„IT-Recht und Geistiges Eigentum
sind seit über 10 Jahren unsere Leidenschaft.“

Jetzt unverbindlich Kontakt aufnehmen:

BVerfG: Die Bestimmungen des TKG zur Herausgabepflicht von Zugangssicherungscodes wie Passworten oder Persönlichen Identifikationsnummern (PIN) sind verfassungswidrig / Übergangsfrist bis 2013

veröffentlicht am 24. Februar 2012

BVerfG, Urteil vom 24.01.2012, Az. 1 BvR 1299/05
§ 113 Abs. 1 S. 2 TKG, Art. 1 Abs. 1 GG, Art. 2 Abs. 1 GG

Das BVerG hat entschieden, dass die Vorschrift des § 113 Abs. 1 Satz 2 Telekommunikationsgesetz (TKG) gegen das verfassungsrechtlich geschützte Anrecht auf informationelle Selbstbestimmung verstößt. Unter anderem läge ein Verstoß gegen den Grundsatz der Verhältnismäßigkeit vor, weil die Vorschriften den Zugriff auf die Zugangssicherungscodes, die den Zugang zu Endgeräten sichern und damit die Betreffenden vor einem Zugriff auf die entsprechenden Daten beziehungsweise Telekommunikationsvorgänge schützen, unabhängig davon erlaubten, ob eine Nutzung der Daten durch die Behörde erlaubt sei oder nicht. Zur Pressemitteilung Nr. 13/2012 des Bundesverfassungsgerichts vom 24.02.2012:

„Regelungen des Telekommunikationsgesetzes zur Speicherung und Verwendung von Telekommunikationsdaten teilweise verfassungswidrig

Die Verfassungsbeschwerde richtet sich gegen die die §§ 111 bis 113 des Telekommunikationsgesetzes (TKG)

1.
§ 111 TKG verpflichtet geschäftsmäßige Anbieter von Telekommunikationsdiensten, die von ihnen vergebenen beziehungsweise bereitgestellten Telekommunikationsnummern (Rufnummern, Anschlusskennungen, Mobilfunkendgerätenummern und Kennungen von elektronischen Postfächern) sowie die zugehörigen persönlichen Daten der Anschlussinhaber wie Namen, Anschriften und Geburtsdaten zu erheben und zu speichern.

Die §§ 112, 113 TKG schaffen die Grundlage für zwei verschiedene Verfahren zur Erteilung von Auskünften aus den nach § 111 TKG gespeicherten Daten. In dem durch § 112 TKG geregelten automatisierten Verfahren müssen die Anbieter von Telekommunikationsdiensten die Daten so bereit stellen, dass sie von der Bundesnetzagentur ohne Kenntnisnahme der Anbieter abgerufen werden können. Die Bundesnetzagentur hat die Daten auf Ersuchen konkret bezeichneter Behörden, darunter insbesondere der Strafverfolgungs- und Polizeivollzugsbehörden, im automatisierten Verfahren abzurufen und diesen zu übermitteln. Die Auskünfte dürfen immer erteilt werden, wenn sie zur Erfüllung der gesetzlichen Aufgaben erforderlich sind.

Das in § 113 Abs. 1 Satz 1 TKG geregelte manuelle Verfahren verpflichtet dagegen die Telekommunikationsunternehmen selbst zur Auskunftserteilung. Auskunftsverpflichtet sind hier nicht nur die Anbieter, die Telekommunikationsdienste der Öffentlichkeit offerieren (z. B. Telefongesellschaften oder Provider), sondern darüber hinaus auch alle, die geschäftsmäßig Telekommunikationsdienste erbringen (z. B. auch Krankenhäuser oder gegebenenfalls Hotels). Auskunftsberechtigt sind nach dieser Norm grundsätzlich alle Behörden. Voraussetzung ist, dass die Auskunft im Einzelfall für die Verfolgung von Straftaten und Ordnungswidrigkeiten, die Gefahrenabwehr oder nachrichtendienstliche Aufgaben erforderlich ist.

§ 113 Abs. 1 Satz 2 TKG regelt eine spezielle Auskunftspflicht hinsichtlich Zugangssicherungscodes wie Passworten oder Persönlichen Identifikationsnummern (PIN). Auskunftsberechtigt sind insoweit die Strafverfolgungs- und Sicherheitsbehörden sowie die Nachrichtendienste.

In Auslegung des § 113 TKG entspricht es verbreiteter, aber umstrittener Praxis, dass auch Auskünfte über den Inhaber einer sogenannten dynamischen Internetprotokolladresse (dynamische IP-Adresse) erteilt werden. Hierbei handelt es sich um die Telekommunikationsnummern, mit denen vor allem Privatpersonen normalerweise im Internet surfen.

Der Abruf der Daten durch die auskunftsberechtigten Behörden richtet sich nach deren eigenen Rechtsgrundlagen; in der Praxis wurden hierbei Rechtsgrundlagen, die die Behörden allgemein zur Erhebung von Daten ermächtigen, als ausreichend angesehen.

2.
Die Beschwerdeführer nutzen vorausbezahlte Mobilfunkkarten sowie Internetzugangsdienste und machen geltend, durch die Speicherung ihrer Daten und deren mögliche Übermittlung im Rahmen der Auskunftsverfahren in ihren Grundrechten verletzt zu sein.

3.
Der Erste Senat des Bundesverfassungsgerichts hat entschieden, dass die Erhebung und Speicherung von Telekommunikationsdaten nach § 111 TKG sowie ihre in § 112 TKG geregelte Verwendung im automatisierten Auskunftsverfahren verfassungsgemäß sind. Der hierdurch bewirkte Eingriff in das Recht auf informationelle Selbstbestimmung ist nur von begrenztem Gewicht und angesichts der erstrebten Verbesserung der staatlichen Aufgabenwahrnehmung gerechtfertigt. Für den Datenabruf reichen hierbei auch die allgemeinen Datenerhebungsvorschriften der abrufberechtigten Behörden.

Keinen Erfolg hat die Verfassungsbeschwerde auch insoweit, als sie sich gegen die in § 113 Abs. 1 Satz 1 TKG enthaltene Regelung zur Erteilung allgemeiner Auskünfte durch die Telekommunikationsdiensteanbieter im manuellen Auskunftsverfahren richtet. Die Vorschrift ist jedoch verfassungskonform so auszulegen, dass es für den Datenabruf spezieller fachrechtlicher Ermächtigungsgrundlagen bedarf. Zudem berechtigt § 113 Abs. 1 Satz 1 TKG nicht zu einer Zuordnung von dynamischen IP-Adressen. Für eine Übergangszeit, längstens bis zum 30.06.2013, darf die Vorschrift unabhängig von diesen Maßgaben angewendet werden.

Dagegen ist § 113 Abs. 1 Satz 2 TKG mit dem Recht auf informationelle Selbstbestimmung nicht vereinbar. Die Vorschrift gilt jedoch übergangsweise, längstens bis zum 30.06.2013 mit der Maßgabe fort, dass die Sicherungscodes nur unter den Bedingungen erhoben werden dürfen, unter denen sie nach den jeweils maßgeblichen Vorschriften (etwa denen des Strafprozessrechts) auch genutzt werden dürfen.

Der Entscheidung liegen im Wesentlichen folgende Erwägungen zugrunde:

I.
Die angegriffenen Vorschriften sind im Wesentlichen am Maßstab des Rechts auf informationelle Selbstbestimmung gemäß Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG zu messen. Die in den §§ 111 bis 113 TKG geregelten Pflichten der Diensteanbieter zur Erhebung, Speicherung und Bereitstellung der Daten bewirken ebenso wie die Befugnis der Bundesnetzagentur zum Zugriff auf diese Daten und zu deren Übermittlung beziehungsweise wie die Befugnis der Telekommunikationsanbieter zur Auskunftserteilung jeweils eigenständige Eingriffe in dieses Grundrecht. Ein weiterer eigenständiger Grundrechtseingriff liegt darüber hinaus im Abruf der Daten, der eine gegenüber den §§ 112, 113 TKG eigenständige Rechtsgrundlage erfordert. Für Abruf und Auskunftserteilung müssen damit korrespondierende Rechtsgrundlagen bestehen, die wie Doppeltüren zusammenwirken. Dagegen greifen die angegriffenen Vorschriften solange  sie nicht für die Zuordnung dynamischer IP-Adressen genutzt werden nicht  in das Telekommunikationsgeheimnis des Art. 10 Abs. 1 GG ein. Das  Grundrecht schützt allein die Vertraulichkeit konkreter  Telekommunikationsvorgänge, nicht aber die Vertraulichkeit der jeweiligen Umstände der Bereitstellung von  Telekommunikationsdienstleistungen. Die in den §§ 111 bis 113 TKG  angeordnete Speicherung und Auskunftserteilung betrifft lediglich die abstrakte Zuordnung von Telekommunikationsnummern zu bestimmten  Anschlussinhabern, die ebenso wie die Zuordnung einer statischen  IP-Adresse zu einem Nutzer nicht in den Schutzbereich des Art. 10 GG  fällt.

Demgegenüber begründet die Zuordnung von dynamischen IP-Adressen einen  Eingriff in das Telekommunikationsgeheimnis. Denn für die  Identifizierung einer dynamischen IP-Adresse müssen die  Telekommunikationsunternehmen die entsprechenden Verbindungsdaten ihrer  Kunden sichten und somit auf konkrete Telekommunikationsvorgänge zugreifen, die vom Schutzbereich des Art. 10 GG umfasst sind.

II.
Die Speicherungspflicht des § 111 TKG ist verfassungsrechtlich nicht  zu beanstanden. Sie dient dazu, eine verlässliche Datenbasis für die in  §§ 112, 113 TKG geregelte Auskunftserteilung vorzuhalten, die es  bestimmten Behörden erlaubt, Telekommunikationsnummern individuellen  Anschlussinhabern zuzuordnen. Die hiermit erstrebte Verbesserung  staatlicher Aufgabenwahrnehmung vor allem im Bereich der  Strafverfolgung, Gefahrenabwehr und nachrichtendienstlicher Tätigkeiten  ist ein legitimer Zweck, der den Grundrechtseingriff rechtfertigt. Die  in § 111 TKG geregelte punktuelle Vorhaltung bestimmter, begrenzter und  in ihrem Informationsgehalt genau umschriebener Daten für die in den §§  112, 113 TKG eingehend definierten Verwendungszwecke verstößt nicht gegen das strikte Verbot der Vorratsdatenspeicherung.

§ 111 TKG ist verhältnismäßig. Angesichts des nicht sehr weit reichenden Informationsgehalts der erfassten Daten handelt es sich um einen  Eingriff von nur begrenztem Gewicht. Sie geben aus sich heraus noch  keinen Aufschluss über konkrete Aktivitäten Einzelner, sondern  ermöglichen allein die individualisierende Zuordnung von  Telekommunikationsnummern zu den jeweiligen Anschlussinhabern.  Grundlegend anders als im Fall der vorsorglichen Speicherung sämtlicher  Telekommunikationsverkehrsdaten umfassen diese Daten als solche weder höchstpersönliche Informationen noch ist mit ihnen die Erstellung von  Persönlichkeits- oder Bewegungsprofilen möglich. Auch erfasst § 111 TKG  nicht die dynamischen IP-Adressen. Die Möglichkeit der Zuordnung der in  § 111 TKG erfassten Daten dient einer effektiven Aufgabenwahrnehmung der in den Verwendungsvorschriften näher bestimmten Behörden. Sie ist  verfassungsrechtlich dadurch gerechtfertigt, dass der Staat  anlassbezogen ein legitimes Interesse an der Aufklärung bestimmter  Telekommunikationsvorgänge haben und diesem Interesse zur Erfüllung  bestimmter Aufgaben ein erhebliches, in Einzelfällen auch überragendes Gewicht zukommen kann.

III.
Das automatisierte Auskunftsverfahren gemäß § 112 TKG ist ebenfalls  mit der Verfassung vereinbar. Die Vorschrift ist Rechtsgrundlage für die  Pflicht der Diensteanbieter zur Bereitstellung der Daten als Kundendatei  sowie für den Zugriff auf diese Daten durch die Bundesnetzagentur und deren Übermittlung an die auskunftsberechtigten Behörden. Für den Abruf  der Daten durch die Behörden setzt § 112 TKG dem „Doppeltürenmodell“  entsprechend eine eigene Ermächtigungsgrundlage voraus, wobei die  allgemeinen Datenerhebungsvorschriften der jeweils auskunftsberechtigten Behörden ausreichen.

1.
§ 112 TKG verstößt nicht gegen die Kompetenzordnung des  Grundgesetzes. Der Bund durfte das automatisierte Auskunftsverfahren auf  der Grundlage seiner Kompetenz für das Telekommunikationsrecht gemäß  Art. 73 Abs. 1 Nr. 7 GG regeln. Hierzu gehört auch die Regelung des  Datenschutzes in diesem Bereich und zugleich die Festlegung, wann eine  Behörde in Öffnung dieser datenschutzrechtlichen Anforderungen Daten  übermitteln darf. Demgegenüber endet seine Gesetzgebungsbefugnis dort,  wo es um den Abruf solcher Informationen geht. Die Ermächtigungen zum Datenabruf selbst bedürfen eines eigenen Kompetenztitels des Bundes oder  müssen den Ländern überlassen bleiben. Da § 112 TKG lediglich den  Datenaustausch zwischen Behörden regelt, bestehen kompetenzrechtlich  keine Bedenken, dass der Bund das Auskunftsverfahren soweit regelt, dass  die Länder für den Datenabruf nur noch allgemeine  Datenerhebungsgrundlagen bereitstellen müssen. Denn das  Letztentscheidungsrecht der Länder über das Ob und Wie des Datenabrufs  bleibt unberührt.

2.
§ 112 TKG genügt den Anforderungen des  Verhältnismäßigkeitsgrundsatzes. Die Vorschrift dient der Effektivierung  der staatlichen Aufgabenwahrnehmung. Bei den Zwecken, für die den Behörden Auskünfte nach § 112 Abs. 2 TKG erteilt werden, handelt es sich um zentrale Aufgaben der Gewährleistung von Sicherheit. Angesichts der  Bedeutung elektronischer Kommunikationsmittel und des fortentwickelten  Kommunikationsverhaltens der Menschen in allen Lebensbereichen sind die  Behörden darauf angewiesen, Telekommunikationsnummern individuell  zuordnen zu können. Es ist verfassungsrechtlich nicht zu beanstandenden,  wenn der Gesetzgeber die Übermittlung dieser Auskünfte erlaubt, um  Straftaten und Gefahren aufzuklären, verfassungsbedrohliche  Entwicklungen zur Information der Regierung und der Öffentlichkeit zu  beobachten oder in Notsituationen zu helfen.

Unverhältnismäßig ist die Vorschrift nach dem derzeitigen Stand der technischen Entwicklung und Praxis auch nicht insoweit, als sie unter Umständen die Identifizierung von statischen IP-Adressen ermöglicht. Denn da diese zum gegenwärtigen Zeitpunkt in aller Regel nur  Institutionen und Großnutzern, nicht aber privaten Nutzern als  Einzelkunden zugewiesen werden, hat die Möglichkeit der Abfrage solcher  Nummern nur geringes Gewicht. Allerdings trifft den Gesetzgeber insoweit  eine Beobachtungs- und gegebenenfalls Nachbesserungspflicht. Die  dynamischen IP-Adressen sind von § 111 TKG jedoch nicht umfasst, sodass  § 112 TKG diesbezüglich eine Deanonymisierung nicht ermöglicht.

IV.
Das manuelle Auskunftsverfahren gemäß § 113 Abs. 1 Satz 1 TKG ist gleichfalls mit der Verfassung vereinbar.

1.
Die Vorschrift bedarf aber in zweifacher Hinsicht einer  verfassungskonformen Auslegung.

a)
Zum einen ist sie sowohl aus kompetenzrechtlichen als auch aus  rechtsstaatlichen Gründen so auszulegen, dass sie für sich allein  Auskunftspflichten der Telekommunikationsunternehmen noch nicht  begründet. Da es sich um Auskunftspflichten Privater handelt, bedarf es  für den Abruf der Daten seitens der auskunftsberechtigten Behörden fachrechtlicher, gegebenenfalls landesrechtlicher  Ermächtigungsgrundlagen, die eine Verpflichtung der  Telekommunikationsdiensteanbieter gegenüber den abrufberechtigten  Behörden eigenständig und normenklar begründen. Denn kompetenzrechtlich gehört die Begründung einer Auskunftspflicht Privater nicht mehr zur Regelung der Übermittlungszwecke, sondern zum Datenabruf. Aus dem  Grundsatz der Normenklarheit ergibt sich, dass insoweit hinreichend klar  geregelt sein muss, gegenüber welchen Behörden die Anbieter konkret zur  Datenübermittlung verpflichtet sein sollen.

b)
Zum anderen darf die Vorschrift nicht zur Zuordnung von dynamischen IP-Adressen angewendet werden. Dies verbietet sich schon deshalb, weil  die Zuordnung von dynamischen IP-Adressen als Eingriff in Art. 10 Abs. 1  GG zu qualifizieren ist. Für solche Eingriffe gilt das Zitiergebot gemäß  Art. 19 Abs. 1 Satz 2 GG, wonach der Gesetzgeber das Grundrecht, in das  eingegriffen wird, unter Angabe des Artikels nennen muss. Daran fehlt es  vorliegend. Im Übrigen ist in § 113 Abs. 1 TKG nicht hinreichend klar  geregelt, ob mit ihm auch eine Identifizierung solcher Adressen, die ein  eigenes Gewicht hat, erlaubt werden soll.

2.
Ausgehend von den vorstehenden Maßgaben genügt § 113 Abs. 1 Satz 1  TKG den Anforderungen des Verhältnismäßigkeitsgrundsatzes. Angesichts  des begrenzten Informationsgehalts der betreffenden Daten sowie ihrer  großen Bedeutung für eine effektive Aufgabenwahrnehmung ist die Reichweite der Vorschrift verfassungsrechtlich nicht zu beanstanden. Sie  ermöglicht keineswegs Auskünfte ins Blaue hinein als allgemeines Mittel  für einen gesetzesmäßigen Verwaltungsvollzug, sondern setzt im  Einzelfall die Erforderlichkeit zur Wahrnehmung einer  sicherheitsrechtlich geprägten Aufgabe voraus. Auch der weite Kreis der  Auskunftsverpflichteten ist mit Blick auf das Ziel einer Effektivierung  der Ermittlungsmöglichkeiten gerechtfertigt.

V.
Dagegen verletzt die Vorschrift des § 113 Abs. 1 Satz 2 TKG das  Grundrecht auf informationelle Selbstbestimmung, weil sie nicht den  Anforderungen des Verhältnismäßigkeitsgrundsatzes genügt. Die Regelung  betrifft die Zugangssicherungscodes, die den Zugang zu Endgeräten sichern und damit die Betreffenden vor einem Zugriff auf die entsprechenden Daten beziehungsweise Telekommunikationsvorgänge schützen. Der Zugriff auf diese Daten ist jedoch in dem Umfang, wie ihn § 113 Abs. 1 Satz 2 TKG regelt, für die effektive Aufgabenwahrnehmung  dieser Behörden nicht erforderlich. Die Vorschrift macht sie den  Behörden zugänglich und versetzt sie damit in die Lage, die  entsprechenden Barrieren zu überwinden, ohne die Voraussetzungen für die  Nutzung dieser Codes zu regeln. Diese sollen sich vielmehr, wie § 113  Abs. 1 Satz 3 TKG klarstellt, allein nach eigenständigen  Rechtsgrundlagen des Fachrechts, so z. B. nach den entsprechenden  Vorschriften der Strafprozessordnung, bestimmen. Es ist jedoch kein  Grund ersichtlich, warum die Behörden die in § 113 Abs. 1 Satz 2 TKG  geregelten Zugangscodes unabhängig von den Anforderungen an deren  Nutzung und damit gegebenenfalls unter leichteren Voraussetzungen  abfragen können sollen. Die Erhebung der in § 113 Abs. 1 Satz 2 TKG  geregelten Zugangsdaten ist mit Blick auf die dort verfolgten Zwecke nur  dann erforderlich, wenn auch die Voraussetzungen von deren Nutzung  gegeben sind. Dies stellt die Regelung des § 113 Abs. 1 Satz 2 TKG in  ihrer derzeitigen Fassung nicht hinreichend sicher.

VI.
Das Bundesverfassungsgericht hat die verfassungswidrige Vorschrift  des § 113 Abs. 1 Satz 2 TKG nicht für nichtig erklärt, sondern ihre  befristete Fortgeltung angeordnet mit Maßgabe, dass die  Sicherheitsbehörden Auskünfte über Zugangssicherungscodes wie PIN und  PUK nur dann verlangen dürfen, wenn die gesetzlichen Voraussetzungen für  ihre Nutzung gegeben sind. Denn die Nichtigerklärung hätte zur Folge,  dass auch für die Fälle, in denen die Behörden zu Recht zur Verhinderung  oder Ahndung gewichtiger Rechtsgutsverletzungen auf  Telekommunikationsdaten Zugriff nehmen dürfen, nicht hinreichend  gesichert wäre, dass sie hierzu in der Lage sind. Dies wäre angesichts  des begrenzten Gewichts des Grundrechtseingriffs auch zwischenzeitlich  nicht hinzunehmen. Einer Übergangsregelung bedarf es aus denselben  Gründen auch bezüglich der verfassungsrechtlichen Anforderungen an die  Auslegung des § 113 Abs. 1 Satz 1 TKG. Würden diese Anforderungen sofort  wirksam, wären in zahlreichen Fällen bis zum Erlass neuer  Abrufregelungen des Fachrechts weder Auskünfte zu  Telekommunikationsnummern möglich noch könnten dynamische IP-Adressen  identifiziert werden.“