„Jede Berührung hinterlässt Spuren.“ Dieser Satz von Edmond Locard prägt das Grundprinzip der forensischen Wissenschaft: Straftaten lassen sich aufdecken, weil jede Handlung, jeder Kontakt Spuren überträgt. Im realen Leben sind es Fingerabdrücke oder DNA-Spuren, im Internet sind es IP-Adressen: Sie zeigen, welche Verbindung wann kommuniziert hat. Bei Delikten wie Kindesmissbrauch, Terrorismus oder organisiertem Betrug sind IP-Daten oft der einzige Ansatzpunkt für Ermittlungen.
Doch während niemand auf die Idee käme, die Verwertung von Fingerabdrücken am Datenschutz scheitern zu lassen, wird um IP-Adressen seit Jahren ein ideologischer Kampf ausgefochten. Neben falsch verstandenem Datenschutz zeigt sich hier ein Misstrauen gegenüber einem angeblichen Überwachungsstaat. Gegner der IP-Adressen-Speicherung finden sich vor allem bei FDP, Grünen – und AfD. Obwohl sie sich gerne als Law-and-Order-Partei ausgibt, lehnt auch die AfD diese ab.
Anders die Union. Erst im Dezember 2024 haben wir einen Gesetzentwurf für die rechtssichere Speicherung von IP-Adressen eingebracht. Rückendeckung gibt uns ein jüngstes Urteil des Europäischen Gerichtshofs, das unter Änderung der bisherigen Rechtsprechung die Speicherung für zulässig, in Teilen sogar für zwingend erklärt. Im Koalitionsvertrag haben wir eine dreimonatige Speicherpflicht durchgesetzt. Drei zentrale Argumente sprechen dafür:
Erstens: Datenschutz darf kein Täterschutz sein. Das Internet ist kein rechtsfreier anonymer Raum, in dem Straftaten im digitalen Nebel verschwinden dürfen. Der Koalitionsvertrag sieht daher vor, das Verhältnis von Bevölkerungsschutz und Datenschutz neu auszutarieren. Denn jede Schwäche des Rechtsstaats wird von seinen Feinden im In- und Ausland ausgenutzt: Politiker der Grünen fordern deswegen eine Online-Stärkung der Sicherheitsbehörden. Bloß verweigern die Grünen die Mittel für diese Arbeit.
Zweitens: Die Daten sind ohnehin vorhanden. Beim Aufrufen von Webseiten speichern Anbieter, welche IP-Adresse wann auf welchen Dienst zugegriffen hat. Das passiert im Hintergrund automatisch zu technischen Zwecken. Es werden bloß die Verbindungsdaten, keine Inhalte der Kommunikation gespeichert, und nur der Anbieter hat Zugriff darauf. Er sollte diese Daten für einen überschaubaren Zeitraum aufbewahren, falls – im Einzelfall, bei konkretem Verdacht auf schwerste Straftaten und unter richterlicher Kontrolle – einzelne IP-Adressen für Ermittlungen notwendig sind. Zu den übrigen Daten haben staatliche Stellen keinen Zugang, es besteht auch kein Interesse daran. Schon deswegen kann von einem Überwachungsstaat keine Rede sein.
Drittens: Der Rechtsstaat braucht wirksame Ermittlungsinstrumente. Nach einer Studie des Bundeskriminalamts lassen sich bei einer 26-tägigen Speicherfrist 90 Prozent der kinderpornografischen Ermittlungen erfolgreich abschließen. Wer die Speicherung ablehnt, lässt gerade diese Schwächsten im Stich. Bei komplexen Straftaten bedarf es allerdings längerer Fristen. Im Moment beruhen 80 Prozent aller Verfahren in Deutschland gegen Online-Kinderpornografie auf Daten des US-National Centers for Missing and Exploited Children (NCMEC). Nach US-Gesetz sind Online-Plattformen verpflichtet, kinderpornografische Inhalte an NCMEC zu melden, einschließlich der IP-Adresse des Uploaders. Diese Abhängigkeit von den USA ist keine Option mehr.
Ein Staat, der Informationen über alle Bürgerinnen und Bürger anlasslos speichern und sich potenziell nutzbar machen will, beschädigt die Idee einer liberalen, offenen Gesellschaft. Er beeinträchtigt nicht nur die Bürgerrechte des Einzelnen, „sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist“. So das Bundesverfassungsgericht 1983 in seinem visionären Volkszählungsurteil. Oder um es mit dem großen Liberalen Gerhart Baum zu sagen: „Wir [die Bürgerinnen und Bürger] sind doch keine Risikofaktoren!“ Wer in der DDR aufgewachsen ist oder Urlaub in einem Land gemacht hat, dessen Regierung die eigene Bevölkerung als Risikofaktor sieht, kennt, was das BVerfG als „Gefühl ständigen Überwachtseins“ beschreibt. Nun ist die anlasslose Speicherung von IP-Adressen und Portnummern nicht das Ende des liberalen Rechtsstaats. Aber sie ist ein erheblicher Eingriff in die Freiheitsrechte aller Bürgerinnen und Bürger und sendet ein Signal: Der Staat traut Euch nicht.
Wir streiten seit mehr als 15 Jahren über diese Fragen. Richtig ist: Das jüngste Urteil des Europäischen Gerichtshofs hat die Tür einen Spalt weit aufgestoßen. Aber wenn der Staat in solch großem Stil in die Bürgerrechte eingreifen will, muss er darlegen, dass der Gewinn an Sicherheit diesen Eingriff rechtfertigt. Das kann er bis heute nicht, im Gegenteil: Das Max-Planck-Institut wies 2012 nach, dass die anlasslose Speicherung von Telekommunikationsdaten nicht zu höheren Aufklärungsquoten bei schweren Verbrechen führt. Heute steht die Verhältnismäßigkeit mehr denn je infrage: Wer seine digitale Spur verschleiern will, schafft das mit minimalem Aufwand. Lohnt es sich, die Daten aller Menschen zu speichern, nur um die wenigen Kriminellen zu erwischen, die tatsächlich amateurhaft ohne VPN-Tunnel agieren? Das Risiko, zum x-ten Mal vor Gericht zu scheitern, bleibt massiv. Selbst das Bundeskriminalamt geht davon aus, dass die Erfolgsquote oberhalb einer Speicherdauer von zwei bis drei Wochen „nicht mehr signifikant“ ansteigt. Wie vor diesem Hintergrund die von der Bundesregierung geplante Speicherung für drei Monate mit der Vorgabe des EuGH, sie auf den absolut notwendigen Zeitraum zu begrenzen, und dem Grundsatz der Verhältnismäßigkeit vereinbar sein soll, kann bis heute niemand erklären. Auch nicht, wie weitere Vorgaben des BVerfG, etwa zum Schutz von Berufsgeheimnisträgerinnen und -trägern, gewahrt werden sollen. Zudem bezog sich das Urteil des EuGH nicht auf die Speicherung von Portnummern, die sowohl Eingriffstiefe als auch Aufwand der Provider erheblich erhöht. Als wären das nicht genug Argumente, das in jeder Hinsicht dünne Eis nicht zu betreten, gibt es mit dem Quick-Freeze-Verfahren eine grundrechtsschonende und effektive Alternative: Bei Verdacht eines schweren Verbrechens ordnet eine Richterin oder ein Richter an, dass die Kommunikationsdaten des Verdächtigten eingefroren werden. Es gibt Fälle, in denen die Provider die Daten nicht für einen kurzen Zeitraum ohnehin speichern. Sie sind aber extrem selten.
Man könnte also zu einer evidenzorientierten und grundrechtskonformen Politik zurückkehren, die den Praktikerinnen und Praktikern die notwendige Rechtssicherheit bietet – anstatt ohne echte Sicherheitsgewinne erneut sehr enge europa- und verfassungsrechtliche Grenzen aus Prinzip bis zum Äußersten (oder darüber hinaus) auszureizen. In Zeiten, in denen die Freiheit weltweit unter Beschuss steht, stünde das unserem Rechtsstaat gut zu Gesicht.