Paragraf 20a_neu - Polizeiliches Grundlagenwissen
Transcription
Paragraf 20a_neu - Polizeiliches Grundlagenwissen
Bestands- und Standortdaten 0.1 Der Autor 42 Jahre Polizeibeamter des Landes NRW. Langjährige Erfahrung in der Aus- und Fortbildung. Von 1990 bis 1994 habe ich zusammen mit meinem Bruder Egbert Rodorf im Auftrag des Innenministeriums des Landes Brandenburg das polizeiliche Grundlagenwissen zu Prüfungszwecken aufgearbeitet und die dafür erforderlichen Prüfungsunterlagen erstellt. Auf der Grundlage dieser Arbeit konnten im Land Brandenburg die nach der damaligen Bewährungsanforderungsverordnung erforderlichen beamtenrechtlichen Prüfungen für die Übernahme ehemaliger Volkspolizisten in die Polizei des Landes Brandenburg durchgeführt und abgeschlossen werden. Auf der Basis dieser Arbeit wurde und wird »Das polizeiliche Grundlagenwissen« inhaltlich fortgeschrieben und aktualisiert. 0.2 Das Projekt Zurzeit wird »Das polizeiliche Grundlagenwissen« überarbeitet und nach der Fertigstellung als eBook veröffentlicht. Ziel ist es, Studentinnen und Studenten die Möglichkeit zu geben, auf Inhalte auch offline zugreifen zu können. Damit die Wünsche und Vorstellungen interessierter Leserinnen und Leser berücksichtigt werden können, bitte ich, mir mitzuteilen, was aus Ihrer Sicht optimiert werden sollte. Meine Mailanschrift: [email protected] 0.3 Benutzerhinweise Diesen Aufsatz steht in drei Formaten zur Verfügung: • PDF • EPUB • Kindl Alle Formate können sowohl am PC als auch auf Tablets bzw. auf geeigneten Lesegeräten abgebildet werden. Die beste Darstellung für das PDF-Format wird erzielt, wenn Sie »Adobe Digital Editions« benutzen. Bei diesem Reader handelt es sich um Freeware, die Sie über den folgenden Link downloaden können. Download Hinweis: Verlinkungen zu Gesetzestexten können nur aufgerufen werden, wenn Sie online sind. Die in Klammern stehenden Nummern [En01] ermöglichen den Zugriff auf Endnoten mit Quellenhinweisen. Es kann nicht sichergestellt werden, dass auf allen Readern die Verlinkungen zu den Endnoten funktionieren. Nutzen Sie die detaillierte Gliederung des Dokuments für den schnellen Zugriff auf Inhalte. 0.4 Vorwort Vor dem Beginn der Auseinandersetzung mit der Thematik dieses Kapitels habe ich es nicht für möglich gehalten, dass daraus ein Aufsatz von ca. 50 Textseiten im DINA-4-Format entstehen könnte. Anstelle eines längeren Vorwortes möchte ich das, was normalerweise einem Schlusswort vorbehalten ist, bereits am Anfang in wenigen Zeilen zusammenfassen. Im Bereich der Gefahrenabwehr wurden im PolG NRW Regelungen geschaffen (§ 20a und § 20b PolG NRW), die den Raum, der dem Gesetzgeber durch den Beschluss des BVerfG vom 24.1.2012 zur Regelung der Erhebung von Bestands-, Verkehrs-, und Standortdaten zur Verfügung stand, nicht ausgeschöpft wurden. Das gilt auch für § 100j StPO. Hinweis: Die meisten Bestandsdatenabfragen werden nicht auf der Grundlage der o.g. Befugnisse bei den TK-Anbietern durchgeführt. Viel einfacher und vor allen Dingen auch kostengünstiger (kostenlos) ist es, die Bestandsdaten bei der Bundesnetzagentur (BNetzA) abzurufen. Für diese Anfragen werden die o.g. Befugnisse nicht benötigt. Alfred Rodorf Mai 2014 1. Abfrage von Telekommunikations- und Telemediendaten § 20a PolG NRW und § 20b PolG NRW traten am 1. Juli 2013 in Kraft. Sie regeln die Abfrage von Telekommunikations- und Telemediendaten, die in der Ermächtigung unter Verweis auf andere Gesetze »benannt« sind. Zur Abwehr von schwerwiegenden Gefahren können u.a. Bestands- und Verkehrsdaten abgefragt werden. Sollen unter Einsatz technischer Mittel auf der Grundlage von § 20b PolG NRW Daten erhoben werden, setzt das ebenfalls voraus, dass die Voraussetzungen von § 20a PolG NRW greifen. Folglich stehen beide Befugnisse in einem engen Sachzusammenhang. Abfragen von Bestands- und Verkehrsdaten zum Zweck der Gefahrenabwehr sind auf der Grundlage der o.g. Befugnisse nur zulässig, wenn die hohe Wahrscheinlichkeit eines Schadens für Leben, Gesundheit oder Freiheit einer Person besteht oder Abfragen zur Abwehr einer gemeinen Gefahr erforderlich sind. [Hinweis:] Wenige Tage zuvor wurde das »Gesetz zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestandsdatenauskunft« verkündet (20. Juni 2013). Durch dieses Gesetz wurde u.a. die StPO um den § 100j StPO (Bestandsdatenauskunft) ergänzt und der § 113 TKG (Manuelles Auskunftsverfahren) neu gefasst. In § 100j StPO ist die Abfrage von Bestandsdaten zum Zweck der Strafverfolgung geregelt. [Unterschiede:] Zwischen den §§ 20 a) und b) PolG NRW und dem § 100j StPO bestehen bedeutsame Unterschiede, obwohl sie zum Teil gleiche Abfragen regeln. Die im § 111 TKG genannten Bestandsdaten können zum Beispiel auf der Grundlage von § 100j Abs. 1 Satz 1 StPO von jedem Polizeibeamten bei Telekommunikationsdiensteanbietern (TK-Anbietern) abgefragt werden, »soweit dies für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes eines Beschuldigten erforderlich ist«. Einer richterlichen Anordnung bedarf es dazu nicht. Im Gegensatz dazu steht § 20a PolG NRW grundsätzlich unter dem Anordnungsvorbehalt der Behördenleiterin bzw. des Behördenleiters, auch wenn es darum geht, lediglich Bestandsdaten abzufragen. [Ziel von § 20a und 20b PolG NRW:] Im Gesetzesentwurf der Landesregierung, siehe Landtags-Drucksache 16/2256 vom 12.03.2013, heißt es u.a.: »Mit der Einfügung eines § 20a und eines § 20b PolG NRW werden nach dem Vorbild zahlreicher anderer Länder für die Auskunftsansprüche der Polizei über Telekommunikations- und Telemediendaten und die Datenerhebung mit eigenen technischen Mitteln der Polizei spezielle normenkare Eingriffsermächtigungen geschaffen.« An anderer Stelle heißt es: »Ohne die Schaffung eines landesrechtlichen Auskunftsanspruchs über Telekommunikations- und Telemediendaten und einer Norm über die Datenerhebung mit eigenen technischen Mitteln der Polizei können die Polizeibehörden den umfassenden Schutz durch Ortung von Vermissten, Suizidenten, Kindern und hilflosen Personen, die ärztlicher Hilfe bedürfen, nicht mehr ohne weiteres gewährleisten. Gleiches gilt für die Verhinderung angedrohter Straftaten.« [Keine Anwendungsfälle des § 20a PolG NRW:] Die Befugnis findet keine Anwendung, wenn aufgrund eingegangener Notrufe Bestandsdaten oder Standortdaten übermittelt werden. Diesbezüglich sind § 108 TKG (Notruf) und § 4 NotrufV (Notrufverbindungen) einschlägig. Die Befugnis findet auch dann keine Anwendung, wenn lediglich Bestandsdaten bei der Bundesnetzagentur (BNetzA) abgerufen werden, denn § 20a PolG NRW kann nur greifen, wenn Anfragen an TK-Anbieter gerichtet werden. Da es sich bei der BNetzA aber um eine Behörde und nicht um einen TK-Anbieter handelt, regelt weder § 20a PolG NRW noch § 100j StPO solche Anfragen. [§ 113 TKG:] Durch das »Gesetz zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestandsdatenauskunft« vom 20. Juni 2013 wurde auch § 113 TKG neu gefasst. Danach haben TK-Anbieter zuständigen Stellen »zu beauskunftende Daten« unverzüglich und vollständig zu übermitteln. Zuständige Stellen, an die Daten zu übermitteln sind, sind auch die für die Verfolgung von Straftaten oder Ordnungswidrigkeiten und für die Abwehr von Gefahren zuständigen Polizeibehörden. [Fazit:] Die Auseinandersetzung mit § 20a und 20b PolG NRW machen es erforderlich, die Regelungsmaterie »rund um die Erhebung von Bestands- und Verkehrsdaten« so darzustellen, dass nachvollziehbar wird, wann die §§ 20a und 20b des PolG NRW anzuwenden sind und wann diese Befugnisse nicht benötigt werden. Gleiches gilt für § 100j StPO, in dem die Bestandsdatenabfrage zum Zwecke der Strafverfolgung geregelt ist. 1.1 BVerfG 2012 Bei den in diesem Kapitel zu erörternden Befugnissen ist der Rückgriff auf den Beschluss des Bundesverfassungsgerichts »Beschluss vom 24. Januar 2012 - 1 BvR 1299/05« unverzichtbar. Durch diesen Beschluss wiesen die Verfassungsrichten eine Verfassungsbeschwerde gegen die gesetzlichen Regelungen des Telekommunikationsgesetzes (TKG) zur Speicherung und Verwendung von Telekommunikationsdaten im Wesentlichen zurück und stellten fest, dass diese Regelungen, soweit sie den verfassungsrechtlichen Anforderungen nicht entsprechen, übergangsweise bis zum 30. Juni 2013 angewendet werden dürfen. Konsequenterweise traten erforderliche Neuregelungen mit Wirkung vom 1. Juli 2013 in Kraft. Das sind die in diesem Kapitel zu behandelnden Befugnisse: § 100j StPO und die §§ 20a und b PolG NRW. Zum Verständnis der Zusammenhänge ist es erforderlich, zumindest wesentliche Aussagen dieses Beschlusses zu kennen. Im Ablehnungsbeschluss heißt es, dass es sich bei der »Zuordnung von Telekommunikationsnummern zu ihren Anschlussinhabern« um Eingriffe in das Recht auf informationelle Selbstbestimmung handelt. Im Gegensatz dazu geht das Gericht bei der Zuordnung von dynamischen IP-Adressen zu den Anschlussinhabern von einem Eingriff in das Fernmeldegeheimnis aus. Außerdem stellten die Richter fest, dass sowohl das automatisierte Auskunftsverfahren (§§ 112, 111 TKG) als auch das manuelle Auskunftsverfahren (§§ 113 Abs. 1 Satz 1, 111 TKG) bei verfassungskonformer Auslegung mit dem Grundgesetz vereinbar seien, die Vorschrift aber nicht zur Zuordnung dynamischer IP-Adressen verwendet werden dürfe. Auskünfte über die Zugangssicherungscodes (PIN, PUK und Passwörter) dürfen nur dann verlangt werden, wenn die gesetzlichen Voraussetzungen für ihre Nutzung gegeben sind und ein richterlicher Beschluss das erlaube. [Auskünfte nach TKG:] Auskünfte nach den §§ 112 und 113 TKG greifen nicht in das Telekommunikationsgeheimnis ein. § 113 Abs. 1 TKG begründet allerdings insoweit einen Eingriff in das Fernmeldegeheimnis, als er nach derzeitiger Praxis zum Teil dazu herangezogen wird, um eine Zuordnung dynamischer IP-Adressen zu ihren Anschlussinhabern zu ermöglichen. Auskunftsbegehren abfrageberechtigter Sicherheitsbehörden setzen seitens der auskunftsberechtigten Behörden eigene Erhebungsbefugnisse voraus. [Daten gemäß § 111 TKG:] In dieser Norm ist geregelt, welche Daten von den TKAnbietern für »Auskunftsersuchen der Sicherheitsbehörden« zur Verfügung zu stellen sind. Die von dieser Regelung erfassten Daten haben nur eine beschränkte Aussagekraft. Sie ermöglichen allein die individualisierende Zuordnung von Telekommunikationsnummern zu den jeweiligen Anschlussinhabern und damit zu deren potentiellen (und typischen) Nutzern. Nähere private Angaben enthalten diese Daten nicht. [Automatisiertes Auskunftsverfahren:] § 112 TKG regelt die Verwendung der nach § 111 TKG gespeicherten Daten in Form eines automatisierten Auskunftsverfahrens, bei dem die BNetzA die Daten auf Ersuchen an bestimmte, in § 112 Abs. 2 TKG genannte Behörden zu übermitteln hat. Die Vorschrift ist nur eine Rechtsgrundlage für die Pflicht zur Bereitstellung der Daten als Kundendateien und für den Zugriff auf diese Daten und für deren Übermittlung, nicht aber auch für den Abruf in Form eines Ersuchens durch auskunftsberechtigte Behörden. Mit § 112 TKG regelt der Gesetzgeber einen Informationsaustausch zwischen Behörden. Im Unterschied zum Verlangen gemäß § 113 Abs. 1 TKG ist ein Ersuchen gemäß § 112 Abs. 4 Satz 1 TKG nicht als ein Auskunftsbegehren gegenüber dem einzelnen Telekommunikationsdiensteanbieter, sondern als Auskunftsbegehren gegenüber der BNetzA selbst ausgestaltet, die eingeforderte Auskünfte nicht nur vermittelt, sondern diese auch selbst erteilt. Die BNetzA ist im Ergebnis, ähnlich wie das Kraftfahrt-Bundesamt im Bereich der Fahrzeug- und Halterdaten und der fahrerlaubnisrelevanten Daten damit beauftragt, die Zuordnung von Telekommunikationsnummern und anderen Anschlusskennungen für öffentliche Zwecke in der Art eines Registers verfügbar zu halten und hierüber Auskunft zu geben. Dass die Daten nicht bei der Bundesnetzagentur selbst, sondern von den Unternehmen gespeichert und zum Abruf durch die BNetzA bereitgestellt werden müssen, ändert hieran nichts. Da § 112 Abs. 4 TKG den Datenaustausch zwischen Behörden betrifft, ist es kompetenzrechtlich unbedenklich, dass dieser Paragraf die Pflicht zur Übermittlung der nach § 111 TKG gespeicherten Daten gegenüber der BNetzA unmittelbar selbst regelt. [Rechtsgrundlage für den Datenabruf:] Die Verfassungsrichter gehen davon aus, dass als Rechtsgrundlage für den Datenabruf auf der Grundlage von § 112 TKG der um Auskunft ersuchenden Behörde schon eine Befugnis zur schlichten Datenerhebung genügt. Es bedarf daher keiner weitergehenden Ermächtigungsgrundlage, die aus sich heraus spezifische Auskunftsverpflichtungen begründet. [Einfaches Abrufverfahren:] Ein nicht unerhebliches Eingriffsgewicht erhält § 112 TKG dadurch, dass diese Norm die Datenabfragen sehr vereinfacht. Das zentral zusammengefasste und automatisierte Verfahren erlaubt einen Zugang, der praktische Erschwernisse der Datenerhebung weithin beseitigt und die Daten der Betroffenen ohne zeitliche Verzögerungen oder Reibungsverluste in Form von Prüferfordernissen zur Verfügung stellt. Hinzu kommt, dass die Auskünfte erteilt werden, ohne dass Telekommunikationsunternehmen oder sonst Dritte dies wahrnehmen können oder Kenntnis darüber erhalten. [Weitgefasster Verwendungszweck:] Von Gewicht ist weiterhin, dass der Gesetzgeber die Verwendungszwecke der Daten sehr weit gefasst hat. Den in § 112 Abs. 2 TKG genannten Behörden dürfen die Daten allgemein zur Erfüllung ihrer gesetzlichen Aufgaben übermittelt werden. [Manuelles Auskunftsverfahren:] Bezüglich § 113 Abs. 1 Satz 1 TKG stellten die Richter fest, dass diese Norm weiterhin der verfassungskonformen Auslegung dahingehend bedarf, als dass in ihr keine Rechtsgrundlage für die Zuordnung von dynamischen IP-Adressen gesehen werden kann. Ein Rückgriff auf § 113 Abs. 1 Satz 1 TKG zur Identifizierung von dynamischen IP-Adressen verbietet sich schon deshalb, weil dies als Eingriff in das Fernmeldegeheimnis zu qualifizieren sei. Im Übrigen scheidet eine Identifizierung dynamischer IP-Adressen auf der Grundlage von § 113 Abs. 1 Satz 1 TKG aber auch deshalb aus, weil dieser eine solche Befugnis nicht hinreichend normenklar regelt. [Hinweis:] Zum 1.7.2013 trat der neue § 113 TKG in Kraft. Dort genannte Daten, die als Zugangssicherungscodes (wie Passwörter, PIN oder PUK) den Zugang zu Endgeräten und Speicherungseinrichtungen sichern und damit die Betreffenden vor einem Zugriff unbefugter Personen auf die entsprechenden Daten beziehungsweise Telekommunikationsvorgänge schützen, sind besonders sensibel und erfordern den Nachweis strenger materieller Anforderungen und in der Regel eine richterliche Anordnung« [En01]. 1 [Fazit:] Unter Berücksichtigung der Vorgaben des Beschlusses des Ersten Senats vom 24. Januar 2012 - 1 BvR 1299/05 - hatte der Gesetzgeber bis zum 30.6.2013 neue Regelungen zu schaffen, die den Umgang mit Bestands- und Verkehrsdaten betreffen. Am 1.7.2013 trat der neu in die StPO eingefügte § 100j StPO in Kraft, § 113 TKG wurde geändert und im PolG NRW wurden die §§ 20a und 20b eingefügt. 1.2 Basiswissen TKG Die Ausführungen in diesem Kapitel beziehen sich auf das Telekommunikationsgesetz vom 22. Juni 2004, das durch Artikel 4 Absatz 108 des Gesetzes vom 7. August 2013 (BGBl. I S. 3154) geändert worden ist. [Keine Befugnisse im TKG:] Das TKG enthält keinerlei Befugnisse für staatliche Stellen (Ausnahme: Bundesnetzagentur - BNetzA) und lässt deshalb auch keine Eingriffe in das Fernmeldegeheimnis zu. Zweck des Gesetzes ist es vielmehr, durch technologieneutrale Regulierung den Wettbewerb im Bereich der Telekommunikation sowie leistungsfähige Telekommunikationsinfrastrukturen zu fördern und flächendeckend angemessene und ausreichende Dienstleistungen zu gewährleisten (§ 1 TKG). Dennoch ist im TKG geregelt, welche Daten wann und unter welchen Voraussetzungen zuständigen Sicherheitsbehörden zu übermitteln sind, damit diese die ihnen zugewiesenen Aufgaben wahrnehmen können. Werden dazu Daten benötigt, die bei den TKAnbietern bzw. durch die BNetzA abgefragt werden können, dürfen das abfrageberechtigte Stellen, zu denen auch die Polizei gehört, nur in dem Umfang tun, wie die jeweiligen Eingriffsbefugnisse der jeweiligen Fachgesetze das zulassen. Für Polizeibehörden sind das die einschlägigen Regelungen der Strafprozessordnung (StPO), wenn Daten zum Zweck der Strafverfolgung abgerufen werden oder die Befugnisse der Polizeigesetze, wenn vorgehaltene Daten zum Zweck der Gefahrenabwehr abgefragt werden sollen. Die nachfolgenden Paragrafen des TKG sollte jede Polizeibeamtin und jeder Polizeibeamte kennen: § 88 TKG - Fernmeldegeheimnis § 96 TKG - Verkehrsdaten § 98 TKG - Standortdaten § 108 TKG - Notruf § 111 TKG - Auskunftsersuchen Sicherheitsbehörden § 112 TKG - Automatisiertes Auskunftsverfahren § 113 TKG - Manuelles Auskunftsverfahren [Vorratsdatenspeicherung:] Darunter ist eine gesetzliche Verpflichtung zu verstehen, die TK-Anbieter dazu verpflichtet, auf eigene Kosten die bei der Nutzung von Telekommunikationsdiensten anfallenden Verkehrsdaten dauerhaft zu speichern. Motto: Welcher Teilnehmer hat wann, mit wem und wie lange, eine Verbindung unterhalten bzw. in Gang zu setzen versucht oder eine zeitlich begrenzt vergebene (dynamische) IPNummer benutzt? Zu trennen ist die Vorratsdatenspeicherung von der Speicherungsverpflichtung der sogenannten Bestandsdaten, d. h. der Daten, die Aufschluss über den Inhaber eines Telekommunikationsanschlusses zulassen. [Verfassungswidrig:] Die Vorratsdatenspeicherung, geregelt im § 113a TKG, wurde vom BVerfG mit Urteil vom 2. März 2010 für verfassungswidrig erklärt. Bisher ist noch keine verfassungsgemäße Neuregelung in Kraft getreten. Insoweit ist § 113a TKG weiterhin nichtig [En02]. 2 In der Pressemitteilung des BVerfG zum o.g. Urteil heißt es u.a.: »Die angegriffenen Vorschriften gewährleisten weder eine hinreichende Datensicherheit noch eine hinreichende Begrenzung der Verwendungszwecke der Daten. Auch genügen sie nicht in jeder Hinsicht den verfassungsrechtlichen Transparenz- und Rechtsschutzanforderungen.« [Aktueller Stand:] Alle aktuellen Bemühungen, die Vorratsdatenspeicherung erneut gesetzlich zu regeln, fanden ihr vorläufiges Ende im Urteil des Gerichtshofs der Europäischen Union vom 8. April 2014. In diesem Urteil erklärte der EuG die EU-Richtlinie über die Vorratsspeicherung von Daten für ungültig. Im Urteil des EuG heißt es: »Zwar ist die nach der Richtlinie vorgeschriebene Vorratsspeicherung der Daten zur Erreichung des mit ihr verfolgten Ziels geeignet, doch beinhaltet sie einen Eingriff von großem Ausmaß und von besonderer Schwere in die fraglichen Grundrechte, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.« [Realität:] Der Arbeitskreis Vorratsdatenspeicherung hatte bereits am 22.9.2011 bei der BNetzA Anzeige wegen ordnungswidriger Speicherung von Telekommunikations- und Verkehrsdaten durch TK-Anbieter erstattet. Im Juni 2012 teilte die BNetzA der Arbeitsgemeinschaft mit, dass Mobilfunkanbieter rechtswidrig protokollieren, an welchen Orten (Funkzellen) Anschlussinhaber ihre Handys oder Smartphones benutzt haben [En03]. 3 Auch heute noch kann angenommen werden, dass TK-Anbieter Verbindungsdaten über eine längere Zeit speichern, als das für die Erstellung der Kostenrechnung erforderlich ist. Da z.B. beim Versand von E-Mail keine Kosten anfallen, und die dabei anfallenden Verbindungsdaten somit für die Kostenrechnung nicht benötigt werden, dürften solche Daten eigentlich gar nicht gespeichert werden. [Verfassungsbeschwerde:] In der »Legal Tribune online« vom 1.7.2013 heißt es, dass die »Piraten« Verfassungsbeschwerde gegen die Neuregelung der Bestandsdatenauskunft eingereicht haben. Zitat: »Auch der Deutsche Anwaltverein (DAV) kritisiert die neue Gesetzeslage. »Die Vorgaben des Bundesverfassungsgerichts wurden abermals nur unvollständig umgesetzt«. (...). So sei ein Richtervorbehalt nur lückenhaft vorgesehen, und vielen der Vorschriften mangele es an der notwendigen Bestimmtheit. Das Gesetz lasse vielerorts eine Verhältnismäßigkeit vermissen. In Teilen gehe es sogar weiter als das vom Bundesverfassungsgericht (BVerfG) seinerzeit kassierte Gesetz« [En04] 4 1.3 Bestandsdaten § 100j StPO sowie die §§ 20a und 20b PolG NRW lassen die Abfrage von Bestandsdaten bei den jeweiligen TK-Anbietern zu. Unabhängig davon kann aber auch auf der Grundlage von § 163 StPO und der allgemeinen Datenerhebungsvorschriften des PolG NRW, Bestandsdaten abgefragt werden, wenn sich diese Anfragen an die BNetzA richten. Dazu später mehr. [Begriffsbestimmung:] Was unter Bestandsdaten zu verstehen ist, regelt § 3 TKG. Danach sind »Bestandsdaten« Daten eines Teilnehmers, die für die Begründung, die inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über TK-Dienste vom TK-Anbieter erhoben werden. Bestandsdaten sind erforderlich, um eine reibungslose Abwicklung des Vertragsverhältnisses zu ermöglichen. Zu den Bestandsdaten gehören üblicherweise folgende Daten: • • • • • • • Name und Vorname Anschrift Anschlussnummer Bankverbindung Kontonummer Tarifmerkmale Art der vertraglich vereinbarten Dienstleistung u.a. Anzumerken ist, dass es sich bei Bestandsdaten auch um Verkehrsdaten handeln kann. Insofern kommt es bei der Begriffsbestimmung von Telekommunikationsdaten immer auch auf den jeweiligen Kontext an, in dem diese Begriffe verwendet werden. Wird zum Beispiel unter Verwendung der vertraglich vereinbarten Anschlussnummer ein Telefonat geführt, dann wird diese Nummer damit zugleich auch zu einem Verkehrs- bzw. Verbindungsdatum, denn die Protokollierung eines Telefonats umfasst zwangsläufig auch die Speicherung dieses Verkehrsdatums, was zur Folge hat, dass in diesem Kontext der Verwendung die Anschlussnummer unter das Fernmeldegeheimnis fällt. Wird die Telefonnummer hingegen verwendet, um Auskunft über einen Kunden zu geben, oder um vertragsbedingte Feststellungen zu ermöglichen, genießt die Anschlussnummer nicht mehr den Schutz des Fernmeldegeheimnisses. Als personenbezogenes Datum ist sie dann nur doch durch das »Recht auf informationelle Selbstbestimmung« vor dem Zugriff staatlicher Stellen geschützt. »Bestandsdaten dürfen von TK-Anbietern erhoben und verwendet werden, soweit dies für die Begründung, die inhaltliche Ausgestaltung, die Änderung oder die Beendigung des Vertragsverhältnisses erforderlich ist. Sie werden in der Regel genutzt, damit die Rechte und Pflichten des Diensteanbieters aus dem Vertragsverhältnis wahrgenommen werden können. Dazu gehört nicht nur die Bereitstellung des TK-Dienstes. Hierzu zählt beispielsweise auch die ordnungsgemäße Abwicklung des Zahlungsverkehrs, die Beseitigung von technischen Störungen oder die Bearbeitung von Kundenbeschwerden« [En05]. 5 Zu den Bestandsdaten gehören auch die PIN, die PUK und Passwörter, die Gegenstand des Vertrages geworden sind. Auf diese Daten kann die Polizei aber grundsätzlich nicht zugreifen. Auf welche Bestandsdaten »problemlos« zugegriffen werden kann, regelt § 111 TKG. Dazu später mehr. 1.4 Verkehrsdaten Der § 96 Abs. 1 TKG enthält einen Katalog von Verkehrsdaten, die beim Zustandekommen von Telekommunikationsverbindungen vom TK-Anbieter zu protokollieren sind. Dazu gehören folgende Daten: • Nummer oder Kennung der beteiligten Anschlüsse oder Endeinrichtungen. Das ist die Faxkennung oder die sogenannte IMEI-Nummer bei Mobiltelefonen, auch dann, wenn keine Verbindung zustande gekommen ist. Die Faxkennung (auch Absenderkennung, Fax-ID oder TTI genannt) identifiziert den Telefonanschluss, an dem ein Faxgerät angeschlossen ist. • Die dynamische oder die statische IP-Adresse • Personenbezogene Zugangscodes wie: PIN, PUK • Kartennummer • Standortdaten (Erfassung der Cell-ID, über die eine bestimmte Verbindung zustande gekommen ist bzw. die Erfassung der Cell-ID zur Aufrechterhaltung der Funktionsfähigkeit eines Mobiltelefons im Stand-by-Betrieb) • Datum und Uhrzeit • Beginn und Ende der Verbindung • Jeder Verbindungswechsel • Übermittelte Datenmenge je nach in Anspruch genommenem Dienst (entfällt bei sogenannten Flatrates). Damit ist die Auflistung noch nicht beendet, denn § 96 Abs. 1 Nr. 5 enthält auch einen sogenannten »Auffangtatbestand«. Dort heißt es sinngemäß, dass ein TK-Anbieter auch sonstige, zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechnung notwendige Verkehrsdaten erheben darf. Damit ist sichergestellt, dass ein »Spielraum für die Erforderlichkeit der Erfassung weiterer Daten, die bei neuentwickelten Diensten in Zukunft erhoben werden können, hinreichend Berücksichtigung findet. Dass davon reger Gebrauch gemacht wird, entspricht der Wirklichkeit von heute. Nur so ist es möglich, dass z.B. Facebook und Google mehr über die Gewohnheiten und Vorlieben ihrer Nutzer wissen, als sich das Personen, die diese Dienste nutzen, vorstellen können. Insoweit fällt es schwer, alle Verkehrsdaten abschließend aufzulisten, die bei der Nutzung zum Beispiel eines Smartphones anfallen. Verkehrsdaten werden beim Aufbau einer Verbindung automatisch erzeugt und in den Vermittlungsstellen entsprechend vollautomatisiert protokolliert. Diese Daten gehören zu den datenschutzrechtlich sensiblen Daten, deshalb sind sie auch, um den Sprachgebrauch des BVerfG zu verwenden »materiellrechtlich besonders zu schützen«, so dass diesbezügliche Feststellungen grundsätzlich einer »richterlichen Anordnung« bedürfen. [Funktion von Verkehrsdaten:] Auf der Grundlage von Verkehrsdaten ist es möglich, festzustellen, von welchem Anschluss wann mit wem wie lange telefoniert oder andere Formen des Informationsaustausches (SMS, E-Mail) in Anspruch genommen wurden. Deshalb sind auch TK-Anbieter zur Wahrung des Fernmeldegeheimnisses verpflichtet (§ 88 TKG). Dort heißt es u.a.: »Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche. Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet.« [Unverzügliche Löschung:] TK-Anbieter sind gesetzlich dazu verpflichtet, nach Beendigung der Verbindung die gespeicherten Verkehrsdaten unverzüglich zu löschen (§ 96 TKG). Dieser Verpflichtung kommt ein TK-Anbieter auch dann nach, wenn er die Verkehrsdaten anonymisiert. Fraglich ist, was unter »unverzügliche Löschung« zu verstehen ist. »Im Falle des § 96 TKG ist die Sach- und Rechtslage eindeutig: Die gespeicherten Verkehrsdaten sind zu löschen, für eine »Überlegungsfrist« ist daher kein Raum. Vor diesem Hintergrund bedeutet »unverzüglich« hier »sofort« [En06].6 1.5 Standortdaten § 3 Nr. 19 TKG definiert Standortdaten wie folgt: Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst erhoben oder verwendet werden und die den Standort des Endgeräts eines Endnutzers eines öffentlich zugänglichen Telekommunikationsdienstes angeben. Diese Daten werden mittels moderner Lokalisierungsverfahren ermittelt und ermöglichen in aller Regel eine präzisere Auskunft über den Aufenthaltsort des Endgerätenutzers. Dazu gehören auch die Standortdaten, die die Inanspruchnahme von »Diensten mit Zusatznutzen« ermöglichen. § 3 Nr. 5 TKG definiert diese Dienste wie folgt: Jeder Dienst, der die Erhebung und Verwendung von Verkehrsdaten oder Standortdaten in einem Maße erfordert, das über das für die Übermittlung einer Nachricht oder die Entgeltabrechnung dieses Vorganges erforderliche Maß hinausgeht. Standortdaten können sowohl reine Standortdaten (Maschinenkommunikation im Stand-by-Betrieb) als auch Verkehrsdaten sein, die anlässlich von Telekommunikationsverbindungen protokolliert werden. [Verwendung durch TK-Anbieter:] Für die Verwendung von Verkehrsdaten, die zur Verbindungsherstellung erhoben werden, wozu auch Standortdaten gehören, sowie für Daten, die erhoben werden müssen, um einen Dienst mit Zusatznutzen in Anspruch nehmen zu können, ist die Einwilligung des Betroffenen erforderlich (§ 98 Abs. 1 TKG). Damit eine Einwilligung rechtswirksam wird, reicht es in der Regel aus, wenn der Teilnehmer einmal grundsätzlich sein Einverständnis erklärt, dass der TK-Anbieter diese Daten erheben und nutzen kann. Das ist in der Regel beim Vertragsabschluss der Fall. Standortdaten, die an Dritte übermittelt werden, die nicht »Anbieter von Diensten mit Zusatznutzen« sind, setzen eine ausdrückliche schriftliche Einwilligung des Teilnehmers (Kunden) voraus. Das Gesetz fordert in diesem Zusammenhang eine »schriftliche Einwilligung«, so dass eine Einwilligung in Textform (per E-Mail z.B.) nicht ausreicht. [Einwilligungsfähigkeit:] Die Frage, ob Kinder und Minderjährige in diesem Sinne »einwilligungsfähig« sind, wird daran zu messen sein, wie selbständig und verantwortungsbewusst das Kind bzw. der Minderjährige ist. Da Kinder und Jugendliche aufgrund mangelnder Geschäftsfähigkeit jedoch nicht dazu in der Lage sind, mit einem TKAnbieter einen Vertrag abzuschließen, wird letztendlich die Einwilligung der Person bestimmend sein, die diesbezüglich bei Vertragsabschluss einen rechtsverbindlichen Vertrag unterzeichnet hat (Eltern bzw. Erziehungsberechtigte). [Notrufe:] Das TKG geht davon aus, dass anlässlich von abgesetzten Notrufen das Einverständnis in die Ortung eines Mobiltelefons auf der Grundlage des sogenannten »mutmaßlichen Einverständnisses« zulässig ist. Mit anderen Worten: Anlässlich von Notrufen geht der Gesetzgeber davon aus, dass der »sich in Not befindliche Anrufer« die Ortung seines Mobiltelefons auf der Grundlage der Standortdaten (Cell-ID etc.), »stillschweigend und rechtfertigend duldet.« 1.6 Echte - unechte Standortdaten Umstritten ist, ob auch Standortdaten, die jedes eingeschaltete Mobiltelefon an den nächstgelegenen Funkmasten aussendet, um seine Funktionsfähigkeit sicherzustellen, zu den Verbindungsdaten gehören. Standortdaten sind offenkundig dann als Verbindungsdaten anzusehen, wenn der Betroffene eine konkrete Gesprächsverbindung eingegangen ist (»echte Verbindungsdaten«). Fraglich ist jedoch, ob auch die Positionsmeldungen eines Mobiltelefons im Stand-by Betrieb (»unechte Verbindungsdaten«) durch das Fernmeldegeheimnis geschützt sind. [Rechtsauffassung BVerfG:] Das BVerfG lehnt dies mit dem Argument ab, dass das Aussenden der Standortkennung allein zur »Aufrechterhaltung der Funktionsfähigkeit eines Anschlusses« dient und somit nur »Maschinen miteinander kommunizieren« (Sicherung der Betriebsbereitschaft). Da diese »Maschinenkommunikation« keinerlei individuelle und kommunikative Züge trage, werde durch die Erhebung unechter Standortdaten nur der Schutzbereich des Rechts auf informationelle Selbstbestimmung berührt. Diese Aussage traf das BVerfG jedoch lediglich im Zusammenhang eines »Nichtannahmebeschluss« (Beschluss vom 24.1.2012). »Das hat zur Folge, dass solche Beschlüsse nicht als Entscheidungen in der Sache, sondern lediglich als Prozessentscheidungen anzusehen sind, denen es damit an der materiellen Rechtskraft fehlt«. Folglich ist in dieser Frage noch nichts endgültig entschieden« (En07].7 Tatsache ist, dass sowohl die h.M. als auch die Rechtsprechung davon ausgeht, dass es sich bei Standortdaten um Verbindungsdaten handelt, die besonders schutzwürdig sind. Dem kann jedoch entgegengehalten werden, dass dies für die Übermittlung von Standortdaten anlässlich von Notrufen offensichtlich nicht gilt. Standortdaten zur Ortung von Mobilfunktelefonen, von denen Notrufe ausgehen, werden von den Leitungsbetreibern (TK-Anbietern) von Gesetzes wegen automatisch der Polizei und anderen Stellen, die zur Entgegennahme von Notrufen berechtigt sind, übermittelt. Dies geschieht ohne richterlichen Beschluss auf der Grundlage unterstellter »mutmaßlicher Einwilligung«. [Hinweis:] TK-Anbieter dürfen die Standortkennung nur dann speichern, sofern diese Daten für die Abrechnung zwingend benötigt werden. Ist das nicht der Fall, ist eine Speicherung der Standortdaten »datenschutzrechtlich« unzulässig. Die Praxis dürfte anders aussehen. [Aktivschaltung:] Bei der Aktivschaltung eines Mobiltelefons ermittelt der Netzbetreiber die SIM-Karte eines Handys anhand der Basisstation, in der das Gerät eingebucht ist. »Zu den Basisstationen gehören sogenannte Cell-IDs. Diese Nummern ordnet der Anbieter seinen Funkzellen zu und weiß, in welcher Zelle die SIM-Karte, also das Mobiltelefon, gerade unterwegs ist. Besonders viele dieser Zellen gibt es in Großstädten. Dort ist die Ortung dann auch auf etwa 300 Meter genau. Auf dem Land werden daraus schnell mehrere Kilometer.« [En08].8 Bei Smartphones, die über GPS geortet werden können, ist die Ortung bis auf wenige Meter Abweichung möglich. [Fazit:] Die zum Teil sich widersprechenden Aussagen zu dem Problemkreis »welche Standortdaten unterliegen dem Fernmeldegeheimnis und welche nicht« sollte nach der hier vertretenen Rechtsauffassung so gelöst werden, dass als Maßstab der Bewertung der höchstmögliche Schutz für den Betroffenen im Vordergrund steht. Folge dieser Sichtweise ist, dass alle Standortdaten (Verbindungsdaten bzw. Verkehrsdaten) dem Fernmeldegeheimnis unterliegen. Eine ganz andere Frage aber, auf die eine plausible Antwort zu finden ist, lautet: Ist für den Zugriff auf diese Daten tatsächlich ein richterlicher Beschluss erforderlich? 1.7 Rechtsauffassung BVerfG Bereits mit Urteil vom 2. März 2006 - 2 BvR 2099/04 - äußerte sich das BVerfG anlässlich des Einsatzes von IMSI-Catchern zu den Standortdaten wie folgt: »Mobiltelefone, die in empfangsbereitem Zustand mitgeführt werden, melden sich in kurzen Abständen bei der »zuständigen« Basisstation im Netzwerk an, das, entsprechend einem Raster, in einzelne Zellen aufgeteilt ist. Zum Empfang eingehender Anrufe oder Kurzmitteilungen ist es erforderlich, die genaue Lokalisierung des Standortes des Mobiltelefons zu kennen. Im Rahmen dieser ständigen Positionsangabe werden unter anderem die Kartennummer (IMSI) und die Gerätenummer (IMEI) des Mobiltelefons an die Basisstation gesendet. Dieses Prinzip nutzt der »IMSI-Catcher«, indem er innerhalb einer Funkzelle eine Basisstation des Mobilfunknetzes simuliert. Sämtliche eingeschalteten Mobiltelefone, die sich im Einzugsbereich des »IMSI-Catcher« befinden, senden nunmehr ihre Daten an dieses Gerät. Auf diese Weise ist es möglich, Karten- und Gerätenummer sowie den Standort des Mobiltelefons zu ermitteln« [En09]. 9 An anderer Stelle heißt es: »Beim Einsatz des »„IMSI-Catcher« kommunizieren ausschließlich technische Geräte miteinander. Es fehlt an einem menschlich veranlassten Informationsaustausch, der sich auf Kommunikationsinhalte bezieht. Das Aussenden der Daten erfolgt unabhängig von einem konkreten Kommunikationsvorgang oder dem Aufbau einer Kommunikationsverbindung, die einen personalen Bezug hat; der Datenaustausch ist ausschließlich zur Sicherung der Betriebsbereitschaft nötig, trägt keine individuellen und kommunikativen Züge. Eine technische Kommunikation zwischen Geräten weist nicht das spezifische Gefahrenpotential auf, vor dem Art. 10 Abs. 1 GG Schutz gewährleistet. Bei der Durchführung von Maßnahmen nach § 100i StPO haben die Ermittlungsbehörden darauf Bedacht zu nehmen, dass die Grundrechtspositionen der unbeteiligten Dritten nicht über das unbedingt notwendige Maß hinaus berührt werden.« [Fazit:] Das Fernmeldegeheimnis schütze nur aktuelle Kommunikationsvorgänge, nicht aber Daten, die in keiner Beziehung zu bestimmten Kommunikationsvorgängen stehen. Damit scheinen »Standortdaten zur Funktionsaufrechterhaltung« nach Ansicht der Richter nicht dem Fernmeldegeheimnis zu unterliegen. Ausdrücklich ausgesprochen hat es dies für die Geräte- und die Kartennummer (IMEI und IMSI).« »Auch schütze das Fernmeldegeheimnis nur Kommunikation unter menschlicher Beteiligung, nicht aber bloße Datenübertragung zwischen Maschinen. Das Fernmeldegeheimnis, so das BVerfG, schütze nicht davor, dass der Standort eines betriebs- und empfangsbereiten Mobiltelefons ermittelt wird. Mit dieser Ansicht stellen sich die Richter gegen die ganz herrschende Meinung in Rechtsprechung und Literatur – bis hin zum Bundesgerichtshof –, die davon ausgeht, dass jede Telekommunikation im technischen Sinne von Art. 10 GG geschützt ist« [En10]. 10 1.8 Daten für Auskunftsersuchen § 111 TKG ist die Grundlage für die Auskünfte, die gemäß § 112 und 113 TKG von den TK-Anbietern an abfrageberechtigte Stellen zu übermitteln sind. Das BVerfG sieht in den Daten, die an Sicherheitsbehörden zu übermitteln sind, lediglich Bestandsdaten, die durch das Recht an informationeller Selbstbestimmung, nicht aber durch das Fernmeldegeheimnis geschützt sind. Gegen § 111 TKG wurde mit einer Verfassungsbeschwerde geltend gemacht, dass die Pflicht zur Erhebung und unverzüglichen Speicherung der dort geforderten Daten verfassungswidrig sei. Aufgrund dieser Verfassungsbeschwerde kam es zum »Ablehnungsbeschluss« des BVerfG vom 24.1.2012 - 1 BvR 1299/05). Kritisiert wurde: • • • • die anonyme Überlassung der Daten an abfrageberechtigte Stellen eine anlasslose Vorratsdatengewinnung das faktische Verbot anonymer Telekommunikation die Unverhältnismäßigkeit der Datenübermittlung. Dieser Sichtweise folgte das BVerfG nicht. Die Erhebung und Speicherung dieser Daten ist nach der Rechtsauffassung des Gerichts grundrechtskonform und berührt lediglich das Grundrecht auf informationelle Selbstbestimmung. [Verpflichtung für TK-Anbieter:] Anlässlich von Auskunftsbegehren der Sicherheitsbehörden sind die im § 111 TKG genannten Daten zu übermitteln, wenn es sich z.B. um Anfragen der Polizei handelt. Folgende Daten sind gemeint: • Rufnummern (nicht unter die Rufnummer fallen IP-Adressen und E-Mail-Anschriften) • Anschlusskennungen (Nummernfolgen, die dem Anschlussinhaber dauerhaft zugewiesen sind und die bei der Telekommunikation verwendet werden) • Dynamische IP-Adressen sind keine Anschlusskennungen wohl aber statische IPAdressen • Gerätekennung (IMEI) bei Mobiltelefonen • Name des Anschlussinhabers • Wohnadresse bei Privatpersonen sonst Geschäfts- oder Behördensitz • Datum des Vertragsendes Die Speicherung hat unverzüglich nach der Erhebung zu erfolgen. Eine Pflicht zur Prüfung der Identität des Kunden durch den jeweiligen TK-Anbieter besteht nicht. Ein Jahr nach Ablauf des Vertragsverhältnisses sind die erhobenen Daten zu löschen (§ 111 Abs.4 TKG). 1.9 Häufigkeit von Auskunftsersuchen Deutsche Behörden haben 2013 sieben Millionen Inhaber von Festnetz-, Mobilfunkoder E-Mail-Anschlüssen durch Bestandsdatenabfragen identifiziert. Das geht aus offiziellen Zahlen der BNetzA hervor, die etwa 250 Behörden ein automatisiertes Auskunftsverfahren zur Verfügung stellt. Durch die Neuregelung der Bestandsdatenabfrage und durch die Aufnahme von IP-Adressen in die Datensätze, die gemäß § 113 TKG im sogenannten »Automatisierten Auskunftsverfahren« bei den TK-Anbietern als auch im »Manuellen Auskunftsverfahren« bei der BNetzA abgerufen werden können, werden die Zahlen in Zukunft wohl noch weiter ansteigen. [Beispiel:] Ein Einbrecher hat am Tatort sein Smartphone verloren. Nachdem die Identität des Anschlussinhabers durch ein Auskunftsersuchen bei der BNetzA allein auf der Grundlage der Kartennummer festgestellt werden konnte, die sich in jedem Mobiltelefon befindet und abgelesen werden kann, wenn das Mobiltelefon »geöffnet« wird, ist es der Polizei möglich, den Anschlussinhaber zu ermitteln. Rechtslage? Da sowohl die Karten- als auch die SIM-Karten-Nummer zu den Bestandsdaten gehören, kann auf der Grundlage der Kartennummer das Handy dem rechtmäßigen Besitzer problemlos zugeordnet werden. Eine entsprechende Anfrage bei der Bundesnetzagentur (§ 112 TKG) oder beim TK-Anbieter (§ 113 TKG) würde die Identifizierung des Anschlussinhabers gleichermaßen ermöglichen. § 100j StPO erlaubt es der Polizei, zum Zweck der Strafverfolgung auf die o.g. Daten zugreifen zu können. Entsprechende Anfragen können durchgeführt werden, ohne dass dafür ein richterlicher Beschluss beizubringen ist. Solche Anfragen kann jeder Polizeibeamte stellen, der die Bestandsdaten eines Anschlussinhabers zum Zweck der Strafverfolgung benötigt. Werden Bestandsdaten über die BNetzA abgefragt, erhält der TK-Anbieter davon nicht einmal Kenntnis. Da Anfragen bei der BNetzA kostenlos sind (im Gegensatz zu denen bei den TK-Anbietern) sind diese Abfragemöglichkeiten vorrangig zu nutzen. [Beispiel:] Ein Kind wird nachts in der Nähe des Bahnhofs aufgegriffen. Der ca. 12 Jahre alte Junge will nicht sagen, wie er heißt. Er ist aber im Besitz eines Handys. Ein Beamter stellt die Nummer der Handykarte fest und lässt Name und Anschrift des Anschlussinhabers im Wege des »Automatisierten Auskunftsersuchens« bei der BNetzA feststellen. Rechtslage? In diesem Beispiel werden die Bestandsdaten des Anschlussinhabers nicht auf der Grundlage von § 20a PolG NRW, sondern gemäß § 30 PolG NRW festgestellt. Name und Anschrift des Anschlussinhabers werden benötigt, um den Jungen wieder in die Fürsorge von Erziehungsberechtigten geben zu können. Da die Anfrage nicht bei einem TK-Anbieter, sondern über die BNetzA erfolgt, findet § 20a PolG NRW keine Anwendung. 1.10 Automatisiertes Auskunftsverfahren § 112 TKG (Automatisiertes Auskunftsverfahren) verpflichtet die TK-Anbieter dazu, erhobene Bestandsdaten in Kundendateien zu speichern und der BNetzA die im § 111 TKG (Daten für Auskunftsersuchen der Sicherheitsbehörden) benannten Daten zugänglich zu machen. [Öffentliche TK-Anbieter:] Nur diejenigen TK-Anbieter erbringen öffentlich zugängliche Telekommunikationsdienste im Sinne von § 3 Nr. 17a TKG, die »öffentlich zugängliche Telekommunikationsdienste« erbringen. Daraus folgt, dass unternehmensinterne Netze, Nebenstellenanlagen oder E-Mail-Server von Universitäten, die ihre Dienste ausschließlich für dort immatrikulierte Studierende oder Bedienstete zur Verfügung stehen, keine öffentlich zugänglichen Kommunikationsdienste anbieten. Das hat zur Folge, dass diese Stellen keiner Speicherungspflicht unterliegen. Alle öffentlich zugänglichen Telekommunikations-Anbieter müssen ihre Bestandsdaten in Kundendateien speichern, so dass die BNetzA diese Daten »jederzeit automatisiert abrufen kann«. Die BNetzA wiederum bietet allen Sicherheitsbehörden (z.B. der Polizei) eine automatisierte Schnittstelle an, mit denen diese Stellen die Daten bei der BNetzA abfragen können, ohne dass die Telekommunikations-Anbieter (oder gar die Betroffenen) davon Kenntnis erhalten. Neben den Polizeibehörden und Geheimdiensten von Bund und Ländern sind auch Gerichte, Notrufabfragestellen, die Bundesanstalt für Finanzdienstleistungsaufsicht, das Zollkriminalamt, die Zollfahndungsämter und die Behörden der Zollverwaltung abfrageberechtigt. Im Gegensatz zum manuellen Auskunftsverfahren ist das automatisierte Verfahren für »auskunftsersuchende« Behörden kostenlos. Mit einer »einfachen« Bestandsdatenauskunft können die Bedarfsträger z.B. eine Festnetz-Nummer, eine Mobilfunk-Nummer, eine E-Mail-Adresse oder eine Gerätenummer (IMEI) in die Suchmaske eingeben und Name und Anschrift des Anschlussinhabers, Geburtsdatum und weitere Informationen erhalten. Der Abruf ist laut Gesetz auch »unter Verwendung unvollständiger Abfragedaten« oder »mittels einer Ähnlichkeitsabfrage« möglich. [Zahlen: ] Laut offiziellen Angaben der Bundesnetzagentur werden »etwa 7 Millionen Abfragen jährlich und bis zu 70.000 Abfragen pro Tag« automatisiert durchgeführt. Diese Zahlen steigen stetig an. Seit Juli 2013 können auch die Inhaber von IP-Adressen über diese Auskunftsverfahren identifiziert werden. Die TK-Anbieter sind dazu verpflichtet (§ 112 TKG), dafür zu sorgen, dass die Bundesnetzagentur jederzeit Daten aus ihren Kundendateien, zu denen auch die Bestandsdaten gehören, automatisiert im Inland abrufen können. Der TK-Anbieter muss darüber hinausgehend auch sicherstellen, dass der Abruf von Daten unter Verwendung unvollständiger Abfragedaten oder die Suche mittels einer Ähnlichkeitsfunktion erfolgen kann (Fragmentabfrage). 1.11 Aufgabe der BNetzA Auf Ersuchen berechtigter Stellen (z.B. Polizei) hat die BNetzA die entsprechenden Datensätze aus den Kundendateien der Anbieter abzurufen und an die ersuchende Stelle zu übermitteln. »Sie (die BNetzA) prüft die Zulässigkeit der Übermittlung nur, soweit hierzu ein besonderer Anlass besteht« (§ 12 Abs. 4 S. 2 TKG). Abfrageberechtigte Stellen sind: • Die für die Verfolgung von Straftaten oder Ordnungswidrigkeiten zuständigen Behörden • Die für die Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung zuständigen Behörden • Die Verfassungsschutzbehörden des Bundes und der Länder, der Militärische Abschirmdienst, der Bundesnachrichtendienst u.a. [Auskunftsersuchen:] Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen ist eine selbständige Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für Wirtschaft und Energie mit Sitz in Bonn. Rechtlich gesehen handelt es sich bei Anfragen der Polizei an die Bundesnetzagentur um Auskunftsersuchen (Übermittlungsersuchen von Daten) die, wenn angeforderte Daten zum Zweck der Strafverfolgung benötigt werden, auf der Grundlage von § 161 in Verbindung mit § 163 StPO (Eingriffsgeneralermächtigung) eingefordert werden können. Werden die Daten zum Zweck der Gefahrenabwehr benötigt, greift die Befugnis des Polizeigesetzes, in der die »Übermittlung von Daten an die Polizei durch andere Behörden« geregelt ist (§ 30 PolG NRW in Verbindung mit der Befugnis, auf deren Grundlage die benötigten Daten erhoben werden könnten, z.B.: § 9 PolG NRW oder § 12 PolG NRW). § 100j StPO bzw. § 20a und 20b PolG NRW finden bei Anfragen an die BNetzA keine Anwendung, weil diese Vorschriften nur greifen, wenn sich die Anfrage an TK-Anbieter richtet, die »geschäftsmäßig Telekommunikationsdienste erbringen oder daran mitwirken«. 1.12 Manuelles Auskunftsverfahren Mit dem manuellen Auskunftsverfahren können Polizeibehörden von Bund und Ländern direkt bei TK-Anbieter eine Reihe von Daten kostenpflichtig abfragen. Das manuelle Auskunftsverfahren ist im § 113 TKG geregelt. Auf der Grundlage dieser Norm sind nur Eingriffe in das Recht auf informationelle Selbstbestimmung zulässig. Davon kann im Regelfall ausgegangen werden, da die eingeforderten Auskünfte meist nicht in einem direkten Zusammenhang zu einem bestimmten Telekommunikationsvorgang stehen. Einordnungsschwierigkeiten bereiten in diesem Zusammenhang die »dynamischen IP-Adressen«, die in Anlehnung an die Rechtsauffassung des BVerfG, grundsätzlich nicht so zu bewerten sind wie »statische IP-Adressen«, dennoch aber nicht dem Schutz des Fernmeldegeheimnisses unterliegen. [Dynamische IP-Adressen:] Eine dynamische IP-Adresse besteht, wie jede andere IPAdresse auch, aus einer Nummer. Im Beschluss des BVerfG aus dem Jahr 2012 heißt es diesbezüglich, dass eine Zuordnung dynamischer IP-Adressen zu ihren Nutzern nicht mit dem Grundgesetz zu vereinbaren sei. Das bedeutet allerdings nicht, dass Zugriffe auf diese Daten, die das BVerfG nicht dem Fernmeldegeheimnis, sondern dem RiS zuordnet, von vornherein unzulässig wären. Die Verfassungsrichter haben vielmehr in ihrem Beschluss zum Ausdruck gebracht, dass die materiellen Anforderungen an einen solchen Zugriff zum Zeitpunkt des Beschlusses im damaligen § 113 TKG nicht hinreichend ausgestaltet waren, um grundrechtskonform seien zu können. Es stellt sich somit die Frage, ob durch die Neufassung von § 113 TKG dieser materielle Mangel behoben worden ist. Eine Antwort darauf vermag das TKG nicht zu geben, denn die materiellen Anforderungen hatte der Gesetzgeber nicht im § 113 TKG zu gewährleisten. Gesetzestechnisch muss diese Frage in den speziellen Eingriffsbefugnissen geregelt werden (in den Fachgesetzen), auf deren Grundlagen zuständige Stellen Auskünfte z. B. über IP-Adressen, Passwörter, PIN oder PUK einfordern können. [Anforderungen der Fachgesetze:] Auskunftsersuchen im »Manuellen Auskunftsverfahren« setzen voraus, dass abfrageberechtigte Stellen die von ihnen eingeforderten Auskünfte nutzen dürfen. Das wiederum setzt voraus, dass sie auf der Grundlage einschlägiger Befugnisse dazu ermächtigt sind, diese Daten zu erheben. [Hinweis:] Dem Beschluss des BVerfG aus 2012 kann entnommen werden, dass der zu diesem Zeitpunkt gültige Wortlaut von § 113 Abs. 1 S. 2 TKG nicht für nichtig, sondern nur für unvereinbar mit dem Grundgesetz erklärt wurde, so dass diese Regelung bis zum 30.6.2013 angewendet werden konnte. Es kann weiterhin davon ausgegangen werden, dass, bis zum Nachweis des Gegenteils, die Neufassung von § 113 TKG und die ergänzend dazu erlassenen Eingriffsbefugnisse in den Fachgesetzen (§ 100j StPO und z.B. § 20a und § 20b PolG NRW) den materiellen Ansprüchen des Grundgesetzes nunmehr genügen. [Keine Befugnisnorm für Bedarfsträger:] § 113 TKG ermächtigt lediglich die TKAnbieter dazu, eingeforderte Daten übermitteln zu dürfen. § 113 TKG ist keine Befugnis für abfrageberechtigte Stellen. 1.13 Abfrage von IP-Adressen »Eine IP-Adresse ist eine Adresse in Computernetzen, die – wie das Internet – auf dem Internetprotokoll (IP) basiert. Sie wird Geräten (PC, Smartphones, Tablets etc.) zugewiesen, die sich ins Internet einwählen. Dadurch werden diese Geräte adressierbar und erreichbar. [Aufbau einer IP-Adresse:] Eine IP-Adresse (IPv4) besteht aus 4 Byte = 32 Bit (in Zukunft aus 16 Byte = 64 Byte - IPv6). Jedes Byte einer IPv4 kann einen Wert zwischen 0 und 255 annehmen. Für die Darstellung in Dezimalform wird die IP-Adresse in vier Oktette unterteilt. • • • • • Beispiel einer IP-Adresse: 194.95.162.121 Okette 1 = 194. Okette 2 = 95. Okette 3 = 162. Okette 4 = 121. Technisch gesehen ist die Adresse eine 32-stellige (IPv4) oder 128-stellige (IPv6) Binärzahl. Je Block werden 8 Bit zusammengefasst [En11].11 [Statische IP-Adressen:] PC, die in LAN-Netzwerken verwendet werden, wählen sich über die IP-Adresse ins Internet ein, die dem Netzwerk zugeordnet wurde. Folge davon ist, dass zum Beispiel die etwa 1500 Bediensteten einer großen Polizeibehörde in NRW sich immer mit der gleichen »statischen IP-Adresse dieser Polizeibehörde« ins Internet einwählen, wenn das zur Erfüllung polizeilicher Aufgaben erforderlich wird. Gleiches gilt für LAN-Netzwerke von Universitäten, Unternehmen, Gerichten oder anderen »größeren« Netzwerken. Aber auch in kleinen Hausnetzen können Geräte so konfiguriert werden, dass ihnen feste IP-Adressen zugewiesen werden. Auch solchermaßen konfigurierte Geräte wählen sich immer mit der gleichen »statischen« IP-Adresse« ins Internet ein. Statische Adressierungen werden prinzipiell überall dort verwendet, wo eine dynamische Adressierung technisch nicht möglich oder nicht sinnvoll ist. [Dynamische IP-Adressen:] Im Gegensatz zu den statischen IP-Adressen sind IPAdressen in WLAN-Netzwerken grundsätzlich immer dynamisch. Das gilt aber auch für Netzwerke, denen keine statische IP-Adresse zugeordnet wurde. Wenn das der Fall ist, dann erhält jeder PC bzw. jedes internetfähige Mobiltelefon bei der Einwahl ins Netz eine neue IP-Adresse. Dynamische IP-Adressen sind die am häufigsten genutzten IPAdressen. Sie können sich stetig ändern und tun das in der Regel in festen oder unregelmäßigen Zeitabständen. Die meisten Router bekommen zwangsweise alle 24 Stunden eine neue IP-Adresse. Da sich die IP-Adresse regelmäßig ändert, werden diese Adressen als dynamische IP-Adressen bezeichnet. [Identifizierung anhand der IP-Adresse:] Dass es auf der Grundlage richterlicher Beschlüsse möglich ist, Tausenden von Internetnutzern rechtswidrige Abmahnbescheide ins Haus schicken zu können, weil deren Identität aufgrund ihrer IP-Adresse festgestellt werden konnte, weil die anordnenden Richter den Antrag einer Abmahnkanzlei wohl offensichtlich nicht sorgfältig genug geprüft hatten, belegt die Abmahnwelle »RedTube« auf eindrucksvolle Art und Weise. Diese Abmahnwelle erregte im Dezember 2013 die Gemüter der Internetgemeinde derart, dass sich das Landgericht Köln, das dem Auskunftsersuchen einer Abmahnkanzlei entsprochen hatte, sich später in ihrer Rechtsauffassung korrigieren musste, weil das Betrachten von Streaming-Videos (Pornos) bestehendes Urheberrecht nicht verletzt hatte [En12].12 Dieses Beispiel soll nur aufzeigen, dass es problemlos möglich ist, mittels einer IPAdresse in Erfahrung zu bringen, wo ein PC steht, der zur Begehung von Straftaten (hier: angebliche Urheberrechtsverletzungen) verwendet wurde. [Regelung im TKG:] Durch die Änderung des TKG im Juni 2013 hat der Gesetzgeber festgelegt, dass »die in eine Auskunft aufzunehmenden Daten auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse bestimmt werden dürfen; hierfür dürfen Verkehrsdaten auch automatisiert ausgewertet werden.« [§ 100j StPO:] Im § 100j Abs. 2 StPO heißt es: »Die Auskunft nach Absatz 1 darf auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse verlangt werden (§ 113 Absatz 1 Satz 3 des Telekommunikationsgesetzes).« [§ 20a PolG NRW:] Dort heißt es im Abs. 1 Nr. 1 u.a.: »Auskunft darf auch anhand einer zu bestimmten Zeitpunkten zugewiesenen Internetprotokoll-Adresse verlangt werden.« [Position des BVerfG:] Das BVerfG hat 2010 im Zusammenhang mit seiner Entscheidung über die Vorratsdatenspeicherung festgestellt, dass dynamische IP-Adressen dem Schutzbereich des Fernmeldegeheimnisses unterliegen, für die Abfrage dynamischer IP-Adressen ein richterlicher Beschluss dennoch nicht erforderlich ist, wenn auf der Grundlage von § 100g StPO diese Daten abgefragt werden dürfen. »Grund dafür ist, »dass die Telekommunikationsunternehmen für die Identifizierung einer dynamischen IP-Adresse in einem Zwischenschritt die entsprechenden Verbindungsdaten ihrer Kunden sichten müssen, also auf konkrete Telekommunikationsvorgänge zugreifen. Diese von den Diensteanbietern einzeln gespeicherten Telekommunikationsverbindungen fallen unter das Telekommunikationsgeheimnis, unabhängig davon, ob sie von den Diensteanbietern aufgrund gesetzlicher Verpflichtung vorrätig gehalten werden müssen oder von ihnen auf vertraglicher Grundlage gespeichert werden« [En13]. 13 Diese Rechtsauffassung kann auch auf die neu eingefügten Regelungen angewendet werden, soweit aus gegebenem Anlass das Erheben solcher Daten verhältnismäßig ist. Gemeint sind § 100j StPO und die §§ 20a und 20b PolG NRW bzw. die vergleichbaren Regelungen in den PolG anderer Länder. »Nach der klarstellenden Regelung des § 100j Abs. 2 StPO kann Auskunftserteilung auch hinsichtlich dynamischer IP-Adressen verlangt werden, wenn dies zur weiteren Erforschung des Sachverhalts oder der Ermittlung des Aufenthaltsortes eines Beschuldigten geboten ist. Dazu reicht ein Anfangsverdacht einer Straftat aus. »Ermittlungen »ins Blaue hinein« sind unzulässig. Repressive polizeiliche Abfragen sind insoweit auch nur unter Angabe eines Zeitpunktes zulässig, zu welchem die betreffende IP-Adresse verwendet wurde; denn damit wird das Ermittlungsziel in Bezug zur Verdachtshypothese einer zu jener Zeit begangenen Tat gesetzt und nach dem Maßstab der Verhältnismäßigkeit eingegrenzt« [En14].14 So auch Meyer-Goßner: Dort heißt es: »§ 100j Abs. 2 StPO stellt klar, dass Auskünfte auch zu einem bestimmten Zeitpunkt zugewiesen (dynamischen) IP-Adressen unter den Voraussetzungen von Abs. 1 und der dort geregelten Eingriffsschwelle erteilt werden müssen. Dabei muss die Bestandsdatenanfrage nach einer IP-Adresse immer anhand eines konkreten Zeitpunktes erfolgen, zu dem sie einem Nutzer zugewiesen war« [En15]. 15 Diese Rechtsauffassungen vermögen zu überzeugen, soweit über eine IP-Adresse Auskünfte eingeholt werden, die zu einer ganz bestimmten Zeit einem internetfähigen Gerät zugeordnet wurde. Diese Zeitspanne lässt sich zeitlich nicht exakt eingrenzen, da darüber in der Regel der Router entscheidet, der bei der Einwahl ins Internet verwendet wird. Der Zeitraum kann maximal 24 Stunden, aber auch wesentlich kürzere Zeitintervalle umfassen. Auskünfte über IP-Adressen, die für polizeiliche Ermittlungsarbeiten eingefordert werden, bedürfen keiner richterlichen Anordnung, wenn sie zeitlich eingegrenzt werden können. [Hinweis:] Diese Position kann mit entsprechend modifizierter Begründung auch auf den Bereich der Gefahrenabwehr übertragen werden. Im Gegensatz zu § 100j StPO hält es der Landesgesetzgeber NRW (§ 20a und § 20b PolG NRW) jedoch für erforderlich, sogar reine Bestandsdatenabfragen nur dann durchführen zu dürfen, wenn die dazu erforderliche Behördenleiteranordnung zuvor eingeholt wurde. 1.14 Sicherheits- und Zugangscodes Bei den Sicherheits- und Zugangscodes handelt es sich um Daten, die besonders schutzwürdig sind. [PIN und PUK:] Bei der PIN-Nummer handelt es sich um eine Geheimnummer, genauer gesagt um die »Persönliche Identifikations-Nummer«, die unter Nutzung der Eingabetastatur eines Mobiltelefons zur Freischaltung eingegeben werden muss. Sie ist erneut einzugeben, wenn ein Mobiltelefon ausgeschaltet wurde. Die PIN-Nummer kann von einem Endanwender nach Belieben geändert werden. Sie dient dem Schutz vor Missbrauch, denn wenn die PIN in Folge dreimal falsch eingegeben wird, ist eine Entsperrung des Mobiltelefons nur noch unter Verwendung der PUK möglich. Mit dem PUK (Personal Unblocking Key - Persönlicher Entsperrungs-Schlüssel) kann die Kartensperre eines Mobiltelefons trotz dreimaliger Falscheingabe der PIN freigeschaltet werden. Anwender, die ihre PUK vergessen haben, können diese bei dem TK-Anbieter erfragen, bei dem der Vertrag abgeschlossen wurde. Dafür ist die MobilfunkRufnummer und in der Regel das beim Vertragsabschluss vereinbarte Kennwort erforderlich. PIN, PUK und persönliches Kennwort gehören zu den Bestandsdaten. Sie sind Gegenstand des mit einem TK-Anbieter abgeschlossenen Nutzungsvertrages. [Anordnung:] »Auskunftsverlangen, die Zugangssicherungscodes betreffen, sollen nicht heimlich, sondern grundsätzlich nur auf Antrag der StA mit richterlicher Zustimmung erfolgen. Ein richterlicher Beschluss ist ausnahmsweise entbehrlich, wenn die Nutzung der Zugangssicherungscodes bereits durch eine richterliche Entscheidung, wie etwa durch einen entsprechenden Beschlagnahmebeschluss der gesicherten Daten, gestattet wurde oder der Betroffene Kenntnis vom Herausgabeverlangen hat oder haben muss. Dies ist der Fall, wenn der Betroffene in die Nutzung ausdrücklich eingewilligt hat oder er nur mit deren Nutzung rechnen muss, z.B. weil das entsprechende Endgerät bei ihm beschlagnahmt oder ein Auskunftsverlangen unter Hinweis auf die Möglichkeit der Abfrage beim Provider zuvor bereits an ihn persönlich gerichtet wurde« [En16].16 Vergleichbares gilt für die Herausgabe von Zugangssicherungscodes zum Zweck der Gefahrenabwehr. Solche Anfragen setzen die Anordnung der Behördenleiterin/des Behördenleiters voraus. 1.15 Prüfung durch TK-Anbieter Die Verpflichtungen, denen TK-Anbieter im »Manuellen Auskunftsverfahren« nachzukommen haben, wenn abfrageberechtigte Stellen auf der Grundlage von § 113 TKG um Auskünfte einfordern, werden im Folgenden im Überblick aufgezählt: • • • • • • • • Begrenzung von Auskunftsersuchen auf die in § 113 TKG genannten Zwecke Das Auskunftsersuchen bedarf der Textform Bei Gefahr im Verzuge greifen andere Regelungen Die Textform ist dann unverzüglich nachzureichen Angabe der Befugnisnorm im Auskunftsverlangen Anfragen nur durch abfrageberechtigte Stellen Auskunft erfolgt nur im Einzelfall TK-Anbieter sind weder berechtigt noch verpflichtet, die materiellen Voraussetzungen eines Auskunftsverlangens zu prüfen • Eine rechtfertigende Einwilligung betroffener Anschlussinhaber begründet für sich allein gesehen grundsätzlich keine Auskunftsverpflichtung des Anbieters • Pflicht zur Übermittlung setzt nur eine formale Prüfung der Anfrage voraus • Anfragen über Telefon oder E-Mail sind problematisch, weil die Authentizität des Anfragenden nicht eindeutig festgestellt werden kann. [Textform:] »Die Textform einer Anfrage ist in § 126b BGB legal definiert. Danach muss die Erklärung in einer Urkunde oder auf andere zur dauerhaften Wiedergabe in Schriftzeichen geeignete Weise abgegeben werden. Zudem muss die Person des Erklärenden genannt und der Abschlusserklärung durch Nachbildung der Unterschrift oder anders erkennbar gemacht werden. Im Unterschied zur Schriftform bedarf es keiner eigenhändigen Unterschrift. Erfasst sind daher auch Nachrichten per Telefax oder Briefe ohne Unterschrift, E-Mail oder auch SMS« (En17]. 17 [Schriftform:] Im Gegensatz dazu fordert § 20a PolG NRW die Schriftform. Für die Polizei in NRW hat diese spezialgesetzliche Reglung Vorrang. 1.16 § 20a PolG NRW Im § 20a PolG heißt es, dass die Polizei, soweit das erforderlich ist, von jedem, der geschäftsmäßig Telekommunikationsdienste oder Telemediendienste erbringt oder daran mitwirkt (Diensteanbieter), Auskunft über die Daten verlangen kann, die in der Befugnis durch Verweis auf andere Gesetze (TKG und TMD) benannt sind. Dazu gehören die Bestands- und Verkehrsdaten. [Anwendungsbereich:] Die Befugnis findet, ausweislich des Gesetzestextes, nur Anwendung, wenn Bestands- oder Verkehrsdaten bei den Tele- oder Telemediendienstanbietern abgerufen werden. § 20a PolG NRW kann somit nur greifen, wenn es sich um Auskunftsersuchen im Sinne von § 113 TKG handelt (Manuelles Auskunftsverfahren). [Keine Anwendung der Befugnis:] Werden Bestandsdaten bei der Bundesnetzagentur (BNetzA) abgerufen, findet § 20a PolG NRW keine Anwendung, denn bei der BNetzA handelt es sich um eine Behörde, nicht um einen TK-Anbieter. Die Befugnis findet ebenfalls keine Anwendung, wenn Bestands-, Verkehrs- oder Standortdaten anlässlich von Notrufen von den TK-Anbietern abrufeberechtigten Stellen von Gesetzes wegen unaufgefordert zu übermitteln sind. [Beispiel:] Ein Jugendlicher hat auf dem Gehweg ein teueres Smartphone gefunden und will es als Fundsache bei der Polizei abgeben. Der Beamte, der das Smartphone entgegennimmt, fragt sich, ob er das Handy öffnen darf, um die Kartennummer festzustellen, damit der Eigentümer ermittelt werden kann. Rechtslage? Würde sich der Beamte mit seiner Bestandsdatenanfrage direkt an den TK-Anbieter wenden, um den Namen und die Anschrift des Anschlussinhabers festzustellen, wäre das - zumindest dem ersten Anschein nach - nur auf der Grundlage von § 20a PolG NRW zulässig. Diese Befugnis scheidet aber allein deshalb aus, weil die dafür erforderliche Gefahr nicht gegeben ist (Gefahr für Leib, Leben, Freiheit der Person, gemeine Gefahr). Deshalb wird sich der Beamte mit seiner Anfrage an die Bundesnetzagentur wenden, um dort die benötigten Daten in Erfahrung zu bringen. Bei der BNetzA handelt es sich um eine Behörde und nicht um einen TK-Anbieter. Folglich scheidet § 20a PolG NRW als Befugnis für entsprechende Anfragen aus, weil diese Ermächtigung nur Anfragen bei TK-Anbietern regelt. Anfragen im Wege des »Automatisierten Auskunftsersuchens« setzen lediglich voraus, dass die ersuchende, abfrageberechtigte Stelle (z.B. Polizei), die angeforderten Daten zur Erfüllung ihrer Aufgaben benötigt und durch bereichsspezifische Fachgesetze, z.B. durch das PolG NRW, dazu befugt ist, die benötigten Daten zu nutzen. Auf der Grundlage von § 13 PolG NRW (Identitätsfeststellung) kann die Polizei die Identität einer Person zur Abwehr einer Gefahr feststellen und erforderlichenfalls sowohl die Person selbst als auch die von ihr mitgeführten Sachen durchsuchen. Wenn schon Sachen zum Zweck der ID-Feststellung durchsucht werden dürfen, die von einer Person mitgeführt werden, dann gilt das sicherlich auch dann, wenn es sich um Sachen handelt, die eine Person verloren hat. Wer das nicht so sieht, wird zur Lösung dieses Problems ersatzweise auf die Generalklausel zurückgreifen müssen. Unbestritten ist, dass die Suche nach Informationen, die es der Polizei erlauben, die Identität eines Eigentümers in Erfahrung zu bringen, der eine Sache verloren hat, rechtlich zulässig ist. Folglich kann und darf der Polizeibeamte das Smartphone öffnen, um die Kartennummer abzulesen. Aufgrund dieser Kartennummer können die benötigten Bestandsdaten (Name und Anschrift des Eigentümers) bei der BNetzA festgestellt werden. Dazu bedarf es keiner Anordnung eines Behördenleiters. [Fazit:] Eine Vielzahl von Auskunftsersuchen, in denen die Polizei zur Erfüllung ihrer Aufgaben Bestandsdaten zur Gefahrenabwehr abfragt bzw. automatisch übermittelt bekommt, haben keine Berührung zu § 20a PolG NRW. 1.17 Tatbestandsmerkmale § 20a PolG NRW enthält folgende Tatbestandsmerkmale, die gegeben sein müssen, um in der Befugnis genannte Rechtsfolgen (Bestandsdatenauskunft und Standortermittlung) bei einem TK-Anbieter einholen zu können: • Die hohe Wahrscheinlichkeit eines Schadens für Leben, Gesundheit oder Freiheit einer Person • Abwehr einer gemeinen Gefahr soweit die Erreichung des Zwecks der Maßnahme auf andere Weise aussichtslos oder wesentlich erschwert wäre. Nur wenn das der Fall ist, können auf der Grundlage von § 20a PolG NRW folgende Daten abgefragt werden: • • • • • • • • • Bestandsdaten Internetprotokoll-Adressen In der Befugnis selbst genannte Verkehrsdaten Nummer oder Kennung der beteiligten Anschlüsse oder Endeinrichtungen personenbezogene Berechtigungskennungen Kartennummer Standortdaten bei Mobilfunktelefonen Merkmale zur Identifikation der Nutzer Angaben über den Beginn und das Ende der jeweiligen Nutzung. Festzustellen ist, dass es sich bei den Daten, über die Auskunft verlangt werden kann, zumindest im Hinblick auf die Bestandsdaten nicht um personenbezogene Daten handelt, die dem Fernmeldegeheimnis unterliegen und somit besonders schutzwürdig sind. Nur einige der o.a. Daten, über die Auskünfte verlangt werden können, unterliegen dem Fernmeldegeheimnis. Dazu gehören auch die Standortdaten eines Mobiltelefons, zumindest ist das zurzeit die (noch) vorherrschende Meinung in der Lehre und in der Rechtsprechung. 1.18 Hohe Wahrscheinlichkeit § 20a PolG NRW enthält den unbestimmten Rechtsbegriff »hohe Wahrscheinlichkeit«, der im Polizeigesetz NRW nur in einer Steigerungsform »mit an Sicherheit grenzender Wahrscheinlichkeit« in der »Allgemeinen Vorschrift für den Schusswaffengebrauch« verwendet wird. Dort heißt es: »Ein Schuss, der mit an Sicherheit grenzender Wahrscheinlichkeit tödlich wirken wird, ist nur zulässig, wenn er das einzige Mittel zur Abwehr einer gegenwärtigen Lebensgefahr oder der gegenwärtigen Gefahr einer schwerwiegenden Verletzung der körperlichen Unversehrtheit ist.« Diese gesetzliche Regelung, die den Schusswaffengebrauch betrifft, legitimiert den finalen Rettungsschuss und kann nur dann zur Anwendung kommen, wenn es sich um einen Fall sogenannter Ultima Ratio handelt, um das Leben von Geiseln zu retten. Es stellt sich somit die Frage, was mit »hoher Wahrscheinlichkeit« gemeint ist, wenn es in der hier zu erörternden Befugnis darum geht, von Telekommunikations- und Telemediendiensteanbietern Auskünfte einzufordern, um eine schwer wiegende Gefahr abwehren zu können, die mit hoher Wahrscheinlichkeit eintreten wird, weil die Erreichung des Zwecks der Maßnahme ohne die benötigten Daten aussichtslos oder wesentlich erschwert wäre. [Definitionsversuch: ] Eine Gefährdung, die »mit hoher Wahrscheinlichkeit« besteht, setzt eine Situation voraus, in der auf der Grundlage von Fakten eine Prognose über einen möglichen zukünftigen Handlungsablauf zu erstellen ist. Wenn diese Bewertung zu dem Ergebnis führt, dass mit hoher Wahrscheinlichkeit mit dem Eintritt schwer wiegender Gefahren zu rechnen ist, dann hat die Polizei das getan, wozu sie jede Ermessensbefugnis verpflichtet: nur geeignete, erforderliche und insbesondere verhältnismäßige Maßnahmen anzuordnen und durchzusetzen. Hohe Wahrscheinlichkeit setzt keine gegenwärtige Gefahr voraus, obwohl die Definition der »gegenwärtigen Gefahr« das Element »hohe Wahrscheinlichkeit« enthält. Davon auszugehen, dass der Gesetzgeber unter Verwendung des verwendeten Sprachgebrauchs eine konkrete Gefahr für ausreichend hält, vermag dennoch nicht zu überzeugen, zumindest dann nicht, wenn dabei auf die im § 1 PolG NRW genannte Gefahr abgestellt wird, die auch eine »abstrakte Gefahr« umfasst. Der Sprachgebrauch des Gesetzgebers suggeriert auch einem juristischen Laien, dass es »besonderer Anforderungen« bedarf, die im besonderen Maße dem Grundsatz der Verhältnismäßigkeit entsprechen müssen. Außerdem sieht die Befugnis eine schriftliche Anordnung der Maßnahme durch den Behördenleiter voraus. Gemeint sein kann nur die »gesetzliche Schriftform«. Um der Schriftform zu genügen, muss folglich ein Schriftsatz aufgestellt, vom Behördenleiter unterschrieben und auf dem Postweg versandt werden. Bei Gefahr im Verzug kann die schriftliche Anordnung nachgereicht werden. [Fazit:] Hohe Wahrscheinlichkeit bedeutet, dass in der Befugnis benannte Gefahren so konkret gefährdet sein müssen, dass durch ein Untätigbleiben der Polizei der Tatbe- stand der unterlassenen Hilfeleistung verwirklichen würde (§ 323c StGB). Mit anderen Worten: Der Eintritt des abzuwendenden Schadens ist »fast sicher/mit hoher Wahrscheinlichkeit« zu erwarten, so dass sofortiges Handeln erforderlich ist, um hochrangige Rechtsgüter noch rechtzeitig schützen zu können. Auch die Anordnungsregelung macht deutlich, dass der Gesetzgeber die Befugnis nur in ganz besonderen Einzelfällen angewendet wissen will. 1.19 Gefahrenarten Maßnahmen auf der Grundlage von § 20a PolG NRW sind nur zulässig, wenn die hohe Wahrscheinlichkeit eines Schadens für Leben, Gesundheit oder Freiheit einer Person besteht oder Maßnahmen zur Abwehr einer gemeinen Gefahr erforderlich sind. Im Gesetzestext heißt es diesbezüglich: »Soweit die Erreichung des Zwecks der Maßnahme auf andere Weise aussichtslos oder wesentlich erschwert wäre«. [Leben, Gesundheit oder Freiheit:] Diese Rechtsgüter sind stets im öffentlichen Interesse zu schützen, wenn die konkrete Gefahr besteht, dass diese durch unerlaubte Handlungen gefährdet sind oder die Person, der solche Gefahren drohen, von der Polizei Hilfe verlangt oder um Hilfe ersucht. [Gemeine Gefahr:] Als »gemeine Gefahr« wird im Strafrecht ein Lebenssachverhalt bezeichnet, bei dem die Möglichkeit eines Schadens an Rechtsgütern (Leib, Leben, Vermögen) einer unbestimmten Anzahl von Personen gefährdet ist. Dies ist beispielsweise dann der Fall, wenn durch Unglücksfälle, Naturkatastrophen oder Brände die o.g. Rechtsgüter bedroht sind. Übliche Definitionen einer gemeinen Gefahr: • Eine gemeine Gefahr ist gegeben, wenn eine unbestimmte Anzahl von Personen gefährdet ist. • Gemeine Gefahren sind Gefahren besonderen Ausmaßes, wenn also große Schäden drohen (z.B. Katastrophen, große Unglücksfälle). Lebensgefahren sind unmittelbar bevorstehende Handlungen oder Geschehensabläufe, durch die das Leben einzelner oder mehrerer Menschen bedroht wird. • »Gemeine Gefahr ist ein Zustand, bei dem wegen einer ungewöhnlichen Gefahrenlage ohne sofortiges Eingreifen eine erhebliche Schädigung von Personen oder bedeutenden Sachwerten unmittelbar droht« [En18].18 • »Eine gemeine Gefahr ist eine konkrete Gefahr für eine unbestimmte Zahl von Menschen oder zahlreiche Sachen von mindestens insgesamt hohem Wert, so zum Beispiel ausgelöst durch Überschwemmungen, Brände von Gebäuden mit der Gefahr des Umsichgreifens, Waldbrände, Gefahr durch Wolken giftiger Gase oder radioaktiver Verseuchungen« [En19].19 In der Regel wird es sich bei einer gemeinen Gefahr um einen Unglücksfall handeln. Der Begriff »gemeine Gefahr« wird im StGB in vier Paragrafen verwendet: • 114 StGB (Widerstand gegen Personen, die Vollstreckungsbeamten gleichstehen) • 145 StGB (Missbrauch von Notrufen und Beeinträchtigung von Unfallverhütungs- und Nothilfemitteln) • 243 StGB (Besonders schwerer Fall des Diebstahls) • 323c StGB (Unterlassene Hilfeleistung). 1.20 Rechtsfolgen Auf der Grundlage von § 20a PolG NRW können von TK-Anbietern Auskünfte verlangt werden über: • • • • • • • • • Bestandsdaten im Sinne der §§ 95, 111 TKG und § 14 TMG Dynamische IP-Adressen, die zu einem bestimmten Zeitpunkt zugewiesen wurden Nummer oder Kennung der beteiligten Anschlüsse oder der Endeinrichtungen Personenbezogene Berechtigungskennungen Kartennummer bei Verwendung von Kundenkarten Standortdaten bei mobilen Telekommunikationsendgeräten Beginn und das Ende der jeweiligen Verbindung nach Datum und Uhrzeit Merkmale zur Identifikation der Nutzerin oder des Nutzers Angaben über die vom Nutzer in Anspruch genommenen Telemedien. Weitergehende Rechtsfolgen lässt die Befugnis nicht zu. [Keine TKÜ:] Maßnahmen zur Überwachung des Telekommunikationsvorgangs durch Abhören oder Einsichtnahme in E-Mails etc. sind nicht zulässig. 1.21 Einzelabfragen [Individualisierbare Einzelabfragen:] Nach dem Wortlaut der Befugnis sind nur Einzelabfragen (individualisierbare Verkehrsdatenerhebungen) zulässig, so dass nichtindividualisierte Funkzellenabfragen zum Zweck der Gefahrenabwehr nicht in Betracht kommen. [Nicht-individualisierte Funkzellenabfragen:] Das Erheben von Massenverkehrsdaten kommen nur dann in Betracht, wenn die Voraussetzungen von § 100g StPO (Erhebung von Verkehrsdaten) greifen. § 100g StPO Bei nicht-individualisierten Verkehrsdatenerhebungen (Funkzellenabfragen) sind zum Zeitpunkt der Datenerhebung oftmals noch keine konkreten Suchkriterien bekannt, um in dem durch die Maßnahme erhobenen umfangreichen Datenbestand gezielt nach »personenbezogenen Daten« suchen zu können. Diese Kriterien sollen erst durch Auswertung der erhobenen Daten gewonnen werden. Außerdem muss davon ausgegangen werden, dass anlässlich von polizeilichen Einsätzen, in denen mit solch einer Maßnahme möglicherweise zu rechnen ist, Personen, gegen die sich polizeiliche Ermittlungen richten bzw. richten werden, in der Regel Mobiltelefone benutzen, die keinem Anschlussinhaber zugeordnet werden können. Die Folge davon ist, dass die Kriterien, die solch eine polizeiliche Vorgehensweise zu rechtfertigen vermögen, besonders sorgfältig und gründlich zu prüfen sind. »Diese Prüfung hat polizeiintern unter Einbeziehung aller mitzeichnungsberechtigten Stellen zu erfolgen. Wird der Maßnahme zugestimmt, regt der polizeiliche Vorgangssachbearbeiter bei der zuständigen Staatsanwaltschaft die Beantragung eines richterlichen Beschlusses gemäß § 100g StPO an. Auf Grundlage eines richterlichen Beschlusses werden vom Netzbetreiber in mehreren Datenpaketen (Rohdaten) an die Polizei übermittelt (bzw. durch die Polizei selbst unter Verwendung eines IMSI-Catchers erhoben), in einer speziellen Datenbank protokolliert und getrennt erfasst. Die dort abgelegten Daten sind zugriffsgeschützt und können aus Gründen der Beweissicherung im Strafverfahren nicht verändert werden. Die Rohdaten sind für die kriminalistische Auswertung ungeeignet. Erst eine Überführung der Rohdaten in ein zur Weiterbearbeitung geeignetes Format (Arbeitsdatei) ermöglicht deren verfahrensbezogene Auswertung. Die Erstellung der Arbeitsdatei ist ebenso wie deren Weitergabe an den polizeilichen Vorgangssachbearbeiter zu dokumentieren. Die Rohdaten verbleiben bis zum Abschluss des Strafverfahrens bei (der sachbearbeitenden Stelle). Ihre Löschung ist durch die verfahrensführende Staatsanwaltschaft zu veranlassen, ggf. durch die (sachbearbeitende Stelle) anzumahnen und im Vorgang zu dokumentieren«. Zitiert nach: Nichtindividualisierte Funkzellenabfrage gemäß § 100g StPO - Handreichung für Polizeibeamte, Stand: 6. September 2011, Staatsministerium des Innern, Freistaat Sachsen. In Klammern stehende Ergänzungen weichen vom Original ab.) Gründe, die zu bedenken sind: Die nachfolgend wiedergegebenen Argumente wurden der Presseinformation der FDPLandtagsfraktion Schleswig Holstein - Nr. 369 / 2013 vom 21. August 2013 entnommen: »Der Eingriff in die individuellen Rechte der Bürgerinnen und Bürger, die sich zufällig in dem überwachten Gebiet aufhalten, ist derart umfangreich und in einigen Fällen auch undifferenziert, dass die Strafverfolgungsbehörden wirklich gute Gründe anführen müssen, um eine solche Vorgehensweise zu rechtfertigen. Die Zahlen belegen es: Lediglich 7,53 Prozent der nicht-individualisierten Funkzellenabfragen führten entweder zu einer Verurteilung oder zu neuen Ermittlungsansätzen. Anders gewendet heißt das doch: Mehr als 92 Prozent dieser Abfragen laufen gänzlich ins Leere. Wer kann hier noch ernsthaft von einer Verhältnismäßigkeit in der Anwendung dieser Maßnahme sprechen? Ein etwas plastischeres Beispiel: Im Jahr 2010 wurden in Kiel 76 Funkzellenabfragen vorgenommen. Herausgesprungen sind dabei aber lediglich ein einziger Ermittlungsansatz und keine - also »null« - Verurteilungen. Stattdessen wurden aber in einem Fall in Kiel, im selben Jahr und innerhalb von 25 Stunden Daten von über 300.000 Menschen erfasst, die sich zufällig in diesem Bereich aufgehalten haben, weil sie dort wohnen, in Kiel Urlaub machen oder Einkaufen gegangen sind. Die Strafverfolgungsbehörden sind nicht das Problem - sie haben sich an Recht und Gesetz gehalten. Wir müssen aber anhand der vorliegenden Zahlen überprüfen, ob die derzeitigen rechtlichen Grundlagen im Einzelfall dazu führen, dass der Eingriff in die individuellen Freiheitsrechte der Bürgerinnen und Bürger unverhältnismäßig wird. Das wird unsere Aufgabe im Ausschuss sein!« Presseinformation im Volltext Funkzellenabfragen in Berlin Aufgrund einer Serie von Autoinbrandsetzungen teilte die Polizeivizepräsidentin Margarete Koppers am 23.01.2012 in der Sitzung des Innenausschusses des Berliner Abgeordnetenhauses mit, dass im Zeitraum von 2008 bis 2012 bei 410 Funkzellenabfragen, die fast alle nach Autobränden gestellt wurden, allein der polizeiliche Staatsschutz des Berliner Landeskriminalamtes 4.200.000 Verkehrsdaten und 960 Teilnehmerdaten gesammelt habe. Dabei ist es in keinem Fall gelungen, mithilfe dieser Maßnahme einen Ermittlungserfolg zu erzielen (Quelle): Was ist durch Funkzellenabfragen möglich? Da es sich an den Tagen, in denen Funkzellenabfragen aus polizeilicher Sicht zur Anwendung kommen in der Regel um ein komplexes und dynamische Geschehen handelt, lässt sich durch Funkzellenabfragen nachweisen, welches Mobiltelefon sich in welcher Funkzelle befunden hat. »Erkennbar ist weiterhin, wer mit wem wann wie oft kommuniziert hat, ob über bestimmte Mobiltelefone Kommunikationsverbindungen gebündelt worden sind etc. Das Kommunikationsverhalten unterschiedlicher Personen kann abgeglichen und in Beziehung gesetzt werden, indem etwa geprüft wird, ob mehrere Mobiltelefone gleichzeitig die Funkzellen gewechselt oder mit denselben Telefonen kommuniziert haben. In Dresden wurden beispielsweise Schnittmengenvergleiche vorgenommen, um herauszufinden, welche TK-Kennung an Orten, an denen Straftaten begangen worden sein sollen, gehäuft erhoben wurden (Funkzellenüberwachung anlässlich des 66. Jahrestages der Bombardierung von Dresden im Zweiten Weltkrieg am 19.02.2011). Diese großen Datenmengen können mühelos verarbeitet werden. Fast alle Landeskriminalämter verfügen mittlerweile über kriminalpolizeiliche Fallbearbeitungs-, Recherche- und Analysesysteme, die es ermöglichen, diverse Daten und Ermittlungserkenntnisse aus unterschiedlichen Perspektiven zu betrachten, zu bewerten, miteinander in Beziehung zu setzen und automatisiert zu analysieren. Auch das LKA Sachsen arbeitet mit einem so genannten »ermittlungsunterstützenden Fallanalysesystem Sachsen«, kurz »eFAS«, das auch bei der Auswertung der im Rahmen der Funkzellenabfragen erhobenen Verkehrsdaten Anwendung gefunden hat. Funkzellenabfragen dienen damit vor allem der Generierung von Ermittlungsansätzen und der Gewinnung von »Zufallsfunden«. Auch wenn diese Daten für das eigentliche Verfahren nur von untergeordneter Bedeutung sein sollten, können sie die Grundlage für eine Vielzahl von weiteren Ermittlungen sein« (Quelle). [Fazit:] Verkehrsdatenerhebungen dieser Art sind auf der Grundlage des PolG NRW nicht zulässig. Solche Maßnahmen kommen nur in Betracht, wenn die Voraussetzungen von § 100g StPO greifen. 1.22 Formvorschriften Die sinngemäße Auflistung der Formalvorschriften, die § 20a PolG NRW enthält, macht deutlich, dass es sich bei Eingriffen, die auf der Grundlage dieser Befugnis getroffen werden, um bedeutende und schwerwiegende Eingriffe in grundrechtlich geschützte Positionen handeln muss: • Die Daten sind der Polizei vom jeweils um Auskunft ersuchten TK-Anbieter unverzüglich zu übermitteln. Dritten dürfen die Daten nur mit Zustimmung der betroffenen Person zugänglich gemacht werden. • Personenbezogene Daten Dritter dürfen nur erhoben werden, wenn dies aus technischen Gründen unvermeidbar ist. Personenbezogene Daten Dritter sind nach Beendigung der Maßnahme unverzüglich zu löschen. • Maßnahmen nach § 20a PolG NRW bedürfen der Anordnung durch die Behördenleiterin oder den Behördenleiter. Der Antrag bedarf der Schriftform. In der schriftlichen Anordnung sind die tragenden Erkenntnisse für das Vorliegen der Gefahr und die Begründung der Verhältnismäßigkeit der Maßnahme zu begründen sowie die Art der Maßnahme anzugeben, die beabsichtigt ist. Soweit vorhanden ist im Antrag der Name und die Anschrift der Betroffenen anzugeben, gegen die sich die Maßnahme richtet. Gleiches gilt für die Kennung des Telekommunikationsanschlusses oder Endgerätes. • Bei Gefahr im Verzug können Antrag und Anordnung fernmündlich vorab erfolgen. • Die Schriftform ist dann binnen drei Tagen nachzuholen. • Sind die nach dieser Vorschrift durchgeführten Maßnahmen abgeschlossen, sind die Betroffenen zu unterrichten, sobald dies ohne Gefährdung des Zweckes der Maßnahme geschehen kann. Im Anschluss an die Unterrichtung der Betroffenen sind die personenbezogenen Daten unverzüglich zu löschen, es sei denn, sie werden zur Verfolgung von Straftaten durch oder zum Nachteil jener Personen benötigt, gegen die sich die Maßnahme richtete. • Über die Anzahl der Maßnahmen auf der Grundlage von § 20a PolG NRW unterrichtet die Landesregierung den Landtag jährlich. Das bedeutet, dass Behörden angeordnete Maßnahmen auf der Grundlage von § 20a PolG NRW dem Ministerium für Inneres und Kommunales zu melden haben. • Die Anwendung der Befugnis ist unter Mitwirkung einer oder eines unabhängigen wissenschaftlichen Sachverständigen zu evaluieren (bis 2016). Schriftform: Damit ist eine schriftlich verfasste und vom Behördenleiter persönlich unterschriebene Anordnung zu verstehen, die im Antrag benannten Daten zu übermitteln. Insoweit enthält § 20a PolG NRW weitergehende Formvorschriften, als dies § 113 TKG fordert. Nach dem Wortlaut des § 113 TKG würde ein Antrag in Textform ausreichen. Da § 20a PolG NRW aber für die Polizei NRW die maßgebliche und zu beachtende Befugnis ist, können entsprechende Anträge somit nicht per Mail und einer diesem Medium entsprechender Signierung verschickt werden. Da davon auszugehen ist, dass § 20a PolG NRW die »gesetzliche Schriftform« einfordert, kommt auch eine Anfrage mittels Fax nicht in Betracht, denn ein Fax vermag die »gesetzliche Schriftform« nicht zu ersetzen. 1.23 Anwendungsfälle Dem Wortlaut von § 20a PolG NRW ist zu entnehmen, dass dort benannte Auskünfte von TK-Anbietern nur dann verlangt werden können, wenn es darum geht, schwerwiegende Gefahren abzuwenden. Dabei muss es sich um individualisierbare Einzelanfragen handeln. [Beispiel:] Ein Leitstellenbeamter nimmt über eine normale Telefonleitung folgenden Anruf entgegen, der offensichtlich von einem Mobiltelefon ausgeht, da im Hintergrund deutlich Verkehrsgeräusche zu hören sind: »Heute, um 18.00 h, wird in der Haupthalle des Bahnhofs ein Sprengsatz zur Explosion gebracht. Bei den Tätern handelt es sich um Fundamentalisten, die zu allem bereit sind. Ich habe nichts mit dieser Sache zu tun. Mehr kann und will ich nicht sagen, ohne mich selbst in Gefahr zu bringen. Ich habe bewusst diese Nummer und nicht 110 angewählt, weil ich unerkannt bleiben will.« Das Knacken in der Leitung signalisiert dem Beamten, dass das Gespräch jetzt zu Ende ist. Die Rufnummer wurde im Display nicht angezeigt (Rufnummernunterdrückung). Bis zu dem angekündigten Anschlag verbleiben noch 8 Stunden. Der Beamte veranlasst sofort alles Notwendige in Anlehnung an Checklisten, die anlässlich solcher Anlässe »abzuarbeiten« sind. Dazu gehört auch die Feststellung der Identität des Anrufers. Rechtslage? Wäre der Anruf über 110 bei der Polizei eingegangen, stünden der Polizei die Bestandsdaten und die Standortdaten (auch wenn der Anruf über ein Mobiltelefon eingegangen sein sollte) in Sekundenschnelle zur Verfügung. Anrufe, die über normale Telefonanschlüsse bei der Polizei eingehen, gelten - unabhängig von den Inhalten eines solchen Anrufs - nicht als Notruf. Laut Sachverhalt ist der Anruf nicht über eine Notrufnummer bei der Polizei eingegangen. § 100j StPO findet keine Anwendung, weil es sich bei dem Anrufer aller Voraussicht nach zumindest zurzeit (noch) nicht um eine Person handelt, die als Beschuldigter angesehen werden kann. Folglich ist Polizeirecht anzuwenden. Nach dem Wortlaut von § 20a PolG NRW können Bestands- und Standortdaten anlässlich von individualisierbaren Einzelfällen immer dann abrufen werden, wenn die Voraussetzungen dieser Befugnis greifen. Das ist laut Sachverhalt offenkundig der Fall, denn würde es zu dem angekündigten Sprengstoffanschlag kommen, wären Leib, Leben und Vermögenswerte einer möglicherweise unüberschaubaren Personenanzahl konkret bedroht. Da bis zum Beweis des Gegenteils davon auszugehen ist, dass die »Ankündigung des Anschlags« ernst gemeint ist, muss die Polizei davon ausgehen, dass mit hoher Wahrscheinlichkeit das schädigende Ereignis eintreten wird, wenn gefahrenabwehrende Maßnahmen unterblieben. Zur Ermittlung des bestehenden Gefahrenverdachts ist es folglich offensichtlich notwendig, den Hinweisgeber diesbezüglich näher zu befragen. Das setzt voraus, dass sein Aufenthaltsort und sein Name bekannt sind. Die Ermittlung der Bestandsdaten und des Standortes des Mobiltelefons, über das der Anruf bei der Polizei einging, ist insoweit ein notweniger und unverzichtbarer Schritt in die Richtung, den Anrufer zu ermitteln. [Anordnung:] Maßnahmen auf der Grundlage von § 20a PolG NRW setzen die Anordnung durch die Behördenleiterin oder den Behördenleiter voraus. Voraussetzung dafür ist, dass die sachbearbeitende Dienststelle einen schriftlichen Antrag auf dem Dienstweg an den Behördenleiter richtet. Mitzeichnungsberechtigte Stellen können den Antrag billigen, ihn möglicherweise aber auch zurückweisen, weil nach ihrer Einschätzung die Voraussetzungen nicht gegeben sind. Lediglich bei »Gefahr im Verzug« kann die Anordnung auch fernmündlich vorab eingeholt werden. Eine solche fernmündliche Vorabanordnung setzt nach der hier vertretenen Rechtsauffassung aber voraus, dass diese »mündliche Vorabanordnung« die mündliche Einwilligung des Behördenleiters oder seines ständigen Vertreters voraussetzt. Das hat in der Realität des polizeilichen Berufsalltags zur Folge, das bis dahin Zeit vergeht, die in »Notsituationen« möglicherweise nicht zur Verfügung steht. Dennoch: Der Polizeibeamte, der den Anruf entgegen genommen hat, ist dazu verpflichtet, gesetzlich vorgegebene Formvorschriften zu beachten. Hier wird davon ausgegangen, dass das mündliche Einverständnis des Behördenleiters innerhalb von 15 Minuten eingeholt werden kann. Die Folge davon ist, dass im direkten Kontakt mit dem TK-Anbieter der eingegangene Anruf zurückverfolgt wird und durch den TK-Anbieter die Daten übermittelt werden, die Auskunft über den Anschlussinhaber und dessen Wohnsitz geben und die darüber hinaus auch Hinweise darüber enthalten, wo sich der Anrufer zum Zeitpunkt des Anrufs befand (über welchen Funkmasten das Gespräch bei Verwendung eines Mobiltelefons geführt wurde). Unabhängig davon liegen die Voraussetzungen vor, den TK-Anbieter dazu aufzufordern, aktuelle Standortdaten zu übermitteln, damit der Anrufer ermittelt und zur Sache befragt werden kann (Ortung des Mobiltelefons). Auch ein objektiver Beobachter (ein juristischer Laie mit gesundem Menschenverstand) wird im Hinblick auf den angekündigten Sprengstoffanschlag zu dem Ergebnis kommen, dass es in solch einer Situation verhältnismäßig ist, alles zu tun, um den Anrufer mit rechtlich zulässigen Mitteln zu ermitteln. [Beispiel:] Ein besorgter Vater ersucht die Polizei um sofortiges Einschreiten, weil seine 14-jährige Tochter ihm eine SMS mit folgendem Inhalt geschickt hat: »Papa, ich bin entführt worden. Ich habe Angst, helfe mir.« Rechtslage? Ein solchermaßen besorgter Vater wird kein Verständnis dafür haben, dass die Polizei erst den Dienstweg beschreiten muss, um klären zu können, wann und wie Hilfe zu leisten ist. Polizeibeamte, die in solch einer Situation hilfeersuchende Personen um etwas Geduld bitten, weil für eine Ortung des Handys zuvor (aus formalrechtlichen Gründen) zumindest das mündliche Einverständnis des Behördenleiters einzuholen ist, werden nicht nur auf Erstaunen, sondern auf blankes Unverständnis stoßen. Das ist nachvoll- ziehbar, denn, wenn das Hilfeersuchen mit dem gleichen Inhalt die Polizei über 110 erreicht hätte, könnten die Standortdaten des Handys per Tastendruck von der Polizei abgerufen werden. In diesem Beispiel aber hat eine Tochter in ihrer Angst ihren Vater um Hilfe ersucht, möglicherweise aus dem Grund, weil ein Telefonat nicht möglich war und eine SMS über 110 nicht verschickt werden kann. Außerdem kann dem Hilfeersuchen per SMS entnommen werden, dass die Absenderin ihren Vater dazu auffordert, Hilfe so schnell wie möglich zu leisten. Das aber setzt voraus, dass der Aufenthaltsort (Standort des Mobiltelefons) bekannt ist. Insoweit kann davon ausgegangen werden, dass die SMS durchaus als rechtfertigende Einwilligung ausgelegt werden kann, den Standort des Mobiltelefons festzustellen. [Ergebnis:] Eine Handyortung auf der Grundlage einer rechtfertigenden Einwilligung kann von der Polizei veranlasst werden, ohne dass dafür die Anordnung der Behördenleiterin bzw. des Behördenleiters erforderlich ist. Wem diese Rechtskonstruktion zu gewagt ist, der wird die Anordnung des Behördenleiters einholen müssen. [Voraussetzungen von § 20a PolG NRW:] Unabhängig davon kann in einem solchen Fall eine Handyortung auch auf der Grundlage von § 20a PolG NRW veranlasst werden. Die Absenderin der SMS befindet sich mit »hohe Wahrscheinlichkeit« in einer Situation, in der mit einem Schaden für ihr Leben, ihre Gesundheit zumindest aber ihrer Freiheit zu rechnen ist und zur Abwehr dieser Gefahren die Ortung des Handys erforderlich ist, weil auf andere Weise die Bestimmung des Aufenthaltsortes aussichtslos oder wesentlich erschwert wäre. [Formvorschriften:] Eine solche Anordnung ist gemäß § 20a PolG NRW der Behördenleiterin bzw. dem Behördenleiter vorbehalten, wenn in diesem Falle »rechtfertigende Einwilligung« nicht als gegeben anzusehen sein sollten. Der damit verbundene Antrag ist auf dem Dienstweg von anderen »Stellen« mitzuzeichnen. Die Anordnung des Behördenleiters ist in Schriftform dem TK-Anbieter zuzustellen, etc. Selbstverständlich können bei Gefahr im Verzug diese Formalien nachgeholt werden. Die Frage, die sich dennoch stellt, lautet: Liegt das in der Absicht des Gesetzgebers? [Fazit:] Es ist alles zu veranlassen, um möglichst unverzüglich das Handy zu orten. Würde das verzögert, nur weil Formalien zu beachten sind, dann müsste sich die Polizei den Vorwurf der »unterlassenen Hilfeleistung« gefallen lassen. In eilbedürftigen Fällen sieht es das Gesetz vor, dass erforderliche Anträge nachgereicht werden können. [Beispiel:] In einem Abschiedsbrief hat sich eine 19-jährige Frau von ihren Eltern verabschiedet. In dem Abschiedsbrief steht, dass sie noch heute ihrem Leben ein Ende bereiten will, weil Sie auf unerträgliche Art und Weise von Kommilitonen gemobbt wird. Da die Eltern der jungen Frau nicht wissen, wo sich ihre Tochter zurzeit befindet, wenden sie sich mit der Bitte an die Polizei, den Aufenthaltsort ihrer Tochter zu ermitteln, da sie stets ein Smartphone mit sich führt. Rechtslage? Wenn die Polizei Kenntnis davon erhält, dass eine Person mit Suizidabsichten z.B. die elterliche Wohnung verlassen hat (Abschiedsbrief liegt vor), aber im Besitz eines Smartphones ist, so dass der Standort des Mobiltelefons ermittelt werden kann, wenn das Gerät eingeschaltet ist, ist die Polizei dazu verpflichtet (Schutz des Lebens als vorrangige staatliche Aufgabe), alles zu tun, um den Schadenseintritt im Rahmen des Möglichen zu verhindern. Da nur eine Standortermittlung des Smartphones ein geeignetes Mittel ist, den momentanen Aufenthaltsort der suizidgefährdeten jungen Frau bestimmen zu können, hat die Polizei alles in die Wege zu leiten, um gefahrenabwehrend tätig werden zu können. Das VG Darmstadt hat aber mit Beschluss vom 16.11.2000 (3 E 915/99) in einem vergleichbaren Fall die Standortermittlung eines Handys mit der Begründung für unzulässig erklärt, dass das Wissen darüber, in welcher Funkzelle sich der Besitzer eines Mobilfunktelefons aufhält, nicht durch Generalklauseln des allgemeinen Polizeirechts eingeschränkt werden kann. Der Zweck des Einschaltens eines Handys bestehe nicht darin, dass sich der Mobilfunktelefon-Besitzer im Notfall jederzeit »orten« lassen will, sondern weil er die technischen Voraussetzungen für eine erfolgreiche Kommunikation schaffen möchte.« Zwischenzeitlich hat der Gesetzgeber Abhilfe geschaffen und die Standortermittlungen von Handys zum Zweck der Gefahrenabwehr spezialgesetzlich geregelt. [Durchführung von Standortermittlungen:] Die aktuellen Standortdaten können in diesem Beispiel nur durch die Inanspruchnahme des TK-Anbieters oder durch den Einsatz eines IMSI-Catchers festgestellt werden. In dem oben bereits erwähnten Urteil des VG Darmstadt aus dem Jahr 2000 stellten die Richter damals fest, dass: Telekommunikationsbetreiber nicht dazu verpflichtet sind, der Polizei die aktuellen Standortdaten mitzuteilen, da diese dem Fernmeldegeheimnis unterliegen [En20]. 20 Sechs Jahre später stellt das Bundesverfassungsgericht fest, dass das Fernmeldegeheimnis nur aktuelle Kommunikationsvorgänge, nicht aber Daten schützt, die in keiner Beziehung zu bestimmten Kommunikationsvorgängen stehen [En21]. 21 Zwischenzeitlich hat auch der Landesgesetzgeber NRW durch die §§ 20a und 20b PolG NRW dafür Sorge getragen, dass die benötigten Standortdaten vom TK-Anbieter zur Verfügung zu stellen sind. Es kann davon ausgegangen werden, dass auch in diesem Fall aufgrund der Eilbedürftigkeit (Gefahr im Verzug), zu beachtende Formvorschriften zu einem späteren Zeitpunkt »nachgereicht« werden können. [Fazit:] Wenn das Treffen von Sofortmaßnahmen davon abhängt, welche Nummer ein Anrufer anwählt, um die Polizei in die Lage zu versetzen, sofort und angemessen auf mitgeteilte Gefahrenlagen reagieren zu können, dann gilt es, für solche Fälle eine geeignete »vernünftige« Lösung zu finden. Sind grundrechtlich zu schützende Höchstwerte erkennbar konkret gefährdet, kann und darf es nicht sein, dass Formvorschriften dazu führen, mögliche Hilfe auf unverantwortbare Art und Weise zu verzögern. 1.24 Notrufe Hilfeersuchen, die die Polizei über Notrufnummern erreichen (110 und 112), verpflichten Telefondiensteanbieter dazu (§ 108 TKG und § 4 NotrufV), die über Notrufleitungen eingehenden Bestands- und Verbindungsdaten bei Bedarf unverzüglich an die berechtigten Notrufabfragestellen zu übermitteln. Bei eingehenden Notrufen gehören auch Angaben zum Standort des Endgerätes, das eine Notrufnummer angewählt hat, mit zu den zu übermittelnden Daten. Diese Daten können von Polizeibeamten, die auf Leitstellen verwendet werden, sozusagen per »Tastendruck« abgerufen werden, wenn das zur Erfüllung polizeilicher Aufgaben erforderlich ist. Folgende Daten sind von den Telekommunikationsanbietern bei solchen Abfragen zu übermitteln: • Rufnummer des Anschlusses, von dem die Notrufverbindung ausgeht • Angaben zum Standort des Endgerätes, das eine Notrufnummer angewählt hat • Anbieterkennung des Telekommunikationsdiensteanbieters. Im Sinne des Telekommunikationsgesetzes sind »Standortdaten« Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst erhoben oder verwendet werden und die den Standort des Endgeräts eines Endnutzers eines öffentlich zugänglichen Telekommunikationsdienstes angeben. Das setzt bei Festnetzanschlüssen voraus, dass Name und Anschrift des Teilnehmers zu übermitteln sind. Bei einem Mobilfunkendgerät sind die Verbindungsdaten zu übermitteln, die eine Ortung des Mobilfunkendgerätes ermöglichen. Im »23. Tätigkeitsbericht des Datenschutzbeauftragten für die Jahre 2011 – 2012« wird darauf hingewiesen, dass spätestens im März des Jahres 2013 die Notrufortung gesetzeskonform betrieben werden kann. Die Nummern eingehender Notrufe können von Anrufern nicht unterdrückt werden. Alle Notrufe werden aufgezeichnet und gespeichert. Gemäß § 98 TKG (Standortdaten) hat der TK-Anbieter sicherzustellen, dass bei Verbindungen zu Anschlüssen, die unter den Notrufnummern 112 oder 110 oder anderen Notrufnummern zustande kommen, nicht im Einzelfall oder dauernd die Übermittlung von Standortdaten ausgeschlossen wird.« [Erlassregelung Polizei NRW:] In dem Erlass über die »Sprachdokumentation in Leitstellen und Befehlsstellen der Polizei NRW« aus dem Jahr 2014 heißt es zur Dokumentation von automatischen Notrufen wie folgt: »Der automatische Notruf ist eine besondere Form der Auslösung und Übermittlung von Notrufen. Es handelt sich um die in Notfällen automatisch oder manuell ausgelöste Übertragung von Daten einschließlich der Standortkennung und der anschließend bereitgestellten Sprachverbindung aus Mobilfunknetzen, die nur in Verbindung mit einer eingelegten Mobilfunknetzkarte im Mobilfunkgerät aktiviert werden kann. Die Auslösung des automatischen Notrufs ist möglich: • automatisch (über Sensoren), • manuell (über Tastendruck). Für alle Telefonanschlüsse in Leitstellen von Polizeibehörden, die nicht von den Nummern (Notrufnummern 110 und 112) erfasst sind, ist die technische Möglichkeit für eine im Einzelfall erfolgende manuelle Aufschaltung auf Tonträger einzurichten. Eine Aufzeichnung dieser Gespräche ist nur zulässig, soweit sie zur polizeilichen Aufgabenerfüllung erforderlich ist [En22].22 [Beispiel:] Bei der Polizei geht um 23.00 h über die Nummer 110 folgender Notruf ein: »Bitte helfen Sie mir, ich habe ein Wildschwein angefahren und mich dabei schwer verletzt. Ich weiß nicht, wo ich bin, denn ich kenne mich hier nicht aus. Vor zehn Minuten habe ich Winterberg (Kleinstadt im Hochsauerland) verlassen und befinde mich irgendwo auf einer Landstraße. Der Leitstellenbeamte bittet den Anrufer, die Leitung nicht zu unterbrechen, während er die Standortdaten abruft. Rechtslage? Die Standortdaten des Anrufers und natürlich auch die Bestandsdaten des Anrufers sind einsehbar, sobald der Beamte auf die dafür erforderliche Taste der Notrufanlage drückt. Im Sinne des Telekommunikationsgesetzes sind »Standortdaten« Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst erhoben oder verwendet werden und die den Standort des Endgeräts eines Endnutzers eines öffentlich zugänglichen Telekommunikationsdienstes anzeigen. Bei der Standortanzeige von Mobilfunktelefonen hängt die Genauigkeit der Standortanzeige von unterschiedlichen Gegebenheiten ab. Wenn der Notruf über ein Smartphone abgesetzt wird, das mit GPS ausgerüstet ist, dürfte die Standortanzeige ziemlich genau sein. Ungenauer wird die Standortermittlung, wenn Handys zur Aufrechterhaltung ihrer Betriebsbereitschaft sich bei nächstgelegenen Funkmasten einwählen müssen. Hier wird davon ausgegangen, dass eine Ortung möglich und benötigte Hilfe rechtzeitig geleistet werden kann. Eine richterliche Anordnung bedurfte es für diese Handyortung nicht, weil anlässlich von Notrufen auch die Standortdaten von Mobilfunktelefonen von den TK-Anbietern unverzüglich zu übermitteln sind. Das sieht das Gesetz so vor. [Notruf über SMS:] Bei der Polizei geht um 19.00 h folgender »Notruf« per SMS ein: »Ich werde von zwei Männern festgehalten, die mich foltern und vergewaltigen. Rufen Sie mich nicht an, das wäre gefährlich für mich. Helfen Sie mir. Mein Handy ist aktiv. Ist eine Handyortung in diesem Falle zulässig? Notrufnummern können mittels SMS oder E-Mail nicht »angewählt« werden. Die Folge davon ist, dass es sich bei solchen »Hilfeersuchen« nicht um Notrufe handelt. Gleiches gilt für Hilfeersuchen von sprachbehinderten Personen, die sich mündlich nicht artiku- lieren können, ohne Probleme aber dazu in der Lage sind, der Polizei ihre Notlage »schriftlich« per SMS oder E-Mail mitzuteilen und deshalb nicht anrufen, sondern eine Textnachricht verschicken. Grund dafür ist, dass über Notrufnummern Textnachrichten nicht verschickt werden können. Hier wird dennoch die Rechtsauffassung vertreten, dass es sich bei solchen Textmitteilungen, wenn sie der Polizei bekannt werden, um Hilfeersuchen handelt, die den gleichen Anspruch auslösen, wie das bei Notrufen der Fall ist. Da das Hilfeersuchen aber nicht über eine Notrufleitung der Polizei mitgeteilt wird, stehen die für Notrufleitungen vorgesehenen besonderen technischen Möglichkeiten der Bestandsdaten- und Standortermittlung nicht zur Verfügung. Das hat zur Folge, dass die Bestands- und Standortdaten nunmehr - trotz der mitgeteilten Notlage - nur auf der Grundlage von § 20a PolG NRW beim jeweiligen TK-Anbieter festgestellt werden können, wenn es vorrangiges polizeiliches Ziel ist, die bekannt gewordene Gefahr für Leib, Leben und Freiheit der gefangen gehaltenen Person abzuwehren. Wegen des qualifizierten Anordnungsvorbehaltes (Behördenleiteranordnung) ist die damit verbundene Zeitverzögerungen unvermeidbar. Um diese Situation erträglicher zu machen, wird davon ausgegangen, dass mündliche Vorabanordnungen durch den Behördenleiter bzw. dessen ständigen Vertreter kurzfristig eingeholt werden können. Schneller könnte die Polizei aber auch dann nicht reagieren, wenn sie aufgrund der angezeigten Verbrechen auf der Grundlage von § 100g StPO eine Handyortung veranlassen würde. Eine solche Maßnahme kann bei Gefahr im Verzug nur durch die zuständige Staatsanwaltschaft angeordnet werden. Soweit die Anordnung der Staatsanwaltschaft nicht binnen drei Werktagen von dem Gericht bestätigt wird, tritt sie außer Kraft (§ 100b StPO). 1.25 § 20b PolG NRW Gemäß § 20b PolG NRW (Einsatz technischer Mittel bei Mobilfunkendgeräten), darf die Polizei unter den Voraussetzungen des § 20a PolG NRW auch technische Mittel zur Ermittlung des Standortes eines aktiv geschalteten Mobilfunkendgerätes sowie zur Ermittlung der Geräte- und Kartennummern einsetzen. Die Maßnahme ist nur zulässig, wenn ohne die Ermittlung die Erreichung des Zwecks (...) aussichtslos oder wesentlich erschwert wäre. Die Befugnis erlaubt es nicht, technische Mittel einzusetzen, um Telefonate abzuhören. Solche Rechtsfolgen sieht das PolG NRW, im Gegensatz zu vergleichbaren Regelungen in anderen Länderpolizeigesetzen, nicht vor. Beispiele: • § 15a Hessisches Gesetz über die öffentliche Sicherheit und Ordnung (HSOG), Datenerhebung durch Telekommunikationsüberwachung. Dort heißt es u.a.: Die Polizeibehörden können von einem Dienstanbieter, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, verlangen, dass er die Kenntnisnahme des Inhalts der Telekommunikation ermöglicht und die näheren Umstände der Telekommunikation einschließlich des Standorts aktiv geschalteter nicht ortsfester Telekommunikationsanlagen übermittelt, wenn dies zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person unerlässlich ist. • § 33b Brandenburgisches Polizeigesetz (BbgPolG), Datenerhebung durch Eingriffe in die Telekommunikation. Dort heißt es u.a.: Die Polizei kann unter den Voraussetzungen des § 33a Abs. 1 personenbezogene Daten durch den verdeckten Einsatz technischer Mittel zur Überwachung und Aufzeichnung der Telekommunikation erheben. • § 33a Niedersächsisches Gesetz über die öffentliche Sicherheit und Ordnung (Nds.SOG), Datenerhebung durch Überwachung der Telekommunikation. Dort heißt es u.a.: Die Polizei kann zur Abwehr einer gegenwärtigen Gefahr für Leib, Leben oder Freiheit einer Person personenbezogene Daten durch Überwachung und Aufzeichnung der Telekommunikation erheben. Solche tief in das Fernmeldegeheimnis eingreifenden Rechtsfolgen lassen die §§ 20a und 20b PolG NRW nicht zu. [Zugelassene Rechtsfolge des § 20b PolG NRW:] Einsatz technischer Hilfsmittel (IMSI-Catcher) zur Ermittlung des Standortes eines aktiv geschalteten Mobilfunkendgerätes sowie zur Ermittlung der Geräte- und Kartennummer zur Abwehr der Gefahren, die im § 20a PolG NRW benannt sind. Damit ein IMSI-Catcher überhaupt eingesetzt werden kann, müssen der Polizei Bestandsdaten bekannt sein, auf deren Grundlage eine Ortung mit eigenen technischen Hilfsmitteln überhaupt möglich ist. Diese Daten können für den Einsatz eines solchen Gerätes nur erhoben werden, wenn die Voraussetzungen von § 20a PolG NRW greifen. Auch muss der Polizei hinreichend bekannt sein, wo sich die Person befindet, deren mitgeführtes Mobiltelefon geortet werden soll. Außerdem ist die Einsatzbereitschaft eines IMSI-Catchers in eilbedürftigen Situationen kaum sicherzustellen, denn das Gerät muss nicht nur erst »einsatzbereit« gemacht werden, es bedarf auch eines Spezialisten als Anwender, der weiß, wie solch ein Gerät zu handhaben ist. [Keine Erhebung von Massen-Verkehrsdaten:] § 20b PolG NRW findet keine Anwendung auf Funkzellenabfragen, bei denen es sich nicht um »im Einzelfall« erforderliche individualisierbare Verkehrsdatenerhebungen handelt. Die Erhebung von MassenVerkehrsdaten durch den Einsatz von IMSI-Catchern lässt § 20b PolG NRW nicht zu. 1.26 IMSI-Catcher Das Grundgerät ist nicht größer als ein durchschnittlicher PC. Die Steuerung erfolgt durch einen handelsüblichen Laptop. Der IMSI-Catcher kann in zwei Betriebsmodi arbeiten: Fangen und Abhören. Zum Abhören sind zusätzlich eine Softwareergänzung und ein nachgeschaltetes Handy nötig. IMSI-Catcher können in verschiedenen Funknetzen (D1, D2, E-Plus) eingesetzt werden. Der Betrieb kann aus einem Pkw heraus erfolgen. Damit kann unproblematisch auf schnelle Ortswechsel der Person reagiert werden, die das zu überwachende Mobilfunktelefon mitführt. Damit ein IMSI-Catcher erfolgreich eingesetzt werden kann, muss die Polizei über Daten verfügen, die es ihr erlauben, aus der Fülle von Verbindungsdaten, die an Funkmasten verfügbar sind, diejenigen herausfiltern zu können, die tatsächlich benötigt werden, um den Standort eines Mobilfunktelefons feststellen zu können. Folgende Bestandsdaten lassen u.a. eine sichere Identifizierung des Anschlussinhabers zu: Nummer der Handykarte, SIM-Karten-Nummer, IMSI). Diese Daten werden ausgetauscht, wenn Mobilfunktelefone miteinander kommunizieren. Diesbezüglich taugliche Daten stehen im Netz auch dann zur Verfügung, wenn das jeweilige Mobilfunkendgerät sich lediglich in das Netzwerk eingeloggt hat (Aktivschaltung im Stand-by-Modus). [Funkzellenabfrage:] Bei einer Funkzellenabfrage werden alle Telekommunikationsverbindungsdaten durch den IMSI-Catcher erhoben und automatisiert ausgewertet, die in einer bestimmten, räumlich bezeichneten Funkzelle in einem festgelegten Zeitraum anfallen. Das BVerfG sieht einen Grundrechtseingriff jedoch nur bezüglich derjenigen Personen als gegeben an, deren Anschlussnummern an die Behörden übermittelt werden, bzw. von der Polizei beim Einsatz eines IMSI-Catchers selbst festgestellt werden. Hinsichtlich der übrigen Personen erfolge der Zugriff lediglich maschinell und bleibt somit anonym, spurenlos und ohne Erkenntnisinteresse für die Polizei, so dass es insoweit an einem Eingriff fehlt (Urteil des BVerfG vom 12. März 2003 - 1 BvR 330/96). Deshalb enthält § 20b PolG NRW auch eine Regelung, dass die Datensätze sogenannter Dritter einem absoluten Verwendungsverbot unterliegen und nach Beendigung der Maßnahme unverzüglich zu löschen sind. Um ein Mobilfunktelefon mittels IMSI-Catcher orten zu können, muss, um eine sichere Identifizierung des Mobiltelefons zu ermöglichen, bekannt sein, wo sich der zu ortende Teilnehmer zurzeit zumindest annähernd aufhält. [Funktionsweise:] Wird der IMSI-Catcher eingeschaltet, dann verhält er sich gegenüber eingeschalteten Mobilfunktelefonen genauso, wie eine reguläre Basisstation des Mobilfunknetzes das macht. Da der IMSI-Catcher stärkere Signale als die reguläre Basisstation ausstrahlt, bucht sich jedes eingeschaltete Mobilfunktelefon, das sich im Empfangsbereich des IMSI-Catchers befindet, zwangsläufig in dieses Gerät ein. Das gilt auch für Handys, die sich lediglich im sogenannten Stand-by-Betrieb befinden. Die Übernahme der Steuerungsfunktion durch den IMSI-Catcher ist innerhalb von Sekun- den abgeschlossen, so dass die Besitzer von Mobilfunktelefonen, deren Geräte nunmehr „über den IMSI-Catcher« laufen, davon nichts merken. IMSI-Catcher können: • Erhobene Daten mit anderen abgleichen • Durch einen Testanruf bei dem angerufenen Teilnehmer einen Stimmabgleich durchführen • Stille SMS verschicken, um die Lokalisierung der Zielperson zu beschleunigen • Standortdaten in Echtzeit erheben und • Telefonate live mithören. [Stille SMS:] Das Verschicken sogenannter stiller SMS ist als zugelassene Rechtsfolge im § 20a PolG NRW nicht aufgeführt. Da zur Abwehr schwerwiegender Gefahren es jedoch oftmals auf jede Minute ankommt und Eile somit meist geboten ist, wird hier davon ausgegangen, dass beim Einsatz eines IMSI-Catcher die Möglichkeiten ausgeschöpft werden können, die zur Abwehr einer Gefahr tatsächlich erforderlich sind. Ausnahme: Abhören von Gesprächen. Solch eine Rechtsfolge hätte der Gesetzgeber aufführen müssen. Beim Verschicken sogenannter stiller SMS wird folgendes Prinzip ausgenutzt: Jeder Netzbetreiber teilt einem anderen Netzbetreiber vor dem Versand einer SMS mit, in welcher Funkzelle sich der Empfänger gerade aufhält. Die Polizei nutzt diese Besonderheit aus, um den Standort eines Mobiltelefons und somit den Aufenthaltsort verdächtiger oder gesuchter Personen festzustellen zu können. Dazu verschicken sie an die Person, deren Standort festgestellt werden soll, sogenannte stille SMS. Eine stille SMS hat keinen Inhalt und geht im Posteingang nicht ein, dennoch werden Positionsdaten übermittelt. Stille SMS können mittels IMSI-Catcher verschickt werden. [Verkehrsdaten:] Die Vielfältigkeit eines IMSI-Catchers darf jedoch nur im vollen Umfang ausgenutzt werden, wenn entsprechende richterliche Beschlüsse vorliegen, die es den Strafverfolgungsbehörden zum Beispiel erlauben, Telefonüberwachungen im Sinne von § 100a StPO durchzuführen oder aber Verbindungsdaten auf der Grundlage von § 100g StPO zu erheben. Auf der Grundlage von § 20a und § 20b PolG NRW dürfen nur die in diesen Befugnissen genannten Rechtsfolgen herbeigeführt werden. Im Prinzip handelt es sich dabei um die Erhebung von Daten mittels technischer Hilfsmittel, die nur dann unter das Fernmeldegeheimnis fallen wie: Geräte- und Kartennummer, Cell-ID, IMSI und IMEI, wenn sie bei einem Telekommunikationsvorgang anfallen und in diesem Zusammenhang automatisch protokolliert werden. [IMEI:] International Mobile Equipment Identity. Diese Nummer wird weltweit nur einmal mit der Kartennummer vergeben und ist allen Netzbetreibern bekannt. [IMSI:] International Mobile Subscriber Identity. Diese internationale Registrierungsnummer ist auf der SIM-Karte gespeichert. Die IMSI dient der eindeutigen Identifizierung von Netzteilnehmern. Die IMSI-Nummer wird weltweit einmalig pro Kunde von den Mobilfunknetzbetreibern vergeben. Die IMSI hat nichts mit der Telefonnummer zu tun, die der SIM-Karte zugeordnet ist. Die IMSI besteht aus maximal 15 Ziffern. Durch den IMSI-Catcher können diese Daten erfasst und der Standort des Mobilfunktelefons dadurch ermittelt werden. Während die IMEI für die Fahndung nach gestohlenen Handys bedeutsam ist, kann mittels der IMSI nach einer Person gefahndet werden. [Cell-ID:] Bei der Cell-ID handelt es sich um eine Kennzahl, die es erlaubt, den Standort eines Mobilfunktelefons, gemeinsam mit dem Location Area Code (LAC) eindeutig einem räumlichen Sektor zuzuordnen. Diese zwei Byte lange Kennung dient dazu, die Verbindungsübergabe zwischen Mobilfunkzellen technisch zu ermöglichen. 1.27 Anwendungsfall Im Zusammenhang mit dem Einsatz von IMSI-Catchern ist es schwierig, Sachverhalte auf der Grundlage von § 20a PolG NRW zu formulieren, die hinreichend praxisrelevant sind. [Beispiel:] Eine junge Frau hat einen Abschiedsbrief hinterlassen. Da die Eltern nicht wissen, wo sich ihre Tochter zurzeit aufhält, ersuchen sie die Polizei um Hilfe. Sie geben an, ihre Tochter schon mehrfach angerufen zu haben, der Anruf sei aber stets weggedrückt worden. Rechtslage? Bereits mit Beschluss vom 10.3.1954 hat der BGH festgestellt, dass Gefahrenlagen, die durch Selbstmordversuche herbeigeführt werden, als Unglücksfälle im Sinne von § 323c StGB anzusehen sind. »Wenn durch einen Selbstmordversuch eine ernste Gefahrenlage für den Selbstmörder entstanden ist, so muss jeder, der hinzukommt, von Gewissens wegen und von Rechts wegen schon um deswillen helfen, weil hier eine schwere Notlage besteht, die nicht dauern darf und der abzuhelfen jedermann verpflichtet ist, der ihrer ansichtig wird. Für die Hilfepflicht des Dritte ist es deswegen auch gleichgültig, ob der Wille, der den Selbstmörder zu seiner Tat trieb, gesund oder krank, entschuldbar oder unentschuldbar war, ob der Selbstmörder die durch den Selbstmordversuch entstandene Gefahrenlage noch beherrscht oder ob er sie, etwa weil er inzwischen bewusstlos geworden ist, nicht mehr beherrscht, ob er die Gefahrenlage d.h. seinen eigenen Tod noch will und das zum Ausdruck bringt oder ob er sie nicht mehr will oder ob er nicht mehr wollen kann. Da jeder Selbstmord - von äußersten Ausnahmefällen vielleicht abgesehen - vom Sittengesetz streng missbilligt ist, da niemand selbstherrlich über sein eigenes Leben verfügen und sich den Tod geben darf, kann das Recht nicht anerkennen, dass die Hilfepflicht des Dritten hinter dem sittlich missbilligten Willen des Selbstmörders zu seinem eigenen Tode zurückzustehen habe. Es hat deswegen auch rechtlich keinen Sinn, zwischen dem Selbstmörder als Täter und dem Opfer seiner Tat zu unterscheiden. Wäre der Wille des Selbstmörders zu seinem eigenen Tode überhaupt zu achten, so wäre er auch dann noch zu achten, wenn der Selbstmörder hilflos oder bewusstlos geworden ist. Der Satz: »volenti non fit iniuria« verliert hier um deswillen seinen Sinn, weil der Selbstmörder nicht befugt ist, aus eigenem Willensentschluss über sein Leben zu verfügen.« In welch einer Notlage sich zurzeit die junge Frau befindet, ist unbekannt. Tatsache aber ist, dass sie einen Abschiedsbrief hinterlassen hat und aus dem Leben scheiden will. Eine Polizei, die anlässlich solch einer bekannt gewordenen Gefahrensituation untätig bleibt, wäre unerträglich. [Was ist zu tun?] Benötigt werden die Standortdaten des Handys, damit eine Ortung möglich wird. Diese Daten können nicht bei der BNetzA, sondern nur beim jeweiligen TK-Anbieter abgefragt werden. Die für solch eine Abfrage erforderliche Gefahrenlage ist gegeben, denn mit hoher Wahrscheinlichkeit ist das Leben der jungen Frau in Gefahr. Es wird davon ausgegangen, dass sofort alle erforderlichen Maßnahmen eingeleitet werden, die zur Ortung des Mobiltelefons erforderlich sind. Da entsprechende Daten bei der BNetzA nicht abgerufen werden können, muss die Polizei für die Ortung eines Handys die Dienste des TK-Anbieters in Anspruch nehmen. Dieser ist unter den Voraussetzungen von § 113 TKG dazu verpflichtet, benötigte Daten zu übermitteln, wenn die Polizei zur Nutzung der übermittelten Daten befugt ist. Für die Ortung eines Mobiltelefons müssen die Voraussetzungen von § 20a PolG NRW greifen. Diese Voraussetzungen sind offenkundig gegeben. [Anordnung:] Aufgrund bestehender Gefahr im Verzug hat der TK-Anbieter die Ortung unverzüglich vorzunehmen. Die Anordnung des Behördenleiters sowie die Vorlage der Anfrage in Textform können nachgereicht werden. [Weitere Vorgehensweise:] Ist das Mobiltelefon der suizidgefährdeten jungen Frau geortet, ist zu entscheiden, ob durch den TK-Anbieter der Standort des Handys so lange »überwacht« wird, bis dass die Polizei die junge Frau gefunden hat, oder aber ein IMSI-Catcher eingesetzt wird, falls dieser verfügbar ist, um sozusagen »bei der Fahrt zum Einsatzort« auf mögliche Ortsveränderungen des Mobiltelefons sofort reagieren zu können. 1.28 Zusammenfassung PolG Die Befugnisse gemäß § 20a und 20b PolG NRW finden Anwendung, wenn benötigte Bestandsdaten bei der BNetzA im Wege des »Automatisierten Auskunftsverfahrens« als »Kundendaten« nicht verfügbar sind. »Der Inhalt der Kundendatei, die der BNetzA zugänglich zu machen ist, wird durch § 112 TKG festgelegt. Die Kundendatei muss die nach § 111 Abs. 1 Satz 1, 3 und 4 und Abs. 2 erhobenen Daten enthalten. Zusätzlich sind in diese Datei auch Rufnummern und Rufnummernkontingente, die zur weiteren Vermarktung oder sonstigen Nutzung an deren Anbieter von Telekommunikationsdiensten vergeben werden, sowie bei portierten Rufnummern die aktuelle Portierungskennung aufzunehmen. Die nach § 95 zu betrieblichen Zwecken erhobenen Daten müssen nicht in der Datei nach § 112 gespeichert sein« [En23].23 Diese Daten (Vertragsdaten wie z.B. PUK, PIN, Kontonummer, Passwort usw.) werden aber von TK-Anbietern erhoben und gespeichert. Es ist davon auszugehen, dass der Zugriff der BNetzA auf diese Kundendaten durch Vorkehrungen ausgeschlossen ist, die im Einzelnen in den »Technischen Richtlinien« enthalten sind. Diesbezügliche Zweifel sind aber angebracht, weil die BNetzA auf alle Bestandsdaten zugreifen kann, die ein TK-Anbieter bei Vertragsabschluss erhebt. Dazu könnte sogar die Kopie des Personalausweises eines Kunden gehören, wenn der TK-Anbieter von dieser ihm zustehenden Möglichkeit Gebrauch macht. [Praxisbedeutung:] Welch eine zahlenmäßige Bedeutung für den polizeilichen Berufsalltag den §§ 20a und 20b PolG NRW beizubemessen sein wird, kann zurzeit nicht beurteilt werden. Entsprechendes Zahlenmaterial wird erst 2016 zur Verfügung stehen, dann nämlich, wenn die Evaluation der im Sommer 2013 neu in das PolG NRW eingeführten Paragraphen abgeschlossen sein wird. 1.29 § 100j StPO Durch das »Gesetz zur Änderung des Telekommunikationsgesetzes und zur Neuregelung der Bestandsdatenauskunft« vom 20. Juni 2013 wurde u.a. die StPO um den § 100j ergänzt und der § 113 TKG neu gefasst. § 100j StPO regelt seitdem die Abfrage von Bestandsdaten zum Zweck der Strafverfolgung, wenn die Anfrage sich an einen TK-Anbieter richtet. [Nicht erfasste Auskunftsersuchen] § 100j StPO findet keine Anwendung, wenn abfrageberechtigte Stellen bei der Bundesnetzagentur (BNetzA) Bestandsdaten abrufen. Bei der BNetzA handelt es sich um eine Behörde und nicht um einen TKAnbieter. Werden von der Polizei Bestandsdaten von der BNetzA eingefordert, dann handelt es sich um Auskunftsersuchen auf der Grundlage von § 163 StPO. Dort heißt es: » Die Behörden und Beamten des Polizeidienstes haben Straftaten zu erforschen und alle keinen Aufschub gestattenden Anordnungen zu treffen, um die Verdunkelung der Sache zu verhüten. Zu diesem Zweck sind sie befugt, alle Behörden um Auskunft zu ersuchen, bei Gefahr im Verzug auch, die Auskunft zu verlangen, sowie Ermittlungen jeder Art vorzunehmen, soweit nicht andere gesetzliche Vorschriften ihre Befugnisse besonders regeln.« Entsprechende Auskunftsersuchen hat die BNetzA nachzukommen und die zur Erfüllung polizeilicher Aufgaben angeforderten Daten im Wege des »Automatisierten Auskunftsverfahrens« bei den TK-Anbietern abzurufen und an die Polizei zu übermitteln. [Beispiel:] An einem Tatort wird von der Polizei ein Mobiltelefon sichergestellt, das der Täter dort offensichtlich verloren hat. Ein Polizeibeamter öffnet das Handy, um die Nummer der »Handykarte« festzustellen (abzulesen), damit durch eine Anfrage an die BNetzA der Anschlussinhaber, bei dem es sich mit hoher Wahrscheinlichkeit um den Tatverdächtigen handeln wird, ermittelt werden kann. Rechtslage? Die Anfrage richtet sich an die BNetzA, nicht an einen TK-Anbieter, der seine Dienste geschäftsmäßig anbietet. Die BNetzA hat auf der Grundlage von § 112 TKG die angeforderten Kundendaten (Name und Anschrift des Anschlussinhabers) bei dem TKAnbieter abzurufen. Das ist unter Verwendung der Kartennummer problemlos möglich. Die BNetzA hat die abgerufenen Daten an die anfragende Polizeidienststelle zu übermitteln. [Kosten für Anfragen:] Im Gegensatz zu Auskunftsersuchen an die BNetzA, die sowohl für abfrageberechtigte Stellen als auch für die BNetzA selbst kostenlos sind, gilt das für Auskunftsersuchen nicht, wenn diese direkt bei den TK-Anbietern eingeholt werden. Die durch solchen Anfragen anfallenden Kosten sind den TK-Anbietern von den anfrageberechtigten Stellen zu erstatten. Werden Auskünfte direkt beim TK- Anbieter eingeholt, sind die eingeforderten Auskünfte von den TK-Anbietern auf der Grundlage von § 113 TKG zu übermitteln. [Anwendung von § 100j StPO:] § 100j StPO steht im engen Zusammenhang mit § 113 TKG. Während es sich bei § 100j StPO um eine Befugnis handelt, die es Strafverfolgungsbehörden erlaubt, Abfragen von TK-Anbietern einzufordern, verpflichtet § 113 TKG die um Datenübermittlung ersuchten TK-Anbieter dazu, angeforderte Daten anfrageberechtigten Stellen zur Verfügung zu stellen. 1.30 § 100j Abs. 1 Satz 1 StPO Bei der o.g. Regelung der StPO handelt es sich um eine allgemeine Informationsbeschaffungsbefugnis. Auf der Grundlage von § 100j Abs. 1 Satz 1 StPO dürfen nur Auskünfte über die im § 111 TKG benannten Bestandsdaten eingefordert werden. Gleiches gilt für die Übermittlung von IP-Adressen, die zu einem bestimmten Zeitpunkt einem Endgerät zugeordnet waren. Ein richterlicher Beschluss ist dafür nicht erforderlich. Anordnungsbefugt ist jeder örtlich und sachlich zuständige Polizeibeamte. Da es sich bei Bestandsdatenabfragen auf der Grundlage von § 100j Abs. 1 Satz 1 StPO um auf Einzelfälle beschränkte Anfragen handelt, wird nur geringfügig in das Recht auf informationelle Selbstbestimmung eingegriffen. Dennoch können Anfragen nur dann zulässig sein, wenn sie zur Erforschung des Sachverhalts oder für die Ermittlung des Aufenthaltsortes eines Beschuldigten erforderlich sind. »Ermittlungen ins Blaue« (ohne hinreichenden Anfangsverdacht) erlaubt das Gesetz nicht. [Bestandsdaten:] Was unter Bestandsdaten zu verstehen ist, regelt § 3 TKG. Danach sind »Bestandsdaten« Daten eines Teilnehmers, die für die Begründung, die inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über TK-Dienste vom TK-Anbieter erhoben werden. Welche Bestandsdaten an anfrageberechtigte Stellen von den TK-Anbietern zu übermitteln sind, ist im § 111 TKG (Daten für Auskunftsersuchen der Sicherheitsbehörden) geregelt. Dort heißt es: Wer geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt und dabei Rufnummern oder andere Anschlusskennungen vergibt oder Telekommunikationsanschlüsse für von anderen vergebene Rufnummern oder andere Anschlusskennungen bereitstellt, hat für die Auskunftsverfahren nach den §§ 112 und 113 TKG • • • • • die Rufnummern und anderen Anschlusskennungen den Namen und die Anschrift des Anschlussinhabers bei natürlichen Personen deren Geburtsdatum bei Festnetzanschlüssen auch die Anschrift des Anschlusses in Fällen, in denen neben einem Mobilfunkanschluss auch ein Mobilfunkendgerät überlassen wird, die Gerätenummer dieses Gerätes sowie • das Datum des Vertragsbeginns unter den Voraussetzungen von § 113 TKG zur Verfügung zu stellen. Sinngemäß heißt es dort: »Die Auskunft darf nur erteilt werden, soweit eine anfrageberechtigte Stelle dies in Textform im Einzelfall zum Zweck der Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung unter Angabe einer gesetzlichen Bestimmung verlangt, die ihr eine Erhebung der zu übermittelnden Daten selbst erlauben würde. Die Verantwortung für die Zulässigkeit des Auskunftsverlangens tragen die anfragenden Stellen. Die in diesem Absatz benannten Bestandsdaten sind von den TK-Anbietern den Strafverfolgungsbehörden zu übermitteln.« [Vorrang kostenloser Auskunftsersuchen:] Da kostenlose Anfragen mit gleichem Ergebnis durch die Inanspruchnahme der BNetzA eingeholt werden können, wird die Polizei diesen »Ermittlungsweg« zu bevorzugen haben, da alle Behörden zur sparsamen Haushaltsführung verpflichtet sind. Unabhängig davon liegen aber auch die Voraussetzungen vor, um die Bestandsdaten (gegen Erstattung der Kosten) direkt beim jeweiligen TK-Anbieter anzufordern, wenn die Daten zum Zweck der Erforschung eines Sachverhalts oder zur Ermittlung des Aufenthaltsortes eines Beschuldigten benötigt werden. Einer richterlichen Anordnung bedarf es dafür nicht. [Textform:] Das Auskunftsersuchen bedarf der Textform. Was unter »Textform« zu verstehen ist, regelt § 126b BGB. »Danach muss die Erklärung in einer Urkunde oder auf andere zur dauerhaften Wiedergabe in Schriftzeichen geeignete Weise abgegeben werden. Zudem muss die Person des Erklärenden genannt und der Abschlusserklärung durch Nachbildung der Unterschrift oder anders erkennbar gemacht werden. Im Unterschied zur Schriftform bedarf es keiner eigenhändigen Unterschrift. Erfasst sind daher auch Nachrichten per Telefax oder Briefe ohne Unterschrift, E-Mail oder auch SMS« [En24].24 [Anordnung und Kosten:] Bestandsdatenabfragen auf der Grundlage von § 100j Abs. 1 Satz 1 StPO bedürfen keiner richterlichen Anordnung. Sie können von jedem Polizeibeamten veranlasst werden. Kosten, die dem TK-Anbieter entstehen, sind von der Polizei zu erstatten. Deren Berechnung erfolgt auf der Grundlage von § 23 des Justizvergütungs- und Entschädigungsgesetzes (§ 23 JVEG). [Beispiel:] Am Tatort wird ein Handy aufgefunden, das der Täter dort offensichtlich verloren oder liegengelassen hat. Dürfen die Bestandsdaten des Anschlussinhabers in diesem Fall auf der Grundlage von § 100j Abs. 1 Satz 1 StPO festgestellt werden? Eine Bestandsdatenabfrage erlaubt es der Polizei, sowohl den Namen als auch die Anschrift des Anschlussinhabers zu ermitteln, wenn Daten zur Verfügung stehen, die solch eine Abfrage ermöglichen. Solche Daten stehen in jedem Mobiltelefon zur Verfügung. Um dort vorhandene, personenbezogene Daten erheben zu können, ist es nur erforderlich, das Mobiltelefon zu öffnen und die Nummer der Handykarte zu notieren. Das Erheben dieser Daten ist auf der Grundlage von § 163b StPO zulässig. Danach können zum Zweck der Identitätsfeststellung die einem Tatverdächtigen gehörenden Sachen durchsucht werden, um dessen Identität festzustellen. Hier wird lediglich der physikalische Teil eines Mobiltelefons nach entsprechenden Informationen durchsucht, so dass eine »Durchsuchung« der Daten, die in den Speichermedien des Mobiltelefons vorhanden sind, nicht erforderlich ist. Dafür wäre im Übrigen grundsätzlich vorab eine richterliche Anordnung einzuholen, weil dafür die PIN benötigt wird. Für das Ablesen der Handykartennummer gilt das nicht, die ist auf der Handykarte aufgedruckt und braucht nur abgelesen zu werden. Die Polizei kann somit die Kartennummer verwenden, um den Anschlussinhaber zu ermitteln. [Ergebnis:] Eine solche Bestandsdatenauskunft ist auf der Grundlage von § 100j Abs. 1 Satz 1 StPO zulässig. Einer richterlichen Anordnung bedarf es dazu nicht. Zur Vermeidung von Kosten dürfte es aber sinnvoller sein, die Dienste der BNetzA in Anspruch zu nehmen, weil dort Bestandsdatenabfragen kostenlos durchgeführt werden. [Beispiel:] Anlässlich einer Schlägerei soll die Identität eines Tatverdächtigen festgestellt werden. Der Mann verweigert jegliche Auskunft zur Person. Er führt keine Ausweispapiere mit sich, ist aber im Besitz eines Mobiltelefons, das zurzeit nicht aktivgeschaltet ist. Da die Identität des Mannes vor Ort nicht festgestellt werden kann, wird er der Polizeiwache zugeführt. Dort wird das Handy geöffnet, um unter Verwendung der Kartennummer eine Bestandsdatenabfrage durchzuführen. Rechtslage? [Ergebnis:] Die Voraussetzungen von § 100j Abs. 1 Satz 1 StPO sind gegeben, so dass beim jeweiligen TK-Anbieter die benötigten Bestandsdaten gegen Erstattung der Kosten abgerufen werden können. Die gleichen Daten können aber auch mittels einer Bestandsdatenabfrage im »Automatisierten Auskunftsverfahren« bei der BNetzA (kostenlos) in Erfahrung gebracht werden. 1.31 § 100j Abs. 1 Satz 2 StPO Bezieht sich das Auskunftsverlangen auf Daten, mittels derer der Zugriff auf Endgeräte oder auf Speichereinrichtungen, die in diesen Endgeräten oder hiervon räumlich getrennt eingesetzt werden, geschützt sind, darf die Auskunft von TK-Anbietern nur verlangt werden, wenn die gesetzlichen Voraussetzungen für die Nutzung der Daten vorliegen. Mit anderen Worten: Wenn es darum geht, Zugang zu den auf dem Mobiltelefon gespeicherten Daten zu bekommen und diese zu sichten, oder aber Zugang zu Daten zu bekommen, die außerhalb des Mobiltelefons (Cloud, virtueller Speicher etc.) vorgehalten werden, sind besondere, restriktive Regeln zu beachten. Auskünfte über diese Daten dürfen nur auf Antrag der Staatsanwaltschaft durch das Gericht angeordnet werden. Bei Gefahr im Verzug auch durch die Staatsanwaltschaft oder ihre Ermittlungspersonen. [Sensible Bestandsdaten:] Bei den im § 100j Abs. 1 Satz 2 StPO bezeichneten Daten handelt es sich um sensible Bestandsdaten. In diesem Zusammenhang gesehen ist anzumerken, dass diese Daten nur dann Bestandsdaten sind, wenn sie in dem Kontext bewertet werden, der für die Definition von Bestandsdaten üblich ist (§ 3 TKG). Werden diese Daten in einem anderen Kontext verwendet, dann kann es sich bei den gleichen Daten auch um Verkehrsdaten handeln. Das setzt dann aber voraus, dass die Daten zur Abwicklung einer konkreten Telekommunikationsverbindung verwendet und bei der Durchführung von Telekommunikationsdiensten protokolliert werden. Geschützte Daten: • Daten, die den Zugriff auf Endgeräte oder Speichereinrichtungen ermöglichen: • Sicherungs- und Zugriffscodes wie PIN und PUK • Zugriff auf IP-Adressen. Diese Daten dürfen von abfrageberechtigten Stellen nur dann eingefordert werden, wenn die Voraussetzungen für die Nutzung der Daten gegeben sind. Das wiederum setzt voraus, dass die abfragende Stelle durch eine Befugnis dazu ermächtigt ist, auf diese sensiblen Bestandsdaten (Verbindungsdaten) zugreifen zu dürfen. In der BT-Drucksache vom 9.1.2013 - 17/12034, Seite 13, heißt es diesbezüglich u.a.: »Für solche Daten darf die Auskunft nur verlangt werden, wenn die gesetzlichen Voraussetzungen für die Nutzung dieser Daten vorliegen. Mit dieser Regelung soll den Vorgaben des Bundesverfassungsgerichts in seinem Beschluss vom 24. Januar 2012 zu den Voraussetzungen des Zugriffs auf solche Zugangssicherungscodes entsprochen werden (Absatz 183 ff.)«. [Beispiel:] Im Stadtgebiet hat es in den letzten Monaten eine Vielzahl von Brandanschlägen auf Pkw gegeben. Mehr als 50 Fahrzeuge wurden in Brand gesteckt. Offensichtlich handelt es sich um mehrere Täter, denn oftmals wurden zeitgleich Pkw an verschiedenen Orten angezündet, so dass davon auszugehen ist, dass die Täter mit Mobiltelefonen miteinander kommunizieren. Heute gelingt es der Polizei, einen Täter auf frischer Tat zu stellen. Der Mann gibt an, mit der Serie nichts zu tun zu haben. Er habe es nur einmal ausprobieren wollen (Trittbrettfahrer). Der Mann führt ein Smartphone mit sich, das beschlagnahmt und entsprechend ausgewertet werden soll. Rechtslage? Um Zugang zu den Daten zu erhalten, die möglicherweise auf dem Smartphone gespeichert sind, ist die PIN erforderlich. Bei der PIN handelt es sich um ein »sensibles« Bestandsdatum. Eine Abfrage dieser Daten setzt voraus, dass das für die Erforschung des Sachverhalts erforderlich ist und die Voraussetzungen für die Nutzung der Daten vorliegen. Eine Abfrage der PIN bei einem TK-Anbieter setzt grundsätzlich eine richterliche Anordnung voraus (§ 100j Abs. 3 StPO). Nur durch die Sichtung der Daten, die auf dem Smartphone möglicherweise gespeichert sind, kann festgestellt werden, ob der Mann zu den anderen, namentlich noch nicht bekannten Tätern, Kontakte unterhält. Die Voraussetzungen für eine Nutzung dieser Daten sind gegeben, wenn es der Polizei erlaubt ist, die Datenspeicher des Smartphones zu durchsuchen. Davon kann ausgegangen werden, weil das Smartphone als Beweismittel beschlagnahmt werden konnte und auch die Voraussetzungen für eine Durchsuchung des Geräts einschließlich der Datenspeicher (§§ 102, 110 StPO) greifen. Da all diese Maßnahmen grundsätzlich einem Richter vorbehalten sind und nur bei Gefahr im Verzuge auch von Ermittlungspersonen der StA veranlasst werden können, bleibt in diesem Sachzusammenhang nur festzustellen, dass § 100j Abs. 2 StPO als selbständige Einzelmaßnahme gar nicht denkbar ist. Damit »sensible« Bestandsdaten auf der Grundlage dieser Befugnis »abgefragt« werden können, sind immer weitergehende Prüfschritte erforderlich (siehe oben). In diesem Beispiel ist davon auszugehen, dass eine richterliche Anordnung eingeholt wird, um alle Maßnahmen, die im Zusammenhang mit dem Mobiltelefon zu treffen sind, unter Beachtung gesetzlicher Vorgaben erfolgen. [Hinweis:] Hier wird davon ausgegangen, dass die Beschlagnahme des Mobiltelefons durch eine Ermittlungsperson der StA (Polizeibeamter) aufgrund bestehender Gefahr im Verzug in amtliche Verwahrung genommen wurde und im Anschluss daran unverzüglich eine richterliche Anordnung erwirkt wird, um Zugang zu den auf dem Mobiltelefon gespeicherten Daten erlangen zu können. [IP-Adressen:] § 100j Abs. 2 StPO stellt klar, dass auch die Übermittlung von IP-Adressen verlangt werden kann, wenn diese zu einem bestimmten Zeitpunkt einem Endgerät zugewiesen wurden. Da in dieser Regelung auf § 113 TKG Bezug genommen wird, ist davon auszugehen, dass Auskünfte über IP-Adressen nur im Einzelfall eingefordert werden dürfen. [Virtuelle Datenspeicher:] Damit sind Datenspeicher gemeint, die der jeweilige TKAnbieter seinen Kunden im Internet zur Verfügung stellt. Insoweit besteht eine Regelungslücke hinsichtlich ausgelagerter Daten bei anderen Anbietern (Cloud, Datenwolken, Dropbox), insbesondere dann, wenn diese Daten auf Servern vorgehalten werden, die nicht dem deutschen Recht unterliegen. »Hat man eine Datei zur Dropbox hochgeladen, kann man sie von jedem ans Internet angeschlossenen Computer abrufen werden. Das System dient der Online-Datenspeicherung, aber auch dem Austausch von Daten zwischen verschiedenen Personen. Der Zugriff auf die Dropbox ist im Browser und mit Hilfe von Anwendungen (Apps) für verschiedene Betriebssysteme möglich. Dropbox ist ein reiner Speicherdienst und ermöglicht kein Cloud Computing, also das Ausführen von Programmen auf dem entfernten Rechner. Dropbox Inc. hat seinen Sitz in den Vereinigten Staaten von Amerika« [En25]. 25 1.32 Anordnung und Formvorschriften Diesbezüglich ist der Wortlaut von § 100j StPO eindeutig. Dort heißt es im Absatz 3: »Auskunftsverlangen nach Absatz 1 Satz 2 (sensible Bestandsdaten = AR) dürfen nur auf Antrag der Staatsanwaltschaft durch das Gericht angeordnet werden. Bei Gefahr im Verzug kann die Anordnung auch durch die Staatsanwaltschaft oder ihre Ermittlungspersonen (§ 152 des Gerichtsverfassungsgesetzes) getroffen werden. In diesem Fall ist die gerichtliche Entscheidung unverzüglich nachzuholen.« Das Gesetz weist darauf hin, dass bei rechtfertigender Einwilligung des Anschlussinhabers eine richterliche Anordnung nicht erforderlich ist, eine solche Einwilligung jedoch aktenkundig zu machen ist. Aus datenschutzrechtlichen Gründen hat die Einwilligung immer schriftlich zu erfolgen. Ob durch diese gesetzliche Regelung den Vorgaben des BVerfG entsprochen, möglicherweise diese sogar überboten wurden, wird davon abhängen, wie der Beschluss des BVerfG vom 24. Januar 2012 (1 BvR 1299/05) gelesen und interpretiert wird. Werden sensible Bestandsdaten zum Beispiel eingefordert, um auf der Grundlage von § 100a StPO die Telekommunikation zu überwachen (TKÜ) oder Verkehrsdaten zu erheben (§ 100g StPO), dann dürfte es völlig unproblematisch sein, die dafür benötigten sensiblen Bestandsdaten im Rahmen solcher »weitergehenden« Überwachungsmaßnahmen sozusagen gleich mit anordnen zu lassen. Für den Antrag eines solchen richterlichen Beschlusses reichen die üblichen Bestandsdaten aus, um den Beschuldigten, bzw. die Anschlussinhaber benennen zu können, gegen den sich z.B. TKÜ-Maßnahmen richten sollen. Sollen sensible Bestandsdaten erhoben werden, dann wäre solch ein Antrag lediglich um dieses kleine Detail entsprechend zu modifizieren. [Beschlagnahmte Mobiltelefone:] Werden die o.a. sensiblen Bestandsdaten (Zugangsdaten, PIN und PUK) benötigt, um die Daten einsehen zu können, die sich auf einem bereits aufgrund eines richterlichen Beschlusses beschlagnahmten Mobiltelefons befinden, kann in solch einem Fall auf einen erneuten richterlichen Beschluss verzichtet werden. »Ein richterlicher Beschluss ist ausnahmsweise entbehrlich, wenn die Nutzung der Zugangssicherungscodes bereits durch eine richterliche Entscheidung, wie etwa durch einen entsprechenden Beschlagnahmebeschluss der gesicherten Daten, gestattet wurde oder der Betroffene Kenntnis vom Herausgabeverlangen hat oder haben muss« [En26].26 [Beispiel:] Anlässlich eines Ermittlungsverfahrens wurde gegen einen Beschuldigten ein Durchsuchungsbeschluss erwirkt, um Beweismittel beschlagnahmen zu können, bei denen es sich vorrangig um Datenträger und PC handelt. Während der Durchsuchung versucht der Beschuldigte, zwei Smartphones in »Sicherheit« zu bringen. Gegen den ausdrücklichen Widerspruch des Beschuldigten werden die Smartphones beschlagnahmt. Rechtslage? Bei Smartphones handelt es sich nicht nur um Datenträger, sondern auch um Geräte, die, gleichermaßen wie PC, vielfältige Aktivitäten im Internet ermöglichen. Auch wenn diese Geräte im Durchsuchungsbeschluss als zu beschlagnahmende Gegenstände nicht ausdrücklich benannt sein sollten, können diese Geräte beschlagnahmt werden, zumal durch das Verhalten des Beschuldigten sichtbar wird, dass sich dort durchaus belastendes Material befinden kann. Fraglich ist, ob ein erneuter richterlicher Beschluss erforderlich ist, damit sich die Polizei Zugang zu den Speicherreinrichtungen der Smartphones (Endgeräte) verschaffen kann. Das ist nicht erforderlich. In der bereits o.g. BTDrucksache heißt es: »Ein richterlicher Beschluss ist ausnahmsweise entbehrlich, wenn die Nutzung der Zugangssicherungscodes bereits durch eine richterliche Entscheidung, wie etwa durch einen entsprechenden Beschlagnahmebeschluss der gesicherten Daten, gestattet wurde oder der Betroffene Kenntnis vom Herausgabeverlangen hat oder haben muss.« [Benachrichtigungspflicht:] Betroffene Personen sind über die Beauskunftung zu benachrichtigen, wenn sensible Bestandsdaten abgefragt wurden. Die Benachrichtigung erfolgt, soweit und sobald hierdurch der Zweck der Auskunft nicht vereitelt wird. Sie unterbleibt, wenn ihr überwiegende schutzwürdige Belange Dritter oder der betroffenen Person selbst entgegenstehen. Zuständig dafür ist die StA, die den Antrag gestellt hat. Im o.g. Beispiel bedarf es keiner nachträglichen Benachrichtigung, weil der Beschuldigte zugegen ist. [Fazit:] Derjenige, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, hat die zur Auskunftserteilung erforderlichen Daten abfrageberechtigten Stellen unverzüglich zu übermitteln. Die Verantwortung für die Zulässigkeit der Abfrage liegt bei der auskunftsersuchenden Stelle. Können benötigte Daten bei der BNetzA abgerufen werden, sollte diese Möglichkeit vorrangig genutzt werden. Die Abfrage »sensibler« Bestandsdaten für sich allein gesehen macht keinen Sinn, da das Abfragen dieser Daten voraussetzt, dass die Polizei sie auch nutzen darf. Das wiederum setzt voraus, dass sie die Daten erheben durfte. Dazu bedarf sie einer Ermächtigung. Im Zusammenhang mit einer Bestandsdatenerhebung auf der Grundlage von § 100j Abs. 1 Satz 2 StPO wird es sich meist um Fälle handeln, die im Zusammenhang mit Maßnahmen der Überwachung der Telekommunikation stehen, oder im Zusammenhang mit der Beschlagnahme von PC, Tablets, Laptops oder anderen Datenträgern erforderlich werden. [Beispiel:] Gegen einen Beschuldigten soll sich eine Überwachung der Telekommunikation auf der Grundlage von § 100a StPO richten. Damit der Antrag auf TKÜ beim zuständigen Gericht überhaupt gestellt werden kann, müssen zumindest der Name, die Anschrift und die Anschlussnummer(n) bekannt sein, die überwacht werden sollen. Rechtslage? Diesbezügliche Auskünfte über einen Beschuldigten können sowohl bei der BNetzA als auch auf der Grundlage von § 100j Abs. 1 Satz 1 StPO eingeholt werden. Ist abzu- sehen, dass der Zugriff auf Endgeräte oder auf Speichereinrichtungen erforderlich wird, sollte dieses Detail mit in den Antrag aufgenommen werden. Im Übrigen kann davon ausgegangen werden, dass, wenn ein Richter eine TKÜ angeordnet hat, damit auch der Zugriff auf Endgeräte und auf Speichereinrichtungen zulässig wird, gegen die sich diese Maßnahme richtet. Andererseits spricht für die Qualität eines Antrages nicht nur der Nachweis der »rechtlichen Voraussetzungen«, sondern auch die Bezeichnung der Daten, die zur Beweisführung benötigt werden. [Schlussanmerkung:] Welche pauschalen Vorwürfe rechtswidrigen Einschreitens sich die Polizei vorhalten lassen musste, kann an anderer Stelle auf dieser Website nachgelesen werden: Öffnen Sie bitte den folgenden Link, wenn Sie online sind, um sich selbst davon zu überzeugen, was zur »Rechtswidrigkeit« einer von vier Funkzellenabfragen in Dresden führte: Funkzellenabfrage in Dresden Manchmal sind es wirklich nur »Kleinigkeiten« die von der Presse in der Öffentlichkeit fehlerhaft dargestellt werden und so der Eindruck entsteht, dass die Polizei sich nicht an geltendes Recht hält. Ein solcher pauschaler Vorwurf ist unangemessen. 2. Quellen Endnote 01 Beschluss: BVerfG - https://www.bundesverfassungsgericht.de/entscheidungen/ rs20120124_1bvr129905.html Zurück Endnote 02 Vorratsdatenspeicherung http://www.bverfg.de/pressemitteilungen/bvg10-011.html Zurück Endnote 03 Rechtswidriges Speichern von Verbindungsdaten durch Provider - http://www.vorratsdatenspeicherung.de/component/option,com_frontpage/Itemid,1/lang,de/ Zurück Endnote 04 Verfassungsbeschwerde gegen Neuregelungen des TKG: http://www.lto.de/recht/nachrichten/n/tmg-neuregelung-bestandsdatenauskunft-piraten-verfassungsbeschwerdedav/ Zurück Endnote 05 Bestandsdaten: Geppert/Schütz - Beck´scher TKG-Kommentar, 4. Auflage, 2013, S. 2220, Rn. 5 Zurück Endnote 06 Löschungspflicht Verkehrsdaten: Geppert/Schütz - Beck´scher TKG-Kommentar, 4. Auflage, 2013, S. 2233, Rn. 20 Zurück Endnote 07 Verbindungsdaten - http://www.hrr-strafrecht.de/hrr/archiv/09-03/index.php?sz=10#_ftn15 Zurück Endnote 08 Standortkennung: http://www.chip.de/artikel/Handy-orten-Infos-Dienste-Gegenmittel-2_50209725.html Zurück Endnote 09 Einsatz von IMSI-Catchern - Urteil des Zweiten Senats vom 2. März 2006 - 2 BvR 2099/04 - Rn. 13 ff. - http://www.bverfg.de/entscheidungen/ rs20060302_2bvr209904.html Zurück Endnote 10 Zitiert nach: http://www.daten-speicherung.de/index.php/kommentar-bundesverfassungsgericht-zum-imsi-catcher/ Zurück Endnote 11 Aufbau einer IP-Adresse: http://alp.dillingen.de/netacad/curriculum/vernetzung/ k-8-4.html Zurück Endnote 12 Pressemeldung des LG Köln: Keine Downloads, sondern Streamings. Die Kammer hat in Abweichung der ursprünglichen Entscheidung darauf hingewiesen, dass im Antrag der Antragstellerin von „Downloads“ die Rede war, während es sich tatsächlich - wie sich später herausstellte - um den Abruf von Videos auf einer StreamingPlattform handelte, was im Gegensatz zum Download keinen rechtswidrigen Verstoß im Sinne des Urheberrechts darstellen soll. Weiter hat die Kammer klargestellt, dass keine nur dem Urheber erlaubte Vervielfältigung i.S.d. § 16 des Urheberrechtsgesetzes (UrhG) vorliege. Die Kammer hat darüber hinaus angedeutet (LG Köln – Beschluss vom 24.01.2014, Az.: 209 O 188/13), dass ihre Entscheidung auch Bedeutung für ein Beweisverwertungsverbot in einem Hauptsacheverfahren, beispielsweise über die Berechtigung der Abmahnkosten, haben könnte. http://www.lg-koeln.nrw.de/presse/ Pressemitteilungen/2014_01_27---Entscheidungen-in-Streaming-Abmahnungsfaellen.pdf Zurück Endnote 13 Zitiert nach: Geppert/Schütz - Beck´scher TKG-Kommentar, 4. Auflage, 2013, S. S. 2444, Rn. 29 Zurück Endnote 14 Dynamische IP-Adresse: Satzer - Schluckebier - Widmaier - StPO - Kommentar, Carl Heymanns Verlag, Auflage 1, 2014, S. 502, Rn 11.) Zurück Endnote 15 Zitiert nach: Meyer-Goßner: StPO 2013 - Beck-Verlag, S. 427 Rn. 4 Zurück Endnote 16 Zitiert nach: Meyer-Goßner: StPO 2013 - Beck-Verlag, S. 427 Rn. 4 Zurück Endnote 17 Zitiert nach: Juraforum - http://www.juraforum.de/lexikon/textform Zurück Endnote 18 Gemeine Gefahr: BUNDESSOZIALGERICHT Urteil vom 13.9.2005, B 2 U 6/05 R http://www.lumrix.de/gesetze/bsg_urteile/bsg_358.php Zurück Endnote 19 Gemeine Gefahr - (Dreher/Tröndle - StGB, 45. Auflage S. 1317, Rn. 36). Zurück Endnote 20 Standortdaten: VG Darmstadt Beschluss vom 16.11.2000 (3 E 915/99) http://www.ejura-examensexpress.de/online-kurs/ entsch_show_neu.php?Alp=1&dok_id=4942 Zurück Endnote 21 Einlogdaten eines Handys unterliegen nicht dem Fernmeldegeheimnis - Bundesverfassungsgericht mit Beschluss vom 22.08.2006 (Az. 2 BvR 1345/03) Zurück Endnote 22 Sprachdokumentation in Leitstellen und Befehlsstellen der Polizei RdErl. d. Ministeriums für Inneres und Justiz v. 26.11.1998 - IV C 2/D 4/A 5-6010/8435/8451 https://recht.nrw.de/lmi/owa/ br_bes_text?anw_nr=1&gld_nr=2&ugl_nr=2054&bes_id=3239&val=3239&ver=7&sg=0& aufgehoben=N&menu=1 Zurück Endnote 23 Kundendaten: Geppert/Schütz - Beck´scher TKG-Kommentar, 4. Auflage, 2013, S. 2488, Rn. 13 Zurück Endnote 24 Zitiert nach: Juraforum - http://www.juraforum.de/lexikon/textform Zurück Endnote 25 Dropbox: Zitiert nach http://de.wikipedia.org/wiki/Dropbox Zurück Endnote 26 Beschlagnahmte Mobiltelefone - BT-Drucksache vom 20.03.2012 - 17/12879, S. 16 Zurück