Letzte Änderung des Artikels am 27. Juni 2025 von Aranita

Immer wieder geraten Maßnahmen staatlicher Sicherheitsbehörden in die Kritik, wenn es um den Zugriff auf persönliche Daten geht. Eine solche Maßnahme ist die sogenannte Bestandsdatenauskunft. Hinter dem sperrigen Begriff verbirgt sich ein Verfahren, das es Polizei, Geheimdiensten und anderen Behörden ermöglicht, auf personenbezogene Daten zuzugreifen, die Telekommunikationsanbieter im Rahmen eines Vertragsverhältnisses gespeichert haben. Dazu zählen unter anderem Name, Adresse, Telefonnummer, E-Mail-Adresse oder IP-Daten.

Die rechtliche Grundlage für die Bestandsdatenauskunft bildet ein komplexes Geflecht aus dem Telekommunikationsgesetz, dem Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien, der Strafprozessordnung sowie dem neuen Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Diese Gesetze erlauben es den Behörden, bestimmte Daten abzufragen, wenn dies zur Gefahrenabwehr oder zur Strafverfolgung erforderlich ist. In einigen Fällen, etwa bei der Herausgabe von Zugangsdaten oder Passwörtern, ist zusätzlich eine richterliche Anordnung vorgeschrieben.

Datenschützer sehen die Bestandsdatenauskunft seit Jahren mit Sorge. Zwar schreibt das Datenschutzrecht klare Regeln vor, etwa den Grundsatz der Zweckbindung, die Erforderlichkeit der Maßnahme und die Datensparsamkeit, doch in der Praxis wird das Instrument regelmäßig in großem Stil eingesetzt. So veröffentlichte die Plattform netzpolitik.org kürzlich aktuelle Zahlen für das Jahr 2024. Rund 26,9 Millionen Mal fragten staatliche Stellen bei Telekommunikationsanbietern an, wem eine bestimmte Telefonnummer oder ein Internetanschluss gehört. Das entspricht im Durchschnitt mehr als 188.000 Auskünften pro Tag. Die Mehrheit dieser Abfragen läuft automatisiert über Schnittstellen zur Bundesnetzagentur.

Der Zugriff auf solche Bestandsdaten ist nicht neu. Seit zwei Urteilen des Bundesverfassungsgerichts, 2012 und erneut 2020, stehen die rechtlichen Grundlagen jedoch verstärkt im Fokus. Karlsruhe stellte in beiden Fällen hohe Anforderungen an die Transparenz und Verhältnismäßigkeit solcher Maßnahmen. Dennoch blieb die Zahl der Abfragen zuletzt konstant hoch.

Anbieter von Internet- und Telefondiensten sind verpflichtet, die Daten ihrer Kunden auf Anforderung bereitzustellen. Gleichzeitig müssen sie sicherstellen, dass der Zugriff nur unter engen Voraussetzungen erfolgt und protokolliert wird. Für die Betroffenen bleibt jedoch oft im Dunkeln, wann und warum ihre Daten weitergegeben wurden. Eine Benachrichtigungspflicht besteht in der Regel nicht.

In der öffentlichen Debatte stellt sich deshalb zunehmend die Frage, ob der Eingriff in die Privatsphäre mit dem Grundrecht auf informationelle Selbstbestimmung vereinbar ist. Ebenso muss sich der Staat fragen lassen, ob die bestehende Praxis noch dem entspricht, was einst als Ausnahmeregelung gedacht war. Kritiker fordern mehr Transparenz, unabhängige Kontrollen und eine Begrenzung der automatisierten Auskünfte. Denn wer jeden Tag hunderttausendfach auf personenbezogene Daten zugreift, hat jedes Maß verloren und mit einer Demokratie nichts mehr zu tun.