Das Urteil des Bundesverfassungsgerichts ist nicht das Ende der Vorratsdatenspeicherung. Die ihr zugrunde liegende europäische Richtlinie hat Karlsruhe nicht angetastet, sie gilt und muss von der Bundesregierung in deutsches Recht übertragen werden.

Allerdings gibt es im Abschnitt "Begründetheit" einen kurzen Absatz, der als Warnung an die EU und an den EU-Ministerrat verstanden werden kann, nicht noch weitere solcher Regelungen einzuführen. Dort steht, der Eingriff in persönliche Daten sei nur dann vertretbar, wenn er insgesamt eine Ausnahme darstelle, wenn es also keine weiteren Überwachungsversuche dieser Art gibt. Zitat: "Durch eine vorsorgliche Speicherung der Telekommunikationsverkehrsdaten wird der Spielraum für weitere anlasslose Datensammlungen auch über den Weg der Europäischen Union deutlich geringer."

Grundsätzlich aber haben die Richter des Ersten Senats nichts gegen eine anlasslose Speicherung für sechs Monate, auch wenn dieser Zeitraum "an der Obergrenze" dessen sei, was als verhältnismäßig gelte. Beim Zugriff auf die Daten aber müsse der Gesetzgeber den Grundsatz der Verhältnismäßigkeit beachten, fordert das Urteil. Darin machen die Richter auch klare Vorgaben zu verschiedenen Bereichen eines solchen Gesetzes.

Die Daten dürfen beispielsweise nicht vom Staat gespeichert werden. Das soll verhindern, dass eine zentrale Datenbank und so eine zentrale Überwachungsbehörde entstehen kann. Und gewährleisten, dass nicht der Staat ohne Anlass und erst einmal ohne erkennbaren Zweck speichert, denn das ist ihm "verfassungsrechtlich strikt untersagt". Eine Zusammenführung der Daten ehe sie an den Staat übermittelt werden, schlossen die Richter ebenfalls aus. Die Verteilung auf viele Provider ist ausdrücklich erwünscht, um dem Staat einen Zugriff nur indirekt zu gestatten.

Die Provider müssen außerdem hohen Anforderungen an die Datensicherheit entsprechen und daher eine "getrennte Speicherung", eine "anspruchsvolle Verschlüsselung", ein "gesichertes Zugriffsregime" und eine "revisionssichere Protokollierung" sicherstellen.

Der Gesetzgeber habe die Datensicherheit einerseits durch entsprechende Regeln "normenklar" und "verbindlich" vorzugeben und andererseits deren Umsetzung "unter Einbeziehung des unabhängigen Datenschutzbeauftragten" zu überwachen und Verstöße angemessen zu sanktionieren. Die technische Umsetzung dürfe der Gesetzgeber dabei gern "einer Aufsichtsbehörde anvertrauen".

Was wohl heißt, dass sich das Parlament lieber ein paar Experten besorgen sollte, als sich selbst an der Umsetzung zu probieren – einer der vielen kleinen Hiebe, die die Richter in ihrem Urteilsspruch ausgeteilt haben. Mehrfach rügten sie das bisherige Gesetz als nicht sorgfältig genug, als unkonkret und als praktisch grenzenlos.