Die Bestandsdatenauskunft durch Sicherheitsbehörden – Pflichten für Telemedienanbieter
Die Bestandsdatenauskunft regelt, wie Anfragen von Sicherheitsbehörden (insbesondere Polizei und Staatsanwaltschaft) an Telemedienanbieter (insbesondere Website-Betreiber und Cloud-Dienste) auszusehen haben. Möchte also eine Sicherheitsbehörde Auskünfte über Daten erhalten, die zu einem Nutzer oder einer Nutzerin in der Cloud oder in einer Datenbank von einer Website gespeichert sind, haben sowohl die Behörde als auch der Telemedienanbieter das in §§ 22 – 24 TTDSG beschriebene Verfahren zu beachten. Die Regelungen sind in der Praxis nur wenig bekannt, jedoch können die Anfragen jeden Telemedienanbieter treffen, also faktisch jedes deutsche Unternehmen.
Das Verfahren ist komplex und zwingt Telemedienanbieter zu verschiedenen Prüfungen, bevor sie erfragte Daten herausgeben dürfen. Nachfolgend stellen wir kurz dar, was die Bestandsdatendatenauskunft und die Nutzungsdatenauskunft konkret sind und wie Telemedienanbieter/Unternehmen mit Anfragen der Sicherheitsbehörden umgehen sollten.
Was ist die Bestandsdatenauskunft?
Die Bestandsdatenauskunft ermöglicht es verschiedenen Behörden aus den Bereichen Strafverfolgung, Sicherheit und Nachrichtendiensten, von Telemedienanbietern Auskunft über Informationen zu den Nutzerinnen und -nutzern zu erhalten. Beispielsweise kann die Polizei einen Onlineshop-Betreiber auffordern, alle zu einem Nutzer oder einer Nutzerin gespeicherten Informationen herauszugeben, inklusive seiner genutzten Passwörter. Bestandsdaten sind demgegenüber Informationen wie IP-Adressen, Name, Telefonnummern oder Adressen von Bürgerinnen und Bürgern. Das Verfahren zur Übermittlung wird in den §§ 22 und 23 TTDSG sehr ausführlich beschrieben, dazu gibt es Vorschriften in den Gesetzen, die das Verfahren bei den Behörden regeln (z. B. im BKA-Gesetz). Ein Telemedienanbieter muss stets im Einzelfall prüfen, ob er die von der Behörde erfragten Daten tatsächlich herausgeben darf.
Was ist die Nutzungsdatenauskunft?
Die Nutzungsdatenauskunft gehört inhaltlich zur Bestandsdatenauskunft, ist aber in § 24 TTDSG gesondert geregelt und bezieht sich auf inhaltliche Informationen zu Nutzern, z. B. welche Webseiten besucht wurden oder welche Daten in einer Datenbank gespeichert wurden. Rechtspolitisch ist die Nutzungsdatenauskunft besonders umstritten, da die Eingriffe in Persönlichkeitsrechte tiefergehend als bei der Bestandsdatenauskunft sind. Unternehmen sollten bei Nutzungsdaten also eine besonders sorgfältige Prüfung vornehmen.
Wann dürften Telemedienanbieter Daten herausgeben?
Telemedienanbieter dürfen die Daten nur herausgeben, wenn die anfragende Behörde verschiedene formale Anforderungen erfüllt, die das Unternehmen prüfen muss. Die Prüfung ist in der Praxis schwierig, da das Bundesverfassungsgericht das sog. „Doppeltürmodell“ entwickelt hat. Es ist zu unterscheiden zwischen einerseits der Datenübermittlung durch den Telemedienanbieter („erste Türe“) und dem Datenabruf bzw. Erhebung seitens der behördlichen, auskunftsersuchenden Stelle („zweite Türe“). Nur wenn die Behörde die Erlaubnis hat, die Daten zu empfangen und zu verarbeiten, darf der Telemedienanbieter die Daten herausgeben. Die §§ 22 – 24 TTDSG bestimmen konkret, wann ein Telemedienanbieter die Daten herausgeben darf („erste Türe“). Zwar müssen die Telemedienanbieter nicht inhaltlich prüfen, ob die materiellen Voraussetzungen erfüllt sind (z. B. ob ein Kunde oder eine Kundin einen Anschlag planen könnte), aber die Prüfung der formalen Pflichten ist bereits eine hohe Hürde.
Was soll ich als Unternehmen/Telemedienanbieter bei einem Auskunftsersuchen einer Behörde tun?
Wenn Sie eine Anfrage der Polizei/Staatsanwaltschaft/einer Sicherheitsbehörde erhalten, sollten Sie die angeforderten Daten nicht einfach herausgeben, da sonst Probleme mit der Datenschutz-Aufsichtsbehörde oder den Betroffenen entstehen können. Sie sollten jedenfalls die folgenden Prüfschritte durchführen:
- Ist die Anfrage der Behörde eine konkrete Rechtsgrundlage benannt, die die konkrete Abfrage der Behörde erlaubt? In der Praxis wird sich z. B. die Polizei oft auf § 100j StPO berufen können, da die Norm die Verarbeitung auch zur „Ermittlung des Sachverhalts“ zulässig ist.
- Existiert die Rechtsgrundlage, die die Behörde nannte? In der Praxis nennen die Behörden derzeit oft nicht mehr existente Normen, z. B. § 14 TMG a.F.). Das führt dazu, dass das Ersuchen zurückgewiesen werden kann/sollte (z. B. weil unklar ist, ob auch Passwörter oder IP-Adressen erfasst werden).
- Erlauben die § 22 – 24 TTDSG die Herausgabe der geforderten Daten durch den Telemedienanbieter auf Basis des von den Behörden genannten Sachverhalts? Diese Prüfung ist meist für Laien kaum sicher zu leisten, es kann sinnvoll sein, juristische Beratung einzuholen.
- Erfolgt die Abfrage nur in Bezug auf einen Einzelfall? Die Anfrage darf also nicht verschiedene Fälle in einem erfassen.
- Nennt die Behörde Gründe, weshalb die Herausgabe der Daten erforderlich ist und was der Zweck des Ersuchens ist?
Wenn die Informationen herauszugeben sind, sind Sie verpflichtet, alle unternehmensinternen Quellen zu berücksichtigen, also die Daten eigenständig und vollständig zu suchen. In Konzernen ist derzeit unklar, ob sich die Herausgabe auf den ganzen Konzern oder nur das konkrete Unternehmen bezieht, sodass sich die Angaben zur Sicherheit auf das konkret angefragte Unternehmen beschränken sollten. Auch Cloud-Dienste und Subdienstleister sollten also im Zweifel berücksichtigt werden.
Die Zusammenstellung zeigt, dass die Prüfung sehr schwierig ist und für juristische Laien kaum zu leisten. Es empfiehlt sich daher, den Rat von Expertinnen und -Experten einzuholen. Das können externe Rechtsanwältinnen und Rechtsanwälte sein, die Erfahrung mit der Bestandsdatenauskunft haben oder eine interne Fachkraft, die in dem Gebiet geschult wird. § 22 Abs. 6 Satz 2 TTDSG sieht sogar ausdrücklich vor, dass Telemedienanbieter eine verantwortliche Fachkraft bestimmen müssen.
Übrigens: Die Kosten für den Aufwand müssen Sie als Unternehmen – vermutlich – selbst tragen. Nach § 22 Abs. 1 Satz 1 TTDSG müssen die abstrakten Vorkehrungen zur Beantwortung der Fragen auf eigene Kosten des Unternehmens getroffen werden. Für die Beantwortung konkreter Anfragen soll laut der Gesetzesbegründung eine geringe Aufwandsentschädigung gezahlt werden – im Gesetzestext selbst findet sich eine solche Pflicht aber nicht. Da der Gesetzgeber für die Prüfung und Beantwortung einer behördlichen Anfrage einen viel zu geringen Aufwand von 10 Minuten ansetzte, wäre die Beantragung der Erstattung aber vermutlich aufwendiger als die erhaltenen Zahlungen.
Hinweis
Die Normen der Bestandsdatenauskunft haben wir in dem Gesetzeskommentar zum TTDSG, herausgegeben von Gierschmann/Baumgartner beim Verlag C. H. Beck, ausführlich kommentiert. Das Werk ist in jeder Buchhandlung erhältlich oder direkt beim Verlag: https://www.beck-shop.de/gierschmann-baumgartner-telekommunikation-telemedien-datenschutz-gesetz-ttdsg/product/33298937.
Zudem hält Dr. Lachenmann am 20. April einen Online-Vortrag zu dem Thema bei der Stiftung Datenschutz: https://stiftungdatenschutz.org/veranstaltungen/unsere-veranstaltungen-detailansicht/bestandsdatenauskunft-im-ttdsg-383.
Ihr Experte zur Bestandsdatenauskunft
Dr. Matthias Lachenmann, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 180, E-Mail: matthias.lachenmann@bho-legal.com