Im Dezember hat das Justizministerium einen ersten Entwurf für die Neuauflage der Vorratsdatenspeicherung vorgelegt. Dieser stößt bei zivilgesellschaftlichen Gruppen auf Kritik, die vor anlassloser Überwachung warnen.

Der jüngste Anlauf, eine Vorratsdatenspeicherung in Deutschland einzuführen, könnte womöglich gegen EU-Recht verstoßen. So lautet der Tenor aus vielen zivilgesellschaftlichen Organisationen, die in den letzten Wochen Stellung zum Gesetzentwurf bezogen haben.

Diesen hatte das Bundesjustizministerium (BMJV) im Dezember vorgestellt. Demnach sollen Netzbetreiber die IP-Adressen und Port-Nummern ihrer Nutzer:innen anlasslos drei Monate lang speichern. Außerdem sollen sich mit einer Sicherungsanordnung auch weitere Verkehrsdaten von Nutzer:innen einfrieren lassen, wenn ein Verdacht von Straftaten mit erheblicher Bedeutung vorliegt.

Die Tür für den erneuten Anlauf hat der Europäische Gerichtshof (EuGH) geöffnet. Im Jahr 2024 hatten die Richter:innen entschieden, die verdachtsunabhängige Speicherung von IP-Adressen unter bestimmten Bedingungen zuzulassen. Zuvor hatte sich der EuGH in mehreren Urteilen stets gegen diese Form anlassloser Massenüberwachung gestellt. Diese Kehrtwende hat in vielen EU-Ländern, aber auch auf EU-Ebene, neue Diskussionen um Vorratsdatenspeicherung ausgelöst.

EU-weite Lösung bevorzugt

Schon allein deshalb sei ein nationaler Alleingang fragwürdig, schreibt die Digital-NGO Digitale Gesellschaft in ihrer Stellungnahme. „Der Vorschlag läuft quer zu einem gerade angelaufenen Gesetzgebungsverfahren von der EU-Kommission zur Harmonisierung europäischer Regeln zur Vorratsdatenspeicherung“, so die Bürgerrechtler. Lieber sollte sich die Bundesregierung „auf europäischer Ebene für zielgerichtete Maßnahmen statt Massenüberwachung“ einsetzen, empfiehlt die NGO.

Auch inhaltlich spart die Digitale Gesellschaft nicht mit Kritik. In Bezug auf ein älteres EuGH-Urteil würde die vorgeschlagene Speicherfrist von drei Monaten den Maßstäben des Gerichtshofs nicht entsprechen. In seinem letzten Urteil hatte der EuGH keine Zeitspanne benannt. Er führte aus, dass das nun erlaubte Vorhalten von IP-Adressen zeitlich auf das absolut Notwendige begrenzt werden müsse sowie keine detaillierten Einblicke in das Privatleben betroffener Personen erlauben dürfe.

Aufgeweichtes „Quick Freeze“

Dem Deutschen Anwaltverein (DAV) zufolge habe das BMJV die Öffnung für die Speicherung von IP-Adressen „in einem Maße überdehnt, die nicht mehr mit den grundrechtsschützenden Intentionen des Gerichtshofs in Einklang steht“. Da jegliche wirksame Begrenzung der Verwendungszwecke fehle, sei „jedenfalls die vorgeschlagene Vorratsdatenspeicherung europarechtswidrig“.

Neben der anlasslosen Speicherung von IP-Adressen, mit denen sich die Anschlussinhaber:innen herausfinden lassen, will das BMJV mit der Sicherungsanordnung eine Form von „Quick Freeze“ einführen. Hierbei werden nach einer Anordnung auch sogenannte Verkehrsdaten wie eine Liste abgehender Anrufe oder verschickter SMS-Nachrichten eingefroren. Betroffen wären auch Standortdaten, mit denen sich Bewegungsprofile erstellen lassen. Das entspricht grob dem gescheiterten Ansatz der Ampelregierung, die in der vergangenen Legislaturperiode eine grundrechtsschonendere Alternative zur Vorratsdatenspeicherung etablieren wollte.

Doch im aktuellen Entwurf schleift das nun SPD-geführte Justizministerium einige Schutzvorkehrungen. So soll für das Einfrieren der Daten eine simple Anordnung von Ermittlungsbehörden reichen. Erst beim zweiten Schritt, wenn es um das „Auftauen“ der Daten für weitere Ermittlungen geht, wäre eine unabhängige gerichtliche Prüfung notwendig.

Zudem plant das BMJV, die Eingriffsschwelle abzusenken, womit mehr einzufrierende Daten erfasst würden. Damit würde den Ermittlungsbehörden ermöglicht, schreibt der DAV, „genau wie bei der Vorratsdatenspeicherung, für einen Zeitraum von bis zu sechs Monaten retrograde Standortdaten zu erheben und detaillierte Bewegungsprofile zu erstellen“.

Andere Ansätze existieren

Aus Sicht der Gesellschaft für Informatik (GI) ist die flächendeckende, anlasslose Einführung einer IP-Adressenspeicherung vollständig auszuschließen, da sonst jede Person unter Generalverdacht gestellt würde. Zudem müsse grundsätzlich gefragt werden, ob „eine zusätzliche Form der staatlichen Überwachung durch eine Speicherung von Verkehrsdaten überhaupt erforderlich ist“. Aktivitäten ließen sich „bereits durch private Datenabflüsse im Alltag zum Teil rekonstruieren“, so die GI.

Für andere Ansätze plädiert der Digitalverband D64. Als „grundrechtsschonende und zielgerichtete Ermittlungsinstrumente“ schlägt der Verband eine sauber geregelte „Quick Freeze“-Lösung oder eine Login-Falle vor. Auch die Digital-NGO Digitalcourage verweist auf das Quick-Freeze-Verfahren, welches „rechtsstaatlich, verhältnismäßig und bereits heute möglich“ sei.

Kritik am Vorstoß des BMJV übt auch die Wirtschaft. So weist etwa eco, der Verband der Internetwirtschaft, auf potenzielle neue Speicherpflichten für bislang datensparsame Messenger wie Signal hin. „Mit dem geänderten § 100g der Strafprozessordnung (StPO) wird neben den bereits verpflichteten Anbietern bei der Erhebung von Verkehrsdaten klargestellt, dass dieser zusätzlich auch für Anbieter von nummernunabhängigen interpersonellen Kommunikationsdiensten (NI-ICS) gilt“, heißt es in der Stellungnahme des Verbands.

Dem Entwurf deutlich wohlgesonnener sind die von den Speicherpflichten besonders betroffenen Netzbetreiber. Allerdings warnt etwa VATM, der Verband der Anbieter von Telekommunikations- und Mehrwertdiensten, vor Unschärfen im derzeitigen Referentenentwurf. „Wird – wie im Entwurf vorgesehen – der Startpunkt einer Session gespeichert, ist eine Zuordnung einer IP-Adresse zu einem Endkunden nicht nur für drei Monate möglich, sondern faktisch für die gesetzliche Speicherfrist zuzüglich der Dauer der Session“, führt der Verband aus. Demnach könnten in der Praxis auch nach fünf oder sechs Monaten noch Zuordnungen vorgenommen werden. „Dies widerspricht dem Ziel einer strikt zeitlich begrenzten Speicherung.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die dänische Ratspräsidentschaft schlägt vor, die Chatkontrolle freiwillig zu erlauben, statt sie verpflichtend zu machen. Die EU-Staaten haben diesen Vorschlag bereits einmal abgelehnt, ob sie jetzt zustimmen, ist offen. Viele Akteure lehnen eine freiwillige Chatkontrolle ab – auch die EU-Kommission.

Internet-Dienste sollen nicht zur Chatkontrolle verpflichtet werden, die Kommunikation ihrer Nutzer aber freiwillig durchsuchen dürfen. Das schlägt die dänische Ratspräsidentschaft vor.

Seit über drei Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Keine Verpflichtung

Im Rat ist bisher kein Vorschlag zustimmungsfähig. Auch der bislang letzte Versuch scheiterte, unter anderem wegen Widerstand aus Deutschland. Gestern hat Dänemark einen neuen Vorschlag verschickt.

In einem Schreiben, das wir aus Quellenschutzgründen derzeit nicht veröffentlichen können, schreibt Dänemark: „Dieser Ansatz sieht keine Aufdeckungsanordnungen vor, sondern behält die freiwillige Regelung für Technologieunternehmen zur Rückverfolgung von Material über sexuellen Kindesmissbrauch bei.“

Der dänische Justizminister Peter Hummelgaard bestätigt gegenüber Medien: „Die Aufdeckungsanordnung wird nicht Teil des neuen Kompromissvorschlags der EU-Präsidentschaft sein. Die Suche nach Material über sexuellen Kindesmissbrauch bleibt für Technologiekonzerne freiwillig.“

Ein EU-Beamter hat diese Angaben gegenüber netzpolitik.org bestätigt. Die dänische Ratspräsidentschaft und das dänische Justizministerium haben auf unsere Anfrage von gestern bisher nicht geantwortet.

Vorschlag schonmal abgelehnt

Schon Polen hatte vorgeschlagen, die Chatkontrolle freiwillig zu erlauben statt verpflichtend zu machen. Dieser Vorschlag fand keine Mehrheit, die Mehrheit der EU-Staaten beharrte auf der Verpflichtung.

Ob derselbe Vorschlag jetzt eine Mehrheit findet, nur weil er von Dänemark statt Polen kommt, ist völlig offen. Selbst wenn sich die EU-Staaten auf diesen Kompromiss einigen sollten, geht das Gesetzgebungsverfahren danach im Trilog weiter. Dort verhandeln Kommission, Parlament und Rat über einen Kompromiss ihrer drei Positionen.

Der neue Vorschlag von Dänemark ist ein wichtiger Etappensieg, aber die Chatkontrolle ist noch lange nicht vom Tisch.

Freiwillige Chatkontrolle

Eigentlich ist eine freiwillige Chatkontrolle verboten. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Manche Anbieter wie Google, Apple und Meta tun das jedoch bereits freiwillig. Um das zu legalisieren, gibt es seit vier Jahren eine vorübergehende Ausnahme der Vertraulichkeit der Kommunikation. Diese Ausnahme will Dänemark jetzt dauerhaft machen.

Die temporäre Ausnahme der Datenschutzrichtlinie, die eine freiwillige Chatkontrolle erlaubt, läuft im April 2026 aus. Dass das neue Gesetz bis dahin in Kraft ist, ist unwahrscheinlich.

Breite Ablehnung

Die freiwillige Chatkontrolle wird massiv kritisiert. Der Europäische Datenschutzbeauftragte warnt vor flächendeckender Überwachung privater Kommunikation und hohen Fehlerquoten. Ein Betroffener sexueller Gewalt klagt gegen die freiwillige Chatkontrolle von Facebook. Sogar die EU-Kommission hat erhebliche rechtliche Bedenken und lehnt eine freiwillige Speicherung ab.

Die EU-Kommission ist gesetzlich dazu verpflichtet, die Verhältnismäßigkeit der freiwilligen Chatkontrolle zu belegen. Anfang September hätte sie einen Bericht mit Statistiken vorlegen müssen. Das hat sie bis heute nicht getan. Die Kommission scheitert, die Verhältnismäßigkeit der Chatkontrolle zu belegen.

Weitere Probleme

Neben der Chatkontrolle enthält der Gesetzentwurf weitere problematische Regeln. Internet-Zugangs-Anbieter sollen Netz-Sperren einführen, um einzelne Internet-Inhalte zu sperren. Internet-Dienste sollen das Alter ihrer Nutzer überprüfen, was eine anonyme oder pseudonyme Nutzung gefährdet. Auch die freiwillige Chatkontrolle kann auf andere Inhalte ausgeweitet werden.

Neben der CSA-Verordnung bedrohen andere Gesetzesvorhaben vertrauliche Kommunikation. Die Europäische Strategie für die innere Sicherheit „ProtectEU“ fordert einen „Technologiefahrplan für Verschlüsselung“. Sicherheitsbehörden fordern Zugang zu verschlüsselten Inhalten, auch bei „Ende-zu-Ende-Verschlüsselung“. Die Forderung könnte in weiteren Gesetzen wieder aufkommen.

Die Auseinandersetzung um die Chatkontrolle geht weiter.

Justizministerin freut sich

Update (12:07): Die deutsche Justizministerin Stefanie Hubig äußert sich per Pressezitat:

Ich freue mich sehr, dass wir einer überzeugenden europäischen Lösung nun einen entscheidenden Schritt nähergekommen sind. Die intensiven Gespräche mit der dänischen Ratspräsidentschaft und die enge, vertrauensvolle Zusammenarbeit der Bundesregierung haben sich offenbar gelohnt.

Der angekündigte Vorschlag ist eine echte Verbesserung. Er enthält wichtige Regelungen für den Kampf gegen Kinderpornographie im Netz. Vor allem werden die wichtigen, aktuell aber zeitlich begrenzten Möglichkeiten der Anbieter, sexuellen Missbrauch von Kindern freiwillig aufzudecken und zu melden, auf eine stabile und dauerhafte Grundlage gestellt.

Und: Es werden keine roten Linien überschritten. Eine staatlich angeordnete Chatkontrolle ist vom Tisch. Das gemeinsame Ziel der Bundesregierung ist es, Kindesmissbrauchsdarstellungen im Netz wirksamer zu bekämpfen. Gleichzeitig ist klar: In einem Rechtsstaat heiligt der Zweck niemals alle Mittel. Elementare Bürgerrechte müssen auch im digitalen Raum gewahrt bleiben.

Auch auf nationaler Ebene wird die Bundesregierung den Kampf gegen Kinderpornographie entschlossen voranbringen. Die Einführung einer verpflichtenden IP-Adressenspeicherung ist dafür unverzichtbar. Wir werden dazu bald Vorschläge vorlegen, die effektive Strafverfolgung mit dem Schutz der Grundrechte verbinden.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.