Zu den Grenzen des „Speicherns auf Zuruf“ – BVerfG „verhilft“ Blinden zum Sehen
Wer dachte, es sei dem Messias vorbehalten, Blinden zum Sehen zu verhelfen, der irrt! Das BVerfG verpflichtet „blinde“ Diensteanbieter sogar zum Sehen.
Das BVerfG hatte zu dem Problem des sog. „Speicherns auf Zuruf“ zu entscheiden. Davon sprechen Juristen, wenn Diensteanbieter zum Zwecke der Rechtsverfolgung zur Speicherung und Herausgabe von Kundendaten verpflichtet werden sollen. Diese Maßnahme ist angesichts des empfindlichen Eingriffs in verfassungsrechtlich geschützte Rechtspositionen der Dienstanbieter und Kunden heftig umstritten.
Das BVerfG stellt klar: Derartige Maßnahmen sind zulässig, wenn sie auf Anlass der Staatsanwaltschaft der Ermittlung schwerer Straftaten dienen. E-Mail-Diensteanbieter können nun zur Speicherung von IP-Adressen verpflichtet werden, sogar für den Fall, dass ihr System oder ihr Geschäftsmodell derartige Speicherungen nicht vorsieht.
Speichern auf Zuruf – Ein Klassiker des gewerblichen Rechtsschutzes
Das Speichern auf Zuruf ist ein Problem, das grundsätzlich dem gewerblichen Rechtsschutz und Urheberrecht entstammt: Rechteinhaber, wie beispielsweise Markeninhaber, sind bei der Rechtsverfolgung oftmals darauf angewiesen, dass ihnen Diensteanbieter Daten ihrer Kunden zur Verfügung stellen. So ist es im Internet oftmals unmöglich, den Rechtsverletzer ohne Weiteres zu identifizieren.
Missbraucht beispielsweise ein Nutzer eine Internetplattform zum Zwecke einer Markenrechtsverletzung – etwa für den Verkauf von Plagiaten – ist die Identifikation des Verletzers nicht immer möglich. Zur Rechtsverfolgung wäre in diesem Fall hilfreich, wenn der Rechteinhaber den Diensteanbieter und Plattformbetreiber verpflichten kann, die IP-Adresse über den betreffenden Account herauszugeben.
Die Verpflichtung zur Herausgabe von Kundendaten ist jedoch mit sensiblen Eingriffen in verfassungsrechtlich geschützte Rechtspositionen verbunden. So betrifft eine solche Maßnahme nicht nur das Fernmeldegeheimnis des Account-Inhabers. Auch die Berufsausübungsfreiheit des Diensteanbieters wird betroffen, Art. 12 GG.
Was war passiert?
Der hier betroffene E-Mail-Provider wirbt mit besonders sensiblem Umgang mit den ihm übermittelten Kundendaten. Im sei Datenschutz wichtig, weshalb er die Grundsätze der Datensicherheit und Datensparsamkeit besonders achte. Als eine Telekommunikationsüberwachung durch das Amtsgericht Stuttgart gemäß §§ 100 a, 100 b StPO (alte Fassung, von vor 2017) angeordnet und Verkehrsdaten eines Kunden, insbesondere dessen IP-Adresse, herausgegeben werden sollte, weigerte sich der E-Mail-Provider.
Er sehe sich dem Schutze der Daten seiner Kunden verpflichtet. Die Herausgabe der Daten verletze seine Berufsausübungsfreiheit, Art. 12 GG. Zudem sei das betriebsinterne System auf eine Weise konzipiert, die es dem Unternehmen unmöglich mache, diesem Ersuchen zu entsprechen, sog. Network-Adress-Translation-System (NAT-System).
So verwende der Diensteanbieter nach eigenen Angaben ein Verschlüsselungssystem, wodurch er hinsichtlich seiner Kundendaten „blind“ sei. Die sensiblen Kundendaten werden beim Kunden verschlüsselt und beim Empfänger erst wieder entschlüsselt. Zwischen Kunden und Datenempfänger könne er die Daten nicht auslesen. Das Speichern und Herausgeben der Daten erforderten eine Umstellung des Systems. Dies wäre mit erheblichem Aufwand und unverhältnismäßigen Kosten verbunden.
Zum Verfahren
Diese Ausführungen ließen die Ermittlungsbehörde unbehelligt. Schließlich ermittle sie in einem Verfahren schwerer Straftaten. Ihr lägen Informationen vor, die den Verdacht nahelegen, ein Kunde des Diensteanbieters handele mit Betäubungsmitteln in nicht unerheblichem Maße. Zudem verstoße er gegen das Kriegswaffenkontrollgesetz. Dies rechtfertige die Maßnahme. Aufgrund der Verweigerung der Herausgabe legte das Amtsgericht dem E-Mail-Provider ein Ordnungsgeld auf.
Der Diensteanbieter protestierte, beschritt erschöpfend den Rechtsweg, aber ohne Erfolg. Schließlich erhob er Verfassungsbeschwerde beim BVerfG. Seine Hoffnungen wurden jedoch enttäuscht: Das BVerfG nahm die Verfassungsbeschwerde nicht zur Entscheidung an. Dies begründete das BVerfG jedoch recht ausführlich (BVerfG, Beschluss v. 20.12.2018, Az. 2 BvR 2377/16).
Eingriff in Art. 12 GG
Das BVerfG erkannte zunächst an, dass die Auferlegung des Ordnungsgeldes ein Eingriff in die Berufsausübungsfreiheit darstellt. Dabei betont das Gericht, dass der Eingriff darauf beruhe, dass die Maßnahme den E-Mail-Provider schließlich zwinge, ein anderes Verfahren als das NAT-Verfahren zu nutzen. Anderenfalls wäre die Auslesung und Übergabe der Verkehrsdaten an die Ermittlungsbehörde nicht möglich.
Die Zulässigkeit eines derartigen Eingriffs sei aber nicht per se ausgeschlossen. Schließlich stehen dem Eingriff ebenso schützenswerte Rechtsgüter von Verfassungsrang gegenüber: Das Strafverfolgungsinteresse des Staates und eine funktionstüchtige Strafrechtspflege. Beruhe die Überwachungsmaßnahme auf einer gesetzlichen Grundlage und sei die Maßnahme auch im Übrigen rechtmäßig, so sei der Eingriff gerechtfertigt. Die §§ 70 I S. 2, 95 Abs. 2, 100 b III S. 2 StPO alte Fassung i.V.m § 110 I S. 1 TKG verpflichten den Diensteanbieter im Falle einer Telekommunikationsüberwachung, Kundendaten zu speichern.
Soweit eine Telekommunikationsüberwachung angeordnet werde, müsse der E-Mail-Provider in der Lage sein oder entsprechende Maßnahmen ergreifen, dass ihm die Speicherung möglich ist. Dabei komme es nicht darauf an, das dies mit erheblichem Aufwand oder Kosten verbunden wäre.
Nicht möglich? Nicht möglich!
Dass es dem Diensteanbieter angeblich nicht möglich sei, die konkret angeforderten IP-Adressen herauszugeben, überzeugte nicht. Der Betrieb eines E-Mail-Dienstes sei ohne Zugriff auf die für eine Datenübertragung wesentlichen Informationen überhaupt nicht möglich, befanden die Richter.
So müsse der E-Mail-Provider jedenfalls die IP-Adressen von Kunden und Daten-Empfängern kennen. Anderenfalls wüsste der E-Mail-Provider überhaupt nicht, von wem die Daten stammen oder wo sie hingeleitet werden sollen. Insoweit seien in der Vergangenheit gespeicherte IP-Adressen herauszugeben. Für die Zukunft sind Verkehrsdaten zu speichern und zur Verfügung zu stellen.
Auch die Argumentation, dass eine derartige Speicherung von Kundendaten der Unternehmenspolitik des Dienstanbieters zuwiderlaufe, verfing nicht. Selbst wenn der Dienstanbieter sein Unternehmenskonzept auf die Grundsätze der Datensparsamkeit und Datenvermeidbarkeit stützt, entbindet ihn dies nicht von geltendem Recht. So ist der Diensteanbieter schlichtweg verpflichtet, Kundendaten zu speichern und herauszugeben. Subjektive Entscheidungen des Unternehmens können dem nicht entgegengesetzt werden.
Konklusion
Beachtenswert ist die Anerkennung der Dienste des E-Mail-Anbieters durch das BVerfG. So betont es, dass dessen Bemühungen, „ein datenschutzoptimiertes und daher (…) attraktives Geschäftsmodell anzubieten, auch unter dem Gesichtspunkt des Art. 12 Abs. 1 GG grundsätzlich durchaus schützenswert“ sind. Dadurch werde er jedoch nicht seiner gesetzlichen Verpflichtungen entbunden.
Der Beschluss verschafft Klarheit hinsichtlich des Speicherns auf Zuruf. Unternehmer sollten in Zukunft vorsichtig sein, wenn sie sich den Datenschutz ihrer Kunden auf die Fahnen schreiben: denn mit dem Beschluss kann der Diensteanbieter nun zur Speicherung und Herausgabe von Kundendaten verpflichtet werden. Dies gilt auch für den Fall, dass der E-Mail-Provider zur Erfüllung dieser Pflicht erst technische Maßnahmen ergreifen muss.
Dass derartige technische Maßnahmen unter Umständen mit hohen Kosten und Aufwand verbunden sind, störte die Richter nicht. Auch wenn es schmerzt: Diensteanbieter werden sich darauf einstellen müssen. Wer sich Ermittlungsmaßnahmen der Staatsanwaltschaft widersetzt, muss mit hohen Ordnungsgeldern oder sogar Zwangshaft rechnen.
Im Ganzen lässt sich insoweit sagen: Das BVerfG „verhilft“ den Blinden zum Sehen.
Ausblick für den gewerblichen Rechtsschutz
Dass der Beschluss des BVerfG Auswirkungen in den Bereichen des gewerblichen Rechtsschutzes und Urheberrechtes hat, ist zu bezweifeln. Das BVerfG betont – in Übereinstimmung mit den Fachgerichten – dass für einen derartig sensiblen Eingriff eine differenzierte Rechtsgrundlage vorliegen müsse. Eine solche Eingriffsgrundlage erkannten die Richter in den strafprozessualen Vorschriften und denjenigen des TKGs. Derartige Regelungen sind im gewerblichen Rechtsschutz und Urheberrecht nicht vorgesehen. Insoweit müsste der Gesetzgeber tätig werden.
Annex zum Fernmeldegeheimnis
Bedenken hinsichtlich einer etwaigen Verletzung von Art. 10 GG werden dadurch entkräftet, dass § 100 a StPO die Gewährleistung des Fernmeldegeheimnisses berücksichtigt. Soweit der begründete Verdacht der Begehung schwerer Straftaten im Sinne der Norm bestehen, ist die Integrität des Fernmeldegeheimnisses nachrangig.