt. Wenn die ermittelnde Behörde selbst dokumentiert, dass ein Bruchteil der Frist neun von zehn Fällen löst, lässt sich das „absolut Notwendige“ kaum bei drei Monaten verorten. Genau an dieser Stelle wird der nächste Gang nach Luxemburg vorgezeichnet. Das BKA stützt seinen Bedarf im Übrigen auf rund 143.000 IP-Abfragen pro Jahr, verteilt auf das Amt selbst, die Länder und den Zoll – ein durchaus realer Ermittlungsdruck, gerade bei der Verfolgung von Kindesmissbrauchsdarstellungen nach § 184b StGB, deren Aufklärungsquote die Polizeiliche Kriminalstatistik 2023 mit 87,3 Prozent ausweist.

Dem steht die unbequeme Empirie der Gegenseite gegenüber: Eine Studie des Freiburger Max-Planck-Instituts aus dem Jahr 2012 verglich Bundesländer mit unterschiedlich intensiver Datennutzung und fand keinen messbaren Effekt auf die Aufklärung schwerer Straftaten. Sie ist alt, aber bis heute nicht substanziell widerlegt – und sie ist der Grund, warum Kritiker dem Vorhaben einen „geringen Sicherheitsgewinn bei hohen Kosten“ attestieren.

Vier Sollbruchstellen

Neben der Frist gibt es drei weitere Punkte, an denen der Entwurf europarechtlich oder verfassungsrechtlich brechen könnte. Der erste betrifft den fehlenden Richtervorbehalt: Hadopi erlaubt den Zugriff auf Identitätsdaten ohne richterliche Kontrolle nur bei Bagatellen ohne schweren Grundrechtseingriff, während der Entwurf weitergehende Zugriffe auch für Nachrichtendienste und Zoll ohne zwingende Kontrolle vorsieht. Der zweite ist das demonstrative Fehlen der vom Bundesverfassungsgericht geforderten Überwachungsgesamtrechnung – ein Versäumnis, das angesichts der seit 2010 enorm ausgeweiteten Eingriffsbefugnisse schwer wiegt. Der dritte schließlich ist die geplante Öffnung der gespeicherten Daten für zivilrechtliche Auskunftsansprüche im Urheberrecht, die der strafprozessualen Logik von Hadopi diametral widerspricht.

Bundesrechtsanwaltskammer und Deutscher Anwaltverein lehnen den Entwurf entsprechend ab und rechnen mit dem nächsten Scheitern. Die Internetwirtschaft trägt den Rahmen mit, klagt aber über zu kurze Fristen und unrealistische Kosten. Die Koalition wiederum verweist auf den Hadopi-Spielraum als „eindeutig“ – ein Adjektiv, das angesichts von vier offenen Flanken eher Hoffnung als Sachanalyse ausdrücken dürfte.

Was bleibt

Letztlich ist dies der wohl rechtlich sauberste Versuch seit 2007, und das ist mehr als eine höfliche Floskel: Erstmals existiert überhaupt ein europäischer Korridor, in dem sich eine Speicherung bewegen darf. Ein Inkrafttreten im Herbst 2026 ist realistisch, und anders als 2017 dürfte eine sofortige Außervollzugsetzung ausbleiben, weil der Rahmen diesmal vorab definiert ist. Doch der Befund täuscht über das eigentliche Risiko hinweg. Ein Gesetz, das die selbst erhobene 26-Tage-Zahl seiner eigenen Sicherheitsbehörde auf drei Monate streckt, die Überwachungsgesamtrechnung ignoriert und die Daten nebenbei für zivilrechtliche Abmahnungen öffnet, lädt geradezu zur nächsten Verfassungsbeschwerde ein.

Die Gesellschaft für Freiheitsrechte und weitere Akteure haben eine Verfassungsbeschwerde (natürlich) bereits angekündigt. Wahrscheinlich landet die Frage erneut in Luxemburg, vorgelegt von Karlsruhe. Für Unternehmen und Provider folgt daraus eine paradoxe Handlungsempfehlung: Compliance jetzt aufbauen, obwohl das Gesetz womöglich nicht überlebt. Denn die Trenndatenbankarchitektur braucht Vorlauf, und die Bundesnetzagentur wird die Einhaltung bußgeldbewehrt überwachen. Die Vorratsdatenspeicherung bleibt damit, was sie seit zwanzig Jahren ist – ein Vorhaben, dessen Halbwertszeit kürzer sein könnte als seine Speicherfrist.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Aufgewachsen zwischen Strafakten und Quellcode ist Rechtsanwalt Jens Ferner Fachanwalt für Strafrecht und IT-Recht. Er verteidigt Mandanten in komplexen und sensiblen Strafverfahren, insbesondere an der Schnittstelle von Digitalisierung und Strafrecht mit klaren Spezialisierungen im Cybercrime, Wirtschaftsstrafrecht, Jugendstrafrecht und Sexualstrafrecht.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Vorratsdatenspeicherung 2026: Entwicklung und aktueller Stand – 26. Juni 2026
• SocGholish, Amadey, StealC: Wenn internationale Ermittler die Infrastruktur einreißen – 24. Juni 2026
• Sommer: Unsere Arbeitsweise bei Hitzewellen – 24. Juni 2026