Datenschutz

E-Mail-Dienste sind zur Bereithaltung und Herausgabe von IP-Adressen verpflichtet

E-Mail-Dienste sind zur Bereithaltung und Herausgabe von IP-Adressen verpflichtet

Rechtsprechungshinweis: BVerfG, Nichtannahmebeschluss vom 20.12.2018 – 2 BvR 2377/16

1. Wurde gemäß § 100a StPO eine Überwachung des E-Mail-Verkehrs angeordnet, so umfasst der Umfang der vom TK-Dienstleistungsanbieter bereitzustellenden Daten auch die bei der Telekommunikation anfallenden IP-Adressen als „andere Adressierungsangabe“.
2. Dass der Betreiber eines Telekommunikationsdienstes aufgrund seiner Systemstruktur nicht unmittelbar auf die externen IP-Adressen der Nutzer zugreifen kann, steht einer solchen Verpflichtung nicht entgegen, wenn die fehlende Zugriffsmöglichkeit darauf beruht, dass sich der Betreiber bewusst dazu entschlossen hat, die Daten nicht zu protokollieren.

Das Bundesverfassungsgericht hatte die Frage zu entscheiden, ob das Anliegen eines E-Mail-Providers seinen Kunden datenschutzsensible Dienstleistungen anzubieten soweit schützenswert ist, dass es Vorrang vor der Verpflichtung zur Einhaltung gesetzlicher Vorgaben hat.[1] Im konkreten Fall weigerte sich ein Anbieter von E-Mail-Diensten, die IP-Adressen der auf die E-Mail-Postfächer zugreifenden Benutzer an die Ermittlungsbehörden herauszugeben. Er begründete dies mit dem Umstand, dass er aus Gründen des Datenschutzes grundsätzlich keine Protokollierung von IP-Adressen vornimmt.

Ablauf einer Kommunikation via E-Mail

Bei einer Kommunikation via E-Mail werden in der Regel Datenpakete zwischen dem Rechner des Benutzers (sog. Client) sowie dem Absende-Mailserver und dem Ziel-Mailserver ausgetauscht.[4] Hierbei kommen bestimmte Netzwerkprotokolle (SMTP, POP3 und IMAP) – oftmals gepaart mit einer Transferverschlüsselungen (TLS) oder einer Inhaltsverschlüsselung (S/MIME oder OpenPGP) – zur Anwendung. Bei den jeweiligen Übertragungsvorgängen fallen Kommunikationsdaten, wie u.a. die IP-Adresse des Clients an.[5] Die Kommunikationsdaten müssen seitens des Mailanbieters zumindest für die Dauer des Kommunikationsvorgangs gespeichert werden, damit überhaupt die Möglichkeit besteht, dass die abgerufenen Datenpakte übersendet werden können.[6]

Telekommunikationsüberwachungnach § 100a StPO

Die Überwachung und Aufzeichnung von Telekommunikation kann neben nachrichtendienstlicher Tätigkeit auch zur Gefahrenabwehr[2] oder zum Zweck der Strafverfolgung angeordnet werden. § 100 a StPO stellt für letzteres die Ermächtigungsgrundlage dar. Die Anordnung zur Telekommunikationsüberwachung (sog. TKÜ) steht und dem Vorbehalt einer richterlichen bzw. gerichtlichen Entscheidung. Bei Gefahr im Verzug kann die Ermittlungsmaßnahme auch von der  Staatsanwaltschaft angeordnet werden, wobei die richterliche bzw. gerichtliche Anordnung unverzüglich nachzuholen ist und innerhalb von drei Werktagen ergehen muss.

Unter den weit auszulegenden Begriff der Telekommunikationsüberwachung fällt auch der Zugriff auf die E-Mail-Kommunikation, die durch das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG geschützt ist. Der Schutzbereich erfasst dabei nicht nur die Kommunikationsinhalte, sondern auch die näheren Umstände der Telekommunikation, wozu u.a. die IP-Adressen gehören.[3]

Hergang des Verfahrens

Im konkreten Fall ordnete das Amtsgericht Stuttgart auf Antrag der Staatsanwaltschaft gemäß §§ 100a, 100b StPO die Sicherung, Spiegelung und Herausgabe aller Daten, die auf den Servern des Betreibes bezüglich des betreffenden E-Mail-Accounts elektronisch gespeichert sind, sowie sämtlicher bezüglich dieses Accounts künftig anfallender Daten (Inhalts- und Verkehrsdaten nebst IP-Adressen, insbesondere auch bei den zukünftigen Login-Vorgängen anfallender IP-Adressen) an. Der Dienstbetreiber kam diesem Verlangen auch nach. Er erklärte jedoch, dass Verkehrsdaten der Nutzer nicht „geloggt“ würden und solche Daten inklusive der IP-Adressen deshalb nicht zur Verfügung gestellt werden könnten. 

Die Staatsanwaltschaft wies den Beschwerdeführer darauf hin, dass er gesetzlich verpflichtet sei, für die Dauer der Überwachungsmaßnahme die Verkehrsdaten und insbesondere die IP-Adressen zu dem betreffenden Account zu „loggen“. Dem widersprach der Betreiber mit der Begürdnung, dass die fraglichen IP-Adressen nicht erhoben werden und damit auch nicht vorhanden sind. Eine Pflicht hierzu bestünde ebenfalls nicht. Daraufhin drohte die Staatsanwaltschaft dem Betreiber die Verhängung von Ordnungsmitteln an, welches in Form eines Ordnungsgeldes in Höhe von 500 €  vom Amtsgericht Stuttgart auch verhängt wurde. Hiergegen wehrte sich der Betreiber mit der Begrüdung, dass er die geforderten Verkehrsdaten nicht hat und auch nicht kurzfristig, sondern nur durch eine aufwändige Neustrukturierung seines EDV-Systems, erfassen kann. Seine Beschwerde beim Landgericht Stuttgart blieb jedoch erfolglos, wodurch der Weg zum Bundesverfassungsgericht frei war.

Entscheidung des Bundesverfassungsgerichts

Das Bundesverfassungsgericht stellte in seiner Entscheidung fest, dass Anbieter von Telekommunikationsdiensten nach § 5 Abs. 2 TKÜV dazu verpflichtet sind, den Ermittlungsbehörden im Falle einer TKÜ-Maßnahme eine vollständige Kopie der Telekommunikationsdaten bereitzustellen. Da die staatliche Informationserhebung in Form der verdeckten Überwachung mit dem verfassungsrechtlichen Erfordernis einer funktionstüchtigen Strafrechtspflege in Zusammenhang steht, können Telekommunikationsdienste hiervon nicht entbunden werden. Dies gilt selbst dann, wenn der Dienstanbieter aus (honorierungswürdigen) Gründen des Datenschutzes grundsätzlich keine Protokollierung von IP-Adressen vornimmt.

Ein Grundrechtsverstoß war nach Auffassung des Bundesverfassungsgerichts nicht ersichtlich. Insbesondere lag kein ungerechtfertigter Eingriff in die Berufsfreiheit (Art. 12 GG) des Betreibers  vor.

Ferner war die Festsetzung des Ordnungsgeldes angesichts der Weigerung des Betreibes, seinen gesetzlichen Pflichten nachzukommen, erforderlich.

Folgen für Service Provider

Für Betreiber von E-Mail-Diensten hat dies zur Folge, dass auch die IP-Adressen der eigenen Kunden stets zu erfassen sind, damit diese im Falle einer TKÜ-Anordnung an die zuständigen Behörden herausgegeben werden können. Die Pflicht zur Bereithaltung der Daten nach § 5 Abs. 2 TKÜV wird zudem durch die Vorschrift des § 110 Abs. 1 Satz 1 Nr. 1 TKG unterstrichen, welche regelt, dass Betreiber von öffentlich zugänglichen Telekommunikationsdiensten verpflichtet sind, ab dem Zeitpunkt der Betriebsaufnahme auf eigene Kosten technische Einrichtungen zur Umsetzung von Telekommunikationsüberwachung vorzuhalten und die organisatorischen Vorkehrungen für deren unverzügliche Umsetzung zu treffen.[7]

Mithin haben Betreiber von Telekommunikationsdiensten ihre Tätigkeit so zu organisieren, dass es ihnen ohne weiteres möglich ist, den auskunftsersuchenden Behörden vollständige Kommunikationsdaten bereitstellen zu können, wozu insbesondere die IP- Adressen gehören. Kommt der Dienstanbieter dem Herausgabeverlangen nicht nach, wie es bei der hiesigen Entscheidung der Fall war, hat er mit der Verhängung eines Ordnungsgeldes zu rechnen.

Fußnoten

[1] Siehe hierzu insgesamt: ZD-Aktuell 2019, 06454f.; MMR- Aktuell 2019, 414410.

[2] Im Bund und in einigen Bundesländern.

[3] ZD-Aktuell 2019, 06454.

[4] Hierbei erfrag der Quell-Mailserver die Adresse des Ziel-Mailservers beim sog. DNS-Server.

[5] In der Regel überprüft der Ziel-Mailserver zudem, ob die IP-Adresse des Absende-Mailservers auf einer sog. Blacklist steht, um die betreffende E-Mail ggf. vorab auszusortieren.

[6] MMR- Aktuell 2019, 414410.; im Detail: Nolte/Schlutz, jurisPR-Compl 5/2019 Anm.4., S.3.

[7] Nolte/Schlutz, jurisPR-Compl, 5/2019 Anm.4., S.2 f.

Posted by Dr. Mathias Grzesiek in Datenschutz, IT-Strafrecht, Rechtsprechung
Auskunfts- und Löschungsansprüche gegen staatsanwaltliche Datenspeicherung

Auskunfts- und Löschungsansprüche gegen staatsanwaltliche Datenspeicherung

Können Betroffene eines Ermittlungsverfahrens Auskunfts- und Löschungsansprüche gegen die Datenspeicherungen durch die Staatsanwaltschaft geltend machen? Eine ausführliche Darstellung der Rechtslage sowie Antworten auf praxisrelevante Fragen rund um das Thema Datenschutz nach Abschluss eines Ermittlungsverfahrens, lassen sich dem aufschlussreichen Beitrag von Rechtsanwaltskollegin Dr. Ricarda Schelzke aus dem aktuellen Heft des Strafverteidiger Forums entnehmen.[1]

Hier eine kurze Zusammenfassung des Aufsatzes:

Datenspeicherung durch die Staatsanwaltschaft via MESTA und Web.StA

Auch Staatsanwaltschaften nutzen bei der Ermittlungstätigkeit Datenbanken, insbesondere das Programm MESTA[2] oder die Software Web.StA[3]. Dort werden sämtliche eingeleitete Strafverfahren zusammen mit konkreten Angaben zu den Verfahrensvorgängen gespeichert.

Rechtsgrundlage und Umfang staatsanwaltlicher Datenspeicherung

Die Rechtsgrundlagen für die Speicherung und den Umgang mit den Daten sind in den §§ 483 ff. StPO zu finden. Die Normen regeln allgemein, dass und für welche Zwecke eine Speicherung von Daten zulässig ist. Was genau gespeichert wird, legt die einzelne Staatsanwaltschaft in einer sogenannten Errichtungsanordnung selbst fest.

Neben der Erhebung und Verarbeitung von Daten für Zwecke laufender Strafverfahren nach § 483 StPO, dürfen nach § 484 StPO auch Daten auch für Zwecke künftiger Strafverfahren gespeichert werden. Des Weiteren dürfen nach § 485 StPO Daten auch für Zwecke der Vorgangsverwaltung gespeichert werden.

Dauer der staatsanwaltlichen Datenspeicherung und Prüfpflicht

Grundsätzlich sind Daten, die zu Zwecken des Strafverfahrens gespeichert wurden, bei Erledigung des Verfahrens zu löschen. Ausnahmen hiervon bilden das erwähnte Speichern von Daten für Zwecke künftiger Strafverfahren sowie für die Vorgangsverwaltung.

Daten, die zu Zwecken künftiger Strafverfahren gespeichert wurden, sind zu löschen, wenn festgestellt wird, dass diese für Zwecke künftiger Strafverfahren nicht mehr benötigt werden. Die Prüfung erfolgt hierbei alle zehn Jahre. Im Falle eine endgültigen Verfahrenseinstellung (§ 170 Abs. 2 StPO, § 153 StPO und § 153a StPO nach Erfüllung der Auflage) gilt jedoch eine kürzere Prüfungspflicht von drei Jahren.

Daten, die für die Zwecke der Vorgangsverwaltung gespeichert wurden, sind erst dann zu löschen, wenn ihre Speicherung zur Vorgangsverwaltung nicht mehr erforderlich ist.

Auskunftsanspruch des Betroffenen

Ein Auskunftsanspruch des Betroffenen kann sich aus § 491 StPO ergeben. Demnach hat der Betroffene Anspruch auf Auskunft, soweit die Erteilung oder Versagung von Auskünften in der Strafprozessordnung nicht besonders geregelt ist. Das heißt, dass insbesondere dem (ehemals) Beschuldigten hiernach kein Auskunftsanspruch zusteht, da dieser gemäß § 147 StPO jederzeit Akteneinsicht beantragen kann.

Der Auskunftsanspruch ist zudem zeitlich begrenzt. So kann Auskunft erst sechs Monate nach Einleitung des Strafverfahrens begehrt werden. Diese Frist kann sogar auf bis zu 24 Monate verlängert werden, „wenn wegen der Schwierigkeit oder des Umfangs der Ermittlungen im Einzelfall ein Geheimhaltungsbedürfnis fortbesteht“.

Löschungsanspruch des Betroffenen nach Einstellung des Verfahrens

Ein Löschungsanspruch des Betroffenen besteht dann, wenn der Grund zur Speicherung der Daten nicht mehr gegeben ist. Stellt der Betroffene einen Löschungsantrag, muss die Staatsanwaltschaft im Rahmen einer Einzelfallbeurteilung prüfen, ob die Speicherung der Daten weiterhin erforderlich ist oder eine Löschung vorgenommen werden kann. Bei dieser Einzelfallprüfung müssen das Recht des Antragstellers auf informationelle Selbstbestimmung sowie das Interesse der Allgemeinheit an Strafverfolgung und Vorgangsverwaltung gegeneinander abgewogen werden. Hierbei ist stets der Grundsatz der Verhältnismäßigkeit zu berücksichtigen.

Nach zutreffender Auffassung der Autorin reicht ein pauschaler Verweis auf die grundsätzliche Zulässigkeit der Datenspeicherung nicht aus. Auch der beliebte Einwand, dass eine Löschung (einzelner Daten) technisch nicht möglich sei, kann nicht überzeugen.

Zentrales staatsanwaltschaftliches Verfahrensregister

Neben der dargestellten Datenspeicherung via MESTA und Web.StA durch die jeweils zuständige Staatsanwaltschaft, wird noch ein zentrales staatsanwaltschaftliches Verfahrensregister (ZStV) vom Bundesamt für Justiz geführt. Zu Fragen der Rechtsgrundlage und des Umfangs der Speicherung der Daten im ZStV sowie etwaigen Auskunfts- und Löschungsansprüchen des Betroffenen liefert der empfehlenswerte Beitrag ebenfalls Antworten, die zweifelsfrei nicht nur den Praktiker interessieren.

Fußnoten

[1] Der vollständige Beitrag findet sich hier: Schelzke, Staatsanwaltschaftliche Datenspeicherung trotz Verfahrenseinstellung – Auskunfts- und Löschungsansprüche heute und in Zukunft, StraFo Heft 9/2019, S. 353 – 359.

[2] Länder Berlin, Brandenburg, Hamburg, Hessen, Mecklenburg-Vorpommern, Nordrhein-Westfalen und Schleswig-Holstein verwenden das

[3] Bayern, Baden-Württemberg, Bremen, Niedersachsen, Rheinland-Pfalz, Saarland, Sachsen, Sachsen-Anhalt und Thüringen.

Posted by Dr. Mathias Grzesiek in Datenschutz, IT-Strafrecht, Literaturempfehlung
Fluggäste müssen Datenspeicherung zur Terrorabwehr dulden

Fluggäste müssen Datenspeicherung zur Terrorabwehr dulden

Ein italienischer Staatsbürger aus Brüssel wollte mit einem an das Bundeskriminalamt (BKA) gerichteten Antrag erreichen, dass seine Flugdaten nicht gespeichert, verarbeitet oder übermittelt werden. Der Rechtsbehelf blieb jedoch erfolglos.

Der Antragsteller unternahm im Zeitraum von Mai 2018 bis Juli 2019 eine Vielzahl an Flügen innerhalb der europäischen Union. Ihm ging es in seinem Antrag im Wege des einstweiligen Rechtsschutzes primär um eine Flugreise von Brüssel nach Berlin und zurück, die er im November 2019 unternehmen wollte.

Der EU-Bürger berief sich auf sein Recht auf Achtung des Privat- und Familienlebens aus Art. 7 der Charta der Grundrechte der Europäischen Union (GRCh). Die von den deutschen Behörden ergriffenen Maßnahmen zu Speicherung und Verarbeitung seiner Daten tangieren sein Recht auf Schutz der personenbezogenen Daten aus Art. 8 der Charta sowie sein Recht auf informationelle Selbstbestimmung, welches aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG abgeleitet wird.

Das Bundeskriminalamt lehnte den Antrag des Mannes ab. Die Sicherheitsbehörde begründete ihre Entscheidung damit, dass sie mit Blick auf die Terrorabwehr gesetzlich dazu verpflichtet sei, die Flugdaten von Passagieren zu speichern. Diese Pflicht ergebe sich konkret aus dem deutschen Fluggastdatengesetz (FlugDaG). Laut der EU Richtlinie (EU)2016/681 müssen alle Fluggastdaten, der in die EU oder aus der EU Fliegenden, in eine zentrale Datenbank aufgenommen werden. Die Eingriffe in die Rechte des Antragstellers seien daher gerechtfertigt.

Seinen darauffolgenden Eilantrag an das Verwaltungsgericht Wiesbaden lehnte das Gericht als unzulässig ab. Das Verwaltungsgericht begründete seine Entscheidung (Beschluss v. 21.08.2019, Az. 6 L 807/19.WI) damit, dass dem Antragsteller bereits das notwendige Rechtschutzinteresse fehle. Das Gericht wies darauf hin, dass der Antragsteller im Zeitraum zwischen Mai 2018 und Juli 2019 zahlreiche ähnliche Flüge unternommen habe, bei denen ebenfalls Fluggastdaten gespeichert wurden. Die Speicherung, Verarbeitung oder Übermittlung der Daten habe er damals offensichtlich widerspruchslos hingenommen. Daher sei nicht nachvollziehbar, warum die Datenspeicherung in Deutschland für ihn plötzlich unzumutbar sei.

Gegen den Beschluss kann der Antragsteller Beschwerde beim Verwaltungsgerichthof Kassel einlegen.

Posted by Merve Celik in Datenschutz, Rechtsprechung