Deutscher Bundestag – 16. Wahlperiode
– 97 –
separaten Auswertungsserver protokolliert. Außerdem
werden „Cookies“ oder „Web-Bugs“ auf dem Computer
des Nutzers gespeichert. Damit wird es möglich, einen
Nutzer wiederzuerkennen, wenn er die Seiten mehrfach
mit zeitlichem Abstand betrachtet. Die Zugriffe werden
u. a. mit Angaben über die Anzahl der aufgerufenen Seiten, Zeitpunkt und IP-Adresse der ersten und der letzten
Nutzung sowie Informationen zum Provider aufgelistet.
Zudem können weitere Informationen, etwa die aufgerufene Seite, aufgeführt werden. Damit wird eine exakte
Rekonstruierung der Nutzung jedes einzelnen Absenders
möglich. Die Nutzungsdaten bleiben auf dem Auswertungsserver bis zum Abschluss des jeweiligen Falles bzw.
bis zur Beendigung der Maßnahme gespeichert.
Das BKA vertrat die Auffassung, dass diese Form der
Homepage-Überwachung auf die Ermittlungsgeneralklausel des § 163 StPO gestützt werden könne. Der Internet-Nutzer rechne außerdem damit, dass die Protokolldaten auf den Webservern gespeichert würden. Er gebe
damit Daten beim Surfen im Internet freiwillig preis. Zudem müsse der Nutzer auch mit der Installation von
„Cookies“ rechnen.
Gegenüber der Bundesregierung habe ich hingegen die
Auffassung vertreten, dass es für die vom BKA betriebene Homepage-Überwachung an einer Rechtsgrundlage
fehlt. Informationen darüber, wer wie oft auf eine bestimmte Website zugegriffen hat, sind Angaben zu den
näheren Umständen der Telekommunikation, die durch
Artikel 10 GG geschützt sind. Stellt ein Anbieter eine
Website ins Netz, handelt es sich um ein Angebot im Bereich der Telemedien. Der Umgang mit den beim Anbieter eines solchen Angebots anfallenden Nutzungsdaten
richtet sich abschließend nach dem Telemediengesetz,
welches keine Befugnis für die vom BKA vorgesehene
Verwendung der Nutzungsdaten einräumt (s. o. Nr. 7.9).
Selbst wenn die Strafprozessordnung zur Anwendung
käme, reichte § 163 StPO als Rechtsgrundlage für die
heimliche Homepage-Überwachung im Hinblick auf den
damit verbundenen Eingriff in das informationelle Selbstbestimmungsrecht überwiegend unbescholtener Personen nicht aus.
Nach ausführlichen Beratungen der Thematik hat sich die
Bundesregierung nunmehr meiner Rechtsauffassung angeschlossen. Das BMJ hat mir mitgeteilt, dass der Generalbundesanwalt derartige Maßnahmen nicht mehr veranlassen werde. Das BMI hat das BKA angewiesen, mit den
betreffenden Staatsanwaltschaften Einvernehmen über
die Beendigung etwaiger noch laufender Maßnahmen
herzustellen und zukünftig das Instrument der Homepage-Überwachung nicht mehr einzusetzen.
7.11
Kontroverse: Auskunft über Inhaber von
IP-Adressen
Seit langem ist strittig, auf welcher Rechtsgrundlage ein
Provider Auskunft über den Inhaber einer IP-Adresse geben muss.
Nur der Internet-Zugangsprovider weiß, welchem seiner
Kunden er zu welchem Zeitpunkt eine bestimmte IP-
Drucksache 16/12600
Adresse dynamisch zugeteilt hat. Denn diese Informationen sind in seinen Protokolldateien gespeichert, die aus
Datensicherheitsgründen kurzfristig zur Verfügung stehen
und die er spätestens seit dem 1. Januar 2009 sechs Monate lang für Strafverfolgungszwecke vorhalten muss
(vgl. Nr. 3.2.1). Die Ermittlungsbehörden müssen daher
bei der Aufklärung von Straftaten, die im oder mit Hilfe
des Internet begangen wurden, in zahlreichen Fällen entsprechende Anfragen beim jeweiligen Provider stellen.
Strittig ist, welche Vorschrift als Grundlage für ein Auskunftsersuchen herangezogen werden muss. Unstrittig ist,
dass es sich bei den Protokolldaten um Verkehrsdaten
(und nicht um Bestandsdaten) der Telekommunikation
handelt (s. Kasten zu Nr. 7.8). § 113 TKG verpflichtet die
Provider, den Strafverfolgungs- und Sicherheitsbehörden
die Bestandsdaten eines Kunden auf Anfrage unverzüglich mitzuteilen, und stellt dabei keine besonderen Voraussetzungen an das Auskunftsersuchen. Die Anfragen
seien auf Bestandsdaten gerichtet, auch wenn zur Ermittlung der Identität der Person hinter einer IP-Adresse Verkehrsdaten hinzugezogen werden müssten, argumentieren
die Befürworter dieser Rechtsgrundlage. Entsprechend
hat z. B. die Bundesnetzagentur die Deutsche
Telekom AG verpflichtet, Auskünfte zur Identität von Internet-Nutzern auf Basis von § 113 TKG zu erteilen. Gegen diesen Bescheid hat die Deutsche Telekom AG
Widerspruch eingelegt, eine Entscheidung liegt noch
nicht vor.
Weil zur Ermittlung der Person, die Telekommunikationsdienste in Anspruch genommen hat, Verkehrsdaten genutzt werden müssen, vertrete ich die Auffassung, dass
die entsprechenden Bestandsdaten nur auf Grundlage des
§ 100g StPO an Strafverfolgungsbehörden herausgegeben werden dürfen. Dies setzt – außer in Eilfällen – einen
richterlichen Beschluss voraus. Das Gesetz sieht für die
vom Fernmeldegeheimnis geschützten Verkehrsdaten
eine höhere Eingriffsschwelle vor als für eine „einfache“
Bestandsdatenabfrage nach § 113 TKG.
Besonders deutlich wird die Unzulänglichkeit der Vorschrift des § 113 TKG im Zusammenhang mit Auskunftsersuchen, die Kunden von sog. Resellern der Provider betreffen. Ohne sie zu „kennen“, vergibt der Provider auch
für diese Kunden die dynamischen IP-Adressen, da er
seine Technik für die Reseller zur Verfügung stellt. Anfragen der Ermittlungsbehörden werden daher an ihn gerichtet. Da er die nach § 113 TKG geforderte Auskunft zu
den Bestandsdaten nicht erteilen kann, stellt sich die
Frage, ob die Auskunft, welcher Reseller die Daten liefern kann, von dieser Vorschrift gedeckt ist oder ob eine
erneute Anfrage nach § 161a StPO zur Zeugenaussage erforderlich ist.
Mit Einführung der Vorratsdatenspeicherung wurden
– am Ende des parlamentarischen Verfahrens und daher
weitgehend unbemerkt – durch einen knappen Einschub
im Gesetzestext die Vorratsdaten für Auskunftsersuchen
nach § 113 TKG „geöffnet“. Damit soll nun klargestellt
sein, dass IP-Adressen grundsätzlich auf dieser Rechtsgrundlage zu beauskunften sind. Diese „Klarstellung“ an
unerwarteter Stelle als solche zu erkennen und zu verste-
BfDI 22. Tätigkeitsbericht 2007-2008