Was gespeichert werden soll
Die Speicherpflicht trifft Internetzugangsanbieter also Telekom, Vodafone, O2, 1&1 und andere. Gespeichert werden sollen[2]:
- die zugewiesene Quell-IP-Adresse (IPv4 und IPv6)
- zugehörige Portnummern und Port-Ranges
- Zeitstempel der Zuweisung
- Speicherdauer: drei Monate
Die Portnummern sind technisch notwendig. Bei Mobilfunk teilen sich oft hunderte Nutzer eine öffentliche IPv4-Adresse (CGNATCGNATCarrier-Grade NAT: Mobilfunkanbieter bündeln viele Nutzer hinter einer einzigen öffentlichen IP. Ohne Portnummern ist keine eindeutige Zuordnung möglich.). Ohne Port-Range kann der Anbieter nicht eindeutig zuordnen, wer hinter welcher Verbindung steckt. Das BKA räumte das 2023 selbst ein[17]: „Ohne Speicherung auch der Portnummer wären die gespeicherten IP-Adressen in vielen Fällen nur bedingt zur Identifizierung der Anschlussinhaber geeignet."
Was nicht gespeichert wird
Der Entwurf enthält ausdrückliche Grenzen. Nicht erfasst werden Kommunikationsinhalte, aufgerufene Websites oder Ziel-IP-Adressen, Standortdaten (Funkzellen), klassische Verbindungsdaten (wer ruft wen an) und E-Mail-Verkehr.
Die Pflicht trifft nur Zugangsanbieter, nicht Over-the-Top-Dienste wie WhatsApp, Signal, TikTok oder Discord. Wer welche Inhalte dort postet oder schreibt, ist von dieser Speicherung nicht direkt betroffen, wobei der Umweg über die IP-Adresse trotzdem funktioniert (dazu weiter unten).
Was der Provider ohnehin sieht
Bevor die Neuerung eingeordnet werden kann, lohnt ein Blick auf das, was ein Internetanbieter schon heute ohne gesetzliche Vorgaben technisch sehen kann:
Ziel-IP jeder Verbindung. Der ISP sieht, mit welchen Servern sich ein Gerät verbindet, auch wenn der Inhalt verschlüsselt ist.
SNISNI — Server Name IndicationBeim Aufbau einer HTTPS-Verbindung schickt der Browser den Hostnamen der Zielseite unverschlüsselt. Der ISP erfährt damit welche Domain besucht wird, auch ohne den Inhalt zu lesen. im Klartext. Beim Aufbau einer HTTPS-Verbindung schickt der Browser den Hostnamen der Zielseite unverschlüsselt. Der ISP weiß damit, welche Website besucht wird, auch ohne den Inhalt zu lesen. Firefox unterstützt seit Version 119 Encrypted Client Hello (ECH)[22], das diesen Leak schließt aber nur bei Servern, die ECH aktiviert haben, hauptsächlich Cloudflare-Kunden.
DNS-Anfragen im Klartext. Solange der Standard-DNSDNS — Domain Name SystemÜbersetzt Domainnamen in IP-Adressen. Wer den DNS-Resolver des ISP nutzt, gibt damit jede aufgerufene Domain preis. DoH/DoT verschlüsselt diese Anfragen.-Resolver des ISP genutzt wird, sieht dieser jede Domain-Anfrage. Verschlüsseltes DNS (DoH/DoT) verhindert das.
Zeitpunkt und Datenmenge jeder Verbindung sind immer sichtbar.
Was die VDS neu hinzufügt, ist die rückwirkende Zuordnung: IP-Adresse plus Zeitstempel ergibt Anschlussinhaber, drei Monate weit in die Vergangenheit.
18 Jahre Rechtsgeschichte
Deutschland versucht seit 2008, eine Vorratsdatenspeicherung einzuführen. Jeder Anlauf scheiterte an Gerichten:
| Datum | Gericht | Kernaussage |
|---|---|---|
| März 2010 | BVerfG | Sechsmonats-VDS verfassungswidrig fehlende Schutzmaßnahmen, kein grundsätzliches Verbot |
| April 2014 | EuGH | EU-VDS-Richtlinie 2006/24/EG für ungültig erklärt |
| Dez. 2016 | EuGH (Tele2 Sverige) | Allgemeine und unterschiedslose VDS unvereinbar mit EU-Recht |
| Juni 2017 | OVG NRW | Deutsche Zehn-Wochen-VDS ausgesetzt |
| April 2022 | EuGH (An Garda Síochána) | Irische VDS unzulässig, Richtervorbehalt verschärft |
| Sept. 2022 | EuGH (SpaceNet) | Deutsche VDS europarechtswidrig |
| Aug. 2023 | BVerwG | §§ 175, 176 TKG vollständig außer Kraft gesetzt |
| April 2024 | EuGH (Hadopi) | Wende: IP-Speicherung unter engen Bedingungen zulässig |
| Juni 2025 | BVerfG | Quellen-TKÜ für Straftaten unter 3 Jahren Höchststrafe nichtig |
Das SpaceNet-Urteil 2022[7] und das darauffolgende BVerwG-Urteil vom August 2023[8] hatten die deutschen VDS-Regeln endgültig aus dem Verkehr gezogen. Danach galt in Deutschland de facto Quick-FreezeQuick-FreezeDaten werden nicht anlasslos gespeichert, sondern erst auf richterliche Anordnung eingefroren und gesichert. Der Gegenentwurf zur Vorratsdatenspeicherung.: Daten wurden erst auf richterliche Anordnung gesichert, nicht anlasslos vorgehalten.
Der Hadopi-Wendepunkt
Das EuGH-Urteil vom 30. April 2024 (C-470/21)[6] veränderte die Ausgangslage. Im Fall La Quadrature du Net II gegen die französische Hadopi-Behörde entschied das Gericht: IP-Adressen dürfen unter engen Voraussetzungen allgemein gespeichert werden, auch zur Verfolgung gewöhnlicher Kriminalität, nicht nur bei Terrorismus oder organisierter Kriminalität wie bisher.
1. IP-Adressen müssen strikt getrennt von Identitätsdaten aufbewahrt werden.
2. Es dürfen keine detaillierten Rückschlüsse auf das Privatleben möglich sein.
3. Die Speicherdauer ist auf das absolut Notwendige zu begrenzen.
4. Es müssen wirksame Missbrauchssicherungen existieren (Richtervorbehalt, Protokollierung, Löschroutinen).
Auf dieses Urteil stützt sich der Dobrindt-Hubig-Entwurf. Ob er die Hadopi-Kriterien tatsächlich erfüllt, ist strittig. Kritisch ist vor allem Kriterium 1: strikte Trennung von Identitätsdaten. Der Entwurf sieht vor, dass IP-Adressen getrennt von Bestandsdaten gespeichert werden, zwei Datentöpfe, die erst auf richterliche Anordnung zusammengeführt werden dürfen. Ob diese organisatorische Trennung den EuGH-Anforderungen standhält, bezweifeln Rechtsexperten. Der Datenschutzticker weist darauf hin[21], dass das BMJ den Entwurf bewusst nicht „Vorratsdatenspeicherung" nennt, um die EuGH-Schranken zu umschiffen, inhaltlich ändere das nichts.
Drei Monate auf dem Papier, ein Jahr in der Praxis
Die größte technische Kritik kommt von den Netzbetreibern selbst. Telekom, Vodafone, Telefónica und 1&1 haben in der Verbändeanhörung[3] auf ein Problem mit der Formulierung hingewiesen: Die drei Monate sollen ab „Ende der Zuweisung" laufen.
Zugriff: wann Behörden die Daten abfragen dürfen
Der Entwurf sieht keinen Richtervorbehalt für den Abruf der gespeicherten IP-Zuordnungen vor. Behörden dürfen ohne richterlichen Beschluss auf die Vorratsdaten zugreifen, sofern der Anfangsverdacht einer konkreten Straftat vorliegt und die Ermittlung andernfalls „wesentlich erschwert wäre". Das ist einer der zentralen Kritikpunkte von Bürgerrechtsorganisationen und Rechtsverbänden.
Hinzu kommt eine sogenannte „Sicherungsanordnung", ein erweitertes Quick-FreezeQuick-FreezeDaten werden auf richterliche Anordnung eingefroren und gesichert, bevor sie gelöscht werden — anlassgebunden statt anlasslos.-Instrument für Verkehrs- und Standortdaten: Anbieter können auf Anordnung verpflichtet werden, die Kommunikationsbeziehungen eines Nutzers bis zu drei Monate zu speichern — einmalig verlängerbar um weitere drei Monate bei richterlichem Beschluss.
Der Straftatenkatalog ist nach Eingriffstiefe gestaffelt. Nicht jede Straftat berechtigt zum Zugriff auf dieselbe Datentiefe. Über das Gesetz gegen digitale Gewalt sollen laut Gesetzentwurf künftig auch Privatpersonen in Zivilverfahren auf Vorratsdaten zugreifen können — etwa zur Identifizierung anonymer Hasskriminalität im Netz.
Wer widerspricht
Die Gesellschaft für Freiheitsrechte (GFF)[10] nennt das Vorhaben „anlasslose Massenüberwachung" und hat eine Verfassungsbeschwerde angekündigt. Die GFF hat in der Vergangenheit mehrere Überwachungsgesetze vor dem BVerfG zu Fall gebracht, darunter Teile des BKAG und des BVerfSchG.
Die Bundesrechtsanwaltskammer (BRAK)[12] vermisst eine „empirische Grundlage" für die Dreimonats-Frist. Nach 18 Jahren ohne VDS müssten sich Begründungen „förmlich aufdrängen", warum genau diese Dauer verhältnismäßig sei. Der Deutsche Anwaltverein (DAV)[13] hält den Entwurf für europarechtswidrig. Der eco-Verband der Internetwirtschaft[14] kritisiert Grundrechtseingriff und abschreckende Effekte auf die Meinungsfreiheit.
Freifunk München schreibt in seiner Stellungnahme vom 11. Februar 2026[15], die Speicherpflicht sei für ehrenamtliche Initiativen faktisch nicht leistbar, damit ist der Betrieb offener WLANs existenziell bedroht.
Auf der anderen Seite: BKA-Präsident Holger Münch[16] wartet nach eigenen Angaben „sehnsüchtig" auf das Gesetz. Der Deutsche Richterbund[18] begrüßt Hubigs Ansatz als pragmatisch. Bitkom, der größte IT-Wirtschaftsverband Deutschlands, begrüßt ebenfalls die neue Regelung.
Was das konkret bedeutet
Die Zuordnung „IP-Adresse + Zeitstempel → Anschlussinhaber" ist künftig drei Monate rückwirkend möglich. Szenario 1: Ein Forum meldet eine IP-Adresse wegen eines strafbaren Inhalts. Die Behörde fragt beim Provider an. Der Provider liefert Name und Adresse des Anschlussinhabers.
Das lässt sich mit Daten von Inhaltsdiensten kombinieren: Ein Plattformbetreiber nennt bei einer Anfrage eine IP-Adresse, die VDS liefert dazu den Anschlussinhaber. Das funktioniert, obwohl WhatsApp, TikTok oder Discord selbst nicht unter die Speicherpflicht fallen.
Anschlussinhaber ist nicht die Nutzerin. Bei Familien-WLANs, WGs oder Firmennetzen trägt der Vertragsinhaber die Zuordnung, auch wenn ein Familienmitglied, Mitbewohner oder Mitarbeiter die Verbindung genutzt hat.
Szenario 2: Öffentliche WLANs — Café, Bibliothek, Hotel. Betreiber solcher Netze fallen unter die Speicherpflicht, sofern sie als Internetzugangsanbieter im Sinne des TKG gelten. Für kleine Betreiber ist das technisch und organisatorisch kaum leistbar. Für Freifunk-Initiativen[15] bedeutet es das Ende.
Szenario 3: Whistleblower und Journalisten. Die IP-Zuordnung funktioniert auch rückwirkend für Kontakte zu Redaktionen, Beratungsstellen oder Anwälten, sofern diese über normale Internetverbindungen kommuniziert haben. Die VDS erfasst keine Inhalte, aber die Tatsache des Kontakts kann ausreichen.
Für Jugendliche und ihre Eltern
Die VDS trifft Jugendliche genauso wie Erwachsene, aber an anderen Stellen.
Messenger. WhatsApp-Inhalte sind Ende-zu-Ende-verschlüsselt, das ändert die VDS nicht. Meta speichert aber umfangreiche Metadaten: wer mit wem kommuniziert, wann, von welchem Gerät, von welcher IP. Mit der VDS ist diese IP drei Monate rückwirkend dem Anschlussinhaber zuzuordnen. Signal hält nach gerichtsfest dokumentierten Herausgabeverfahren[24] nur Telefonnummer und letzten Login-Tag. Threema funktioniert ohne Telefonnummer.
Discord ist ein besonderer Fall: Chats sind standardmäßig nicht Ende-zu-Ende-verschlüsselt. Discord selbst kann Inhalte lesen und muss auf Anordnung US-amerikanischer Behörden herausgeben. Die VDS ermöglicht zusätzlich die IP-Zuordnung.
Social Media. TikTok, Instagram, Snapchat und YouTube: Der ISP sieht die Verbindung zu den Plattformservern (Zeitpunkt, Volumen). Inhalte sind TLS-verschlüsselt und nicht direkt VDS-relevant. Die VDS ermöglicht aber, eine IP-Adresse, die Plattformbetreiber auf Behördenanfrage herausgeben, drei Monate rückwirkend einem Anschluss zuzuordnen.
Gaming. Bei Fortnite, Minecraft oder Roblox sieht der ISP die Verbindung zu den Spieleservern (Zeitpunkt, Volumen). Voice-Chat und Spielinhalte laufen über die Plattformbetreiber und sind von der ISP-Speicherung nicht direkt betroffen.
SIM-Karten. Seit dem 1. Juli 2017 müssen alle Prepaid-SIMs auf echte Namen registriert sein (§ 172 TKG). Anonyme Handynutzung ist in Deutschland faktisch nicht mehr möglich. Bei Mobilfunk kommt CGNAT hinzu: O2, Vodafone und Telekom teilen sich IPv4-Adressen unter Tausenden von Nutzern. Genau deshalb speichert der Entwurf Portnummern. Eltern-SIMs sind dem Anschlussinhaber zugerechnet, nicht dem Kind, das sie nutzt.
Schulnetze. Schulen und Schulträger führen oft eigene Protokolle (sieben Tage bis mehrere Wochen, je nach Bundesland). Die VDS trifft Schulen in der Regel nicht direkt, da sie keinen öffentlichen TKG-Dienst anbieten. Content-Filter auf Schulebene funktionieren unabhängig davon weiter.
Offene WLANs. Die bisherige Rechtsprechung zur Störerhaftung hatte offene WLANs schrittweise liberalisiert. Die VDS könnte diesen Trend umkehren: wer speichern muss, wird im Zweifel keinen offenen Zugang mehr anbieten.
Was schützt und was nicht
| Maßnahme | Wirkung |
|---|---|
| Seriöses VPN (Mullvad, ProtonVPN, IVPN) | ISP sieht nur VPN-Verbindung, keine Ziele |
| Verschlüsseltes DNS (DoHDNS over HTTPSVerschlüsselt DNS-Anfragen über HTTPS, sodass der ISP nicht mehr sieht, welche Domains aufgelöst werden. Anbieter: Quad9, Cloudflare, Digitalcourage./DoT: Quad9, Digitalcourage[19]) | ISP sieht nicht, welche Domains aufgelöst werden |
| Firefox mit ECH[22] | SNI-Leak verhindert bei unterstützenden Servern |
| Tor Browser | Stärkste zivile Anonymität, aber langsam |
| Signal / Threema | Inhalt verschlüsselt, minimale Metadaten |
Nicht schützend: Inkognito-Modus, Adblocker, Browserverlauf löschen, Rufnummerunterdrückung.
Im Kontext: das Überwachungspaket Schwarz-Rot
Die IP-Speicherung steht nicht allein. Schwarz-Rot will die Bundespolizei zur Quellen-TKÜQuellen-TelekommunikationsüberwachungStaatstrojaner, der Kommunikation vor der Verschlüsselung abgreift direkt auf dem Gerät des Verdächtigen. Das BVerfG erklärte Teile davon 2025 für nichtig. ermächtigen und den Straftatenkatalog für Online-Durchsuchungen ausweiten, obwohl das BVerfG am 24. Juni 2025 Teile davon für nichtig erklärt hat.
Dazu kommen Entwürfe von Innenminister Dobrindt für biometrische Internetfahndung: biometrischer Abgleich mit „öffentlich zugänglichen Daten aus dem Internet", das Clearview-Modell auf Staatsebene. Ein Gutachten von GFF, AlgorithmWatch, Amnesty, CCC und Ex-BfDI Kelber[11] vom Oktober 2025 stufte diese Pläne als „zum Großteil verfassungswidrig" ein. Sie kollidieren außerdem mit EU AI Act Art. 5(1)(e), der seit dem 2. Februar 2025 gilt.
Der Palantir-Ausbau läuft weiter: Bayern, Hessen, NRW und Baden-Württemberg setzen die Software bereits ein, Schwarz-Rot prüft den bundesweiten Einsatz, obwohl das BVerfG 2023 automatisierte Datenanalyse auf Fälle konkreter Gefahr beschränkt hat.
Auf EU-Ebene: Die Übergangsverordnung Chat Control 1.0 lief am 3. April 2026 aus. Das EU-Parlament lehnte eine Verlängerung mit 311 zu 228 Stimmen ab[26]. Chat Control 2.0 befindet sich weiter im Trilog. Die Bundesregierung hat sich gegen eine anlasslose Chatkontrolle ausgesprochen, Justizministerin Hubig am 8. Oktober 2025: „Eine anlasslose Chatkontrolle ist für die Bundesregierung tabu."[25] Das deutsche Nein war entscheidend für das Scheitern der dänischen Ratsabstimmung im Oktober 2025.[25]
Die Bundesbeauftragte für den Datenschutz, Louisa Specht-Riemenschneider[20], hat am 17. März 2026 aus gesundheitlichen Gründen ihren Rückzug angekündigt. Eine offizielle Stellungnahme der Behörde zum Kabinettsbeschluss lag zum Redaktionsschluss nicht vor.
„Statt Verantwortung für eine grundrechtsbasierte Digitalpolitik zu übernehmen, planen CDU/CSU und SPD die Einführung der anlasslosen und massenhaften Vorratsdatenspeicherung, die Ausweitung der Quellen-TKÜ, automatisierte Datenanalysen und biometrische Abgleiche mit allen im Internet verfügbaren Daten."
Ob der Entwurf die Hadopi-Kriterien erfüllt, wird das Bundesverfassungsgericht entscheiden, sobald die GFF ihre angekündigte Verfassungsbeschwerde einreicht.
Fazit
Der Dobrindt-Hubig-Entwurf ist technisch schlank: nur IP-Adressen, "nur" drei Monate, nur Zugangsanbieter. Das ist das Ergebnis von 18 Jahren Scheitern an Gerichten. Gesetzgeber haben gelernt, wo die Grenzen liegen. Ob dieser Entwurf innerhalb dieser Grenzen bleibt, werden BVerfG und EuGH entscheiden.
Bis dahin steht die parlamentarische Mehrheit für das Gesetz. Erste Lesung, Bundesrat, Inkrafttreten folgen noch. Die GFF hat eine Verfassungsbeschwerde angekündigt. Die nächste Gerichtsrunde ist eingeplant.
Die VDS ist nicht das einzige Vorhaben. Schwarz-Rot plant parallel Staatstrojaner-Ausweitung, biometrische Internetfahndung und Palantir-Bundeseinsatz. Einzeln hat jedes Vorhaben seine eigene Rechtsgrundlage. Als Paket zeigen sie in die falsche Richtung.
Was sich für Nutzerinnen und Nutzer mit der VDS ändert: Eine IP-Adresse bekommt drei Monate lang einen "Namen". Das gilt für Straftäter genauso wie für Jugendliche, die online eine Beratungsstelle suchen, Journalisten, die Quellen kontaktieren, oder Whistleblower, die sich an eine Redaktion wenden.