Bundesregierung will IP-Adressen aller Deutschen für drei Monate speichern

Im Schatten der Debatten um digitale Gewalt will das Bundeskabinett am 21. April eine anlasslose Speicherung der IP-Adressen und weiterer Daten aller deutschen Internetnutzer:innen auf den Weg bringen. Die sog. Vorratsdatenspeicherung beschäftigt die Politik seit vielen Jahrzehnten. Für Sicherheitsbehörden ist es eine moderne Ermittlungsmaßnahme gegen Straftaten im Netz, – für Bürgerrechtler:innen eine anlasslose Massenüberwachung, die grundrechtliche Schutzräume unzulässig verengt. Aufgrund der unklaren Rechtslage nach Entscheidungen des Bundesverfassungsgerichts im Jahre 2010 und mehreren Urteilen des Europäischen Gerichtshofs zwischen 2014 und 2024 lag das Instrument in Deutschland faktisch auf Eis. Das will die Bundesregierung nun ändern. 

Hubig löst "20 Jahre alten Konflikt" - zulasten der Grundrechte

Auf einer Pressekonferenz zeigte sich Stefanie Hubig stolz, einen „20 Jahren alten Streit“ nun endlich zu lösen. Doch löst sie ihn zulasten der digitalen Grundrechte auf, indem sie auf eine weitflächige Überwachung der Internetnutzung setzt. Im Grunde lenkt die Bundesregierung damit in die CDU-Linie ein und erfüllt den Sicherheitsbehörden einen zentralen Wunsch. Gleichzeitig wird der Gesetzentwurf im Vergleich zu früheren Anläufen, die Vorratsdatenspeicherung einzuführen, weniger intensiv sein – immerhin galt es die höchstrichterlichen Vorgaben einzuarbeiten. Doch die Grundkritik daran, Verbindungsdaten der gesamten Bevölkerung über Monate auf Vorrat zu speichern, bleibt bestehen. 

Warum die schwarz-rote Koalition die Vorratsdatenspeicherung einführt 

In ihrem Koalitionsvertrag hatten sich SPD und CDU/CSU nach langem Ringen darauf geeinigt, „eine verhältnismäßige und europa- und verfassungsrechtskonforme dreimonatige Speicherpflicht für IP-Adressen und Portnummern“ einzuführen, „um diese einem Anschlussinhaber zuordnen zu können“. Als Teil der Ampelregierung hatte sich die SPD noch gegen die Maßnahme entschieden. Stattdessen ließ  sie auf Druck von FDP und GRÜNEN auf die Maßnahmen „Quick Freeze“ und „Login-Falle“ ein.

Beide Instrumente greifen erst, nachdem ein konkreter Verdacht auf eine Straftat besteht. Mit Quick Freeze frieren Telekommunikationsanbieter die IP-Adressen erst ab dem Zeitpunkt einer Anordnung der Ermittlungsbehörden ein – also nicht auf Vorrat. Bei Login-Fallen erfassen die Plattformen die Daten bei der nächsten Anmeldung eines Verdächtigen und geben diese an die Polizei weiter. Das Quick-Freeze-Gesetz blieb aber lange in der Vorbereitung stecken und wurde dann in politische Einigungspakete geschnürt. Die SPD wollte eine Mietrechtsreform, FDP-Justizminister Buschmann wollte Quick Freeze. Die gegenseitige Blockade wurde bis zum Ampel-Aus nicht mehr gelöst. 

SPD übernimmt Verantwortung für Vorratsdatenspeicherung

Als kleiner Koalitionspartner schwenkte die SPD nach der Wahl auf die CDU/CSU-Linie ein und zog bei der vorsorglichen Speicherung von IP-Adressen und Portnummern mit. Teile der SPD hatten sich davor schon offen für die Maßnahme gezeigt. Die politische Einigung der Koalitionäre soll nun der „Entwurf eines Gesetzes zur Einführung einer ID-Adressspeicherung und Weiterentwicklung der Befugnisse zur Datenerhebung im Strafverfahren“ in Paragraphen gießen. Bereits kurz vor Weihnachten 2025 hatte das BMJ einen ersten Entwurf veröffentlicht, der dann zwischen den Bundesministerien weiterverhandelt und feingeschliffen wurde. Offenbar ist die Ressortabstimmung nun beendet. Welche Änderungen die Kabinettsfassung hat, ist öffentlich derzeit nicht bekannt. Zivilgesellschaftliche Organisationen warten gespannt darauf.  Viele befürchten, dass die Bundesregierung die grundrechtlichen Sicherungen im Entwurf des BMJ weiter abgeschwächt hat. Das Innenministerium ist für eine harte Verhandlungsführung und als verlängerter Arm der Sicherheitsbehörden bekannt.

Wie ist die IP-Adressspeicherung im Entwurf konkret ausgestaltet?

Auf der Grundlage des Referentenentwurfs lässt sich die grobe Richtung ausmachen: Telekommunikationsanbieter sollen künftig alle IP-Adressen, die ein Nutzer verwendet hat, für drei Monate speichern. Da IP-Adressen nicht (mehr) statisch vergeben und genutzt werden, sondern sich regelmäßig ändern, bedarf es aber weiterer Informationen, um eine Person zu identifizieren. In der Regel weiß der Telekommunikationsanbieter, welche IP-Adresse zu welchem Zeitpunkt welchem Router oder Smartphone zugeordnet war. Anhand von Zeitstempeln lässt sich nachvollziehen, wann die IP-Adresse gewechselt wurde.

Das Gesetz soll nun auch dazu verpflichten, solche Informationen für 3 Monate auf Vorrat zu speichern. Doch was passiert, wenn mehrere Personen ein W-LAN nutzen? Nach dem Vorschlag für § 176 TKG sollen Telekommunikationsanbieter auch „die der Internetprotokoll-Adresse zugehörigen Portnummern und weitere Verkehrsdaten“ speichern, „soweit diese für eine Identifizierung des Anschlussinhabers anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse erforderlich sind“. Doch was bedeutet das?

Unterschied zwischen IP-Adresse und Portnummer

 Die IP-Adresse ordnet eine Internetverbindung (Aufruf einer Webseite) zu einem bestimmten Anschluss (etwa einem Router) zu einem konkreten Zeitpunkt (Datum und Uhrzeit) zu. Die zusätzlich erfasste Portnummer ermöglicht es, innerhalb dieses Anschlusses eine einzelne Kommunikationsverbindung näher zu bestimmen. Dies ist vor allem dann von Bedeutung, wenn mehrere Nutzer dieselbe öffentliche IP-Adresse verwenden (z. B. in Hotel-WLANs). In Verbindung mit Zeitangaben und den beim Internetanbieter gespeicherten Zuordnungsdaten kann die Kombination aus IP-Adresse und Portnummer dazu beitragen, die Nutzung einer bestimmten Person genauer zuzuordnen und den Kreis der handelnden Personen einzugrenzen. Eine sichere Identifizierung möglicher Täter findet dadurch aber oftmals nicht statt. Um ihre Spuren zu verwischen, würden Personen dann bewusst offene WLAN-Netzwerke oder sog. Virtual Private Networks (VPN) nutzen. Denn dann geht die intendierte Verbindung zwischen IP-Adresse, Nutzungszeitpunkt und genutztem Dienst ins Leere. Und in Strafverfahren gilt der Grundsatz „im Zweifel für den Angeklagten“, wenn sich nicht beweisen lässt, dass eine Person die Tat wirklich selbst begangen hat.

Große Datenmengen auf Vorrat als schwerer Grundrechtseingriff

Wenn Vodafone, O2, Telekom und Co. künftig diese Verkehrsdaten speichern müssen, entsteht ein Datenpool, auf den Strafverfolgungsbehörden dann auch rückwirkend zurückgreifen dürfen. Kommt ihnen eine verdächtige IP-Adresse in die Hände, können sie den Anschlussinhaber identifizieren lassen. Die Sicherheitsbehörden sehen sich durch die derzeitige Rechtslage daran gehindert, bestimmte Straftaten im Netz effektiv aufzudecken. Wenn die IP-Adresse die einzige Spur sei, die ein Täter hinterlassen hat, stochert die Polizei oftmals im Dunkeln. Für die Telekommunikationsanbieter wiederum ist es ein großer finanzieller Aufwand, so große Datenmengen über alle Menschen in Deutschland auf Vorrat zu speichern. Das ist einer der Gründe dafür, warum auch sie von der Maßnahme nicht begeistert sind.

Verknüpfung mit dem Gesetzespaket gegen digitale Gewalt

In einem geschickten politischen Schachzug hat Justizministerin Hubig die IP-Adressenspeicherung nun an das Gesetz gegen digitale Gewalt angedockt. Der Entwurf, der im Zuge der Vorwürfe von Collien Fernandes gegen ihren Ex-Mann viel Aufmerksamkeit bekommen hatte, formuliert neben neuen Straftatbeständen für Deepfakes auch ein neues Auskunftsrecht. Demnach können Opfer von Gewalttaten bei einem Gericht zu beantragen, dass Plattformen die Daten von Nutzer:innen herausgeben, die sich rechtswidrig verhalten haben sollen. So eröffnet sich ein Weg, um beispielsweise herauszufinden, wer auf X oder Instagram unter einem Pseudonym diffamierende Inhalte oder Beleidigungen verbreitet haben könnte. Anders als im Strafrecht gibt es bei zivilrechtlichen Unterlassungs- oder Schadensersatzklagen keine „Ermittlungen gegen Unbekannt“. Man muss stets angeben, gegen wen sich ein Rechtsanspruch richtet. Deshalb ist es wichtig, den Beklagten vorab zu kennen.

Beantragt eine potentielle Klägerin Auskunft, sollen die Plattformen nicht nur E-Mail-Adresse, Namen und Anschrift weiterreichen, – sondern eben auch IP-Adresse und Port-Nummer. Die neuen Pflichten zur Vorratsdatenspeicherung eröffnen den Datenpool, um sich mit den Informationen auf die Suche nach einer konkreten Person zu machen. Denn die Telekommunikationsanbieter, etwa Vodafone oder die Deutsche Telekom, speichern IP-Adressen derzeit gar nicht oder nur statisch für maximal sieben Tage. Da sich die IP-Adresse dynamisch ändert, ist die Zuordnung zu einer Person auch komplizierter geworden. Mit der „vorsorglichen IP-Speicherung“ soll eine Zuordnung zwischen Tatgerät und IP-Adresse nun erleichtert werden. Erhält ein Opfer digitaler Gewalt die IP-Adresse hinter einem Account, der ihr nachstellt oder sie sexuell beleidigt, kann das Gericht direkt beantragen, die IP-Adresse einer Person zuordnen zu lassen.

Kleinerer Datenkranz – immer noch anlasslose Speicherung

Anders als in den vorherigen beiden Versuchen, möglichst viele Daten von Internetnutzern anlasslos speichern zu lassen, ist der „Datenkranz“ kleiner: Nur die IP-Adresse und die Portnummer landet dann für drei Monate in einer Datenbank, nicht aber die Verbindungsdaten (wer wen wann angerufen hat) oder gar die Inhaltsdaten (wer wem was geschrieben hat). Doch davon gibt es im Referentenentwurf aus Dezember eine Ausnahme: Die Verkehrsdaten dürfen die Strafverfolgungsbehörden anfordern, wenn ein besonderer Anlass besteht – und die Telekommunikationsanbieter müssen sie dann speichern. Für die Verbindungsdaten geht das BMJ insofern den „Quick Freeze“-Weg. Um die Verkehrsdaten herauszuverlangen, muss ein Tatverdacht für eine schwere Straftat nach § 100a Abs. 2 StPO vorliegen, etwa Mord, Geldwäsche, Bestechlichkeit, aber auch bestimmte Taten nach dem Konsum-Cannabisgesetz. Zusätzlich gilt ein Richtervorbehalt – mit Ausnahme bei Gefahr im Verzug. 

Schiefe Metapher: Kfz-Zeichen im Internet

Das BMJ nutzt in der Kommunikation die Metapher, die IP-Adresse sei im Grunde nichts anderes als ein Kfz-Kennzeichen im Netz und die Abfrage dann quasi ein Kennzeichenabfrage. Also mehr oder weniger harmlos. Doch der Vergleich ist schief: Während ein Auto vor allem im öffentlichen Straßenverkehr unterwegs ist, gibt die Kenntnis über die IP-Adressen, die man nutzt, einen tiefen Einblick in das Online-Verhalten einer Person. Die Speicherung und Herausgabe der Daten finden im Zweifel auch ohne Kenntnis statt.

Quellenschutz für Journalist:innen in Gefahr

Wenn die Nutzung der IP-Adresse über Monate gespeichert wird, um sie später einer bestimmten Person zuordnen zu können, ist das eine Gefahr für Journalistinnen, Rechtsanwälte und andere Berufsgeheimnisträger. Sie müssen befürchten, dass der Staat vertrauliche Gespräche, investigative Recherchen oder Mandantenkontakte aufdecken kann, die eigentlich geheim bleiben sollten. Bei falschen Verdächtigungen oder dem Missbrauch polizeilicher Befugnisse kann so ein erheblicher Schaden entstehen.

Nach der Einführung ist vor der Ausweitung?

Die Gesetzesinitiative der Bundesregierung ist ein Schuss ins Blaue. Im besten Fall lassen sich bestimmte Formen der Online-Kriminalität künftig leichter aufklären. Im schlimmsten Fall öffnet das Gesetz den Weg zu einer schrittweisen Ausweitung der Online-Überwachung. In späteren Reformschritten könnte der Gesetzgeber die Speicherdauer, den Umfang der Daten oder die grundrechtlichen Absicherungen verändern – den Zugang zu dem Datenpool also schrittweise ausweiten. Das ist keine Dystopie, sondern in der Vergangenheit regelmäßig vorgekommen. Ein Beispiel sind die Daten aus der LKW-Maut. Wer sich bei ihrer Einführung fragte, warum eine LKW-Vignette nicht ausreicht, und man stattdessen Messtationen mit Videokameras braucht, um die Kfz-Kennzeichen ablesen, dem hilft ein Zeitsprung in die Zukunft. Nachdem die Infrastruktur einmal vorhanden war, wurde die Kennzeichen im öffentlichen Verkehr immer umfangreicher ausgelesen und auch für die Strafverfolgung benutzt.

Spielt die VDS autoritären Kräften in die Karten?

In einer Zeit, in der neue Technologien immer stärker in die Privatsphäre eindringen und zugleich autoritäre Kräfte an Macht und Einfluss gewinnen, stellt sich noch die Frage: Was passiert, wenn Regierungen ihre Polizeibehörden dazu anweisen oder ermuntern, ihre Zugriffsmöglichkeiten auf IP-Adressen und Portnummern zu nutzen, um gegen politische Gegner vorzugehen? Der Blick in die USA zeigt, dass auch demokratische Rechtsstaaten nicht davor gefeit sind, dass ihre Institutionen einen Kurs gegen Freiheitsrechte und Andersdenkende einschlagen. 

So geht es nun weiter: Parlamentarisches Verfahren und noch weitere Überwachungsgesetze

Der Kampf für und gegen die Vorratsdatenspeicherung läuft seit Jahrzehnten. Hinter ihr steht die Grundsatzfrage: Wie weit darf der Staat auch unbescholtene Bürgerinnen und Bürger in ihrem Verhalten beobachten und ihre Daten anlasslos speichern, um einen möglichen Zugewinn für die Strafverfolgung zu generieren? Zu Massendemonstrationen unter dem Motto „Freiheit statt Angst“ ist es diesmal nicht gekommen. Zugleich haben die vielen Gerichtsentscheidungen zu vielen Detailfragen geführt, die eine Beschäftigung mit Thema sehr kompliziert macht. Sie werden bald nochmal gewälzt. Denn nach dem Kabinettsbeschluss geht das Gesetz in das parlamentarische Verfahren im Bundestag. 

Dort bleibt spannend, wie sich die Sachverständigen in einer öffentlichen Anhörung zu den neuen Vorschlägen äußern werden – und ob die regierungstragenden Fraktionen ihren Ratschlägen folgen. Und das Paket an neuen digitalen Überwachungsgesetzen wird in den nächsten Wochen noch größer: Schon in der nächsten Kabinettssitzung will die Bundesregierung über Gesetzentwürfe entscheiden, die den Sicherheitsbehörden biometrische Internetscans und automatisierte Datenanalysen à la Palantir erlauben sollen.

Redaktion: Jasmin Ehbauer