KPMG Forensic News - April 2015: Vorratsdatenspeicherung

KPMG Forensic News - April 2015

Am 15. April 2015 stellte Bundesminister Heiko Maas die Leitlinien des Bundesministeriums der Justiz und für Verbraucherschutz zur Einführung einer Speicherpflicht und Höchstspeicherfristen für Verkehrsdaten – altbekannt als „Vorratsdatenspeicherung“ – vor.

Ansprechpartner

Verwandte Inhalte

Verkehrsdaten sollen laut dieser Leitlinien zwischen vier und zehn Wochen gespeichert werden. Ein Zugriff auf die Daten soll nur unter engen Voraussetzungen erfolgen können. Daten von Berufsgeheimnisträgern sollen wenigstens von der Abrufmöglichkeit ausgenommen werden. Ob die Leitlinien und entsprechende Gesetzesänderungen den Anforderungen des Bundesverfassungsgerichts und des Europäischen Gerichtshofs genügen, ist schon jetzt sehr umstritten. Die gesetzliche Umsetzung ist für Herbst 2015 geplant.  

Hinter dem früher verwendeten Begriff der „Vorratsdatenspeicherung“ verbirgt sich die Speicherung von Verbindungsdaten, also Informationen dazu, wer mit wem, wann, wie lange, von wo aus und über welches Medium kommuniziert. Diese Meta-Daten (also keine Inhaltsdaten) sollen von Anbietern von Telekommunikationsdiensten gespeichert und von Strafverfolgungsbehörden ggf. genutzt werden, um schwere Straftaten aufzudecken. Seit Jahren bewegt das Thema Vorratsdatenspeicherung die deutsche Innenpolitik, Interessenvertreter, Bürger und betroffene Unternehmen. Was der Bundesjustizminister Heiko Maas als „Balance zwischen Freiheit und Sicherheit“ bezeichnet, ist ein Drahtseilakt zwischen Grundrechten und effizienter Ermittlungstätigkeit.  

Höchstrichterlich scheiterte die Vorratsdatenspeicherung bisher zweimal

Zweimal bereits wurde das Thema Vorratsdatenspeicherung in den letzten Jahren höchstrichterlich entschieden. „Eine sechsmonatige, vorsorglich anlasslose Speicherung von Telekommunikationsverkehrsdaten durch private Diensteanbieter […] ist mit Art. 10 GG nicht schlechthin unvereinbar“, stellte im März 2010 das Bundesverfassungsgericht fest und untersagte damit die Vorratsdatenspeicherung in Deutschland entgegen der damals noch geltenden europäischen Richtlinie

Der Europäische Gerichtshof erklärte im August 2014: „Die Richtlinie […] über die Vorratsspeicherung […] ist ungültig.“ Ähnlich dem Bundesverfassungsgericht bezeichnete auch dieser die Vorratsdatenspeicherung als einen Eingriff von großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten. Nach Maßgabe der deutschen und europäischen Grundrechte muss sich ein solcher Eingriff auf das absolut Notwendige beschränken.

Die neuen Regelungen binden Speicherung und Auswertung an strenge Voraussetzungen

Nach Aussagen von Justizminister Heiko Maas entsprechen die Leitlinien den Vorgaben der beiden Gerichte. Eine erste Analyse zeigt, dass der Entwurf zumindest zahlreiche in den Urteilen genannte Problematiken adressiert.

Gespeichert werden sollen Verkehrsdaten, die bei der Telekommunikation anfallen, näher bezeichnet als „Rufnummern der beteiligten Anschlüsse, Zeitpunkt und Dauer des Anrufs, bei Mobilfunk auch die Standortdaten, sowie IP-Adressen einschließlich Zeitpunkt und Dauer der Vergabe einer IP-Adresse“. Nicht gespeichert werden sollen E-Mail-Inhaltsdaten, aufgerufene Internetseiten und Inhaltsdaten der Kommunikation. Die Speicherfrist soll für Standortdaten vier Wochen, für andere Daten zehn Wochen betragen. Nach Ablauf dieser Frist sind die Daten unverzüglich zu löschen.

Ein Abruf der Daten soll für Strafverfolgungsbehörden unter eng definierten Bedingungen möglich sein. Voraussetzung ist der Tatverdacht bzw. Verdacht der Teilnahme an „schwerste[n] Straftaten“ bzw. deren Versuch bzw. sogar deren Vorbereitung. Welche Straftaten als „schwerste Straftaten“ gelten, wird in einem anschließenden Katalog aufgelistet, der sich an den engen Grundsätzen zur Wohnraumüberwachung („Großer Lauschangriff“) orientiert. Erfasst werden insbesondere terroristische Straftaten und Straftaten gegen höchstpersönliche Rechtsgüter wie Leib, Leben, Freiheit und sexuelle Selbstbestimmung. Der Abruf steht unter Richtervorbehalt; eine Eilkompetenz der Staatsanwaltschaft besteht nicht. Die Betroffenen müssen grundsätzlich vor Abruf der Daten, jedenfalls aber nachträglich benachrichtigt werden. Hiervon darf nur mit richterlicher Bestätigung abgesehen werden.

Für Berufsgeheimnisträger wie Rechtsanwälte, Steuerberater und Wirtschaftsprüfer gelten Ausnahmeregelungen

Schon die Datenspeicherung soll Einschränkungen unterliegen, um die Grundrechte der Betroffenen zu schützen. So sollen unter anderem die Verkehrsdaten bestimmter Berufsgeheimnisträger von der Speicherpflicht ausgenommen werden, jedoch nur soweit diese besonderen Verschwiegenheitsverpflichtungen unterliegen. Unter anderem wird hier die Seelsorgetätigkeit genannt. Anderen Berufsgeheimnisträgern, wie Wirtschaftsprüfern, Rechtsanwälten und Steuerberatern, kommt diese Ausnahme von der Speicherpflicht nicht zugute. Zur Begründung wird in den Leitlinien angeführt, dass die praktische Umsetzung einer solchen Ausnahmeregelung einen zu starken Eingriff in die Berufsfreiheit und das Recht auf informationelle Selbstbestimmung darstelle, da hierfür Datenbanken mit Berufsgeheimnisträgern und deren Rufnummern angelegt und bei Telekommunikationsdiensteanbietern hinterlegt werden müssten. Auf die Möglichkeit für Berufsgeheimnisträger, sich selbst auf entsprechenden Listen setzen zu lassen und so einer Datenspeicherung zu entgehen, gehen die Leitlinien nicht ein. Die Verkehrsdaten dieser Personen sollen demnach gespeichert werden, ein Abruf solle jedoch nicht erlaubt sein. Dennoch ist nicht ausgeschlossen, dass hiermit das Vertrauen in das Mandatsgeheimnis der Berufsgeheimnisträger erschüttert wird.

Sicherheitsmaßnahmen nach Stand der Technik bringt eine permanente Investitionspflicht für Telekommunikationsdiensteanbieter mit sich

An Telekommunikationsdiensteanbieter stellen die Leitlinien des Weiteren hohe Anforderungen in Sachen Datensicherheit: Anforderung ist die „nach dem Stand der Technik höchstmögliche Sicherheit“ der Daten und eine Speicherung im Inland. Konkret werden der Einsatz eines besonders sicheren Verschlüsselungsverfahrens, die Speicherung in gesonderten Speichereinrichtungen mit einem hohen Schutz vor Zugriffen aus dem Internet, die revisionssichere Protokollierung des Zugriffs sowie die Gewährleistung des Vier-Augen-Prinzips für den Zugriff auf die Daten genannt. Die Wortwahl „Stand der Technik“ birgt für die Telekommunikationsdiensteanbieter große Sprengkraft: Hinsichtlich der Festlegung eines Sicherheitsstandards fordert das Bundesverfassungsgericht in Bezug auf die Vorratsdatenspeicherung, dass sich dieser am Entwicklungsstand der Fachdiskussion orientiert und neue Erkenntnisse und Einsichten fortlaufend aufnimmt. Entsprechend sei vorzusehen, dass speicherpflichtige Unternehmen – beispielsweise auf Grundlage von in regelmäßigen Abständen zu erneuernden Sicherheitskonzepten – ihre Maßnahmen hieran nachprüfbar anpassen müssen. In der in den Leitlinien offenkundig bewusst gewählten Formulierung „Stand der Technik“ verbirgt sich damit eine permanente und kostenintensive Investitionsverpflichtung für Telekommunikationsdiensteanbieter. Ob diese durch die angekündigte Entschädigungsregelung bei erdrosselnder Wirkung der Investitionsverpflichtung angemessen kompensiert werden können, bleibt fraglich.

Konsequenzen bei Nichteinhaltung der Sicherheitsanforderungen

Werden Daten nach Ablauf der Speicherfristen nicht gelöscht, droht den Diensteanbietern ein Ordnungsgeld. Halten die Diensteanbieter die Sicherheitsanforderungen nicht ein, sollen sie mit nicht näher ausgeführten Sanktionen belegt werden.

Am Rande wird in den Leitlinien auch ein neuer Straftatbestand der Datenhehlerei angekündigt. Mit diesem soll zukünftig der Handel mit gestohlenen Daten unter Strafe stehen. Ob damit begrüßenswerter Weise die Diskussion der vergangenen Monate wieder aufgegriffen wird, grundsätzlich einen Straftatbestand der Datenhehlerei wegen bestehender Strafbarkeitslücken einzuführen, oder lediglich ein spezieller Straftatbestand für die Datenhehlerei mit Verkehrsdaten gemeint ist, bleibt offen.

Umsetzung der Leitlinien in Gesetzesform

Die konkrete gesetzliche Umsetzung der Leitlinien steht bisher noch nicht fest, soll aber schon im Herbst 2015 erfolgen. Jedoch wird das Bundesverfassungsgericht diese erneut prüfen müssen. Denn mehrere Politiker kündigten bereits an, Klage gegen die entsprechenden Gesetzesänderungen erheben zu wollen.

Wir werden Sie über die weitere Umsetzung der Leitlinien zur Höchstspeicherfrist von Verkehrsdaten informieren. Daneben  unterstützen wir Sie und Ihr Unternehmen dabei, Ihre Daten zu schützen und erhöhten Sicherheitsanforderungen gerecht zu werden – auch außerhalb der Vorratsdatenspeicherung. Sprechen Sie uns an!

KPMG Forensic News

Forensic

Es kann jedes Unternehmen treffen: Betrug, Untreue, Unterschlagung, Bilanzfälschung, Korruption, Wettbewerbs- & Kartellverstöße und Spionage.

 
Lesen Sie mehr

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform