Auf die Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020 hin haben sich Bundestag und Bundesrat auf zahlreiche Änderungen am »Gesetz zur Anpassung der Regelungen über die Bestandsdatenauskunft« geeinigt. Die Hürden für eine Herausgabe von Passwörtern, Nutzungs- und Kundendaten wurden darin erhöht.
Mit Beschluss vom 27. Mai 2020 (Az. 1 BvR 1873/13 und 1 BvR 26 18/139) hat das Bundesverfassungsgericht unter anderem auf Betreiben von Patrick Breyer, Europaabgeordneter der Piraten-Partei, § 113 TKG und mehrere Fachgesetze des Bundes wegen Verletzung von Grundrechten auf informationelle Selbstbestimmung sowie auf Wahrung des Telekommunikationsgeheimnisses für verfassungswidrig erklärt. Die darin geregelte, manuelle Bestandsdatenauskunft ermöglicht es Sicherheitsbehörden, von Telekommunikationsunternehmen Auskunft insbesondere über den Anschlussinhaber eines Telefonanschlusses oder einer zu einem bestimmten Zeitpunkt zugewiesenen IP-Adresse zu erlangen. Zu den Bestandsdaten gehören personenbezogene Daten der Kunden, die im Zusammenhang mit dem Abschluss oder der Durchführung von Verträgen stehen. Eine Auskunft über Bestandsdaten wie Name, Geburtsdatum, Adresse oder Telefonnummer sei zwar nicht per se verfassungswidrig, die gesetzlichen Regelungen des § 113 TKG seien jedoch zu unbestimmt und zu weit gefasst und daher nicht verhältnismäßig.
Auch Auskünfte über Daten, deren Aussagekraft und Verwendungsmöglichkeiten eng begrenzt sind, dürfen nicht ins Blaue hinein zugelassen werden,
so das Gericht.
Die jetzt im Vermittlungsausschuss gefundene Neuregelung sieht strengere Voraussetzungen für die Auskunft über Nutzungsdaten und die Herausgabe von Passwörtern an Strafverfolgungsbehörden vor. So sind insbesondere Auskünfte zu Nutzungsdaten, wozu unter anderem auch URLs von gelesenen Internetseiten zählen, im repressiven Bereich nur für die Verfolgung von Straftaten, nicht jedoch für die Verfolgung von Ordnungswidrigkeiten möglich. Ausserdem wird klargestellt, dass nur bei Vorliegen einer bestimmten, besonders schweren Straftat eine Passwortherausgabe in Betracht kommt; dazu zählen unter anderem Hochverrat, die Bildung krimineller oder terroristischer Vereinigungen, Verbreitung, Erwerb und Besitz kinderpornografischer Inhalte sowie Mord und Totschlag. Darüber hinaus sollen Telemediendienstanbieter Auskunft zu den ihnen vorliegenden Bestandsdaten nicht zur Verfolgung aller Ordnungswidrigkeiten, sondern nur zur Verfolgung besonders gewichtiger Ordnungswidrigkeiten erteilen dürfen.
Mit Blick auf dieses Gesetzgebungsverfahren hatte Bundespräsident Frank-Walter Steinmeier zwei Gesetze zunächst nicht ausgefertigt, die Bezug zur Bestandsdatenübermittlung haben. Das Gesetz zur Bekämpfung von Rechtsextremismus und Hasskriminalität sieht ebenfalls eine Bestandsdatenauskunft vor. Anbieter müssen danach strafbare Inhalte direkt an das Bundeskriminalamt melden. Damit müssen Personen, die Hassbotschaften verbreiten oder Menschen bedrohen, künftig mit schärferer Verfolgung rechnen. Soziale Netzwerke wie Facebook oder Twitter müssen entsprechende Posts künftig nicht mehr nur löschen, sondern auch an das Bundeskriminalamt melden. Dieses soll die gemeldeten Inhalte prüfen und anhand der ebenfalls gemeldeten IP-Adresse Bestandsdaten erheben, mit denen der Nutzer identifiziert werden kann. So kann das Bundeskriminalamt auch anonyme Inhalte zuordnen.