Kurz vor Weihnachten hat das Bundesministerium für Justiz und Verbraucherschutz (BMJV) am Montag seinen lange erwarteten Referentenentwurf zur „Einführung einer IP-Adressspeicherung“ veröffentlicht. Es verspricht damit einen modernen Instrumentenkasten für die Strafverfolgung, ohne die Fehler der Vergangenheit zu wiederholen. Doch bei genauerer Betrachtung offenbart das Papier eine Gratwanderung. Das Ressort versucht, eine flächendeckende Speicherpflicht durch eine juristische Umdeutung als „nicht schwerwiegenden Eingriff“ an der Entscheidung des Europäischen Gerichtshofs (EuGH) vorbei zu definieren. Gleichzeitig könnten geplante neue Instrumente wie die „Sicherungsanordnung“ eine umfassende Online-Beschattung durch die Hintertür ermöglichen.

Kern des schon im Vorfeld umkämpften neuen Gesetzesentwurfs ist die Einführung einer dreimonatigen Speicherpflicht für IP-Adressen im neuen Paragrafen 176 des Telekommunikationsgesetzes (TKG). Die Rede ist von einer „vorsorglichen Sicherung“ der Internetkennungen. Das BMJV begründet diesen Schritt damit, dass Straftäter im Netz oft nur eine einzige Spur hinterlassen: „die von ihnen verwendete Internetprotokoll-Adresse“. Um die strengen Vorgaben des EuGH zu erfüllen, der eine allgemeine und anlasslose Speicherung von Verkehrsdaten eigentlich wiederholt untersagt hat, setzt das Ministerium auf eine gewagte Differenzierung.

In der Begründung heißt es dazu, dass die IP-Adressenprotokollierung einen „nicht als schwer einzustufenden Eingriff in Grundrechte“ darstelle. Das BMJV beruft sich dabei auf das jüngste EuGH-Urteil in der Rechtssache „Hadopi“, wonach die Identifizierung eines Anschlussinhabers allein anhand der IP-Adresse unter bestimmten Bedingungen zulässig sein soll. Dennoch bleibt höchst zweifelhaft, ob eine Speicherung, die unterschiedslos jeden Bürger trifft, vor den Luxemburger Richtern bestehen kann. Auch das Bundesverfassungsgericht hat stets die enorme „Streubreite“ solcher Maßnahmen gerügt.

„Sicherungsanordnung“ auch für Messenger

Nicht minder brisant als die reine IP-Log-Megadatei ist das vorgesehene Instrument der Sicherungsanordnung, das in Fachkreisen als Quick Freeze bekannt ist und in ähnlicher Form auch von der Ampel-Koalition erwogen wurde. Laut dem geplanten Paragrafen 100g Absatz 7 der Strafprozessordnung (StPO) können Behörden wie die Staatsanwaltschaft oder die Polizei damit anordnen, dass Anbieter sämtliche Verkehrsdaten – also neben Verbindungsinformationen insbesondere auch Standortdaten – unverzüglich zu sichern haben. Die Ausweitung der Überwachung wird hier besonders deutlich, da sich die Sicherung keineswegs nur auf IP-Adressen beschränkt.

Heikel ist dabei vor allem, dass die Hürden für dieses „Einfrieren“ niedrig angesetzt sind. Es reichen bereits „zureichende tatsächliche Anhaltspunkte dafür, dass eine Straftat begangen worden ist“, was eine deutlich niedrigere Schwelle darstellt als für die spätere tatsächliche Herausgabe der Daten. Auch Messenger-Dienste wie WhatsApp, Signal, iMessage, Meta Messenger oder Threema und E-Mail-Provider werden voll einbezogen, wobei laut Entwurf sogar Login-Daten und damit verknüpfte Standorte gesichert werden können. Die Daten könnten für bis zu drei Monate eingefroren werden, mit der Option auf eine einmalige Verlängerung durch ein Gericht.

Das Ministerium verteidigt dieses Vorgehen mit dem Argument, dass kein dauerhaft vorhandener Datenpool geschaffen werde. Die Speicherung erfolge anlassbezogen im Einzelfall bei konkretem Verdacht. Gegner sehen hier jedoch eine gefährliche Grauzone: Da Daten aufgrund der neuen IP-Pflicht oder für betriebliche Zwecke ohnehin vorhanden sind, wird das „Einfrieren“ zum mächtigen Hebel, um Zugriff auf Bewegungsprofile und Kommunikationspartner zu erhalten, noch bevor ein Richter die volle Verhältnismäßigkeit prüfen konnte.

Passwörter und Handy-Rasterfahndung

Einen weiteren sensiblen Punkt stellen die skizzierten Regeln zur Herausgabe von Passwörtern dar. Der Entwurf präzisiert, dass Ermittler Auskunft über solche sehr sensiblen Zugangsinformationen verlangen dürfen, sofern dies zur Verfolgung von besonders schweren Straftaten wie Mord oder Terrorismus erforderlich ist. Damit würde jedoch eine technische Hemmschwelle fallen: Anbieter digitaler Dienste sollen grundsätzlich verstärkt verpflichtet werden, Passwörter im Rahmen der Bestandsdatenauskunft herauszugeben, mit denen der Zugriff auf Endgeräte oder Speichereinrichtungen geschützt wird.

Die geplanten Gesetzesänderungen sollen auch klarer festlegen, unter welchen Bedingungen die Polizei eine Funkzellenabfrage durchführen darf. Bei dieser Form der Rasterfahndung werten Ermittler aus, welche Handys zu einem bestimmten Zeitpunkt an einem Ort eingeloggt waren, um Täter zu überführen. Während der Bundesgerichtshof (BGH) 2024 noch urteilte, dass dies nur bei besonders schweren Verbrechen erlaubt sein soll, sieht der Entwurf eine Lockerung vor. Demnach soll bereits der Verdacht auf eine Straftat von erheblicher Bedeutung ausreichen, um die Standortdaten abzufragen. Das Ministerium schließt sich damit der Rechtsauffassung einiger Landgerichte an, die eine niedrigere Hürde für die Ermittlungsarbeit für angemessen halten als der BGH.

Ambitionierter Versuch auf tönernen Füßen

„Wir müssen Kriminalität im Internet wirksamer bekämpfen“, wirbt Justizministerin Stefanie Hubig (SPD) für ihren Ansatz, den nun zunächst die anderen Ressorts, die Länder und Verbände kommentieren können, vor dem Start des parlamentarischen Verfahrens. „Täter kommen viel zu oft davon, vor allem bei Kinderpornographie, Online-Betrug und strafbarem Hass im Netz.“ Die Vertraulichkeit von Kommunikation bleibe „strikt gewahrt“. Markus Beckedahl vom Zentrum für Digitalrechte und Demokratie beklagt dagegen einen „Generalverdacht gegenüber der Bevölkerung“. Eine IP-Adresse sei „keine harmlose Sache“. Solche Kennungen ließen sich „in der Praxis über Zeitstempel und Zusatzdaten sehr gut zu Personenbezügen verdichten“.

Der eco-Verband der Internetwirtschaft warnte schon im Oktober vor einem „Rückschritt in der Digitalpolitik“ angesichts einer neuen „pauschalen Vorratsdatenspeicherung“. Eine solche „gefährdet Grundrechte, schafft wirtschaftliche Belastungen und untergräbt das Vertrauen in digitale Dienste“. Nach fast zwei Jahrzehnten gerichtlicher Auseinandersetzungen dürfe die Bundesregierung nicht erneut ein Gesetz auf den Weg bringen, „das vor Gericht erheblichen Rechtsrisiken ausgesetzt ist“. Die anlasslose Protokollierung von Nutzerspuren bleibe europarechtswidrig. Gefragt seien „gezielte Ermittlungsinstrumente und eine bessere internationale Zusammenarbeit“ statt Massenüberwachung.

Der Entwurf liest sich als ambitionierter Versuch, die Ermittlungsfähigkeit im Netz zu sichern, ohne erneut in Luxemburg oder Karlsruhe zu scheitern. Doch die Argumentation, eine flächendeckende IP-Speicherung sei kein schwerer Eingriff, steht juristisch auf tönernen Füßen. In Kombination mit der weitreichenden Sicherungsanordnung droht ein massiver Ausbau der digitalen Überwachung. Dieser würde auch die Anonymität im Netz weiter aushöhlen, wie etwa der Arbeitskreis Vorratsdatenspeicherung seit Jahren immer wieder betont.

(nie)