Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

2         Datenschutz − bundesweit

Die Musik beim Datenschutz spielte im Jahr 2010 vor allem im nationalen Bereich. Waren die Jahre 2008 und 2009 noch geprägt von der öffentlichen Über­raschung über die Möglichkeiten und Risiken der Informationstechnik und von der Empörung über deren gesellschafts­schädliche Nutzung, etwa durch tele­kommunikativ aktive Abzocker, durch Vorstände von Großkonzernen oder durch dubiose Sicherheitsfirmen, so ist dies der Suche nach den dahinterstehen­den Problemen und Lösungen gewichen. Diese Problem- und Lösungsorientie­rung äußerte sich in der Koalitionsvereinbarung auf Bundesebene, in der Ein­richtung einer Enquetekommission des Bundestages (32. TB, Tz. 2.2), in einem Gesetzentwurf zum Beschäftigtendatenschutz (Tz. 5.1), in Vorbereitungen für eine Stiftung Datenschutz (Tz. 2.3), in „14 Thesen zu den Grundlagen einer gemeinsamen Netzpolitik der Zukunft“ des Bundesinnenministers, in Gesetzes­initiativen zu Veröffentlichungen im Internet oder in ersten Versuchen der Selbst­regulierung der Internetwirtschaft (Tz. 2.2).

Nun lässt sich nicht behaupten, dass sämtliche Versuche, Anworten auf die neuen Herausforderungen zu geben, ins Schwarze getroffen hätten. Ein Beispiel hierfür sind die 14 Thesen des Bundesinnenministers: Diese basieren darauf, dass die Selbstregulierung Vorrang vor staatlicher Normierung haben soll. So berechtigt die Kritik an den bisherigen detaillistischen Regulierungsversuchen der Informa­tionstechnik ist, so unbegründet ist die Hoffnung, dass eine profitorientierte Wirt­schaft von sich aus gemeinsame Werte verfolgen würde, die in den Thesen zutref­fend benannt werden: „Freiheit, Selbstbestimmung und Eigenverantwortung, Gebot des gegenseitigen Respekts und der Rücksichtnahme sowie der Chan­cengleichheit und Solidarität“. Es ist unrealistisch, von der Wirtschaft zu erwarten – so der Minister anlässlich des Spitzengesprächs „Digitalisierung von Stadt und Land“ im September 2010 –, „nicht danach zu streben, den gesetzlichen Rahmen stets zugunsten ihres Geschäftes auszuschöpfen“. Zwar ist es richtig, dass vor der Schaffung neuer Gesetze die Anwendung der bestehenden zur Lösung neuer Probleme versucht werden sollte. Gerade im Bereich des Datenschutzes hat sich aber gezeigt, dass unser aus den 90er-Jahren stammendes Recht keine adäquaten Antworten auf die brennenden Probleme geben kann. Nur ein verbindlicher gesetzlicher Rahmen kann eine valide Grundlage für Selbstregulierung sein.

2.1         „Ein modernes Datenschutzrecht für das 21. Jahrhundert“

Auf Initiative des Bundesbeauftragten für den Datenschutz und die Informations­freiheit (BfDI) formte sich Mitte 2009 eine Arbeitsgruppe zur Erarbeitung von Vorschlägen für eine umfassende Modernisierung des Datenschutzrechts. Im März 2010 wurde als Ergebnis das Eckpunktepapier „Ein modernes Daten­schutzrecht für das 21. Jahrhundert“ vorgelegt. Um das Datenschutzrecht an die technische Entwicklung anzupassen, schlagen die Datenschutzbeauftragten des Bundes und der Länder eine Reihe von rechtlichen Änderungen vor. Gefordert werden z. B. eine verstärkte rechtliche Kontrolle von Profilbildungen oder eine effektive Regelung der Datenverarbeitung bei Cloud Computing. Die technisch-organisatorischen Maßnahmen sollen an dem Konzept von Schutzzielen ausge­richtet werden. Die Betroffenenrechte sind zu stärken. Die Einwilligung soll ihrem eigentlichen Sinn entsprechend eine freiwillige Willenserklärung sein. Insbesondere im Hinblick auf das Internet und die dadurch drohenden Gefähr­dungen schlägt das Papier spezifische bestimmte Maßnahmen vor. Dazu gehört „Privacy by Default“, d. h., Internetdienste müssen in der Grundeinstellung standardmäßig ein Optimum an Datenschutz bieten, von dem nur durch Einzel­entscheidung des Nutzers abgewichen werden kann.

Das ULD leistete zu dem Eckpunktepapier Beiträge zur Verbesserung und Effek­tivierung der Datenschutzkontrolle, z. B. durch Änderungen im Bundesdaten­schutzgesetz (BDSG), welche die Aufsichtsbehörden in die Lage versetzen, eine wirksame Kontrolle der Datenverarbeitung durchzuführen und gegebenenfalls angemessene Sanktionen zu verhängen. Auch nach den kürzlichen Änderungen im BDSG gibt es weiterhin erheblichen Nachholbedarf. Es ist zu hoffen, dass das Papier die Datenschutzgesetzgebung der kommenden Jahre auf Bundes- und Landesebene beeinflussen und prägen wird.

2.2         Eine rote Linie und ein Kodex

Die Suche nach einem Datenschutzrecht für das Internet erreichte kurz vor dem IT-Gipfel der Bundesregierung Ende 2010 ihren Höhepunkt in einem Gesetzesvorschlag des Bundesinnenministers und einem Selbstregulierungs­vorschlag des Branchenverbandes BITKOM. Beides ist gut gemeint, die Gesetzesinitiative erweist sich jedoch als wenig tauglicher Versuch.

Die Auseinandersetzung um die Veröffentlichung von Straßenbildern durch Google im Internet führte zu einem Gesetzentwurf des Bundesrates mit einer Spezialregelung im Bundesdatenschutzgesetz (BDSG) zur „geschäftsmäßigen Datenerhebung und -speicherung im Zusammenhang mit der georeferenzierten großräumigen Erfassung von Geodaten zum Zweck der Bereithaltung fotografi­scher oder filmischer Panoramaaufnahmen im Internet zum Abruf für jedermann oder zur Übermittlung an jedermann“. So sperrig der Titel dieses Entwurfes daherkommt, so sperrig ist auch dessen Regelungsinhalt: Der Gesetzesvorschlag füllt eine ganze eng beschriebene DIN-A4-Seite. So unpraktikabel der konkrete Vorschlag ist, so richtig ist ein darin enthaltener Gedanke: die Aufnahme eines rechtlich verpflichtenden Widerspruchsrechts gegen Bilddarstellungen. Zu kurz gegriffen ist die Beschränkung der Regelung auf georeferenzierte Panorama­dienste im Internet.
Dies konnte und durfte nicht das letzte Wort des Gesetzgebers sein. Mit dieser Erkenntnis lud die Bundesregierung im September 2010 zu einem „Datenschutz­gipfel“ ein und forderte dort von der Internetwirtschaft, sich durch Selbstregulie­rung in Form eines Datenschutzkodexes selbst Grenzen zu setzen. Weiterhin wurde ein eine rote Linie ziehender Gesetzentwurf angekündigt.

In dieser Situation sah sich das ULD veranlasst, einen eigenen Gesetzentwurf in die Diskussion einzubringen, mit dem nicht nur die Veröffentlichung von Geo­daten, sondern von Personendaten jeder Form im Netz einer rechtssicheren und zugleich entwicklungsoffenen Regulierung zugeführt werden soll. Im Zentrum des Vorschlags steht die Einführung eines neuen Paragrafen im BDSG, der die elektronische Veröffentlichung von personenbezogenen Daten von einer Abwä­gung zwischen dem Grundrecht auf Meinungsfreiheit und dem Datenschutz abhängig macht. Zwecks beschleunigter Konfliktregelung sind digitale Beschwer­de- und Prüfungsrechte vorgesehen. Folgende weitere Punkte sind geplant:

• Verantwortlichkeit von inländischen Konzernunternehmen bei einem Sitz der Internetfirma außerhalb Europas,
• Abgrenzung von reinen Sachdaten zu personenbezogenen Daten,
• Anpassung der Definition der „verantwortlichen Stelle“ an die Regelungen des Telemediengesetzes (TMG),
• Einführung des Prinzips „Privacy by Default“, also der Pflicht zu datenschutz­freundlichen Grundeinstellungen für Anbieter von Telemediendiensten,
• Regelung der elektronischen Einwilligung.

Die neue Regelung zur Veröffentlichung verlangt von jedem Menschen wie jeder Stelle bei Bereitstellung personenbezogener Daten zum Abruf im Internet eine Abwägung zwischen Veröffentlichungsinteresse und den schutzwürdigen Interessen des oder der Betroffenen. Ein Überwiegen letzterer wird bei besonde­ren Arten personenbezogener Daten, also z. B. Gesundheitsdaten, unterstellt. Da an einer Abwägung kein Weg vorbeigeht, hierfür aber keine spezifischen Abwä­gungskriterien festgelegt werden können, da die Fallkonstellationen so vielfältig wie das Internet sind, wählt der Entwurf einen prozeduralen Weg der Konflikt­lösung: Widerspricht der Betroffene, so muss der Impressumspflichtige nach dem Telemediengesetz (TMG) umgehend reagieren. Tut er dies nicht, so wendet sich die Rechtmäßigkeitsvermutung gegen die Veröffentlichung. Ist ein Widerspruch aus einer allgemein zugänglichen Quelle erkennbar, so muss dieser beachtet werden. Um zumindest bei Massenverarbeitungen à la Google Street View den Betroffenen vorab ein Chance auf Widerspruch zu geben, wird eine Benachrichti­gung auf einer Internetseite Pflicht. Zudem soll durch Verknüpfung des personen­bezogenen Datums bei der ursprünglichen Veröffentlichung im Internet mit einem Meta-Löschdatum die Chance zur Realisierung der „Gnade des Vergessens“ erhöht werden. An einer behördlichen Konfliktlösung durch die Datenschutzauf­sicht, die natürlich in einem hohen Maße Opportunität walten lassen muss, geht kein Weg vorbei. Die Diskussion über die Vorschläge hat schon zu ersten Modifi­kationen des ersten Entwurfs geführt. Gefordert sind jetzt die Politik und die Datenschutz-Community.

Anfang Dezember 2010 stellten dann der Bundesminister des Innern (BMI) und der Branchenverband BITKOM ihre Vorschläge der Öffentlichkeit vor. Vom BMI ist auch ein zusätzlicher Paragraf im BDSG über „unzulässige Veröffentlichungen in Telemedien“ vorgesehen, der ebenso wie der ULD-Vorschlag eine umfassende Regelung anstrebt. Materiell ist der BMI-Vorschlag jedoch enttäuschend: Indem er nur eine absolut nicht zu überschreitende rote Linie markiert, regelt er Selbst­verständlichkeiten, die schon heute gelten: das Verbot besonders schwerer Ein­griffe in das Persönlichkeitsrecht, insbesondere durch das geschäftsmäßige Zusammentragen von Daten zur Bildung von Persönlichkeits- oder Bewegungs­profilen oder in Form von Ehrverletzungen. Der Vorschlag provoziert mehr Fragen, als er Antworten gibt, wenn eine Datenverarbeitung die rote Linie nicht überschreitet, aber dennoch unverhältnismäßig das Persönlichkeitsrecht von Betroffenen verletzt: Soll das zulässig sein? Wenn nein, mit welcher Begründung bzw. Rechtfertigung, wenn ja, nach welcher Regelung?

Der Vorschlag des BITKOM hat eine höhere praktische Relevanz. In einem Kodex als Instrument der Selbstverpflichtung gibt sich die Branche bei georefe­renzierten Panoramadiensten im Internet bestimmte Regelungen. Im Mittelpunkt steht eine zentrale Informations- und Widerspruchsstelle, über die Bürgerinnen und Bürger ihre informationelle Selbstbestimmung wahrnehmen sollen. Zudem ist die Verpixelung von Gesichern und Kfz-Kennzeichen vorgesehen. Richtig weiter­führend ist aber auch dieser Vorschlag nicht. Die Auflagen des Düsseldorfer Kreises als Zusammenschluss der Aufsichtsbehörden zum Dienst Google Street View gehen in ihren 13 Punkten in mancher Hinsicht weiter. Es besteht bei Google vorab ein Widerspruchsrecht; beanstandete Rohdaten müssen gelöscht werden. Es erfolgte keine sanktionslose unverbindliche Festlegung; vielmehr leiten sich die 13 Punkte nach dem Verständnis der Aufsichtsbehörden zwingend aus der bisher geltenden Abwägungsregelung ab, sodass sämtliche Sanktions­mittel des BDSG genutzt werden können. Positiv zu bewerten ist beim BITKOM-Kodex grundsätzlich der Ansatz der Selbstregulierung als flexibles Instrument für einen praktikablen Persönlichkeitsschutz. Doch kommt allzu viel Wasser in die­sen Wein, weil ein Unternehmen sich von der freiwilligen Selbstverpflichtung einseitig entbinden kann, keine Bezugnahme zum gesetzlichen Rahmen erfolgt und nicht einmal die im BDSG vorgesehene Genehmigung als Verhaltensregel angedacht wurde. Insofern muss und kann nachgebessert werden. So könnte der Kodex zum Vorbild für Verhaltensregeln in anderen Bereichen der Internetdaten­verarbeitung werden, z. B. bei Suchmaschinen, sozialen Netzwerken, Bewer­tungsportalen oder für Online-Archive.

2.3         Stiftung Datenschutz

Eine Stiftung Datenschutz soll künftig Audit- und Gütesiegelverfahren durchführen, vergleichende Tests vornehmen, Bildungsangebote bereitstellen und forschend den Datenschutz weiterentwickeln.

Im schwarz-gelben Koalitionsvertrag verabreden die Regierungsparteien für die laufende Legislaturperiode die Errichtung einer Stiftung Datenschutz mit dem Auftrag, Produkte und Dienstleistungen auf Datenschutzfreundlichkeit zu prüfen, Bildung im Bereich Datenschutz zu stärken, den Selbstdatenschutz durch Aufklä­rung zu verbessern, ein Datenschutz-Audit zu entwickeln und datenschutzfreund­liche Technik zu fördern, die „aus Deutschland mit geprüfter Qualität weltweit vertrieben werden kann“.

Wir im ULD waren elektrisiert: Hier vereinbarten die Regierungsparteien genau das, was das ULD seit vielen Jahren propagiert und erfolgreich praktiziert – begrenzt durch die Möglichkeiten einer Landesbehörde. Daher haben wir uns umgehend an die zuständigen Kabinettsmitglieder im Bund gewandt, die Justiz­ministerin und den Innenminister, erste Vorstellungen zur Stiftung formuliert und unsere Unterstützung angeboten. Die Rückmeldung der Justizministerin war grundsätzlich positiv. Sie stimmte damit überein, dass die Stiftung unabhängig sein müsse, signalisierte aber ebenso wie der Innenminister, dass die Überlegun­gen noch in einem frühen Stadium stecken (32. TB, Tz. 9.1).

Die Grundidee der Stiftung Datenschutz ist bestechend: Statt wie bei Daten­schutzkontrollen Datenschutzverstößen repressiv hinterherzulaufen, soll Daten­schutz präventiv implementiert und zu einem Wettbewerbsfaktor gemacht werden. Hierfür bedarf es Transparenz, Kompetenz und Unabhängigkeit. Dass dies rechtlich nicht gewährleistet wurde, war der Grund für das Scheitern des ersten Entwurfes eines Auditgesetzes der alten Bundesregierung (31. TB, Tz. 9.1).

Der Bedarf insbesondere an einer unabhängigen qualifizierten Zertifizierung erweist sich derzeit an allen Ecken und Enden personenbezogener Datenverar­beitung – bei den De-Mail-Diensten (Tz. 9.2.3) ebenso wie bei sensiblen Internet­angeboten wie Bewertungsportalen (Tz. 4.6.9), sozialen Netzwerken oder Auswertern für Zwecke der zielgerichteten Internetwerbung, bei komplexen Forschungsdatenbanken ebenso wie bei Angeboten des E-Government. Die tech­nischen und rechtlichen Datenschutzanforderungen an vertrauenswürdige Infor­mationstechnik sind derart hoch und komplex, dass weder die Bürgerinnen und Bürger als Nutzende oder Betroffene noch viele Anwender die notwendigen Kompetenzen und Kapazitäten für eine fundierte Bewertung haben. Hier kann eine bundesweit agierende Stelle segensreich wirken, vorausgesetzt sie genießt das Vertrauen der Beteiligten wie der Öffentlichkeit.

Die weitere öffentliche Diskussion zeigte, dass die Stiftungsidee alles andere als unumstritten ist. Stellen, die Markttests, Bildungsmaßnahmen oder Zertifizierun­gen durchführen, können darin eine potenzielle Konkurrenz sehen. Vor allem sind es die vielen offenen Fragen, die Skeptikern Nahrung geben: Soll es sich um eine öffentliche oder private Stiftung handeln? Wie hoch soll das Stiftungskapital und der verfügbare finanzielle Rahmen sein? Kann bei einer Wirtschaftsfinanzierung eine hinreichende Unabhängigkeit gewährleistet werden? Für die Datenschutz­kontrollstellen besonders wichtig ist die Frage, wie das Verhältnis zwischen Kontrolle und Auditierung bzw. Zertifizierung ausgestaltet wird.

Inzwischen liegen die ersten Antworten vor. Die Stiftung soll offensichtlich privatrechtlich – unabhängig und staatsfern – organisiert sein. Der Haushalts­ausschuss des Deutschen Bundestages hat für die Errichtung zehn Millionen Euro Kapital bereitgestellt. Im Jahr 2011 soll die Stiftung nach dem Willen der Koali­tionsfraktionen den Betrieb aufnehmen, wobei aber zunächst das besonders heikle, aber zugleich besonders wichtige Zertifizierungsgeschäft zurückgestellt werden soll.

Auditierungen und Zertifizierungen sind nach Ansicht des ULD auf nationaler Ebene von großer Wichtigkeit. Dabei muss eine enge Kooperation mit den Daten­schutzkontrollstellen erfolgen, ohne dass aber deren Unabhängigkeit beeinträch­tigt wird. Dies kann in der Form geschehen, dass die Stiftung einen beratenden Status bei den relevanten Aufsichtsgremien, insbesondere dem bundesweiten Zusammenschluss des Düsseldorfer Kreises, erhält. Bei der Zertifizierung ist eine unverbindliche Anhörung der Kontrollstellen kurz vor Abschluss sinnvoll, jeden­falls dann, wenn ein lokaler Bezug besteht. So kann in einem frühen Stadium vermieden werden, dass Zertifizierung und Datenschutzkontrolle zu stark vonein­ander abweichenden Ergebnissen kommen. Ein wichtiger Aspekt ist die gemein­same Entwicklung von Schutzprofilen bzw. Standards für spezifische Anwen­dungen. Hier ist denkbar, dass gemeinsame Arbeitskreise der Kontrollstellen und der Stiftung Vorschläge entwickeln, die gemeinsam veröffentlicht werden. Die Ängste vor Konkurrenz zu anderen Einrichtungen, z. B. des Verbraucherschutzes, müssen ernst genommen und durch enge Kooperationen abgebaut werden.

Hinsichtlich der Zertifizierung durch die Stiftung kann weitgehend auf die zehnjährigen Erfahrungen des ULD zurückgegriffen werden. Das Konzept der Begutachtung durch akkreditierte private technische und rechtliche Sachverstän­dige hat sich sowohl beim Gütesiegel des ULD (Tz. 9.2) wie auch beim Europä­ischen Datenschutz-Gütesiegel (EuroPriSe, Tz. 9.3) als wirkungsvoll erwiesen. Dringend nötig ist eine Qualitätsprüfung und abschließende Zertifizierung durch eine unabhängige Stelle und eine Veröffentlichung der wesentlichen Ergebnisse des Verfahrens. Die Zertifizierung durch eine Stiftung Datenschutz muss sich zugleich in den europäischen Rahmen einfügen. Das Europäische Gütesiegel befindet sich in einigen EU-Mitgliedstaaten derzeit im Planungsstadium. Es ist insofern von Vorteil, dass über das ULD als erster EuroPriSe-Zertifizierungsstelle deutscher Sachverstand beim Aufbau der Stiftung Datenschutz genutzt werden kann.

Die Erfahrungen des ULD mit seinen Aktivitäten in den Bereichen Zertifizierung, Bildung, Beratung und Forschung sind, dass diese sich finanziell selbst tragen können. Voraussetzung ist eine gute technische Infrastruktur und qualifiziertes Personal. In jedem Fall ist bei einer Finanzierung über private Geldgeber jede inhaltliche Einflussnahme zu verhindern. Schon der Ruch der finanziellen Abhän­gigkeit schädigt das Vertrauen der Öffentlichkeit an der Unparteilichkeit der Stiftung.

2.4         Vorratsdatenspeicherung  „light“?

Mit einem Urteil vom März 2010 hat das Bundesverfassungsgericht das Gesetz für verfassungswidrig erklärt, wonach Telekommunikationsanbieter zu einer sechsmonatigen Vorratsspeicherung von Verkehrsdaten verpflichtet wurden. Seitdem stehen sich Gegner und Befürworter kompromisslos gegen­über.

Das Bundesverfassungsgericht hat eine Vorratsspeicherung von Verkehrsdaten aus der Telekommunikation (TK) nicht grundsätzlich verworfen, wohl aber deren äußerste verfassungsrechtlichen Grenzen aufgezeigt. Auf EU-Ebene soll im Jahr 2011 eine Evaluation der Speicherpflicht erfolgen, wobei eine Änderung der europäischen Vorgaben nicht ausgeschlossen ist. Zudem soll der Europäische Gerichtshof überprüfen, ob die Vorratsdatenspeicherpflicht mit der EU-Grund­rechtecharta in Einklang steht.

Es gehört zu den politischen Gestaltungspflichten, nicht das maximal Mögliche an Grundrechtseinschränkungen vorzusehen, sondern das Nötige und Sinnvolle. Angesichts des Umstandes, dass das Internet zum umfassenden Kommunikations­netz der Zukunft wird, sind rechtliche, organisatorische und technische Rahmen­bedingungen zu schaffen, die einerseits eine wirksame Gefahrenabwehr und Strafverfolgung ermöglichen, andererseits aber hierbei einen effektiven Grund­rechtsschutz – insbesondere der unbescholtenen und nicht verdächtigen Masse der Bevölkerung – zu sichern.

Die Diskussion zur Vorratsdatenspeicherung entwickelt derweil geradezu irratio­nale Züge: Vertreter von Sicherheitsbehörden und diese unterstützende Politiker erwecken – ähnlich wie bei der Diskussion um die sogenannte Online-Durch­suchung – den falschen Eindruck, ohne eine maximale Regelung sei Strafverfol­gung im Internet nicht mehr möglich. Vorgetragene Zahlen und Argumente sind oft nicht nachvollzieh- und überprüfbar. Zu wenig berücksichtigt wird, dass Straf­verfolgung im Internet nicht von einem einzigen Instrument abhängt, sondern von einem effektiv eingesetzten Mix von Maßnahmen, wobei viele dieser Maßnah­men grundrechtsneutral sein können.

Vorschläge zum schnellen „Einfrieren“ von Verkehrsdaten, das sogenannte Quick Freeze, wird als unwirksam von vornherein verworfen. Nicht hinreichend berücksichtigt werden die zu geringe personelle Ausstattung mit qualifizierten Strafverfolgern, die im Internet- bzw. IT-Bereich tätig sind, die bisher nicht opti­mierten Meldewege von den Anzeigenden zur Polizei sowie zu privaten Internet­dienstleistern und wieder zurück zur Polizei, zu aufwendige und zeitträchtige Verfahrensabläufe – auch bei für den Grundrechtsschutz unerlässlichen verfah­rensrechtlichen Sicherungen wie z. B. bei richterlichen Prüfungen –, fehlende Standards für die Durchführung und Priorisierung von Strafverfolgungsmaßnah­men und Mängel in der Internetstruktur bezüglich Datenschutz und Datensicher­heit.

Den Verfechtern der Vorratsdatenspeicherung stehen sich politisch deren Gegner ebenso wenig kompromissbereit gegenüber. Sie ignorieren, dass insbesondere hinsichtlich Straftaten im Internet die IP-Adresse oft der einzige Ermittlungs­ansatz ist, um einen Täter zu identifizieren. Die IP-Adresse ist aber beileibe nicht das sensibelste Datum, das von der Speicherpflicht erfasst wird. Die Notwendig­keit anderer Verkehrsdaten, z. B. der Standortangaben, ist wenig begründet. Sowohl der geforderte Umfang der auf Vorrat zu speichernden Daten als auch die Mindestspeicherdauer von sechs Monaten wurden bisher nicht auf ihre Erforder­lichkeit und Verhältnismäßigkeit hin überprüft.

Die Speicherpflicht von TK-Daten ist nicht die erste Maßnahme einer anlasslosen Vorratsdatenverarbeitung für Zwecke der Strafverfolgung, ohne dass eine wissen­schaftliche Evaluation vorgenommen wurde. Ebenso verhält es sich bei der präventiven Erfassung von Mobilfunkanschlüssen und der Bereitstellung und Auswertung von Fluggast- oder Finanztransaktionsdaten durch US-Sicherheits­behörden (30. TB, Tz. 11.1; 32. TB, Tz. 11.3). Ohne Evaluation unter Berück­sichtigung aller relevanten Parameter ist eine Optimierung zwischen den Zielen der Strafverfolgung und des Grundrechtsschutzes nicht möglich. In einer offenen Gesellschaft führt das Streben nach hundertprozentiger Sicherheit zum Tod aller Freiheit und nicht zum Erfolg.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und das ULD regten an, die Pflicht zur Speicherung auf bestimmte Verkehrs­daten und auf eine kurze Dauer zu beschränken. Zwar wurde dieses Eintreten für eine Vorratsdatenspeicherung „light“ von anderen Datenschützern heftig kriti­siert. Doch ist auch von dieser Seite anzuerkennen, dass der Polizei wirksame Strafverfolgung im Internet möglich sein muss. Mit einem offenen Brief forderte das ULD den Präsidenten des BKA und Polizeiverbände auf, hierüber im Detail zu diskutieren und so die aktuelle politische Blockade bei diesem Thema aufzulö­sen. Diese Blockade kann in niemandes Interesse liegen. Die Gesprächsangebote des ULD fielen auf fruchtbaren Boden. In einem Vorschlag des Bundesjustiz­ministeriums zur Vorratsdatenspeicherung sind unsere Anregungen berücksich­tigt.