Am 22. April 2026 hat die Bundesregierung einen Gesetzentwurf zur Speicherpflicht von IP-Adressen durchgewinkt. Drei Monate lang sollen Internetanbieter künftig vorhalten, welche IP-Adresse samt Portnummer welchem Anschluss zugewiesen war. Dazu kommen die sogenannte Sicherungsanordnung, mit der Polizei und Staatsanwaltschaft Verkehrsdaten bei Verdacht einfrieren können, und abgesenkte Hürden für Funkzellenabfragen. Der Entwurf geht nun in Bundestag und Bundesrat.
Das Ganze fühlt sich vertraut an. Es ist, grob gezählt, der x-te Anlauf, eine anlasslose Vorratsdatenspeicherung in deutsches Recht zu überführen. Die bisherigen Fassungen wurden von Bundesverfassungsgericht und Europäischem Gerichtshof wiederholt verworfen oder zurückgestutzt. Die Regierung wiederholt also eine Übung, deren Scheitern in Karlsruhe oder Luxemburg ein durchaus realistisches Szenario ist. Das ist für sich genommen bemerkenswert. Wirklich erklärungsbedürftig wird der Vorgang aber erst, wenn man nach dem Ziel fragt. Was soll mit diesem Gesetz eigentlich erreicht werden?
Das Amri-Dilemma: Datenmangel war nie das Problem
Am 19. Dezember 2016 steuerte Anis Amri einen gekaperten Lkw in eine Menschenmenge auf dem Berliner Weihnachtsmarkt am Breitscheidplatz. Dreizehn Menschen starben, mindestens siebenundsechzig wurden zum Teil schwer verletzt. Die anschließenden Untersuchungsausschüsse im Berliner Abgeordnetenhaus, im Bundestag und im Landtag Nordrhein-Westfalen haben über mehrere Jahre hinweg rekonstruiert, was die Sicherheitsbehörden im Vorfeld wussten. Das Ergebnis ist unbequem: Amri war als Gefährder eingestuft, wurde observiert, lief unter mehreren Alias-Identitäten durch die Akten, war Gegenstand dringlicher Hinweise von V-Personen und ausländischen Diensten, fiel durch Anschlagsplanungen und Drohungen auf. Die Abschlussberichte sprechen von individuellen Versäumnissen und Fehlentscheidungen, die in ihrer Summe fatal gewesen seien. Der Anschlag, so der Tenor, hätte verhindert werden können.
Wer aus diesem Fall die Lehre zieht, man brauche noch mehr Daten, hat die eigentliche Analyse überschlagen. Das Problem der deutschen Sicherheitsarchitektur in schweren Kriminalitäts- und Terrorfällen war nicht der Mangel an Daten, sondern die mangelhafte Zusammenführung und Auswertung der ohnehin vorhandenen. Koordination zwischen Bund, Ländern und sechzehn Landeskriminalämtern, technische Ausstattung, Personalstärke, klare Verantwortlichkeiten, Zugriff auf gemeinsame Informationsbestände: das sind die harten Bretter. Eine IP-Speicherpflicht für alle löst davon nichts. Sie vergrößert den Heuhaufen, in dem die Nadel liegt.
Wen soll eine IP-Adresse überhaupt identifizieren?
Dazu kommt ein zweiter Punkt, der in der politischen Debatte gerne übergangen wird. Eine IP-Adresse identifiziert einen Anschluss, nicht eine Person. Hinter einem durchschnittlichen Haushaltsanschluss stehen drei, vier Nutzer, dazu Gäste-WLAN, Besuch, Kinder mit Freunden. Ein Mehrpersonenhaushalt mit offenen Endgeräten ist schon ein Stück Beweisnebel. Vor allem aber existieren in erheblicher Zahl Anschlüsse, die bewusst keinen Bezug zu einer einzelnen Person haben: Rechner in Volkshochschulen, Stadtbibliotheken, Universitäten, Internetcafés, offene WLANs in Cafés, Hotels, Bahnhöfen, Flughäfen. Wer einen Rechner ohne persönliche Spur nutzen möchte, findet vor Ort reichlich Gelegenheit dazu — ohne jedes technische Vorwissen, allein mit einem Spaziergang um die Ecke.
Wer technisch auch nur halbwegs versiert ist, verschiebt die Frage mit einem VPN-Tunnel. Der deutsche Provider protokolliert dann drei Monate lang bloß, dass der Anschluss mit einem Server in Zürich oder Stockholm verbunden war — wohin der Datenverkehr von dort weiterging, steht außerhalb der Speicherpflicht. Tor verschiebt die Frage weiter, gekaperte Router und Strohmann-Accounts verschieben sie ganz. Keine dieser Techniken ist neu, keine exotisch, alle sind öffentlich dokumentiert und in wenigen Minuten eingerichtet. Wer überhaupt einen Grund hat, sich zu tarnen, wird sich tarnen.
Die Rechnung ohne diejenigen, um deretwillen das Gesetz geschrieben wird
Damit steht das Gesetz vor einem logischen Problem, das sich kaum übersehen lässt. Erreicht werden die Unbedarften: Menschen, die keinen Anlass haben, ihre Spur zu verwischen, weil sie nichts Unrechtes vorhaben. Sie werden vorsorglich drei Monate lang mit IP und Portnummer in einer Datenbank geführt. Die Täter, um derentwillen das Gesetz angeblich entworfen wird, sind genau die Einzigen, die es mit geringem Aufwand umgehen. Ein Instrument, das seine Zielgruppe systematisch verfehlt und dafür alle anderen erfasst, ist in dieser Form keine kriminalpolitische Maßnahme, sondern eine symbolische.
Dass Überwachungsinfrastruktur, wenn sie einmal steht, selten wieder verschwindet, gehört zu den gesicherten Befunden der Rechtstatsachenforschung. Dass die Anlässe, sie zu nutzen, im Laufe der Jahre wachsen, ebenfalls. Angefangen wird bei Schwerkriminalität und Terror, erweitert wird später auf Urheberrecht, Ordnungswidrigkeiten, Meinungsdelikte. Das ist kein Verdacht, das ist ein historisch gut belegter Normalfall.
Der analoge Unterbau eines digitalen Gesetzes
Das Ganze hat noch eine zweite, fast tragikomische Schieflage. Die Behörden, für die hier ein digitales Ermittlungswerkzeug geschaffen wird, kommunizieren in wesentlichen Teilen noch per Fax. Gesundheitsämter haben bis weit in die Pandemie hinein Fallzahlen gefaxt, Staatsanwaltschaften verschicken Durchsuchungsbeschlüsse bis heute auf diesem Weg, in vielen Polizeidienststellen ist das Faxgerät weiterhin das Rückgrat der externen Kommunikation. Parallel berichten IT-Ermittler regelmäßig, dass Sachbearbeiter in Amtsstuben eine IP-Adresse nicht sicher von einer IBAN unterscheiden können, weil in der Grundausbildung dafür schlicht kein Platz ist. Ein Gesetz, das dreimonatige IP-Protokolle bei allen Providern erzwingt, setzt eine Auswertungskompetenz voraus, die in der Fläche nicht existiert. Die Daten werden also erhoben, um in einer Verwaltung zu landen, die sie in nennenswerter Zahl gar nicht sinnvoll wird bearbeiten können. Das ist keine Effizienzlücke, das ist ein Konzeptfehler.
Die alte Lücke zwischen Rede und Wirkung
Bleibt die Frage, die man bei solchen Gesetzesvorhaben immer stellen sollte: Für welches reale Problem ist das hier die Lösung? Wenn das Problem die Aufklärungsquote bei schwerer Kriminalität ist, dann liegt die Antwort bei Personal, Ausbildung, IT-Infrastruktur und Auswertungsverfahren der Ermittlungsbehörden — nicht bei einer neuen Pflichtschicht für Provider. Wenn das Problem der Eindruck von Handlungsunfähigkeit ist, dann ist das Gesetz allerdings eine passable Lösung, jedoch für ein Kommunikationsproblem der Regierung, nicht für ein Kriminalitätsproblem der Republik. Dass ausgerechnet eine Verwaltung, die ihre eigenen Kommunikationsabläufe nicht in die Gegenwart gebracht bekommt, der Bevölkerung dreimonatige Digitalprotokolle verordnet, ist die eigentliche Pointe des Vorgangs.
Der Fall Amri, der stellvertretend für eine Reihe vergleichbarer Versäumnisse steht, hat diese Diskrepanz schmerzhaft vorgeführt. Die Lehre ist seit fast einem Jahrzehnt öffentlich dokumentiert, ausführlich in drei Untersuchungsausschüssen, auf tausenden Aktenseiten. Sie wird im aktuellen Entwurf nicht aufgegriffen, nicht einmal erwähnt. Stattdessen wiederholt der Gesetzgeber die politische Geste, die schon in den vorigen Anläufen an derselben Stelle gestolpert ist. Dass das in Karlsruhe oder Luxemburg erneut zur Rückweisung führen kann, ist dabei fast nebensächlich. Das eigentliche Problem liegt davor: Die Maßnahme erreicht ihr erklärtes Ziel nicht, und wer sie entwirft, weiß das.