Die (Neu-)Regelungen zur Bestands­da­ten­aus­kunft sind (wie­der ein­mal) ver­fas­sungs­wid­rig

Das Bun­des­ver­fas­sungs­ge­richt hat § 113 des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes (TKG) sowie meh­re­re wei­te­re Fach­ge­set­ze des Bun­des, die die manu­el­le Bestands­da­ten­aus­kunft regeln, für ver­fas­sungs­wid­rig erklärt.

Die (Neu-)Regelungen zur Bestands­da­ten­aus­kunft sind (wie­der ein­mal) ver­fas­sungs­wid­rig
  1. Der Gesetz­ge­ber muss bei der Ein­rich­tung eines Aus­kunfts­ver­fah­rens auf Grund­la­ge jeweils eige­ner Kom­pe­ten­zen für sich genom­men ver­hält­nis­mä­ßi­ge Rechts­grund­la­gen sowohl für die Über­mitt­lung als auch für den Abruf der Daten schaf­fen.
     
    Über­mitt­lungs- und Abruf­re­ge­lun­gen für Bestands­da­ten von Tele­kom­mu­ni­ka­ti­ons­diens­te­an­bie­tern müs­sen die Ver­wen­dungs­zwe­cke der Daten hin­rei­chend begren­zen, mit­hin die Daten­ver­wen­dung an bestimm­te Zwe­cke, tat­be­stand­li­che Ein­griffs­schwel­len und einen hin­rei­chend gewich­ti­gen Rechts­gü­ter­schutz bin­den.
     
  2. Schon dem Gesetz­ge­ber der Über­mitt­lungs­re­ge­lung obliegt die nor­men­kla­re Begren­zung der Zwe­cke der mög­li­chen Daten­ver­wen­dung. Eine Begren­zung der Ver­wen­dungs­zwe­cke erst zusam­men mit der Abruf­re­ge­lung kommt nur in Betracht, wenn die Über­mitt­lungs­re­ge­lung Mate­ri­en betrifft, die allein im Kom­pe­tenz­be­reich des Bun­des lie­gen und die Rege­lun­gen eine in ihrem Zusam­men­wir­ken nor­men­kla­re und abschlie­ßen­de Zweck­be­stim­mung der Daten­ver­wen­dung ent­hal­ten.
     
  3. Die Befug­nis zum Daten­ab­ruf muss nicht nur für sich genom­men ver­hält­nis­mä­ßig sein, son­dern ist – auch aus Grün­den der Nor­men­klar­heit – zudem an die in der Über­mitt­lungs­re­ge­lung begrenz­ten Ver­wen­dungs­zwe­cke gebun­den. Dabei steht es dem Gesetz­ge­ber der Abruf­re­ge­lung frei, den Abruf der Daten an wei­ter­ge­hen­de Anfor­de­run­gen zu bin­den.
     
  4. Trotz ihres gemä­ßig­ten Ein­griffs­ge­wichts bedür­fen die all­ge­mei­nen Befug­nis­se zur Über­mitt­lung und zum Abruf von Bestands­da­ten für die Gefah­ren­ab­wehr und die Tätig­keit der Nach­rich­ten­diens­te grund­sätz­lich einer im Ein­zel­fall vor­lie­gen­den kon­kre­ten Gefahr und für die Straf­ver­fol­gung eines Anfangs­ver­dachts.
     
    Die Zuord­nung dyna­mi­scher IP-Adres­sen muss im Hin­blick auf ihr erhöh­tes Ein­griffs­ge­wicht dar­über hin­aus auch dem Schutz oder der Beweh­rung von Rechts­gü­tern von her­vor­ge­ho­be­nem Gewicht die­nen. Es bedarf fer­ner einer nach­voll­zieh­ba­ren und über­prüf­ba­ren Doku­men­ta­ti­on der Ent­schei­dungs­grund­la­gen.
     
    Als Ein­griffs­schwel­le kann im Bereich der Gefah­ren­ab­wehr und der nach­rich­ten­dienst­li­chen Tätig­keit das Vor­lie­gen einer kon­kre­ti­sier­ten Gefahr aus­rei­chen, soweit es um den Schutz von Rechts­gü­tern oder die Ver­hü­tung von Straf­ta­ten von zumin­dest erheb­li­chem Gewicht (all­ge­mei­ne Bestands­da­ten­aus­kunft) oder beson­de­rem Gewicht (Zuord­nung dyna­mi­scher IP-Adres­sen) geht.

Kon­kret berifft die­ses Ver­dikt des Bun­des­ver­fas­sungs­ge­richts die fol­gen­den Bestim­mun­gen in ins­ge­samt sie­ben Geset­zen:

  • zum Auskunfts„recht“ der Tele­kom­mu­ni­ka­ti­ons­dienst­leis­ter:
    1. § 113 des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes,
  • zu den Abruf­mög­lich­kei­ten der Poli­zei­be­hör­den des Bun­des:
    1. § 10 Absatz 1 Satz 1 und Absatz 2 und § 40 Absatz 1 Satz 1 [1] und Absatz 2 des Geset­zes über das Bun­des­kri­mi­nal­amt und die Zusam­men­ar­beit des Bun­des und der Län­der in kri­mi­nal­po­li­zei­li­chen Ange­le­gen­hei­ten (Bun­des­kri­mi­nal­amt­ge­setz) [2],
    2. § 22a Absatz 1 Satz 1 [3] und Absatz 2 des Geset­zes über die Bun­des­po­li­zei (Bun­des­po­li­zei­ge­setz),
    3. § 7 Absatz 5 Satz 1 und Absatz 6 und § 15 Absatz 2 Satz 1 und Absatz 3des Geset­zes über das Zoll­kri­mi­nal­amt und die Zoll­fahn­dungs­äm­ter (Zoll­fah­nungs­dienst­ge­setz) in der Fas­sung des Geset­zes zur Ände­rung des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes und zur Neu­re­ge­lung der Bestands­da­ten­aus­kunft vom 20.06.2013 [4], zuletzt geän­dert durch Arti­kel 4 des Geset­zes zur Neu­or­ga­ni­sa­ti­on der Zoll­ver­wal­tung vom 03.12.2015 [5]
  • zu den Abruf­mög­lich­kei­ten der Geheim­diens­te des Bun­des:
    1. § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 des Geset­zes über die Zusam­men­ar­beit des Bun­des und der Län­der in Ange­le­gen­hei­ten des Ver­fas­sungs­schut­zes und über das Bun­des­amt für Ver­fas­sungs­schutz (Bun­des­ver­fas­sungs­schutz­ge­setz),
    2. § 4 Gesetz über den Bun­des­nach­rich­ten­dienst (BND-Gesetz) (§ 2b BND-Gesetz in der Fas­sung des Geset­zes zur Ände­rung des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes und zur Neu­re­ge­lung der Bestands­da­ten­aus­kunft vom 20.06.2013, BGBl. I S. 1602, neu bezeich­net als § 4 des BND-Geset­zes in der Fas­sung des Geset­zes zur Aus­land-Aus­land-Fern­mel­de­auf­klä­rung des Bun­des­nach­rich­ten­diens­tes vom 23.12.2016, BGBl. I S. 3346) [6],
    3. § 4b des Geset­zes über den Mili­tä­ri­scher Abschirm­dienst (MAD-Gesetz) [7][6].

Die­se gesetz­li­chen Rege­lun­gen ver­let­zen, wie das Bun­des­ver­fas­sungs­ge­richt ent­schied, die beschwer­de­füh­ren­den Inha­ber von Tele­fon- und Inter­net­an­schlüs­sen in ihren Grund­rech­ten auf infor­ma­tio­nel­le Selbst­be­stim­mung sowie auf Wah­rung des Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis­ses (Art. 10 Abs. 1 GG). Die manu­el­le Bestands­da­ten­aus­kunft ermög­licht es Sicher­heits­be­hör­den, von Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men Aus­kunft ins­be­son­de­re über den Anschlus­s­in­ha­ber eines Tele­fon­an­schlus­ses oder einer zu einem bestimm­ten Zeit­punkt zuge­wie­se­nen IP-Adres­se zu erlan­gen. Mit­ge­teilt wer­den per­so­nen­be­zo­ge­ne Daten der Kun­den, die im Zusam­men­hang mit dem Abschluss oder der Durch­füh­rung von Ver­trä­gen ste­hen (soge­nann­te Bestands­da­ten). Nicht mit­ge­teilt wer­den dage­gen Daten, die sich auf die Nut­zung von Tele­kom­mu­ni­ka­ti­ons­diens­ten (soge­nann­te Ver­kehrs­da­ten) oder den Inhalt von Kom­mu­ni­ka­ti­ons­vor­gän­gen bezie­hen.

Die Ertei­lung einer Aus­kunft über Bestands­da­ten ist grund­sätz­lich ver­fas­sungs­recht­lich zuläs­sig. Der Gesetz­ge­ber muss aber nach dem Bild einer Dop­pel­tür sowohl für die Über­mitt­lung der Bestands­da­ten durch die Tele­kom­mu­ni­ka­ti­ons­an­bie­ter als auch für den Abruf die­ser Daten durch die Behör­den jeweils ver­hält­nis­mä­ßi­ge Rechts­grund­la­gen schaf­fen. Über­mitt­lungs- und Abruf­re­ge­lun­gen müs­sen die Ver­wen­dungs­zwe­cke der Daten hin­rei­chend begren­zen, indem sie ins­be­son­de­re tat­be­stand­li­che Ein­griffs­schwel­len und einen hin­rei­chend gewich­ti­gen Rechts­gü­ter­schutz vor­se­hen. Das Bun­des­ver­fas­sungs­ge­richt hat klar­ge­stellt, dass die all­ge­mei­nen Befug­nis­se zur Über­mitt­lung und zum Abruf von Bestands­da­ten trotz ihres gemä­ßig­ten Ein­griffs­ge­wichts für die Gefah­ren­ab­wehr und die Tätig­keit der Nach­rich­ten­diens­te grund­sätz­lich einer im Ein­zel­fall vor­lie­gen­den kon­kre­ten Gefahr und für die Straf­ver­fol­gung eines Anfangs­ver­dachts bedür­fen. Fin­det eine Zuord­nung dyna­mi­scher IP-Adres­sen statt, muss die­se im Hin­blick auf ihr erhöh­tes Ein­griffs­ge­wicht dar­über hin­aus auch dem Schutz oder der Beweh­rung von Rechts­gü­tern von zumin­dest her­vor­ge­ho­be­nem Gewicht die­nen. Blei­ben die Ein­griffs­schwel­len im Bereich der Gefah­ren­ab­wehr oder der nach­rich­ten­dienst­li­chen Tätig­keit hin­ter dem Erfor­der­nis einer kon­kre­ten Gefahr zurück, müs­sen im Gegen­zug erhöh­te Anfor­de­run­gen an das Gewicht der zu schüt­zen­den Rechts­gü­ter vor­ge­se­hen wer­den. Die genann­ten Vor­aus­set­zun­gen wur­den von den ange­grif­fe­nen Vor­schrif­ten weit­ge­hend nicht erfüllt. Im Übri­gen hat das Bun­des­ver­fas­sungs­ge­richt wie­der­ho­lend fest­ge­stellt, dass eine Aus­kunft über Zugangs­da­ten nur dann erteilt wer­den darf, wenn die gesetz­li­chen Vor­aus­set­zun­gen für ihre Nut­zung gege­ben sind.

    1. § 113 des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes,
    2. § 22a Absatz 1 Satz 1, soweit er nicht auf § 21 Absatz 2 Num­mer 2 ver­weist, und Absatz 2 des Geset­zes über die Bun­des­po­li­zei (Bun­des­po­li­zei­ge­setz),
    3. § 7 Absatz 5 Satz 1 und Absatz 6 und § 15 Absatz 2 Satz 1 und Absatz 3 des Geset­zes über das Zoll­kri­mi­nal­amt und die Zoll­fahn­dungs­äm­ter (Zoll­fahn­dungs­dienst­ge­setz),
    4. § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 des Geset­zes über die Zusam­men­ar­beit des Bun­des und der Län­der in Ange­le­gen­hei­ten des Ver­fas­sungs­schut­zes und über das Bun­des­amt für Ver­fas­sungs­schutz (Bun­des­ver­fas­sungs­schutz­ge­setz),
    5. § 2b Satz 1 des Geset­zes über den Bun­des­nach­rich­ten­dienst (BND-Gesetz) und § 4b Satz 1 des Geset­zes über den mili­tä­ri­schen Abschirm­dienst (MAD-Gesetz), soweit sie auf § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 Bun­des­ver­fas­sungs­schutz­ge­setz ver­wei­sen, – alle in der Fas­sung des Geset­zes zur Ände­rung des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes und zur Neu­re­ge­lung der Bestands­da­ten­aus­kunft vom 20.06.2013 [4] – sowie
    6. § 4 Satz 1 des Geset­zes über den Bun­des­nach­rich­ten­dienst (BND-Gesetz), soweit er auf § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 Bun­des­ver­fas­sungs­schutz­ge­setz ver­weist, in der Fas­sung des Geset­zes zur Aus­land-Aus­land-Fern­mel­de­auf­klä­rung des Bun­des­nach­rich­ten­diens­tes vom 23.12.2016 [8] und
    7. § 10 Absatz 1 Satz 1 und Absatz 2 und § 40 Absatz 1 Satz 1, soweit er nicht auf § 39 Absatz 2 Num­mer 2 ver­weist, und Absatz 2 des Geset­zes über das Bun­des­kri­mi­nal­amt und die Zusam­men­ar­beit des Bun­des und der Län­der in kri­mi­nal­po­li­zei­li­chen Ange­le­gen­hei­ten (Bun­des­kri­mi­nal­amt­ge­setz) in der Fas­sung des Geset­zes zur Neu­struk­tu­rie­rung des Bun­des­kri­mi­nal­amt­ge­set­zes vom 01. Juni 2017 [9]
    sind nach Maß­ga­be der Grün­de mit Arti­kel 2 Absatz 1 in Ver­bin­dung mit Arti­kel 1 Absatz 1 und Arti­kel 10 Absatz 1 des Grund­ge­set­zes unver­ein­bar.
     
  1. Bis zur Neu­re­ge­lung, längs­tens jedoch bis 31. Dezem­ber 2021, blei­ben die für mit dem Grund­ge­setz unver­ein­bar erklär­ten Vor­schrif­ten nach Maß­ga­be der Grün­de wei­ter anwend­bar.
Inhalts­über­sicht

Der­zei­ti­ge gesetz­li­che Rege­lun­gen

Rege­lun­gen zur manu­el­len Bestands­da­ten­aus­kunft

Der § 113 TKG berech­tigt Anbie­ter von Tele­kom­mu­ni­ka­ti­ons­diens­ten zur Über­mitt­lung von Bestands­da­ten im soge­nann­ten manu­el­len Aus­kunfts­ver­fah­ren. Die wei­te­ren ange­grif­fe­nen Nor­men regeln den Abruf die­ser Daten durch ver­schie­de­ne Sicher­heits­be­hör­den des Bun­des. Alle Neu­re­ge­lun­gen die­nen der Umset­zung der Ent­schei­dung des Bun­des­ver­fas­sungs­ge­richts vom 24.01.2012 [10], mit der § 113 TKG in sei­ner Fas­sung vom 22.06.2004 (im Fol­gen­den: § 113 TKG a.F.) teil­wei­se für ver­fas­sungs­wid­rig erklärt und das Feh­len fach­recht­li­cher Abruf­re­ge­lun­gen bean­stan­det wur­de. 

Als Grund­la­ge für eine Bestands­da­ten­aus­kunft ver­pflich­tet § 111 TKG geschäfts­mä­ßi­ge Anbie­ter von Tele­kom­mu­ni­ka­ti­ons­diens­ten, die von ihnen ver­ge­be­nen oder bereit­ge­stell­ten Ruf­num­mern, Anschluss­ken­nun­gen und Mobil­funkendge­rä­te­num­mern sowie die zuge­hö­ri­gen per­sön­li­chen Daten der Anschlus­s­in­ha­ber ein­schließ­lich der Daten des Ver­trags­be­ginns und – bei Bekannt­wer­den – des Ver­trags­en­des zu erhe­ben und zu spei­chern. Zudem sind Ken­nun­gen und Kun­den­da­ten von elek­tro­ni­schen Post­fä­chern zu spei­chern, soweit sie ohne­hin erho­ben wer­den.

Zur Erlan­gung die­ser Bestands­da­ten kann sich die um Aus­kunft ersu­chen­de Behör­de ent­we­der im auto­ma­ti­sier­ten Ver­fah­ren an die Bun­des­netz­agen­tur für Elek­tri­zi­tät, Gas, Tele­kom­mu­ni­ka­ti­on, Post und Eisen­bah­nen (im Fol­gen­den: Bun­des­netz­agen­tur) oder im manu­el­len Ver­fah­ren unmit­tel­bar an die Diens­te­an­bie­ter wen­den. Den Zugriff auf die Daten im auto­ma­ti­sier­ten Ver­fah­ren regelt § 112 TKG. Danach hat, wer öffent­lich zugäng­li­che Tele­kom­mu­ni­ka­ti­ons­diens­te erbringt, zu gewähr­leis­ten, dass die Bun­des­netz­agen­tur die nach § 111 TKG gespei­cher­ten Daten jeder­zeit auto­ma­ti­siert abru­fen kann. Ein Abruf erfolgt ins­be­son­de­re auf­grund eines an die Bun­des­netz­agen­tur gerich­te­ten Ersu­chens einer der in § 112 Abs. 2 TKG näher bezeich­ne­ten Behör­den.

Die Aus­kunft im manu­el­len Ver­fah­ren regelt § 113 TKG. Sie erfolgt unmit­tel­bar auf­grund eines Ersu­chens einer der in § 113 Abs. 3 TKG abschlie­ßend genann­ten Stel­len. Zur Aus­kunft ver­pflich­tet sind alle die­je­ni­gen, die geschäfts­mä­ßig Tele­kom­mu­ni­ka­ti­ons­diens­te erbrin­gen oder dar­an mit­wir­ken, mit­hin alle Diens­te­an­bie­ter im Sin­ne des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes (vgl. § 3 Nr. 6 TKG). Da das geschäfts­mä­ßi­ge Erbrin­gen von Tele­kom­mu­ni­ka­ti­ons­diens­ten gemäß § 3 Nr. 10 TKG das nach­hal­ti­ge Ange­bot von Tele­kom­mu­ni­ka­ti­on für Drit­te sowohl mit als auch ohne Gewinn­erzie­lungs­ab­sicht erfasst, sind gemäß § 113 TKG zum Bei­spiel auch Betrei­ber eines Hot­spots oder Ein­rich­tun­gen, die im Rah­men von Geschäfts­be­zie­hun­gen WLAN-Net­ze zur Ver­fü­gung stel­len, aus­kunfts­ver­pflich­tet.

Wäh­rend im auto­ma­ti­sier­ten Ver­fah­ren allein die gemäß § 111 TKG ver­pflich­tend zu spei­chern­den Bestands­da­ten beaus­kunf­tet wer­den kön­nen, umfasst § 113 Abs. 1 Satz 1 TKG auch die von den Diens­te­an­bie­tern nach § 95 TKG zu betrieb­li­chen Zwe­cken gespei­cher­ten Daten, zu deren Spei­che­rung kei­ne Pflicht besteht. Hier­bei han­delt es sich um sol­che Bestands­da­ten, die die Diens­te­an­bie­ter zur Begrün­dung, inhalt­li­chen Aus­ge­stal­tung, Ände­rung oder Been­di­gung ihrer Ver­trags­ver­hält­nis­se erhe­ben und ver­wen­den. Dazu gehö­ren übli­cher­wei­se Name und Anschrift der Ver­trags­part­ner, Art des kon­tra­hier­ten Diens­tes und die den Teil­neh­men­den zum Gebrauch über­las­se­nen Ein­rich­tun­gen sowie die Anschluss­num­mer, aber auch rech­nungs­re­le­van­te Daten wie zum Bei­spiel Rech­nungs­an­schrift, Bank­ver­bin­dung, Last­schrifter­mäch­ti­gung und beson­de­re Tarif­merk­ma­le.

Der Anwen­dungs­be­reich des § 113 TKG wird dadurch erwei­tert, dass nach § 113 Abs. 1 Satz 2 TKG eine Aus­kunft auch über sol­che Bestands­da­ten zu ertei­len ist, mit­tels derer der Zugriff auf End­ge­rä­te oder auf Spei­cher­ein­rich­tun­gen geschützt wird, die in die­sen End­ge­rä­ten oder hier­von räum­lich getrennt ein­ge­setzt wer­den (Zugangs­da­ten). Hier­bei han­delt es sich um vom Diens­te­an­bie­ter ver­ge­be­ne Zugangs­si­che­rungs­codes wie zum Bei­spiel die Per­sön­li­che Iden­ti­fi­ka­ti­ons­num­mer (PIN) und die als Per­so­nal Unblo­cking Key (PUK) bezeich­ne­te Num­mer, die einen Zugriff auf Spei­cher­ein­rich­tun­gen wie SIM-Kar­ten oder End­ge­rä­te wie etwa Mobil­te­le­fo­ne oder Tablets ermög­li­chen kön­nen. Erfasst wer­den auch wei­te­re; vom Diens­te­an­bie­ter ver­ge­be­ne Zugangs­da­ten für exter­ne Spei­cher­ein­rich­tun­gen, wie etwa soge­nann­te Voice-Mail­bo­xen oder E‑Mail-Post­fä­cher, soweit sie auch nach der Ent­schei­dung des Euro­päi­schen Gerichts­hofs [11] noch als Tele­kom­mu­ni­ka­ti­ons­diens­te ange­se­hen wer­den kön­nen. Da § 111 Abs. 1 TKG die Diens­te­an­bie­ter nicht zur Spei­che­rung von Zugangs­da­ten ver­pflich­tet, kommt die Ertei­lung einer Aus­kunft nur in Betracht, wenn die Diens­te­an­bie­ter sie gemäß § 95 TKG zu betrieb­li­chen Zwe­cken spei­chern. Von Nut­ze­rin­nen und Nut­zern selbst ver­ge­be­ne Zugangs­da­ten, mit denen die­se ihre End­ge­rä­te oder Spei­cher­ein­rich­tun­gen vor einem Zugriff Drit­ter sichern, wer­den von den Diens­te­an­bie­tern übli­cher­wei­se nur ver­schlüs­selt gespei­chert (vgl. § 109 Abs. 1 und 2 TKG sowie § 109 Abs. 6 TKG in Ver­bin­dung mit dem Kata­log von Sicher­heits­an­for­de­run­gen für das Betrei­ben von Tele­kom­mu­ni­ka­ti­ons- und Daten­ver­ar­bei­tungs­sys­te­men sowie für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nach § 109 TKG). Eine Aus­kunft kann inso­weit nicht erteilt wer­den.

Bestands­da­ten dür­fen gemäß § 113 Abs. 1 Satz 3 TKG auch anhand einer zu einem bestimm­ten Zeit­punkt zuge­wie­se­nen Inter­net­pro­to­koll­adres­se (dyna­mi­sche IP-Adres­se) bestimmt wer­den. Die IP-Adres­se ist eine Num­mer, die die Adres­sie­rung von Com­pu­tern und ande­ren tech­ni­schen Gerä­ten in einem Netz­werk, ins­be­son­de­re im Inter­net, erlaubt; sie kann ver­ein­facht als „Tele­fon­num­mer“ des Com­pu­ters beschrie­ben wer­den. Dabei wird zwi­schen sta­ti­schen und dyna­mi­schen IP-Adres­sen unter­schie­den. Wäh­rend eine sta­ti­sche IP-Adres­se einem bestimm­ten Anschlus­s­in­ha­ber (genau­er: der Netz­werk­schnitt­stel­le eines bestimm­ten Geräts des Anschlus­s­in­ha­bers) fest zuge­wie­sen wird, wird im Fall der dyna­mi­schen Adres­sie­rung dem Anschlus­s­in­ha­ber (genau­er: der Netz­werk­schnitt­stel­le des mit dem Inter­net kom­mu­ni­zie­ren­den Geräts des Anschlus­s­in­ha­bers) bei jeder neu­en Auf­nah­me der Netz­werk­ver­bin­dung eine IP-Adres­se neu zuge­wie­sen [12].

Gegen­stand der Aus­kunft ist die Zuord­nung der IP-Adres­se zu einem bestimm­ten Anschlus­s­in­ha­ber und damit selbst ein Bestands­da­tum [13]. Dies ist nur mög­lich, wenn die Diens­te­an­bie­ter zuvor bei ihnen gespei­cher­te Ver­kehrs­da­ten aus­wer­ten, um fest­zu­stel­len, wel­chem Anschluss die ver­wen­de­te IP-Adres­se zu dem ange­frag­ten Zeit­punkt zuge­ord­net war. Aus­künf­te bezie­hen sich dadurch immer auch auf eine kon­kre­te Ver­bin­dung. Bei den Ver­kehrs­da­ten, die zu die­sem Zweck aus­ge­wer­tet wer­den, han­delt es sich zunächst um die nach § 96 TKG zu betrieb­li­chen Zwe­cken gespei­cher­ten Daten. Die Pra­xis der Spei­che­rung ist inso­weit je nach Diens­te­an­bie­ter, Ver­trags­ge­stal­tung und in Anspruch genom­me­ner Dienst­leis­tung sehr unter­schied­lich. Ohne kon­kre­ten Anlass ist eine Spei­che­rung zur Erken­nung, Ein­gren­zung oder Besei­ti­gung von Stö­run­gen oder Feh­lern (§ 96 Abs. 1 Satz 2, § 100 Abs. 1 TKG) jeden­falls bis zu sie­ben Tage nach Ende der Ver­bin­dung zuläs­sig [14].

Diens­te­an­bie­ter, die öffent­lich zugäng­li­che Tele­kom­mu­ni­ka­ti­ons­diens­te erbrin­gen, dür­fen gemäß § 113c Abs. 1 Nr. 3 TKG aber auch Ver­kehrs­da­ten aus­wer­ten, zu deren Spei­che­rung sie gemäß § 113a Abs. 1, § 113b Abs. 1 und 3 TKG in der Fas­sung von Art. 2 Nr. 2 des Geset­zes zur Ein­füh­rung einer Spei­cher­pflicht und einer Höchst­spei­cher­frist für Ver­kehrs­da­ten vom 10.12.2015 [15] seit dem 1.07.2017 ver­pflich­tet sind. Zwar sieht die Bun­des­netz­agen­tur der­zeit von Anord­nun­gen und sons­ti­gen Maß­nah­men zur Durch­set­zung der Spei­che­rungs­ver­pflich­tung ab. Ihre ent­spre­chen­de Erklä­rung vom 28.06.2017 erging als Fol­ge einer Ent­schei­dung des Ober­ver­wal­tungs­ge­richts für das Land Nord­rhein-West­fa­len in einem einst­wei­li­gen Rechts­schutz­ver­fah­ren [16], in dem fest­ge­stellt wur­de, dass der dort kla­gen­de Diens­te­an­bie­ter bis zum rechts­kräf­ti­gen Abschluss des Haupt­sa­che­ver­fah­rens nicht ver­pflich­tet ist, die in § 113b Abs. 3 TKG genann­ten Ver­kehrs­da­ten zu spei­chern. Das Haupt­sa­che­ver­fah­ren ist wei­ter­hin anhän­gig und das Bun­des­ver­wal­tungs­ge­richt hat zwi­schen­zeit­lich in die­sem und einem wei­te­ren Ver­fah­ren dem Euro­päi­schen Gerichts­hof die Fra­ge vor­ge­legt, ob das Uni­ons­recht der Vor­rats­da­ten­spei­che­rung in der Aus­ge­stal­tung durch §§ 113a f. TKG ent­ge­gen­steht [17]. Die Ent­schei­dun­gen des Ober­ver­wal­tungs­ge­richts und des Bun­des­ver­wal­tungs­ge­richts ändern jedoch nichts an der for­mel­len Wei­ter­gel­tung der Spei­che­rungs­pflich­ten der Diens­te­an­bie­ter, wenn­gleich in Reak­ti­on auf die Erklä­rung der Bun­des­netz­agen­tur fast alle Diens­te­an­bie­ter vor­erst davon abse­hen, die Vor­rats­da­ten­spei­che­rung umzu­set­zen, und auch das Ober­ver­wal­tungs­ge­richt auf­grund der Erklä­rung der Bun­des­netz­agen­tur gegen­wär­tig das Rechts­schutz­in­ter­es­se für den Erlass einst­wei­li­ger Anord­nun­gen zuguns­ten wei­te­rer Diens­te­an­bie­ter ver­neint [18].

Gemäß § 113 Abs. 2 Satz 1 TKG darf eine Aus­kunft nur erteilt wer­den, soweit eine in § 113 Abs. 3 TKG genann­te Stel­le dies in Text­form im Ein­zel­fall zum Zweck der Ver­fol­gung von Straf­ta­ten oder Ord­nungs­wid­rig­kei­ten, zur Abwehr von Gefah­ren für die öffent­li­che Sicher­heit oder Ord­nung oder für die Erfül­lung der gesetz­li­chen Auf­ga­ben der Nach­rich­ten­diens­te unter Anga­be einer gesetz­li­chen Bestim­mung ver­langt, die ihr eine Erhe­bung der ange­frag­ten Daten erlaubt.

Die mit den Ver­fas­sungs­be­schwer­den ange­grif­fe­nen Abruf­re­ge­lun­gen des Bun­des bestim­men, dass die Sicher­heits­be­hör­den zur Erfül­lung ihrer jeweils genann­ten Auf­ga­ben von den Diens­te­an­bie­tern Aus­kunft über die nach den §§ 95 und 111 TKG erho­be­nen Daten ver­lan­gen dür­fen. Die Aus­kunft über Zugangs­da­ten ist dar­an gebun­den, dass die gesetz­li­chen Vor­aus­set­zun­gen für deren Nut­zung vor­lie­gen. Die Vor­schrif­ten sehen jeweils vor, dass auch Aus­kunft von anhand einer dyna­mi­schen IP-Adres­se bestimm­ter Bestands­da­ten ver­langt wer­den darf. Die ange­grif­fe­nen Abruf­re­ge­lun­gen unter­schei­den sich haupt­säch­lich hin­sicht­lich der Ein­griffs­vor­aus­set­zun­gen, die jeweils auf die Auf­ga­ben der abruf­be­rech­tig­ten Behör­de zuge­schnit­ten sind, sowie hin­sicht­lich der Aus­ge­stal­tung der Benach­rich­ti­gungs­pflich­ten.

Die zunächst ange­grif­fe­nen § 7 Abs. 3 bis 7, § 20b Abs. 3 bis 7 und § 22 Abs. 2 bis 4 BKAG in der Fas­sung vom 20.06.2013 wur­den zwi­schen­zeit­lich durch das Gesetz zur Neu­struk­tu­rie­rung des Bun­des­kri­mi­nal­amt­ge­set­zes vom 01.06.2017 [9] mit Wir­kung zum 25.05.2018 durch die §§ 10, 40 BKAG ersetzt. 

Hin­ter­grund der gesetz­li­chen Neu­re­ge­lung

Anlass der Neu­re­ge­lung der manu­el­len Bestands­da­ten­aus­kunft war die „Bestands­da­ten­aus­kunft I“, Ent­schei­dung des Bun­des­ver­fas­sungs­ge­richts vom 24.01.2012 [19]. Danach ist zwi­schen der Daten­über­mitt­lung sei­tens der aus­kunfts­be­rech­tig­ten Stel­le und dem Daten­ab­ruf sei­tens der aus­kunftsu­chen­den Stel­le zu unter­schei­den. Ein Daten­aus­tausch voll­zieht sich durch die mit­ein­an­der kor­re­spon­die­ren­den Ein­grif­fe von Abfra­ge und Über­mitt­lung, die jeweils einer eige­nen Rechts­grund­la­ge bedür­fen. Der Gesetz­ge­ber muss, bild­lich gespro­chen, nicht nur die Tür zur Über­mitt­lung von Daten öff­nen, son­dern auch die Tür zu deren Abfra­ge. Erst bei­de Rechts­grund­la­gen gemein­sam, die wie eine Dop­pel­tür zusam­men­wir­ken müs­sen, berech­ti­gen zu einem Aus­tausch per­so­nen­be­zo­ge­ner Daten [20]. Damit bedarf es auch für bun­des­recht­li­che Mate­ri­en qua­li­fi­zier­ter Abruf­re­ge­lun­gen, die über eine schlich­te Daten­er­he­bungs­be­fug­nis hin­aus­ge­hen und die eine Aus­kunfts­ver­pflich­tung der Diens­te­an­bie­ter eigen­stän­dig begrün­den [21]

Der zur Über­prü­fung gestell­te § 113 Abs. 1 Satz 1 TKG a.F. konn­te dem­entspre­chend nur so ver­stan­den wer­den, dass er zwar zur Über­mitt­lung der Daten durch die Diens­te­an­bie­ter ermäch­tig­te, für den Daten­ab­ruf selbst aber qua­li­fi­zier­te Abruf­re­ge­lun­gen vor­aus­setz­te [22]. Dar­über hin­aus ent­schied das Bun­des­ver­fas­sungs­ge­richt, dass § 113 Abs. 1 Satz 1 TKG a.F. ver­fas­sungs­kon­form dahin aus­zu­le­gen sei, dass in ihm kei­ne Rechts­grund­la­ge für die Zuord­nung dyna­mi­scher IP-Adres­sen gese­hen wer­den konn­te [23], und erklär­te § 113 Abs. 1 Satz 2 TKG a.F. aus Grün­den der Ver­hält­nis­mä­ßig­keit für ver­fas­sungs­wid­rig, weil die Rege­lung zur Ertei­lung einer Aus­kunft über Zugangs­da­ten unab­hän­gig von den Vor­aus­set­zun­gen für deren Nut­zung ermäch­tig­te [24].

Nach der Begrün­dung des Gesetz­ent­wurfs der Bun­des­re­gie­rung die­nen die ange­grif­fe­nen Rege­lun­gen vom 20.06.2013 sämt­lich der Umset­zung der Ent­schei­dung des Bun­des­ver­fas­sungs­ge­richts; neue Befug­nis­se der Sicher­heits­be­hör­den soll­ten nicht geschaf­fen wer­den [25]. Nach dem Bild einer Dop­pel­tür soll § 113 TKG die ers­te der zwei not­wen­di­gen Türen dar­stel­len. Die Rege­lung wur­de daher aus­drück­lich nur als blo­ße Öff­nungs­klau­sel aus­ge­stal­tet, die die Diens­te­an­bie­ter ledig­lich bei Vor­lie­gen eines auf eine fach­recht­li­che Abruf­re­ge­lung gestütz­ten Ver­lan­gens zur Daten­über­mitt­lung berech­tigt und ver­pflich­tet. Dem­entspre­chend bestimmt § 113 Abs. 2 Satz 1 TKG, dass der Abruf einer qua­li­fi­zier­ten Rechts­grund­la­ge für die abru­fen­de Stel­le bedarf [26]. Die Maß­ga­be des Bun­des­ver­fas­sungs­ge­richts, dass ein Zugriff auf Zugangs­da­ten nur zuläs­sig ist, wenn auch die Vor­aus­set­zun­gen für deren Nut­zung vor­lie­gen, wur­de nicht in § 113 TKG umge­setzt, son­dern in den ver­schie­de­nen Abruf­re­ge­lun­gen des Fach­rechts. Mit § 113 Abs. 1 Satz 3 TKG wur­de schließ­lich eine Rechts­grund­la­ge dafür geschaf­fen, zu beaus­kunf­ten­de Bestands­da­ten auch anhand einer dyna­mi­schen IP-Adres­se zu bestim­men.

Die in den Fach­ge­set­zen des Bun­des erst­mals geschaf­fe­nen Abruf­re­ge­lun­gen sol­len die für den Daten­aus­tausch erfor­der­li­che zwei­te Tür bil­den. Sie ermäch­ti­gen die ver­schie­de­nen aus­kunfts­be­rech­tig­ten Bun­des­be­hör­den zum Abruf der nach §§ 95 und 111 TKG erho­be­nen Daten und begrün­den eigen­stän­dig eine Aus­kunfts­ver­pflich­tung der Diens­te­an­bie­ter [27]. Für den Abruf von Zugangs­da­ten und die iden­ti­fi­zie­ren­de Zuord­nung dyna­mi­scher IP-Adres­sen wur­den Benach­rich­ti­gungs­pflich­ten und für den Abruf von Zugangs­da­ten zudem ein Rich­ter­vor­be­halt vor­ge­se­hen [28].

Ver­fas­sungs­be­schwer­den

Die bei­den Ver­fas­sungs­be­schwer­den rich­ten sich gegen § 113 des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes (TKG) sowie gegen meh­re­re Fach­ge­set­ze des Bun­des, die die manu­el­le Bestands­da­ten­aus­kunft regeln.

Die Beschwer­de­füh­ren­den wand­ten sich zunächst gegen § 113 TKG, § 7 Abs. 3 bis 7, § 20b Abs. 3 bis 7 und § 22 Abs. 2 bis 4 des Geset­zes über das Bun­des­kri­mi­nal­amt und die Zusam­men­ar­beit des Bun­des und der Län­der in kri­mi­nal­po­li­zei­li­chen Ange­le­gen­hei­ten (Bun­des­kri­mi­nal­amt­ge­setz – BKAG), § 22a des Geset­zes über die Bun­des­po­li­zei (Bun­des­po­li­zei­ge­setz – BPolG), § 7 Abs. 5 bis 9, § 15 Abs. 2 bis 6 des Geset­zes über das Zoll­kri­mi­nal­amt und die Zoll­fahn­dungs­äm­ter (Zoll­fahn­dungs­dienst­ge­setz – ZFdG), § 8d des Geset­zes über die Zusam­men­ar­beit des Bun­des und der Län­der in Ange­le­gen­hei­ten des Ver­fas­sungs­schut­zes und über das Bun­des­amt für Ver­fas­sungs­schutz (Bun­des­ver­fas­sungs­schutz­ge­setz – BVerfSchG), § 2b des Geset­zes über den Bun­des­nach­rich­ten­dienst (BND-Gesetz – BNDG) und § 4b des Geset­zes über den mili­tä­ri­schen Abschirm­dienst (MAD-Gesetz – MADG), jeweils in der Fas­sung des Geset­zes zur Ände­rung des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes und zur Neu­re­ge­lung der Bestands­da­ten­aus­kunft vom 20.06.2013 [4].

Nach der Ände­rung der § 7 Abs. 7, § 15 Abs. 4 ZFdG durch Art. 4 des Geset­zes zur Neu­or­ga­ni­sa­ti­on der Zoll­ver­wal­tung vom 03.12.2015 [5] mit Wir­kung zum 1.01.2016, der Neu­be­zeich­nung von § 2b BNDG als § 4 BNDG durch das Gesetz zur Aus­land-Aus­land-Fern­mel­de­auf­klä­rung des Bun­des­nach­rich­ten­diens­tes vom 23.12.2016 [8] mit Wir­kung zum 31.12.2016 und der Erset­zung der § 7 Abs. 3 bis 7, § 20b Abs. 3 bis 7, § 22 Abs. 2 bis 4 BKAG mit den § 10 und § 40 BKAG durch das Gesetz zur Neu­struk­tu­rie­rung des Bun­des­kri­mi­nal­amt­ge­set­zes vom 01.06.2017 [9] mit Wir­kung zum 25.05.2018 haben die bei­den Beschwer­de­füh­ren­den eines der bei­den Ver­fas­sungs­be­schwer­de­ver­fah­ren [29] ihren Antrag den Ände­run­gen ange­passt.

Die ins­ge­samt 5.830 Beschwer­de­füh­ren­den der bei­den Ver­fas­sungs­be­schwer­den sind Inha­ber von Fest­netz- sowie Mobil­funk­an­schlüs­sen und nut­zen Inter­net­zu­gangs­leis­tun­gen ver­schie­de­ner Diens­te­an­bie­ter. Sie sehen sich durch die ange­grif­fe­nen Vor­schrif­ten in ihren Grund­rech­ten aus Art. 10 Abs. 1 GG sowie Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 GG ver­letzt. 

Stel­lung­nah­me der Bun­des­re­gie­rung

Zu den Ver­fas­sungs­be­schwer­den haben die Bun­des­re­gie­rung und die Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Stel­lung genom­men.

Die Bun­des­re­gie­rung hält die Ver­fas­sungs­be­schwer­den für unbe­grün­det. Die Öff­nungs­re­ge­lung zur manu­el­len Bestands­da­ten­aus­kunft in § 113 TKG und die ein­zel­nen Abruf­re­ge­lun­gen des Bun­des­rechts sei­en ver­fas­sungs­ge­mäß.

In tat­säch­li­cher Hin­sicht weist die Bun­des­re­gie­rung dar­auf hin, dass für die Pra­xis vor allem das auto­ma­ti­sier­te Abruf­ver­fah­ren nach § 112 TKG von Bedeu­tung sei. So habe etwa beim Bun­des­amt für Ver­fas­sungs­schutz die Zahl der Abru­fe im manu­el­len Ver­fah­ren im Jahr 2016 nur 2 % der Anfra­gen nach § 112 TKG betra­gen. Bei­de Abruf­ver­fah­ren wür­den in ers­ter Linie zu Zwe­cken der Straf­ver­fol­gung genutzt. Abfra­gen zur Gefah­ren­ab­wehr oder zu nach­rich­ten­dienst­li­chen Zwe­cken sei­en nicht ohne prak­ti­sche Rele­vanz, stün­den aber zah­len­mä­ßig im Hin­ter­grund. Die abso­lu­ten Zah­len der Anfra­gen sei­en auch nach der Neu­fas­sung des § 113 TKG kaum ange­stie­gen.

Das manu­el­le Aus­kunfts­ver­fah­ren kom­me typi­scher­wei­se in Betracht, wenn eine vor­he­ri­ge Abfra­ge im auto­ma­ti­sier­ten Ver­fah­ren ergeb­nis­los geblie­ben sei oder über die über­mit­tel­ten Daten hin­aus die nach § 95 TKG gespei­cher­ten Daten für die Auf­klä­rung eines Sach­ver­halts oder die ein­deu­ti­ge Iden­ti­fi­zie­rung des Anschlus­s­in­ha­bers erfor­der­lich sei­en. Es sei auch dann erfor­der­lich, wenn etwa wei­te­re auf den Anschlus­s­in­ha­ber frü­her oder aktu­ell aus­ge­ge­be­ne Ruf­num­mern oder Anschluss­ken­nun­gen in Erfah­rung gebracht wer­den soll­ten. Eine Abfra­ge meh­re­rer Ruf­num­mern oder IP-Adres­sen erfol­ge nicht.

Da die Behör­den viel­fach kei­ne Sta­tis­ti­ken führ­ten, beruh­ten Anga­ben zur Häu­fig­keit der Abfra­gen teil­wei­se auf Schät­zun­gen. Es erge­be sich fol­gen­des Bild:

Die Bun­des­po­li­zei erhe­be Bestands­da­ten ganz über­wie­gend nur im Rah­men von repres­siv-poli­zei­li­chen Ermitt­lun­gen. Es gebe ins­ge­samt rela­tiv kon­stant cir­ca 4.600 Anfra­gen pro Jahr. Im Bereich des Zolls sei­en seit dem Jahr 2013 jähr­lich ins­ge­samt zwi­schen 2.354 und 4.391 Bestands­da­ten­sät­ze manu­ell abge­fragt wor­den. Die Abfra­gen durch die Nach­rich­ten­diens­te beweg­ten sich in den letz­ten Jah­ren rela­tiv kon­stant im drei­stel­li­gen Bereich.

Aus­kunfts­ver­lan­gen zu Bestands­da­ten nach § 10 Abs. 1 Satz 1 Nr. 1 BKAG erfolg­ten zum einen zur Beant­wor­tung poli­zei­li­cher Rechts­hil­fe­er­su­chen, die aus­län­di­sche Poli­zei­be­hör­den an das Bun­des­kri­mi­nal­amt rich­te­ten. Zum ande­ren erfolg­ten zeit­kri­ti­sche Abfra­gen zur Fest­stel­lung einer Län­der­zu­stän­dig­keit in Gefah­ren­la­gen. Bei­spiel­haf­te Anläs­se für Aus­kunfts­er­su­chen im Rah­men der Zen­tral­stel­len­funk­ti­on des Bun­des­kri­mi­nal­amts sei­en Sui­zi­d­an­kün­di­gun­gen sowie Amok­dro­hun­gen im Inter­net, die ein unver­züg­li­ches Ein­schrei­ten zur Ermitt­lung der sui­zid­ge­fähr­de­ten Per­son bezie­hungs­wei­se des Gefah­ren­ver­ant­wort­li­chen erfor­der­lich mach­ten. In Fäl­len, in denen der ein­zi­ge Ermitt­lungs­an­satz eine IP-Adres­se oder Ruf­num­mer sei, kön­ne die ört­li­che Zustän­dig­keit einer Län­der­dienst­stel­le fast nur über die Abfra­ge nach § 112 oder § 113 TKG fest­ge­stellt wer­den. Im Rah­men der Auf­ga­ben­wahr­neh­mung nach § 2 BKAG (Zen­tral­stel­le) und § 4 BKAG (Straf­ver­fol­gung) sei inso­weit eine Stei­ge­rung von 2.001 im Jahr 2013 auf 17.428 Abfra­gen im Jahr 2017 zu ver­mer­ken. Haupt­ur­sa­che für die­se Stei­ge­rung sei ein seit Jah­ren zu ver­zeich­nen­der Anstieg von Mel­dun­gen der US-ame­ri­ka­ni­schen Zen­tral­stel­le Natio­nal Cen­ter for Mis­sing and Explo­i­ted Child­ren (NCMEC) bezüg­lich des Besit­zes, der Besitz­ver­schaf­fung und der Ver­brei­tung von Kin­der- und Jugend­por­no­gra­fie durch deut­sche Inter­net­nut­zer an das Bun­des­kri­mi­nal­amt. Zu berück­sich­ti­gen sei auch ein ver­än­der­tes Nut­zer­ver­hal­ten, das durch eine ver­mehr­te Nut­zung von Smart­pho­nes und des Inter­nets sowie der Zuord­nung meh­re­rer Gerä­te und Ken­nun­gen zu einer Per­son geprägt sei. Von sei­ner Befug­nis Zugangs­da­ten abzu­fra­gen, habe das Bun­des­kri­mi­nal­amt im Rah­men sei­ner Zen­tral­stel­len­auf­ga­ben bis­her kei­nen Gebrauch gemacht.

Die Zah­len der ins­ge­samt erfolg­ten Abfra­gen von Zugangs­da­ten und Abfra­gen zum Zwe­cke der Zuord­nung dyna­mi­scher IP-Adres­sen könn­ten für das Bun­des­kri­mi­nal­amt und die Bun­des­po­li­zei nicht ange­ge­ben wer­den. Im Bereich des Zolls sei­en sie auf jeweils etwa bis zu 100 Abfra­gen jähr­lich zu schät­zen. Von den Nach­rich­ten­diens­ten habe ledig­lich das Bun­des­amt für Ver­fas­sungs­schutz in den letz­ten Jah­ren Zugangs­da­ten in ein­stel­li­ger Anzahl abge­fragt. Alle Nach­rich­ten­diens­te hät­ten jedoch Bestands­da­ten anhand von IP-Adres­sen abge­fragt, wobei deren Anzahl schwan­ke. So habe der Mili­tä­ri­sche Abschirm­dienst in den Jah­ren 2016 bis 2018 eine ein­zi­ge Abfra­ge anhand einer IP-Adres­se vor­ge­nom­men, wäh­rend der Bun­des­nach­rich­ten­dienst 166 Abfra­gen im Jahr 2017 vor­ge­nom­men habe. Die Zah­len für das Bun­des­amt für Ver­fas­sungs­schutz wie­sen eine stei­gen­de Ten­denz von cir­ca 50 Abfra­gen im Jahr 2013 bis auf cir­ca 850 Abfra­gen im Jahr 2017 auf.

Zur tech­ni­schen Ent­wick­lung bei der Ver­ga­be von IP-Adres­sen teilt die Bun­des­re­gie­rung mit: Da der Adress­raum des über­kom­me­nen Inter­net­pro­to­kolls Ver­si­on 4 (IPv4) nicht aus­rei­che, um allen netz­fä­hi­gen Gerä­ten eine eige­ne IP-Adres­se zuzu­wei­sen, sol­le die­se Ver­si­on auf lan­ge Sicht durch das Inter­net­pro­to­koll Ver­si­on 6 (IPv6) abge­löst wer­den. Die neue Ver­si­on ver­fü­ge über einen hin­rei­chend gro­ßen Adress­raum, um auf abseh­ba­re Zeit alle netz­fä­hi­gen Gerä­te mit einer eige­nen IP-Adres­se aus­zu­stat­ten. Die Umstel­lung erfol­ge suk­zes­si­ve. Wäh­rend der Über­gangs­pha­se nutz­ten vie­le Diens­te­an­bie­ter aber eine Tech­nik, mit­tels derer sich vie­le Nut­zer eine ein­zi­ge öffent­li­che IPv4-Adres­se unter Zutei­lung soge­nann­ter Source Port Num­bers teil­ten. Die­se Über­gangs­lö­sung habe sich zwi­schen­zeit­lich zu einem dau­er­haf­ten Ersatz für das IPv6 ent­wi­ckelt, da sie die Nut­zungs­mög­lich­kei­ten von IPv4-Adres­sen unbe­grenzt ver­viel­fa­che und die kos­ten­in­ten­si­ve Umstel­lung hin­aus­ge­zö­gert wer­den kön­ne. Um einen Nut­zer in die­sem Fall zwei­fels­frei iden­ti­fi­zie­ren zu kön­nen, müss­te neben der IPv4-Adres­se ins­be­son­de­re auch des­sen Source Port Num­ber bekannt sein. Die­se läge den Sicher­heits­be­hör­den häu­fig nicht vor und wer­de von den Pro­vi­dern nicht zuver­läs­sig gespei­chert.

Obgleich bei dem IPv6 nicht mehr das Pro­blem der Man­gel­ver­wal­tung bestehe, wür­den auch die IPv6-Adres­sen vor allem im Pri­vat­kun­den­be­reich im Regel­fall dyna­misch und nicht sta­tisch zuge­wie­sen. Eine sta­ti­sche IP-Adres­se kön­ne auf aus­drück­li­chen Wunsch des Kun­den zuge­wie­sen wer­den, was vor allem im Bereich der Geschäfts­kun­den genutzt wer­de.

Die ange­grif­fe­nen Nor­men sei­en ver­fas­sungs­ge­mäß. Der Bun­des­ge­setz­ge­ber sei zustän­dig. § 113 Abs. 4 TKG begrün­de kei­ne selb­stän­di­ge Aus­kunfts­pflicht, son­dern rich­te sich allein an die betrof­fe­nen Unter­neh­men und prä­zi­sie­re deren Pflich­ten auf dem Gebiet der Tele­kom­mu­ni­ka­ti­on.

§ 113 TKG erlau­be kei­ne vom Ein­zel­fall los­ge­lös­te Mas­sen­ab­fra­ge. Eine Unver­hält­nis­mä­ßig­keit erge­be sich auch nicht aus § 113 Abs. 5 Satz 2 TKG. Zwar kön­ne einer Rege­lung, die Daten­ab­fra­gen sehr ver­ein­fa­che, indem sie durch ein zen­tral zusam­men­ge­fass­tes und auto­ma­ti­sier­tes Ver­fah­ren die Daten ohne zeit­li­che Ver­zö­ge­run­gen oder Rei­bungs­ver­lus­te durch Prü­ferfor­der­nis­se zur Ver­fü­gung stel­le, ein erhöh­tes Ein­griffs­ge­wicht zukom­men. Da die Aus­kunft aber wei­ter­hin nur in Text­form und im Ein­zel­fall ver­langt wer­den kön­ne, sei sicher­ge­stellt, dass eine Abfra­ge nicht pau­schal und ohne kon­kre­ten Anlass erfol­ge. Auch der mit einem manu­el­len Ver­fah­ren ver­bun­de­ne Ver­fah­rens­auf­wand blei­be bestehen. Die Schnitt­stel­le erhö­he ledig­lich die Daten­si­cher­heit.

§ 113 TKG genü­ge dem Gebot der Nor­men­klar­heit. Der Gesetz­ge­ber habe mit § 113 Abs. 2 Satz 1 TKG klar­ge­stellt, dass es für die Daten­ab­fra­ge einer qua­li­fi­zier­ten Rechts­grund­la­ge für die abru­fen­de Stel­le bedür­fe und die dafür in Fra­ge kom­men­den Stel­len ein­deu­tig und abschlie­ßend bestimmt. Die geschaf­fe­nen Abruf­re­ge­lun­gen sei­en durch eine jeweils aus­drück­li­che Bezug­nah­me auf die nach §§ 95, 111 TKG erho­be­nen Daten hin­rei­chend qua­li­fi­ziert.

Die durch § 113 Abs. 1 Satz 3 TKG ermög­lich­te Iden­ti­fi­zie­rung von IP-Adres­sen anhand von Ver­kehrs­da­ten ver­sto­ße nicht gegen Art. 10 Abs. 1 GG. Bei der ver­fas­sungs­recht­li­chen Bewer­tung sei zu berück­sich­ti­gen, dass ein Ein­griff durch die Ver­wen­dung von Ver­kehrs­da­ten nur unvoll­stän­dig in der Norm selbst gere­gelt wer­de. Die Pflicht der Unter­neh­men, Ver­kehrs­da­ten aus­zu­wer­ten, ver­wirk­li­che sich erst in der kon­kre­ten Abfra­ge. Nicht alle ver­fas­sungs­recht­lich gebo­te­nen mate­ri­el­len und ver­fah­rens­recht­li­chen Vor­ga­ben könn­ten aber in der Öff­nungs­norm gere­gelt wer­den, weil die­se nicht als „Voll­norm“ aus­ge­stal­tet wer­den dür­fe. Inso­weit erge­be sich eine abschlie­ßen­de ver­fas­sungs­recht­li­che Beur­tei­lung nur aus der Zusam­men­schau von Öff­nungs­norm und Abruf­be­fug­nis.

Für die Ver­wen­dung von Ver­kehrs­da­ten durch die Diens­te­an­bie­ter zur Iden­ti­fi­zie­rung einer IP-Adres­se gäl­ten weni­ger stren­ge ver­fas­sungs­recht­li­che Maß­stä­be als für deren unmit­tel­ba­re Ver­wen­dung durch Behör­den, da die­se selbst kei­nen Ein­blick in die Ver­kehrs­da­ten erhiel­ten. Dar­über hin­aus wer­de immer nur ein bestimm­ter Teil der vor­han­de­nen Ver­kehrs­da­ten ver­wen­det. Eine Beschrän­kung des Anwen­dungs­be­reichs auf Straf­ta­ten von erheb­li­chem Gewicht sowie auf Gefah­ren für wich­ti­ge Rechts­gü­ter sei ver­fas­sungs­recht­lich eben­so wenig gebo­ten wie ein Rich­ter­vor­be­halt. Sicher­zu­stel­len sei ledig­lich, dass eine Aus­kunft nur bei Vor­lie­gen eines Anfangs­ver­dachts oder einer kon­kre­ten Gefahr auf ein­zel­fall­be­zo­ge­ner Tat­sa­chen­ba­sis erfol­gen dür­fe. Dies gel­te auch für die Nach­rich­ten­diens­te. § 113 Abs. 2 TKG wer­de die­sen Vor­ga­ben gerecht. Die fach­ge­setz­li­chen Ermäch­ti­gungs­grund­la­gen setz­ten auch vor­aus, dass die Daten­er­he­bung erfor­der­lich sei. Die Rück­bin­dung an einen Ein­zel­fall sei damit gewähr­leis­tet. Das Ver­fah­ren nach § 113 Abs. 1 Satz 3 TKG kön­ne nicht zur Ver­fol­gung von Ord­nungs­wid­rig­kei­ten genutzt wer­den, da § 46 Abs. 3 Satz 1 OWiG dem ent­ge­gen ste­he. Die For­mu­lie­rung des § 113 Abs. 1 Satz 3 TKG mache auch deut­lich, dass es sich um eine Aus­nah­me­re­ge­lung han­de­le und eine Aus­wer­tung von Ver­kehrs­da­ten zu ande­ren Zwe­cken unzu­läs­sig sei.

Die ange­grif­fe­nen Abruf­re­ge­lun­gen sei­en eben­falls ver­fas­sungs­ge­mäß. Die Vor­ga­ben des Bun­des­ver­fas­sungs­ge­richts sei­en durch den in § 113 Abs. 2 TKG ange­ord­ne­ten Ein­zel­fall­be­zug in Ver­bin­dung mit dem Ver­weis auf die gesetz­li­chen Auf­ga­ben der ermäch­tig­ten Behör­den in den Abruf­re­ge­lun­gen ein­ge­hal­ten. Die­se Nor­men ent­hiel­ten den Bezug auf „die Ver­hü­tung und Ver­fol­gung von Straf­ta­ten“ (§ 2 Abs. 2 Nr. 1 in Ver­bin­dung mit § 7 Abs. 3 Satz 1 BKAG a.F., vgl. § 10 Abs. 1 Satz 1 Nr. 1 BKAG), „auf eine im Ein­zel­fall bestehen­de Gefahr für Zeu­gen“ (§ 26 Abs. 1 Satz 1 BKAG a.F.), „auf die kon­kre­te Erfor­schung des Sach­ver­halts oder die Ermitt­lung des Auf­ent­halts­or­tes einer Per­son“ (§ 22a Abs. 1 Satz 1 BPolG) oder auf die all­ge­mei­nen gesetz­li­chen Auf­ga­ben­be­stim­mun­gen der Nach­rich­ten­diens­te. Deren Auf­ga­be der Infor­ma­ti­ons­samm­lung sei etwa nach § 3 Abs. 1 BVerfSchG auf die Auf­klä­rung bestimm­ter Beob­ach­tungs­ob­jek­te beschränkt. Vor­aus­set­zung sei jeweils das Vor­lie­gen tat­säch­li­cher Anhalts­punk­te (§ 4 Abs. 1 Satz 3 BVerfSchG), also ein nach­rich­ten­dienst­li­cher Anfangs­ver­dacht.

Das Bun­des­kri­mi­nal­amt wer­de ermäch­tigt, Bestands­da­ten abzu­fra­gen, soweit dies zur Erfül­lung sei­ner Auf­ga­be als Zen­tral­stel­le nach § 2 Abs. 2 Nr. 1 BKAG für die Wahr­neh­mung der in § 2 Abs. 1 BKAG beschrie­be­nen Auf­ga­be erfor­der­lich sei. Nach § 2 Abs. 1 BKAG unter­stüt­ze das Bun­des­kri­mi­nal­amt als Zen­tral­stel­le für das poli­zei­li­che Aus­kunfts- und Nach­rich­ten­we­sen und für die Kri­mi­nal­po­li­zei die Poli­zei­en des Bun­des und der Län­der bei der Ver­hü­tung und Ver­fol­gung von Straf­ta­ten mit län­der­über­grei­fen­der, inter­na­tio­na­ler oder erheb­li­cher Bedeu­tung. Nur dazu sei­en Bestands­da­ten­ab­fra­gen erlaubt und nicht zur blo­ßen Gefah­ren­vor­sor­ge. Mit dem Hin­weis auf die „Gefahr­ver­hü­tung“ öff­ne das Gesetz die Bestands­da­ten­ab­fra­ge ledig­lich für eine auf spe­zi­el­le indi­vi­dua­li­sier­te Tat­sa­chen begrün­de­te Form der Gefah­ren­ab­wehr.

Die gefah­ren­ab­wehr­recht­li­chen Abruf­re­ge­lun­gen wie­sen den erfor­der­li­chen Ein­zel­fall­be­zug auf. § 22a Abs. 1 BPolG etwa set­ze vor­aus, dass das Aus­kunfts­ver­lan­gen der Erfor­schung des Sach­ver­halts oder der Ermitt­lung des Auf­ent­halts­or­tes einer Per­son die­ne. Soweit § 15 Abs. 2 ZFdG auf § 4 Abs. 2 und 3 ZFdG ver­wei­se und durch die Ein­be­zie­hung von Vor­sor­ge­auf­ga­ben über den Maß­stab einer indi­vi­du­ell tat­sa­chen­ba­sier­ten Abfra­ge­be­fug­nis hin­aus­ge­hen könn­te, dürf­te eine allein auf Vor­sor­ge abzie­len­de Abfra­ge schon wegen § 113 Abs. 2 Satz 1 TKG aus­ge­schlos­sen sein, da der Ein­zel­fall­be­zug einer der­ar­ti­gen Abfra­ge ent­ge­gen­ste­he. Ergän­zend erschei­ne eine ver­fas­sungs­kon­for­me Ein­schrän­kung der Ver­wei­sungs­nor­men mög­lich, die die­se auf die Gefah­ren- und Straf­ta­ten­ver­hü­tung beschrän­ke.

Auch hin­rei­chen­de Ein­griffs­schwel­len sei­en vor­ge­se­hen. Alle Abruf­re­ge­lun­gen setz­ten die Erfor­der­lich­keit der Aus­kunft zur Auf­ga­ben­er­fül­lung vor­aus. § 20b Abs. 3 BKAG a.F. (vgl. § 40 BKAG) bezie­he sich auf § 4a Abs. 1 BKAG a.F. (vgl. § 5 Abs. 1 BKAG) und knüp­fe damit an die Abwehr von kon­kre­ten Gefah­ren des inter­na­tio­na­len Ter­ro­ris­mus an. Für die Auf­ga­be des Zeu­gen­schut­zes nach § 6 BKAG a.F. (vgl. § 7 BKAG) wer­de aus­drück­lich eine im Ein­zel­fall bestehen­de Gefahr vor­aus­ge­setzt.

Es sei unbe­denk­lich, dass § 8d BVerfSchG, § 2b BNDG und § 4b MADG eine Aus­kunft bereits „zur Erfül­lung der Auf­ga­ben“ des jewei­li­gen Nach­rich­ten­diens­tes zulie­ßen. Das Feh­len einer beson­de­ren Ein­griffs­schwel­le recht­fer­ti­ge sich aus den beschränk­ten Auf­ga­ben der Nach­rich­ten­diens­te. Das Bun­des­ver­fas­sungs­ge­richt habe ange­nom­men, dass sich aus dem Erfor­der­nis der Erfor­der­lich­keit im Ein­zel­fall erge­be, dass eine Aus­kunft gemäß § 113 Abs. 1 Satz 1 TKG a.F. zur Auf­klä­rung einer bestimm­ten nach­rich­ten­dienst­lich beob­ach­tungs­be­dürf­ti­gen Akti­on oder Grup­pie­rung gebo­ten sein müs­se, ohne dass die­ses Erfor­der­nis spe­zi­ell gere­gelt wer­den müss­te. Inso­weit unter­schei­de sich die Neu­re­ge­lung nicht von der Vor­gän­ger­vor­schrift.

Es stel­le kei­nen unver­hält­nis­mä­ßi­gen Ein­griff in Art. 10 Abs. 1 GG dar, dass die Bestands­da­ten­aus­kunft, die sich dyna­mi­scher IP-Adres­sen bedie­ne, unter den­sel­ben Vor­aus­set­zun­gen wie die all­ge­mei­ne Bestands­da­ten­aus­kunft mög­lich sei. Auf­grund der nur mit­tel­ba­ren Ver­wen­dung von Ver­kehrs­da­ten könn­ten der­ar­ti­ge Aus­kunfts­an­sprü­che auch unab­hän­gig von begren­zen­den Rechts­gü­ter- oder Straf­ta­ten­ka­ta­lo­gen vor­ge­se­hen wer­den. Für Abfra­gen durch die Nach­rich­ten­diens­te sei sicher­ge­stellt, dass die Erfor­der­lich­keit der Iden­ti­fi­zie­rung in jedem Ein­zel­fall geprüft wer­de.

Soweit das Bun­des­ver­fas­sungs­ge­richt für die Abfra­ge von Zugangs­da­ten sicher­ge­stellt wis­sen wol­le, dass auch die gesetz­li­chen Vor­aus­set­zun­gen für die Nut­zung der Daten gege­ben sei­en, sei die­se Ein­schrän­kung in allen Abruf­re­ge­lun­gen auf­ge­nom­men wor­den. Die Sub­si­dia­ri­tät der Abfra­ge die­ser Daten müs­se nicht aus­drück­lich gere­gelt wer­den. Eine Abfra­ge erge­he nur nach einer Ein­zel­fall­prü­fung. Soweit dies ver­fas­sungs­recht­lich gebo­ten sei, ent­hiel­ten zudem die Nor­men, die die Nut­zung der abge­frag­ten Daten regel­ten, beson­de­re Ver­hält­nis­mä­ßig­keits­re­ge­lun­gen. Der Ein­griff in das Grund­recht auf infor­ma­tio­nel­le Selbst­be­stim­mung sei auch nicht des­halb unver­hält­nis­mä­ßig, weil von einer vor­he­ri­gen gericht­li­chen Ent­schei­dung abge­se­hen wer­den kön­ne, wenn der Betrof­fe­ne Kennt­nis von der Abfra­ge der Zugangs­da­ten habe oder haben müs­se. Es sei gera­de die Heim­lich­keit einer Maß­nah­me, die beson­de­re Ver­fah­rens­si­che­run­gen wie den Vor­be­halt rich­ter­li­cher Anord­nung erfor­dern kön­ne. Wenn aber der Betrof­fe­ne Kennt­nis vom Her­aus­ga­be­ver­lan­gen habe oder haben müs­se, sei ein rich­ter­li­cher Beschluss ent­behr­lich.

Stel­lung­nah­me der Bun­des­da­ten­schutz­be­auf­trag­ten

Die (inzwi­schen ehma­li­ge) Bun­des­da­ten­schutz­be­auf­trag­te erach­tet die ange­grif­fe­nen Rege­lun­gen zu einem Teil als ver­fas­sungs­wid­rig. Es wider­spre­che der Ent­schei­dung des Bun­des­ver­fas­sungs­ge­richts zur Vor­rats­da­ten­spei­che­rung, dass § 113 Abs. 1 Satz 3 TKG die Aus­kunft über die Zuord­nung einer dyna­mi­schen IP-Adres­se auch zur Ver­fol­gung ein­fa­cher Ord­nungs­wid­rig­kei­ten zulas­se [30].

§ 10 Abs. 1 Satz 1 Nr. 1 BKAG in Ver­bin­dung mit dem in Bezug genom­me­nen § 2 Abs. 2 Nr. 1 BKAG knüp­fe nicht an eine kon­kre­te Auf­ga­be zur Gefah­ren­ab­wehr an, son­dern nur an die Auf­ga­ben des Bun­des­kri­mi­nal­amts als Zen­tral­stel­le. Damit ver­lan­ge die Vor­schrift kei­nen kon­kre­ten Anlass für Daten­er­he­bun­gen. Die Daten müss­ten ledig­lich der Ergän­zung vor­han­de­ner Sach­ver­hal­te oder sonst zu Zwe­cken der Aus­wer­tung dien­lich sein, um Gegen­stand einer Abfra­ge zu sein. Die Daten­er­he­bung sei zudem zum Zweck der Erstel­lung von Ana­ly­sen erlaubt (§ 2 Abs. 6 Nr. 1 BKAG). Dies las­se Zwei­fel an der hin­rei­chen­den Bestimmt­heit und Ver­hält­nis­mä­ßig­keit zu. Ein prak­ti­scher Bedarf für eine Erhe­bung von Zugangs­da­ten zur Erfül­lung der Zen­tral­stel­len­auf­ga­ben bestehe nicht. Die ent­spre­chen­de Rege­lung erge­be man­gels denk­ba­rer Nut­zungs­mög­lich­kei­ten kei­nen Sinn. Die Mög­lich­keit der Bestands­da­ten­aus­kunft anhand von IP-Adres­sen knüp­fe weder an ein kon­kre­tes Ermitt­lungs­ver­fah­ren noch an eine Gefah­ren­la­ge an. Auch die Zuord­nung dyna­mi­scher IP-Adres­sen las­se der Wort­laut bereits zur Ergän­zung vor­han­de­ner Sach­ver­hal­te oder sonst zu Zwe­cken der Aus­wer­tung zu. Bei enger Aus­le­gung kön­ne eine ein­zel­ne Abfra­ge aber noch als ver­hält­nis­mä­ßig anzu­se­hen sein, wenn etwa das Bun­des­kri­mi­nal­amt auf einer „Inter­net­strei­fe“ Erkennt­nis­se über den Anfangs­ver­dacht einer Straf­tat oder einer Gefah­ren­la­ge erhal­te. Dann sei die Abfra­ge der IP-Adres­se ein ers­ter Anknüp­fungs­punkt, um den Sach­ver­halt an eine zustän­di­ge Straf­ver­fol­gungs- oder Poli­zei­be­hör­de wei­ter­zu­lei­ten.

§ 7 ZFdG sei noch all­ge­mei­ner for­mu­liert und knüp­fe ledig­lich an die Auf­ga­ben des Zoll­kri­mi­nal­amts als Zen­tral­stel­le nach § 3 ZFdG an. Zu den Zen­tral­stel­len­auf­ga­ben gehö­re es, gemäß § 3 Abs. 9 ZFdG alle not­wen­di­gen Infor­ma­tio­nen zu sam­meln und aus­zu­wer­ten. Über die­se Vor­schrift wür­den die Zen­tral­stel­len­auf­ga­ben gleich­zei­tig mit den Auf­ga­ben des Zoll­kri­mi­nal­amts nach §§ 4 und 5 ZFdG ver­knüpft (eige­ne Straf­ver­fol­gungs­auf­ga­ben, Siche­rungs- und Schutz­maß­nah­men). § 15 ZFdG set­ze eben­falls nur die Erfor­der­lich­keit zur Auf­ga­ben­er­fül­lung für das Zoll­kri­mi­nal­amt vor­aus.

§ 22a BPolG knüp­fe die Bestands­da­ten­ab­fra­ge nicht durch­ge­hend an das Vor­lie­gen einer kon­kre­ten Gefahr. Die Rege­lung stel­le die Vor­aus­set­zun­gen der Bestands­da­ten­ab­fra­ge denen der Gene­ral­klau­sel für Daten­er­he­bun­gen nach § 21 Abs. 1 und 2 BPolG gleich. § 21 Abs. 1 BPolG las­se es aber bereits aus­rei­chen, dass die Abfra­ge erfor­der­lich sei, um irgend­ei­ne Auf­ga­be der Bun­des­po­li­zei zu erfül­len. Gemäß § 21 Abs. 2 Nr. 1 BPolG sei die Daten­er­he­bung zur Ver­hü­tung von Straf­ta­ten zuläs­sig, soweit Tat­sa­chen die Annah­me recht­fer­tig­ten, dass betrof­fe­ne Per­so­nen bestimm­te Straf­ta­ten bege­hen woll­ten. Dies schlie­ße aber nicht aus, dass sich die Pro­gno­se allein auf all­ge­mei­ne Erfah­rungs­sät­ze stüt­ze [31]. Auch soweit § 22a Abs. 1 Satz 1 BPolG zusätz­lich bestim­me, dass die Daten­er­he­bung zur Erfor­schung des Sach­ver­halts oder des Auf­ent­halts­orts einer Per­son erfor­der­lich sein müs­se, füh­re dies nicht zu einer hin­rei­chen­den Begren­zung.

§ 20b Abs. 3 BKAG a.F. (vgl. § 40 Abs. 1 BKAG) ver­wei­se zunächst nur auf die dem Bun­des­kri­mi­nal­amt oblie­gen­de Auf­ga­be der Abwehr von Gefah­ren des inter­na­tio­na­len Ter­ro­ris­mus. Soweit die Daten­er­he­bung auch zur Ver­hü­tung von Straf­ta­ten nach § 4a Abs. 1 Satz 2 BKAG a.F. (vgl. § 5 Abs. 1 Satz 2 BKAG) zuläs­sig sei, wenn Tat­sa­chen die Annah­me recht­fer­tig­ten, dass betrof­fe­ne Per­so­nen ent­spre­chen­de Straf­ta­ten bege­hen woll­ten, sei wie­der­um nicht aus­ge­schlos­sen, dass sich die Pro­gno­se allein auf all­ge­mei­ne Erfah­rungs­sät­ze stüt­ze.

Vor­aus­set­zung für eine Bestands­da­ten­ab­fra­ge durch die Nach­rich­ten­diens­te sei ledig­lich, dass sie zur Erfül­lung von deren Auf­ga­ben erfor­der­lich sei. Dies schrän­ke die Befug­nis fak­tisch nicht ein, da sich die Erfor­der­lich­keit im Bereich der Nach­rich­ten­diens­te leicht begrün­den las­se.

Es gebe zudem Defi­zi­te bei den ver­fah­rens­si­chern­den Maß­nah­men. Die Ein­füh­rung eines Rich­ter­vor­be­halts für die Aus­kunft über den Inha­ber einer IP-Adres­se sei daten­schutz­recht­lich gebo­ten, was maß­geb­lich mit dem Bedeu­tungs­zu­wachs des Inter­nets in den letz­ten Jah­ren zu begrün­den sei. Da für die all­ge­mei­ne Bestands­da­ten­aus­kunft kei­ne Benach­rich­ti­gungs­pflicht vor­ge­se­hen sei, erfol­ge die Abfra­ge heim­lich. Dies wir­ke sich auf die Ein­griffs­in­ten­si­tät aus. Hier­bei sei zu berück­sich­ti­gen, dass Betrof­fe­ne über eine Spei­che­rung beaus­kunf­te­ter Daten in der Regel auch nicht auf ande­rem Wege infor­miert wür­den. Eine zen­tra­le Pro­to­kol­lie­rung der Daten­er­he­bun­gen durch die Behör­den sei nicht vor­ge­se­hen. Dies kön­ne die daten­schutz­recht­li­che Kon­trol­le erschwe­ren. Da die Daten gegen­über Betrof­fe­nen nicht offen erho­ben wür­den, sei eine anlass­un­ab­hän­gi­ge Daten­schutz­kon­trol­le not­wen­dig, um den durch die Heim­lich­keit ein­ge­schränk­ten Rechts­schutz zu kom­pen­sie­ren.

Zuläs­sig­keit der Ver­fas­sungs­be­schwer­den

Die Ver­fas­sungs­be­schwer­den sind über­wie­gend zuläs­sig. 

Die Beschwer­de­füh­ren­den wen­den sich mit ihren Rechts­satz­ver­fas­sungs­be­schwer­den gegen Über­mitt­lungs- und Abruf­re­ge­lun­gen von Bestands­da­ten im manu­el­len Aus­kunfts­ver­fah­ren. Unmit­tel­bar rich­ten sich ihre Angrif­fe gegen die die Diens­te­an­bie­ter jeweils ermäch­ti­gen­den Befug­nis­nor­men zur Über­mitt­lung von Bestands­da­ten im All­ge­mei­nen (§ 113 Abs. 1 Satz 1 TKG), von Zugangs­da­ten (§ 113 Abs. 1 Satz 1 und 2 TKG) und von Bestands­da­ten, die anhand dyna­mi­scher IP-Adres­sen bestimmt wer­den (§ 113 Abs. 1 Satz 1 und 3 TKG). Sie wen­den sich zudem gegen die damit kor­re­spon­die­ren­den Befug­nis­nor­men, die die ver­schie­de­nen Sicher­heits­be­hör­den jeweils zum Abruf die­ser Daten ermäch­ti­gen. Mit­tel­bar erstre­cken sich die Angrif­fe auf die wei­te­ren Rege­lun­gen der ange­grif­fe­nen Nor­men, mit denen der Gesetz­ge­ber die Befug­nis­se zur Gewähr­leis­tung der Ver­hält­nis­mä­ßig­keit flan­kiert und ohne die deren Ver­fas­sungs­mä­ßig­keit nicht beur­teilt wer­den kann. 

Die Ver­fas­sungs­be­schwer­den rich­ten sich daher gegen § 113 TKG, § 7 Abs. 3 bis 7, § 20b Abs. 3 bis 7 und § 22 Abs. 2 bis 4 BKAG, § 22a BPolG, § 7 Abs. 5 bis 9, § 15 Abs. 2 bis 6 ZFdG, § 8d BVerfSchG, § 2b BNDG und § 4b MADG jeweils in der Fas­sung vom 20.06.2013 sowie gegen §§ 10, 40 BKAG in der Fas­sung vom 01.06.2017, § 4 BNDG in der Fas­sung vom 23.12.2016 und § 7 Abs. 7, § 15 Abs. 4 ZFdG in der Fas­sung vom 03.12.2015. Dabei erstre­cken sich die Ver­fas­sungs­be­schwer­den nicht auf die Rege­lun­gen, die die Spei­che­rung der im manu­el­len Aus­kunfts­ver­fah­ren ver­wen­de­ten Bestands- und Ver­kehrs­da­ten betref­fen. Nicht Gegen­stand der Ver­fas­sungs­be­schwer­den sind daher die §§ 95 ff. TKG, die die Spei­che­rung die­ser Daten zu betriebs­in­ter­nen Zwe­cken erlau­ben, sowie die §§ 111, 113a ff. TKG, die Diens­te­an­bie­ter zur Spei­che­rung von Bestands- und Ver­kehrs­da­ten ver­pflich­ten. 

Teil­wei­se Unzu­läs­sig­keit

Die Ver­fas­sungs­be­schwer­den sind teil­wei­se unzu­läs­sig. Soweit die bei­den Beschwer­de­füh­ren­den der ers­ten Ver­fas­sungs­be­schwer­de [29] mit nach­ge­reich­tem Schrift­satz ihre Angrif­fe auf § 4 BNDG in der Fas­sung vom 23.12.2016 und § 7 Abs. 7, § 15 Abs. 4 ZFdG in der Fas­sung vom 03.12.2015 erstreckt haben, ist ihre Ver­fas­sungs­be­schwer­de ver­fris­tet. Obgleich sie schon die jewei­li­ge Vor­gän­ger­reg­lung frist­ge­mäß ange­grif­fen haben, erstreckt sich ihre Ver­fas­sungs­be­schwer­de nicht auto­ma­tisch auf die an ihre Stel­le getre­te­ne Norm; dies gilt selbst dann, wenn die Neu­re­ge­lung – wie hier § 4 BNDG – inhalts­gleich zu der Vor­gän­ger­re­ge­lung ist [32]

Zwar waren die Beschwer­de­füh­ren­den nicht gehin­dert, ihre Ver­fas­sungs­be­schwer­de auf die neu­en Rege­lun­gen umzu­stel­len [32], wenn­gleich die Frist zur Erhe­bung einer Ver­fas­sungs­be­schwer­de durch – wie hier – bloß redak­tio­nel­le, nicht inhalt­li­che Ände­run­gen der Vor­schrif­ten nicht erneut zu lau­fen beginnt [33]. Wird aber Beschwer­de­füh­ren­den die Umstel­lung ihrer bereits gegen die vor­he­ri­ge Geset­zes­fas­sung erho­be­nen Ver­fas­sungs­be­schwer­de ermög­licht, so muss die Umstel­lung ihrer­seits die Jah­res­frist wah­ren. Da aber § 4 BNDG bereits zum 31.12.2016 und § 7 Abs. 7, § 15 Abs. 4 ZFdG zum 1.01.2016 in Kraft getre­ten sind, wahr­te die am 1.04.2019 erfolg­te Erstre­ckung der Ver­fas­sungs­be­schwer­de auf die­se Vor­schrif­ten nicht mehr die Jah­res­frist des § 93 Abs. 3 BVerfGG.

Für die Ver­fas­sungs­be­schwer­de der Beschwer­de­füh­ren­den im zwei­ten Ver­fah­ren [34] gegen die § 7 Abs. 3 bis 7, § 20b Abs. 3 bis 7 und § 22 Abs. 2 bis 4 BKAG in der Fas­sung vom 20.06.2013 fehlt das Rechts­schutz­in­ter­es­se, da die Rege­lun­gen am 25.05.2018 außer Kraft getre­ten sind [35]. Ein Rechts­schutz­in­ter­es­se besteht hier auch nicht aus­nahms­wei­se des­halb fort, weil ansons­ten die Klä­rung ver­fas­sungs­recht­li­cher Fra­gen von grund­sätz­li­cher Bedeu­tung unter­blie­be [36]. Die im Hin­blick auf die Alt­re­ge­lun­gen auf­tre­ten­den Fra­gen stel­len sich in glei­cher Wei­se bei den von den Beschwer­de­füh­ren­den zu I. ange­grif­fe­nen Neu­re­ge­lun­gen in §§ 10, 40 BKAG, las­sen sich also in die­sem Zusam­men­hang klä­ren. 

Beschwer­de­be­fug­nis

Im Übri­gen sind die Ver­fas­sungs­be­schwer­den zuläs­sig.

Die Beschwer­de­füh­ren­den sind beschwer­de­be­fugt.

Sie nut­zen Mobil­funk­kar­ten, Fest­netz­an­schlüs­se und Inter­net­zu­gangs-diens­te und machen gel­tend, durch die Über­mitt­lung und den Abruf ihrer nach §§ 95, 111 TKG gespei­cher­ten Daten auf der Grund­la­ge der hier ange­grif­fe­nen Vor­schrif­ten in ihrem Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung aus Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 GG sowie in ihrem Grund­recht auf Wah­rung des Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis­ses nach Art. 10 Abs. 1 GG ver­letzt zu sein. Eine Grund­rechts­ver­let­zung ist jeden­falls mög­lich.

Die ange­grif­fe­nen Vor­schrif­ten betref­fen die Beschwer­de­füh­ren­den unmit­tel­bar, selbst und gegen­wär­tig. Ihre Ver­fas­sungs­be­schwer­den erfül­len die spe­zi­fi­schen Anfor­de­run­gen, die für unmit­tel­bar gegen Geset­ze gerich­te­te Ver­fas­sungs­be­schwer­den gel­ten.

Die Beschwer­de­füh­ren­den sind von den ange­grif­fe­nen Vor­schrif­ten unmit­tel­bar betrof­fen. Zwar wer­den die hier ange­grif­fe­nen Rege­lun­gen zur Über­mitt­lung und zum Abruf von Bestands­da­ten erst auf der Grund­la­ge wei­te­rer Voll­zugs­ak­te in Form von Aus­kunfts­ver­lan­gen und Aus­kunfts­er­tei­lung wirk­sam. Von einer unmit­tel­ba­ren Betrof­fen­heit durch ein voll­zie­hungs­be­dürf­ti­ges Gesetz ist jedoch auch dann aus­zu­ge­hen, wenn Beschwer­de­füh­ren­de den Rechts­weg nicht beschrei­ten kön­nen, weil sie kei­ne Kennt­nis von der Maß­nah­me erlan­gen oder wenn eine nach­träg­li­che Bekannt­ga­be zwar vor­ge­se­hen ist, von ihr aber auf­grund weit­rei­chen­der Aus­nah­me­tat­be­stän­de auch lang­fris­tig abge­se­hen wer­den kann [37]. So liegt es hier.

Die Beschwer­de­füh­ren­den erlan­gen weder von dem an einen Diens­te­an­bie­ter gerich­te­ten Aus­kunfts­ver­lan­gen noch von der Aus­kunfts­er­tei­lung selbst ver­läss­lich Kennt­nis [38]. Dies gilt auch, soweit die Abruf­re­ge­lun­gen für die Beaus­kunf­tung von Zugangs­da­ten sowie der anhand dyna­mi­scher IP-Adres­sen bestimm­ten Daten Benach­rich­ti­gungs­pflich­ten vor­se­hen, da die­se weit­rei­chen­de Aus­nah­men ent­hal­ten und mög­li­cher­wei­se erst spät grei­fen [39]. Für die all­ge­mei­ne Bestands­da­ten­aus­kunft bestehen von vorn­her­ein kei­ne Benach­rich­ti­gungs­pflich­ten.

Die Beschwer­de­füh­ren­den sind durch die ange­grif­fe­nen Rege­lun­gen auch selbst und gegen­wär­tig betrof­fen. Da sie weit­hin kei­ne ver­läss­li­che Kennt­nis von den Voll­zugs­ak­ten erlan­gen, reicht es, wenn sie dar­le­gen, mit eini­ger Wahr­schein­lich­keit von sol­chen Maß­nah­men berührt zu wer­den. Maß­geb­lich hier­für ist, dass die durch § 113 TKG und die Abruf­re­ge­lun­gen ermög­lich­ten Aus­künf­te eine gro­ße Streu­brei­te haben und Drit­te auch zufäl­lig erfas­sen kön­nen. Dar­le­gun­gen, durch die sich die Beschwer­de­füh­ren­den selbst einer Straf­tat bezich­ti­gen müss­ten, sind zum Beleg der Selbst­be­trof­fen­heit eben­so wenig erfor­der­lich wie der Vor­trag, für sicher­heits­ge­fähr­den­de oder nach­rich­ten­dienst­lich rele­van­te Akti­vi­tä­ten ver­ant­wort­lich zu sein [40].

Sub­si­dia­ri­tät

Die Ver­fas­sungs­be­schwer­den genü­gen den Anfor­de­run­gen der Sub­si­dia­ri­tät. 

Auch vor Erhe­bung von Rechts­satz­ver­fas­sungs­be­schwer­den sind nach dem Grund­satz der Sub­si­dia­ri­tät grund­sätz­lich alle Mit­tel zu ergrei­fen, die der gel­tend gemach­ten Grund­rechts­ver­let­zung abhel­fen kön­nen. Zu den zumut­ba­ren Rechts­be­hel­fen kann die Erhe­bung einer Fest­stel­lungs- oder Unter­las­sungs­kla­ge gehö­ren, die eine fach­ge­richt­li­che Klä­rung ent­schei­dungs­er­heb­li­cher Tat­sa­chen- oder Rechts­fra­gen des ein­fa­chen Rechts ermög­licht [41]. Anders liegt dies jedoch, soweit es allein um die sich unmit­tel­bar aus der Ver­fas­sung erge­ben­den Gren­zen für die Aus­le­gung der Nor­men geht. Soweit die Beur­tei­lung einer Norm allein spe­zi­fisch ver­fas­sungs­recht­li­che Fra­gen auf­wirft, die das Bun­des­ver­fas­sungs­ge­richt zu beant­wor­ten hat, ohne dass von einer vor­aus­ge­gan­ge­nen fach­ge­richt­li­chen Prü­fung ver­bes­ser­te Ent­schei­dungs­grund­la­gen zu erwar­ten wären, bedarf es einer vor­an­ge­hen­den fach­ge­richt­li­chen Ent­schei­dung nicht [42]. Inso­weit bleibt es dabei, dass Ver­fas­sungs­be­schwer­den unmit­tel­bar gegen ein Gesetz weit­hin auch ohne vor­he­ri­ge Anru­fung der Fach­ge­rich­te zuläs­sig sind [43]. Eine Pflicht zur Anru­fung der Fach­ge­rich­te kann auch sonst unzu­mut­bar sein [44].

Danach muss­ten die Beschwer­de­füh­ren­den vor Erhe­bung der Ver­fas­sungs­be­schwer­den kei­nen fach­ge­richt­li­chen Rechts­schutz gegen die ange­grif­fe­nen Vor­schrif­ten suchen. Die aus­schließ­lich gegen Geset­ze gerich­te­ten Ver­fas­sungs­be­schwer­den wer­fen im Kern allein spe­zi­fisch ver­fas­sungs­recht­li­che Fra­gen auf, die das Bun­des­ver­fas­sungs­ge­richt zu beant­wor­ten hat, ohne dass von einer vor­aus­ge­gan­ge­nen fach­ge­richt­li­chen Prü­fung sub­stan­ti­ell ver­bes­ser­te Ent­schei­dungs­grund­la­gen zu erwar­ten wären. Die ver­fas­sungs­recht­li­che Beur­tei­lung hängt nicht von der fach­recht­li­chen Aus­le­gung der ein­zel­nen Tat­be­stands­merk­ma­le der ange­grif­fe­nen Befug­nis­se zur Über­mitt­lung und zum Abruf von Bestands­da­ten ab, son­dern maß­geb­lich von deren hin­rei­chen­der gesetz­li­cher Begren­zung und Bestimmt­heit. 

Die Ver­fas­sungs­be­schwer­den gegen § 113 TKG und die fach­recht­li­chen Abruf­re­ge­lun­gen in der Fas­sung vom 20.06.2013 wur­den frist­ge­recht erho­ben. Zwar regel­te § 113 TKG schon in frü­he­ren Fas­sun­gen die manu­el­le Bestands­da­ten­aus­kunft. Die ange­grif­fe­ne Neu­re­ge­lung wur­de aber in wei­ten Tei­len grund­le­gend geän­dert. § 113 TKG ist nun aus­drück­lich nur als Über­mitt­lungs­be­fug­nis aus­ge­stal­tet, die fach­recht­li­che Abruf­re­ge­lun­gen vor­aus­setzt. Ins­be­son­de­re die abruf­be­rech­tig­ten Behör­den wur­den neu gere­gelt und die Ver­wen­dungs­zwe­cke der Bestands­da­ten abwei­chend begrenzt. Erst­mals berech­tigt die Vor­schrift zur Aus­kunft über Bestands­da­ten, die anhand einer dyna­mi­schen IP-Adres­se bestimmt wer­den (§ 113 Abs. 1 Satz 3 TKG).

Auch § 113 Abs. 1 Satz 2 TKG konn­te frist­ge­recht ange­grif­fen wer­den. Zwar hat die Norm gegen­über der Vor­gän­ger­re­ge­lung vom 22.06.2004 [45] – trotz geän­der­ten Wort­lauts und neu­er Rege­lungs­struk­tur – für sich genom­men kei­nen grund­sätz­lich neu­en Gehalt. Die Vor­gän­ger­re­ge­lung wur­de jedoch für ver­fas­sungs­wid­rig erklärt [19]. Wenn der Gesetz­ge­ber nun­mehr eine Rege­lung mit im Wesent­li­chen glei­chem Inhalt wie­der­holt, stellt die­se einen neu­en ver­fas­sungs­recht­li­chen Prü­fungs­ge­gen­stand dar [46]. Die Jah­res­frist des § 93 Abs. 3 BVerfGG begann daher mit Inkraft­tre­ten der ange­grif­fe­nen Rege­lun­gen zum 1.07.2013 neu zu lau­fen [47].

Soweit die Beschwer­de­füh­ren­den zu I. ihre Ver­fas­sungs­be­schwer­de auf die am 25.05.2018 in Kraft getre­te­nen §§ 10, 40 BKAG in der Fas­sung vom 01.06.2017 umge­stellt haben, ist die Jah­res­frist eben­falls gewahrt. Dabei spielt es kei­ne Rol­le, dass die Neu­re­ge­lun­gen weit­ge­hend dem mate­ri­el­len Gehalt der Vor­gän­ger­re­ge­lun­gen ent­spre­chen, da schon die Vor­gän­ger­re­ge­lun­gen frist­ge­recht ange­grif­fen wur­den und die Umstel­lung ihrer­seits inner­halb der Jah­res­frist erfolg­te.

Rechts­schutz­in­ter­es­se trotz zwi­schen­zeit­li­cher Geset­zes­än­de­rung

Durch die gering­fü­gi­ge Ände­rung der § 7 Abs. 7, § 15 Abs. 4 ZFdG zum 1.01.2016 und die Neu­be­zeich­nung des § 2b BNDG als § 4 BNDG zum 31.12.2016 ist das Rechts­schutz­in­ter­es­se für die Ver­fas­sungs­be­schwer­den gegen die Vor­schrif­ten in ihrer Fas­sung vom 20.06.2013 inso­weit nicht ent­fal­len. Ihr Rege­lungs­ge­halt wur­de nicht ver­än­dert und die Ver­fas­sungs­be­schwer­den sind von daher inso­weit nicht gegen­stands­los [48]

Zustän­dig­keit des Bun­des­ver­fas­sungs­ge­richts trotz Bezug zum euro­päi­schen Uni­ons­recht

Die ange­grif­fe­nen Vor­schrif­ten haben teil­wei­se Bezü­ge zu daten­schutz­recht­li­chen Bestim­mun­gen in Richt­li­ni­en und Ver­ord­nun­gen der Euro­päi­schen Uni­on. Gleich­wohl ist die Zustän­dig­keit des Bun­des­ver­fas­sungs­ge­richts für die Prü­fung die­ser Nor­men eröff­net und die Ver­fas­sungs­be­schwer­den sind zuläs­sig, da es sich jeden­falls nicht um die Umset­zung zwin­gen­den Uni­ons­rechts han­delt.

Aller­dings übt das Bun­des­ver­fas­sungs­ge­richt grund­sätz­lich kei­ne Kon­trol­le über uni­ons­recht­li­ches Fach­recht aus und über­prüft die­ses Recht nicht am Maß­stab der Grund­rech­te des Grund­ge­set­zes, solan­ge die Uni­ons­grund­rech­te einen wirk­sa­men Schutz der Grund­rech­te gene­rell bie­ten, der dem vom Grund­ge­setz jeweils als unab­ding­bar gebo­te­nen Grund­rechts­schutz im Wesent­li­chen gleich zu ach­ten ist, zumal den Wesens­ge­halt der Grund­rech­te gene­rell ver­bür­gen; maß­geb­lich ist inso­weit eine auf das jewei­li­ge Grund­recht des Grund­ge­set­zes bezo­ge­ne gene­rel­le Betrach­tung [49]. Die­se Grund­sät­ze gel­ten nach der bis­he­ri­gen Recht­spre­chung des Bun­des­ver­fas­sungs­ge­richts auch für die Über­prü­fung inner­staat­li­cher Rechts­vor­schrif­ten, die zwin­gen­de Vor­ga­ben in deut­sches Recht umset­zen [50]. Ver­fas­sungs­be­schwer­den, die sich gegen in die­sem Sin­ne ver­bind­li­ches Fach­recht der Euro­päi­schen Uni­on rich­ten, sind danach grund­sätz­lich unzu­läs­sig [51].

Danach sind die ange­grif­fe­nen Vor­schrif­ten am Maß­stab des Grund­ge­set­zes über­prüf­bar, denn sie beru­hen nicht auf zwin­gen­den Vor­ga­ben des Uni­ons­rechts. Sie set­zen nicht voll­stän­dig ver­ein­heit­li­chen­des Uni­ons­recht um. Das gilt zunächst, soweit die ange­grif­fe­nen Vor­schrif­ten in den Anwen­dungs­be­reich der Richt­li­nie 2002/​58/​EG des Euro­päi­schen Par­la­ments und des Rates vom 12.07.2002 über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und den Schutz der Pri­vat­sphä­re in der elek­tro­ni­schen Kom­mu­ni­ka­ti­on (Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on [52], im Fol­gen­den: RL 2002/​58/​EG) oder der Richt­li­nie (EU) 2016/​680 des Euro­päi­schen Par­la­ments und des Rates vom 27.04.2016 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die zustän­di­gen Behör­den zum Zwe­cke der Ver­hü­tung, Ermitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­stre­ckung sowie zum frei­en Daten­ver­kehr und zur Auf­he­bung des Rah­men­be­schlus­ses 2008/​977/​JI des Rates [53] fal­len könn­ten. Ziel­set­zung die­ser Uni­ons­rechts­ak­te ist der Schutz per­so­nen­be­zo­ge­ner Daten. Sie ent­hal­ten dage­gen kei­ne Bestim­mun­gen, die die Mit­glied­staa­ten zur Schaf­fung von Rege­lun­gen zum Abruf von Bestands­da­ten ver­pflich­ten oder ihnen sonst hier­zu abschlie­ßen­de Vor­ga­ben machen. Viel­mehr sehen sie mehr oder min­der begrenz­te Öff­nungs­klau­seln vor, die den Mit­glied­staa­ten die Schaf­fung der­ar­ti­ger Rege­lun­gen zwar grund­sätz­lich ermög­li­chen, aber nicht gebie­ten (so etwa in Art. 15 Abs. 1 RL 2002/​58/​EG) [54] oder gehen von vorn­her­ein nicht über die Ver­pflich­tung zur Wah­rung daten­schutz­recht­li­cher Grund­sät­ze hin­aus (so etwa Kapi­tel II RL 2016/​680/​EU). 

Nichts Ande­res gilt auch inso­weit, als die Vor­schrif­ten teil­wei­se in den Anwen­dungs­be­reich der Ver­ord­nung (EU) 2016/​679 des Euro­päi­schen Par­la­ments und des Rates vom 27.04.2016 zum Schutz natür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, zum frei­en Daten­ver­kehr und zur Auf­he­bung der Richt­li­nie 95/​46/​EG (Daten­schutz-Grund­ver­ord­nung [55], im Fol­gen­den: DSGVO) fal­len mögen. Die Daten­schutz­grund­ver­ord­nung erstrebt zwar grund­sätz­lich eine uni­ons­recht­li­che Ver­ein­heit­li­chung des Daten­schut­zes. Dies besagt aber nicht, dass alle Ein­zel­re­ge­lun­gen uni­ons­weit ver­ein­heit­licht sind. So belas­sen für die hier in Fra­ge ste­hen­den Rege­lun­gen ins­be­son­de­re Art. 6 Abs. 2 und 3 DSGVO den Mit­glied­staa­ten erheb­li­che Gestal­tungs­spiel­räu­me [56]

Han­delt es sich also – wie vor­lie­gend – nicht um voll­stän­dig uni­ons­recht­lich deter­mi­nier­tes Recht, son­dern um inner­staat­li­che Nor­men im nicht voll ver­ein­heit­lich­ten Bereich, prüft das Bun­des­ver­fas­sungs­ge­richt die ange­grif­fe­nen Nor­men am Maß­stab der Grund­rech­te des Grund­ge­set­zes. Das gilt im Grund­satz unab­hän­gig davon, ob und wie­weit die ange­grif­fe­nen Vor­schrif­ten nach der Recht­spre­chung des Gerichts­hofs der Euro­päi­schen Uni­on zugleich als Durch­füh­rung des Uni­ons­rechts im Sin­ne des Art. 51 Abs. 1 Satz 1 GRCh ange­se­hen wer­den kön­nen [57] und des­halb dane­ben auch die Uni­ons­grund­rech­te Gel­tung bean­spru­chen kön­nen [58]

Unbe­rührt bleibt hier­von die Fra­ge, ob sich wei­te­re recht­li­che Anfor­de­run­gen unmit­tel­bar aus dem Sekun­där­recht der Euro­päi­schen Uni­on erge­ben, ins­be­son­de­re aus Art. 15 Abs. 1 RL 2002/​58/​EG hin­sicht­lich der Reich­wei­te der den Diens­te­an­bie­tern auf­er­leg­ten Pflich­ten. Die Aus­le­gung und Anwen­dung des Fach­rechts der Euro­päi­schen Uni­on ist nicht Sache des Bun­des­ver­fas­sungs­ge­richts, son­dern obliegt den Fach­ge­rich­ten im Ver­bund mit dem Euro­päi­schen Gerichts­hof [59]

Betrof­fe­ne Grund­rech­te

Die Ver­fas­sungs­be­schwer­den sind über­wie­gend begrün­det. Die ange­grif­fe­nen Vor­schrif­ten genü­gen in wei­ten Tei­len nicht den Anfor­de­run­gen an die Ver­hält­nis­mä­ßig­keit.

Die Rege­lun­gen zur Über­mitt­lung und zum Abruf von Bestands­da­ten grei­fen in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung des Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 GG ein. Soweit sie auch zur Über­mitt­lung und zum Abruf von Bestands­da­ten ermäch­ti­gen, die anhand dyna­mi­scher IP-Adres­sen bestimmt wer­den, liegt ein Ein­griff in das spe­zi­el­le­re Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis des Art. 10 Abs. 1 GG vor.

Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung

§ 113 Abs. 1 Satz 1 und 2 TKG sowie die damit kor­re­spon­die­ren­den fach­recht­li­chen Abruf­re­ge­lun­gen (§ 10 Abs. 1 Satz 1 und 2, § 40 Abs. 1 Satz 1 und 2 BKAG, § 22a Abs. 1 Satz 1 und 2 BPolG, § 7 Abs. 5 Satz 1 und 2, § 15 Abs. 2 Satz 1 und 2 ZFdG, § 8d Abs. 1 Satz 1 und 2 BVerfSchG sowie § 2b Satz 1 BNDG und § 4b Satz 1 MADG, soweit sie Bezug auf § 8d Abs. 1 Satz 1 und 2 BVerfSchG neh­men) grei­fen in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung ein. 

Das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung trägt Gefähr­dun­gen und Ver­let­zun­gen der Per­sön­lich­keit Rech­nung, die sich unter den Bedin­gun­gen moder­ner Daten­ver­ar­bei­tung aus infor­ma­ti­ons­be­zo­ge­nen Maß­nah­men erge­ben [60]. Die freie Ent­fal­tung der Per­sön­lich­keit setzt den Schutz des Ein­zel­nen gegen unbe­grenz­te Erhe­bung, Spei­che­rung, Ver­wen­dung und Wei­ter­ga­be sei­ner per­sön­li­chen Daten vor­aus. Die­ser Schutz ist von dem Grund­recht aus Art. 2 Abs. 1 GG in Ver­bin­dung mit Art. 1 Abs. 1 GG umfasst. Das Grund­recht gewähr­leis­tet inso­weit die Befug­nis des Ein­zel­nen, grund­sätz­lich selbst über die Preis­ga­be und Ver­wen­dung sei­ner per­sön­li­chen Daten zu bestim­men [61]. Die Gewähr­leis­tung greift ins­be­son­de­re, wenn die Ent­fal­tung der Per­sön­lich­keit dadurch gefähr­det wird, dass per­so­nen­be­zo­ge­ne Infor­ma­tio­nen von staat­li­chen Behör­den in einer Art und Wei­se genutzt und ver­knüpft wer­den, die Betrof­fe­ne weder über­schau­en noch beherr­schen kön­nen [62]. Hier­un­ter fal­len auch per­so­nen­be­zo­ge­ne Infor­ma­tio­nen zu den Moda­li­tä­ten der Bereit­stel­lung von Tele­kom­mu­ni­ka­ti­on [63]

Vor­schrif­ten, die zum Umgang mit per­so­nen­be­zo­ge­nen Daten durch staat­li­che Behör­den ermäch­ti­gen, begrün­den in der Regel ver­schie­de­ne, auf­ein­an­der auf­bau­en­de Ein­grif­fe. Es ist zwi­schen der Erhe­bung, Spei­che­rung und Ver­wen­dung von Daten zu unter­schei­den [64]. Bei der Rege­lung eines Daten­aus­tauschs zur staat­li­chen Auf­ga­ben­wahr­neh­mung ist dar­über hin­aus aber auch zwi­schen der Daten­über­mitt­lung sei­tens der aus­kunfter­tei­len­den Stel­le und dem Daten­ab­ruf sei­tens der aus­kunftsu­chen­den Stel­le zu unter­schei­den. Ein Daten­aus­tausch voll­zieht sich durch die ein­an­der kor­re­spon­die­ren­den Ein­grif­fe von Abfra­ge und Über­mitt­lung, die jeweils einer eige­nen Rechts­grund­la­ge bedür­fen. Der Gesetz­ge­ber muss, bild­lich gespro­chen, nicht nur die Tür zur Über­mitt­lung von Daten öff­nen, son­dern auch die Tür zu deren Abfra­ge. Erst bei­de Rechts­grund­la­gen gemein­sam, die wie eine Dop­pel­tür zusam­men­wir­ken müs­sen, berech­ti­gen zu einem Aus­tausch per­so­nen­be­zo­ge­ner Daten [20]

Die ange­grif­fe­nen Vor­schrif­ten grei­fen in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung ein. 

Einen eigen­stän­di­gen Grund­rechts­ein­griff begrün­den zunächst § 113 Abs. 1 Satz 1 und 2 TKG, die die Diens­te­an­bie­ter auf Ver­lan­gen einer abruf­be­rech­tig­ten Behör­de ver­pflich­ten, über die von ihnen nach den §§ 95 und 111 TKG gespei­cher­ten Daten Aus­kunft zu ertei­len [65]. Zwar berech­ti­gen die Rege­lun­gen allein noch nicht zum Daten­aus­tausch. Viel­mehr bedarf es – nach dem Bild einer Dop­pel­tür – für den Abruf der Daten einer wei­te­ren Rechts­grund­la­ge [66]. Doch obgleich § 113 TKG sei­tens der abruf­be­rech­tig­ten Behör­den eige­ne Erhe­bungs­be­fug­nis­se vor­aus­setzt, haben § 113 Abs. 1 Satz 1 und 2 TKG allein als Rechts­grund­la­ge für die Über­mitt­lung bereits Ein­griffs­qua­li­tät [65]. Schon die Bestim­mung der Ver­wen­dungs­zwe­cke und die Befug­nis zur Daten­über­mitt­lung als Teil der Ver­wen­dungs­re­ge­lung begrün­den den Ein­griffs­cha­rak­ter. Dabei ist es uner­heb­lich, dass § 113 TKG eine Über­mitt­lung der Daten sei­tens pri­va­ter Diens­te­an­bie­ter betrifft [67]

Ein hier­von zu unter­schei­den­der, eigen­stän­di­ger Ein­griff liegt in den mit § 113 Abs. 1 Satz 1 und 2 TKG kor­re­spon­die­ren­den Abruf­re­ge­lun­gen des Bun­des, die den in § 113 TKG tat­be­stand­lich vor­aus­ge­setz­ten Abruf der Daten sei­tens der aus­kunfts­be­rech­tig­ten Behör­den regeln [65].

Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis

§ 113 Abs. 1 Satz 3 TKG sowie die damit kor­re­spon­die­ren­den fach­recht­li­chen Abruf­re­ge­lun­gen (§ 10 Abs. 2, § 40 Abs. 2 BKAG, § 22a Abs. 2 BPolG, § 7 Abs. 6, § 15 Abs. 3 ZFdG, § 8d Abs. 2 Satz 1 BVerfSchG sowie § 2b Satz 1 BNDG und § 4b Satz 1 MADG, soweit sie Bezug auf § 8d Abs. 2 Satz 1 BVerfSchG neh­men), die eine Zuord­nung dyna­mi­scher IP-Adres­sen ermög­li­chen, grei­fen in Art. 10 Abs. 1 GG ein. 

Art. 10 Abs. 1 GG gewähr­leis­tet das Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis, das die unkör­per­li­che Über­mitt­lung von Infor­ma­tio­nen an indi­vi­du­el­le Emp­fän­ger mit Hil­fe des Tele­kom­mu­ni­ka­ti­ons­ver­kehrs vor einer Kennt­nis­nah­me durch die öffent­li­che Gewalt schützt. Dabei erfasst Art. 10 Abs. 1 GG nicht nur die Inhal­te der Kom­mu­ni­ka­ti­on. Geschützt ist viel­mehr auch die Ver­trau­lich­keit der nähe­ren Umstän­de des Kom­mu­ni­ka­ti­ons­vor­gangs, zu denen ins­be­son­de­re gehört, ob, wann und wie oft zwi­schen wel­chen Per­so­nen oder Tele­kom­mu­ni­ka­ti­ons­ein­rich­tun­gen Tele­kom­mu­ni­ka­ti­ons­ver­kehr statt­ge­fun­den hat oder ver­sucht wor­den ist [68]. Art. 10 Abs. 1 GG schützt aller­dings allein die Ver­trau­lich­keit kon­kre­ter Tele­kom­mu­ni­ka­ti­ons­vor­gän­ge und nicht die blo­ße Zuord­nung einer Tele­kom­mu­ni­ka­ti­ons­num­mer oder einer sta­ti­schen IP-Adres­se zu einem Anschlus­s­in­ha­ber als sol­che. Außer­halb der lau­fen­den Tele­kom­mu­ni­ka­ti­on ver­or­tet, geben die­se Num­mern ledig­lich abs­trakt dar­über Aus­kunft, wel­cher Bür­ger über wel­che Tele­kom­mu­ni­ka­ti­ons­mit­tel ver­fügt und über sie erreich­bar ist, ohne dass unmit­tel­bar ein Bezug zu einem kon­kre­ten Tele­kom­mu­ni­ka­ti­ons­vor­gang besteht. Dies stellt für sich genom­men die Ver­trau­lich­keit ein­zel­ner Kom­mu­ni­ka­ti­ons­vor­gän­ge nicht in Fra­ge [69].

Anders liegt es dem­ge­gen­über bei der iden­ti­fi­zie­ren­den Zuord­nung dyna­mi­scher IP-Adres­sen. Die­se fällt in den Schutz­be­reich des Art. 10 Abs. 1 GG [70]. Aller­dings ergibt sich dies nicht schon dar­aus, dass sich die Zuord­nung einer dyna­mi­schen IP-Adres­se not­wen­dig immer auf einen bestimm­ten Tele­kom­mu­ni­ka­ti­ons­vor­gang bezieht, über den sie damit mit­tel­bar eben­so Aus­kunft gibt. Denn auch inso­weit betrifft die Aus­kunft selbst nur Daten, die einem Anschlus­s­in­ha­ber abs­trakt zuge­wie­sen sind. Die Betrof­fen­heit des Art. 10 Abs. 1 GG wird hier viel­mehr dadurch begrün­det, dass die Diens­te­an­bie­ter für die Iden­ti­fi­zie­rung einer dyna­mi­schen IP-Adres­se in einem Zwi­schen­schritt die ent­spre­chen­den Ver­bin­dungs­da­ten ihrer Kun­den sich­ten und dafür auf kon­kre­te Tele­kom­mu­ni­ka­ti­ons­vor­gän­ge zugrei­fen müs­sen. Die­se von den Diens­te­an­bie­tern gespei­cher­ten Tele­kom­mu­ni­ka­ti­ons­ver­bin­dun­gen unter­lie­gen dem Schutz des Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis­ses und zwar unab­hän­gig davon, ob sie von den Diens­te­an­bie­tern auf ver­trag­li­cher Grund­la­ge (vgl. § 96 TKG) gespei­chert [71] oder auf­grund gesetz­li­cher Ver­pflich­tung (vgl. §§ 113a, 113b TKG) vor­rä­tig gehal­ten wer­den müs­sen [67]. Die staat­lich auf­er­leg­te Pflicht zu deren Nut­zung ist selbst dann an Art. 10 Abs. 1 GG zu mes­sen, wenn die Ver­bin­dungs­da­ten selbst nicht her­aus­ge­ge­ben wer­den [72]

Das aus Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 GG fol­gen­de Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung kommt neben Art. 10 GG nicht zur Anwen­dung, denn bezo­gen auf die Tele­kom­mu­ni­ka­ti­on ent­hält Art. 10 GG eine spe­zi­el­le Garan­tie, die die all­ge­mei­ne Vor­schrift ver­drängt und aus der sich beson­de­re Anfor­de­run­gen für die Daten erge­ben, die durch Ein­grif­fe in das Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis erlangt wer­den. Inso­weit las­sen sich aller­dings die Maß­ga­ben, die das Bun­des­ver­fas­sungs­ge­richt aus Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 GG ent­wi­ckelt hat, weit­ge­hend auf die spe­zi­el­le­re Garan­tie des Art. 10 GG über­tra­gen [73]

Nach die­sen Maß­stä­ben greift § 113 Abs. 1 Satz 3 TKG in das Grund­recht aus Art. 10 Abs. 1 GG ein, da er die Zuord­nung dyna­mi­scher IP-Adres­sen zu ihren Anschlus­s­in­ha­bern ermög­licht. Gegen­stand der Aus­kunft ist zwar allein der Anschlus­s­in­ha­ber der abge­frag­ten IP-Adres­se und damit ein Bestands­da­tum. Soweit die Diens­te­an­bie­ter hier­über Aus­kunft zu geben haben, müs­sen sie aber zunächst auf die von ihnen gespei­cher­ten Ver­kehrs­da­ten sowie gege­be­nen­falls wei­te­re unter­neh­mens­in­ter­ne Daten­quel­len (vgl. § 113 Abs. 1 Satz 4 TKG), bei denen es sich eben­falls um Ver­bin­dungs­da­ten han­deln kann, zugrei­fen und die­se aus­wer­ten. Soweit § 113 Abs. 1 Satz 3 TKG die Nut­zung von Ver­kehrs­da­ten eröff­net, die auf­grund der Rege­lun­gen zur Vor­rats­da­ten­spei­che­rung gespei­chert wur­den, ist die Vor­schrift über­dies schon des­halb an Art. 10 Abs. 1 GG zu mes­sen, weil sie eine Fol­ge­ver­wen­dung von Daten ermög­licht, die ein­mal in Form eines Ein­griffs in Art. 10 Abs. 1 GG erho­ben wor­den sind [74].

Die ange­grif­fe­nen fach­recht­li­chen Abruf­re­ge­lun­gen begrün­den einen eigen­stän­di­gen Ein­griff in Art. 10 Abs. 1 GG, soweit sie zur Abfra­ge anhand einer dyna­mi­schen IP-Adres­se bestimm­ter Bestands­da­ten durch jeweils aus­kunfts­be­rech­tig­te Behör­den ermäch­ti­gen.

For­mel­le Ver­fas­sungs­ge­mäß­heit

Die ange­grif­fe­nen Vor­schrif­ten sind for­mell ver­fas­sungs­ge­mäß. Ins­be­son­de­re steht dem Bund sowohl für § 113 TKG als auch für die Abruf­re­ge­lun­gen in den jewei­li­gen Fach­ge­set­zen die Gesetz­ge­bungs­kom­pe­tenz zu.

Gesetz­ge­bungs­kom­pe­tenz für § 113 TKG

Der Bund kann die in § 113 TKG ent­hal­te­nen Rege­lun­gen kraft Sach­zu­sam­men­hangs zu sei­ner Kom­pe­tenz für das Tele­kom­mu­ni­ka­ti­ons­recht nach Art. 73 Abs. 1 Nr. 7 GG tref­fen. 

Die Kom­pe­tenz kraft Sach­zu­sam­men­hangs ermög­licht dem Bund die Rege­lung sol­cher daten­schutz­recht­li­cher Bestim­mun­gen, die ver­stän­di­ger­wei­se nur im Zusam­men­hang mit den Bestim­mun­gen zur Errich­tung einer Tele­kom­mu­ni­ka­ti­ons­in­fra­struk­tur und zur Infor­ma­ti­ons­über­mitt­lung mit Hil­fe von Tele­kom­mu­ni­ka­ti­ons­an­la­gen gere­gelt wer­den kön­nen [75]. Dazu gehö­ren neben Bestim­mun­gen zum Schutz der Daten umge­kehrt auch Bestim­mun­gen, die die Gren­zen die­ses Schut­zes bestim­men und fest­le­gen, unter wel­chen Bedin­gun­gen und zu wel­chen Zwe­cken Daten für die Wahr­neh­mung öffent­li­cher Auf­ga­ben zur Ver­fü­gung gestellt wer­den [76]. Hier­nach kann der Bund die Tele­kom­mu­ni­ka­ti­ons­diens­te­an­bie­ter berech­ti­gen und – in Kor­re­spon­denz zu einer fach­recht­lich begrün­de­ten Aus­kunfts­pflicht – auch ver­pflich­ten, für bestimm­te, von ihm im Ein­zel­nen zu regeln­de Zwe­cke sol­che Daten bei Vor­lie­gen eines wirk­sa­men Daten­ab­rufs an bestimm­te Behör­den zu über­mit­teln [77]. Ins­be­son­de­re kann er auch die­je­ni­gen Rege­lun­gen tref­fen, die not­wen­dig sind, damit die Über­mitt­lung von Daten an Straf­ver­fol­gungs- und Gefah­ren­ab­wehr­be­hör­den sowie Nach­rich­ten­diens­te den grund­recht­li­chen Anfor­de­run­gen genü­gen [78]. Dem­ge­gen­über endet die Gesetz­ge­bungs­be­fug­nis dort, wo es um den Abruf sol­cher Infor­ma­tio­nen geht. Die Ermäch­ti­gun­gen zum Daten­ab­ruf selbst bedür­fen eines eige­nen Kom­pe­tenz­ti­tels oder müs­sen den Län­dern über­las­sen blei­ben [79]

§ 113 TKG hält sich inner­halb der so gezo­ge­nen Gren­zen. Die Rege­lung ist dar­auf beschränkt, die Diens­te­an­bie­ter zur Über­mitt­lung von Daten zu berech­ti­gen und die Zwe­cke und Bedin­gun­gen für den staat­li­chen Zugriff auf die Daten zu bestim­men; sie ent­spricht inso­fern struk­tu­rell ihrer Vor­gän­ger­vor­schrift in deren ver­fas­sungs­kon­for­mer Aus­le­gung [80]. Der staat­li­che Zugriff auf die Daten sowie die Inpflicht­nah­me der pri­va­ten Diens­te­an­bie­ter blei­ben – auch soweit dem Bund die fach­recht­li­che Kom­pe­tenz für der­ar­ti­ge Rege­lun­gen zusteht – eige­nen Abruf­re­ge­lun­gen über­las­sen. Die Kom­pe­tenz des Bun­des besteht auch, soweit § 113 Abs. 4 TKG den Diens­te­an­bie­tern auf­er­legt, die Daten unver­züg­lich und voll­stän­dig zu über­mit­teln und über die Aus­kunfts­er­tei­lung Still­schwei­gen zu wah­ren. Der­ar­ti­ge Rege­lun­gen knüp­fen an ander­wei­tig begrün­de­te Über­mitt­lungs­pflich­ten an und prä­zi­sie­ren die Bedin­gun­gen, unter denen Daten zur Wahr­neh­mung öffent­li­cher Auf­ga­ben zur Ver­fü­gung gestellt wer­den.

Gesetz­ge­bungs­kom­pe­tenz für die Abruf­re­ge­lun­gen

Der Bund kann auch die ange­grif­fe­nen Abruf­re­ge­lun­gen auf der Grund­la­ge ihm zuste­hen­der Gesetz­ge­bungs­kom­pe­ten­zen erlas­sen. 

Der Erlass von Bestim­mun­gen, die den Daten­ab­ruf selbst regeln, rich­tet sich nach den all­ge­mei­nen Gesetz­ge­bungs­kom­pe­ten­zen. Die­ser kann nicht auf Art. 73 Abs. 1 Nr. 7 GG gestützt wer­den, denn die Inpflicht­nah­me Pri­va­ter, die die­se zugleich zur Preis­ga­be der Daten ihrer Kun­den zwingt, gehört nicht mehr zur Bestim­mung der Gren­zen des tele­kom­mu­ni­ka­ti­ons­be­zo­ge­nen Daten­schut­zes, son­dern ist untrenn­ba­rer Bestand­teil des Daten­ab­rufs [81]. Abruf­re­ge­lun­gen sind daher auf der Grund­la­ge jeweils der­je­ni­gen Kom­pe­tenz­norm zu schaf­fen, die die Gesetz­ge­bung für die mit der Daten­ver­wen­dung ver­folg­ten Auf­ga­ben regelt [82]. Die all­ge­mei­nen Gesetz­ge­bungs­kom­pe­ten­zen umfas­sen neben der Abru­fer­mäch­ti­gung auch die Wah­rung der wei­te­ren ver­fas­sungs­recht­li­chen Anfor­de­run­gen an die Aus­ge­stal­tung der Daten­ver­wen­dung wie ins­be­son­de­re die Rege­lun­gen zur Benach­rich­ti­gung der Betrof­fe­nen und zur Gewähr­leis­tung eines effek­ti­ven Rechts­schut­zes [83]

Im Bereich der Gefah­ren­ab­wehr (auch soweit die Ver­hü­tung von Straf­ta­ten betrof­fen ist) liegt die Gesetz­ge­bungs­zu­stän­dig­keit weit­hin bei den Län­dern [84]. Jedoch kom­men dem Bund auch in die­sen Berei­chen par­ti­ell aus­schließ­li­che oder kon­kur­rie­ren­de Gesetz­ge­bungs­zu­stän­dig­kei­ten zu. 

Für die hier ange­grif­fe­nen Abruf­re­ge­lun­gen bestehen Gesetz­ge­bungs­zu­stän­dig­kei­ten des Bun­des. 

Abruf­re­ge­lung für die Poli­zei­be­hör­den

Für den Daten­ab­ruf durch das Bun­des­kri­mi­nal­amt im Rah­men sei­ner Auf­ga­ben als Zen­tral­stel­le gemäß § 10 Abs. 1 Satz 1 Nr. 1 BKAG ergibt sich die Gesetz­ge­bungs­kom­pe­tenz des Bun­des aus Art. 73 Abs. 1 Nr. 10 Buch­sta­be a GG. Danach hat der Bund die aus­schließ­li­che Kom­pe­tenz zur Gesetz­ge­bung über die Zusam­men­ar­beit des Bun­des und der Län­der in der Kri­mi­nal­po­li­zei, die inter­na­tio­na­le Ver­bre­chens­be­kämp­fung sowie die Ein­rich­tung eines Bun­des­kri­mi­nal­po­li­zei­am­tes, wel­che ihn zur Errich­tung des Bun­des­kri­mi­nal­amts und gemein­sam mit der Ver­wal­tungs­kom­pe­tenz des Art. 87 Abs. 1 Satz 2 GG zur Über­tra­gung der von § 10 Abs. 1 Satz 1 Nr. 1 BKAG in Bezug genom­me­nen Zen­tral­stel­len­auf­ga­ben ermäch­tigt. Dies schließt die Mög­lich­keit ein, dem Bun­des­kri­mi­nal­amt im Rah­men die­ser Auf­ga­ben Befug­nis­se ein­zu­räu­men [85]

Soweit § 10 Abs. 1 Satz 1 Nr. 2 BKAG die Bestands­da­ten­aus­kunft zum Schutz von Mit­glie­dern der (Bundes-)Verfassungsorgane und der Lei­tung des Bun­des­kri­mi­nal­amts eröff­net, folgt die Gesetz­ge­bungs­kom­pe­tenz des Bun­des aus der Natur der Sache [86]. Die Rege­lung der dem Zeu­gen­schutz die­nen­den Bestands­da­ten­aus­kunft nach § 10 Abs. 1 Satz 1 Nr. 3 BKAG steht dem Bund als Annex kraft Sach­zu­sam­men­hangs zu der in Art. 74 Abs. 1 Nr. 1 Var. 4 GG gere­gel­ten Kom­pe­tenz für das gericht­li­che Ver­fah­ren auf dem Gebiet des Straf­rechts zu [87]

Die Gesetz­ge­bungs­kom­pe­tenz des Bun­des für die durch § 40 BKAG eröff­ne­te Bestands­da­ten­aus­kunft ergibt sich aus Art. 73 Abs. 1 Nr. 9a GG. Die Befug­nis dient mit­tels der Ver­wei­se über § 39 Abs. 1 und 2 BKAG auf § 5 Abs. 1 BKAG der Abwehr der in dem Kom­pe­tenz­ti­tel gere­gel­ten Gefah­ren des inter­na­tio­na­len Ter­ro­ris­mus. 

§ 22a BPolG eröff­net die Bestands­da­ten­aus­kunft über einen Ver­weis auf § 21 Abs. 1 BPolG für das gesam­te Auf­ga­ben­spek­trum der Bun­des­po­li­zei. Für die inner­halb die­ses Spek­trums lie­gen­den Auf­ga­ben ste­hen dem Bund etwa nach Art. 73 Abs. 1 Nr. 5 GG für den Grenz­schutz und nach Art. 73 Abs. 1 Nr. 6a GG für die Bahn­po­li­zei [88] Gesetz­ge­bungs­kom­pe­ten­zen zu. 

§§ 7, 15 ZFdG beru­hen auf der in Art. 73 Abs. 1 Nr. 5 GG nor­mier­ten Gesetz­ge­bungs­kom­pe­tenz des Bun­des für den Zoll- und Grenz­schutz, die auch prä­ven­tiv-poli­zei­li­che Maß­nah­men umfasst [89]

Abruf­re­ge­lung für die Geheim­diens­te

Die Zustän­dig­keit für § 8d BVerfSchG ergibt sich aus Art. 73 Nr. 10 Buch­sta­be b GG. Danach steht dem Bund die aus­schließ­li­che Kom­pe­tenz für die Zusam­men­ar­beit des Bun­des und der Län­der im Bereich des Ver­fas­sungs­schut­zes zu. Die­se umfasst zwar nicht die all­ge­mei­ne Zustän­dig­keit für den Ver­fas­sungs­schutz [90]. Jedoch ermög­licht der Kom­pe­tenz­ti­tel dem Bund, auch in gewis­sem Umfang selbst im Bereich des Ver­fas­sungs­schut­zes tätig zu wer­den und dem Bun­des­amt für Ver­fas­sungs­schutz die für sei­ne Auf­ga­ben erfor­der­li­chen Befug­nis­se ein­zu­räu­men [91]. Hier­zu gehö­ren auch die hier in Fra­ge ste­hen­den Befug­nis­se. 

Soweit § 2b BNDG den Bun­des­nach­rich­ten­dienst zur Abfra­ge von Bestands­da­ten ermäch­tigt, um Erkennt­nis­se über das Aus­land von außen- und sicher­heits­po­li­ti­scher Bedeu­tung zu gewin­nen, kann sich der Bund auf sei­ne Kom­pe­tenz nach Art. 73 Abs. 1 Nr. 1 GG für aus­wär­ti­ge Ange­le­gen­hei­ten stüt­zen. Der Kom­pe­tenz­ti­tel berech­tigt den Bun­des­ge­setz­ge­ber zwar nicht dazu, Befug­nis­se ein­zu­räu­men, die auf die Ver­hü­tung, Ver­hin­de­rung oder Ver­fol­gung von Straf­ta­ten als sol­che gerich­tet sind [92]. Dem Bun­des­nach­rich­ten­dienst kann aber auf die­ser Kom­pe­tenz­grund­la­ge über die Auf­ga­be einer für die poli­ti­sche Hand­lungs­fä­hig­keit bedeut­sa­men Unter­rich­tung der Bun­des­re­gie­rung hin­aus als eige­ne Auf­ga­be auch die Früh­erken­nung von aus dem Aus­land dro­hen­den Gefah­ren anver­traut wer­den, wenn die­se eine hin­rei­chend inter­na­tio­na­le Dimen­si­on auf­wei­sen, es sich mit­hin um Gefah­ren han­delt, die sich ihrer Art und ihrem Gewicht nach auf die Stel­lung der Bun­des­re­pu­blik Deutsch­land in der Staa­ten­ge­mein­schaft aus­wir­ken kön­nen und gera­de in die­sem Sin­ne von außen- und sicher­heits­po­li­ti­scher Bedeu­tung sind [93]

Die kom­pe­tenz­recht­li­che Grund­la­ge für § 4b MADG ergibt sich aus Art. 73 Abs. 1 Nr. 1 GG (Ver­tei­di­gung) [94]

Abruf­re­ge­lun­gen für Zwe­cke der Straf­ver­fol­gung

Soweit die ange­grif­fe­nen Abruf­re­ge­lun­gen auch der Straf­ver­fol­gung (vgl. etwa § 10 Abs. 1 Satz 1 Nr. 1, § 2 Abs. 2 Nr. 1 und Abs. 6 BKAG) oder der Straf­ver­fol­gungs­vor­sor­ge (vgl. etwa § 15 Abs. 2 Satz 1, § 4 Abs. 2 und 3 ZFdG) die­nen, ver­fügt der Bund nach Art. 74 Abs. 1 Nr. 1 Var. 4 GG über die Kom­pe­tenz zur Rege­lung des Straf­ver­fah­rens. Die Kom­pe­tenz­ma­te­rie „gericht­li­ches Ver­fah­ren“ im Sin­ne des Art. 74 Abs. 1 Nr. 1 Var. 4 GG ist weit zu ver­ste­hen. Sie erstreckt sich auf das Straf­ver­fah­rens­recht als das Recht der Auf­klä­rung und Abur­tei­lung von Straf­ta­ten; hier­zu gehö­ren die Ermitt­lung und Ver­fol­gung von Straf­tä­tern ein­schließ­lich der Fahn­dung nach ihnen [95] und damit auch die ange­grif­fe­nen Rege­lun­gen, soweit sie repres­si­ve Tätig­kei­ten der ermäch­tig­ten Behör­den betref­fen. Dane­ben erfasst Art. 74 Abs. 1 Nr. 1 Var. 4 GG auch die Straf­ver­fol­gungs­vor­sor­ge [96]

Zitier­ge­bot

Die ange­grif­fe­nen Rege­lun­gen über die Zuord­nung dyna­mi­scher IP-Adres­sen genü­gen dem für Ein­grif­fe in das Fern­mel­de­ge­heim­nis gel­ten­den Zitier­ge­bot des Art.19 Abs. 1 Satz 2 GG. Art. 9 des Ände­rungs­ge­set­zes vom 20.06.2013 [4] weist auf die Ein­schrän­kung des Art. 10 GG durch Art. 1 bis 8 des Ände­rungs­ge­set­zes aus­drück­lich hin. Der Warn- und Besin­nungs­funk­ti­on des Zitier­ge­bots [97] wird damit genügt. Dass das ein­ge­schränk­te Grund­recht nur in einem Arti­kel des Ände­rungs­ge­set­zes und zudem nicht durch­gän­gig in der jeweils zur Ein­schrän­kung ermäch­ti­gen­den Norm genannt wird, ist ver­fas­sungs­recht­lich hin­nehm­bar, wenn­gleich die kon­kre­te Bezug­nah­me in der Ermäch­ti­gungs­norm der Ratio des Zitier­ge­bo­tes am bes­ten ent­spre­chen dürf­te [98], wie dies in den § 8d Abs. 6 BVerfSchG, § 2b Satz 3 BNDG und § 4b Satz 3 MADG klar­stel­lend [99] erfolgt ist. 

Einer erneu­ten Beach­tung des Zitier­ge­bots bei der Ein­füh­rung der §§ 10, 40 BKAG durch das Gesetz zur Neu­struk­tu­rie­rung des Bun­des­kri­mi­nal­amt­ge­set­zes vom 01.06.2017 bedurf­te es nicht. Die Warn- und Besin­nungs­funk­ti­on betrifft zwar nicht nur die erst­ma­li­ge Grund­rechts­ein­schrän­kung, son­dern wird bei jeder erheb­li­chen Ver­än­de­rung der Ein­griffs­vor­aus­set­zun­gen bedeut­sam, die zu neu­en Grund­rechts­ein­schrän­kun­gen führt. Bei Geset­zen, die ledig­lich bereits gel­ten­de Grund­rechts­ein­schrän­kun­gen unver­än­dert oder – wie hier – mit gerin­gen Abwei­chun­gen wie­der­ho­len, fin­det das Zitier­ge­bot hin­ge­gen kei­ne Anwen­dung [100].

Ver­hält­nis­mä­ßig­keit der Bestands­da­ten­aus­kunft

Die ange­grif­fe­nen Über­mitt­lungs­be­fug­nis­se in § 113 TKG genü­gen in mate­ri­el­ler Hin­sicht nicht den ver­fas­sungs­recht­li­chen Anfor­de­run­gen des Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 GG sowie des Art. 10 Abs. 1 GG

Ein­grif­fe in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung und das Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis bedür­fen wie jede Grund­rechts­be­schrän­kung einer gesetz­li­chen Ermäch­ti­gung, die einen legi­ti­men Gemein­wohl­zweck ver­folgt und im Übri­gen den Grund­satz der Ver­hält­nis­mä­ßig­keit wahrt [101]. Sie müs­sen daher zur Errei­chung des legi­ti­men Zwecks geeig­net, erfor­der­lich und ver­hält­nis­mä­ßig im enge­ren Sin­ne sein [102]. Dabei bedür­fen sie einer gesetz­li­chen Grund­la­ge, wel­che die Daten­ver­wen­dung auf spe­zi­fi­sche Zwe­cke hin­rei­chend begrenzt. Alle ange­grif­fe­nen Befug­nis­se sind zudem am Grund­satz der Nor­men­klar­heit und Bestimmt­heit zu mes­sen, der der Vor­her­seh­bar­keit von Ein­grif­fen für die Bür­ge­rin­nen und Bür­ger, einer wirk­sa­men Begren­zung der Befug­nis­se gegen­über der Ver­wal­tung sowie der Ermög­li­chung einer effek­ti­ven Kon­trol­le durch die Gerich­te dient [103]

Geeig­net­heit und Erfor­der­lich­keit der gesetz­li­chen Rege­lun­gen

Die ange­grif­fe­nen Über­mitt­lungs­re­ge­lun­gen die­nen legi­ti­men Zwe­cken und sind hier­für geeig­net und erfor­der­lich. 

Die Rege­lun­gen ermög­li­chen den Sicher­heits­be­hör­den ins­be­son­de­re, Tele­kom­mu­ni­ka­ti­ons­an­schlüs­se und dyna­mi­sche IP-Adres­sen indi­vi­du­el­len Anschlus­s­in­ha­bern zuzu­ord­nen sowie Zugangs­da­ten von End­ge­rä­ten und Spei­cher­ein­rich­tun­gen zu erfra­gen. Die hier­mit erstreb­te Unter­stüt­zung der staat­li­chen Auf­ga­ben­wahr­neh­mung dient der Effek­ti­vie­rung der Straf­ver­fol­gung und der Gefah­ren­ab­wehr sowie der Erfül­lung der Auf­ga­ben der Nach­rich­ten­diens­te, mit­hin legi­ti­men Zwe­cken, die einen Ein­griff sowohl in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung als auch in das Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis grund­sätz­lich recht­fer­ti­gen kön­nen [104]

Die in § 113 TKG gewähr­ten Über­mitt­lungs­be­fug­nis­se sind zum Errei­chen die­ser Zwe­cke auch geeig­net. Sie schaf­fen Auf­klä­rungs­mög­lich­kei­ten, die sonst nicht bestün­den, und die ange­sichts der zuneh­men­den Bedeu­tung der Tele­kom­mu­ni­ka­ti­on auch für die Vor­be­rei­tung und Bege­hung von Straf­ta­ten in vie­len Fäl­len erfolg­ver­spre­chend sind. Auch wenn das manu­el­le Aus­kunfts­ver­fah­ren nicht sicher­stel­len kann, dass Bestands­da­ten ver­läss­lich mit­ge­teilt wer­den kön­nen, weil (poten­ti­el­le) Straf­tä­ter und sons­ti­ge Ziel­per­so­nen etwa öffent­li­che Hot­spots, Inter­net­ca­fés oder unter Falsch­per­so­na­li­en ange­mel­de­te Anschlüs­se nut­zen oder die ihnen zuge­wie­se­ne IP-Adres­se durch Nut­zung spe­zi­el­ler Pro­gram­me ver­schlei­ern, wird die Zweck­er­rei­chung jeden­falls geför­dert. Die ver­schie­de­nen Befug­nis­se sind hier­für auch erfor­der­lich. Ande­re Mit­tel, die ver­gleich­bar effek­tiv die Infor­ma­ti­ons­mög­lich­kei­ten der Behör­den in weni­ger ein­schnei­den­der Wei­se ermög­lich­ten, sind nicht ersicht­lich. 

Ver­hält­nis­mä­ßig­keit i.e.S.

Mit den Anfor­de­run­gen der Ver­hält­nis­mä­ßig­keit im enge­ren Sin­ne sind die Über­mitt­lungs­re­ge­lun­gen nur ver­ein­bar, wenn sie die Ver­wen­dungs­zwe­cke der ein­zel­nen Befug­nis­se gemes­sen an ihrem Ein­griffs­ge­wicht selbst hin­rei­chend nor­men­klar begren­zen. Die­sen Anfor­de­run­gen genü­gen die ange­grif­fe­nen Befug­nis­se zur all­ge­mei­nen Über­mitt­lung von Bestands­da­ten, zur Über­mitt­lung von Zugangs­da­ten, und zur Über­mitt­lung von anhand einer dyna­mi­schen IP-Adres­se bestimm­ter Bestands­da­ten nicht, wenn­gleich die Rege­lun­gen zur Daten­si­cher­heit kei­nen Beden­ken begeg­nen .

Dem Ver­hält­nis­mä­ßig­keits­ge­bot im enge­ren Sin­ne genü­gen die Über­mitt­lungs­re­ge­lun­gen, wenn der mit ihnen ver­folg­te Zweck und die zu erwar­ten­de Zweck­er­rei­chung nicht außer Ver­hält­nis zu der Schwe­re des Ein­griffs ste­hen [105]. Das Ein­griffs­ge­wicht bestimmt sich maß­geb­lich nach Art, Umfang und denk­ba­rer Ver­wen­dung der Daten sowie der Gefahr ihres Miss­brauchs. Die Ver­wen­dungs­zwe­cke der Daten sind schon durch den Gesetz­ge­ber der Über­mitt­lungs­re­ge­lung für sich genom­men ver­hält­nis­mä­ßig und nor­men­klar zu begren­zen. Im Übri­gen muss die ver­fas­sungs­recht­lich gebo­te­ne Daten­si­cher­heit bei Über­mitt­lung der Daten gewähr­leis­tet sein.

Das Ein­griffs­ge­wicht wird vor allem durch Art, Umfang und denk­ba­re Ver­wen­dung der Daten sowie die Gefahr ihres Miss­brauchs bestimmt [106]. Dabei ist bedeut­sam, wel­che und wie vie­le Grund­rechts­trä­ger wie inten­si­ven Beein­träch­ti­gun­gen aus­ge­setzt sind und unter wel­chen Vor­aus­set­zun­gen dies geschieht, ins­be­son­de­re, ob die­se Per­so­nen hier­für einen Anlass gege­ben haben. Maß­geb­li­che Kri­te­ri­en sind also die Zahl der Betrof­fe­nen und die Inten­si­tät der Beein­träch­ti­gun­gen [107], die sich vor allem nach der Aus­sa­ge­kraft und den Ver­wen­dungs­mög­lich­kei­ten der Daten bestimmt. Auch die Heim­lich­keit einer staat­li­chen Ein­griffs­maß­nah­me führt zur Erhö­hung des Ein­griffs­ge­wichts [108]

Ver­pflich­tet der Gesetz­ge­ber zur Schaf­fung von Daten­be­stän­den oder öff­net er die­se über den pri­mä­ren Zweck hin­aus, wie hier die Daten­be­stän­de pri­va­ter Unter­neh­men für eine Ver­wen­dung zur staat­li­chen Auf­ga­ben­wahr­neh­mung, obliegt es ihm zugleich, die für deren ver­fas­sungs­recht­li­che Recht­fer­ti­gung erfor­der­li­chen Ver­wen­dungs­zwe­cke und Ein­griffs­schwel­len sowie die für die Gewähr­leis­tung der Zweck­bin­dung gege­be­nen­falls erfor­der­li­chen Fol­ge­re­ge­lun­gen ver­bind­lich fest­zu­le­gen (Gebot der Zweck­bin­dung) [109]. Die grund­recht­li­che Recht­fer­ti­gungs­last für eine sol­che Zweck­be­stim­mung oder ‑ände­rung ist dabei schon in der Über­mitt­lungs­re­ge­lung abzu­de­cken, die zur Schaf­fung der Daten­be­stän­de ver­pflich­tet oder sie zur staat­li­chen Auf­ga­ben­wahr­neh­mung öff­net. Schon die­se – obgleich nur ers­te Tür – selbst hat die Ver­wen­dungs­zwe­cke hin­rei­chend zu begren­zen [110], muss also die Daten­ver­wen­dung an bestimm­te Zwe­cke, tat­be­stand­li­che Ein­griffs­schwel­len und einen hin­rei­chend gewich­ti­gen Rechts­gü­ter­schutz bin­den, sodass ins­ge­samt die ver­fas­sungs­recht­li­chen Anfor­de­run­gen gewahrt wer­den. Dabei steht es dem Gesetz­ge­ber der Abruf­re­ge­lung – als zwei­ter Tür – frei, den Abruf der Daten an (noch) höhe­re Anfor­de­run­gen zu bin­den. Unzu­läs­sig ist es dage­gen, unab­hän­gig von sol­chen Zweck­be­stim­mun­gen einen Daten­vor­rat zu schaf­fen, des­sen Nut­zung je nach Bedarf und poli­ti­schem Ermes­sen der spä­te­ren Ent­schei­dung ver­schie­de­ner staat­li­cher Instan­zen über­las­sen bleibt [111].

Dies gilt zunächst für den Fall, dass der Gesetz­ge­ber Daten­be­stän­de öff­net, für die er selbst die Spei­che­rung von Daten anord­net. Die­se Spei­che­rungs­an­ord­nung kann nicht abs­trakt gerecht­fer­tigt wer­den, son­dern nur inso­weit, als sie hin­rei­chend gewich­ti­gen, kon­kret benann­ten Zwe­cken dient [112]. Ist der Ver­wen­dungs­zweck nicht fest­ge­legt, fehlt es an der erfor­der­li­chen Zweck­bin­dung und es ent­steht das Risi­ko einer Nut­zung der Daten für Zwe­cke, für die sie nicht erho­ben wur­den [113]. Die Bereit­stel­lung eines sol­chen sei­ner Zweck­set­zung nach offe­nen Daten­vor­rats wür­de den not­wen­di­gen Zusam­men­hang zwi­schen Spei­che­rung und Spei­che­rungs­zweck auf­he­ben [114]. Auch wäre die Trag­wei­te für die Bür­ge­rin­nen und Bür­ger nicht vor­her­seh­bar. Ver­wen­dungs­re­geln sind inso­fern uner­läss­li­che Vor­aus­set­zung für die Ver­fas­sungs­mä­ßig­keit der Spei­che­rungs­ver­pflich­tung. Dies schließt nicht aus, dass sie – im Rah­men der Kom­pe­tenz­ord­nung – geson­dert gere­gelt wer­den. Die ver­hält­nis­mä­ßi­ge Aus­ge­stal­tung die­ser Ver­wen­dungs­re­geln ent­schei­det damit nicht nur dar­über, ob die­se einen eige­nen Ein­griff begrün­den­den Rege­lun­gen selbst ver­fas­sungs­ge­mäß sind, son­dern wirkt auf die Ver­fas­sungs­mä­ßig­keit schon der Spei­che­rung als sol­cher zurück [115].

Das Glei­che gilt für die Öff­nung pri­va­ter Daten­be­stän­de zur staat­li­chen Auf­ga­ben­wahr­neh­mung. Der Gesetz­ge­ber ist grund­sätz­lich nicht gehin­dert, auch den Zugriff auf Daten zu erlau­ben, die Diens­te­an­bie­ter zur Durch­füh­rung ihrer Ver­trä­ge spei­chern. In einem dyna­mi­schen Sek­tor wie der Tele­kom­mu­ni­ka­ti­on kön­nen auch ande­re als die auf­grund staat­li­cher Anord­nung zu spei­chern­den Daten für die staat­li­che Auf­ga­ben­wahr­neh­mung von Bedeu­tung sein und des­halb zugäng­lich gemacht wer­den [116]. Wer­den aber Daten­be­stän­de zu Zwe­cken geöff­net, die vom Zweck der ursprüng­li­chen Daten­er­he­bung abwei­chen, kommt dem Gebot der Zweck­bin­dung für die Bestim­mung der Anfor­de­run­gen, die an eine auf sol­che Daten zugrei­fen­de Befug­nis­norm zu stel­len sind, her­aus­ge­ho­be­ne Bedeu­tung zu. Sieht der Gesetz­ge­ber eine den ursprüng­li­chen Spei­che­rungs­zweck ändern­de Ver­wen­dung von Daten vor, muss er daher den – neu­en – Ver­wen­dungs­zweck mög­lichst prä­zi­se fest­le­gen [117]

Ermäch­tigt eine gesetz­li­che Rege­lung zu einem Ein­griff in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung oder das Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis, so hat das Gebot der Bestimmt­heit und Klar­heit auch die spe­zi­fi­sche Funk­ti­on, eine hin­rei­chend prä­zi­se Umgren­zung des Ver­wen­dungs­zwecks der betrof­fe­nen Infor­ma­tio­nen sicher­zu­stel­len [118]. Auf die­se Wei­se wird das ver­fas­sungs­recht­li­che Gebot der Zweck­bin­dung der erho­be­nen Infor­ma­ti­on ver­stärkt [119]. Anlass, Zweck und Umfang des jewei­li­gen Ein­griffs sind daher durch den Gesetz­ge­ber bereichs­spe­zi­fisch, prä­zi­se und nor­men­klar fest­zu­le­gen [120]. Im Ein­zel­nen unter­schei­den sich hier­bei die Anfor­de­run­gen maß­geb­lich nach dem Gewicht des Ein­griffs und sind inso­weit mit den jewei­li­gen mate­ri­el­len Anfor­de­run­gen der Ver­hält­nis­mä­ßig­keit eng ver­bun­den [121]

Die der­art qua­li­fi­zier­ten Vor­aus­set­zun­gen für eine Ver­wen­dung der Daten zum Zwe­cke der Straf­ver­fol­gung, der Gefah­ren­ab­wehr oder der Auf­ga­ben­er­fül­lung der Nach­rich­ten­diens­te sind bereits vom Bund als Gesetz­ge­ber der Über­mitt­lungs­re­ge­lung fest­zu­le­gen [122]. Deren Kon­kre­ti­sie­rung darf er nicht spä­te­rer Gesetz­ge­bung – ins­be­son­de­re der Län­der – über­las­sen [123]. Er muss sei­ner Rege­lungs­ver­ant­wor­tung bereits in der Über­mitt­lungs­re­ge­lung voll­stän­dig gerecht wer­den und die­se für sich genom­men ver­hält­nis­mä­ßig aus­ge­stal­ten. Das gilt aus Grün­den der Nor­men­klar­heit nicht nur dann, wenn er Daten­be­stän­de in Mate­ri­en öff­net, in denen die Rege­lung des Abrufs den Län­dern vor­be­hal­ten ist, son­dern auch dann, wenn ihm selbst die Gesetz­ge­bungs­kom­pe­tenz für die Abruf­re­ge­lun­gen zukommt. Dies schließt nicht aus, dass er Über­mitt­lung und Abruf von Daten für die in sei­nem Kom­pe­tenz­be­reich lie­gen­den Mate­ri­en auch in einer Norm zusam­men­fas­sen kann [124]. Eine Begren­zung der Ver­wen­dungs­zwe­cke erst in der Abruf­re­ge­lung kommt aller­dings nur in Betracht, wenn die Daten­öff­nung Mate­ri­en betrifft, die allein im Kom­pe­tenz­be­reich des Bun­des lie­gen, und wenn die getrof­fe­nen Über­mitt­lungs- und Abruf­re­ge­lun­gen – nach Maß­ga­be der Anfor­de­run­gen der Nor­men­klar­heit – eine in ihrem Zusam­men­wir­ken abschlie­ßen­de Zweck­be­stim­mung der Daten­ver­wen­dung tref­fen [125].

Ver­fas­sungs­recht­lich gebo­ten ist schließ­lich die Gewähr­leis­tung der Daten­si­cher­heit. Hier­zu gehö­ren, soweit es die hier ange­grif­fe­nen Über­mitt­lungs­re­ge­lun­gen betrifft, Rege­lun­gen zur Sicher­heit der Über­mitt­lung der Daten. 

Feh­len­de Ein­griffs­schwel­len

Die­sen Anfor­de­run­gen genügt die in § 113 Abs. 1 Satz 1 TKG gere­gel­te Befug­nis zur all­ge­mei­nen Bestands­da­ten­aus­kunft nicht. Ihre Reich­wei­te ist man­gels begren­zen­der Ein­griffs­schwel­len unver­hält­nis­mä­ßig. 

Als Ver­wen­dungs­re­gel für die nach §§ 95 und 111 TKG erho­be­nen Daten berech­tigt § 113 Abs. 1 Satz 1 TKG die Diens­te­an­bie­ter zu deren Über­mitt­lung. Die Rege­lung ist nun­mehr nor­men­klar als blo­ße Öff­nungs­klau­sel aus­ge­stal­tet [21], die die Diens­te­an­bie­ter erst dann zur Daten­über­mitt­lung ver­pflich­tet, wenn ein eigens begrün­de­tes, auf eine fach­recht­li­che Abruf­re­ge­lung gestütz­tes Ver­lan­gen einer in § 113 Abs. 3 TKG genann­ten Stel­le vor­liegt. Vor­aus­ge­setzt wer­den inso­weit gesetz­li­che Rege­lun­gen, die einen Abruf der kon­kret nach §§ 95 und 111 TKG erho­be­nen Daten erlau­ben (vgl. § 113 Abs. 2 Satz 1 TKG). Der Gesetz­ge­ber hat damit hin­rei­chend klar­ge­stellt, dass es zur Daten­ab­fra­ge einer ent­spre­chend qua­li­fi­zier­ten Rechts­grund­la­ge bedarf [26], die über eine schlich­te Daten­er­he­bungs­be­fug­nis hin­aus­geht und die dafür in Fra­ge kom­men­den Behör­den in § 113 Abs. 3 TKG auch ein­deu­tig und abschlie­ßend bestimmt [126]

Die in § 113 Abs. 1 Satz 1 TKG eröff­ne­te all­ge­mei­ne Bestands­da­ten­aus­kunft begrün­det einen Ein­griff in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung von gewis­sem, wenn auch nicht sehr gro­ßem Gewicht.

Ein nicht uner­heb­li­ches Ein­griffs­ge­wicht erhält die Rege­lung aller­dings dadurch, dass für die Aus­kunft auf die nach § 111 TKG annä­hernd flä­chen­de­ckend vor­rä­tig gehal­te­nen Daten zuge­grif­fen und damit prak­tisch jede Tele­kom­mu­ni­ka­ti­ons­num­mer und jeder Anschlus­s­in­ha­ber ermit­telt und beaus­kunf­tet wer­den kann. Gegen­stand der Aus­kunft kön­nen auch indi­vi­dua­li­sie­ren­de Anga­ben wie zum Bei­spiel das Geburts­da­tum oder die Anschrift [127] sowie die nach § 95 TKG erho­be­nen Daten sein, zu denen je nach Ver­trags­ge­stal­tung zum Bei­spiel auch die Bank­ver­bin­dung, der Beruf oder die Namen von Ange­hö­ri­gen oder Part­nern eines Anschlus­s­in­ha­bers gehö­ren kön­nen [116]. Das Ein­griffs­ge­wicht wird zudem durch die Heim­lich­keit der Aus­kunfts­er­tei­lung erhöht. 

Gleich­wohl ist der durch § 113 Abs. 1 Satz 1 TKG begrün­de­te Ein­griff nicht von sehr gro­ßem Gewicht [128]. Die Aus­kunft beschränkt sich auf inhalt­lich eng begrenz­te Daten, die weder höchst­per­sön­li­che Infor­ma­tio­nen erfas­sen noch die Erstel­lung von Per­sön­lich­keits- oder Bewe­gungs­pro­fi­len ermög­li­chen [129]. Auch wenn sich im Rah­men kon­kre­ter Erhe­bungs­zu­sam­men­hän­ge dar­aus sen­si­ble Infor­ma­tio­nen erge­ben kön­nen, bleibt der Infor­ma­ti­ons­ge­halt der Aus­künf­te als sol­cher doch begrenzt und hängt im Übri­gen von wei­te­ren Ermitt­lun­gen ab, deren Recht­mä­ßig­keit nach ande­ren Vor­schrif­ten zu beur­tei­len ist [130]. Umstän­de und Inhal­te der Tele­kom­mu­ni­ka­ti­on wer­den nicht mit­ge­teilt; soweit Anschlus­s­in­ha­ber abge­fragt wer­den, sind die Umstän­de oder Inhal­te den Behör­den bereits bekannt. Ein­griffs­min­dernd wirkt zudem, dass jeden­falls die nach § 95 TKG erho­be­nen Daten nicht ver­pflich­tend gespei­chert wer­den müs­sen und der Umfang mög­li­cher Aus­künf­te davon abhängt, ob und inwie­weit der jewei­li­ge Diens­te­an­bie­ter über­haupt einen über § 111 TKG hin­aus­ge­hen­den Daten­be­stand ange­legt hat. Aller­dings wird die Preis­ga­be die­ser Daten zur Erlan­gung wesent­li­cher Tele­kom­mu­ni­ka­ti­ons­diens­te prak­tisch regel­mä­ßig unver­meid­bar sein. 

Das Ein­griffs­ge­wicht wird der­zeit auch nicht durch die indi­vi­dua­li­sie­ren­de Zuord­nung einer sta­ti­schen IP-Adres­se erhöht, sofern die­se – anders als dyna­mi­sche IP-Adres­sen – je nach Aus­le­gung des Begriffs der „Anschluss­ken­nung“ in § 111 Abs. 1 Nr. 1 TKG mög­li­cher­wei­se ver­pflich­tend [131] oder aber nach § 95 TKG frei­wil­lig gespei­chert wer­den. Zwar ermög­licht die Zuord­nung einer IP-Adres­se zu einem Anschlus­s­in­ha­ber die Erschlie­ßung von nach Umfang und Inhalt wesent­lich weit­rei­chen­de­ren Infor­ma­tio­nen als die Iden­ti­fi­zie­rung einer Tele­fon­num­mer, da die Aus­kunft über den Anschlus­s­in­ha­ber einer IP-Adres­se zugleich die Infor­ma­ti­on über den Inhalt des Kon­takts ent­hält, der elek­tro­nisch fixiert ist und auch län­ger wie­der abruf­bar sein kann [132]. Auch kann gege­be­nen­falls umge­kehrt die sta­ti­sche IP-Adres­se eines nament­lich bekann­ten Anschlus­s­in­ha­bers abge­fragt wer­den. Nach Anga­ben der Bun­des­re­gie­rung wer­den aber nach der­zei­ti­gem Stand der Tech­nik und Pra­xis pri­va­ten Nut­ze­rin­nen und Nut­zern als Ein­zel­kun­den in der Regel kei­ne sta­ti­schen IP-Adres­sen zuge­wie­sen. Viel­mehr erfolgt die Zuwei­sung von IP-Adres­sen auch wäh­rend der lau­fen­den Ein­füh­rung des Inter­net­pro­to­kolls Ver­si­on 6, das über einen im Ver­gleich zur Vor­gän­ger­ver­si­on deut­lich grö­ße­ren Adress­raum ver­fügt und des­halb die Zuwei­sung fes­ter IP-Adres­sen an alle Nut­ze­rin­nen und Nut­zer grund­sätz­lich zulie­ße, wei­ter­hin ganz über­wie­gend dyna­misch. Die Zuwei­sung von sta­ti­schen IP-Adres­sen, deren Zuord­nung zur­zeit ohne­hin über außer­eu­ro­päi­sche Platt­for­men öffent­lich zugäng­lich ist, beschränkt sich nach wie vor im Wesent­li­chen auf Insti­tu­tio­nen und Groß­nut­zer [133].

Das Ein­griffs­ge­wicht wird dage­gen dadurch begrenzt, dass Aus­künf­te nur dann erteilt wer­den dür­fen, wenn eine in § 113 Abs. 3 TKG genann­te Stel­le dies in Text­form im Ein­zel­fall zu ihrer Auf­ga­ben­wahr­neh­mung ver­langt (vgl. § 113 Abs. 2 Satz 1 TKG). Die Über­mitt­lungs­re­ge­lung ermäch­tigt damit aus­drück­lich nur zu einer auf­ga­ben­be­zo­ge­nen Aus­kunft im Ein­zel­fall. Ent­ge­gen der Ansicht der Beschwer­de­füh­ren­den bleibt der Ein­zel­fall­be­zug auch erhal­ten, wenn geschäfts­mä­ßi­ge Diens­te­an­bie­ter mit mehr als 100.000 Kun­den gemäß § 113 Abs. 5 Satz 2 TKG für die Ent­ge­gen­nah­me eines Aus­kunfts­er­su­chens sowie für die Ertei­lung der zuge­hö­ri­gen Aus­künf­te eine gesi­cher­te elek­tro­ni­sche Schnitt­stel­le bereit­hal­ten. In § 113 Abs. 5 TKG wird allein das erfor­der­li­che tech­ni­sche Umfeld für die Ent­ge­gen­nah­me des Aus­kunfts­ver­lan­gens und die Ertei­lung der Aus­kunft gere­gelt. Die inhalt­li­chen und for­ma­len Vor­aus­set­zun­gen für eine Aus­kunfts­er­tei­lung wer­den durch die Ver­pflich­tung, eine gesi­cher­te elek­tro­ni­sche Schnitt­stel­le bereit­zu­hal­ten, nicht modi­fi­ziert. Auch bei Nut­zung der Schnitt­stel­le muss das Aus­kunfts­ver­lan­gen gegen­über den Diens­te­an­bie­tern viel­mehr ein­zel­fall­be­zo­gen geäu­ßert wer­den. Dies ver­deut­licht § 113 Abs. 5 Satz 3 TKG, wonach auch bei Ent­ge­gen­nah­me eines Aus­kunfts­ver­lan­gens über eine elek­tro­ni­sche Schnitt­stel­le dafür Sor­ge zu tra­gen ist, dass jedes Ver­lan­gen durch eine ver­ant­wort­li­che Fach­kraft auf Ein­hal­tung der in § 113 Abs. 2 TKG genann­ten for­ma­len Vor­aus­set­zun­gen geprüft und die wei­te­re Bear­bei­tung des Ver­lan­gens erst nach einem posi­ti­ven Prüf­ergeb­nis frei­ge­ge­ben wird. Damit soll sicher­ge­stellt wer­den, dass gera­de kei­ne auto­ma­ti­sier­te Daten­ab­fra­ge statt­fin­det, son­dern jede Anfra­ge auch pro­vi­der­sei­tig geprüft wird; eine auto­ma­ti­sier­te Prü­fung ist dem­entspre­chend nicht zuläs­sig [26]. Die Ermög­li­chung oder Erleich­te­rung von Mas­sen­ab­fra­gen ist in der Norm auch nicht ange­legt. Die Ein­rich­tung einer gesi­cher­ten elek­tro­ni­schen Schnitt­stel­le dient viel­mehr vor­ran­gig dazu, die Daten­si­cher­heit zu erhö­hen [26].

Das manu­el­le Aus­kunfts­ver­fah­ren bringt für die abfra­gen­de Behör­de zudem einen gewis­sen Ver­fah­rens­auf­wand mit sich, der dazu bei­tra­gen dürf­te, dass die Behör­de die Aus­kunft nur bei hin­rei­chen­dem Bedarf ein­holt oder den benö­tig­ten Aus­künf­ten eine gewis­se Bedeu­tung zukommt [134]. Die­ser wird – wie aus­ge­führt – auch bei Nut­zung einer elek­tro­ni­schen Schnitt­stell­te nicht ver­rin­gert.

Feh­len­de Ein­griffs­schwel­len für die Über­mitt­lungs­be­fug­nis­se

Trotz ihres gemä­ßig­ten Ein­griffs­ge­wichts erweist sich die Über­mitt­lungs­be­fug­nis auf­grund ihrer Reich­wei­te, die durch kei­ne Ein­griffs­schwel­len begrenzt ist, als unver­hält­nis­mä­ßig. 

Auch unter Berück­sich­ti­gung des nicht sehr gro­ßen Ein­griffs­ge­wichts der in § 113 Abs. 1 Satz 1 TKG gere­gel­ten Über­mitt­lungs­be­fug­nis und ihrer Bedeu­tung für die staat­li­che Auf­ga­ben­wahr­neh­mung im Bereich der Gefah­ren­ab­wehr, der Straf­ver­fol­gung und der Nach­rich­ten­diens­te bedarf es begren­zen­der, spe­zi­fi­scher Ein­griffs­schwel­len. Auch Aus­künf­te über Daten, deren Aus­sa­ge­kraft und Ver­wen­dungs­mög­lich­kei­ten eng begrenzt sind, dür­fen nicht ins Blaue hin­ein zuge­las­sen wer­den [135]. Dafür genügt es nicht, dass die Aus­künf­te – wie hier – nur ein­zel­fall­be­zo­gen und zweck­ge­bun­den erteilt wer­den dür­fen. Viel­mehr bedarf es begren­zen­der Ein­griffs­schwel­len, die sicher­stel­len, dass Aus­künf­te nur bei einem auf tat­säch­li­che Anhalts­punk­te gestütz­ten Ein­griffs­an­lass ein­ge­holt wer­den kön­nen. Unzu­läs­sig ist die Schaf­fung eines offe­nen Daten­vor­rats für viel­fäl­ti­ge und ohne äuße­ren Ein­griffs­an­lass begrenz­te Ver­wen­dun­gen im gesam­ten einer Behör­de zuge­wie­se­nen Auf­ga­ben­be­reich [136]

Erfor­der­lich ist dem­nach bezo­gen auf die Gefah­ren­ab­wehr grund­sätz­lich eine im Ein­zel­fall vor­lie­gen­de kon­kre­te Gefahr im Sin­ne der poli­zei­recht­li­chen Gene­ral­klau­seln. Die­se Schwel­le umfasst auch den Gefah­ren­ver­dacht. Eben­so beschränkt sie Aus­künf­te nicht von vorn­her­ein auf Poli­zei­pflich­ti­ge im Sin­ne des all­ge­mei­nen Poli­zei- und Ord­nungs­rechts. Sie ist damit jedoch nicht so ent­grenzt, dass sie ange­sichts des gemä­ßig­ten Ein­griffs­ge­wichts unver­hält­nis­mä­ßig wäre. Ins­be­son­de­re wer­den damit Aus­künf­te nicht als all­ge­mei­nes Mit­tel der Ver­wal­tung ermög­licht, son­dern set­zen im Ein­zel­fall einen sicher­heits­recht­lich gepräg­ten Cha­rak­ter der betref­fen­den Auf­ga­be vor­aus [137]. Bezo­gen auf die Straf­ver­fol­gung genügt das Vor­lie­gen eines Anfangs­ver­dachts [137]. Das grund­sätz­li­che Erfor­der­nis einer auf Anhalts­punk­te im Tat­säch­li­chen gestütz­ten kon­kre­ten Gefahr gilt für die Nach­rich­ten­diens­te eben­so wie für alle zur Abwehr von Gefah­ren für die öffent­li­che Sicher­heit und Ord­nung zustän­di­gen Behör­den [138]. Sind der­art qua­li­fi­zier­te Ein­griffs­schwel­len vor­ge­se­hen, bedarf es im Hin­blick auf das gemä­ßig­te Ein­griffs­ge­wicht der all­ge­mei­nen Bestands­da­ten­aus­kunft und ihrer gro­ßen Bedeu­tung für eine effek­ti­ve Auf­ga­ben­wahr­neh­mung kei­nes spe­zi­fisch erhöh­ten Rechts­gü­ter­schut­zes, um die Ver­hält­nis­mä­ßig­keit der Daten­über­mitt­lung sicher­zu­stel­len. 

Der Gesetz­ge­ber ist von Ver­fas­sungs wegen aber nicht von vorn­her­ein für jede Art der Auf­ga­ben­wahr­neh­mung auf die Schaf­fung von Ein­griff­s­tat­be­stän­den beschränkt, die dem tra­dier­ten sicher­heits­recht­li­chen Modell der Abwehr kon­kre­ter, unmit­tel­bar bevor­ste­hen­der oder gegen­wär­ti­ger Gefah­ren ent­spre­chen. Viel­mehr kann er die Gren­zen unter beson­de­ren Vor­aus­set­zun­gen auch wei­ter zie­hen, indem er die Anfor­de­run­gen an die Vor­her­seh­bar­keit des Kau­sal­ver­laufs redu­ziert [139]. Aller­dings muss stets gewähr­leis­tet blei­ben, dass Annah­men und Schluss­fol­ge­run­gen einen kon­kret umris­se­nen Aus­gangs­punkt im Tat­säch­li­chen haben [140]. Je gewich­ti­ger das gefähr­de­te Rechts­gut ist und je wei­ter­rei­chend es durch die jewei­li­gen Hand­lun­gen beein­träch­tigt wür­de, des­to gerin­ge­re Anfor­de­run­gen dür­fen an den Grad der Wahr­schein­lich­keit gestellt wer­den, mit der auf eine dro­hen­de Ver­let­zung geschlos­sen wer­den kann, und des­to weni­ger fun­diert dür­fen gege­be­nen­falls die Tat­sa­chen sein, die auf die Gefähr­dung des Rechts­guts schlie­ßen las­sen [141]. Umge­kehrt stei­gen bei einem gerin­gen Gewicht des gefähr­de­ten Rechts­guts die Anfor­de­run­gen an die Pro­gno­se­si­cher­heit sowohl hin­sicht­lich des Grads der Gefähr­dung als auch hin­sicht­lich ihrer Inten­si­tät [142]

Ein­griffs­grund­la­gen müs­sen daher regel­mä­ßig zumin­dest eine hin­rei­chend kon­kre­ti­sier­te Gefahr ver­lan­gen. Eine sol­che kann schon dann bestehen, wenn sich der zum Scha­den füh­ren­de Kau­sal­ver­lauf noch nicht mit hin­rei­chen­der Wahr­schein­lich­keit vor­her­se­hen lässt, sofern bereits bestimm­te Tat­sa­chen auf eine im Ein­zel­fall dro­hen­de Gefahr hin­wei­sen. Die Tat­sa­chen müs­sen dafür zum einen den Schluss auf ein wenigs­tens sei­ner Art nach kon­kre­ti­sier­tes und zeit­lich abseh­ba­res Gesche­hen zulas­sen, zum ande­ren dar­auf, dass bestimm­te Per­so­nen betei­ligt sein wer­den, über deren Iden­ti­tät zumin­dest so viel bekannt ist, dass die Über­wa­chungs­maß­nah­me gezielt gegen sie ein­ge­setzt und weit­ge­hend auf sie beschränkt wer­den kann [143]. Eine sol­che Absen­kung der Ein­griffs­schwel­len ist aus Grün­den der Ver­hält­nis­mä­ßig­keit aber untrenn­bar ver­bun­den mit erhöh­ten Anfor­de­run­gen an die kon­kret geschütz­ten Rechts­gü­ter [139].

Zum Schutz her­aus­ge­ho­be­ner Rechts­gü­ter, wie etwa zur Ver­hü­tung ter­ro­ris­ti­scher Straf­ta­ten, kön­nen die Anfor­de­run­gen an die Vor­her­seh­bar­keit des Gesche­hens­ab­laufs in die­ser Wei­se auch dann wei­ter abge­senkt und Ein­grif­fe erlaubt wer­den, wenn zwar noch kein sei­ner Art nach kon­kre­ti­sier­tes und zeit­lich abseh­ba­res Gesche­hen erkenn­bar ist, jedoch zumin­dest das indi­vi­du­el­le Ver­hal­ten einer Per­son die kon­kre­te Wahr­schein­lich­keit begrün­det, dass sie sol­che Straf­ta­ten in über­schau­ba­rer Zukunft bege­hen wird [144]. Zu berück­sich­ti­gen ist stets auch das Ein­griffs­ge­wicht der kon­kre­ten Maß­nah­me. Wäh­rend der Absen­kung von Ein­griffs­schwel­len bei tief in die Pri­vat­sphä­re ein­grei­fen­den Maß­nah­men deut­li­che Gren­zen gesetzt sind, bestehen bei weni­ger gewich­ti­gen Ein­grif­fen auch wei­ter­rei­chen­de Gestal­tungs­mög­lich­kei­ten [145].

Weni­ger gewich­ti­ge Ein­grif­fe – wie sie die all­ge­mei­ne Bestands­da­ten­aus­kunft begrün­det – kön­nen daher beim Vor­lie­gen einer kon­kre­ti­sier­ten Gefahr bereits dann zu recht­fer­ti­gen sein, wenn sie dem Schutz von Rechts­gü­tern von zumin­dest erheb­li­chem Gewicht die­nen [146], wie dies etwa bei der Ver­hü­tung von Straf­ta­ten von zumin­dest erheb­li­cher Bedeu­tung [147] der Fall ist. Hoch­ran­gi­ge, über­ra­gend wich­ti­ge oder auch beson­ders gewich­ti­ge Rechts­gü­ter [148] sind dem­ge­gen­über nur dann erfor­der­lich, wenn die Ein­griffs­schwel­le noch wei­ter hin­ter einer kon­kre­ti­sier­ten Gefahr zurück­blei­ben soll­te oder es sich etwa um tief in die Pri­vat­sphä­re ein­grei­fen­de Befug­nis­se han­del­te.

Die­se ver­fas­sungs­recht­li­chen Anfor­de­run­gen gel­ten grund­sätz­lich für alle Ein­griffs­er­mäch­ti­gun­gen mit prä­ven­ti­ver Ziel­rich­tung. Sie gel­ten damit auch für die Ver­wen­dung der Daten durch Nach­rich­ten­diens­te [149]. Auch für ihre Tätig­kei­ten genü­gen damit Ein­griffs­grund­la­gen, die eine hin­rei­chend kon­kre­ti­sier­te Gefahr ver­lan­gen, den ver­fas­sungs­recht­li­chen Anfor­de­run­gen. Zwar sind auch inso­weit stets tat­säch­li­che Anhalts­punk­te erfor­der­lich [150]. Bei – wie vor­lie­gend – nicht tief in die Pri­vat­sphä­re ein­grei­fen­den und ins­ge­samt weni­ger gewich­ti­gen Ein­grif­fen kann es jedoch genü­gen, dass eine Aus­kunft zur Auf­klä­rung einer bestimm­ten, nach­rich­ten­dienst­lich beob­ach­tungs­be­dürf­ti­gen Akti­on oder Grup­pie­rung im Ein­zel­fall gebo­ten ist [151], denn damit wird ein wenigs­tens der Art nach kon­kre­ti­sier­tes und abseh­ba­res Gesche­hen vor­aus­ge­setzt. Im Hin­blick dar­auf, dass der Auf­ga­ben­be­reich der Nach­rich­ten­diens­te von vorn­her­ein dadurch gekenn­zeich­net ist, dass er dem Schutz beson­ders gewich­ti­ger Rechts­gü­ter dient [152], bedarf es kei­ner wei­ter­ge­hen­den Anfor­de­run­gen an den Rechts­gü­ter­schutz. 

Dem­ge­gen­über kann im Bereich der Straf­ver­fol­gung eine in tat­säch­li­cher Hin­sicht unter­halb des Anfangs­ver­dachts lie­gen­de Ein­griffs­schwel­le zur Vor­nah­me von grund­rechts­re­le­van­ten Ein­grif­fen nicht genü­gen. Zwar kön­nen für Maß­nah­men mit prä­ven­ti­ver Ziel­set­zung die Gren­zen für bestimm­te Berei­che auch wei­ter gezo­gen wer­den, indem die Anfor­de­run­gen an die Vor­her­seh­bar­keit des Kau­sal­ver­laufs redu­ziert wer­den. Vor­aus­set­zung ist aber stets eine tat­sa­chen­be­zo­ge­ne Grund­la­ge. Auch die im Gefah­ren­ab­wehr­recht aner­kann­ten Ein­griffs­schwel­len der „kon­kre­ti­sier­ten Gefahr“ und der „dro­hen­den Gefahr“, die in zeit­li­cher Hin­sicht ins Vor­feld ver­la­gert sind, set­zen tat­säch­li­che Anhalts­punk­te für die Ent­ste­hung einer kon­kre­ten Gefahr vor­aus [139]. Nichts Ande­res gilt für Maß­nah­men der Straf­ver­fol­gung. Auch im Vor­feld­be­reich kom­men sie nur bei Vor­lie­gen tat­säch­li­cher Anhalts­punk­te in Betracht [153]. Vage Anhalts­punk­te oder Ver­mu­tun­gen rei­chen dem­ge­gen­über nicht aus [154]

Danach reicht eine in tat­säch­li­cher Hin­sicht unter­halb des Anfangs­ver­dachts ange­sie­del­te Ein­griffs­schwel­le im Bereich der Straf­ver­fol­gung nicht aus. Die Annah­me eines Anfangs­ver­dachts setzt ledig­lich das Vor­lie­gen zurei­chen­der tat­säch­li­cher Anhalts­punk­te für eine Straf­tat vor­aus [155]. Sol­che tat­säch­li­chen Anhalts­punk­te lie­gen hin­sicht­lich ihrer Aus­sa­ge­kraft noch unter den für man­che Ermitt­lungs­maß­nah­men gefor­der­ten „bestimm­ten Tat­sa­chen“, wes­halb der Anfangs­ver­dacht bereits die Ver­dachts­stu­fe mit den gerings­ten in der Straf­pro­zess­ord­nung vor­ge­se­he­nen tat­säch­li­chen Vor­aus­set­zun­gen ist [156]. Wür­den die Vor­aus­set­zun­gen noch wei­ter zurück­ge­nom­men, wären nur noch vage Anhalts­punk­te gefor­dert. 

Die­sen ver­fas­sungs­recht­li­chen Anfor­de­run­gen genügt § 113 Abs. 1 Satz 1 TKG nicht. Die Über­mitt­lungs­re­ge­lung öff­net das manu­el­le Aus­kunfts­ver­fah­ren sehr weit, indem sie Aus­künf­te all­ge­mein zum Zweck der Gefah­ren­ab­wehr, zur Ver­fol­gung von Straf­ta­ten oder Ord­nungs­wid­rig­kei­ten sowie zur Erfül­lung nach­rich­ten­dienst­li­cher Auf­ga­ben erlaubt (§ 113 Abs. 2 Satz 1 TKG) und dabei kei­ne ihre Reich­wei­te näher begren­zen­den Ein­griffs­schwel­len [135] ent­hält. Die Rege­lung ermög­licht die Ertei­lung einer Aus­kunft im Ein­zel­fall viel­mehr bereits dann, wenn dies zur Wahr­neh­mung der Auf­ga­ben erfolgt. 

Trotz des für sich gese­hen begrenz­ten Infor­ma­ti­ons­ge­halts der betref­fen­den Daten, ihrer engen Ver­wen­dungs­mög­lich­kei­ten sowie ihrer gro­ßen Bedeu­tung für eine effek­ti­ve Auf­ga­ben­wahr­neh­mung der abfra­ge­be­rech­tig­ten Behör­den sind die Ver­wen­dungs­zwe­cke nicht hin­rei­chend begrenzt. Zwar han­delt es sich bei den gesetz­lich bestimm­ten Ver­wen­dungs­zwe­cken um zen­tra­le Auf­ga­ben der Gewähr­leis­tung von Sicher­heit. In Anbe­tracht der zuneh­men­den Bedeu­tung der elek­tro­ni­schen Kom­mu­ni­ka­ti­ons­mit­tel und des heu­ti­gen Kom­mu­ni­ka­ti­ons­ver­hal­tens der Men­schen in allen Lebens­be­rei­chen sind die Behör­den dar­auf ange­wie­sen, ins­be­son­de­re auch Tele­kom­mu­ni­ka­ti­ons­num­mern indi­vi­du­ell zuord­nen zu kön­nen. Doch auch unter Berück­sich­ti­gung ihres nur gemä­ßig­ten Ein­griffs­ge­wichts ist die hier ange­grif­fe­ne Rege­lung zu weit gefasst, da Aus­künf­te bereits dann erteilt wer­den kön­nen, wenn sie in irgend­ei­nem Zusam­men­hang zu der staat­li­chen Auf­ga­ben­wahr­neh­mung ste­hen und einen Ein­zel­fall­be­zug erken­nen las­sen, ohne dass ein auf tat­säch­li­che Anhalts­punk­te gestütz­ter Ein­griffs­an­lass vor­aus­ge­setzt wird. Eröff­net sind damit viel­fäl­ti­ge und in jeder Hin­sicht unbe­grenz­te Ver­wen­dun­gen.

Die erfor­der­li­chen Ein­griffs­schwel­len kön­nen § 113 TKG auch nicht – wie noch der Vor­gän­ger­re­ge­lung – im Wege der Aus­le­gung ent­nom­men wer­den.

Zwar ent­hielt der im Wesent­li­chen gleich­lau­ten­de § 113 TKG a.F. eben­falls kei­ne begren­zen­den Ein­griffs­schwel­len. Die­se konn­ten jedoch durch das Bun­des­ver­fas­sungs­ge­richt im Wege der Aus­le­gung ermit­telt wer­den. Dabei stütz­te es sich maß­geb­lich auf die begren­zen­de Wir­kung der tat­be­stand­li­chen Vor­aus­set­zun­gen, nach denen Aus­künf­te nur im Ein­zel­fall ange­for­dert wer­den durf­ten und zur Auf­ga­ben­wahr­neh­mung erfor­der­lich sein muss­ten. Davon aus­ge­hend leg­te das Bun­des­ver­fas­sungs­ge­richt die Rege­lung bezo­gen auf die Gefah­ren­ab­wehr dahin aus, dass eine Aus­kunft eine „kon­kre­te Gefahr“ vor­aus­set­ze und dass im Auf­ga­ben­be­reich der Nach­rich­ten­diens­te die Aus­kunft zumin­dest zur Auf­klä­rung einer bestimm­ten, nach­rich­ten­dienst­lich beob­ach­tungs­be­dürf­ti­gen Akti­on oder Grup­pie­rung im Ein­zel­fall gebo­ten sein müs­se. Auch soweit sich Aus­künf­te auf die Ver­fol­gung von Straf­ta­ten und Ord­nungs­wid­rig­kei­ten bezo­gen, lei­te­te es aus dem Erfor­der­nis der Erfor­der­lich­keit im Ein­zel­fall ab, dass zumin­dest ein Anfangs­ver­dacht vor­lie­gen müs­se [157].

Die hier ange­grif­fe­ne Über­mitt­lungs­re­ge­lung kann nicht erneut in die­sem Sin­ne ver­stän­dig aus­ge­legt wer­den. Dem ste­hen sowohl ihr Wort­laut als auch der klar erkenn­ba­re gesetz­ge­be­ri­sche Wil­le ent­ge­gen. Anders als die Vor­gän­ger­re­ge­lung setzt § 113 Abs. 2 Satz 1 TKG, der die nähe­ren Vor­aus­set­zun­gen der durch § 113 Abs. 1 Satz 1 TKG erlaub­ten Über­mitt­lung regelt, schon nicht vor­aus, dass die zu ertei­len­den Aus­künf­te zur Auf­ga­ben­wahr­neh­mung der abfra­ge­be­rech­tig­ten Stel­len „erfor­der­lich“ sein müs­sen. Genau dar­auf aber hat das Bun­des­ver­fas­sungs­ge­richt in sei­ner Ent­schei­dung zur Vor­gän­ger­re­ge­lung neben der Ein­zel­fall­be­zo­gen­heit maß­geb­lich abge­stellt. Gera­de aus dem Erfor­der­nis der Erfor­der­lich­keit im Ein­zel­fall hat es abge­lei­tet, dass dem § 113 TKG a.F. – wenn­gleich nied­ri­ge – Ein­griffs­schwel­len zu ent­neh­men waren. Wenn der Gesetz­ge­ber vor die­sem Hin­ter­grund nun­mehr wie­der­um nur die Ver­wen­dungs­zwe­cke als sol­che regelt, kei­ne begren­zen­den Ein­griffs­schwel­len bestimmt und dabei gleich­zei­tig auf das Merk­mal der Erfor­der­lich­keit der Aus­kunfts­er­tei­lung für die Auf­ga­ben­wahr­neh­mung ver­zich­tet, kann das Bun­des­ver­fas­sungs­ge­richt dar­über im Rah­men einer neu­er­li­chen Aus­le­gung nicht hin­weg­ge­hen. Dies ent­sprä­che auch nicht dem gesetz­ge­be­ri­schen Wil­len. So sah der von der Bun­des­re­gie­rung ein­ge­brach­te Gesetz­ent­wurf zunächst gar kei­ne auf­ga­ben­be­zo­ge­ne Begren­zung der Aus­kunfts­er­tei­lung vor [158], da – so die Gegen­er­klä­rung auf Ein­wän­de des Bun­des­rats [159] – aus der neu­en, sei­tens des Bun­des­ver­fas­sungs­ge­richts vor­ge­ge­be­nen dua­len Geset­zes­sys­te­ma­tik fol­ge, dass die erfor­der­li­che auf­ga­ben­be­zo­ge­ne Begren­zung der Aus­kunfts­er­tei­lung nicht mehr in § 113 TKG gere­gelt wer­den kön­ne. Sie betref­fe nicht die Über­mitt­lungs­be­fug­nis der Diens­te­an­bie­ter, son­dern die Erhe­bungs­be­fug­nis der Behör­den. Die Vor­aus­set­zun­gen der Aus­kunfts­er­tei­lung sei­en des­halb – wie der Ent­wurf aus­ge­hend von einem Miss­ver­ständ­nis der ver­fas­sungs­ge­richt­li­chen Recht­spre­chung [160] aus­führt – aus­schließ­lich im jewei­li­gen Fach­recht zu ver­an­kern [161]. Der Gesetz­ge­ber ist dem zwar letzt­lich nicht voll­stän­dig gefolgt und hat zumin­dest eine Beschrän­kung der Aus­kunft auf den Ein­zel­fall ein­ge­fügt und die Ver­wen­dungs­zwe­cke der Aus­kunfts­er­tei­lung bestimmt, womit er die mate­ri­el­len Gren­zen der jeweils bereichs­spe­zi­fisch zu schaf­fen­den Befug­nis­re­ge­lun­gen klar­stel­len woll­te [162]. Wei­ter­ge­hen­de Begren­zun­gen woll­te er aber ersicht­lich nicht set­zen. Dies las­sen auch die gleich­zei­tig geschaf­fe­nen fach­recht­li­chen Abruf­re­ge­lun­gen erken­nen, die weit­ge­hend kei­ne begren­zen­den Ein­griffs­schwel­len ent­hal­ten und ins­be­son­de­re nicht das Vor­lie­gen einer kon­kre­ten Gefahr vor­aus­set­zen. 

Fol­gen der Ver­fas­sungs­wid­rig­keit der Vor­gän­ger­norm

§ 113 Abs. 1 Satz 2 TKG, der zur Über­mitt­lung von Zugangs­da­ten berech­tigt, ist mit Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 GG unver­ein­bar. 

§ 113 Abs. 1 Satz 2 TKG erlaubt die Ertei­lung einer Aus­kunft von Daten, die als Zugangs­da­ten den Zugriff auf End­ge­rä­te oder exter­ne Spei­cher­ein­rich­tun­gen sichern. Die Vor­schrift berech­tigt zur Aus­kunfts­er­tei­lung über die­se Daten unab­hän­gig von den Vor­aus­set­zun­gen für ihre Nut­zung und ent­spricht inhalt­lich inso­weit – trotz geän­der­ten Wort­lauts – § 113 Abs. 1 Satz 2 TKG in der Fas­sung des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes vom 22.06.2004, den das Bun­des­ver­fas­sungs­ge­richt mit Beschluss vom 24.01.2012 für unver­ein­bar mit Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 GG erklärt hat [163]. Zur Begrün­dung führ­te es aus, die Rege­lung sei unver­hält­nis­mä­ßig, weil Behör­den ohne ersicht­li­chen Grund Zugangs­da­ten auch unab­hän­gig von den Anfor­de­run­gen an deren Nut­zung und damit gege­be­nen­falls unter leich­te­ren Vor­aus­set­zun­gen abfra­gen könn­ten. Die Erhe­bung der Zugangs­da­ten sei mit Blick auf die ver­folg­ten Zwe­cke nur dann erfor­der­lich, wenn auch die Vor­aus­set­zun­gen für deren Nut­zung gege­ben sei­en [164].

Die Erklä­rung der Ver­fas­sungs­wid­rig­keit einer Norm hin­dert den Gesetz­ge­ber zwar nicht dar­an, eine inhalt­lich gleich­lau­ten­de Bestim­mung wie­der­um zu erlas­sen [165]. Dabei kann er aber die vom Bun­des­ver­fas­sungs­ge­richt fest­ge­stell­ten Grün­de der Ver­fas­sungs­wid­rig­keit des ursprüng­li­chen Geset­zes nicht über­ge­hen. Eine Norm­wie­der­ho­lung ver­langt viel­mehr ihrer­seits beson­de­re Grün­de, die sich vor allem aus einer wesent­li­chen Ände­rung der für die ver­fas­sungs­recht­li­che Beur­tei­lung maß­geb­li­chen tat­säch­li­chen oder recht­li­chen Ver­hält­nis­se oder der ihr zugrun­de­lie­gen­den Anschau­un­gen erge­ben kön­nen. Feh­len sol­che Grün­de, ist das Bun­des­ver­fas­sungs­ge­richt nicht gehal­ten, die bereits ent­schie­de­nen ver­fas­sungs­recht­li­chen Fra­gen erneut zu erör­tern [166]

Sol­che Grün­de sind hier nicht ersicht­lich. Dass die Neu­re­ge­lung in § 113 Abs. 1 Satz 2 TKG die aus Grün­den der Ver­hält­nis­mä­ßig­keit erfor­der­li­che Beschrän­kung nicht ent­hält, beruht dar­auf, dass der Gesetz­ge­ber davon aus­ge­gan­gen ist, es genü­ge, die­se in den neu geschaf­fe­nen Abruf­re­ge­lun­gen des bun­des­recht­li­chen Fach­rechts vor­zu­se­hen, um den Vor­ga­ben des Bun­des­ver­fas­sungs­ge­richts zu ent­spre­chen [167]. Dem liegt indes ein unzu­tref­fen­des Ver­ständ­nis der grund­recht­li­chen Rege­lungs­ver­ant­wor­tung des Bun­des für die Öff­nung der Daten­be­stän­de zugrun­de. Schon die Daten­öff­nung für die staat­li­che Auf­ga­ben­wahr­neh­mung hat den Anfor­de­run­gen an eine nor­men­kla­re Begren­zung der spä­te­ren Daten­ver­wen­dung Rech­nung zu tra­gen [168]. Inso­fern hat das Bun­des­ver­fas­sungs­ge­richt die Vor­gän­ger­re­ge­lung – unge­ach­tet von Bund und Län­dern zu schaf­fen­der Abruf­re­ge­lun­gen – wegen der nicht hin­rei­chen­den Ver­wen­dungs­be­gren­zung für ver­fas­sungs­wid­rig erklärt [169]. Defi­zi­te der ers­ten Tür kön­nen nicht durch eine – wie hier erfolg­te – „Ver­stär­kung“ der zwei­ten Tür kom­pen­siert wer­den [170].

Ein­griff bei dyna­mi­schen IP-Adres­sen

Die in § 113 Abs. 1 Satz 3 TKG neu geschaf­fe­ne Befug­nis, auch anhand einer dyna­mi­schen IP-Adres­se bestimm­te Bestands­da­ten zu über­mit­teln, genügt nicht den Anfor­de­run­gen der Ver­hält­nis­mä­ßig­keit und ver­stößt damit gegen Art. 10 Abs. 1 GG

§ 113 Abs. 1 Satz 3 TKG regelt mit der erfor­der­li­chen Nor­men­klar­heit, dass auch über sol­che Bestands­da­ten Aus­kunft erteilt wer­den darf, die anhand einer dyna­mi­schen IP-Adres­se bestimmt wer­den. Die Rege­lung stellt eben­falls klar, dass zur Vor­be­rei­tung sol­cher Aus­künf­te Ver­kehrs­da­ten aus­ge­wer­tet wer­den dür­fen. Der Gesetz­ge­ber trifft damit zugleich eine eige­ne Ver­wen­dungs­re­gel für die nach § 96 TKG zu betrieb­li­chen Zwe­cken erho­be­nen Ver­kehrs­da­ten [26], die er zweck­ge­bun­den für die Vor­be­rei­tung der Aus­kunft nach § 113 Abs. 1 Satz 3 TKG und damit für die staat­li­che Auf­ga­ben­wahr­neh­mung öff­net. Obgleich zum Zeit­punkt der Neu­re­ge­lung des § 113 Abs. 1 Satz 3 TKG im Jahr 2013 Ver­kehrs­da­ten von den Diens­te­an­bie­tern ledig­lich auf Grund­la­ge des § 96 TKG erho­ben wur­den, wer­den durch die nicht wei­ter ein­ge­schränk­te, all­ge­mein for­mu­lier­te Berech­ti­gung, Ver­kehrs­da­ten aus­zu­wer­ten, jeden­falls vom Wort­laut der Norm tat­säch­lich auch die seit dem 1.07.2017 gemäß §§ 113a, 113b TKG von Erbrin­gern öffent­lich zugäng­li­cher Tele­kom­mu­ni­ka­ti­ons­diens­te ver­pflich­tend zu spei­chern­den Ver­kehrs­da­ten erfasst. Da die Ver­wen­dung die­ser Daten zur Ertei­lung einer Aus­kunft nach § 113 Abs. 1 Satz 3 TKG durch § 113c Abs. 1 Nr. 3 TKG aber aus­drück­lich ange­ord­net wird, bestehen im Zusam­men­wir­ken bei­der Nor­men im Hin­blick auf die gebo­te­ne Nor­men­klar­heit des § 113 Abs. 1 Satz 3 TKG kei­ne Beden­ken. 

§ 113 Abs. 1 Satz 3 TKG hat ein gegen­über der all­ge­mei­nen Bestands­da­ten­aus­kunft erhöh­tes Ein­griffs­ge­wicht. Er begrün­det einen Ein­griff in Art. 10 Abs. 1 GG und hat im Hin­blick auf die Aus­sa­ge­kraft und Ver­wen­dungs­mög­lich­kei­ten sowohl der zu beaus­kunf­ten­den Bestands­da­ten als auch der zu deren Bestim­mung von den Diens­te­an­bie­tern aus­zu­wer­ten­den Ver­kehrs­da­ten eine erheb­lich grö­ße­re Per­sön­lich­keits­re­le­vanz. 

Die Begrün­dung behörd­li­cher Aus­kunfts­an­sprü­che zur Iden­ti­fi­zie­rung dyna­mi­scher IP-Adres­sen hat auf­grund der Aus­sa­ge­kraft und der Ver­wen­dungs­mög­lich­kei­ten der zu beaus­kunf­ten­den Bestands­da­ten ein erheb­li­ches Gewicht. Der Gesetz­ge­ber wirkt damit auf die Kom­mu­ni­ka­ti­ons­be­din­gun­gen im Inter­net ein und begrenzt den Umfang ihrer Anony­mi­tät. Auf Grund­la­ge der Zuord­nung dyna­mi­scher IP-Adres­sen kann in Ver­bin­dung mit der anlass­lo­sen und sys­te­ma­ti­schen Spei­che­rung von Inter­net­zu­gangs­da­ten nach § 113b Abs. 3 TKG in wei­tem Umfang die Iden­ti­tät der­je­ni­gen ermit­telt wer­den, die das Inter­net nut­zen [171]. Die­se gesetz­li­che Kon­zep­ti­on wird durch die gegen­wär­tig aus­ge­setz­te Durch­set­zung der Ver­pflich­tung zur Spei­che­rung die­ser Daten dem Grun­de nach nicht berührt. 

Zwar hat die Zuord­nung einer dyna­mi­schen IP-Adres­se eine gewis­se Ähn­lich­keit mit der Iden­ti­fi­zie­rung einer Tele­fon­num­mer. Die Abfra­ge des Inha­bers einer Tele­fon­num­mer erbringt jedoch nicht ohne wei­te­res auch Infor­ma­tio­nen zu kon­kre­ten Tele­kom­mu­ni­ka­ti­ons­ak­ten. Dem­ge­gen­über ent­hält eine Aus­kunft über den Anschlus­s­in­ha­ber einer dyna­mi­schen IP-Adres­se in sich not­wen­dig zugleich die Infor­ma­ti­on, dass und von wel­chem Anschluss aus die­se IP-Adres­se zu einer bestimm­ten Zeit genutzt wur­de. Da der Inhalt von Inter­net­sei­ten elek­tro­nisch fixiert und län­ger wie­der abruf­bar ist, gibt die Indi­vi­dua­li­sie­rung der IP-Adres­se zugleich Aus­kunft über den Inhalt des Kon­takts. Schon vom Umfang, vor allem aber vom Inhalt der Kon­tak­te her, über die sie Aus­kunft geben kann, hat sie damit eine erheb­lich grö­ße­re Per­sön­lich­keits­re­le­vanz als die Iden­ti­fi­zie­rung einer Tele­fon­num­mer und kann mit ihr nicht gleich­ge­setzt wer­den [172]

Das Ein­griffs­ge­wicht erhö­hend wirkt sich wei­ter aus, dass die Diens­te­an­bie­ter zur Bestim­mung der zu beaus­kunf­ten­den Daten auch Ver­kehrs­da­ten aus­wer­ten, denen von vorn­her­ein eine höhe­re Per­sön­lich­keits­re­le­vanz zukommt als rei­nen Bestands­da­ten. Zwar han­delt es sich bei Ver­kehrs­da­ten nur um Ver­bin­dungs­da­ten, ohne dass dabei auch der Inhalt der Kom­mu­ni­ka­ti­on erfasst wür­de. Aus Ver­kehrs­da­ten las­sen sich aber bei umfas­sen­der Erhe­bung und Aus­wer­tung grund­sätz­lich aus­sa­ge­kräf­ti­ge Per­sön­lich­keits- und Bewe­gungs­pro­fi­le erstel­len [173]

Das Gewicht des Ein­griffs wird hier jedoch dadurch abge­mil­dert, dass die um Aus­kunft ersu­chen­den Behör­den bei der Zuord­nung dyna­mi­scher IP-Adres­sen kei­ne Kennt­nis der Ver­kehrs­da­ten erhal­ten. Die Behör­den rufen die­se nicht selbst ab, son­dern erhal­ten ledig­lich per­so­nen­be­zo­ge­ne Aus­künf­te über den Inha­ber eines bestimm­ten Anschlus­ses, der von den Diens­te­an­bie­tern unter Rück­griff auf die Ver­kehrs­da­ten sowie gege­be­nen­falls wei­te­re Daten (etwa der Source Port Num­ber) ermit­telt wur­de. Die Aus­sa­ge­kraft des beaus­kunf­te­ten Bestands­da­tums bleibt eng begrenzt. Die Ver­wen­dung der Ver­kehrs­da­ten führt allein zu der Aus­kunft, wel­cher Anschlus­s­in­ha­ber unter einer den Sicher­heits­be­hör­den bereits bekann­ten IP-Adres­se zu einem bestimm­ten Zeit­punkt im Inter­net ange­mel­det war [174]. Ihr Erkennt­nis­wert bleibt punk­tu­ell. Sys­te­ma­ti­sche Aus­for­schun­gen über einen län­ge­ren Zeit­raum oder die Erstel­lung von Per­sön­lich­keits- und Bewe­gungs­pro­fi­len las­sen sich allein auf Grund­la­ge sol­cher Aus­künf­te gera­de nicht ver­wirk­li­chen [174]

Dies gilt zunächst für die nach § 96 TKG erho­be­nen Ver­kehrs­da­ten. Hier­bei han­delt es sich um sol­che Ver­kehrs­da­ten, die die Diens­te­an­bie­ter nach Maß­ga­be ihrer betrieb­li­chen Erfor­der­nis­se in begrenz­tem Umfang und für den Ein­zel­nen durch Ver­trags­ge­stal­tung teil­wei­se ver­meid­bar gemäß § 96 TKG spei­chern dür­fen [175]. Ver­kehrs­da­ten, zu denen auch die IP-Adres­se selbst gehört, wer­den danach weder voll­stän­dig noch sys­te­ma­tisch gespei­chert. Die Pra­xis der Spei­che­rung ist je nach Diens­te­an­bie­ter, Ver­trags­ge­stal­tung und in Anspruch genom­me­ner Dienst­leis­tung viel­mehr sehr unter­schied­lich. Ohne kon­kre­ten Anlass ist eine Spei­che­rung zur Erken­nung, Ein­gren­zung oder Besei­ti­gung von Stö­run­gen oder Feh­lern (§ 96 Abs. 1 Satz 2, § 100 Abs. 1 TKG) nach der fach­ge­richt­li­chen Recht­spre­chung jeden­falls bis zu sie­ben Tage nach Ende der Inter­net­ver­bin­dung zuläs­sig [176], wovon die Diens­te­an­bie­ter in unter­schied­li­chem Umfang, teil­wei­se aber auch gar nicht Gebrauch machen. Durch ver­trag­li­che Gestal­tung teil­wei­se abding­bar und durch die Nut­ze­rin­nen und Nut­zer beein­fluss­bar ist zudem, wie oft eine Inter­net­ver­bin­dung unter­bro­chen wird, und damit das für den Beginn der Spei­cher­frist rele­van­te Ende der Ver­bin­dung. 

Für die Zuord­nung einer dyna­mi­schen IP-Adres­se kön­nen aller­dings nicht nur die nach § 96 TKG erho­be­nen Ver­kehrs­da­ten aus­ge­wer­tet wer­den, son­dern grund­sätz­lich auch die von öffent­lich zugäng­li­chen Tele­kom­mu­ni­ka­ti­ons­diens­ten für zehn Wochen (§ 113b Abs. 1 Nr. 1 TKG) anlass­los und sys­te­ma­tisch gespei­cher­ten Ver­kehrs­da­ten [177]. Damit geht grund­sätz­lich eine deut­li­che Erhö­hung des Ein­griffs­ge­wichts ein­her. Neben dem Umstand, dass die­se Daten selbst nicht Gegen­stand der Aus­kunft sind, ist frei­lich zu berück­sich­ti­gen, dass für die Zuord­nung einer IP-Adres­se nur ein von vorn­her­ein fest­ste­hen­der klei­ner Aus­schnitt der Daten ver­wen­det wird, deren Spei­che­rung für sich genom­men unter deut­lich gerin­ge­ren Vor­aus­set­zun­gen ange­ord­net wer­den könn­te. Eine Spei­che­rung allein der für sol­che Aus­künf­te erfor­der­li­chen Inter­net­zu­gangs­da­ten zur Iden­ti­fi­zie­rung dyna­mi­scher IP-Adres­sen hät­te ein deut­lich gerin­ge­res Gewicht als die nahe­zu voll­stän­di­ge Spei­che­rung der Daten sämt­li­cher Tele­kom­mu­ni­ka­ti­ons­ver­bin­dun­gen [174]. Die ansons­ten für die Ver­wen­dung vor­sorg­lich gespei­cher­ter Ver­kehrs­da­ten maß­geb­li­chen, beson­ders stren­gen Anfor­de­run­gen gel­ten daher für sol­che Aus­künf­te nicht glei­cher­ma­ßen [178]

Soweit gemäß § 113 Abs. 1 Satz 4 TKG für die Aus­kunfts­er­tei­lung anhand dyna­mi­scher IP-Adres­sen dar­über hin­aus sämt­li­che unter­neh­mens­in­ter­nen Daten­quel­len zu berück­sich­ti­gen sind, kommt dem kei­ne wei­te­re ein­griffs­er­hö­hen­de Wir­kung zu. Die Rege­lung bringt zum Aus­druck, dass es die Diens­te­an­bie­ter nicht in der Hand haben, die für die Iden­ti­fi­zie­rung von IP-Adres­sen erfor­der­li­chen Daten frei aus­zu­wäh­len oder zu ver­knap­pen [179]. Es han­delt sich inso­weit ledig­lich um eine tech­nik­of­fe­ne For­mu­lie­rung, die – ent­ge­gen der Auf­fas­sung der Beschwer­de­füh­ren­den – jeden­falls nicht die Ver­wen­dung rechts­wid­rig gespei­cher­ter Daten zur Zuord­nung dyna­mi­scher IP-Adres­sen eröff­nen kann.

§ 113 Abs. 1 Satz 3 TKG eröff­net schließ­lich auch kei­ne spe­zi­fi­schen Miss­brauchs­ge­fah­ren. Ins­be­son­de­re ermög­licht er kei­ne über den dort aus­drück­lich gere­gel­ten Zweck hin­aus­ge­hen­de Ver­wen­dung von Ver­kehrs­da­ten. Der Gesetz­ge­ber hat mit § 113 Abs. 1 Satz 3 TKG hin­rei­chend klar­ge­stellt, dass nur Aus­künf­te zu ein­zel­nen, den Behör­den bereits bekann­ten IP-Adres­sen unter Ver­wen­dung von Ver­kehrs­da­ten erlaubt sind [180]. Eine Ermäch­ti­gung zu offe­nen Anfra­gen der Behör­den zu Anschlus­s­in­ha­bern, deren Tele­kom­mu­ni­ka­ti­ons­ver­bin­dun­gen nicht bekannt sind, ent­hält die Rege­lung – auch in Ver­bin­dung mit § 113 Abs. 1 Satz 4 TKG – nicht [181]. Die Über­mitt­lung der einem Anschlus­s­in­ha­ber zu einem bestimm­ten Zeit­punkt zuge­wie­se­nen IP-Adres­se, des­sen wei­te­re Daten (wie etwa der Name und die Adres­se) der abfra­gen­den Stel­le bekannt sind, ist daher nicht zuläs­sig [182]. Die For­mu­lie­rung von § 113 Abs. 1 Satz 3 und 4 TKG bringt klar zum Aus­druck, dass Ver­kehrs­da­ten und alle sons­ti­gen unter­neh­mens­in­ter­nen Daten­quel­len über­haupt nur für die Zuord­nung einer IP-Adres­se ver­wen­det wer­den dür­fen. Eine wei­ter­ge­hen­de Befug­nis ergibt sich ent­ge­gen der Auf­fas­sung der Beschwer­de­füh­ren­den auch nicht aus der in Art. 9 des Ände­rungs­ge­set­zes [183] ent­hal­te­nen all­ge­mein gefass­ten For­mu­lie­rung, dass durch die hier ange­grif­fe­nen Neu­re­ge­lun­gen das Fern­mel­de­ge­heim­nis ein­ge­schränkt sei. Eine gesetz­li­che Bestim­mung zur Wah­rung des Zitier­ge­bots kann kei­ne Befug­nis zu Ein­grif­fen in das Fern­mel­de­ge­heim­nis begrün­den. 

Unter Berück­sich­ti­gung sei­nes gleich­wohl erhöh­ten Ein­griffs­ge­wichts erfüllt § 113 Abs. 1 Satz 3 TKG die sich aus dem Ver­hält­nis­mä­ßig­keits­ge­bot erge­ben­den Anfor­de­run­gen an eine hin­rei­chen­de Begren­zung der Ver­wen­dungs­zwe­cke für die zu beaus­kunf­ten­den Daten nicht. 

Soweit für die Zuord­nung von IP-Adres­sen nicht nur auf die nach § 96 TKG erho­be­nen, son­dern auch auf vor­sorg­lich gespei­cher­te Ver­kehrs­da­ten zurück­ge­grif­fen wer­den darf, müs­sen ver­fas­sungs­recht­lich zwar nicht die für die unmit­tel­ba­re Ver­wen­dung der Gesamt­heit der vor­sorg­lich gespei­cher­ten Ver­kehrs­da­ten gel­ten­den beson­ders stren­gen Vor­aus­set­zun­gen gege­ben sein [178]. Dem erhöh­ten Ein­griffs­ge­wicht muss gleich­wohl durch hin­rei­chend begrenz­te Ver­wen­dungs­zwe­cke Rech­nung getra­gen wer­den. Erfor­der­lich sind grund­sätz­lich die Reich­wei­te des § 113 Abs. 1 Satz 3 TKG näher begren­zen­de Ein­griffs­schwel­len sowie eine Beschrän­kung auf den Schutz oder die Beweh­rung von Rechts­gü­tern von her­vor­ge­ho­be­nem Gewicht. 

Die Zuord­nung dyna­mi­scher IP-Adres­sen bedarf – wie die all­ge­mei­ne Bestands­da­ten­aus­kunft – begren­zen­der Ein­griffs­schwel­len, die sicher­stel­len, dass Aus­künf­te nicht ins Blaue hin­ein ein­ge­holt wer­den kön­nen. Erfor­der­lich sind daher grund­sätz­lich qua­li­fi­zier­te Ein­griffs­schwel­len, die einen Anfangs­ver­dacht oder eine kon­kre­te Gefahr auf ein­zel­fall­be­zo­ge­ner Tat­sa­chen­ba­sis vor­aus­set­zen. Letz­te­res gilt für die Nach­rich­ten­diens­te eben­so wie für alle zur Abwehr von Gefah­ren für die öffent­li­che Sicher­heit und Ord­nung zustän­di­gen Behör­den [138].

Zu den Anfor­de­run­gen des Über­maß­ver­bots gehört es zudem, dass die in § 113 Abs. 1 Satz 3 TKG eröff­ne­te Bestands­da­ten­aus­kunft durch einen im Ver­hält­nis zum Grund­rechts­ein­griff hin­rei­chend gewich­ti­gen Rechts­gü­ter­schutz gerecht­fer­tigt sein muss. Zwar bedarf es hier grund­sätz­lich kei­ner begren­zen­den Rechts­gü­ter- oder Straf­ta­ten­ka­ta­lo­ge. Das maß­geb­lich auf­grund Art, Umfang und Ver­wen­dungs­mög­lich­kei­ten der ver­ar­bei­te­ten Daten erhöh­te Ein­griffs­ge­wicht der Zuord­nung von IP-Adres­sen erlaubt es indes­sen nicht, die­se all­ge­mein und unein­ge­schränkt auch zur Abwehr jeg­li­cher Gefah­ren sowie zur Ver­fol­gung oder Ver­hin­de­rung jed­we­der Ord­nungs­wid­rig­kei­ten zuzu­las­sen. Auch unter Berück­sich­ti­gung des gestei­ger­ten Inter­es­ses an der Mög­lich­keit, Kom­mu­ni­ka­ti­ons­ver­bin­dun­gen im Inter­net zum Rechts­gü­ter­schutz oder zur Wah­rung der Rechts­ord­nung dem jewei­li­gen Akteur zuord­nen zu kön­nen und der ange­sichts der zuneh­men­den Bedeu­tung des Inter­nets für die ver­schie­den­ar­ti­gen Berei­che des täg­li­chen Lebens erhöh­ten Gefahr sei­ner Nut­zung für Straf­ta­ten und Recht­ver­let­zun­gen viel­fäl­ti­ger Art, bedarf die Auf­he­bung der Anony­mi­tät des Inter­nets zumin­dest einer Rechts­gut­be­ein­träch­ti­gung, der von der Rechts­ord­nung auch sonst ein her­vor­ge­ho­be­nes Gewicht bei­gemes­sen wird. Dies schließt Aus­künf­te zur Ver­fol­gung oder Ver­hin­de­rung von Ord­nungs­wid­rig­kei­ten nicht voll­stän­dig aus. Es muss sich inso­weit aber um – auch im Ein­zel­fall – beson­ders gewich­ti­ge Ord­nungs­wid­rig­kei­ten han­deln, die der Gesetz­ge­ber zudem aus­drück­lich benen­nen muss [184]. Im Bereich der Gefah­ren­ab­wehr kann dem­entspre­chend nicht jede Gefahr für ein Schutz­gut als Ein­griffs­schwel­le genü­gen [185]. Andern­falls könn­te auf­grund des die Unver­letz­lich­keit der gesam­ten Rechts­ord­nung erfas­sen­den Schutz­um­fangs des Gefah­ren­ab­wehr­rechts jeg­li­cher Ver­stoß gegen Rechts­vor­schrif­ten zum Anlass einer Zuord­nung von IP-Adres­sen wer­den. 

Dem Ein­griffs­ge­wicht der indi­vi­dua­li­sier­ten Zuord­nung dyna­mi­scher IP-Adres­sen ent­spricht es daher, dass sie zu ihrer Recht­fer­ti­gung jeweils auf Grün­de gestützt wer­den muss, die dem Schutz oder der Beweh­rung von Rechts­gü­tern von her­vor­ge­ho­be­nem Gewicht [184] die­nen. Eines dar­über hin­aus­ge­hen­den erheb­li­chen Gewichts bedarf es im Hin­blick auf die aus­schließ­lich anlass­be­zo­ge­ne und punk­tu­el­le Zuord­nung des Inter­net­kon­takts nicht. Zu den Rechts­gü­tern von her­vor­ge­ho­be­nem Gewicht zäh­len jeden­falls die durch das Straf­recht geschütz­ten Rechts­gü­ter. Der Gesetz­ge­ber kann die Bestands­da­ten­aus­kunft aber auch zur Ver­fol­gung oder Ver­hin­de­rung ande­rer hin­rei­chend gewich­ti­ger Delik­te zulas­sen, für deren Bekämp­fung eine Zuord­nung von IP-Adres­sen von Bedeu­tung ist, was beson­ders gewich­ti­ge Ord­nungs­wid­rig­kei­ten ein­schlie­ßen kann [186]

Die gesetz­li­che Bestim­mung der Ein­griffs­schwel­le und des Schutz­guts ste­hen aller­dings in einem Wech­sel­ver­hält­nis, sodass auch die Befug­nis zur Zuord­nung von IP-Adres­sen nicht stets das Vor­lie­gen einer kon­kre­ten Gefahr im tra­dier­ten Sin­ne erfor­dert. Die Ein­griffs­be­fug­nis kann daher auch mit abge­senk­ten Ein­griffs­schwel­len den Anfor­de­run­gen der Ver­hält­nis­mä­ßig­keit genü­gen. Aus­rei­chend ist dabei grund­sätz­lich das Vor­lie­gen einer kon­kre­ti­sier­ten Gefahr. Je nach Gewicht des zu schüt­zen­den Rechts­guts kann es genü­gen, wenn ent­we­der ein sei­ner Art nach kon­kre­ti­sier­tes und zeit­lich abseh­ba­res Gesche­hen erkenn­bar ist oder alter­na­tiv das indi­vi­du­el­le Ver­hal­ten von Betrof­fe­nen die kon­kre­te Wahr­schein­lich­keit begrün­det, dass sie bestimm­te Straf­ta­ten in über­schau­ba­rer Zukunft bege­hen wer­den [187]. Dies gilt sowohl für die all­ge­mei­ne Gefah­ren­ab­wehr als auch inner­halb des Auf­ga­ben­be­reichs der Nach­rich­ten­diens­te. 

Soll eine sol­che kon­kre­ti­sier­te Gefahr die Ein­griffs­be­fug­nis begrün­den, bedarf es im Hin­blick auf das erhöh­te Ein­griffs­ge­wicht der Zuord­nung von IP-Adres­sen, das maß­geb­lich durch die Art, den Umfang und die Ver­wen­dungs­mög­lich­kei­ten der zu beaus­kunf­ten­den Bestands­da­ten und der dabei ver­wen­de­ten Ver­kehrs­da­ten bestimmt wird, einer Begren­zung der Aus­kunft auf den Schutz von zumin­dest beson­ders gewich­ti­gen Rechts­gü­tern [188]. In der Über­mitt­lungs­re­ge­lung muss der Gesetz­ge­ber ent­we­der die Rechts­gü­ter von beson­de­rem Gewicht selbst kon­kret benen­nen oder zumin­dest das erfor­der­li­che Gewicht nor­men­klar fest­hal­ten. 

Soweit die Gefah­ren­ab­wehr auf die Ver­hü­tung von Straf­ta­ten bezo­gen ist, muss es sich um zumin­dest schwe­re Straf­ta­ten han­deln [189]. Wel­che Straf­tat­be­stän­de hier­von umfasst sein sol­len, hat der Gesetz­ge­ber abschlie­ßend mit der Öff­nung der Daten­be­stän­de fest­zu­le­gen. Er kann dabei auf bestehen­de Kata­lo­ge zurück­grei­fen oder einen eige­nen Kata­log schaf­fen, etwa um Straf­ta­ten zu erfas­sen, für die die Zuord­nung von IP-Adres­sen beson­de­re Bedeu­tung hat. Die Qua­li­fi­zie­rung einer Straf­tat als schwer muss aber in der Straf­norm – etwa durch deren Straf­rah­men – einen objek­ti­vier­ten Aus­druck fin­den [190]. Eine Gene­ral­klau­sel oder die ledig­lich pau­scha­le Ver­wei­sung auf nicht näher ein­ge­grenz­te Straf­ta­ten rei­chen hin­ge­gen nicht aus [191].

Für den Bereich der Nach­rich­ten­diens­te muss dem­ge­gen­über eine der­ar­ti­ge Begren­zung der Rechts­gü­ter nicht aus­drück­lich ange­ord­net wer­den, da deren Tätig­keit von vorn­her­ein dem Schutz beson­ders gewich­ti­ger Rechts­gü­ter in die­sem Sin­ne dient [152]; schon die Vor­aus­set­zung einer hin­rei­chend kon­kre­ti­sier­ten Gefahr als Ein­griffs­schwel­le sichert hier, dass auch im Ein­zel­fall hin­rei­chend gewich­ti­ge Rechts­gü­ter in Fra­ge ste­hen. 

Die­sen Anfor­de­run­gen genügt § 113 Abs. 1 Satz 3 TKG nicht. Die Zuord­nung dyna­mi­scher IP-Adres­sen ist an kei­ne begren­zen­den Ein­griffs­schwel­len gebun­den und daher unver­hält­nis­mä­ßig.

§ 113 Abs. 2 Satz 1 TKG, der die Vor­aus­set­zun­gen der Über­mitt­lung näher regelt und die Ver­wen­dungs­zwe­cke auch für die Zuord­nung dyna­mi­scher IP-Adres­sen bestimmt, setzt weder einen Anfangs­ver­dacht noch eine auf tat­säch­li­che Anhalts­punk­te gestütz­te kon­kre­te Gefahr vor­aus. 

Bezo­gen auf die all­ge­mei­ne Gefah­ren­ab­wehr fehlt zudem die – auch unter Zugrun­de­le­gung sol­cher­ma­ßen qua­li­fi­zier­ter Ein­griffs­schwel­len – erfor­der­li­che Begren­zung der Befug­nis auf einen hin­rei­chend gewich­ti­gen Rechts­gü­ter­schutz. Soweit die Zuord­nung einer IP-Adres­se zur Abwehr einer Gefahr für die öffent­li­che Sicher­heit und Ord­nung (§ 113 Abs. 2 Satz 1 TKG) eröff­net ist, wird die Unver­letz­lich­keit der Rechts­ord­nung ins­ge­samt in Bezug genom­men, ohne hin­sicht­lich der in Fra­ge ste­hen­den Rechts­gü­ter zu gewich­ten [185]. Es fehlt eine Beschrän­kung auf die Abwehr von Gefah­ren für Rechts­gü­ter von her­vor­ge­ho­be­nem Gewicht. 

Das Glei­che gilt bezo­gen auf die Straf­ver­fol­gung, soweit § 113 Abs. 2 Satz 1 TKG die Aus­kunfts­er­tei­lung zum Zweck der Ver­fol­gung jeg­li­cher Ord­nungs­wid­rig­kei­ten erlaubt. Es fehlt die erfor­der­li­che Beschrän­kung auf beson­ders gewich­ti­ge Ord­nungs­wid­rig­kei­ten. Die­se kann auch durch § 46 Abs. 3 Satz 1 OWiG nicht mit der erfor­der­li­chen Nor­men­klar­heit getrof­fen wer­den. Die Rege­lung unter­sagt zwar gene­rell – und damit sogar wei­ter­ge­hend – die Ver­fol­gung von Ord­nungs­wid­rig­kei­ten in Buß­geld­ver­fah­ren, wenn ent­spre­chen­de Maß­nah­men das Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis betref­fen wür­den, und dürf­te damit auf tat­säch­li­cher Ebe­ne die Gefahr einer Zuord­nung von IP-Adres­sen zur Ver­fol­gung von Ord­nungs­wid­rig­kei­ten aus­schlie­ßen. Auch kön­nen Ver­wen­dungs­re­geln durch­aus in ver­schie­de­nen Rege­lun­gen – ins­ge­samt ver­fas­sungs­kon­form – abschlie­ßend bestimmt wer­den [192], wenn, wie hier, die Über­mitt­lung und der Abruf Mate­ri­en betref­fen, für die allein dem Bund die Gesetz­ge­bung zusteht. Dies setzt aber vor­aus, dass die Nor­men in ihrem Zusam­men­wir­ken den Ver­wen­dungs­zweck der Daten hin­rei­chend prä­zi­se und nor­men­klar umgren­zen, sodass gewähr­leis­tet ist, dass der Daten­trans­fer ins­ge­samt den grund­recht­li­chen Anfor­de­run­gen genügt. § 46 Abs. 3 Satz 1 OWiG und die hier ange­grif­fe­ne Über­mitt­lungs­re­ge­lung tref­fen aber – ohne auch nur auf­ein­an­der Bezug zu neh­men – für die Ver­wen­dung der Daten ein­an­der unauf­lös­bar wider­spre­chen­de Rege­lun­gen. 

Die Befug­nis zur Zuord­nung von IP-Adres­sen wird in § 113 Abs. 2 Satz 1 TKG auch nicht durch abge­senk­te Ein­griffs­schwel­len begrenzt. Ins­be­son­de­re eine kon­kre­ti­sier­te Gefahr wird weder für die all­ge­mei­ne Gefah­ren­ab­wehr noch für die Tätig­kei­ten der Nach­rich­ten­diens­te vor­aus­ge­setzt. § 113 Abs. 2 Satz 1 TKG erfor­dert, soweit die Aus­kunft nach § 113 Abs. 1 Satz 3 TKG betrof­fen ist, weder ein wenigs­tens der Art nach kon­kre­ti­sier­tes und abseh­ba­res Gesche­hen noch alter­na­tiv, dass das indi­vi­du­el­le Ver­hal­ten einer Per­son die kon­kre­te Wahr­schein­lich­keit begrün­den muss, dass sie in über­schau­ba­rer Zukunft eine Straf­tat begeht. In Bezug auf die all­ge­mei­ne Gefah­ren­ab­wehr feh­len zudem die für eine sol­che Absen­kung der Ein­griffs­schwel­len erfor­der­li­che Begren­zung auf den Schutz zumin­dest beson­ders gewich­ti­ger Rechts­gü­ter und – soweit die Straf­ta­ten­ver­hü­tung betrof­fen ist – eine Beschrän­kung auf die Ver­hü­tung zumin­dest schwe­rer Straf­ta­ten. 

Daten­si­cher­heit bei der Bestands­da­ten­über­mitt­lung

Dem­ge­gen­über bestehen gegen die hier ange­grif­fe­nen Über­mitt­lungs­re­ge­lun­gen kei­ne Beden­ken im Hin­blick auf die ver­fas­sungs­recht­lich gebo­te­ne Daten­si­cher­heit. Untrenn­ba­rer Bestand­teil der Anord­nung einer Spei­che­rungs­ver­pflich­tung von Daten wie auch der Öff­nung pri­va­ter Daten­be­stän­de ist neben einer den Anfor­de­run­gen genü­gen­den nor­men­kla­ren Begren­zung der Daten­ver­wen­dung auch die ver­fas­sungs­recht­lich gebo­te­ne Gewähr­leis­tung der Daten­si­cher­heit [193]. Hier­zu gehö­ren neben den Rege­lun­gen zur Sicher­heit der gespei­cher­ten Daten auch die Rege­lun­gen zur Sicher­heit der Daten­über­mitt­lung [194]. Die erfor­der­li­chen Vor­keh­run­gen betref­fen damit zum einen die – für sich genom­men – nicht ange­grif­fe­ne Spei­che­rung der Daten nach §§ 95, 96, 111 und 113a, 113b TKG; die Daten­si­cher­heit regeln inso­weit etwa §§ 109 f. und 113d TKG. Zum ande­ren ist die Sicher­heit der Über­mitt­lung der abge­ru­fe­nen Daten zu gewähr­leis­ten. Inso­weit sieht § 113 Abs. 5 Satz 2 TKG für Anbie­ter mit mehr als 100.000 Kun­den die Ein­rich­tung einer gesi­cher­ten elek­tro­ni­schen Schnitt­stel­le vor. Die Rege­lung wird durch Teil B der Tech­ni­schen Richt­li­nie zur Umset­zung gesetz­li­cher Maß­nah­men zur Über­wa­chung der Tele­kom­mu­ni­ka­ti­on, Ertei­lung von Aus­künf­ten (TR TKÜV) kon­kre­ti­siert. Dass die­se Pflicht für klei­ne­re Diens­te­an­bie­ter nicht gilt, führt nicht zu einer Unter­schrei­tung des ver­fas­sungs­recht­lich gebo­te­nen Min­dest­ma­ßes der Sicher­heit der Daten­über­mitt­lung. Inso­weit ist jeden­falls die all­ge­mei­ne Rege­lung des § 109 Abs. 1 TKG ein­schlä­gig, die sämt­li­chen Diens­te­an­bie­tern auf­er­legt, nach dem Stand der Tech­nik Vor­keh­run­gen zum Daten­schutz zu tref­fen. 

Ver­hält­nis­mä­ßig­keit der Abruf­re­ge­lun­gen

Die mit § 113 TKG kor­re­spon­die­ren­den Abruf­re­ge­lun­gen genü­gen in mate­ri­el­ler Hin­sicht weit­ge­hend nicht den ver­fas­sungs­recht­li­chen Anfor­de­run­gen des Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 GG und des Art. 10 Abs. 1 GG

Je eigen­stän­di­ge Recht­fer­ti­gung für jede Abruf­re­ge­lung

Da Über­mitt­lung und Abruf per­so­nen­be­zo­ge­ner Daten je eigen­stän­di­ge Grund­rechts­ein­grif­fe begrün­den, müs­sen auch die ein­zel­nen Abruf­re­ge­lun­gen in Abhän­gig­keit von dem jeweils betrof­fe­nen Grund­recht und ihrem Ein­griffs­ge­wicht den Anfor­de­run­gen der Ver­hält­nis­mä­ßig­keit sowie der Nor­men­klar­heit und Bestimmt­heit genü­gen. Die rele­van­ten ver­fas­sungs­recht­li­chen Anfor­de­run­gen erge­ben sich vor allem aus dem Grund­satz der Ver­hält­nis­mä­ßig­keit im enge­ren Sin­ne, der vor­aus­setzt, dass die Abruf­re­ge­lun­gen auf einer jeweils eige­nen hin­rei­chend bestimm­ten gesetz­li­chen Grund­la­ge beru­hen, die die Daten­ver­wen­dung auf spe­zi­fi­sche Zwe­cke hin­rei­chend begrenzt. 

Geeig­net­heit und Erfor­der­lich­keit

Die ange­grif­fe­nen Abruf­re­ge­lun­gen die­nen – wie schon § 113 TKG – legi­ti­men Zwe­cken und sind hier­für geeig­net und erfor­der­lich. 

Ins­be­son­de­re bedarf es hin­sicht­lich der Abfra­ge von Zugangs­da­ten nicht der von den Beschwer­de­füh­ren­den für erfor­der­lich gehal­te­nen Sub­si­dia­ri­täts­klau­sel, wonach eine Abfra­ge von Zugangs­da­ten nur dann erfol­gen darf, wenn die damit bezweck­te Daten­er­he­bung nicht auf ande­re Wei­se, ins­be­son­de­re durch die unmit­tel­ba­re Inan­spruch­nah­me der Diens­te­an­bie­ter auf Aus­kunft über die Inhalts­da­ten erreicht wer­den kann. In Bezug auf die durch Zugangs­da­ten geschütz­ten Inhal­te, die auf End­ge­rä­ten und von dort aus zugäng­li­chen exter­nen Spei­cher­me­di­en gespei­chert sind, ist eine unmit­tel­ba­re Inan­spruch­nah­me der Diens­te­an­bie­ter schon nicht gleich geeig­net, um das ange­streb­te Ziel zu errei­chen. Die Diens­te­an­bie­ter sind regel­mä­ßig nicht im Besitz der End­ge­rä­te und haben daher selbst dann, wenn sie etwa PIN und PUK einer SIM-Kar­te ken­nen und das End­ge­rät nicht zusätz­lich durch einen per­sön­li­chen Zugangs­si­che­rungs­code gesi­chert ist, kei­nen Zugang zu den dort gespei­cher­ten oder mit­tel­bar zugäng­li­chen Daten wie Fotos, Kon­tak­ten oder auch E‑Mail-Post­fä­chern ande­rer Diens­te­an­bie­ter. 

Dem­ge­gen­über kann zwar der mit einer Abfra­ge von Zugangs­da­ten erstreb­te Zugriff auf die Inhal­te exter­ner Spei­cher­ein­rich­tun­gen, soweit die­se wie etwa Voice-Mail­bo­xen oder gege­be­nen­falls E‑Mail-Post­fä­cher [195] dem Anwen­dungs­be­reich des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes unter­fal­len, auch durch eine unmit­tel­ba­re Inan­spruch­nah­me der Diens­te­an­bie­ter auf Her­aus­ga­be (Durch­su­chung, Sicher­stel­lung und Beschlag­nah­me) oder auf Über­wa­chung der lau­fen­den Kom­mu­ni­ka­ti­on (Tele­kom­mu­ni­ka­ti­ons­über­wa­chung, Online­durch­su­chung) erreicht wer­den [196]. Die­se Maß­nah­men sind aus Grün­den der Ver­hält­nis­mä­ßig­keit regel­mä­ßig auch auf bestimm­te Zeit­räu­me (etwa in § 100a, § 100e Abs. 1 Satz 4 und 5 StPO, § 100b, § 100e Abs. 2 Satz 4 und 5 StPO) oder auf bestimm­te zeit­lich oder sonst abgrenz­ba­re Inhal­te zu begren­zen [197] und gewäh­ren inso­weit begrenz­te­re Infor­ma­tio­nen als der durch Über­mitt­lung des Zugangs­codes ver­schaff­te Zugang zu einer Spei­cher­ein­rich­tung [198]. Dies lässt frei­lich unbe­rührt, dass auch die Anwen­dung der Abruf­be­fug­nis für Zugangs­da­ten im Ein­zel­fall dem Grund­satz der Erfor­der­lich­keit zu fol­gen hat, der sicher­stellt, dass Zugangs­da­ten nicht unab­hän­gig von den Anfor­de­run­gen an ihre Nut­zung und damit gege­be­nen­falls unter leich­te­ren Vor­aus­set­zun­gen abge­fragt wer­den [199]. Auch die Nut­zung von Zugangs­da­ten kann daher dahin beschränkt sein, dass sie nur für bestimm­te Zeit­räu­me oder ander­wei­tig abgrenz­ba­re Inhal­te zuläs­sig ist. Begrün­det wird inso­weit ein begrenz­tes Erhe­bungs­ver­bot.

Ver­hält­nis­mä­ßig­keit i.e.S.

Mit dem Ver­hält­nis­mä­ßig­keits­grund­satz im enge­ren Sin­ne sind die Abruf­re­ge­lun­gen nur ver­ein­bar, wenn die ein­zel­nen Befug­nis­se zum Daten­ab­ruf hin­rei­chend begrenzt und die not­wen­di­gen über­grei­fen­den Anfor­de­run­gen an Trans­pa­renz, Rechts­schutz und Kon­trol­le beach­tet wer­den. Die­sen Anfor­de­run­gen genü­gen die ange­grif­fe­nen Befug­nis­se zum all­ge­mei­nen Abruf von Bestands­da­ten im Gegen­satz zu den Befug­nis­sen zum Abruf von Zugangs­da­ten weit­ge­hend nicht. Eben­falls in wei­tem Umfang nicht hin­rei­chend ein­ge­grenzt sind die Befug­nis­se zum Abruf von anhand einer dyna­mi­schen IP-Adres­se bestimm­ter Bestands­da­ten, wel­che zudem sämt­lich nicht den ver­fas­sungs­recht­li­chen Anfor­de­run­gen an die ver­fah­rens­recht­li­chen Siche­run­gen genü­gen.

Anfor­de­run­gen an die Ver­hält­nis­mä­ßig­keit i.e.S.

Den Anfor­de­run­gen der Ver­hält­nis­mä­ßig­keit im enge­ren Sin­ne genü­gen die ange­grif­fe­nen Abruf­re­ge­lun­gen, wenn der mit ihnen ver­folg­te Zweck sei­ner­seits nicht außer Ver­hält­nis zu der Schwe­re des Ein­griffs steht. Die ange­grif­fe­nen Rege­lun­gen müs­sen hin­rei­chend bestimmt und nor­men­klar eine qua­li­fi­zier­te Ermäch­ti­gungs­grund­la­ge für den Daten­ab­ruf schaf­fen. Sie müs­sen unter Berück­sich­ti­gung ihres Ein­griffs­ge­wichts und den jeweils ver­folg­ten Zwe­cken hin­rei­chen­de Ver­wen­dungs­re­geln ent­hal­ten und inso­weit für sich genom­men ver­hält­nis­mä­ßig aus­ge­stal­tet sein. Die Befug­nis­se zum Daten­ab­ruf sind dar­über hin­aus – aus Grün­den der Nor­men­klar­heit – auch an die in den Über­mitt­lungs­re­ge­lun­gen begrenz­ten Ver­wen­dungs­zwe­cke gebun­den. Im Übri­gen fol­gen aus dem Ver­hält­nis­mä­ßig­keits­grund­satz für alle Abruf­re­ge­lun­gen gewis­se über­grei­fen­de Anfor­de­run­gen an Trans­pa­renz, indi­vi­du­el­len Rechts­schutz und auf­sicht­li­che Kon­trol­le sowie an Rege­lun­gen zur Daten­nut­zung und ‑löschung.

Mit Rück­sicht auf das Gebot der Nor­men­klar­heit, dem bei Ein­grif­fen in das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung und das Tele­kom­mu­ni­ka­ti­ons­ge­heim­nis eine spe­zi­fi­sche Funk­ti­on zukommt, bedarf es für den Daten­ab­ruf in Form eines unmit­tel­bar an pri­va­te Drit­te gerich­te­ten Aus­kunfts­ver­lan­gens einer ein­deu­ti­gen Rechts­grund­la­ge, die eine Aus­kunfts­ver­pflich­tung der Diens­te­an­bie­ter eigen­stän­dig begrün­det. Erfor­der­lich sind hin­rei­chend qua­li­fi­zier­te Abruf­re­ge­lun­gen, die über schlich­te Daten­er­he­bungs­be­fug­nis­se hin­aus­ge­hen, und klar bestim­men, gegen­über wel­chen Behör­den die Anbie­ter kon­kret zur Daten­über­mitt­lung ver­pflich­tet sein sol­len [200]

Ent­spre­chend den für die Öff­nung der Daten­be­stän­de ent­wi­ckel­ten Maß­stä­ben, müs­sen Abruf­re­ge­lun­gen ihrer­seits die Ver­wen­dungs­zwe­cke der Daten hin­rei­chend begren­zen. Dabei sind Anlass, Zweck und Umfang des jewei­li­gen Ein­griffs auch für den Daten­ab­ruf bereichs­spe­zi­fisch, prä­zi­se und nor­men­klar fest­zu­le­gen [21]. Erfor­der­lich sind auch für den Abruf Ein­griffs­schwel­len, die sicher­stel­len, dass Aus­künf­te nur bei einem auf tat­säch­li­che Anhalts­punk­te gestütz­ten Ein­griffs­an­lass ein­ge­holt wer­den kön­nen. Unzu­läs­sig ist der Abruf für viel­fäl­ti­ge und unbe­grenz­te Ver­wen­dun­gen im gesam­ten einer Behör­de zuge­wie­se­nen Auf­ga­ben­be­reich [123]. Unter Berück­sich­ti­gung des Gewichts des Ein­griffs kön­nen die Ein­griffs­schwel­len auch abge­senkt wer­den, soweit ein ent­spre­chend gewich­ti­ger Rechts­gü­ter­schutz gewähr­leis­tet ist. 

Die Befug­nis­se zum Daten­ab­ruf müs­sen nicht nur für sich genom­men ver­hält­nis­mä­ßig sein, son­dern sind – aus Grün­den der Nor­men­klar­heit – auch an die in den Über­mitt­lungs­re­ge­lun­gen begrenz­ten Ver­wen­dungs­zwe­cke gebun­den. Dies gilt auch, soweit die­se ver­fas­sungs­recht­lich nicht gebo­ten sind.

In Mate­ri­en, in denen die Län­der die Abruf­re­ge­lun­gen zu tref­fen haben, beruht dies bereits dar­auf, dass ihnen die Gesetz­ge­bungs­kom­pe­tenz für die Öff­nung der Daten­be­stän­de und die damit ver­bun­de­ne not­wen­di­ge Begren­zung ihrer wei­te­ren Ver­wen­dung fehlt. Die Län­der kön­nen die­se Daten­be­stän­de nicht auf­grund eige­ner Ent­schei­dung wei­ter öff­nen. 

Unge­ach­tet des­sen kön­nen lan­des- wie bun­des­ge­setz­li­che Abruf­re­ge­lun­gen nur dann dem Gebot der Nor­men­klar­heit genü­gen, wenn sie den Rah­men der durch die Über­mitt­lungs­re­ge­lung begrenz­ten Ver­wen­dungs­zwe­cke ein­hal­ten. Nur dann kön­nen Über­mitt­lungs- und Abruf­re­ge­lung eine in ihrem Zusam­men­wir­ken hin­rei­chend prä­zi­se Umgren­zung des Ver­wen­dungs­zwecks des Daten­aus­tauschs sicher­stel­len.

Nach dem Bild einer Dop­pel­tür müs­sen die – jeweils zustän­di­gen – Gesetz­ge­ber nicht nur die Tür zur Über­mitt­lung der Daten öff­nen, son­dern auch die Tür zu deren Abfra­ge [201]. Inso­weit muss schon der Gesetz­ge­ber der Über­mitt­lungs­re­ge­lung in eige­ner Rege­lungs­ver­ant­wor­tung eine kla­re und abschlie­ßen­de Ent­schei­dung tref­fen, zu wel­chen Zwe­cken und mit wel­chen Begren­zun­gen er die ers­te Tür öff­net [202]. Die­se ers­te Tür kann auch der Gesetz­ge­ber der zwei­ten Tür nicht wei­ter öff­nen. Er ist viel­mehr inso­weit an die in der Über­mitt­lungs­re­ge­lung getrof­fe­nen Ver­wen­dungs­re­geln gebun­den [203]. Dabei steht es dem Gesetz­ge­ber der Abruf­re­ge­lun­gen zwar frei, den Daten­ab­ruf durch die berech­tig­ten Behör­den an noch enge­re Zwe­cke, höhe­re Ein­griffs­schwel­len oder an den Schutz oder die Beweh­rung noch gewich­ti­ge­rer Rechts­gü­ter zu bin­den [204]. Aus Grün­den der Nor­men­klar­heit darf er aber selbst dann, wenn er – wie vor­lie­gend – zugleich Gesetz­ge­ber der Abruf­re­ge­lun­gen ist, nicht die in der Über­mitt­lungs­re­ge­lung begrenz­ten Ver­wen­dungs­zwe­cke unter­lau­fen und die Behör­den zum Abruf zu ande­ren, wei­ter­ge­hen­den Zwe­cken ermäch­ti­gen, nied­ri­ge­re Ein­griffs­schwel­len oder einen weni­ger gewich­ti­gen Rechts­gü­ter­schutz vor­se­hen. Abruf­re­ge­lun­gen mit sol­cher­ma­ßen abge­senk­ten Ver­wen­dungs­re­geln könn­ten zwar die Behör­den – im Rah­men des ver­fas­sungs­recht­lich Zuläs­si­gen – zum Daten­ab­ruf ermäch­ti­gen; die Diens­te­an­bie­ter wären jedoch zur Aus­kunft weder berech­tigt noch ver­pflich­tet (vgl. § 113 Abs. 2 Satz 1 TKG). Der­ar­ti­ge Abruf­re­ge­lun­gen ent­hiel­ten von daher einen mit der Über­mitt­lungs­re­ge­lung von vorn­her­ein unver­ein­ba­ren Norm­be­fehl. Die Ver­wen­dungs­zwe­cke der aus­zu­tau­schen­den Daten müs­sen aber gera­de durch das Zusam­men­wir­ken der Über­mitt­lungs- und Abruf­re­ge­lung nor­men­klar begrenzt sein. Es darf nicht der Anschein erweckt wer­den, dass eine Behör­de los­ge­löst von den in der Über­mitt­lungs­re­ge­lung getrof­fe­nen Ver­wen­dungs­re­geln auf Daten zugrei­fen dürf­te. Dadurch wür­den Zugriffs­mög­lich­kei­ten eröff­net, die miss­bräuch­lich und unvor­her­seh­bar genutzt wer­den könn­ten. 

Ein Wider­spruch zwi­schen Über­mitt­lungs­re­ge­lung und einer weni­ger begrenz­ten Abruf­re­ge­lung könn­te auch nicht dahin auf­ge­löst wer­den, dass ein Daten­aus­tausch nur unter den enge­ren Vor­aus­set­zun­gen der Über­mitt­lungs­re­ge­lung erfol­gen dürf­te. Die Ein­hal­tung die­ser enge­ren Vor­aus­set­zun­gen kön­nen und dür­fen die Diens­te­an­bie­ter in mate­ri­el­ler Hin­sicht nicht über­prü­fen. Sie liegt viel­mehr allein in der Ver­ant­wor­tung der abfra­ge­be­rech­tig­ten Stel­len (vgl. § 113 Abs. 2 Satz 4 TKG) und kann auch nur dort zuver­läs­sig beur­teilt wer­den. Sie wür­den aber durch die fach­recht­li­chen Abruf­re­ge­lun­gen zu einem wei­ter­ge­hen­den Daten­ab­ruf ermäch­tigt, ohne dass eine behör­den­in­ter­ne Kon­trol­le am Maß­stab der Über­mitt­lungs­re­ge­lung gewähr­leis­tet wäre. Auch inso­weit wür­den Zugriffs­mög­lich­kei­ten eröff­net, die rechts­staat­lich nicht mehr ein­ge­hegt und vor­her­seh­bar wären [205].

Aus dem Ver­hält­nis­mä­ßig­keits­grund­satz fol­gen dar­über hin­aus gewis­se über­grei­fen­de Anfor­de­run­gen an Trans­pa­renz, Rechts­schutz und auf­sicht­li­che Kon­trol­le, die sich nach den jewei­li­gen Sach­kom­pe­ten­zen rich­ten und in den Abruf­re­ge­lun­gen sicher­ge­stellt wer­den müs­sen [206] und wel­che sich im Ein­zel­nen nach dem Ein­griffs­ge­wicht der Rege­lun­gen bemes­sen. Ver­fas­sungs­recht­lich gebo­ten sind auch trag­fä­hi­ge Rege­lun­gen zur Nut­zung der Daten sowie zur Daten­lö­schung [207]

Abruf von Bestands­da­ten

Die fach­recht­li­chen Rege­lun­gen, die all­ge­mein zum Abruf von Bestands­da­ten ermäch­ti­gen, genü­gen die­sen ver­fas­sungs­recht­li­chen Anfor­de­run­gen weit­ge­hend nicht. Den über­grei­fen­den ver­fah­rens­recht­li­chen Anfor­de­run­gen wird dem­ge­gen­über inso­weit Genü­ge getan1.

Die Abruf­re­ge­lun­gen schaf­fen aller­dings jeweils hin­rei­chend bestimmt und nor­men­klar spe­zi­fi­sche Ermäch­ti­gungs­grund­la­gen für die durch § 113 TKG zur Über­mitt­lung geöff­ne­ten Daten. Neben der Ermäch­ti­gung der abfra­ge­be­rech­tig­ten Behör­den neh­men die Rege­lun­gen pri­va­te Drit­te in die Pflicht und schaf­fen damit spe­zi­fi­sche Rechts­grund­la­gen, die eigen­stän­dig eine Aus­kunfts­ver­pflich­tung der Diens­te­an­bie­ter begrün­den. Alle Rege­lun­gen bezeich­nen die jeweils abfra­ge­be­rech­tig­te Behör­de und neh­men aus­drück­lich auf die „nach §§ 95 und 111 TKG erho­be­nen Daten“ sowie auf § 113 TKG Bezug. 

Die ange­grif­fe­nen Rege­lun­gen sind jedoch mit Blick auf ihr Ein­griffs­ge­wicht, das sich maß­geb­lich nach Art, Umfang und Ver­wen­dungs­mög­lich­kei­ten der betrof­fe­nen Daten bestimmt, über­wie­gend nicht ver­hält­nis­mä­ßig aus­ge­stal­tet. Fast alle Rege­lun­gen set­zen kei­ne den Daten­ab­ruf begren­zen­den Ein­griffs­schwel­len vor­aus und ent­hal­ten sol­che auch nicht durch nor­men­kla­re Ver­wei­sun­gen. 

Die all­ge­mein zum Abruf von Bestands­da­ten ermäch­ti­gen­den § 10 Abs. 1 Satz 1 BKAG, § 7 Abs. 5 Satz 1, § 15 Abs. 2 Satz 1 ZFdG, § 8d Abs. 1 Satz 1 BVerfSchG sowie § 2b Satz 1 BNDG und § 4b Satz 1 MADG, soweit sie auf § 8d Abs. 1 Satz 1 BVerfSchG ver­wei­sen, sind nicht hin­rei­chend ein­ge­grenzt und dar­um unver­hält­nis­mä­ßig. 

Abrufs­be­fug­nis des Bun­des­kri­mi­nal­amts

§ 10 Abs. 1 Satz 1 Nr. 1 BKAG ermäch­tigt das Bun­des­kri­mi­nal­amt als Zen­tral­stel­le für das poli­zei­li­che Aus­kunfts- und Nach­rich­ten­we­sen und für die Kri­mi­nal­po­li­zei zum Abruf von Bestands­da­ten. Die Vor­schrift setzt allein die Erfor­der­lich­keit der Aus­kunft zur Erfül­lung einer dem Bun­des­kri­mi­nal­amt nach § 2 Abs. 2 Nr. 1 oder Abs. 6 BKAG oblie­gen­den Auf­ga­be vor­aus, ohne begren­zen­de Ein­griffs­schwel­len vor­zu­se­hen. 

Das Bun­des­kri­mi­nal­amt ist als Zen­tral­stel­le im Wesent­li­chen auf die Wahr­neh­mung von Koor­di­na­ti­ons­auf­ga­ben beschränkt [208]. Poli­zei­li­che Auf­ga­ben der Gefah­ren­ab­wehr und Straf­ver­fol­gung sind inso­weit nicht über­tra­gen, son­dern wer­den dort nur koor­di­niert und infor­ma­tio­nell ver­klam­mert. Im Rah­men sei­ner Zen­tral­stel­len­auf­ga­ben unter­stützt das Bun­des­kri­mi­nal­amt die Poli­zei­be­hör­den bei der Ver­hü­tung und Ver­fol­gung von Straf­ta­ten mit län­der­über­grei­fen­der, inter­na­tio­na­ler oder erheb­li­cher Bedeu­tung (§ 2 Abs. 1 BKAG). Zur Wahr­neh­mung die­ser Auf­ga­be hat es alle hier­für erfor­der­li­chen Infor­ma­tio­nen zu sam­meln und aus­zu­wer­ten (§ 2 Abs. 2 Nr. 1 BKAG) sowie unter ande­rem stra­te­gi­sche und ope­ra­ti­ve kri­mi­nal­po­li­zei­li­che Ana­ly­sen zu erstel­len und Ein­rich­tun­gen für kri­mi­nal­tech­ni­sche Unter­su­chun­gen zu unter­hal­ten und zu koor­di­nie­ren (vgl. § 2 Abs. 6 BKAG). Soweit es zur Erfül­lung die­ser Auf­ga­ben erfor­der­lich ist, ermäch­tigt § 10 Abs. 1 Satz 1 Nr. 1 BKAG dazu, Bestands­da­ten abzu­fra­gen. 

Dabei ent­hält die Vor­schrift kei­ne ihre Reich­wei­te näher begren­zen­den Ein­griffs­schwel­len. Viel­mehr erlaubt sie einen Daten­ab­ruf schon dann, wenn die­ser zur Wahr­neh­mung der genann­ten Auf­ga­ben erfor­der­lich ist. Der Ein­griffs­an­lass wird auch nicht dadurch begrenzt, dass Bestands­da­ten gemäß § 10 Abs. 1 Satz 1 Nr. 1 BKAG nur zur Ergän­zung vor­han­de­ner Sach­ver­hal­te oder sonst zu Zwe­cken der Aus­wer­tung erho­ben wer­den dür­fen. Die Daten­er­he­bung bleibt damit zwar auf den vor­han­de­nen Infor­ma­ti­ons­stand beschränkt, der nur ergänzt oder aus­ge­wer­tet wer­den darf, wes­halb die Vor­schrift kei­ne Daten­er­he­bun­gen abdeckt, durch die völ­lig neue Erkennt­nis­se erst­mals gewon­nen wer­den sol­len [209]. Gleich­wohl ändert die­se Beschrän­kung nichts am Vor­feld­cha­rak­ter der Aus­wer­tungs­tä­tig­keit. 

Die Vor­schrift kann auch nicht – anders als noch die frü­he­re Über­mitt­lungs­re­ge­lung in § 113 TKG a.F. [157] – ver­stän­dig dahin aus­ge­legt wer­den, dass sie bezo­gen auf die Gefah­ren­ab­wehr eine kon­kre­te oder hin­rei­chend kon­kre­ti­sier­te Gefahr vor­aus­setzt. Denn der Rege­lung fehlt es nicht nur an einer Ein­griffs­schwel­le, son­dern bereits an einer Beschrän­kung auf den Ein­zel­fall, was – neben dem Erfor­der­nis der Erfor­der­lich­keit zur Auf­ga­ben­wahr­neh­mung – grund­le­gend für eine ent­spre­chen­de Aus­le­gung ist [210]

Soweit das Bun­des­kri­mi­nal­amt als Zen­tral­stel­le auch im Bereich der Straf­ver­fol­gung zur Abfra­ge von Bestands­da­ten ermäch­tigt wird, kommt § 10 Abs. 1 Satz 1 Nr. 1 BKAG von vorn­her­ein nicht als Ermäch­ti­gungs­grund­la­ge in Betracht. Han­delt es sich um rein repres­si­ves Han­deln, erfor­dert der Daten­ab­ruf das Vor­lie­gen zumin­dest eines Anfangs­ver­dachts. Sobald aber ein sol­cher vor­liegt, fin­det grund­sätz­lich die Straf­pro­zess­ord­nung mit ihren Ver­fah­rens­ga­ran­tien Anwen­dung und das Bun­des­kri­mi­nal­amt müss­te gemäß § 2 Abs. 2 Nr. 2 BKAG die zustän­di­ge Straf­ver­fol­gungs­be­hör­de des Bun­des oder der Län­der unter­rich­ten und den Vor­gang an die­se abge­ben. Der Abruf von Bestands­da­ten rich­tet sich dann nicht mehr nach der hier ange­grif­fe­nen Abruf­re­ge­lung, son­dern allein nach § 100j StPO [211]. Eine Befug­nis des Bun­des­kri­mi­nal­amts als Zen­tral­stel­le zur Bestands­da­ten­ab­fra­ge kann vor die­sem Hin­ter­grund im Bereich der Straf­ver­fol­gung grund­sätz­lich nicht bestehen [212]. Soweit es – wie die Anwen­dungs­bei­spie­le aus der Pra­xis zei­gen – not­wen­dig sein soll­te, in einem kon­kre­ten Fall die ört­lich zustän­di­ge Straf­ver­fol­gungs­be­hör­de zu ermit­teln, um den Vor­gang dann zustän­dig­keits­hal­ber an die­se abzu­ge­ben oder um zeit­kri­ti­sche Anfra­gen im inter­na­tio­na­len poli­zei­li­chen Dienst­ver­kehr zu bear­bei­ten [27], betrifft die­se Koor­di­nie­rungs­auf­ga­be zwar den Kern der Zen­tral­stel­len­funk­ti­on des Bun­des­kri­mi­nal­am­tes. Für eine Befug­nis zum Daten­ab­ruf durch das Bun­des­kri­mi­nal­amt als Zen­tral­stel­le fehlt jedoch eine – ver­fas­sungs­recht­lich nicht aus­ge­schlos­se­ne – Rege­lung dahin, dass und unter wel­chen Vor­aus­set­zun­gen § 10 Abs. 1 Satz 1 Nr. 1 BKAG hier anwend­bar sein kann. 

§ 10 Abs. 1 Satz 1 Nr. 2 und 3 BKAG, die das Bun­des­kri­mi­nal­amt im Rah­men des Schut­zes von Ver­fas­sungs­or­ga­nen und der eige­nen Lei­tung (§ 6 BKAG) sowie des Zeu­gen­schut­zes (§ 7 BKAG) zum Daten­ab­ruf ermäch­ti­gen, soweit die ver­lang­te Aus­kunft zur Erfül­lung die­ser Auf­ga­ben erfor­der­lich ist, sind eben­falls nicht hin­rei­chend begrenzt. Einen kon­kre­ten Ein­griffs­an­lass set­zen weder die Rege­lun­gen selbst noch die in Bezug genom­me­nen Auf­ga­ben­nor­men in §§ 6 und 7 BKAG vor­aus. Zwar geht die Begrün­dung des Gesetz­ent­wurfs davon aus, dass in die­sen Fäl­len eine kon­kre­te Gefahr bestehen wird [213]. Der Geset­zes­text lässt dies jedoch nicht erken­nen. Ins­be­son­de­re wer­den die mit den Auf­ga­ben­zu­wei­sun­gen in §§ 6 und 7 BKAG kor­re­spon­die­ren­den all­ge­mei­nen Befug­nis­nor­men in §§ 63 bis 65 und § 66 BKAG, die jeweils eine im Ein­zel­fall bestehen­de Gefahr oder auch ande­re Ein­griffs­schwel­len vor­aus­set­zen, nicht in Bezug genom­men. Unab­hän­gig davon bestehen im Hin­blick auf den all­ge­mei­nen Ver­weis auf die Auf­ga­ben des Bun­des­kri­mi­nal­amts nach §§ 6 und 7 BKAG auch Beden­ken, ob dies dem Bestimmt­heits­er­for­der­nis genügt [214].

Auch die in den § 15 Abs. 2 Satz 1 und § 7 Abs. 5 Satz 1 ZFdG gere­gel­ten Befug­nis­se zum Abruf von Bestands­da­ten sind nicht hin­rei­chend ein­ge­grenzt und des­halb unver­hält­nis­mä­ßig. Von daher bedarf es kei­ner Ent­schei­dung, ob die in bei­den Nor­men gewähl­te Rege­lungs­tech­nik mit Ver­wei­sun­gen und zahl­rei­chen Wei­ter­ver­wei­sun­gen noch den Anfor­de­run­gen an eine hin­rei­chen­de Nor­men­klar­heit genügt [215].

§ 15 Abs. 2 Satz 1 ZFdG ermäch­tigt das Zoll­kri­mi­nal­amt, zur Erfül­lung sei­ner Auf­ga­ben nach § 4 Abs. 2 bis 4 ZFdG Bestands­da­ten abzu­fra­gen. Die Vor­schrift knüpft allein an die Erfor­der­lich­keit zur Erfül­lung der Auf­ga­ben des Zoll­kri­mi­nal­amts bei der Über­wa­chung des Außen­wirt­schafts­ver­kehrs, des grenz­über­schrei­ten­den Waren­ver­kehrs und der Bekämp­fung der inter­na­tio­nal orga­ni­sier­ten Geld­wä­sche an. Die blo­ße Erfül­lung der ver­schie­de­nen Auf­ga­ben setzt jedoch kei­nen Ein­griffs­an­lass vor­aus [216]

Soweit dem Zoll­kri­mi­nal­amt nach § 4 Abs. 2 und 3 ZFdG die Auf­de­ckung unbe­kann­ter Straf­ta­ten und die Vor­sor­ge für künf­ti­ge Straf­ver­fah­ren als jeweils repres­siv-poli­zei­li­che Auf­ga­ben oblie­gen [217], kann § 15 Abs. 2 Satz 1 ZFdG von vorn­her­ein nicht zum Daten­ab­ruf ermäch­ti­gen. Das Glei­che gilt im Ergeb­nis, soweit das Zoll­kri­mi­nal­amt bei der Bekämp­fung der inter­na­tio­nal orga­ni­sier­ten Geld­wä­sche nach § 4 Abs. 4 ZFdG mit­wirkt und inso­weit – neben der prä­ven­ti­ven Über­wa­chung des Geld­ver­kehrs – ori­gi­när straf­ver­fol­gend tätig wird (vgl. § 12b, § 31a Abs. 6 Zoll­ver­wal­tungs­ge­setz – ZollVG) [218]

Die Erwä­gun­gen zu § 10 Abs. 1 Satz 1 Nr. 1 BKAG und § 15 Abs. 2 Satz 1 ZFdG las­sen sich weit­ge­hend auf § 7 Abs. 5 Satz 1 ZFdG über­tra­gen, der das Zoll­kri­mi­nal­amt zur Abfra­ge von Bestands­da­ten zur Erfül­lung sei­ner Auf­ga­ben als Zen­tral­stel­le nach § 3 ZFdG ermäch­tigt. Die dort bestimm­ten Auf­ga­ben sind noch wei­ter gefasst als die von § 10 Abs. 1 Satz 1 Nr. 1 BKAG in Bezug genom­me­nen Zen­tral­stel­len­auf­ga­ben des Bun­des­kri­mi­nal­amts. Das Zoll­kri­mi­nal­amt unter­stützt ande­re Behör­den der Zoll­ver­wal­tung bei der Siche­rung des Steu­er­auf­kom­mens und der Über­wa­chung der Aus­ga­ben nach Uni­ons­recht sowie der Auf­de­ckung unbe­kann­ter Steu­er­fäl­le und der Auf­de­ckung, Ver­hü­tung und Ver­fol­gung von Steu­er­straf­ta­ten und ‑ord­nungs­wid­rig­kei­ten (§ 3 Abs. 1 ZFdG). Sei­ne Auf­ga­ben umfas­sen eben­falls Daten­er­he­bun­gen weit im Vor­feld einer Gefah­ren­la­ge, ins­be­son­de­re auch zur Samm­lung und Aus­wer­tung von Infor­ma­tio­nen unter ande­rem für kri­mi­nal­wis­sen­schaft­li­che und ‑tech­ni­sche Ein­rich­tun­gen (§ 3 Abs. 8 und 9 Nr. 1 ZFdG). Soweit sich die Auf­ga­ben im prä­ven­tiv-poli­zei­li­chen Bereich bewe­gen, wird eine begren­zen­de Ein­griffs­schwel­le an kei­ner Stel­le vor­aus­ge­setzt. Soweit sich die Zen­tral­stel­len­auf­ga­ben auch im repres­si­ven Bereich bewe­gen (vgl. etwa § 3 Abs. 1 Satz 1 Nr. 2 ZFdG), was der Gesetz­ge­ber offen­sicht­lich nicht im Blick hat­te [213], ist der Anwen­dungs­be­reich des § 7 Abs. 5 Satz 1 ZFdG von vorn­her­ein nicht eröff­net.

§ 8d Abs. 1 Satz 1 BVerfSchG sowie § 2b Satz 1 BNDG und § 4b Satz 1 MADG, soweit sie auf § 8d Abs. 1 Satz 1 BVerfSchG ver­wei­sen, genü­gen gleich­falls nicht den Anfor­de­run­gen an die Ver­hält­nis­mä­ßig­keit im enge­ren Sin­ne. Die Rege­lun­gen ent­hal­ten weder begren­zen­de Ein­griffs­schwel­len noch eine Beschrän­kung auf den Ein­zel­fall, son­dern stel­len ein­zig auf die Erfor­der­lich­keit zur Erfül­lung der Auf­ga­be des jewei­li­gen Diens­tes ab. Umfasst wer­den daher auch allein stra­te­gi­sche Aus­kunfts­in­ter­es­sen oder die Abrun­dung eige­ner Infor­ma­ti­ons­be­stän­de. Ent­ge­gen der Annah­me der Bun­des­re­gie­rung ist die Auf­ga­be des Bun­des­amts für Ver­fas­sungs­schutz auch nicht auf die Auf­klä­rung bestimm­ter Beob­ach­tungs­ob­jek­te beschränkt. § 3 Abs. 1 BVerfSchG weist dem Bun­des­amt ohne Ein­schrän­kung die Samm­lung und Aus­wer­tung von Infor­ma­tio­nen, ins­be­son­de­re von sach- und per­so­nen­be­zo­ge­nen Aus­künf­ten, Nach­rich­ten und Unter­la­gen über die dort genann­ten Bestre­bun­gen und Tätig­kei­ten zu. Dies lässt nicht den Schluss zu, dass die Aus­kunft auch im Ein­zel­fall zumin­dest zur Auf­klä­rung einer bestimm­ten beob­ach­tungs­be­dürf­ti­gen Akti­on oder Grup­pie­rung selbst erfor­der­lich sein müss­te.

Nur teil­wei­se den Anfor­de­run­gen der Ver­hält­nis­mä­ßig­keit genügt § 40 Abs. 1 Satz 1 BKAG, der das Bun­des­kri­mi­nal­amt all­ge­mein zum Abruf von Bestands­da­ten ermäch­tigt, soweit dies für die Erfor­schung eines Sach­ver­halts oder die Ermitt­lung des Auf­ent­halts einer Per­son nach Maß­ga­be des § 39 Abs. 1 und 2 BKAG erfor­der­lich ist.

Nicht ver­hält­nis­mä­ßig im enge­ren Sin­ne ist § 40 Abs. 1 Satz 1 BKAG, soweit er auf § 39 Abs. 1 BKAG Bezug nimmt. Der als Befug­nis­norm aus­ge­stal­te­te § 39 Abs. 1 BKAG ver­weist sei­ner­seits auf § 5 Abs. 1 BKAG, der die Auf­ga­be des Bun­des­kri­mi­nal­amts zur Abwehr von Gefah­ren des inter­na­tio­na­len Ter­ro­ris­mus beschreibt. Als Auf­ga­ben­norm umfasst § 5 Abs. 1 BKAG Ermitt­lun­gen auch weit im Vor­feld kon­kre­ter Gefah­ren (vgl. zu § 4a Abs. 1 Satz 1 BKAG a.F. BVerfGE 141, 220, 331 Rn. 297). Die­se tat­be­stand­li­che Wei­te wird durch die wei­te­ren Glie­der der Ver­wei­sungs­ket­te nicht ein­ge­hegt. Weder § 40 BKAG selbst noch § 39 BKAG set­zen begren­zen­de Ein­griffs­schwel­len oder auch nur einen Ein­zel­fall­be­zug vor­aus. Viel­mehr erlau­ben sie den Daten­ab­ruf bereits dann, wenn die Aus­kunft all­ge­mein dazu die­nen kann, Gefah­ren des inter­na­tio­na­len Ter­ro­ris­mus zu begeg­nen. 

Zwar bestimmt der den 5. Abschnitt des Bun­des­kri­mi­nal­amt­ge­set­zes ein­lei­ten­de § 38 Abs.?1 BKAG, dass das Bun­des­kri­mi­nal­amt zur Erfül­lung sei­ner Auf­ga­be nach § 5 Abs. 1 Satz 1 BKAG die not­wen­di­gen Maß­nah­men tref­fen kann, um eine Gefahr abzu­wen­den, und § 38 Abs. 2 BKAG kon­kre­ti­siert eine Gefahr im Sin­ne die­ses Abschnitts als eine im Ein­zel­fall bestehen­de Gefahr für die öffent­li­che Sicher­heit im Zusam­men­hang mit Straf­ta­ten nach § 5 Abs. 1 Satz 2 BKAG [219]. § 38 Abs. 1 BKAG gilt aber von vorn­her­ein nur, soweit die Befug­nis­se des Bun­des­kri­mi­nal­amts nicht beson­ders gere­gelt sind. §§ 39 und 40 BKAG stel­len jedoch sol­che beson­de­ren Rege­lun­gen dar und set­zen ihrer­seits gera­de kei­ne Gefahr vor­aus (anders als etwa § 20g Abs. 1 Satz 1 Nr. 1 BKAG a.F.) [220]. Sie gehen daher in ihrem Anwen­dungs­be­reich § 38 BKAG vor; nur soweit Befug­nis­nor­men über­haupt eine Gefahr vor­aus­set­zen, kann auf § 38 Abs. 2 BKAG zurück­ge­grif­fen wer­den [221].

Auch die wei­te­re tat­be­stand­li­che Vor­aus­set­zung des § 40 Abs. 1 Satz 1 BKAG, dass der Daten­ab­ruf zur Erfor­schung eines Sach­ver­halts oder des Auf­ent­halts­orts einer Per­son erfor­der­lich sein muss, führt zu kei­ner hin­rei­chen­den Begren­zung der Abruf­re­ge­lung. Die Bedeu­tung die­ses im Straf­pro­zess­recht übli­chen Zusat­zes (vgl. etwa § 100a Abs. 1 Satz 1 Nr. 3, § 100f Abs. 1 StPO) im Zusam­men­hang mit Auf­ga­ben der Gefah­ren­ab­wehr erschließt sich hier nicht.

Soweit § 40 Abs. 1 Satz 1 BKAG auf § 39 Abs. 2 Nr. 1 BKAG Bezug nimmt, feh­len jeden­falls hin­rei­chend begrenz­te Ein­griffs­schwel­len. 

In dem gegen­über § 39 Abs. 1 BKAG spe­zi­el­le­ren § 39 Abs. 2 BKAG wird die Erhe­bung per­so­nen­be­zo­ge­ner Daten zur Ver­hü­tung von Straf­ta­ten gere­gelt, die nur unter enge­ren Vor­aus­set­zun­gen zuge­las­sen wird [222]. § 39 Abs. 2 BKAG ergänzt die auf die Gefah­ren­ab­wehr beschränk­te Ein­griffs­grund­la­ge des § 39 Abs. 1 BKAG und setzt aus­drück­lich schon frü­her, näm­lich bereits bei der Ver­hü­tung künf­ti­ger Straf­ta­ten an. § 40 Abs. 1 Satz 1 BKAG in Ver­bin­dung mit § 39 Abs. 2 Nr. 1 BKAG ermäch­tigt zum Abruf von Bestands­da­ten im Bereich des inter­na­tio­na­len Ter­ro­ris­mus, soweit Tat­sa­chen die Annah­me recht­fer­ti­gen, dass eine Per­son eine Straf­tat nach § 5 Abs. 1 Satz 2 BKAG bege­hen will.

Zwar ist der Gesetz­ge­ber nicht von vorn­her­ein auf die Schaf­fung von Ein­griff­s­tat­be­stän­den beschränkt, die der Abwehr kon­kre­ter Gefah­ren die­nen. Aller­dings bedarf es auch bei Maß­nah­men zur Straf­ta­ten­ver­hü­tung zumin­dest einer auf bestimm­te Tat­sa­chen und nicht allein auf all­ge­mei­ne Erfah­rungs­sät­ze gestütz­ten Pro­gno­se, die auf eine kon­kre­te Gefahr bezo­gen ist. Grund­sätz­lich gehört hier­zu, dass ein wenigs­tens sei­ner Art nach kon­kre­ti­sier­tes und zeit­lich abseh­ba­res Gesche­hen erkenn­bar ist [223]. Ins­be­son­de­re in Bezug auf ter­ro­ris­ti­sche Straf­ta­ten kann der Gesetz­ge­ber statt­des­sen aber auch dar­auf abstel­len, ob das indi­vi­du­el­le Ver­hal­ten einer Per­son die kon­kre­te Wahr­schein­lich­keit begrün­det, dass sie in über­schau­ba­rer Zukunft sol­che Straf­ta­ten bege­hen wird [224]

Dem wird § 39 Abs. 2 Nr. 1 BKAG, der im Wesent­li­chen dem ver­fas­sungs­recht­lich bean­stan­de­ten § 20g Abs. 1 Satz 1 Nr. 2 BKAG a.F. ent­spricht [225], nicht gerecht. Zwar knüpft er an die mög­li­che Bege­hung ter­ro­ris­ti­scher Straf­ta­ten an und ver­langt das Vor­lie­gen von Tat­sa­chen, die dar­auf schlie­ßen las­sen. Die Rege­lung setzt aber weder die Erkenn­bar­keit eines wenigs­tens sei­ner Art nach kon­kre­ti­sier­ten und abseh­ba­ren Gesche­hens vor­aus noch alter­na­tiv, dass das indi­vi­du­el­le Ver­hal­ten einer Per­son die kon­kre­te Wahr­schein­lich­keit begrün­det, dass sie in über­schau­ba­rer Zukunft Straf­ta­ten bege­hen wird [225]. Sie ent­hält damit kei­ne begren­zen­den Anfor­de­run­gen an die Vor­her­seh­bar­keit des Kau­sal­ver­laufs. 

Kei­nen ver­fas­sungs­recht­li­chen Beden­ken unter­liegt dem­ge­gen­über § 40 Abs. 1 Satz 1 BKAG, soweit er auf § 39 Abs. 2 Nr. 2 BKAG Bezug nimmt. 

§ 39 Abs. 2 Nr. 2 BKAG erlaubt den Daten­ab­ruf gegen­über Kon­takt­per­so­nen und ent­spricht für sich genom­men weit­ge­hend dem vom Bun­des­ver­fas­sungs­ge­richt ver­fas­sungs­recht­lich nicht bean­stan­de­ten § 20g Abs. 1 Satz 1 Nr. 3 in Ver­bin­dung mit § 20b Abs. 2 Nr. 2 BKAG a.F. [226]. Der Gesetz­ge­ber eröff­net hier kei­ne ins Blaue hin­ein­ge­hen­de Mög­lich­keit der Über­wa­chung des gesam­ten Umfelds einer Ziel­per­son. Die Vor­schrift ver­langt viel­mehr eine im Ein­zel­nen defi­nier­te Tat­nä­he. Tat­sa­chen, die die Annah­me recht­fer­ti­gen, dass eines der genann­ten Nähe­kri­te­ri­en vor­liegt, sind dem­nach Vor­aus­set­zung für ent­spre­chen­de Maß­nah­men [227]. Auch die mit Her­ab­set­zung der Ein­griffs­schwel­le ein­her­ge­hen­den erhöh­ten Anfor­de­run­gen an das Gewicht der zu schüt­zen­den Rechts­gü­ter sind ohne wei­te­res erfüllt. Ange­sichts des begrenz­ten Ein­griffs­ge­wichts der all­ge­mei­nen Bestands­da­ten­aus­kunft bedarf es einer Begren­zung auf die Ver­hü­tung von Straf­ta­ten von zumin­dest erheb­li­chem Gewicht. Die Ver­hü­tung der im Ein­zel­nen prä­zi­sier­ten (vgl. § 5 Abs. 1 Satz 2 BKAG) ter­ro­ris­ti­schen Straf­ta­ten [228] genügt dem alle­mal.

Abrufs­be­fug­nis der Bun­des­po­li­zei

§ 22a Abs. 1 Satz 1 BPolG, der die Bun­des­po­li­zei zum Abruf von Bestands­da­ten ermäch­tigt, soweit dies für die Erfor­schung des Sach­ver­halts oder die Ermitt­lung des Auf­ent­halts­or­tes einer Per­son nach Maß­ga­be des § 21 Abs. 1 und 2 BPolG erfor­der­lich ist, genügt den ver­fas­sungs­recht­li­chen Anfor­de­run­gen eben­falls nur teil­wei­se.

Nicht ver­hält­nis­mä­ßig ist § 22a Abs. 1 Satz 1 BPolG, soweit er auf § 21 Abs. 1 BPolG ver­weist. § 21 Abs. 1 BPolG, der den Abruf von Bestands­da­ten von vorn­her­ein nur zu prä­ven­tiv-poli­zei­li­chen Zwe­cken und nicht zur Ver­fol­gung von Straf­ta­ten und Ord­nungs­wid­rig­kei­ten gemäß §§ 12, 13 BPolG gestat­tet [229], setzt ledig­lich vor­aus, dass ein Abruf zum Zweck einer der Bun­des­po­li­zei oblie­gen­den Auf­ga­be erfor­der­lich ist. Damit wer­den alle Auf­ga­ben erfasst, die der Bun­des­po­li­zei durch das Bun­des­po­li­zei­ge­setz oder ande­re Bun­des­ge­set­ze zuge­wie­sen wor­den sind (§ 1 Abs.?2 BPolG). Weder § 22a Abs. 1 Satz 1 BPolG noch § 21 Abs. 1 BPolG ent­hal­ten dabei ihre Reich­wei­te begren­zen­de Ein­griffs­schwel­len oder auch nur eine Begren­zung des Abrufs auf Ein­zel­fäl­le [230]. Zwar kon­kre­ti­siert § 14 Abs. 2 BPolG eine Gefahr im Sin­ne des Abschnitts 2 des Bun­des­po­li­zei­ge­set­zes als kon­kre­te Gefahr. § 21 BPolG geht jedoch als spe­zi­el­le­re Rege­lung der Gene­ral­klau­sel in § 14 BPolG vor und schließt damit einen Rück­griff auf die­se aus [231]

§ 22a Abs. 1 Satz 1 BPolG ist auch nicht hin­rei­chend begrenzt, soweit er auf § 21 Abs. 2 Nr. 1 BPolG ver­weist. § 21 Abs.?2 BPolG ent­hält die gegen­über Absatz 1 spe­zi­el­le­re Befug­nis zur Erhe­bung per­so­nen­be­zo­ge­ner Daten zum Zwe­cke der Ver­hü­tung von Straf­ta­ten. Er betrifft in Num­mer 1 die Daten eines mög­li­cher­wei­se künf­ti­gen Täters. Eine Daten­er­he­bung wird inso­weit zwar nur zuge­las­sen, wenn Tat­sa­chen die Annah­me recht­fer­ti­gen, dass eine Per­son eine Straf­tat mit erheb­li­cher Bedeu­tung im Sin­ne des § 12 Abs.?1 BPolG bege­hen will. § 21 Abs. 2 Nr. 1 BPolG ent­hält jedoch – eben­so wie § 39 Abs. 2 Nr. 1 BKAG – kei­ne hin­rei­chend aus­ge­stal­te­ten Pro­gno­se­an­for­de­run­gen [225].

Dage­gen genügt § 22a Abs. 1 Satz 1 BPolG, soweit er auf § 21 Abs. 2 Nr. 2 BPolG ver­weist, für sich genom­men den ver­fas­sungs­recht­li­chen Anfor­de­run­gen. Zwar bestimmt die Rege­lung, die die Kon­takt­per­so­nen erfasst, kei­ne ins Ein­zel­ne gehen­den kon­kre­ten Nähe­kri­te­ri­en [232], son­dern setzt allein vor­aus, dass Tat­sa­chen die Annah­me recht­fer­ti­gen, dass die Kon­takt­per­son zu einer Ziel­per­son in einer Wei­se in Ver­bin­dung steht, die erwar­ten lässt, dass eine Maß­nah­me zur Straf­ta­ten­ver­hü­tung füh­ren wird, oder eine sol­che Ver­bin­dung her­ge­stellt wird. Der Gesetz­ge­ber eröff­net hier aber kei­ne ins Blaue gehen­de Mög­lich­keit der Über­wa­chung des gesam­ten Umfelds einer Ziel­per­son. Es muss viel­mehr jen­seits all­ge­mei­ner Erfah­rungs­sät­ze eine auf Tat­sa­chen gestütz­te kon­kre­te Erwar­tung begrün­det sein. In der Anwen­dung der Vor­schrift kön­nen daher der blo­ße Kon­takt oder die per­sön­li­che Nähe des Betref­fen­den zur Ziel­per­son die Vor­aus­set­zun­gen der Rege­lung nicht erfül­len. Dies genügt den Anfor­de­run­gen an die Vor­her­seh­bar­keit des Kau­sal­ver­laufs. 

Auch die mit Her­ab­set­zung der Ein­griffs­schwel­le ein­her­ge­hen­den erhöh­ten Anfor­de­run­gen an das Gewicht der zu schüt­zen­den Rechts­gü­ter sind erfüllt. Die Abruf­be­fug­nis ist beschränkt auf die Ver­hü­tung von Straf­ta­ten im Sin­ne des § 12 Abs. 1 BPolG mit erheb­li­cher Bedeu­tung. Wenn­gleich nicht ersicht­lich ist, wel­che kon­kre­ten Straf­vor­schrif­ten zu einer Abfra­ge von Bestands­da­ten ermäch­ti­gen, wer­den die­se zumin­dest ihrer Art nach bezeich­net. 

Abruf von Zugangs­da­ten

Die ange­grif­fe­nen Befug­nis­se zum Abruf von Zugangs­da­ten (vgl. § 10 Abs. 1 Satz 2, § 40 Abs. 1 Satz 2 BKAG, § 22a Abs. 1 Satz 2 BPolG, § 7 Abs. 5 Satz 2, § 15 Abs. 2 Satz 2 ZFdG, § 8d Abs. 1 Satz 2 BVerfSchG sowie § 2b Satz 1 BNDG und § 4b Satz 1 MADG, soweit sie auf § 8d Abs. 1 Satz 2 BVerfSchG ver­wei­sen) sind für sich genom­men hin­rei­chend begrenzt und ver­hält­nis­mä­ßig. Sie genü­gen auch den über­grei­fen­den ver­fah­rens­recht­li­chen Anfor­de­run­gen.

Alle Abruf­re­ge­lun­gen set­zen gleich­lau­tend vor­aus, dass eine Aus­kunft nur ver­langt wer­den darf, wenn die gesetz­li­chen Vor­aus­set­zun­gen für die Nut­zung der Daten vor­lie­gen. Die Rege­lun­gen stel­len damit sicher, dass Zugangs­da­ten nicht unab­hän­gig von den Anfor­de­run­gen an deren Nut­zung und damit gege­be­nen­falls unter leich­te­ren Vor­aus­set­zun­gen abge­fragt wer­den kön­nen [233]. Ent­ge­gen der Auf­fas­sung der Beschwer­de­füh­ren­den bedurf­te es kei­ner dar­über hin­aus­ge­hen­den abschlie­ßen­den Auf­lis­tung der jeweils in Betracht kom­men­den Ermäch­ti­gungs­grund­la­gen, die zu einer Nut­zung der Daten berech­ti­gen kön­nen. Die Fas­sung der Nor­men lässt kei­ne Zwei­fel dar­an, dass die Zuläs­sig­keit des Abrufs an die Vor­aus­set­zun­gen gebun­den ist, die bezo­gen auf den in der Abfra­ge­si­tua­ti­on kon­kret erstreb­ten Nut­zungs­zweck zu erfül­len sind [234], mit­hin, dass die Vor­aus­set­zun­gen einer wei­te­ren Ermäch­ti­gungs­grund­la­ge, die eine sol­che Nut­zung erlaubt, erfüllt sein müs­sen. Unklar­hei­ten dar­über, wel­che Nor­men hier in Betracht kom­men kön­nen, bestehen nicht. 

Dabei ist es von Ver­fas­sungs wegen unbe­acht­lich, dass es für den Abruf von Zugangs­da­ten nach § 10 Abs. 1 Satz 1 Nr. 1, Satz 2 BKAG und § 7 Abs. 5 Satz 2 ZFdG kei­nen prak­ti­schen Anwen­dungs­be­reich gibt, weil weder das Bun­des­kri­mi­nal­amt noch das Zoll­kri­mi­nal­amt im Rah­men ihrer prä­ven­tiv-poli­zei­li­chen Zen­tral­stel­len­funk­ti­on über eine eigen­stän­di­ge Befug­nis zur Nut­zung von nicht offen zugäng­li­chen Inhalts­da­ten ver­fü­gen, die sie zum Abruf von Zugangs­da­ten berech­ti­gen wür­de. 

Abruf von anhand dyna­mi­scher IP-Adres­sen bestimm­ter Bestands­da­ten

Die Rege­lun­gen zum Abruf von Bestands­da­ten, die anhand einer dyna­mi­schen IP-Adres­se bestimmt wer­den (§ 10 Abs. 2, § 40 Abs. 2 BKAG, § 22a Abs. 2 BPolG, § 7 Abs. 6, § 15 Abs. 3 ZFdG, § 8d Abs. 2 Satz 1 BVerfSchG sowie § 2b Satz 1 BNDG und § 4b Satz 1 MADG, soweit sie auf § 8d Abs. 2 Satz 1 BVerfSchG ver­wei­sen) sind ganz über­wie­gend nicht hin­rei­chend ein­ge­grenzt und schon des­halb unver­hält­nis­mä­ßig. Allein § 40 Abs. 2 BKAG genügt, soweit er auf § 39 Abs. 2 Nr. 2 BKAG Bezug nimmt, inso­weit den ver­fas­sungs­recht­li­chen Anfor­de­run­gen; er erfüllt jedoch sei­ner­seits nicht die über­grei­fen­den ver­fah­rens­recht­li­chen Anfor­de­run­gen.

Zwar ist es aus Grün­den der Ver­hält­nis­mä­ßig­keit grund­sätz­lich nicht gebo­ten, für den Abruf von Bestands­da­ten, die anhand dyna­mi­scher IP-Adres­sen bestimmt wer­den, gegen­über der all­ge­mei­nen Bestands­da­ten­ab­fra­ge erhöh­te Ein­griffs­schwel­len vor­zu­se­hen. Erfor­der­lich ist aber stets ein hin­rei­chend gewich­ti­ger Rechts­gü­ter­schutz, der in Wech­sel­wir­kung mit der jewei­li­gen Ein­griffs­schwel­le steht. Für die Zuord­nung von IP-Adres­sen bedarf es selbst dann, wenn Ein­griffs­schwel­len vor­ge­se­hen wer­den, die bezo­gen auf die Gefah­ren­ab­wehr eine kon­kre­te Gefahr und bezo­gen auf die Straf­ver­fol­gung einen Anfangs­ver­dacht vor­aus­set­zen, einer Beschrän­kung der Ein­griffs­be­fug­nis auf den Schutz von Rechts­gü­tern von her­vor­ge­ho­be­nem Gewicht. Sind die Ein­griffs­schwel­len hin­ge­gen her­ab­ge­setzt und will der Gesetz­ge­ber für die Aus­kunft die Abwehr kon­kre­ti­sier­ter Gefah­ren genü­gen las­sen, ist unter Berück­sich­ti­gung des spe­zi­fi­schen Ein­griffs­ge­wichts der Zuord­nung dyna­mi­scher IP-Adres­sen jeden­falls eine Beschrän­kung auf beson­ders gewich­ti­ge Rechts­gü­ter gebo­ten. Die­sen ver­fas­sungs­recht­li­chen Anfor­de­run­gen wer­den die ange­grif­fe­nen Rege­lun­gen – zusätz­lich zu dem weit­ge­hen­den Feh­len begren­zen­der Ein­griffs­schwel­len – über­wie­gend nicht gerecht. 

Die Abruf­re­ge­lun­gen in § 10 Abs. 2 BKAG, § 40 Abs. 2 in Ver­bin­dung mit § 39 Abs. 1 und 2 Nr. 1 BKAG, § 22a Abs. 2 in Ver­bin­dung mit § 21 Abs. 1 und 2 Nr. 1 BPolG, § 7 Abs. 6 und § 15 Abs. 3 ZFdG, § 8d Abs. 2 Satz 1 BVerfSchG sowie § 2b Satz 1 BNDG und § 4b Satz 1 MADG, soweit sie auf § 8d Abs. 2 Satz 1 BVerfSchG ver­wei­sen, knüp­fen allein an die ihrer­seits unver­hält­nis­mä­ßi­gen Vor­aus­set­zun­gen der Befug­nis zum all­ge­mei­nen Abruf von Bestands­da­ten an und sehen daher auch für die Zuord­nung von IP-Adres­sen kei­ne oder jeden­falls kei­ne hin­rei­chend begren­zen­den Ein­griffs­schwel­len vor. Sie genü­gen schon des­halb nicht den ver­fas­sungs­recht­li­chen Anfor­de­run­gen und sind unver­hält­nis­mä­ßig. 

Hin­ge­gen sehen eini­ge die­ser Abruf­re­ge­lun­gen einen Rechts­gü­ter­schutz vor, der selbst in Kom­bi­na­ti­on mit abge­senk­ten Ein­griffs­schwel­len noch hin­rei­chend wäre. So ermäch­tigt § 40 Abs. 2 BKAG zur Abfra­ge zum Zwe­cke der Abwehr von Gefah­ren des inter­na­tio­na­len Ter­ro­ris­mus. Dies sind nach der Legal­de­fi­ni­ti­on in § 5 Abs. 1 Satz 2 BKAG nur Gefah­ren der Ver­wirk­li­chung von näher kon­kre­ti­sier­ten Straf­ta­ten nach § 129a Abs. 1 und 2 StGB, mit­hin jeden­falls schwe­re Straf­ta­ten. Auch die Abruf­re­ge­lun­gen im Bereich der Nach­rich­ten­diens­te sehen in jedem Fall einen hin­rei­chend gewich­ti­gen Rechts­gü­ter­schutz vor. Die von § 8d Abs. 2 BVerfSchG, § 2b Satz 1 BNDG und § 4b Satz 1 MADG jeweils in Bezug genom­me­nen Auf­ga­ben­be­rei­che der Nach­rich­ten­diens­te (§ 1 Abs. 1 BVerfSchG, § 1 Abs. 1 und 2 MADG, § 1 Abs. 2 BNDG) sind von vorn­her­ein dadurch gekenn­zeich­net, dass sie dem Schutz beson­ders gewich­ti­ger Rechts­gü­ter oder ver­gleich­bar gewich­ti­ger öffent­li­cher Inter­es­sen die­nen [235], sodass sie an das Vor­lie­gen einer nur kon­kre­ti­sier­ten Gefah­ren­la­ge geknüpft wer­den kön­nen.

Eine dif­fe­ren­zier­te­re Betrach­tung erfor­dert § 10 Abs. 2, Abs. 1 Satz 1 Nr. 1 BKAG. Die Vor­schrift betrifft den Daten­ab­ruf durch das Bun­des­kri­mi­nal­amt, des­sen Auf­ga­ben auf kri­mi­nal­po­li­zei­li­che Ange­le­gen­hei­ten beschränkt sind (vgl. § 1 Abs. 1 BKAG), in sei­ner Funk­ti­on als Zen­tral­stel­le nach § 2 BKAG. Der ent­spre­chend dem Kom­pe­tenz­ti­tel in Art. 73 Abs. 1 Nr. 10 Buch­sta­be a GG ver­wen­de­te Begriff „Kri­mi­nal­po­li­zei“ dient der Beschrän­kung auf Rege­lun­gen, die sich auf bedeut­sa­me Straf­ta­ten von Gewicht bezie­hen [236]; aus­ge­schlos­sen sind inso­weit jeden­falls die all­ge­mei­ne Gefah­ren­ab­wehr und die Bekämp­fung von Ord­nungs­wid­rig­kei­ten [237]. Dies gilt auch für die Zen­tral­stel­len­auf­ga­ben des Bun­des­kri­mi­nal­amts, die gemäß § 2 Abs. 1 BKAG auf koor­di­nie­ren­de und unter­stüt­zen­de Auf­ga­ben bei der Ver­hü­tung und Ver­fol­gung von Straf­ta­ten mit län­der­über­grei­fen­der, inter­na­tio­na­ler oder erheb­li­cher Bedeu­tung beschränkt sind. § 10 Abs. 2, Abs. 1 Satz 1 Nr. 1 BKAG dient damit zwar dem Schutz von Rechts­gü­tern von her­vor­ge­ho­be­nem Gewicht. Da hier jedoch der vor­ge­la­ger­te Bereich der Ver­hü­tung von Straf­ta­ten betrof­fen ist, bedarf es aber des Schut­zes beson­ders gewich­ti­ger Rechts­gü­ter, was die Ver­hü­tung von zumin­dest schwe­ren Straf­ta­ten vor­aus­setzt. Eine der­ar­ti­ge Begren­zung ent­hält die Rege­lung nicht. Das Glei­che gilt für § 22a Abs. 2 BPolG in Ver­bin­dung mit § 21 Abs. 2 BPolG, der ledig­lich der Ver­hü­tung von Straf­ta­ten mit erheb­li­cher Bedeu­tung dient. 

Ande­re Abruf­re­ge­lun­gen ent­hal­ten von vorn­her­ein kei­ne hin­rei­chen­de Beschrän­kung auf die im Ein­zel­fall zu schüt­zen­den Rechts­gü­ter. Dies gilt etwa für § 22a Abs. 2 in Ver­bin­dung mit § 21 Abs. 1 BPolG sowie für § 7 Abs. 6 und § 15 Abs. 3 ZFdG. Auch § 10 Abs. 2, Abs. 1 Satz 1 Nr. 2 und 3 BKAG regeln die­se gebo­te­nen Begren­zun­gen – anders als etwa § 63 Abs. 2 und § 66 Abs. 1 BKAG – nicht in nor­men­kla­rer Wei­se. 

Dage­gen ent­hal­ten zwar sowohl § 22a Abs. 2 BPolG in Ver­bin­dung mit § 21 Abs. 2 Nr. 2 BPolG, als auch § 40 Abs. 2 in Ver­bin­dung mit § 39 Abs. 2 Nr. 2 BKAG hin­rei­chend begrenz­te Ein­griffs­schwel­len. Doch nur § 40 Abs. 2 BKAG erfüllt auch die unter Berück­sich­ti­gung des Ein­griffs­ge­wichts der Zuord­nung dyna­mi­scher IP-Adres­sen zu stel­len­den Anfor­de­run­gen an den Rechts­gü­ter­schutz, wonach die Zuord­nung dyna­mi­scher IP-Adres­sen bei – wie hier – abge­senk­ten Ein­griffs­schwel­len im Bereich der Straf­ta­ten­ver­hü­tung der Ver­hü­tung zumin­dest schwe­rer Straf­ta­ten die­nen muss. § 22a Abs. 2 in Ver­bin­dung mit § 21 Abs. 2 Nr. 2 BPolG, der die Zuord­nung dyna­mi­scher IP-Adres­sen bereits zur Ver­hü­tung von Straf­ta­ten mit erheb­li­cher Bedeu­tung zulässt, genügt dem nicht. 

Die ange­grif­fe­nen Rege­lun­gen genü­gen im Wesent­li­chen den aus dem Ver­hält­nis­mä­ßig­keits­grund­satz fol­gen­den über­grei­fen­den Maß­ga­ben an Trans­pa­renz, indi­vi­du­el­len Rechts­schutz und auf­sicht­li­che Kon­trol­le. Sie ent­hal­ten auch trag­fä­hi­ge Rege­lun­gen zur Nut­zung der Daten sowie zur Daten­lö­schung. Ver­fas­sungs­recht­lich zu bean­stan­den ist aller­dings, dass den Behör­den beim Abruf von anhand dyna­mi­scher IP-Adres­sen bestimm­ter Bestands­da­ten kei­ne Doku­men­ta­ti­ons­pflich­ten auf­er­legt wer­den. 

Anders als für heim­li­che Maß­nah­men von höhe­rer Ein­griffs­in­ten­si­tät [238] bedarf es für die all­ge­mei­ne Bestands­da­ten­aus­kunft auf­grund ihrer ver­gleichs­wei­se gerin­gen Ein­griffs­in­ten­si­tät kei­ner Benach­rich­ti­gungs­pflich­ten [239]. Viel­mehr reicht es unter Ver­hält­nis­mä­ßig­keits­ge­sichts­punk­ten, wenn die Betrof­fe­nen von einer Aus­kunfts­er­tei­lung im Rah­men von ihnen gegen­über ergrif­fe­nen Fol­ge­maß­nah­men erfah­ren und deren Recht­mä­ßig­keit dann fach­ge­richt­lich über­prü­fen las­sen kön­nen [240]

Im Hin­blick auf Aus­künf­te, die eine erhöh­te Ein­griffs­in­ten­si­tät auf­wei­sen, wie die Zuord­nung von IP-Adres­sen und – poten­ti­ell – die Aus­kunft über Zugangs­da­ten, sehen die fach­recht­li­chen Abruf­re­ge­lun­gen eine nach­träg­li­che Benach­rich­ti­gung grund­sätz­lich vor. Die Rege­lun­gen genü­gen den ver­fas­sungs­recht­li­chen Anfor­de­run­gen, obgleich eine Benach­rich­ti­gung nur erfolgt, soweit und sobald der Zweck der Bestands­da­ten­aus­kunft nicht ver­ei­telt wird, aber unter­bleibt, wenn ihr über­wie­gen­de schutz­wür­di­ge Belan­ge Drit­ter oder des Betrof­fe­nen ent­ge­gen­ste­hen [241]. Dabei sichert die den Behör­den auf­er­leg­te Pflicht zur Doku­men­ta­ti­on ins­be­son­de­re der Grün­de der Zurück­stel­lung, dass nach gebo­te­ner Zeit das Fort­be­stehen der Vor­aus­set­zun­gen über­prüft wird. Einer rich­ter­li­chen Bestä­ti­gung des Abse­hens von der Benach­rich­ti­gung bedarf es dar­über hin­aus nicht [184]. Im Fal­le des Abrufs von Zugangs­da­ten kön­nen sich aber erhöh­te Anfor­de­run­gen aus den Ermäch­ti­gungs­grund­la­gen zur Nut­zung der Daten erge­ben. 

Eine auf­sicht­li­che Kon­trol­le ist – wie ver­fas­sungs­recht­lich gebo­ten [242] – vor­ge­se­hen. Neben der Fach­auf­sicht ist eine daten­schutz­recht­li­che Kon­trol­le durch den Bun­des­da­ten­schutz­be­auf­trag­ten (vgl. etwa §§ 8 ff. Bun­des­da­ten­schutz­ge­setz (BDSG), § 69 BKAG, § 26a Abs. 2 und 3 BVerfSchG, § 32 BNDG und § 12a MADG) und behörd­li­che Daten­schutz­be­auf­trag­te (vgl. etwa § 70 BKAG) gewähr­leis­tet. Da ein Abruf von Zugangs­da­ten einen Antrag der jewei­li­gen Behör­den­lei­tung vor­aus­setzt (vgl. § 10 Abs. 3 Satz 1, § 40 Abs. 3 Satz 1 BKAG, § 22a Abs. 3 Satz 1 BPolG, § 7 Abs. 7 Satz 1, § 15 Abs. 4 Satz 1 ZFdG, § 8d Abs. 2 Satz 2, § 8b Abs. 1 Satz 1 BVerfSchG sowie § 4b Satz 1 MADG und § 2b Satz 1 BNDG, jeweils in Ver­bin­dung mit § 8d Abs. 2 Satz 2, § 8b Abs. 1 Satz 1 BVerfSchG), besteht inso­weit eine dar­über hin­aus­ge­hen­de, zumin­dest for­ma­li­sier­te Ebe­ne der inter­nen Auf­sicht. 

Dem­ge­gen­über ist es mit den Anfor­de­run­gen der Ver­hält­nis­mä­ßig­keit nicht ver­ein­bar, dass kei­ne Pflicht zur Doku­men­ta­ti­on der Ent­schei­dungs­grund­la­gen für den Abruf sol­cher Bestands­da­ten vor­ge­se­hen ist, die anhand einer dyna­mi­schen IP-Adres­se bestimmt wer­den. 

Ange­sichts der nur gerin­gen Ein­griffs­in­ten­si­tät der all­ge­mei­nen Bestands­da­ten­aus­kunft ist auch unter Berück­sich­ti­gung des Umstands, dass die Maß­nah­me regel­mä­ßig geheim erfolgt und Betrof­fe­ne auch im Nach­hin­ein nicht über eine erteil­te Aus­kunft benach­rich­tigt wer­den, kei­ne Doku­men­ta­ti­on der Ent­schei­dungs­grund­la­gen erfor­der­lich. Sie ist auch nicht des­halb gebo­ten, weil sich die Ent­schei­dung über eine Bestands­da­ten­ab­fra­ge allein im Inne­ren einer Behör­de voll­zie­hen wür­de [243]. Zwar kön­nen allein die Behör­den die mate­ri­el­len Vor­aus­set­zun­gen eines Aus­kunfts­ver­lan­gens sicher­stel­len. Sie tre­ten aber jeden­falls inso­weit nach außen, als sie ein schrift­li­ches Aus­kunfts­ver­lan­gen unter Anga­be einer gesetz­li­chen Bestim­mung an die Diens­te­an­bie­ter rich­ten müs­sen (vgl. § 113 Abs. 2 Satz 1 TKG). 

Dage­gen kann die Zuord­nung dyna­mi­scher IP-Adres­sen ange­sichts ihres erhöh­ten Ein­griffs­ge­wichts nur dann als ver­hält­nis­mä­ßig ange­se­hen wer­den, wenn die Ent­schei­dungs­grund­la­gen für die Durch­füh­rung einer sol­chen Maß­nah­me nach­voll­zieh­bar und über­prüf­bar doku­men­tiert wer­den. Die recht­li­chen und tat­säch­li­chen Grund­la­gen ent­spre­chen­der Aus­kunfts­be­geh­ren sind akten­kun­dig zu machen [244]. Zum einen ratio­na­li­siert und mäßigt es die Ent­schei­dung, wenn die ent­schei­den­de Behör­de sich selbst über ihre Ent­schei­dungs­grund­la­gen Rechen­schaft able­gen muss. Zum ande­ren ermög­licht erst die Doku­men­ta­ti­on eine auf­sicht­li­che Kon­trol­le durch die Daten­schutz­be­auf­trag­ten. Schließ­lich wird durch die Doku­men­ta­ti­on die ver­wal­tungs­ge­richt­li­che Kon­trol­le erleich­tert [245]. Für den Abruf von Zugangs­da­ten bedarf es dem­ge­gen­über kei­ner Rege­lung gene­rel­ler Doku­men­ta­ti­ons­pflich­ten. Soweit sie auf­grund des Ein­griffs­ge­wichts im Ein­zel­fall gebo­ten sein soll­ten, erge­ben sich ent­spre­chen­de Anfor­de­run­gen regel­mä­ßig aus den jewei­li­gen Ermäch­ti­gungs­grund­la­gen zur Nut­zung der Daten.

Gesetz­lich gere­gel­ter Berichts­pflich­ten gegen­über Par­la­ment und Öffent­lich­keit bedarf es nicht. Die Not­wen­dig­keit, durch par­la­men­ta­ri­sche Berichts­pflich­ten eine unmit­tel­bar demo­kra­tisch legi­ti­mier­te Kon­trol­le und Über­prü­fung zu errei­chen, besteht aus Grün­den der Ver­hält­nis­mä­ßig­keit nur für tief in die Pri­vat­sphä­re ein­grei­fen­de Ermitt­lungs- und Über­wa­chungs­be­fug­nis­se mit spe­zi­fisch brei­ten­wirk­sa­mem Grund­rechts­ge­fähr­dungs­po­ten­ti­al [246]. Bei – wie vor­lie­gend – nicht beson­ders ein­griffs­in­ten­si­ven Maß­nah­men ist eine der­ar­ti­ge Beob­ach­tung und Eva­lua­ti­on ent­ge­gen der Auf­fas­sung der Beschwer­de­füh­ren­den nicht gebo­ten. 

Eine vor­he­ri­ge Kon­trol­le durch eine unab­hän­gi­ge Stel­le, etwa in Form einer rich­ter­li­chen Anord­nung, ist aus Grün­den der Ver­hält­nis­mä­ßig­keit ver­fas­sungs­recht­lich nicht gebo­ten. Von daher begeg­net es kei­nen Beden­ken, dass die Abruf­re­ge­lun­gen ein­fach­recht­lich nur für den Abruf von Zugangs­da­ten einen Rich­ter­vor­be­halt bezie­hungs­wei­se im nach­rich­ten­dienst­li­chen Bereich eine vor­he­ri­ge Über­prü­fung durch die G 10-Kom­mis­si­on vor­se­hen und der für den Abruf von Zugangs­da­ten vor­ge­se­he­ne Rich­ter­vor­be­halt zahl­rei­che Aus­nah­men kennt.

Ermög­licht eine Norm Maß­nah­men einer Behör­de, die gegen­über Betrof­fe­nen heim­lich durch­ge­führt wer­den und die beson­ders geschütz­te Zonen der Pri­vat­heit berüh­ren oder eine beson­ders hohe Ein­griffs­in­ten­si­tät auf­wei­sen, ist dem Gewicht des Grund­rechts­ein­griffs durch geeig­ne­te Ver­fah­rens­vor­keh­run­gen Rech­nung zu tra­gen und ins­be­son­de­re eine vor­he­ri­ge Kon­trol­le durch eine unab­hän­gi­ge Stel­le, etwa in Form einer rich­ter­li­chen Anord­nung, vor­zu­se­hen [247]. Abzu­stel­len ist neben der Heim­lich­keit maß­geb­lich dar­auf, dass es sich um Maß­nah­men han­delt, bei denen damit zu rech­nen ist, dass sie auch höchst­pri­va­te Infor­ma­tio­nen erfas­sen [248]. Eine vor­beu­gen­de Kon­trol­le kann dann bedeut­sa­mes Ele­ment eines effek­ti­ven Grund­rechts­schut­zes sein und gewähr­leis­ten, dass die Ent­schei­dung über eine heim­li­che Maß­nah­me auf die Inter­es­sen des Betrof­fe­nen hin­rei­chend Rück­sicht nimmt, wenn die­ser selbst sei­ne Inter­es­sen auf­grund der Heim­lich­keit der Maß­nah­me im Vor­we­ge nicht wahr­neh­men kann [249]

Für die Abfra­ge anhand dyna­mi­scher IP-Adres­sen bestimm­ter Bestands­da­ten, die die Aus­wer­tung von sowohl auf ver­trag­li­cher Grund­la­ge als auch vor­sorg­lich gespei­cher­ter Ver­kehrs­da­ten ver­langt, ist trotz des gegen­über der all­ge­mei­nen Bestands­da­ten­aus­kunft erhöh­ten Ein­griffs­ge­wichts kein Rich­ter­vor­be­halt erfor­der­lich [184]. Anders als für Abruf­re­ge­lun­gen, die den Abruf der Gesamt­heit bevor­ra­tend gespei­cher­ter Ver­kehrs­da­ten ermög­li­chen und für die ein Rich­ter­vor­be­halt grund­sätz­lich not­wen­dig ist [250], bedarf es für eine Aus­kunft über einen Anschlus­s­in­ha­ber, der unter nur punk­tu­el­ler und mit­tel­ba­rer Ver­wen­dung von Ver­kehrs­da­ten ermit­telt wur­de, kei­ner zusätz­li­chen Siche­run­gen in Form einer vor­beu­gen­den unab­hän­gi­gen Kon­trol­le. 

Das Glei­che gilt grund­sätz­lich auch für die Ermäch­ti­gung zum Abruf von Zugangs­da­ten, wel­che an die Vor­aus­set­zun­gen für ihre Nut­zung gebun­den ist. Zwar hat schon die Zugangs­da­ten­ab­fra­ge als sol­che jen­seits der vor­ge­se­he­nen Nut­zung der Daten eine eigen­stän­di­ge Ein­griffs­wir­kung, weil sie den infor­ma­tio­nel­len Selbst­schutz der Betrof­fe­nen ver­ei­telt und so ihr Ver­trau­en in die Pri­vat­heit ihrer Kom­mu­ni­ka­ti­ons­be­zie­hun­gen ent­täuscht. Das Ein­griffs­ge­wicht wird jedoch maß­geb­lich erst durch die Nut­zung der Zugangs­da­ten bestimmt, nach deren Vor­aus­set­zun­gen sich damit der Zugriff auf die­se Daten auch in ver­fah­rens­recht­li­cher Hin­sicht rich­tet. 

Die Ver­hält­nis­mä­ßig­keit gebie­tet daher nicht, für die Erhe­bung der Zugangs­da­ten als sol­che eige­ne Vor­aus­set­zun­gen vor­zu­se­hen und inso­weit aus­nahms­los einem Rich­ter­vor­be­halt zu unter­stel­len. Rechts­staat­lich gebo­ten ist nur, die Aus­kunfts­er­tei­lung über die Zugangs­si­che­rung – mate­ri­ell wie ver­fah­rens­recht­lich – auch an die Vor­aus­set­zun­gen zu bin­den, die in der jewei­li­gen Abfra­ge­si­tua­ti­on für den damit kon­kret erstreb­ten Nut­zungs­zweck erfüllt sein müs­sen [233]. Die­se bestim­men sich nach eigen­stän­di­gen Rechts­grund­la­gen und unter­schei­den sich je nach Art und Gewicht des Ein­griffs sowohl in for­mel­ler als auch in mate­ri­el­ler Hin­sicht. Weil bei jeder Abfra­ge von Zugangs­da­ten gleich­zei­tig auch die Vor­aus­set­zun­gen für deren Nut­zung vor­lie­gen müs­sen, ist die vor­he­ri­ge rich­ter­li­che Kon­trol­le dann, wenn sie auf­grund einer ein­griffs­in­ten­si­ven Nut­zung ver­fas­sungs­recht­lich gebo­ten ist, dort unein­ge­schränkt sicher­ge­stellt [251]

Wenn gleich­wohl auf ein­fach­recht­li­cher Ebe­ne, sozu­sa­gen über­schie­ßend, für die Abfra­ge aller Zugangs­da­ten ein eige­ner Rich­ter­vor­be­halt unab­hän­gig von den Nut­zungs­vor­aus­set­zun­gen vor­ge­se­hen ist, füh­ren des­sen Aus­nah­men (vgl. § 10 Abs. 3 Satz 4, § 40 Abs. 3 Satz 4 BKAG, § 22a Abs. 3 Satz 4 BPolG, § 7 Abs. 7 Satz 4, § 15 Abs. 4 Satz 4 ZFdG) nicht zur Unver­hält­nis­mä­ßig­keit der Rege­lun­gen. Sofern der hier gere­gel­te Rich­ter­vor­be­halt aller­dings dazu bestimmt wäre, die sich aus den jewei­li­gen Nut­zungs­re­ge­lun­gen erge­ben­den Anfor­de­run­gen an den Rich­ter­vor­be­halt zu erset­zen, begeg­ne­te die Reich­wei­te der hier in Rede ste­hen­den Aus­nah­men aber für sich genom­men ver­fas­sungs­recht­li­chen Beden­ken. Soweit der vor­ge­se­he­ne Rich­ter­vor­be­halt aus­nahms­wei­se dann ent­fällt, wenn der Betrof­fe­ne von einer beab­sich­tig­ten Zugangs­da­ten­ab­fra­ge Kennt­nis hat oder haben müss­te, ist nicht aus­ge­schlos­sen, dass Rechts­schutz inso­weit nur noch nach­träg­lich statt­fin­den kann. Der Betrof­fe­ne wäre dann nicht bes­ser­ge­stellt als im Fal­le der nach­träg­li­chen Benach­rich­ti­gung. Der Rich­ter­vor­be­halt soll dem­ge­gen­über aber gera­de eine vor­beu­gen­de Kon­trol­le sichern und einen Grund­rechts­ein­griff gege­be­nen­falls von vorn­her­ein ver­mei­den. Soweit der Rich­ter­vor­be­halt auch dann ent­fällt, wenn die Nut­zung der Daten bereits durch eine gericht­li­che Ent­schei­dung gestat­tet wird, ist nicht sicher­ge­stellt, dass gera­de auch die abfra­gen­de Behör­de zur Nut­zung der Daten berech­tigt ist und die dafür erfor­der­li­chen Vor­aus­set­zun­gen vor­lie­gen [252]. Da die Rege­lung jedoch die sich aus den jewei­li­gen Nut­zungs­re­ge­lun­gen erge­ben­den Anfor­de­run­gen an einen Rich­ter­vor­be­halt schon bei Zugriff auf die Zugangs­da­ten nicht ersetzt, son­dern deren Vor­lie­gen vor­aus­setzt, ist sie ver­fas­sungs­recht­lich nicht zu bean­stan­den. 

Die Rege­lun­gen zur Sicher­heit, wei­te­ren Nut­zung und Löschung der Daten durch die abfra­gen­den Behör­den genü­gen den ver­fas­sungs­recht­li­chen Anfor­de­run­gen.

Für Bestands­da­ten­ab­fra­gen durch das Bun­des­kri­mi­nal­amt, das Zoll­kri­mi­nal­amt und die Bun­des­po­li­zei regelt § 47 BDSG die all­ge­mei­nen Grund­sät­ze der Daten­ver­ar­bei­tung, dar­un­ter den Zweck­bin­dungs­grund­satz (§ 47 Nr. 2 BDSG). Fer­ner stellt § 64 BDSG Anfor­de­run­gen an die Daten­si­cher­heit, wäh­rend § 74 BDSG Vor­aus­set­zun­gen der Daten­über­mitt­lung ent­hält. Zudem sind nach § 75 Abs. 2 BDSG per­so­nen­be­zo­ge­ne Daten unver­züg­lich zu löschen, wenn ihre Ver­ar­bei­tung unzu­läs­sig ist, sie zur Erfül­lung einer recht­li­chen Ver­pflich­tung gelöscht wer­den müs­sen oder ihre Kennt­nis für die Auf­ga­ben­er­fül­lung nicht mehr erfor­der­lich ist. 

Die Fach­ge­set­ze selbst ent­hal­ten ergän­zen­de Rege­lun­gen. § 12 BKAG regelt den Grund­satz der Zweck­bin­dung, der auch gemäß den §§ 25 ff. BKAG der Über­mitt­lung im inner­staat­li­chen und inter­na­tio­na­len Bereich Gren­zen setzt. Dar­über hin­aus ent­hal­ten die §§ 69 ff. BKAG Vor­ga­ben zu Daten­schutz, Daten­si­cher­heit und Rech­ten der Betrof­fe­nen. Die ein­zel­nen Schutz­vor­schrif­ten ori­en­tie­ren sich stark an den unter­schied­li­chen Ein­griffs­er­mäch­ti­gun­gen und sind daher dif­fe­ren­ziert aus­ge­stal­tet. Das Bun­des­po­li­zei­ge­setz und das Zoll­fahn­dungs­dienst­ge­setz ent­hal­ten ent­spre­chen­de Vor­schrif­ten (Abschnitt 2 Unter­ab­schnitt 2 Teil 2 BPolG, §§ 33 ff. ZFdG). Das inso­weit schon durch das Bun­des­da­ten­schutz­ge­setz gewähr­leis­te­te Schutz­ni­veau wird durch die­se Vor­schrif­ten ergänzt. Auch die gegen­ständ­li­chen nach­rich­ten­dienst­li­chen Geset­ze ent­hal­ten eige­ne flan­kie­ren­de Vor­schrif­ten. Sie ver­wei­sen etwa über § 27 Nr. 2 BVerfSchG, § 32a Nr. 2 BNDG und § 13 Nr. 2 MADG jeweils auf § 64 BDSG

Ver­ein­bar­keit mit Uni­ons­grund­rech­ten

Unab­hän­gig davon, inwie­weit das Bun­des­ver­fas­sungs­ge­richt auch für eine sol­che Prü­fung zustän­dig wäre, erge­ben sich aus den Uni­ons­grund­rech­ten kei­ne wei­te­ren Maß­ga­ben. Auch wenn die ange­grif­fe­nen Vor­schrif­ten teil­wei­se ange­sichts des Art. 15 RL 2002/​58/​EG oder des Art. 6 DSGVO als Durch­füh­rung des Uni­ons­rechts im Sin­ne des Art. 51 Abs. 1 Satz 1 GRCh anzu­se­hen sein soll­ten, gibt es schon kei­ne kon­kre­ten und hin­rei­chen­den Anhalts­punk­te dafür, dass die Grund­rech­te des Grund­ge­set­zes in der vor­lie­gen­den Aus­le­gung das Schutz­ni­veau der Grund­rech­te­char­ta der Euro­päi­schen Uni­on in der Recht­spre­chung des Euro­päi­schen Gerichts­hofs im hier zu ent­schei­den­den Fall nicht mit gewähr­leis­ten könn­ten [253]. Ins­be­son­de­re erge­ben sich sol­che Anhalts­punk­te nicht aus den Ent­schei­dun­gen des Euro­päi­schen Gerichts­hofs zur Vor­rats­da­ten­spei­che­rungs­richt­li­nie [254] und zu Vor­rats­da­ten­spei­che­rungs­be­fug­nis­sen der Mit­glied­staa­ten [255]. In die­sen Ent­schei­dun­gen ging es um die Anfor­de­run­gen an eine inner­staat­lich voll­stän­di­ge Erfas­sung sämt­li­cher Tele­kom­mu­ni­ka­ti­ons­ver­bin­dungs­da­ten, die nahe­zu lücken­lo­se Per­sön­lich­keits­pro­fi­le ein­zel­ner Kom­mu­ni­ka­ti­ons­teil­neh­mer ermög­li­chen. Hier­von unter­schei­det sich die bloß mit­tel­ba­re und punk­tu­el­le Ver­wen­dung von Ver­kehrs­da­ten bei der Zuord­nung dyna­mi­scher IP-Adres­sen grund­le­gend. Auch aus der Ent­schei­dung des Euro­päi­schen Gerichts­hofs im Fall „Minis­te­rio Fis­cal“ [256] erge­ben sich kei­ne Anhalts­punk­te für ein über die Grund­rech­te des Grund­ge­set­zes hin­aus­ge­hen­des Schutz­ni­veau der Grund­rech­te­char­ta. Klar­ge­stellt wur­de dort viel­mehr, dass der Zugang öffent­li­cher Stel­len zu bei Diens­te­an­bie­tern gespei­cher­ten Bestands­da­ten nicht als der­art schwe­rer Grund­rechts­ein­griff ange­se­hen wer­den kann, dass er nur zur Bekämp­fung schwe­rer Kri­mi­na­li­tät zuläs­sig wäre [257]. Es ist nicht ersicht­lich, dass der Grund­rechts­schutz des Grund­ge­set­zes hier das Schutz­ni­veau der Grund­rech­te­char­ta der Euro­päi­schen Uni­on im Rah­men eines auf Viel­falt ange­leg­ten Grund­rechts­schut­zes in Euro­pa nicht gewähr­leis­tet [258].

Fol­gen der Ver­fas­sungs­wid­rig­keit

Unver­ein­bar­keits­er­klä­rung statt Nich­tig­keit

Die ange­grif­fe­nen Vor­schrif­ten sind über­wie­gend für mit Art. 2 Abs. 1 in Ver­bin­dung mit Art. 1 Abs. 1 sowie mit Art. 10 Abs. 1 GG unver­ein­bar zu erklä­ren. 

Die Fest­stel­lung einer Ver­fas­sungs­wid­rig­keit gesetz­li­cher Vor­schrif­ten führt grund­sätz­lich zu deren Nich­tig­keit (§ 95 Abs. 3 Satz 1 BVerfGG) [259]. Aller­dings kann sich das Bun­des­ver­fas­sungs­ge­richt, wie sich aus § 31 Abs. 2 Satz 2 und 3 BVerfGG ergibt, auch dar­auf beschrän­ken, eine ver­fas­sungs­wid­ri­ge Norm nur für mit dem Grund­ge­setz unver­ein­bar zu erklä­ren [260]. Die Unver­ein­bar­keits­er­klä­rung kann das Bun­des­ver­fas­sungs­ge­richt dabei zugleich mit der Anord­nung einer befris­te­ten Fort­gel­tung der ver­fas­sungs­wid­ri­gen Rege­lung ver­bin­den. Dies kommt in Betracht, wenn die sofor­ti­ge Ungül­tig­keit der zu bean­stan­den­den Norm dem Schutz über­ra­gen­der Güter des Gemein­wohls die Grund­la­ge ent­zie­hen wür­de und eine Abwä­gung mit den betrof­fe­nen Grund­rech­ten ergibt, dass der Ein­griff für eine Über­gangs­zeit hin­zu­neh­men ist [261]. Für die Über­gangs­zeit kann das Bun­des­ver­fas­sungs­ge­richt vor­läu­fi­ge Anord­nun­gen tref­fen, um die Befug­nis­se der Behör­den bis zur Her­stel­lung eines ver­fas­sungs­mä­ßi­gen Zustan­des durch den Gesetz­ge­ber auf das zu redu­zie­ren, was nach Maß­ga­be die­ser Abwä­gung gebo­ten ist [262]

Nach die­sen Maß­stä­ben sind die Vor­schrif­ten, soweit sie ver­fas­sungs­wid­rig sind, nicht für nich­tig zu erklä­ren. Die Ver­fas­sungs­wid­rig­keit der zu bean­stan­den­den Rege­lun­gen zu Über­mitt­lung und Abruf von Bestands­da­ten beruht ins­be­son­de­re auf nicht hin­rei­chen­den Ein­griffs­schwel­len und feh­len­den Anfor­de­run­gen an den Rechts­gü­ter­schutz. Die Grün­de für die Ver­fas­sungs­wid­rig­keit betref­fen nicht den Kern der durch die Vor­schrif­ten ein­ge­räum­ten Befug­nis­se, son­dern ihre rechts­staat­li­che Aus­ge­stal­tung. Der Gesetz­ge­ber kann die Vor­schrif­ten inso­weit ohne wei­te­res nach­bes­sern und damit den Kern der mit ihnen ver­folg­ten Zie­le auf ver­fas­sungs­mä­ßi­ge Wei­se ver­wirk­li­chen. Ange­sichts der Bedeu­tung, die der Gesetz­ge­ber der Bestands­da­ten­aus­kunft für die staat­li­che Auf­ga­ben­wahr­neh­mung bei­mes­sen darf, ist unter die­sen Umstän­den deren vor­über­ge­hen­de Fort­gel­tung eher hin­zu­neh­men als deren Nich­tig­keits­er­klä­rung. 

Die ange­grif­fe­nen Rege­lun­gen sind daher – in dem aus dem Tenor ersicht­li­chen Umfang – für mit dem Grund­ge­setz unver­ein­bar zu erklä­ren. 

Dies betrifft zunächst § 113 TKG. Da alle in § 113 TKG gere­gel­ten Über­mitt­lungs­be­fug­nis­se zu bean­stan­den sind, ist die Vor­schrift in Gän­ze für ver­fas­sungs­wid­rig zu erklä­ren, weil für die flan­kie­ren­den Rege­lun­gen kein selb­stän­di­ger Anwen­dungs­be­reich ver­bleibt. Die ange­grif­fe­nen Abruf­re­ge­lun­gen sind dem­ge­gen­über nur inso­weit für ver­fas­sungs­wid­rig zu erklä­ren, als die Befug­nis­se zum all­ge­mei­nen Abruf von Bestands­da­ten und von anhand dyna­mi­scher IP-Adres­sen bestimm­ter Bestands­da­ten betrof­fen sind. Aus­ge­nom­men hier­von sind § 40 Abs. 1 Satz 1 BKAG in Ver­bin­dung mit § 39 Abs. 2 Nr. 2 BKAG sowie § 22a Abs. 1 Satz 1 BPolG in Ver­bin­dung mit § 21 Abs. 2 Nr. 2 BPolG. Nicht zu bean­stan­den sind auch die in allen Fach­ge­set­zen ein­ge­räum­ten Befug­nis­se zum Abruf von Zugangs­da­ten, wenn­gleich die­sen – unbe­scha­det der Anord­nung der vor­über­ge­hen­den Fort­gel­tung – weit­hin ein Anwen­dungs­be­reich fehlt, da die Rege­lun­gen jeweils auf die Befug­nis zum all­ge­mei­nen Abruf von Bestands­da­ten Bezug neh­men und die­se ganz über­wie­gend ver­fas­sungs­wid­rig sind. Dies gilt inso­weit auch für die Rege­lun­gen zum all­ge­mei­nen Abruf von Bestands­da­ten nach § 40 Abs. 1 Satz 1 in Ver­bin­dung mit § 39 Abs. 2 Nr. 2 BKAG sowie § 22a Abs. 1 Satz 1 BPolG in Ver­bin­dung mit § 21 Abs. 2 Nr. 2 BPolG, die tat­be­stand­lich an die Vor­aus­set­zun­gen des § 39 Abs. 2 Nr. 1 BKAG bezie­hungs­wei­se § 21 Abs. 2 Nr. 1 BPolG anknüp­fen, wel­che jedoch jeweils für sich genom­men den ver­fas­sungs­recht­li­chen Anfor­de­run­gen an die Bestands­da­ten­aus­kunft nicht genü­gen. 

Die Grün­de, die zur teil­wei­sen Ver­fas­sungs­wid­rig­keit von § 2b Satz 1 BNDG in der ange­grif­fe­nen Fas­sung füh­ren, tref­fen auf des­sen Neu­be­zeich­nung als § 4 Satz 1 BNDG eben­so zu. Gemäß § 78 Satz 2 BVerfGG, der auch im Ver­fas­sungs­be­schwer­de­ver­fah­ren und auf zeit­lich nach­fol­gen­de Geset­zes­fas­sun­gen anwend­bar ist [263], ist daher § 4 Satz 1 BNDG in der Fas­sung des Geset­zes zur Aus­land-Aus­land-Fern­mel­de­auf­klä­rung des Bun­des­nach­rich­ten­diens­tes vom 23.12.2016 [264] im Inter­es­se der Rechts­klar­heit in dem­sel­ben Umfang eben­falls für mit dem Grund­ge­setz unver­ein­bar zu erklä­ren. Für die neu gefass­ten § 7 Abs. 7 Satz 1 und 2, § 15 Abs. 4 Satz 1 und 2 ZFdG besteht kei­ne der­ar­ti­ge Ver­an­las­sung. Sie ent­hal­ten ledig­lich Rege­lun­gen zum Ver­fah­ren des Abrufs von Zugangs­da­ten, die ver­fas­sungs­recht­lich nicht zu bean­stan­den sind. 

Fort­gel­tungs­an­ord­nung bis Ende 2021

Die Unver­ein­bar­keits­er­klä­rung ist mit der Anord­nung der vor­über­ge­hen­den Fort­gel­tung bis zum Ablauf des 31.12.2021 ver­bun­den. Die Anord­nung erstreckt sich auf alle für mit der Ver­fas­sung für unver­ein­bar erklär­ten Befug­nis­se ein­schließ­lich der in § 113 Abs. 2 bis 5 TKG gere­gel­ten ver­fah­rens­recht­li­chen Anfor­de­run­gen; sie bedarf mit Blick auf die betrof­fe­nen Grund­rech­te jedoch ein­schrän­ken­der Maß­ga­ben. Die­se ori­en­tie­ren sich an den bis­he­ri­gen Rege­lun­gen. Dem Gesetz­ge­ber ste­hen für eine Neu­re­ge­lung frei­lich ver­schie­de­ne Mög­lich­kei­ten zur Ver­fü­gung, ins­be­son­de­re die ver­fas­sungs­recht­lich gefor­der­te Begren­zung der Ver­wen­dungs­zwe­cke der Bestands­da­ten­aus­kunft sicher­zu­stel­len. Erfor­der­lich sind stets die Reich­wei­te der Befug­nis begren­zen­de Ein­griffs­schwel­len und jeden­falls im Bereich der Zuord­nung von IP-Adres­sen auch ein hin­rei­chend gewich­ti­ger Rechts­gü­ter­schutz. Die Ein­griffs­schwel­len kön­nen auch abge­senkt wer­den, wenn – unter Berück­sich­ti­gung von Art, Umfang und Ver­wen­dungs­mög­lich­kei­ten der ver­wen­de­ten Daten – ent­spre­chend höhe­re Anfor­de­run­gen an den Rechts­gü­ter­schutz gestellt wer­den [265]. Bis zur Neu­re­ge­lung gel­ten nach­fol­gen­de Maß­ga­ben

  1. § 113 Abs. 1 Satz 1 TKG und die hier ange­grif­fe­nen Rege­lun­gen zum all­ge­mei­nen Abruf von Bestands­da­ten kön­nen wei­ter ange­wen­det wer­den, wenn eine Aus­kunft bezo­gen auf die Gefah­ren­ab­wehr zur Abwehr einer kon­kre­ten Gefahr im Sin­ne der poli­zei­li­chen Gene­ral­klau­sel erfor­der­lich oder bezo­gen auf die Nach­rich­ten­diens­te zur Auf­klä­rung einer bestimm­ten, nach­rich­ten­dienst­lich beob­ach­tungs­be­dürf­ti­gen Akti­on oder Grup­pie­rung im Ein­zel­fall gebo­ten ist. Bezo­gen auf die Ver­fol­gung von Straf­ta­ten und Ord­nungs­wid­rig­kei­ten darf § 113 Abs. 1 Satz 1 TKG wei­ter ange­wen­det wer­den, wenn zumin­dest ein Anfangs­ver­dacht vor­liegt. 
  2. Dar­über hin­aus kön­nen § 113 Abs. 1 Satz 1 TKG und § 40 Abs. 1 Satz 1 BKAG oder § 22a Abs. 1 Satz 1 BPolG im jewei­li­gen Zusam­men­wir­ken auch dann ange­wen­det wer­den, wenn die Aus­kunft zur Ver­hü­tung von Straf­ta­ten nach § 39 Abs. 2 BKAG oder § 21 Abs. 2 BPolG erfor­der­lich ist. Dabei sind § 39 Abs. 2 Nr. 1 BKAG und § 22a Abs. 2 Nr. 1 BPolG nur mit der Maß­ga­be anwend­bar, dass bestimm­te Tat­sa­chen die Annah­me recht­fer­ti­gen müs­sen, dass eine Per­son inner­halb eines über­schau­ba­ren Zeit­raums auf eine zumin­dest ihrer Art nach kon­kre­ti­sier­te Wei­se eine Straf­tat nach § 5 Abs. 1 Satz 2 BKAG oder eine Straf­tat mit erheb­li­cher Bedeu­tung nach § 12 Abs. 1 BPolG bege­hen wird oder dass deren indi­vi­du­el­les Ver­hal­ten die kon­kre­te Wahr­schein­lich­keit begrün­det, dass sie inner­halb eines über­schau­ba­ren Zeit­raums eine sol­che Straf­tat bege­hen wird [265]
  3. § 113 Abs. 1 Satz 2 TKG kann wei­ter ange­wen­det wer­den, wenn auch die Vor­aus­set­zun­gen einer Nut­zung der von ihm erfass­ten Daten im Ein­zel­fall vor­lie­gen [266]
  4. § 113 Abs. 1 Satz 3 TKG und die hier ange­grif­fe­nen Rege­lun­gen zum Abruf von Bestands­da­ten, die anhand einer dyna­mi­schen IP-Adres­se bestimmt wer­den, dür­fen wei­ter ange­wen­det wer­den, wenn über die zuvor unter a) for­mu­lier­te Maß­ga­ben hin­aus die Aus­kunft zur Abwehr einer Gefahr für Rechts­gü­ter von her­vor­ge­ho­be­nem Gewicht oder zur Ver­fol­gung von Straf­ta­ten oder zumin­dest beson­ders gewich­ti­gen Ord­nungs­wid­rig­kei­ten erfolgt. 
  5. Dar­über hin­aus kön­nen § 113 Abs. 1 Satz 3 TKG und § 40 Abs. 2 BKAG oder § 22a Abs. 2 BPolG im jewei­li­gen Zusam­men­wir­ken und soweit sie auf § 39 Abs. 2 BKAG bezie­hungs­wei­se § 21 Abs. 2 BPolG Bezug neh­men unter Berück­sich­ti­gung der unter a) und b) for­mu­lier­ten Maß­ga­ben wei­ter ange­wen­det wer­den, wobei im Fal­le des § 22a Abs. 2 BPolG die Aus­kunft zudem zur Ver­hü­tung einer schwe­ren Straf­tat nach § 12 Abs. 1 BPolG erfor­der­lich sein muss. 

Bun­des­ver­fas­sungs­ge­richt, Beschluss vom 27. Mai 2020 – 1 BvR 1873/​131 BvR 2618/​13 (Bestands­da­ten­aus­kunft II)

  1. soweit er nicht auf § 39 Absatz 2 Num­mer 2 BKA‑G ver­weist[]
  2. in der Fas­sung des Geset­zes zur Neu­struk­tu­rie­rung des Bun­des­kri­mi­nal­amt­ge­set­zes vom 01.06.2017, BGBl. I S. 1354[]
  3. soweit er nicht auf § 21 Absatz 2 Num­mer 2 BPolG ver­weist[]
  4. BGBl. I S. 1602[][][][]
  5. BGBl. I S. 2178[][]
  6. soweit hier­in auf § 8d Absatz 1 Satz 1 und Absatz 2 Satz 1 Bun­des­ver­fas­sungs­schutz­ge­setz ver­wie­sen wird[][]
  7. in der Fas­sung des Geset­zes zur Ände­rung des Tele­kom­mu­ni­ka­ti­ons­ge­set­zes und zur Neu­re­ge­lung der Bestands­da­ten­aus­kunft vom 20.07.2013, BGBl. I S. 1602[]
  8. BGBl. I S. 3346[][]
  9. BGBl. I S. 1354[][][]
  10. BVerfGE 130, 151 – Bestands­da­ten­aus­kunft I[]
  11. EuGH, Urteil vom 13.06.2019, Gmail, C‑193/​18, EU:C:2019:498[]
  12. BVerfGE 130, 151, 162[]
  13. vgl. BVerfGE 130, 151, 163[]
  14. vgl. BGH, Urteil vom 03.07.2014 – III ZR 391/​13, Rn. 23[]
  15. BGBl. I S. 2218[]
  16. OVG NRW, Beschluss vom 22.06.2017 – 13 B 238/​17[]
  17. BVerwG, Beschlüs­se vom 25.09.2019 – 6 C 12.18 – und – 6 C 13.18[]
  18. vgl. OVG NRW, Beschluss vom 25.08.2017 – 13 B 762/​17, Rn.19 ff.[]
  19. BVerfGE 130, 151[][]
  20. BVerfGE 130, 151, 184[][]
  21. vgl. BVerfGE 130, 151, 202[][][]
  22. vgl. BVerfGE 130, 151, 202[]
  23. vgl. BVerfGE 130, 151, 204 f.[]
  24. vgl. BVerfGE 130, 151, 208 f.[]
  25. vgl. BT-Drs. 17/​12034, S. 10[]
  26. vgl. BT-Drs. 17/​12034, S. 12[][][][][]
  27. vgl. BT-Drs. 17/​12034, S. 13[][]
  28. vgl. BT-Drs. 17/​12879, S. 4 ff., 11[]
  29. BVerfG – 1 BvR 1873/​13[][]
  30. mit Ver­weis auf BVerfGE 125, 260, 344[]
  31. mit Ver­weis auf BVerfGE 141, 220, 291 Rn. 165[]
  32. vgl. BVerfGE 87, 181, 194[][]
  33. vgl. BVerfGE 12, 139, 141 BVerfGK 18, 328, 335 vgl. auch Peters, in: Bar­c­zak, BVerfGG, 2018, § 93 Rn. 141[]
  34. BVerfG – 1 BvR 2618/​13[]
  35. vgl. BVerfGE 100, 271, 281 f. 108, 370, 383[]
  36. vgl. BVerfGE 81, 138, 140 100, 271, 281 f. stRspr[]
  37. vgl. BVerfGE 150, 309, 324 Rn. 35 stRspr[]
  38. vgl. auch BVerfGE 133, 277, 312 Rn. 84 150, 309, 324 f. Rn. 36[]
  39. vgl. BVerfGE 120, 378, 394 141, 220, 261 Rn. 82[]
  40. BVerfGE 130, 151, 176 f.[]
  41. vgl. zuletzt BVerfGE 150, 309, 326 ff. Rn. 41 ff. stRspr[]
  42. vgl. BVerfGE 123, 148, 172 f. 143, 246, 322 Rn. 211 stRspr[]
  43. BVerfGE 150, 309, 326 f. Rn. 44[]
  44. vgl. BVerfGE 150, 309, 327 f. Rn. 45[]
  45. BGBl. I S. 1190[]
  46. vgl. dazu BVerfGE 96, 260, 263 102, 127, 141 vgl. auch BVerfGE 135, 259, 281 Rn. 36[]
  47. vgl. auch BVerfGE 130, 151, 177 m.w.N.[]
  48. vgl. auch BVerfGE 108, 370, 383[]
  49. vgl. BVerfGE 73, 339, 387 102, 147, 162 f. 125, 260, 306 BVerfG, Beschluss vom 06.11.2019 – 1 BvR 276/​17, Rn. 47 a.E. – Recht auf Ver­ges­sen II[]
  50. vgl. BVerfGE 118, 79, 95 ff. BVerfG, Beschluss vom 11.03.2020, – 2 BvL 5/​17, Rn. 65[]
  51. vgl. BVerfGE 118, 79, 95 121, 1, 15 125, 260, 306; sie­he hin­ge­gen zur bun­des­ver­fas­sungs­ge­richt­li­chen Kon­trol­le am Maß­stab der Uni­ons­grund­rech­te im Fall der Über­prü­fung der Anwen­dung von zwin­gen­dem Recht der Euro­päi­schen Uni­on und der Anwen­dung inner­staat­li­cher Vor­schrif­ten, die zwin­gen­des Uni­ons­recht umset­zen: BVerfG, Beschluss vom 06.11.2019 – 1 BvR 276/​17, Rn. 52; die Mög­lich­keit bun­des­ver­fas­sungs­ge­richt­li­cher Kon­trol­le am Maß­stab der Uni­ons­grund­rech­te im Fall der Norm­prü­fung offen­las­send jetzt BVerfG, Beschluss vom 06.11.2019 – 1 BvR 276/​17, Rn. 51 a.E.; Beschluss vom 13.02.2020 – 2 BvR 739/​17, Rn. 116 – Ein­heit­li­ches Patent­ge­richt[]
  52. ABl EU, L 201 vom 31.07.2002, S. 37[]
  53. ABl.EU, L 119 vom 04.05.2016, S. 89, im Fol­gen­den: RL 2016/​680/​EU[]
  54. vgl. EuGH, Urteil vom 29.01.2008, Pro­mu­si­cae, C‑275/​06, EU:C:2008:54, Rn. 50[]
  55. ABl EU, L 119 vom 04.05.2016, S. 1[]
  56. vgl. Kühling/​Martini u.a., Die Daten­schutz-Grund­ver­ord­nung und das natio­na­le Recht, 2016, S. 28; anders hin­ge­gen für die dor­ti­ge Rechts­la­ge BVerfG, Beschluss vom 06.11.2019 – 1 BvR 276/​17, Rn. 33 ff.[]
  57. vgl. zur RL 2002/​58/​EG EuGH, Urteil vom 21.12.2016, Tele2 Sve­ri­ge und Wat­son u.a., C‑203/​15 u.a., EU:C:2016:970, Rn. 78 ff.; Urteil vom 02.10.2018, Minis­te­rio Fis­cal, C‑207/​16, EU:C:2018:788, Rn. 29 ff.[]
  58. vgl. dazu BVerfG, Beschluss vom 06.11.2019 – 1 BvR 16/​13, Rn. 39 – Recht auf Ver­ges­sen I[]
  59. BVerfG, Urteil vom 19.05.2020 – 1 BvR 2835/​17, Rn. 85 m.w.N. – BND – Aus­land-Aus­land-Auf­klä­rung[]
  60. vgl. BVerfGE 65, 1, 42 120, 378, 397[]
  61. BVerfGE 113, 29, 46 m.w.N.[]
  62. vgl. BVerfGE 118, 168, 184[]
  63. vgl. BVerfGE 130, 151, 184 vgl. auch EuGH, Urteil vom 02.10.2018, Minis­te­rio Fis­cal, C‑207/​16, EU:C:2018:788, Rn. 51[]
  64. vgl. BVerfGE 100, 313, 366 f. 120, 378, 400 f. 125, 260, 310 vgl. auch EGMR (GK), S. and Mar­per v. The United King­dom, Urteil vom 04.12.2008, Nr. 30562/​04 u.a., § 67; EuGH, Urteil vom 08.04.2014, Digi­tal Rights Ire­land und Seit­lin­ger u.a., C‑293/​12 u.a., EU:C:2014:238, Rn. 34 ff.[]
  65. vgl. BVerfGE 130, 151, 185[][][]
  66. vgl. BVerfGE 125, 260, 312 130, 151, 185 150, 244, 278 Rn. 80 150, 309, 335 Rn. 68[]
  67. vgl. BVerfGE 125, 260, 312[][]
  68. vgl. BVerfGE 125, 260, 309 m.w.N.; stRspr[]
  69. vgl. BVerfGE 130, 151, 180 f.[]
  70. vgl. BVerfGE 130, 151, 181 vgl. auch EGMR, Bene­dik v. Slo­ve­nia, Urteil vom 24.04.2018, Nr. 62357/​14, §§ 130 ff., wonach der­ar­ti­ge Maß­nah­men das Recht auf Ach­tung des Pri­vat­le­bens aus Art. 8 Abs. 1 EMRK berüh­ren[]
  71. vgl. BVerfGE 130, 151, 181 ff.[]
  72. vgl. BVerfGE 130, 151, 182 f.[]
  73. vgl. BVerfGE 100, 313, 358 f. 125, 260, 310[]
  74. vgl. BVerfGE 125, 260, 312 f.[]
  75. vgl. BVerfGE 125, 260, 314 130, 151, 192[]
  76. BVerfGE 130, 151, 192 f.[]
  77. BVerfGE 130, 151, 200 f. m.w.N.[]
  78. vgl. BVerfGE 125, 260, 315[]
  79. vgl. BVerfGE 125, 260, 315 130, 151, 193[]
  80. vgl. BVerfGE 130, 151, 200 ff.[]
  81. vgl. BVerfGE 130, 151, 201[]
  82. vgl. BVerfGE 113, 348, 368 125, 260, 314, 346[]
  83. vgl. BVerfGE 125, 260, 346 f.[]
  84. vgl. BVerfGE 113, 348, 368 f. 125, 260, 346[]
  85. vgl. BVerfGE 133, 277, 317 f. Rn. 97 vgl. auch Uhle, in: Maunz/​Dürig, GG, Art. 73 Rn. 250 (April 2010); Degen­hart, in: Sachs, GG, 8. Aufl.2018, Art. 73 Rn. 52[]
  86. vgl. BT-Drs. 7/​178, S. 7; 13/​1550, S.20; vgl. auch Grau­lich, in: Schenke/​Graulich/​Ruthig, Sicher­heits­recht des Bun­des, 2. Aufl.2019, § 6 BKAG Rn. 2; a.A. Bäcker, Ter­ro­ris­mus­ab­wehr durch das Bun­des­kri­mi­nal­amt, 2009, S. 28[]
  87. vgl. Schrei­ber, NJW 1997, S. 2137, 2140 Gries­baum, NStZ 1998, S. 433, 435 Bäcker, Ter­ro­ris­mus­ab­wehr durch das Bun­des­kri­mi­nal­amt, 2009, S. 27[]
  88. vgl. BVerfGE 97, 198, 221 f.[]
  89. vgl. BVerfGE 110, 33, 48 133, 277, 320 Rn. 102[]
  90. vgl. BVerfGE 113, 63, 79[]
  91. vgl. BVerfGE 30, 1, 20, 29 134, 141, 180 Rn. 113[]
  92. vgl. BVerfGE 100, 313, 370 133, 277, 319 Rn. 101[]
  93. vgl. BVerfG, Urteil vom 19.05.2020 – 1 BvR 2835/​17, Rn. 128[]
  94. vgl. BVerfGE 133, 277, 320 Rn. 102[]
  95. vgl. BVerfGE 150, 244, 273 Rn. 67[]
  96. vgl. BVerfGE 103, 21, 30 113, 348, 370 f. 150, 244, 274 Rn. 68[]
  97. vgl. BVerfGE 64, 72, 79 f. 120, 274, 343[]
  98. vgl. Huber, in: von Mangoldt/​Klein/​Starck, GG, 7. Aufl.2018, Art.19 Rn. 96; sie­he auch Sin­ger, DÖV 2007, S. 496, 501 Krebs, in: von Münch/​Kunig, GG, Bd. 1, 6. Aufl.2012, Art.19 Rn. 14; a.A. Axer, in: Merten/​Papier, HGRe, Bd. III, 2009, § 67 Rn. 31[]
  99. vgl. BT-Drs. 17/​12034, S. 15[]
  100. vgl. BVerfGE 129, 208, 237 m.w.N.[]
  101. vgl. BVerfGE 65, 1, 44 100, 313, 359 f. stRspr[]
  102. vgl. BVerfGE 141, 220, 265 Rn. 93 stRspr[]
  103. BVerfGE 141, 220, 265 Rn. 94 vgl. auch EuGH, Urteil vom 06.10.2015, Schrems, C‑362/​14, EU:C:2015:650, Rn. 91; EGMR (GK), S. and Mar­per v. The United King­dom, Urteil vom 04.12.2008, Nr. 30562/​04 u.a., § 99[]
  104. vgl. BVerfGE 125, 260, 316 f.; 130, 151, 187, 205; vgl. auch EuGH, Urteil vom 02.10.2018, Minis­te­rio Fis­cal, C‑207/​16, EU:C:2018:788, Rn. 57[]
  105. vgl. BVerfGE 141, 220, 267 Rn. 98 148, 40, 57 f. Rn. 49[]
  106. vgl. BVerfGE 65, 1, 45 f.[]
  107. vgl. BVerfGE 100, 313, 376[]
  108. vgl. BVerfGE 115, 320, 353 141, 220, 265 Rn. 94 vgl. auch EuGH, Urteil vom 21.12.2016, Tele2 Sve­ri­ge und Wat­son u.a., C‑203/​15 u.a., EU:C:2016:970, Rn. 100[]
  109. vgl. BVerfGE 118, 168, 187 120, 378, 408 125, 260, 344 f., 355 vgl. auch EuGH, Urteil vom 08.04.2014, Digi­tal Rights Ire­land und Seit­lin­ger u.a., C‑293/​12 u.a., EU:C:2014:238, Rn. 57 ff.; Urteil vom 06.10.2015, Schrems, C‑362/​14, EU:C:2015:650, Rn. 93[]
  110. vgl. BVerfGE 125, 260, 344 f., 355[]
  111. vgl. BVerfGE 65, 1, 46 100, 313, 360 125, 260, 345 130, 151, 187 vgl. auch EuGH, Urteil vom 06.10.2015, Schrems, C‑362/​14, EU:C:2015:650, Rn. 93 f.[]
  112. vgl. BVerfGE 65, 1, 46 118, 168, 187 f. 125, 260, 327, 345 f.[]
  113. vgl. BVerfGE 120, 378, 408[]
  114. vgl. BVerfGE 125, 260, 345, 355 f.[]
  115. vgl. BVerfGE 125, 260, 327 f.[]
  116. vgl. BVerfGE 130, 151, 206 f.[][]
  117. vgl. BVerfGE 100, 313, 360 120, 351, 366 f.[]
  118. vgl. BVerfGE 118, 168, 187 125, 260, 345[]
  119. vgl. BVerfGE 130, 151, 202 m.w.N.[]
  120. vgl. BVerfGE 65, 1, 44 ff. 100, 313, 359 f. 125, 260, 328 130, 151, 202 stRspr[]
  121. BVerfGE 141, 220, 265 Rn. 94 mit Ver­weis auf BVerfGE 110, 33, 55[]
  122. vgl. BVerfGE 125, 260, 346[]
  123. vgl. BVerfGE 125, 260, 355 f.[][]
  124. vgl. BVerfGE 130, 151, 184, 203[]
  125. vgl. dazu BVerfGE 125, 260, 351 f.[]
  126. vgl. auch BVerfGE 130, 151, 202[]
  127. vgl. BVerfGE 130, 151, 188[]
  128. vgl. auch EuGH, Urteil vom 02.10.2018, Minis­te­rio Fis­cal, C‑207/​16, EU:C:2018:788, Rn. 61[]
  129. vgl. BVerfGE 130, 151, 189 f. vgl. auch EGMR, Brey­er v. Ger­ma­ny, Urteil vom 30.01.2020, Nr. 50001/​12, § 92 (nicht end­gül­tig) []
  130. BVerfGE 130, 151, 197[]
  131. ableh­nend: Grau­lich, in: Arndt/​Fetzer/​Scherer/​Graulich, TKG, 2. Aufl.2015, § 111 Rn. 11; Hey/​Pauly/​Kartheuser, ZD 2012, S. 455, 456 Dal­by, CR 2013, S. 361, 362 Fn. 14[]
  132. vgl. BVerfGE 125, 260, 342 130, 151, 198 f.[]
  133. vgl. dazu BVerfGE 130, 151, 198[]
  134. vgl. zur Vor­gän­ger­re­ge­lung BVerfGE 130, 151, 206[]
  135. vgl. BVerfGE 130, 151, 205[][]
  136. vgl. dazu BVerfGE 125, 260, 355 f.[]
  137. vgl. BVerfGE 130, 151, 206[][]
  138. vgl. BVerfGE 125, 260, 343 f.[][]
  139. vgl. BVerfGE 141, 220, 272 Rn. 112[][][]
  140. BVerfGE 113, 348, 386[]
  141. vgl. BVerfGE 100, 313, 392 sie­he auch BVerfGE 110, 33, 55, 60[]
  142. vgl. BVerfGE 113, 348, 386[]
  143. BVerfGE 141, 220, 272 Rn. 112 mit Ver­weis auf BVerfGE 120, 274, 328 f. und 125, 260, 330 f.[]
  144. vgl. BVerfGE 141, 220, 272 f. Rn. 112, 291 Rn. 164[]
  145. vgl. BVerfGE 141, 220, 269 Rn. 104[]
  146. vgl. dazu BVerfGE 150, 244, 284 Rn. 99 150, 309, 336 Rn. 73[]
  147. vgl. dazu BVerfGE 141, 220, 270 Rn. 107 m.w.N.[]
  148. vgl. BVerfGE 115, 320, 346 120, 274, 328 141, 220, 270 Rn. 108[]
  149. vgl. BVerfGE 125, 260, 331[]
  150. vgl. BVerfGE 120, 274, 330[]
  151. vgl. dazu BVerfGE 130, 151, 206[]
  152. vgl. BVerfGE 141, 220, 339 Rn. 320 vgl. auch BVerfGE 133, 277, 326 Rn. 118[][]
  153. vgl. BVerfGE 113, 348, 386 117, 244, 263[]
  154. vgl. BVerfGE 115, 166, 197 f. 124, 43, 66 f.[]
  155. vgl. BGH, Beschluss vom 12.01.2005 – 5 StR 191/​04, Rn. 7[]
  156. vgl. BVerfGE 109, 279, 350 129, 208, 268[]
  157. vgl. BVerfGE 130, 151, 205 f.[][]
  158. vgl. BT-Drs. 17/​12034, S. 5[]
  159. vgl. BR-Drs. 664/​12 [Beschluss], S. 1 f.; BT-Drs. 17/​12034, S. 17[]
  160. vgl. BVerfGE 125, 260, 344 f., 355 130, 151, 184 f.; 202 f., 207 ff.[]
  161. vgl. BT-Drs. 17/​12034, S.20[]
  162. vgl. BT-Drs. 17/​12879, S. 10[]
  163. vgl. BVerfGE 130, 151, 152[]
  164. vgl. BVerfGE 130, 151, 209[]
  165. vgl. BVerfGE 77, 84, 103 f.[]
  166. BVerfGE 96, 260, 263[]
  167. vgl. BT-Drs. 17/​12034, S. 13, 20[]
  168. vgl. BVerfGE 125, 260, 344 f., 355 []
  169. vgl. BVerfGE 130, 151, 207 ff.[]
  170. vgl. Schwa­ben­bau­er, in: Lisken/​Denninger, Hand­buch des Poli­zei­rechts, 6. Aufl.2018, Abschnitt G Rn. 177[]
  171. vgl. BVerfGE 125, 260, 341 f.[]
  172. vgl. BVerfGE 130, 151, 204 mit Ver­weis auf BVerfGE 125, 260, 341 ff.[]
  173. vgl. BVerfGE 125, 260, 319[]
  174. vgl. BVerfGE 125, 260, 341[][][]
  175. vgl. BVerfGE 125, 260, 352[]
  176. vgl. BGH, Urteil vom 13.01.2011 – III ZR 146/​10, Rn. 22; Urteil vom 03.07.2014 – III ZR 391/​13, Rn. 23; vgl. auch Leit­fa­den des BfDI und der BNetzA für eine daten­schutz­ge­rech­te Spei­che­rung von Ver­kehrs­da­ten, Stand 19.12.2012, S. 4 f.[]
  177. vgl. BVerfGE 125, 260, 328, 352[]
  178. vgl. BVerfGE 125, 260, 340[][]
  179. vgl. Grau­lich, in: Arndt/​Fetzer/​Scherer/​Graulich, TKG, 2. Aufl.2015, § 113 Rn. 29; Löwnau/​Ipsen, in: Scheurle/​Mayen, TKG, 3. Aufl.2018, § 113 Rn. 11[]
  180. vgl. auch BT-Drs. 17/​12034, S. 10, 12[]
  181. vgl. dazu BVerfGE 125, 260, 357[]
  182. vgl. Grau­lich, in: Schenke/​Graulich/​Ruthig, Sicher­heits­recht des Bun­des, 2. Aufl.2019, § 10 BKAG Rn.20[]
  183. BGBl. I 2013 S. 1602[]
  184. vgl. BVerfGE 125, 260, 344[][][][]
  185. vgl. BVerfGE 150, 244, 286 Rn. 106[][]
  186. vgl. dazu BVerfGE 125, 260, 344 150, 244, 284 Rn. 99[]
  187. vgl. BVerfGE 141, 220, 272 f. Rn. 112, 291 Rn. 164 f., 305 Rn. 213[]
  188. vgl. dazu BVerfGE 141, 220, 270 Rn. 108 m.w.N.[]
  189. vgl. auch BVerfGE 125, 260, 328 f.[]
  190. vgl. BVerfGE 109, 279, 343 ff., ins­be­son­de­re 347 f.[]
  191. vgl. auch BVerfGE 125, 260, 329[]
  192. vgl. BVerfGE 125, 260, 351 f.[]
  193. vgl. für die Spei­che­rungs­ver­pflich­tung: BVerfGE 125, 260, 344[]
  194. vgl. BVerfGE 125, 260, 345[]
  195. vgl. aber zu web­ba­sier­ten E‑Mail-Diens­ten: EuGH, Urteil vom 13.06.2019, Gmail, C‑193/​18, EU:C:2019:498[]
  196. vgl. BVerfGE 124, 43, 55[]
  197. zur Beschlag­nah­me von Daten­be­stän­den: BVerfGE 113, 29, 55 f. 124, 43, 68[]
  198. vgl. auch BT-Drs.19/17741, S. 38[]
  199. vgl. inso­weit BVerfGE 130, 151, 208 f.[]
  200. vgl. BVerfGE 130, 151, 202 f.[]
  201. vgl. BVerfGE 130, 151, 184[]
  202. vgl. BVerfGE 125, 260, 355[]
  203. vgl. auch Bro­dow­ski, Ver­deck­te tech­ni­sche Über­wa­chungs­maß­nah­men im Poli­zei- und Straf­ver­fah­rens­recht, 2016, S. 137[]
  204. vgl. Bäcker, Kri­mi­nal­prä­ven­ti­ons­recht, 2015, S. 505[]
  205. dazu Die­ter­le, ZD 2016, S. 517, 521[]
  206. vgl. BVerfGE 125, 260, 344 ff. 150, 244, 285 Rn. 101 stRspr[]
  207. vgl. BVerfGE 65, 1, 46 150, 244, 285 Rn. 101[]
  208. vgl. BVerfGE 110, 33, 51[]
  209. vgl. Bäcker, Ter­ro­ris­mus­ab­wehr durch das Bun­des­kri­mi­nal­amt, 2009, S. 23[]
  210. vgl. dazu BVerfGE 130, 151, 205 f.[]
  211. vgl. Grau­lich, in: Schenke/​Graulich/​Ruthig, Sicher­heits­recht des Bun­des, 2. Aufl.2019, § 10 BKAG Rn. 11; vgl. auch BT-Drs. 17/​12034, S. 13[]
  212. vgl. dazu auch BT-Drs.19/17741, S. 15[]
  213. vgl. BT-Drs. 17/​12034, S. 14[][]
  214. vgl. BVerfGE 141, 220, 333 Rn. 303[]
  215. vgl. BVerfGE 110, 33, 57 f., 61 ff. BVerfG, Urteil vom 19.05.2020 – 1 BvR 2835/​17, Rn. 215[]
  216. vgl. dazu Wamers, in: Fehn/​Wamers, Hk-ZFdG, § 4 Rn. 15, 51[]
  217. vgl. dazu BVerfGE 113, 348, 370 Braun, in: Gola/​Heckmann, BDSG, 13. Aufl.2019, § 45 Rn. 17[]
  218. Wamers, in: Fehn/​Wamers, Hk-ZFdG, § 4 Rn. 62[]
  219. vgl. zur Vor­gän­ger­re­ge­lung § 20a Abs. 2 BKAG a.F.: BVerfGE 141, 220, 288 Rn. 157[]
  220. vgl. BVerfGE 141, 220, 288 f. Rn. 158[]
  221. vgl. zu den Vor­gän­ger­re­ge­lun­gen: Bäcker, Ter­ro­ris­mus­ab­wehr durch das Bun­des­kri­mi­nal­amt, 2009, S. 53[]
  222. vgl. Grau­lich, in: Schenke/​Graulich/​Ruthig, Sicher­heits­recht des Bun­des, 2. Aufl.2019, § 39 BKAG Rn. 2[]
  223. BVerfGE 141, 220, 272 Rn. 112, 290 f. Rn. 164[]
  224. vgl. BVerfGE 141, 220, 272 Rn. 112, 291 Rn. 164[]
  225. vgl. BVerfGE 141, 220, 291 Rn. 165[][][]
  226. vgl. BVerfGE 141, 220, 291 ff. Rn. 166 ff.[]
  227. vgl. dazu im Ein­zel­nen BVerfGE 141, 220, 292 f. Rn. 168 f.[]
  228. vgl. inso­weit BVerfGE 141, 220, 272 f. Rn. 112[]
  229. vgl. Schen­ke, in: Schenke/​Graulich/​Ruthig, Sicher­heits­recht des Bun­des, 2. Aufl.2019, § 14 BPolG Rn. 42; Wehr, BPolG, 2. Aufl.2015, § 21 Rn. 4; Dre­wes, in: Drewes/​Malmberg/​Wagner/​Walter, BPolG, 6. Aufl.2019, § 22a Rn. 8, § 21 Rn. 10[]
  230. vgl. Dre­wes, in: Drewes/​Malmberg/​Wagner/​Walter, BPolG, 6. Aufl.2019, § 21 Rn. 13[]
  231. vgl. Dre­wes, in: Drewes/​Malmberg/​Wagner/​Walter, BPolG, 6. Aufl.2019, § 21 Rn. 5[]
  232. dazu BVerfGE 141, 220, 292 Rn. 168[]
  233. vgl. BVerfGE 130, 151, 208 f.[][]
  234. dazu BVerfGE 130, 151, 209[]
  235. vgl. BVerfGE 133, 277, 326 Rn. 118 141, 220, 339 Rn. 320[]
  236. vgl. BVerfGE 133, 277, 318 Rn. 98[]
  237. vgl. Uhle, in: Maunz/​Dürig, GG, Art. 73 Rn. 239 (April 2010); Wit­treck, in: Drei­er, GG, 3. Aufl.2015, Art. 73 Rn. 72[]
  238. vgl. BVerfGE 141, 220, 269 Rn. 105, 282 f. Rn. 134 ff.[]
  239. vgl. BVerfGE 130, 151, 210 vgl. auch EGMR, Brey­er v. Ger­ma­ny, Urteil vom 30.01.2020, Nr. 50001/​12, § 107 (nicht end­gül­tig); EuGH, Urteil vom 02.10.2018, Minis­te­rio Fis­cal, C‑207/​16, EU:C:2018:788, Rn. 60 f.[]
  240. vgl. BVerfGE 150, 244, 302 Rn. 154[]
  241. vgl. BVerfGE 125, 260, 344 129, 208, 250 f.[]
  242. vgl. BVerfGE 65, 1, 46 133, 277, 369 Rn. 214 141, 220, 284 f. Rn. 141 stRspr[]
  243. dazu BVerfGE 150, 244, 303 Rn. 157[]
  244. BVerfGE 125, 260, 344[]
  245. vgl. BVerfGE 150, 244, 303 Rn. 157[]
  246. vgl. BVerfGE 141, 220, 268 f. Rn. 103, 285 Rn. 142 f. m.w.N.[]
  247. vgl. BVerfGE 120, 274, 331 141, 220, 275 Rn. 117 vgl. auch EGMR, Szabó und Vis­sy v. Hun­ga­ry, Urteil vom 12.01.2016, Nr. 37138/​14, § 77[]
  248. vgl. BVerfGE 141, 220, 275 Rn. 117 vgl. auch EuGH, Urteil vom 21.12.2016, Tele2 Sve­ri­ge und Wat­son u.a., C‑203/​15 u.a., EU:C:2016:970, Rn. 99, 120, 125[]
  249. vgl. BVerfGE 120, 274, 331 f.[]
  250. vgl. BVerfGE 125, 260, 337 f. vgl. EuGH, Urteil vom 21.12.2016, Tele2 Sve­ri­ge und Wat­son u.a., C‑203/​15 u.a., EU:C:2016:970, Rn. 120, 125[]
  251. vgl. Bäcker, in: Rensen/​Brink, Lini­en der Recht­spre­chung des Bun­des­ver­fas­sungs­ge­richts, Bd. 1, 2009, S. 99, 114 f.[]
  252. vgl. Hauck, StV 2014, S. 360, 364[]
  253. vgl. BVerfG, Beschluss vom 06.11.2019 – 1 BvR 16/​13, Rn. 67 ff.[]
  254. EuGH, Urteil vom 08.04.2014, Digi­tal Rights Ire­land und Seit­lin­ger u.a., C‑293/​12 u.a., EU:C:2014:238[]
  255. EuGH, Urteil vom 21.12.2016, Tele2 Sve­ri­ge und Wat­son u.a., C‑203/​15 u.a., EU:C:2016:970[]
  256. EuGH, Urteil vom 02.10.2018, Minis­te­rio Fis­cal, C‑207/​16, EU:C:2018:788[]
  257. vgl. EuGH, Urteil vom 02.10.2018, Minis­te­rio Fis­cal, C‑207/​16, EU:C:2018:788, Rn. 63; vgl. auch EGMR, Brey­er v. Ger­ma­ny, Urteil vom 30.01.2020, Nr. 50001/​12, §§ 95, 101 (nicht end­gül­tig) []
  258. vgl. auch BVerfG, Urteil vom 19.05.2020 – 1 BvR 2835/​17, Rn. 326[]
  259. vgl. BVerfGE 101, 397, 409[]
  260. vgl. BVerfGE 109, 190, 235[]
  261. BVerfGE 150, 244, 306 Rn. 168 m.w.N.; stRspr[]
  262. BVerfGE 141, 220, 351 Rn. 355 m.w.N.[]
  263. vgl. BVerfGE 133, 377, 423 Rn. 106[]
  264. BGBl I S. 3346[]
  265. vgl. BVerfGE 141, 220, 272 f. Rn. 112[][]
  266. vgl. BVerfGE 130, 151, 210[]