Monat: Oktober 2019

E-Mail-Dienste sind zur Bereithaltung und Herausgabe von IP-Adressen verpflichtet

E-Mail-Dienste sind zur Bereithaltung und Herausgabe von IP-Adressen verpflichtet

Rechtsprechungshinweis: BVerfG, Nichtannahmebeschluss vom 20.12.2018 – 2 BvR 2377/16

1. Wurde gemäß § 100a StPO eine Überwachung des E-Mail-Verkehrs angeordnet, so umfasst der Umfang der vom TK-Dienstleistungsanbieter bereitzustellenden Daten auch die bei der Telekommunikation anfallenden IP-Adressen als „andere Adressierungsangabe“.
2. Dass der Betreiber eines Telekommunikationsdienstes aufgrund seiner Systemstruktur nicht unmittelbar auf die externen IP-Adressen der Nutzer zugreifen kann, steht einer solchen Verpflichtung nicht entgegen, wenn die fehlende Zugriffsmöglichkeit darauf beruht, dass sich der Betreiber bewusst dazu entschlossen hat, die Daten nicht zu protokollieren.

Das Bundesverfassungsgericht hatte die Frage zu entscheiden, ob das Anliegen eines E-Mail-Providers seinen Kunden datenschutzsensible Dienstleistungen anzubieten soweit schützenswert ist, dass es Vorrang vor der Verpflichtung zur Einhaltung gesetzlicher Vorgaben hat.[1] Im konkreten Fall weigerte sich ein Anbieter von E-Mail-Diensten, die IP-Adressen der auf die E-Mail-Postfächer zugreifenden Benutzer an die Ermittlungsbehörden herauszugeben. Er begründete dies mit dem Umstand, dass er aus Gründen des Datenschutzes grundsätzlich keine Protokollierung von IP-Adressen vornimmt.

Ablauf einer Kommunikation via E-Mail

Bei einer Kommunikation via E-Mail werden in der Regel Datenpakete zwischen dem Rechner des Benutzers (sog. Client) sowie dem Absende-Mailserver und dem Ziel-Mailserver ausgetauscht.[4] Hierbei kommen bestimmte Netzwerkprotokolle (SMTP, POP3 und IMAP) – oftmals gepaart mit einer Transferverschlüsselungen (TLS) oder einer Inhaltsverschlüsselung (S/MIME oder OpenPGP) – zur Anwendung. Bei den jeweiligen Übertragungsvorgängen fallen Kommunikationsdaten, wie u.a. die IP-Adresse des Clients an.[5] Die Kommunikationsdaten müssen seitens des Mailanbieters zumindest für die Dauer des Kommunikationsvorgangs gespeichert werden, damit überhaupt die Möglichkeit besteht, dass die abgerufenen Datenpakte übersendet werden können.[6]

Telekommunikationsüberwachungnach § 100a StPO

Die Überwachung und Aufzeichnung von Telekommunikation kann neben nachrichtendienstlicher Tätigkeit auch zur Gefahrenabwehr[2] oder zum Zweck der Strafverfolgung angeordnet werden. § 100 a StPO stellt für letzteres die Ermächtigungsgrundlage dar. Die Anordnung zur Telekommunikationsüberwachung (sog. TKÜ) steht und dem Vorbehalt einer richterlichen bzw. gerichtlichen Entscheidung. Bei Gefahr im Verzug kann die Ermittlungsmaßnahme auch von der  Staatsanwaltschaft angeordnet werden, wobei die richterliche bzw. gerichtliche Anordnung unverzüglich nachzuholen ist und innerhalb von drei Werktagen ergehen muss.

Unter den weit auszulegenden Begriff der Telekommunikationsüberwachung fällt auch der Zugriff auf die E-Mail-Kommunikation, die durch das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG geschützt ist. Der Schutzbereich erfasst dabei nicht nur die Kommunikationsinhalte, sondern auch die näheren Umstände der Telekommunikation, wozu u.a. die IP-Adressen gehören.[3]

Hergang des Verfahrens

Im konkreten Fall ordnete das Amtsgericht Stuttgart auf Antrag der Staatsanwaltschaft gemäß §§ 100a, 100b StPO die Sicherung, Spiegelung und Herausgabe aller Daten, die auf den Servern des Betreibes bezüglich des betreffenden E-Mail-Accounts elektronisch gespeichert sind, sowie sämtlicher bezüglich dieses Accounts künftig anfallender Daten (Inhalts- und Verkehrsdaten nebst IP-Adressen, insbesondere auch bei den zukünftigen Login-Vorgängen anfallender IP-Adressen) an. Der Dienstbetreiber kam diesem Verlangen auch nach. Er erklärte jedoch, dass Verkehrsdaten der Nutzer nicht „geloggt“ würden und solche Daten inklusive der IP-Adressen deshalb nicht zur Verfügung gestellt werden könnten. 

Die Staatsanwaltschaft wies den Beschwerdeführer darauf hin, dass er gesetzlich verpflichtet sei, für die Dauer der Überwachungsmaßnahme die Verkehrsdaten und insbesondere die IP-Adressen zu dem betreffenden Account zu „loggen“. Dem widersprach der Betreiber mit der Begürdnung, dass die fraglichen IP-Adressen nicht erhoben werden und damit auch nicht vorhanden sind. Eine Pflicht hierzu bestünde ebenfalls nicht. Daraufhin drohte die Staatsanwaltschaft dem Betreiber die Verhängung von Ordnungsmitteln an, welches in Form eines Ordnungsgeldes in Höhe von 500 €  vom Amtsgericht Stuttgart auch verhängt wurde. Hiergegen wehrte sich der Betreiber mit der Begrüdung, dass er die geforderten Verkehrsdaten nicht hat und auch nicht kurzfristig, sondern nur durch eine aufwändige Neustrukturierung seines EDV-Systems, erfassen kann. Seine Beschwerde beim Landgericht Stuttgart blieb jedoch erfolglos, wodurch der Weg zum Bundesverfassungsgericht frei war.

Entscheidung des Bundesverfassungsgerichts

Das Bundesverfassungsgericht stellte in seiner Entscheidung fest, dass Anbieter von Telekommunikationsdiensten nach § 5 Abs. 2 TKÜV dazu verpflichtet sind, den Ermittlungsbehörden im Falle einer TKÜ-Maßnahme eine vollständige Kopie der Telekommunikationsdaten bereitzustellen. Da die staatliche Informationserhebung in Form der verdeckten Überwachung mit dem verfassungsrechtlichen Erfordernis einer funktionstüchtigen Strafrechtspflege in Zusammenhang steht, können Telekommunikationsdienste hiervon nicht entbunden werden. Dies gilt selbst dann, wenn der Dienstanbieter aus (honorierungswürdigen) Gründen des Datenschutzes grundsätzlich keine Protokollierung von IP-Adressen vornimmt.

Ein Grundrechtsverstoß war nach Auffassung des Bundesverfassungsgerichts nicht ersichtlich. Insbesondere lag kein ungerechtfertigter Eingriff in die Berufsfreiheit (Art. 12 GG) des Betreibers  vor.

Ferner war die Festsetzung des Ordnungsgeldes angesichts der Weigerung des Betreibes, seinen gesetzlichen Pflichten nachzukommen, erforderlich.

Folgen für Service Provider

Für Betreiber von E-Mail-Diensten hat dies zur Folge, dass auch die IP-Adressen der eigenen Kunden stets zu erfassen sind, damit diese im Falle einer TKÜ-Anordnung an die zuständigen Behörden herausgegeben werden können. Die Pflicht zur Bereithaltung der Daten nach § 5 Abs. 2 TKÜV wird zudem durch die Vorschrift des § 110 Abs. 1 Satz 1 Nr. 1 TKG unterstrichen, welche regelt, dass Betreiber von öffentlich zugänglichen Telekommunikationsdiensten verpflichtet sind, ab dem Zeitpunkt der Betriebsaufnahme auf eigene Kosten technische Einrichtungen zur Umsetzung von Telekommunikationsüberwachung vorzuhalten und die organisatorischen Vorkehrungen für deren unverzügliche Umsetzung zu treffen.[7]

Mithin haben Betreiber von Telekommunikationsdiensten ihre Tätigkeit so zu organisieren, dass es ihnen ohne weiteres möglich ist, den auskunftsersuchenden Behörden vollständige Kommunikationsdaten bereitstellen zu können, wozu insbesondere die IP- Adressen gehören. Kommt der Dienstanbieter dem Herausgabeverlangen nicht nach, wie es bei der hiesigen Entscheidung der Fall war, hat er mit der Verhängung eines Ordnungsgeldes zu rechnen.

Fußnoten

[1] Siehe hierzu insgesamt: ZD-Aktuell 2019, 06454f.; MMR- Aktuell 2019, 414410.

[2] Im Bund und in einigen Bundesländern.

[3] ZD-Aktuell 2019, 06454.

[4] Hierbei erfrag der Quell-Mailserver die Adresse des Ziel-Mailservers beim sog. DNS-Server.

[5] In der Regel überprüft der Ziel-Mailserver zudem, ob die IP-Adresse des Absende-Mailservers auf einer sog. Blacklist steht, um die betreffende E-Mail ggf. vorab auszusortieren.

[6] MMR- Aktuell 2019, 414410.; im Detail: Nolte/Schlutz, jurisPR-Compl 5/2019 Anm.4., S.3.

[7] Nolte/Schlutz, jurisPR-Compl, 5/2019 Anm.4., S.2 f.

Posted by Dr. Mathias Grzesiek in Datenschutz, IT-Strafrecht, Rechtsprechung