Mit seinem Urteil von 2. März 2010 hat das Bundesverfassungsgericht (BVerfG) das Gesetz zur Vorratsdatenspeicherung, mit dem die Bundesregierung der Richtlinie 2006/24/EG [2] des Europäischen Parlaments Rechnung tragen wollte, als nicht verfassungsgemäß erklärt. Das BVerfG fordert unter anderem ein, "... dass die gesetzliche Ausgestaltung einer solchen Datenspeicherung dem besonderen Gewicht des mit der Speicherung verbundenen Grundrechtseingriffs angemessen Rechnung trägt. Erforderlich sind hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes."

Einer der wesentlichen Kritikpunkte des Gerichts an der Ausgestaltung des jetzt als verfassungswidrig festgestellten Gesetzes betrifft die Sicherheit der gespeicherten Daten: "Angesichts des Umfangs und der potentiellen Aussagekraft der mit einer solchen Speicherung geschaffenen Datenbestände ist die Datensicherheit für die Verhältnismäßigkeit der angegriffenen Vorschriften von großer Bedeutung. Erforderlich sind gesetzliche Regelungen, die ein besonders hohes Maß an Sicherheit jedenfalls dem Grunde nach normenklar und verbindlich vorgeben. Dabei steht es dem Gesetzgeber frei, die technische Konkretisierung des vorgegebenen Maßstabs einer Aufsichtsbehörde anzuvertrauen. Der Gesetzgeber hat dabei jedoch sicherzustellen, dass die Entscheidung über Art und Maß der zu treffenden Schutzvorkehrungen nicht letztlich unkontrolliert in den Händen der jeweiligen Telekommunikationsanbieter liegt."

Dem Gesetz fehle es, so das BVerfG, "... schon an der gebotenen Gewährleistung eines besonders hohen Standards hinsichtlich der Datensicherheit. ...", denn es bliebe "... die nähere Konkretisierung der Maßnahmen den einzelnen Telekommunikationsdienstleistern überlassen, die ihrerseits die Dienste unter den Bedingungen von Konkurrenz und Kostendruck anbieten müssen. Den Speicherungspflichtigen sind insoweit weder die von den Sachverständigen im vorliegenden Verfahren nahegelegten Instrumente zur Gewährleistung der Datensicherheit (getrennte Speicherung, asymmetrische Verschlüsselung, Vier-Augen-Prinzip verbunden mit fortschrittlichen Verfahren zur Authentifizierung für den Zugang zu den Schlüsseln, revisionssichere Protokollierung von Zugriff und Löschung) durchsetzbar vorgegeben, noch ist ein vergleichbares Sicherheitsniveau anderweitig garantiert."

Für Ingo Wachter, Vorstand der PGP Deutschland AG, ist das Urteil des höchsten deutschen Gerichts und damit die Kritik an der Sicherheit der Vorratsdatenspeicherung gut nachvollziehbar:

"Die Einschätzung der Risiken eines Datenmissbrauchs bei der Vorratsdatenspeicherung durch das Bundesverfassungsgericht zeigt meines Erachtens deutlich auf, wo die simple Grenze technologischer Lösungen zum Datenschutz liegt: Sie müssen eingesetzt werden, um zu greifen.

Mangelnde konkrete Vorgaben vonseiten der Gesetzgeber zur übergreifenden und wasserdichten Absicherung der Daten in privaten Unternehmen, die, wie richtig festgestellt, der Konkurrenz und dem Kostendruck unterliegen, machen das Gesetz zur Vorratsdatenspeicherung untauglich, eine Zweckentfremdung der Daten zu verhindern. Ohne diese Konkretisierung der Maßnahmen zum Datenschutz blüht uns nämlich ansonsten das, was uns viele große Unternehmen, die ja ein ureigenes Interesse daran haben sollten, dass ihre Firmen- und Kundendaten optimal vor Missbrauch geschützt sind, seit Jahren immer wieder vorexerzieren: Datenschutzpannen sind eher die Regel denn die Ausnahme.

Wir, als Lösungsanbieter, der einen wichtigen technologischen Part zu einem umfassenden und wirkungsvollen Datenschutz beitragen kann, gehen mit der Forderung nach konkreten Vorgaben für eine praktische Umsetzung des Datenschutzes bei der Vorratsspeicherung konform. In ihrer Funktion nachweislich zuverlässige und vergleichsweise günstige Werkzeuge zur Realisierung des geforderten Schutzes sind vorhanden. Jetzt ist es Sache der Gesetzgeber, dafür zu sorgen, dass sie auch zur Anwendung kommen. Und zwar ohne Wenn und Aber."

Entscheidung des Bundesgerichtshofs:
www.bundesverfassungsgericht.de/entscheidungen/rs20100302_1bvr025608.html

Richtlinie 2006/24/EG des Europäischen Parlaments:
http://eur-lex.europa.eu/LexUriServ/site/en/oj/2006/l_105/l_10520060413en00540063.pdf

Gesetz zur Umsetzung der Richtlinie 2006/24/EG:
www.bgblportal.de/BGBL/bgbl1f/bgbl107s3198.pdf