Bundeskabinett legt Gesetzentwurf zur IP-Adressspeicherung vor

„Der Entwurf ist durchaus ein Paradigmenwechsel: Weg von der umfassenden Vorratsdatenspeicherung, hin zu einer deutlich enger umrissenen IP-Adressspeicherung für drei Monate. Im Kern stehen drei Elemente. Erstens: die Speicherpflicht für Internetzugangsanbieter, die die Zuordnung von IP-Adresse, Portnummer und Zeitstempel zum Anschlussinhaber ermöglicht. Zweitens: die neue Sicherungsanordnung, ein Quick-Freeze-Instrument für flüchtige Verkehrsdaten im konkreten Ermittlungsfall. Drittens: die gesetzliche Klarstellung, dass Funkzellenabfragen bei Straftaten von erheblicher Bedeutung zulässig sind.“

„Entscheidend ist, was der Entwurf gerade nicht vorsieht: keine Speicherung von Kommunikationsinhalten, keine Standortdaten auf Vorrat, keine Surf- oder Bewegungsprofile. Politisch ist das zumindest ein tragfähiger Kompromiss nach jahrelangem Streit. Rechtlich ist es zumindest ein deutlich schlankerer Ansatz als alle früheren Anläufe.“

„Die grundrechtliche Eingriffsintensität der reinen IP-Adressspeicherung liegt unter jener früherer Vorratsdatenspeicherungs-Regelungen. Denn sie soll nur die Identifikation eines Anschlussinhabers ermöglichen und gerade keine dauerhaften Rückschlüsse auf Kommunikationsverhalten, Kontakte oder Standorte erlauben.“

„Die Dauer von drei Monaten ist sicherlich erst einmal eine politische Abwägungsentscheidung: Sie ist schon länger, als es die bloße Effektivität der Strafverfolgung zwingend erfordern würde. Aber sie ist kürzer als in anderen EU-Staaten und wird von der Bundesregierung mit konkreten Ermittlungserfahrungen begründet.“

„Problematisch bleibt dennoch, dass die Speicherung weiterhin anlasslos erfolgt und damit faktisch jeden Internetnutzer in Deutschland erfasst. Die Unschuldsvermutung verträgt sich mit einer solchen Totalerfassung nur schwer. Die Vereinbarkeit mit Grundgesetz und Europarecht steht und fällt mit der konsequenten Umsetzung der technisch-organisatorischen Schutzvorkehrungen: getrennte Speicherung, strikte Zweckbindung, irreversible Löschung und unabhängige Aufsicht durch Bundesnetzagentur und Datenschutzbeauftragte. Werden solche Schutzmechanismen in der Praxis konsequent durchgesetzt, dürfte die Regelung verfassungs- und europarechtlich grundsätzlich tragfähig sein.“

„Der Unterschied zu den Vorläufern ist schon erheblich: Das Gesetz aus dem Jahr 2015 verpflichtete zur anlasslosen Speicherung nahezu aller Verkehrs- und Standortdaten. Deshalb ist es auch vom Europäischen Gerichtshof (EuGH) sowie vom Bundesverwaltungsgericht im Jahr 2023 als europarechtswidrig eingestuft worden.“

„Der neue Entwurf beschränkt sich demgegenüber auf IP-Adresse, Portnummer und Zeitstempel – und zwar allein zur Identifikation des Anschlussinhabers. Damit bewegt er sich erst einmal im Rahmen dessen, was der EuGH in der Hadopi-Entscheidung vom 30.04.2024 für zulässig erklärt hat (die französische Behörde Hadopi hatte zur Ermittlung von Urheberrechtsverletzungen IP-Adressen ausgewertet, der EuGH entschied 2024, dass das Vorgehen legal war; Anm. d. Red.). Die Wahrscheinlichkeit, dass die Regelung in Karlsruhe und Luxemburg Bestand hat, ist damit signifikant höher als bei allen Vorgängerversuchen. Gänzlich ausgeschlossen sind Verfassungsbeschwerden und Vorlagen zum EuGH aber trotzdem nicht.“

„Für bestimmte Deliktsfelder ist die Zuordnung einer IP-Adresse zu einem Anschlussinhaber grundsätzlich ein tauglicher Ermittlungsansatz. Dazu zählen insbesondere Darstellungen sexualisierter Gewalt gegen Kinder, Cybergrooming, Fakeshops und Ransomware. Die Zahlen des Bundeskriminalamts (BKA) aus dem NCMEC-Prozess sind dabei ein empirischer Anker (laut Entwurfsbegründung: ‚Bei dem NCMEC-Prozess handelt es sich um die in den USA verpflichtende Meldung durch die Plattformanbieter zu Darstellungen sexualisierter Gewalt, die sie bei freiwilligen Suchmaßnahmen auffinden, an das National Center for Missing & Exploited Children (NCMEC), das seinerseits entsprechende Hinweise zum Zwecke der Strafverfolgung an das BKA als deutsche Zentralstelle der deutschen Polizei übermittelt.‘; Anm. d. Red.). Sie werden auch in der Entwurfsbegründung genannt: In rund 24 Prozent der untersuchten Fälle waren die gemeldeten IP-Adressen bereits älter als acht Tage und damit nach bisheriger Rechtslage praktisch wertlos.“

„Dennoch ist die IP-Adressspeicherung definitiv kein ‚Allheilmittel‘ gegen Cyberkriminalität. Denn auch in der Entwurfsbegründung heißt es, dass selbst bei großzügigem Maßstab lediglich mit einer Zunahme der Bestandsdatenauskünfte von 20 Prozent zu rechnen ist. Das legt im Umkehrschluss nahe, dass auch weitere und konventionelle Ermittlungsverfahren nicht signifikant an Relevanz verlieren werden.“

„Problematisch ist vor diesem Hintergrund, dass die Bundesregierung ausdrücklich auf eine Evaluierung verzichtet, obwohl bei einer derart grundrechtssensiblen Maßnahme eine systematische Wirkungsmessung zwingend erforderlich wäre. Und wir müssen uns weiterhin stets vor Augen führen: Wirksame Ermittlungsarbeit im digitalen Raum braucht vor allem auch personelle und technische Ausstattung. Außerdem braucht sie OSINT-Kompetenzen (OSINT, also Open Source Intelligence: Auswertung öffentlich zugänglicher Daten; Anm. d. Red.), internationale Rechtshilfe, stärker vorbeugende Maßnahmen und funktionierende Schnittstellen zu Plattformbetreibern. Die reine Datenvorhaltung allein ersetzt keine moderne strafprozessuale Ermittlungsarchitektur für digitale Sachverhalte.“

„Grundsätzlich ist die Idee technisch umsetzbar und eine ‚Standardanwendung‘: Wenn Zugangsprovider protokollieren, welche IP-Adresse samt Portnummer zu welchem Zeitpunkt welchem Anschluss zugeordnet war, kann das Ermittlungen erleichtern. Die Datenmengen, die in drei Monaten entstehen, sollten Provider problemlos speichern können.“

„Technisch herausfordernd ist nicht die Speicherung selbst, sondern vielmehr die Sicherheit: Die Daten müssen aus rechtlichen Gründen von anderen personenbezogenen Daten klar getrennt und vor unbefugten Zugriffen und Missbrauch geschützt werden. Das kann zum Beispiel durch Verschlüsselung und dem Setzen von Zugriffsrechten geschehen. Eine solche Datensammlung kann ein attraktives Angriffsziel sein.“

„Eine weitere große technische und organisatorische Herausforderung betrifft das nachweisbare und fristgerechte Löschen der Daten: In realen Infrastrukturen liegen Daten oft nicht nur an einer Stelle. Sondern sie liegen auch in Replikaten, Back-ups oder Caches. Ein sicheres Löschen erfordert deshalb systematische Prozesse.“

„Eine saubere Umsetzung ist aus technischen Gründen sehr aufwendig und kann viel Zeit in Anspruch nehmen.“

„Eine gespeicherte IP-Adresse mit Portnummer erlaubt grundsätzlich die Zuordnung zu einem Internetanschluss, aber nicht automatisch zu einer bestimmten Person. In Haushalten, Unternehmen, Campusnetzen oder Café-WLANs werden Anschlüsse von mehreren Personen verwendet. Auch sogenannte NATs können zu Mehrdeutigkeiten führen (Network Address Translation: innerhalb eines Netzwerks bekommt jeder Zugang eine eigene IP-Adresse, nach außen wird aber nur die IP-Adresse des gesamten Netzwerks weitergegeben; Anm. d. Red.). Für eine Täterschaftszuschreibung werden deshalb oft weitere Informationen benötigt. Dazu zählen etwa genaue Angaben zur Zeit, zum verwendeten Endgerät oder zum Log-in.“

„Die Maßnahme dürfte in der Praxis und für weniger professionelle Täter ausreichen. Aber technisch versierte Akteure haben Ausweichstrategien: Mit VPN-Diensten und Tor- sowie I2P-Netzwerken (Ansätze, um Verbindungsdaten zu anonymisieren; Anm. d. Red.) oder durch die Nutzung fremder Infrastrukturen, können sie zu einem gewissen Grad ihre Spuren verwischen. Die Behörden müssen dann versuchen, weitere Daten zu sammeln. Diese liegen zum Beispiel bei den VPN-Anbietern vor. Sie zu bekommen kann je nach Land schwierig sein.“

„Eine Kriminalstatistik von 2011 zeigte, dass die Effektivität nicht so hoch war, wie gehofft. Damals war eine Vorratsdatenspeicherung in Deutschland Gesetz. Das lag vermutlich auch daran, dass Täter verstärkt auf anonyme Zugangsmöglichkeiten in öffentlichen Netzen zurückgriffen.“

„Datenschutz und Löschung sind zentrale und anspruchsvolle technische Herausforderungen. Eine massenhafte, dreimonatige Speicherung von Zuordnungsdaten kann attraktive Angriffspunkte schaffen: zusätzliche Datenbanken, neue Zugriffsprozesse, mehr Schnittstellen und dadurch mehr Risiken durch Fehlkonfiguration, Insiderzugriffe oder externe Angriffe.“

„Eine vollständige Löschung ist in großen, verteilten Provider-Infrastrukturen allgemein komplex und aufwendig. Denn Speicherorte, Back-ups, Replikate und Wiederherstellungsprozesse müssen im Detail geplant und regelmäßig überprüft werden. Zugriffe müssen streng kontrolliert werden und Löschroutinen nachprüfbar sein. Auch Audits sollten unterstützt und durchgeführt werden.“

„In der Praxis ist ‚spurenlos‘ aber allgemein kaum zu 100 Prozent garantierbar, insbesondere wenn man forensische Maßstäbe anlegt. Und zu einem gewissen Grad muss man hier schlussendlich immer auch dem Provider vertrauen.“

„Das Gesetz ist der dritte Anlauf, eine anlasslose Speicherung von IP-Adressen zu Zwecken der Strafverfolgung gesetzlich zu verankern. Internetprovider werden verpflichtet, IP-Adressen für drei Monate anlasslos zu speichern. Daneben finden sich weitere wichtige Änderungen. Dazu zählen etwa die Aufhebung der europarechtswidrigen Paragrafen 175 bis 181 des Telekommunikationsgesetzes (TKG).“

„Es soll zusätzlich eine Sicherungsanordnung möglich sein. Mit der kann die Strafverfolgungsbehörde die Sicherung von Verkehrsdaten bei einem konkreten Anlass für bis zu drei Monate grundsätzlich anordnen (§ 176 TKG-E i.V.m. § 100g Abs. 7 StPO-E).“

„Die anlasslose Speicherung von IP-Adressen und Ports bleibt eine Vorratsdatenspeicherung. Das gilt auch, wenn sie auf drei Monate gekürzt wurde und als ‚vorsorgliche Speicherung‘ bezeichnet wird. Es handelt sich um einen intensiven Grundrechtseingriff, da die Speicherung anlasslos erfolgt. Sie haben als Bürger:in also keine Möglichkeit, diesem Grundrechtseingriff zu entgehen. Dadurch sind alle Internetnutzer:innen in Deutschland betroffen. Dem Eingriff kommt also eine erhebliche ‚Streubreite‘ zu.“

„Die Speicherung erfolgt anlasslos. Voraussetzung für die Abfrage ist weiterhin der Anfangsverdacht einer Straftat. Verkehrs- und Standortdaten sind nicht betroffen. Die Regelungen zur ‚vorsorglichen‘ Speicherung sind auf IP-Adressen beschränkt. Der Grundrechtseingriff in das Recht auf informationelle Selbstbestimmung liegt aber bereits in der Speicherung der personenbezogenen Daten selbst.“

„Das Grundproblem eines massenhaften Grundrechtseingriffs ist dadurch nicht gelöst. Es fehlt aus meiner Sicht auch der empirische Nachweis, dass sich die Vorratsdatenspeicherung überhaupt für die Bekämpfung der Delikte eignet. Genannte Delikte liegen etwa im Bereich der non-konsensualen sexuellen Darstellung von Kindern oder im Problemfeld digitale Gewalt.“

„Zudem kommt den Befugnissen mit so großer Eingriffstiefe und -breite Missbrauchspotenzial zu. Das Phänomen des ‚function creep‘ ist gerade im Bereich digitaler Technologien gut dokumentiert. Es bedeutet, dass Befugnisse schleichend auf andere Bereiche ausgedehnt oder ausgeweitet werden.“

„Der Europäische Gerichtshof (EuGH) hat in der Rechtssache C-470-21 entschieden, dass eine allgemeine und unterschiedslose Vorratsdatenspeicherung von IP-Adressen nur mit klaren und präzisen Regeln bezüglich der Speicherungsmodalitäten zulässig ist. Außerdem müssen diese Speicherungsmodalitäten strengen Anforderungen genügen. Der EuGH hat dazu betont, dass diese Regeln sicherstellen müssen, dass jede Kategorie von Daten völlig getrennt von den übrigen Kategorien auf Vorrat gespeicherter Daten gespeichert wird. Das schließt Identitätsdaten und IP-Adressen ein.“

„2011 hat das Max-Planck-Institut (MPI) für ausländisches und internationales Strafrecht eine Studie zur Wirksamkeit von Vorratsdatenspeicherung durchgeführt. Diese Studie hat einen Nutzen für die Strafverfolgung verneint [1]. Eine Studie der Europäischen Kommission aus dem Jahr 2020, die sich zwar explizit nicht mit Auswirkungen auf Grundrechte befasst, stellt bei der Befragung von Ermittler:innen aus Mitgliedstaaten mit und ohne verpflichtende Vorratsdatenspeicherung nur geringfügige Unterschiede fest [2]. Auch aus dem Jahr 2020 stammt eine Analyse des Wissenschaftlichen Diensts des Europäischen Parlaments, die der Abgeordnete Patrick Breyer veröffentlicht hat. Sie hat keinen messbaren Erfolg bei der Senkung der Kriminalitäts- oder Aufklärungsquote feststellen können [3].“

„Eine Verhinderung von Straftaten im Internet kann mit dem Gesetzesentwurf höchstens aufgrund der Abschreckfunktion erwartet werden. Inwieweit ein dreimonatiger Speicherzeitraum tatsächlich zu einem größeren Erfolg für Ermittlungen beitragen kann und ob dieser Zeitraum nicht auch kürzer sein könnte, kommt in den geplanten Gesetzesänderungen nicht zum Ausdruck.“

„Eine IP-Adresse allein führt auch nicht zur potenziellen Täter:in. Das liegt daran, dass mehrere Nutzer:innen die gleiche IP-Adresse haben können, zum Beispiel mehrere Familienmitglieder eines Haushalts. Die Identifikation durch eine IP-Adresse kann zudem leicht durch die Nutzung eines VPN umgangen werden. Das BKA selbst hält zudem eine Speicherfrist von zwei bis drei Wochen für ausreichend – außer in Fällen der organisierten Kriminalität [4].“

„Eine Alternative stellt die Log-in-Falle dar. Bei dieser wird nur bei einem Anfangsverdacht gegen eine:n Nutzer:in die IP-Adresse bei der nächsten Verbindung des Clients mit dem jeweiligen Server gespeichert und an die Ermittlungsbehörde übermittelt. Eine Verbindung kann also zum Beispiel bei einem Beleidigungsdelikt auf Social Media bei der nächsten Nutzung der Plattform entstehen [5].“

„Die zentralen Punkte des Entwurfs sind aus meiner Sicht folgende. Erstes: die Vorratsdatenspeicherung von IP-Adressen und Portnummern, soweit die Daten zur Identifizierung eines Anschlussinhabers benötigt werden. Zweitens: die Einführung darüber hinausgehender, gezielter Sicherungsanordnungen für weitergehende sogenannte Verkehrsdaten. Diese können potenziell sehr sensibel sein. Und drittens: eine Anpassung der Regelungen zur Funkzellenabfrage. Das ist die Abfrage der Verkehrsdaten in einer Zelle eines Mobilfunknetzes.“

„Man merkt dem Entwurf durchaus das Bemühen an, zu einer verfassungsgemäßen und europarechtskonformen Lösung zu kommen, um die Ermittlungen zu Straftaten mit Internet- und Telekommunikationsbezug zu erleichtern. Und dennoch sehe ich einige Aspekte überaus kritisch.“

„Ich habe Zweifel an der Verhältnismäßigkeit der dreimonatigen Speicherung. Der Aufbau einer Datensammlung über alle Internetnutzer braucht aus meiner Sicht eine starke Rechtfertigung. Denn er bringt durchaus Risiken mit sich.“

„Der Zweck der Vorratsdatenspeicherung ist legitim und leuchtet unmittelbar ein. Notwendige Ermittlungstätigkeiten der Strafverfolgungsbehörden dürften so sicherlich in vielen Fällen erleichtert werden. Unterstellt man deswegen die Legitimität der Vorratsdatenspeicherung an sich, bleibt aber noch die Frage nach deren Dauer. Und auch die Legitimität an sich ist durchaus umstritten.“

„Ein Positionspapier des BKA [4] kommt etwa zu dem Ergebnis, dass gemessen an den wahrscheinlichsten Fallkonstellationen ‚eine Speicherverpflichtung von zwei bis drei Wochen auch bei besonderen (terroristischen) Gefahrenlagen regelmäßig ausreichend‘ wäre. Die Argumentation beruht im Wesentlichen auf einer statistischen Auswertung der sogenannten NCMEC-Vorgänge. Das sind Meldungen des amerikanischen National Center for Missing & Exploited Children. Auf ‚Bedarfslagen‘, für die das nicht gilt, weist dieses Papier ebenfalls hin. Hier sind allerdings keine Zahlen angegeben.“

„Die Evidenz für eine Speicherdauer von drei Monaten ist dünn. Mir ist jedenfalls trotz über 20 Jahren Diskussion zur Vorratsdatenspeicherung keine belastbare Studie bekannt, auf deren Grundlage man zu dieser Dauer gekommen sein könnte. In Bezug auf den Datenschutz sind mir außerdem noch einige Festlegungen im vorliegenden Entwurf zu unkonkret. Das betrifft sowohl den Umfang von erhobenen Verkehrsdaten als auch die technischen Schutzmaßnahmen im Kontext der Vorratsdatenspeicherung.“

„Wenig beachtet ist bislang die Speicherung von Portnummern, soweit zur Identifikation des Anschlussinhabers benötigt. Hintergrund ist die Adressknappheit bei Version 4 des Internetprotokolls (IPv4). Sie wird zwar durch Version 6 abgelöst, ist aber immer noch verbreitet. Man behilft sich damit, die gleiche IPv4-Adresse mehreren Kunden zuzuordnen und die Kunden anhand der dafür ursprünglich nicht vorgesehenen Portnummern zu differenzieren. Das ist die sogenannte Network Address Translation (NAT).“

„Eine längerfristige Speicherung dieser Portnummern ist bislang in der Regel technisch nicht vorgesehen. Je nach konkreter Umsetzung kann sie zu überaus detaillierten Nutzungsprofilen, entsprechendem Kostenaufwand für die Provider sowie zu Nutzungseinschränkungen führen.“

„Es gibt technische Standards, die einen Kompromiss zu finden versuchen, aber ich habe nicht den Eindruck, dass die Bundesregierung sich zu dieser Problematik Gedanken gemacht hat.“

„Die zuletzt in Deutschland verabschiedeten, europarechtswidrigen Regelungen zur Vorratsdatenspeicherung sahen deutlich mehr zu speichernde Datenkategorien vor. Außerdem waren sie auch handwerklich schlechter gemacht als der neue Entwurf. Der Europäische Gerichtshof (EuGH) schließt eine Vorratsdatenspeicherung nicht per se aus. Ich wage allerdings keine Prognose, wie der EuGH oder auch das Bundesverfassungsgericht (BVerfG) die genannten Kritikpunkte bei einer Verhältnismäßigkeitsprüfung gewichten wird.“

„Die Instrumente des Gesetzentwurfs können die Strafverfolgung im Internet sicher erleichtern. Insgesamt würde ich mir allerdings mehr empirische Untersuchungen wünschen, um für künftige Gesetzesvorhaben eine verlässlichere Grundlage zu schaffen.“