„Wir benötigen die Daten nicht für uns, sondern um eine Straftat aufzuklären.“ Für René Moes, beigeordneter Direktor der Police judiciaire, und seine Kollegen Christian Steichen, Chef der Technikabteilung, und Alain Kleuls, Leiter der Einheit Cybercrime, ist die Vorratsdatenspeicherung enorm wichtig für die Polizeiarbeit. Man wolle sich nicht zupolitischen Fragen äußern, hatte es zunächst von der Polizei-Pressestelle zu einem Gesprächsgesuch des Land geheißen. Dass man sich anders besann, liegt auch daran, dass die Polizei in der Defensive ist: Seitdem der Europäische Gerichtshof in Luxemburg sein Urteil zur EU-Richtlinie zur Vorratsdatenspeicherung gefällt hat, steht auch die Luxemburger Regelung, die die Richtlinie in nationales Recht umsetzt, auf dem Prüfstein.
Bis zum Sommer wollte Justizminister Felix Braz sich mit Hilfe von Analysen der Datenschutzkommission, der Staatsanwaltschaft und seines Ministeriums ein Bild darüber machen, ob die Luxemburger Vorratsdatenspeicherung EU-grundrechtskonform ist. Die Analysen sind seit Mai da, die der Datenschutzkommission ist seitdem auch öffentlich. Dem Land liegt zudem die zweiseitige unveröffentlichte Position der Generalstaatsanwaltschaft vor. Klar ist: So, wie die Vorratsdatenspeicherung derzeit geregelt ist, verstößt sie gegen das Prinzip der Verhältnismäßigkeit. Ein „starker Eingriff“ wie das massenhafte Speichern persönlicher Daten ohne konkreten Tatverdacht müsse sich, so die EU-Richter, „auf das absolut Notwendige“ beschränken. Der Justizminister versprach daraufhin, die Luxemburger Regelung „zu 100 Prozent“ an die Vorgaben des EuGH anzupassen.
Schwere Zeiten demnach für polizeiliche Ermittler, die in der Vorratsdatenspeicherung ein notwendiges Instrument zur Aufklärung von Straftaten sehen. Während in anderen EU-Ländern Vertreter der Strafverfolgung Position für die Vorratsdatenspeicherung ergreifen und darauf drängen, die EU-Kommission möge rasch einen neuen, grundrechtskonformen Entwurf vorlegen, hielten sich die Justizbehörden hierzulande bislang eher bedeckt.
„Der massenhafte Missbrauch persönlicher Daten durch die NSA erleichtert die Sache nicht gerade“, gibt Christian Steichen zu. Dass Bürger Sorge um ihre Grundrechte haben, verstehen er und seine Kollegen. Im Land-Gespräch verteidigt die Polizei die anlasslose sechsmonatige Speicherung von Internet- und Telefondaten: „Es gibt praktisch kaum eine Straftat, in der nicht in irgendeiner Form das Internet oder Telefon eine Rolle spielen“, betont Alain Kleuls. Studien im Ausland gehen von rund 80 Prozent der Straftaten aus, bei denen Täter auf das Internet oder andere Kommunikationsmittel zurückgreifen. Oft sind digitale Abdrücke wichtige, wenn nicht die einzigen Spuren, die helfen, einen Täter zu überführen. Dafür müssen die Ermittler herausfinden, wer sich hinter der IP-Adresse verbirgt, mit der zur Tatzeit auf verdächtige Seiten zugegriffen wurde. Diese Internet-Protokoll-Adressen werden individuell, aber meistens nicht dauerhaft vergeben. Gerade Verbrechen, die über digitale Kanäle stattfinden, wie zum Beispiel der Besuch kinderpornografischer Internetseiten oder Täuschungs- und Betrugsdelikte wie der so genannte telefonische Enkeltrick, ließen sich ohne entsprechende Daten kaum beweisen.
„Es ist nicht so, wie manche vielleicht meinen, dass wir beim kleinsten Verdacht Telefon-Verbindungsdaten überprüfen“, betont René Moes. Zum einen kann die Luxemburger Polizei selbst nicht auf von privaten Firmen betriebene Datenbanken zugreifen. Sie muss sie bei den Telefonanbietern anfragen. In Luxemburg sind das neben anderen Post, Tango und Orange, die die Daten speichern. Um Zugang zu bekommen, braucht es einen Beschluss vom Untersuchungsrichter. „Wir müssen genau begründen, wozu wir welche Daten brauchen“, sagt Alain Kleuls. Im Ursprungstext von 2005 waren die polizeilichen Befugnisse weiter gesteckt, wegen datenschutzrechtlicher Bedenken wurde die Vorratsdatenspeicherung 2010 überarbeitet und die Frist, wie lange die Daten von den Providern gespeichert werden müssen, von einem Jahr auf sechs Monate verkürzt. Auch ist die Möglichkeit abgeschafft, bei Gefahr im Verzug ohne richterlichen Beschluss Kommunikationsdaten polizeilich nutzen zu können.
Für die Polizei bedeutsame Einschränkungen, die sich direkt auf ihre Ermittlungstätigkeit auswirken. „Das Verfahren ist schriftlich und dauert“, so Kleuls. Braucht es zudem eine Übersetzung, weil etwa die Anfrage ins Ausland geht, „können aus ein paar Tagen Wochen werden. In Computerzeiten eine Ewigkeit“, erklärt er. Sind die Daten eingetroffen, beginnen IT-Spezialisten mit der Auswertung: „Manchmal müssen wir 30 000 und mehr Verbindungsdaten von verschiedenen Providern analysieren, oft in unterschiedlichen Formaten aufbereitet“, so Kleuls. Wichtige Informationen von unwichtigen zu trennen, dauert und verlangt Sachverstand. „Das kann nicht jeder.“ Ein Zeilenrutscher kann erhebliche Folgen haben, wenn eine unschuldige Person ins Visier der Polizei gerät. Sorgfalt braucht Zeit, kostbare Zeit vor allem dann, wenn nach einer Anfangsrecherche weitere Daten angefragt werden müssen. „Sechs Monate sind da nicht viel“, betont René Moes. Die Polizei fordert eine Mindestspeicherdauer von zwölf Monaten.
Zumal manche Betroffene erst später bemerken, dass sie Opfer eine kriminellen Tat wurden, etwa beim Phishing, wenn E-Mailadressen gehackt und mit den geklauten Daten Straftaten begangen werden. „Oft lässt sich nur durch einen Abgleich der IP-Adressen der eigentliche Täter feststellen”, sagt Alain Kleuls. Im Dezember 2010 wurden luxemburgische Ermittler gegen einen Server in Luxemburg aktiv, der verdächtigt wurde, kinderpornografisches Material zu beherbergen. Weltweit griffen über 50 000 IP-Adressen auf den Server zu. Nachdem die Verbindungsdaten in mühsamer Kleinstarbeit ausgewertet wurden, fanden die Ermittler allein in Österreich bei 107 Anschlüssen kinderpornografisches Material, die Besitzer wurden angezeigt. Beim Kampf gegen Kinderpornografie ist die Vorratsdatenspeicherung als Ermittlungsinstrument fast unersetzlich, zumal für andere Ermittlungsmethoden, wie Trojaner-Programme oder verdeckte Ermittlungen in kriminellen Netzwerken der gesetzliche Rahmen fehlt. „Die öffentliche Akzeptanz ist bei Kindesmissbrauch größer, weil das ein schlimmes Verbrechen ist“, weiß Christian Steichen. „Aber auch bei anderen Verbrechen gibt es Opfer, die Aufklärung wollen.“
So eng in Luxemburg der Zugang zu persönlichen Daten geregelt ist, so weit gesteckt ist der Anwendungsrahmen – ein Rückgriff auf Internet- und Telefondaten ist bereits bei einem Verdacht auf eine Straftat, die mit einem Jahr Haftstrafe belegt ist, erlaubt. Also beispielsweise bei Diebstahl. Laut Tätigkeitsbericht der Datenschutzkommission von 2013 haben Luxemburgs Telefonprovider 1 445 Mal Verbindungsdaten ihrer Kunden im Rahmen der Vorratsdatenspeicherung an Polizei und Justiz gegeben. In 800 Fällen wurden Anfragen abgelehnt, insgesamt haben Polizei und Justiz 2 245 Mal (im Vorjahr 2 346) bei den Providern angeklopft. In welchen Fällen die Daten übermittelt wurden, bei Terrorverdacht, organisierter Kriminalität oder leichteren Straftaten, steht nicht im Bericht. Unklar ist auch, inwieweit die Daten dazu geführt haben, einen Täter zu ermitteln und anzuklagen – und ob nicht andere Ermittlungsmethoden ähnliche Erfolge erbracht hätten.
Einer Studie des Freiburger Max-Planck-Instituts für ausländisches und internationales Strafrecht zufolge gibt es keine stichhaltigen Belege für den Einfluss der Vorratsdatenspeicherung auf die Aufklärungsquote von Straftaten. Auch die Behauptung, die anlasslose Speicherung von Telefon- und Internetdaten sei „von essenzieller Bedeutung“ sei nicht richtig. Die Diskussion sei geprägt durch Verweise auf Einzelfälle. Es stimme auch nicht, dass die Sicherheit der Bürger ohne dieses Instrument aufs Spiel gesetzt werde. Die Studie, die 2012 publik wurde, ist unter Kriminalexperten umstritten, nicht zuletzt weil die damalige liberale Justizministerin, eine Kritikerin der Vorratsdatenspeicherung, ergänzende Untersuchungen veranlasst hatte. Das Bundeskriminalamt konterte damals: „Der Versuch, die Entwicklungen von Gesamtaufklärungsquoten mit der Effizienz der Vorratsdatenspeicherung zu verbinden, ist allein plakativ geprägt, lässt jedoch kriminalistische und kriminologische Erfahrungswerte unberücksichtigt.“
In Luxemburg fehlen derartige Analysen. Entsprechend schwierig ist es für Polizei und Justiz, diese Ermittlungstechnik zu rechtfertigen. Die Generalstaatsanwaltschaft warnt in ihrer Stellungnahme vom Mai angesichts des EuGH-Urteils vor Rechtsunsicherheit und sieht im Grunde nur eine Lösung: dass die EU-Kommission schnellstmöglich eine neue Richtlinie vorlegt. Ein nationaler Alleingang sei schwierig, weil Luxemburg damit riskiere, die Vorratsdatenspeicherung entweder zu weit oder zu restriktiv gegenüber einer neuen EU-Regelung zu definieren.
In einer aktuellen Studie analysieren IT- und Medienrechtlerin Franziska Böhm von der Universität Münster und Rechtswissenschaftler Mark Cole von der Uni Luxemburg die Auswirkungen, die das Urteil des Europäischen Gerichtshofs auf bestehende Vorratsdatenspeicherungen in den einzelnen Mitgliedstaaten haben wird, sowie die Folgen auf andere Vorratsdatenspeicherungen, wie etwa Bankdaten bei Swift und Flugreisedaten. Ihr Ergebnis: Die anlasslose Speicherung von Daten auf Vorrat ist nicht mit EU-Grundrechten vereinbar. Bestehende mitgliedstaatliche Gesetze zur Vorratsdatenspeicherung müssen geändert werden. Die Frage lautet: wie?
Der Justizminister will Anfang September seinen Vorschlag vorlegen. Man darf gespannt sein, denn selbst Experten sind sich nicht einig, ob wegen der strikten Auflagen seitens der EU-Richter eine Vorratsdatenspeicherung ohne konkreten Verdacht auf ein schwerwiegendes Verbrechen noch möglich sein wird, respektive für welche Straftaten sie überhaupt noch in Frage kommt. Als gesichert gilt, dass der Verdacht auf eine Straftat, die mit einer Haftstrafe von einem Jahr belegt ist, als Rechtfertigung für einen derart massiven Eingriff in Grundrechte nicht mehr ausreichen wird. Zu dem Fazit kommt die nationale Datenschutzkommission in ihrer Analyse. Diskutiert wird im parlamentarischen Justizausschuss nun, ob ein restriktiver gefasster Straftatenkatalog das Problem lösen könnte. „Da schält sich, mit Ausnahme von Déi Lénk, ein gewisser Konsens ab“, meinte der CSV-Abgeordnete Laurent Mosar gegenüber dem Land. Generalstaatsanwalt Robert Biever warnt jedoch: „Eine Liste riskiert, je nach Standpunkt, zu kurz oder zu lang auszufallen.“ Seine Befürchtung: Schwere Straftaten wie der Besitz und der Vertrieb von Kinderpornografie könnten künftig kaum mehr nachweisbar sein.
Unklar ist zudem, was mit den zwischenzeitlich gespeicherten Daten passiert: In Schweden haben Telefonanbieter angesichts der Non-Konformität der EU-Direktive begonnen, ihre Kommunikationsdaten zu löschen, zum Leidwesen der Ermittlungsbehörden. Großbritanniens Regierung verabschiedete Mitte Juli eiligst ein neues Gesetz zur Vorratsdatenspeicherung, das Rechtsexperten als überhastet kritisieren. Aber bis jemand dagegen klagt, dürfte es dauern. Zeit, in der die Befürworter und die Gegner der anlasslosen Vorratsdatenspeicherung ihre Argumente neu sortieren dürften.