Die EU-Kommission will nicht davon lassen, Telekommunikationsunternehmen dazu anzuhalten, Nutzerdaten weiterhin zu speichern. Eines aber hat sie inzwischen erkannt: Die von ihr selbst verfasste Richtlinie zur Vorratsdatenspeicherung war schlampig und geradezu fahrlässig formuliert.

Die zuständige Innenkommissarin Cecilia Malmström hat am heutigen Montag einen Evaluationsbericht vorgestellt , der untersucht, wie die einzelnen Mitgliedsländer der EU mit den Vorratsdaten umgehen. Das Fazit muss wohl lauten: Da macht jeder, was er will, und schuld daran ist die Richtlinie.

Das Vorgehen der Mitgliedsländer müsse vereinheitlicht werden, konstatiert der Bericht in eher verschämter Selbstkritik. Wie das geschehen soll, ist aber wieder windelweich formuliert. Die Überarbeitung "könnte" eindeutiger definierte Listen der Zugriffsbehörden enthalten. Sie "könnte" minimale Standards definieren, wie die Daten bei den Telekommunikationsfirmen ausgelesen werden. Auch eine Harmonisierung der Überwachungszeiträume (derzeit sind es sechs Monate bis zwei Jahre) "sollte in Betracht gezogen werden". Vorstellbar sei auch, verschieden lange Speicherfristen für verschiedene Datenarten und verschieden schwere Verbrechen festzulegen. Die Kommission wolle das zumindest bedenken, schreibt sie.

Selbst bei den Regeln zur Sicherheit wurde offensichtlich geschlampt. Der Evaluationsbericht stellt fest, dass die Kommission darüber nachdenken wolle, Datenschutz und Datensicherheit zu stärken. Sie will sich also damit beschäftigen, wenigstens die Speicherung und die Übermittlung solch sensibler Daten so zu sichern, dass sie nicht auch noch abhanden kommen können.

Klicken Sie auf das Bild, um zur interaktiven Karte zu gelangen © ZEIT ONLINE

Dünn sind auch die statistischen Erhebungen. Die EU-Kommission kann derzeit offensichtlich nicht sagen, wie viele Daten in den einzelnen Ländern gespeichert und ausgewertet werden. Zwar seien verlässliche und saubere Daten unerlässlich, um die Notwendigkeit und den Nutzen des Verfahrens zu belegen, heißt es in dem Bericht. Daher habe man auch versucht, Qualitätsstandards für die Datenerhebung festzulegen. Leider aber würden diese Standards nicht erreicht. Die Länder liefern also offenbar irgendwelche Zahlen ab, die sich kaum vergleichen lassen. Wenn überhaupt. Sieben EU-Länder hätten keine Statistik übermittelt, in welchem Umfang sie Vorratsdaten verwenden.

Insgesamt würden in der EU "schätzungsweise" zwei Millionen Mal im Jahr Vorratsdaten abgefragt, die Hälfte davon in Polen. Die enorme Zahl erklärt sich durch das laxe Vorgehen dort: Die Daten wurden beispielsweise verwendet, um Betrugsversuche per Telefon aufzuklären. Ältere Menschen waren in Polen von Betrügern angerufen worden, die ihnen Geld abschwatzen wollten – was übel ist, aber wohl kein schweres Verbrechen. Und "schwere Verbrechen" immerhin waren eine der wenigen Hürden, die die EU bei der Vorratsdatenspeicherung installiert hatte. Vergessen wurde allerdings zu definieren, was eigentlich als "schwer" gilt.

Kaum Hürden und keine Kontrolle

Das hat nun auch die EU-Kommission gemerkt, stellt der Bericht doch leicht erschrocken fest, dass in einigen Ländern die Vorratsdaten ohne irgendwelche Hürden herausgegeben werden: "In zwei Mitgliedsstaaten scheint die einzige Bedingung für eine Herausgabe zu sein, dass die Anfrage schriftlich formuliert wurde." Dass die europäische Richtlinie das zulässt, zeigt abermals, wie ungenau sie ausgearbeitet wurde. Grundsätzlich lasse die Statistik keine Aussage darüber zu, wofür die Daten angefordert und verwendet wurden, heißt es in dem Bericht. Von effektiver Kontrolle des Verfahrens kann also ebenfalls keine Rede sein.

Eine Tatsache jedoch zeigt die ansonsten dünne EU-Statistik, und genau diese widerlegt beispielsweise den deutschen Innenminister . Hans-Peter Friedrich fordert, die Daten müssten "mindestens" sechs Monate lang gespeichert werden, um etwas zu taugen. Der EU-Bericht zeigt jedoch, dass die Ermittler kaum Interesse an alten Vorratsdaten haben. Ungefähr 90 Prozent der Anfragen bezogen sich auf Daten, die maximal sechs Monate alt waren. Viele davon waren sogar nur drei Monate alt oder jünger.

Trotz all dieser Schwierigkeiten und Lücken beschreiben alle EU-Staaten die Daten generell als nützlich und "in einigen Fällen" als unabdinglich, konstatiert der Evaluationsbericht. Angesichts der schwachen Datenlage darf das wohl vor allem als Wunsch interpretiert werden.

Die EU-Kommission ficht das nicht an, von grundsätzlicher Kritik an dem Verfahren ist keine Spur zu sehen. Der Wunsch allein genügt denn auch als einzige Begründung für die Notwendigkeit des Werkzeugs. Ebenfalls ohne echte Begründung wird das als Alternative vorgeschlagene Verfahren Quick Freeze abgelehnt. Als Schlussfolgerung heißt es lediglich, der Bericht habe "eine Anzahl an Verbesserungsmöglichkeiten aufgezeigt". Und er entschuldigt die Schlamperei noch, denn die EU habe in einer Phase terroristischer Bedrohung gehandelt.

Eigentlich gehören Vorratsdaten gar nicht erst gespeichert oder zumindest anonymisiert, da sie riskant und sensibel sind. Das weiß auch die EU-Kommission, immerhin verlangt sie in der sogenannten e-Privacy-Direktive 2002/58/EC von den Telekommunikationsunternehmen, Vorratsdaten zu löschen, wenn sie für Rechnungszwecke nicht mehr gebraucht werden. Diese Richtlinie aber wurde nach den Bombenattentaten von Madrid 2004 und London 2005 außer Kraft gesetzt – obwohl die Attentate ohne Zugriff auf Vorratsdaten aufgeklärt wurden.

Insgesamt belegt der Bericht, dass die EU eine transnationale Richtlinie verabschiedet hat, die sämtliche EU-Bürger zu Verdächtigen macht – ohne festzulegen, wer diese Daten sehen darf und wie sie gespeichert und übertragen werden müssen. Das darf man angesichts der Schwere des Eingriffs in Bürgerrechte getrost grob fahrlässig nennen. Nun auch noch zu fordern, wie Cecilia Malmström es gerade tat , das Werkzeug solle gefälligst in allen Ländern umgesetzt werden, grenzt an Vorsatz. Oder, wie Heribert Prantl – immerhin ein früherer Richter – in der Süddeutschen Zeitung schreibt : "Das ist so, als würde der TÜV schwere Mängel an einem Fahrzeug feststellen und den Fahrer trotzdem zwingen, damit weiterzufahren."